Mechanizmy profilowania użytkowników w sieci: wykorzystanie ...
Transcript of Mechanizmy profilowania użytkowników w sieci: wykorzystanie ...
![Page 1: Mechanizmy profilowania użytkowników w sieci: wykorzystanie ...](https://reader034.fdocuments.net/reader034/viewer/2022051404/5876028b1a28abfd658b4d40/html5/thumbnails/1.jpg)
1
MECHANIZMY PROFILOWANIA UŻYTKOWNIKÓW W SIECI –WYKORZYSTANIE, ANALIZA, ZAPOBIEGANIE
Michał Zarychta
![Page 2: Mechanizmy profilowania użytkowników w sieci: wykorzystanie ...](https://reader034.fdocuments.net/reader034/viewer/2022051404/5876028b1a28abfd658b4d40/html5/thumbnails/2.jpg)
2
Plan prezentacji
Prywatność i anonimowość w Internecie
Aspekty prawneTworzenie profiluWykorzystanie profili
GoogleAtak na prywatnośćOchrona prywatnościProjekt (element pracy magisterskiej)
![Page 3: Mechanizmy profilowania użytkowników w sieci: wykorzystanie ...](https://reader034.fdocuments.net/reader034/viewer/2022051404/5876028b1a28abfd658b4d40/html5/thumbnails/3.jpg)
3
Prywatność i anonimowość w Internecie
Prywatność – „osobista własność, niepodlegająca państwu ani żadnym instytucjom publicznym, dotycząca spraw osobistych i rodzinnych”Anonimowość – „niemożność identyfikacjitożsamości jednostki pośród innych członków danej społeczności, wprost w odniesieniu do osoby albo do pochodzącego od niej przedmiotu”
![Page 4: Mechanizmy profilowania użytkowników w sieci: wykorzystanie ...](https://reader034.fdocuments.net/reader034/viewer/2022051404/5876028b1a28abfd658b4d40/html5/thumbnails/4.jpg)
4
Prywatność i anonimowość w Internecie – aspekty prawne (1/4)
Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych
Każdy ma prawo do ochrony dotyczących go danych osobowychPrzetwarzanie danych osobowych to ich zbieranie, udostępnianie, opracowywanie, przechowywanie, utrwalanie, zmienianie i usuwanie – za zgodą osoby lub w szczególnych warunkach
![Page 5: Mechanizmy profilowania użytkowników w sieci: wykorzystanie ...](https://reader034.fdocuments.net/reader034/viewer/2022051404/5876028b1a28abfd658b4d40/html5/thumbnails/5.jpg)
5
Prywatność i anonimowość w Internecie – aspekty prawne (2/4)
Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 roku
Sposób prowadzenia i zakres dokumentacji, która opisuje jak należy przetwarzać dane osobowe oraz środki techniczne i organizacyjne, których celem jest zapewnie ochrony przetwarzanych danych osobowychWarunki techniczne i organizacyjne w odniesieniu do urządzeń i systemów informatycznych służących do przetwarzania danych osobowychWymagania dotyczące odnotowywania sytuacji udostępniania danych i bezpieczeństwa w przetwarzaniu danych osobowych
![Page 6: Mechanizmy profilowania użytkowników w sieci: wykorzystanie ...](https://reader034.fdocuments.net/reader034/viewer/2022051404/5876028b1a28abfd658b4d40/html5/thumbnails/6.jpg)
6
Prywatność i anonimowość w Internecie – aspekty prawne (3/4)
Rozporządzenie Parlamentu Europejskiego i Rady z dnia 18 grudnia 2000 roku
„Sankcje dla tych, którzy naruszają przepisy i monitorowanie przez niezależny organ nadzoru”„Spójne i jednolite stosowanie zasad ochrony podstawowych praw i wolności osób fizycznych w odniesieniu do przetwarzania danych osobowych powinno być zapewnione w całej Wspólnocie”
![Page 7: Mechanizmy profilowania użytkowników w sieci: wykorzystanie ...](https://reader034.fdocuments.net/reader034/viewer/2022051404/5876028b1a28abfd658b4d40/html5/thumbnails/7.jpg)
7
Prywatność i anonimowość w Internecie – aspekty prawne (4/4)
Dyrektywa Parlamentu Europejskiego i Rady z dnia 12 lipca 2002 roku
Określenie praw dla sektora komunikacji elektronicznejZapobieganie dostępowi do komunikatów w publicznych sieciach komunikacyjnych w celu ochrony poufności komunikacji
![Page 8: Mechanizmy profilowania użytkowników w sieci: wykorzystanie ...](https://reader034.fdocuments.net/reader034/viewer/2022051404/5876028b1a28abfd658b4d40/html5/thumbnails/8.jpg)
8
Prywatność i anonimowość w Internecie – Tworzenie profilu
Analiza danychCzęste ścieżki nawigacjiMaksymalne odwołania w przód
Odkrywanie wzorcówOdkrywanie reguł asocjacjiOdkrywanie reguł sekwencji
KlasyfikacjaAnaliza wzorcówGrupowanie
![Page 9: Mechanizmy profilowania użytkowników w sieci: wykorzystanie ...](https://reader034.fdocuments.net/reader034/viewer/2022051404/5876028b1a28abfd658b4d40/html5/thumbnails/9.jpg)
9
Prywatność i anonimowość w Internecie – Wykorzystanie profilu
MarketingSpersonalizowana reklamaSprzedaż profili (FBI, RIAA, firmy ubezpieczeniowe)
Kradzież tożsamościDane pozwalające na fałszywe uwierzytelnienie (socjotechnika)Terroryzm
Kontrola pracownikówZarządzanie dostępem do InternetuŚledzenie aktywności
Kontrola obywateliProjekt Złota TarczaCarnivore, SORM-2, System RIP, Echelon
![Page 10: Mechanizmy profilowania użytkowników w sieci: wykorzystanie ...](https://reader034.fdocuments.net/reader034/viewer/2022051404/5876028b1a28abfd658b4d40/html5/thumbnails/10.jpg)
10
Google – teoria spiskowa?
E-mailGoogle Earth/Google MapsYouTubeGoogle DocsGoogle CalendarGoogle AnalyticsiGoogleGoogle Desktop
![Page 11: Mechanizmy profilowania użytkowników w sieci: wykorzystanie ...](https://reader034.fdocuments.net/reader034/viewer/2022051404/5876028b1a28abfd658b4d40/html5/thumbnails/11.jpg)
11
Atak na prywatność – Śledzenie z wykorzystaniem cookies
Fragment tekstu przechowywany na komputerze użytkownikaWysyłany jako fragment nagłówka HTTP przez przeglądarkę do serweraWykorzystanie
Ciasteczka stron trzecichPrzechwycenie cookiesCross-siteOszukane cookies
![Page 12: Mechanizmy profilowania użytkowników w sieci: wykorzystanie ...](https://reader034.fdocuments.net/reader034/viewer/2022051404/5876028b1a28abfd658b4d40/html5/thumbnails/12.jpg)
12
Atak na prywatność – URL i plik logu serwera
Analiza pliku logu serwera/historii przeglądaniaZnajomość hierarchii strony/serwisuBrak wrażliwości na szyfrowanieOgraniczony dostęp
Administratorzy sieciDostawcy usług internetowychAdministratorzy sieci korporacyjnychWspółużytkownicy stacji roboczej
![Page 13: Mechanizmy profilowania użytkowników w sieci: wykorzystanie ...](https://reader034.fdocuments.net/reader034/viewer/2022051404/5876028b1a28abfd658b4d40/html5/thumbnails/13.jpg)
13
Atak na prywatność –wykorzystanie Web Beacons
web bug, tracking bug, trackingpiksel, piksel tag, 1x1 gif, clear gifHTML – img srcPrzekierowania na dowolny serwerZalety
Łatwość implementacjiDokładność mechanizmu
WadyPopularność
![Page 14: Mechanizmy profilowania użytkowników w sieci: wykorzystanie ...](https://reader034.fdocuments.net/reader034/viewer/2022051404/5876028b1a28abfd658b4d40/html5/thumbnails/14.jpg)
14
Atak na prywatność - AdSerwer
Wykorzystanie zebranych profiliUpload reklam do witryn internetowychŚledzenie reklam w celu profilowaniaKierowanie reklam zgodnie z założeniamiOptymalizacja i zarządzanie baza profiliRaportowanie skuteczności poprzez zliczanie akcji (kliknięć, odwiedzin)
DoubleClick, Gemius
![Page 15: Mechanizmy profilowania użytkowników w sieci: wykorzystanie ...](https://reader034.fdocuments.net/reader034/viewer/2022051404/5876028b1a28abfd658b4d40/html5/thumbnails/15.jpg)
15
Atak na prywatność – Malware (1/3)
Exploit – przejęcie kontroli poprzez wykorzystanie luk w oprogramowaniuDialer – zmiana numeru dostępowego w modemie na 0-700 lub zagranicznyRobak – „wirusy sieciowe”SQL/URL Injections – atak na bazy danych i serwery poprzez wykorzystanie luk w oprogramowaniu
![Page 16: Mechanizmy profilowania użytkowników w sieci: wykorzystanie ...](https://reader034.fdocuments.net/reader034/viewer/2022051404/5876028b1a28abfd658b4d40/html5/thumbnails/16.jpg)
16
Atak na prywatność – Malware (2/3)
Trojan – instaluje się na maszynie ofiary, otwiera port komunikacyjny i pozwala na przejęcie kontroli na systemem operacyjnym
Spyware – oprogramowanie szpiegująceScumware – „zamieszanie” w systemie operacyjnymAdware – reklamy, pop-upHijacker BHO – dodatki do przeglądarki internetowejKeylogger – zapisywanie wciskanych klawiszyStealware – przejęcie konta bankowości elektronicznej
Rootkit – ukrywanie procesów i plikówBackDoor – wykonywanie poleceń z poziomu administracyjnegoWabbit – zapełnienie przestrzeni dyskowej
![Page 17: Mechanizmy profilowania użytkowników w sieci: wykorzystanie ...](https://reader034.fdocuments.net/reader034/viewer/2022051404/5876028b1a28abfd658b4d40/html5/thumbnails/17.jpg)
17
Atak na prywatność – Malware (3/3)
Wirus - program lub fragment kodu, który dołącza się do innego oprogramowania w celu infekcji komputera ofiary oraz reprodukcji
BOOT Sektor – umiejscowiony w sektorze rozruchowym dyskuPasożytniczy – wykonywalne wraz z innymi programamiWieloczęściowy – atak wieloma sposobamiTowarzyszący – nazwy podobne do znanych programów, ale inne rozszerzenieMakro – kod VBA
![Page 18: Mechanizmy profilowania użytkowników w sieci: wykorzystanie ...](https://reader034.fdocuments.net/reader034/viewer/2022051404/5876028b1a28abfd658b4d40/html5/thumbnails/18.jpg)
18
Atak na prywatność – SniffingPrzechwytywanie informacji
Poszukiwanie danych wrażliwychMożliwość określenia stron komunikacjiMożliwość analizy sesji WWW
WardrivingAtak na bezprzewodowe sieci zabezpieczone i niezabezpieczone
ZaletyFiltrowanie całego ruchuNiezależnośćŚwieżość danych
WadySkomplikowana instalacjaObróbka danych (surowe pakiety)Koszt
![Page 19: Mechanizmy profilowania użytkowników w sieci: wykorzystanie ...](https://reader034.fdocuments.net/reader034/viewer/2022051404/5876028b1a28abfd658b4d40/html5/thumbnails/19.jpg)
19
Atak na prywatność – JavaScript
Rozbudowany mechanizmZalety
Tani i łatwy w implementacjiCzęsto jedyna możliwa technikaBrak wrażliwości na buforujące proxy
WadyKonieczność obsługi JavaScriptPrzeładowanie stron skryptamiPopularność mechanizmu
![Page 20: Mechanizmy profilowania użytkowników w sieci: wykorzystanie ...](https://reader034.fdocuments.net/reader034/viewer/2022051404/5876028b1a28abfd658b4d40/html5/thumbnails/20.jpg)
20
Ochrona prywatności –blokowanie cookies
Odpowiednie ustawienie przeglądarki internetowej lub „tryb prywatny”Dodatki do przeglądarek internetowych
Better Privacy, Cookie Button
Możliwość ograniczenia usługKoszyk w sklepie internetowymSpersonalizowany widok w serwisach
![Page 21: Mechanizmy profilowania użytkowników w sieci: wykorzystanie ...](https://reader034.fdocuments.net/reader034/viewer/2022051404/5876028b1a28abfd658b4d40/html5/thumbnails/21.jpg)
21
Ochrona prywatności – serwery anonimizujące
Wykorzystanie zaufanego serwera proxySzyfrowanie (TLS/SSL)Wady
Duże opóźnieniaPrzeniesienie ruchu w inne miejsce w sieciMożliwość kompromitacji
![Page 22: Mechanizmy profilowania użytkowników w sieci: wykorzystanie ...](https://reader034.fdocuments.net/reader034/viewer/2022051404/5876028b1a28abfd658b4d40/html5/thumbnails/22.jpg)
22
Ochrona prywatności - VAST
Jeden węzeł pośredniczącyWspółpraca z agentem (aplet Java)Połączenie szyfrowane wykorzystujące TSL/SSLPrzekazywanie adresów właściwych i nadmiarowych do serwera pośredniczącegoSelekcja otrzymanych odpowiedzi
Generowanie ruchu nadmiarowegoSłownik haseł/terminówOdpowiednie sesje tematyczne
![Page 23: Mechanizmy profilowania użytkowników w sieci: wykorzystanie ...](https://reader034.fdocuments.net/reader034/viewer/2022051404/5876028b1a28abfd658b4d40/html5/thumbnails/23.jpg)
23
Ochrona prywatności – serwery pośredniczące
Sieci miksująceWiele serwerówSzyfrowanieRuch nadmiarowy
Anonimowe P2POpennet
Bez konfiguracjiPrzypadkowe połączeniaDecyzja na temat bezpośrednich połączeń
Darknet – F2FPełna konfiguracjaZaufane węzły
![Page 24: Mechanizmy profilowania użytkowników w sieci: wykorzystanie ...](https://reader034.fdocuments.net/reader034/viewer/2022051404/5876028b1a28abfd658b4d40/html5/thumbnails/24.jpg)
24
Ochrona prywatności - Firewall
Kompleksowe rozwiązanie (kombajn)Filtrowanie pakietów – reguły filtrowania zgodne z polityką bezpieczeństwaBrama aplikacyjna – bezpieczna komunikacja dla aplikacjiUtrzymanie bezpiecznego połączeniaSerwer proxy – ukrywanie adresu sieciowego
![Page 25: Mechanizmy profilowania użytkowników w sieci: wykorzystanie ...](https://reader034.fdocuments.net/reader034/viewer/2022051404/5876028b1a28abfd658b4d40/html5/thumbnails/25.jpg)
25
Projekt - koncepcja
Projekt i implementacja bezpiecznego oraz anonimowego komunikatora
Wykorzystanie idei MixNetUkrycie lokalizacjiPołączenie bez znajomości tożsamości sieciowejWzajemne świadczenie usługi serwera
Szyfrowanie RSABezpieczeństwo przekazu
![Page 26: Mechanizmy profilowania użytkowników w sieci: wykorzystanie ...](https://reader034.fdocuments.net/reader034/viewer/2022051404/5876028b1a28abfd658b4d40/html5/thumbnails/26.jpg)
26
Projekt - rozwój
Dodanie ruchu nadmiarowegoOdpowiedni harmonogram
Algorytm określania trasW danym okresie czasowym używanie jednego zdefiniowanego zbioru
Dystrybucja kluczy szyfrowaniaSerwer kluczyDiffie-Hellman
![Page 27: Mechanizmy profilowania użytkowników w sieci: wykorzystanie ...](https://reader034.fdocuments.net/reader034/viewer/2022051404/5876028b1a28abfd658b4d40/html5/thumbnails/27.jpg)
27
BibliografiaAkhil Sahai, Sven Graupner; Web Services in the Enterprise: Concepts, Standards, Solutions, and ManagementAvinash Kaushik; Web Analytics: An Hour a DayCarla Schroder; Linux Networking CookbookChris Nicoll, Corien Prins, Miriam van Dellen; Digital Anonymity and the Law: Tensions and DimensionsDavid Chaum; Untraceable Electronic Mail, Return Addresses, and Digital PseudonymsDavid Flanagan; JavaScript: The Definitive Guide, Fifth EditionGene K. Landy, Amy J. Mastrobattista; The IT / Digital Legal Companion: A Comprehensive Business Guide to Software, IT, Internet, Media and IP LawGeorge Meghabghab, Abraham Kandel; Search Engines, Link Analysis, and User's Web BehaviorIgor Margasiński, Krzysztof Szczypiorski; Wszechstronna anonimowość klienta HTTPJ.R. Okin; The Internet Revolution: The Not-for-Dummies Guide to the History, Technology, and Use of the InternetJames F. Kurose, Keith W. Ross; Siecikomputerowe. Od ogółu do szczegółu z internetemw tle. Wydanie IIISamuel J. Best, Brian S. Krueger; Internet Data Collection
Jinyang Li, Frank Dabek; F2F: Reliable Storage in Open NetworksKancelaria Sejmu; Dz.U. 1997 Nr 133 poz. 883, USTAWA z dnia 29 sierpnia 1997 r. o ochronie danych osobowychKrzysztof Brzeziński, Igor Margasiński, Krzysztof Szczypiorski; Prywatne wojny w sieci: poddaj się, okop, negocjuj lub stań do walkiMarek Wojciechowski; Odkrywanie wzorców zachowań użytkowników WWWMichael A. Caloyannides; Privacy Protection and Computer Forensics, Second EditionPeter Brusilovsky, Alfred Kobsa, Wolfgang Nejdl; The Adaptive Web: Methods and Strategies of Web PersonalizationRannenberg Kai, Royer Denis, Deuker André; The Future of Identity in the Information SocietyRSA Laboratories; PKCS #1 v2.1: RSA Cryptography StandardSimson Garfinkel, Gene Spafford; Web Security, Privacy and Commerce, Second EditionStuart McClure, Joel Scambray, George Kurtz; Hacking exposed 6: Network Security Secrets & SolutionsYuan Gao; Web systems design and online consumer behavior