Recherchieren ohne Spuren zu hinterlassen? Anonym surfen und mailen

Transkript

1 Recherchieren ohne Spuren zu hinterlassen? Anonym surfen und mailen Vorabend-Veranstaltung des Datenschutz-Forums Schweiz 27. Januar 2005 Prof. Konrad Marfurt Anonym recherchieren Prof. Konrad Marfurt

2 Übersicht Ausgangslage Spuren (mit Demonstrationen) Mail Surfen im WWW Anonymität (theoretisch) Definition(en) anonyme Kommunikation Konzepte zur Anonymisierung Proxy-Konzept Mix-Konzept Folgerungen und Ausblick auf Möglichkeiten Anonym recherchieren Prof. Konrad Marfurt

3 Ausgangslage Spannungsfeld Abklärungspflicht Bankgeheimnis Unklarheiten: Ausmass und Art der zurückgelassenen Spuren Auswertbarkeit dieser Spuren Individuelle Lösungsansätze: Welche? Fussgänger-Lösung : Isolierte Workstation unter Pseudonym Abgrenzung (hier nicht zu behandeln): Absichtlich preisgegebene Informationen, z.b. Kundenbeziehungen zu professionellen Auskunftsdiensten Zahlungsmodalitäten bei deren Abgeltung (PayPal, Kreditkarten,..) Anonym recherchieren Prof. Konrad Marfurt

4 Anonymität der lokalen Installation wahren Isolierte Geräte Gehärtete Konfiguration Betriebssystem Browser Virenschutz Cookies Nicht akzeptieren Löschen nach Bedarf Webbugs (1x1 Bilder) Führen zu Protokolleinträgen beim Server Diese Themen werden hier nicht behandelt Siehe z. B. Anonym recherchieren Prof. Konrad Marfurt

5 Mail-Spuren (Demonstration 1) SMTP Simple Mail Transfer Protocol Ein Fossil aus der Frühzeit des Internet Keine Authentisierung Anonym recherchieren Prof. Konrad Marfurt

6 Den Mailserver direkt ansprechen (Demonstration 2) Anonym recherchieren Prof. Konrad Marfurt

7 Ergebnis im Postfach des Empfängers Anonym recherchieren Prof. Konrad Marfurt

8 Anzeige der Mail mit Header-Zeilen Anonym recherchieren Prof. Konrad Marfurt

9 Transportweg einer Anonym recherchieren Prof. Konrad Marfurt

10 Beispiel: Mail-Header Keine Standard-Header, aber hilfreich! Von oben nach unten lesen (und vertrauen) Auf Genauigkeit und Zonen der Zeitangaben achten! Received: from SpoolDir by HWNS02 (Mercury 1.47); 10 Sep 02 22:37: Return-path: Received: from mx0.gmx.net ( ) by hsw.fhz.ch (Mercury 1.47); 10 Sep 02 22:37: Received: (qmail invoked by uid 0); 10 Sep :37: Date: Tue, 10 Sep :37: (MEST) From: To: MIME-Version: 1.0 Subject: Webmail-Demo X-Priority: 3 (Normal) X-Authenticated-Sender: # @gmx.net X-Authenticated-IP: [ ] Message-ID: < @www54.gmx.net> X-Mailer: WWW-Mail 1.5 (Global Message Exchange) X-Flags: 0001 Content-Type: text/plain; charset="us-ascii" Content-Transfer-Encoding: 7bit X-PMFLAGS: Y0C056.CNM Ab gmx.net Acoount via Webmail Anonym recherchieren Prof. Konrad Marfurt

11 Datenspuren beim Versand von Anonym recherchieren Prof. Konrad Marfurt

12 Wieso dann die SPAM-Plage? SMTP-Schwächen Keine Authentisierung Postfach-Server der Empfänger nehmen Verbindung an Gutgläubig konfigurierte Server dienen als Relay Sie sind oft unfreiwillig so gutgläubig Es gibt Viren mit eigenen SMTP Programmen Header beliebig fälschbar, Vertrauen nimmt nach unten ab Zurückverfolgen von oben nach unten Nur bis zum ersten nicht vertrauenswürdigen Server sinnvoll Anonym recherchieren Prof. Konrad Marfurt

13 Spuren beim Surfen Zurückverfolgen des Weges: Server Provider Benutzer Anonym recherchieren Prof. Konrad Marfurt

14 Was sieht der Zielserver? Zeitpunkt Browserkonfig. Betriebssystem Name/IP- Adresse Anfrage Anonym recherchieren Prof. Konrad Marfurt

15 Demonstration: Informationen des Zielservers Rückschlüsse auf: Installierte SW Herkunft des Links Sprache Betriebssystem IP-Adresse Benutzername, sofern erforderlich Anonym recherchieren Prof. Konrad Marfurt

16 Datenspuren beim Surfen: Übersicht Anonym recherchieren Prof. Konrad Marfurt

17 Anonymität beim Surfen via Proxy Problem: Proxy-Betreiber hat volle Information! Angreifer brauchen nur den Proxy zu überwachen und die Log-Einträge zu kombinieren Anonym recherchieren Prof. Konrad Marfurt

18 Anonymität Duden: Nichtbekanntsein; Nichtgenanntsein; Namenlosigkeit Definition 1 von Andreas Pfitzmann / Marit Hansen: «Anonymity is the state of being not identifiable within a set of subjects, the anonymity set.» 1 vgl: Anonym recherchieren Prof. Konrad Marfurt

19 Grad der Anonymität (1) unmöglich zuzuordnen (2) nicht zuzuordnen (3) möglicherweise zuzuordnen (4) wahrscheinlich zuzuordnen (5) zuzuordnen (6) sicher zuzuordnen. Reiter, M. K., Rudin, A. D., Crowds: Anonymity in Web Transactions, DIMACS Technical Report 97-15, April 1997 Anonym recherchieren Prof. Konrad Marfurt

20 Stärke der Anonymität bei der Kommunikation Ziel bei der Kommunikation: Unverkettbarkeit Die Frage nach dem Angreifer: Vor wem ist man wie anonym? Wer kann die Anonymität aufheben? Grösse der Anonymitätsmenge ist kritisch: Ziel: Ununterscheidbarkeit der Handlungen der Nutzer Zu kleine Anonymitätsmenge erhöht Risiken Verkettbarkeit ausschliessen Anonym recherchieren Prof. Konrad Marfurt

21 Triviale Ansätze für Pseudonyme Mail-Accounts Provider hat volle Kontrolle Einige Gratisdienste dürften gerade deswegen gratis sein Anonyme R er Prinzip eines Mail-Proxy, auch Mail-Mix genannt Gleiches Problem wie pseudonyme Mail-Accounts Bietet nicht mehr Schutz als ein eigener Mailforwarder, der in einem fremden Netz betrieben wird und die Header abändert Verkehrsüberwachung erlaubt einem Angreifer Korrelationen zwischen ein- und ausgehenden Mails Statistische (Anzahl und Grösse ein-/ausgehender Mails) Replay-Attacken (kopierte Nachricht nochmals einspeisen) Anonym recherchieren Prof. Konrad Marfurt

22 Lösungsansatz: Mix Kaskade (Chaum 1981) David Chaum. Untraceable electronic mail, return addresses, and digital pseudonyms. Communications of the ACM, 24(2):84--88, Angreifer Anonym recherchieren Prof. Konrad Marfurt

23 Eigenschaften der Mix-Kaskade Nur der erste Mix kennt den Sender Nur der letzte Mix kennt den Empfänger Alle anderen kennen nur ihre beiden Nachbarn Vertraulichkeit wird durch Verschlüsselung erreicht: Verschlüsselung in Zwiebelschalen für jeden Mix Das Verfahren erlaubt auch anonyme Rückantworten Beim Versand wird eine Einmal-Antwortadresse erzeug Diese wird umgekehrt verschlüsselt Empfänger kennt nur Antwortadresse des letzten Mixes Wenn verschiedene Mix-Wege gewählt werden können, spricht man von einem Mix-Netz Anonym recherchieren Prof. Konrad Marfurt

24 Mailtransport via Mix-Netz Anonym recherchieren Prof. Konrad Marfurt

25 Angriffe auf Mix-Netze Statistische Analyse verhindert durch Regelmässige Dummy-Nachrichten Auffüllen der Nachrichten auf eine Standard-Länge Replay-Angriff verhindert durch Zeitstempel und ID# zu jeder Nachricht Replay-Filter bei jedem Mix N-1 Angriff (alle Nachrichten im System stammen bis auf eine einzige vom Angreifer) verhindern durch Schubartige Verarbeitung und zeitliche Umsortierung Nicht alle Nachrichten eines Schubes vom gleichen Teilnehmer Fazit: Mixe gewähren Anonymität, wenn nicht alle zusammen korrupt sind (oder alle von Big-Brother überwacht) Anonym recherchieren Prof. Konrad Marfurt

26 (Zwiebelschalen-)Aufbau einer Mix-Netz-Mail Mail an R er A des Mixes AES key 1 AES key 2 AES key 3 Mit RSA für A verschlüsselt: Zieladresse: Mix B ID#: 123, AES key 1 Mit RSA für B verschlüsselt: Zieladresse: Mix C ID#: 456, AES key 2 Mit RSA für C verschlüsselt: Letzter Mix für Mail# 1479 ID#: 789, AES key 3 ** Pseudo Header zum Füllen ** Engültiger Empfänger Weitere Mail-Header eigentliche Nachricht.. ** Füllzeichen zur Standardlänge ** Anonym recherchieren Prof. Konrad Marfurt

27 Surfen via Mixes: JAP Projekt der TU Dresden Konzept maximaler Anonymität Für das Durchlaufen der Mixe werden die Daten verschlüsselt Auch gegen sehr starke Angreifer anonym bleiben Anfrage des einzelnen in Menge aller Benutzer versteckt Kaskade von Mix-Proxies unabhängiger Betreiber Selbstverpflichtung der Betreiber: keine Logs erstellen/austauschen Einhaltung der Selbstverpflichtung liegt im Interesse des Einzelnen Von n traversierten Mixes muss mindestens 1 Mix fair sein In der Regel werden mindestens 3 Mixes traversiert Realisiert durch das Client-Programm JAP Java Anonymous Proxy Anonym recherchieren Prof. Konrad Marfurt

28 Funktionsprinzip von JAP ( Java Anon Proxy ) Quelle: In diesem Bereich verschlüsselt JAP die Daten Anonym recherchieren Prof. Konrad Marfurt

29 JAP Demonstration Anonymitätsmeter Dresden-Dresden Mix Anzahl Nutzer Anonym recherchieren Prof. Konrad Marfurt

30 Fazit Anonymes Surfen und Recherchieren ist möglich Anonym bedeutet in einer genügend grossen Gruppe nicht identifizierbar Genügend grosse Gruppe? Alle Internet-Nutzer meines Erachtens unrealistisch ($, Leistung) Grosse Telcos unrealistisch (Vertrauen, Kontinuität) Nischenanbieter wie FH Spin-Off haben gleiches Problem Umsetzung als ganzes unrealistisch? Nicht unbedingt! Gruppe Gleichgesinnter könnte genügen (alle) CH-Finanzintermediäre? Jeder trägt bei, jeder profitiert, Sabotage unrealistisch (n-1) Hochschulnetz als Transportmedium denkbar Projekt IFZ-FHZ oder IWI-FHZ denkbar... Anonym recherchieren Prof. Konrad Marfurt

31 Web-Quellen (27. Januar 2005) (BKA vs. AN.ON) m (free proxy) Anonym recherchieren Prof. Konrad Marfurt

32 Fragen und Antworten Anonym recherchieren Prof. Konrad Marfurt