Bankovní institut vysoká škola Praha Katedra matematiky, statistiky a informačních technologií

Ochrana osobních údajů na sociálních sítích Diplomová práce

Autor:

Bc. Eva Adámková Informační technologie a management

Vedoucí práce:

Praha

Ing. Josef Žebera

Duben, 2012

Prohlášení Prohlašuji, ţe jsem diplomovou práci zpracovala samostatně a v seznamu uvedla veškerou pouţitou literaturu. Svým podpisem stvrzuji, ţe odevzdaná elektronická podoba práce je identická s její tištěnou verzí, a jsem seznámena se skutečností, ţe se práce bude archivovat v knihovně BIVŠ a dále bude zpřístupněna třetím osobám prostřednictvím interní databáze elektronických vysokoškolských prací.

V Praze dne 20. dubna 2012

Poděkování Děkuji Ing. Josefu Ţeberovi, vedoucímu mé diplomové práce, za vedení a za cenné připomínky, které byly přínosem při zpracování a dokončení této práce. Dále děkuji Ing. Milanu Adámkovi za spolupráci v částech, které se týkaly programování. A děkuji rovněţ všem respondentům ankety a testerům aplikace na Facebooku za jejich čas a poskytnuté cenné údaje.

Anotace Práce „Ochrana osobních údajů na sociálních sítích“ si klade za cíl přehlednou formou popsat a porovnat nejrozšířenější sociální sítě s ohledem na zkoumané téma a popsat typy útoků na osobní údaje uţivatelů prostřednictvím sociálních sítí. Dále pro dvě v ČR nejpouţívanější sítě provést rozbor Podmínek uţívání a rozbor jejich funkčností s přihlédnutím ke zkoumanému tématu. V realizační části má být provedena praktická ukázka alespoň tří vybraných typů útoků na uţivatelské profily: vytvoření a nasazení jednoduchého robota, provádějícího datamining z profilů na serveru Lidé.cz, dále ukázková realizace aplikace na Facebooku získávající osobní údaje o přihlášeném uţivateli, a konečně sestavení, nasazení a publikování ankety o povědomí lidí ohledně bezpečnosti dat na sociálních sítích a následné statistické vyhodnocení získaných výsledků. Všech těchto cílů bylo v práci dosaţeno. Resumé práce zahrnuje rozbor moţností obrany uţivatele a vyhodnocení realizační části. Hlavním přínosem práce v teoretické části je přehlednost a souhrnnost údajů, v realizační části pak zcela konkrétní demonstrace dvou vybraných technik získávání osobních dat na profilech uţivatelů v podobě dvou funkčních aplikací a dále realizace ankety. Klíčová slova Bezpečnost na Internetu, osobní údaje, sociální sítě, datamining, sociální inţenýrství. Annotation The work „Personal Data Protection in Social Networking“ intends to describe and compare commonly used social networks with regard to the subject of research, and to describe types of attacks on users personal data using social networks. Further, for two the most widely used social networks in Czech republic, to perform an analysis of the Terms of use and of functionalities with regards to the subject examined. In the implementation part, a practical illustration of at least three types of attacs on users profiles has to be performed (1: To create and employ a simple robot datamining from profiles on Lide.cz, 2: To create and deploy a sample application on Facebook acquiring personal data of the logged in user, and, 4: To assemble and publish a questionnaire survey examining a knowledge of users concernig the security on social networks, and statistically evaluate the results obtained). All of these targets were fullfiled. Finally, possibilities of defense against main threats on the Internet is summarized. Key words Security on the Internet, personal data, social network, datamining, social engineering.

OBSAH 1

Teoretická část .................................................................................................................. 8 1.1

Definice pojmů a zkratek pouţitých v této práci ......................................................... 8

1.2

Právní aspekty ochrany osobních údajů....................................................................... 9

1.2.1

Legislativa chránící uživatele v České republice ................................................. 9

1.2.2

Legislativa v cizině ............................................................................................. 11

1.3

Typy útoků na uţivatele a jejich osobní údaje ........................................................... 12

1.3.1

Botnet .................................................................................................................. 12

1.3.2

Spam ................................................................................................................... 13

1.3.3

Malware .............................................................................................................. 13

1.3.4

Sociální botnety .................................................................................................. 13

1.3.5

Phishing .............................................................................................................. 13

1.3.6

Sociální inženýrství ............................................................................................. 15

1.4

Odolnost webových aplikací ...................................................................................... 17

1.4.1 1.5

Bezpečnostní testy ............................................................................................... 17

Sociální sítě ................................................................................................................ 19

1.5.1

Definice a vysvětlení pojmů ................................................................................ 19

1.5.2

Rozdělení sítí podle zaměření ............................................................................. 19

1.5.3

Registrační údaje ................................................................................................ 19

1.5.4

Sociální sítě s původem v ČR.............................................................................. 20

1.5.5

Sociální sítě založené v Rusku ............................................................................ 21

1.5.6

Sociální sítě založené jinde v Evropě ................................................................. 21

1.5.7

Sociální sítě založené v Americe......................................................................... 22

1.5.8

Sociální sítě založené v Asii ................................................................................ 23

1.5.9

Sítě původně určené k jinému účelu ................................................................... 24

1.6

Popis dvou nejrozšířenějších sociálních sítí v ČR ..................................................... 24

1.6.1

Síť Lidé ............................................................................................................... 24

1.6.2

Podmínky užívání z hlediska ochrany osobních údajů ....................................... 25

1.6.3

Práva a povinnosti uživatele účtu....................................................................... 25

1.6.4

Zásady bezpečnosti ............................................................................................. 26

1.6.5

Síť Facebook ....................................................................................................... 27

1.6.6

Zmapování vývoje Facebooku z pohledu bezpečnostních rizik .......................... 29

2

1.6.7

Založení účtu na síti Facebook ........................................................................... 31

1.6.8

Dočasná deaktivace účtu .................................................................................... 32

1.6.9

Úplné zrušení účtu .............................................................................................. 33

1.6.10

Ochrana osobních údajů a zabezpečení účtu ..................................................... 36

1.6.11

Další místa s ohrožením bezpečnosti údajů uživatele ........................................ 40

1.6.12

Centrum rodinné bezpečnosti na Facebooku ..................................................... 43

Realizační část ................................................................................................................. 44 2.1

Cíle ............................................................................................................................. 44

2.2

Podmínky, které jsem si vytkla před realizací ........................................................... 44

2.3

Vytvoření a nasazení robota na Lide.cz ..................................................................... 45

2.3.1

Cíl ....................................................................................................................... 45

2.3.2

Použitá metoda ................................................................................................... 45

2.3.3

Realizace............................................................................................................. 45

2.3.4

Nasazení ............................................................................................................. 50

2.3.5

Výstupy ............................................................................................................... 51

2.3.6

Diskuse k výsledné statistice ............................................................................... 54

2.4

2.4.1

Cíl ....................................................................................................................... 55

2.4.2

Realizace............................................................................................................. 55

2.4.3

Nasazení ............................................................................................................. 57

2.4.4

Výstupy ............................................................................................................... 58

2.5

4

Vytvoření aplikace pro Facebook .............................................................................. 61

2.5.1

Cíl ....................................................................................................................... 61

2.5.2

Realizace............................................................................................................. 61

2.5.3

Výstupy ............................................................................................................... 67

2.6 3

Anketa o úrovni znalostí o bezpečnosti dat na Facebooku ........................................ 55

Příklad stalkingu ........................................................................................................ 69

Resumé............................................................................................................................. 72 3.1

Nejlepší způsoby ochrany osobních údajů ................................................................. 72

3.2

Zhodnocení a doporučení zabezpečení účtu na Facebooku ....................................... 72

3.3

Závěrem ..................................................................................................................... 74

Použitá literatura ............................................................................................................ 75

Úvod Cíl práce, jak byl stanoven v zadání, je shrnut v následujících bodech: 1. Teoretická část: Přehled a popis nejrozšířenějších sociálních sítí, rozdělení podle různých kritérií. Popis útoků na osobní data prostřednictvím sociálních sítí. 2. Pro dvě v ČR nejpouţívanější sociální sítě rozbor podmínek uţívání s ohledem na zkoumané téma. 3. Rozbor funkčností vybraných sítí s ohledem na osobní data. 4. Vývoj a změny pohledu na ochranu osobních dat na Facebooku v čase od jeho vzniku po současnost. 5. Realizační část: Praktická ukázka vybraných typů útoků na osobní data. 6. Resumé: Vyhodnocení realizační části, rozbor moţností obrany uţivatele.

Metody zpracování U všech případů v realizační části je pouţitá metoda popsána na začátku příslušné části.

7

1 Teoretická část 1.1 Definice pojmů a zkratek použitých v této práci Tabulka 1: Zkratky a pojmy užité v práci

Pojem/zkratka

Vysvětlení

Address Harvester

Robot „slídící“ na webových stránkách, na fórech atd. Platné e-mailové adresy budou vyuţity k zaslání spamu. Vypovídá o národnostním, rasovém nebo etnickém původu, politických postojích, zdravotním stavu subjektu; [37] Stalking (poškozování či obtěţování jiné osoby) prováděný prostřednictvím elektronického zařízení (mobilního telefonu, e-mailu, ICQ) cizího uţivatele. Vytěţování dat, technologie pro získávání a analýzu dat z různých zdrojů. Vyuţití v marketingu – orientace na zákazníka, vědecké oblasti, monitorování aktivit na Internetu apod. Jednoznačné určení jedinečného objektu (subjektu) – např. přesná identifikace osoby (křestní jméno, příjmení, věk, pohlaví, bydliště, datum narození, rodiště, stav apod.) [19][upraveno] Vydání se za vrstevníky dětí s cílem vyuţití, obtěţování nebo zneuţití. „Groomeři“ zjišťují informace o bydlišti a zájmech dětí. Řetězová zpráva šířená prostřednictvím e-mailu. Zpravidla vyzývá k přeposlání co největšímu počtu příjemců. [18][upraveno] Hypertext Transfer Protocol Secure – zabezpečená nadstavba síťového komunikačního protokolu HTTP. Zabezpečuje spojení mezi webovým prohlíţečem a webovým serverem, veškerá data jsou šifrována. Současně umoţňuje ověření identity protistrany. Počítačový program určený ke vniknutí do cizího počítače a/nebo jeho poškození. Označením rozumíme počítačové viry, trojské koně a spyware. [5][upraveno] Informace týkající se určeného nebo určitelného subjektu údajů (prvků specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu). [37] Uţivatel je úpravou IP adresy (např. napadením DNS) přesměrován na falešné stránky (např. internetového bankovnictví), kde je poţadováno zadání citlivých údajů. Analýza sociálních sítí (Social Networks Analysis) [6]

Citlivý údaj Cyberstalking Data mining

Identita Grooming Hoax

Https protokol

Malware

Osobní údaj

Pharming SNA Spoofing Spyware

Falšování původu přivlastněním si cizí identity (př.: poslání e-mailu s falešnou hlavičkou, IP paketu se změnou odesílatele apod.) Program, který bez vědomí uţivatele odesílá data, např. e-mailovou adresu, navštívené webové stránky apod., prostřednictvím Internetu. 8

Trojský kůň

Zveřejněný údaj

Kód, který vystupuje jako uţitečný program nebo jeho součástí. Do počítače propašuje škodlivé programy (viry, spyware, adware, atd.). Údaj zpřístupněný hromadným sdělovacím prostředkem, jiným veřejným sdělením (např. v odborné literatuře), nebo který je součástí veřejného seznamu (úřední seznam, seznam vydávaný soukromým subjektem pro komerční účely). [27] [Vlastní zdroj]

1.2 Právní aspekty ochrany osobních údajů 1.2.1 Legislativa chránící uživatele v České republice Zákony uvedené v následujících oddílech upravují ochranu osobních dat uţivatelů na Internetu proti zneuţití, ošetřují zpracování a manipulaci s osobními a citlivými údaji správci a provozovateli informačních systémů.

1.2.1.1 Občanský zákoník, zákon č. 40/1964 Sb. V Občanském zákoníku je definováno a upraveno, na co má fyzická osoba právo a jak má být nakládáno s věcmi bezprostředně se jí týkajícími [§ 11, § 12] [26]: Výběr z § 11: Fyzická osoba má právo na ochranu své osobnosti, zejména ţivota a zdraví, občanské cti a lidské důstojnosti, jakoţ i soukromí, svého jména a projevů osobní povahy. Výběr z § 12: 1. Písemnosti osobní povahy, podobizny, obrazové snímky a obrazové a zvukové záznamy týkající se fyzické osoby nebo jejích projevů osobní povahy smějí být pořízeny nebo pouţity jen s jejím svolením. 2. Svolení není třeba, pouţijí-li se písemnosti osobní povahy, podobizny, obrazové snímky nebo obrazové a zvukové záznamy k účelům úředním na základě zákona.

1.2.1.1 Zákon O ochraně osobních údajů č. 101/2000 Sb. Problematiky práv a povinností provozovatelů informačních systémů se dotýkal zákon O ochraně osobních dat v informačních systémech č.256/1992 Sb. Řešeno zde bylo nakládání s osobními údaji, které jsou do těchto systémů zahrnuté. Stanovena byla jednoznačná pravidla pro práci s informacemi. Rovněţ zákon myslel na definování frekventovaných pojmů jako 9

např. osobní údaj, zpracování informace atd. Nepřesné definice však zapříčinily, ţe zákon se poměrně brzy po svém přijetí stal nevyhovujícím a nedostatečným a situace byla řešena jeho novelizací. Nahrazen byl zákonem č.101/2000 Sb., který vešel v účinnost dne 4. dubna 2000. Ustanovuje si za cíl kontrolovat nakládání a zpracování osobních údajů občanů České republiky. Zákon určuje podmínky, za nichţ lze s údaji manipulovat a předávat je do dalších států. V zákoně není zakotveno zpracování osobních údajů pro osobní potřebu, ani příleţitostné shromaţďování osobních údajů (nesmí být dále zpracovávány). Zákon vymezuje povinnosti správců a zpracovatelů. Správcům ukládá za povinnost stanovit účel, prostředky a způsob vyuţití osobních údajů [27]. Komunitní servery (servery, kde se lidi seskupují dle svých zájmů) jsou atraktivním cílem pro útočníky, protoţe slouţí jako datová centra pro ukládání i důvěrných informací od uţivatelů. Provozovatelé sítí tohoto typu by měli zajistit bezpečné nakládání s daty osobního a citlivého charakteru. V zákoně o ochraně osobních údajů č. 101/2000 Sb., v části první nazvané Ochrana osobních údajů v hlavě II: Práva a povinnosti při zpracování osobních údajů je tato problematika upravena takto [36] : § 13 (1) Správce a zpracovatel jsou povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakoţ i k jinému zneuţití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů. Správci a zpracovatelé osobních údajů musí vyhodnotit rizika a přijmout odpovídající opatření (např. technická), aby zajistili ochranu osobních údajů. Data by měla být chráněna vůči zaměstnancům, osobám, které s nimi přicházejí do styku, ale i před útoky hackerů. V zákoně není pochopitelně stanoveno přesně, jaká opatření má správce či zpracovatel učinit.

1.2.1.2 Úřad pro ochranu osobních údajů Úřad pro ochranu osobních údajů (dále ÚOOÚ) byl zřízen, aby dozoroval nad dodrţováním ochrany soukromí a zejména pak nad nezneuţíváním osobních údajů. Vychází ze zákona 101/2000 Sb. a jeho zřizovatelem je vláda České republiky. Činnost ÚOOÚ je: přijímat, registrovat a uchovávat povolení ke zpracování osobních údajů, 10

přijímat stíţnosti občanů na porušení zákona, udělovat pokuty za protizákonnou činnost. ÚOOÚ je nezávislým orgánem, tzn. ţe jedná samostatně na základě zákonů České republiky. Předseda a inspektor jsou voleni prezidentem republiky.

1.2.1.3 Směrnice 95/46/ES Další relevantní normou je směrnice 95/46/ES Evropského parlamentu a Rady Evropské unie ze dne 24. října 1995 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Směrnice upravuje např. tato témata: zpracování osobních údajů můţe být provedeno pouze, pokud subjekt údajů nezpochybnitelně udělil souhlas správce musí poskytnout osobě, od které získává údaje, některé informace (totoţnost správce, účely zpracování, příjemce údajů atd.); kaţdý subjekt údajů musí mít právo na o potvrzení, ţe údaje, které se ho týkají, jsou či nejsou zpracovávány o opravu, výmaz nebo blokování údajů, jejichţ zpracování není v souladu s touto směrnicí – zejména z důvodů neúplné nebo nepřesné povahy údajů V rámci Evropské unie není členským státům dovoleno omezovat ani zakazovat volný pohyb osobních údajů mezi státy. [37][upraveno]

1.2.2 Legislativa v cizině Vzhledem k povaze této práce, která je zaměřena ze značné části na analýzu nejrozšířenější sociální sítě, Facebooku, vybírám několik podstatných bodů z občanského zákoníku státu Kalifornie (kde je sídlo společnosti Facebook v USA). Podmínky ochrany osobních údajů se proto u nás (pro českého uţivatele) neřídí zákonem 101/2000 Sb. O ochraně osobních údajů, ale podle §1542 Civil Code of California.[2]. V podmínkách sociální sítě Facebook je v části Spory jasně uvedeno: „Veškeré ţaloby, soudní řízení nebo spory vůči nám vzešlé z tohoto Prohlášení nebo pouţívání sluţby Facebook nebo v souvislosti s nimi budete vznášet výhradně u státního nebo federálního soudu v Santa Clara County, USA. Toto prohlášení a vaše případné ţaloby na nás se řídí zákony státu Kalifornie, USA, bez ohledu na kolizi právních ustanovení. Souhlasíte, ţe případné soudní spory budou podléhat jurisdikci soudů v Santa Clara County, California, USA.“ [29] 11

Ve zmíněném Občanském zákoníku, § 1542 je přesně zakotveno [27]: „A general release does not extend to claims which the creditor does not know or suspect to exist in his or her favor at the time of executing the release, which if known by him or her must have materially affected his or her settlement with the debtor,“ tedy přeloţeno, „Všeobecné zproštění odpovědnosti se nevztahuje na nároky, o jejichţ existenci ve svůj prospěch v době podpisu tohoto zproštění odpovědnosti věřitel neví nebo se nedomnívá, ţe by existovaly, a které – pokud by o nich nevěděl – by podstatným způsobem ovlivnily jeho narovnání s dluţníkem.“ [16] Dále je v podmínkách uvedeno, ţe „celková odpovědnost vyplývající z tohoto prohlášení nepřesáhne částku větší neţ $100 nebo částku, jiţ jste zaplatili v posledních dvanácti měsících (nejspíše rozuměno kredity). Ještě vybírám zajímavé pasáţe z této části podmínek pouţití, které si málokterý uţivatel přečetl a ke kterým, z mého pohledu, není co dodat: Sluţbu Facebook pouţíváte na vlastní nebezpečí, Sluţbu Facebook poskytujeme bez jakékoliv výslovné záruky.

1.3 Typy útoků na uživatele a jejich osobní údaje Na Internetu a specificky na sociálních sítích se setkáváme s mnoha podobami zneuţití dat. Spektrum je velmi široké, počínaje obtěţováním uţivatelů, přes vytěţování údajů o nich, aţ po zcela jasné projevy počítačové kriminality. Popíšu nyní stručně nejběţnější pouţívané techniky. [1]

1.3.1 Botnet Botnetem označujeme program, který můţe pracovat automaticky nebo samostatně. Je sestrojen tak, aby napodobil skutečný uţivatelský profil a prováděl činnosti jako např. rozesílání zpráv nebo ţádání o přátelství. Na Internetu existuje dokonce prodej nejrůznějšího škodlivého softwaru, který je kyberzločincům nabízen i za částky za několika tisíc dolarů. Společnost Microsoft vytáhla začátkem roku 2012 do boje proti botnetům vytvořeným trojským koněm Zeus, který je nasazován, aby zjišťoval přihlašovací údaje do bank a institucí. [12] [31]

12

1.3.2 Spam Podle historických pramenů se první výskyt spamu datuje na konec 19. století, kdy byly hromadně odesílány neţádoucí telegramy s investiční nabídkou. Neţádoucí pošta tedy není zdaleka jen specifikem Internetu. Etymologie výrazu je však novější – slovo vzniklo jako akronym ze Spiced Ham, coţ byla rozšířená, avšak neoblíbená potravina ve Velké Británii za II. světové války. Někdy se téţ uvádí, ţe jde o zkratku ze Shit Posing As Mail. Dnem 7. září 2004 vstoupil v ČR v platnost zákon č. 480/2004 Sb. O některých sluţbách informační společnosti. V zákoně je přesně zakotveno, ţe kaţdý, kdo chce rozesílat takovéto zprávy, musí mít souhlas druhé strany, respektive adresáta. Poslední novelizace tohoto zákona proběhla v roce 2007. Současná legislativa upravuje způsob získání souhlasu od cílové osoby, tzv. informovaný souhlas. Rozhodně ho není moţné získat pouhým zasláním e-mailu konkrétní osobě. Na dodrţování zákona dohlíţí Úřad pro ochranu osobních údajů (ÚOOÚ).

1.3.3 Malware Výraz malware je akronym z malicious software (zákeřný). Malware je druh softwaru, který obsahuje viry, červy nebo trojské koně. Destruktivní malware se pro svoje šíření bude snaţit vyuţít stávající slabá místa systému, která mu umoţní nenápadný vstup. Vyuţívá k tomu často e-mail.

1.3.4 Sociální botnety Tzv. čtvrtou generací botnetů je speciální druh, nazývaný sociální botnet. Je určený ke sběru dat z profilů na sociálních sítích. Soustřeďuje se zejména na Facebook a Twitter. Tento typ botnetu má za úkol vystupovat jako reálný majitel účtu, tj. sdílet statusy, rozesílat ţádosti o přátelství apod. Jeho skutečným úkolem je však sbírat data o uţivatelích (e-mailové adresy, bydliště, veřejně nepřístupné údaje, informace o přátelích).

1.3.5 Phishing Phishing je podvodné jednání s cílem vylákat osobní data, např. čísla kreditních karet, hesla a další důleţité údaje. Rovněţ se dá popsat jako krádeţ identity a spadá do oblasti sociálního inţenýrství. Někdy se pro něj v češtině razí název „rhybaření“[28]. Obecně se s takovýmto jednáním můţeme setkat:

13

v e-mailech: útočník připraví stránku podobnou té, kterou napodobuje, obvykle internetového bankovnictví. Pak pošle napadené osobě mail (nejlépe ještě pomocí anonymizéru). Mail vyzývá k nějaké akci, která vede k zadání loginu a hesla. na sociálních sítích na profilu, na falešných webových stránkách, např. zaměřené na dary pro charitu, na chatu, na mobilním zařízení. Na phishingovém webu můţe být od uţivatelů vyţadováno: zadání jména, příjmení, e-mailu, hesla k účtu, hesla k mailové schránce, zadání čísla kreditní karty, včetně CSC/CVV kódu apod. Pro ilustraci uveďme příklad. V polovině roku 2011 se obětí phishingu stala Česká spořitelna. Šlo principiálně o zdařilý typ phishingu, i kdyţ provedení bylo poněkud naivní (v textu mailu se vyskytovaly znaky cyrilice). Pachatelé okopírovali text vytvořený Českou spořitelnou, který varuje klienty právě před phishingem. Obsahoval však odkaz na údajné webové stránky internetového bankovnictví banky. Uţivatel je po prokliknutí na stránky vyzván k přihlášení, a tím dobrovolně odevzdá své přihlašovací údaje, login a heslo, útočníkům. Obr. 1: Příklad podvodného e-mailu pro phishing

[Vlastní zdroj]

14

1.3.6 Sociální inženýrství Toto zdánlivě zvláštní spojení dvou slov se zakládá v kombinaci technologie a psychologie. Techniky sociálního inţenýrství jsou totiţ zaloţeny na specifikách lidského rozhodování, jmenovitě tzv. kognitivní chybě úsudku (způsobené nedokonalostí lidského mozku). Jsou vyuţívány k manipulaci lidmi za účelem vykonání určité akce, získání utajených informací, získání přístupu do informačních systémů apod., zpravidla při podvodném jednání. Útočník vesměs vůbec nepřichází do osobního kontaktu s obětí a přesto je schopen efektivně ovlivňovat její chování. Některé z nejvýznamnějších nyní popíšu.

1.3.6.1 Data mining Data mining je pojem, který je pouţíván v oblasti Business Intelligence. Tuto činnost můţeme označit jako dolování, výběr nebo vytěţování dat ve velkých objemech. Zároveň pouţitím různých algoritmů získáme vztahy a závislosti obsaţené v datech. Zdrojem dat pro dolování bývají datové sklady nebo volně přístupná data, tj. sociální a komunitní sítě. Zpravidla se jedná o: oblast marketingu – informace o zákaznících data ve vědeckých výzkumech, monitorování aktivit na Internetu resp. sociálních sítích Jeho cílem bývá: cílená reklama, reklamní kampaně analýza nálad zákazníků pojišťovnictví – např. při analýze úvěrového rizika, scoringu klienta (pojišťovna tak např. sniţuje výdaje na pojistitele, zejména u ţivotních pojistek). Zajímavé je, ţe pohledu české legislativy není porušen ţádný zákon, tzn. jedná se o legální proces.

1.3.6.2 Sociální CRM Sociální CRM je poměrně mladá technologie. Vznikla jako kombinace několika oblastí Webu 2.0 a standardního CRM [33][upraveno]. V případě klasického CRM (Customer Relationship Management) udrţuje data o zákaznících společnost, respektive dodavatel produktů a sluţeb, zatímco u SCRM (Social CRM) jsou zákaznická data rozvíjena a aktualizována přímo samotnými zákazníky, takţe stačí jen tato data „posbírat“ na jednotlivých profilech. [33][upraveno] 15

Zákazník můţe díky svým sociálním aktivitám, jako jsou chaty, blogy, diskusní fóra, průzkumy atd., být vtaţen do dění a aktivně se účastnit spolupráce na cílovém produktu přímo se svým dodavatelem, aniţ to tuší. Dodavatel z průzkumů vyhodnocuje potřeby potenciálních zákazníků a vytváří cílenou nabídku produktů jiţ konkrétnímu okruhu osob.

1.3.6.3 Analýza sociálních sítí (SNA) Analýza sociálních sítí (Social Network Analysis) provádí rozbor sociálních vazeb jedinců. Takováto mnoţina vazeb tvoří sociální síť, kde jsou aktéři pojímáni jako vrcholy, a vazby, které je spojují, jako hrany. U zrodu analýzy sociálních sítí byl serţant Eric Maddox, americký vyšetřovatel ve zpravodajských jednotkách. Analýza se brzy stala metodou, které zpravodajské sluţby vyuţívají. Tvrdí se, ţe v roce 2003 byla metoda vyuţita dokonce při vyšetřování sítě rodinných vazeb Saddáma Husajna a vedla k jeho dopadení. [6] [upraveno] V letech 2003 aţ 2011 se SNA vyvinula do plnohodnotné analytické metody, která je pouţívána v různých oblastech. Produkty pro analýzu sociálních sítí nabízí několik firem (např. Pajek, UCINET, Gephi či NoelXL).

1.3.6.4 Stalking Anglické slovo stalking má svůj původ ve výrazu stopovat (např. zvěř, člověka). Z hlediska kriminologie je stalking chápán jako vědomé a úmyslné pronásledování, slídění, sledování a obtěţování jiné osoby. Oběti tak hrozí opakované nebo dlouhodobé ohroţení bezpečnosti, případně napadení jejích osobních údajů. Stalking nebyl v České republice donedávna zakotven v právním řádu, ale v r. 2010 došlo konečně ke změně v legislativě a zákon 40/2009 Sb. (Trestní zákoník) zavedl paragraf §354 pro stalking. Policie dnes můţe zakročit jiţ v počátku a ne, aţ kdyţ pronásledování přeroste ve fyzické násilí. Za nebezpečné pronásledování, a to i elektronickými prostředky, hrozí aţ 3 roky vězení. V USA je stalkerství posuzováno jako trestný čin jiţ od roku 1990.

16

1.4 Odolnost webových aplikací Dnešní společnost si jiţ bez Internetu nedokáţe představit svoji kaţdodenní existenci. Bohuţel se v něm pohybují osoby, které do něho vstupují s rozdílnými zájmy. Hlavním předmětem pouţívání Internetu je dnes sdílení a vyměňování velkého objemu dat. Mělo by se tedy dbát především na bezpečnost provozu na síti. Na základě tohoto paradigmatu byly popsány a definovány stěţejní principy tvorby a testování bezpečnosti webových aplikací.

1.4.1 Bezpečnostní testy OWASP (Open Web Application Security Project) je projekt, zaloţený na shodě mnoha odborníků z celého světa ohledně bezpečnosti webových aplikací z lidského, procesního a technického hlediska. Komunita OWASP si klade za cíl sdílet znalosti v oblasti bezpečnosti webu a provádět na tomto poli osvětu. OWASP Top10 je nepravidelně (2003, 2004, 2007, 2010) aktualizovaný dokument, obsahující přehled deseti nejzávaţnějších bezpečnostních rizik ve vývoji a provozu webových aplikací. Poskytuje základní informace ke

vzdělávání

designérů,

architektů

a vývojářů

o důsledcích

slabin

webových

aplikací. Poslední aktualizace uvádí následující metriku[7]: Tabulka 2: Deset nejzávažnějších bezpečnostních rizik ve vývoji a provozu webových aplikací dle OWASP

A1

A2

A3

Kategorie

Specifikace

Injection

"Zmatení" aplikace vloţením neţádoucího příkazu, nejčastěji přes formulář na webu nebo přihlašovací masku. Útočník např. místo loginu uţivatele vloţí řetězec "OR 1=1", čímţ modifikuje SQL dotaz tak, aby vrátil všechna data z tabulky. Velmi nebezpečná hrozba, můţe rozkrýt celý obsah databáze nebo její strukturu (databázový model).

Cross-Site Scripting (XSS)

Útočník vloţí na stránku, na kterou můţe (např. svůj profil), data, která si jiní uţivatelé "prohlédnou", tj. jejich browser je interpretuje. Příklad: útočník vloţí na stránku nový příspěvek s obrázkem nalinkovaným ve skutečnosti na škodlivý kód. Slouţí k poškození vzhledu stránky, znefunkčnění nebo k získání citlivých údajů uţivatelů, k phishingu.

Broken Authentication and Session Management

Umoţňuje útok na přihlašovací části aplikace, popř. kompletní obejití přihlašovacího mechanismu. Útočník obvykle ukradne identifikátor relace (session id) nic netušícího uţivatele.

17

Insecure Direct Object References A4

A5

A6

A7

Cross-Site Request Forgery (CSRF)

Security Misconfiguration

Insecure Cryptographic Storage

Dojde ke kompromitaci privátního šifrovacího klíče v asymetrické kryptografii u jedné či obou stran spojení, hesel, apod. Vztahuje se zejména na úloţiště, tj. databáze, souborový systém, logy, zálohy.

Failure to Restrict URL Access

Aplikace umoţňuje neautentifikovaný přístup k některým stránkám, je zranitelná tak, ţe tato stránka zobrazí informace, které by měly být přístupné jen autentifikovanému uţivateli. Příklad: útočník si všimne, ţe část URL identifikuje roli uţivatele v systému a zamění ji tak, aby získal víc. Nejsou-li pouţity adekvátní mechanismy ochrany (SSL, digitální podpis) na úrovni přenosové vrstvy, můţe vnitřní i vnější útočník získat citlivá data. Tento typ umoţňuje útočníkovi "odchytit" nezabezpečenou komunikaci. Útočník rozesílá mailem falešnou informaci, oběť na ni klikne a její browser je následně přesměrován na stránku s nebezpečným kódem, vedoucím k získání citlivých údajů login, password apod. Jde o phishing. Přesměrování udělá nevědomky oprávněná website. Do requestu je podstrčen poţadavek na přesměrování na nebezpečné stránky.

A8

A9

A10

Umoţňuje útočníkovi bez autentifikace získat informace o objektech aplikace nebo interní systémové informace. Příklad: v parametrech requestu útočník vloţí jako userID číslo leţící blízko existujícího userID, protoţe předpokládá, ţe v systému existuje. Dozví se tak informace o účtu oběti. Útočníkovi podvrhnout formulář na stránce nebo pomocí některých HTTP metod přesměrovat prohlíţeč oběti na skript zpracovávající legitimní data. Vychází z toho, ţe prohlíţeč si pamatuje přihlašovací informace uţivatele jako session cookie, IP adresu apod., a vyuţívá např. obrázků, na kterých je škodlivý kód. Vinou nesprávné konfigurace serveru, nenainstalovaných patchů zabezpečení systému, antiviru apod. dojde ke kompromitaci citlivých informací např. instalováním zadních vrátek aj. Můţe se týkat OS i databáze, které vyuţívá aplikace.

Insufficient Transport Layer Protection Unvalidated Redirects and Forwards

Zdroj[3, 7][přeloženo a doplněno]

18

1.5 Sociální sítě 1.5.1 Definice a vysvětlení pojmů Sociální sítě (téţ společenské sítě, komunitní sítě, social networks), jsou propojené skupiny lidí, obvykle se rozumí uţivatelů počítačů, ale v širším slova smyslu můţe jít o libovolnou skupinu lidí, kteří spolu udrţují komunikaci. Přidrţíme se nadále jen uţšího pojetí – sociálních sítí na Internetu. Ty umoţňují registrovaným členům vytvářet si tzv. profily, komunikovat spolu, sdílet informace a multimédia, chatovat, informovat se o akcích apod. Profily mohou být osobní či firemní, veřejné či částečně veřejné. Komunikace mezi členy probíhá buď soukromě (mezi dvěma) nebo hromadně (uţivatel-skupina, obvykle tzv. přátelé). Soukromá komunikace probíhá neveřejně, obvykle formou jakéhosi vzkazníku, zatímco veřejná na tzv. zdi (wall). V rámci profilu se uţivatel popíše (charakterizuje svou osobu, zájmy, koníčky, atd.). Někdy popis v profilu obsahuje i fotografie, rodinné vazby, kontaktní údaje a další citlivá data, a právě tato skutečnost byla předmětem mého dalšího zkoumání.

1.5.2 Rozdělení sítí podle zaměření Jeden z moţných způsobů rozdělení sociálních sítí je podle jejich zaměření [24][upraveno]: všeobecné – např. Facebook, Lidé.cz, Google+ oborové – sdruţují uţivatele se stejným zaměřením, ať uţ z profesního nebo zájmového hlediska o profesní – sdruţují profesionály podle oborů (např. LinkedIn) o zájmové –sdruţují osoby se stejným hobby (např. TravBuddy, MySpace) o studentské – zaměřuje se na studenty, ukládání materiálů ke studiu a sdílení poznatků k jednotlivým oborům o mikroblogovací – specializují se na rychlé šíření informací (např. Twitter)

1.5.3 Registrační údaje Vstupní údaje, vyţadované při registraci nového uţivatele sítě prostřednictvím registračního formuláře, nejsou vţdy totoţné. Proto jsem pro ilustraci zpracovala přehled u nejpouţívanějších sociálních sítí v ČR. Není bez zajímavosti, ţe Facebook poţaduje největší mnoţství dat (viz Tabulka 3). 19

Tabulka 3: Požadované osobní údaje při registraci v různých sítích

Jméno Facebook Twitter LinkedIn Lidé Spoluţáci Líbím se ti

  

Příjmení

Email

   



Datum narození 

  

  

Pohlaví

    

[Vlastní zdroj]

V následujícím přehledu uvádím základní údaje o nejvýznamnějších sociálních sítích podle země jejich původu a zaměření.

1.5.4 Sociální sítě s původem v ČR Tabulka 4: Sociální sítě s původem v ČR

Název sítě/serveru

Atributy Založeno

Zaměření

Počet uživatelů

Lidé

2002

Zakladatel Oldřich Neuberger. Vytvoření profilu, seznamka, chat, diskuse, srazy, hry.

Spoluţáci

2004

Vytvoření profilu třídy a na něm profily ţáků, diskuse, organizování srazů, úloţiště fotografií.

1,2 milionu

2006

Vytvoření profilu, seznámení, chat, spoluţáci, diskuse. Vkládání multimédií.

500 tisíc

LíbímSeTi

UkaţSe!

2003

Signály

2007

Sousedé

2010

Komunitní a zábavní sluţba. Fotoseznamka, hry, soutěţe. Od 2011 součástí TISCALI MEDIA, a.s. Komunitní server pro křesťanskou mládeţ. Cílem je přiblíţit ekumenickou víru. Diskuse, blogy, sdílení fotografií, informování o akcích. Komunikace mezi majiteli domů, bytů, členy druţstev. Hlasování, diskuse, kalendáře akcí, úloţna dokumentů.

1, 5 milionu

250 tisíc

22 700

13 tisíc

Zdroj [10][data upravena pro rok 2012]

20

1.5.5 Sociální sítě založené v Rusku Tabulka 5: Sociální sítě s původem v Rusku

Název sítě/serveru V kontakte

Atributy Založeno 2006

Odnoklasniki

2006

Badoo

2006

Zaměření Sdílení statusů, fotek, souborů s ostatními uţivateli. Velké mnoţství nelegálního obsahu – filmy, hudební alba. Navázání kontaktů s bývalými spoluţáky a ztracenými kamarády. Hledání podle jména, oblasti, školy, na které studovali nebo kraje ve kterém ţili. Propojení s Mail.ru. Setkávání s novými lidmi. Populární v Europě a Latinské Americe Pro mladé od 18 let.

Počet uživatelů 110 578 500 (z toho v ČR 68.000) 45 tisíc

86 milionů

Zdroj [10][data upravena pro rok 2012]

1.5.6 Sociální sítě založené jinde v Evropě Tabulka 6: Sociální sítě s původem jinde v Evropě

Název sítě/serveru

Atributy Původ

Založeno

Netlog

Belgie

2003

Xing

Německo

2003

PL

2006

Finsko

2000

Nasza Klasa Habbo

Zaměření Dříve Facebox, Redbox a Bingbox. Přeloţen do 40 jazykových mutací. Popularita v Evropě, Turecku, arabském světě. Uţivatelé nad 13 let. Profesionální síťpro správu kontaktů. Mnoho lokalizací, mobilní verze. Síť pro studenty a absolventy. Pro teenegery od 13 let. Chatovací místnosti a profily uţivatelů.

Počet uživatelů 70 milionů

7 milionů 13,5 milionu 200 milionů

Zdroj [10][data upravena pro rok2012]

21

1.5.7 Sociální sítě založené v Americe Tabulka 7: Sociální sítě s původem v Americe

Atributy Název sítě

Původ

Založeno

Facebook

USA

2004

Twitter

USA

2006

LinkedIn

USA

2003

MySpace

USA

2003

Orkut

Brazílie

2004

USA

2005

USA

1995

Bebo

Classmates

Friendster

USA

2002

Hi5

Severní Amerika

2003

Flixster

USA

2007

Zaměření Sdílení fotografií, videí, pozvánky na setkání i události - vytvoření vlastní web stránky, aplikace. Registrace od 13 let. Sociální síť a mikroblog. Příspěvkytweets (krátké textové příspěvky, zobrazují se na profilu uţivatele a na profilech) označení odběratele – follower. Obchodní kontakty, kariéra, pozice a vzdělání. Uţivatelé (zájemci o práci) posílají místo ţivotopisu link na svůj profil. Vyuţíván personalisty. Sdílení multimédiálního obsahu. Pouţíván i profesionálními umělci. Přístupný od 14 let. Sdílení různých multimédií, chat a hledání ztracených přátel v Brazílii a Indii. 40 jazykových mutacích. Patří Googlu. V Iránu zablokovaný vládou. Název podle -Blog Early, Blog Often. Sdílení blogů, fotografií, hudby, videa a ankety. Otevřený od věku 13 let. Mohou se potkat spoluţáci od školky aţ po universitu, ale také vojáci. V květnu 2011 se transformovala a zaměřila na hry. Nesmazala ale původní účty a seznamy přátel. Změna je na čistou zábavu. Přidávání fotek, změna statusů, seznam přátel, vyplnění osobních údajů a tvorba skupiny. Od r. 2010 vytvoření herní platformy Otevření rozhraní vývojářům her. Uţivatelé sdílí a udělují hodnocení filmů, hledají nové filmy a setkávají se s fanoušky. Majitel je Warner Bros. 22

Počet uživatelů 800 milionů 200 milionů

10 milionů

100 milionů

66 milionů

117 milionů 50 milionů 115 milionů Asie přispívá 90 %

80 milionů

63 milionů

Flickr

Kanada

2004

TravBuddy

USA

2005

Sdílení fotografií. Pouţívání tzv tagy (štítky). Uţivatelé mohou své fotografie 32 milionů umístit do mapy. Přes 5 miliard obrázků. Vlastník Yahoo od roku 2009. Spojuje cestovatele, plánování cest, hledání spolucestujících, upload fotografií 1.700.000 z cest. Hodnocení restaurací a ubytovacích zařízení. Zdroj [10][data upravena pro rok2012]

1.5.8 Sociální sítě založené v Asii Všechny Čínské a Iránské sítě podléhají vládní cenzuře. Tabulka 8: Sociální sítě s původem v Asii

Název sítě/serveru

Atributy Založeno

Rok vzniku

Douban

Čína

2005

Qzone

Čína

2005

Renren

Čína

2009

I’m QQ

Čína

1999

Weibo

Čína

2009

Cloob

Írán

2004

Mixi

Japonsko

2000

Zaměření Největší komunitní síť v Číně. Obsahuje databázi filmů a hudby. Některé části jsou placené. Síť je v zjednodušené formě čínštiny. Základní forma je zdarma, části placené. Ukládání foto, muziky atd. Významná čínská síť, dříve známá jako Xiaonei. Původní název OICQ(Open ICQ). Existuje i anglická verze. Moţné zvolit placené členství s dalšími funkčnostmi. Uţivateli je vyuţívána ke hledání zmizelých členů rodiny, zejména dětí. Profily, diskuse, fotoalba. Síť není pouze v perštině Pouze na pozvání

Počet uživatelů 46,850,00 0

480 mil. 160 mil. 500 mil. 140 mil. 1 mil. 24 mil.

Zdroj [10][data upravena pro rok2012]

23

1.5.9 Sítě původně určené k jinému účelu Tabulka 9: Sociální sítě s jiným původním účelem

Název Původ sítě/serveru

Atributy Rok vzniku

YouTube

USA

2005

Google +

USA

2011

Yahoo

USA

1994

Počet uživatelů

Zaměření Zaloţena zaměstnanci PayPalu pro sdílení videí. V roce 2006 zakoupena spol. Google. Seznamy přátel, automat. posílání odkazů na Facebook a Twitter. V číslech: kaţdou minutu je na server nahráno 48 minut videa, denně přehráno 3.109videí. Obdoba Facebooku. Osoby rozdělené do kruhů a sdílení. Úspěsný, zpočátku studentský internetový portál. Slovo Yahoo se skládá z prvních písmen slov Yet Another Hierarchical Officious Oracle.

80 milionů

104 milionů

Zdroj [10][data upravena pro rok 2012]

1.6 Popis dvou nejrozšířenějších sociálních sítí v ČR Jako representativní vzorek, který bude podroben podrobnější analýze a vyhodnocení z hlediska zkoumaného tématu, tj. ochrany osobních údajů, a rovněţ bude objektem realizační části této práce, jsem si vybrala jednu nadnárodní jednu národní síť– Facebook a Lidé.cz.

1.6.1 Síť Lidé Síť Lidé.cz je integrálně propojena s portálem Seznam.cz, k čemuţ došlo záhy po vzniku Seznamu v roce 1997, původně se záměrem vytvořit vyhledávač e-mailových adres uţivatelů. Průběhem doby bylo pod stejnou hlavičkou (se stejným designem a propojenými uţivatelskými účty) integrováno několik dalších sluţeb, např. Spoluţáci, Sklik, Email.cz, Mapy.cz aj. Vize firmy je ambiciózní: „Pracujeme na tom, aby Internet byl nejsilnější české médium a na něm Seznam.cz místem první volby.“ Mise firmy je sympatická: „Jsme a budeme česká společnost s orientací na český trh. Naši zaměstnanci se podílejí na tvorbě výjimečných internetových řešení, naše sluţby jsou uţitečné, jednoduché a spolehlivé.“

24

Největší uţivatelskou základnu Lidé.cz tvoří mladší generace, ale i střední a vyšší věkové kategorie jsou docela dobře zastoupeny, o čemţ svědčí statistika vytvořená za základě výzkumu v realizační části práce. Sdruţení pro internetovou bezpečnost NetMonitor provedla v říjnu 2011 výzkum sociodemografie návštěvníků sociální sítě Lidé. Nejzajímavější výsledky jsem shrnula do následujícího přehledu. Procenta jsou vztaţena na reálného uţivatele[4]. Tabulka 10:Struktura uživatelů Lidé.cz podle NetMonitoru, říjen 2011

Návštěvnost Podle pohlaví

Podle věku

Podle vzdělání

Kategorie

Zastoupení v [%]

muţi ţeny 10-14 15-24 25-34 35-44 45-54 55-64 vyučen bez maturity středoškolské s maturitou

52% 48% 6%, 21%, 23%, 20%, 14%, 8% 25%, 39% Zdroj [4]

1.6.2 Podmínky užívání z hlediska ochrany osobních údajů 1.6.3 Práva a povinnosti uživatele účtu Ve chvíli, kdy se rozhodneme zaloţit účet, respektive profil na serveru Lidé, a zadáme všechna povinná pole (viz tabulka v části 4.5.3), jsme vyzváni k souhlasu s podmínkami v souladu s právy a povinnostmi uţivatele účtu. Moţnost prostudovat práva a povinnosti tzv. Licenční ujednání nejspíše vyuţije málokterý nový uţivatel, proto jsem se rozhodla citovat z nejdůleţitějších částí tohoto ujednání [34]: Uţivatel vstupem do diskusních částí souhlasí se zviditelněním svých údajů: pohlaví, věk a jméno. V souladu s podmínkami v bodě 5 uţivatel: 1. Uděluje provozovateli souhlas se zpracováním svých osobních údajů 2. Poskytuje svoje osobní údaje k provozování sítě Lidé 3. V souvislosti s body 1 a 2 budou jeho údaje zveřejněny a zpřístupněny neomezenému okruhu osob 4. Tento souhlas poskytuje na dobu neurčitou 25

5. Uţivatel tento souhlas můţe odvolat formou doporučeného dopisu adresovaného do sídla provozovatele.

1.6.4 Zásady bezpečnosti Provozovatelé Lidé.cz se postavili k problematice bezpečnosti uţivatelů a jejich údajů poměrně solidně. Je zde velmi názorně vytvořena stránka „Zásady bezpečnosti při uţívání Internetu“, z níţ vybírám [43]: Jak postupovat v případě obdrţení falešného emailu s ţádostí o zaslání uţivatelského jména a přístupového hesla ke schránce uţivatele – tzv. phishing . Obr. 2: Příklad podvodného e-mailu pro phishing

Zdroj [43]

Přihlašování přes šifrovaný protokol SSL. Funkce slouţí k ověření přístupových údajů. Sleduje se tak minimalizace moţnosti odposlechnutí přístupových údajů při přihlášení. Při pouţívání sluţby Email.cz můţe uţivatel vyuţívat šifrování veškeré komunikace prostřednictvím protokolu SSL. Důsledné dodrţování odhlašování se z účtu. Kontrola adresní řádky URL, zda se nepřihlašujeme na neţádoucí stránky

26

1.6.4.1 Projekt Seznam se bezpečně Dne 19.1.2012 proběhl v Praze sedmý ročník soutěţe Big Brother Awards. Pouze společnost Seznam.cz. získala cenu za ochranu soukromí uţivatelů. Ocenění bylo uděleno za podmínky ochrany osobních údajů na sluţbách, jako jsou Email.cz, Lidé.cz a Spoluţáci.cz. K ocenění jistě také přispělo vytvoření třicetiminutového filmu nazvaného „Seznam se bezpečně“. Dílo získalo od ministerstva školství akreditaci a stalo se tak pomocným výukovým nástrojem nejen pro rodiče a jejich děti, ale také pro pedagogy ve školách. Jeho síla tkví zejména v příbězích, které se opravdu staly a které mnohdy vypráví samotní postiţení mladiství. Na projektu se podílí Nadace naše dítě, Policie ČR a Sdruţení bezpečí. [34]

1.6.5 Síť Facebook Mark Zuckerberg, jeden ze zakladatelů sluţby Facebook, prohlásil dvě, dnes uţ okřídlené věty: „Soukromí je přeţitek dvacátého století“ a „Vaše soukromí, naše peníze“. Pojďme se nyní podívat, do jaké míry se jedná jen o bonmoty a jak dalece je bezpečnost osobních dat na této nejmasovější sociální síti světa zajištěna.

1.6.5.1 Stručně o vzniku Název projektu pochází z papírových letáků zvaných Facebooks, které jsou rozdávány mezi studenty nastupujícími do prvního ročníku univerzity, aby se studenti lépe poznali. Facebook byl zaloţen v únoru 2004 studentem Markem Zuckerbergem a společníky Dustinem Moskovitzem, Chrisem Hughesem a Eduardem Saverinem pod názvem The Facebook. Nejprve měl být zpřístupněn pouze pro studenty Harvardské univerzity, ale raketově roste (okruh uţivatelů byl záhy rozšířen na všechny uţivatele s univerzitní mailovou adresou, tj. .edu, .ad, .uk). a v červnu téhoţ roku se sídlo jiţ plně etablované společnosti přesouvá do Kalifornie. V ČR byla jako první připojena Masarykova universita v Brně. Od února 2006 se mohly připojit některé velké společnosti a od srpna 2006 byl jiţ zpřístupněn široké veřejnosti od 13 let věku.

1.6.5.2 Facebook v číslech Síla a veliký potenciál této sociální sítě je nejlépe patrný z tabulky, která mapuje zejména počty účastníků a provoz na síti Facebook. Data se vztahují ke statistikám vydaným 27

v roce 2011-2012. Za „aktivního registrovaného uţivatele“ označuje uţivatele, který se během uplynulých 30 dnů alespoň jednou přihlásil ke sluţbě Facebook: Tabulka 11:Facebook v číslech

Sledovaný údaj Počet účastníků na celém světě Počet zemí pouţívající Facebook Počet aktivních, pravidelně přihlášených, účastníků Počet účastníků v Evropě Počet účastníků v Severní Americe Počet účastníků v Asii Počet uţivatelů v České republice Počet uţivatelů v Anglii Počet uţivatelů v USA Průměrný uţivatel má Průměrně nahraných fotografií Lokalizace Facebooku Pouţívání aplikací Aktivní uţivatelé přistupující k síti přes mobilní zařízení Operátoři podporující síť v mobilní podobě

Celkový počet 800 milionů 136 20 milionů 223 milionů 219 milionů 202 milionů 3.430.000 30 milionů 156 milionů 130 přátel 250 milionů/ den více neţ 70 jazyků 500 milionů/ měsíc 350 milionů 475 operátorů [Různé zdroje-25,11]

Obr.3: Podíl Facebooku ve srovnání se světovými sítěmi v roce 2010

Zdroj [36]

28

1.6.6 Zmapování vývoje Facebooku z pohledu bezpečnostních rizik Vývoj sítě doprovázelo mnoho bezpečnostní rizik, trhlin i omylů v podobě některých aplikací a sluţeb, na které mnohdy doplatilo velké mnoţství uţivatelů. Týkalo se to zejména zneuţití účtů či osobních údajů a ztráty fotografií. Po prostudování řady (dnes jiţ v podstatě historických)

pramenů

jsem sestavila

tabulku,

která

mapuje

přehlednou formou

nejvýznamnější události na Facebooku od roku 2006 z hlediska bezpečnosti osobních údajů, a to jak chyb, tak i protiopatření na straně provozovatele sítě: Tabulka 12:Přehled historie FB s ohledem na události, týkající se bezpečnosti

Rok

Událost

08/2006

Moţnost přihlásit se k sociální síti dostaly jiţ děti od 13 let.

2007 05/2007

Sluţba Beacon (reklamní systém) – mapování akcí uţivatele a jejich následná publikace na spřátelených stránkách (informování jeho přátel).[11][upraveno] Facebook Platform – uţivatel můţe vytvořit svoji vlastní aplikaci a zpřístupnit ji ostatním uţivatelům sítě. Nové podmínky uţívání portálu Facebook. Důvodem změny se stal odstavec,

02/2009

který umoţňoval administrátorům serveru přístup a následnou manipulaci se smazanými daty. [44]

07/2009 08/2009

Kanadská komise pro ochranu soukromí zjistila, ţe Facebook porušuje zákony o shromažďování osobních údajů. [14] [upraveno]. Hackerský útok na sociální síť, který způsobil dočasnou nedostupnost. Technet prováděl měsíční test důvěry českých uţivatelů Facebooku. Vytvořil

09/2009

dva falešné profily mladé ţeny a muţe. Výsledek – 60% uţivatelů si přidá mezi přátele neznámého člověka.[20] Masivní útok na cca 735 tisíc uţivatelů Facebooku formou falešného emailu.

10/2009

Zpráva měla v předmětu „Potvrzení resetu hesla na Facebooku“ a obsahovala přílohu s novým heslem. Příloha obsahovala virus Trojan. [21][upraveno]

2010 04/2010 06/2010

Facebook posílal třetím stranám data, která vedla přímo k jednotlivým profilům na této síti. Původně data měla být anonymní. [35] Změna v přednastavené konfiguraci zabezpečení soukromí na profil -Veřejný Bezpečnostní specialista nasbíral nechráněná data pětiny uţivatelů Facebooku, aby ukázal vedení firmy, jak špatně jsou data zabezpečena proti 29

útokům a jejich zneuţití. [8] 09/2010 10/2010

Odpojení celé sítě Facebook z důvodu programátorské chyby v databázi. Nová bezpečnostní funkcionalita – uţivatel můţe vidět, ze kterých zařízení jsou přihlášeni, a na dálku provádět odhlášení. Vyuţívání protokolu HTTPS v rámci celého Facebooku.

01/2011

Autentifikační systém, který pracuje s fotografiemi přátel v profilu. Facebook zastavil sdílení telefonních čísel a adres uţivatelů profilů. [23]

03/2011 05/2011 06/2011 08/2011

Společnost Zynga prodává soukromé informace o svých hráčích. Údaje získala z profilu hráče na Facebooku. [13] Firma Facebook díky chybě zpřístupnila kompletní údaje uţivatelů aplikacím. Chyba nebyla odhalena po několik měsíců. [44] Software na rozpoznávání obličejů porušuje evropské zákony. Facebook zrušil velké mnoţství aplikací, ze kterých byly rozesílány spamy. Rovněţ bylo zjednodušeno nastavení soukromí. Nová podoba zobrazení profilu, Timeline, spočívající ve sdílení všech

09/2011

pohybů uţivatele na časové ose. Vytváření seznamů přátel. Facebook Places – geolokační sluţba – monitoring aktuální pozice uţivatele [15] Facebook zpřístupnil autorům a tvůrcům aplikací telefonní číslo a adresu bydliště uţivatelů.

11/2011

Úřad pro ochranu osobních údajů v Irsku zjistil, ţe v oblasti ochrany soukromí a dat Facebook neporušuje zákon. Zveřejnil celou řadu doporučení, které by měl provozovatel sítě respektovat. Existuje podezření, ţe Facebook shromaţďuje a vyuţívá záznamy o uţivatelích.

12/2011

Zavedení Facebook Credits – např. pro nákup/prodej virtuálního zboţí/dárků. [32] [Různé zdroje, viz tabulka]

30

1.6.7 Založení účtu na síti Facebook Při zakládání účtu na sociální síti Facebook jsou od potenciálního uţivatele povinně poţadovány údaje jako je jméno a příjmení, datum narození, pohlaví a e-mailová adresa. Údaje, které budou vţdy veřejné, jsou: jméno, pohlaví, uţivatelské jméno. Prostředí Facebooku však nového uţivatele intuitivně vede k tomu, ţe o sobě postupně začíná vyplňovat údaje ve všech sekcích a uvádí tak citlivá data jako např. datum narození, bydliště, rodné město, absolvované školy, aktuální zaměstnání, telefonní spojení, politickou orientaci, ţivotopis, atd. Pro „dokonalou identifikaci“ neváhá ještě aktualizovat propojení se všemi svými známými, kolegy, rodinnými příslušníky a přáteli a k usnadnění práce tipařům bytových zlodějů také čas odjezdu na týdenní dovolenou.

1.6.7.1 Výběr z práv a povinností uživatele účtu V této části chci výtahem z podmínek pouţívání sluţby poukázat na nejdůleţitější aspekty bezpečnosti, které by neměly být ignorovány zejména novým uţivatelem. Vytvořením účtu na síti Facebook se kaţdý nový uţivatel zavazuje k dodrţování podmínek ustanovených v prohlášení. Z části 2 „Sdílení vašeho obsahu a informací“ [29]: 1. „Pro obsah chráněný právy k duševnímu vlastnictví, jako jsou fotografie a videa (obsah podléhající duševnímu vlastnictví), nám výslovně udělujete následující oprávnění, v souladu s vaším nastavením soukromí a nastavením aplikací: udělujete nám nevýhradní, přenosnou, převoditelnou, celosvětovou bezúplatnou licenci na pouţití veškerého obsahu podléhajícímu duševnímu vlastnictví, který zveřejníte na Facebooku nebo v návaznosti na něj. Tato licence k duševnímu vlastnictví končí, jakmile svůj obsah podléhající duševnímu vlastnictví odstraníte ze svého účtu, s výjimkou případů, kdy jste tento obsah sdíleli s ostatními (pokud jej také oni neodstranili).“ 2.

„Jestliţe obsah podléhající duševnímu vlastnictví odstraníte, bude odstraněn obdobným způsobem, jako při přesunutí do koše v počítači. Berete však na vědomí, ţe odebraný obsah můţe existovat v záloţních kopiích po přiměřeně dlouhou dobu (nebude však dostupný ostatním).“

31

Z části 9 „Zvláštní ustanovení pro vývojáře/provozovatele aplikací a webů“ [29]: 1.

„Data, která od nás o uţivateli získáte, nepouţijete pro ţádné reklamní účely.“

Z části „15 Spory“ [29]: 1.

„Veškeré ţaloby, soudní řízení nebo spory vůči nám vzešlé z tohoto Prohlášení nebo pouţíváním sluţby Facebook nebo v souvislosti s nimi budete vznášet výhradně u státního nebo federálního soudu v Santa Clara County, USA. Toto prohlášení a vaše případné ţaloby na nás se řídí zákony státu Kalifornie, USA, bez ohledu na kolizi právních ustanovení. Souhlasíte, ţe případné soudní spory budou podléhat jurisdikci soudů v Santa Clara County, Kalifornie, USA.“

2. „Pokud vůči nám někdo podá ţalobu týkající se vašich kroků, obsahu nebo informací na Facebooku, odškodníte nás v souvislosti s touto ţalobou za veškeré škody, ztráty a výdaje jakéhokoli druhu (včetně přiměřených poplatků a nákladů na právní zastoupení).“ Z části 16: „Zvláštní ustanovení pro uţivatele mimo Spojené státy americké“ [29]: 1. „Souhlasíte s přenesením a zpracováním svých osobních údajů ve Spojených státech amerických.“ Z podmínek také mj. vyplývá, ţe pokud je uţivatel zároveň provozovatel např. aplikací, nesmí získaná data o uţivatelích pouţít pro reklamní účely. Nakolik to ale tvůrci aplikací dodrţují, nechci spekulovat. Údaje na toto téma nejsou pochopitelně k nalezení.

1.6.8 Dočasná deaktivace účtu Velké procento uţivatelů neví nebo si dostatečně neuvědomuje, ţe se nejedná o úplné zrušení profilu, ale pouze o dočasnou deaktivaci. Úplnému zrušení účtu resp. profilu se budu věnovat v následujícím textu. Odkaz na dočasnou deaktivaci účtu nalezneme na hlavní stránce profilu v části Zabezpečení pod názvem „Deaktivujte svůj účet“ [25]: Uţivatel daného profilu můţe provést několik kroků před samotnou deaktivací účtu: odeslat zprávu nejfrekventovanějším uţivatelům profilu, podrobně objasnit deaktivaci profilu, odhlásit příjem e-mailů z Facebooku. Je vyţadováno zdůvodnění tohoto rozhodnutí, např. 32

„Necítím se na Facebooku bezpečně“. Po volbě důvodu deaktivace účtu se zobrazí upozorňovací okno s odkazem na Zásady pouţívání dat a na Centrum rodinné bezpečnosti. Obr. 4: Volba důvodu deaktivace účtu na FB

Zdroj [46]

Následuje zadání hesla uţivatele a potvrzení „captcha“ kódu. Po úplné deaktivaci se zobrazí okno informující o deaktivaci účtu a o případném způsobu aktivace. Obr. 5: Deaktivace účtu na FB

Zdroj [46]

Tato volba je vhodná pro uţivatele, kteří chtějí pouze dočasně omezit svou přítomnost na Facebooku a předpokládají, ţe se tam v budoucnu opět vrátí. [17] Dočasná deaktivace nebude povolena, pokud jste správcem nějaké aplikace. Nejdříve musíte aplikaci odstranit nebo delegovat správcovství jiné osobě.

1.6.9 Úplné zrušení účtu V zápatí stránky kaţdého profilu na odkazu „Soukromí“ nalezneme odkaz týkající se úplné deaktivace účtu. Před úplným zrušením účtu má uţivatel moţnost exportu všech dat do archivu v podobě ZIP archivu. Podle velikosti profilu – mnoţství nahraných fotek, videí – můţe tento úkon trvat i několik hodin. 1. Jakmile je archiv připraven, uţivatel dostane e-mail s odkazem ke staţení ZIPu. 2. Odkaz vede na dialogové okno Obecné nastavení účtu, kde najdeme odkaz Stáhněte si soubor se svými daty z Facebooku. 3. Otevře se okno, kde kliknutím na tlačítko Spustit můj archiv 4. Facebook vytvoří off-line podobu celého profilu. 33

Obr. 6: Stažení obsahu profilu na FB

Zdroj [46]

Postup úplného zrušení účtu v několika bodech: [17] 1. Po vybrání odkazu „Odstranit účet“ se zobrazí dialogové okno upozorňující na následky úplného zrušení účtu. Obr. 7: Volba důvodu deaktivace účtu na FB

Zdroj [46]

2. Potvrzením tohoto výběru se zobrazí další dialogové okno s názvem „Permanentně smazat účet“. Uţivatel musí nejprve potvrdit svůj záměr zadáním hesla a bezpečnostního captcha kódu.

34

Obr. 8: Proces definitivního smazání účtu na FB

Zdroj [46]

3. Jako poslední se zobrazí okno s upozorněním na provedení deaktivace účtu, které bude

trvat 14 dní. Obr. 9: Dokončení procesu definitivního smazání účtu na FB

Zdroj [46]

Pokud se uţivatel nebo aplikace během této čtrnáctidenní lhůty znovu přihlásí, bude poţadavek na úplnou deaktivaci zastaven. Některé informace mohou být ponechány aţ 90 dní ve vyrovnávacích pamětech prohlíţečů nebo v záloţních kopiích souborů. Po provedení deaktivace ve výše popsaných bodech přijde na emailovou adresu, která byla k účtu registrována, email následujícího znění: „Vážený uživateli XY, obdrželi jsme žádost o trvalé odstranění vašeho účtu. Váš účet byl deaktivován a během 14 dnů bude trvale odstraněn. Pokud jste žádost o trvalé odstranění účtu neodeslali vy, přihlaste se na Facebooku a tuto žádost zrušte: https://www.facebook.com/login.php. Děkujeme, tým služby Facebook“

35

1.6.10 Ochrana osobních údajů a zabezpečení účtu Kaţdý uţivatel na síti Facebook má moţnost nastavit si zabezpečení profilu podle toho, komu a kolik údajů chce zpřístupnit. Je tedy pouze na něm, zda a v jaké míře tuto nabídku vyuţije. V následujících kapitolách se pokusím zmapovat a popsat eventuality moţné ochrany a zabezpečení.

1.6.10.1 Nastavení zabezpečení přístupu k účtu V oddíle Zabezpečení najdeme několik moţností, jak provést nastavení zabezpečení profilu. Volit můţeme mezi: [22] Nastavení bezpečnostní otázky pro identifikaci uţivatele profilu. Je k dispozici jen výběr z předem nadefinovaných otázek, a to pouze v anglickém jazyce. Toto je zavrhovaná metoda, neboť útočník můţe při znalosti cílové osoby odpověď odhadnout. Kdyţ uţ musí tento mechanismus být implementován, otázky by neměly být předdefinované, ale uţivatel by měl mít moţnost zadat si vlastní "hint". Zabezpečené připojení k Facebooku – uţivatel můţe aktivovat zabezpečené připojení ke svému účtu přes protokol https. Upozornění na přihlášení, ke kterému dojde z dosud nepouţitého zařízení (počítač, mobilní zařízení). Toto je poměrně nová funkčnost a můţe dobře přispívat k bezpečnosti. Systém je takový, ţe server zašle upozorňující e-mail nebo SMS o pokusu přihlášení a umoţní uţivateli uloţit toto zařízení mezi "známá". Schválení přihlášení – vyţadování bezpečnostního kódu, který bude majiteli účtu zaslán na jeho telefonní číslo. Toto je poměrně silný prvek bezpečnosti. Pro aktivování této funkce je potřeba zadat svoje telefonní číslo. Majitel účtu má týden na případnou změnu nebo deaktivaci a po tuto dobu nebude účet takto chráněn. Hesla k aplikacím – moţnost generování hesel k pouţívaným aplikacím. Aktivní a poslední relace přihlášení k Facebooku – zobrazí se datum, lokalita a prohlíţeč s operačním systémem.

36

Obr. 10: Nastavení zabezpečení na FB

Zdroj [22]

1.6.10.2 Nastavení úrovně soukromí Jako další moţnost, díky níţ můţe uţivatel účtu chránit svá data, je nastavení úrovně soukromí. Rozumíme tím sdílení svých osobních a citlivých údajů s přáteli, případně dalšími uţivateli. Volit lze mezi třemi úrovněmi: a) Veřejný – viditelnost profilu je bez omezení b) Přátelé – střední, nejvíce pouţívaná úroveň c) Vlastní nastavení – soukromí volitelné a nastavitelné uţivatelem Obr. 11: Nastavení zabezpečení na FB

Zdroj [22]

37

Obr. 12: Zjištění, jaké naše profilové informace zpracovávají aplikace na FB

Zdroj [22]

Zde je také moţné omezit výběr konkrétních kategorií informací, které dovolíme uţivatelům vyuţít a přenést do aplikací, her a webových stránek. Z moţností nastavení kritérií bych vyzdvihla ty, které se nejvíce dotýkají ochrany osobních údajů. Týká se to následujících oblastí: „Jak se spojujete?“ – uţivatel si zde nastaví způsob spojení s lidmi, které zná, např. volbou "Kdo vás můţe vyhledat podle zadaného e-mailu nebo telefonního čísla?" Oblast Blokování osob a aplikací. V této části má uţivatel moţnost např.: o zablokovat uţivatele, se kterým uţ nechce komunikovat o zablokovat pozvánky aplikací, které se vztahují na konkrétního uţivatele Můţe se tak např. vyhnout osobám a účastníkům, které by se vůči němu dopouštěli např. slídění neboli stalkingu (více v kapitole 2.5.4.4). Obr. 13: Nastavení způsobu spojení s lidmi na FB

Zdroj [22]

38

Při volbě "Vlastní nastavení soukromí" můţe uţivatel zvolit zobrazování svého obsahu jen pro vybranou skupinu nebo konkrétního uţivatele, respektive obsah pro vybrané uţivatele či skupiny skrýt. Obr. 14: Vlastní nastavení soukromí na FB

Zdroj [22]

1.6.10.3 Zásady ochrany osobních údajů – dotazník Pokud má uţivatel profilu dotazy nebo stíţnosti týkající zásad či postupů v souvislosti s ochranou soukromí a osobních údajů na Facebooku, má moţnost se prostřednictvím formuláře obrátit na tým bezpečnosti. Dotaz nebo připomínka se můţe týkat např.: [12] ochrany osobních údajů, blokování uţivatele, nahlášení podvodného nebo falešného profilu apod. Obr. 15: Nahlášení problému bezpečnosti či soukromí na FB

Zdroj [22]

39

1.6.11 Další místa s ohrožením bezpečnosti údajů uživatele Do této kapitoly jsem zařadila dvě místa, která mohou pro uţivatele představovat zdroj ohroţení, respektive ztrátu osobních údajů.

1.6.11.1 Platby přes Facebook Prostřednictvím plateb na Facebooku lze nakupovat tzv. kredity, které lze vyuţít pro hry. Přístup na platby nalezneme v pravém horním menu pod poloţkou „Hlavní stránka“. Po volbě Platby je uţivatel vyzván k zadání hesla ke svému účtu. Zadávání způsobu platby probíhá jiţ přes https. Při platbě kartou musí uţivatel nejprve v okně „Nastavení plateb“ zadat údaje: Platné jméno a příjmení Číslo platební karty Bezpečnostní kód karty Fakturační adresu – celou včetně města, státu Obr. 16: Nastavení v centru plateb na FB

Zdroj [22]

40

Ve stejném okně pod formulářem je uvedena informace: „Facebook uloží informace o platbě pro budoucí nákupy. Tyto informace můžete vždy odebrat nebo spravovat v nastavení svého účtu.“

Z uvedeného souhrnu vyplývá, ţe pokud útočník zná heslo k profilu, můţe se dostat aţ do části platby. Zde jsou uloţeny citlivé údaje uţivatele (viz výčet výše), které by neměly přijít do rukou nepovolané osoby. Uţivatel dává své platební údaje třetí straně.

1.6.11.2 Aplikace na Facebooku Nedílnou součástí sítě Facebook jsou aplikace. V současné době existuje na Facebooku bezmála 400 tisíc aplikací a jejich počet stále roste. Přes 250 z nich vyuţívá více neţ jeden milión lidí. Nejpouţívanější aplikace, kterými jsou například FarmVille, Café World, CastleVille aj., pocházejí ze společnosti Zynga. Proto se jejich podmínky staly předmětem mého průzkumu. Při bliţším zaměření na dialogové okno „Ţádost o povolení“ zjistíme, ţe uţivatel je provozovatelem aplikace ţádán o povolení k přístupu k jeho osobním i citlivým údajům. Doslovně je zde poţadováno: Jméno Profilová fotka Pohlaví Sítě Uţivatelské ID Seznam přátel Další informace, které má uţivatel nastavené jako veřejné Obr. 17: Žádost aplikace o povolení k přístupu k profilovým informacím

Zdroj [47]

41

V realizační části, v kapitole Vytvoření aplikace na Facebooku, ozřejmím způsob, jak aplikace s těmito daty nakládá nebo můţe nakládat, a důvod, proč se tato Ţádost o povolení uţivateli zobrazuje. Neméně nebezpečný můţe pro uţivatele být poslední bod uvedeného výčtu, který říká, ţe všechny veřejné informace a data dává této společnosti k dispozici. Dále je zde připojena klausule „Rozhodnete-li se pokračovat, vyjádříte tak svůj souhlas s dokumentem Zásady ochrany osobních údajů aplikace Zynga.“ Při detailnějším prozkoumání tohoto dokumentu, speciálně části nazvané „Information we collect“, zjistíme, ţe seznam zpřístupněných údajů a dat je poněkud obsáhlejší. Poţadavky jsou zde oproti seznamu výše rozšířené ještě o: [30] Příjmení Uţivatelské ID přátel, kteří jsou přihlášeni do stejné hry URL profilového fota Logovací/přihlašovací e-mail Fyzická pozice přístupového zařízení (např. mobilní telefon) Datum narození Celkový výčet údajů, které uţivatel svým souhlasem poskytne takovýmto a podobným aplikacím, potaţmo společnosti, aplikaci provozující, je alarmující. Aplikace musí explicitně ţádat o oprávnění pro přístup k informacím tohoto charakteru, v tomto ohledu vývojářské rozhraní Facebooku učinilo bezpečnostním poţadavkům zadost. Pokud však uţivatel oprávnění udělí, coţ udělá skoro vţdy a skoro kaţdý, kdo opravdu chce aplikaci spustit, povolí se tím aplikaci, aby přijímané informace jakkoli zpracovávala, ukládala a/nebo někam dál odesílala. Mechanismus, jak se toho docílí, budu demonstrovat v realizační části. Platí ovšem jiţ výše zmíněná podmínka Facebooku, ţe zpracování získaných dat nesmí slouţit k reklamě. Do jaké míry je toto ustanovení podmínek Facebooku naplňováno tvůrci a provozovateli aplikací, si netroufám odhadovat. Uţivatel má několik moţností, jak omezit potenciální neţádoucí působení některé aplikace na svém účtu, respektive zacházení s jeho údaji: 1. Pokud má aplikace povolen přístup k údajům, můţeme toto povolení zrušit nebo omezit na stránce Nastavení aplikací. Výčet zablokovaných aplikací najdeme na stránce Předvolby soukromí. 2. Pokud chce, aby informace, které sdílí s aplikací, byly trvale odstraněny, můţe kontaktovat vývojáře přímo ze stránky profilu aplikace. 42

1.6.12 Centrum rodinné bezpečnosti na Facebooku Oddíl, který by na Facebooku moţná málokdo hledal, je věnovaný rodinné bezpečnosti. Provozovatelé sítě se zde věnují několika zajímavým tématům, např. [22]: kultura komunikace na sociálních sítích, problematika bezpečného pohybu dětí a mladistvých na sociálních sítích nabídka vyuţití Facebooku pro učitele jako nástroj pro komunikaci s ţáky a jejich rodiči. V tomto ohledu je tedy třeba konstatovat, ţe Facebook nezaostává např. za kvalitně propracovanou tématikou Internetové bezpečnosti, jakou známe z Lidé.cz.

43

2 Realizační část 2.1 Cíle Vytkla jsem si za cíl realizovat podle svých časových moţností několik praktických ukázek, jak můţe útočník získávat osobní data z veřejně dostupných zdrojů, specificky profilů uţivatelů na sociálních sítích. Ve všech případech bude součástí ukázky popis zvolené metody, její realizace, reálné nasazení a statistické vyhodnocení výsledků. Jako moţné ukázky jsem si navrhla např.: vytvoření a nasazení robota na Lide.cz, jehoţ cílem bude hromadné stahování profilů a následná statistická analýza získaných dat vytvoření a spuštění ankety o znalostech ochrany osobních údajů na profilu sítě Facebook vytvoření aplikace na síti Facebook, která bude demonstrovat, jak získat údaje z profilu respondentů Ukázka stalkingu apod.

2.2 Podmínky, které jsem si vytkla před realizací Veškeré pouţité metody budou vytěţovat jen veřejně dostupná data, která uţivatelé sami publikují na svém profilu. Nemá tedy jít o ţádný útok na server za pomoci hackerských praktik a nebude pouţita ţádná technika za hranicí zákona software bude testován na vlastním pokusném profilu publikovaná data budou mít povahu pouze agregátních hodnot, např. kolik procent uţivatelů v jakém věkovém pásmu uvádí na profilu své telefonní číslo pokud publikovaná data budou muset obsahovat (na ukázku) i konkrétní údaje z profilů, pak nebudou obsahovat citlivé údaje; tyto citlivé údaje budou začerněny či jinak zneplatněny (např. zpřeházením nicků, u telefonního čísla nahrazením posledního trojčíslí třemi pětkami apod.)

44

2.3 Vytvoření a nasazení robota na Lide.cz 2.3.1 Cíl Cílem bylo vytvořit software, s jehoţ pomocí získáme představu, v jakém rozsahu uvádějí uţivatelé na svých profilech citlivé osobní údaje, a ukázat moţnost masového vytěţování profilů pro různé účely. Tato práce má tedy dvojí efekt, týkající se bezpečnosti: Jednak bude demonstrovat jednu z moţných metod dataminingu, za druhé poskytne mnoţství statistických dat o úrovni znalostí uţivatelů v oblasti ochrany jejich osobních dat.

2.3.2 Použitá metoda Vytvořená aplikace pracuje v principu jako webový prohlíţeč (pouţívá komponentu MSIE), ale načtené stránky profilů se ukládají automaticky jako HTML dokumenty na disk, přičemţ po downloadu jednoho profilu se automaticky postupuje na profil další atd., aţ se dojde na konec toho, co Lide.cz nabízí v dané věkové kategorii. Soubory ve formátu HTML se dále zpracují rozsekáním na jednotlivé elementy (parsing) a hodnoty atributů důleţitých pro můj výzkum (např. věk, pohlaví, obec, telefon, Skype, ICQ,…) se uloţí do "databáze" (pro jednoduchost jsem zvolila jen Excel). Po načtení dostatečného mnoţství dat (např. 10000 uţivatelských profilů) se nad těmito daty vypočítají příslušné statistiky. Software byl vytvořen v jazyce C# (platforma .NET) v programovacím prostředí MS Visual Studio 2008, které umoţňuje pohodlný přístup k HTML dokumentu i jeho následný parsing. S programováním v jazyce C# mi pomohl manţel. Software sestává ze tří modulů: 1. Profile downloader 2. HTML Parser 3. Excelovský sešit pro analýzu získaných dat

2.3.3 Realizace 2.3.3.1 Popis činnosti modulu Profile downloader Server Lidé.cz umoţňuje nejen vyhledávání konkrétního nicku (nickname = přezdívka = současně ID uţivatele), ale také procházení celé databáze uţivatelů s moţností nastavit filtr na věk, pohlaví a kraj/okres, a právě této jeho funkčnosti jsem se rozhodla vyuţít. Obr.18: Náhledy na uživatelské profily na Lidé.cz

45

Zdroj [48]

Aplikace LideDownloader napodobuje činnost člověka, který si zadá filtr a pak postupně prochází všechny profily, ale na rozdíl od „lidského“ uţivatele to provádí obrovským tempem a navštívené profily ukládá na disk. Na hlavním okně aplikace se nacházejí dvě komponenty webového prohlíţeče (web browser). V prvním kroku horní browser načte náhledy na uţivatelské profily a získá tím první dávku odkazů na 18 profilů. Pak dolní browser v cyklu postupně navštíví tyto profily a uloţí jejich kompletní HTML na disk. V dalším kole se získá hyperlink na tlačítko „Další“ (na obrázku je vidět modré vpravo dole) a předá se opět hornímu browseru a tak dále, aţ do vyčerpání všech nabízených profilů, anebo dokud uţivatel nestiskne tlačítko STOP, kterým se načítání zastaví neprodleně. V pravém svislém seznamu se zobrazuje aktuálně načítaných 18 nicků a kursor se přesouvá odshora dolů, takţe je moţné i opticky vidět rychlost zpracovávání profilů. Funkce vyvíjeného softwaru byly testovány na pokusném profilu car.O.lina, který jsem si zaloţila, protoţe jsem potřebovala testovací profil, který obsahuje všechny myslitelné údaje.

46

Obr. 19: Obrazovka aplikace LideDownloader při práci

[Vlastní zdroj] Obr. 20: Ukázka profilu na Lidé.cz (testovací profil)

Zdroj [49]

47

2.3.3.2 Popis činnosti modulu HTML Parser Výstup z výše popsaného modulu je pouţit jako vstup do modulu parseru. Aplikace LideHtmlParser.exe byla rovněţ realizována v C# ve Visual Studiu. Program pracuje tak, ţe po volbě zdrojového a cílového adresáře začne procházet všechny HTML soubory ze zdrojového adresáře a parsuje je na jednotlivé atributy, které nás zajímají. Jejich hodnoty ukládá v cílovém adresáři do souboru typu *.CSV (pro Excel, oddělené středníkem). Data před uloţením důkladně validuje za pouţití regulárních výrazů, aby se pokud moţno odfiltrovaly všechny nevalidní vstupy (např. telefon „mÁm, NeDáM“ nebo smajlík místo ICQ atp.), které by znehodnocovaly statistiku. Zajímavé atributy pro potenciálního útočníka jsou zejména: nickname, profilové foto, věk, pohlaví (které v sobě skrývá i sexuální orientaci!), ICQ, MSN a Skype, telefon, město, webové stránky, počet hodin na chatu, datum registrace. Kaţdý atribut je detekovatelný na základě výskytu určité klíčové sekvence, coţ je buď HTML tag nebo specifická sekvence znaků. Tyto sekvence nazvěme delimitery. HTML, kdyţ je začneme studovat blíţe za účelem nějaké takovéto analýzy, je netriviální a navíc poměrně nesystematický jazyk, a proto bylo třeba některé atributy detekovat např. systémem „vrať mi hodnotu, která leţí mezi delimitery D1 a D2, přičemţ D1 leţí v blízké vzdálenosti za delimiterem D0. Například pohlaví uţivatele se dá vypreparovat z názvu souboru ikonky (jenţ nabývá hodnot ico-M.gif, ico-F.gif, ico-M-homo.gif, anebo ico-F-homo.gif), který se nachází v blízkosti řetězce class="age". Jinde je zase koncový delimiter nejednoznačný, např. class="girl" nebo class="boy". Parsing takovéhoto formátu je tedy netriviální a lze říci, ţe parser je „ušit na míru“ a při změně formátu html-dokumentu správcem serveru by přestal částečně nebo úplně fungovat. Kdyţ však posuzujeme účinnost tohoto přístupu z pozice osoby, která chce za nějakým „nekalým“ účelem tato data těţit (např. pro zasílání spamů), nevadí to, protoţe takováto akce je zpravidla jednorázová, rychlá a časově omezená. Validace načtených hodnot probíhá na základě regulárních výrazů tak, ţe kaţdý atribut má přiřazený určitý validátor. Validátorem rozumíme metodu (funkci) objektu Parser, realizující validaci s návratovou hodnotou true nebo false, např. pro validaci ICQ:

48

/// <summary> /// Validuje ICQ cislo. Musi byt v rozsahu 6-10 cifer. /// /// <param name="a_Src">vstupni hodnota /// bool, zda vyhovuje validacni masce public static bool JeICQ(string a_Src) { Regex lReg = new Regex("^[0-9]{6,10}$"); return (lReg.IsMatch(a_Src)); }

Obr.21: Základní obrazovka aplikace LideParser při práci

[Vlastní zdroj] Obr.22: Druhé okno s browserem načtených (a již validních) dat

[Vlastní zdroj]

49

2.3.4 Nasazení Po napsání a odladění aplikace LideDownloader.exe jsem ji spustila a nechala běţet několik hodin. Rychlost zpracování byla cca 800 profilů/hod v případě profilů ţen a 1200 profilů/hod u muţů (profily muţů nemají na nástěnce tolik videí a třpytivých obrázků, a proto se natahují rychleji). Průměrná velikost staţeného dokumentu byla 22 kByte (nepočítám obrázky, které se ukládají do Temporary Internet files a které bylo potřeba čas od času promazat). Postupně jsem aplikovala tohoto robota na profily ţen a muţů v rozpětí od 15 let do 45 let s krokem 5 let. Celkový počet analyzovaných profilů byl 25908. Staţené soubory obsahují (veřejně dostupná) uţivatelská data z těchto profilů. Následně jsem je statisticky zpracovala pomocí modulu LideParser.exe a LideStatistika.xls.

Obr.23: Výstupní formát csv, příklad dat ----lucka---;http://imb.lide.cz/lide_photo_big/201109/2316/44/4e7cb318446464be6aab0000.jpg;;Jih očeský kraj;F;;645118115;;*** INVALID:mam;;;16.6.2008;9.37; -Endy; http://imb.lide.cz/lide_photo_big/201104/1413/ac/4da6fcb5ac09e03016780000.jpg;;Karl ovy Vary;F;;;;*** INVALID:Sony Ericsson;;;15.5.2008;0.00; -Janika;http://imb.lide.cz/lide_photo_big/201007/2518/3f/4c4c84ba3f6b4168c9a40000.jpg;;Zlí n;F;;471848453;;*** INVALID:Neřeknu=P;;;20.3.2008;5.54; -karole;http://imb.lide.cz/lide_photo_big/201101/1819/69/4d35e41f69a40384ceb70000.jpg;;Nym burk;F;;265797194;;;;;24.1.2008;60.71; -m-o-n-c-a;http://imb.lide.cz/lide_photo_big/201012/2320/d2/4d13ab7ad29b9faef47b0000.jpg;15;S tředočeský kraj;F;Panna;*** INVALID:mám;;*** INVALID:si pamatuju;;;14.8.2008;; -Vendy;http://imb.lide.cz/lide_photo_big/201105/2517/17/4ddd380a177328398bc00000.jpg;;Pra ha (Praha);F;;427348526;;;;;26.3.2008;0.55; -Viktorka;http://imb.lide.cz/lide_photo_big/201111/1414/8f/4ec12cc08f7eb005acf80000.jpg;;;F; ;611066902;;;Vixxxy144;;14.7.2008;8.78;

[Vlastní zdroj]

50

2.3.5 Výstupy Statistiku staţených dat prezentují následující tabulky. Zahrnují jen agregátní data, tj. sumy v jednotlivých kategoriích, a zaměřují se zejména na podíl citlivých údajů na profilech. Tabulka 13: Vyhodnocení výstupů statistiky na Lidé.cz Pohlaví

Věk

Adresa

Znamení

ICQ

MSN

Mobil

Skype

Web

Prochatováno

Profilů

Ž

15

93,57%

48,53%

40,73%

0,21%

6,91%

6,23%

8,83%

90,90%

1460

Ž

20

93,36%

63,30%

33,90%

0,07%

3,75%

2,37%

7,21%

87,36%

5364

Ž

25

95,45%

64,91%

25,09%

0,12%

1,67%

1,82%

6,19%

92,56%

5981

Ž

30

95,49%

86,11%

6,60%

0,35%

2,43%

7,29%

5,90%

92,71%

287

Ž

35

95,02%

85,98%

5,92%

0,31%

2,18%

6,23%

2,80%

87,23%

320

Ž

40

95,79%

67,72%

6,32%

0,35%

1,05%

1,40%

3,86%

92,28%

285

Ž

45

94,24%

56,61%

7,80%

1,02%

1,36%

4,41%

3,05%

90,17%

294

min

93,36%

48,53%

5,92%

0,07%

1,05%

1,40%

2,80%

87,23%

13991

max

95,79%

86,11%

40,73%

1,02%

6,91%

7,29%

8,83%

92,71%

průměr

94,70%

67,59%

18,05%

0,35%

2,76%

4,25%

5,41%

90,46%

Pohlaví

Věk

Adresa

Znamení

ICQ

MSN

Mobil

Skype

Web

Prochatováno

Profilů

M

15

92,20%

52,06%

27,87%

0,34%

8,37%

9,86%

6,19%

97,25%

871

M

20

95,92%

71,91%

55,09%

0,17%

11,85%

3,23%

15,52%

88,94%

9263

M

25

95,51%

90,31%

13,00%

0,71%

9,93%

8,51%

4,49%

94,33%

422

M

30

95,51%

87,76%

9,80%

1,22%

9,80%

9,39%

4,08%

92,24%

244

M

35

94,56%

89,12%

7,14%

0,34%

8,84%

8,84%

5,44%

95,58%

293

M

40

92,78%

64,44%

7,78%

1,11%

4,17%

5,56%

5,56%

93,61%

359

M

45

91,20%

56,65%

16,09%

0,64%

7,30%

5,58%

5,58%

94,64%

465

min

91,20%

52,06%

7,14%

0,17%

4,17%

3,23%

4,08%

88,94%

11917

max

95,92%

90,31%

55,09%

1,22%

11,85%

9,86%

15,52%

97,25%

průměr

93,95%

73,18%

19,54%

0,65%

8,61%

7,28%

6,70%

93,80%

[Vlastní zdroj]

51

Tabulka 14: Legenda k předchozí tabulce

Údaj Adresa

Znamení ICQ MSN Mobil Skype Web

Chat

Význam Uţivatel uvádí adresu (alespoň město). Na serveru Lide.cz je moţné vybrat město z předdefinovaného seznamu, který se nabízí v combo-boxu při zaloţení nebo změně profilu, ale je moţné také dopsat podrobnější údaj ručně. Uţivatel uvádí znamení zvěrokruhu. Tento údaj není technicky a asi ani komerčně příliš zajímavý, ale uvádím ho pro zajímavost zejm. vzhledem k věku a pohlaví uţivatelů. Uţivatel uvádí ICQ. Uţivatel uvádí adresu pro komunikaci na MSN. Uţivatel uvádí validní telefon/mobil. Uţivatel uvádí svůj nick na Skype. Uţivatel uvádí své webové stránky. Ve fázi čištění dat jsem ručně vytřídila stránky, které sice jsou z hlediska validátoru www adresy korektní, ale zjevně neodkazují na uţivatelovy osobní stránky a byly zadány z neznalosti nebo recese (např. www.seznam.cz, www.trhnetesinohou.cz apod.). Údaj představuje počet hodin strávených na chatu. Zobrazení je moţné explicitně zakázat v editaci profilu, ale málokdo této moţnosti vyuţije. [Vlastní zdroj]

52

Grafy 1 a 2: Statistické rozložení zveřejňovaných údajů – Adresa, ICQ

[Vlastní zdroj] Grafy 3 a 4: Statistické rozložení zveřejňovaných údajů – Mobil, Skype

[Vlastní zdroj]

Graf 5 a 6: Statistické rozložení zveřejňovaných údajů – Web, Počet hodin na chatu

[Vlastní zdroj]

53

2.3.6 Diskuse k výsledné statistice Zajímavé z hlediska statistiky jsou vţdy výrazné "výstřelky" proti průměrným nebo očekávaným hodnotám. V tomto ohledu mne zaujaly následující údaje: ICQ: Počet rapidně klesá po 20-25 roku věku, a to jak u muţů, tak u ţen. Odpovídá to i mé zkušenosti s tímto prostředím, tj. ţe ICQ vyuţívají spíše mladí lidé. MSN: komunikuje přes něj srovnatelně velmi málo uţivatelů. Mobil: Čísla prozrazují zřejmě s věkem klesající důvěru v prostředí, protoţe zcela bezelstně svůj telefon na profil napíše 7% děvčat ve věku 15, ale jen kolem procenta 40letých. U muţů je hladina vyšší (coţ lze očekávat vzhledem k psychologické rozdílnosti mezi pohlavími – děvčata jsou spíše terčem dobývání, a tak nezveřejňují svoje údaje v takové míře jako chlapci), ale ubývající trend zveřejněných dat s rostoucím věkem je zde patrný také. Skype: Je oblíbenější i u střední a starší generace, coţ srovnáním s prostředím aplikace ICQ vcelku chápu. Webové stránky: uvádí více mladých lidí a s věkem počet klesá, coţ mě překvapilo, ale další rozbor by byl spíše tématem pro nějakou sociologickou studii. Znamení zodiaku uvádí překvapivě hodně lidí, a to nezávisle na pohlaví a věku, coţ mě překvapuje. Je to ale moţná způsobeno tím, ţe neuvedení údaje musí uţivatel explicitně zaškrtnout, coţ mnoho lidí z pohodlnosti nebo řekněme "indiference" neučiní. Profil uţivatele na Lidé.cz obsahuje ještě některé další údaje, které však nebyly předmětem mojí analýzy. Je to zejména seznam přátel. Je to sice pro člověka mnohdy poměrně intimní údaj, ale myslím si, ţe není příliš vyuţitelný/zneuţitelný komerčně. Můţe být pouţit spíše v jednotlivých případech slídění (stalkingu) nebo masově zpravodajskými sluţbami při sběru dat o propojení mezi lidmi. Ve druhém jmenovaném případě by však analytici speciálních sluţeb stoprocentně sáhli spíše po Facebooku, a to ze dvou důvodů: je oproti Lidé.cz více plošný, rozšířený a nadnárodní, uţivatelé na něm uvádějí vesměs své pravé jméno a příjmení, neboť jsou k tomu politikou tohoto serveru přímo dotlačeni, zatímco na jiných, Lidé nevyjímaje, uvádějí jen přezdívky.

54

2.4 Anketa o úrovni znalostí o bezpečnosti dat na Facebooku 2.4.1 Cíl Cílem bylo vytvořit jednoduchou anketu, zjišťující úroveň znalostí uţivatelů Facebooku o bezpečnosti osobních údajů, tuto anketu publikovat na webu, propagovat ji mezi co nejvíce lidí, nechat ji nějakou dobu běţet a nakonec statisticky vyhodnotit získaná data.

2.4.2 Realizace Anketu jsem realizovala jako HTML stránku s formulářem. Formulář obsahuje prvky input typu radiobutton (jediná volba z několika), checkbox (více voleb z několika), select (rozklikávací „roleta“) a tlačítko submit (odeslat). Serverová část je realizována jako PHP skript, který uloţí uţivatelem zadaná data do textového souboru na serveru ve formátu CSV a odešle notifikační e-mail do mé mailové schránky. Otázky a moţné odpovědi jsem si po prozkoumání mechanismů na Facebooku zvolila takto: Úvodní otázky kvůli statistice: pohlaví, věk a nejvyšší dosaţené vzdělání Vlastní dotazník: 1) Máte účet na Facebooku? (Zaškrtnete-li "Ne", přejděte prosím rovnou na otázku 9) Ano Ne 2) Pročetli jste si někdy podmínky a práva pouţívání účtu na Facebooku? Ano, hned při zaloţení účtu Ano, ale aţ v průběhu členství Ne, dosud ne. Nikdy mě to nezajímalo 3) Jaké pouţíváte nastavení soukromí při zveřejňování příspěvků? (jde o nastavení soukromí aktualizací statusu, fotek a informací) Veřejný Přátelé Přátelé přátel Vyjmenované osoby Pouze Já Nevím, co to je Není to pro mě důleţité, nechal jsem přednastavenou hodnotu 55

4) Jaké pouţíváte nastavení "Kdo můţe vyhledat váš profil podle jména či kontaktních údajů"? Všichni Přátelé Přátelé přátel Nevím, co to je Není to pro mě důleţité, nechal jsem přednastavenou hodnotu 5) Víte, ţe máte moţnost vyţádat si zaslání souboru, který bude obsahovat vše, co jste vloţili na Facebook (fotky, video, odkazy atd.)? Ano, vím a uţ jsem to vyzkoušel/a Ano, ale dosud jsem to nevyzkoušel/a Ještě jsem o tom neslyšel/a Nezajímá mě to 6) Jaké informace zveřejňujete na svém profilu? Svoje pravé jméno Nick nebo jiné jméno Telefon e-mail Adresu bydliště Datum narození Zaměstnavatele/školu Fotografie pouze moje (jen profilová) Fotografie rodiny, přátel, kolegů apod. Příbuzenské vztahy Plánovanou dovolenou, budoucí aktivity apod. 7) Vyuţil/a jste někdy placení platební kartou přes Facebook? Ano, pravidelně Ano, párkrát jsem vyuţil/a Neměl/a jsem důvod Nikdy bych nevyuţil/a, nemám důvěru z bezpečnostního hlediska 8) Navštěvujete aplikace na Facebooku? Café World Zynga Game Bar Social City Slevomat Nechodím na aplikace Chodím na jiné aplikaci – na jaké: 56

9) Uveďte prosím další sociální sítě, které alespoň občas pouţíváte: … 10) Napište mi něco zajímavého, co vás k uvedenému tématu napadá a souvisí s ním: Obr.24: Ukázka části webové stránky dotazníku

[Vlastní zdroj]

2.4.3 Nasazení Stránku jsem publikovala přes ftp na webových stránkách našeho serveru pod URL http://ww.adasoft.cz/anketa1/anketa.php. Odkaz na stránku jsem rozšířila mezi co nejvíce svých přátel, známých, příbuzných, spoluţáků a kolegů s prosbou o její další šíření. Nechala jsem anketu běţet 3 týdny a pak stáhla a zpracovala výsledky.

57

2.4.4 Výstupy Tabulka 15: Vyhodnocení výstupů z ankety

Výstupy z ankety

Celkový počet

Celkový počet v %

Počet respondentů

106

100 %

Z toho validních odpovědí

106

100 %

Z toho má účet na FB

76

72 % [Vlastní zdroj]

Grafy 7 a 8: Věková struktura respondentů ankety

[Vlastní zdroj] Další grafy se vztahují jen k datům uživatelů, kteří mají účet na Facebooku: Graf 9 a 10: Zastoupení pohlaví a vzdělání

[Vlastní zdroj]

58

Grafy 11 až 18: Odpovědi na jednotlivé otázky ankety

59

[Vlastní zdroj] Tabulka 16: Další aplikace a sociální sítě, které respondenti jmenovali: Aplikace Sociální sítě Top Eleven – Be a Football Manager 1 LinkedIn 12 S kým můţeš dnes zaţít nejlepší sex 1 Skype 9 Cute pets 1 Lide.cz 8 Farmville 1 Google+ 8 Diamond dash 1 ICQ 5 Big business 1 Twitter 4 Kudy z nudy 1 spoluţáci.cz 3 Foursquare 2 Yammer, Youtube, vkontakte.ru, Badoo, à1 Tumblr, Viber, Email, BBS [Vlastní zdroj] Další názory a připomínky:

Odpovědi jsem prošla a shrnula jejich obsah do následující tabulky. Tabulka 17: Důvody/Argumenty používání/nepoužívání sítě Facebook

Respondentů

Proč pouţívám Facebook Soc. sítě nevyhledává, účet má jen ze zvědavosti Komunikace se vzdálenými, ztracenými přáteli Publikování veřejných zpráv, reklamy

12 6 2

Proč nepouţívám Facebook Nemá důvěru v sociální sítě Ztráta soukromí Ztráta času Ztráta osobního kontaktu Zneuţití osobních údajů

8 7 8 5 7 [Vlastní zdroj]

60

2.5 Vytvoření aplikace pro Facebook 2.5.1 Cíl Mým záměrem bylo realizovat zcela praktickou ukázku vytvoření aplikace a ukázat, jaké jsou moţnosti vytěţování osobních údajů uţivatelů pomocí takové aplikace na Facebooku. Facebook je dnes zaplaven mnoţstvím aplikací, z nichţ mnohé jsou z mého pohledu v kategorii balastu, některé svým vyloţeně pubertálním obsahem jsou lidmi ignorovány nebo je přímo iritují (typu např. „Jaká jsi květina podle tvého data narození“ nebo „S kterou celebritou se chceš vyspat“). Aby byla aplikace líbivá a „klikalo“ na ni co nejvíce uţivatelů, a přitom abych se nemusela za její téma stydět, našla jsem vhodný kompromis v podobě psychologického testu osobnosti podle metodiky MBTI.

2.5.2 Realizace V první fázi jsem musela získat a osvojit si informace o metodě, jak vyvíjet aplikace na Facebooku. Je překvapivé, jak nedostatečná je při rozšířenosti a délce trvání Facebooku jeho dokumentace. Helpy jsou chudé na příklady, v některých případech protichůdné či neaktuální (FB během let mnohokrát změnil vývojářské rozhraní v jeho vizuální podobě i vlastní API). Dialogy pro vytvoření aplikace jsou poněkud chaotické, špatně jazykově lokalizované a obsahují chyby, např. dva stejně znějící odkazy na jedné stránce vedou na dvě různá URL, z čehoţ jen jedno plní funkci apod. Internet je pochopitelně zaplaven mnoha články, ale značná část z nich odkazuje na zastaralé, Facebookem zavrţené a postupně opouštěné platformy (objekty a metody jsou označeny jako depricated), např. FBML (Facebook Markup Language, celkem příjemné rozšíření HTML) nebo tzv. REST API. [999] Kdyţ jsem se „prokousala“ přes úvodní problémy, navrhla jsem a zčásti realizovala funkční aplikaci, která má demonstrovat metodu, jak získávat osobní údaje od uţivatelů, jestliţe si to tvůrce aplikace usmyslí. Tvorba aplikace sestává ze dvou zásadních kroků: 1) Vytvoření aplikačního „skeletu“ na Facebooku. Tímto se nová aplikace zavede do prostředí FB. Vývojář zde nastaví základní parametry aplikace: název, ID, hosting, kontaktní e-mail apod. A konečně je zde aplikaci přidělen tajný klíč, který vývojář pouţije pro komunikaci se serverem FB při volání jeho API funkcí (jako určitá metoda autentizace). 61

2) Vytvoření vlastních stránek, které buď mohou leţet jinde, anebo mohou být umístěny na jakémsi partnerském hostingu FB (Heroku). Stránky běţí na FB v rámu (frame) a musí splňovat určitá omezení, např. na velikost plochy (canvas). Heroku je jakási cloudová platforma pro vývoj a hostování škálovatelných aplikací v jazycích Ruby, Java, Python apod. Toto prostředí se mi zdálo ještě chaotičtější neţ Facebook sám, navíc plné nových pojmů jako Dyno Manifold, Git Repo, Logplex, Piggyback apod., některé kategorie jsou dokonce pojmenovány podle postav z Hvězdných válek. Navíc hrozilo, ţe tato platforma bude vnucovat určitá omezení. Po prvotních experimentech s Heroku jsem tedy tuto alternativu zavrhla a zvolila zcela standardní řešení – externí hosting na jiném serveru (v rámci standardního hostingu pod vlastní doménou) a kód v PHP. Se skriptováním v PHP mi pomohl manţel. Rovněţ poskytl pro tento experiment svůj vývojářský profil na Facebooku. Stručně nyní zdokumentuji jeden z moţných postupů. Fáze I – vytvoření skeletu aplikace na FB 1) Na adrese http://developers.facebook.com/?ref=pf klikneme odkaz Aplikace. 2) Vede na https://developers.facebook.com/apps, stiskneme Vytvořit novou aplikaci. Obr.25: Průvodce vytvořením nové aplikace na FB

[Vlastní zdroj]

3) Zadáme „captcha“ kód. 4) Vytvoří se nová aplikace. Doplníme další potřebné údaje, můţeme zde rovněţ nahrát ikonu aplikace, ale zejména získáme dva parametry potřebné pro další vývoj: AppID a SecretKey:

62

Obr.26: Průvodce vytvořením nové aplikace na FB, další obrazovka

[Vlastní zdroj]

5) Na serveru, kde chceme provozovat aplikaci, zaloţíme aplikační adresář – dále jen namespace. Bude zde hlavní stránka aplikace (index.php) a další soubory a knihovny. 6) Na FB v menu „Nastavení – základní” nasměrujeme proměnnou CanvasURL na tento namespace, v našem případě http://www.adasoft.cz/files/mbti_app/. Řetězec musí být zakončen lomítkem, jinak odkaz nefunguje. 7) V menu „Nastavení – rozšířené“ zaškrtneme do začátku „pískovitě“ (Sandbox), čímţ zajistíme, ţe naše aplikace poběţí v testovacím reţimu a nebude dostupná veřejně. Fáze II – vývoj vlastní aplikace v PHP 1) Z adresy https://github.com/facebook/php-sdk/tree/master/src stáhneme tři knihovny: fb_ca_chain_bundle.crt, base_facebook.php a facebook.php a umístíme je do podadresáře /libs v našem namespace. Jsou v nich deklarace základních tříd FB API. 2) V našem namespace začneme vytvářet kód - index.php, nejprve na lokálním disku, později jej umístíme na server. 3) Definujeme (buď jako konstanty nebo jako globální proměnné) pět důleţitých stringů, které se pouţijí při komunikaci s Facebookem přes jeho API funkce: define('APP_ID', '380737365294157'); define('API_KEY', '380737365294157'); define('APP_SECRET', 'd9b34d9f9386b865b65648efxxxxxxxx'); define('CANVAS_PAGE', 'https://apps.facebook.com/mbti_app/'); define('CANVAS_URL', 'http://www.adasoft.cz/files/mbti_app/');

63

4) Definujeme další případné konstanty a přilinkujeme nezbytnou knihovnu: define('EXTENDED_PERSMISSIONS', 'publish_stream'); define('APP_DESCRIPTION', 'VÝZNAM SEBEPOZNÁNÍ - JAKÝ KDO JSME PODLE MBTI'); define('EMAIL', '[email protected]'); require_once 'libs/facebook.php';

5) Do skriptu vloţíme kód, který vytvoří instanci třídy facebook, připojí se na FB a získá autentizační token (=string, s nímţ se bude aplikace připojovat v session na FB) a dále ID přihlášeného uţivatele: // Vytvorime instanci tridy Facebook $facebook = new Facebook( array('appId'=>APP_ID, 'secret'=>APP_SECRET, )); $AccessToken = $facebook->getAccessToken(); // Ziskame ID prihlaseneho uzivatele $user = $facebook->getUser(); LogAction ("user=".$user); // Je uzivatel prihlaseny na Facebooku? if(!isset($user)) { LogAction ("Uzivatel neni prihlasen na FB"); die("Uživatel není přihlášen na Facebook."); } else { $UserProfile = $facebook->api('/me'); }

6) Do HTML části stránky umístíme nějaký text, abychom viděli, zda „celá věc funguje“. Musíme mít na paměti, ţe HTML (ať uţ napsané námi nebo rendrované PHP skriptem) poběţí ve framu, a proto některé tagy nebudou fungovat.

Moje první aplikace

, vítám tě na tvé aplikaci!

7) Soubor index.php plus tři výše zmíněné knihovny v podadresáři /libs umístíme (upload např. přes ftp) na náš server. 8) Na FB se mezitím objevila v levém postranním menu na našem profilu nová aplikace. Vstoupíme do ní, odklikneme „zvací“ dialog (uţ je na něm naše nahraná ikona):

64

Obr.27: Vstup do nově vytvořené aplikace, žádost o práva na získání osobních dat

[Vlastní zdroj]

9) Jestliţe jsme jiţ v kódu pouţili některá práva, např. získání seznamu přítel, umístění na zeď uţivatele apod. (musí se o ně v aplikaci explicitně ţádat), odklepneme případně další autorizační dialog, např.: Obr.28: Vstup do nově vytvořené aplikace, žádost o další práva (extended persmissions)

[Vlastní zdroj]

10) Jestliţe je všechno správně nastaveno a ve skriptu nemáme chybu, vypíše se náš text. Vytvořili jsme svou aplikaci na Facebooku. Je na vývojáři, aby ošetřil všechny moţné stavy a jejich kombinace, tj. kromě odchycení výjimek zejména situace, kdy uţivatel neautorizuje některé ţádosti o osobní údaje. Jestliţe je však vývojář zároveň dobrým sociálním inţenýrem, učiní aplikaci ještě před vstupem do ní pro uţivatele natolik atraktivní, ţe mu lidé zpřístupní všechno, oč je aplikace 65

poţádá (coţ mnohdy udělají i tak, protoţe odklikávají bez přemýšlení úvodní dialogy jako „nutné zlo“, aby uţ-uţ byli uvnitř.). Nyní vzniká prostor pro získávání osobních údajů přihlášeného uţivatele. 11) Přidáme nějaké servisní funkce, např. logování, odeslání e-mailu, získání profilových údajů apod. Část kódu, která zajistí vloţení příspěvku na zeď (wallpost), můţe vypadat např. takto: Váš status byl aktualizován."; } ?> ...

Snadnost

staţení

osobních

údajů

uţivatele

demostruji

výpisem

funkce

GetUserProperties(). Funkce loguje všechny získané informace, ale mohla by je téţ ukládat do databáze, odesílat mailem nebo s nimi jakkoli jinak nakládat. Facebook jen vyţaduje autorizaci, ale dál se víceméně nestará o to, jak aplikace funguje (ani do ní nedohlédne). // Ziska profilova data (nepotrebujeme zatim extended_permission) function GetUserProperties ($aFacebook, $aUserID, &$aUserProfile) { try { $aUserProfile = $aFacebook->api($aUserID); LogAction (" name : " . $aUserProfile["name"]); LogAction (" username : " . $aUserProfile["username"]); LogAction (" gender : " . $aUserProfile["gender"]); LogAction (" hometown : " . $aUserProfile["hometown"]["name"]); LogAction (" location : " . $aUserProfile["location"]["name"]); LogAction (" verified : " . $aUserProfile["verified"]); LogAction (" updated : " . $aUserProfile["updated_time"]); $lngs = ""; foreach($aUserProfile["languages"] as $lng){ $lngs .= $lng["name"]. ";"; } LogAction (" languages: " . $lngs); $edus = ""; foreach($aUserProfile["education"] as $edu){ $edus .= $edu["school"]["name"]; $edus .= "(".$edu["type"].",".$edu["year"]["name"].");"; } LogAction (" education: " . $edus);

66

} catch (FacebookApiException $e) { LogAction ("SESSION je neplatna"); die("SESSION je neplatná"); } }

Velmi mocným nástrojem, který FB v poslední době implementoval, je rozhraní FQL (Facebook Query Language). Jeho pouţití je vcelku snadné a aţ na poněkud kostrbatou syntaxi vpodstatě shodné s SQL. Opět je demonstruji na funkci GetUserProperties(): function GetUserProperties($aUserID, $aToken, &$aName, &$aSex, &$aHome, &$aMmail, &$aFrcnt, &$aMfcnt, &$aRelig, &$aBirth, &$aRelSt) { $Query = 'SELECT+name+,+sex+,+hometown_location+,+email+,+friend_count+,+mutual_friend _count+,+birthday+,+religion+,+relationship_status+FROM+user+WHERE+uid='.$aUs erID; $RecordSet = PerformQuery($Query, $aToken); $aName = $RecordSet["data"][0]["name"]; $aSex = $RecordSet["data"][0]["sex"]; $aHome = $RecordSet["data"][0]["hometown_location"]; $aMmail = $RecordSet["data"][0]["email"]; $aFrcnt = $RecordSet["data"][0]["friend_count"]; $aMfcnt = $RecordSet["data"][0]["mutual_friend_count"]; $aRelig = $RecordSet["data"][0]["religion"]; $aBirth = $RecordSet["data"][0]["birthday"]; $aRelSt = $RecordSet["data"][0]["relationship_status"]; }

2.5.3 Výstupy Výstup pro uţivatele (část obrazovky) je na obrázku níţe, který ukazuje, ţe skutečně běţí v rámu na stránce Facebooku. Výstup do aplikačního logu pro přihlášení jednoho uţivatele na aplikaci můţe vypadat takto: út 2012-04-10 01:09:23 Spustena aplikace mbti_app út 2012-04-10 01:09:25 User ID : 1562754655 út 2012-04-10 01:09:25 name : xxxxxxxxxxx út 2012-04-10 01:09:25 username : benyam66 út 2012-04-10 01:09:25 gender : male út 2012-04-10 01:09:25 hometown : Prague, Czech Republic út 2012-04-10 01:09:25 location : Prague, Czech Republic út 2012-04-10 01:09:25 verified : 1 út 2012-04-10 01:09:25 updated : 2012-03-20T21:25:26+0000 út 2012-04-10 01:09:25 languages: English;Polish;Italian;Russian út 2012-04-10 01:09:25 education: SPŠ Na Třebešíně (High School,1984);ČVUT(College,1989)

Aplikaci, a tím i zjišťované údaje a tomu odpovídající výstupy, lze dále rozšiřovat získáním extended_persmissions. Jako demostraci vyuţití Facebooku ke zjišťování osobních údajů pro účely této práce však povaţuji uvedenou ukázku za dostatečnou. Aplikace je k vidění na URL http://apps.facebook.com/mbti_app/.

67

Obr.29: Ukázka části obrazovky vytvořené aplikace – psychologického testu

[Vlastní zdroj]

68

2.6 Příklad stalkingu Uvedu nejprve obecný přístup, jak lze postupovat při snaze o vystopování konkrétní osoby, a pak konkrétní příklad takového stopování hypotetickým slídičem. Uvedené příklady se snaţí poukázat na bezpečnostní rizika spojená s vedením profilu na sociálních sítích. Ukázkový, teoretický postup (jeden z mnoha moţných) útočník zná jméno a příjmení oběti, případně aspoň tuší věk, zná podobu apod. Zadá do vyhledavače (nejlepší výsledky dává Google) hledané jméno. Obvykle mezi prvními odkazy se zobrazí profil na Facebooku, pokud existuje Uţivatel profilu nemusí být na své profilové fotce jednoznačně identifikován. Útočník se proto zaměří na jeho přátele a jednoho po druhém vyhledává v přátelích má uţivatel i spolupracovníky z firmy a fotky ze společných akcí útočník v tuto chvíli ví, kde oběť pracuje, s kým pracuje, případně na jaké pozici v seznamu přátel si zvolí oběť, která by mohla mít nejhůře zabezpečený počítač a pošle jí mail obsahující nebezpečný odkaz/spustitelný kód apod. Kdyţ, a aţ uţivatel kód spustí, dostane jeho počítač pod kontrolu např. přes nějaké slabé místo zabezpečení, kterého podvrţený malware vyuţívá. Od této chvíle má přístup k souborovému systému, do mailu, k osobním informacím (kontakty, ţivotopisy, fotky, certifikáty, někdy i hesla, …) a můţe postupovat podle potřeby dál. Příklad pátrání po zájmové osobě Uvedený příklad vychází z reálného pátrání. Jména osob, nicky a veškerá další data, která by mohla vést k identifikaci osoby, byly upraveny nebo jsou vynechány. Cílem bylo, vypátrat co nejvíce podrobností o osobě jménem Arnold Havlíček a vytvořit přirozeně vypadající záminku ke kontaktování a seznámení se. Veškeré dostupné informace

jsou:

Arnold

Havlíček,

bydliště

pravděpodobně

Klecany,

e-mail

[email protected]. Krok 1) Profil na Lidé. je snadno k nalezení jako http://profil.lide.cz/arniehav/profil/, ale je nic neříkající, ţádné fotky, ţádná videa, věk není uveden, registrace 19.8.2009, nechodí na chat. Osobní motto: Člověk, který je nejvíce schopen rozloţit tvůj vnitřní klid, je člověk, který ti připomíná, ţe jsi nenašel vnitřní rovnováhu. V tomto momentě je tento člověk tvým 69

nejvyšším učitelem. Ţivotní cíl: Naučit se: 1) nebrat si nic osobně 2) nelhat 3) nevytvářet si ţádné domněnky 4) dělat vţdy vše nejlépe, jak dovedu a v daném okamţiku můţu. Oblíbená barva: modrá. V přátelích má jedinou uţivatelku, a to kolibricek666, 14 let, Praha 11, dle profilu klasická puberťačka, ale zjevně inteligentní. Ta má na svém profilu další přátele, a to uţ je lepší. Matka Alena Havlíčková, místo: Jiná země (Londýn). Kolibříček by tedy mohl být dcera subjektu. Vzhledem k tomu, ţe Havlíček ani Havlíčková nemají sebe jeden druhého v přátelích, je moţné, ţe jsou rozvedeni. Kdo se ale stará o dceru, kdyţ matka je v Anglii a otec bydlí v Klecanech? Celkem pět z přátel dívky jsou vrstevníci, z toho tři mají jako školu ZŠ Campanus. Velmi pravděpodobně tedy chodí také tam. V přátelích má ţenu ze západních Čech, kterou shodou okolností známe – Jitka Polanecká. Scénář #1: Otec by pro ni mohl občas chodit ke škole. Zavrhujeme, kontakt je nejistý, mohlo by se čekat dlouho, seznámení před školou není optimální. Jedině poslat ženu. Scénář #2: Seznámení přes Polaneckou. Zavrhujeme, je to přes mnoho mezičlánků, nejisté. Krok 2) Profil na Facebooku. Nenalezen. Krok 3) Google. Po odfiltrování několika falešných výskytů nalezen na kandidátce České strany lidově socialistické Středočeského kraje, dokument je Přehled kandidátních listin ČSLS v okrese Praha východ, kandidátní listina pro volby do zastupitelstva obce Klecany jako řadový kandidát. U kaţdého kandidáta je uvedeno zaměstnání, a tak se dovídáme, ţe je vedoucím oddělení bezpečnosti Úřadu XYZ. Této funkci přísluší dle webových stránek instituce: Ochrana utajovaných informací dle zák. č.412/2005 Sb. Objektová bezpečnosti jak ţivota, zdraví i majetku. Řízení najaté bezpečnostní agentury Bezpečáci, s.r.o., vedení a prošetřování mimořádných událostí v objektu. Komunikace a spolupráce s PČR a MP Praha X. Získání prověrky NBÚ pro seznamování a práci s utajenými materiály na stupeň: „Důvěrné“ dle zák. 412/2005 Sb.

Scénář #3: Kontakt v jeho úřadě. Možné, ale bude tam ostražitý, navíc nutno řešit kvalitní legendu. Z dalších výsledků vyhledávání vyplývá, ţe je členem muţstva SK Klecánek, záloţník a obránce. Tréningy jsou středa a pátek od 18.00.

70

Scénář #4: Kontakt při fotbale, např. po zápasu, možno předstírat zájem o vstup do oddílu. A konečně, nalezena diplomová práce na VŠMMJ, obor Management ve státní správě, téma Mladý moderní jinoch v dnešní Evropě, obhajoba červen 2007. Mohl to napsat on? Odpovídá časově i věcně. Závěr: Rozpracovat scénář č. 4. Informace o dceři, fotbal a studium při zaměstnání použít pro navázání a upevnění vztahu jako styčné body. Pokusit se infikovat počítač Kolibříka trojským koněm prostřednictvím mailu. Zde popis „detektivního pátrání“ končí, cílem není podrobně líčit konkrétní informace, i kdyţ by bylo o čem psát, ale jen poukázat na rozsah a perzistenci "digitální stopy", kterou po sobě zanechává v moderní době téměř kaţdý člověk, a na rozsáhlé moţnosti a nebezpečnost Internetu v uvedené oblasti.

71

3 Resumé Pokusím se na závěr ve stručnosti shrnout nejlepší praktiky v ochraně osobních údajů.

3.1 Nejlepší způsoby ochrany osobních údajů Škodlivému softwaru se můţeme vyhnout, dodrţujeme-li několik důleţitých pravidel: 

Počítač vybavit profesionální a pravidelně aktualizovanou antivirovou ochranou



Otevírat jen e-maily z důvěryhodných a adresátovi známých zdrojů



Nevyţádanou nebo podezřelou poštu mazat bez otevření



Neklikat webové odkazy zaslané z neznámého zdroje



Do počítače ukládat jen soubory, které pocházejí ze známého zdroje (týká se zejména spustitelných, tj. *.exe souborů, ale i dokumentů MS Office, které obsahují makra)



Přemýšlet, zda opravdu v dané situaci chceme odkliknout tlačítko "Povolit makra", "Stáhnout obsah souboru", "Nainstalovat doplněk" apod.

3.2 Zhodnocení a doporučení zabezpečení účtu na Facebooku V kapitole 1.6 jsem se pokusila zmapovat a popsat nejdůleţitější vlastnosti prostředí na síti Facebook, které by v ideálním případě měl uţivatel znát nebo o nich mít alespoň rámcový přehled, chce-li mít dobrý pocit, ţe jeho profilová data jsou v bezpečí. Následující body shrnou nejdůleţitější kroky pro nastavení této bezpečnosti. Výběr profilu Uţivatel "Veřejný": Kaţdý nově vytvořený účet je implicitně nastaven na tento profil. Pro uţivatele to znamená, ţe veškeré údaje jím vloţené na jeho profil jsou přístupné všem uţivatelům sítě bez výjimky. Neskýtá tedy ţádnou přidanou míru bezpečí nad to, které implementuje samotný provozovatel, ale umoţňuje opravdu široce komunikovat. Uţivatel "Přátelé": Tento profil bychom mohli také nazvat zlatou střední cestou. Je pravděpodobné, ţe uţivatel tohoto typu profilu upřednostňuje jistý způsob zabezpečení svých údajů na síti. Zpravidla se snaţí údaje a data vloţená na svůj profil střízlivě roztřídit na ta, která se budou zobrazovat např. jen přátelům nebo přátelům přátel. Teoreticky se nemusí obávat, ţe jeho data se dostanou do nepovolaných rukou. Osobně toto nastavení doporučuji, neboť je dobrým kompromisem mezi bezpečností a pouţitelností ("přezabezpečený" účet uţ 72

přestává být prakticky pouţitelný, např. v extrémním případě účet typu "Neviditelný" by na sociální síti nebyl k ničemu jinému, neţ na prohlíţení cizích účtů, coţ můţe prakticky jako nepřihlášený taky.) Uţivatel "Vlastní nastavení": Profil tohoto typu je určen uţivatelům, kteří nemají velkou důvěru v toto prostředí, ale přesto mají potřebu mít a pouţívat účet a zapojovat se určitou měrou do dění na Facebooku. Je zde tedy moţnost zvolit vlastní nastavení soukromí ve všech bodech, a nejde jen o viditelnost profilu. Kaţdou specifickou činnost lze nastavit nebo zakázat pro vybraný okruh přátel, skupiny uţivatelů či jednotlivé konkrétní uţivatele. Doporučené nastavení V části Nastavení soukromí a podčásti Nastavení zabezpečení je vhodné aktivovat poloţky: Zabezpečené procházení – zapne komunikaci přes https protokol Upozornění na přihlášení z jiného zařízení, neţ které běţně pouţíváme. Pokud dojde k přihlášení k účtu z jiného zařízení, majitel schránky obdrţí upozorňovací zprávu "od bezpečnostního týmu", rozumějme systémem generovaný mail, jenţ upozorní na přihlášení a umoţní je blokovat do doby, neţ majitel účtu tuto aktivitu neověří a znovu se ke svému účtu nepřihlásí. Uvedu příklad takového mailu: Od: Facebook <[email protected]> Komu: XY Předmět: Přihlásili jste se ke službě Facebook z jiného místa? Datum: 30.9.2011 07:44:01 ------------------------------------------------------------------------------Vážený uživateli XY,, K vašemu účtu na Facebooku bylo provedeno přihlášení z počítače, mobilního zařízení nebo jiného umístění, které jste dříve nepoužili. Z důvodu ochrany vaší osoby jsme váš účet dočasně zablokovali do doby, než tuto aktivitu ověříte a ujistíte se, že váš účet nepoužívá jiný uživatel bez vašeho souhlasu. Přihlásili jste se ke službě Facebook z nového zařízení nebo neobvyklého místa? – Pokud se nejedná o vás, přihlaste se k Facebooku z počítače a postupujte podle pokynů, abyste získali kontrolu nad svým účtem zpět. – Pokud se jedná o vás, není třeba si dělat obavy. Jednoduše se znovu přihlaste k Facebooku a získejte zpět přístup ke svému účtu. Pro více informací navštivte naše Centrum Nápovědy: http://www.facebook.com/help/?topic=account_recovery S přáním pěkného dne, Facebook Security Team

73

Ke zvážení Uţivatel by měl vţdy zvaţovat, zda provést registraci pro provádění plateb přes Facebook. Je zde vyţadováno příliš mnoho a příliš senzitivních údajů (jde o platební styk). Chce-li uţivatel vyuţívat aplikace typu hry a zároveň mít přehled o údajích, které tímto způsobem poskytuje provozovatelům, měl by si zkontrolovat část Nastavení soukromí, podčást Nastavení aplikací. V této sekci můţe: o Odebrat aplikaci, ve které se uţ nechce účastnit o Získat přesný přehled, jaká data jeho jménem si z profilu daná aplikace vybírá.

3.3 Závěrem Jako uţivatelé Internetu si většinou dostatečně uvědomujeme svá práva a moţnosti, ale měli bychom si také být vědomi nástrah a omezení. Svoboda, kterou prostředí Internetu přináší, by měla být vyváţena zodpovědností. Měli bychom si být vědomi všech nástrah, které se v prostředí sítě mohou vyskytnout. Cílevědomé vzdělávání by proto mělo být podporováno hlavně u dětí a mladých lidí. Počínaje školní docházkou by měla být vedena výuka, která by dětem vštípila bezpečné návyky chování na síti a vysvětlovala zcela konkrétním způsobem moţné hrozby. Profil uţivatele vypovídá o jeho majiteli a je zdrojem osobních, mnohdy i velmi citlivých údajů. Vše, co uţivatel napíše do svého profilu, zanechává nesmazatelnou, tzv. digitální stopu, která můţe být při špatném zabezpečení zneuţitelná. Jakým způsobem, jsem se pokusila ukázat v prakticky realizovaných úlohách. Míru zabezpečení dat na serverech nedokáţe běţný uţivatel (a při sloţitosti dnešních systémů mnohdy ani průměrně vzdělaný odborník) vůbec posoudit, a proto je na místě spíše mírně přehnaná dávka opatrnosti a, s nadsázkou řečeno, lehká "paranoia" při zacházení s osobními údaji. Útok, který můţe proběhnout na sociální síti, můţe být ve skutečnosti veden i jiným směrem neţ přímo na konkrétního uţivatele, např. za účelem zjištění osobních údajů, podvodu, kompromitace nebo napadení lidí, které má v přátelích. Uveřejněním některých údajů tak uţivatel můţe nechtěně uškodit i někomu jinému, nebo přinejmenším ulehčuje určitým společnostem či skupinám shromaţďovat data.

74

4 Použitá literatura Bibliografie [1] FISCH, A. Eric; WHITE, B.Gregory.Secure computers and Networks. Analysi,.Design, and implementation. BocaRaton : CRC Press, 2000. ISBN 0-8493-1868-8. [2] SMEJKAL, Vladimír. Internet a §§§. 2. aktualizované a rozšířené vydání. Praha: Grada Publishing spol. s.r.o., 2001. ISBN 80-247-0058-1. Internetové dokumenty [3] Category:OWASP Top Ten Project.OWASP Top 10-2010.pdf.[online].[cit. 2012-17-03]. Dostupné z WWW: [4] NetMonitor.[online].[cit. 2011-12-03]. Dostupné z WWW: < http://1.im.cz/r2/onas/socio/cz/lide_cz/lide.cz.pdf?2010-01-27> [5] Základní terminologie ICT. [online].[cit. 2012-31-03]. Dostupné z WWW: < http://ki.ujep.cz/data/enastenka/01---zaklady-ict.pdf> Internetové články [6] Analýza sociálních sítí v praxi. [online].[cit. 2011-12-05]. Dostupné z WWW:< http://tlampac.webnode.cz/> [7] California Civil Code Section 1542, CA Civil Statutes.[online].[cit. 2012-1-04]. Dostupné z WWW: < http://www.sebastiangibsonlaw.com/california-civil-code-section-1542-cal-civ-code-cacivil-statutes.html> [8] Co prozradí data uniklá z Facebooku .[online].[cit. 2012-3-04]. Dostupné z WWW: < http://technet.idnes.cz/co-prozradi-data-unikla-z-facebooku-10-575-novaku-manechraneny-profil-1d9-/sw_internet.aspx?c=A100729_162611_sw_internet_nyv > [9] Centrum rodinné bezpečnosti.[online].[cit. 2012-25-03]. Dostupné z WWW: < https://www.facebook.com/help/safety > [10] České sociální sítě.[online].[cit. 2012-1-04]. Dostupné z WWW: < http://cs.wikipedia.org/wiki/Soci%C3%A1ln%C3%AD_s%C3%ADt%C4%9B#.C4.8C esk.C3.A9_soci.C3.A1ln.C3.AD_s.C3.ADt.C4.9B >

75

[11] DOČEKAL, Daniel. Facebook Beacon posílá osobní data, i když to nechcete.[online].[cit. 2012-25-03]. Z WWW: < http://www.pooh.cz/a.asp?a=2014504> [12] Dotazy týkající zásad použití dat.[online].[cit. 2012-5-04]. Dostupné z WWW: [13] FarmVille porušuje pravidla soukromí Facebooku, posílá data inzerentům.[online].[cit. 2012-4-04]. Dostupné z WWW: [14] Facebook.[online].[cit. 2012-25-03]. Dostupné z WWW: < http://cs.wikipedia.org/wiki/Facebook> [15] Geolokační služba Facebook Places.[online].[cit. 2012-5-04]. Dostupné z WWW: < http://www.facemag.cz/geolokacni-sluzba-facebook-places/> [16] Google Lab, Podmínky používání.[online].[cit. 2012-1-04]. Dostupné z WWW: < http://labs.google.com.cs.mk.gd/labsterms.html> [17] HEJL, Zdeněk. Jak zrušit Facebook účet. [online].[cit. 2011-12-04]. Dostupné z WWW: [18] Hoax.[online].[cit. 2012-31-03]. Dostupné z WWW: < http://cs.wikipedia.org/wiki/Hoax> [19] Identita.[online].[cit. 2012-31-03]. Dostupné z WWW: < http://cs.wikipedia.org/wiki/Identita> [20] KASÍK, Pavel. Češi Internetu nebezpečně věří. Falešné krasavici naletělo 60 procent lidí. [online].[cit. 2012-3-04]. Dostupné z WWW: < http://technet.idnes.cz/cesi-facebookunebezpecne-veri-falesne-krasavici-naletelo-60-procent-112/sw_internet.aspx?c=A091117_171036_sw_internet_pka> [21] KRASEK, Jáchym. Masivní útok na Facebook ohrozil až tři čtvrtě miliónů uživatelů [online].[cit. 2012-25-03]. Dostupné z WWW: < http://computerworld.cz/internet-akomunikace/masivni-utok-na-facebook-ohrozil-az-tri-ctvrte-milionu-uzivatelu-5018> [22] Nastavení zabezpečení .[online].[cit. 2012-04-05]. Dostupné z WWW: < https://www.facebook.com/settings?tab=security> [23] Nefunguje vám Facebook aplikace?.[online].[cit. 2012-4-04]. Dostupné z WWW: [24] NÝVLTOVÁ, Táňa. Sociální sítě.[online].[cit. 2011-12-03]. Dostupné z WWW: < http://kisk.phil.muni.cz/wiki/Soci%C3%A1ln%C3%AD_s%C3%ADt%C4%9B > 76

[25] Obecné nastavení účtu.[online].[cit. 2012-5-04]. Dostupné z WWW: [26] Občanský zákoník.[online].[cit. 2012-31-03]. Dostupné z WWW: < http://www.epravo.cz/top/zakony/sbirka-zakonu/obcansky-zakonik-4702.html> [27] Ochrana osobních údajů. [online].[cit. 2011-12-05]. Dostupné z WWW: < http://www.businessinfo.cz/cz/clanek/orientace-v-pravnich-ukonech/ochrana-osobnichudaju-opu/1000818/51144/#b1> [28] Phishing. [online].[cit. 2011-12-04]. Dostupné z WWW: < http://www.bezpecnyinternet.cz/zacatecnik/prochazeni-webu/phishing.aspx> [29] Prohlášení o právech a povinnostech.[online].[cit. 2011-12-03]. Dostupné z WWW: < https://www.facebook.com/legal/terms?ref=pf> [30] Privacy Policy.[online].[cit. 2012-17-03]. Dostupné z WWW: < http://company.zynga.com/about/privacy-center/privacy-policy#information-collect> [31] STIBOR, Tomáš. Microsoft tvrdě útočí na Zeus botnety. [online].[cit. 2012-4-04]. Dostupné z WWW: [32] SVOBODA, Jakub. Facebook Credits - platební systém za virtuální zboží od Facebooku.[online].[cit. 2012-4-04]. Dostupné z WWW: < http://www.tyinternety.cz/socialni-site/facebook-credits-platebni-system-za-virtualnizbozi-od-facebooku-96> [33] ŠLERKA, Josef. Úvod do analýzy sociálních sítí.[online].[cit. 2012-6-04]. Dostupné z WWW: [34] Výsledek Big Brother Awards 2011.[online].[cit. 2012-2-04]. Dostupné z WWW: < http://www.iure.org/15/236/vysledky-big-brother-awards-za-rok-2011> [35] VYLEŤAL, Martin. Facebook slíbil, že zlepší ochranu soukromí a nakládání s osobními údaji. [online].[cit. 2012-3-04]. Dostupné z WWW: < http://www.lupa.cz/clanky/facebookslibil-ze-zlepsi-ochranu-soukromi-a-nakladani-s-osobnimi-udaji/> [36] World map of Social Networks.[online].[cit. 2012-25-03]. Dostupné z WWW: < http://vincos.it/world-map-of-social-networks/> [37] Zákon č. 101/2000 Sb. Zákony ČR [online]. c2004-2011 [cit. 2011-05-05]. Dostupné z WWW: [43] Zásady bezpečnosti při užívání internetu. [online].[cit. 2012-3-04]. Dostupné z WWW: 77

[44] Rok 2011 s Facebookem, co nového přinesl a jak to s novinkami dopadlo.[online].[cit. 2012-4-04]. Dostupné z WWW: < http://www.lupa.cz/clanky/rok-2011-s-facebookem-conoveho-prinesl-a-jak-to-s-novinkami-dopadlo/ > [45] Začínáme s Facebook aplikací (PHP SDK verze 3). [online].[cit. 2012-03-04]. Dostupné z WWW: [46] Zrušení a deaktivace účtu na Facebooku. [online].[cit. 2012-03-01]. Dostupné z WWW: [47] Nastavení plateb. [online].[cit. 2012-03-01]. Dostupné z WWW: < https://www.facebook.com/dialog/oauth? ...> [48] Výsledek hledání. [online].[cit. 2012-02-12]. Dostupné z WWW: [49] Zobrazení profilu uţivatele. [online].[cit. 2012-02-12]. Dostupné z WWW:

78