Ce este amprenta digitală? După ce am publicat analiza referitoare la mirajul criptomonedelor, am primit o invitaţie pe care nici prin gând nu mi-a trecut să o refuz: un consultant în IT s-a oferit să îmi facă o demonstraţie, cu laptopul în faţă, a legăturii dintre criptomonede și piaţa neagră. Exerciţiul s-a transformat într-o discuţie de trei ore despre securitatea cibernetică și s-a încheiat cu concluzii neașteptate despre furtul de identitate în scop politic.
Eram în primul an de facultate și cam al treilea de când utilizam computerul, când tatăl meu mi-a transmis un mesaj primit pe o listă de e-mailuri: „Dacă primiţi un e-mail dintr-o sursă necunoscută, cu un atașament cu extensie ciudată, nu îl deschideţi. Este un virus trojan, care vă infectează calculatorul fără ca voi să știţi.” Părea destul de serioasă treaba, așa că, la următorul curs de informatică, l-am întrebat pe profesor ce ne poate spune despre acești viruși. Cu o putere de convingere pe care mi-o amintesc și azi, la un oarecare număr de ani distanţă, ne-a spus „să nu ne fie frică de niciun trojan. Orice se strică la un computer poate fi reparat.” Mottoul acesta – în care cred și astăzi, dar altfel nuanţat – m-a ajutat enorm să îmi accelerez ritmul de învăţare a lucrului pe computer, fiindcă m-a încurajat să mă raportez la calculator nu ca la un obiect magic, ci ca la o sumă de operaţii logice. Tot ce aveam de făcut era să îmi calculez acţiunile.
Sunt tentată să privesc cu nostalgie la perioada aceea în care eram convinsă că nu am nimic de pierdut făcând orice mă tăia mintea pe calculator, câtă vreme nu mă aventuram în spaţii „sociale” cu conţinut de legalitate îndoielnică. Social media nu exista, Google încă nu crease nici măcar Gmail, iar big data era doar o ipoteză elitistă, care nici măcar nu ajunsese la urechile mele. În aceeași perioadă însă, la sute bune de kilometri de mine, un tânăr aflat în căutarea emancipării financiare provoca pierderi uriașe oamenilor, care, spre deosebire de mine, foloseau computerul și pentru altceva decât referate, jocuri video și accesul ocazional pe IRC. Metoda pe care și-o alesese era carding–ul – furtul de numere de card.
Pe atunci, cei mai mulţi utilizatori primeau câte un e-mail la o săptămână și manifestau de obicei prea puţină suspiciune faţă de o scrisoare electronică în care li se cerea introducerea datelor de card pentru achitarea unui impozit. Tânărul reușea cu ușurinţă să obţină numere de card, pe care le folosea apoi la cumpărături pe site-uri din străinătate. Împreună cu câţiva amici, dezvoltase o mică reţea prin care produsele ajungeau în România, chiar la poarta liceului unde învăţau. Le vindeau și obţineau pe ele bani frumoși, care le permiteau excese pe care colegii lor le vedeau mai mult prin filme.
Faţă în faţă cu disperarea mamei lui, care s-a văzut nevoită să se folosească de influenţa profesională ca să îl scape de pedeapsa legală de care alţi prieteni din reţea nu au reușit să scape, a schimbat taberele.
Schema a funcţionat o vreme și tânărul nostru și-a văzut liniștit de treabă, la institutul unde lucra mama lui, fiindcă organizaţia era privilegiată cu acces la internet cu bandă largă, în vreme ce majoritatea populaţiei accesa internetul prin dial-up. Într-o zi însă, fiindcă a uitat să facă un pas din ritualul de securitate prin care își masca acţiunile, a putut fi depistat de poliţie. Faţă în faţă cu disperarea mamei lui, care s-a văzut nevoită să se folosească de influenţa profesională ca să îl scape de pedeapsa legală de care alţi prieteni din reţea nu au reușit să scape, a schimbat taberele. Povestește că, de atunci, a mai avut circumstanţe – unele chiar extrem de presante – în care să „se împrumute” de pe cardurile altora, însă a decis să nu mai facă acest lucru.
A ales, în schimb, să fructifice tot ce a învăţat începând din 1995, când a primit primul lui calculator, lucrând în domeniul evaluării riscurilor de securitate (assessment). A avut și are mai multe afaceri profitabile în domeniul IT, îi place să spună că a crescut odată cu internetul în România și că, datorită faptului că a fost un autodidact tehnic de când se știe, nu există nicio inovaţie în IT pe care să nu o poată înţelege, dacă își pune mintea cu ea. Aș putea spune că autocaracterizarea lui seamănă cu mottoul profesorului meu de informatică din facultate. Însă, în acest punct al istoriei în care ne aflăm astăzi, optimismul profesorului nu mai este, din nefericire, adecvat. Miza a devenit, pur și simplu, prea mare.
Să înceapă demonstraţia!
Suntem într-un mall aglomerat din București și ne conectăm la darknet, acea reţea frecventată mai ales de traficanţi de tot soiul și de clienţii lor.
Toată demonstraţia are loc pe o mașină virtuală temporară, pe care o accesăm de la distanţă, pe laptopul conectat la internet prin telefon. Sursa mea îmi explică faptul că multe dintre conexiunile wi-fi publice din malluri, aeroporturi, restaurante și hoteluri sunt vulnerabile la atacuri „man in the middle” (păcălirea unui device să se conecteze indirect, fără să știe, la furnizorul wi-fi, printr-un intermediar care, pe perioada conectării, îi poate clona datele). Deși intuiesc că majoritatea utilizatorilor accesează piaţa neagră a darknetului prin metode mult simplificate (ca această jurnalistă de la The Guardian), sursa mea tinde mai degrabă spre o precauţie sporită.
Intrăm pe Tor, un browser open source care funcţionează pe principiul anonimizării utilizatorilor. Tor (adică The Onion Router) a fost creat de Laboratorul de Cercetare Navală al Statelor Unite și este în continuare finanţat de Departamentul de Stat american. Site-urile din Tor se numesc „servicii” și nu au sufixurile obișnuite pe lightweb (.ro, .com, .org, etc), ci folosesc, de obicei, sufixul .onion. Datorită modului în care este construit, browserul direcţionează traficul prin mai multe servere și criptează fiecare dintre aceste „opriri”. Pe noi, de exemplu, ne afișează ca fiind conectaţi din Germania. Lucrul acesta nu doar că le permite utilizatorilor să rămână complet anonimi chiar și faţă de administratorii reţelei, ci și asigură accesul la reţea chiar și în ţările în care aceasta a fost cenzurată. De pildă, activiștii care au participat la Primăvara Arabă ar fi folosit din plin opţiunile de comunicare disponibile prin Tor.
De aceea, printre utilizatorii legali ai browserului se numără militari, ofiţeri de poliţie, jurnaliști, disidenţi sau useri obișnuiţi care doresc să păstreze confidenţialitatea traficului lor pe internet.
De aceea, printre utilizatorii legali ai browserului se numără militari, ofiţeri de poliţie, jurnaliști, disidenţi sau useri obișnuiţi care doresc să păstreze confidenţialitatea traficului lor pe internet. Însă, pe lângă aceștia, Tor găzduiește și un segment larg de utilizatori care frecventează site-uri ascunse motoarelor de căutare obișnuite, pe care se vând produse ilicite (droguri și medicamente, accesorii militare de mici dimensiuni, produse malware, imagini pornografice cu copii) și chiar persoane. Ca să înţelegem rădăcinile acestui principiu al anonimizării e nevoie însă să săpăm și mai mult în istorie, până la trecutul libertarian al darknetului. Însă, mai întâi, să știm despre ce vorbim atunci când ne referim la darknet.
Darknet/darkweb vs deepweb
Deși mulţi folosesc termenii de deepweb și darknet/darkweb interșanjabil, ele reprezintă lucruri diferite. Deepweb descrie site-uri/pagini web care nu sunt indexate de motoarele publice de căutare, dar care pot fi accesate de deţinătorii unui link direct/al unui abonament prin browserele web obișnuite (unele reviste de exemplu nu permit indexarea articolelor care pot fi accesate de utilizatori doar în baza unui abonament). Darknet și darkweb sunt reţele paralele, care folosesc internetul, dar sunt accesibile doar prin browsere dedicate (precum Tor) și doar după aplicarea unor setări/autorizări speciale ale computerului. Diferenţa dintre darknet și darkweb este că primul se referă la resurse precum: reţele sociale, forumuri, servere de gaming, în timp ce al doilea nu cuprinde niciun canal de comunicare, ci doar site-uri.
Darknetul, explică profesorul de știinţe politice și relaţii internaţionale Henry Farrell, este „rezultatul dezabaterilor între libertarienii obsedaţi de tehnologie ai anilor 1990. Acești radicali sperau să combine criptografia și internetul într-un solvent universal care să dizolve legăturile corupte ale tiraniei guvernamentale. Noile monede, bazate pe avansurile criptografice recente, aveau să submineze monedele fiduciare, smulgând puterea monetară din strânsoarea statului. «Reţelele mixte», în care identitatea tuturor era ascunsă de straturi multiple de criptare, trebuia să le permită oamenilor să comunice și să se angajeze în schimburi economice departe de ochii statului.”
Ce am văzut într-un magazin de pe darknet
Astăzi, aparent departe de ochii statului, se comercializează produse ca acelea pe care le-am putut vedea cu ochii mei pe serviciul White House Market, un site de comerţ disponibil doar în darknet (site între timp închis) și în care tranzacţiile se efectuau doar pe bază de monero, o criptomonedă anonimizată. Pachete cu cantităţi mari de medicamente care în mod normal pot fi eliberate doar pe bază de reţetă de la medicul specialist (am văzut un pachet cu 4.000 de pastile de Clonazepam, un tranchilizant care produce dependenţă, vândut la o concentraţie mai mare decât cea disponibilă în farmacii, cu 10.000 de dolari); medicamente de slăbit retrase de pe piaţă; pașapoarte, permise de conducere, acte de identitate false; veste antiglonţ; numere de carduri active și, cel mai interesant, identităţi clonate.
Datele bancare ale unui card cu câteva sute de dolari pe el poate costa fie și numai 10 dolari. Preţul este uneori și de 24 de ori mai mic decât plafonul maxim al cardului fiindcă, pe lângă preţ, cumpărătorul își asumă și riscul de a plăti cu libertatea pentru acel card, dacă este prins. Însă preţurile amprentelor digitale este mult mai variabil.
Împreună cu sursa mea, am răsfoit câteva profile aflate la vânzare. Erau identităţi care cuprindeau conturi de Gmail, de Facebook, de Netflix, conturi pe diverse magazine de haine, dar și parole la servicii bancare, site-uri de trading, conturi de economii. Preţul pentru o astfel de amprentă diferă în funcţie de varietatea de informaţii pe care o oferă. Cele mai scumpe sunt identităţile „fullz” (de la full credentials, date complete). Am văzut amprente digitale care costau câţiva dolari și altele care costau peste 100 de dolari, iar aceasta doar într-un singur „magazin”. Compania Comparitech a sondat prin listele de preţuri disponibile pe aproape 50 de pieţe (magazine) de pe darknet și a descoperit că cele mai scumpe identităţi complete aparţin unor rezidenţi din Japonia, Emiratele Arabe Unite și din diverse ţări ale Uniunii Europene. În medie, o amprentă digitală costă circa 25 de dolari. Potrivit aceluiași raport, preţurile pentru numerele de card oscilează foarte mult: de la 11 cenţi la aproape 1.000 de dolari. Numai în Statele Unite, în 2020 au fost înregistrate pierderi de 712 miliarde de dolari provocate de furtul de identitate.
Tot acest trafic de identităţi, îmi spune sursa mea, se achită predominant în criptomonede. Având avantajul de a fi mult mai puţin transparente decât monedele fiduciare, unele dintre ele fiind chiar puternic anonimizate (pentru a identifica nominal sursa/destinatarul unei plăţi e nevoie de operaţii foarte complexe), monedele virtuale sunt, așadar, un accesoriu al unei infrastructuri mai mari decât am intui. „Un accesoriu al unui aparat enorm, da. Acesta e motivul pentru care se caută normalizarea lor, acceptarea lor la scară largă, considerarea lor ca moneda viitorului cu care vom putea merge și cumpăra orice, oriunde…”
Unul dintre lucrurile pe care le remarca profesorul Henry Farrell analizând desfășurarea istoriei faimosului Silk Road, un serviciu darknet în prezent defunct, este că aceasta a urmărit un tipar vechi, identificat iniţial de filosoful Thomas Hobbes. Sistemele care se nasc haiducește, ca revolte cvasi-mafiote faţă de organizarea statului, ajung să se birocratizeze și devin ele însele state în miniatură, dominate intern de aceeași neîncredere manifestată faţă de cei din afara sistemului. De aceea, probabil cea mai importantă lecţie de luat din toată această discuţie despre darknet ca rai al confidenţialităţii și criptomonede ca alternativă sigură la monedele fiduciare ar fi să manifestăm o precauţie sănătoasă faţă de reconstrucţiile sistemice care promit, mai evident sau nu, utopii.
Însă, de aici încolo, mizele despre care discută sursa mea devin chiar mai ridicate.
S.: Furtul de identitate este cea mai simplă și mai uzuală metodă de furt a datelor. Sunt mai multe niveluri: poţi fura un anumit element sau, cel mai complex, să furi omul cu totul. Tu, în momentul de faţă, anul ăsta, ești reprezentată în societate printr-o amprentă digitală. Dacă eu sunt capabil să copiez amprenta ta digitală în întregime, eu devin tu. Iar tu pierzi orice avantaj ai avea.
A.K.: Dar ai cum să faci asta? Că identitatea digitală a cuiva este fragmentată în numeroase direcţii…
S: Hackerii începători încearcă să fure elemente. De exemplu, să îţi fure cardul de credit ca să își cumpere lucruri cu banii tăi. Să îţi fure contul de Facebook, ca să îl vândă altora. Să îţi fure contul de Spotify și să îl vândă altcuiva ș.a.m.d. Black hat-ul (hacking cu intenţii răuvoitoare n.r.) intervine atunci când „furi” mii de identităţi și formezi cohorte. Atunci când faci lucrul acesta, vorbim deja de o manipulare colectivă, globală chiar, care poate ajunge la „history steering” (n.r.: direcţionarea istoriei, concept care face trimitere la teoria mecanismelor de direcţionare politică, însă sursa o folosește cu sensul de manipulare). Adică să iei o anumită cohortă de oameni pe care, fără ca ei să știe, să îi împingi într-o direcţie pe care o dorești tu.
Nu poate exista termen de comparaţie între efectele produse de un tânăr care achiziţionează carduri ca să se poată muta de acasă și efectele produse de politicieni cu finanţări serioase care cumpără clustere de profile psihologice obţinute și înstrăinate fără consimţământ, cu scopul de a le folosi în microtargetarea campaniilor electorale. Scandalul Cambridge Analytica este cel mai cunoscut exponent al acestei practici. În 2010, datele a 87 de milioane de utilizatori Facebook au fost recoltate fără acordul lor (furate) de o companie britanică de consultanţă politică, transformate în profiluri psihologice ale utilizatorilor și folosite contra cost în campaniile prezidenţiale ale lui Ted Cruz și Donald Trump, în anul 2016. În 2018, compania Cambridge Analytica a fost desfiinţată, însă foști angajaţi în cadrul companiei și-au înfiinţat ulterior propriile firme de consultanţă. Iar Cambridge Analytica este doar compania despre care s-a iscat un scandal global, nu este însă singura care recurge la microtargetare în scop electoral.
Practica microtargetării exista de dinainte de Cambridge Analytica și nu apela neapărat la mijloace ilicite de obţinere a datelor. Dar ce este, de fapt, această microtargetare? Potrivit proiectului AntiFake.ro, care reunește experţi români în domeniul comunicării și al dezinformării, „microtargetarea utilizează datele noastre personale pentru a crea profiluri psihologice foarte precise și pentru a personaliza mesajele publicitare în funcţie de acele profiluri. De un deceniu deja, studiile de marketing au confirmat că oamenii sunt de câteva sute de ori mai dispuși să dea click pe o reclamă care se adresează profilului lor specific.” Cu alte cuvinte, microtargetarea presupune colectarea masivă de date, prin intermediul mijloacelor tehnice, folosind amprenta digitală a utilizatorilor de internet, adică toate acele acţiuni ale noastre în social media – postări, like-uri, click-uri, share-uri, imagini – care spun ceva despre noi, despre preferinţele, preocupările, dispoziţia, înclinaţiile noastre. Toate acestea, coroborate de statisticieni, pot crea un portret psihologic al acelui utilizator. În campaniile electorale (ca și în cele publicitare) cunoașterea preferinţelor electoratului este esenţială pentru a putea asigura potrivirea între mesajul/apelul politic (la vot/adeziune faţă de o anumită politică) și caracteristicile publicului-ţintă. Miza este, desigur, direcţionarea comportamentului (a votului, în cazul alegerilor; a comportamentului de cumpărare în cazul campaniilor de publicitate).
Sursa mea, care mi-a povestit că a făcut parte ca voluntar din red-team-ul unui recent candidat la alegerile prezidenţiale din România, mi-a explicat că cel mai mare dezavantaj al faptului că tehnicile de manipulare a maselor avansează odată cu tehnologia este ecartul de cunoștinţe și putere între cei manipulaţi și cei care au capacitatea (tehnică și financiară) de a manipula. Fiindcă primii nu cunosc strategiile de propagandă, este ușor să ajungă victime. Chiar și atunci când sunt obţinute în mod legal, aceste profiluri psihologice decantate din activitatea noastră online pot ajunge să fie folosite în scop propagandist sau în promovarea unor ideologii contrare celui mai bun interes al persoanelor în cauză. De exemplu, prin intermediul microtargetării, cetăţenilor afro-americani le-a putut fi transmis cu ușurinţă mesajul fals că votul lor nu contează, ceea ce a generat o prezenţă și o reprezentativitate scăzută la vot a acestei cohorte (citește aici investigaţia Bloomberg care a descoperit strategia).
S.: Toţi încearcă să aibă cât mai mult reach la cohorte. Sau, ceea ce fac rușii acum – și fac foarte bine (n.r.: vezi investigaţiile despre imixtiunea rusă în alegerile din SUA, în campania pro-Brexit, în alegerile pentru Parlamentul Europeanș.a.) – manipularea maselor. Iei un segment foarte mare de populaţie și îl duci într-o anumită direcţie. Dacă este bine ales și targetat, segmentul acela de oameni va aduce cu sine o a doua cohortă naturală (a celor convertiţi de primii, n.r.). Asta este ceea ce se numește state sponsored attack.
S.: De-asta se dă o bătălie atât de mare pe tine ca persoană. Pentru că tu reprezinţi o cifră micuţă dintr-un număr foarte mare. Ești o amprentă digitală într-o lume extrem de ușor de manipulat.
A.K.: Dar nu ar trebui să fie invers? Adică tocmai pentru că sunt o cifră mică dintr-un număr mare să nu contez?
S.: Nu, pentru că, dacă toţi ar fi consideraţi mici, nu s-ar mai putea forma cohorta. Toţi suntem lipsiţi de importanţă, dar împreună formăm majoritatea. Nimeni nu are importanţă critică, însă toţi suntem importanţi pentru o anumită direcţie.
A.K.: În punctul ăsta, ce ar mai putea face un om obișnuit care vrea să își reducă amprenta digitală la minimum, astfel încât să fie cât mai puţin manipulabil?
S.: Nu știu. Nu cred că se mai poate face nimic. Ce să faci? Să te muţi în pădure? Ai intrat într-un magazin? Ești în sistem. Face recognition (identificare după trăsăturile feţei, n.r.), nu? [De exemplu] pe stradă. Mergi prin Paris? [Vezi un] banner mare: „Această localitate este supravegheată video.” Dacă ești dispus să umbli întotdeauna cu cagulă, să plătești numai cash și să nu porţi niciun dispozitiv cu transmisie radio, nici măcar un Nokia 3310, da, atunci poţi să zici că ridici oarece dificultăţi sistemului. Dar în momentul în care porţi peste tot cu tine un dispozitiv care personalizează reclamele în funcţie de ce ai vorbit tu în ultimele 60 de minute și ești într-un mall plin cu camere care, probabil în 5 ani, vor avea face recognition și intri într-un magazin care, probabil în 5-10 ani, va avea un AI care îţi analizează cumpărăturile din ultimele 6 luni și îţi optimizează experienţa de cumpărare în funcţie de tranzacţiile de pe cardul tău… Ești un număr. Un număr care, fără voia ta, va fi împins în dreapta sau în stânga de consultanţi. Ca mine. În funcţie de ceea ce cred eu că este etic, din punctul meu de vedere. Poate că etica mea e greșită. E excelentă pentru mine, dar poate e rea în sine. Eu nu am capacitatea să îmi fac mie singur assessment. Și asta nu este bine deloc. Pentru că, în momentul în care depinzi de buna intenţie a unui singur Gigi, lumea devine un loc foarte periculos.
Coda
Vremea în care un virus trojan putea cel mult să îmi șteargă colecţia minusculă de poze digitale sau să mă împiedice să mai deschid computerul fără să trebuiască mai întâi să îi reinstalez sistemul (cele două riscuri maxime de cibersecuritate cu care mă confruntam eu în timpul facultăţii) a apus de mult. Nu doar că astăzi ne-am digitalizat 99% dintre fotografii pentru care nu avem nicio dublură (nici digitală, nici tipărită), ci, mai important, ne-am obișnuit să stocăm pe computer date extrem de sensibile, care, odată obţinute și exploatate fără voia noastră, ne-ar produce daune semnificative.
Preluarea adresei de e-mail ne poate afecta credibilitatea profesională. Putem pierde cu ușurinţă bani dacă în magazinele online de unde facem des cumpărături am bifat opţiunea de stocare a datelor de card pentru cumpărături ulterioare. Putem fi nevoiţi să blocăm carduri, conturi și să deschidem altele noi. Ne putem trezi cu datorii pentru tranzacţii pe care nu le-am efectuat noi. Iar asta ne poate afecta istoricul financiar, ceea ce ne poate îngreuna procesul de obţinere a unui credit. Pierderile sunt incalculabile dacă, printre fișierele capturate de hackeri, se numără acte sensibile sau fotografii compromiţătoare. Toate acestea ne pot afecta psihic mai mult decât estimăm printr-un simplu exerciţiu mintal.
Însă probabil cel mai greu de calculat este pierderea societală rezultată din proliferarea mesajelor de propagandă ca urmare a deturnării amprentelor noastre digitale. Așa cum spunea și sursa mea, cel mai probabil este prea târziu să ne propunem să practicăm un soi de ascetism digital. Însă, spre deosebire de pesimismul care ne vede condamnaţi la condiţia de numere manipulabile, putem îmbrăţișa optimismul educat în care ne recunoaștem vulnerabilitatea, fără să ne lăsăm intimidaţi de ea, și în care ne protejăm prin singurul antivirus a cărui acoperire nu expiră niciodată: învăţarea continuă.
Alina Kartman este senior editor la revista Semnele timpului și platforma europeană st.network.
