DuckDuckGo - bezpieczna przystań?
Skandal związany z ujawnieniem przez Edwarda Snowdena programu PRISM pokazuje, że pewna część internautów dba o swoją prywatność. Niewielka wyszukiwarka DuckDuckGo, która nie rejestruje aktywności użytkowników, zanotowała kolejny gwałtowny wzrost popularności.
Przez wiele miesięcy liczba zapytań kierowanych do DuckDuckGo rosła bardzo powoli. Sytuacja uległa gwałtownej zmianie w styczniu 2012 roku, gdy Google ogłosił, że wszystkie dane o użytkownikach, jakie zbiera ze swoich usług, zostaną zintegrowane.
Wówczas popularność DuckDuckGo gwałtownie wzrosła i przez kolejne miesiące utrzymywała się na wyższym poziomie. Kolejny gwałtowny skok zanotowano, gdy Snowden poinformował o istnieniu PRISM. W ciągu doby liczba zapytań kierowanych do małej wyszukiwarki zwiększyła się z 1,7 do 3 milionów dziennie. To niewątpliwie wpływ Snowdena, który stwierdził, że wielkie firmy, jak Google, Yahoo! czy Microsoft zapewniają NSA bezpośredni dostęp do swojej infrastruktury. Giganci zaprzeczają tym oskarżeniom i próbują oczyścić swoje imię.
DuckDuckGo to w porównaniu z Google'em miniaturowe przedsiębiorstwo. Zatrudnia zaledwie 20 osób, jednak oferuje coś, czego nie zapewnia żaden z wielkich rywali. Wyszukiwarka nie monitoruje aktywności użytkownika, nie wysyła ciasteczek (cookies), nie przechowuje adresów IP, nie oferuje logowanego dostępu, a komunikacja z nią jest domyślnie szyfrowana. Nawet gdyby władze zażądały od DuckDuckGo danych na temat użytkowników, wyszukiwarka nie miałaby czego im przekazać.
Gabriel Weinberg, założyciel wyszukiwarki, mówi, że zdecydował, iż nie będzie ona zbierała informacji o użytkownikach. Nie dlatego, że jej twórca ma takie a nie inne przekonania polityczne, ale z powodów bezpieczeństwa. Weinberg uznał, że wyszukiwarka może zbyt dużo wiedzieć o użytkowniku i przypadkowo tę wiedzę upublicznić. Obecnie wielkie wyszukiwarki mają o nas tyle danych, że na ich podstawie możliwa jest identyfikacja naszego mieszkania, a jeśli korzystamy z internetu za pośrednictwem smartfona, to zdradzamy im również, kiedy i gdzie przebywamy. Ponadto, jak stwierdził Weinberg, rządy będą coraz częściej domagały się danych o pytaniach, jakie zadawaliśmy wyszukiwarce. Tymczasem, jego zdaniem, są to prawdopodobnie najbardziej osobiste dane. Ludzie pytają wyszukiwarki o rzeczy związane ze swoimi problemami czy pragnieniami. To nie jest to samo, co jest ujawniane w serwisach społecznościowych. Dlatego też DuckDuckGo nie przechowuje żadnych informacji. Nie może zatem żadnych informacji nikomu zdradzić. Ani celowo, ani przypadkiem.
Jednak zdaniem Danny'ego Sullivana, który prowadzi witrynę Search Engine Land i analizuje rynek wyszukiwarek od czasu, gdy o Google'u nikt jeszcze nie słyszał, sukces DuckDuckGo nie oznacza, że ludzie dbają o prywatność. Nie zrozumcie mnie źle. Jeśli zapytasz ludzi o prywatność, to odpowiedzą, że to ważna kwestia. Znaczna większość powie, że nie chce być śledzona, nie chce otrzymywać spersonalizowanych reklam. Gdy jednak popatrzymy na to, co ludzie rzeczywiście robią, to okaże się, że nie robią niczego, by zachować prywatność - mówi Sullivan. Jego zdaniem nie chodzi tutaj o to, że takie wyszukiwarki jak DuckDuckGo są nieznane. Google przed laty też był nieznany. Ask.com był dość znany, bardzo dbał o prywatność. Nie pomogło. Yahoo także grało kartą prywatności w walce z Google'em i nic to nie dało. Myślę, że wiele osób po prostu ufa Google'owi - dodaje.
Komentarze (14)
wilk, 11 lipca 2013, 16:11
A jaka jest gwarancja, że nie zbierają informacji i nie udostępniają? :>
Arlic, 11 lipca 2013, 18:30
Przeglądarka ta kojarzy mi się dość bardzo z pewnym politykiem.
Mariusz Błoński, 11 lipca 2013, 19:49
@wilk: taka, jak w każdym tego typu przedsięwzięciu. Musisz im wierzyć na słowo. Publiczne głoszenie takich rzeczy może się jednak dla nich źle skończyć, bo w USA mogą przegrać proces, gdyby okazało się, że ktoś ze względu na to, co mówią zdecydował się na używanie ich przeglądarki, a oni udostępniliby jego dane. O innych wiesz, że na pewno zbierają, bo tak mówią. A skoro wierzysz Google'owi czy MS w to, co mówią odnośnie zbierania danych, to dlaczego nie wierzyć DuckDuckGo?
wilk, 11 lipca 2013, 21:30
Wyszukiwarki.
Google też głosiło cały czas, że nie jest „evil”, potem publikowało raporty, że coś tam czasem udostępnia, a czasem nie, aż w końcu wyszło, że jest jak sito. Jakoś nie słychać jednak o tysiącach procesów przeciwko MS/Yahoo/Google/FB, aczkolwiek to dopiero świeża sprawa. Nawet jeśli nie zbierają danych, to nie stoi na przeszkodzie, by „ktoś” kontrolował ruch przez ich serwery na bieżąco (wtedy w zasadzie i oni byliby czyści, bo przecież nie gromadzą tych danych). Tym bardziej, że siedzibę mają w USA, więc obowiązuje ich tamtejsza jurysdykcja, a i firma jest malutka osobowo. Równie dobrze mogą być w całości kontrolowani przez jakieś służby, bo co ważniejsze mają przecież swoją usługę w Torze, więc byłby to raj dla analityków informacji od osób, które dały się nabrać i zaczęły przez DDG poszukiwać jak zbudować atomówkę. ;>
Trust no one! ;-)
pogo, 12 lipca 2013, 08:53
Oni nie zbierają, ale każdy router czy switch, przez który przechodzi zapytanie do wyszukiwarki i jej odpowiedzi, może zachowywać "odcisk" tych danych.
Grzegorz Kraszewski, 12 lipca 2013, 21:53
Niemniej DuckDuckGo wymusza połączenie HTTPS, czyli szyfrowane. Co z tego, że router czy switch sobie cokolwiek zachowa?
tommy2804, 12 lipca 2013, 23:27
Może być i tak, że ta nikomu nieznana bliżej przeglądarka zdetronizuje Googla, bo nikt nie lubi być przecież szpiegowany...
pogo, 12 lipca 2013, 23:31
@Grzegorz Kraszewski
1. zostaje nieszyfrowana bramka podająca skąd i gdzie szło - potem można odtworzyć na jakie strony ktoś wszedł po wyszukiwaniu i zgadywać wpisaną frazę
2. było coś kiedyś o głębokim skanowaniu pakietów, czyli właśnie o przełamywaniu szyfrowania
wilk, 13 lipca 2013, 00:53
DPI nijak nie ma się do przełamywania szyfrowania. To tylko inteligentniejsze filtrowanie.
Grzegorz Kraszewski, 15 lipca 2013, 10:18
Gdzie mianowicie zostaje ta nieszyfrowana bramka? Robimy dwa założenia:
1. Mój komputer jest pewny, a więc nie ma na nim oprogramowania szpiegującego. Skoro chcę chronić prywatność, to pierwszy warunek.
2. DuckDuckGo jest pewne, a więc faktycznie nic nie loguje. Jeżeli nie jest pewne, to cała dyskusja jest bezprzedmiotowa...
Przy tych założeniach jedyne co służba inwigilacyjna będzie mogła stwierdzić to:
1. Połączyłem się z DuckDuckGo.
2. Potem połączyłem się z np. Kopalnią Wiedzy.
Teraz zakładając że wszedłem na główną stronę kopalniawiedzy.pl, proponuję zgadnąć wpisaną frazę. Poza tym mogłem dla zmylenia przeciwnika, po zobaczeniu wyników wyszukiwania najpierw wejść z tej samej przeglądarki na kilka innych stron. To praktycznie uniemożliwia zgadywanie frazy wyszukiwania. Oczywiście jeżeli szczególnie chciałbym utrudnić inwigilację, na docelową stronę wszedłbym przez TOR-a na przykład. Albo z innego komputera i/lub innej sieci np. następnego dnia.
Odpowiedź w zasadzie już padła. Przełamywanie szyfrowania jest przełamywaniem szyfrowania. Póki co standard TLS jest uznawany za bezpieczny, czekamy na komputery kwantowe... Deep Packet Inspection to po prostu technika filtrowania lub routingu pakietów biorąca pod uwagę nie tylko ich nagłówki, ale również treść. Z przełamywaniem szyfrowania w HTTPS nie ma to wiele wspólnego.
pogo, 15 lipca 2013, 12:28
Miało być nie "bramka" tylko "ramka", ale mniejsza z tym.
TOR to poważne utrudnienie, ale nie uniemożliwienie wykrycia połączenia (nie chodzi o to by zabezpieczenie było nie do przełamania, tylko żeby nikomu nie opłacało się z nim walczyć)
Jeśli strony, na które wchodzisz są szyfrowane i nie zbierają logów to jest ok, ale przeglądarka przesyła jeszcze referencje skąd przyszła (też można wyłączyć)
Obawiam się jednak, że takie kombinowanie jak opisałeś przekracza możliwości większości ludzi, a u mnie przekracza cierpliwość i obniża komfort podczas przeglądania internetu. Za duże poświecenie jak dla mnie.
BTW. gdzieś na google można znaleźć co google wie o Tobie (o ile masz u nich konto). Zbiera info także gdy nie jesteś zalogowany. Ja jestem zalogowany prawie cały czas. Okazało się, że google prawie nic o mnie nie wie, a rzadko korzystam z innych wyszukiwarek. Sam nie wiem jak to uzyskałem. Porównując dane z tym co pokazało kolegom, to o mnie były wyjątkowo mało precyzyjne (prawidłowe, ale strzał, że mam między 22 a 34 lata to nie był dobry wynik, gdy niektórym innym podawało miesiąc urodzenia).
Grzegorz Kraszewski, 15 lipca 2013, 17:59
Mam w przeglądarce domyślnie włączony tryb prywatny i często ją zamykam. Mam też samodzielnie skonfigurowanego AdBlocka eliminującego - oprócz reklam - popularne skrypty śledzące, oraz te mniej popularne, a obecne na regularnie odwiedzanych przeze mnie stronach. To znacznie utrudnia śledzenie mnie. Z drugiej strony swoją pracę i hobby w znacznej mierze realizuję w sieci, więc nie staram się być specjalnie anonimowy. Poza tym nie cierpię na sieciowy ekshibicjonizm, a to jest główny problem nieświadomych użytkowników. Bo nie o to wszak chodzi, żeby na hasło "Grzegorz Kraszewski" wyszukiwarki nic o mnie nie zwracały. Chodzi o to, żeby zwracały głównie to, na czym mi zależy
.
wilk, 31 lipca 2013, 21:30
Ojej… https://badsector.pl/zagrozenia/wiadomosci/2013/07/quo-vadis-duckduckgo.117.html :>
pogo, 1 sierpnia 2013, 08:46
@wilku
Dzień jak co dzień w sieci
Nie dasz rady ukryć wszystkiego. jedyne co Ci pozostaje to przed wpisaniem każdej frazy zastanowić się jak bardzo Ci zależy, by sieć nie wiedziała czego szukasz.
Myślę, że na podstawie śledzenia ramek pakietów byłbym w stanie z co najmniej 60% dokładnością zgadnąć, co ktoś wpisał w wyszukiwarce. A przynajmniej kilka kluczowych słów, które się pojawiły we frazie. O ile kliknął w co najmniej 3 linki w wynikach, ale można też uznawać, że kolejne następujące po sobie wyszukiwania zawierają podobną frazę i uśredniać wyniki... itp itd... Ale tu trzeba by się wpiąć w infrastrukturę dostawcy neta lub śledzić ruch w wielu węzłach sieci.
Dokładając do tego info, które podałeś to już w ogóle możemy zapomnieć o prywatności
Żaden tryb prywatny Cie nie uratuje, logi na serwerach zostają!