Überwachung im Internet
Transcription
Überwachung im Internet
information technology research - www.cnlab.ch Brunnen, 10.11.2006, Weiterbildungsveranstaltung des Zentralverband Staats- & Gemeindepersonal Schweiz Überwachung im Internet Prof. Dr. Peter Heinzmann, HSR Hochschule für Technik Rapperswil und cnlab AG, Rapperswil 15.11.2006 1 Die Präsentation „Überwachung im Internet“ soll helfen, das „Risko-Bewusstsein“ bei der Nutzung von Information and Communication Technologies (ICT) zu schärfen, indem besser verstanden wird, was sich technisch abspielt (Datenflüsse, Identifikation von Rechnern, Nutzern). Die Situation wird mit aktuellen Beispielen veranschaulicht. Vor allem den „Digital Immegrants“ wird empfohlen, die eine oder andere der angegebenen Web-Sites selbst zu besuchen und so sich selbst ein Bild zu machen, was für „Digital Natives“ selbstverständlich ist. 1 Internet Sicherheit (Information Security): Digital Identity • Cartoon by Peter Steiner, July 5, 1993 The New Yorker (Vol.69, No. 20) • „digital identity“ – E-Mail-Addresses – News Authors – Web-ServerAddresses – Host-Addresses „On the Internet, nobody knows you‘re a dog“ 15.11.2006 2 The above cartoon by Peter Steiner has been reproduced from page 61 of July 5, 1993 issue of The New Yorker, (Vol.69 (LXIX) no. 20) only for academic discussion, evaluation, research and complies with the copyright law of the United States as defined and stipulated under Title 17 U. S. Code. 2 “Randdaten” zur ICT-Nutzung • • • • • • • Wer kommuniziert mit wem? Wer verwendet welche Software? Wer sucht was? Wer kennt wen? Wer bewegt sich wo? Wer macht was auf seinem Rechner? … 15.11.2006 3 Als „Überwachung“ bei der Nutzung von Information and Communication Technologies (ICT) werden hier Aspekte diskutiert, welche im Rahmen der ICT-Nutzung Informationen über Menschen liefern. 3 Wer weiss was über ICT-NutzerInnen? Alice www.flickr.com Bluewin Browser ADSL Sunrise www.flickr.com Green HSR 15.11.2006 Switch 4 In der Präsentation wird etwas genauer beobachtet, was passiert, wenn jemand auf seinem Internet-Browser eine bestimmtes Internet-Angebot anwählt (z.B. die Web-Site www.flickr.com). 4 information technology research - www.cnlab.ch Grundlagen (aufgezeichnete Daten) 15.11.2006 5 5 Identifikation von IP-Adressen, Programmen und Datenpfaden Alice Bluewin Browser 84.112.91.22 ADSL Sunrise www.flickr.com Green 68.142.214.24 HSR 15.11.2006 Switch 6 Um Daten durch das Internet zu leiten, wird jedes Paket mit einer Absender- und Destinationsadresse (Internet-Protokoll-Adresse, IP-Adresse) versehen. Die Datenpakete durchqueren Netze von verschiedensten Anbieter – z.B. in der Schweiz das ADSLAnschlussnetz von Swisscom, das Netz eines Internet Service Providers (ISP), grosse Rückgrat-Netze (Backbone-Netze), Netze bei den angewählten Web-Servern. 6 Weg der Datenpakete anzeigen (www.visualroute.com) 15.11.2006 • Wo “wohnen” die Kommunikationspartner? • Auf welchem Weg sind sie verbunden? 7 Der Datenpfad vom eigenen Rechner zum angewählten Rechner kann mit dem DOSFenster-Befehl tracert (z.B. >tracert www.flickr.ch) aufgezeigt werden. Über die Website www.visualroute.ch kann man sich Datenpfade zwischen dem Visualroute-Rechner in Bern und einem Rechner seiner Wahl aufzeigen lassen. 7 Browser Cache WWW-Client with local Cache WWW-Server Serverprogramm Browser HTTP Request HTML page Files (HTML-Seiten) auf lokaler Festplatte gespeichert: Option „Verify Documents“: • Once per Session • Every Time • Never 15.11.2006 Hypertext-/ HTML page (Homepage) Welche Seiten wurden wann von diesem Rechner aus besucht? 8 Die Ziele beim Einsatz eines Caches sind eine Verringerung der Zugriffszeit bzw. eine Verringerung der Anzahl der Zugriffe auf den auf den Server. Das bedeutet, dass sich der Einsatz von Caches nur dort lohnt, wo die Zugriffszeit auch signifikanten Einfluss auf die Gesamtleistung hat. 8 HTTP Proxy WWW Clients Browser HTTP Request WWW Server Internet Proxy Server Browser HTML page objects Serverprogram HTMLpage, objects Browser Files are stored on (centralized) proxy server 15.11.2006 Was wurde wann von welchem Rechner aus übertragen? 9 Ein Proxyserver (von engl. proxy representative = Stellvertreter, bzw. lat. "proximus" = "Der Nä(c)hste") ist ein „Stellvertreter“ für andere Server. Der HTTP-Proxyserver macht den Datentransfer effizienter (weniger Netzbelastung durch große Datenmengen) bzw. schneller und erhöht die Sicherheit, indem der gesamte Datenverkehr kontrolliert werden kann. Ein „transparenter Proxy“ ist von aussen kaum zu erkennen. Ein Proxy hat eine oder mehrere der folgenden Funktionen: •Zwischenspeicher (Cache): Der Proxy speichert gestellte Anfragen bzw. vielmehr deren Ergebnis. Wird die gleiche Anfrage erneut gestellt, kann diese aus dem Speicher beantwortet werden, ohne zuerst den Webserver zu fragen. Der Proxy stellt sicher, dass die von ihm ausgelieferten Informationen nicht allzu veraltet sind. Eine vollständige Aktualität wird daher in der Regel nicht gewährleistet. Durch das Zwischenspeichern können Anfragen schneller beantwortet werden, und es wird gleichzeitig die Netzlast verringert. Beispielsweise vermittelt ein Proxyserver einer Firma den gesamten Datenverkehr der Computer der Mitarbeiter mit dem Internet. •Filter: Mittels Proxy können beispielsweise bestimmte Kategorien von Webseiten für den Benutzer gesperrt oder Zugriffe darauf protokolliert werden. Es kann auch der Inhalt auf schädliche Programme durchsucht werden. Somit ist ein Proxy meist Teil von Firewalls. •Zugriffssteuerung: Ist der Server nicht frei im Internet erreichbar, so kann ein vorgeschalteter Proxy den Zugriff ermöglichen. Ein Angreifer kann dann den Server nicht mehr direkt angreifen, sondern nur den Proxy. Es kann auch der Zugriff von Clients auf Webserver nur über einen Proxy ermöglicht werden. •Vorverarbeitung von Daten: Proxys können auch gewisse Applikationsfunktionen übernehmen, beispielsweise Daten in ein standardisiertes Format bringen. •Anonymisierungsdienst: Der Proxy leitet die Daten des Clients zum Server weiter, wodurch der Server die IP-Adresse des Clients nicht auslesen kann. 9 Rechnertyp, Browsertyp, Referenz www.flickr.com GET www.flickr.com HTTP/1.1 Serverprogram Browser Reply Accept: image/gif, image/jpeg, image/pjpeg, application/vnd.ms-excel, application/msword, */* 84.112.91.22 Accept-Language: de-ch Accept-Encoding: gzip, deflate If-Modified-Since: Thu, 04 Feb 1999 14:36:02 GMT User-Agent: Mozilla/4.0 (compatible; MSIE 4.01; Windows NT) Referer: www.cnlab.ch/en/ 15.11.2006 HTMLPage 68.142.214.24 • Welchen Rechner, welches Betriebssystem? • Wann wurde die Information letztmals abgerufen? 10 Mit der Anfrage an den Web-Server schicken viele Browser auch noch Informationen über den eigenen Rechner mit. 10 What are Cookies good for? • Provide state in stateless HTTP protocol – Personalization, user identification (user greetings, date of last visit, language selected, personal infos) – Session tracking, allows to recall session data (e.g. shopping basket) 15.11.2006 11 CookiesPersonalization.mpg 11 Cookies GET www.flickr.com HTTP/1.1 first request Browser Serverprogram Reply Cookie next request HTMLPage GET www. Flickr.com/new/ HTTP/1.1 Cookie: Cookie: NAME=VALUE NAME=VALUE expires=DATE; expires=DATE; path=PATH path=PATH domain=DOMAIN_NAME domain=DOMAIN_NAME secure secure 15.11.2006 Cookie-Infos • “Was” kommuniziert mit uns? • Was wurde abgerufen? • Wann war der letzte Besuch? Welcher Browser kommuniziert mit mir? 12 Cookies provide state in „stateless HTTP protocol“ allowing for personalization (user greetings, date of last visit, language selected, personal infos), retrieval of Session data (e.g. shopping basket) or Session Tracking and User Identification. Cookies are pieces of information generated by a Web server and stored in the user's computer, ready for future access. Cookies are embedded in the HTML information flowing back and forth between the user's computer and the servers. Cookies were implemented to allow user-side customization of Web information. Essentially, cookies make use of user-specific information transmitted by the Web server onto the user's computer so that the information might be available for later access by itself or other servers. In most cases, not only does the storage of personal information into a cookie go unnoticed, so does access to it. Web servers automatically gain access to relevant cookies whenever the user establishes a connection to them, usually in the form of Web requests. http://wp.netscape.com/newsref/std/cookie_spec.html 12 Identifikation von Anschlüssen und Rechnern alice@bluewin.ch Alice 84.112.91.22 Bluewin 055 – 214 1818 ADSL Benutzername Sunrise > IP flickr Tel-Nummer > IP Green 68.142.214.24 152.96.33.7 MAC-Adresse > IP HSR • Welcher 00:0B:5D:F3:12:A6 15.11.2006 Switch Rechner ist es? • Logon: Wer sitzt an einem bestimmten Rechner? 13 Der ADSL-Anschlussprovider (Swisscom in der Schweiz) kennt die aktuelle Zuordnung von IP-Adressen zu Telefonanschlüssen. Im Firmennetz kennt man die Zuordnung von IP-Adressen zu Rechner-Interfacekarten (Medium-Access-Control, MAC Adressen). Der Internet Service Provider (ISP) kennt die Zuordnung von Kundenkennungen (z.B. alice@bluewin.ch) zu IP-Adressen. 13 information technology research - www.cnlab.ch Aufzeichnung aufgrund/nach Benutzereingaben 15.11.2006 14 14 “Private” Datenbanken (Bookmark sharing, Photo, Video, Tonaufnahmen) www.flickr.com Wo wurde etwas gemacht? 15.11.2006 15 Information Sharing wird immer beliebter. Private können heute mit wenigen Mausclicks und vielfach sogar kostenlos Photos, Tondokumente, Videos auf dem Internet veröffentlichen. Jeder kann heute Beschreibungen zu beliebigen Themen veröffentlichen (z.B. Blogs, Wiki) oder seine bevorzugten Internet-Adressen veröffentlichen und kommentieren (http://deli.cio.us). Mittlerweile werden Informationen mit verschiedensten Zusatzdaten versehen. Bei Flickr kann man beispielsweise auch angeben, an welchem Ort ein Photo aufgenommen wurde. Entsprechend kann man sich auch anzeigen lassen, welche Photos in einer bestimmten Region aufgenommen wurden. 15 Relationship Manager • • • XING: 1.5 Millionen Kontakte (Sept06) LinkedIn: 8 Millionen Kontakte (Nov06) Beispiel: Informationen zu Urs Stauffer – Status: Angestellter – Firma: UBS AG – Position: HR Client Relationship Manager – Ort geschäftlich: 8098 Zurich – Skype-Nutzer: ursstauffer, Wallisellen 15.11.2006 Wer kennt wen? 16 openBC/XING will das berufliche und geschäftliche Netzwerk zu einer aktiv genutzten Ressource machen. Dank der erweiterten Funktionen für Kontakt-Suche und – Management entdecken Mitglieder auf der Plattform Geschäfts- und Fachleute, Chancen sowie auf sie zugeschnittene Angebote. Business 2.0/CNN Money bezeichnet die Open Business Club AG als „one of the world’s hottest Web 2.0 startups“. Red Herring zählt das Unternehmen zu den „Top 100 Unternehmen in Europa“. Ende September 2006 hat die Networking-Plattform knapp 1,5 Millionen Mitglieder in allen Staaten der Welt und stellt zwischen ihnen Abermillionen von Verbindungen her. Seit November 2003 ist die Zahl der Mitglied kontinuierlich gestiegen. Ähnliche Angebote gibt es zum Auffinden von ehemaligen Klassenkameraden (www.classmates.com, www.klassenkameraden.ch). http://www.linkedin.com/home 16 Google Search, Google News, Google Images Wie sieht wer aus? 15.11.2006 17 Das wohl wichtigste Internet-Werkzeug sind die Suchmaschinen. Viele Leute nutzen aber nur einen Bruchteil der Funktionen, welche Suchmaschinen anbietet. Man sollte sich mal die Mühe nehmen, die erweiterten Funktionen von Google zu studieren oder speziell nach Bildern oder News-Artikeln zum gewählten Suchbegriff suchen. http://www.google.ch/intl/de/options/ bzw. http://www.google.ch/intl/de/about.html •Suche nach Bildern: http://images.google.ch •Suche nach News-Artikeln: http://news.google.ch 17 Google kann … … für einen bestimmten Benutzer (identifizierbar per IP-Adresse und/oder Google-Cookie) eine Liste der Suchbegriffe erstellen, welche dieser Benutzer eingegeben hat … anhand einer Liste von Suchbegriffen eine Liste von Benutzern erstellen, die nach diesen Begriffen gesucht haben Wer hat sich wofür interessiert? 15.11.2006 18 Viele Suchmaschinenbetreiber analysieren die eingegeben Suchbegriffe, um ihre Suchalgorithmen zu optimieren. Dabei werden nach Möglichkeit die Suchbegriffe pro Besucher untersucht. Unter anderem Yahoo, AOL und MSN haben Daten über Suchanfragen ihrer Nutzer an das amerikanische Justizministerium weitergegeben. 18 Suchbegriffe anonymisierter Benutzer für die Forschung • August 2006: AOL veröffentlicht 20Millionen Suchbegriffe – Sortiert nach 650’000 AOL-Kunden – Anonymisiert (zufällige Nummer pro Kunde) um die Privatsphäre der Kunden zu schützen • Es stellt sich die Frage, ob man Personen anhand der Suchbegriffe identifizieren könnte. 15.11.2006 19 Recently, AOL violated the privacy of 650’000 users by publicly releasing three months of search query records. Search terms can expose the most intimate details of a person's life. These records could be connected back to you and cause you great harm. Would you want strangers to know where you or your child work or go to school? How about everyone seeing search queries that reference your financial information, medical history, sexual orientation, or religious affiliation?" 19 The Face AOL Searcher No. 4417749 • No. 4417749 conducted hundreds of searches – – – – – – “numb fingers” “60 single men” “dog that urinates on everything.” “landscapers in Lilburn, Ga,” people with the last name “Arnold” “homes sold in shadow lake subdivision gwinnett county georgia” • Thelma Arnold – 62-year-old widow who lives in Lilburn, Ga., – frequently researches her friends’ medical ailments and loves her three dogs – “Those are my searches,” she said, after a reporter read part of the list to her. 15.11.2006 Welche Person hat sich wofür interessiert? 20 Reference: MICHAEL BARBARO and TOM ZELLER Jr., Published: August 9, 2006 20 information technology research - www.cnlab.ch Überwachungskameras und Positionsdaten 15.11.2006 21 21 Überwachungskamerakarte für Zürich • Kameratypus Burg: Rundumüberwachung • Erkerkamera: Eingangsüberwachung mit zwei Kameras. Spezialfall der Vorraumüberwachung • Klingelkamera: Zugangskontrolle direkt bei der Hausklingel Einschalten nach Bedarf. Fokus: mittel • Raumüberwachung: Grossflächig. Fokus: mehrere Meter. • Vorraumüberwachung: Eingang, Abfallsammelstellen und Parkplätze. Fokus: mittel. www.bigbrotherawards.ch/doc/cctv 15.11.2006 http://www.cnlab.ch/en/products/specialities/livecam_overview.html 22 Überwachungskameras im Hauptbahnhof Zürich: •An keinem anderen öffentlich zugänglichen Ort in Zürich ist die Dichte der Überwachungskameras höher als am Hauptbahnhof: Über 100 Kameras beobachten KundInnen und Angestellte von Bahn und Shopping. Der Hauptbahnhof wird täglich von 300’000 Menschen frequentiert. •Die Kameras sind alle auf den öffentlich zugänglichen Bereich gerichtet. Sie dienen der Verhaltenskontrolle, der Beweissicherung und der Einsatzplanung in Krisenfällen. Die meisten Kameras sind untereinander zu einem eigentlichen CCTV-System vernetzt, das von der Kantonspolizei und den Bundesbahnen SBB gemeinsam betrieben wird. (CCTV = Closed Circuit TV). ProduzentInnen: Bigbrother Awards Schweiz & Rote Fabrik in Zusammenarbeit mit SIUG (Swiss Internet User Group) und dem Archiv Schnüffelstaat Schweiz (ASS) Gestaltung Print / Web: Annina Rüst Überwachungskameras in Köln: Chaos Circuit Television - Datenbank http://koeln.ccc.de/updates/old/2000-10-06_berwachungskame.html Ob diese Kameras nur von den dafür berechtigten Organisationen genutzt werden können ist fraglich. Nach „Wardialing“ und „Warsurfing“ wird vielleicht „Warviewing“ als nächstes Schlawort auftauchen, um die (Un-)Sicherheit von ITC-Systemen zu veranschaulichen. 22 US Notrufnummer 911 • 2000: FCC issued an Order requiring wireless carriers to determine and transmit the location of callers who dial 9-1-1 – Phase I: location of the receiving antenna – Phase II: location of the calling telephone • Assisted GPS (AGPS) in US Mobile Phones 15.11.2006 http://www.fcc.gov/cgb/consumerfacts/wireless911srvc.html 23 The Federal Communications Commission has mandated all VoIP providers to provide 911 service. On June 3, 2005, the FCC adopted rules requiring providers of VoIP services that connect with the traditional telephone network to supply E911 capabilities to their customers. The E911 hookup may be directly with the Wireline E911 Network, indirectly through a third party such as a competitive local exchange carrier (CLEC), or by any other technical means. The FCC explained that they felt compelled to issue this mandate because of the public safety concerns. (FCC, Notice of Proposed Rulemaking, WC Docket No. 05-196 available at [1]. Last visited September 18, 2005).) http://en.wikipedia.org/wiki/9-1-1 23 15.11.2006 Wo befindet sich welches Handy? http://gprs.cnlab.ch24 Im Mobilnetz muss jederzeit bekannt sind, über welche Antenne ein bestimmtes Handy erreicht werden kann. Entsprechend lässt sich jederzeit angeben, in der Nähe welcher Antenne bzw. in welcher Zelle sich ein Mobilnetzkunde befindet. Mobilnetzprovider sind von Gesetzes wegen verpflichtet, die Zellenidentifikationen über sechs Monate abzuspeichern, damit auch Strafverfolgungsbehörden darauf zugreifen können. 24 cnlab Tourlive – ein GIS Mashup-Beispiel • • • http://www.tourlive.ch/mobile/ http://www.tourlive.ch/zuerimetzgete/ http://www.tourlive.ch/mobile/archiv.php?id=10505&zeit=28102006124716.jpg 15.11.2006 25 Mit modernen Handies und kleinen Zustzmodulen können mit der “cnlab Tourlive Software” Positions- und Bildinformationen erfasst und lokal abgespeichert, oder online auf einer Webseite angeboten werden. 25 15.11.2006 26 Beispiel zur Darstellung der TourLive-Daten auf der Webseite: Man kann sich online oder offline Bilder, Positionsdaten (geographische Koordinaten in Google Map / Google Earch, Geschwindigkeit, Höhenprofil, zurückgelegte Distanz) anzeigen lassen. 26 information technology research - www.cnlab.ch Systemmanagement und Application Service Providing (ASP) und Botnets 15.11.2006 27 27 Application Service Providing (ASP) Modell Application Server Thin Client Anwendung 15.11.2006 28 Gegenwärtig ist es im Trend, Anwendungen nicht mehr lokal auf seinem Rechner zu betreiben, sondern bei einem so genannten Application Service Provider (ASP). Entsprechend werden die Daten über das Netz übertragen und auf fremden Rechnern abgespeichert. 28 ASP Beispiele • Diverse Webmail-Anbieter – Google Mail (www.gmail.com) – GMX Mail (www.gmx.ch) – Microsoft MSN Hotmail (www.hotmail.com) • Google Kalender 15.11.2006 29 29 Verschlüsselung ist sie wirklich “End-zu-End”? www.flickr.com Serverprogram HTMLPage 84.112.91.22 68.142.214.24 15.11.2006 30 Bei der Übertragung wird häufig von “End-zu-End-Verschlüsselung” gesprochen, d.h. alle Daten, welche zwischen der Rechnern übertragen werden, sind durch kryptologische Verfahren geschützt, so dass die Daten nur von den beabsichtigten Kommunikationspartnern gelesen werden können. Beim Mensch-Maschine-Übergang bleiben die Daten aber unverschlüsselt: Die Tastatureingaben und Bildschirmausgaben sind unverschlüsselt. 30 E-Blaster Überwachungsprogramm 15.11.2006 31 E-Blaser ist seit 2003 auf dem Markt. Es wird von den Antivirenprogrammen nicht als “Virus“ oder „Trojaner“ detektiert. 31 Botnets Auf Befehl können die Botnet-Rechner für Angriffe genutzt werden Internet Victim Virus infects thousands of hosts and installs a Trojan horse Attacker Attacker feeds a virus e.g. via email into the Internet 15.11.2006 32 Eine der gegenwärtig grössten Gefahren stellen einerseits die vielen ungeschützten Rechner im Privatbereich dar. Andererseits ist die Tatsache, dass sich Angreifer heute nicht mehr profilieren sondern vielmehr verstecken wollen ein Problem. Hatte man noch vor zwei Jahren relativ schnell festgestellt, wenn jemand ein bösartiges Programm auf seinen Rechner eingespielt hat, so ist dem heute nicht mehr so. Man rechnet, dass in manchen Regionen bis zu 7% der Rechner durch Fremde kontrolliert werden können. Dazu haben sie kleine Programme (Bots) auf die Rechner gespielt und steuern diese Programme nach Bedarf. Beispielsweise zum Versand von SPAM-Mails, um bestimmte Rechner zu überfluten (Distributed Denial of Service, DDOS) oder um Tastatureingaben und Bildschirmausgaben abzufangen. 32 Phishing Attacken: Measured by the RSA 24x7 Anti-Fraud Command Center. . . • Over 4,000 phishing attacks per month (RSA, 9/06) – Nearly 40% of attacks hosted outside the U.S. (RSA, 9/06) – ~60% hosted on hijacked computers • Rapid migration to regional and smaller institutions – More brands, non-financial institutions, and online retailers being targeted 15.11.2006 Ref: RSA, Gartner Symposium Cannes, Nov 2007 33 33 information technology research - www.cnlab.ch Zusammenfassung, Ausblick 15.11.2006 34 34 Überwachung im Internet alice@bluewin.ch Alice 84.112.91.22 Bluewin IP Pfad 055 – 214 1818 Benutzereingaben ADSL Tel Sunrise flickr Green 68.142.214.24 152.96.33.7 HSR User-Monitoring 00:0B:5D:F3:12:A6 Botnet 15.11.2006 ASP Proxy Switch 35 35 Weitere Informationen • www.cnlab.ch > „documents“ für Vortragsunterlagen – Kameras – Performance Test – Tourlive (www.tourlive.ch) – Beispiel: http://privacyagent.cnlab.ch 15.11.2006 36 36