Information Security
April 17

Трекеры от Google встроены в ряд официальных российских электронных ресурсов

From Sandbox

image


Google не то, чем кажется
Дж. Ассанж


Предваряю текст цитатой небезызвестного товарища Дж.Ассанжа, издавшего в свое время книгу «When Google Met WikiLeaks» в которой описываются некоторые факты и особенности тесного взаимодействия этой компании с правительством/спецслужбами США.


В статье проведен экспресс-анализ ряда официальных российских ресурсов на наличие сторонних зарубежных трекеров, с учетом того, что в современном мире некоторым ресурсам негоже пользоваться программным обеспечением, способным «выуживать» информацию о россиянах-пользователях и особенностях их поведения и априори передавать их на «заграничные» сервера.


В мартовской статье от компании Cookiebot "Ad Tech Surveillance on the Public Sector Web" подтверждается, что более 89% сайтов правительств стран Евросоюза (belgium.be, gov.bg, gov.uk и т.д.) содержат сторонние трекеры, из которых 82% — от компании Google. Множество ресурсов ЕС, связанных с вопросами здравоохранения и обработки личных, достаточно конфиденциальных и щепетильных вопросов (беременность, рак, СПИД, психические заболевания...) также содержат множество трекеров, что противоречит не только нормам морали, но и закону ЕС об обработке персональных данных GDPR (это позволяет сторонним компаниям сделать вывод о том, что у того или иного пользователя вероятно, есть определенные проблемы или секреты, которые, как он думает, он хранит в тайне).


Известна древняя история о том, как магазин узнал о беременности пользователя-школьницы на основании косвенных признаков ее активности в интернете и прислал ей на почту соответствующие рекламные купоны, которые достал ее папа и затеял скандал в магазине. С тех пор технологии шагнули, как говорится, вперед еще дальше.


В целом, зарубежные компании, в том числе товарищи из Google, доминируют не только в ЕС, но и во всем мире. Это доказано статьей "Tracking the Trackers: Analysing the global tracking landscape with GhostRank", где проведен анализ доминирования различных трекеров в мире на основе изучения 144 млн веб-страниц ресурсов 12 стран, в том числе России. Также трекеры находятся на 77,4 процентах исследуемых страниц и позволяют отслеживать деятельность пользователя, получать некоторые данные о нем и сохранять его действия. При этом подавляющее число трекеров – зарубежного происхождения.


В этой связи заинтересовало «… а что у нас?» и я решил провести, как писал выше, экспресс-анализ некоторых официальных российских ресурсов на наличие сторонних трекеров, полагая, что негоже госресурсам пользоваться программным обеспечением, особенно зарубежным, способным «выуживать» информацию о россиянах-пользователях и особенностях их поведения и априори передавать их на «заграничные» сервера.


Для этого установил ряд браузерных расширений: – Ghostery, uBlock Origin – для Chrome, Privacy Badger, Lightbeam – для Firefox, позволяющих информировать о наличии тех или иных трекеров на посещаемых мною сайтах. При этом с помощью Lightbeam можно посмотреть графически, как связаны посещаемые ресурсы между собой «третьей» стороной. Например, пример связи нижеупоминаемых ресурсов.


image


Адреса некоторых госресурсов отсюда. Исследованы сайты Кремля, Правительства, ФСБ, СВР, МВД, ГИБДД, Минобороны, Росгвардии, МЧС, Госуслуг, Минсвязи, МИД, Минэнергетики, Ростелекома и Роскомнадзора.


Специально отмечаю, что такой анализ не предполагает активных действий на сайте, расширения пассивно анализируют информацию, которой мой браузер обменивается с сайтом и отмечает факты наличия трекера «третьей стороны» — сайты это ПО не «ломает».


Для упорядочивания информации о трекерах составил таблицу с указанием их наличия на исследуемых ресурсах (данные упрощены и «причесаны» (например, yandex.ru а не mc.yandex.ru), кому надо подробнее, может проверить с помощью расширений и иного ПО).
При этом на различных страницах сайта присутствует разный набор трекеров, что затрудняет их описание.


Цель статьи – не детальное описание фактов существования каждого типа трекера на каждом ресурсе (это задача для целого исследования а-ля Cookiebot), а оценка, как у нас обстоит ситуация с предоставлением данных о посетителях госресурсов зарубежной третьей стороне.
В таблицу занесены основные трекеры, найденные на ресурсе (на стартовых или других основных страницах, при этом их может быть больше, но они принадлежат одному владельцу). Также напомню, что doubleclick = google


Ресурс российские Зарубежные
Кремль
Правительство yandex.ru mail.ru
ФСБ
СВР
МВД yandex.ru sputnik.ru twitter.com
ГИБДД sputnik.ru google.com (скрытая recapcha)
Минобороны yandex.ru mail.ru rambler.ru google-analytics.com googletagmamanger.com
Росгвардия yandex.ru sputnik.ru cloudflare
МЧС yandex.ru mail.ru rambler.ru doubleclick.net google.com
Госуслуги yandex.ru
Минсвязи yandex.ru sputnik.ru
МИД yandex.ru
Минэнергетики yandex.ru sputnik.ru
Ростелеком yandex.ru mail.ru google.com Twitter, Facebook
Роскомнадзор yandex.ru sputnik.ru

Чтобы не показаться голословным, опишу, что же передает, например, сайт минобороны в адрес Google о пользователе, зашедшем на него, чтобы рассчитать выплаты онлайн- калькулятором на странице сайта (некоторые поля преобразованы из формализованного вида в читабельный)

www.google-analytics.com

utmwv=5.7.2 версия трекера
utms=6      количество запросов, сделанных в пределах одной сессии
utmn=2140646854 сгенерированный идентификатор
utmhn=mil.ru        сайт
utmcs=UTF-8     формат
utmsr=1920x1080 разрешение экрана
utmvp=1900x962  разрешение окна
utmsc=24-bit        глубина цвета
utmul=ru-ru     раскладка
utmdt= Калькулятор расчета субсидии для приобретения или строительства жилого помещения ...     страница сайта, на которой находится пользователь 
utmhid=818112135    сгенерированный идентификатор
utmp=/files/files/calc/     адрес посещенной страницы
utmht=13.04.2019 @ 13:30:13 дата/время посещения
utmac=UA-22580751-2     идентификатор аккаунта
utmcc=__utma%3D261091234.889931234.1543171234.1543171234.1554661234.2%3B%2B__utmz%3D261091234.1543171234.1.1.utmcsr ……      набор Google-куков, содержащих хеш домена, уникальный идентификатор пользователя, дата первого посещения ресурса, текущего посещения и некоторую другую информацию
utmu=qAAAAAAAAAAAAAAAAAAAAAEE~ служебная информация


Теоретически, Google за счет того, что на сайте нашего минобороны имеется его трекер, способен привязать id посетителя этого сайта, к другим данным, имеющимся на этот id (какие еще ресурсы посещает, чем интересуется, что «гуглит», какой почтовый адрес на gmail, если есть, тексты переписки и т.п.). Это про «заграничные трекеры».


Про сбор данных о пользователях интересно и достаточно подробно написано в статье Google Data Collection


Тот же МЧС, благодаря трекеру mail.ru, без спроса уже знает почтовый ящик на домене mail.ru человека, посетившего сайт МЧС, если до этого заходил на свою почту.


название Mpop
контент 3001305176a4f5483561246431b434566545876b164541:my-user-email@mail.ru:


В целом, ситуация не такая плохая. Главное, что в Кремле нет, да и Роскомнадзор не подкачал. Основные государственные ресурсы не используют трекеры или используют российского производства от mail.ru, sputnik и яндекса.


По поводу ресурсов, на которых обнаружены зарубежные трекеры — удивлен. С одной стороны — постоянные заявления о о том, что информационная безопасность крайне важна и некоторые деятели доводят это до паранойи, блокируя все что ни попадя, с другой — на официальных ресурсах «вражеский» код. На всякий случай проверил минобороны некоторых других стран (это быстрее, чем искать аналог зарубежные аналоги МЧС) на предмет наличия российских трекеров.


Страна Трекеры
США google analytics, gstatic, addthis, и др.
Великобритания google analytics
Германия нет трекеров
Польша googletagmananger, gstatic, cloudflare
Турция twitter
Украина google analytics, doubleclick
Грузия google analytics, doubleclick
Белоруссия googletagmananger, bitrix, yandex
Казахстан googletagmananger, yadro.ru
Китай нет трекеров

В этой связи меня посетила муза — мысль о том, что это почва для составления "IT-психологических" портретов государств, ведь:


  • Запад пользуется исключительно своими трекерами;
  • Грузия с Украиной – пользуются трекерами от Google;
  • Германия, ввиду дисциплинированности во всех отношениях (ordnung und disziplin), в том числе – инфобезопасности, как и Китай, трекеров не содержат;
  • СНГ (как и мы) не гнушается как российскими, так и американскими трекерами (кроме Украины и Грузии, предпочитающей только западное и избавляющейся от всего российского).

На месте администраторов наших ресурсов я бы все-таки убрал бы лишнее, последовав примеру Кремля, СВР и ФСБ и т.п. И Яндекса хватит для аналитики посещаемости и т.п.


Примеры сбора информации некоторыми трекерами

Google Analytics (применяет 75% сайтов в мире) – адрес и название посещенной страницы веб-ресурса, информация о браузере и устройстве, текущее местоположение (по IP), языковая раскладка, данные о поведении пользователя на веб-ресурсе;


DoubleClick (применяет 1,6 млн сайтов в мире) – аналогично, но определяет уникальное устройство по переходу по контекстной рекламе на другой ресурс.


Яндекс – метрика (вебвизор) — адрес и название посещенной страницы веб-ресурса, информация о браузере и устройстве, текущее местоположение (по IP), языковая раскладка, данные о поведении пользователя на веб-ресурсе (в том числе перемещения мыши, страницы).</cut />


Проверить, как относится к безопасности своих посетителей Wikileaks, EFF и другие относительно размещения сторонних трекеров можете сами.


Ответ

Относятся с уважением. Трекеров там нет


+30
14.9k 46
Comments 51
Top of the day