Специалисты знают, что в умелых руках иначе как «институтом пчеловодства» файлы куки и не назвать

Posted on

Наверное, все или почти все читали книгу Пелевина «Generation P.». Ближе к концу материала, надеюсь, придет понимание того, как интернет-компании, такие как Google, Apple, Microsoft, Yahoo и даже крошечная на фоне других Yandex, управляют кошельком пользователя и частично его сознанием. Взаимодействие человека с Интернетом включает в себя три основные и необходимые составляющие. Первая составляющая — это человек, он же и самая важная цель атаки в парадигме общего понимания слова «безопасность», также он основной источник дохода для легальных компаний. Вторая – это устройство, с помощью которого пользователь выходит в Интернет. Третья – это серверы, на которых размещены сайты, посещаемые пользователем. Именно в момент посещения сайта на устройство пользователя «наматываются» рекламные файлы куки (cookies), которые потом хранятся в кэше (хранилище временных файлов) браузера, при помощи них поисковая система и показывает пользователю одну и ту же рекламу на любом сайте, где бы он ни был зарегистрирован. Об этом писали все и везде, включая читателей Mobile-Review под статьями об интернет-безопасности. Лично меня преследовала микроволновка Samsung, чья реклама удивительным образом появлялась даже на непрофильных сайтах. Тут важно понимать, что операционная система Android, как и все другие современные, ориентирована на доступ к интернет-сети, а ее интерфейс в значительной степени повторяет устройство интернет-браузера. Этим активно пользовались и наверняка пользуются даже сейчас производители дешевых смартфонов, вставляя в прошивку андроид-смартфона свои MAC-адреса, ссылки и идентификаторы, добиваясь просмотра пользователем только той рекламы, за размещение которой раньше было заплачено производителю смартфона, что снижает конечную цену смартфона, делая его конкурентоспособным. Но сначала немного истории.

История файлов сookie

Впервые файлы сookie появились в 1994 году, их ввел в оборот программист Лу Монтулли, работавший в компании Netscape Communications. Первоначальная задача файлов cookie заключалась в том, чтобы человек мог сохранять в «корзине» электронного магазина понравившийся ему товар, который не пропадал бы после окончания сеанса посещения сайта, и не более того. Ранее пользователь Интернета был вынужден вводить логин и пароль каждый раз, когда покидал сайт или перезапускал компьютер. Позже, когда интернет стал насыщаться и другими сайтами, не связанными с торговлей напрямую, файлы cookie стали использовать в целях, далеко выходящих за рамки их первоначальной задачи. А еще позже, когда пользователя стала преследовать таргетированная реклама товаров, а также навязанные идеи, подкачиваемые в тело сайта третьей стороной, заходить в Интернет стало попросту опасно. Так как, помимо логина и пароля, современные браузеры (кроме нескольких особо безопасных) могут получать от сервера информацию об устройстве, с которого просматривают их сайт, о размере экрана устройства (DPI), возрасте, поле, местонахождении и прочую информацию из разряда Big Data, при помощи которой человека можно «высчитать» по его поведению в сети, включая профессию, заработок, семейное положение, образ жизни и даже степень порядочности. Оставь регулирующие органы этот процесс без контроля, любой сайт, находящийся в руках злоумышленников, знал бы о конкретном человеке все или почти все. Как после личного допроса с использованием пыток и сыворотки правды, где в роли следователя выступает алгоритм, а в роли свидетелей – файлы куки. И так и было, пока IT-гиганты не начали задевать интересы законотворцев. В конечном итоге история появления файлов куки на временной шкале выглядит так:

Запрет на использование файлов куки, произведенных третьими лицами, вполне логичен. Для понимания механизма – сервер отсылает обратно на устройство пользователя (смартфон или планшет) фрагмент данных, в которых содержится информация, которую видит и регистрирует сам сервер. Если это сервер неустановленных лиц, то ничто не мешает им отправить на устройство пользователя данные для посещения страницы с запрещенным контентом, которую обязательно увидел бы пользователь при следующем сеансе на этом сайте. Например, у него могли начать вымогать деньги, предложить купить наркотики или разыграть партию в блэкджек в подпольном казино. Это породило слухи и подозрения, для разоблачения которых Центр консультирования по компьютерным инцидентам (CIAС, входит в состав Центра технологий компьютерной безопасности (CSTC) Министерства энергетики США (DOE), расположенный в Ливерморской национальной лаборатории имени Лоуренса (LLNL) в Калифорнии) распространил через СМИ свое резюме:

Цитата: Популярные слухи о веб-файлах cookie описывают их как программы, которые могут сканировать ваш жесткий диск и собирать информацию о вас, включая пароли, номера кредитных карт и список программного обеспечения на вашем компьютере. Ничто из этого и близко не соответствует истине. Файл cookie — это короткий фрагмент данных, а не кода, который отправляется с веб-сервера в веб-браузер, когда этот браузер посещает сайт сервера. Файл cookie хранится на компьютере пользователя, но он не является исполняемой программой и ничего не может сделать с вашим компьютером.

Наказание за манипуляцию файлами куки

Вы наверняка застали те времена, когда браузеры не оповещали пользователя о том, что «сайт использует файлы cookie», а чуть позже не спрашивали о согласии использовать файлы cookie. Необходимо понимать, что разрешает или запрещает куки не определенный сайт, а именно браузер, ведь файлы cookie записываются именно в его хранилище временных файлов. Все современные браузеры имеют прямое отношение к IT-гигантам, таким, например, как Chrome от компании Google, Edge от компании Microsoft или Safari от Apple. Указанные IT-компании контролируют и продают собранную о пользователе информацию заинтересованным лицам, например, собственным маркетологам рекламных отделов или сторонним компаниям. Появление в браузере диалога о необходимости «разрешения» использования файлов cookie, которое пользователь может дать или отказаться, вызвано почти монопольным положением указанных компаний на рынке рекламных услуг, а также громкими скандалами в странах основных потребителей интернет-товаров, где с монополиями борются все кому не лень, от шерифа деревни, до президента страны. И, судя по размерам штрафов, которые выписывают IT-компаниям, манипуляция файлами cookie приносит им огромные барыши, ведь штрафы они платят всегда. Только за 2023 год штрафы нечистоплотных компаний в несколько раз превысили бюджет одной известной восточноевропейской страны:

В январе 2023 года французская служба по защите данных CNIL (Национальная комиссия по информационным технологиям и свободам) обнаружила, что TikTok манипулировал согласием пользователя на хранение файлов куки. Пользователю и CNIL требовалось несколько кликов, чтобы отказаться от использования файлов cookie, но только один клик, чтобы принять их. TikTok решил проблему, добавив на свой сайт кнопку «Отказаться от всех куки», предварительно заплатив штраф в размере 6,5 миллионов долларов США.

22 декабря 2022 года CNIL через суд оштрафовал ирландское подразделение компании Microsoft на 60 миллионов евро ЕС (65 миллионов долларов США) за то, что та не предоставила пользователю простой способ отказа от хранения файлов куки поисковой сети bing.com. Кроме того, расследование CNIL показало, что файлы куки использовались в рекламных целях без согласия и ведома пользователя.

В августе 2022 года компания Sephora (глобальный ритейлер косметики) была оштрафована штатом Калифорния, США, на 1,2 миллиона долларов за нарушение Закона Калифорнии о защите прав потребителей (CCPA). В основе обвинений в нарушении закона лежит манипуляция с файлами куки – Sephora отправляла куки собственным аналитикам, в то время как контролирующие органы доступа к ним не имели вовсе.

В декабре 2021 года компания Google потеряла на штрафах, инициированных CNIL, не менее 150 миллионов долларов США, а ее конкуренту, компании Facebook*, был начислен штраф 65 миллионов долларов США. В обоих случаях вина компаний заключалась в отсутствии одной-единственной кнопки на сайте, которая позволяла бы полностью отказаться от хранения файлов куки на устройстве пользователя.

7 декабря 2020 года компания Amazon за манипуляцию файлами куки, а также тайное их хранение на конечном устройстве пользователя без его участия, была наказана на 38 миллионов долларов США.

9 июня 2020 года Испанское агентство по защите данных (AEPD) через суд наложило 30 000 евро ЕС штрафа на Twitter* за предполагаемое несоблюдение закона 34/2002 об услугах информационного общества и электронной коммерции. Иск вызван недостаточным информированием пользователя о применении Twitter* файлов cookie и отсутствием ясности относительно участия сторонних партнеров компании Twitter*.

Этот список можно продолжать долго, очень долго. Из фабулы обвинений и положительных для истцов решений в суде можно сделать простой вывод: каждая компания, маленькая или большая, не стесняется вводить пользователей сети Интернет в заблуждение. Как рядовых пользователей, так и государство. Аминь.

Криминал

Куки легальны, это юридический факт современности. Большинство сайтов используют их по назначению – для сохранения данных пользователя (логин и пароль) и упрощения его авторизации на сайте. Крупные торговые площадки манипулируют куки, но это, так сказать, меньшее зло по сравнению с уголовным элементом, который через файлы куки получает доступ ко всем данным пользователя, включая пароль от квартиры и сейфа, где деньги лежат. Так, по данным частного предприятия киберохраны SpyCloud, только в 2022 году удачным атакам киберпреступников подверглись 87000 учетных записей, принадлежащих людям, связанным со списком денежных воротил из рейтинга Fortune 1000. Кстати говоря, это объясняет факт отсутствия у нормальных президентов каких-либо учетных данных на каком-либо сайте в принципе. Фальшивые куки, максимально похожие на официальные, например, социальных сетей, маскируют переход попавшегося пользователя на фальшивый сайт, где ему предлагают купить за копейки айфон. Это типичный сценарий, запускающийся после одного-единственного клика по ссылке в фишинговом письме. В худшем из сценариев (для честного, но обманутого простака) злоумышленник получает абсолютно все доступные электронные данные пользователя. С точки зрения безопасности, загружаемые в браузер файлы куки – это в любом случае уязвимость.

Google Privacy Sandbox

В начале этого года компания Google придумала, как полностью оградить пользователей своей экосистемы от рекламных и прочих файлов куки, к которым она не имеет никакого отношения. По планам компании, до конца 2023 года она должна была ввести в браузер Chrome и саму ОС Android технологию, отличную от cookie и в служебных документах называемую ею Privacy Sandbox, но потом отказалась от конкретных сроков, остановившись на тестировании Privacy Sandbox среди 1% пользователей браузера Google Chrome начиная с 4 января 2024 года. Технически инновация заключается в том, что браузер Chrome сам будет записывать и контролировать сферу интересов своего пользователя, без участия стороннего сайта и его сервера. Если это произойдет, то многие сайты, включая MR, могут столкнуться с проблемой выбора нового поставщика шаблонов WordPress (сервер в аренду) или полностью принять условия Google. В противном случае возможны два пути – отказаться от обслуживания браузера Chrome на сайте или довольствоваться крайне небольшим количеством читателей, не попавших под каток Google. Поживем – увидим, как оно будет по итогам эксперимента Google.

Заключение

Много лет назад в моем личном опыте был один случай, когда все предосторожности и защиту в лице антивирусов свел к нулю простой человеческий фактор. Один из частных охранников, который контролировал прилегающую к охраняемому офису территорию, от нечего делать залез на нехороший сайт с обнаженными женщинами и поймал вирус на сервер компании. В итоге «повисла» вся система внутренней сигнализации организации, после чего ему пришлось экстренно вызывать «мастера по ремонту компьютеров» (меня). У него на банковской карте было всего лишь 1 500 рублей, чем мне и пришлось довольствоваться в итоге после удаления вируса и всех следов вмешательства при помощи внешнего диска HDD с локально развернутой на нем операционной системой и набором утилит. Каждый раз, когда Google или Microsoft объявляют о новом крестовом походе за все хорошее против всего плохого, обычным неподготовленным пользователям, коими является подавляющее большинство, остается только уповать на порядочность владельцев сайтов и милосердие IT-компаний.

*Компания Meta Platforms, в которую входят социальные сети Facebook, Instagram и Threads, признана экстремистской организацией и запрещена в РФ.

Источник

Добавить комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.