Privacy

Автор: manager Воскресенье, Март 16th, 2008 Нет комментариев

Рубрика: Безопасность

Мало кто любит сообщать какие-то личные данные о себе. Необходимость сделать это при регистрации чего-либо, будь то доменное имя, программа или что-то еще вызывает глухое чувство не то чтобы негодования, но раздражения. И это раздражение выливается в, пожалуй, страх того, что его данные будут куда-то переданы и именно в негодование, в том случае, если они действительно были переданы. Особенно, если эта передача происходила без ведома самого «объекта».

Интернет, в то же время, при всем своем удобстве и открытости, почему-то (для меня, если честно, это всегда было загадкой) приводит к массовому нагнетанию истерии, распространению слухов и прочим действиям, которые обычно ассоциируются с бабушками, сидящими у подъезда.
Сочетание этих двух свойств делает Интернет довольно «взрывоопасным» местом и добавляет изрядную долю риска компаниям, работающим в этой области. Например, если я напишу, что на сервере вестей.ру используются программы, которые потенциально могут отслеживать привычки пользователя, сохраняя в базах данных откуда он пришел, какие статьи читал и т.п., а, в случае объединения нескольких крупных ресурсов, отслеживать 80-90 процентов его перемещений, то наверняка хоть и относительно небольшая, но паника, попытки «замаскироваться» и письма с требованиями убрать эти программы.

Давайте попробуем чуть-чуть прояснить этот вопрос. Например, меня, как автора одного из довольно крупных сайтов интересует информация о посетителях. Во-первых, мне просто интересно сколько человек читает то, что я пишу; а во-вторых эта информация интересует рекламодателей — они же тоже хотят, чтобы их реклама попадала именно к тем, кому она нужна. При этом, меня мало интересуют детали каждого конкретного пользователя — мне надо знать, например, сколько у меня посетителей из Москвы и Питера, а сколько из Новой Зеландии. Мне надо знать на какие страницы заходит больше людей, а на какие меньше — чтобы посмотреть, что было сделано не так. Мне надо знать каким браузером и операционкой пользуются посетители (чтобы делать упор на программы, которые будут интересны бОльшему числу посетителей) и с каким разрешением экрана они работают, чтобы соответствующим образом подстроить дизайн сайта. Причем, это именно статистика. Но для того, чтобы ее собрать, надо чтобы каждый отдельный посетитель сообщил эти сведения.

Более того. Мне, например, интересно знать сколько человек регулярно заходят ко мне на сайт, а сколько — от случая к случаю. А для этого мне их надо как-то идентифицировать… Вспомните какая паника была пару лет назад по поводу cookies — возможности сервера записать какую-то текстовую информацию на компьютер пользователя, и прочитать ее при следующем заходе на страницу. Были громкие выступления о том, что это внедрение в личную жизнь, создавались специальные программы, блокирующие cookie и т.п. При этом, практически никто не мог объяснить зачем… Просто, чтобы скрыть информацию. А ведь, по большому счету, cookie ничего не разглашают (кроме того, что вы уже были на этом сайте), но позволяют серверу «вспомнить» ваши настройки, товары (в случае Интернет-магазина), которыми вы интересовались и т.п. Я не призываю всех снять (или, наоборот, установить) запрет на cookie, наоборот, я предлагаю, перед тем как делать что-то подумать зачем… А то доходит до смешного — то в логах сервера в качестве описания браузера написано «не скажу», то на рассылку пытаются подписаться, используя вымышленный E-mail адрес (это не шутка, были и такие случаи — причем не из хулиганских побуждений, а именно для секретности! :) то обвиняют меня во встраивании секретных скриптов в рассылку, приводя в качестве доказательства код баннера…

Отдельная история — это слухи о вирусах и троянах. Периодически мне пишут гневные письма, что в программах, скачанных с моего сайта нашелся вирус или что-то подобное. До сих пор такие сообщения ни разу не подтверждались — обычно это была ошибка антивируса или мнительность пользователей, но я ни в коем случае не отрицаю подобной возможности, хотя и стараюсь сделать все, что могу, чтобы этого не произошло. Но опять-таки проявляется разница в подходе — большинство пишет мне письмо, что «такой-то антивирус обнаружил то-то и то-то в таком-то файле, и не могли бы вы разобраться?», но некоторые начинают на всех досках обявлений и в других доступных местах писать, что «заразился вирусом с сайта ЛистСОФТ!!!!!», при этом не указывая ни программу, ни вирус и никак не аргументируя свои заявления. После этого, естественно, возникает волна слухов, причем совершенно непонятно как с ней бороться, т.к. автора оригинального заявления найти проблематично; а сама информация, прошедшая через три-четыре «перепечатки» трансформируется во что-то совершенно другое…
Но вернемся к privacy. В последнее время пошла волна слухов и паники по поводу рекламной компании Aureate, которая занимается тем, что предоставляет авторам бесплатных программ возможность встроить в них баннер и, соответственно, получать деньги не с пользователей программы, а с рекламодателей. В письмах, которые присылают мне, эта рекламная система называется не иначе как «программа-шпион Aureate» и, периодически, прицепляются файлы «для ее удаления», причем три из четырех присланных программ сами оказались троянами. Но это я так, к слову… Попробуем разобраться подробнее.

В рекламе есть такое понятие: таргетинг. Означает оно нацеливание рекламы именно на тех пользователей, которых она может заинтересовать. Например, если я дам рекламу своего сайт в офф-лайновой газете бесплатных объявлений, то посетителей мне это не добавит совсем, если же эта реклама будет в интернете, да еще на околософтовых сайтах, то эффект от нее будет намного больше. Думаю, это понятно. Соответственно и рекламодатели больше платят за «целевую» рекламу, чем за случайную. А для того, чтобы узнать, какая реклама вас интересует, требуется получить от вас информацию об этом… Поэтому, когда вы впервые устанавливаете на своем компьютере программу с рекламным модулем, этот модуль спрашивает ваши данные: возраст, гографическое расположение, интересы и т.п. Эти данные сохраняются на вашем компьютере, и если вы затем ставите еще одну программу с тем же самым рекламным модулем, то второй раз он вопросы не задает, а берет уже существующие настройки.

Теперь о том, как все это работает. Когда вы запускаете программу, она показывает те баннеры, которые в ней прописаны по умолчанию, одновременно проверяя, соединены ли вы с Интернетом. Если нет, то эти дефолтовые баннеры так и крутятся, а если да, то рекламный модуль соединяется со своим сервером, передает на него данные о ваших интересах (которые вы сами сообщили) и получает оттуда набор баннеров, которые могут быть вам наиболее интересны. Затем программа показывает именно их.
Вот тут-то и начинается самое интересное. Один из исследователей сетевой безопасности — Dale Haag — «расковыривая» код Aureate обнаружил, что в нем присутствует потенциальная возможность передавать не только указанную пользователем информацию, но и различную другую, например, список установленных программ, пароли и т.п. Эта информация была разослана по внутреннему листу рассылки, но затем просочилась в «большой мир». И началась паника. На слова потенциальная возможность и утверждения самого эксперта о том, что он не обнаружил ни одного свидетельства о том, чтобы такая информация передавалась никто внимания не обращал. На компанию Aureate посыпались гневные письма и судебные иски, причем, активнее всего «нападали», как обычно, те, кто меньше всего понимал, что происходит.

Дошла эта волна и до меня, т.к. у меня на сайте есть программы, пользующиеся этой службой (кстати, т.к. фирма эта наиболее известна, то и пользуются ей наиболее популярные программы — CuteFTP, GetRight, DigiCams, Go!Zilla и т.п.) Пользователи, которые получили информацию, как правило, из третьих рук или с «хакерских» сайтов (до сих пор не понимаю, почему большинство людей верит тому, что написано на чьей-то домашней страничке и не сверяет эту информацию с более авторитетными источниками) заволновались и стали забрасывать меня письмами с требованием убрать указанные программы и написать рецепты по удалению соответствующих программ. Причем, очень забавно наблюдать, как по мере распространения слухов трансформируется информация. Например, перевод одного из писем «первой» волны выглядит так (это именно перевод слухов, а не достоверная информация!):

ДЛЛ-Шпион активируется при подключении к Интернету и открыттии браузера. Программа создает «скрытые» окна браузера и отсылает через порт 1749 следующую информацию:
1.Ваше имя из Системного Регистра.
2.Ваш IP адрес.
3.DNS-привязку вашего адреса к вашему провайдеру и стране пребывания.
4.Список всех установленных программ из Системного Регистра.
Посылает на Сервер страницы посещаемой вами:
1.Рекламные баннеры на которые вы кликнули.
2.Информацию по файлам, которые вы скачивали.
3.Информацию по работе вашего браузера с временем и датами всех акций.
4.Номер телефона удаленного сервера.
5.Ваш пароль, если он сохранен в системе.
А вот цитата из последнего письма:
Эта программа-шпион не удаляется в дальнейшем и живет сама по себе. Пересылает она все ваши данные на свои шпионские сайты (звонит домой), за ваш счёт, естественно. Делает это постоянно и сильно затрудняет и удлинняет ваши сеансы связи с Интернетом.
Дополнительную информацию можно получить:
LangaList
Переписка с Aureate
Статья в C|net
Gibson Research Corporation
Напоследок, хочу отметить еще две вещи. Во-первых, когда вы устанавливаете себе на компьютер любую программу, вы рискуете. Недаром же в каждой программе (включая Windows) в лицензионном соглашении указано, что программа поставляется «как есть» и автор не отвечает ни за какой урон, который может принести использование этой программы. Даже если в программе нет вирусов и троянцев (а никто не может дать 100% гарантии, что их там нет), не исключена вероятность того, что из-за ошибки программиста повредятся ваши файлы или случится еще что-то. И никто не сможет на 100% защитить вас от этого риска. Он невелик, например, я устанавливаю и тестирую все программы, публикуемые у меня на сайте, но я не исключаю возможности того, что программа, работающая на моем компьютере, вдруг что-то испортит на вашем. Именно поэтому. я даю возможность пользователям написать свои впечатления от программы и везде подчеркиваю, что информация на моем сайте — это исключительно мое частное мнение, отнюдь не претендующее на объективность и полноту.
Во-вторых, по поводу этих пресловутых баннеров — каждая программа, которая их показывает, дает вам возможность купить версию без баннеров. И выбор между просмотром рекламы и тратой денег — это именно ваш выбор…
Источник: http://www.diskovod.ru

Оставить комментарий

Чтобы оставлять комментарии Вы должны быть авторизованы.

Похожие посты