RC3
İster parmak ucunun kıvrımlarına ve kıvrımlarına, ister benzer şekilde benzersiz tarayıcı bilgilerine bakıyor olun, parmak izi kullanmak, birini tanımlamanın son derece doğru bir yoludur. Bir kişinin bilgisi olmadan parmak izini almak oldukça zor olsa da internet kimliği kullanıcılarının her türlü hizmeti almak için tarayıcılarının “parmak izleri” ile muhtelif ilgi alanları göz önünde bulundurulduğunda değil.
Münih Bundeswehr Üniversitesi’ndeki bir ekip, hangi web sitelerinin tarayıcınızın parmak izlerini topladığını ve bunları nasıl yaptıklarını izlemenizi sağlayan bir tarayıcı uzantısı geliştirdi. Ekip ayrıca ne tür bilgiler topladıklarını görmek için 10.000 popüler web sitesini analiz etti. Ekip üyesi Julian Fietkau’nun Uzaktan Kaos İletişim Kongresi’ndeki (RC3) sunumu, konuyu ve ekibin bu konudaki çalışmasını tartıştı.
Tarayıcı parmak izi nedir?
Tarayıcı parmak izi, bir web sitesinin bir sayfa yüklendiğinde istek üzerine bilgisayarınız ve tarayıcınız hakkında elde edebileceği verilerin bir derlemesidir. Bu parmak izi kullandığınız dilden, bulunduğunuz saat dilimi ile hangi uzantıların yüklü olduğundan tutun, tarayıcınızın sürümüne kadar onlarca veri kırılımı içerir. Ayrıca işletim sisteminiz, RAM, ekran çözünürlüğü, yazı tipi ayarları ve çok daha fazlası hakkında bilgiler barındırabilir.
Web siteleri, sizin için benzersiz bir tanımlayıcı oluşturmak amacıyla bunları kullanarak çeşitli miktarlarda ve türlerde bilgi toplar. Bir tarayıcı parmak izi, benzer şekilde kullanılabilmesine rağmen bir çerez değildir. Ayrıca çerez kullanımına izin vermeniz gerekse de (muhtemelen “sitemiz çerez kullanıyor” bildirimlerini kapatmaktan bıktınız), tarayıcınızın parmak izlerini almak için onay gerekmez.
Dahası Gizli modu kullanmak bile tarayıcınızın parmak izinin alınmasını engellemez. Neredeyse tüm tarayıcı ve cihaz parametreleri aynı kalır ve bunlara göz atan kişinin siz olduğunuzu belirlemek için kullanılabilir.
Tarayıcı parmak izleri nasıl kullanılır ve kötüye kullanımlar nelerdir?
Tarayıcı parmak izinin ilk amacı, bir kullanıcının kimliğini kendi adına herhangi bir çaba harcamadan doğrulamaktır. Örneğin bir banka, tarayıcınızın parmak izinden bir işlemi gerçekleştirenin siz olduğunuzu anlarsa, telefonunuza bir güvenlik kodu göndermeye zahmet etmelerine gerek bile kalmaz. Ancak birisi (siz dahil) farklı bir tarayıcı parmak iziyle hesabınızda oturum açarsa biraz daha olayın üstüne düşebilir. Bu örnekte, tarayıcı parmak izlerinin kullanım deneyiminizi nasıl iyileştirdiğini görmüş oldunuz.
İkinci amaç ise, hedeflenen reklamları göstermektir. Ütülerle ilgili bilgi alacağınız bir web sitesinde bir ürün kılavuzu okuyup, ardından aynı reklam ağını kullanan başka bir web sitesine gittiğinizde, bu ağ size ütü reklamları gösterecektir. Temel olarak bu ağlar sizi izniniz olmadan izliyor ve bir kullanıcı olarak bu uygulamaya yönelik nefret ve şüphe duyulması oldukça anlaşılır durum.
Bununla birlikte, çeşitli reklam ağları ile analiz hizmetlerinden yerleşik bileşenlere sahip birçok web sitesi parmak izlerinizi toplar ve analiz eder.
Bir sitenin tarayıcınızın parmak izini alıp almadığını nasıl anlarsınız?
Web siteleri, bir tarayıcı parmak izini derlemek üzere gerekli bilgileri elde etmek için, tarayıcıya gömülü JavaScript kodu aracılığıyla birkaç istek gönderir. Tarayıcının yanıtlarının toplamı da parmak izini oluşturur.
Fietkau ve meslektaşları, bu tür bir JavaScript koduyla en popüler kitaplıkları analiz ederek, tarayıcı parmak izleriyle çalışmak için en sık kullanılan 115 farklı tekniğin bir listesini derledi. Daha sonra, bu teknikleri kullanıp kullanmadıklarını görmek için web sayfalarını analiz eden ve kullanıcıya belirli bir sitenin bir tarayıcı parmak izini derlemek için tam olarak hangi verileri toplamaya çalıştığını söyleyen FPMON adlı bir tarayıcı uzantısı oluşturdular.
FPMON yüklü kullanıcılar, bir web sitesi tarayıcıdan bu tür bilgileri istediğinde bir bildirim alacaklardır. Ayrıca ekip, bilgi türlerini iki kategoriye ayırdı: hassas ve agresif.
İlk kategori, bir web sitesinin meşru nedenlerle talep edebileceği bilgileri içerir. Örneğin, tarayıcı dilini bilmek bir sitenin tercih ettiğiniz dilde görünmesini sağlar ve size doğru saati göstermek için saat diliminizle ilgili bilgiler gerekir. Ancak, bu bilgi yine de sizin hakkınızda bir şeyler söyleyebilir.
Agresif bilgiler ise siteyle ilgili değildir ve büyük olasılıkla yalnızca tarayıcınızın parmak izini bir araya getirmek amacıyla kullanılır. Örneğin, cihaz belleği durumunu veya tarayıcınızda yüklü olan eklentilerin bir listesini içerebilir.
Siteler, tarayıcı parmak izlerini ne kadar agresif bir şekilde topluyor?
FPMON, 40 tür bilgi için istekleri algılayabilir. Hemen hemen tüm web siteleri, tarayıcı veya cihaz hakkında en azından bazı bilgiler isterler. Peki hangi noktada bir web sitesinin gerçekten parmak izi almaya çalıştığını varsaymalıyız? Hangi noktada endişelenmelisiniz?
Araştırmacılar, tarayıcı parmak izinin nasıl çalıştığını göstermek için oluşturduğu bir grup olan EFF’nin Panopticlick (diğer adıyla Cover Your Tracks) projesi gibi mevcut siteleri kullandılar. Panopticlick’in çalışması için 23 parametre gerekli ve %90’dan fazla güvenilirlikle herhangi bir kullanıcıyı belirleyebiliyor. Fietkau ve ekibi 23 parametreyi minimum değerler olarak baz aldı. Buna göre de aşağı yukarı, bir web sitesinin kullanıcıları izleyip izlemediğini anlayabiliriz.
Araştırmacılar en iyi 10.000 web sitesini incelediler (Alexa tarafından yapılan sıralamaya göre) ve çoğunluğunda (yaklaşık %57’si) tüm örnekleme için 11 parametre ortalamayla, 7 ila 15 parametre isteği buldular. Web sitelerinin yaklaşık %5’i tek bir parametre bile toplamadı ve toplanan maksimum sayı, olası 40’ta 38 idi. Ancak 10.000’den sadece üçü bu kadarını istedi.
Örneklerindeki web siteleri, verileri toplamak için yüzden fazla komut dosyası kullandı ve çok az komut dosyası saldırgan kategoriden çok fazla bilgi toplamasına rağmen, bu komutlar bazı çok popüler sitelerde kullanılıyor.
Parmak izini almaya karşı koruma nasıl sağlanır
İki yaklaşım, web sitesi komut dosyalarının tarayıcınızın parmak izini almasını engelleyebilir; bunları engellemek ve bu dosyalara eksik veya yanlış bilgi vermek. Gizlilik yazılımları bu yöntemlerden birini kullanır. Tarayıcı tarafında, Safari kısa süre önce yalnızca basit, kişisel olmayan bilgiler sağlamaya başladığından kullanıcıları parmak iziyle takip etmekten korumaya aldı.
Bazı kuruluşlar da tarayıcı uzantılarıyla bu alana el atmış oldu. Örneğin, EFF tarafından geliştirilen bir gizlilik eklentisi olan Privacy Badger, hepsi olmasa da bu tarz komut dosyalarını engellemeye çalışır. Örneğin, eklenti, bir sayfanın düzgün görüntülenmesi veya bazı işlevlerinin çalışması için gerekli olabilecek verileri isteyen komut dosyalarını etkilemez (ancak bu, parmak izine de katkıda bulunabilir).
Kaspersky Protection tarayıcı uzantımızda da aynı yaklaşımı kullanıyoruz, web sitelerinin çok fazla kullanıcı bilgisi toplamasını ve dolayısıyla bir parmak izi oluşturmasını engelliyoruz. Kaspersky Protection, ana tüketici güvenlik çözümlerimizin bir parçasıdır. Sadece etkinleştirmeyi unutmamalısınız.
İpuçları