Mehr Schutz mit weniger Aufwand

Transkript

1 Mehr Schutz mit weniger Aufwand? Leichtgewichtige Datenschutz-Dienste für Anwender und Anbieter Dr. Dominik Herrmann Vertretungsprofessur für IT-Sicherheit Universität Siegen und Universität Hamburg Folien:

2 Dominik Herrmann Benutzbare Datenschutzlösungen und Tracking von Nutzern im Internet Junior-Fellow d. Gesellschaft f. Informatik Wirtschaftsinformatik Diplom 2008 Universität Regensburg Promotion 2014 Universität Hamburg Vertretungsprofessur seit 2015 Universität Siegen

3 Beteiligte Akteure Entwickler Forschungstransfer Benutzbarkeit Anwender Technischer Datenschutz Angebot Nachfrage akzeptable Kosten Barrieren Anbieter Vorschriften 3

4 Leichtgewichtiger Schutz bisher nur in einfachen Systemen PGP WhatsApp Herausforderung Schutz der Privatsphäre in vernetzten Systemen mit delegierter Datenverarbeitung Online-Dienste Smarte Produkte Smarte Dienste 4

5 Zahlreiche Bedrohungen für die Privatsphäre Preis: 79 Faires Angebot?? Überwachen Anwender Ausspähen Dritte Diskriminieren Datenübermittlung Weitergeben Anbieter Ausspähen EZ in Tarragona am Angreifer 5 Icons: UsersInsights

6 I. Überwachung durch Dritte II. Ausspähen durch Angreifer III. Missbrauch durch Anbieter Bisherige Arbeiten Ideen zur Fortführung Querbezüge (Recht, Ethik, )? Überwachen Anwender Ausspähen Dritte Diskriminieren Datenübermittlung Weitergeben Anbieter Ausspähen Angreifer 6

7 I. Überwachung durch Dritte a. Evaluation existierender Systeme geld.de bmw.de hotel.de? Akademiker 35 J. Interessen: Überwachen Anwender Ausspähen Data Dritte Broker Bluekai, Doubleclick, Diskriminieren Datenübermittlung Weitergeben Anbieter Ausspähen Angreifer 7

8 Ziel von Data Brokern: Nutzer über lange Zeiträume beobachten Existierende Ansätze nicht zuverlässig Tracking mit Cookies Browser-Fingerprinting PC 1 PC 2 Canvas Defender Forschungsfrage: Ist Tracking trotzdem noch möglich? Evaluation unter realistischen Bedingungen 8

9 Herausforderung für Data Broker Wiedererkennung von Nutzern trotz wechselnder IP-Adressen Neues Verfahren verhaltensbasierte Wiedererkennung Katja Mai Mai Mai Mai M

10 3. Mai spiegel.de google.de apple.com dresden.de airbus.com 4 x 15 x 1 x 3 x 2 x Hypothese: wiederkehrende und charakteristische Muster 1 x 9 x 0 x 6 x 3 x 4. Mai spiegel.de google.de apple.com dresden.de airbus.com Mai Mai Mai Mai M

11 Potenzielle Anwender 1. Data Broker mit großer Reichweite 2. Anbieter freier DNS-Nameserver Google Doubleclick auf 80% der Top 1 Mio. Seiten (2015) Google Public DNS 14% aller DNS-Anfragen (2016) Welche Bedrohung geht davon aus? Überprüfung für DNS-Server 1. Datenerhebung 2. Simulation (24h-Sitzungen) 3. Evaluation :00:01 u0001 paypal.com :00:01 u0002 airbus.de insgesamt 61 Tage :59:58 u :59:59 u3715 img.bild.de pseudonymisiert, aber mit»ground truth«libert: Exposing the invisible web, Int. Journal of Communication 9, 0 (2015); (2016) 11

12 Vorgehensweise des Data Brokers: Sitzungen vektorisieren und paarweise Kosinus-Ähnlichkeit bestimmen airbus.com bahn.de cos = 0, cos = 0,43 0 gestern heute 12

13 Ergebnis der Evaluation: Verhaltensbasierte Verkettung robuster als erwartet 86 % der Sitzungen korrekt verkettet Anzahl der Nutzer % Tage zwischen Sitzungen % 62 % 100 Domains 5 Mio. Domains Clustering (k-means) perfekte Verkettung bei 40 % der aktiven Nutzer über 7 Tage (13 % über 56 Tage) Diskriminative Domains werden in jeder Sitzung von genau einem Nutzers angefragt (z.b. PETER-MEIER-PC.local) Kirchler, Herrmann, Lindemann, Kloft: Tracked Without a Trace: Linking Sessions of Users by Unsupervised Learning of Patterns in Their DNS Traffic. Proc. AISec@CCS 2016, ACM. 13

14 I. Überwachung durch Dritte a. Evaluation existierender Systeme geld.de bmw.de hotel.de? Akademiker 35 J. Interessen: Überwachen Data Dritte Broker Weitergeben Anwender Datenübermittlung Anbieter Anwendung der verhaltensbasierten Verkettung ist nicht nachvollziehbar. Inferenzangriffe regulatorisch kaum zu verhindern. 14

15 I. Überwachung durch Dritte b. Datenschutz-Dienste für Anwender? hotel.de?? Data Broker Datenübermittlung Anwender Anbieter Selbstdatenschutz ggü. DNS-Servernund Werbenetzen 15

16 Existierende Schutzmechanismen für DNS ungeeignet da Namensauflösung spürbar verzögert wird. Client Mix Mix Server Leichtgewichtige und datenschutzfreundliche Namensauflösung mit EncDNS Sender: Alice Sender: DNS-Server Alice normaler DNS-Server Nameserver für Zone cnn.com 16

17 Existierende Schutzmechanismen für DNS ungeeignet da Namensauflösung spürbar verzögert wird. Client Mix Mix Server Leichtgewichtige und datenschutzfreundliche Namensauflösung mit EncDNS verschlüsselt y%8 1 az.encdns.com Sender: Alice verschlüsselt y%8 1 az.encdns.com Sender: DNS-Server Sender: encdns.com Alice normaler DNS-Server Nameserver für Zone encdns.com Nameserver für Zone cnn.com Herausforderung: beschränkter Platz Verwendung der NaCl-Bibliothek Messergebnisse: geringe Verzögerung, gut skalierbar (>6000 Anfragen/Sek. je Server) Herrmann, Lindemann, Federrath: EncDNS: A Lightweight Privacy-Preserving Name Resolution Service. Proc. ESORICS 2014, LNCS 8712, Springer. 17

18 Datenschutzfreundliche Namensauflösung könnte sogar schneller sein als herkömmliche Nameserver. 1. Beobachtung wenige Domains sehr populär Top Domains: 80% aller Anfragen 2. Beobachtung IPs vieler Domains lange konstant für 50% der Domains TTL > 5 min PushDNS Service: sendet IP-Adressen der populärsten Domains zu Anwendern Namensauflösung unbeobachtbar und völlig verzögerungsfrei push to clients next domain TTL expired? yes no Aufwand für Betreiber ( Domains): Aktualisierung: 350 MB pro Tag Übermittlung: 0,8 KB/s pro Nutzer yes resolve domain new IP? no Federrath, Fuchs, Herrmann, Piosecny: Privacy-Preserving DNS: Analysis of Broadcast, Range Queries and Mix-based Protection Methods. ESORICS 2011, LNCS 6879, Springer. 18

19 Weniger Aufwand, wenn Schutz in Infrastruktur (beim DSL-Anbieter) integriert wird. Genauigkeit der Verkettung 5 min 31 % Schutz vor Tracking: IP-Adresse häufig ändern (wenn Tracking durch Cookies und Browser- Fingerprinting ebenfalls verhindert wird) 1 h 55 % Internetzugangsanbieter könnten leichtgewichtigen Anonymisierungsdienst anbieten 24 h 86 % Projekt AN.ON-next BMBF, TU Dresden, Uni Frankfurt/Main, Uni Hamburg, Uni Regensburg, JonDos GmbH, manitu GmbH, ULD Sitzungsdauer 19

20 Herstellung von Unverkettbarkeit durch Adresswechsel TYPISCHE SITUATION airberlin.de paypal.com tracking.net t t EBENE DER EPOCHEN airberlin.de tracking.net paypal.com tracking.net paypal.com tracking.net Dauer von t? Wechsel synchron für alle Nutzer? 20

21 Herstellung von Unverkettbarkeit durch Adresswechsel TYPISCHE SITUATION airberlin.de paypal.com tracking.net t t EBENE DER EPOCHEN airberlin.de tracking.net paypal.com tracking.net paypal.com tracking.net airberlin.de Dauer von t? Wechsel synchron für alle Nutzer? EBENE DER VERBINDUNGEN airberlin.de tracking.net paypal.com tracking.net paypal.com tracking.net airberlin.de Adress-Pinning anhand Hostname erforderlich? Übermittlung von IP-Bouquets? NAT oder IPv6-Präfixwechsel? 21

22 I. Überwachung durch Dritte b. Datenschutz-Dienste für Anwender? hotel.de?? Data Dritte Broker Bluekai, Doubleclick, Datenübermittlung Anwender Anbieter Benutzbarer Schutz vor Dritten durch Verlagerung in die Infrastruktur 22

23 II. Ausspähen durch Angreifer Evaluation existierender Systeme Flüchtigkeitsfehler von Entwicklern Datenübermittlung Anwender Anbieter Ausspähen Ausspähen Angreifer 23

24 Durch Typosquatting kann es Angreifern gelingen, in Systeme von Entwicklern und Anbietern einzudringen und sensible Daten zu stehlen. Software-Repositorys PyPi (Python), NPM (JS), RubyGems sudo pip install requests Jeder darf Pakete mit beliebigen Namen hochladen; diese sind sofort verfügbar; Schadcode bei Installation und zur Laufzeit ausführbar. Ausnutzen von Tippfehlern und Irrtümern reqeusts request req7ests urllib json bs4 Studie mit 214 Paketnamen Installationsmeldung per HTTP-Request; Warnhinweis für Entwickler auf Konsole Unterschätztes Problem > Installationen 44 % als root, 25 mil/gov in stdlib enthalten! sudo pip install beautifulsoup4 import bs4 from BeautifulSoup Konzept für sicheres Software-Repository: Blacklisting von irreführenden Namen Entwickler vor Paketen mit niedriger Reputation warnen N. Tschacher: Typosquatting in Programming Language Package Managers. Bachelorarbeit, Universität Hamburg,

25 II. Ausspähen durch Angreifer Datenübermittlung Anwender Ausspähen Anbieter Ausspähen Angreifer Chancen zur Gestaltungsicherer Systeme 25

26 III. Missbrauch durch Anbieter a. Evaluation existierender Systeme Weitergabe? Frühere Buchungen: Anwender Datenübermittlung Anbieter Bonn 01/16 78 Florenz 08/16 99 Datenschutzrecht Anspruch auf Auskunft und Löschung BDSG 34 f. 26

27 Wie reagieren Anbieter auf Auskunftsanfragen? Evaluation von 120 Webseiten und 150 Apps Registrierung Paul Meier Vogt-Kölln-Str Hamburg Mobil: geb. am Fake-Anfrage! Sender: An: Paul Meier Datenschutzbeauftragter (sonst: Kunden-Support) Sehr geehrte Damen und Herren, ich würde mich gerne darüber informieren, welche Daten Sie über mein Profil gespeichert haben und wie diese verwendet werden. Bitte lassen Sie mir diese Informationen zeitnah zukommen. Mit freundlichen Grüßen Paul Meier 27

28 Wie reagieren Anbieter auf Auskunftsanfragen? Evaluation von 120 Webseiten und 150 Apps Registrierung Paul Meier Vogt-Kölln-Str Hamburg Mobil: geb. am Fake-Anfrage keine akzeptable Antwort innerhalb 1 Woche? Sender: An: Paul Meier <paul.meier@barmail.de> Datenschutzbeauftragter (sonst: Kunden-Support) informelle Anfrage Sehr geehrte Damen und Herren, ich würde mich gerne darüber informieren, welche Daten Sie über mein Profil paul.meier@barmail.de gespeichert haben und wie diese verwendet werden. Bitte lassen Sie mir diese Informationen zeitnah zukommen. Mit freundlichen Grüßen Paul Meier 28

29 Wie reagieren Anbieter auf Auskunftsanfragen? Evaluation von 120 Webseiten und 150 Apps Registrierung Paul Meier Vogt-Kölln-Str Hamburg Mobil: geb. am Fake-Anfrage keine akzeptable Antwort innerhalb 1 Woche? Sender: An: Paul Meier <paul.meier@barmail.de> Datenschutzbeauftragter (sonst: Kunden-Support) informelle Anfrage keine akzeptable Antwort innerhalb 1 Woche? formale Anfrage Sehr Hiermit geehrte fordere Damen ich Sie und gem. Herren, 34 BDSG auf mir Auskunft zu erteilen, welche Daten über mich bzw. mein Profil ich paul.meier@barmail.de würde mich gerne darüber bei Ihnen informieren, gespeichert welche sind Daten und zu Sie welchem über mein Zweck Profil ( 34 paul.meier@barmail.de I-III BDSG i.v.m. 6 II, gespeichert 28 Abs. 4) haben und wie diese verwendet werden. Bitte lassen Sie mir Für diese Erledigung Informationen setze ich zeitnah Frist zukommen. auf den [+ 7 Tage]. Nach fruchtlosem Ablauf der Frist behalte ich mir vor, die für Sie Mit zuständige freundlichen Aufsichtsbehörde Grüßen gem. 38 BDSG Paul einzuschalten. Meier 29

30 Wie reagieren Anbieter auf Auskunftsanfragen und auf Aufforderungen zur Löschung? Evaluation von 120 Webseiten und 150 Apps Phase 1: Datenauskunft 4 Wochen später Phase 2: Datenlöschung Registrierung Fake-Anfrage Registrierung mit anderem Pseudonym informelle Anfrage formale Anfrage Erkennung unvollständiger Löschung Login noch möglich Passwort vergessen reaktiviert Konto erneute Registrierung nicht möglich informelle Anfrage Konto nach 1 Woche noch vorhanden? formale Anfrage 30

31 Ergebnisse für Datenauskunft bei Webseiten Hypothesen zur Datenauskunft: Bezug auf BDSG und Beharrlichkeit zahlen sich aus. Bearbeitung erfolgt nicht mit gebührender Sorgfalt. Fake-Anfrage OK (0.18) 0.07 keine Reaktion (0.43) 0.02 Auskunft verweigert (0.30) informelle Anfrage unvollständig Konto verschwunden OK (0.28) unvollständig (0.28) 0.01 keine Reaktion (0.31) formale Anfrage nicht erreichbar verweigert OK (0.43) unvollständig 0.01 keine Reaktion (0.23) Herrmann and Lindemann: Obtaining personal data and asking for erasure: Do app vendors and website owners honour your privacy rights? Proc. Sicherheit 2016, LNI P-256, Gesellschaft für Informatik. 31

32 Art und Umfang der ausgestellten Auskünfte variiert erheblich. 32

33 Die Ergebnisse zur Datenlöschung fallen besser aus aber nur auf den ersten Blick. informelle Anfrage vollständig gelöscht (0.48) keine Reaktion (0.26) 0.08 formale Anfrage gesperrt verschwunden nicht erreicht unvollständig vollständig gelöscht (0.52) gesperrt (0.18) 0.11 keine Reaktion (0.17) Ohne Rückfrage! Sender: An: Support Guten Tag Michael, Ihr Konto ist hiermit gelöscht. Mit besten Grüßen aus Hamburg Mathilde 33

34 III. Missbrauch durch Anbieter a. Evaluation existierender Systeme Rechtsanspruch auf Auskunft und Löschung Unbefriedigend für Anwender und Anbieter. Technische Unterstützung wünschenswert. Datenübermittlung Anwender Anbieter 34

35 III. Missbrauch durch Anbieter b. Datenschutz-Dienste für Anbieter? Dritte Weitergeben Diskriminieren Datenübermittlung Anwender Anbieter Gesetzgeber fordert Privacy by Design, aber den Anbietern fehlen Wissen und Werkzeuge AppPETs (BMBF, ) Uni Hamburg, TU Berlin, WWU Münster mediatest digital, JonDos, praemandatum, ULD 35

36 Ziel von AppPETs: Leichtgewichtiges Privacy by Design für Smartphone-Apps Ausgangslage Vertrauen in Anbieter nötig Datenverarbeitung kaum nachvollziehbar identifizierbar vertrauliche Daten App verschlüsselte Übertragung? Server anonymisiert? verschlüsselt? AppPETs leicht benutzbar: Zugriff auf Datenschutz-Dienste über P-Library nachvollziehbare Zusicherungen, günstig zertifizierbar App P-LIBRARY P-SERVICES z.b. Tor Server 36

37 Die P-Library verbessert die Nachvollziehbarkeit für Anwender. P-LIBRARY P-SERVICE Private Lookup Hotel suchen 96 1 NACHT im EZ SEARCH BOOK P-SERVICE Private Lookup P-SERVICE Anonymizer Vergleichsportal Verfügbare Hotels Konditionen Hotel 71 Reservierungen DEIN PROFIL STORE P-SERVICE Crypto Store 37

38 III. Missbrauch durch Anbieter b. Datenschutz-Dienste für Anbieter? Dritte Weitergeben Diskriminieren Datenübermittlung Anwender Anbieter Informatiker Juristen Philosophen Ethiker 38

39 III. Missbrauch durch Anbieter b. Datenschutz-Dienste für Anbieter? Dritte Weitergeben Diskriminieren Datenübermittlung Anwender Anbieter Informatiker Juristen Philosophen Ethiker H2020 ( ) 39

40 I. Überwachung durch Dritte II. Ausspähen durch Angreifer III. Missbrauch durch Anbieter Leichtgewichtige Datenschutz-Dienste für Anwender und Anbieter Entwickler y%8 1aZ.encdns.com Techn. Datenschutz PushDNS, IP-Bouquets Anwender Anbieter Schwächen in heutigen Systemen identifizieren Datenschutzfreundliche Systeme gestalten Dr. Dominik Herrmann Status Quo erhalten Neues ermöglichen Big Data in Medizin und Social Sciences 40