Private Daten und das Internet

1. Private Daten und das Internet Raphael Wigoutschniggraphael@syssec.at Universität Klagenfurt Angewandte InformatikSystemsicherheit syssec

2. Gliederung • Das Internet vergisst nichts • Informationen in den falschen Händen • Übertragung sensibler Daten – WLAN • HTTP-Sitzungen & Session hijacking • Ich weiß was du letzten Sommer getan hast Private Daten und das Internet

3. Das Internet vergisst nichts 1 • Warum vergisst der Mensch? • Archive.org archiviert das Internet • Größe: 4.5 Petabyte (Stand 2009) • 151 Milliarden Homepages gespeichert • Was gespeichert wurde, geht nicht mehr verloren. • Wachstum: 100 Terabyte/Monat (Stand 2010) Quelle: http://de.wikipedia.org/wiki/Gehirn Private Daten und das Internet

4. Das Internet vergisst nichts 2 • Suchmaschinen indizieren Daten. • Daten bleiben nach dem Löschen im Cache. • Beispiele • http://www.google.at • http://123people.at • www.yasni.de • Facebook • Jeder, der irgendwo im Internetaufscheint, wird auch gefunden. Private Daten und das Internet

5. Informationen in den falschen Händen 1 • Im Internet gibt es keine Privatsphäre • In Social Networks werden leichtfertig Informationen gepostet. • Das Löschen der Daten kann nicht kontrolliert werden. • Daten können weitergegeben/verkauft werden. • Data-Mining & Profiling • Persönliches Profil (z.B. Interessen) werden erstellt. • Freigegeben Daten können eventuell nie mehr gelöscht werden. • Daten können in falsche Hände geraten. • Cyber Stalking & Rufmord • Digitales Nachstellen • Verbreiten von Gerüchten Private Daten und das Internet

6. Informationen in den falschen Händen 2 • Behörden • Können auf Daten zugreifen • Betreiber übergeben auf Anfrage Daten. • „Britischem Paar wurde Einreise in die USAwegen einer Twitter-Nachricht verwehrt.„… free this week for a quick gossip/prep before I go and destroy America?” • Arbeitgeber • Analyse von Bewerbern • Zusatzinfos einholen • Vorbereitung auf Gespräche Private Daten und das Internet

7. Informationen in den falschen Händen 3 • Interesse der Arbeitgeber • Kommunikationsfähigkeiten • Veröffentlichung von unangemessenen Fotos • Alkohol- oder Drogenkonsum • Bemerkungen über ehemalige Arbeitgeber • Qualifikationen (korrekte Angabe bei Bewerbung) • Diskriminierung anderer • Benutzernamen (nomen est omen) • Kriminelle Vergangenheit (Zukunft?) • Foreneinträge haben schon zuEntlassungen geführt. Quelle: CareerBuilder.de Private Daten und das Internet

8. Informationen in den falschen Händen 4 • Wie kann man sich schützen? • Keine sensiblen Daten publizieren. • Restriktive Einstellungen in Sozialen Netzwerken. • Nicht jeden als Freund akzeptieren (z.B. Facebook). • Sich selbst Googlen und eventuell Löschung von Daten beantragen. • Kinder frühzeitig sensibilisieren und informieren. Private Daten und das Internet

9. Übertragung sensibler Daten – WLAN 1 • Keine WLAN-Verschlüsselung • Lokaler Angreifer (176-176) kann problemlos alle Daten mitlesen. • Auch ein Angreifer im Internet (176-167) ist erfolgreich. • Vorsicht bei: Flughafen-WLAN, Hot-Spots in Städten, … Private Daten und das Internet

10. Übertragung sensibler Daten – WLAN 2 • WEP-Verschlüsselung • 176-176 hat keinen Schlüssel und kann nicht mehr mithören. • WEP ist veraltet und sollte nicht mehr verwendet werden. Private Daten und das Internet

11. Übertragung sensibler Daten – WLAN 3 • WEP-Verschlüsselung • 176-176 ruft 176-617 hinzu. • 176-617 hat den WEP-Schlüssel und kann also wieder mitlesen. Private Daten und das Internet

12. Übertragung sensibler Daten – WLAN 4 • WPA-Verschlüsselung • Jeder Client erhält einen eigenen Sitzungsschlüssel. • Auch 176-617 kann jetzt nichts mehr ausrichten. • 176-167 kann aber weiter ungestört mitlesen. Private Daten und das Internet

13. Übertragung sensibler Daten – WLAN 5 • Ende-zu-Ende Verschlüsselung (HTTPS) • Jetzt ist auch 176-167 traurig. • Durch die Verwendung von HTTPS ist die Kommunikation bis zum Server gesichert. • HTTPS lässt sich bei vielen Webseiten einstellen. • Keine WLAN-Verschlüsselung nötig. Private Daten und das Internet

14. HTTP-Sitzungen & Session hijacking 1 • HTTP-Sitzungen werden verwendet, damit Webserver-Anfragen einem Benutzer zugeordnet werden können (Session-ID). • Warenkorb auf Amazon, Internetbanking, Foren • Facebook/Twitter/Google/Flickr/… • Session hijacking = Übernehmen von Browser-Sitzungen • FireSheep/DroidSheep • Angreifer kann Nachrichtenlesen und schreiben. • Für gut gesicherte Web-Seiten kein Problem. • NICHT AUSPROBIEREN! Private Daten und das Internet

15. HTTP-Sitzungen & Session hijacking 2 Benutzer sendet Anfrage anden Server. Angreifer hörtdie Anfrage mit (WLAN-Sniffer). Angreifer stellt eigene Anfragean den Server und verwendetdabei die Session-ID. Der Server denkt, dass es sichum den Benutzer handelt undantwortet dem Angreifer. Private Daten und das Internet

16. HTTP-Sitzungen & Session hijacking 3 • Wann funktioniert Session hijacking? • Kommunikation nicht verschlüsselt. • Nur Login-Prozess verschlüsselt. • Angreifer kann den Benutzer abhören (z.B. ungesichertes WLAN). • Wie kann man Session hijacking verhindern/erkennen? • Nur Seiten verwenden, die nach dem Login auch HTTPS-Verbindungen anbieten. • WLAN-Verschlüsselung aktivieren. • Firefox-Add-On: BlackSheep (hört die lokalen Angreifer ab ). Private Daten und das Internet

17. Ich weiß was du letzten Sommer getan hast – Teil 1 • Alles was wir tun, hinterlässt Spuren… auch im Internet… vor allem im Internet. • Durch Scripte oder IFrameskönnen Inhalte auf beliebigenSeiten angezeigt werden. • Facebook kann somit relativ leichtverfolgen, welcher seiner User auf welchen Seiten surft. • Aber auch Nicht-Facebook-Userhinterlassen Spuren. • Mehr als 1 Million Seiten verwendendiese Facebook Plugins. Private Daten und das Internet

18. Ich weiß was du letzten Sommer getan hast – Teil 2 • Aber auch Google kann das. • Google Analytics bietetWebseiten-Besitzern die MöglichkeitBesucheranalysen durchzuführen. • Dabei wird ähnlich wie bei Facebookeine JavaScript-Datei unbemerkt vomBenutzer von dessen Browser geladen. • Google erhält somit durch das Scriptviele Informationen über die Nutzerund deren Verhalten im Internet (Logfiles). 80.121.89.5 - - [10/Jul/2011:08:13:03 +0200] "GET /rssexport HTTP/1.1" 404 398 "-" "Mozilla/5.0 (X11; ... 80.121.89.5 - - [10/Jul/2011:08:13:06 +0200] "GET /rss HTTP/1.1" 200 14467 "-" "Mozilla/5.0 (X11; ... 198.145.117.113 - - [10/Jul/2011:08:26:20 +0200] "GET /rss HTTP/1.1" 200 14467 "-" "Dlvr.it/1.0 ... 198.145.117.113 - - [10/Jul/2011:08:42:21 +0200] "GET /rss HTTP/1.1" 200 14467 "-" "Dlvr.it/1.0 ... 198.145.117.113 - - [10/Jul/2011:08:58:20 +0200] "GET /rss HTTP/1.1" 200 14467 "-" "Dlvr.it/1.0 ... 85.48.198.109 - - [10/Jul/2011:09:06:38 +0200] "GET http://www.sina.com.cn/ HTTP/1.1" 200 1699 "-" ... 80.121.121.235 - - [10/Jul/2011:10:53:05 +0200] "GET /rssexport HTTP/1.1" 404 398 "-" "Mozilla/5.0 (X11; ... 80.121.121.235 - - [10/Jul/2011:10:53:07 +0200] "GET /rss HTTP/1.1" 200 14467 "-" "Mozilla/5.0 (X11; ... Private Daten und das Internet

19. Ich weiß was du letzten Sommer getan hast – Teil 3 • HTTP-Kommunikation ohne fremden Server Benutzer öffnet eine Webseite.Browser sendet eine HTTP-Anfrage. Server antwortet mitHTML-Code inkl. Links auf Bilder. Der Browser lädt automatischdasBild 87px-Funso_24_Jan_2012_cropped.jpg nach. Private Daten und das Internet

20. Ich weiß was du letzten Sommer getan hast – Teil 4 • HTTP-Kommunikation mit fremdem Server Benutzer öffnet eine Webseite.Browser sendet eine HTTP-Anfrage. Server antwortet mitHTML-Code inkl. Links auf Bilder und einem Script von Google. Der Browser lädt automatischdie Bilder und startet das Script.Das Script lädt weitere Daten vonGoogle nach und sendet dabeiGoogle, auf welcher Webseiteman sich gerade befindet (referer). Google weiß nun, welche IP-Adressegerade auf welcher Seite surft. Zuordnung zuNamen durch Benutzerkonten ist möglich. Private Daten und das Internet

21. Ich weiß was du letzten Sommer getan hast – Teil 5 • Schätzungen nach verwenden 50% der größeren Webseiten Google Analytics. • kleine.at, orf.at, krone.at, kurier.at, geizhals.at, willhaben.at • ktn.gv.at, landesschulrat-kaernten.at, klagenfurt.at • … • Gut 70% aller Webseiten verwenden Tracking-Dienste. • Google AdWordswird auf bis zu 57% aller nennenswerten Webseiten verwendet. • Für die Webmaster unter euch • Die Verwendung von vielen Tracking-Diensten ist datenschutzrechtlich zumindest problematisch. • Insgesamt ist das Einbinden von externen Inhalten bedenklich. Private Daten und das Internet

22. Ich weiß was du letzten Sommer getan hast – Was tun? • Aber was kann man dagegen tun? • Add-Ons verwenden, um Überwachung zu erschweren. • Adblock • Ghostery • BetterPrivacy • Anonymisierungssoftware • Tor • JonDo (früher JAP) • I2P (Invisible Internet Project) • Die gleichzeitige Verwendung von Facebook & Co ist kontra-produktiv. Private Daten und das Internet

23. Ich weiß was du letzten Sommer getan hast – Finale • Und so sieht es dann aus • Egal wie gut wir verschlüsseln, • egal wie sehr wir darauf achten, nicht getrackt zu werden, • vielleicht geben wir dem Angreifer ja freiwillig die Daten? Private Daten und das Internet

24. Private Daten und das Internet Raphael Wigoutschniggraphael@syssec.at Universität Klagenfurt Angewandte InformatikSystemsicherheit syssec