ANONIMITÁS A WEBEN Adatbiztonság
Gulyás Gábor György BME Híradástechnikai Tanszék
[email protected] 2013. december 9., Budapest
A PRIVÁTSZFÉRA A WEBEN
Az üzleti modellről
ID=967
Hirdető
Böngésző
ID=967
Anonimitás a weben
© Gulyás Gábor György, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
Az ID=967 profilja: • Piros almák • A szavannai élet
3
Az üzleti modellről (2)
Hirdető
ID=967
Böngésző
cnn.com
Akció: 350Ft/kg!
Anonimitás a weben
© Gulyás Gábor György, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
Az ID=967 profilja: • Piros almák • A szavannai élet
4
Az üzleti modellről (3)
Hirdető Böngésző
ID=967
Az ID=967 profilja: • Piros almák • A szavannai élet
amazon
Anonimitás a weben
© Gulyás Gábor György, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
5
Kikről lesz ma szó? Megfigyelés, nyomkövetés, adatgyűjtés Követés: érdeklődési kör, ízlésvilág feltérképezése
Adatok gyűjtése: loginok, e-mail címek, 4
Adatok feldolgozása, kereskedés Identitás lopás, megszemélyesítés
Személyre szabhatóság: • Reklámok, ajánlások • Web boltok árai • Tartalom és felület is4
Profilok felhasználása
Phishing, whaling Anonimitás a weben
© Gulyás Gábor György, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
6
Mennyire komoly a helyzet? (2012) Jól megy az iparágnak: kb. $30 milliárd bevétel 2012!
„First party” követők: közösségi oldalak és trükközők
A közösségi eszköztár elterjedtsége kb. 35%
Folyamatosan nő a top-listás weblapok számát, és az egy oldalon lévő poloskák számát tekintve a megfigyelésnek való kitettség 2006-2012 között.
Széleskörű „fertőzöttség”: Alexa top 500-ban 524 követő, és 7264 poloska!
Nem csak sütiket használnak!
Együttműködők: egy poloska több céget is kiszolgálhat!
Az online jelenlétünk jelentős részét (20%+) képesek egyes szereplők megfigyelni! Források: a végén ☺ Anonimitás a weben
© Gulyás Gábor György, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
7
Trendek a „nagyoknál”
Anonimitás a weben
© Gulyás Gábor György, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
8
NYOMKÖVETÉSES PROFILÍROZÁS
Árulkodó nyomok? A szolgáltató látja: Forrás: http://www.ip http://www.ip-adress.com
• IP címünk (+ host cím)
• • • • • •
Nyelvi beállítások Böngésző + veriószámok JavaScript képességek Telepített pluginok, fontok Operációs rendszer 4 Forrás: http://ip-check.info
Anonimitás a weben
© Gulyás Gábor György, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
10
Modern „lehallgató készülékek” IP nem jellemző, de „hasznos” kiegészítő Erőforrás lekérdezésen keresztül • Hirdetések, külső szolgáltatók képei
Web poloska (web bug, web beacon) • Láthatatlan: 1x1 pixeles, átlátszó GIF-ek • Sütivel, vagy IP és egyéb információk alapján • A.k.a.: web beacon, clear GIF, 1x1 GIF, tracking pixel, pixel tag, vagy csak pixel
Emailben is érkezhetnek • Olvastad már... ?
Anonimitás a weben
© Gulyás Gábor György, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
11
Böngésző sütik A.k.a.: tracking-cookie, third-party cookie
Felhasználó
Webkiszolgáló
Profilozó (harmadik fél)
HTTP kérés
HTTP válasz
Hiányzó képek, elemek letöltése
Kép lekérése: 1. Süti(k) elküldése 2. URL referer elküldése
Kép letöltése
Anonimitás a weben
© Gulyás Gábor György, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
Naplózás, adminisztráció
12
Wall Street Journal: What They Know
http://blogs.wsj.com/wtk/ Anonimitás a weben
© Gulyás Gábor György, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
13
Közösségi gombok
http://online.wsj.com Anonimitás a weben
© Gulyás Gábor György, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
14
Flash: követés Felhasználó
Webkiszolgáló
Profilozó (harmadik fél)
HTTP kérés
HTTP válasz
• Soha nem jár le • Böngészőfüggetlen tárolás! • PIE: Persistent Identification Element
Hiányzó képek, elemek letöltése Flash lekérése
Flash küldése Flash megjelenítése, Azonosító kiolvasása Azonosító küldése Anonimitás a weben
© Gulyás Gábor György, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
Naplózás 15
További módszerek: HTML5 HTML5 tárhelyek • • • •
Sütiszerű működés Csak kliensoldalon tárolódik, külön kell küldeni Nagyobb tár, 5 MB Soha nem jár le
Valós veszély? • Csak töredék előfordulás (1%-17%) • Esetenként süti helyett használják (taboolasyndication.com & krxd.net) • „Biztonsági mentésként” (cookie respawn)
(Forrás: Roesner et al., 2012, Ayenson et al., 2011) Anonimitás a weben
© Gulyás Gábor György, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
16
További módszerek: gyorsítótár (2) Tartalmi gyorsítótár • JavaScript kód: tracking.js: var track_id = ”bZL0cjcLBYY”;
• CSS állományok: tracking.css: div.track_id { display: none; background-image: url(‘bZL0cjcLBYY.jpg’) }
• Kép állományok, track_id.png: bZL0cjcLBYY = 62 5A 4C 30 63 6A 63 4C 42 59 59 = (R=62, G=5A, B=4C), ... Anonimitás a weben
© Gulyás Gábor György, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
17
További módszerek: gyorsítótár (3) Gyorsítótár vezérlés alapú módszerek • E-tag, entity-tag: string ETag: "686897696a7c876b7e"
• Last-mod: időbélyeg Last-Modified: Wed, 15 Nov 1995 04:58:08 GMT
• Használhatóság • Pontos URL egyezést igényelnek • Privát módban is elérhető
Operatív gyorsítótárat használó módszerek • Pl. HTTP hitelesítés gyorsítótára
És ez nem a lista vége4
Források: végén ☺ Anonimitás a weben
© Gulyás Gábor György, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
18
Panopticlick projekt: létezik böngészőujjlenyomat? http://panopticlick.eff.org
Az egyediség vizsgálat alapja: • • • • •
User agent string Accept fejléc Plugin információk Elérhető betűtípusok Stb.
Előnyök:
Hátrányok:
• Gyors és pontos • Passzív (nincs adattárolás) • Hosszú távú Anonimitás a weben
Pontos, ha van Flash vagy Java!
• Plugin függő • Böngésző függő
© Gulyás Gábor György, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
19
A Rendszerujjlenyomat projekt http://pet-portal.eu/fingerprint
Főbb céljai: • Böngészők között is • Plugin függetlenség • (IP-tartom. független) Anonimitás a weben
© Gulyás Gábor György, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
20
Mennyire elterjedtek? (2013) (Forrás: Nikiforakis et al., 2013)
Alexa top 10 000 oldala, 20 lap mélységig • Mindössze 0,4% elterjedtség (40 oldal) • Skype.com, felnőtt tartalmak, randi oldalak
3 804 db kevésbé populáris oldal • (Tematika eloszlás lentebb)
Anonimitás a weben
© Gulyás Gábor György, BME-HIT
21
Hogyan működnek? (Forrás: Nikiforakis et al., 2013)
Nincs Java, de helyette használnak Flasht
Firefox: Linux x86 64 Flash: Linux 3.2.0-26generic Firefox: 1280x720 Flash: 2560x720 Böngésző: JS font lista Flash: sorrendezett lista (egyedi)
Anonimitás a weben
© Gulyás Gábor György, BME-HIT
22
Támadások „rendszertana” Profilírozási és követési technikák
Tárolás alapú
Tárolás mentes
History Stealing (állapot alapú)
Lekérdezés alapú
Időzítés alapú
Ujjlenyomat technikák (jellemzők és beállítások)
Alacsonyszintű
Hardveres
Anonimitás a weben
Hálózati
Biometrikus azonosítás (felhasználói viselk.)
Információ alapú
Böngészőfüggő
© Gulyás Gábor György, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
Böngészőfüggetlen
23
Védekezés „szintenként” Részleges megoldások • Böngésző megfelelő beállítása • Weboldal tartalmának szűrése • Spyware-ek elleni védekezés • Anonim proxyk, anonimizáló hálózatok
Komplex megoldások • Anonim böngészők • Anonim böngészők + identitásmenedzsment
Anonimitás a weben
© Gulyás Gábor György, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
Alkalmazási réteg Szállítási réteg (TCP, UDP) Internetréteg (IP) Adatkapcsolati és fizikai rétegek TCP/IP modell
24
Tartalomszűrés, kiegészítők Szűrés • • • • •
Például:
Flash, SilverLight Java JavaScript Reklámok Web poloskák
Anonimitás a weben
• Ghostery • AdBlockPlus + Element Hiding Helper
Nem teljes értékű • Csak alkalmazási réteg. IP? • Spyware-t egyszer elég elkapni
© Gulyás Gábor György, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
25
Anonim böngészők (2)
Anonimitás a weben
© Gulyás Gábor György, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
26
Anonim böngészők (3) Cenzúra kijátszás Hordozható
JonDoNym
Szűrés, precíz beállítások
Nyílt forráskód Anonimitás a weben
© Gulyás Gábor György, BME-HIT
27
ZÁRÓ GONDOLATOK ÉS ÖSSZEFOGLALÁS
Összefoglalás
Felfedezik a módszert
Egy módszer felbukkan
Nő a felh. tudatosság
Védelmi megoldás
Anonimitás a weben
© Gulyás Gábor György, BME-HIT
29
Összefoglalás – Mit azonosítanak? Böngésző állapota
Böngésző
Operációs rendszer
Eszköz Felhasználó
Anonimitás a weben
© Gulyás Gábor György, BME-HIT
30
Összefoglalás (3) Szolgáltató: mi a helyes szemléletmód? • Kontextus szerint célzott hirdetések vagy személyes profilok?
Felhasználói tudatosság növelése • „Tudatos fogyasztás” • Jogok érvényesítése • Felhasználói nyomásgyakorlás
Védelmi módszerek: nincs mindig rá szükség, de néha van elég jó is4 • Egyszerű megoldások: problémák, azonosíthatóság • Komplex, minden tekintetben szimpatikus megoldás nincs4 • 4 ingyen ☺
• Identitásmenedzsment nincs
Anonimitás a weben
© Gulyás Gábor György, BME-HIT
31
Anonimitás és privátszféra-védelem korszerű informatikai szolgáltatásokban
2 kredites tárgy (könnyen teljesíthető, 2 kis ZH) Szerdánként 12:15-13:45 között Kódja: VIHIAV18 https://www.vik.bme.hu/kepzes/targyak/VIHIAV18/ Anonimitás adatbázisokban
Szteganográfia
Mobil CMS tervezése Anonimitás a weben
Közösségi hálózatok © Gulyás Gábor György, BME-HIT
32
Kérdések? KÖSZÖNÖM A FIGYELMET!
Gulyás Gábor György óraadó BME Híradástechnikai Tanszék
[email protected] Anonimitás a weben
© Gulyás Gábor György, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
33
Hivatkozások Interactive Advertising Bureau (IAB). (June 11, 2012). Internet Advertising Revenues Set First Quarter Record at $8.4 Billion, Interactive Advertising Bureau. Krishnamurthy, B., & Wills, C.E. (2006). Generating a privacy footprint on the Internet. In Proc. of the 6th ACM Conference on Internet Measurement. Krishnamurthy, B., & Wills, C.E. (2009). Privacy diffusion on the web: A longitudinal perspective. In Proc. of the 18th Conference on the World Wide Web. Krishnamurthy, B. (2010). Privacy leakage on the Internet. Presented at IETF 77, March 2010. Mayer, J.R., & Mitchell, J.C. (2012). Third-Party Web Tracking: Policy and Technology. In Proc. of the IEEE Symposium on Security and Privacy 2012. Anonimitás a weben
© Gulyás Gábor György, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
34
Hivatkozások (2) Roesner, F., Kohno, T., & Wetherall, D. (2012). Detecting and Defending Against Third-Party Tracking on the Web. In Proc. of 9th USENIX Symposium on Networked Systems Design and Implementation. San Jose, CA, USA Kontaxis, G., Polychronakis, M., Keromytis, A.D., Markatos, E.P. (2012). Privacy-Preserving Social Plugins. In Proc. of 12th USENIX Security Symposium. Bellevue, WA, USA Ayenson, M., Wambach, D.J., Soltani, A., Good, N., & Hoofnagle, C.J. (July 29, 2011). Flash Cookies and Privacy II: Now with HTML5 and ETag Respawning, SSRN. Retrieved from http://ssrn.com/abstract=1898390 Benninger, C. (2006). AJAX Storage: A Look at Flash Cookies and Internet Explorer Persistence. Retrieved from http://citeseerx.ist.psu.edu/viewdoc/summary?doi=10.1.1.1 28.2523 Anonimitás a weben
© Gulyás Gábor György, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
35
Hivatkozások (3) Davidov, M. (2011). The Double-Edged Sword of HSTS Persistence and Privacy. Leviathan Security Group. Retrieved from http://www.leviathansecurity.com/blog/archives/12-TheDouble-Edged-Sword-of-HSTS-Persistence-andPrivacy.html Bursztein, E. (2011). Tracking users that block cookies with a HTTP redirect. Retrieved from http://elie.im/blog/security/tracking-users-that-blockcookies-with-a-http-redirect/ Grossmann, J. (2007). Tracking users with Basic Auth. Retrieved from http://jeremiahgrossman.blogspot.hu/2007/04/trackingusers-without-cookies.html Anonimitás a weben
© Gulyás Gábor György, Híradástechnikai Tanszék Budapesti Műszaki és Gazdaságtudományi Egyetem
36