Beobachtet, ausgewertet, optimiert

Transkript

1 Beobachtet, ausgewertet, optimiert Die Verantwortung der Informatik(er) für ein dauerhaft freies und selbstbestimmtes Leben im Internet Prof. Dr. Hannes Federrath Sicherheit in verteilten Systemen (SVS) Siegen, 4. Mai

2 Beobachtet, ausgewertet, optimiert Mit Werbung wird Geld verdient Wie geht das mit der Verkettung? Single Sign On The Next Generation Gesichter auswerten Mit und ohne Facebook Vergessen im Internet? Schlussfolgerungen 3

3 Mit Werbung wird Geld verdient? 4

4 Mit Werbung wird Geld verdient! Online Dienste 5

5 Mit Werbung wird Geld verdient! Auch im Handel 6

6 Wie geht das mit der Verkettung? Ein Experiment Firefox Browser mit Add-Ons und Cache, Cookies, Verlauf gelöscht Collusion visualisiert Abhängigkeiten zwischen Websites Ghostery zeigt Tracking-Versuche von Websites an 7

7 Ghostery zeigt Tracking-Versuche von Websites an 8

8 Ghostery zeigt Tracking-Versuche von Websites an 9

9 Collusion visualisiert Abhängigkeiten zwischen Websites Video Links: Abhängigkeitsgraph Rechts: Browserfenster 10

10 Schutz durch datenschutzfreundliche Systeme? Erreichbarer Schutz durch Anonymisierer, Proxies, Tunneling, VPNs SSH-Tunnel und VPNs Erkennungsrate: 90-97% à Geringer Schutz Anonymisierer Tor und JAP/JonDonym Erkennungsrate: < 20% neuere Arbeiten: <70% (Panchenko 2010) à Moderater Schutz 11

11 Website- und DNS-Fingerprinting Gerber 2009 Ähnlichkeitsvergleich des Nutzungsverhaltens der Internenutzer 12

12 Usage Timelines inkl. ip-geo-tagging Farbe: Ort" Helligkeit: Nutzungsintensität 13

13 Login with Facebook 14

14 Login with Facebook or Twitter 15

15 Login with Facebook or Twitter or Yahoo or Google 16

16 Gesichter auswerten Mit und ohne Facebook 17

17 Photo Tagging Gesichter nicht nur von Freunden, sondern auch von Menschen, die nicht Mitglied des sozialen Netzes sind können mit Namen versehen werden 18

18 Nicht Mitglied im sozialen Netz Jane" Soziale Netze wissen selbst über Menschen bescheid, die nicht einmal wissen können, dass sie schon erfasst sind. John" 19

19 Nicht Mitglied im sozialen Netz Soziale Netze wissen selbst über Menschen bescheid, die nicht einmal wissen können, dass sie schon erfasst sind. Geschlossene Gruppe wünschenswert 20

20 Vergessen im Internet Beispiel eines hoffnungslosen Versuchs x-pire! Mit x-pire! geschütztes Bild Mit x-pire! geschütztes Bild 24

21 Funktionsweise X-pire! Veröffentlicher" X-pire! Schlüsselserver" 1" 3" Browser" X-pire! Plug-in" 2" ID"..." Datenbank" Schlüssel" Verfallsdatum"..."..." 4" 7" Betrachter" Webserver" Webseite" 5" DOM" 6" Browser" 8" X-pire! Plug-in" 25

22 Sicherheit von x-pire! Kein Schutz gegen Angreifer in der Rolle»Betrachter«Software im Verfügungsbereich des Betrachters (Browser) erhält Zugriff auf Schlüssel und unverschlüsselten Inhalt Streisand-Effekt Insbesondere Inhalte, die wieder aus dem Netz verschwinden sollen, halten sich möglicherweise besonders lange. 26

23 Funktionsweise Streusand X-pire! Schlüsselserver" Datenbank" Streusand-Server" Datenbank" Datensammler" ID" Schlüssel" Verfallsdatum" ID" Schlüssel" Bild"..."..."..."..."..."..." Datenbank" 4" 3" 5" Webserver" Webseite" 1" 2" Browser" Betrachter" DOM" 6" Streusand Plug-in" 28

24 Schlussfolgerungen Ziel der Informationssicherheit: möglichst wenig Vertrauen in andere setzen müssen Wo keine Sicherheit erreichbar ist, bleibt nur Vertrauen [müssen] Fazit: Vertrauen müssen weckt keine positiven Assoziationen Stattdessen: Gefühl von Ausgeliefert-sein Angst = Kontrolle eben: Unsicherheit Statt des Begriffs Vertrauen: Vertrauenswürdigkeit Akteure werden in die Lage versetzt die bei der Nutzung von Informationstechnik entstehenden Risiken bzw. verbleibenden Restrisiken (für ihre Privatheit) zuverlässig abzuschätzen 30

25 Schlussfolgerungen Vertraulichkeit kann nur geringer werden. Vertraulichkeit Data leakage t Integrität und Zurechenbarkeit können nur größer werden. Integrität und Zurechenbarkeit z.b. Digitale Signatur t 31

26 Schlussfolgerungen Vertraulichkeit kann nur geringer werden. Vertraulichkeit Data leakage t Fazit (Nutzer) Der Nutzer sollte sensible Daten die ihn und andere betreffen, besonders sorgsam schützen und nur sehr überlegt weitergeben bzw. veröffentlichen. 32

27 Schlussfolgerungen Vertraulichkeit kann nur geringer werden. Vertraulichkeit Data leakage t Fazit (Informatiker) Bisher: Was technisch ging, wurde auch getestet und eingesetzt. Es existierte ein Konsens der Betroffenen (Anbieter und Kunden) Heute: Nicht mehr alle technischen Möglichkeiten entsprechen heute mehr dem breit akzeptierten ethischen Konsens der Gesellschaft 33

28 Prof. Dr. Hannes Federrath FB Informatik, AB SVS Universität Hamburg Vogt-Kölln-Straße 30 D Hamburg Telefon