Webpoloskák nyomába eredt a díjazott informatikus hallgató

A BME Villamosmérnöki és Informatikai Kar hallgatója nyerte 2017-ben az „Év információbiztonsági szakdolgozata” elismerést.

„Dolgozatom egy nemzetközileg is egyre aktuálisabb témát boncolgat: mi a háttere annak, hogy internetes barangolásaink során számos ingyenes szolgáltatással találkozunk, amelyben kifejezetten minket célzó hirdetéseket láthatunk vagy még konkrétabban: személyre szabott árakat kínálnak számunkra? Ennek hátterében az az adatgyűjtési folyamat áll, amely a legtöbbször a felhasználók tudtán kívül történik. Egyformán érint ez minden internetezőt, de kérdés, hogy tudunk-e védekezni ellene?” – világított rá a „Webes nyomkövetési trendek vizsgálata” című, az „Év információbiztonsági szakdolgozata” címet elnyert pályaművének kiindulópontjára Kovács Zoltán, a BME VIK korábbi mérnök-informatikus (BSc) hallgatója.

A Hétpecsét Információbiztonsági Egyesület 2004-ben jött létre egy korábbi, az információbiztonság területein dolgozó szakembereket és vállalatokat összefogó munkacsoport utódjaként. Az egyesület törekszik arra, hogy elősegítse az információvédelem kultúrájának és ismereteinek terjesztését, valamint növelje az információvédelmi tudatosságot. Célja továbbá egy olyan szakmai műhely létrehozása, amely egyben a téma szakértőinek fóruma.

A szervezet évente 5 szakmai rendezvényt tart, és 3 saját alapítású díjat oszt ki: az „Év információbiztonsági újságírója”, az „Év információbiztonsági szakdolgozata” és az „Év információbiztonsági diplomadolgozata” elismeréseket.

A 15. alkalommal meghirdetett „Év információbiztonsági szak- és diploma-dolgozata” pályázaton Kovács Zoltán, a BME VIK hallgatója a „Webes nyomkövetési trendek vizsgálata” című pályaműve a szakdolgozat (BSc) kategóriában nyert.

A dolgozat címében említett internetalapú nyomkövetők (webpoloskák, cookie-k) egy-egy honlap látogatóiról kinyert információk összegyűjtéséhez biztosítják a technikai hátteret. Szinte észrevétlenül dolgoznak: egyrészt viszonylag kisméretűek, – általában 1x1 pixelesek –, másrészt sokszor láthatatlan képekként a weboldalba ágyazódnak be” – magyarázta a bme-hu-nak a januárban diplomázott Kovács Zoltán. Kifejtette: a webpoloskák képesek információk gyűjtésére internetezési, hírolvasási és -keresési szokásainkról, valamint arról, hogy egy weboldal mely részét, mire használjuk. Minderről egy harmadik félnek információkat küldhetnek. A nyomkövetők által megszerzett adatokat az erre szakosodott adatbróker cégek saját profilépítési tevékenységükben kamatoztatják, amelynek során a vásárlási szokásokat feltérképezve akár célzott hirdetéseket, árakat is adhatnak a világhálón szörfözőknek. Hozzátette: a cookie-k használata általában nem tiltott, de aggályos, hogy sok internetező nem tud, vagy nem érdeklődik a létezésükről, működésükről.

Kovács Zoltán a dolgozathoz kapcsolódó kutatásaiban arra kereste a választ, hogy a különböző célcsoportoknál a megfigyeltség elterjedtsége hogyan változik. Az Amazon Alexa elnevezésű virtuális személyi asszisztens széleskörű szolgáltatásainak egyikeként a weblapok átlagos napi látogatószámából és az egy hónap alatti összes látogatószám kombinációjából generál egy listát: ebből a kutató a száz, globálisan leglátogatottabb, valamint a száz legnépszerűbb magyar weboldalt vizsgálta. „Mindenki szeretne információt kapni a netezőkről, mert termékeket akar eladni, de egyes oldalakon akár több különböző cég poloskája is megtalálható” – ecsetelte.

Kovács Zoltán a díjnyertes dolgozat kérdéseivel először az önálló laboratórium téma választáskor találkozott: ekkor még nem körvonalazódott számára pontosan az érdeklődési köre. „A Gulyás Gábor György által kiírt labortéma érdekesnek ígérkezett, bár az még csak részben kapcsolódott a későbbi szakdolgozati munkához” – emlékezett. „Sokat segített abban, hogy a szakterületen egyre nagyobb jártasságom legyen. Jelenleg posztdoktor Franciaországban, de a konzultációk során rendszeresen tartottuk a kapcsolatot. Tavaly nyáron két hónapot töltöttem én is Grenoble-ban, ahol a webpoloskákat detektáló és az ellenük védekező, magától tanuló algoritmust fejlesztettem” – mondta a jelenleg mérnöki területen dolgozó egykori műegyetemista.

A dolgozathoz szükséges adatok gyűjtésében kétféle módszer állt rendelkezésére: kezdetben az adatgyűjtést böngésző-kiegészítő segítségével akarta végezni. „A felhasználói viselkedést naplózó, telepíthető eszközt készítettem, de bizalmatlanságba ütköztem” – ismertette a kezdetek nehézségeit. „Először a szűkebb laborkörnyezetben akartam tesztelni, de a felhasználók nem szívesen telepítenek fel a gépükre egy olyan kiegészítőt, amely a böngészési szokásaikat monitorozza. Így végül hatékonyabb volt egy automatizált keretrendszert alkalmaznom, ezáltal nagyobb adathalmazból gyűjthettem automatikusan adatokat. Akár több százezer felhasználót tudtam szimulálni egyszerre, akik egy adott weboldalt végiglátogatnak.”

A dolgozat nemcsak a webpoloskák elterjedtségét mérte, hanem a velük szembeni védekezés hatékonyságát is. Az erre a célra fejlesztett, online letölthető böngésző-kiegészítők közül három működését, valamint ezek kombinációjának erősségét vizsgálta. „A Ghostery például sok vírusirtóhoz hasonlóan listákkal dolgozik: ha egy új poloska nincs rajta ezeken, azt nem jelezheti” – részletezte Zoltán. „Vannak maguktól tanuló rendszerek is, de ezeknél egyrészt időbe telik a betanulás, másrészt néha finomhangolásra szorulnak. Arra a következtetésre jutottam, hogy a kiegészítők kombinálásával ugyan kiváló védelmet építhetünk ki, de 100 százalékosat szinte biztosan nem, ugyanis napról napra jelenhetnek meg új poloskák.”

Az online megfigyelés és a privátszféra védelmi megoldásainak hatékonysága sok etikai kérdést is felvet, amelyek különösen lényegesek egyes internethasználók alcsoportjai, például a gyermekek körében. „Számomra is meglepő volt, hogy a kutatások igazolták annak gyanúját, hogy a cégek törekednek a gyermekek fogyasztási szokásainak alakítására. A számukra készült oldalakon kétszer annyi nyomkövető található, mint a felnőttekén” – hívta fel a figyelmet Zoltán, aki hozzáfűzte: a kérdés annál is inkább lényeges, mert a jövő évtől a vállalatoknak az Európai Unió új adatvédelmi rendeletét (General Data Protection Regulation, GDPR) kell figyelembe venniük, ami a korábbinál sokkal szigorúbb bírságokat ír elő a privát adatok gyűjtésével, használatával összefüggő visszaéléseknél.”

A Műegyetem diákjai nem először szerepelnek sikeresen a versenyen: Gulyás Gábor György, a VIK Hálózati Rendszerek és Szolgáltatások Tanszék óraadója konzulensként az utóbbi évek több nyertes pályaművének megszületésében is segédkezett (az egyik korábbi sikerről a bme.hu is beszámolt – szerk.).

HA - GI

Fotó: Takács Ildikó