Embora não tenha sido exequível efectuar todos os testes com dados de navegação de utilizadores reais foi possível realizar, num ambiente controlado, a captura dos dados resultantes do acesso à página auditada por sete utilizadores diferentes, a partir dos seus próprios sistemas pessoais que utilizam no dia-a-dia.
Aproveitando esta oportunidade procuraram-se utilizadores que usassem o mesmo browser, se possível até a mesma versão do browser, em vários sistemas, quer o mais semelhantes possível quer em sistemas completamente diferentes. Desta forma seria possível comprovar de outra forma os motivos que originaram os resultados, já justificados, que ocorreram nas simulações em que vários utilizadores utilizavam os mesmos browsers nas mesmas máquinas (browsers escolhidos aleatoriamente entre visitas).
83
Os registos dos sistemas dos utilizadores que foram utilizados para este teste estão apresentados na Tabela 7.7. Verificam-se ocorrências exactamente do mesmo browser, do mesmo sistema operativo e, na maior parte dos casos, ocorrências em que o par browser- sistema operativo é idêntico.
Tabela 7.7 - Registo dos logs obtidos de utilizadores reais
34B7.4.1 – Resultados com apenas um utilizador
Para que se perceba melhor o tipo de dados recolhidos nestes testes com utilizadores reais inclui-se a análise de um exemplo individual: o utilizador que originou o registo SDC.1001.
Todas as navegações efectuadas com os sistemas dos utilizadores reais foram efectuadas sem alterar nenhum parâmetro quer do sistema, quer do browser utilizado. Desta forma, existem algumas diferenças entre os logs guardados; alguns dos browsers estavam configurados para não aceitar cookies ou Flash cookies, no entanto, o endereço IP foi constante durante a navegação em todos os casos. Contudo, o exemplo aqui apresentado exibe características semelhantes às observadas para o perfil Padrão, como se pode verificar na Figura 7.19. Todas as técnicas obtiveram os mesmos resultados, criando listas de associação idênticas, como se pode ver na Tabela 7.8.
Figura 7.19 - Utilizador Real (SDC.1001): Sessões reconstruídas Log Servidor Versão do Browser Número de Visitas Sistema Operativo
SDC.1000 Firefox 3.0.15 10 Windows XP Professional SP3
SDC.1001 Firefox 3.5.5 12 Windows XP Professional SP3
SDC.1006 Firefox 3.5.5 10 Windows XP Professional SP2
SDC.1003 Firefox 3.5.5 10 Windows 7 (NT 6.1)
SDC.1004 Firefox 3.5.5 10 Windows 7 (NT 6.1)
SDC.1002 Firefox 3.5.6 10 Ubuntu 9.10
84 Testes e Resultados
Tabela 7.8 - Utilizador Real (SDC.1001): Sessões reconstruídas
As doze visitas que o utilizador realizou foram associadas com sucesso por cada uma das técnicas, indicando que o browser em questão aceitou e guardou os cookies e Flash cookies durante a navegação. Não foi possível fazer uma comparação automática por falta de um registo como os que eram gerados quando se simulava as navegações, que continham identificadores únicos para cada visita. No entanto, e por comparação com os registo efectuados manualmente no momento da navegação, é possível concluir com certeza que o utilizador foi bem identificado e todas as suas visitas foram associadas.
35B7.4.2 – Resultados com todos os utilizadores
Neste teste foram processados os dados de todos os utilizadores reais que foram recolhidos. As diferenças existentes entre os logs dos diversos utilizadores que já foram referidas, aceitação ou rejeição de cookies ou Flash cookies, não são importantes para o teste uma vez que se pretendia apenas avaliar o comportamento da técnica de associação baseada em assinatura. A existência ou não desses valores não influencia os resultados das comparações por assinatura. De qualquer forma, para que se garantisse que apenas esta técnica fosse avaliada, foi seleccionado no ficheiro de configuração do User Tracking DPP, antes do inicio do processamento, uma identificação apenas baseada na assinatura, sendo que
85
os outros métodos de associação não foram executados e todos os dados relativos a essas técnicas foram ignorados.
As sessões reconstruídas são apresentadas na Figura 7.20, onde se verifica que foram de facto identificados sete utilizadores diferentes. Observando a Tabela 7.9 é possível ver com detalhe as listas de visitas associadas e perceber que a técnica baseada na assinatura separou perfeitamente as visitas de cada um dos utilizadores.
Figura 7.20 - Utilizadores Reais (SDC.1000-1007): Sessões reconstruídas
De notar que, como no caso anterior, uma vez que não existe qualquer log de registo com identificadores de cada visita, como o gerado automaticamente para as simulações, para estes testes não foi possível utilizar as funcionalidades de comparação automática da ferramenta de visualização de resultados. No entanto, graças à forma como os registos foram efectuados, individualmente, garantindo que cada ficheiro SDC apenas tivesse os dados de um utilizador e através da anotação das configurações de cada máquina e número de cliques efectuados, é possível, através de verificação manual, concluir que cada utilizador foi identificado correctamente. Pode-se ver na tabela que o número de visitas coincide com os registos guardados e que os JICs IDs associados são sempre sequenciais, isto devido à ordem pela qual os dados foram inseridos e processados: um ficheiro de log equivale a um utilizador, sendo que são processados sequencialmente obtêm-se as visitas ordenadas por tempo e utilizador.
Este resultado demonstra que é possível utilizar esta técnica para identificar e distinguir as visitas de utilizadores apenas com base numa assinatura construída a partir de informação do sistema mesmo quando os utilizadores utilizam sistemas semelhantes.
86 Testes e Resultados
Tabela 7.9 - Utilizadores Reais (SDC.1001-1007): Sessões reconstruídas
7.5 – Conclusões
Foi possível efectuar todos os testes previstos para a avaliação do sistema. Os resultados foram satisfatórios, ficando demonstrado o bom funcionamento de cada uma das diferentes técnicas de associação implementadas. Com base nos resultados apresentados pode-se concluir que a técnica de associação baseada em assinatura superou os outros métodos nos casos dos perfis Segurança (2) e (3) e Malicioso (2): embora as simulações pretendessem representar vários utilizadores o processamento através das semelhanças de assinatura agrupou todas as simulações geradas nos mesmos browsers e máquinas permitindo assim identificar o que de facto aconteceu. Nenhum outro sistema de user tracking encontrado durante a pesquisa efectuada é capaz de fazer este tipo de associações.
O sistema foi ainda testado com dados recolhidos da navegação de utilizadores reais. Os resultados deste teste demonstraram que o sistema foi capaz de diferenciar utilizadores que utilizavam browsers e sistemas operativos idênticos baseado apenas nas configurações
87
pessoais de cada um. Este era o principal objectivo deste trabalho e veio também confirmar que os resultados obtidos para as simulações dos perfis Segurança (2) e (3) e Malicioso (2) devem-se somente ao facto de ter sido utilizado exactamente o mesmo software e hardware sem qualquer alteração, mesmo ao nível das configurações.
A simulação do perfil Malicioso (3) indicou que o sistema de user tracking proposto e implementado pode ser manipulado de forma a que os utilizadores não sejam identificados. No entanto, deve ser salientado que esta manipulação implica um conhecimento técnico profundo da arquitectura do sistema e das ferramentas utilizadas.
89
Capítulo 8
12B
Conclusões e Trabalho Futuro
8.1 – Conclusões
A realização deste trabalho exigiu um breve estudo dos modelos de publicidade online e do problema da Click Fraud como forma de se compreender o contexto em que as empresas de auditoria Web trabalham e o cenário em que o sistema iria operar. Num contexto em que se pratica Click Fraud, e é essa a realidade actual para empresas de auditoria Web, os utilizadores procuram evitar qualquer forma de identificação utilizando para tal diversas técnicas para dissimular a sua identidade.
No sentido de se propor um sistema que permita a identificação de utilizadores ao longo de várias visitas a um website, num contexto em que os utilizadores não colaboram e tentam camuflar a sua identidade, foi apresentado um levantamento das técnicas de user tracking actuais, sendo classificadas pelo elemento que permitem identificar: utilizador, browser, máquina ou sessão Web. Embora não se tenham mencionado detalhadamente todos os trabalhos pesquisados que contribuíram para este documento, foi efectuada uma descrição pormenorizada dos trabalhos relacionados mais semelhantes.
Baseada em toda a informação recolhida e apresentada, foi proposta e implementada uma solução para o problema definido: um sistema inovador, que conjuga diversas técnicas diferentes, de forma a cumprir os requisitos especificados. Este sistema baseia-se em técnicas de correlação de endereços IP, Cookies HTTP e de aplicação, e num método de geração de assinaturas digitais a partir de vários parâmetros recolhidos da máquina do utilizador. O sistema foi integrado na plataforma de auditoria da AuditMark, implicando um trabalho transversal, envolvendo muitos dos componentes do AuditService, deste a recolha de dados de navegação até ao seu processamento, passando pelo seu manuseamento e armazenamento nas bases de dados. Os dois componentes principais que resultaram do trabalho foram a nova versão do JIC, responsável pela recolha dos dados dos utilizadores, e o User Tracking DPP, que se encarrega do processamento de toda a informação e compilação dos resultados.
90 Conclusões
Foi ainda definida a forma como o sistema foi testado e avaliado, sendo que foi necessário criar um sistema de geração de tráfego, simulando vários tipos de comportamentos de navegação, e uma ferramenta para visualização dos resultados e sua avaliação, a User Tracking Analysis Tool.
Através da avaliação dos resultados obtidos a partir do tráfego simulado foi possível observar os diferentes métodos de associação de visitas a funcionar correctamente, identificando os utilizadores simulados. O método de associação por assinatura mostrou-se capaz de identificar utilizadores em cenários onde os outros métodos não o conseguiram. De salientar especialmente os testes com tráfego de utilizadores reais que, apesar de utilizarem configurações idênticas, foram perfeitamente identificados recorrendo apenas ao processamento da assinatura. Os resultados obtidos permitiram perceber o bom funcionamento da ferramenta e concluir que os objectivos propostos foram perfeitamente alcançados.