Pojam „doxxing“ (ili „doxing“, ako to smatrate ispravnijim pojmom) je u prvim danima ove godine bio nadprosječno prisutan u medijima svih vrsta. Neposredni povod je informacija o objavi osobnih podataka njemačkih političara i drugih javnih osoba putem Twittera. Tako smo doznali da su objavljene informacije Angele Merkel, njemačkih parlamentaraca i nekih osoba izvan svijeta politike.
Takav događaj se u žargonu novih medija naziva „doxxing“. „Doxxing“ je naziv za javnu objavu osobnih podataka neke osobe bez pristanka same osobe a u cilju stvaranja neugodne situacije za žrtvu. Objavljuju se brojevi telefona ili kućne adrese, što implicira neposredni pritisak prema žrtvi, objavljuju se neugodne fotografije, pisma ili dokumenti, financijski podaci... Iako se „doxxing“ povezuje s hakiranjem, podrazumijevajući da se u posjed ovim informacijama može doći tek nakon uspješnog hakerskog napada, hakeri u scenarijima „doxxing-a“ nisu nužni. „Doxxing“ može obuhvatiti objavu informacija do kojih se dolazi strpljivim kopanjem po dostupnim izvorima podataka, često i onim klasičnim, ne-digitalnim. Moramo biti svjesni da ostavljamo jako puno tragova, treba se samo sagnuti i pažljivo prikupiti ih.
Ako pak govorimo o hakerskom porijeklu informacija, ponekad se radi tek o pogađanju jednostavno postavljenih zaporki za cloud mail servise, a najčešće lukavo skrojenom ciljanom „phishing“ napadu kroz koji će žrtva neoprezno otkriti zaporku za pristup mail servisu. Za tako nešto, danas više ne treba previše truda niti ekspertize. A kad se dođe do pretinaca elektroničke pošte, svašta se može pronaći. Važno je reći da objava podataka o jednoj osobi ne znači nužno da je kompromitiran mail račun sam žrtve. Ponekad je dovoljno kompromitirati mail tajnika/tajnice uglednog političara ili bliskih prijatelja nekog celebrity-a. Tamo se onda mogu naći zahvalne informacije, od adresa, brojeva telefona pa do osjetljivih fotografija. Omiljena forma „doxxinga“ je objava stvarnog identiteta neke osobe koja na društvenim mrežama koristi anonimni profil.
Jako je puno primjera „doxxing-a“, a objava podataka njemačkih političara je tek zadnji u nizu. Prisjetimo se nekih ranijih. U političkom svijetu smo imali objavu elektroničke pošte Hillary Clinton, bivšeg direktora CIA-e, „doxxing“ javnih osoba čiji su stavovi suprotni jednom od „mi ili oni“ grupacija… U show business svijetu su ovi slučajevi još češći: Ashton Kutcher, Paris Hilton, Jay-Z , Britney Spears, Beyonce, Kim Kardashian, Scarlett Johansson… Popis je veoma dug.
Žrtve „doxxing-a" mogu biti i organizacije ili tvrtke. Sjetimo se slučajeva Sony, Hacking Team, pa čak i NSA u slučaju Edwarda Snowden-a.
Očigledno, glavni motivi osoba koje stoje iza „doxxing“ akcije su osveta, poniženje, politički ili svjetonazorski obračun… Ponekad je „doxxing“ i sredstvo ucjene. Naravno, kao i druge navodne istine koje se objavljuju na društvenim mrežama, tako i „doxxing“ može sadržavati potpuno lažnu informaciju koja će žrtvi dodatno naškoditi, a da zapravo i ne postoje mehanizmi učinkovitog ispravka ove informacije.
Podataka o svima nama je sve više pa možemo očekivati porast doxxing napada ali i njihovu sve maštovitiju upotrebu. No, kako se zaštiti od „doxxing“ napada? Ako govorimo o osobnim podacima pojedinaca, najizloženija točka je servis elektroničke pošte pa se dosta visoka razina zaštite može postići korištenjem dvo-faktorske autentikacije ili barem dovoljno jake zaporke. Naravno, i sve uobičajene mjere osnovne higijene računala i mobitela su neophodne. Svakako treba reducirati broj osobnih podataka koje svjesno ostavljate u Internet prostoru.
Ipak, kao i za druge oblike računalnih zloupotreba ili kibernetičkog kriminala, na snazi je pravilo da je lakše izvesti napade nego obraniti se od njih.
Prikazani su postovi s oznakom Manipulacija informacijama. Prikaži sve postove
Prikazani su postovi s oznakom Manipulacija informacijama. Prikaži sve postove
11.1.19
5.6.17
Teorije o WannaCrypt napadu
Nakon nepunih mjesec dana od pojave malicioznog programa WannaCrypt došlo je vrijeme za rezimiranje viđenoga.
WannaCrypt nije bio pucanj iz praznog pištolja, mnoge tvrtke su ga osjetile na vlastitoj koži. Uzmimo u obzir i da su informatičari u brojnim tvrtkama potrošili najmanje vikend za krpanje Windows zakrpi na svojim računalima, tako da su troškovi savjesnim organizacijama ipak bili podnošljivi. U prošlom zapisu sam najavio da je onaj udarni vikend bio tek prvo poluvrijeme a većina nas se pribojavala ponedjeljka i onog što slijedi nakon tog ponedjeljka.
Ipak, događaji koji su uslijedili su, srećom, demantirali pesimiste među nama. Ključnu ulogu je odigralo ne toliko hitno krpanje sustava koliko misteriozno ugrađen “kill switch” u programskom kodu WannaCrypt-a koji je spriječio njegovo širenje. Strah i iščekivanje su nakon toga zamijenile teorije o porijeklu WannaCrypt-a i stvarnim motivima njegovih autora.
Je li se zaista radilo o amaterski i brzopleto napisanom programu koji je propustio predvidjeti vlastiti bug? Je li moguće da tako kataklizmičan program zarađuje tek 130.000 USD u nepunih mjesec dana (iznos na dan pisanja ovog teksta).
Vjerujem da ste čuli teorije o sjeverno-korejskom porijeklu, no meni je zanimljiva i teorija koju je iznio Joseph Carson, stručnjak iz tvrtke Thycotic. On smatra da je WannaCrypt zapravo manipulacija vrijednošću valute Bitcoin koja rezultira nečime što najbliže možemo usporediti s insiderskom trgovinom. Naime, prema postojećim ekonomskim teorijama, vrijednost Bitcoina se povećava proporcionalno s kvadratom broja korisnika, slijedeći zakonitosti koje općenito vrijede za telekomunikacijske mreže.
Što se dogodilo? Pojavom WannaCrypt-a, porastao je broj osoba koje se otvorili vlastiti digitalni novčanik, što je rezultiralo i porastom vrijednosti Bitcoin-a (tečaj Bitcoina je 1.5.2017. iznosio 1.379 USD, a nakon manjih fluktuacija oko 12.5.2017. (dana pojave WannyCrypt-a), na dan 20.5.2017. tečaj je iznosio 2.158 USD). Prema iznesenom scenariju, kriminalci su se prethodno opskrbili dovoljnom količinom Bitcoina koju su prodavali u tjednu nakon njegove pojave, kreirajući tipičnu “pump and dump” shemu.
No, ovo nije jedina veza između ranjivosti EthernalBlue i kripto valuta. Desetak dana prije WannaCrypt-a pojavio se malware koji iskorištava iste NSA ranjivosti (EthernalBlue/DoublePulsar) da bi instalirao softver Adylkuzz koji na računalu korisnika prikriveno rudari kriptovalutu Monero. Dakle, ovaj malware nije destruktivan kao WannaCrypt, a za napadače ostvaruje jednako značajnu dobit. Dapače, tamo gdje se pojavio napravio je promjene na sustavu i spriječio prodor WannaCrypta. Gledajući sa strane korisnika to je bio možda i dobar deal: dajete nešto performansi i procesorskog vremena napadačima a zauzvrat ste zaštićeni od WannyCrypta.
Očigledno, ovi događaji reflektiraju promjene u razmišljanju cyber-kriminalaca i ponovo nas uče da treba očekivati neočekivano, a pravo pitanje zapravo ostaje zbog čega je EthernalBlue ranjivost ostala prikrivena nekoliko godina?
WannaCrypt nije bio pucanj iz praznog pištolja, mnoge tvrtke su ga osjetile na vlastitoj koži. Uzmimo u obzir i da su informatičari u brojnim tvrtkama potrošili najmanje vikend za krpanje Windows zakrpi na svojim računalima, tako da su troškovi savjesnim organizacijama ipak bili podnošljivi. U prošlom zapisu sam najavio da je onaj udarni vikend bio tek prvo poluvrijeme a većina nas se pribojavala ponedjeljka i onog što slijedi nakon tog ponedjeljka.
Ipak, događaji koji su uslijedili su, srećom, demantirali pesimiste među nama. Ključnu ulogu je odigralo ne toliko hitno krpanje sustava koliko misteriozno ugrađen “kill switch” u programskom kodu WannaCrypt-a koji je spriječio njegovo širenje. Strah i iščekivanje su nakon toga zamijenile teorije o porijeklu WannaCrypt-a i stvarnim motivima njegovih autora.
Je li se zaista radilo o amaterski i brzopleto napisanom programu koji je propustio predvidjeti vlastiti bug? Je li moguće da tako kataklizmičan program zarađuje tek 130.000 USD u nepunih mjesec dana (iznos na dan pisanja ovog teksta).
Vjerujem da ste čuli teorije o sjeverno-korejskom porijeklu, no meni je zanimljiva i teorija koju je iznio Joseph Carson, stručnjak iz tvrtke Thycotic. On smatra da je WannaCrypt zapravo manipulacija vrijednošću valute Bitcoin koja rezultira nečime što najbliže možemo usporediti s insiderskom trgovinom. Naime, prema postojećim ekonomskim teorijama, vrijednost Bitcoina se povećava proporcionalno s kvadratom broja korisnika, slijedeći zakonitosti koje općenito vrijede za telekomunikacijske mreže.
Što se dogodilo? Pojavom WannaCrypt-a, porastao je broj osoba koje se otvorili vlastiti digitalni novčanik, što je rezultiralo i porastom vrijednosti Bitcoin-a (tečaj Bitcoina je 1.5.2017. iznosio 1.379 USD, a nakon manjih fluktuacija oko 12.5.2017. (dana pojave WannyCrypt-a), na dan 20.5.2017. tečaj je iznosio 2.158 USD). Prema iznesenom scenariju, kriminalci su se prethodno opskrbili dovoljnom količinom Bitcoina koju su prodavali u tjednu nakon njegove pojave, kreirajući tipičnu “pump and dump” shemu.
No, ovo nije jedina veza između ranjivosti EthernalBlue i kripto valuta. Desetak dana prije WannaCrypt-a pojavio se malware koji iskorištava iste NSA ranjivosti (EthernalBlue/DoublePulsar) da bi instalirao softver Adylkuzz koji na računalu korisnika prikriveno rudari kriptovalutu Monero. Dakle, ovaj malware nije destruktivan kao WannaCrypt, a za napadače ostvaruje jednako značajnu dobit. Dapače, tamo gdje se pojavio napravio je promjene na sustavu i spriječio prodor WannaCrypta. Gledajući sa strane korisnika to je bio možda i dobar deal: dajete nešto performansi i procesorskog vremena napadačima a zauzvrat ste zaštićeni od WannyCrypta.
Očigledno, ovi događaji reflektiraju promjene u razmišljanju cyber-kriminalaca i ponovo nas uče da treba očekivati neočekivano, a pravo pitanje zapravo ostaje zbog čega je EthernalBlue ranjivost ostala prikrivena nekoliko godina?
11.1.13
(Ne)anonimnost i novi kazneni zakon
U Hrvatskoj je s prvim danom ove godine na snagu stupio novi kazneni zakon koji je najviše pažnje izazvao u odredbama vezanim za kaznena djela protiv časti i ugleda. U mnogim se komentarima izražava zabrinutost da takve odredbe zapravo znače gušenje slobode govora, jer će biti veoma teško odrediti mjeru što je to uvreda, sramoćenje ili kleveta. Ovo, ipak političko ili pravno pitanje, ostaviti ću stručnjacima za ova područja, a želim ukazati na jedan tehnički problem koji je, kako se čini, promakao u dosadašnjim komentarima.
Naime, da bi se određeno kazneno djelo uvrede, sramoćenja ili klevete moglo procesuirati, potrebno je utvrditi identitet počinitelja. Pobornici zakona pomalo euforično govore kako se nitko više neće skrivati iza anonimnosti Interneta jer je, zna se, tehničkim instrumentima moguće utvrditi identitet i onih osoba koji se predstavaljaju izmišljenim ili možda tuđim identitetima, ili se uopće ne predstavljaju. Optimizam pobornika novog zakona temelji se na činjenici da se svaki put kada netko postavi tekst na nekom blogu, društvenoj mreži ili medijskom portalu bilježe podaci o mrežnoj adresi računala s kojeg je stigao tekst. Pod pretpostavkom da nadležna tijela imaju odgovarajuća ovlaštenja, potrebno je samo nekoliko klikova i telefonskih pozva kako bi se utvrdio stvarni identitet tražene osobe. Prethodna pretpostavka je sve samo ne hipotetska: policijski istražitelji mogu doći do ovih podataka ne samo s domaćih poslužitelja, nego i sa najpopularnijih svjetskih socijalnih mreža.
Stvari izgledaju, dakle, idealno i nema prepreke za provedbu novog zakona. No, je li baš tako? Nisam uvjeren.
Naime, tehnički je veoma jednostavno prikriti i promijeniti IP adresu. Za to vam nije potrebno osobito tehničko priznanje, na raspolaganju vam stoji nekoliko veoma dostupnih mehanizama - od različitih izvedbi proxy servera, pa do sofisticiranih sustava kao što su TOR ili čak komercijalni servisi koji osiguravaju anonimnost. Treba ipak istaknuti da je u nekim slučajevima moguće identificirati korisnike anonimnih servisa, no to zahtjeva znatno veći tehnički napor i autoritet (anonimni mehanizmi su u pravilu smješteni izvan dosega naših sudskih tijela). I jedno upozorenje čitateljima: na raspolaganju su brojni servisi koji pružaju anonimnost, no treba ih koristiti i sa značajnim oprezom i u ograničenom opsegu, a svakako izbjegavati prenositi privatne podatke ovim kanalima.
Ako vam ovaj pristup izgleda nerealan, za što ipak nema razloga, ukazati ću i na neke druge situacije gdje će trebati znatno više truda za dokazivanje identiteta.
S obzirom da je posjećivanje društvenih mreže redovita aktivnost koja se obavlja tijekom radnog vremena, postavljanje uvreda sa računala i iz mreže vaše tvrtke, ostaviti će na serveru podatke tvrtke, a ne vaše osobne. Tumačeći kazneni zakon, pretpostavljam da će nadležna sudska tijela trebati procesuirati samu tvrtku, no prepuštam pravnicima da isprave moj zaključak. U svakom slučaju, novi zakon će biti dodatni motiv tvrtkama i organizacijama za uređenje vlastite informacijske sigurnosti i uvođenje mehanizama za utvrđivanje odgovornosti i dokazivosti korisničkih postupaka.
Nadalje, novi zakon bi svakako trebao motivirati privatne korisnika interneta koji i dalje imaju nezaštićene bežične uređaje za konačno uvođenje zaštićenih i kriptiranih pristupa. Inače, može im stići tužba za uvrede koje je njihov susjed uputio nakon što se okačio o njihov wireless uređaj. Otkrivanje pravog počnitelja može postati nemoguća misija.
Na koncu, spomenimo brojne javne WiFi točke: zlonamjerni korisnici mogu uvijek iskoristiti njihovo gostoprimstvo za nedozvoljene aktivnosti, uz ograničene mogućnosti otkrivanja počinitelja.
Stoga, možemo zaključiti da će svatko tko bude želio ostavljati zaista anonimne komentare, vrlo brzo naučiti kako se to radi. Zakon će se, izgleda, baviti samo onima naivnijima ili onima koji neće moći obuzdati afekt kada odluče odvaliti svog omraženog političkog protivnika. Moglo bi se pokazati točnim da će zakon postati značajniji kao okvir za deklarativno normiranje dozvoljenog govora. I reguliranje verbalnog delikta.
Naime, da bi se određeno kazneno djelo uvrede, sramoćenja ili klevete moglo procesuirati, potrebno je utvrditi identitet počinitelja. Pobornici zakona pomalo euforično govore kako se nitko više neće skrivati iza anonimnosti Interneta jer je, zna se, tehničkim instrumentima moguće utvrditi identitet i onih osoba koji se predstavaljaju izmišljenim ili možda tuđim identitetima, ili se uopće ne predstavljaju. Optimizam pobornika novog zakona temelji se na činjenici da se svaki put kada netko postavi tekst na nekom blogu, društvenoj mreži ili medijskom portalu bilježe podaci o mrežnoj adresi računala s kojeg je stigao tekst. Pod pretpostavkom da nadležna tijela imaju odgovarajuća ovlaštenja, potrebno je samo nekoliko klikova i telefonskih pozva kako bi se utvrdio stvarni identitet tražene osobe. Prethodna pretpostavka je sve samo ne hipotetska: policijski istražitelji mogu doći do ovih podataka ne samo s domaćih poslužitelja, nego i sa najpopularnijih svjetskih socijalnih mreža.
Stvari izgledaju, dakle, idealno i nema prepreke za provedbu novog zakona. No, je li baš tako? Nisam uvjeren.
Naime, tehnički je veoma jednostavno prikriti i promijeniti IP adresu. Za to vam nije potrebno osobito tehničko priznanje, na raspolaganju vam stoji nekoliko veoma dostupnih mehanizama - od različitih izvedbi proxy servera, pa do sofisticiranih sustava kao što su TOR ili čak komercijalni servisi koji osiguravaju anonimnost. Treba ipak istaknuti da je u nekim slučajevima moguće identificirati korisnike anonimnih servisa, no to zahtjeva znatno veći tehnički napor i autoritet (anonimni mehanizmi su u pravilu smješteni izvan dosega naših sudskih tijela). I jedno upozorenje čitateljima: na raspolaganju su brojni servisi koji pružaju anonimnost, no treba ih koristiti i sa značajnim oprezom i u ograničenom opsegu, a svakako izbjegavati prenositi privatne podatke ovim kanalima.
Ako vam ovaj pristup izgleda nerealan, za što ipak nema razloga, ukazati ću i na neke druge situacije gdje će trebati znatno više truda za dokazivanje identiteta.
S obzirom da je posjećivanje društvenih mreže redovita aktivnost koja se obavlja tijekom radnog vremena, postavljanje uvreda sa računala i iz mreže vaše tvrtke, ostaviti će na serveru podatke tvrtke, a ne vaše osobne. Tumačeći kazneni zakon, pretpostavljam da će nadležna sudska tijela trebati procesuirati samu tvrtku, no prepuštam pravnicima da isprave moj zaključak. U svakom slučaju, novi zakon će biti dodatni motiv tvrtkama i organizacijama za uređenje vlastite informacijske sigurnosti i uvođenje mehanizama za utvrđivanje odgovornosti i dokazivosti korisničkih postupaka.
Nadalje, novi zakon bi svakako trebao motivirati privatne korisnika interneta koji i dalje imaju nezaštićene bežične uređaje za konačno uvođenje zaštićenih i kriptiranih pristupa. Inače, može im stići tužba za uvrede koje je njihov susjed uputio nakon što se okačio o njihov wireless uređaj. Otkrivanje pravog počnitelja može postati nemoguća misija.
Na koncu, spomenimo brojne javne WiFi točke: zlonamjerni korisnici mogu uvijek iskoristiti njihovo gostoprimstvo za nedozvoljene aktivnosti, uz ograničene mogućnosti otkrivanja počinitelja.
Stoga, možemo zaključiti da će svatko tko bude želio ostavljati zaista anonimne komentare, vrlo brzo naučiti kako se to radi. Zakon će se, izgleda, baviti samo onima naivnijima ili onima koji neće moći obuzdati afekt kada odluče odvaliti svog omraženog političkog protivnika. Moglo bi se pokazati točnim da će zakon postati značajniji kao okvir za deklarativno normiranje dozvoljenog govora. I reguliranje verbalnog delikta.
27.7.10
Trebaju li političari biti Facebooku?
Jutarnji list je proteklog tjedna objavio članak o nespremnosti naših političara za otvaranje profila na Facebooku i sudjelovanje u društvenim mrežama, istog tjedna kada je i Facebook objavio podatak o 500 miljuna korisnika svog servisa.
Treba li nas zabrinjavati što naših političara nema na socijalnim mrežama?
Ovu temu sam već ranije dotaknuo na ovim stranicama, a glavni motiv mog interesa je stajalište da građani/pojedinci/osobe moraju biti zaštićeni od svih oblika zloupotrebe informacijskog sustava ili manipulacija informacijskim sustavom - bez obzira radi li se o zaštiti privatnosti koju ugrožavaju velike korporacije ili državne institucije ili se radi o očuvanju javnosti i prava na objektivno mišljenje koje ne smije biti ugroženo manipulacijama i inžinjeringom.
Kako se socijalne mreže uklapaju u ova polazišta?
Jedno od osnovnih mehanizama na kojem se temelji korištenje informacijskog sustava je mehanizam povjerenja. Ovim mehanizmom pružatelj i primatelj informacijskih servisa međusobno izmjenjuju simetrična ili asimetrična prava za korištenje servisa, a ova prava temelje na međusobnom povjerenju. U poslovnim sustavima se ovaj mehanizam može lako opisati iako upravljanje povjerenjem nigdje nije jednostavan posao. Kada je u pitanju povjerenje koje mora dodjeliti pojedinac na privatnoj razini, stvari se strašno kompliciraju, a ja ću se osvrnuti samo na dio ove problematike koja se odnosi na socijalne mreže.
Specifičnost socijalnih mreži je u tome što krajnji korisnici servisa ujedno imaju odgovornost dodjele povjerenja. Sama socijalna mreža je tek posrednik u ovom procesu. Dakle sudjelovanjem u socijalnim mrežama pojedinci koriste razne reputacijske alate kako bi odobrili ili opozvali povjerenje, stvarajući ili preuzimajući određeni model komunikacije među korisnicima, bilo da se radi o komunikaciji ravnopravnih članova ili o komunikaciju pojednog člana i grupe svojih sljedbenika. Ovakav model dodjele povjerenja, ali i sami servisi koji se koriste na socijalnim mrežama imaju znatne manjkavosti koje se oslikavaju u nemogućnosti verifikacije identiteta, manipulacije reputacijskim podacima, nekontroliranom preuzimanju sadržaja, a što na koncu vodi vodi do značajnih mogućnosti za manipulaciju informacijama koje se na socijalnim mrežama pružaju. Ne treba zanemariti i direktne prijetnje socijalnih mreža privatnosti sudionika a, što svakako treba zabrinuti odgovorne osobe u poslovnim sustavima ili državnim organizacijama, socijalne mreže su i izraziti kanal curenja informacija.
No, sudjelovanje političara uključuje i još jedan potencijalni problem: miješanje javnosti i svijeta virtualnih grupa. Sve da nas uopće nije briga o prije spomenutim problemima socijalnih mreža, uključivanje političara ne može biti njihova osobna stvar koja se tiče samo njih i uključenih članova socijalnih mreža (kao što mediji voli reći, političari su javne osobe pa moraju biti spremni na pojačan interes javnosti). Ne treba biti previše bistar kako bi se zaključilo da je interes političara za socijalne mreže povezan prije svega s mogućnošću socijalnih mreža za oblikovanje javnog mišljenja i građenje ciljane slike o samom/samoj sebi. Sasvim sam siguran da javnost ne može profitirati od sudjelovanja političara u javnim mrežama. Javnost može dobiti samo još jedan oblik manipulacije javim mišljenjem. Najgore što se na koncu može dogoditi da virtualna javnost zamjeni realnu javnost i da virutalne grupe zamjene javnu raspravu ili političke procese.
Stoga, zahvalan sam svima političarima koji nisu na Facebooku.
Treba li nas zabrinjavati što naših političara nema na socijalnim mrežama?
Ovu temu sam već ranije dotaknuo na ovim stranicama, a glavni motiv mog interesa je stajalište da građani/pojedinci/osobe moraju biti zaštićeni od svih oblika zloupotrebe informacijskog sustava ili manipulacija informacijskim sustavom - bez obzira radi li se o zaštiti privatnosti koju ugrožavaju velike korporacije ili državne institucije ili se radi o očuvanju javnosti i prava na objektivno mišljenje koje ne smije biti ugroženo manipulacijama i inžinjeringom.
Kako se socijalne mreže uklapaju u ova polazišta?
Jedno od osnovnih mehanizama na kojem se temelji korištenje informacijskog sustava je mehanizam povjerenja. Ovim mehanizmom pružatelj i primatelj informacijskih servisa međusobno izmjenjuju simetrična ili asimetrična prava za korištenje servisa, a ova prava temelje na međusobnom povjerenju. U poslovnim sustavima se ovaj mehanizam može lako opisati iako upravljanje povjerenjem nigdje nije jednostavan posao. Kada je u pitanju povjerenje koje mora dodjeliti pojedinac na privatnoj razini, stvari se strašno kompliciraju, a ja ću se osvrnuti samo na dio ove problematike koja se odnosi na socijalne mreže.
Specifičnost socijalnih mreži je u tome što krajnji korisnici servisa ujedno imaju odgovornost dodjele povjerenja. Sama socijalna mreža je tek posrednik u ovom procesu. Dakle sudjelovanjem u socijalnim mrežama pojedinci koriste razne reputacijske alate kako bi odobrili ili opozvali povjerenje, stvarajući ili preuzimajući određeni model komunikacije među korisnicima, bilo da se radi o komunikaciji ravnopravnih članova ili o komunikaciju pojednog člana i grupe svojih sljedbenika. Ovakav model dodjele povjerenja, ali i sami servisi koji se koriste na socijalnim mrežama imaju znatne manjkavosti koje se oslikavaju u nemogućnosti verifikacije identiteta, manipulacije reputacijskim podacima, nekontroliranom preuzimanju sadržaja, a što na koncu vodi vodi do značajnih mogućnosti za manipulaciju informacijama koje se na socijalnim mrežama pružaju. Ne treba zanemariti i direktne prijetnje socijalnih mreža privatnosti sudionika a, što svakako treba zabrinuti odgovorne osobe u poslovnim sustavima ili državnim organizacijama, socijalne mreže su i izraziti kanal curenja informacija.
No, sudjelovanje političara uključuje i još jedan potencijalni problem: miješanje javnosti i svijeta virtualnih grupa. Sve da nas uopće nije briga o prije spomenutim problemima socijalnih mreža, uključivanje političara ne može biti njihova osobna stvar koja se tiče samo njih i uključenih članova socijalnih mreža (kao što mediji voli reći, političari su javne osobe pa moraju biti spremni na pojačan interes javnosti). Ne treba biti previše bistar kako bi se zaključilo da je interes političara za socijalne mreže povezan prije svega s mogućnošću socijalnih mreža za oblikovanje javnog mišljenja i građenje ciljane slike o samom/samoj sebi. Sasvim sam siguran da javnost ne može profitirati od sudjelovanja političara u javnim mrežama. Javnost može dobiti samo još jedan oblik manipulacije javim mišljenjem. Najgore što se na koncu može dogoditi da virtualna javnost zamjeni realnu javnost i da virutalne grupe zamjene javnu raspravu ili političke procese.
Stoga, zahvalan sam svima političarima koji nisu na Facebooku.
19.12.08
Različiti aspekti zaštite privatnosti
Ovih dana sam odgovarao na pitanje o povezanosti mojeg zadnjeg napisa sa temama ovog bloga. Taj napis, naime, treba čitati kao dio problematike zaštite privatnosti. Zaštita privatnosti se najčešće sagledava kroz prizmu čuvanja i neotkrivanja osobnih podataka. No, zaštita privatnosti ima (barem) još dva aspekta vezana za informacijske tehnologije, koje bi, po mojem mišljenju, trebalo detaljno sagledati.
Prvi aspekt se odnosi na sve dominantniju informatizaciju javne uprave, koja nas, istini za volju, tek očekuje u pravom zamahu. Naime, može se očekivati da će različiti informatički servis - najčešće u nadležnosti državnih tijela - imati sve značajniji utjecaj. Takvi će servisi evoluirati od informativnog karaktera prema pružanju različitih kritičnih servisa i obavljanju važnih transakcija. Čuvanje osobnih podataka neće više biti jedini zahtjev koje će ove aplikacije morati ispuniti. Točnost, vjerodostojnost i neporecivost imati će kritično značenje. Posebno će se to odnositi na sustave i aplikacije koje će imati funkciju arbitra u pojedinim društvenim transakcijama. Zamislite, na primjer, funkciju digitalnog javnog bilježnika: neodgovorna realizacija takvog i sličnih sustava postati će izvor manipulacija i korupcije. Možemo s pravom postaviti pitanje kako će pojedinci (građani, osobe) biti zaštićeni u takvim sustavima? Kako će javni servis dokazaviti svoju vjerodostojnost? Hoće li pojedinci moći osporavati transakcije obavljene ovim servisima? Smatram da ova problematika mora pridobiti posebnu pozornost i postati važno područje zaštite osobnih prava u digitalnom svijetu.
Drugi aspekt zaštite privatnosti zapravo i ne predstavlja suštinsku novost. Naime, već su se i tradicionalni elektronički mediji pokazali veoma iskoristivim u svrhu manipulacije javnošću. Novi mediji, vezani prije svega za Internet, imaju još i veći potencijal za takve manipulacije. S obzirom da su upravo pojedinci (građani,osobe) ponajviše izloženi manipulacijama na svim područjima (od ekonomije do politike), smatram da ograničenje aktivnosti koje pokazuju tendenciju manipulacijama i zaštita pojedinaca od manipulacija također moraju postati važno područje zaštite osobnih prava u digitalnom svijetu.
Upravo je ovaj drugi aspekt bio poveznica s prethodnim napisom s ovih stranica. Smatram da su prave aktivnosti tek pred nama, a slobodno mi sugerirajte i druge aspekte zaštite osobnih sloboda u digitalnom svijetu.
Prvi aspekt se odnosi na sve dominantniju informatizaciju javne uprave, koja nas, istini za volju, tek očekuje u pravom zamahu. Naime, može se očekivati da će različiti informatički servis - najčešće u nadležnosti državnih tijela - imati sve značajniji utjecaj. Takvi će servisi evoluirati od informativnog karaktera prema pružanju različitih kritičnih servisa i obavljanju važnih transakcija. Čuvanje osobnih podataka neće više biti jedini zahtjev koje će ove aplikacije morati ispuniti. Točnost, vjerodostojnost i neporecivost imati će kritično značenje. Posebno će se to odnositi na sustave i aplikacije koje će imati funkciju arbitra u pojedinim društvenim transakcijama. Zamislite, na primjer, funkciju digitalnog javnog bilježnika: neodgovorna realizacija takvog i sličnih sustava postati će izvor manipulacija i korupcije. Možemo s pravom postaviti pitanje kako će pojedinci (građani, osobe) biti zaštićeni u takvim sustavima? Kako će javni servis dokazaviti svoju vjerodostojnost? Hoće li pojedinci moći osporavati transakcije obavljene ovim servisima? Smatram da ova problematika mora pridobiti posebnu pozornost i postati važno područje zaštite osobnih prava u digitalnom svijetu.
Drugi aspekt zaštite privatnosti zapravo i ne predstavlja suštinsku novost. Naime, već su se i tradicionalni elektronički mediji pokazali veoma iskoristivim u svrhu manipulacije javnošću. Novi mediji, vezani prije svega za Internet, imaju još i veći potencijal za takve manipulacije. S obzirom da su upravo pojedinci (građani,osobe) ponajviše izloženi manipulacijama na svim područjima (od ekonomije do politike), smatram da ograničenje aktivnosti koje pokazuju tendenciju manipulacijama i zaštita pojedinaca od manipulacija također moraju postati važno područje zaštite osobnih prava u digitalnom svijetu.
Upravo je ovaj drugi aspekt bio poveznica s prethodnim napisom s ovih stranica. Smatram da su prave aktivnosti tek pred nama, a slobodno mi sugerirajte i druge aspekte zaštite osobnih sloboda u digitalnom svijetu.
10.12.08
Realna i virtualna javnost
Približava se kraj godine i običaj je raditi završne izvještaje o događajima iz protekle godine. Nedavni prosvjed organizirane pomoću Facebooka prilika su za povlačenje zanimljivih usporedbi s lažnim intervjuom premijera Sanadera Jutarnjem listu, a o kojemu sam pisao u veljači. U čemu je srodnost ovih događaja i koje to ima veze s temom ovih stranica?
I jedan i drugi slučaj su vezani za manipulaciju identitetima i za bezrezervno (i ponekad neopravdano) povjerenje korisnika u vjerodostojnost informacijskog sustava.
O prvom slučaju ste upoznati, no koje su značajke ovog drugog, tj. organizacije prosvjeda i pokušaja okupljanja sudionika ovih prosvjeda početkom prosinca u većim Hrvatskim gradovima?
Naime, ne mogu se oteti dojmu da je konačni učinak prosvjeda bio razočaravajući za redovite pratitelje i kroničare društvenih zbivanja: od početne euforije pojačane nespretnom intervencijom policije pa do osporavanja i ograđivanja potaknutih profilom i kompetencijom organizatora. Takvo je nezadovoljstvo prije svega motivirano izvedbom i razultatima samog događaja, a manje sadržajem koji je ponuđen događajem. Sudionici smatraju da su "nasjeli" pozivima organizatora, da su nesmotreno pristali biti publika i dati svojevrsni legitimitet osobama koje to nisu zasluživale, te da je konačni učinak događaja manji od očekivanog.
Ne želim, naravno, uopće ulaziti u temu prosvjeda i motive prosvjednika. Zaintrigirale su me dvije, međusobno povezane, činjenice. Prvo, lakoća kojom su organizatori postigli pozornost javnosti; drugo, činjenica da su prosvjedi okupili podosta sudionika za koje možemo sa sigurnošću reći da nisu uključeni u Faceobook zajednicu.
Rekao bih da je pozornost javnosti (koja je i rezultirala okupljanjem šarolikog profila prosvjednika) rezultat neprovjerenog odobravanja medija bez obzira što kompetencije organizatora nisu provjerene. Drugim rječima, organizatori su se, iskorištavajuće neke druge trendove u medijskom prostoru, uspjeli dobro prodati tradicionalnim medijima (kao što se prodao autor lažnog premijervog intervjua). Razočarenja i osporavanja došla su prekasno.
Za razliku od intervjua lažnog premijera koji je mogao biti spriječen uz veću opreznost novinara ili urednika, ovdje smo na djelu imali masovnu reakciju koja teško da je mogla biti izbjegnuta, no ukazuje nam na problem potencijalnih manipulacija većih razmjera. Naime, poslovni model koji stoji iza Facebooka fokusiran je na direktni marketing članovima zajednice. Mogući su naravno i obratni smjerovi, tj, da članovi zajednice djeluju prema okolini, no pouzdanost i vjerodostojnost takvih aktivnosti nije podržana poslovnim modelom Facebooka, barem ne bez "bugova", pa će rezultati biti uglavnom konfuzni i nerelevantni. Ipak, ima i uspješnih primjera, npr. prosvjed srednjoškolaca održan ovog ljeta, no u tom su slučaju ideja i poruka bili artikulirani mimo Facebooka, a koji je iskoršten prije svega kao mobilizacijski mehanizam unutar uske interesne skupine.
Stoga, smatram da se društveni život ne može oslanjati na anonimnim i neprovjerljivim korisničkim identitetima, čija se relevantnost postiže, ne suštinskim sadržajem, već količinom "klikova". Mali je korak do masovnog socijalnog inženjeringa.
Vjerujem da će i ovaj događajh pokazati da je potrebno jasno raspoznavati virtualne od realnih zajednica. Također, nadam se da "Javnost" može postojati isključivo kao realna zajednica s provjerenim i provjerljivim metodama djelovanja. Nisam, naravno, protivnik virtualne javnosti no smatram da, kao i u slučaju arhitekture virtualnih operativnih sustava, ova vrsta javnosti mora ostati unutar vlastitog konteksta.
I jedan i drugi slučaj su vezani za manipulaciju identitetima i za bezrezervno (i ponekad neopravdano) povjerenje korisnika u vjerodostojnost informacijskog sustava.
O prvom slučaju ste upoznati, no koje su značajke ovog drugog, tj. organizacije prosvjeda i pokušaja okupljanja sudionika ovih prosvjeda početkom prosinca u većim Hrvatskim gradovima?
Naime, ne mogu se oteti dojmu da je konačni učinak prosvjeda bio razočaravajući za redovite pratitelje i kroničare društvenih zbivanja: od početne euforije pojačane nespretnom intervencijom policije pa do osporavanja i ograđivanja potaknutih profilom i kompetencijom organizatora. Takvo je nezadovoljstvo prije svega motivirano izvedbom i razultatima samog događaja, a manje sadržajem koji je ponuđen događajem. Sudionici smatraju da su "nasjeli" pozivima organizatora, da su nesmotreno pristali biti publika i dati svojevrsni legitimitet osobama koje to nisu zasluživale, te da je konačni učinak događaja manji od očekivanog.
Ne želim, naravno, uopće ulaziti u temu prosvjeda i motive prosvjednika. Zaintrigirale su me dvije, međusobno povezane, činjenice. Prvo, lakoća kojom su organizatori postigli pozornost javnosti; drugo, činjenica da su prosvjedi okupili podosta sudionika za koje možemo sa sigurnošću reći da nisu uključeni u Faceobook zajednicu.
Rekao bih da je pozornost javnosti (koja je i rezultirala okupljanjem šarolikog profila prosvjednika) rezultat neprovjerenog odobravanja medija bez obzira što kompetencije organizatora nisu provjerene. Drugim rječima, organizatori su se, iskorištavajuće neke druge trendove u medijskom prostoru, uspjeli dobro prodati tradicionalnim medijima (kao što se prodao autor lažnog premijervog intervjua). Razočarenja i osporavanja došla su prekasno.
Za razliku od intervjua lažnog premijera koji je mogao biti spriječen uz veću opreznost novinara ili urednika, ovdje smo na djelu imali masovnu reakciju koja teško da je mogla biti izbjegnuta, no ukazuje nam na problem potencijalnih manipulacija većih razmjera. Naime, poslovni model koji stoji iza Facebooka fokusiran je na direktni marketing članovima zajednice. Mogući su naravno i obratni smjerovi, tj, da članovi zajednice djeluju prema okolini, no pouzdanost i vjerodostojnost takvih aktivnosti nije podržana poslovnim modelom Facebooka, barem ne bez "bugova", pa će rezultati biti uglavnom konfuzni i nerelevantni. Ipak, ima i uspješnih primjera, npr. prosvjed srednjoškolaca održan ovog ljeta, no u tom su slučaju ideja i poruka bili artikulirani mimo Facebooka, a koji je iskoršten prije svega kao mobilizacijski mehanizam unutar uske interesne skupine.
Stoga, smatram da se društveni život ne može oslanjati na anonimnim i neprovjerljivim korisničkim identitetima, čija se relevantnost postiže, ne suštinskim sadržajem, već količinom "klikova". Mali je korak do masovnog socijalnog inženjeringa.
Vjerujem da će i ovaj događajh pokazati da je potrebno jasno raspoznavati virtualne od realnih zajednica. Također, nadam se da "Javnost" može postojati isključivo kao realna zajednica s provjerenim i provjerljivim metodama djelovanja. Nisam, naravno, protivnik virtualne javnosti no smatram da, kao i u slučaju arhitekture virtualnih operativnih sustava, ova vrsta javnosti mora ostati unutar vlastitog konteksta.
12.9.08
"Hackiranje" informacija
S osobitim zanimanjem pratim svaku pojavu "ranjivosti novog kova". Naročito me zanimaju događaji koji mogu promjeniti naše dosadašnje shvaćanje određene tehnologije. Možda je pretjerano ovaj slučaj tako nazvati, no u sebi nosi veoma važne pouke. Srećom, nije se desio u našoj neposrednoj blizini (iako je kontekst veoma aktualan u današnjoj Hrvatskoj).
Dakle, Google News je 7. rujna 2008. objavio da je United Airlines, jedna od najvećih zrakoplovnih kompanija, pred bankrotom. Vijest se pojavila u nedjelju, a odmah idućeg dana reagiralo je tržište: dionica UAL je pala sa 12 USD na 3 USD. Vijest bi bila dramatična, ali ne i neobična. Ipak, pokazalo se da je informacija o bankrotu kriva, a ono što je zanimljivo je pozadina te vijesti.
Naime Google News funkcionira kao agregator koji indeksira vijesti sa najznačajnijih medijskih portala. Pravi posao obavlja Googlebot koji zapravo pretražuje web servere. Vijest o bankrotu UAL pojavila se na stranicama portala Sun-Sentinel, inače u vlasništvu velikog izdavača koji izdaje i Chicago Tribune. No, problem je u tome što je ovo bila vijest iz 2002. godine. Sun-Sentinel je naslovnici neoprezno objavio link na staru vijest (u rubrici "najpopularniji članci"). Googlebot je prepoznao tu vijest kao novu (analizom pridjeljene url adrese, naravno nije analizirao sadržaj). Ostatak je bio automatizam (koji Google čini onim što i je).
Odmah su se pojavila dva pitanja.
Prvo, kako to da je Google indeksirao taj članak kao novi? Google objašnjava da pridjeljeni url do tada nije bio registriran u njihovim sustavima pohrane, a s jedini datum koji je uz vijest bio dostupan je 7. rujna 2008. Sun-Sentinel, odnosno njihov izdavač Tribune, nisu se tek tako predali, pa je uslijedilo prepucavanje koj se svodi na problem kokoš/jaje (pogledajte reakciju Google-a i odgovor Tribuna).
Kako sada stvari stoje, izgleda ipak da je Tribune bio malo neoprezan oko izgradnje svog CMS sustava i da nose znatan dio krivice.
No drugo pitanje je možda čak i zanimljivije: kako to da se vijest stara šest godina odjednom pojavila na naslovnici Sun-Sentinela kao popularna? Ponovo je u pitanju automatizam njihove CMS aplikacije koja je utvrdila pojačanu frekventnost pristupa url adresi o bankrotu UAL (iako staroj šest godina), pa se taj naslov automatski pojavio u istaknutom okviru. No, time se otvorilo pitanje pozdanosti takvog algoritma ocjene popularnosti? Ako je povećani broj klikova jedini kriterij za kategoriziranje određen vijesti kao najpopularnije, onda zaista nije nikakva problem postići ovakav efekt. To se može napraviti na brutalan način (i s primitivnom botnet infrastrukturom), a još jednostavnije je koristiti digitalna društvena okupljališta i Web 2.0 tehnologiju (npr. Digg).
Drugim rječima, na djelu smo vidjeli slučajnu ili poticanu manipulaciju informacijom, korištenjem web aplikacija. Iako se možda radi samo o tehničkoj greški uzrokovanom nedovoljno provjerenim automatizmom, u ovome vidim i mogućnosti zlonamjernih aktivnosti koje se kreću između manipulacije i hackiranja istine.
Dakle, Google News je 7. rujna 2008. objavio da je United Airlines, jedna od najvećih zrakoplovnih kompanija, pred bankrotom. Vijest se pojavila u nedjelju, a odmah idućeg dana reagiralo je tržište: dionica UAL je pala sa 12 USD na 3 USD. Vijest bi bila dramatična, ali ne i neobična. Ipak, pokazalo se da je informacija o bankrotu kriva, a ono što je zanimljivo je pozadina te vijesti.
Naime Google News funkcionira kao agregator koji indeksira vijesti sa najznačajnijih medijskih portala. Pravi posao obavlja Googlebot koji zapravo pretražuje web servere. Vijest o bankrotu UAL pojavila se na stranicama portala Sun-Sentinel, inače u vlasništvu velikog izdavača koji izdaje i Chicago Tribune. No, problem je u tome što je ovo bila vijest iz 2002. godine. Sun-Sentinel je naslovnici neoprezno objavio link na staru vijest (u rubrici "najpopularniji članci"). Googlebot je prepoznao tu vijest kao novu (analizom pridjeljene url adrese, naravno nije analizirao sadržaj). Ostatak je bio automatizam (koji Google čini onim što i je).
Odmah su se pojavila dva pitanja.
Prvo, kako to da je Google indeksirao taj članak kao novi? Google objašnjava da pridjeljeni url do tada nije bio registriran u njihovim sustavima pohrane, a s jedini datum koji je uz vijest bio dostupan je 7. rujna 2008. Sun-Sentinel, odnosno njihov izdavač Tribune, nisu se tek tako predali, pa je uslijedilo prepucavanje koj se svodi na problem kokoš/jaje (pogledajte reakciju Google-a i odgovor Tribuna).
Kako sada stvari stoje, izgleda ipak da je Tribune bio malo neoprezan oko izgradnje svog CMS sustava i da nose znatan dio krivice.
No drugo pitanje je možda čak i zanimljivije: kako to da se vijest stara šest godina odjednom pojavila na naslovnici Sun-Sentinela kao popularna? Ponovo je u pitanju automatizam njihove CMS aplikacije koja je utvrdila pojačanu frekventnost pristupa url adresi o bankrotu UAL (iako staroj šest godina), pa se taj naslov automatski pojavio u istaknutom okviru. No, time se otvorilo pitanje pozdanosti takvog algoritma ocjene popularnosti? Ako je povećani broj klikova jedini kriterij za kategoriziranje određen vijesti kao najpopularnije, onda zaista nije nikakva problem postići ovakav efekt. To se može napraviti na brutalan način (i s primitivnom botnet infrastrukturom), a još jednostavnije je koristiti digitalna društvena okupljališta i Web 2.0 tehnologiju (npr. Digg).
Drugim rječima, na djelu smo vidjeli slučajnu ili poticanu manipulaciju informacijom, korištenjem web aplikacija. Iako se možda radi samo o tehničkoj greški uzrokovanom nedovoljno provjerenim automatizmom, u ovome vidim i mogućnosti zlonamjernih aktivnosti koje se kreću između manipulacije i hackiranja istine.
Pretplati se na:
Postovi (Atom)