1

MECHANIZMY PROFILOWANIA UŻYTKOWNIKÓW W SIECI –WYKORZYSTANIE, ANALIZA, ZAPOBIEGANIE

Michał Zarychta

2

Plan prezentacji

Prywatność i anonimowość w Internecie

Aspekty prawneTworzenie profiluWykorzystanie profili

GoogleAtak na prywatnośćOchrona prywatnościProjekt (element pracy magisterskiej)

3

Prywatność i anonimowość w Internecie

Prywatność – „osobista własność, niepodlegająca państwu ani żadnym instytucjom publicznym, dotycząca spraw osobistych i rodzinnych”Anonimowość – „niemożność identyfikacjitożsamości jednostki pośród innych członków danej społeczności, wprost w odniesieniu do osoby albo do pochodzącego od niej przedmiotu”

4

Prywatność i anonimowość w Internecie – aspekty prawne (1/4)

Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych

Każdy ma prawo do ochrony dotyczących go danych osobowychPrzetwarzanie danych osobowych to ich zbieranie, udostępnianie, opracowywanie, przechowywanie, utrwalanie, zmienianie i usuwanie – za zgodą osoby lub w szczególnych warunkach

5

Prywatność i anonimowość w Internecie – aspekty prawne (2/4)

Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku

Sposób prowadzenia i zakres dokumentacji, która opisuje jak należy przetwarzać dane osobowe oraz środki techniczne i organizacyjne, których celem jest zapewnie ochrony przetwarzanych danych osobowychWarunki techniczne i organizacyjne w odniesieniu do urządzeń i systemów informatycznych służących do przetwarzania danych osobowychWymagania dotyczące odnotowywania sytuacji udostępniania danych i bezpieczeństwa w przetwarzaniu danych osobowych

6

Prywatność i anonimowość w Internecie – aspekty prawne (3/4)

Rozporządzenie Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 roku

„Sankcje dla tych, którzy naruszają przepisy i monitorowanie przez niezależny organ nadzoru”„Spójne i jednolite stosowanie zasad ochrony podstawowych praw i wolności osób fizycznych w odniesieniu do przetwarzania danych osobowych powinno być zapewnione w całej Wspólnocie”

7

Prywatność i anonimowość w Internecie – aspekty prawne (4/4)

Dyrektywa Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 roku

Określenie praw dla sektora komunikacji elektronicznejZapobieganie dostępowi do komunikatów w publicznych sieciach komunikacyjnych w celu ochrony poufności komunikacji

8

Prywatność i anonimowość w Internecie – Tworzenie profilu

Analiza danychCzęste ścieżki nawigacjiMaksymalne odwołania w przód

Odkrywanie wzorcówOdkrywanie reguł asocjacjiOdkrywanie reguł sekwencji

KlasyfikacjaAnaliza wzorcówGrupowanie

9

Prywatność i anonimowość w Internecie – Wykorzystanie profilu

MarketingSpersonalizowana reklamaSprzedaż profili (FBI, RIAA, firmy ubezpieczeniowe)

Kradzież tożsamościDane pozwalające na fałszywe uwierzytelnienie (socjotechnika)Terroryzm

Kontrola pracownikówZarządzanie dostępem do InternetuŚledzenie aktywności

Kontrola obywateliProjekt Złota TarczaCarnivore, SORM-2, System RIP, Echelon

10

Google – teoria spiskowa?

E-mailGoogle Earth/Google MapsYouTubeGoogle DocsGoogle CalendarGoogle AnalyticsiGoogleGoogle Desktop

11

Atak na prywatność – Śledzenie z wykorzystaniem cookies

Fragment tekstu przechowywany na komputerze użytkownikaWysyłany jako fragment nagłówka HTTP przez przeglądarkę do serweraWykorzystanie

Ciasteczka stron trzecichPrzechwycenie cookiesCross-siteOszukane cookies

12

Atak na prywatność – URL i plik logu serwera

Analiza pliku logu serwera/historii przeglądaniaZnajomość hierarchii strony/serwisuBrak wrażliwości na szyfrowanieOgraniczony dostęp

Administratorzy sieciDostawcy usług internetowychAdministratorzy sieci korporacyjnychWspółużytkownicy stacji roboczej

13

Atak na prywatność –wykorzystanie Web Beacons

web bug, tracking bug, trackingpiksel, piksel tag, 1x1 gif, clear gifHTML – img srcPrzekierowania na dowolny serwerZalety

Łatwość implementacjiDokładność mechanizmu

WadyPopularność

14

Atak na prywatność - AdSerwer

Wykorzystanie zebranych profiliUpload reklam do witryn internetowychŚledzenie reklam w celu profilowaniaKierowanie reklam zgodnie z założeniamiOptymalizacja i zarządzanie baza profiliRaportowanie skuteczności poprzez zliczanie akcji (kliknięć, odwiedzin)

DoubleClick, Gemius

15

Atak na prywatność – Malware (1/3)

Exploit – przejęcie kontroli poprzez wykorzystanie luk w oprogramowaniuDialer – zmiana numeru dostępowego w modemie na 0-700 lub zagranicznyRobak – „wirusy sieciowe”SQL/URL Injections – atak na bazy danych i serwery poprzez wykorzystanie luk w oprogramowaniu

16

Atak na prywatność – Malware (2/3)

Trojan – instaluje się na maszynie ofiary, otwiera port komunikacyjny i pozwala na przejęcie kontroli na systemem operacyjnym

Spyware – oprogramowanie szpiegująceScumware – „zamieszanie” w systemie operacyjnymAdware – reklamy, pop-upHijacker BHO – dodatki do przeglądarki internetowejKeylogger – zapisywanie wciskanych klawiszyStealware – przejęcie konta bankowości elektronicznej

Rootkit – ukrywanie procesów i plikówBackDoor – wykonywanie poleceń z poziomu administracyjnegoWabbit – zapełnienie przestrzeni dyskowej

17

Atak na prywatność – Malware (3/3)

Wirus - program lub fragment kodu, który dołącza się do innego oprogramowania w celu infekcji komputera ofiary oraz reprodukcji

BOOT Sektor – umiejscowiony w sektorze rozruchowym dyskuPasożytniczy – wykonywalne wraz z innymi programamiWieloczęściowy – atak wieloma sposobamiTowarzyszący – nazwy podobne do znanych programów, ale inne rozszerzenieMakro – kod VBA

18

Atak na prywatność – SniffingPrzechwytywanie informacji

Poszukiwanie danych wrażliwychMożliwość określenia stron komunikacjiMożliwość analizy sesji WWW

WardrivingAtak na bezprzewodowe sieci zabezpieczone i niezabezpieczone

ZaletyFiltrowanie całego ruchuNiezależnośćŚwieżość danych

WadySkomplikowana instalacjaObróbka danych (surowe pakiety)Koszt

19

Atak na prywatność – JavaScript

Rozbudowany mechanizmZalety

Tani i łatwy w implementacjiCzęsto jedyna możliwa technikaBrak wrażliwości na buforujące proxy

WadyKonieczność obsługi JavaScriptPrzeładowanie stron skryptamiPopularność mechanizmu

20

Ochrona prywatności –blokowanie cookies

Odpowiednie ustawienie przeglądarki internetowej lub „tryb prywatny”Dodatki do przeglądarek internetowych

Better Privacy, Cookie Button

Możliwość ograniczenia usługKoszyk w sklepie internetowymSpersonalizowany widok w serwisach

21

Ochrona prywatności – serwery anonimizujące

Wykorzystanie zaufanego serwera proxySzyfrowanie (TLS/SSL)Wady

Duże opóźnieniaPrzeniesienie ruchu w inne miejsce w sieciMożliwość kompromitacji

22

Ochrona prywatności - VAST

Jeden węzeł pośredniczącyWspółpraca z agentem (aplet Java)Połączenie szyfrowane wykorzystujące TSL/SSLPrzekazywanie adresów właściwych i nadmiarowych do serwera pośredniczącegoSelekcja otrzymanych odpowiedzi

Generowanie ruchu nadmiarowegoSłownik haseł/terminówOdpowiednie sesje tematyczne

23

Ochrona prywatności – serwery pośredniczące

Sieci miksująceWiele serwerówSzyfrowanieRuch nadmiarowy

Anonimowe P2POpennet

Bez konfiguracjiPrzypadkowe połączeniaDecyzja na temat bezpośrednich połączeń

Darknet – F2FPełna konfiguracjaZaufane węzły

24

Ochrona prywatności - Firewall

Kompleksowe rozwiązanie (kombajn)Filtrowanie pakietów – reguły filtrowania zgodne z polityką bezpieczeństwaBrama aplikacyjna – bezpieczna komunikacja dla aplikacjiUtrzymanie bezpiecznego połączeniaSerwer proxy – ukrywanie adresu sieciowego

25

Projekt - koncepcja

Projekt i implementacja bezpiecznego oraz anonimowego komunikatora

Wykorzystanie idei MixNetUkrycie lokalizacjiPołączenie bez znajomości tożsamości sieciowejWzajemne świadczenie usługi serwera

Szyfrowanie RSABezpieczeństwo przekazu

26

Projekt - rozwój

Dodanie ruchu nadmiarowegoOdpowiedni harmonogram

Algorytm określania trasW danym okresie czasowym używanie jednego zdefiniowanego zbioru

Dystrybucja kluczy szyfrowaniaSerwer kluczyDiffie-Hellman

27

BibliografiaAkhil Sahai, Sven Graupner; Web Services in the Enterprise: Concepts, Standards, Solutions, and ManagementAvinash Kaushik; Web Analytics: An Hour a DayCarla Schroder; Linux Networking CookbookChris Nicoll, Corien Prins, Miriam van Dellen; Digital Anonymity and the Law: Tensions and DimensionsDavid Chaum; Untraceable Electronic Mail, Return Addresses, and Digital PseudonymsDavid Flanagan; JavaScript: The Definitive Guide, Fifth EditionGene K. Landy, Amy J. Mastrobattista; The IT / Digital Legal Companion: A Comprehensive Business Guide to Software, IT, Internet, Media and IP LawGeorge Meghabghab, Abraham Kandel; Search Engines, Link Analysis, and User's Web BehaviorIgor Margasiński, Krzysztof Szczypiorski; Wszechstronna anonimowość klienta HTTPJ.R. Okin; The Internet Revolution: The Not-for-Dummies Guide to the History, Technology, and Use of the InternetJames F. Kurose, Keith W. Ross; Siecikomputerowe. Od ogółu do szczegółu z internetemw tle. Wydanie IIISamuel J. Best, Brian S. Krueger; Internet Data Collection

Jinyang Li, Frank Dabek; F2F: Reliable Storage in Open NetworksKancelaria Sejmu; Dz.U. 1997 Nr 133 poz. 883, USTAWA z dnia 29 sierpnia 1997 r. o ochronie danych osobowychKrzysztof Brzeziński, Igor Margasiński, Krzysztof Szczypiorski; Prywatne wojny w sieci: poddaj się, okop, negocjuj lub stań do walkiMarek Wojciechowski; Odkrywanie wzorców zachowań użytkowników WWWMichael A. Caloyannides; Privacy Protection and Computer Forensics, Second EditionPeter Brusilovsky, Alfred Kobsa, Wolfgang Nejdl; The Adaptive Web: Methods and Strategies of Web PersonalizationRannenberg Kai, Royer Denis, Deuker André; The Future of Identity in the Information SocietyRSA Laboratories; PKCS #1 v2.1: RSA Cryptography StandardSimson Garfinkel, Gene Spafford; Web Security, Privacy and Commerce, Second EditionStuart McClure, Joel Scambray, George Kurtz; Hacking exposed 6: Network Security Secrets & SolutionsYuan Gao; Web systems design and online consumer behavior