Internetudbydere manipulerer med datatrafik

Internetudbydere er villige til at overvåge deres kunders netadfærd og manipulere med internettrafikken for at få del i annoncekroner.

 

grafik

 

 

 

 

 

 

 

 

 

- Når du browser, er vi i stand til at kategorisere alle dine handlinger på internettet. Vi kan se hele internettet.

Udtalelsen kommer fra Virasb Vahidi, chief operating officer i virksomheden Phorm, og er møntet på Phorms såkaldte behavioural marketingsystem.

Phorm er blot een blandt en række virksomheder, som ser behavioural marketingsystemer som fremtiden for annoncering på internettet. En fremtid, hvor firmaer som Phorm, NebuAd og Front Porch samarbejder med internetudbydere om at opdele internettets brugere i forskellige reklamesegmenter baseret på brugernes adfærd på nettet. Systemerne fra Phorm, NebuAd og Front Porch installeres i internetudbydernes netværk, så al nettrafik der flyder mellem internetbrugerne og webstederne, kan registreres og analyseres. På baggrund af de registrerede oplysninger opbygges profiler af internetbrugerne, så annoncører kan ramme internetbrugerne med målrettede reklamer, som afspejler hver enkelt internetbrugers interesser.

Da systemerne er placeret mellem internetbrugeren og webstederne, kan systemerne - uden at brugerne eller webstederne bemærker noget - ændre dataindhold og tilføje programlogik til de besøgte websider, så målrettede reklamer kan vises for den enkelte internetbruger.

Indsætter javascript
I rapporten "NebuAd and Partner ISPs: Wiretapping, Forgery and Browser Hijacking" fra Free Press and Public Knowledge dokumenteres, hvordan NebuAds system hos den amerikanske internetudbyder WOW! tilføjer javascript-kode til Googles webside (se boks).

 

NebuAd indsætter javascript på hjemmeside
NebuAds system er installeret i internetudbyderens netværk, så systemet sidder mellem brugerens maskine og Googles server. Det er et såkaldt man-in-the-middle scenarie, hvor "manden" i midten nu kan ændre i trafikken mellem brugeren og Google - uden at brugeren og Google aner uråd.

NebuAds system tilføjer en ekstra datapakke, der indeholder javascript. Javascriptet kalder så et andet script på et helt andet domæne end Google.com.

"Når javascriptet udføres, får det brugerens browser til at kalde et script fra domænet a.faireagle.com. Fair Eagle er et NebuAd-company, som ikke har nogen forbindelser til Google, og det er ikke nævnt i Google's privacy-politikker eller på andre Google-sider," kan man læse i Richard M. Topolskis rapport.


Rapportens forfatter, Robert M. Topolski, sammenligner NebuAds system med hacker-teknikker.

- NebuAd udnytter forskellige former for angreb på brugernes og applikationernes sikkerhed; angrebsformer som browser hijacking, cross-site scripting og man-in-the-middle angreb, som har skabt betydelig kontrovers og brugerfordømmelse, lyder det blandt andet i rapporten.

NebuAd lægger afstand til den slags betegnelser og fremhæver, at internetbrugerne ikke længere vil blive belemret med irrelevante reklamer. Ifølge NebuAds egne oplysninger har firmaet aftaler med internetudbydere, der dækker 10 procent af de amerikanske bredbåndskunder.

Brugerne skal ikke opdage noget
Det er ikke kun amerikanske internetbrugere, der får deres internetbrug registreret, analyseret og profileret. I Storbritannien er den absolut største internetudbyder BT i fuld gang med at indføre Phorms system. BT er dog ikke meget for at fortælle om samarbejdet med Phorm. Selvom BT allerede aftestede Phorms system i 2006, så var det først i starten af i år, at offentligheden fik kendskab til BT's planer om at registrere og profilere sine netbrugeres netadfærd.

Det var teknisk interesserede BT-kunder, der tilbage i sommeren 2007 opdagede, at hver gang de besøgte et websted, så kommunikerede deres browser med domænet dns.sysip.net. Hver gang, og et hvilket som helst websted.

En del blev bekymrede for, at de havde fået malware på deres pc, men diverse antivirus- og antispyware-programmer kunne ikke finde nogen ondsindet kode på deres pc'er. Nogle geninstallerede deres maskiner flere gange for at komme den tilsyneladende malware til livs. Uden held. Var det en af BT's DNS-servere, der var blevet hijacket?

Nej, lød svaret fra den britiske telegigant. Det er sandsynligvis malware på din maskine, var beskeden til de frustrerede brugere. 14. marts i år sprang en mindre bombe. BT bekræftede, at selskabet havde kørt en "meget lille teknisk test" i juni 2007, hvor Phorm's system blev anvendt. Dns.sysip.net var en del af Phorms system, hvor brugernes internettrafik blev opfanget og analyseret. BT har siden erkendt, at selskabet også registrerede og analyserede titusindvis af BT-internetbrugere i 2006.

I en fortrolig rapport udarbejdet af BT Retail Technology i januar 2007 kan man læse, hvordan 18.000 BT-kunders websurfing blev registreret og analyseret fra 23. september 2006 til 6. oktober 2006. Rapporten lægger ikke skjul på, at aftestningen skal hemmeligholdes, da et af målene med aftestningen er at finde ud af, om slutbrugerne overhovedet bemærker profileringssystemet. Ifølge rapporten, som blev lækket til whistleblowersitet wikileaks.org 4. juni 2008, var der stort set ingen af brugerne, der bemærkede, at systemet var i drift. Som det hedder i rapporten

"Kun 15-20 af forsøgsdeltagerne (0,1 procent af forsøgsgruppen) identificerede tilstedeværelsen af systemet og havde en negativ reaktion."
Rapporten beskriver, hvordan BT og Phorm i en kommende testfase 2 vil forsøge helt at undgå, at brugerne får kendskab til systemet. I 2006-testen tilføjede Phorms system blandt andet javascript-kode til websiderne; ganske som NebuAds system gør. Ifølge rapporten vil man i en kommende testfase forsøge helt at undgå at tilføje javascript-kode.

BT-sag overgivet til politiet
Registreringen og analyseringen af titusindvis af BT-brugeres netadfærd, uden at de var blevet orienteret om det, førte onsdag den 18. juli til, at BT-sagen blev overgivet til politiet. Det er Alexander Hanff, der har en mangeårig baggrund i it og en universitetsgrad i Information Systems and Applied Social Science, som har indsamlet materialet om BT og som led i en demonstration mod BT's profileringssystem overdrog materialet til politiet. Alexander Hanff mener, at BT har overtrådt en række britiske love som Regulation of Investigatory Powers Act 2000, Fraud Act 2006, Computer Misuse Act 1990 and Copyright, Designs and Patents Act 1998.

Nødvendigt med offentlig debat
Demonstrationen mod BT's samarbejde med Phorm fandt sted i London foran Barbican, hvor BT's aktionærer var forsamlet til den årlige generalforsamling.

For Alexander Hanff er det et spørgsmål om, at både BT's aktionærer samt den brede offentlighed får kendskab til, hvad BT er i gang med.
- Jeg håber at øge den offentlige bevidsthed om behaviourprofiling ved hjælp af teknologier som Deep Packet Inspection. Der er bestemt ikke nok offentlig interesse. Det er naivt at tro, at store dele af befolkningen reelt ved, hvad der foregår, siger Alexander Hanff.

BT og Phorm nedtoner betydningen af de udførte test og kendsgerningen, at det foregik uden brugernes tilladelse. Det er jo blot et spørgsmål om at tilbyde mere målrettede reklamer til brugerne, og det er vel ikke så slemt?
- Hvis de vil have del i annoncekronerne, så skal de gøre det på en lovlig måde. Det er ulovligt, det de gør. Der er ingen men; virksomheder kan ikke bryde loven for at tjene flere penge, mener Alexander Hanff.

Alexander Hanff har heller ikke meget tilovers for Phorms forsikringer om, at data bliver anonymiserede. Ja, Phorms øverste chef Kent Ertegrul har selv betegnet Phorms system som "en revolution for privacy".

- Om de anonymiserer data eller ikke er irrelevant, teknologien bryder adskillige love. Og selvfølgelig vil Phorm ikke markedsføre teknologien som privacy-fjendtlig, selvom den i høj grad er det, mener Alexander Hanff.
Hvis BT havde valgt at spille med åbne kort fra starten, ville det ikke have været nok til at berolige Alexander Hanff. Han ser for mange misbrugsmuligheder og negative konsekvenser ved teknologien.

- Hvis BT og Phorm havde fulgt lovene, så ville jeg stadig have betænkeligheder ved teknologien. Min hovedanke ved teknologien er, at scopet langsomt udvides og ændres. Teknologien kan anvendes til mange ting. Ved aftestningen i 2006 og 2007 så vi, at de ændrede indholdet af datastrømmen ved at tilføje kode til datatrafikken. Det er et af de alvorlige problemer med den her teknologi. Systemerne udgør også en risiko for sårbare mennesker, der måske er i et voldeligt forhold eller udsat for misbrug. Der er en risiko for, at systemet kan afsløre, hvis ofret har søgt efter hjælp online, da reklamerne vil være tilpasset de websider, ofret har besøgt, siger Alexander Hanff.

Internetudbydernes motivation
Trods risikoen for dårlig omtale og utilfredshed blandt teknikbevidste kunder er der milliarder af gode grunde til, at internetudbyderne entrerer med virksomheder som Phorm og NebuAd. Danske internetudbydere har eksempelvis omkring 2,5 milliarder gode grunde til at anvende systemerne. 2,5 milliarder kroner var nemlig online-annonceomsætningen i 2007 i Danmark ifølge organisationen FDIM (Foreningen af Danske Internet). Med teknologierne fra Phorm og NebuAd har internetudbyderne mulighed for at få fat i en pæn del af den annoncekage. Analytikere vurderer da også, at aftalen med Phorm i 2010 kan være op til 85 millioner pund værd for BT.
Indtil videre ser det dog ikke ud til, at danske internetudbydere vil anvende teknologien.

- ­Det lyder rigtig spændende, men det er ikke noget, som er med i vores planer for tiden, siger pressetalskvinde Gitte Maj Nielsen fra Telia. Heller ikke TDC har umiddelbare planer om at anvende teknologien. Det sker blandt andet med henvisning til, at der er for mange praktiske og lovmæssige problemer med teknologien.

Den udskudte test
I Storbritannien fortsætter udrulningen af Phorms system, dog med nedsat tempo. BT havde oprindeligt planlagt en stor test omfattende flere hundredtusinder BT-kunder løbende fra 12. marts til 16. april 2008, men den test er blevet udskudt adskillige gange. Til Prosabladet oplyser seniorpressetalsmand fra BT Dan Thomas at "på nuværende tidspunkt har vi ikke mere at sige, end at en teknisk afprøvning er planlagt for denne sommer".

Dan Thomas ønsker ikke at besvare yderligere spørgsmål om Phorm-systemet, men fortæller, at BT vil informere pressen og øvrige interesserede om testen, 24 timer inden den går i gang.

Dansk holdning
Hos det danske Datatilsyn kan man ikke umiddelbart give en vurdering af, om systemer som NeBuAd og Phorm er ulovlige ifølge dataloven.
- Vi skal have en konkret sag, før vi kan vurdere, om et givent system er ulovligt. Der skal foretages konkrete vurderinger, så jeg kan ikke give et forhåndsbud, siger Lena Andersen, kontorchef i Datatilsynet.

Som en indikation af det danske Datatilsyns vurdering vil det dog være rimeligt at se på, hvordan de britiske datamyndigheder vurderer systemerne, da dansk og britiske lovgivning bygger på de samme principper, blandt andet et EU-direktiv.

- Det er meget muligt, at vi vil mene det samme som vores britiske kolleger. Vi har grundlæggende de samme principper, siger Lena Andersen, der dog understreger, at et eventuelt dansk system vil blive vurderet efter danske love og regler.

- Vi vil behandle en eventuel dansk sag i forhold til, hvad der oplyses over for os og de regler, vi har i Danmark, siger Lena Andersen.
Ifølge Lena Andersen har Datatilsynet ikke haft nogen sager af denne karakter, ligesom Datatilsynet heller ikke har haft formelle henvendelser fra danske teleselskaber om anvendelse af systemer som NebuAd og Phorm.



Dansk konference om Netneutralitet
ITEK/Dansk Industri, IT-Branchen og Telekommunikationsindustrien i Danmark afholder sammen med IT- og Telestyrelsen en konference om netneutralitet 30. september.

Umiddelbart er der ingen planer om at se nærmere på systemer som Phorm og NebuAd.

- ­Vi forventer ikke, at det er noget, netneutralitetskonferencen vil have større fokus på. Det er ikke, fordi det ikke er interessant, men det er ikke en del af scopet for konferencen, ligesom piratkopiering heller ikke er. Vil vil gerne bevare fokus, nemlig på innovation, investeringer, nye forretningsmodeller, transparens og forbrugerbeskyttelse samt regulatoriske og konkurrencemæssige aspekter. Trafficshaping og trafikprioritering vil blive behandlet på konferencen. Hvordan sikres tv over internettet, så det ikke hakker. Hvad med de små garageselskaber, som ikke har penge eller kræfter til at blive prioriteret op. Hvordan sikrer vi innovationen på internettet? forklarer Thomas Woldiderich fra Telestrategisk kontor hos IT- og Telestyrelsen.

 

 

Sådan virker Phorm
Det grundlæggende koncept bag Phorms system er at tage en kopi af al trafik mellem en internetbruger og de websider, som internetbrugeren besøger.

Ved at installere systemet i en internetudbyders netværk registreres alle websteder, som en internetbruger besøger.

Phorms system analyserer trafikken og kategoriserer brugeren i en af flere kundekategorier.

Der er tale om al HTTP-trafik, der kører over port 80. Krypteret trafik vil ikke blive analyseret.

Enhver webside, som en internetbruger besøger, vil blive analyseret for de 10 oftest forekommende ord. De 10 ord anvendes til at bestemme, hvad websiden omhandler.

Trivielle ord som 'and', 'but', 'or', 'a' og lignende ignoreres, da de ikke er interessante, ligesom tal heller ikke indgår i analysen.
Hvis en internetbruger anvender en søgemaskine som Google, så vil anvendte søgeord blive filtreret fra URL'en og analyseret.

URL, søgeord og de 10 mest forekommende ord på websiden mappes til en passende 'channel' for reklamer. Hvis en internetbruger eksempelvis har besøgt en webside med ordene 'flight' og 'hotel' blandt de 10 oftest forekommende ord, så indikerer det en rejseinteresseret bruger.

Channel-indikatoren 'travel' gemmes sammen med en timestamp og en unik ID. Den unikke ID refererer til en cookie i brugerens browser.

URL, søgeord og de 10 mest forekommende ord gemmes, ifølge Phorm og BT, ikke.


Phorms blakkede fortid
Phorm var før kendt under navnet 121 Media. 121Media markedsførte produktet PeopleOnPage som blev betegnet som spyware af sikkerhedsfirmaer som F-Secure.

Kritikere påpeger det uheldige i, at BT samarbejder med et firma som Phorm, der har en blakket fortid inden for spyware. Kritikerne gør samtidig opmærksom på, at det nok har hjulpet, at Statis Scleparis er CTO i Phorm. Inden Statis Scleparis kom til Phorm, var han CTO for BT Retail. BT Retail er divisionen i BT, som er ansvarlig for Phorm-systemet.