Private Daten und das Internet Raphael Wigoutschnigg [email protected] Universität Klagenfurt...

Private Daten und das Internet

Raphael [email protected]

Universität Klagenfurt

Angewandte Informatik Systemsicherheit

syssec

syssec 2

Gliederung

• Das Internet vergisst nichts

• Informationen in den falschen Händen

• Übertragung sensibler Daten – WLAN

• HTTP-Sitzungen & Session hijacking

• Ich weiß was du letzten Sommer getan hast


syssec 3

Das Internet vergisst nichts 1

• Warum vergisst der Mensch?

• Archive.org archiviert das Internet- Größe: 4.5 Petabyte (Stand 2009)- 151 Milliarden Homepages gespeichert- Was gespeichert wurde, geht nicht mehr verloren.- Wachstum: 100 Terabyte/Monat (Stand 2010)

Quelle: http://de.wikipedia.org/wiki/Gehirn


syssec 4

Das Internet vergisst nichts 2

• Suchmaschinen indizieren Daten.

• Daten bleiben nach dem Löschen im Cache.

• Beispiele- http://www.google.at- http://123people.at- www.yasni.de- Facebook

• Jeder, der irgendwo im Internetaufscheint, wird auch gefunden.


syssec 5

Informationen in den falschen Händen 1

• Im Internet gibt es keine Privatsphäre- In Social Networks werden leichtfertig Informationen gepostet.- Das Löschen der Daten kann nicht kontrolliert werden.- Daten können weitergegeben/verkauft werden.

• Data-Mining & Profiling- Persönliches Profil (z.B. Interessen) werden erstellt.- Freigegeben Daten können eventuell nie mehr gelöscht werden.- Daten können in falsche Hände geraten.

• Cyber Stalking & Rufmord- Digitales Nachstellen- Verbreiten von Gerüchten


syssec 6


• Behörden- Können auf Daten zugreifen- Betreiber übergeben auf Anfrage Daten.

- „Britischem Paar wurde Einreise in die USAwegen einer Twitter-Nachricht verwehrt.„… free this week for a quick gossip/prep before I go and destroy America?”

• Arbeitgeber- Analyse von Bewerbern- Zusatzinfos einholen- Vorbereitung auf Gespräche


syssec 7


• Interesse der Arbeitgeber- Kommunikationsfähigkeiten- Veröffentlichung von unangemessenen Fotos- Alkohol- oder Drogenkonsum- Bemerkungen über ehemalige Arbeitgeber- Qualifikationen (korrekte Angabe bei Bewerbung)- Diskriminierung anderer- Benutzernamen (nomen est omen)- Kriminelle Vergangenheit (Zukunft?)

• Foreneinträge haben schon zuEntlassungen geführt.

Quelle: CareerBuilder.de


syssec 8


• Wie kann man sich schützen?- Keine sensiblen Daten publizieren.- Restriktive Einstellungen in Sozialen Netzwerken.- Nicht jeden als Freund akzeptieren (z.B. Facebook).- Sich selbst Googlen und eventuell Löschung von Daten beantragen.- Kinder frühzeitig sensibilisieren und informieren.


syssec 9

Übertragung sensibler Daten – WLAN 1

• Keine WLAN-Verschlüsselung- Lokaler Angreifer (176-176) kann problemlos alle Daten mitlesen.- Auch ein Angreifer im Internet (176-167) ist erfolgreich.- Vorsicht bei: Flughafen-WLAN, Hot-Spots in Städten, …

Internet

Facebook

176-176

176-167


syssec 10


• WEP-Verschlüsselung- 176-176 hat keinen Schlüssel und kann nicht mehr mithören.- WEP ist veraltet und sollte nicht mehr verwendet werden.

Internet

Facebook

176-176

176-167


syssec 11


• WEP-Verschlüsselung- 176-176 ruft 176-617 hinzu.- 176-617 hat den WEP-Schlüssel und kann also wieder mitlesen.

Internet

Facebook

176-176 176-617

176-167


syssec 12


• WPA-Verschlüsselung- Jeder Client erhält einen eigenen Sitzungsschlüssel.- Auch 176-617 kann jetzt nichts mehr ausrichten.- 176-167 kann aber weiter ungestört mitlesen.

Internet

Facebook

176-176 176-617

176-167


syssec 13


• Ende-zu-Ende Verschlüsselung (HTTPS)- Jetzt ist auch 176-167 traurig.- Durch die Verwendung von HTTPS ist die Kommunikation bis zum

Server gesichert.- HTTPS lässt sich bei vielen Webseiten einstellen.- Keine WLAN-Verschlüsselung nötig.

Internet

Facebook

176-176 176-617

176-167


syssec 14

HTTP-Sitzungen & Session hijacking 1

• HTTP-Sitzungen werden verwendet, damit Webserver-Anfragen einem Benutzer zugeordnet werden können (Session-ID).- Warenkorb auf Amazon, Internetbanking, Foren

- Facebook/Twitter/Google/Flickr/…

• Session hijacking = Übernehmen von Browser-Sitzungen

• FireSheep/DroidSheep- Angreifer kann Nachrichten

lesen und schreiben.- Für gut gesicherte Web-

Seiten kein Problem.- NICHT AUSPROBIEREN!


syssec 15


Benutzer sendet Anfrage anden Server. Angreifer hörtdie Anfrage mit (WLAN-Sniffer).

Angreifer stellt eigene Anfragean den Server und verwendetdabei die Session-ID.

Der Server denkt, dass es sichum den Benutzer handelt undantwortet dem Angreifer.


AnfrageSession-ID

Antwort

AnfrageSession-ID

AnfrageSession-ID

AnfrageSession-ID

Antwort

syssec 16


• Wann funktioniert Session hijacking?- Kommunikation nicht verschlüsselt.

- Nur Login-Prozess verschlüsselt.

- Angreifer kann den Benutzer abhören (z.B. ungesichertes WLAN).

• Wie kann man Session hijacking verhindern/erkennen?- Nur Seiten verwenden, die nach dem Login auch HTTPS-

Verbindungen anbieten.

- WLAN-Verschlüsselung aktivieren.

- Firefox-Add-On: BlackSheep (hört die lokalen Angreifer ab ).


syssec 17

Ich weiß was du letzten Sommer getan hast – Teil 1

• Alles was wir tun, hinterlässt Spuren… auch im Internet… vor allem im Internet.

• Durch Scripte oder IFrameskönnen Inhalte auf beliebigenSeiten angezeigt werden.

• Facebook kann somit relativ leichtverfolgen, welcher seiner User auf welchen Seiten surft.

• Aber auch Nicht-Facebook-Userhinterlassen Spuren.

• Mehr als 1 Million Seiten verwendendiese Facebook Plugins.


syssec 18


• Aber auch Google kann das.

• Google Analytics bietetWebseiten-Besitzern die MöglichkeitBesucheranalysen durchzuführen.

• Dabei wird ähnlich wie bei Facebookeine JavaScript-Datei unbemerkt vomBenutzer von dessen Browser geladen.

• Google erhält somit durch das Scriptviele Informationen über die Nutzerund deren Verhalten im Internet (Logfiles).

80.121.89.5 - - [10/Jul/2011:08:13:03 +0200] "GET /rssexport HTTP/1.1" 404 398 "-" "Mozilla/5.0 (X11; ...80.121.89.5 - - [10/Jul/2011:08:13:06 +0200] "GET /rss HTTP/1.1" 200 14467 "-" "Mozilla/5.0 (X11; ...198.145.117.113 - - [10/Jul/2011:08:26:20 +0200] "GET /rss HTTP/1.1" 200 14467 "-" "Dlvr.it/1.0 ...198.145.117.113 - - [10/Jul/2011:08:42:21 +0200] "GET /rss HTTP/1.1" 200 14467 "-" "Dlvr.it/1.0 ...198.145.117.113 - - [10/Jul/2011:08:58:20 +0200] "GET /rss HTTP/1.1" 200 14467 "-" "Dlvr.it/1.0 ...85.48.198.109 - - [10/Jul/2011:09:06:38 +0200] "GET http://www.sina.com.cn/ HTTP/1.1" 200 1699 "-" ...80.121.121.235 - - [10/Jul/2011:10:53:05 +0200] "GET /rssexport HTTP/1.1" 404 398 "-" "Mozilla/5.0 (X11; ...80.121.121.235 - - [10/Jul/2011:10:53:07 +0200] "GET /rss HTTP/1.1" 200 14467 "-" "Mozilla/5.0 (X11; ...


syssec 19


• HTTP-Kommunikation ohne fremden Server

Benutzer öffnet eine Webseite.Browser sendet eine HTTP-Anfrage. Server antwortet mitHTML-Code inkl. Links auf Bilder.

Der Browser lädt automatischdas Bild 87px-Funso_24_Jan_2012_cropped.jpg nach.


http://en.wikipedia.org/wiki/Main_Page

…<img src="//upload.wikimedia.org/wikipedia/en/thumb/7/7b/Funso_24_Jan_2012_cropped.jpg/87px-Funso_24_Jan_2012_cropped.jpg" … </img>...

87px-Funso_24_Jan_2012_cropped.jpg

syssec 20


• HTTP-Kommunikation mit fremdem Server

Benutzer öffnet eine Webseite.Browser sendet eine HTTP-Anfrage. Server antwortet mitHTML-Code inkl. Links auf Bilder und einem Script von Google.

Der Browser lädt automatischdie Bilder und startet das Script.Das Script lädt weitere Daten vonGoogle nach und sendet dabeiGoogle, auf welcher Webseiteman sich gerade befindet (referer).

Google weiß nun, welche IP-Adressegerade auf welcher Seite surft. Zuordnung zuNamen durch Benutzerkonten ist möglich.


http://www.kleinezeitung.at

<script type="text/javascript">… po.src = "https://apis.google.com/js/plusone.js"; ...</script>

spindelegger_apa_310112.jpg

https://apis.google.com/js/plusone.js

referer=http://www.kleinezeitung.at

syssec 21


• Schätzungen nach verwenden 50% der größeren Webseiten Google Analytics.- kleine.at, orf.at, krone.at, kurier.at, geizhals.at, willhaben.at- ktn.gv.at, landesschulrat-kaernten.at, klagenfurt.at- …

• Gut 70% aller Webseiten verwenden Tracking-Dienste.

• Google AdWords wird auf bis zu 57% aller nennenswerten Webseiten verwendet.

• Für die Webmaster unter euch- Die Verwendung von vielen Tracking-Diensten ist

datenschutzrechtlich zumindest problematisch.- Insgesamt ist das Einbinden von externen Inhalten bedenklich.


syssec 22

Ich weiß was du letzten Sommer getan hast – Was tun?

• Aber was kann man dagegen tun?

• Add-Ons verwenden, um Überwachung zu erschweren.- Adblock- Ghostery- BetterPrivacy

• Anonymisierungssoftware- Tor- JonDo (früher JAP)- I2P (Invisible Internet Project)

• Die gleichzeitige Verwendung von Facebook & Co ist kontra-produktiv.


syssec 23

Ich weiß was du letzten Sommer getan hast – Finale

• Und so sieht es dann aus- Egal wie gut wir verschlüsseln,- egal wie sehr wir darauf achten, nicht getrackt zu werden,- vielleicht geben wir dem Angreifer ja freiwillig die Daten?


Internet

Facebook


Raphael [email protected]

Universität Klagenfurt

Angewandte Informatik Systemsicherheit

syssec

Private Daten und das Internet Raphael Wigoutschnigg [email protected] Universität Klagenfurt...

Documents

Transcript of Private Daten und das Internet Raphael Wigoutschnigg [email protected] Universität Klagenfurt...