Feb 1, 2013

Adware og Spyware - BigData I


Spyware

I prinsippet er det to hovedmetoder for implementering av spyware: "serverside" og "clientside". 
Den siste gruppen (clientside) installeres oftest på PC'en via eksempelvis ondsinnet virus, trojaner, osv. men er ikke tema her.

"Serverside" spyware er i prinsippet programkode innebygget (embedded) i nettsider brukeren besøker/leser. Denne programkoden har tre hovedmål:
  • Identifisere brukeren og hva denne foretar seg (på tvers av internet).
  • Lese alt som er mulig å få aksess til (via http og plugins) fra brukerens PC.
  • Sende dataene "hjem" for akkumulering og analyse. 
Dette skjer uten at brukeren blir informert om dette og uten brukerens aksept.


Adware

Adware og spyware er gjerne to sider av samme sak (i denne konteksten).
Analyse av akkumulerte persondata og "profiling" nyttes bl.a. for å rette reklame dedikert en spesiell bruker/brukergruppe ("targeted marketing") og/eller for å rette maksimalt antall (forskjellig) reklame mot en bruker ("internet marketing").

Spissformulert kan en si at du vil du få rosa innhold om du er hunkjønn og blått innhold om du er hankjønn, men algoritmene er langt mere sofistikerte enn kjønnsstereotyper når det leveres "personalized" innhold.
Det er, mildt sagt, en høyst uheldig og udemokratisk utvikling ved at innhold filtreres, og denne korte videoen fra TED Talk illustrer "det personligjorte innholdet" - filterbobblen:



EU's ePrivacy direktiv kan forhindre dette ved at brukeren gis kontroll over egne data.
Men lobbyvirksomheten for å forhindre implementeringen av direktivet er så enormt at det overgår alt tidligere erfart.


WaporWare

I 2010 publiserte Samferdselsdep. Høring om endring i lov om elektronisk kommunikasjon med forskrifter med blant annet følgende forslag til endring i eKomforskriften
FORSLAG: § 7-3 Opplysninger i brukers kommunikasjonsutstyr
Lagring av opplysninger i brukers kommunikasjonsutstyr eller å skaffe seg adgang til slike opplysninger er ikke tillatt. Slik lagring eller adgang kan likevel skje dersom bruker har blitt informert av den behandlingsansvarlige i henhold til personopplysningsloven og har gitt sitt samtykke. Første punktum er likevel ikke til hinder for teknisk lagring eller adgang til opplysninger:
1. utelukkende for det formål å overføre eller lette overføringen av kommunikasjonen i et elektronisk kommunikasjonsnett
2. som er nødvendig for å levere en informasjonssamfunnstjeneste etter brukerens uutrykkelige forespørsel


Denne paragrafen resulterte i en del snodige artikler i media. Interesseorganisasjonen for interaktiv markedsføring (INMA) påsto
Ny norsk lov kan lamme internett En ny forskrift fra regjeringen truer livsgrunnlaget til norske nettmedier. - Hvis dette blir vedtatt, vil det sende internett tilbake til steinalderen, sier ekspert.
Jeg tror ikke de har tenkt på det, men hvis dette blir vedtatt, vil det sende internett tilbake til steinalderen, sier Inma-sjefen til E24.
Han tror manglende kunnskap om informasjonskapsler er årsaken til forslaget, som han mener vil slå bena under inntjeningen til norske nettmedier.
- Problemet er at de som har laget dette ikke vet nok om hvordan internett fungerer, sier Willstedt (24.01.2011).

Og i 25.05.2011 publiserte han at EU-forbud knebler norske nettbedrifter hvor han forteller at:
.....25. mai, deadline for de europeiske landene å implementere EU sitt upopulære ePrivacy-direktiv .... Lovforslaget regulerer «lesing og lagring i brukers kommunikasjonsutstyr» som er en av hovedpilarene i måten internett er bygget opp på. Uten slik lesing og lagring vil mange av tjenestene vi tar for gitt i dag ikke fungere, som nettbanker, selvangivelse på internett, e-handel, webmail og Facebook
.....
Den internasjonale standarden som definerer hvordan nettet skal fungere gjør det heller ikke mulig for en nettaktør å samle inn samtykke fra en annen, noe som gjør at den britiske tolkningen skaper et internett med fattigere tjenester og irriterte brukere.
Teknologien og standarden bak internett er utviklet med brukernes sikkerhet i fokus, og reguleringsivrerne i EU burde....
Men internet (med dets tusener standarder) fungerer ikke slik eller er "bygget opp" slik INMAs representant skriver.

Høringsbrevet deres (Høringsbrevet fra IMNA og Mediebedriftenes Landsforening) henviser riktignok til en (eksplisitt) standard for implementerting av cookie ("Http State Management") hvor de skriver at "cookies må ikke sammenblandes med spyware".
Dette er riktig. Det er de metoder som nyttes (av bl.a. INMA) som utgjør spyware (og ikke cookies i seg selv).



Loven er heller ikke ny men er å finne i den eldre ekonforskriftene.
(Jeg har forlengst merket med at (heller ikke) INMA overholder eksisterende lov.)
eKomloven fra 2004 (lovdata) "§ 7-3. Behandling av informasjonskapsler mv.
Elektronisk kommunikasjonsnett kan ikke benyttes til lagring av opplysninger i brukers kommunikasjonsutstyr eller for å skaffe seg adgang til slike, uten at bruker er gitt informasjon av den behandlingsansvarlige i henhold til personopplysningsloven, herunder om behandlingsformålet og er gitt anledning til å motsette seg behandlingen. Dette er likevel ikke til hinder for teknisk lagring eller adgang til opplysninger:
1.utelukkende for det formål å overføre eller lette overføringen av kommunikasjon i et elektronisk kommunikasjonsnett

2.som er nødvendig for å levere en informasjonssamfunnstjeneste etter brukerens uttrykkelige forespørsel...... "

Forskjellen er at nytt lovforslag presiserer at brukeren skal både informeres av databehandlingsansvarlige og gi eksplisitt tillatelse på forhånd.

Høringsbrevet  bruker TNS Gallup som eksempel for å illustrere hvordan hver bruker tildeles en unik ID (via cookie), for å spore brukerne på tvers av internet. Dette er nettopp hva ePrivacy direktiver skal hindre at skjer uten brukers eksplisitte samtykke. (se  Analytics - BigData II om unik ID)
(En kan takke bl.a. TNS og imrwordwide.com for at blokkeringsprogrammer for spyware og adware ble tidlig kommersialisert).


LobbyWare
 
Ad-industrien gikk sammen om å utarbeide selvregulering for bruk av ”cookies”Med i arbeidsgruppen var også IKT Norge. Sammen skulle de lage "en god selvreguleringsordning".


Denne skulle også "verne brukeren" mot at brukerens selvbestemmelse, og fremmes av følgende paradoks:
  1) Det er et dilemmaet at når brukeren selv får bestemme, vil under 10% akseptere å bli tracket.
  2) 9 av 10 brukere blir "frustrerte over at nettstedene ikke fungerte når de avviste cookies".

Hva en forteller her er at det ikke er cookies, men metodene en nytter, som denne industrien ønsker å hegne om. Om brukeren blir informert (slik de skal) angående hvordan deres persondata nyttes for å akkumulere detaljert intelligens om brukerens private sfære så vil brukeren si tvert NEI.

For å illustrere sitt latterlige paradoks om at ePrivacy direktivet skader brukerne har de laget et stykke LobbyWare som skal illustrere (for kunnskapsløse beslutningstagere) hvordan nettet vil ødelegges om brukerens selvbestemmelse og personvern blir tatt alvorlig.
Dette kalles gjerne FUD (Fear, uncertainty and doubt) og er velkjendt.


Industrien som lever av å stjele, dele og/eller selge andres persondata har også lobbyer aktivt W3C (World Wide Web Consortium, Tracking Protection Working Group -TPWG) i arbeidet med å utvikle robuste løsninger for at nettbrukeren skal ha bedre verktøy og selv regulere hvorvidt de tillater akkumulert sporing på tvers av hele verdens millioner av web-steder. (bl.a. omtalt her Ad Industry's Assault on "Do Not Track" Continues at the W3C).
 Ad-industrien lobbyer tilsvarende mot EU for å få vannet ned e-Privacy direktivet. Aldri har noen sak vært utsatt for sterkere lobbyvirksomhet rapporteres fra EU.
Dette er en industri som snylter på brukeren. Det koster brukeren også en del å holde borte dette svineriet som Spyware & Adware representerer. Tidkrevende vedlikehold av programmer, unødig oppgradering av datamaskinens hardware-kapasitet (for både CPUcycler og memory) og - ergrelser.  Det er også store sikkerhetsrisikoer relatert denne type piratvirksomhet som Ad-industrien representerer.


Du er ikke anonym for BigData Adware

Det sier seg selv at du ikke er anonym når data akkumuleres om deg. Alternativt ville det ikke være mulig å akkumulere data om nettopp deg.
Og heller ikke mulig for eksempelvis TNS å fortelle hvor mange "unike" brukere som har besøkt et gitt nettstedet.


Personvernet 

Det er begrenset hvor mange ganger personvernet kan "mistes" da ens ID mistet kun én gang.

Bør vi reformulere loven slik at ePrivacy direktivet sammenfaller med åndsverkbeskyttet ©MineData?

 Det er mange aspekter som den lovgivende forsamling må ta inn over seg. Nå!

Links:

Adware og Spyware - BigData II

No comments:

Post a Comment