Post on 11-Jan-2017
1
MECHANIZMY PROFILOWANIA UŻYTKOWNIKÓW W SIECI –WYKORZYSTANIE, ANALIZA, ZAPOBIEGANIE
Michał Zarychta
2
Plan prezentacji
Prywatność i anonimowość w Internecie
Aspekty prawneTworzenie profiluWykorzystanie profili
GoogleAtak na prywatnośćOchrona prywatnościProjekt (element pracy magisterskiej)
3
Prywatność i anonimowość w Internecie
Prywatność – „osobista własność, niepodlegająca państwu ani żadnym instytucjom publicznym, dotycząca spraw osobistych i rodzinnych”Anonimowość – „niemożność identyfikacjitożsamości jednostki pośród innych członków danej społeczności, wprost w odniesieniu do osoby albo do pochodzącego od niej przedmiotu”
4
Prywatność i anonimowość w Internecie – aspekty prawne (1/4)
Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych
Każdy ma prawo do ochrony dotyczących go danych osobowychPrzetwarzanie danych osobowych to ich zbieranie, udostępnianie, opracowywanie, przechowywanie, utrwalanie, zmienianie i usuwanie – za zgodą osoby lub w szczególnych warunkach
5
Prywatność i anonimowość w Internecie – aspekty prawne (2/4)
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku
Sposób prowadzenia i zakres dokumentacji, która opisuje jak należy przetwarzać dane osobowe oraz środki techniczne i organizacyjne, których celem jest zapewnie ochrony przetwarzanych danych osobowychWarunki techniczne i organizacyjne w odniesieniu do urządzeń i systemów informatycznych służących do przetwarzania danych osobowychWymagania dotyczące odnotowywania sytuacji udostępniania danych i bezpieczeństwa w przetwarzaniu danych osobowych
6
Prywatność i anonimowość w Internecie – aspekty prawne (3/4)
Rozporządzenie Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 roku
„Sankcje dla tych, którzy naruszają przepisy i monitorowanie przez niezależny organ nadzoru”„Spójne i jednolite stosowanie zasad ochrony podstawowych praw i wolności osób fizycznych w odniesieniu do przetwarzania danych osobowych powinno być zapewnione w całej Wspólnocie”
7
Prywatność i anonimowość w Internecie – aspekty prawne (4/4)
Dyrektywa Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 roku
Określenie praw dla sektora komunikacji elektronicznejZapobieganie dostępowi do komunikatów w publicznych sieciach komunikacyjnych w celu ochrony poufności komunikacji
8
Prywatność i anonimowość w Internecie – Tworzenie profilu
Analiza danychCzęste ścieżki nawigacjiMaksymalne odwołania w przód
Odkrywanie wzorcówOdkrywanie reguł asocjacjiOdkrywanie reguł sekwencji
KlasyfikacjaAnaliza wzorcówGrupowanie
9
Prywatność i anonimowość w Internecie – Wykorzystanie profilu
MarketingSpersonalizowana reklamaSprzedaż profili (FBI, RIAA, firmy ubezpieczeniowe)
Kradzież tożsamościDane pozwalające na fałszywe uwierzytelnienie (socjotechnika)Terroryzm
Kontrola pracownikówZarządzanie dostępem do InternetuŚledzenie aktywności
Kontrola obywateliProjekt Złota TarczaCarnivore, SORM-2, System RIP, Echelon
10
Google – teoria spiskowa?
E-mailGoogle Earth/Google MapsYouTubeGoogle DocsGoogle CalendarGoogle AnalyticsiGoogleGoogle Desktop
11
Atak na prywatność – Śledzenie z wykorzystaniem cookies
Fragment tekstu przechowywany na komputerze użytkownikaWysyłany jako fragment nagłówka HTTP przez przeglądarkę do serweraWykorzystanie
Ciasteczka stron trzecichPrzechwycenie cookiesCross-siteOszukane cookies
12
Atak na prywatność – URL i plik logu serwera
Analiza pliku logu serwera/historii przeglądaniaZnajomość hierarchii strony/serwisuBrak wrażliwości na szyfrowanieOgraniczony dostęp
Administratorzy sieciDostawcy usług internetowychAdministratorzy sieci korporacyjnychWspółużytkownicy stacji roboczej
13
Atak na prywatność –wykorzystanie Web Beacons
web bug, tracking bug, trackingpiksel, piksel tag, 1x1 gif, clear gifHTML – img srcPrzekierowania na dowolny serwerZalety
Łatwość implementacjiDokładność mechanizmu
WadyPopularność
14
Atak na prywatność - AdSerwer
Wykorzystanie zebranych profiliUpload reklam do witryn internetowychŚledzenie reklam w celu profilowaniaKierowanie reklam zgodnie z założeniamiOptymalizacja i zarządzanie baza profiliRaportowanie skuteczności poprzez zliczanie akcji (kliknięć, odwiedzin)
DoubleClick, Gemius
15
Atak na prywatność – Malware (1/3)
Exploit – przejęcie kontroli poprzez wykorzystanie luk w oprogramowaniuDialer – zmiana numeru dostępowego w modemie na 0-700 lub zagranicznyRobak – „wirusy sieciowe”SQL/URL Injections – atak na bazy danych i serwery poprzez wykorzystanie luk w oprogramowaniu
16
Atak na prywatność – Malware (2/3)
Trojan – instaluje się na maszynie ofiary, otwiera port komunikacyjny i pozwala na przejęcie kontroli na systemem operacyjnym
Spyware – oprogramowanie szpiegująceScumware – „zamieszanie” w systemie operacyjnymAdware – reklamy, pop-upHijacker BHO – dodatki do przeglądarki internetowejKeylogger – zapisywanie wciskanych klawiszyStealware – przejęcie konta bankowości elektronicznej
Rootkit – ukrywanie procesów i plikówBackDoor – wykonywanie poleceń z poziomu administracyjnegoWabbit – zapełnienie przestrzeni dyskowej
17
Atak na prywatność – Malware (3/3)
Wirus - program lub fragment kodu, który dołącza się do innego oprogramowania w celu infekcji komputera ofiary oraz reprodukcji
BOOT Sektor – umiejscowiony w sektorze rozruchowym dyskuPasożytniczy – wykonywalne wraz z innymi programamiWieloczęściowy – atak wieloma sposobamiTowarzyszący – nazwy podobne do znanych programów, ale inne rozszerzenieMakro – kod VBA
18
Atak na prywatność – SniffingPrzechwytywanie informacji
Poszukiwanie danych wrażliwychMożliwość określenia stron komunikacjiMożliwość analizy sesji WWW
WardrivingAtak na bezprzewodowe sieci zabezpieczone i niezabezpieczone
ZaletyFiltrowanie całego ruchuNiezależnośćŚwieżość danych
WadySkomplikowana instalacjaObróbka danych (surowe pakiety)Koszt
19
Atak na prywatność – JavaScript
Rozbudowany mechanizmZalety
Tani i łatwy w implementacjiCzęsto jedyna możliwa technikaBrak wrażliwości na buforujące proxy
WadyKonieczność obsługi JavaScriptPrzeładowanie stron skryptamiPopularność mechanizmu
20
Ochrona prywatności –blokowanie cookies
Odpowiednie ustawienie przeglądarki internetowej lub „tryb prywatny”Dodatki do przeglądarek internetowych
Better Privacy, Cookie Button
Możliwość ograniczenia usługKoszyk w sklepie internetowymSpersonalizowany widok w serwisach
21
Ochrona prywatności – serwery anonimizujące
Wykorzystanie zaufanego serwera proxySzyfrowanie (TLS/SSL)Wady
Duże opóźnieniaPrzeniesienie ruchu w inne miejsce w sieciMożliwość kompromitacji
22
Ochrona prywatności - VAST
Jeden węzeł pośredniczącyWspółpraca z agentem (aplet Java)Połączenie szyfrowane wykorzystujące TSL/SSLPrzekazywanie adresów właściwych i nadmiarowych do serwera pośredniczącegoSelekcja otrzymanych odpowiedzi
Generowanie ruchu nadmiarowegoSłownik haseł/terminówOdpowiednie sesje tematyczne
23
Ochrona prywatności – serwery pośredniczące
Sieci miksująceWiele serwerówSzyfrowanieRuch nadmiarowy
Anonimowe P2POpennet
Bez konfiguracjiPrzypadkowe połączeniaDecyzja na temat bezpośrednich połączeń
Darknet – F2FPełna konfiguracjaZaufane węzły
24
Ochrona prywatności - Firewall
Kompleksowe rozwiązanie (kombajn)Filtrowanie pakietów – reguły filtrowania zgodne z polityką bezpieczeństwaBrama aplikacyjna – bezpieczna komunikacja dla aplikacjiUtrzymanie bezpiecznego połączeniaSerwer proxy – ukrywanie adresu sieciowego
25
Projekt - koncepcja
Projekt i implementacja bezpiecznego oraz anonimowego komunikatora
Wykorzystanie idei MixNetUkrycie lokalizacjiPołączenie bez znajomości tożsamości sieciowejWzajemne świadczenie usługi serwera
Szyfrowanie RSABezpieczeństwo przekazu
26
Projekt - rozwój
Dodanie ruchu nadmiarowegoOdpowiedni harmonogram
Algorytm określania trasW danym okresie czasowym używanie jednego zdefiniowanego zbioru
Dystrybucja kluczy szyfrowaniaSerwer kluczyDiffie-Hellman
27
BibliografiaAkhil Sahai, Sven Graupner; Web Services in the Enterprise: Concepts, Standards, Solutions, and ManagementAvinash Kaushik; Web Analytics: An Hour a DayCarla Schroder; Linux Networking CookbookChris Nicoll, Corien Prins, Miriam van Dellen; Digital Anonymity and the Law: Tensions and DimensionsDavid Chaum; Untraceable Electronic Mail, Return Addresses, and Digital PseudonymsDavid Flanagan; JavaScript: The Definitive Guide, Fifth EditionGene K. Landy, Amy J. Mastrobattista; The IT / Digital Legal Companion: A Comprehensive Business Guide to Software, IT, Internet, Media and IP LawGeorge Meghabghab, Abraham Kandel; Search Engines, Link Analysis, and User's Web BehaviorIgor Margasiński, Krzysztof Szczypiorski; Wszechstronna anonimowość klienta HTTPJ.R. Okin; The Internet Revolution: The Not-for-Dummies Guide to the History, Technology, and Use of the InternetJames F. Kurose, Keith W. Ross; Siecikomputerowe. Od ogółu do szczegółu z internetemw tle. Wydanie IIISamuel J. Best, Brian S. Krueger; Internet Data Collection
Jinyang Li, Frank Dabek; F2F: Reliable Storage in Open NetworksKancelaria Sejmu; Dz.U. 1997 Nr 133 poz. 883, USTAWA z dnia 29 sierpnia 1997 r. o ochronie danych osobowychKrzysztof Brzeziński, Igor Margasiński, Krzysztof Szczypiorski; Prywatne wojny w sieci: poddaj się, okop, negocjuj lub stań do walkiMarek Wojciechowski; Odkrywanie wzorców zachowań użytkowników WWWMichael A. Caloyannides; Privacy Protection and Computer Forensics, Second EditionPeter Brusilovsky, Alfred Kobsa, Wolfgang Nejdl; The Adaptive Web: Methods and Strategies of Web PersonalizationRannenberg Kai, Royer Denis, Deuker André; The Future of Identity in the Information SocietyRSA Laboratories; PKCS #1 v2.1: RSA Cryptography StandardSimson Garfinkel, Gene Spafford; Web Security, Privacy and Commerce, Second EditionStuart McClure, Joel Scambray, George Kurtz; Hacking exposed 6: Network Security Secrets & SolutionsYuan Gao; Web systems design and online consumer behavior