Unerfreulich auskunftsfreudig

Transkript

1 Unerfreulich auskunftsfreudig Das Internet-Adressbuch bedroht unsere Privatsphäre Dr. Dominik Herrmann Universität Hamburg, Universität Siegen Folien zum Download:

2 Das Domain Name System löst Domains in IP-Adressen auf bundestag.de? Client Browser Internetanbieter (T-Online)? 1 2 DNS-Server Webserver Deutscher Bundestag Vertraulichkeit? Brauchen wir nicht. 17-Nov :23: #15619: IN A + 17-Nov :23: #12191: wikipedia.org IN A + 17-Nov :23: #13170: IN A + 2

3 sicherer, zuverlässiger bundestag.de? DNS-Server DNS-Server bundestag.de? Client? 1 Google 1 Browser? Client Browser Internetanbieter (T-Online) 2 Webserver Deutscher Bundestag Webserver Deutscher Bundestag 2 Internetanbieter (T-Online) Google DNS-Server >150 Mrd. Anfragen pro Tag (2013) oder doch? 3

4 Tracking ohne Cookies Überwachung von Internetnutzern anhand ihrer DNS-Anfragen

5 jumpzone.de allianz.de Werbenetz (z.b. Google) Interessenskonflikt Nutzer vs. Internetwirtschaft

6 AktuelleTechniken sind unzuverlässigbzw. erkennbar. Tracking-Cookies Browser-Fingerprinting 56ac1c08fa5479fd57c4 a5c65861c4ed3ed93ff8 jumpzone.de allianz.de Werbenetz (z.b. Google)

7 Herausforderung Wiedererkennung von Nutzern trotz (meist täglich) wechselnder IP-Adressen Katja B Mai Mai Mai Mai M

8 Herausforderung Wiedererkennung von Nutzern trotz (meist täglich) wechselnder IP-Adressen Katja B Mai Mai Mai Mai M

9 Herausforderung Wiedererkennung von Nutzern trotz (meist täglich) wechselnder IP-Adressen Neues Verfahren Wiedererkennung anhand der beobachtbaren DNS-Anfragen Katja B Mai Mai Mai Mai M

10 Domains vom 3. Mai spiegel.de 4 x google.de 15 x apple.com 1 x Domains vom 4. Mai 1 x spiegel.de 9 x google.de 0 x apple.com Mai Mai Mai Mai M

11 Domains vom 3. Mai spiegel.de 4 x google.de 15 x apple.com 1 x airbus.com 3 x avalster.de 2 x Domains vom 4. Mai 1 x spiegel.de 9 x google.de 0 x apple.com 6 x airbus.com 3 x avalster.de Mai Mai Mai Mai M

12 Hypothese individuelle Vorlieben tägliche Routine Verkettung durch überwachtes Lernen 1 Trainingssitzung je Nutzer alle besuchten Domains bis zum IP-Wechsel? 1 zu klassifizierende Sitzung je Nutzer gestern heute 12

13 Konstruktion des Verkettungsverfahrens focus.de airbus.com bahn.de Logarithmierung der Häufigkeiten Gewichtung mit IDF-Faktor Normierung der Vektorlänge Bildung von N-Grammen n-dimensionale Merkmalsvektoren bundestag.de bahn.de focus.de airbus.com Nutzer 1 1-Nearest-Neighbor-Klassifikator Cosine-Similarity Nutzer 2 Nutzer n 13

14 Ermittlung der am besten passenden Sitzung focus.de airbus.com bahn.de cos α = 0,86 1-Nearest-Neighbor-Klassifikator mit Cosine-Similarity cos α = 0,43 gestern heute 14

15 Empirische Untersuchung Forschungsfragen: Genauigkeit? DNS-Log 61 Tage >3800 Nutzer 5 Mio. Domains 38 Mio. Dimensionen inkl.»ground truth«(pseudonymisiert) 15

16 Empirische Untersuchung 75 % 86 % Forschungsfragen: Genauigkeit? Umgang mit Fluktuation? Genauigkeit MNB 1NN optimiert Anzahl der aktiven Nutzer 1000 Datum 05/08 05/15 05/22 05/29 Problem: mehrdeutige Zuordnungen im Open-World-Szenario 3 3* gestern 4* heute 16

17 Verkettung gelingt auch unter erschwerten Bedingungen. nur N populärste Domains (statt alle 5 Mio.) 62 % 76 % Training vor x (statt 1) Tagen 86 % % Anzahl der Nutzer (statt 3862) 17

18 Ergebnis: neue Beobachtungsmöglichkeiten nicht nur im DNS Google Doubleclick Google Werbenetz DNS-Server können gelöschte Cookies rekonstruieren Tracking ohne Cookies?!? URLs d. besuchten Webseiten eingesetzte Software rein passiv und nicht erkennbar Verlust der informationellen Selbstbestimmung 18

19 S Krishnan and F Monrose (2010): DNS prefetching and its privacy implications: When good things go bad de.wikipedia.org bits.wikimedia.org meta.wikimedia.org counsellingresource.com upload.wikimedia.org ec.europa.eu wayback.archive.org de.wiktionary.org Abrufmuster für de.wikiquote.org drogenbeauftragte.de w210.ub.uni-tuebingen.de DNS-Prefetching erzeugt charakteristische Abrufmuster, anhand derer sich u.u. die genaue URL ermitteln lässt. Abhilfe: https verwenden whqlibdoc.who.int commons.wikimedia.org 19

20 Datenschutz-Techniken Überwachung durch DNS-Server und verhaltensb. Tracking verhindern

21 Schutz der Identität des Nutzers Verbergen der wahren Interessen Range Queries langsam aufwändig (und unsicher) existierende Datenschutztechniken für DNS ungeeignet 21

22 Praktikabler Schutz vor Tracking wäre leicht umsetzbar. Sitzungsdauer 5 min 31 % 10 min 34 % IP-Adresse häufig wechseln 1 h 55 % 6 h 70 % Chance»Privacy by Default«mit IPv6 24 h 86 % AN.ON-Next 7 Tage 97 % 22

23 DNSMIX: ein neuer Ansatz zum Schutz vor Überwachung 84% 23

24 Idee von DNSMIX populäre DNS-Einträge automatisch an alle Nutzer senden Kostet das nicht viel zu viel Bandbreite? DNSMIX Push-Dienst Client Zwischenspeicher DNS-Server berlin.de Client Liste populärer Domains DNS-Server google.com Client Laufende Überprüfung DNS-Server finanzen.net MIX MIX MIX 24

25 Anfragen von 2082 Nutzern Pushen von populären Domains Empirische Untersuchung Auflösung von 84 % der Anfragen unbeobachtbar und unmittelbar DNSMIX Push-Dienst 352 MB/Tag Client 290 KB initial Zwischenspeicher alle 24 h DNS-Server berlin.de Client 0,8 KB/s Liste populärer Domains alle 5 min DNS-Server google.com Client 0,8 KB/s Laufende Überprüfung alle 24 h je nach TTL DNS-Server finanzen.net MIX MIX Emulierte Latenz: 80 ms 20 ms 20 ms MIX Resultat: 171 ms je nach Server 25

26 Beobachtungsmöglichkeiten im DNS umfangreich, aber bislang vernachlässigt INFERENZANGRIFFE AUF DIE PRIVATSPHÄRE Verhaltensbasiertes Tracking ohne Cookies DNS-basiertes Website-Fingerprinting Software-Identifizierung anhand DNS-Verhaltens TECHNIKEN ZUM SELBSTDATENSCHUTZ Häufiger IP-Wechsel oder längeres DNS-Caching Unbeobachtbarkeit mit DNSMIX-Push-Dienst Verschleierung mit Range Queries Sensibilisierung aber auch in der IT-Forensik anwendbar Gestaltungsvorschläge für Forschung und Entwicklung Dr. Dominik Herrmann Universität Hamburg 26