Mit jelent a digitális ujjlenyomatvétel?
Közösségi előterjesztés – Szerző: Anonymous
A számítástechnikában az ujjlenyomatvétel az egyedi azonosítók létrehozásának folyamatát jelenti - mindenféle digitális adat esetében. Amikor azonban bizonyos technikákat az egyes felhasználók vagy gépek azonosítására alkalmazzák, akkor ezeket böngésző- vagy eszköz-ujjlenyomatvételnek nevezzük.
A folyamat lényegében abból áll, hogy információkat gyűjtenek egy okostelefonról, számítógépről vagy más eszközökről. Néha ez úgy is lehetséges, hogy a felhasználó IP-címe rejtve van, vagy böngészőt vált.
A webanalitikai szolgáltatások már évek óta gyűjtik az eszközökre és a böngészőkre vonatkozó információkat, azzal a céllal, hogy mérjék a legitim webes forgalmat és kiszűrjék a potenciális csalásokat. Ma már a fejlettebb megoldások lehetővé teszik a specifikus paraméterek gyűjtését.
A korábbi ujjlenyomatvételi módszerek elsősorban a számítógépekre összpontosultak. A modern technikák azonban ma már szinte bármilyen típusú eszközt azonosítani tudnak, és egyre nagyobb az érdeklődés a növekvő mobilkörnyezet iránt.
Hogyan működik?
Pontosabban, az eszközről való ujjlenyomatvétel során adathalmazokat gyűjtenek össze, amelyeket aztán kombinálnak és átküldenek egy hash-függvényen. Ezután a kimenet (hash-érték) az egyes eszközök (vagy felhasználók) egyedi azonosítójaként szolgálhat.
Az összegyűjtött információkat gyakran nem magán az eszközön, hanem egy adatbázisban tárolják. Míg egy különálló adatpont többnyire általános, addig több adatkészlet kombinációja egyedi lehet.
Az eszközök ujjlenyomatvétele magában foglalhat passzív és aktív módszereket is. Mindkét megközelítés célja az eszköz információinak begyűjtése. Tehát még ha több ezer számítógépen ugyanaz az operációs rendszer fut is, valószínűleg mindegyik a szoftver, a hardver, a böngésző, a bővítmények, a nyelv, az időzóna és az általános beállítások egyedi kombinációjával rendelkezik.
Passzív ujjlenyomatvétel
Ahogy a neve is sugallja, a passzív módszerek kevésbé nyilvánvaló módon, a felhasználó (vagy a távoli rendszer) megkérdezése nélkül gyűjtenek információt. Az adatgyűjtés az egyes eszközök által küldött adatok alapján történik, így a passzív ujjlenyomatok általában kevésbé specifikus információkat (pl. operációs rendszer) szolgáltatnak.
Kifejleszthetünk például egy passzív ujjlenyomatvételi technikát, amely információkat gyűjt a hálózati eszközök, például egy internetes modem vezeték nélküli illesztőprogramjáról. A passzív interakciót különböző típusú illesztőprogramokon lehetne vizsgálni, anélkül, hogy az eszközök részéről bármilyen cselekvést igényelne. Magyarul a különböző eszközök különböző módszereket alkalmaznak a lehetséges kapcsolatok (hozzáférési pontok) keresésére. Tehát ezeket a különbségeket egy támadó felhasználhatja arra, hogy pontosan azonosítsa, melyik illesztőprogramot melyik kiszemelt eszköz használja.
Aktív ujjlenyomatvétel
Másrészt az aktív ujjlenyomatvétel aktív hálózati kommunikációra támaszkodik, ami az ügyféloldalon felismerhetőbbé teszi őket. Egyes weboldalak JavaScript kódot futtatnak, hogy információkat gyűjtsenek a felhasználó eszközeiről és böngészőiről. Ez magában foglalhatja az ablakméretet, a betűtípusokat, a bővítményeket, a nyelvi beállításokat, az időzónát és még a hardverrel kapcsolatos részleteket is.
Az aktív technikára figyelemre méltó példa a vásznas ujjlenyomatvétel, amelyet számítógépeken és mobileszközökön egyaránt használnak. Gyakran egy olyan szkriptre támaszkodik, amely kölcsönhatásba lép a HTML5 weboldal vásznával (grafikus elemével). A szkript utasítja a vásznat, hogy rajzoljon egy rejtett képet a képernyőre, majd rögzíti a képen megjelenített információkat, például a képernyő felbontását, a betűtípusokat és a háttérszínt.
Mire használják?
Az eszköz-ujjlenyomatvételi módszerek lehetővé teszik a hirdetők számára, hogy több böngészőben is nyomon kövessék a fogyasztók viselkedését. Azt is lehetővé teszik a bankok számára, hogy azonosítsák, hogy egy kérés megbízható eszközről vagy olyan rendszerből érkezik-e, amelyhez korábban csalárd tevékenységet társítottak.
Ezen kívül az eszköz-ujjlenyomatok segítségével a webhelyek megakadályozhatják a többszörös fiókregisztrációkat, vagy egy keresőmotor megjelölheti a gyanús viselkedést tanúsító eszközöket.
A készülék ujjlenyomatai jól jöhetnek a személyazonossággal való visszaélések vagy hitelkártyacsalások felderítésében és megelőzésében. Ezek a technikák azonban veszélyeztetik a felhasználók adatait, és a megvalósítástól függően az adatgyűjtés észrevétlenül is megtörténhet - különösen a passzív ujjlenyomatvétel esetében.
Mik a korlátai?
Az aktív ujjlenyomatvétel esetében az adatgyűjtés a szkriptnyelvek, például a JavaScript elérhetőségére támaszkodik. Az adatvédelmi szoftvert vagy bővítményeket futtató mobileszközök és felhasználók valószínűleg korlátozott szkriptelérhetőséggel rendelkeznek, ami megnehezíti az azonosításukat. Ez magában foglalja a nyomkövetőket és hirdetéseket blokkoló böngészőbővítmények használatát.
Bizonyos helyzetekben azonban az adatvédelemre összpontosító felhasználók könnyebben azonosíthatók. Például, amikor kevésbé ismert szoftvereket és bővítményeket használnak olyan különleges beállításokkal együtt, amelyek ironikus módon még megkülönböztethetőbbé teszik őket.
Az ujjlenyomatvétel hatékonyságát az ügyféloldalon tapasztalható nagy eltérések is korlátozhatják. Azok a felhasználók, akik folyamatosan változtatják beállításaikat, vagy több virtuális operációs rendszert használnak, pontatlanságot okozhatnak az adatgyűjtésben.
A különböző böngészők használata szintén következetlenségeket okozhat az információgyűjtés folyamatában, de a modern, böngészők közötti ujjlenyomatvételi technikák segítségével megkerülhetők az ilyen akadályok.
Záró gondolatok
Az eszköz-ujjlenyomatvételi technikának számos megvalósítási és használati módja van. Így az adatgyűjtés és egy különálló forrás azonosításának hatékonysága módszerenként eltérő lehet.
Akár önmagában, akár más módszerekkel kombinálva az eszköz-ujjlenyomatvétel hatékony eszköz lehet a felhasználói szokások nyomon követésére és a felhasználók azonosítására. Mint ilyen, ez a hatékony technika törvényes és kétes tevékenységekre egyaránt használható, így az alapvető mechanizmusok megismerése mindenképpen jó kiindulópont.