Çerezler birçok web sitesinin ziyaretçilerine daha iyi hizmet sunabilmesi adına yardımcı olan küçük veri parçaları yani web tanımlama bilgileridir. Ancak bu küçük parçaları bir araya getirdiğinizde geride bırakmış olduğumuz izler korkutucu bir kabusa dönüşebilir!
Kullanıcıların tarayıcılarında oluşturulan çerezler gelişen teknoloji ile çok daha farklı ve geniş bir kullanım alanına yayıldı. Reklam şirketlerinden istihbarat örgütlerine kadar birçok noktada bu çerezlerin kullanılabileceğine şahit olduğumuz bir dünyaya doğru eviriliyoruz.
Bizler tarayıcılarımız ile veri üretirken IOT teknolojileri de internet üzerinde iletişim kurarak veri üretmeye ve ayak izleri bırakmaya başladı. Peki ürettiğimiz bu verilerin yanı sıra zararsız olarak gördüğümüz çerez adı verilen veri parçacıkları ile hangi bilgilere ulaşılabilir?
Kullanıcıların siber uzayda bıraktıkları ayak izleri ile fiziksel dünyanın ifşa olması artık an meselesi oldu. İnternet kullanıcılarına yeni bir çağın başladığını, gizlilik konusundaki tartışmaları daha sık görebileceğimiz bir çağa doğru adım attığımızı göstermek istiyoruz.
Çerez Kullanımı ve Parmak İziniz
Çerezler ilk zamanlarından beri insanlar için tartışma konusu olmuştur. İnsanların sörf yapma alışkanlıklarını izlemek, profillenmek; gözümüzde büyüttüğümüz bazense paranoyak senaryolar kurduğumuz olayları da beraberinde getirmiştir.
Çerezlerin asıl amacı internetin ilk zamanlarından beri birer tanımlama bilgisi üzerine kuruludur. Yani sizi tanımak, oturumunuzu açık tutmak ve alışkanlıklarınıza göre doğru öneriler sunmakla başlamıştır. Ardından reklamcıların ve pazarlama dünyasının ilgisini çekmiş ve daha hedefli reklamlar ile ürün satışlarını artırmak için kullanılan pazarlama yöntemlerini beraberinde getirmiştir.
Çerezlerin kullanımında biz tüketicilerin her zaman bir avantajı vardı. Çerezleri istediğimiz zaman silebilmemiz. Diğer bir yandan bir pazarlama uzmanı için hedef kitle en önemli unsurlardan biridir. Doğru hedef kitleye doğru ürün veya hizmetin reklamını çıkartmak her zaman başarılı sonuçlar verir.
Kullanılan pazarlama araçları ve takip sistemleri gelişince tarayıcılar bu durumun bir güvenlik riski yarattığını öngörerek belirli sürelerde çerezlerin otomatik silinebilmesine olanak sağladılar.
Pazarlama dünyası için bu durum en büyük sıkıntılardan biriydi. Sonrasında profillenme ile karşılaştık. Artık silinebilir çerezlerin yanı sıra, silinemeyen profillerle hedeflenmeye başladık. İşte parmak iziniz de burada devreye giriyor. Alışkanlıklarınız, ilgi alanlarınız ve hareketleriniz ile sisteminiz yani bağlantı kurduğunuz bilgisayarın donanım ve yazılım özellikleri tekilleşmemize olanak sağladı.
Bu noktada profil oluşturduğunuzda, kullanıcı çerezleri silinse dahi, elinizin altında birer parmak izi görevi gören profiller kalıyor. Bu sayede ziyaretçiyi tanıyabiliyor ve yeniden hedefleyebiliyorsunuz.
Pazarlama dünyasındaki büyük oyuncular bu yeni teoriyi test etmeye başladılar. Verizon Wireless gibi mobil operatörler kullanıcılarının mobil cihazlarında kalıcı tanımlama bilgileri deneyerek başarılı oldular.
Tarayıcınız ve Parmak İzleriniz
Web sitelerinin ziyaretçi tanımlaması için bilgisayarlarımıza birer tanımlama bilgisi eklemesi çok doğal bir davranış. Aksi takdirde sürekli oturum açmak, sayfada dolaşırken bir kere parola girmek yerine onlarca kez tekrar tekrar parola girmek insanları bıktıracak ve kullanılabilir olmaktan çıkacaktır.
Web siteleri kullanılabilirlik kavramını net olarak ortaya koymak ve iyi bir kullanıcı deneyimi sağlamak için bazı veri paketlerini tarayıcımıza kayıt ederek bu gibi olumsuz durumların önüne geçmektedir. Bu veri paketlerini çerez olarak tanımlıyoruz.
Bu veri paketlerinin yanı sıra artık tarayıcılarımız üzerinde bazı işlevler yapan ve karşı sunuculara bu işlevlerin cevabını ileten teknolojiler de kullanıyoruz. Elbette bu noktada HTML5 devreye giriyor.
Artık web siteleri bizleri tanımlamak için çerezlerle birlikte parmak izleri, yani benzersiz kodlar da kullanabilir bir hale geldi. Genel olarak HTML5’in <canvas> özelliği kullanılıyor. Javascriptlerle de karşı sunuculara bu bilgiler aktarılabiliyor. Kullanıcıyı tanımlamanın farklı bir yolu olduğu için çerezler silinse dahi, bir şekilde eşleştirme yapılarak ziyaretçiyi profilinden ortaya çıkartabiliyorlar.
Bu durum 2012 yılında Keaton Mowery ve Hovav Shacham’ın yayınladığı bir makale ile duyuruldu. Ardından da AddThis gibi milyonlarca kullanıcıya ulaşan servisleri üzerinde kullancılarından habersiz olarak bu denemeleri yaptıklarını görmeye başladık.
Plenty of Fish, Ligatus, AddThis, WhiteHouse.gov, CBS.com…
Elbette ki profillendiğimizi ortaya çıkartan araştırmacılar sayesinde bu durumu öğrendik. Bu sayfaların çoğunluğu halka açıklama yapmak zorunda kaldılar. Bu denemelerin test olduğunu ve ardından bilgilerin silindiğini açıkladılar.
Parmak İziniz Nasıl Oluşturuluyor?
Bir web sayfasını ziyaret ettiğiniz zaman metinler, resimler ve ses dosyaları gibi medyaların ve verilerin nasıl işlendiğini analiz ederek, bilgisayarınız hakkında aşağıdaki gibi bazı bilgiler toplanır.
- İşletim Sistemi
- Donanım Yapılandırılması
- Ekran Kartınız
- Tarayıcınız
- Yüklü Yazı Tipleriniz
- Yüklü Eklendiler…
Dikkat ederseniz yukarıdaki bilgilerin hiçbirinde kişisel veri yok! Ancak bu veriler o kadar çok dallanıp, budaklandı ki, kurmuş olduğunuz yazılımlardan, kullandığınız sisteme kadar bir araya getirildiğinde sizi tanımlamak çok daha kolay bir hale geldi.
AB’nin Gizlilik ve Elektronik İletişim Direktifindeki izin kurallarının cihaz parmak izi ve diğer çerezlere alternatif teknolojiler için geçerli olduğunu da doğruladı. İnternet gizliliği kişisel verilerimizin korunması gibi AB yasalarının da aslında bu agresif izleme teknolojilerinden korumada temel olarak etkisiz olduğunu kanıtlamış oldu.
Parmak izleri kişisel verileri oluşturabilir; bu nedenle bu bilgilerin işlenmesi veri koruma kanunlarına tabidir. Web sitesi yöneticilerinin, toplanan verilerin nasıl kullanıldığı hakkında açık ve kapsamlı bilgiler vermesi ve bilgileri hedeflenen reklamcılık için kullanmak amacıyla kullanıcıların onayını alması gerekir. Ancak web sitesi yöneticilerinin karşınıza çıkarttığı “devre dışı bırak” butonlarının gerçekten de devre dışı bıraktığına inanıyor musunuz? Bu onların inisiyatifinde…
Parmak izi verileri elbette izin alınmadan kullanılabilir. Yalnızca kullanıcı ara yüzünü cihaza uyarlamak için, kullanıcı tarafından açıkça talep edilen bir hizmetin sağlanması için veya hizmetlere yetkisiz erişimi önlemek için bir güvenlik kontrolü olarak kullanılır. Ancak, hizmetlere erişim sağlamak, kullanılan kimliği doğrulamak için daha geniş bir mekanizmanın parçası olarak parmak izini kullanabilirler. İşte bu noktada biz kullanıcının iznini almaları gerekiyor.
Yetkisiz erişimden kastımızı da şöyle açıklayabiliriz. Bir eğitim platformusunuz, online eğitim veriyorsunuz ve sınav yapıyorsunuz. Sınavda parmak izini kullanarak kopya ve benzeri durumların önüne geçebilirsiniz. Ya da XFlix.com gibi bir platform olduğunuzu varsayalım, güvenlik gerektirdiği gibi, kötüye kullanımı da engellemek için kullanabilirsiniz. Bu gayet doğal bir davranıştır.
Zombi Çerezler
Çerezleri kapattınız, gizli bir sekmede geziyorsunuz? Her hareketinizin takip edilemeyeceğini ve güvende olduğunu düşünenlerden misiniz? Yanıldınız! Modern ve yeni teknolojilerle oluşturulan web siteleri marketing dünyası ile birleştiğinde yenilikçi teknikleri kullanıyorlar. Xflix gibi platformların büyük bir kısmının hayata geçirmemiş olsa dahi, bu konuyu ciddi ciddi de düşündüklerini varsayabilirsiniz.
İşin bir de pis tarafı olduğunu hatırlatmak isterim. Aynı çalışma farklı işlemler için de kullanılabilir. Aslında bir nevi silinemeyen çerezler olduğunu düşünün! Çerez senkronizasyonu yaparak kimliği tespit edilen kişilerin tarayıcılarında tekrardan çerez oluşturulabilir ve her silme işleminden sonra yeniden oluşturularak devam ettirilebilir. Genelde Evercookie adı verilen bir Javascript ile oluşturulduğunu da not olarak belirtelim.
Bu çerezler, kullanıcı sildiği zaman yeniden oluşturulmak için hazırlanmıştır. Bir yedekleri vardır ve Evercookie çerezlerin silindiğini tespit ettiğinde yedekten tekrar geri döndürür. Literatürde bu duruma zombi çerezler adı verilir.
Gizlilik ve Çerezler
Bir web sitesinin tarayıcınıza çerez bırakması, tüm bilgilerinizi verdiğiniz manasına da gelmez. Bırakılan çerezler genel olarak ziyaretçiyi tanımlamak için kullanılır. Diğer bir yandan reklam şirketleri için kullanılan çerezler ise alışkanlıklarınızı öğrenmek, hedefli reklamlar kullanmak ve benzeri amaçlar için kullanılabiliyor.
Elbette ki çerezleri engelleyebilir veya tarayıcınızda saklanan çerezleri silebilirsiniz. Hatta bazı tarayıcılar varsayılan olarak bu çerezleri engelleyebiliyor.
Tarayıcı ayarlarınızı açıp, tüm çerezleri devre dışı bırakmasını da isteyebilirsiniz. Elbette hatırlatmak isterim bazı web siteleri çerezleri devre dışı bıraktığınızda sayfaları doğru görüntülenmez ve size hata verebilir. Diğer bir yandan bazı sayfalar her seferinde yani her işlem yaptığınızda sizden tekrar tekrar oturum açmanızı isteyecektir. Doğal olarak bir süre sonra vazgeçip tekrar aktif etmek zorunda kalabilirsiniz.
Dijital Parmak İziniz!
Konuyu bir adım daha öteye taşıyalım. Ürettiğimiz bu küçük veri parçacıkları ile takip edilebilir mi, profillerimiz çıkartılabilir mi? Bu sorulara içinde bulunduğumuz çağ ve şu an hali hazırda kullanılan teknolojilerle “elbette ki evet” şeklinde cevap verilebilir.
Düne kadar ziyaretçilerini tanımak veya reklam yapmak için yazılım uzmanları tarafından üretilen bu küçük kod parçaları bugün sunucuların üzerinde büyük veriler oluşturduğu gibi, pazarlama ve satış gibi sektörlerin olmazsa olmazları haline geldi.
Devletler, Örgütler, İstihbarat uzmanları
Soruyu şu şekilde soralım ve cevabını sorgulayalım. Karşı sunucuya giden ve zararsızmış gibi görülen bu veri parçacıkları ile neler yapılabilir?
Bu küçük kod parçacıkları arasında…
- Tarayıcı dili,
- Java versiyonunuz
- Sisteminizde yüklü olan fontlar
- Ekran çözünürlüğünüz
- Donanım yapılandırmanız
- İşletim sisteminiz, versiyonu
- Tarayıcınız ve sürüm bilgisi
- MAC adresiniz!
Gibi birçok bilgiyi barındırıyor. MAC adresinizi eşleştirdi ve daha önce sizin hakkınızda toplamış olduğu tüm bilgiler için profilinizi tekrar aktif etti! Hatta VPN dahi kullansanız bu bilgiler karşı taraftaki sunuculara rahatlıkla aktarılabiliyor.
Hani arada internette şöyle paylaşımlar yaparlar ya… “Telefonumu sıfırdan kurdum, bilgisayarı formatlarım iki dakka sonra çat karşıma gelen reklam… Telefonumuzu dinliyorlar! Kameramızı açıyorlar!”
Ne telefonunuzu dinliyor ne de kameranızı açıyorlar. Sadece bağlandığınız Sizin o silmiş olduğunuz çerezler, sıfırladığınız işletim sistemleri ile kıyasladı ve eşleştirdiler.
Diğer bir soru ile devam edelim; xFlix hangi tarayıcıdan ve hangi lokasyondan oturum açtığınızı nasıl biliyor?
Profilleriniz
Beni profilleyebilirler mi? Maalesef ki bu sorunun cevabı da evet! Bu bilgiler sayesinde kimliğinizi deşifre etmek artık mümkün bir hale geldi. Kullandığınız işletim ve donanım sisteminden, kurduğunuz yazılımlara kadar birçok bilgiye sahipler. Bu bilgiler ne kadar spesifikse tespit edilmeniz de o kadar kolay bir hale geliyor.
Birkaç bilgi kırıntısı ile bütüne gitmek zordur. Ancak birçok bilgi kırıntısını bir araya getirdiğinizde özellikle de MAC adresiniz karşı tarafa gidiyorsa tespit edilmekten bir adım öteye geçerek profillendiğinizi rahatlıkla söyleyebiliriz.
Tarayıcınız üzerinden alınan bu tanımlayıcı bilgi kırıntıları artık çok fazla ve spesifik bilgiler barındırır hale geldi. Çok fazla ekran çözünürlüğü var, çok fazla donanım çeşidi var, çok fazla davranış şekli var ve çok fazla sürüm var. Bu bilgileri bir araya getirdiğinizde kişilerin tanımlama verileri milyonlarca kişi içerisinde birkaç olasılığa kadar düşebiliyor.
Yani tarayıcı içerisindeki çerez olarak adlandırdığımız bilgileri temizlesek dahi tarayıcı versiyonu, işletim sistemi ve versiyonu, Java versiyonu, donanım bilgileri, ekran çözünürlüğü, kullandığınız fontlar ve diğer birçok bilgi karşı sunucularda depolanarak karşılaştırma yapılabiliyor.
Sonuçta yakayı bir güzel ele verebiliyorsunuz! O kadar çok alternatif var ki, sizinle aynı sistemi aynı davranış koşulları içerisinde kullanan ikinci bir kişi yok! Doğal olarak tertemiz bir tarayıcıdan bir web sunucusuna bağlansanız dahi, karşılaştırma yapılarak kimliğiniz ortaya çıkartılabiliyor. Yani çerezleri sildiniz ancak kullandığınız yazılımlar ve donanımlar aynı olduğu için tespit ediliyorsunuz.
Tarayıcı izleri (Browser FingerPrint) konusunda kullanıcıların dikkatli olmasını gerektiğinin altını çizmek gerekiyor!
Kullandığınız tarayıcı ile karşı sunuculara gönderdiğiniz bilgileri test etmek için panopticlick.eff.org veya amiunique.org adresine göz atabilirsiniz. Bu adreslerden birine girerek hangi bilgilerin alınabildiğine ufak bir göz atmak yerinde olacaktır.
Kendi test sistemimde amiunique.org adresi üzerinden bir çalışma başlatarak aşağıdaki gibi bilgilere ulaştım.
“Yes! You are unique among the 2.994.597 fingerprints in our entire dataset.”
Evet, kullanmış olduğum sistem ve uygulamalar sayesinde çerezlerim üzerinden alınan bilgi bir parmak izine dönüştürüldü.
Sonuç olarak bu site üzerinden tarama yapılan 2.994.597 tarayıcı izi arasında benzersiz bir halde olduğum ortaya çıktı!
Parmak İzi Bilgileri
Bir web sitesine her bağlandığınızda cihazınız çeşitli HTTP başlıklarını içeren bir istek gönderir. Bu başlıklar, cihazınızın dili ve güvenlik ayarları, çerezler ve yönlendiren URL gibi bilgileri içerir. Başlık ölçümleri, varsayılan olarak tarayıcınız tarafından iletilir. Bu teknolojiye üst bilgi ölçümleri adı verilir.
Tarayıcınızda yaptığınız benzersiz özellikler veya değişiklikleri içeren teknoloji ise tarayıcı ölçümleri adıyla karşımıza geliyor.
Parmak izi komut dosyası çalıştıran ve cihazınızın diğer kullanıcıların cihazlarına kıyasla grafikleri nasıl oluşturduğunu karşılaştıran bir izleyicinin son ürünü Parmak İzi olarak karşımıza geliyor.
Donanım ölçümleri ise cihazınızın kalıcı donanım özellikleri yani donanım değiştirmediğiniz sürece sabittir!
Kullandığım test sistemi ile internette sörf yaparken bıraktığım izleri amiunique.org üzerinden çıkarttım ve aşağıdaki gibi sıralıyorum. Kırmızı renkli ifadeler teste katılanlar arasındaki benzerlik oranımı gösteriyor. Benzerlik ne kadar düşükse o kadar fazla tekilleştiğimi görmektesiniz.
If none match Unique W/”a54-jKmbFlqw/mQqYWwDQBZ1tKIc”
Yapmış olduğum testte tarayıcım üzerinden birçok bilgi çekildi ve sonuç olarak teste giren 2.994.597 tarayıcı arasında benzersiz bir ayak izine sahip olduğumu söylüyor! Bunun manası tarayıcımla bırakmış olduğum izler bir parmak izinden farksız ve tekilleşmiş durumdayım! Yani tarayıcımdaki bu çerezleri silsem de dahi, Xflix.com Hamza’nın geldiğini anlayabiliyor!
Parmak İzini Değiştirebilir miyiz?
Parmak izinizin tek bir veya birkaç öğesini değiştirmeye çalışmak maalesef ki kimliğinizi gizlemeye yaramıyor! Herhangi bir ölçüt için en yaygın sonucu kullanmaya çalışmak da bir işe yaramayacaktır. Çünkü birçok verinin tek bir noktada birleştiğini görüyoruz.
Yaygın kullanıldığı için Opera yerine tarayıcımızı herkesin kullanmış olduğu Chrome ile değiştirebiliriz. Böylelikle kalabalığa karışacağınızı da düşünebilirsiniz. Bu durumun anonimliğinizi artıracağını ve diğer milyonlarca Chrome kullanıcısı arasında kişiselleştirilmiş parmak izinizi gizleyeceğini düşünebilirsiniz.
Ancak daha da tanımlanabilir hale geleceksiniz. Karanlıktaki bir ışık kaynağı gibi parlayacak ve ortaya çıkacaksınız. Çünkü bırakmış olduğunuz diğer izler tekil ve arada tek bir değer değiştirdiğinizde sırıtmanıza neden olacaktır.
Daha yaygın bir ölçüt seçmek birini nasıl oluyor da daha fazla öne çıkarabilir?
Çünkü diğer ölçümlerle birlikte düşünüldüğünde, tarayıcınız bir donanım ve yazılım profili, yazı tipleri, ekran boyutu ve renk derinliği ile bir iOS cihazını gösteren platform dizesine sahip. Bu bilgiyi değiştirdiğiniz zaman IOS bilgileri ile, Windows üzerinde Chrome kullanıcısına sahip tek tarayıcı olacaktır.
Devam edelim? Peki başka ne tür izler bırakıyoruz?
Yukarıdaki bilgilerin tamamı, bir web sitesini ziyaret ettiğinizde sunucusuna kayıt ediliyor! Bakın sadece girdiniz ve bir saniye sonra çıktınız. Oturum dahi açmadınız… Peki bu kadar veriyi bir araya getirdiğinizde bir profiliniz oluşuyor mu?
Evet Kesinlikle! Artık sizi diğer kullanıcılardan ayıran, bir parmak izi gibi bıraktığınız izler var! Üstelik milyonlarca kişi arasında bu veriyi eşleştirdiğinizde başka bir kopya ortaya çıkmıyor. Alınan bilgiler arasında sistem belleği, bataryanın şarj olup olmadığı, ses kartı özellikleri, Chrome status barın açık olup olmadığı, menüsü, favorilerin açık olup olmadığına kadar birçok şey var.
Duckduckgo da dahil ne kullanırsanız kullanın, bir kere karşı sunucuya bu bilgiyi verdiyseniz. Artık bir profiliniz var demektir ve bu profil benzersiz…
Çerezlerde Geçmişe Dönelim!
Bilgisayar ve internet tarihine baktığımız zaman Web üzerindeki ziyaretçilerin hareketlerini izleme teknikleri internetin ilk zamanlarına dayanır. Tarayıcınızı benzersiz bir şekilde taramak için internetin ilk zamanlarında küçük http mesajlarındaki etiketler kullanılırdı. Elbette ki bu kadar gelişmiş bir teknoloji yoktu ve çözünürlükler sınırlı, sürümler sınırlı, işletim sistemleri hatta donanımlar dahi çok sınırlıydı.
Günler, aylar ve yıllar geçti. Artık milyonlarca farklı donanım, binlerce farklı sürüm, onlarca işletim sistemi ve yüzlerce farklı sürümü var. Doğal olarak tarayıcılardan alınan bu verilerle oluşturulan kurabiyeler, çerezler çok spesifik ve benzersiz bir hale geldi. Ancak tarayıcılarınızdaki bu bilgiler birkaç tıklama ile rahatlıkla silinebilir.
HTML5 Canvas özelliği ile tarayıcıma WebGL üzerinden aşağıdaki gibi bir şekil çizdirildi ve aşağıdaki fontlarla yazı kodlandı.
Çizdirilen şekil bugüne kadar test yapılan 3 milyona yakın tarayıcının yalnızca %3,4’ü ile aynı! Bu ekran kartımın gücünü ve kalitesini ortaya çıkarıyor.
Fontlara baktığımız zaman durum daha da vahim! Yalnızca ve yalnızca test yapanlar arasında %1,13’lük dilime girebiliyorum.
Peki pazarlamacıları, satışçıları ya da büyük şirketleri büyük hizmet sağlayıcıları, Xflix’i bu engelleyebilir mi?
Hayır! Çünkü tekil bir iz bırakıyorum. Bu da benim parmak izim haline geliyor.
Parmak izi konusundaki ilk ciddi çalışma 2010 yılında “How unique is your web browser?” adıyla EFF tarafından yapılmıştır.
Tarayıcıların Ötesi Parmak İzlerimiz!
AddThis’i kullanmışsınızdır. AddThis, bir web widget’ı kullanılarak bir web sitesine entegre edilebilen sosyal yer imi servisidir. Widget eklendiğinde, web sitesini ziyaret edenler Facebook, MySpace, Google,, Pinterest ve Twitter gibi çeşitli hizmetleri kullanarak bir öğeye yer işareti koyabilir veya paylaşabilir.
İnternet sitesi yapanlar ise sıklıkla kullanıyor. Blogger arkadaşların da sıkça kullandığını görüyoruz. Adam size hazır paylaşım butonları veriyor. Alın ücretsiz özelleştirin ve kullanın. AddThis’in kodu milyonlarca web sitesinde kullanılıyor. Doğal olarak onlar da bir kişisel ve izleyicisi teknolojisi kullandıklarında çerezler üzerinden bilgi topluyorlar.
Şubat / Temmuz 2014 arasında AddThis bir parmak izi tekniği için canlı bir test ortamı sundu ve bir deneme yapıldı.
Toplanan bilgilerle acaba kişileri tanımlayabilir miyiz? Şeklinde bir tez ortaya atılmıştı. Kodu kullanan milyonlarca kişi üzerinden bu test gerçek ortamda ve habersizce yapıldı.
HTML 5’in <canvas> element özelliği kullanılarak Javascript ile yazılmış animasyon ve resimleri oluşturmak için küçük bir kod parçası bu paylaşım uygulamasına eklendi. Uygulama tarayıcıların üzerinde T harfi oluşturuyordu. Aslında oluşturmaktan çok tarayıcınıza bir çizim yüzeyinde boyama görevi verilmişti.
Yukarıdaki testte benim tarayıcımda üçgene benzer bir şekil oluşturulmuştu. Bu testte ise T harfi çizdiriliyor.
Bu işi işletim sisteminin donanım ivmesi GPU’su yerine getiriyordu. Doğal olarak farklı donanımlarda, farklı işletim sistemlerinde farklı sonuçlar elde edeceklerdi. Tarayıcının bilgisayar donanımını kullanarak bir T harfi çizmesi sağlandı.
Bu testin dayandığı nokta ise 2012 yılında Keaton Mowery ve Hovav Shacham’ın araştırmasıydı. Pixel Perfect HTML5 Parmak İzi araştırması makalesini inceleyebilirsiniz.
… <canvas> modern tarayıcılarda metin ve WebGL sahne oluşturma davranışıdır. Sistemlerde parmak izi oluşturur. Oluşturulan parmak izi tutarlı, yüksek entropili, diğer parmak izlerine göre şeffaf ve kolayca elde edilebilir.
Dikkat çekici nokta ise bu işlemi yapan GPU yani grafik kartları arasındaki farklardı. Çok basit işlemlerde bile farklılık ortaya koyuyorlardı.
30 yıllık bir yazı tipi olan Arial bile işletim sistemi, tarayıcılar, ekran kartlarına bağlı bir şekilde çizim alanında farklı ve ilginç sonuçlar veriyordu. Toplanan 300 örnekte 50 farklı oluşturma biçimine ulaşılmıştı.
Elbette ki işlemin sonunda bu görseli sayısallaştırmak ve sonucu almak gerekiyordu. Bunun için tuval üzerinde oluşturulan görsel için base64 veri dizisine çevirme işlemi (toDataURL) yapıldı.
Gerçek Hayatta Parmak İzi
Mowery ve Shacham bunun mümkün olduğunu, gerçek dünyada kullanılmakta olduğunu göstermemişlerdi. 2014 yılında, Princeton ve Leuven Üniversitesi’nden bir grup araştırmacı, tuval parmak izinin gerçek ortamda kullanılıp kullanılmadığını görmek için yola çıktılar.
En popüler 100.000 web sitesinin ana sayfalarını taradılar ve 20 farklı tuval parmak izi uygulaması buldular.
Bunlardan dokuzu, tek bir siteye özgü, standart uygulamalar gibi görünürken, 11 tanesi bir dizi sitede paylaşılan üçüncü taraf komut dosyalarıydı.
Ancak buldukları sitelerin aslan payı, tuval parmak izi kullanan 5.542 benzersiz sitenin % 95’i AddThis tarafından sağlanan kodu kullanıyordu. Ne site sahiplerinin ne de kullanıcıların bir AddThis test yatağının parçası olduklarının farkında değildiler.
Araştırmacıların bulduğu AddThis kodu, sosyal medya paylaşım işlevselliği sağlamaktı ve onunla birlikte verilen parmak izi kodu, müşterileri tarafından değil, AddThis tarafından kendi amaçları için kullanılıyordu.
Araştırmanın sonuçları Temmuz 2014’te The Web Never Forgets adlı bir makalede yayınlandı ve bilgisayar güvenliği basınında biraz karışıklığa neden oldu. Mutlu ve dikkate değer bir tesadüfle, altı aylık “tarayıcı tanımlama bilgilerine alternatifleri değerlendirmek için ön girişim” tam da aynı anda sona erdi.
AddThis, testi bitirdikten kısa bir süre sonra bir blog gönderisinde net bir şekilde dile getirdi ve kullanıcılara gizliliklerinin korunduğundan emin olmak için bilgi verdi.
… bu veriler asla kişiselleştirme veya hedefli reklamcılık için kullanılmadı.
… bireyleri tanımlamıyoruz
… verilerimiz üzerinde her hareket ettiğimizde kullanıcı devre dışı bırakma tercihlerine saygı gösteriyoruz.
… sektör standartlarına bağlıyız ve NAI ve DAA üyeliğimizle uyumlu bir devre dışı bırakma sürecimiz var.
…bu test sırasında devre dışı bırakma politikamıza saygı duyduk ve veriler yalnızca dahili araştırma için kullanıldı.
Yorumlarda, AddThis’ten bir temsilci, testin bir vicdan meselesi veya hatta hasar sınırlaması meselesi olarak değil, çok iyi çalışmadığı için tamamlandığını ortaya koydu.
…kimlik gerçekten iyi olsaydı, tamamen yeni bir soruşturma başlatırdık
…ama sonuçlar göz önüne alındığında, projeyi durduruyoruz.
…diğer birçok şirket çerez alternatifleri üzerinde çalışıyor ve bu yaklaşımın işe yarayıp yaramadığını görmek istedik.
Kurabiye Casusları!
Sorun, bu bilgilerin paylaşılmasıyla da ortaya çıkıyor. Yani sadece kendilerine almıyor, bu bilgileri satıyor veya paylaşabiliyorlar. Bu bilgiler genellikle veri analizi firmalarıyla veya hedefli pazarlama kampanyaları tasarlayanlarla paylaşılmaktadır.
Mesela çocuğunuza bir bebek arabası alacaksınız ve bir mağazayı ziyaret ettiniz. Aradan birkaç saat geçtikten sonra Facebook üzerinde bebek arabası reklamı görmeniz artık çok doğal ve kolay bir hale geldi. Şaşırmanıza gerek yok, sizi takip ettikleri falan da yok. Yalnızca çerezlerinizi kullanıyorlar. Reklamlar tercih ve ilgi alanlarınıza dayalı olarak karşınıza çıkıyor.
Çerezler güvenli olsa da bilgisayarınıza kötü amaçlı yazılım bulaştırmasa da, toplanan verilerin kimin elinde bittiği veya nerede depolandığı veya kiminle paylaşıldığı her zaman net değildir. Londra’da Queen Mary Üniversitesi’nde bir araştırma ekibi yaptıkları bir çalışmada bu konuya yer verdiler. Dünyanın dört bir tarafındaki internet kullanıcılarının nerede olduğu hakkında analizler çıkardılar.
Yapılan araştırmada kullanıcı tarayıcılarındaki çerezleri kimin kullandığına odaklanıldı. Yani çerezler nereye gidiyor ve hangi firmalar kullanıyor sorusu üzerinden başlanmıştı.
Bu tezle 28 ülkede en popüler 500 internet sayfası incelemeye alındı. Sonuçlara bakıldığında aşağıdaki gibi bir harita ortaya çıktı.
Avrupa, Güney Amerika ve Okyanusya’da kullanıcı verilerine erişen yerel şirket sayısı oldukça benzerken, Türkiye ve İsrail’de sayının arttığı gözlemlendi. Gözetmenlerin kökeninin çoğu Rusya veya Almanya’dan geldiği ortaya çıktı. Avrupa’da ülkemizdeki kadar casus çerez olmadığı iddia edildi.
Google ve Çerezler
Google 2019 yılında bir duyuru yaparak çevrimiçi pazarlamacıların ve reklam verenlerin web’de izlemesini zorlaştıracak yeni bir girişimin duyurusunu yaptı. Google’ın Chrome’daki çerezlerin çalışma şeklini değiştirme ve kullanıcıların izlemeyi engellemesini kolaylaştırma planları olduğunu gördük.
Yani anonimliğimizi kaybetmeden sörf yapabileceğiz ve kontrolüm bizde olacağı önerileri hayata geçireceklerini bildirdiler. Buna da “Gizlilik Korumalı Alan” adı verildi. Google güvenlik konusunda önemli kurumlardan biridir ve çok ciddi araştırmalar yaptıklarını görüyoruz.
Her ne kadar online reklam dünyasının lideri de olsa bu konuda kullanıcılarına yardımcı olacaklarını açıkça belirttiler. Bilgisayarlarınızı benzersiz bir şekilde tanımlanabilir hale getiren parmak izi teknolojilerini önlemek için bu fikir ortaya atıldı. Bazı tarayıcılar bu konuyu engelleme üzerine kurgularken Google kontrolün bizlerde olacağı bir sistem önerecekti. Sonuçta kendisi de bir reklam şirketi ve kısıtlama uygulamalarından dolayı yani çerezlerin silinmesi ve engellenmesi ile yayıncı gelirlerinin %52’sinin kaybedildiğini ortaya koyuyorlar. Doğal olarak direk engellemek yerine kontrolün tüketicide olduğu daha gevşek bir mekanizma sunacaklar.
Yalnız Google’ın kendi sitelerine Chrome tarayıcısından giriş yaptığınızda sizden bağımsız ve çerezlerden hariç olarak X-Client-Data adında bir değer yolladığını da yani sizi tanımladığının da altını çizmek isterim.
Sonuç Olarak Parmak İzlerimiz
Bu tarz bir izleme, profilleme ile büyük sorunların ortaya çıkabileceğini görmüş olduk. Çerezler, kullanıcıları tanımlamak için mükemmel bir yol sağlar. Güvenilirdir, iyi huyludur, kullanıcılar tarafından iyi anlaşılır, uygulaması kolaydır ve kullanıcıların kontrol etmesi kolaydır.
Ancak bu araştırmadaki gibi süper çerezlerin, çerezlerin, parmak izlerinin ve diğer yöntemlerin ‘çözdüğü’ tek ‘sorun’, onları kimin izlediği konusunda fikir sahibi olan kullanıcıların sorunu olarak görülüyor. Çerezleri silen kullanıcılar, izlenmek istemediklerine dair net bir mesaj gönderiyorlar. Parmak izi kullanan satıcılar da bu mesajı bastırmanın yollarını aramaya devam edecekler.
Parmak izi, gerçek ortamda kullanılan çerezlere uygun bir alternatif olarak karşımıza çıkıyor. Mowery, Shacham ve EFF tarafından gösterilen teknikler bireysel olarak yararlıdır. Ancak her iki araştırmacı grubu da tekniklerinin daha da iyi hale getirilebileceği göstermiş oldular. Aynı zamanda parmak izi çalışmalarında kullanmak için hazırlanmış bir örneği GitHub üzerinde ücretsiz olarak bulabilirsiniz.
Özel Tarama ve Gizli mod, tarayıcının parmak izini değiştirmez ve yukarıda bahsettiğim kodun yazarına göre bunların hiçbir etkisi yoktur. Duckduckgo’da bunu değiştiremez.
Çerezleri ve diğer izleme mekanizmalarını yönetmek için tarayıcı eklentileri kullanan gizlilik bilincine sahip kullanıcılar, parmak izlerini daha az değil, daha belirgin hale getirebilirler. Çünkü değiştireyim derken 1-2 değeri değil en azından 10-15 değeri değiştirmeniz lazım. GPU gücünüz, RAM’iniz, bataryanız ve şarjı da değiştiremeyeceğiniz izlerden biridir.
Kendinizi bu tarz araştırmacılar, pazarlama uygulamaları veyahut profilleme gibi takiplerden korumanın tek ve iyi bir yolu maalesef ki yok! Ancak parmak izinizi daha geniş bir alanda tutarak kendinizi kalabalığın içinde bırakabilirsiniz.
Tek bir özelliği değiştirmek yerine Flash, Java, WebGL ve Javascript’i kapatmanız gerekir. Bunu yaptığınızda büyük ölçüde kalabalığa karışacaksınız ve karşı tarafa çok daha az bilgi vermiş olacaksınız. Yine de unutmayın webi web yapan, görselliğin ön planda olduğu şu anki teknolojilerde bu uygulamaları kapatmak, 1994 yılından kalma web sitesi açmaktan farksız demektir.
Bana sorarsanız Flash ve Java’ı hiçbir şekilde kullanmam, direk sistemimden kaldırırım. Bunların yanında Noscript eklentisi kullanırsanız tadından yenmez!
Gizlilik konusunda en önemli adımı atan ve en iyi gizlilik sağlayan uygulamanın TOR Browser olduğunu biliyor muydunuz? TOR’un tarayıcısı Javascript ile bildiğiniz büyük bir savaş veriyor! Diğer bir yandan TOR tarayıcısı (TOR Browser) ile birkaç satırlık javascript kodu sizden izinsiz bir çizim yapamaz. İzinsiz bu deneydeki gibi bir işlev yapmak isterse TOR Tarayıcısı otomatik olarak oluşturulan bu izi deforme eder!
Gizliliğimizi koruyabilir miyiz? Muhtemelen tamamını koruyamayız. Ancak TOR Browser gibi birçok proje var ve bu projeler anonim kalmanız için her türlü desteği sağlıyor. Comodo Group, çeşitli kimlik doğrulama araçları, web sitesi ve bilgi güvenliği önlemleri ve sürekli destek veriyor. Comodo Dragon kullanabilirsiniz.
Firefox tabanlı IceDragon da size yardımcı olacaktır. Epic Privacy Browser ise Chromium üzerine kurulu olan başka bir gizlilik tarafındaki tarayıcıdır.
Noscript, UBlokc, AdBlock Plus, Blur (DoNotTrackMe) gibi birçok eklentide gizliliğinizi sağlamak için üretilmiş uygulama ve eklentiler arasında gelir.
Diğer bir yandan davranışsal tercihlerinizi incelemek için Your Online Choices sitesini kullanabilirsiniz Reklam tercihlerinizi kontrol etmek için bu site üzerinde ufak bir test yapabilirsiniz. Sisteme kayıtlı olan 91 reklam sitesini etkinleştirebilir veya devre dışı bırakabilirsiniz veya tercihlerinizi her şirket için tek tek belirleyebilirsiniz. ‘Genişlet’ butonuna tıklayarak, şirketin kendisi ve kullanmakta olduğunuz web tarayıcısı üzerindeki davranışsal reklam durumu hakkında daha fazla bilgiye ulaşabilirsiniz.
Tüm bu ipuçları ve araçlar güvenlik risklerinizi azaltacak olsa da hiçbiri kusursuz değildir. Hackerlar her zaman bilgisayarlarımızı yeni teknikler kullanarak işgal etme yolları üzerinde çalışacaklar ve bu gizlilik temelli kedi-fare oyunu devam edecek. Sadece hackerlar değil! Pazarlama uzmanları, satışçılar, XFlix gibi platformlar da yeni bir yol bulacaklar.
Bilgisayarlar ve mobil cihazlar olduğu sürece, güvenlik açıklarından yararlanmak isteyenler olacaktır. Tek yapabileceğimiz, bilgi güvenliği farkındalığı ve bilişim okuryazarlığıdır. Bu sayede karşı araçları kullanabilir, gizliliğinizi maksimum seviyede tutabilirsiniz.
Yazar: Hamza Şamlıoğlu
Kurum güvenliğiniz için sızma testi pentest hizmetlerimiz hakkında detaylı bilgi almak için info@priviasecurity.com adresimiz ile iletişime geçebilirsiniz.