Geopolitica nella rete: le nazioni che hanno i nostri dati.
Trackography
E-Privacy, Roma, 2 Luglio 2015
Questa presentazione è online qui:
https://trackography.github.io
Io e questo progetto
Portare trasparenza all'opaco mondo della sorveglianza commerciale.
(In neolingua la si chiama profilazione del mercato).
OpenDemocracy.org / Syria.
https://trackography.org è già stato presentato (qui e qui)
Non farti dominare dalla tecnologia, dominala!
Terze parti
Contenuti primari come notizie e video, secondari come pubblicità, o invisibili, vengono trasmesse da molteplici servizi online.
La pagina si compone di queste fonti, che possono cambiare durante la navigazione.
Ad ogni connessione, poche informazioni vanno per ragioni tecnologiche ai server delle terze parti.
- Il sito contattato indica una pagina che definisce le sorgenti esterne: è chi contatti che ha la responsabilità.
- C'è chi è disposto a pagare per essere presente.
Quali business ?
- Comprare non solo la presenza, ma un piccolo spazio visibile (advertising) ed essere intermediari
- Studiare trend e correlare dati provenienti da diverse sorgenti.
Scalabilità
- Proporzionale alla presenza.
- "fattoriale", e favorisce posizioni dominanti nel mercato.
Implicazioni
- Compagnie di cui non hai mai sentito parlare, sono parte della tua navigazione
- Indipendentemente dalla ragione ufficiale per la loro inclusione possono potenzialmente tenere traccia del comportamento degli utenti a lungo termine
- Infrastrutture al di fuori della tua nazione vengono utilizzare per popolare una pagina web (o un'app) che ti viene fornita da un'azienda nazionale.
- Media (o altri siti) sono incentivati a farlo, perchè questo porta loro incassi o altri benefici (interazione con i social, statistiche, efficenza)
A new, extremely persistent type of online tracking is shadowing visitors to thousands of top websites, from WhiteHouse.gov to YouPorn.com
Un tracker è presente su più di un sito, e può seguire l'utente.
Non c'è una vera e propria sottrazione di dati, per questo non si dovrebbe parlare di spioni.
Metodologia
- Si emula il comportamento di un browser verso un gruppo di siti (scelti + nazione scelta)
- Per ogni connessione al di fuori di quella intesa, si analizza dove termina, se c'è una compagnia riconosciuta (quando vedi youtube.com incluso, associare il nome "Google")
- Per ogni connessione al di fuori di quella intesa, si mappano gli Internet Service Provider che ci permettono di raggiungere la risorsa
- In teoria il consenso dovrebbe far avviare le connessioni alle terze parti dopo l'accettazione. Ma ci possono essere ragioni tecniche per permetterlo.
Se una terza parte viene inclusa prima che il consenso venga espresso, anche se non sta inviando un cookie, il tracciamento può avere inizio.
Da farsi: accettare la cookie policy e comparare cosa viene incluso in quel secondo momento (o agli accessi successivi)
Lo scopo di questo progetto è studiare trend, comparare tecnologia traccianti, misurare infrastrutture e servizi dominanti.
Questi sono altri tipo di protezione ed osservazione: Lightbeam,
Disconnect.
Le immagini mostreranno alcune ricerche in corso.
NON sono un'analisi scientificamente accurata.
Idee sul metodo da usarsi ? sui valori da comparare ? ho molti dati e voglio renderli usabili ad analisti e ricercatori esterni. c'è già l'API pubblica.
L'esperimento di oggi, moltiplicare i dati di AGCOM tratti da L'indagine sull’informazione e internet in Italia, ma è fatto con una metodologia IN FASE DI SVILUPPO. I suoi risultati non sono di carattere scientifico, pertanto NON DOVREBBERO ESSERE CONSIDERATE NEWS ATTENDIBILI.
Le differenze
Prima e dopo il favore istituzionale che è stato fatto alle compagnie di tracking
c.d. "cookie law"
Il fattore esposizione
Se consideriamo:
- I lettori italiani come una comunità
- Una comunità viene indebolita se, qualcuno di esterno, li può conoscere senza far parte della loro rete
Come misurare l'indebolimento sociale derivato da un singolo media ?
Ho moltiplicato i dati raccolti con l'ultimo test, con il rapporto di AGCOM sull'utilizzo degli online news media
In dettaglio, prima e dopo la direttiva sui cookie
Ricorda...
-
Non si parla di cookie. Si parla di Terze parti presenti. Le ragioni per avere una terza parte inclusa sono maggiori di quelle che giustificano un cookie.
-
Una terza parte può impostare un cookie, ma si deve prima accettare il consento. Il mio strumento di collezione non accettava ancora il consenso quando ho raccolto questi dati.
Ricerca Europea
Ancora da essere rilasciata, da parte dell'Università di Amsterdam, su tutti i siti istituzionali Europei e dei paesi in CE.
La domanda era: quanto sono presenti elementi traccianti ? quali sono ? quanto sono esposti i cittadini interagendo con le loro Pubbliche Amministrazioni ?
Qui una parziale visualizzazione: http://213.108.108.94:8000/companiespresence.
Perchè curarsene ?
- Per se stessi: Le aziende di profilazione sono strumenti di sorveglianza dedicati al business. Saranno sempre avanti rispetto al sistema legale a nostra tutela. Sono grado di generare dati personali con alta attendibilità. La promozione di un'ideologia, l'utilizzo per spearphishing o per la profilazione comportamentale parte da qui.
- Per le reti di cui si è parte: Possiamo tutelarci, ma rimaniamo una minoranza all'interno di una società indebolita.
Le nazioni si dividono in due categorie
- Quelle in cui termina la connessione
- Quelle che la fanno transitare
Ipotesi
Avere utenti esteri che raggiungono un servizio nel tuo stato, è una risorsa per l'intelligence.
Avere infrastrutture che fanno transitare connessioni di utenti estere, è una risorsa per l'intelligence.
Ad esempio ❤ Brasile ❤ Italy ❤
E questo come impatta in Italia ?
A seconda dell'ISP, alcune rotte sono più dirette di altre.
Quindi l'esposizione totale alla quale un utente è soggetto non dipende solo dal servizio in analisi...
nell'ordine: KPNQwest, TISparkle, Infostrada
Differenze tra passarci attraverso e terminare la connessione
- La profilazione dell'utente richiede stato e perfetta conoscenza del comportamento (solo nazioni in Rosso).
- Le connessioni HTTPS terminano su un tuo server (solo nazioni in Rosso)
- Ogni connessione che passa su una nazione rossa o viola, può essere dirottata ed usata contro l'utent!
Entrambi possono conservare l'informazione a terpo indefinito, le data retention policy sono comunicate molto di rado, e sono comunque unilaterali.
E si applicano solo a dati non elaborati
Ukraina
Test effettuati da due provider differenti, danno risultati differenti
China Great Cannon
Sempre tramite Snowden: NSA QUANTUM.
Schneier su FoxAcid.
Mappa dei cavi sottomarini intercettati da NSA e GCHQ.
Ogni connessione in transito, può essere dirottata ed utilizzata contro l'utente, come veicolo d'attacco!
AdBlock+, Ghostery, Disconnect
Attualmente alcuni add-ons hanno raggiunto una certa popolarità
- Sono basati su meccanismi di whitelist/blacklist che riconoscono la terza parte.
- Cercano, dove possibile, di differenziare tra adveritising, tracking, analytics, statistiche, widget, social network.
- Considerando le percentuali d'adozione, sono già stati elaborati dei sistemi di individuazione del blocco e conseguente "suggerimento" all'utente.
- Il più noto AdBlocker ha iniziato a fare compromesso con una whitelist.
Soluzioni alternative: RequestPolicy, Priv8
Quali dati possono avere le terze parti ?
- Cookie: Il più vecchio metodo di tracciamento
- Fingerprint del browser: Panoptclick + Client Identification Mechanism.
- Il contenuto della pagina che visiti: Specialmente se il servizio è anche un web crawler, o se la pagina è pubblica.
- Locazione Geografica: Anche in caso di IP anonimizzato
- Da dove sei arrivato: In certi casi (VICE on tracking + VICE on porn).
- Il tuo profilo Social: Solo se cel'hai e lo stai usando nello stesso browser (Facebook ?).
Abbiamo i dati: ci servono ricercatori!
FAQ N.1: Non sono OTT
Spesso si confonde questo fenomeno di tracciamento con l'avere un profilo Google, Facebook, etc.
OTT |
Trackers |
Accetti un ToS * |
Non c'è accordo = non ti devono nulla |
ToS;DR |
Ranking Digital Rights** |
Dati personali monitorati (G + AGDP) |
Nessuna cessione di dati personali: ma algoritmi che li generano |
*: per quanto unilaterale, mai letto e non discutibile
**: ma si affidano a survey fatti alle compagnie
Problemi aperti
Una persona da sola, è insignificate nel grande disegno..
i Numeri parlano
e i medatada sono molto più veritieri di quello che comunichiamo arbitrariamente