Τα τελευταία χρόνια η χρήση των ιστοσελίδων κοινωνικής δικτύωσης έχει αυξηθεί σημαντικά, δυστυχώς όχι χωρίς συνέπειες. Ο διαδικτυακός εκφοβισμός (cyberbullying), η εκμετάλλευση ανηλίκων (childexploitation) και η κλοπή ταυτότητας (identitytheft) είναι μόνο κάποια από τα προβλήματα που έχουν ανακύψει, και οφείλονται κυρίως σε προβλήματα ιδιωτικότητας και ιχνηλασιμότητας που υφίστανται στις υπάρχουσες πλατφόρμες. Στην παρούσα εργασία προτείνουμε μία αρχιτεκτονική των ιστοσελίδων κοινωνικής δικτύωσης που θα ελαττώσει τα ανωτέρω προβλήματα, και παραθέτουμε τα αποτελέσματα δοκιμών της στο facebook. Επιπλέον, εξετάζεται η δυνατότητα μελλοντικής εφαρμογής της και στις υπόλοιπες ιστοσελίδες κοινωνικής δικτύωσης
Οι ιστοσελίδες κοινωνικής δικτύωσης είναι πολύ δημοφιλείς μεταξύ των χρηστών του διαδικτύου. Χρησιμοποιούνται για επικοινωνία, διαμοιρασμό περιεχομένου, διασκέδαση, εύρεση εργασίας, κλπ. Μία ένδειξη της τεράστιας χρήσης τους είναι το γεγονός ότι το facebook έφτασε λίαν προσφάτως το 1 δισεκατομμύριο χρήστες, εκ των οποίο πάνω από το 50% χρησιμοποιούν την πλατφόρμα σε καθημερινή βάση [5]. Ομοίως, το twitter έχει πάνω από 140 εκατομμύρια χρήστες, που παράγουν καθημερινά πάνω από 1 δισεκατομμύριο tweets [14]. Ένα επίσης σημαντικό στοιχείο είναι ότι οι 10 δημοφιλέστερες ιστοσελίδες κοινωνικής δικτύωσης έχουν η κάθε μία πάνω από 100 εκατομμύρια χρήστες [17]!
Βάσει των ανωτέρω γίνεται άμεσα αντιληπτό ότι οι ιστοσελίδες κοινωνικής δικτύωσης διαμορφώνουν από μόνες τους ολόκληρες (εικονικές) κοινωνίες, που αποτελούν επίσης πεδίο παράνομων δραστηριοτήτων ([11], [12], [18], [19]). Κάποιοι από τους κινδύνους που αντιμετωπίζουν οι εν λόγω ιστοσελίδες είναι οι εξής:
Θέματα ιδιωτικότητας: οι χρήστες συνήθως δεν έχουν αίσθηση του όγκου των προσωπικών πληροφοριών που έχουν ανεβάσει στις ιστοσελίδες κοινωνικής δικτύωσης. Επίσης, όπως αναφέρεται και στο [10], παρ’ όλο που οι χρήστες συνήθως εκφράζουν έντονη ανησυχία για τα προσωπικά τους δεδομένα, στην πραγματικότητα δρουν πλημμελώς σχετικά με την προστασία αυτών – ένα φαινόμενο που ονομάζεται παράδοξο της ιδιωτικότητας. Αυτό οδηγεί συχνά σε καταστάσεις όπου τα προσωπικά δεδομένα του χρήστη προσπελαύνονται, χρησιμοποιούνται ή τροποποιούνται από άγνωστους δράστες με σκοπό την πρόκληση οικονομικής ή άλλου είδους ζημίας στο θύμα.
Εκμετάλλευση παιδιών: οι ιστοσελίδες κοινωνικής δικτύωσης συνήθως δεν επιτρέπουν τη χρήση από παιδιά που είναι μικρότερα από κάποια ηλικία. Παρ’ όλα αυτά, η συγκεκριμένη απαγόρευση συχνά παρακάμπτεται με αποτέλεσμα τα παιδιά να είναι εκτεθειμένα σε διαφόρους κινδύνους, από εκμετάλλευση από αγνώστους έως εθισμό. Το σίγουρο είναι ότι τα περισσότερα παιδιά στο μέλλον θα μετανιώσουν για τα δεδομένα που έχουν ανεβάσει, καθώς αυτά είναι προορισμένα να υπάρχουν στις συγκεκριμένες ιστοσελίδες για πάντα, μιας και δεν είναι πολιτική τους να τα διαγράφουν.
Κυβερνοεκφοβισμός (cyber bullying): είναι η πράξη της παρενόχλησης/προσβολής ενός ατόμου μέσω διαδικτύου, φαινόμενο που έχει αυξηθεί τα τελευταία χρόνια. Οι ιστοσελίδες κοινωνικής δικτύωσης αποτελούν συχνά το πεδίο δράσης για τέτοιες συμπεριφορές, μιας και 1 σχόλιο ή μία ανεβασμένη φωτογραφία μπορεί να προκαλέσει πολλά προβλήματα τόσο σε παιδιά όσο και σε ενηλίκους, όπως το να αλλάξουν σχολείο, εργασία, τόπο διαμονής.
Οι λόγοι που προκαλούν τα προαναφερθέντα προβλήματα μπορούν να συνοψιστούν στις εξής δύο μεγάλες κατηγορίες: ανωνυμία και έλλειψη ιχνηλασιμότητας.
Η πρώτη (ανωνυμία) οφείλεται κυρίως στο γεγονός ότι οι άνθρωποι τείνουν να επικοινωνούν και να μοιράζονται πληροφορίες με άτομα τα οποία δεν γνωρίζουν στην κανονική τους ζωή, και που κρύβονται πίσω από ένα ανώνυμο προφίλ που έχουν δημιουργήσει. Αυτή η συμπεριφορά εξηγεί και το παράδοξο της ιδιωτικότητας που αναφέραμε παραπάνω, και είναι εξαιρετικά επικίνδυνη, αφού οι χρήστες εκτίθενται σε άγνωστα άτομα που μπορούν να τους βλάψουν.
Η δεύτερη (έλλειψη ιχνηλασιμότητας) οφείλεται στο ότι κανένας άλλος εκτός από τις ίδιες τις ιστοσελίδες κοινωνικής δικτύωσης δεν μπορεί να βρει την ηλεκτρονική διεύθυνση από την οποία ένα χρήστης συνδέεται στο προφίλ του. Έτσι, αν ο χρήστης αυτός πραγματοποιήσει κάποια παράνομη δραστηριότητα, η αντιστοίχιση του με μία ηλεκτρονική διεύθυνση είναι σχεδόν αδύνατη. Ακόμα όμως και στις περιπτώσεις όπου η ηλεκτρονική διεύθυνση αυτή καθίσταται διαθέσιμη, συχνά είναι μη χρησιμοποιήσιμη καθώς αντιστοιχεί σε κάποια υπηρεσία απόκρυψης ταυτότητας (anonymity service) ή άλλα ανώνυμα δίκτυα. Κατά συνέπεια, η ανωνυμία και η έλλειψη ιχνηλασιμότητας είναι οι δύο τομείς που η εργασία αυτή εστιάζει, και με τους οποίους θα ασχοληθούμε στις επόμενες ενότητες.
Σχετική Βιβλιογραφία
Τα τελευταία χρόνια, λόγω και της ραγδαίας εξάπλωσης των κοινωνικών δικτύων, η επιστημονική κοινότητα έχει να παρουσιάσει πλήθος εργασιών σχετικά με τη βελτίωση της ιδιωτικότητας στις πλατφόρμες αυτές. Οι περισσότερες από αυτές τις προσπάθειες εστιάζουν στην προστασία των δεδομένων που ο χρήστης ανεβάζει σε μία ιστοσελίδα κοινωνικής δικτύωσης [2,3,6,7,9]. Μία άλλη προσέγγιση φαίνεται στο [8] όπου έχει υλοποιηθεί μία εφαρμογή στο facebook για την προστασία των μηνυμάτων που ανταλλάσουν οι χρήστες μεταξύ τους, καθώς και στο [13], όπου γίνεται προσπάθεια να ελεγχθεί το περιεχόμενο που ανεβάζουν οι άλλοι χρήστες και έχει σχέση με το υποκείμενο της έρευνας (πχ φωτογραφίες). Κάποιες άλλες πρόσφατες εργασίες [14, 15] προτείνουν επίσης τον επανασχεδιασμό των ιστοσελίδων κοινωνικής δικτύωσης ώστε να έχουν την ιδιωτικότητα και την εμπιστοσύνη σαν κύριο χαρακτηριστικό.
Παρ’ όλα αυτά, καμία από τις ανωτέρω προσπάθειες δεν απαντά στο κρίσιμο ερώτημα: «πως μπορεί ένας χρήστης να σιγουρευτεί ότι κάποιος άλλος χρήστης, ο οποίος του έχει κάνει αίτημα φιλίας, είναι αξιόπιστος ή όχι». Επιπλέον, η ιχνηλασιμότητα παραμένει ένα βασικό πρόβλημα, αφού όπως προαναφέρθηκε μόνο οι ιστοσελίδες κοινωνικής δικτύωσης έχουν πρόσβαση στα στοιχεία σύνδεσης των χρηστών και μπορούν να τα χορηγήσουν στις αρμόδιες αρχές.
Η παρούσα εργασία έρχεται να καλύψει το συγκεκριμένο κενό, μελετώντας τη λειτουργία των ιστοσελίδων κοινωνικής δικτύωσης και προτείνοντας μία νέα αρχιτεκτονική λειτουργίας που δίνει λύση στα προβλήματα ιδιωτικότητας και ιχνηλασιμότητας. Επίσης, παρουσιάζεται η δομή και η λειτουργία μίας εφαρμογής facebook που υλοποιήθηκε από τους συγγραφείς προκειμένου να καταδειχθεί η ορθότητα και η χρησιμότητα της αρχιτεκτονικής που προτείνεται.
Προτεινόμενη Αρχιτεκτονική
Προτού αναλύσουμε τα επιμέρους χαρακτηριστικά της αρχιτεκτονικής, κρίνεται απαραίτητο να κάνουμε μία σύντομη εισαγωγή στη δομή και στη λειτουργία των σύγχρονων ιστοσελίδων κοινωνικής δικτύωσης.
Έτσι, παρατηρούμε αρχικά ότι οι ιστοσελίδες αυτές μοιράζονται μία κοινή ιδιότητα: προκειμένου να εγκαθιδρύσουν μία «σχέση» μεταξύ δύο χρηστών, αυτοί οι χρήστες θα πρέπει να είναι «φίλοι» μεταξύ τους. Και το μόνο προαπαιτούμενο αυτής της φιλίας, εκτός από το να την αποδεχτούν, είναι οι χρήστες αυτοί να εμπιστεύονται την ιστοσελίδα κοινωνικής δικτύωσης και τις προϋποθέσεις που αυτή θέτει.
Στα πλαίσια αυτά, υποστηρίζουμε ότι θα μπορούσε να υπάρξει ένα βελτιωμένο περιβάλλον στις ιστοσελίδες κοινωνικής δικτύωσης, αν μία επιπλέον εφαρμογή, μία «έμπιστη» τρίτη οντότητα (εφ’ εξής ΕΤΟ) επιστρατευόταν για να δώσει λύση στα προβλήματα ιχνηλασιμότητας και εμπιστευτικότητας που αναφέραμε παραπάνω. Η εφαρμογή αυτή θα ήταν ένας ενδιάμεσος μεταξύ των ιστοσελίδων κοινωνικής δικτύωσης και των χρηστών και θα αποτελούσε ένα σταθερό σημείο αναφοράς που θα μπορούσαν να χρησιμοποιήσουν οι χρήστες για την ασφάλεια τους. Έτσι, αν ένας χρήστης θεωρούταν έμπιστος από αυτή την εφαρμογή, τότε αυτό θα μπορούσε να χρησιμοποιηθεί σαν ισχυρά θετική ένδειξη για την εγκαθίδρυση φιλίας. Επιπλέον, αν ο χρήστης πραγματοποιούσε κάποια παράνομη δραστηριότητα, τότε τα ηλεκτρονικά του ίχνη θα ήταν διαθέσιμα για να χρησιμοποιηθούν σε κάθε νόμιμη διαδικασία. Από την άλλη, η ΕΤΟ αυτή θα πρέπει να είναι εναρμονισμένη με την ιδιωτικότητα των χρηστών, να εγκαθίσταται και να χρησιμοποιείται μόνο μετά από άδειά τους και να μην αποθηκεύει κανένα επιπλέον στοιχείο από αυτά που είναι απαραίτητα για την ολοκλήρωση του σκοπού της.
Όπως προαναφέρθηκε, ο πυρήνας της αρχιτεκτονικής είναι η ΕΤΟ, η οποία λειτουργεί ως «ενδιάμεσος» μεταξύ της ιστοσελίδας κοινωνικής δικτύωσης και των χρηστών. Η εφαρμογή αυτή θα παρέχει πληροφορίες σχετικά με το αν ένας χρήστης της ιστοσελίδας κοινωνικής δικτύωσης είναι αξιόπιστος ή όχι, βασισμένος στις παρακάτω συνθήκες:
- αν ο χρήστης έχει εγκαταστήσει την εφαρμογή αυτή,
- αν ο χρήστης συνδέεται από αξιόπιστες πηγές, και
- αν ο χρήστης τρέχει συχνά την εφαρμογή, ανανεώνοντας την αξιοπιστία του.
Δηλαδή ένας χρήστης θα θεωρείται αξιόπιστος αν διατίθεται να τρέξει την εφαρμογή και να αφήσει τα ηλεκτρονικά του ίχνη, αφήνοντας ουσιαστικά τα διαπιστευτήριά του, για να μπορεί να ελεγχθεί η αξιοπιστία του. Με την χρήση αυτής της εφαρμογής, ο χρήστης θα μπορεί να κάνει προληπτικές ενέργειες, ελέγχοντας άλλους χρήστες της ιστοσελίδας για την αξιοπιστία τους πριν εγκαθιδρύσει φιλία μαζί τους, αλλά και κατά τη διάρκεια αυτής. Επίσης ο χρήστης θα μπορεί να κάνει ενέργειες μετά από κάποιο συμβάν, αφού θα έχει τις ηλεκτρονικές διευθύνσεις σύνδεσης του χρήστη που πραγματοποίησε κάποιο αδίκημα. Όλα τα παραπάνω φυσικά θα πρέπει να διαφυλάττουν την ιδιωτικότητα των χρηστών, αφ’ ενός ζητώντας τους την άδεια εγκατάστασης της εφαρμογής και ενημερώνοντάς τους για τη χρήση αυτής, και αφ’ ετέρου διατηρώντας μόνο τα απαραίτητα στοιχεία για τη λειτουργία της.
Στην επόμενη ενότητα θα γίνει μία σύντομη αναφορά στην υλοποίηση της εφαρμογής στην πλατφόρμα του facebook και στις δοκιμές που πραγματοποιήθηκαν μέσω αυτής.
Υλοποίηση Και Δόκιμες
Προκειμένου να δοκιμάσουμε στην πράξη την προτεινόμενη αρχιτεκτονική, υλοποιήσαμε μία εφαρμογή στην ιστοσελίδα κοινωνικής δικτύωσης facebook, που επιλέχθηκε λόγω της διείσδυσης που έχει στους χρήστες και της ευκολίας που παρέχει στην ανάπτυξη εφαρμογών.
Έτσι, δημιουργήθηκε η εφαρμογή “Whocanitrust?”, με την χρήση της γλώσσας προγραμματισμού PHP και του Συστήματος Διαχείρισης Βάσεων Δεδομένων MySQL, καθώς και με τη διεπαφή (API) που παρέχει το facebook για την ανάπτυξη εφαρμογών.
Η εγκατάσταση και εκτέλεση της εφαρμογή γίνεται όπως με όλες τις υπόλοιπες εφαρμογές του facebook, μετά την αποδοχή των όρων χρήσης της. Αμέσως μόλις εκτελεστεί η εφαρμογή, συμβαίνουν τα παρακάτω:
- καταχωρείται η εκτέλεση της εφαρμογής στο αρχείο καταγραφής,
- γίνεται έλεγχος για το αν ο χρήστης συνδέεται από αξιόπιστες πηγές,
- αν ισχύει το ανωτέρω, η ηλεκτρονική διεύθυνση του χρήστη καταχωρείται στη βάση δεδομένων,
- αν όχι, τότε ο χρήστης αναφέρεται ως αναξιόπιστος και δεν καταχωρείται κανένα στοιχείο του.
Ως αποτελέσματα της εκτέλεσης αυτής της δοκιμαστικής εφαρμογής για χρονικό διάστημα σχεδόν ενός μήνα, μπορούμε να διαπιστώσουμε ότι η αποδοχή από τους χρήστες ήταν πολύ ενθαρρυντική. Η εγκατάσταση της εφαρμογής έγινε σχεδόν από όλους ενώ ήταν αρκετοί αυτοί που την χρησιμοποιούσαν σε καθημερινή βάση. Επίσης, ιδιαίτερης αποδοχής έτυχε από γονείς που αναζητούσαν κάποιο τρόπο να «πιστοποιούν» τους άγνωστους χρήστες που έρχονταν σε επαφή με τα παιδιά τους μέσα από μία ιστοσελίδα κοινωνικής δικτύωσης όπως το facebook, που η ανωνυμία – και ότι αυτή συνεπάγεται – περισσεύει.
Συμπεράσματα Και Μελλοντική Ερευνά
Στην παρούσα εργασία έγινε μία ολοκληρωμένη αναφορά στα προβλήματα ιδιωτικότητας και ιχνηλασιμότητας που αντιμετωπίζουν οι χρήστες σχεδόν όλων των ιστοσελίδων κοινωνικής δικτύωσης. Για την αντιμετώπισή τους, προτείναμε μία βελτιωμένη αρχιτεκτονική όπου μία έμπιστη τρίτη οντότητα θα μπορούσε να δρα ως ενδιάμεσος για την παροχή της απαραίτητης ιδιωτικότητας και ασφάλειας των χρηστών, ελέγχοντας την αξιοπιστία τους, ανανεώνοντας την αξιοπιστία αυτή μέσα στο χρόνο και κρατώντας τα απαραίτητα ηλεκτρονικά ίχνη σε περίπτωση που χρειαστούν σε κάποια νόμιμη διαδικασία.
Προκειμένου να αποδείξουμε την χρησιμότητα και τη βασιμότητα μίας τέτοιας αρχιτεκτονικής, αναπτύξαμε μία δοκιμαστική εφαρμογή στην πλατφόρμα του facebook και δείξαμε ότι αυτή μπορεί να λειτουργήσει αποδοτικά για τους χρήστες.
Κάποιες μελλοντικές επεκτάσεις της παρούσας εργασίας θα ήταν η ανάπτυξη εφαρμογών για έτερες δημοφιλείς πλατφόρμες όπως το twitter, το myspace κλπ, με σκοπό η αρχιτεκτονική αυτή να αποτελέσει ένα σταθερό σημείο ιδιωτικότητας και ιχνηλασιμότητας για τους χρήστες του διαδικτύου. Επίσης, σκοπός είναι η βελτίωση της αλληλεπίδρασης της εφαρμογής με τους χρήστες, ίσως με την χρήση ερωτηματολογίων, ώστε να είναι δυνατή η παροχή χρήσιμων σχολίων που θα βοηθούσαν στην βελτίωση της χρηστικότητας και της λειτουργικότητας.
ΑΝΑΦΟΡΕΣ
[1] Racha Ajami, Noha Ramadan, Nader Mohamed, Jameela Al-Jaroodi, Security Challenges and Approaches in Online SocialNetworks: A Survey, International Journal of Computer Science and Network Security, VOL.11 No.8, August 2011.
[2] Filipe Beato, Markulf Kolhweiss, Karel Wouters, Scramble! your social network data, 11th Privacy Enhancing Τechnologies Symposium, LNCS 6794, S. Fischer-Huebner, and N. J. Hopper (eds.), Springer-Verlag, pp. 211-225, 2011.
[3] Mauro Conti, Arbnor Hasani, Bruno Crispo, Virtual Private Social Networks, in Proceedings of the First ACM Conference on Data and Application Security and Privacy (ACM SIGSAC CODASPY 2011), 2011.
[4] L. A. Cutillo, R. Molva, T. Strufe, Safebook: A privacy-preserving online social network leveraging on real-life trust, IEEE Communicaions Magazine, 47(12), December 2009.
[5] “Facebook statistics (2012)”, http://www.facebook.com/press.
[6] S. Guha, K. Tang, P. Francis, Noyb: privacy in online social networks, in Proceedings of the first workshop on online social networks, pp. 49-54, 2008.
[7] Sonia Jahid, Prateek Mittal, Nikita Borisov, EASiER: Encryption-based Access Control in Social Networks with Efficient Revocation , in Proceedings of 6th ACM Symposium on Information, Computer and Communications Security, 2011.
[8] M. M. Lucas, N. Borisov, flyByNight: Mitigating the Privacy Risks of Social Networking, in Proceedings of 7th ACM Workshop on Privacy in the Electronic Society (WPES 2008), October 2008, pp. 1-8.
[9] Wanying Luo, Qi Xie, Urs Hengartner, FaceCloak: An Architecturefor User Privacy on Social Networking Sites, in Proceedings of the 2009 International Conference on Computational Science and Engineering – Volume 03, 2009.
[10] P. Norberg, D. R. Horne, D. A. Horne, The Privacy Paradox: Personal Information Disclosure Intentions versus Behaviors, Τhe Journal of Consumer Affairs, 41(1), 100-126, 2007.
[11] “Please Rob me (2012)”, http://pleaserobme.com.
[12]N. Tabakoff, Facebook users are sitting ducks for identity theft, 2009. http://www.dailytelegraph.com.au/news/facebookusers-
sitting-ducks-for-identity-theft/story-e6freuy9-122580713389/.
[13] Kurt Thomas, Chris Grier, David M. Nicol, unFriendly: Multiparty Privacy Risks in Social Networks, in Proceedings of Privacy Enhancing Technologies Symposium (PETS), 2010.
[14] “Twitter blog (2012)”, http://blog.twitter.com/2012/03/twitterturns-six.html.
[15] L.-H. Vu, K. Aberer, S. Buchegger, A. Datta, Enabling secure secret sharing in distributed online social networks, in Proceedings of the Annual Computer Security Applications Conference, pages 419-428, 2009.
[16] “Whocanitrust? Facebook application”, http://apps.facebook.com/whocanitrust.
[17] “Wikipedia (2012)”, http://en.wikipedia.org/wiki/List of social networking websites.
[18] W. Wolfe-Wylie, The harm of facebook pictures, 2010, http://www.torontosun.com/life/2010/08/10/ 14978476.html.
Ευθύμιος Λαλάς (2)
Αναστάσιος Παπαθανασίου (3),
Κωνσταντίνος Λαμπρινουδάκης (4)