Vi mennesker er overraskende forskjellige, hvis man tenker over det. Og akkurat som at det er mange måter å skille mennesker fra hverandre på når du ser dem fysisk, finnes det også mange måter å skille ulike brukere på internett fra hverandre på. En metode kalt fingerprinting utnytter nettopp det at alle er forskjellige, også på nett. Dette gjør det mye lettere for reklameselskaper å spore hva du gjør, selv når du ikke er logget inn noe sted.
Som et digitalt fingeravtrykk
Det engelske ordet fingerprinting kan vanligvis oversettes med det å ta fingeravtrykk av noen. I overført betydning har det gitt navn til en metode for å kunne kjenne igjen enkeltbrukere ved hjelp av det man ser på som et digitalt fingeravtrykk.
Et digitalt fingeravtrykk er et (stort sett) unikt spor du legger igjen når du surfer på nettet. Men til forskjell fra den typen fingeravtrykk som kommer fra fingrene dine er digitale fingeravtrykk egentlig en samling av en hel haug individuelle spor, som ikke i seg selv er unike. Det er derimot samlingen av disse sporene som kan identifisere deg, for har man nok informasjon blir sjansen forsvinnende liten for at en annen person matcher disse sporene helt. Vi får det man kaller en kombinatorisk eksplosjon, der antall ulike kombinasjoner av spor stiger dramatisk for hvert nye spor vi tar med i beregningen, som altså gjør hver enkelt person mer og mer unik.
Sånn sett har et digitalt fingeravtrykk mer til felles med det man kaller et signalement, som altså er en detaljert beskrivelse av utseendet til en ettersøkt person. En beskrivelse av en person kan gjerne inneholde hårfarge, hudfarge, øyenfarge, høyde, klesfarger osv. For hver av disse punktene man legger til beskrivelsen, vil antall personer som passer til beskrivelsen synke kraftig. Har man nok holdepunkter burde det ikke være noe problem å finne den riktige personen, og slik fungerer også fingerprinting. Forskjellen er at fysiske kjennetegn er byttet ut med digitale, som for eksempel nettlesernavn, nettleserversjon, operativsystem, skjermstørrelse, foretrukne språk, installerte skrifttyper og mye annet.
Ikke alle delene av beskrivelsen er statiske, noen kan endre seg over tid. For eksempel kan det hende at man oppdaterer operativsystemet, eller endrer størrelsen på nettleservinduet. Dette kan sammenlignes med at en ettersøkt person skifter klær for å være mindre lettgjenkjennelig. Har man detaljert nok beskrivelse av noe som ikke endrer seg, f.eks. ansikt, kan man likevel kjenne igjen personen. Og det samme gjelder for digitale fingeravtrykk. Inneholder fingeravtrykket nok informasjon, kan man rimelig sikkert kjenne igjen en person selv om beskrivelsen fra tidligere ikke stemmer. Blant annet fordi det er svært usannsynlig at alle holdepunktene man har endrer seg samtidig.
Har det noe med meg å gjøre?
Overalt på nettet finnes det de som ønsker å samle informasjon om hva du foretar deg, enten det er for å kunne vise deg relevant reklame eller annet innhold, eller for å selge dataene til noen andre som vil dette. Overraskende mange selskaper drives med det formål å lage dataprofiler om brukeres nettvaner, for så å selge disse videre til en rekke godt betalende kunder.
Men hvordan i all verden får selskapene tilgang til slike data? Jo, de tilbyr gjerne verktøy til diverse nettsider, for eksempel analyseverktøy, deleknapper, videotjenester, likerknapper (i Facebooks tilfelle) osv. Eventuelt kan de også ha avtaler med selskapet bak verktøyene. Disse verktøyene kan igjen samle inn mye informasjon fra de besøkendes nettleser, og generelt om enheten de surfer på. Ved hjelp av teknikker som fingerprinting kan selskapene knytte aktivitet på ulike sider sammen, og beregne hvilke nettsider som mest sannsynlig er besøkt av samme bruker. Da har du ganske raskt en profil på hva slags surfevaner en person har, og kan ganske enkelt gjøre kvalifiserte gjentninger på interesseområder, yrke, alder og kjønn.
Disse selskapene prøver ofte å argumentere for at slike data er anonyme, og riktignok stemmer det at de gjerne ikke er knyttet opp til et enkelt individ, med fullt navn osv. Likevel er de ikke nødvendigvis så anonyme at en slik kobling er umulig å finne. Ofte er det nok data til at man har ganske god peiling på hva du foretar deg på nett, og klarer aloritmene å gjette riktig kjønn, alder og lignende, er det eneste som gjenstår å knytte det opp til en person. I mange tilfeller er dette da relativt fort gjort.
Eksempel på fingerprinting
Et fiktivt, men ikke utenkelig, eksempel på dette kan være at et annonsefirma har samlet inn data om brukere på sider som bruker dette firmaets annonseløsning. Disse dataene blir så kjøpt av f.eks. Facebook, som også har samlet sine egne data (blant annet fra nettsider med Facebooks likerknapper, samt fra sine egne apper og nettsider). La oss si at annonsefirmaet har data fra betydelig flere nettsider enn Facebook selv har, mens Facebook har færre data, men data knyttet direkte til Facebook-kontoer. Altså er Facebooks data definitivt ikke anonyme, men identifiserende. Hvis Facebook da ser på dataene de har, og sammenligner disse med dataene de kjøpte fra annonsefirmaet, vil de ofte kunne identifisere personer som er til stede i begge datasettene ved å se på felles kjennetegn. Slik leting etter likheter i data kan gjøres raskt av datamaskiner, og plutselig har man et datasett der en betydelig mengde av brukerne ikke lenger er anonyme. Man har da klart å identifisere enkeltpersoner i et tilsynelatende anonymt datasett, og kan knytte personens navn opp til interesser og nettlesehistorikk.
Fingerprinting vil altså ikke automatisk identifisere deg som individ, men har den store fordelen at de digitale fingeravtrykkene kan sammenlignes på tvers av datasett. Det kan sammenlignes med at to ulike personer i ulike byer begge har sett den samme personen, og lager hver sin beskrivelse av denne. Sammenligner man disse beskrivelsene og ser at de matcher godt nok, kan man være relativt sikker på at de to personene har observert og beskrevet samme person, og at denne personen dermed må ha vært i begge byene. Mer detaljert beskrivelse gir større sjanse for at personen er den samme. Bytt ut personene som observerer med ulike nettsteder en bruker er observert på, og man ser hvor lett det egentlig er å spore noen på tvers av nettet, selv uten å lagre en unik ID i f.eks. en informasjonskapsel.
En gjennomsnittlig person
Hvis du prøver å gjemme deg vekk blant folk, gjelder det å se så gjennomsnittlig ut som overhodet mulig. Du bør helst ikke være verken spesielt lav eller spesielt høy, og du bør nok heller ikke ha på deg klær i sterke farger eller en snål hatt. Det samme gjelder på nettet. Fingerprinting er minst effektiv hvis du ligner på flest mulig andre. Da blir det rett og slett veldig vanskelig å skille din nettaktivitet fra andres!
Har man færre holdepunkter blir det også vanskelig å identifisere en konkret person. Holdepunktene må som sagt helst være en smule unike for å være av nytte, og dette er noe som gjerne utnyttes når man skal prøve å motvirke fingerprinting. Flere nettlesere og nettleserutvidelser har funksjonalitet knyttet til å redusere antallet holdepunkter, ofte gjennom å gjøre verdiene mindre unike. Dette kan blant annet innebære å redusere nøyaktigheten (antall desimaler) på ulike tallverdier, som f.eks. den rapporterte nettleserversjonen, eller å begrense hvilke skrifttyper en nettside får lov til å bruke. Mer aggressive metoder innebærer å deaktivere hele eller deler av funksjoner (som regel funksjoner som er tett knyttet til hardware), noe som naturlig nok kan gjøre at nettsider ikke fungerer som de skal. Bruk av disse metodene er derfor begrenset til de med særlig behov for å forbli anonyme på nett, og kombineres gjerne med andre anonymitetsverktøy.
Er det grunn til bekymring?
Dette bringer oss over til et interessant spørsmål: Er fingerprinting noe folk flest bør være bekymret for? Svaret er ikke helt enkelt, men jeg tør påstå at man i det minste bør være klar over at fingerprinting eksisterer. Det er nemlig ikke så mye man får gjort med fingerprinting selv, men det lønner seg i alle fall å være klar over hvor lite anonym du egentlig er på nett, selv når du ikke føler at du legger igjen noen spor.
Et sentralt punkt ved fingerprinting er at det ikke er avhengig av å lagre informasjon på brukerens enhet. Ja, informasjonskapsler kan brukes til å spore deg, og det kan absolutt brukes sammen med fingerprinting, men det er overhodet ikke en nødvendighet. Sporing kan skje helt uten at noe tegn på dette legges igjen på datamaskinen din, og dermed har du heller ikke noe betydelig kontroll over det. Med unike ID-er lagret i en informasjonskapsel, kan brukeren selv etter eget ønske slette informasjonskapsler, eller rett og slett ikke tillate dem i utgangspunktet. Fingerprinting skjer uansett om du vil det eller ikke.
Jeg synes imidlertid ikke at fingerprinting er noe du burde bekymre deg nevneverdig over. Bare vær klar over at du legger igjen spor, og ikke ha noen forventning om absolutt anonymitet på nettet. Det er ikke dermed sagt at fingerprinting er akseptabelt, men som internettbruker er det altså ikke mye du får gjort. Som med så mye annet er man avhengig av at de som sitter med makta selv velger å gjøre noe, og i dette tilfellet vil det i praksis si nettleserne. Flere nettlesere har de siste årene fattet interesse for å begrense mulighetene for fingerprinting. Å velge en nettleser som prioriterer personvern er nok en av de tingene du kan gjøre som vil ha størst innflytelse på graden av sporing på nett.
Firefox, Safari, Vivaldi, Edge og flere andre har alle tatt grep for å gjøre sporing vanskeligere. Det samme kan man ikke akkurat si om Chrome. Google har ikke vist så veldig mye vilje til å ta et oppgjør med sporing på nett, trolig fordi de har en stor del av inntektene fra salg av personlige tilpassede annonser på nettsider. Når deres andel av nettlesermarkedet i tillegg er et sted mellom 60 og 70 prosent, og nærmeste konkurrent er Safari med under 20 prosent, er det nok ikke overraskende at ting skjer sakte. Så lenge Google har en så dominerende posisjon i nettlesermarkedet kommer nok ikke fingerprinting til å bli noe mindre problem med det første. Det er også enda en grunn til å se seg om etter en alternativ nettleser.
Så fingerprinting er først og fremst noe du bør være oppmerksom på. Vær klar over at du sjelden egentlig er anonym på nett, og at en rekke selskaper ønsker å tjene penger på deg. For å minske effekten av fingerprinting gjelder det å være så gjennomsnittlig som mulig. En nettleser med innebygde personvernfunksjoner kan hjelpe med dette, ved å redusere antall spor som kan brukes for å bygge opp ditt digitale fingeravtrykk.
Hva er dine tanker rundt fingerprinting og digitale fingeravtrykk? Er du bekymret for hvor lite du kan gjøre med det? Hvor gjennomsnittlig er du egentlig på nett? Hvilken nettleser bruker du? Har du noen meninger om hvordan annonseselskaper behandler personlig informasjon? Fortell det gjerne i kommentarfeltet eller på sosiale medier. Du kan også kontakte meg ved å bruke kontaktskjemaet.
Liker du å lære noe nytt? Jeg har tidligere skrevet om ransomware, og hvilke farer denne typen ondsinnet programvare utgjør. Av annet jeg har skrevet, kan det jo være interessant for deg å lese om hva streaming er også.