NMI14 Pavel Schamberger - Cookieless Monster: Fingerprinting zařízení skrze webový prohlížeč
-
Upload
new-media-inspiration -
Category
Technology
-
view
221 -
download
0
description
Transcript of NMI14 Pavel Schamberger - Cookieless Monster: Fingerprinting zařízení skrze webový prohlížeč
WEB BASED DEVICE FINGERPRINTING*
*cookieless edition
08.02.2014#NMI148
COOKIES● 1994 - Lou Montulli (Netscape Comm.)
● session, persistent, secure, httponly● third-party, supercookie, zombie...
● ⅓ uživatelů maže cookies v průběhu 1 měsíce
Identifikace zařízení● Cookieless - jde to i bez cookies! ● Fingerprinting - 2009 (DNT)
● Platforma, rozlišení, timezone, fonty, pluginy…
● Pasivní vs aktivní● Konstruktivní vs destruktivní
How Unique is Your Browser?
● Peter EckersleyElectronic Frontier Foundation (2010)
https://panopticlick.eff.org/
● open-source fingerprinting software
ECKERSLEY, Peter. How Unique Is Your Web Browser?. In: ATALLAH, Mikhail J a Nicholas J HOPPER. Privacy enhancing technologies: 10th international symposium, PETS 2010, Berlin, Germany
● 94.2% prohlížečů s Javou a Flashem unikátní ve vzorku 286,777.
● 99.1% po změně správně detekováno
● V průměrů přes 18 bitů identifikačních informací
You are so special to me ♪♪♪
Identifikační informace● Jméno + adresa?● dr. Latanya Sweeney (2007): “ZIP + DoB +
gender identifies almost all US residents”
● 7 miliard lidí○ okolo ~20 000 (50 000) na jedno PSČ○ děleno 365 pro den narození○ děleno ~70 pro rok narození○ děleno 2 pro pohlaví
Identifikační informaceK identifikaci osoby potřebujeme 33bitů
log2 7 miliard = 33 bitů
Narozeniny:log2 365.25 = 8.59 bitů(1. duben = 8.51 bitů / 29. únor = 10.51 bitů)
NIKIFORAKIS, Nick, Alexandros KAPRAVELOS, Wouter JOOSEN, Christopher KRUEGEL, Frank PIESSENS a Giovanni VIGNA. Cookieless Monster: Exploring the Ecosystem of Web-Based Device Fingerprinting. 2013 IEEE Symposium on Security and Privacy [online]. IEEE, 2013, s. 541-555
Kde?
Alexa top 10,000 - 40 webů (0.4%)● Pornography 15%● Personals/Dating 12.5%● Skype.com
NIKIFORAKIS, Nick, Alexandros KAPRAVELOS, Wouter JOOSEN, Christopher KRUEGEL, Frank PIESSENS a Giovanni VIGNA. Cookieless Monster: Exploring the Ecosystem of Web-Based Device Fingerprinting. 2013 IEEE Symposium on Security and Privacy [online]. IEEE, 2013, s. 541-555
Jak se bránit?● “The anonymity set is the set of all possible
subjects who might cause an action...”- Andreas Pfitzmann
● Tor Browser Bundle (TorButton)● NoScript● iPhone & Android
Děkuji za pozornost!