PRIVACYSCORE.ORG. Ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsprobleme. Dominik Herrmann Universität Bamberg

Transkript

1 PRIVACYSCORE.ORG Ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheits- und Privatheitsprobleme Pascal Wichmann Universität Hamburg Dominik Herrmann Universität Bamberg mit Max Maaß (TU Darmstadt) und Henning Pridöhl (Uni Bamberg)

2 PRIVACYSCORE.ORG Pascal Wichmann Universität Hamburg Bachelor-Student in Informatik Dominik Herrmann Universität Bamberg Professor für Privacy & Security

3 Motivation 3

4 Wer weiß eigentlich, dass ich mich für Sozialhilfe interessiere? THE NEW NORMAL? 4 4

5 Existierende Scanning-Dienste konzentrieren sich auf einzelne Seiten 5

6

7

8 Existierende Scanning-Dienste richten sich an Server-Betreiber verwenden ein vordefiniertes Bewertungsschema Description Modifier HSTS preloaded 5 HSTS header max age 6 months 0 HSTS header max age < six months -10 HSTS header not implemented -20 HSTS header cannot be set, as site contains an invalid certificate chain

9 PrivacyScore hat anderen Fokus Ziel: öffentliche Benchmarks, um Anreize für Betreiber schaffen, den Schutz der Privatsphäre zu verbessern. Jeder kann (annotierte) Listen von Webseiten hochladen und (bald ) das Ranking beeinflussen. Open Source (GPLv3+) und Open Data NUTZERDEFINIERTE ATTRIBUTE Schneiden Städte in Bayern besser ab als in Hamburg? Korreliert Größe eines Krankenhauses mit Rang seiner Webseite?? Out of scope: Pentesting, SQLI, XSS, 9

10 Ausgewählte Listen 10

11 Check-Gruppen No Tracking Encryption to Website Encryption to Mailserver Protection Against Other Attacks Third Parties Bekannte Tracker Server-Standorte HTTPS/STARTTLS verfügbar? Zertifikat: validity / key size Unsichere Protokollversionen: SSLv3 Bekannte Schwachstellen: Heartbleed Informationsleck Referer-Policy Security-Header HSTS HPKP Automatische Umleitung zu HTTPS

12 Ranking und Detail-Ergebnisse 12

13 Sortierung ändern Öffentliches Ranking

14 Detail-Ergebnisse

15 Prüfung auf typische Informationslecks phpinfo.php test.php backup.sql server-info server-status.git.svn server.key <domain>.key ubuntu4.22 is the current version!! ZENSIERT 15

16 phpinfo.php test.php backup.sql server-info server-status.git.svn server.key <domain>.key Erste ernstzunehmende Beschwerde im November Rechtliche Zulässigkeit Dürfen wir Webseiten ohne Zustimmung scannen? Siehe arxiv.org/abs/ (GI INFORMATIK 2017) TL;DR: Betrieb in Deutschland grundsätzlich erlaubt Ethische Abwägungen PrivacyScore istein Dual-Use-Tool. nichtalle Ergebnisse leicht zugänglich Rate-Limiting als Schutz vor DoS Blacklisting auf Wunsch 16

17 Technische Umsetzung 17

18 Verteilte Infrastruktur mit virtuellen Maschinen (derzeit ca. 30 VMs) Redis PostgreSQL... Worker Threads Worker 1 User Master RabbitMQ Worker Threads Worker n Master Slaves 18

19 Entkopplung von Scan-Modulen und Checks während des Scanvorgangs während der Auswertung Scan-Module Checks network HTTPS vorhanden? testssl.sh openwpm Fakten sammeln {Results} interpretieren SSLv3 angeboten? bekannte Tracker?... openwpm: Firefox ESR + Selenium 19

20 Statistiken 20

21 Ausgewählte Statistiken (November 2017) Gesamt Anzahl Seiten Anzahl Scans HTTPS verfügbar mit Umleitung % 23 % Alexa Top % leider noch nicht öffentlich 19 % 19 % Deutsche Kommunen veraltetes SSL: v2/v % 1 % 106 Informationslecks 585 3,0 % 2,7 % 230 Status/Debuginfo 503 2,5 % 2,0 % 174 Repositories (git/svn) 87 0,4 % 0,0 % 7 Datenbank-Dumps 17 0,0 % 0,0 % 8 Private-Keys 2 0,0 % 0,0 % 0 Anz. Cookies (Mittelwert) 4,5 1,6 für Third-Party-Tracking 2,0 0,3 21

22 Wie verbreitet ist Tracking auf Seiten von Kommunen? (November 2017) Top 20 Cities Known Trackers Third Party Servers Third Party Cookies Web: HTTPS Mail: STARTTLS Betrieb durch Mediaagentur Hamburg no redirection minor issues Berlin minor issues no TLS 1.2 Leipzig no redirection minor issues München enforces HTTP! minor issues adnxs.com googlesyndication.com Bremen minor issues no TLS 1.2 mxcdn.net adsafeprotected.com Dresden no redirection minor issues tealiumiq.com youtube.com Düsseldorf certificate issue check timed out mookie1.com adform.net criteo.com Hannover minor issues minor issues adtech.de google-analytics.com Köln enforces HTTP! minor issues gstatic.com truste.com oms.eu Stuttgart no redirection minor issues tiqcdn.com adnet.de mathtag.com Bielefeld no redirection refinedads.com minor issues stickyadstv.com Bonn check timed googleapis.com out minor issues smartadserver.com Duisburg no redirection doubleclick.net check timed theadex.com out m6r.eu Essen minor issues mpnrs.comminor adition.com issues fqtag.com Wuppertal minor issues 2mdn.net minor intelliad.de issues ioam.de Münster minor issues meetrics.net no turn.com TLS 1.2 fonts.com Dortmund no TLS 1.2 cloudfront.net minor mp-success.com issues Nürnberg no TLS 1.2 sascdn.comminor adscale.de issues nuggad.net Bochum minor issues content-recommendation.net minor issues [ ] Frankfurt minor issues minor issues 22

23 Änderungen im Zeitverlauf nachvollziehbar machen (in Entwicklung) NO. OF KNOWN TRACKERS 14 Aug 27 Oct Delta Alle URLs werden (mehr oder weniger) regelmäßig erneut überprüft. Piraten 0 0 Linke 0 1!! Die PARTEI 0 0 CDU 1 1 Grüne 1 2!! SPD 1 0 J FDP 2 2 AFD 4 4 CSU 5 38!!!? 23

24 PrivacyScore.org: Ein Benchmarking-Portal zur Analyse von Webseiten auf Sicherheitsund Privatheitsprobleme TODOs Listen editieren, private Listen, User-Management, Ranking-Templates, benutzbarere Auswertungen OCSP, OCSP-Stapling, Browser-Fingerprinting, Inferieren von Versionsnummern Abuse-Prozess, Containment, Was fehlt OWASP-Ranking-Schema Eure Ideen? Eure Listen! Pascal Wichmann & Dominik Herrmann Follow