Лента новостей Выбор региона Поиск
AR
18+
Регионы {{ region.title }}
Закрыть
Лента новостей
Популярное
ФАН принял участие в «накрутке» голосов на «Новой» за финалистов премии Немцова
Во вторник, 14 апреля, издание «Новая газета» объявило о начале финального голосования за претендентов на премию Бориса Немцова. До 11 мая читатели могут отдать свой голос за одного из 36 представленных оппозиционных деятелей. Из пяти фаворитов голосования жюри Фонда Бориса Немцова выберет одного победителя, который получит 10 тысяч евро. Журналистам ФАН путем эксперимента удалось установить, что прозрачная, на первый взгляд, система голосования уязвима к накрутке. Всего один человек способен повлиять на ход голосования и самостоятельно «назначить» пятерку финалистов. Но еще более важно, что нам удалось выяснить, как «Новая газета» тайно собирает потенциально значимую информацию (персональные данные) о своих читателях, никого об этом не предупреждая.
Эксперимент по «накрутке» голосов
Фонд Бориса Немцова вручает свою премию с 2016 года, и каждый раз голосование проходит на сайте «Новой газеты». Претензии к системе, которая используются для определения финалистов возникали и раньше. Хотя издание и предупреждает читателей, что проголосовать можно лишь один раз, на самом деле любой может сделать это несколько раз.
Если среднестатистический пользователь поставит галочку и отдаст свой голос в пользу того или иного кандидата, то при последующем посещении страницы у него не будет возможности повторить процедуру. Это означает, что алгоритмы сайта узнали посетителя, и уже не дадут ему возможности «накручивать» голоса. Для своего эксперимента мы проголосовали за одного из претендентов и решили проверить, возможно ли повторить процедуру.

Основным способом идентификации пользователей в Сети являются cookie – данные, которые отсылает сайт на компьютер пользователя. В этих данных зашифровано то, какие действия на сайте совершал посетитель, что просматривали и какие поля заполнял. Благодаря cookie нам не приходится многократно вводить свои личные данные на порталах, которым мы доверяем, а рекламные сети предоставляют аудитории именно то, что она ищет.
Однако cookie могут использоваться и злоумышленниками. Например, с их помощью можно следить за пользователями в Сети или взламывать их аккаунты. По этой причине законодательства ведущих государств, в том числе и российское, обязывает владельцев сайтов информировать пользователей, производится ли на их ресурсах обработка cookie. Благодаря таким предупреждениям каждый может сам решить, рисковать ему своей конфиденциальной информацией, или нет.
Ку́ки (англ. cookie, буквально — печенье) — небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя. Веб-клиент (обычно веб-браузер) всякий раз при попытке открыть страницу соответствующего сайта пересылает этот фрагмент данных веб-серверу в составе HTTP-запроса. Применяется для сохранения данных на стороне пользователя, на практике обычно используется для
Но у cookie есть один недостаток – их передачу легко заблокировать с помощью специальных плагинов и антивирусных программ. Более того, cookie легко почистить, самые доступные и надежные методы этого процесса любой пользователь всегда может найти в интернете. А все популярные браузеры имеют режим «инкогнито».

Сайт «Новой газеты» при первом посещении честно предупреждает, что портал использует в своей работе cookie. Это же указано в тексте «Пользовательского соглашения и политики конфиденциальности». Ничего необычного в этом нет, стандартная практика для любого крупного сайта.

Мы тщательно удалили на своем компьютере cookie, включили в браузере режим «инкогнито», а также изменили свой IP-адрес с помощью VPN. Однако «Новая газета» все равно нас узнала, и не позволила отдать голос за одного из кандидатов повторно. Возник закономерный вопрос, каким образом сайт нас узнал?

Тогда мы прибегли к нестандартному, но доступному каждому пользователю Сети методу – установили браузер «Тор», созданный специально для тех, кто желает сохранить свою анонимность. Даже при стандартных настройках «Тор» позволил нам загрузить исходную страницу голосования и повторно отдать голос за одного из кандидатов.
VPN (англ. Virtual Private Network «виртуальная частная сеть») — обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например Интернет). Несмотря на то, что коммуникации осуществляются по сетям с меньшим или неизвестным уровнем доверия (например по публичным сетям) уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям благодаря использованию средств криптографии (шифрования, аутентификации, инфраструктуры открытых ключей, средств для защиты от повторов и изменений передаваемых по логической сети сообщений).
Tor (сокр. от англ. The Onion Router) — свободное и открытое программное обеспечение для реализации второго поколения так называемой луковой маршрутизации. Это система прокси-серверов, позволяющая устанавливать анонимное сетевое соединение, защищённое от прослушивания. Рассматривается как анонимная сеть виртуальных туннелей, предоставляющая передачу данных в зашифрованном виде
Тайный сбор цифровых отпечатков
Защита «Новой газеты» от накрутки оказалась не так уж и надежна. Но нам удалось выяснить куда более значимую информацию – с помощью какой технологии сайт издания нас узнавал. Защитные алгоритмы «Тор» любезно предупредили нас, что на просматриваемой странице без нашего на то ведома пытаются получить с компьютера canvas-изображение.
На странице голосования нигде не упомянуто, что такая процедура проводится сайтом в автоматическом режиме, нет об этом упоминания и в пользовательском соглашении. То есть процесс проходит тайно, а читатель даже не подозревает, что некто получил о нем информацию, которая по значимости сравнима с отпечатками пальцев или ДНК.

На популярном у IT-специалистов ресурсе «Хабр» проблематика преступного использования фингерпринтинга поднималась неоднократно. С помощью всего одного canvas-изображения злоумышленник может подробно отслеживать поведение человека в Сети и фиксировать его появление на любой странице, где действует аналогичная система.

Впервые о новой технологии как об угрозе заговорили в 2014 году эксперты Принстонского университета. Они отмечали, что всего за пару лет система на основе canvas-изображений прошла путь от теории до реального применения. Уже на тот момент в различных версиях технология использовалась на 5% самых популярных сайтов. В ее применении уличили как сайт администрации президента США whitehouse.gov, так и ресурс «для взрослых» YouPorn.com.

Сanvas-изображение – это картинка, которая рисуется по специальному запросу, приходящему с сервера сайта на компьютер пользователя. Сам запрос приходит на компьютер при открытии страницы или нажатии определённой кнопки на сайте. И запрос, и отрисовка картинки происходят без ведома пользователя и в фоновом режиме, если не стоит специальных защитных программ, вы никогда не узнаете, получил ли кто-то эту информацию о вашем устройстве, или нет.
Canvas (англ. canvas — «холст», рус. канва́с) — элемент HTML5, предназначенный для создания растрового двухмерного изображения при помощи скриптов, обычно на языке JavaScript
Имеет возможность создания на страницах специальных «маячков», т.н. Canvas Fingerprinting, для отслеживания пользователей в сети.
При формировании canvas-изображения алгоритм учитывает множество нюансов вашего компьютера – от операционной системы и версии браузера, до физических данных графического процессора. Столь большое количество параметров позволяет сформировать изображение, по которому ваш компьютер можно будет идентифицировать в общем сетевом потоке с вероятностью выше 99%. По своей сути canvas-изображение является цифровым отпечатком компьютера и в профессиональной среде называется фингерпринтом, что дословно переводится как отпечаток пальца.

Изначально технология снятия фингерпринта разрабатывалась как аналог cookie. С ростом компьютерной грамотности всё больше пользователей начали использовать различные методы, чтобы минимизировать утечку личной информации, в результате широкую популярность получили различные блокировщики cookie. Параллельно в мире ужесточилось законодательство о безопасности личных данных граждан.

Рекламные сети, аналитические организации и мошенники начали искать иные способы, чтобы тайком собирать информацию о потенциальных клиентах, поведении масс и жертвах. Одним из самых перспективных оказался фингерпринтинг – его крайне сложно отследить, а получаемая с его помощью информация по истине уникальна.
Использовать canvas-изображение можно также, как обычный отпечаток пальца человека, только в цифровой среде. Если пользователь не смог сохранить свой фингерпринт, то заполучивший его злоумышленник получает в свое распоряжение идеальный инструмент для слежки. С помощью цифрового отпечатка можно безошибочно определять, какие сайты пользователь посещает, или посещал ранее, какие страницы просматривал, и даже какие кнопки нажимал.

Например, фингерпринт позволит посторонним людям вычислить, куда вы собрались в отпуск, в каких числах, какую гостиницу забронировали. С помощью такой информации воры могут спланировать вторжение в ваш дом.

Самое опасное в этой технологии то, что в отличие от cookie canvas-изображения просто удалить нельзя. Скрыться от злоумышленников поможет полная переустановка операционной системы, но вернуть гарантию защищенности можно только полностью заменив устройство, canvas-изображение которого было «срисовано».

Угрозу в бесконтрольном использовании фингерпринтинга одними из первых увидели власти Евросоюза. В мае 2018 года в «Общий регламент защиты персональных данных» (GDPR) были внесены поправки, которые отнесли canvas-изображение к личным данным. Сейчас на территории Европы фингерпринт личного устройства граждан компании могут получить только с их одобрения.
Сформировать пятёрку лидеров может любой
Но вернёмся к нашему эксперименту по «накруктке» голосов. Помогают пользователям защищать цифровые отпечатки своих компьютеров специальные плагины для браузеров. Наиболее хорошо этот процесс испытан разработчиками браузера Mozilla Firefox, они первыми использовали технологию «Тор» для защиты своих пользователей. Скачав этот браузер и установив соответствующую защиту от «фингерпринтинга» мы смогли без проблем заняться «накруткой» и решили помочь Алексею Навальному. С одной стороны, в этом году он среди отстающих с чуть более 6% голосов, а с другой – если его результат аннулируют из-за нашей помощи, то будет не жалко.
Как было установлено опытным путем, один пользователь с одного устройства и применением нескольких браузеров может за минуту «накручивать» до 5 голосов. При наличии компьютера и ноутбука результат можно удвоить и довести показатель до 600 голосов в час, или примерно 4,8 тысячи за стандартный 8-часовой рабочий день. Учитывая тот факт, что в голосования за прошлые годы участие принимали немногим более 20 тысяч человек, можно сделать вывод что за месяц выборов всего один пользователь может самостоятельно сформировать пятерку лидеров.

Мы не будем уточнять, сколько именно «левых» голосов отдали Навальному в ходе своего эксперимента. Если главный редактор «Новой газеты» Дмитрий Муратов так уверен в своём голосовании, то сможет сам безошибочно «скрутить» все лишнее. Хотя факт возможности «скрутки» голосов может дискредитировать премию Немцова еще сильнее (хотя куда еще сильнее).

Наглядно доказано, что организаторы голосования создали лишь видимость защиты от «накруток», на деле же любой пользователь Сети может легко сформировать собственную пятёрку финалистов (оставим этот вопрос на откуп «Новой газете»).
«Новая газета» попрала право на анонимность
Проверка страниц с голосованием за предыдущие годы показала, что там также использовалась технология «фингерпринтинга». А значит нет никакой уверенности в том, что прошлые финалисты и победители набрали свои голоса честным путём. Не исключено, что такая халатность была допущена организаторами премии и голосования сознательно, дабы в режиме онлайн можно было корректировать ход голосования в нужном русле.
При этом остаётся открытым вопрос, почему именно технология canvas-изображений была использована, и почему о её применении не уведомлялись посетители «Новой газеты». На публику издание якобы продвигает идеи открытого общества и демократические ценности. Например, издание тесно поддерживает активистов «Роскомсвободы», которые занимаются отстаиванием цифровых прав людей в интернете. Как уже отмечалось, в Евросоюзе получение фингерпринта личного компьютера гражданина без его на то согласия является противозаконным.

На деле же мы видим, как «Новая газета» годами проводит голосования, с помощью которых тайно собирает цифровые отпечатки компьютеров пользователей (может быть и без злого умысла). Где и как эти данные собираются, хранятся и обрабатываются – не известно. Может они будут удалены, а может будут переданы мошенникам, иностранным спецслужбам или иным заинтересованным сторонам.
В Сети неоднократно поднимали вопрос, представляет ли фингерпринтинг опасность для пользователей, ведь canvas-изображение является цифровым отпечатком устройства, но не владельца. Однако разработчики антивируса Avast уверены, что злоумышленники на основе цифрового отпечатка устройства могут идентифицировать и пользователя. Алгоритмы обработки canvas-изображений могут выстраивать цепочки из страниц сайтов, которые пользователь посетил за несколько месяцев и даже лет. Если где-либо человек оставил свои настоящие личные данные, злоумышленник легко идентифицирует личность жертвы.

Самое опасное в фингерпринтинге, что человек не знает, стал ли он его жертвой. Украсть цифровой отпечаток могут как на сайте, где он появился впервые, так и на портале, которому он доверял годами. «Новая газета» отличное тому подтверждение - canvas-изображения там тайно собираются только на страницах с различными голосованиями и опросами.
В 2014 году Эдвард Сноуден, выступая перед Парламентской Ассамблеей Совета Европы (ПАСЕ), рассказал, что Агентство национальной безопасности США (АНБ) использовало фингепринтинг как одну из основных техник для слежки за сотрудниками различных НКО и посетителями их сайтов, таких как Amnesty International и Human Rights Watch. Анализируя цифровые отпечатки устройств в Сети спецслужбы устанавливали личности посетителей правозащитных сайтов, их контактные данные, круги общения и так далее. По словам Сноудена, только с помощью фингерпринтинга удавалось выяснять даже сексуальную ориентацию пользователей.

Учитывая всё выявленную опасность технологии, мы хотим обратить внимание правительства на проблему фингерпринтинга в России на примере «Новой газеты». Это технология, которая может использоваться как во благо, так и во вред гражданам. А иностранные спецслужбы с её помощью годами собирают личные данные миллионов людей. На данный момент россияне могут рассчитывать исключительно на собственную компьютерную грамотность и защищать цифровые отпечатки своих устройств с помощью доступных им средств.
Amnesty International (известная также как Amnesty, AI, Международная амнистия, МА, «Эмнести») — международная неправительственная организация, основанная в Великобритании в 1961 году, которая ставит своей целью «предпринимать исследования и действия, направленные на предупреждение и прекращение нарушений прав на физическую и психологическую неприкосновенность, на свободу совести и самовыражения, на свободу от дискриминации в контексте своей работы по продвижению прав человека»[
«Хью́ман Райтс Вотч» (англ. Human Rights Watch, HRW — «страж прав человека») — неправительственная организация со штаб-квартирой в США, осуществляющая мониторинг, расследование и документирование нарушений прав человека более чем в 70 странах мира.
Мы считаем правильным приравнять цифровые отпечатки личных устройств граждан к их личным данным и внести соответствующие поправки в российское законодательство. С соответствующими предложениями редакция намерена обратиться к соответствующим надзорным органам и депутатам Госдумы, и узнать их мнение на этот счёт.

А главному редактору «Новой газеты» Дмитрию Муратову следует публично принести извинения читателям за сложившуюся ситуацию и аннулировать голосование хотя бы за текущий год.