ANONIMITÁS A WEBEN. Adatbiztonság. Gulyás Gábor György. BME Híradástechnikai Tanszék december 9

ANONIMITÁS A WEBEN Adatbiztonság

Gulyás Gábor György BME Híradástechnikai Tanszék [email protected] 2013. december 9., Budapest

A PRIVÁTSZFÉRA A WEBEN

Az üzleti modellről

ID=967

Hirdető

Böngésző

ID=967

Anonimitás a weben

© Gulyás Gábor György, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem

Az ID=967 profilja: • Piros almák • A szavannai élet

3

Az üzleti modellről (2)

Hirdető

ID=967

Böngésző

cnn.com

Akció: 350Ft/kg!

Anonimitás a weben



4

Az üzleti modellről (3)

Hirdető Böngésző

ID=967


amazon

Anonimitás a weben


5

Kikről lesz ma szó? Megfigyelés, nyomkövetés, adatgyűjtés Követés: érdeklődési kör, ízlésvilág feltérképezése

Adatok gyűjtése: loginok, e-mail címek, 4

Adatok feldolgozása, kereskedés Identitás lopás, megszemélyesítés

Személyre szabhatóság: • Reklámok, ajánlások • Web boltok árai • Tartalom és felület is4

Profilok felhasználása

Phishing, whaling Anonimitás a weben


6

Mennyire komoly a helyzet? (2012) Jól megy az iparágnak: kb. $30 milliárd bevétel 2012!

„First party” követők: közösségi oldalak és trükközők

A közösségi eszköztár elterjedtsége kb. 35%

Folyamatosan nő a top-listás weblapok számát, és az egy oldalon lévő poloskák számát tekintve a megfigyelésnek való kitettség 2006-2012 között.

Széleskörű „fertőzöttség”: Alexa top 500-ban 524 követő, és 7264 poloska!

Nem csak sütiket használnak!

Együttműködők: egy poloska több céget is kiszolgálhat!

Az online jelenlétünk jelentős részét (20%+) képesek egyes szereplők megfigyelni! Források: a végén ☺ Anonimitás a weben


7

Trendek a „nagyoknál”

Anonimitás a weben


8

NYOMKÖVETÉSES PROFILÍROZÁS

Árulkodó nyomok? A szolgáltató látja: Forrás: http://www.ip http://www.ip-adress.com

• IP címünk (+ host cím)

• • • • • •

Nyelvi beállítások Böngésző + veriószámok JavaScript képességek Telepített pluginok, fontok Operációs rendszer 4 Forrás: http://ip-check.info

Anonimitás a weben


10

Modern „lehallgató készülékek” IP nem jellemző, de „hasznos” kiegészítő Erőforrás lekérdezésen keresztül • Hirdetések, külső szolgáltatók képei

Web poloska (web bug, web beacon) • Láthatatlan: 1x1 pixeles, átlátszó GIF-ek • Sütivel, vagy IP és egyéb információk alapján • A.k.a.: web beacon, clear GIF, 1x1 GIF, tracking pixel, pixel tag, vagy csak pixel

Emailben is érkezhetnek • Olvastad már... ?

Anonimitás a weben


11

Böngésző sütik A.k.a.: tracking-cookie, third-party cookie

Felhasználó

Webkiszolgáló

Profilozó (harmadik fél)

HTTP kérés

HTTP válasz

Hiányzó képek, elemek letöltése

Kép lekérése: 1. Süti(k) elküldése 2. URL referer elküldése

Kép letöltése

Anonimitás a weben


Naplózás, adminisztráció

12

Wall Street Journal: What They Know

http://blogs.wsj.com/wtk/ Anonimitás a weben


13

Közösségi gombok

http://online.wsj.com Anonimitás a weben


14

Flash: követés Felhasználó

Webkiszolgáló

Profilozó (harmadik fél)

HTTP kérés

HTTP válasz

• Soha nem jár le • Böngészőfüggetlen tárolás! • PIE: Persistent Identification Element

Hiányzó képek, elemek letöltése Flash lekérése

Flash küldése Flash megjelenítése, Azonosító kiolvasása Azonosító küldése Anonimitás a weben


Naplózás 15

További módszerek: HTML5 HTML5 tárhelyek • • • •

Sütiszerű működés Csak kliensoldalon tárolódik, külön kell küldeni Nagyobb tár, 5 MB Soha nem jár le

Valós veszély? • Csak töredék előfordulás (1%-17%) • Esetenként süti helyett használják (taboolasyndication.com & krxd.net) • „Biztonsági mentésként” (cookie respawn)

(Forrás: Roesner et al., 2012, Ayenson et al., 2011) Anonimitás a weben


16

További módszerek: gyorsítótár (2) Tartalmi gyorsítótár • JavaScript kód: tracking.js: var track_id = ”bZL0cjcLBYY”;

• CSS állományok: tracking.css: div.track_id { display: none; background-image: url(‘bZL0cjcLBYY.jpg’) }

• Kép állományok, track_id.png: bZL0cjcLBYY = 62 5A 4C 30 63 6A 63 4C 42 59 59 = (R=62, G=5A, B=4C), ... Anonimitás a weben


17

További módszerek: gyorsítótár (3) Gyorsítótár vezérlés alapú módszerek • E-tag, entity-tag: string ETag: "686897696a7c876b7e"

• Last-mod: időbélyeg Last-Modified: Wed, 15 Nov 1995 04:58:08 GMT

• Használhatóság • Pontos URL egyezést igényelnek • Privát módban is elérhető

Operatív gyorsítótárat használó módszerek • Pl. HTTP hitelesítés gyorsítótára

És ez nem a lista vége4

Források: végén ☺ Anonimitás a weben


18

Panopticlick projekt: létezik böngészőujjlenyomat? http://panopticlick.eff.org

Az egyediség vizsgálat alapja: • • • • •

User agent string Accept fejléc Plugin információk Elérhető betűtípusok Stb.

Előnyök:

Hátrányok:

• Gyors és pontos • Passzív (nincs adattárolás) • Hosszú távú Anonimitás a weben

Pontos, ha van Flash vagy Java!

• Plugin függő • Böngésző függő


19

A Rendszerujjlenyomat projekt http://pet-portal.eu/fingerprint

Főbb céljai: • Böngészők között is • Plugin függetlenség • (IP-tartom. független) Anonimitás a weben


20

Mennyire elterjedtek? (2013) (Forrás: Nikiforakis et al., 2013)

Alexa top 10 000 oldala, 20 lap mélységig • Mindössze 0,4% elterjedtség (40 oldal) • Skype.com, felnőtt tartalmak, randi oldalak

3 804 db kevésbé populáris oldal • (Tematika eloszlás lentebb)

Anonimitás a weben

© Gulyás Gábor György, BME-HIT

21

Hogyan működnek? (Forrás: Nikiforakis et al., 2013)

Nincs Java, de helyette használnak Flasht

Firefox: Linux x86 64 Flash: Linux 3.2.0-26generic Firefox: 1280x720 Flash: 2560x720 Böngésző: JS font lista Flash: sorrendezett lista (egyedi)

Anonimitás a weben


22

Támadások „rendszertana” Profilírozási és követési technikák

Tárolás alapú

Tárolás mentes

History Stealing (állapot alapú)

Lekérdezés alapú

Időzítés alapú

Ujjlenyomat technikák (jellemzők és beállítások)

Alacsonyszintű

Hardveres

Anonimitás a weben

Hálózati

Biometrikus azonosítás (felhasználói viselk.)

Információ alapú

Böngészőfüggő


Böngészőfüggetlen

23

Védekezés „szintenként” Részleges megoldások • Böngésző megfelelő beállítása • Weboldal tartalmának szűrése • Spyware-ek elleni védekezés • Anonim proxyk, anonimizáló hálózatok

Komplex megoldások • Anonim böngészők • Anonim böngészők + identitásmenedzsment

Anonimitás a weben


Alkalmazási réteg Szállítási réteg (TCP, UDP) Internetréteg (IP) Adatkapcsolati és fizikai rétegek TCP/IP modell

24

Tartalomszűrés, kiegészítők Szűrés • • • • •

Például:

Flash, SilverLight Java JavaScript Reklámok Web poloskák

Anonimitás a weben

• Ghostery • AdBlockPlus + Element Hiding Helper

Nem teljes értékű • Csak alkalmazási réteg. IP? • Spyware-t egyszer elég elkapni


25

Anonim böngészők (2)

Anonimitás a weben


26

Anonim böngészők (3) Cenzúra kijátszás Hordozható

JonDoNym

Szűrés, precíz beállítások

Nyílt forráskód Anonimitás a weben


27

ZÁRÓ GONDOLATOK ÉS ÖSSZEFOGLALÁS

Összefoglalás

Felfedezik a módszert

Egy módszer felbukkan

Nő a felh. tudatosság

Védelmi megoldás

Anonimitás a weben


29

Összefoglalás – Mit azonosítanak? Böngésző állapota

Böngésző

Operációs rendszer

Eszköz Felhasználó

Anonimitás a weben


30

Összefoglalás (3) Szolgáltató: mi a helyes szemléletmód? • Kontextus szerint célzott hirdetések vagy személyes profilok?

Felhasználói tudatosság növelése • „Tudatos fogyasztás” • Jogok érvényesítése • Felhasználói nyomásgyakorlás

Védelmi módszerek: nincs mindig rá szükség, de néha van elég jó is4 • Egyszerű megoldások: problémák, azonosíthatóság • Komplex, minden tekintetben szimpatikus megoldás nincs4 • 4 ingyen ☺

• Identitásmenedzsment nincs

Anonimitás a weben


31

Anonimitás és privátszféra-védelem korszerű informatikai szolgáltatásokban

2 kredites tárgy (könnyen teljesíthető, 2 kis ZH) Szerdánként 12:15-13:45 között Kódja: VIHIAV18 https://www.vik.bme.hu/kepzes/targyak/VIHIAV18/ Anonimitás adatbázisokban

Szteganográfia

Mobil CMS tervezése Anonimitás a weben

Közösségi hálózatok © Gulyás Gábor György, BME-HIT

32

Kérdések? KÖSZÖNÖM A FIGYELMET!

Gulyás Gábor György óraadó BME Híradástechnikai Tanszék [email protected] Anonimitás a weben


33

Hivatkozások Interactive Advertising Bureau (IAB). (June 11, 2012). Internet Advertising Revenues Set First Quarter Record at $8.4 Billion, Interactive Advertising Bureau. Krishnamurthy, B., & Wills, C.E. (2006). Generating a privacy footprint on the Internet. In Proc. of the 6th ACM Conference on Internet Measurement. Krishnamurthy, B., & Wills, C.E. (2009). Privacy diffusion on the web: A longitudinal perspective. In Proc. of the 18th Conference on the World Wide Web. Krishnamurthy, B. (2010). Privacy leakage on the Internet. Presented at IETF 77, March 2010. Mayer, J.R., & Mitchell, J.C. (2012). Third-Party Web Tracking: Policy and Technology. In Proc. of the IEEE Symposium on Security and Privacy 2012. Anonimitás a weben


34

Hivatkozások (2) Roesner, F., Kohno, T., & Wetherall, D. (2012). Detecting and Defending Against Third-Party Tracking on the Web. In Proc. of 9th USENIX Symposium on Networked Systems Design and Implementation. San Jose, CA, USA Kontaxis, G., Polychronakis, M., Keromytis, A.D., Markatos, E.P. (2012). Privacy-Preserving Social Plugins. In Proc. of 12th USENIX Security Symposium. Bellevue, WA, USA Ayenson, M., Wambach, D.J., Soltani, A., Good, N., & Hoofnagle, C.J. (July 29, 2011). Flash Cookies and Privacy II: Now with HTML5 and ETag Respawning, SSRN. Retrieved from http://ssrn.com/abstract=1898390 Benninger, C. (2006). AJAX Storage: A Look at Flash Cookies and Internet Explorer Persistence. Retrieved from http://citeseerx.ist.psu.edu/viewdoc/summary?doi=10.1.1.1 28.2523 Anonimitás a weben


35

Hivatkozások (3) Davidov, M. (2011). The Double-Edged Sword of HSTS Persistence and Privacy. Leviathan Security Group. Retrieved from http://www.leviathansecurity.com/blog/archives/12-TheDouble-Edged-Sword-of-HSTS-Persistence-andPrivacy.html Bursztein, E. (2011). Tracking users that block cookies with a HTTP redirect. Retrieved from http://elie.im/blog/security/tracking-users-that-blockcookies-with-a-http-redirect/ Grossmann, J. (2007). Tracking users with Basic Auth. Retrieved from http://jeremiahgrossman.blogspot.hu/2007/04/trackingusers-without-cookies.html Anonimitás a weben


36

ANONIMITÁS A WEBEN. Adatbiztonság. Gulyás Gábor György. BME Híradástechnikai Tanszék december 9

Recommend Documents