Seminarband im Fachgebiet Peer-to-Peer

Transcription

Seminarband
im Fachgebiet Peer-to-Peer-Netzwerke
Sommersemester 2009
Fachgebiet Peer-to-Peer-Netzwerke
Fachbereich Informatik
TU Darmstadt
Online Social Networks
Michel Ponka, Christian Schlehuber, Martin Kluge, Jannik Kappes, Kai Rathmann, Jens Trinh
Betreuer:
Prof. Dr. Thorsten Strufe
22.06.2009
23. Oktober 2009
Seminarband im Fachgebiet Peer-to-Peer-Netzwerke, SoSe 2009
Seite II
Inhaltsverzeichnis
1 Bedrohungen in Online Social Networks
1.1 Abstract . . . . . . . . . . . . . . . . . . . . .
1.2 Einleitung . . . . . . . . . . . . . . . . . . . .
1.2.1 Evolution der Soziale Kommunikation
1.2.2 Online Social Network: Eine Definition
1.2.3 Der Trend in OSN . . . . . . . . . . .
1.2.4 Die Wichtgsten Komponenten . . . . .
1.2.5 Die Typen von online social Networks
1.2.6 Profil in Online-Soziale-Netzwerke . .
1.2.7 Austausch von Informationen . . . . .
1.2.8 Risiko von Informationsaustausch . . .
1.3 Die Bedrohungen in OSN . . . . . . . . . . .
1.3.1 Verletzung der Privatsphäre . . . . . .
1.3.2 Neztwerk- und Informationssicherheit
1.3.3 Identitätsdiebstahl . . . . . . . . . . .
1.3.4 Soziale Bedrohungen . . . . . . . . . .
1.4 Empfehlungen . . . . . . . . . . . . . . . . . .
1.4.1 Schutz der Privatsphäre . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
1
1
1
2
4
4
5
6
10
10
11
11
12
14
15
16
17
17
2 Das Internet und die Privatsphäre der
2.1 Abstract . . . . . . . . . . . . . . . . .
2.2 Einleitung . . . . . . . . . . . . . . . .
2.2.1 Thematik . . . . . . . . . . . .
2.2.2 Hintergrund . . . . . . . . . . .
2.2.3 Probleme . . . . . . . . . . . .
2.2.4 Thema der Arbeit . . . . . . .
2.2.5 Motiviation . . . . . . . . . . .
2.2.6 Überblick . . . . . . . . . . . .
2.3 Grundlagen . . . . . . . . . . . . . . .
2.3.1 Anonymität . . . . . . . . . . .
2.3.2 Vertrauen (Trust) . . . . . . .
2.3.3 Gründe für Datensammlung . .
2.4 Fair Information Practices . . . . . . .
2.5 Gefährdungen der Privatsphäre . . . .
2.5.1 Direkte Gefahren . . . . . . . .
2.5.2 Indirekte Gefahren . . . . . . .
2.6 Angriffsszenarien . . . . . . . . . . . .
2.6.1 Phishing . . . . . . . . . . . . .
2.6.2 Identity Theft . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
19
19
19
19
19
20
21
21
21
22
22
22
22
23
23
24
30
32
32
33
User
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
III
2.7
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
34
34
42
45
47
3 Offline Anonymisierung und Deanonymisierung
3.1 Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.2 Ziele der Analyse von Offline-Daten . . . . . . . . . . . . . .
3.2.1 Analyse anhand von Interessen . . . . . . . . . . . . .
3.2.2 Erforschen von small world“-Eigenschaften . . . . . .
”
3.2.3
Instant Messenger“-Netzwerke . . . . . . . . . . . . .
”
3.2.4 Mikroskopische Entwicklungen in sozialen Netzwerken
3.2.5 Entwicklungen in Gruppen . . . . . . . . . . . . . . .
3.3 Anonymisierungstechniken und De-Anonymisierung . . . . . .
3.3.1 Naive Anonymisierung . . . . . . . . . . . . . . . . . .
3.3.2 Generalisierung der naiven Anonymisierung . . . . . .
3.3.3 Kanten-Anonymisierung . . . . . . . . . . . . . . . . .
3.3.4 k-Grad Anonymität . . . . . . . . . . . . . . . . . . .
3.3.5 De-Anonymisierungsattacken . . . . . . . . . . . . . .
3.4 Zusammenfassung . . . . . . . . . . . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
49
49
50
50
50
51
51
51
51
52
52
53
55
55
56
4 Online Anonymisierung, hop-by-hop
4.1 Einleitung . . . . . . . . . . . . . . .
4.2 Online Anonymisierung . . . . . . .
4.2.1 Verschlüsselung . . . . . . . .
4.3 Anforderungen . . . . . . . . . . . .
4.4 Ansätze . . . . . . . . . . . . . . . .
4.4.1 Crowds . . . . . . . . . . . .
4.4.2 Rewebber . . . . . . . . . . .
4.4.3 Turtle . . . . . . . . . . . . .
4.4.4 Tor . . . . . . . . . . . . . . .
4.4.5 Tarzan . . . . . . . . . . . . .
4.5 Anonymisierungsdienste . . . . . . .
4.6 Fazit . . . . . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
58
58
59
59
60
61
61
61
62
63
65
65
66
.
.
.
.
.
.
.
.
.
.
.
.
.
67
67
67
67
67
68
68
69
69
70
71
72
73
73
2.8
2.9
Schutzmethoden . . . . . . . . . .
2.7.1 Client-Seitige Maßnahmen .
2.7.2 Server-Seitige Maßnahmen .
Diskussion . . . . . . . . . . . . . .
Ausblick . . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
5 The Darknet
5.1 Einleitung . . . . . . . . . . . . . . . . . . . . . . .
5.1.1 Publikationsmöglichkeiten im Internet . . .
5.1.2 Probleme der Publikation im Internet . . .
5.1.3 Anforderungen an eine gute Lösung . . . .
5.1.4 Zielsetzung der Arbeit . . . . . . . . . . . .
5.1.5 Struktur der Arbeit . . . . . . . . . . . . .
5.2 Grundlagen . . . . . . . . . . . . . . . . . . . . . .
5.2.1 Entwicklungsgeschichte dezentraler Systeme
5.2.2 Stanley Milgram . . . . . . . . . . . . . . .
5.2.3 Jon Kleinberg . . . . . . . . . . . . . . . . .
5.2.4 Darknet . . . . . . . . . . . . . . . . . . . .
5.3 Related Work . . . . . . . . . . . . . . . . . . . . .
5.3.1 Freenet bis Version 0.5 . . . . . . . . . . . .
23. Oktober 2009
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Seite IV
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
76
76
76
76
76
77
79
80
81
6 Automated Social Engineering
6.1 Abstract . . . . . . . . . . . . . . . . . . . . . . . . .
6.2 Einführung . . . . . . . . . . . . . . . . . . . . . . .
6.2.1 IT-Sicherheit . . . . . . . . . . . . . . . . . .
6.2.2 Social Networks Sites . . . . . . . . . . . . .
6.2.3 Bots . . . . . . . . . . . . . . . . . . . . . . .
6.2.4 Automated Social Engineering . . . . . . . .
6.2.5 Verwandte Arbeiten . . . . . . . . . . . . . .
6.3 Social Engineering-Modelle . . . . . . . . . . . . . .
6.3.1 Mitnicks Social Engineering Cycle . . . . . .
6.3.2 Nohlbergs und Kowalskis Cycle of Deception
6.3.3 Cialdinis Prinzipien der Beeinflussung . . . .
6.4 Eigenschaften des Automated Social Engineerings . .
6.5 Angriffstypen . . . . . . . . . . . . . . . . . . . . . .
6.5.1 Phishing . . . . . . . . . . . . . . . . . . . . .
6.5.2 Spear Phishing . . . . . . . . . . . . . . . . .
6.5.3 Profile Cloning . . . . . . . . . . . . . . . . .
6.5.4 Cross-Site Profile Cloning . . . . . . . . . . .
6.5.5 Chatterbot-Angriffe . . . . . . . . . . . . . .
6.6 Einschränkungen . . . . . . . . . . . . . . . . . . . .
6.6.1 Mensch-Maschine-Interaktion . . . . . . . . .
6.7 Gegenmaßnahmen . . . . . . . . . . . . . . . . . . .
6.7.1 Sensibilität des Computernutzers erhöhen . .
6.7.2 Datensparsamkeit und Datenschutz . . . . .
6.7.3 Erkennung von Bots . . . . . . . . . . . . . .
6.7.4 Überprüfen der Identität . . . . . . . . . . . .
6.7.5 Bekannte Methoden gegen Social Engineering
6.8 Diskussion . . . . . . . . . . . . . . . . . . . . . . . .
6.9 Fazit und Ausblick . . . . . . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
82
82
82
82
83
84
85
85
86
86
86
89
91
91
91
93
95
97
99
102
102
102
102
102
102
103
103
103
103
5.4
5.5
5.3.2 WASTE . . . . . . . . . . . . . . . . .
5.3.3 OneSwarm . . . . . . . . . . . . . . .
5.3.4 Bewertung . . . . . . . . . . . . . . .
Analyse . . . . . . . . . . . . . . . . . . . . .
5.4.1 Turtle F2F . . . . . . . . . . . . . . .
5.4.2 Freenet 0.7 . . . . . . . . . . . . . . .
Zusammenfassung und Ausblick . . . . . . . .
5.5.1 Angriff auf den Swapping-Algorithmus
5.5.2 Traffic Analysis . . . . . . . . . . . . .
23. Oktober 2009
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Seite V
Kapitel 1
Bedrohungen in Online Social
Networks
1.1
Abstract
In den letzten Jahren hat die Nutzung von sozialen Netzwerke-Diensten drastisch zugenommen,
mit meheren Platformen wie Facebook, Myspace, Twitter, Flickr etc sind sie weltweit die am
meisten besuchten Webseiten. Da diese soziale Netzerke relativ leicht zu erreichen sind und
die Nutzer kein Kenntnis über die Anzahl und Art von Mitbenutzern haben, veröffentlichen sie
manchmal ungeeignete Informationen über ihre Person. Als Folge können diese Plattformen eine
Reihe von Risiken sowohl für die Privatsphäre als auch für die Sicherheit von ihren Benutzern
auslösen.
Dieses Dokument zeigt die gesellschaftlichen Vorteile der sicheren und gut informierten Verwendung von online sozialen Netzwerken(OSN), betont die wichtigsten Bedrohungen für die
Nutzer und unterstreicht außerdem die grundlegenden Faktoren hinter diesen Bedrohungen. Es
wird auch die technischen Maßnahmen zur Verbesserung des Datenschutzes und der Sicherheit
vorgestellt, die angewendet werden, ohne die Vorteile des Informationsaustauschs zu gefährden.
1.2
Einleitung
Mit der Entwicklung im Bereich des Computer-Netzwerks werden Computer rund um den Globus immer allgegenwärtig, digitale soziale Netzwerke gewinnen bei Menschen immer mehr an
Bedeutung. Sie spielen eine entscheidene Rolle, wenn es um Arbeit, Spaß und Freundschaftsverknupfung geht. Parallel zu ihrer wachsenden Akzeptanz bei einem breiten Spektrum von
Studenten und anderen Benutzern, erwecken sie auch große Interesse bei Forschern und Fachmännern (Vor allem aus dem Ma rketing-Bereich).
Das Aufkommen des Internets hat dazu geführt, dass viele Formen der Online-Sozialität entstehen, einschließend E-Mail, Instant Messaging, Singlebörse, Blogging und Usenet. Unter diesen
Technologien hat die online soziale Netzwerke, die auch unter dem Namen Social-NetworkingSites(SNSs) bekannt ist, eine große Popularität erworden. Diese online soziale Netzwerke sind
die Räume, in denen es möglich ist, ihre Gedanken, Ideen und Kreativität zu teilen und sogar
soziale Gemeinschaften zu bilden. Diese online Netzwerke bieten erhebliche Vorteile sowohl für
die Individuen und auch für Geschäftsleute.
Es gibt im Moment hunderte Formen von OSN mit verschiedenen technischen Möglichkeiten, die
eine breite Palette von Interessen und Praktiken unterstützen. Wenn die wichtigsten technischen
Funktionen recht einheitlich sind, aber die Möglichkeiten, die sich rund um OSN entwickeln, sind
1
vielfältig. Die Mehrheit dieser Websites beruhen auf den Funktionen von bestehenden OSN , einige dagegen bringen neue Ideen zustande, die dabei helfen, neue Arten von Verbindungen auf
der Grundlage gemeinsamer politischen Ansichten oder Tätigkeiten zwischen fremden Leuten
zu erleichtern. Einige Soziale Websites sprechen diverse Zielgruppen an, andere dagegen sind
auf eine bestimmte Gruppe von Nutzern beschränkt. Soziale Websites unterscheiden sich also
dadurch, wie sie mit neuen Informations- und Kommunikationswerkzeugen wie Video Sharing,
Mobile-Konnektivität, Blogging und Fotos umgehen.
Anbieter wie Facebook, Orkut, Myspace etc. ermöglichen , dass ihre Nutzer online soziale Netze aufrichten können. Wenn ein Benutzer zum ersten Mal eine online soziale Website benutzt,
erstellt er ein Profil,das Zugang zu anderen Mitgliedern des Netzes erlaubt. Benutzer können
das Niveau des Zugangs und Informationsflusses definieren - den Zugang nur zu einer kleinen
Anzahl von Freunden in einer begrenzten und genau definierten Gruppe zulassen - oder ganz allgemeinen die Bereitstellung von Informationen zu Verfügung stellen. Die Menschen hinterlassen
so ihr Profil, welches ihre Online und manchmal reelle Identität widerspiegelt und teilen diese
Informationen mit ihren Freunden und so indirekt und manchmal unbewusst mit einer großen
Menge von Leuten.
Wissenschaftler aus verschiedenen Bereichen haben mehrehe OSN untersucht, um die Pratiken,
Auswirkungen, kulturelle Bedeutung von diesen sozialen Websites, sowie das Engagement von
Nutzern mit ihnen zu verstehen. Diese Artbeit bringt eine einzigartige Sammlung von Artikeln
zusammen, die ein breites Spektrum von sozialen Netzwerken mit verschiedenen methodischen
Techniken und analytischen Ansätzen untersucht haben.
Der Zweck dieser Einführung ist es, einen historischen, konzeptionellen und wissenschaftlichen
Kontext von OSN zu erleuchtern. Es wird in dieser Arbeit mit einer Definition von OSN angefangen und dann wird ein Blick auf seine historische Entwicklung geworfen. Im Anschluss an
diese es wird mithilfe von einigen Beispielen verschiedene Formem von OSN dargestellt.
1.2.1
Evolution der Soziale Kommunikation
Die Art und Weise wie wir Heute Kommunitieren hat in den letzten Jahren eine wesentliche Änderung durchgemacht und diese Änderung ist längts nicht vorüber. E-Mail hat eine tiefgreifende
Wirkung auf die Art und Weise, wie die Menschen in Kontakt bleiben, ausgelöst. Elektronische
Kommunikationen sind kürzer und häufiger geworden als bei Briefen; die Antwortzeit hat stark
abgenommen und wir sind überrascht, wenn jemand, der wir erreichen möchten, keine E-MailAdresse hat.
Wenn wir noch heute E-Mail weiter benutzen, ändert sich jedoch kontinuerlich die Art der Kommunikation. Instant Massaging hat eine andere Art der Interaktion geschafft, in der die Länge
der Nachrichten kürzer und die Interaktion mehr lebendiger und attraktiver ist. Neue Websites
wie Twitter haben diese Art der Kommunikation zu einer neuen Dimension der Interaktion verändert.
Der Motor für diese Veränderungen ist das Internet. Zunehmend ist es der zentrale Ort geworden, wo die Menschen in Verbindung kommen, Filme anschauen und Musik hören. Da immer
mehr Menschen Internet für berufliche und soziale Zwecke beunutzen, sehen wir neue Kommunikationsmöglichkeiten und neue Wege Menschen zu beschäftigen.
Ein Computer mit Internet-Anschluss erleichtert die Interaktion mit Menschen aus der ganzen
Welt. Internet öffnet die Tür zu einer Reihe von sozialen Räumen,ermöglicht neue Formen von
Arbeiten und Spielen. Soziale Netzwerke wie Facebook und Myspace sind die beliebtesten vituelle Orte geworden, wo man sich mit anderen Menschen am häufigsten treffen kann. Diese
Räume geben den Menschen die Möglichkeit, ihre Meinungen zu äußern, sich zu präsentieren,
23. Oktober 2009
Seite 2/109
Abbildung 1.1: Die Evolution der Kommunikation
ihre Interesse und Erfahrung zu teilen. Sie bieten auch die Möglichkeit für Menschen, in Kontakt
zu kommen, die nicht in der Lage sind, physikaliche Beziehung mit anderen zu pflegen.
Webseiten wie Youtube und Flickr stellen eine neue Form der Online-Kommunikation dar, die
die gemeinsame Nutzung von Ressourcen förden. Besucher können Videos ( bei Youtube ) oder
Fotos ( bei Flickr ) hochladen, persönliche Vorlieben ausdrucken und Kommentare zu einer Ressource editieren. Diese Online-Räume locken immer mehr Menschen an. Facebook hat heute
mehr als 45 Millionen aktive Benutzer und fast die Hälfe von ihnen besitzen ein Bild. Youtube
bietet über mehr als 100 Millionen neue Videos pro Tag. Immer mehr Menschen behaupten,dass
sie ihre Freizeit hauptsächlich mit sozialen Diensten verbringen.
Online-soziale-Netzwerke können heute als die wichtigste Attraktion in der neuen Welt der Kommunikation betrachtet werden. Was einmal auf die Internet-Szene wie ein Online-Standort für
Jugendliche war, ist jetzt ein großes Geschäft geworden. Von den Anfang der sozialen Vernetzung vor ungefähr zehn jahr war schon offensichtlich, dass die soziale Vernetzung eine große
Veränderung in der Interkommunikation bringen wird. Webseiten wie Facebook und Twitter
sind ein kulturelles Symbol geworden und haben die Internet-Kommunikation revolutionieren.
Twitter und MySpace sind zwei der längsten Modeerscheinungen in der Soziale-Welt und haben
sich wirklich einen Namen gemacht, sich als eine dauerhalte Präzenz für die soziale Vernetzung,
und den Weg für andere neue soziale Websites geöffnet. Jedoch waren sie nicht die originale
Form der sozialen Vernetzung, denn mit der Entwicklung von sogenannten Blogging begann das
Ganze sehr viel früher.
Blogs und E-mail sind die Urheber dieser neuen Entwicklung von sozialen Vernetzung, mit Webpräzenzen wie Xanga und Livejournal fang die Enwicklung von den heutigen sozialen Webseiten
an. Diese ursprüngliche Blogs sollten nur eine Art Online-Journal sein, das den Menschen ermöglicht, Geschichten über ihre Tage oder ihre Gefühle festzuhalten.
Friendster war einer der ersten sozialen Internetseite, die das Konzept von heutigen sozialen
Plattformen widerspiegelte. Dies war eine soziale Seite mithilfe denen, man eine Verbindung mit
alten Bekannten über das Internet herstellen und die Bekanntschaft von neuen Freuden machen
konnte. Allerdings hat diese Art von Webseiten nicht an Beliebtheit gewonnen, bis die Schaffung
von Myspace und Facebook ein paar Jahre später, im 2003. Nach und nach verschwindet die Zeit
der E-Mail und stattdessen werden wir mehr abhängig von der Aktivitäten auf sozialen Seiten.
23. Oktober 2009
Seite 3/109
Abbildung 1.2: Social Network
Der totale Übergang wird allerdings noch einige Jahre in Anspruch nehmen.
Myspace ist ein wichtiges Phänomen, das der Weg für die Berühmtheit von Facebook vorbereitet
hat. Facebook wurde ursprünglich für die Verwendung unter Stundenten entworfen, ist aber heute eine große kommunikative Plattform, die zugänglich für alle ist.Facebook überholt Myspace in
Bezug auf die Popularität, nachdem sie sich für alle Gruppe von Menschen zugänglich gamacht
hat und besitzt seitdem eine Führungsposition in der aktuellen Welt der Unterhaltung.
1.2.2
Online Social Network: Eine Definition
Online-Soziale-Netzwerk kann als einen Web-basierte Dienst betrachtet werden, der es ermöglicht, ein öffentliches oder Halb-öffenliches Profil in einem begrenzten System zu erstellen, eine
Liste von anderen Benutzern, mit denen sie in Verbindung kommen möchten, zu pflegen und
eine Liste eigener Verbindungen und die von anderen innerhalb des Systems durchzulaufen. Sie
sind eine besondere Art der Online-Community, in der Benutzer ein Profil mit persönlichen
Informationen erstellen, eine virtuelle Verbindung mit anderen Nutzern aufbauen und so miteinander zu kommunizieren. Sie unterscheiden sich von früheren Formen von Online-Communities
dadurch,dass die Kommunikation nicht nur um spezialisierte Themen kreist aber sie mehr allgemeine Möglickeiten für die soziale Interacktion anbieten. Die Art der Informationen, die ein
Nutzer bereitstellen kann, variiert von einem Sozialen Netz zu anderen. Die Informationen, die
ein Nutzer typisch anbieten kann, setzen sich in der Regel zusammen aus Hobby und Unterhaltungsmöglichkeiten, politischen und sexuellen Interessen, persönlich identifizierbaren Daten wie
Kontaktinformationen (Adresse, Telefonnummer, und viel mehr) und sogar Fotos und Videos.
Eine interessante Eigenschaft von OSN, ist dass, sie den Benutzern die Möglichkeit anbieten,
eigene Webpräzenz zu ertellen. Dies kann die andere Nutzer anlocken und dazu beitragen, das
eigene soziale Netz schnell zu erweitern.
1.2.3
Der Trend in OSN
Da die meisten der Sozialen Vernutzung über das Internet erfolgt, ist es möglich Leute aus diversen Kontinenten zu treffen und so mehr über die Kulture und Lebenssytyle von anderen zu
erfahren.
Aus betriebswirtschaftlicher Sicht, die ersten Vorteile der soziale Vernetzung machen möglich,
23. Oktober 2009
Seite 4/109
neue Kunden zu finden und dadurch sein Geschäft zu erweitern. Denn die meisten soziale Website bieten die Möglichkeit an, seinen eigenen Bereich nach Geschmack anzupassen und mit seiner
eigenen Webseite zu verlinken. Das schönste daran ist das alles kontenlos ist. Dies bedeutet,
dass man nicht zu irgendeiner Zahlung von Gebühren gezwungen ist. Alles was man tun muss,
ist sich anzumelden oder registrieren.Danach kann man andere Freunde zur Teilnahme einladen,
und das Profil von anderen sehen.
Die Hauptmotivation der Nutzer ist der soziale Aspekt dieser Webseiten. Mitglieder eines OSNs
bauen soziale Kapitale durch die Akkumulation von Verbindungen. Der Wert von OSN erhöht
sich, wenn die Plattform intensiv genutzt wird. Nicht nur entscheidend ist die Anzahl der Verbindungen, sondern wichtiger ist auch der Umgang mit den Diensten, die die Plattform anbietet.
Was wir allerdings bemerken, ist dass, der Anreiz, mehr persönliche Daten zu veröffentlichen,
überwiegend stark ist. Auch wenn der Nutzer über die Folgen der Verbreitung von ungeeigneten
Informationen bewusst sind, benutzen sie immer die Dienste in OSN ohne an Sicherheitseinstellungen zu denken. Es scheint zu sein, dass die Nutzer gern viel wie möglich Informationen über
ihre Person veröffentlichen wollen. Die Ergebnisse einiger Forschungen, deuten darauf hin, dass
Techniken oder Werkzeuge, die die sozialen Aspekte von OSN beschränken, bei Nutzern nicht
gut ankommen.
Trotz der Vorteile von sozialen Netzwerken, gibt es Gefahren, mit denen die Nutzer sich auseinander setzen müssen. Soziale Website ist ein Reservoir von Informationen über Menschen und
deswegen ein Ort sein kann, wo Hacker und Online-Räuber ihre nächsten Opfer suchen können.
1.2.4
Die Wichtgsten Komponenten
Um die Kommunikation attraktiver zu gestallten, bieten die mehrheit der Soziale-NetzwerkePlattformen folgende Komponenten:
Gruppen
Gruppe bietet den Nutzern die Möglichkeit, ihre Interesse und Präferenzen deutlich auszudrucken. Jeder Nutzer kann eine Gruppe erstellen und Freunde einladen,Mitglied zu
werden. Der Beitritt zur Gruppe kann mit einigen Sicherheitseinstellungen begrenzt werden.Die Gruppen in denen ein Nutzer Mitglied ist, werden bei fast allen Plattformen in
seinen Profil eingetragen.
Fotoalben
Fast alle Plattformen stellen dieses Element zu Verfügung. Es dient zur Ablage von Fotos
innerhalb der Plattform. Jeder Nutzer kann ein Album erstellen und damit siene Bilder
online veröffentlichen. Das Album kann von anderen Nutzern geöffnet werden und die darin befindenen Bilder betrachten und bei Bedarf herunterladen.
Es ist möglich bei einigen Plattformen, Personen in Fotos zu markieren. Durch die Markierung kann man schnell das Profil von anderen Nutzer erreichen.
Suchfunktion
Die Suche ist eine unverzichtbare Komponent auf einer Soziale-Netzwerke-Plattform. Sie
erleichtert das gezielte Auffinden von Benutzerprofilen.
Die Suchfunktion kann in einem vereinfachten oder erweiterten Modus benutzt werden.
Im vereinfachten Modus kann z.B nur der Name der gesuchten Person eingegeben werden.
Im erweiterten Modus dagegen kann die Suche nach der Eingabe von weiteren Kriterien(
Eingabe einer Universität oder Adresse )erfolgen.
23. Oktober 2009
Seite 5/109
Gästebücher
Mithilfe von Gästebüchern kann ein Benutzer anderer Plattform Kommentare zum Profilinhaber hinterlassen. Diese Kommentare werden dann in der Regel in sortierter Reihenfolge
auf das Benutzerprofil ihrem Autor verlinkt.
Blogs
Blogs sind digitale Tagebücher, mit deren Hilfe ein Benutzer seine Erfahrungen, Erlebnisse
und Gedanken zu bestimmten Zeitpunkten festhalten kann.Blogs sind aus dem Profil eines
Nutzers erreichbar.
News-Feeds
News-Feeds dienen dazu, kurze Meldungen abzulegen, die vor allem Geschehen aus seinem
Privatleben widerspiegeln.
Videos
Einige Plattformen haben das Hochladen und Austausch von Videos als Hauptaktivität.Diese Funktion ist mit der Ablage von Fotos vergleichbar.
Foren
Foren dienen dazu, seine Meinungen, Standpunkte, Erfahrungen oder Wissen zu bestimmten Themen auszutauschen. Der Austausch wird in der Regel in sogenannten“Threads”verwaltet.
Wenn der Zutritt nicht begrenzt ist, können alle Nutzer das Forum beitreten und alle dort
veröffentlichten Nachrichten einlesen und sogar Beiträge leisten.
Kontaktlisten
Kontaktliste oder Freundesliste hilft den Überblick über die Anzahl seiner Freunde auf der
Plattform zu behalten. Sie ist aus dem Profil erreichbar.
Die Informationen aus der Kontaktliste können erlauben, wenn auch geschuzt, auf nicht
sichtbare Eigenschaften eines Nutzers zuzugreifen. Das kann dann der Fall sein, wenn eine
Person über viele Kontakte zu Mitgliedern einer bestimmten Organisation verfügt.Es ist
dann plausibel anzunehmen, dass diese Person ebenfalls Mitglied dieser Organisation ist.
Die Kontaktliste ist deshalb besonders anfällig für die Offenbarung sensibler Informationen.
1.2.5
Die Typen von online social Networks
Es gibt Soziale-Netzwerke-Websites für praktisch alles, was vorstellbar ist, und diese Websites
lassen sich grob in drei Kategorien ordnen:
• Freundschaft
• Geschäft
• Hobby
Einige von ihnen, wie Myspace oder Facebook sind für allgemeine Zwecke und appellieren an
Menschen unterschiedlicher Herkunft. Andere soziale Websites, wie deriviantArt, bieten den
Kunstlern die Möglickeiten, ihre Fähigkeiten und Talente zu präsentieren und Erfahrungen zu
tauschen.
23. Oktober 2009
Seite 6/109
Facebook
Facebook ist eine soziale Website, die ursprünklich nur für Studenten oder ehemalige Studenten
zugänglich war. Erst im Jahr 2006 ist sie für alle frei zugändlich geworden. Wie bei anderen
Soziale-Netzwerke-Plattformen, besitzt jeder Nutzer ein Profil, das Persönliche Informationen
enthält. Nutzer in Facebook können Nachrichten austauschen,Gruppen bilden oder Mitglied einer
Gruppe werden, Bilder und Videos hochladen. Facabook verfügt über die wichtigsten Komponenten, die eine Soziale Plattform ausmachen. Facebook enthält auch eine einzigartige Funktion
namens ”poke”, eine Art leerer Nachricht.
Interessanter ist das, Facebook eine offene Plattform ist, die Software-Entwickler verwenden
können, um neue Anwendungen zu erstellen. Es auch hier möglich eigene geschäfte ( Produkte
verkaufen ) zu treiben.
Die Registrierung verlangt die Eingabe von folgenden Informationen:
• Kompleter Name (Nachname und Vorname)
• E-Mail Adresse
• Geburtsdatum
• Kontaktinformation
– mobile phone
– land phone
– Web sites
– ...
• Beziehungsinformation
– interested in men and/or women
– relationship status, and whom you are in a relationship with
– alternate (maiden) name
– kinds of relationships you are looking for
• Persönliche Informationen
– activities
– interests
– favorite music
– favorite TV shows
– favorite movies
– favorite books
– favorite quotes
– about me
• Bildungsinformation
– college/university name
– graduation year
– degree
23. Oktober 2009
Seite 7/109
Abbildung 1.3: facebook
– high school name
• Information über seine Beschäftigung
– employer
– position
– description
– city/town
– time period
• Bild
Profil auf Facebook Profil-Informationen sind unterteilt in sechs Kategorien: Basic, KontaktInfo, Personal, Professional, Kurse und Bild. Diese Kategorien ermöglichen den Nutzern, persönlich indentifizierbare Informationen über ihre Person zu veröffentlichen. Benutzer können
Informationen über ihre Heimatstadt, ihre aktuelle Wohnhäuser und andere Kontaktinformationen, persönliche Interessen, Job-Informationen und ein Bild eingeben. Ein wichtiges Ziel von
Facebook ist die Erleichterung der Interaktion zwischen den Nutzern.
Einige der eingegebenen Daten werden benutzt, um das sogenannte Profil des Nutzer zu bilden.
Diese Informationen können dann später mithilfe der Suchfunktion gesucht werden. Der Zugang
auf diese Daten kann jedoch mit Sicherheitseinstellungen beschränkt werden.
Soziales Netz auf Facebook Facebook ermöglicht den Nutzern - mithilfe der Suchfunktion - andere Benutzer innerhalb der Plattform zu suchen und sie zu Kontaktliste hinzufügen.
Dabei haben die Nutzer die Möglichkeit, die neue gewonnene Freundschaft mit Kommentaren
zu versehen.Jeder Nutzer kann eine Gruppe bilden und andere Plattformbenutzer zur Mitgliedschaft einladen. Ein Gruppe unterstreicht ein gemeinsames Interesse und sind manchmal von
Unternehmen unterstützt.
News Feeds auf Facebook News-Feeds aggregieren die Informationen von Benutzern in
allen seinen Netzwerken. Alle Updatenachrichten werden als Teil von News-Feeds gesendet. Eine
23. Oktober 2009
Seite 8/109
Updatenachricht kann z.B eine Aktualisierung eines Benutzer-Profils oder eines Benutzer-Status
sein.
Technische Beschreibung Facebook nutzt Server-Side-Hypertext Preprocesser (PHP) Skripte, um seine Dienste den Nutzern zur Verfügung zu stellen. Die Informationen auf Facebook werden zentral auf einem Server gespeichert. Scripts oder Anwendungen erhalten, bearbeiten, filtern
die Informationen aus dem Server auf Anfrage und liefert den Nutzern eine Antwort durch das
Internet in Echtzeit. Die Sitzung eines Benutzers fängt an mit der Eingabe in einen Webbrowser
der Adresse: http://www.facebook.com/
Auf der Hauptseite können sich Nutzer einloggen oder die Menge der Informationen durchlaufen, die für das Publikum zugänglich sind. Facebook verlangt die Angabe einer E-Mail-Adresse
und ein Kenntwort,um sich einzuloggen. Nach der Eingabe dieser Informationen wird eine URL
der Form: http://www:facebook:com=login:php?email = USERNAME@SCHOOL:edu&pass =
PASSWORD generiert und an den Server weitergeleitet.
Es ist besonders wichtig hier zu merken, dass diese URL in Klartext übertragen wird. Keine
Secure Socket Layer(SSL)-Verschlüsselung oder irgendein Schutzmekanismus wird hier benutzt.
Diese Sicherheitslücke stellt eine grevierende Gefahr für die Benutzer dar.
Direkt nach der Übertragung der Login-Informationen stellt der Login-Process dem Webbrowser
des Benutzers einige Informationen zur Verfügung, die dann in Form eines Cookies auf der Festplatt des Nutzers abgelegt wird. Einige dieser Informationen werden in eine Datei geschrieben,
so dass der Benutzer nicht zur Eingabe dieser Daten bei der nächsten Anmeldung gezwungen
ist. Ein Facebook’s Dienst erstellt und gibt dem Benutzer eine eindeutige Prüfsumme bei jedem
Login, die der Browser dann als Sitzungscookie speichern kann.
Flickr
Zwar gibt es eine Vielzahl von Foto-Hosting-Anwendungen im Web, aber einer der vielversprechendsten und innovativsten, in Form von E-Learning-Anwendungen, ist Flickr. Der Austausch
von Bildern ist von Natur aus eine soziale Aktivität und Flickr (von Yahoo gekauft!) ist der
erste Web-basierte Foto-Hosting-Dienst, der diese Aktivität erfolgreich in den Online-Raum umgesetzt hat.
Flickr ist eine Foto-Sharing-Site mit Social-Networking-Funktionen, wo man auch Beziehungen
mit anderen Menschen verknupfen kann. Benutzer können eigene Netzwerke bilden oder die von
anderen beitreten, Nachrichten an andere Nutzer senden, Bilder hochladen oder vorhandene Fotos mit Kommentaren versehen, ihre Lieblingsfotos einsehen. Um jedoch diese Funktionen zu
verwenden, müssen sich die Nutzer auf der Plattform anmelden oder registrieren. Es ist hier
möglich ihre Daten und Privatsphäre zu kontrollieren.
Flickr ermöglicht die Erstellung von zwei Arten von Links: Links zu den lieblingsbildern und
Links zur Kontakliste. Fast alle Informationen und Ressourcen sind aus dem Benutzer-Profil
erreichbar.
Folgende Möglichkeiten sind auf Flikr verfügbar:
• Bider hochladen und pflegen.
• Gruppe erstellen(Der Zugang beschränkt werden)
• Tags (keywords)
• Notize erstellen
23. Oktober 2009
Seite 9/109
Abbildung 1.4: Flickr
• Bilder suchen
• Kommentare erstellen
• Instant Messaging (FlickrLive)
• Fotoalben erstellen
• E-Mail senden (FlickrMail)
• Blogs erstellen
1.2.6
Profil in Online-Soziale-Netzwerke
Die meisten Soziale-Netzwerke-Plattformen kreisen um ein ähnliches Kernstück: “BenutzerProfil”oder “Profil”. Nach der Registrierung,sind die Teilnehmer aufgefordert, ein Profil zu erstellen, um sich digital darzustellen. Mit Text, Bilder, Video, Audio, Link, Quiz und Umfragen,
sind die Nutzer aufgefordert, sich selbst zu definieren.
Profil ist ein wichtiges Element dieser Soziale-Webseiten, und Benutzer-Profil enthält eine Reihe
von Informationen über die Nutzer,und können Elemente wie Köperliche Erscheinung oder Bilder
besitzen. Das Profil ist der Ausgangspunkt für alle Aktivitäten(man zeigt sich und kontaktiert
die andere Nutzer damit).
1.2.7
Austausch von Informationen
Das Aufkommen und die ständig wachsende Popularität sozialer Netzwerkdienste kündigt eine
grundlegende Veränderung in Bezug auf die Art und Weise an, wie personenbezogene Daten
großer Bevölkerungsgruppen aus der ganzen Welt mehr oder weniger öffentlich verfügbar werden.
Diese Dienste sind in den letzten Jahren sehr populär geworden, insbesondere bei jungen Leuten.
Sie werden aber auch zunehmend zum Beispiel im beruflichen Umfeld oder für die Erwachsenen
angeboten.
23. Oktober 2009
Seite 10/109
1.2.8
Risiko von Informationsaustausch
Wenn die Menschen ihre persönliche Informationen über eine Soziale-Webseite austauschen,
ist es manchmal nicht klar, wer noch die Informationen lesen kann. Wie bei allen Arten von
Kommunikationen, ist der Austausch von Informationen über das Internet immer mit Risiken
verbunden.
Soziale Websites wie Myspace, Facebook oder Twitter sind Orte, wo die Menschen öffentlich
Informationen austauschen können. Alles, was ausgetauscht wird, kann langfristig kopiert und
gespeichert werden und für ein breites Publikum sichtbar sein.
Soziale Netzwerke wimmeln von persönlichen Daten, die von Nutzern freiwillig oder unbewusst
veröffentlicht wurden.Leider scheint es nach wie vor, dass Privatsphäre und Sicherheit in OSN
sehr ernst zu nehmende Probleme sind, sie setzen den Nutzern die Gefahren der Computerkriminalität aus. Die Analyse von einigen Online-Soziale-Netzwerken in Bezug auf ihre sicherheitseigenschaften und die Privatsphäre der Nutzer, offenbarte deutliche Bedrohungen. Wenn
die Nutzer mehr Informationen als nur ihre Namen oder Alter veröffenlichen,können sie sich
aber große Gefahre aussetzen. Diese Daten werden meistens sichtbar für die öffentlichkeit und
können von interessierten Leuten gezielt verwendet werden. Verschiedene Studien haben gezeigt,
dass die Teilnehmer eindeutig das schwache Glied in der Kette der Sicherheit in Online-SozialeNetzwerken sind und mithilfe von Social-Engineering-Angriffen leicht manipuliert werden können.
1.3
Die Bedrohungen in OSN
Informationen verbreiten sich schneller durch die OSN als in normalen Netzen. Informationen
können einfach, schnell und unerwartet an eine Gruppe von Personen weitergeleitet werden. Digitale Informationen sind leicht kopierbar und können langfristig gespeichert und gesucht werden.
Es schadet vor allem die Nutzer, wenn diese Informationen in verschiedene Hände geraten und
enden endlich bei Menschen, für die die Informationen nicht bestimmt wurden.
Die Herausforderungen, die soziale Netzwerkdienste stellen, sind auf der einen Seite nur eine
weitere Variation der fundamentalen Veränderung, die die Entwicklungen des Internet in den
letzten Jahren mit sich gebracht haben, in dem – unter anderem – Zeit und Raum bei der Veröffentlichung von Informationen und bei Echtzeitkommunikation aufgehoben wurden.
Der Ausmaß der Bedrohungen in OSN sind breit,nicht nur die Studenten und Jugendliche sollten
sich angesprochen fühlen, sondern auch die Unternehmen und Geschäftsleute. Die Hauptgafahren
in OSN können aus zwei Grüunde entstehen: die erste Bedrohungsquelle ist die oft sehr fehlerhafte und unsichere technische Implementierung der Software, die den Angreifern erlauben, auch auf
nicht freigegebenen Informationen zuzugreifen. Die zweite Quelle sind die Informationen selbst,
die die Nutzer eingeben und deren genauer Verbreitung sie nur in einem gewissen Umfang kontrollieren können.
Die Ausbreitung sozialer Netzwerkdienste hat gerade erst begonnen. Während es bereit jetzt
möglich ist, einige Risiken zu identifizieren, die mit dem Angebot und der Nutzung solcher
Dienste verbunden sind, ist es sehr wahrscheinlich, dass wir gegenwärtig nur die Spitze des
Eisbergs sehen, und dass sich in der Zukunft neue Nutzungen – und damit auch neue Risiken
– entstehen werden. Die folgende Liste von Risiken stellt die aktuelle wichtigsten Gefahren in
OSN, die jedoch sich schnell veralten können, und deswegen überpruft und aktualisiert werden
müssen.
23. Oktober 2009
Seite 11/109
1.3.1
Verletzung der Privatsphäre
Wenn man sich entscheidet eine Verbindung mit Freunden durch eine soziale- Netzwerke-Plattforme
aufzunehmen, ist es wichtig zu bedenken, dass man allein verantwortlich für die Informationen,
die man mit anderen teilen. Deswegen ist es sehr wichtig, soziale Websites zu wählen, die Sicherheitsmaßnahmen anbieten. Standardmäßig,die Mehrheit der soziale Websites erlauben ihren
Nutzern auf alle Informationen, die auf einem Nutzer-Profil liegen, ausnahmslos zuzugreifen. Das
bedeutet, dass die Daten, die man auf soziale Websites posten,nicht nur von Freunden sondern
auch von unbekannten wie Online-Räuber gelesen werden können.
Privatsphäre und Datenschutz wurden als wichtige Probleme im Internet erkannt und deswegen
wurden schon früh Techniken entwickelt, um die Privatsphäre von Internet-Nutzern zu schutzen.
Allerdings lag der Schwerpunkt vor allem auf dem einzelnen Individuum. Mit der Verbreitung
von soziale-Netzwerke- Plattformen, hat sich herausgestellt, dass die Strategien zur Bekempfung
der Privatsphäre-Verletzung neu definiert werden müssen.
Online soziale Websites ermöglichen ihren Nutzern,Informationen zu ihren öffentlichen Profilen
zu hinterlassen , eine Liste von Freunden zu erstellen und verwalten, durch die Profile von anderen Nutzern zu blättern. Benutzer stellen durch ihre Profile und andere Ressourcen einschlagige
Informationen über ihre Person und Tätigkeiten dar. Diese Informationen sind entweder referentiell(personenbezogene Daten) oder attributiv. Obwohl Gesetze und Vorordnungen existieren,
die den Zugang auf referentielle Informationen beschränken, sind andere Informationen von diesen Gesetzen nicht geschützt. Allerdings stellt die Anschaffung großer Mengen von attributiven
Informationen auch eine Gefahr für die Privatsphäre von Nutzern dar.
Soziale Websites sind schon in der Lage die Aktivitäten ihrer Nutzern zu verfolgen. Sie sind
auch dazu fähig, wie noch nie zuvor sekundäre (z.B Kommentare) Daten von ihren Benutzern
zu sammeln und öfter ohne Einwilligung der Nutzern. Für diese Daten sind nicht nur die Provider dieser sozialen Websites interessiert, sondern auch Unternehmen und Regierung, um vor
allem die Bürger oder Angestellte zu kontrollieren.
Auf der mehrheit der Soziale-Webseiten, können die Datenschutz-Einstellungen angepasst werden. Andernfalls Informationen, die auf diese Sites veröffenlicht wueden, werden im allgemeinen
der Öffentlichkeit zur Verfügung gestellt. Die Verletzung der Privatsphäre von Nutzern einer
Soziale-Netzwerke-Plattform hängt zu einem von der Anzahl der Informationen, die die Nutzer
bereitstellen, zu anderem von Leuten, die Zugang zu diesen Informationen haben, ab. Je mehr
Informationen ein Nutzer angibt, desto wahrscheinlicher werden auch Sensiblen Informationen
preisgegeben.
Auch wenn manche Soziale-Webseites die Identität von ihren Nutzern schutzen, kann immer
noch möglich sein,dass das Online-Profil eines Nutzers mit seiner realen Identität in Verbindung
gabracht werden kann. Oft haben die Menschen viele Konten über mehrere Soziale-Websites,
und nutzen in der Regel dasselbe Bild mit mehr oder weniger Informationen. Durch Ermittlungsteckniken kann eine Verbindung zwischen den verschiedenen Profilen gebauen werden, und
somit mehr als gewünscht über ein Nutzer erfahren. Es gibt derzeit einige Anwendungen mit
denen, Nutzer die Unterschiedlichen Städte oder Länder markieren können, die sie besucht haben, oder die sie besuchen werden.Diese Anwendungen können auch dazu beitragen, unsichtbare
Informationen über ein bestimmtes Nutzer zu offenbaren.
Gesetzgeber, Datenschutzbehörden wie auch Anbieter sozialer Netzwerkdienste sind mit einer
Situation konfrontiert, die kein sichtbares Beispiel in der Vergangenheit hat. Während soziale
Netzwerkdienste eine neue Bandbreite von Möglichkeiten für die Kommunikation und den Austausch von allen Arten von Informationen in Echtzeit bieten, kann die Nutzung solcher Dienste
auch zu Gefährdungen der Privatsphäre der Nutzer führen.
23. Oktober 2009
Seite 12/109
Verschiedene Faktoren führen zu Verletzung der Privatsphäre
Digitale Unterlagen
Sicherheitslücken:
Mit der Weiterentwicklung von Data-Mining-Techniken und die Senkung der Kosten von
Datenspeichern, kann die Informationen leicht bearbeitet und langfristig gaspeichert werden. So können Daten aus Benutzer-Profil gesammelt werden, um ein digitales Dossier des
Nutzers zu bilden. Diese Praktik kann von der auf alle Plattform zur Verfügung gestellte
Suchfunktion erleichtert werden.
Risiken:
Der Angreifer kann die gesammelten Informationen verwenden, um sein Opfer zu blamieren, zu erpressen, oder sogar seine Image zu schaden. Es kann dann passieren, dass der
Opfer keine Beschäftigungsmöglichkeiten mehr bekommt, wenn die Daten aus dem digitalen Dossier in Hände von Arbeitgebern geraten.
Gesichtserkennung
Auf fast alle Plattformen können die Nutzer Bilder zu ihrem Profil hinterlassen,die benutzt
werden können,um den Profil-Inhaber zu identifizieren. Diese Datenquelle kann leider auch
von fremden benutzt werden, um nicht veröffentliche Informationen zu gewinnen.
Risiken:
Es ist z.B möglich, aus den Bildern Mitglieder einer politischen Partei oder Organisation
zu erkennen und damit auf eine Mitgliedschaft in der Organisation zu schließen.
Content Based Image Retrieval
Die Mehrheit der sozialen Plattformen kontrollieren nicht die Art der Bilder, die veröffentlicht wurden. Durch diese Fahrlässigkeit kann die Offenbarung von ungewünschten
Informationen nicht vermieden werden. Mit der Verbesserung der Bildbearbeitungsverfahren wie Content Based Image Retrieval (CBIR), ist es möglich Muster aus einer großen
Menge von Bildern zu erkennen und dadurch neue Informationen zu gewinnen.
Risiken:
CBIR macht möglicht, Daten wie z.B Orte aus scheinbar anonymen Profilen zu extrahieren. Das kann zu unerwünschten Werbungen, Stalking, Erpression und allen anderen
Bedrohungen, die mit unerwünschten Offenlegung von Standortdaten verbunden sind, führen.
Metainformationen auf Ressourcen
23. Oktober 2009
Seite 13/109
Die OSN-Benutzer haben die Möglichkeit, Bilder mit Metadaten wie zum Beispiel den
Namen der Personen auf dem Bild oder sogar ihre E-Mail-Adresse zu versehen.
Risiken
Ein Gegner kann diese Funktion nutzen, um bekannte Persönlichkeiten kennenzulernen
und ihren Ruf bei diesen Leuten zerstören.
Unsichere Eingabe von Profildaten
Dies ist möglicherweise das wichtigste Bedrohungspotenzial für personenbezogene Daten, die in Nutzerprofilen sozialer Netzwerkdienste enthalten sind. Abhängig davon, ob
(Standard-) Einstellmöglichkeiten zum Datenschutz existieren und ob und wie diese von
den Betroffenen genutzt werden, wie auch von der technischen Sicherheit eines sozialen
Netzwerkdienstes, werden Profilinformationen, einschließlich Bildern (die den Betroffenen
selbst, aber auch andere Personen abbilden können) im schlimmsten Fall der gesamten Nutzergemeinschaft zugänglich gemacht. Gleichzeitig existieren gegenwärtig nur sehr wenige
Schutzvorkehrungen gegen das Kopieren von Daten jeglicher Art aus Nutzerprofilen und
deren Nutzung zum Aufbau von Persönlichkeitsprofilen, und deren Wiederveröffentlichung
außerhalb des sozialen Netzwerkdienstes.
Risiken
Die falsche Nutzung von Profildaten kann das informationelle Selbstbestimmungsrecht von
Nutzern und beispielsweise ihre beruflichen Perspektiven in gravierender Weise beeinträchtigen. Strafverfolgungsbehörden und Geheimdienste (einschließlich solcher aus weniger demokratischen Staaten mit niedrigen Datenschutzstandards) stellen weitere Instanzen dar,
die wahrscheinlich Nutzen aus diesen Quellen ziehen können. Darüber hinaus stellen einige Anbieter sozialer Netzwerkdienste Nutzerdaten über Programmierschnittstellen Dritten
zur Verfügung, so dass diese Daten sich dann unter der Kontrolle dieser Dritten befinden.
Schwierigkeit Daten zu lösen
Die Nutzer geraten in Schwierigkeiten, wenn es darum geht, Informationen zu löschen. In
einigen Fällen ist das durchaus unmöglich. Es sind z.B Kommentare, die zu Profilen von
anderen Nutzern hintergalassen wurden.
Risiken
Der Benutzer kann die Kontrolle über seine persönliche Informationen verlieren. Die Daten,
die nicht entfernt wurden, können später für digitale Unterlagen benutzt werden.
1.3.2
Neztwerk- und Informationssicherheit
Viel ist bereits über den Mangel an Sicherheit von Informationssystemen und Netzen einschließlich Internetangeboten geschrieben worden. Zwischenfälle neueren Datums betreffen auch bekannte Anbieter sozialer Netzwerke wie Facebook, flickr, MySpace oder Orkut. Obwohl die
Diensteanbieter Maßnahmen zur Verbesserung der Sicherheit ihrer Systeme getroffen haben, gibt
es hier immer noch Möglichkeiten zur weiteren Verbesserung. Gleichzeitig ist es wahrscheinlich,
dass auch in Zukunft neue Sicherheitslücken auftauchen werden und es ist aufgrund der Komplexität der Softwareanwendungen auf allen Ebenen von Internetdiensten unwahrscheinlich, dass
die perfekte Sicherheit jemals realisiert werden kann.
23. Oktober 2009
Seite 14/109
Spamming
Das enorme Wachstum von sozialen Netwerke-Seiten hat die Spammer,dazu gebracht, unerwünschten Nachrichten ( Social Network Spams ) zu produzieren. Damit ist der Verkehr
in sozialen Netzwerken überlastet.
Risiken:
Spam kann Schwierigkeiten bei der Verwendung der zugrunde liegenden Anwendung auslösen. Er kann auch benutzt werden, Nutzer zu pornografischen Websites umzuleiten.
Cross-Site Scripting, Würmer
Soziale Webseiten sind komplexe Anwendungen, die aus verschiedenen Komponenten bestehen. Wenn eine Komponente unsauber programmiert wurde, kann die ganze Site durch
Cross-Site Scripting gefährdet werden. Ein Angreiffer kann diese Technik anwenden, um
an sensible Daten zu gelangen.
Risiken:
Ein Angreiffer kann diese Schwachstelle benutzen, um sensible Daten (z.B Kenntwort )
zu bekommen und so das Konto seines Opfers verwenden oder unaufgeforderte Inhalt per
E-Mail senden. (IM)-Verkehr.
Aggregator
Ein Aggregator ist eine Software oder ein Dienstleister, der Medieninhalte sammelt und aufbereitet und für eine Zielgruppe neu zusammenstellt.
Einige der neuen Anwendungen, wie Snag, ProfileLinker erlauben Schreib- und Lese-Zugriff
auf mehrere Konten, um die Daten in einer einzigen Web-Anwendung zu integrieren. Damit
ist es möglich. nahezu alle persönlichen Daten auszulesen, aufzubereiten und anzuzeigen.
Risiken:
Die Auswirkungen dieser Schwachstellen sind Identitätsdiebstahl und Verlust der Privatsphäre.
1.3.3
Identitätsdiebstahl
Identitätsdiebstahl ist inzwischen weit verbreitet. Damit Sie nicht Opfer von Betrügereien werden, sollten Sie die wichtigsten Angriffe kennenlernen. Diese Risiken sollten Ihnen helfen, Maßnahmen zu ergreifen, damit Sie Ihre Informationen sorgfältig schützen, und umgehend reagieren
können, wenn es Anzeichen gibt, dass Ihre Identität möglicherweise missbraucht wird.
Phishing
Die Phisher können einfach und effektiv die Informationen benutzen, die auf soziale Plattformen verfügbar sind, um den Erfolg von Phishing-Attacken zu erhöhen. Zum Beispiel
23. Oktober 2009
Seite 15/109
könne Phishing-Angriffe durch E-Mail eine Treffequote von 72 Prozent erreichen, wenn die
Daten aus online soziale-Netzwerken benutzt werden können.
Risiken:
Ein erfolgreicher Phishing-Angriff kann dazu führen,dass sensible Informationen wie Passwörter und Kreditkarten-oder Kontonummern in falsche Hände geraten. Damit kann der
Täter sein Opfer finanziell und sozial belasten.
Information Leakage
Einige Informationen sind nur für bestimmte Freunde oder Mitglieder einer Gruppe bestimmt und dies ist der erste Verteidigungslinie für den Schutz der Privatsphäre in sozialen
Netzwerken. Da es oft sehr leicht ist, unter falscher Identität Mitglied einer Gruppe zu werden, ist dieses Mechanismus nicht effizient.Außerdem, bei vielen sozialen Netzwerken wie
MySpace ist es sogar möglich, Skripte zu benutzen, um Freunde einzuladen.
Risiken:
Obwohl das keine direkte Schaden verursachen kann, hilfe diese Praktik dem Angreifer
neue Angriffe zu starten. Ein Angreifer kann damit:
• private Informationen anschauen.
• Das Vertrauen des Opfers gewinnen und dann später missbrauchen.
• Spammail und Werbungen an das Opfer senden.
• ..
Profile squatting
Ein böswilliger Angreifer kann ein falsches Profil erstellen. Das Profil ist in der Regel von
einer Person, über die er persönliche Details verfügt. Das Ziel ist es, sich als für sein Opfer
auszugeben.
Risiken:
Profile squatting kann das soziale Ansehen einer Person erhebliche schaden. Wenn der
Täter mit dem Profil seines Opfer schmutzige Taten verübt, gehen das auf das Konto
seines Opfers.
1.3.4
Soziale Bedrohungen
Mit der zunehmenden Beliebtheit von Sozialen Netzwerken, steigt leider auch die Gefahr zum
Opfer von Stalking oder Cyber-Mobbing-Attacken zu werden.
Stalking
Ein Teilnehmer kann seine persönlichen Daten wie Wohnort, Termine, Adresse, Telefonnummer etc. in sein Profil eintragen, die von einem Angreifer benutzt werden können,um
23. Oktober 2009
Seite 16/109
sein Opfer durch körperliche Nährung, Telefonanrufe, E-Mails oder Mitteilungen zu belasten. Stalking ist derzeit wegen der steigenden Nutzung von soziale-Netzwerke-Diensten
sehr verbreiten.
Risiken:
Die Auswirkungen von Cyber-Stalking auf die Opfer sind bekannt und können sich von
der milden Einschüchterung und Verlust der Privatsphäre bis zu schweren körperlichen
Schäden und psychischen Schäden erstrecken.
Cyber-Mobbing
Cyber-Mobbing umfasst das Bloßstellen von Personen im Internet, dauerhafte Belästigungen oder die Verbreitung von Gerüchten im Netz. Wegen der Verbreitung von OnlineSoziale-Neztzen ist die Anzahl der Opfer stark gestiegen.
Risiken:
Wie bei Stalking können Cyber-Mobbing-Attacke körperliche Schäden und psychischen
Schäden bei Opfern verursachen.
1.4
Empfehlungen
1.4.1
Schutz der Privatsphäre
Soziale Netzwerke verlangen die Veröffentlichung von Informationen zur eigenen Person. Ihre
Nutzung befindet sich deswegen in einem Spannungsfeld zwischen öffentlicher Präsentation und
dem Schutz der Privatsphäre.
Dass Anwender ihre Privatsphäre entsprechend den eigenen Anforderungen schützen können,
liegt zum einen in ihrer eigenen Verantwortung und zum anderen in der Verantwortung der
Netzwerk-Provider. Für Nutzer ist es daher wichtig, sich der Risiken einer Verletzung der Privatsphäre bewusst zu sein und sparsam mit privaten Daten umzugehen. Betreiber wiederum müssen, Einstellungen zum Schutz der Privatsphäre anbieten und die Datenschutz-Bestimmungen
verlässlich einhalten.
Um ihre Privatsphäre effektiv zu schutzen, sind folgende Regeln zu beachten.
Vor der Anlegung eines Profils
• Sparsam mit Daten umgehen
Es ist wichtig über Ihre Privatsphäre noch einmal nachzudenken, bevor Sie Ihren echten
Namen zu einem Profil hinterlassen. Ratsam ist es ,ein Pseudonym zu benutzen und geben Sie so wenige Daten wie möglich preis. Bedenken Sie, dass Das Internet ein langes
Gedächtnis hat. Informationen, die einmal online sind, können oft nur schwer kontrolliert
oder gar gelöscht werden. Daher: Überlegen Sie genau, was Sie von sich selbst im Internet
veröffentlichen!
Je sparsamer Sie bei der Weitergabe von persönlichen Daten und Fotos sind, desto sicherer
ist der Aufenthalt im Social Network!
• Passwörter sorgfältig wählen
23. Oktober 2009
Seite 17/109
Damit sie nicht zu den Opfern der Identitätsdiebstahl gehören, es wichtig Passwörter sorgfältig zu wählen und ständig zu wechseln.Ein sicheres Passwort sollte aus Ziffern, Klein-und
Großbuchstaben zusammengesetzt sein und müss außerdem mindestens sechs Schriften haben.
• Virenschutz-Programme benutzen
Um Informationsdiebstahl durch böseartige Würmer zu vermeiden, ist wichtig,VirenschutzProgramme zu verwenden und regelmäßig Updates der Programme durchzuführen.
Nach der Anmeldung
Abbildung 1.5: Sicherheitseinstellung bei Facebook
• Sicherheitseinstellungen verwenden
Auf Online-Soziale-Plattformen gibt es Möglichkeiten, Zugriffe auf Daten zu beschränken. Empfehlenswert ist beispielsweise die Einstellung, dass das Profil nur für Freunde“
”
zugänglich ist.
• Nur bekannte Personen als Freunde“ akzeptieren
”
Bei unbekannten Personen lässt sich schwer einschätzen, welche Informationen man ihnen
anvertrauen kann und welche nicht.
Personen, die Sie schon kennen, haben bereits einige Informationen über Ihr Leben. Sie
sind nicht ausschließlich auf Angaben aus dem Netz angewiesen, um sich ein Bild über Sie
zu machen.
23. Oktober 2009
Seite 18/109
Kapitel 2
Das Internet und die Privatsphäre
der User
2.1
Abstract
Diese Ausarbeitung behandelt das Thema Privatsphäre im Internet. Im Rahmen der Einleitung
wird vorgestellt, was überhaupt Privatsphäre bedeutet und wieso diese gerade im Internet relevant ist. Im weiteren Verlauf werden mögliche Mechanismen zur Sammlung von Daten über
Nutzer aufgezeigt und entsprechende vorhandene oder geplante Schutzmechanismen vorgestellt.
Abschließend erfolgt eine Einschätzung der Wirkung der Schutzmaßnahmen und eine Darstellung der zukünftigen Entwicklungen.
2.2
Einleitung
In dem folgenden Abschnitt werden der Hintergrund und das Thema dieser Arbeit im kurzen
zusammengefasst dargestellt und das Ziel dieser Arbeit wird dargestellt.
2.2.1
Thematik
In dieser Arbeit wird das Thema der Privatsphäre im Internet betrachtet. Unter Privatsphäre
versteht man generell den Bereich im Leben eines Menschen, welcher nicht öffentlich zugänglich
ist. Darunter fällt unter anderem der Schutz von sensiblen Daten, welcher auch gesetzlich geregelt
ist. Im Rahmen des Internets umfasst Privatsphäre jedoch nicht nur den Schutz von Daten,
sondern auch den Schutz von Handlungen einer Person vor der Beobachtung durch Dritte. Zudem
fällt unter die Privatsphäre eines Menschen auch das Recht die Sammlung und Nutzung seiner
privaten Daten zu kontrollieren.
2.2.2
Hintergrund
Durch die enorme Zahl an Internetnutzern und die damit verbundene Nutzung von OnlineDiensten und Plattformen hat sich das Internet auch zu einer wichtigen Werbeplattform für
Firmen entwickelt. Daher versuchen Online-Werbefirmen die Werbung auf den Kunden abzustimmen, aber um dies zu schaffen benötigen diese möglichst detaillierte Informationen über den
aktuellen Besucher bzw. generelle Informationen über die Klientel, welche die Seite, auf der eine
Werbung zu platzieren ist nutzt. An diesem Punkt kommen die Online-Datensammler zum Zug,
welche sich darauf spezialisiert haben eine große Breite an Daten über Besucher zu sammeln und
dann die Ergebnisse gewinnbringend zu verkaufen. Den meisten Nutzern ist zudem egal, welche
Daten über sie gesammelt werden, das sie der Meinung sind, dass ein “ehrlicher Mann nichts zu
19
befürchten hat”. Dieses Denken wandelt sich nur langsam, jedoch ändert es sich aufgrund der
zahlreichen Datenskandale, wie die AOL Veröffentlichung1 , welche immer öfters in den Medien
kursieren.
Das enorme Ausmaß dieses “Sammler”-Marktes wird erst richtig klar, wenn man sich ein paar
der Big Player auf diesem Markt näher ansieht. Microsoft hat mit seinem E-Mail Dienst Hotmail eine Zahl von 260 Millionen Nutzern, die diesen regelmäßig nutzen. Außerdem gibt es noch
240 Millionen Nutzer ihres Instant Messenger Systems MSN. Von Yahoo ist in einem Interview veröffentlicht worden, dass sie pro Tag allein zehn Terabyte an Nutzerdaten sammeln und
auswerten[1].
Am verbreitetsten auf diesem Markt sind jedoch die Vertreter der Google-Familie (u.a. googleanalytics2 und doubleclick3 ). Google selbst verzeichnet unter anderem 100 Millionen Suchanfragen über die hauseigene Suchmaschine pro Tag, womit Google einen Marktanteil von 92% auf
dem Markt für Suchmaschinen besitzt. Für die gesamten anfallenden Daten und Anfragen verfügt Google über 24 Datenzentren, die rund um den Globus verteilt sind. Insgesamt sind in diesen
Einrichtungen 450 000 Server im Einsatz, die eine Gesamtheit von 200 Petabyte Speicherplatz
zur Verfügung haben[1].
Die mit der Datensammlung und der damit verbundenen gezielten Werbung einhergehende finanzielle Größe wird gerade durch die im Jahr 2007 stattgefundenen Verkäufe der Werber Doubleclick und aQuantive4 sichtbar. Doubleclick wurde von Google für 3,1 Milliarden USD gekauft
und aQuantive von Microsoft für 6 Milliarden USD. Diese Zahlen verdeutlichen, wie ertragreich
es ist, gezielt werben zu können und möglichst viel über den Nutzer zu wissen. Daher verwundert es auch nicht, dass die Zahl der gesammelten Daten trotz sinkender Zahl der Sammler
kontinuierlich steigt.
2.2.3
Probleme
Durch den mittlerweile breiten Zugang zum Internet und den damit verbundenen Aktivitäten der
Nutzer im WWW ergeben sich auch Probleme im Bezug auf private Informationen des Anwenders. Durch das Verhalten des Nutzers im Netz, sowie seine Daten, die er bei einer Registrierung
preisgibt, ist es möglich ein Profil zu erstellen. So lassen sich z.B. allein aus der Browser-Historie
Rückschlüsse auf den Gesundheitszustand des Anwenders, als auch seiner Interessen oder seiner
Persönlichkeit ziehen. Es wäre dadurch unter anderem für eine dritte Partei möglich, Informationen über die Krankheiten eines Job-Bewerbers zu ermitteln. Die könnte im Falle einer
Anmeldung bei einer Krankenkasse sogar soweit gehen, dass der Nutzer höhere Beiträge zahlen
muss oder sogar illegal komplett abgelehnt wird. Dieses Vorgehen würde im Kontrast zur Diskriminierungsfreiheit stehen, jedoch müsste das Verhalten der Krankenkasse erst nachgewiesen
werden. Aus dem vorangegangenen Beispiel wird klar, dass die Privatsphäre einer Person von
höchster Priorität ist. Dies steht leider im Gegensatz zu der Sicht der meisten Personen, da diese
ihre eigene Privatsphäre in Umfragen meist als “nicht so wichtig” angeben. [2]
Da das Web mittlerweile eine zentrale Rolle im Privatleben vieler Menschen einnimmt, spielt
eben gerade dort auch die Privatsphäre eine bedeutende Rolle. Bei einer Studie[3] im Jahr 2006
bestand die Internetnutzung der Teilnehmer im Durchschnitt aus: 37% persönlicher Nutzung,
1
Bei der AOL Veröffentlichung handelt es sich um die Veröffentlichung von 20 Millionen Suchanfragen durch
AOL, welche auf der hauseigenen Suchmaschine getätigt worden sind. Diese Anfragen wurden nicht konkreten Nutzern zugeordnet, sondern durch die Angabe von Nummern anonymisiert. Allerdings war es anhand der Anfragen
möglich einzelne Nutzer zu identifizieren.
2
Google Analytics
(http://www.google.com/intl/de ALL/analytics/)
3
DoubleClick: Digital Advertising
(http://www.doubleclick.com)
4
aQuantive
(http://advertising.microsoft.com/aquantive)
23. Oktober 2009
Seite 20/109
18% im Rahmen der beruflichen Tätigkeit und 45% schulischer Nutzung. Von der gesamten
Nutzung wurden von den Nutzer jedoch 50% als private Seiten gekennzeichnet. Dadurch wird
die Relevanz von Privatsphäre im Netz umso deutlicher.
2.2.4
Thema der Arbeit
Diese Arbeit versucht die Gefahren von der Privatsphäre eines Anwenders gut herauszuarbeiten
und die verschiedenen Arten der möglichen Angriffe auf die Daten eines Nutzers darzustellen. Es
wird versucht zu zeigen, dass diese Techniken nicht wie zumeist angenommen harmlos sind und
nur dazu dienen gezielte Werbung an einen Surfer zu bringen, sondern, dass auch gravierende
Einschnitte in das Leben eines Individuums durch besagte Angriffe geschehen können. Zudem
wird versucht zu den Gefahren soweit möglich Abwehrmaßnahmen vorzustellen, mit denen man
seine Privatsphäre schützen kann.
2.2.5
Motiviation
In der heutigen Zeit spielt sich ein großer Teil von Recherchen, Arbeit oder aber auch Freizeit
in der digitalen Welt des Internets ab. Es werden täglich Millionen an E-Mails verschickt und
pro Tag werden Seitenzugriffe in Milliardenhöhe von den Nutzern verursacht. Außerdem werden
alleine bei Google pro Tag 100 Millionen Suchanfragen durchgeführt.
Durch diese gewaltigen Ausmaße der Internetnutzung fallen auch gewaltige Mengen an Daten
zu den Benutzern an. Diese Daten können für den Nutzer auch zu einem Problem werden, was
sich bei der Veröffentlichung von 20 Mio. Schlagwortsuchen durch AOL zeigte:
Im Jahr 2006 veröffentlichte AOL zu wissenschaftlichen Zwecken 20 Mio. Schlagwortsuchen, die
über die hauseigene Suchmaschine durchgeführt worden sind. Anhand dieser Daten konnten zu
den Personen, durch die sie Suchen durchgeführt worden sind, einige Rückschlüsse gezogen werden. So wurde unter anderem anhand der Suchanfragen klar, dass es sich bei einem Nutzerprofil
um eine übergewichtige Frau mit einem schwachen Willen handeln muss. Außerdem wurde ersichtlich, dass sie Probleme mit Männern hat, unter Depressionen leidet und eine Lehrerin im
US-Bundesstaat Ohio sein muss. Über einen anderen Nutzer konnte sogar festgestellt werden,
dass er zum aktuellen Zeitpunkt arbeitslos ist. Außerdem wurde ersichtlich, dass er sich in keiner
guten Verfassung befindet uns Selbstmordabsichten hat. Dies konnte allein aus seinen Suchanfragen festgestellt werden, da er zuerst nach Arbeitsstellen suchte und sich danach ausgiebig
darüber informierte, wie man mit Gas Selbstmord begehen kann.
Neben diesen Personen war es den Forschern sogar möglich eine 65-jährige Rentnerin anhand ihrer Suchanfragen komplett zu identifizieren. Diese hatte über die Suchmaschine u.a. nach Singles
in ihrem Alter gesucht und außerdem versucht Ahnen- und Familienforschung zu betreiben.
2.2.6
Überblick
Nachdem nun in Kapitel 1 die Motivation und ein kurzer Hintergrund zu dieser Arbeit gegeben
worden ist, werden in Kapitel 2 die Grundlagen erklärt. In Kapitel 3 werden die Fair Information Practices, welche von der OECD5 zum Schutz der Privatsphäre eingeführt worden sind
vorgestellt. Kapitel 4 behandelt die Möglichkeiten der Datensammlung und Identifikation aus
diesen Daten, die zum aktuellen Zeitpunkt bekannt sind. In Kapitel 5 werden dann 2 komplexere
Angriffe gegen einen fiktiven Nutzer vorgestellt, die anhand dieser Techniken denkbar/möglich
wären. In Kapitel 6 werden anschließend mögliche Schutzmaßnahmen gegen die Datensammlungsmechanismen, vorgestellt. Kapitel 7 enthält eine Diskussion über den Trade-Off zwischen
5
Organization for Economic Cooperation and Development
(http://www.oecd.org)
23. Oktober 2009
Seite 21/109
Nutzbarkeit und Privatsphäre, der durch die Maßnahmen aus Kapitel 6 entsteht, sowie Probleme, die einem besseren Schutz der Internetnutzer im Weg stehen. Abschließend wird in Kapitel
8 ein Ausblick über die weiter Entwicklung im Bereich Privatsphäre im Internet gegeben.
2.3
Grundlagen
Einführend wird nun erklärt, worum es sich bei Privatsphäre handelt, warum diese im Internet
eine große Rolle spielt und warum diese gefährdet ist. Außerdem wird der Begriff der Anonymität
kurz eingeführt.
2.3.1
Anonymität
Anonymität bedeutet im traditionellen Sinn, dass man keinen Namen besitzt, sich also ohne
Identifikation durch die Gesellschaft bewegt. Im Internet würde Anonymität also bedeuten, dass
man ohne Identifikatoren, sei es durch vom Nutzer gewählte Pseudonyme oder von einem Server zugewiesene Identifikatoren einen web-basierten Dienst nutzt. Da dies nur sehr schwer zu
gewährleisten ist, wird Anonymität vor Allem dafür benutzt, dass ein Nutzer ohne Veröffentlichung seiner privaten Daten und ohne Veröffentlichung seiner IP-Adresse das Web nutzt.
Bei Anonymität muss man auch noch zwischen verschiedenen Klassen unterscheiden, die je nach
Situation ausreichend sind. Diese Klassen werden mit 1:n angegeben und bedeutet, dass man
unter n Personen anonym ist, da die Behauptung auf n Personen zutreffen kann.
Bei einer 1:2 Anonymität gibt es also neben sich selbst noch eine weiter Person, auf die eine
Behauptung zutreffen kann, daher ist diese Klasse der Anonymität nur in sehr wenigen Fällen
ausreichend. Im Gegensatz dazu ist eine 1:n Anonymität meistens ausreichend, weil es ein breites
Feld an Verdächtigen gibt, auf die die Aussage zutreffen könnte.
2.3.2
Vertrauen (Trust)
Vertrauen beschreibt im Normalfall das Verhältnis zwischen zwei Personen. Eine Person A vertraut einer Person B, wenn sie der Meinung ist, dass ihre Informationen bei ihr sicher sind und
nicht weitergegeben oder gegen sie verwendet werden.
Im Kontext des Internets existiert jedoch keine Beziehung zwischen zwei Personen, sondern
zwischen einer Person und einem Dienst. In diesem Zusammenhang bedeutet Vertrauen, dass
der Nutzer der Meinung ist, dass das System so funktioniert, wie er es erwartet und es nicht
irgendwelche Datenlecks oder Funktionen gibt, die ihm unbekannt sind und die ihm zum Nachteil
werden könnten.
2.3.3
Gründe für Datensammlung
Welche Gründe gibt es für Dritte die Daten von Nutzer zu protokollieren oder sogar gezielt
auszuspähen?
Generell gilt für diese Daten der Satz “Wissen ist Macht”. Durch die gesammelten Daten über
Nutzer und deren Transaktionen über mehrere Domänen hinweg ist ein Content Distributor in
der Lage gezielt Daten aus den vorhandenen Datensätzen zu extrahieren. Außerdem ist er in
der Lage aus den gesammelten Daten neue Daten zu generieren (demografische Studien, etc.)
und mit diesen Daten kann dann z.B. die Webpräsenz des Betreibers optimiert werden. Der
Hauptgrund für die Sammlung der Daten liegt jedoch in den dadurch entstehenden Werbemöglichkeiten. Anhand der über den Nutzer gesammelten Daten kann dann für den jeweiligen Nutzer
gezielte Werbung eingeblendet werden. Wenn z.B. ein Nutzer sich für Aktienkurse interessiert, so
23. Oktober 2009
Seite 22/109
könnten diesem gezielt Werbenachrichten eines Fonds präsentiert werden und somit seine Kaufentscheidung zugunsten dieses Fonds bewegt werden. Daher sind diese Daten auch entsprechend
wertvoll und können gewinnbringend weiterverkauft werden.
2.4
Fair Information Practices
Bereits 1980 wurden von der OECD zum Schutz der Bürger vor Datenmissbrauch Prinzipien
zur Sammlung und Nutzung von personenbezogenen Daten vereinbart.
Die 8 Fair Information Practices besagen, dass:
1. Personenbezogene Daten sollen nur in einem gewissen Rahmen und unter Berücksichtigung
von Gesetzen und Angemessenheit gesammelt werden.
2. Die Daten sollen nur zweckgebunden gesammelt werden und das Ausmaß der gesammelten
Daten sollte diesem Zweck entsprechend sein und immer aktuell gehalten werden.
3. Der Zweck zur Sammlung der Daten sollte bereits vor der Sammlung feststehen und die
Daten sollten nur zu diesem Zweck oder einem Ähnlichen genutzt werden.
4. Daten sollten nicht zugänglich gemacht werden oder zu anderen Zwecken verwendet werden, es sei denn der Nutzer stimmt zu oder es wird von der Justiz gefordert.
5. Personendaten sollten angemessen gegen Verlust oder unautorisierte Zugriffe, Nutzung,
Änderungen oder Veröffentlichung geschützt werden.
6. Der Nutzer sollte generell über den Umgang mit Personendaten informiert werden. Ebenso
sollten der Grund der Datenerhebung und Nutzung, sowie die Identität des Datenbesitzers
genannt werden.
7. Ein Nutzer sollte das Recht haben
• Vom Datenbesitzer zu erfahren, ob dieser Daten von ihm besitzt
• Einen Grund zu erfahren, falls keine Auskunft erteilt wird
• Daten von sich in Frage zu stellen und bei Erfolg eine Löschung, Vervollständigung
oder Änderung seiner Daten zu erwirken.
8. Ein Datenbesitzer sollte zu den obigen Regeln verpflichtet werden.
1995 wurden die Prinzipien in die EU Direktive zum Schutz personenbezogener Daten (Richtlinie
95/46/EG) aufgenommen um die Regelungen innerhalb der EU zu vereinheitlichen.
Diese Direktive musste bis Ende 1998 in nationales Recht bei den Mitgliedsstaaten umgesetzt
werden. In Deutschland erfolgte die Umsetzung erst 2001 im Rahmen der Änderungen des Bundesdatenschutzgesetzes. 2005 wurden die dort vorgenommenen Änderungen der Datenschutzrichtlinien als unzureichend bewertet und ein Vertragsverletzungsverfahren durch die EU wurde
eingeleitet.
2.5
Gefährdungen der Privatsphäre
Wenn man von Gefährdung der Privatsphäre spricht, muss man generell zwei Arten von Gefahren
unterscheiden und zwar: Direkte Gefährdung, d.h. Der Nutzer ist aktiv beteiligt, indem er z.B.
eine Internetseite öffnet. Auf der anderen Seite gibt es noch die indirekten Gefährdungen, welche
23. Oktober 2009
Seite 23/109
durch die Auswertung der gesammelten Daten über einen Nutzer entstehen. Diese Arten werden
nun im Folgenden genauer behandelt.
Die einzelnen Punkte sind je nach Menge der Preisgabe an Informationen durch den Angriff und
die Sensibilität dieser Daten sortiert.
2.5.1
Direkte Gefahren
HTTP Referer
Durch den HTTP-Referer lässt sich ermitteln, über welchen Server man anhand eines Links zum
aktuellen Server weitergeleitet worden ist.
Das Idee hinter dem Referer ist, dass ein Seitenbetreiber die Möglichkeit hat, sich Listen erzeugen
zu lassen, in denen die ganzen Verlinkungen zu einer Seite zu sehen sind. Außerdem sollte es auf
diese Art und Weise erleichtert werden die Quelle von veralteten oder toten Links zu finden, da
dem besagten Aufruf auch immer ein Aufrufer mitgesendet wird. Eine genauere Spezifikation
kann im RFC 20686 nachgelesen werden.
Der Referer im HTTP-Header sieht wie folgt aus:
1
Referer : http :// www . w3 . org / example / p2p / malicious . html
Dieses Feld könnte man sich dann mit dem folgenden PHP-Skript aus dem Header extrahieren
lassen:
1
2
3
<? php
echo $_SERVER [ HTTP_REFERER ];
?>
Listing 2.1: Auslesen des Referers
Da durch den Referer nur relativ wenig an Information preisgegeben wird und er z.B. sobald
eine URL manuell in den Browser eingegeben wird gar nicht zum Einsatz kommt, geht von
ihm nur ein geringes Gefahrenpotential aus. Es müsste überhaupt erst von der Seite, die der
Angreifer überwachen will ein Link zur Seite des Angreifers bestehen, da er sonst gar nicht
an die nötigen Informationen kommt. Zudem gibt es sinnvolle und einfach Schutzmechanismen
gegen diese Gefahr.
Fremder Inhalt
Fremder Inhalt zielt darauf ab, dem Nutzer Inhalte zu präsentieren, die er primär nicht sehen
will, z.B. Werbung. Außer der Präsentation von nicht gewünschtem Dritt-Inhalt zielen diese
Inhalte jedoch auch darauf ab, Daten über den Nutzer zu sammeln, die beim Laden des Inhalts
vom Fremdserver an diesen übermittelt werden.
Fremder Inhalt kann auf vielen Seiten in Form von externen Grafiken oder anderen eingebundenen Inhalten. Diese Inhalte werden von anderen Seitenbetreibern (meist kostenfrei) zur Verfügung gestellt. Bei diesen Inhalten handelt es sich oft um Werbung oder Pop-ups. Über diese
Inhalte erhält der externe Seitenbetreiber dann ebenfalls bei jedem Seitenbesuch eines Nutzer
auf der Seite, die seine Inhalte einbindet Informationen.
Fast 50% aller größeren Internetseiten enthielten 2006 diese Art von Content. Bei NachrichtenSeiten enthielten sogar 85% Inhalte dieser Art, wobei die Bilder und Werbungen von im Schnitt
8 verschiedenen Servern geladen wurden.[4] Daher hat diese Praxis nicht nur eine Einschnitt in
die Privatsphäre zur Folge, sondern auch eine schlechtere Performance beim Surfen.
6
http://tools.ietf.org/html/rfc2068#section-14.37
23. Oktober 2009
Seite 24/109
Abbildung 2.1: Gefahren: Externe Inhalte
Tracking Cookies
Tracking Cookies werden genutzt um das Verhalten eines Internetnutzers über einen langen
Zeitraum zu verfolgen und Informationen über diesen zu sammeln. U.a. auf welchen Nachrichtenseiten er sich wie oft befindet, etc.
Abbildung 2.2: Gefahren: Tracking Cookies
Tracking Cookies bilden im Zusammenspiel mit den fremden Inhalten auf Webseiten eines der
großen Probleme für die Privatsphäre im Internet. Diese Cookies werden von den einzelnen
Providern ohne Wissen des Nutzers installiert und werden zur Langzeitverfolgung des Nutzers
eingesetzt. Daher haben diese Cookies im Gegensatz zu einem normalen Cookie auch eine längere
Gültigkeitszeit (meist über mehrere Jahre hinweg). Sobald ein Nutzer mit einem solchen Cookie
eine Seite betritt, auf der Inhalt des Providers eingebunden ist, wird über das Cookie eine
Zuordnung des Nutzers getätigt und ein neuer Log-Eintrag beim Content-Provider generiert. Auf
diese Weise lassen sich dann die Surf-Gewohnheiten des Nutzers nachvollziehen. Durch Tracking
Cookies lassen sich jedoch nur Daten auf den am Tracking teilnehmenden Seiten sammeln. [5]
Das Cookie lässt sich einfach über das folgende Fragment PHP-Code setzen:
1
2
3
<? php
setcookie ( ”t r a c k m e ”, generateID () , time () +(3600*24*1000) ) ;
?>
Listing 2.2: Code zum Setzen eines Cookies (PHP)
23. Oktober 2009
Seite 25/109
Der obige Code würde dafür sorgen, dass der Server ein Cookie generiert, welches den Namen
“trackme” trägt und als Wert eine vom Server generierte ID trägt. Das Cookie wäre für einen
Zeitraum von 1000 Tagen gültig. Beim Browser würde im Rahmen des HTTP Headers dadurch
folgendes Feld im HTTP Header ankommen:
1
SET - COOKIE trackme = ID ; expires = Monday , 09 - Apr -12 19:55:41 GMT
Listing 2.3: HTTP-Header Feld mit dem Cookie
Über folgenden Code könnte dann mit Hilfe des Cookies eine Seitenanfrage der Nutzer ID eindeutig zugeordnet werden:
1
2
3
4
<? php
$userid = $_COOKIE [ ”t r a c k m e ”];
echo ”Der f o l g e n d e N u t z e r b e s u c h t g e r a d e d i e S e i t e : $ u s e r i d ”;
?>
Listing 2.4: Code zur Abfrage des Cookies
Tracking-Cookies haben für einen Nutzer keinen erkennbaren Vorteil, da sie lediglich dem Sammeln von Daten über die Surf-Gewohnheiten des Nutzers dienen, welche der Nutzer selbst wohl
kennen sollte. Ihr Risiko kommt vor allem durch den Fakt, dass der Nutze von der Installation
eines dieser Cookies keinerlei Kenntnis erhält und auch nicht weiß, welche Seiten alle zu dem
Einzugsbereich des Cookie-Besitzers gehören, da diese selbst schon durch in eine Website eingebundene Grafiken abgerufen werden können. Da sie jedoch nur auf den Seiten, die zur Domäne
des Besitzers gehören wirken, ist ihr Gefahrenpotential als Mittel anzusehen.
Insite-Tracking
Insite-Tracking wird häufig im Zusammenhang mit E-Commerce Systemen verwendet und dient
dazu Daten über das Verhalten eines Nutzers innerhalb der eigenen Seite zu sammeln.
Das Insite-Tracking basiert auf dem gleichen Prinzip wie das Tracking via Tracking-Cookie, nur
das eine Cookie ID im Falle eines Logins in ein bestehendes Benutzerkonto direkt mit einem
Nutzer assoziiert werden kann und die gesammelten Daten dem Profil des Kunden zugeordnet
werden können. Sobald der Nutzer die Seite des Betreibers betritt, wird ihm insofern er noch
kein Tracking-Cookie besitzt eines mit einer eindeutigen ID zugewiesen und die ID wird in einer
Datenbank auf dem Server des Betreibers gespeichert. Wenn der Nutzer nun eine andere Seite
innerhalb des Netzwerks des Betreibers lädt, so sendet sein Browser automatisch das Cookie
im Rahmen des HTTP-Headers an den Server des Betreibers, insofern dieser in der gleichen
Domain wie das Cookie liegt. Der Server kann nach Erhalt des Cookies die geladenen Seite in
der Datenbank zu der Cookie-ID speichern. Wenn sich der Nutzer nun einloggt, wird das Cookie
und damit alle vorhandenen Informationen, die damit gesammelt worden sind, dem Account des
Kunden zugeordnet und z.B. eine Liste mit zuletzt betrachteten Artikeln wird auf der Seite des
Betreibers präsentiert.
Das Tracking von Aktionen innerhalb von einer Seite gehört bei vielen Online-Shops zum Standard. So wird zum Beispiel bei Amazon jeder angesehene Gegenstand geloggt und anhand dieser
Informationen werden für den Nutzer maßgeschneiderte Werbenachrichten generiert. Dasselbe
trifft auch auf Seiten wie eBay und Andere zu. Dies mag dem Nutzer zwar auf den ersten Blick
wie eine gute Funktion vorkommen, jedoch ist nicht immer gewährleistet, dass die gesammelten
Daten auch nur für diese Funktionalität verwendet werden. Durch gerade so sensible Daten wie
Einkäufe lassen sich auch gut Rückschlüsse auf die Person selbst ziehen. Daher besteht eine
Gefahr darin, dass diese Daten weiterverkauft werden. Da man sich normalerweise nur auf ECommerce Plattformen anmeldet, denen man vertraut, ist die Gefahr dieser Methode zwischen
Mittel und Niedrig anzusehen.
23. Oktober 2009
Seite 26/109
Flash Cookies
Flash-Cookies (Local Shared Objects - LSO) ermöglichen es einem Seitenbetreiber ähnlich wie
normale Cookies Daten des Benutzer zu speichern und abzufragen.
Von der Art und Weise ihrer Funktion aus betrachtet, sind Flash-Cookies nichts anderes als
Cookies. Es gibt jedoch einen entscheidenden Unterschied zwischen den normalen Cookies und
deren Flash-Variante. Die Flash-Cookies werden nicht von den Cookie-Richtlinien des Browsers
beeinflusst. Es kann im Browser eingestellt sein, dass alle Cookies geblockt werden und doch
bleibt es Flash-Cookies möglich sich zu installieren.
Aufgrund der Tatsache, dass es im Browser keine Möglichkeit gibt das Verhalten gegenüber
Flash-Cookies direkt zu regeln, sind diese als etwas gefährlicher als Cookies anzusehen.
HTML-Mails
HTML-Mails ermöglichen es einem Angreifer über das Senden einer Mail die Existenz einer
Mailadresse zu prüfen.
Die meisten aktuellen Mail-Clients ermöglichen es dem Nutzer HTML-Mails anzuzeigen und
laden teilweise auch ohne Nachfrage beim Nutzer die in dem HTML-Code eingebundenen Grafiken.
Ein Spam-Versender könnte dadurch unter anderem die Existenz von Mailadressen testen, an
die er willkürlich seinen Spam gesendet hat. Er müsste dafür lediglich als Quelle eines Bildes ein
PHP-Skript angeben, über das das Bild bezogen werden soll und diesem beim Versand noch eine
ID oder einfach die Mailadresse in die URL geben. Wenn nun die Mail geöffnet und die Bilder
geladen werden, wird automatisch eine Benachrichtigung an den Server des Angreifers erzeugt.
Der Code in der Mail könnte wie folgt aussehen:
1
< img src = ”h t t p : / / a t t a c k e r . com/ p i c t u r e . php ? m a i l @ m a i l . de ”>
Listing 2.5: Einbinden eines Bildes (HTML)
Durch HTML-Mails wird die Privatsphäre eines Nutzer auch in der Welt des Mailverkehrs beeinträchtigt. Durch eingebettete externe Bilder in einer Mail lässt sich unter anderem direkt
beim Laden feststellen, ob die Mailadresse existiert, was u.a. Spam-Versendern ein gezielteres
Versenden ermöglicht.
Registrierung
Bei einer Registrierung um Zugriff auf Inhalte zu erhalten muss der Nutzer eine Vielzahl an
Daten eingeben, u.a. meistens Name, Vorname, Mailadresse, Wohnort, Land, etc. Durch diese
Daten ist der Account dann auch einer konkreten Person zuzuordnen.
Bei Registrierungen versuchen Seitenbetreiber die Nutzer eines Angebots damit zu Ködern,
dass sie durch die Registrierung zahlreiche Zusatzinhalte erhalten oder auch einfach schnellere
Download-Geschwindigkeiten, wenn es um Software geht. Durch die Registrierung erhält der
Betreiber dann detaillierte Daten über den Benutzer, meist mehr als zur Nutzung nötig wären.
Betrachten wir Beispielsweise die Anmeldung zum Download eines Programms. Eigentlich sollte
es ausreichen, wenn man Mailadresse und seinen Namen angibt, in den meisten Fällen müssen
jedoch trotzdem noch Wohnort, Geburtsdatum, etc. angegeben werden. Anhand dieser Daten
können dann Profile, die durch Handlungen des Nutzers generiert worden sind einer realen Person
zugeordnet werden.
Die Registrierungen sind besonders kritisch zu betrachten, weil durch sie konkrete Daten zum
Nutzer veröffentlicht werden. Der Betreiber kann danach meist wirklich eine reale Person mit
Name und Anschrift mit dem Account assoziieren. Allerdings lassen sich die meisten Registrierungen auch leicht mit falschen Eingabedaten durchführen, wodurch die Zuordnung von Seiten
23. Oktober 2009
Seite 27/109
des Betreibers sinnlos geworden ist. Dies erfordert jedoch den aktiven Eingriff des Nutzers,
wodurch die Registrierungen ein mittleres Gefahrenpotential haben.
Auto Completion
Durch die Auto Completion lässt sich feststellen, welche Suchbegriffe bereits in die Adressleiste
oder ein Formular eingegeben worden sind.
Die Auto Completion oder auch automatische Vervollständigung loggt sämtliche in Web-Formularfeldern
eingegebene Daten mit um bei ähnlichen Formularen direkt nach ein paar getippten Buchstaben schon Vorschläge zu liefern, wie das Wort komplett lauten könnte. Unter Zuhilfenahme der
Browser-History, wird dies auch bei der Adressleiste des Browsers verwendet. Dies kann dem
Nutzer jedoch auch zu einem Problem werden, da der Web-Browser nicht immer im gleichen
Kontext verwendet wird. Wenn z.B. Bei einem Meeting der eigene Laptop verwendet wird, dann
kann durch die Auto-Vervollständigung mehr Information preisgegeben werden, als einem Nutzer lieb ist. Auf diese Weise könnten die anderen Beteiligten des Meetings z.B. Informationen
darüber erhalten, ob sich ihr Kollege bei anderen Firmen nach Stellenangeboten umgesehen hat.
Aufgrund der Tatsache, dass der Rechner des Nutzer vorliegen muss, kann über dies eine Information nur einem überschaubaren Kreis zugänglich gemacht werden. Allerdings können die
Informationen, die darüber bekannt werden sehr sensibel sein, daher wird dieser Mechanismus als
mittlere Gefahr bewertet. Ein weitaus bedenklichere Form der Auto-Vervollständigung zeigt sich
bei Suchmaschinen, die durch AJAX-Technologie eine on-the-fly Vervollständigung anbieten, da
bei diesen Abfragen auch ständig die vom User getippten Daten an den Server der Suchmaschine
übermittelt werden und dort geloggt und zugeordnet werden können (z.B. Google).
Browser History
Durch die Browser-History wird es Dritten ermöglicht Einsicht in das Surf-Verhalten der letzten
Tage eines Nutzer zu erhalten.
Die Browser History loggt sämtliche vom Nutzer besuchten Seiten mit, damit dieser für den
Fall, dass er eine Seite sucht, die er am Vortag besucht hatte einfach in dieser nachsehen kann.
Außerdem wird dieses Log als weitere Datenbasis für die Auto-Vervollständigung verwendet.
Im falschen Kontext, kann eine Dritte Person über diese wie bei der Auto-Vervollständigung
Informationen erhalten, die gar nicht für sie bestimmt sind. Außerdem ist es über History-Mining
Angriffe möglich auf die Informationen aus der gespeicherten History zuzugreifen.
Wie auch bei der Auto-Vervollständigung geht von der Browser-History eine mittlere Gefahr
aus, da nicht sichergestellt werden kann, dass sensible Inhalte nur in bestimmten Kontexten
wiedergegeben werden.
Webtiming Attacks
Webtiming Attacks zielen darauf ab festzustellen, auf welchen Seiten der Nutzer gewesen ist und
dies dann an den Seitenbetreiber zu übermitteln.
Die zwei möglichen Angriffe basieren auf der Nutzung von Browser-Caches. Diese Elemente,
die zu einer Beschleunigung des Surfens gedacht sind, können anhand von Timing Angriffen
auch gegen den Nutzer eingesetzt werden. Bei einer Timing-Attacke, kann ein Seitenbetreiber
anhand der Ladezeiten des Browsers überprüfen, ob der Nutzer die zu prüfende Seite schon
einmal besucht hat. Für diesen Angriff ist keine zusätzlich installierte Client-Software nötig.
In dem Browser-Web-Cache werden Bilder und andere Webelemente für einen schnelleren Zugriff
lokal gespeichert. War der User nun schon mal auf der Seite, so kann dies anhand der Ladezeit
festgestellt werden. Sollte der normale Browser-Cache deaktiviert sein, so besteht noch immer die
23. Oktober 2009
Seite 28/109
Möglichkeit einer Überprüfung anhand des DNS-Caches des Browsers. Durch einen Web-CacheAngriff lässt sich mit einer Genauigkeit von 97% sagen, dass der Nutzer dies Seite besucht hatte.
Bei der DNS-Cache Variante liegt die Genauigkeit bei 55% und besser, je nachdem, wie hoch
die Fehlerstrafe des Caches ist. [6, 7]
Webtiming-Angriffe sind als verhältnismäßig gefährlich einzustufen, da diese Angriffe komplett
ohne Kenntnis des Nutzers stattfinden. Da der User sich gegen diesen Angriff nicht aktiv wehren kann, gilt er als besonders gravierend. Es muss keine zusätzliche Software installiert werden
und ein Angreifer kann auf beliebige Domains prüfen. So könnte z.B. eine Versicherung, welche
eine Online-Anmeldung bereitstellt bei der Anmeldung eines potenziellen Kunden noch dessen
Browser-Cache auf das Vorkommen von Besuchen auf Informationsseiten über schwere Krankheiten prüfen und dies mitsamt seiner Anmeldung übermitteln. Da dieser Angriff gravierende
Auswirkungen haben kann, ist sein Gefahrenpotential als hoch einzustufen.
Client-side CSS History mining
Durch Client-side CSS History mining ist es einem Server möglich festzustellen, ob ein Nutzer
auf einer bestimmten Seite gewesen ist bzw. Ob er alle Seiten aus einer definierten Liste besucht
hat.
Das Konzept des Angriffs basiert auf dem CSS-Attribut visited, welches vom Browser genutzt
wird um dem Nutzer anzuzeigen, dass er auf dieser Seite bereits war. Der Abgleich der Seiten
erfolgt im Browser anhand der History. Wenn darin eine Seite enthalten ist, so wird diesem Link
visited zugeordnet und der Browser würde den entsprechenden Code, der zu diesem Attribut
in der CSS-Datei gespeichert ist ausführen, um z.B. Die Farbe des Links zu ändern oder ein
Hintergrundbild für den Link zu laden. [8, 7]
Der Angriff auf den Nutzer erfordert keine zusätzliche Software auf Client-Seite, da er nur auf
CSS und dem Link-Attribut visited. Der Angriff wird nun anhand eines Codefragments kurz
erklärt:
1
2
3
4
5
6
7
8
9
10
< style type = ” t e x t / c s s ”
# someclass : visited {
background : url ( ’ http :// www . server . com / logpage . php ?
userid = XX & class = some ’) ;
}
...
</ style >
...
<a href = ” h t t p : / /www . mal . com ” id = ”some ”> </ a >
<a href = ” h t t p : / /www . s p y . com ” id = ”some ”> </ a >
Listing 2.6: Beispielcode für das CSS mining
Wenn der Nutzer nun auf einer der beiden Seiten war, so würde der Browser den Link als bereits
besucht markieren. Dafür würde der im CSS-Code definierte Background geladen werden, was
dazu führt, dass der Browser dem dort angegebenen Skript in der URL diese Daten übermittelt.
Diese Technik könnte z.b. Dafür genutzt werden um vor dem Login bei einem Banking Portal
festzustellen, ob der Nutzer auf auf einer bekannten Malware Seite war und evtl. Einen infizierten
Rechner hat. Danach könnte der Server den Nutzer automatisch vor der Infektion warnen und
die Übertragung von sensiblen Daten an den Malware-Server verhindern. Dieses Feature stellt
jedoch auch ein gravierendes Leck der Privatsphäre dar, da es nicht aktiviert werden muss, da
es auch dafür genutzt werden kann, festzustellen, ob ein Nutzer an Aktienkursen interessiert ist
oder ob er eher an Schokolade interessiert ist. Anhand dieser Daten kann dann wieder gezielt
geworben werden.
Dieser Angriff ähnelt von seiner Funktion her den Webtiming-Attacks und ist wie dieser ebenfalls
als gefährlich einzustufen, da über die History des Browser viele Informationen über den Nutzer
23. Oktober 2009
Seite 29/109
preisgegeben werden können.
Online Storage Solutions
Durch Online Storage Systeme erhält der Anbieter kompletten Zugriff auf die bei ihm gespeicherten Dateien eines Nutzers.
Online Storage Systeme stellen für den Nutzer eine Erleichterung beim Transport von Daten
und beim Arbeiten von verschiedenen Arbeitsplätzen aus dar. Durch den Upload auf einen
Server stehen die Dateien dem Nutzer nach einer Authentifizierung gegenüber dem Server von
überall zur Verfügung. Allerdings ist für eine solche Speicherung auch ein großes Vertrauen in
den Anbieter nötig, da dieser in dem Moment der Übertragung ebenfalls kompletten Zugriff auf
die Dateien hat und diese auch zum Mining nach Informationen nutzen könnte. Daher liegt auch
hier ein mittleres bis hohes Gefahrenpotential vor.
Toolbars
Toolbars ermöglichen es dem Anbieter der Toolbar die komplette Nutzung des Browsers, sowie
des gesamten Computers zu überwachen.
Von vielen Anbietern werden kostenlose Toolbars als Browser-Add-On angeboten, welche den
Nutzer dann als Hilfsmittel beim Surfen unterstützen können. Durch die Installation dieser
Toolbar verankert sich diese jedoch tief im Browser und hat quasi kompletten Zugriff auf alle
Aktionen, die mit dem Browser durchgeführt werden. Der Anbieter kann über die Toolbar sowohl Formulareingaben, als auch Browser-History loggen und dann an den Server des Anbieters
übermitteln. Vielmals findet die Installation einer solchen Toolbar auch noch im Zusammenhang
mit einer gewünschten Software statt (siehe YahooToolbar beim Java Update). Neben dem Loggen von Aktivitäten im Netz ist es diesen Toolbars, da sie auf dem Rechner als eigenständiges
Programm installiert sind, sogar möglich Aktivitäten des Nutzers auf dem kompletten Rechner
zu verfolgen.
Aufgrund der weitreichenden Eingriffe und Sammlungsmöglichkeiten, sowie dem Zugriff auf den
Rechner des Nutzers, ist diese Variante als sehr gefährlich anzusehen.
2.5.2
Indirekte Gefahren
Data mining
Data Mining zielt darauf ab aus bereits vorhandenen Daten neue Daten über einen Nutzer zu
generieren.
Data Mining stellt im Zusammenhang mit den durch direkt Methoden gesammelten Daten eine
ernstzunehmende Gefahr für die Privatsphäre dar. Aus den direkten Methoden steht den Content
Providern bisher nur eine Menge an verschiedenen Datensätzen zur Verfügung. Diese erhalten
ihren richtigen Wert erst durch anschließendes Data-Mining, da durch deduktives Schließen neue
Bezüge zwischen den Datensätzen gefunden werden können. Aus den ursprünglich vorhandenen
rohen Daten entstehen auf diese Weise Bezüge zwischen einzelnen Datenprofilen.
Beispiel des Minings:
• Nutzer A war auf diversen Seiten zum Thema Schokolade
• Nutzer A war auf der Seite eines großen Schokoladenversandes
=> Nutzer A mag Schokolade
Beispiel zum Mail-Mining:
• Nutzer A und Nutzer B haben konstanten Mailverkehr
23. Oktober 2009
Seite 30/109
• Inhalt der Nachrichten ist privater Natur
=> Nutzer A und B kennen sich privat
Fortsetzung:
• Nutzer A und B verabreden sich öfters privat
=> A und B sind sogar befreundet
Das Gefahrenpotential von Data-Mining ist nicht zu unterschätzen, da durch dieses viele Rückschlüsse auf Vorlieben des Nutzers geschlossen werden können. Man könnte meinen, dass es
anhand der Daten, die durch Tracking und andere Methoden entstehen keine große sichere
Datenbasis für das Mining gibt, jedoch greifen Anbieter nicht nur auf solche Daten zu. E-MailAnbieter, wie Hotmail und GoogleMail zum Beispiel, nutzen unter anderem den E-Mail Verkehr
ihrer Kunden zum Mining nach Informationen über den jeweiligen Kunden. Facebook nutzt
die Profile der User als Datenbasis und von einigen dieser Anbieter werden zudem auch noch
Toolbars oder Tracking-Cookies verwendet, so dass letztendlich doch eine breite Datenbasis zusammenkommt. So ist es auch keine Seltenheit, dass nach dem Versenden von mehreren Mails
mit dem gleichen Interessengebiet plötzlich auch Werbung zu diesem Thema in das Postfach
flattert.
Social Engineering
Social Engineering wird von Angreifern genutzt um an eine Vielzahl von sensiblen Daten von
Nutzern zu kommen. Bei diesen kann es sich unter anderem um Bankdaten oder firmeninterne
Zugangsdaten handeln.
Social Engineering basiert auf der Täuschung eines Nutzers durch den Angreifer, wobei dem
Nutzer vom Angreifer eine falsche Identität vorgetäuscht wird um an die sensiblen Daten zu
gelangen. Zur Vortäuschung dieser Identität ist es für den Angreifer wichtig bereits möglichst
viele, wenn möglich sogar sensible Informationen über den Nutzer und sein Umfeld zu besitzen,
da ihm der Nutzer so leichter in die Falle geht.
Eine möglicher Angriff könnte nach der Sammlung von diversen Daten durch den Angreifer wie
folgt ablaufen:
Der Angreifer ruft den Nutzer per Telefon an um an seine Zugangsdaten für das Rechnersystem
der Firma zu kommen.
Angreifer: Hallo, hier ist AB von der IT-Technik. Wir hatten vor Kurzem einen Ausfall am
Server und ihr Nutzerkonto ist leider eines der Betroffenen.
Nutzer: Hallo Herr AB. Das klingt nicht gut. Ich habe ja öfters mit der IT-Abteilung zu tun,
ich wusste gar nicht, dass sie dort arbeiten...
Angreifer: Ja, ich bin erst seit Kurzem dabei. Ich habe erst vor einer Woche mit meiner Ausbildung hier in Ddorf begonnen und soll jetzt im Auftrag von Herrn XY die betroffenen Nutzer
informieren und das weitere Vorgehen mit diesen besprechen.
Nutzer: Ah, ok. Dann grüßen Sie mir den XY mal von mir. Wie können wir das Problem
lösen?
Angreifer: Ja, das werde ich ihm gleich ausrichten. Ich muss nun ihr Nutzerkonto überprüfen,
dafür bräuchte ich von ihnen sowohl ihr Login, als auch ihr Passwort.
Nutzer: Ok, das Login ist...
In dem obigen Beispiel hatte der Angreifer im vornherein Informationen über das Ziel gesammelt
und Informationen über die Firma angestellt. Dabei hat er herausgefunden, dass sie eine zentrale
IT-Abteilung in Ddorf haben und dort ein Herr XY die Verantwortung hat. Dadurch konnte er
den Nutzer von seiner gefälschten Identität überzeugen.
23. Oktober 2009
Seite 31/109
Durch die vorangegangenen direkten Gefahren wird es einem Angreifer auch ermöglicht effizient
ein Profil über den Nutzer zu erstellen, durch das für ihn das Social Engineering wesentlich
erleichtert wird, da er den Nutzer sozusagen “kennt”. Aus den erspähten Daten ergeben sich
dann auch wieder neue Probleme, da ein Angreifer diese für andere Angriffe nutzen kann.
Secondary Privacy Damage
Durch Secondary Privacy Damage kann so gut wie jede Information über eine Person veröffentlicht werden.
Secondary Privacy Damage ist ein weiteres indirektes Problem für die Privatsphäre und kann
durch die Veröffentlichung von privaten Daten durch Dritte Personen entstehen. Wenn z.B. Ein
Partner in der E-Mailkommunikation an einem Programm zur Erstellung eines “Social Graphs”
anhand der E-Mail Kommunikation zustimmt, so werden die Daten des anderen Kommunikationspartners ohne explizite Zustimmung von diesem in den Graph eingepflegt, da eine Kommunikation zwischen Beiden Partnern besteht. Ebenso besteht dieses Problem beim Einladen
von anderen Nutzern zur Nutzung an einem Webdienst oder dem Versenden eines normalerweise zugriffsbeschränkten Artikels. Bei diesen Aktionen wird die Mailadresse eines Nutzers durch
einen Dritten preisgegeben und zudem ist es dem Seitenbetreiber möglich zwischen den beiden
Nutzern eine Beziehung herzustellen.
Dieses Problem besteht in abgewandelter Form auch auf Internetseiten mit getaggten Daten, z.B.
Flickr. Innerhalb der Tags können u.a. Die Namen der auf einem Bild abgebildeten Personen
veröffentlicht werden. [9]
Bei diesen Problemen der Privatsphäre gibt es keine Möglichkeit sie vor dem Eintreten zu verhindern. Der Nutzer kann nur nach dem Bekanntwerden Schadensbegrenzung betreiben und
versuchen seine Daten entfernen zu lassen. Ein Erfolg ist ihm dabei aber nicht sicher!
Diverse IT-Sicherheitsprobleme
Als Folge der vorangegangenen Gefahren ergeben sich quer durch den IT-Sicherheits-Bereich
neue Gefahren, da ein Angreifer durch sein gewonnenes Wissen über den Nutzer die Möglichkeit
hat sich z.B. zu dessen E-Mail Postfach Zugang zu verschaffen. Dadurch wird dann letztendlich
die Privatsphäre des Nutzers vollständig zerstört und letztendlich wird auch dessen Authentizität
stark gefährdet.
2.6
Angriffsszenarien
Im folgenden Abschnitt werden nun 2 komplexe Angriffsszenarien dargestellt, die unter Nutzung
der in Kapitel 3 vorgestellten Techniken zu einer Gefährdung eines Nutzers führen.
2.6.1
Phishing
In unserem Szenario gibt es 2 Akteure, die Nutzer Alice und Bob, welche auch beide befreundet
sind und sich gegenseitig vertrauen. Außerdem gibt es noch einen Angreifer Carl, der von der
Verbindung zwischen Alice und Bob keine Kenntnis hat. Der Angreifer Carl hat lediglich die
Kontrolle über eine Nachrichtenplattform, auf der Alice hin und wieder einen Artikel liest, jedoch
nicht registriert ist.
Als Bob nun eines Tages ein Login in seinen Online-Banking Account durchführt um seinen
Kontostand zu prüfen, muss er feststellen, dass dort 2 Überweisungen mit einem größeren Betrag
durchgeführt worden sind, die er nicht selbst veranlasst hat.
Was war nun passiert?
23. Oktober 2009
Seite 32/109
Alice hatte beim Lesen auf der Nachrichtenplattform von Carl einen Artikel entdeckt, den sie
besonders interessant fand und diesen über die plattformeigene Funktion “Artikel senden” an
Bob gemailt, wozu sie seine Mailadresse und seinen Namen angeben musste. Durch dies wurde
Carl gegenüber die Mailadresse, sowie der Name von Bob preisgegeben und er konnte zudem
noch eine direkte Verbindung zu Alice feststellen.
Bei der Nachricht, die über das System versandt worden ist handelte es sich zudem nicht um eine
normale E-Mail, sondern um eine HTML-Mail mit eingebundenen Grafiken von dem Server des
Angreifers. Als Bob nun die Mail öffnete wurden die Grafiken geladen und beim Laden wurde
Carl darüber informiert, dass die Nachricht geöffnet worden ist und die Mailadresse von Bob
auch genutzt wird.
Nun konnte Carl seinen nächsten Schritt vorbereiten. Er erstellte eine Seite, die mittels CSS
client-side History Mining die bekannten Online-Banking Plattformen testet und dem Angreifer
dann das Ergebnis der Prüfung mitteilt. Nachdem diese Seite erstellt und mit harmlosen Inhalten
gefüllt worden war, erstellte Carl eine Mail, bei der er als Absender Alice angab und im Text Bob
auf eine “ganz tolle Seite” hinwies und dazu einen Link zu seiner präparierten Seite anhängte.
Da Bob Alice vertraut und glaubte, dass die Mail von Alice kam, öffnete er den Link und Carl
konnte bei dem Seitenbesuch feststellen, bei welcher Bank Bob Kunde ist. Ab diesem Punkt
konnte Carl nun durch die gesammelten Informationen effizient Phishing betreiben.
Er konnte nun eine exakte Kopie der Online-Banking Plattform der Bank erstellen, welche
von Optik und Inhalten her genau die Originalseite widerspiegelte. Er verwendete zudem eine
ähnliche URL, in welcher der Name der Bank enthalten war und forderte bei der Anmeldung
die zusätzliche Eingabe von 2 TAN Nummern. Nun erstellte er im nächsten Schritt eine Mail,
bei der er als Absender Bobs Bank angab und in der Mail auf Wartungsarbeiten am Banking
System hinwies und ebenfalls mitteilte, dass es nötig sei, dass der Kunde sich daher bei der
Bank mit seinen Daten verifiziert, wofür die 2 TAN Nummern nötig wären. Zusätzlich gab er
noch einen Link zu der zuvor erstellten Kopie der Banking Seite an. Da Bob auch seiner Bank
vertraut und die Mail im Design der Bank war, öffnete er den Link und sah das bekannte Bild
der Banking Plattform. Dort gab er nun die geforderten Login Daten und 2 TAN Nummern ein
und wurde danach zur Verschleierung auf die reale Banking-Plattform der Bank weitergeleitet,
so dass er nichts auffälliges an dem Vorgang entdecken konnte.
Carl konnte nun in aller Ruhe 2 Überweisungen mit den TANs durchführen und hat zu dem
noch weiterhin uneingeschränkten Zugang zur Kontoübersicht von Bob.
Das gleiche Szenario ist ebenfalls auf Plattformen wie PayPal oder Click&Buy übertragbar, bzw.
wäre dort sogar noch einfacher durchzuführen, weil nicht mal das Abfragen von TAN Nummern
nötig wäre.
2.6.2
Identity Theft
Das folgende Szenario behandelt die Aneignung der Identität einer anderen Person in Social
Communities und anderen Plattformen.
Ziel eines solchen Angriffes ist es über eine Zielperson anhand von vorhandenen Daten Vertrauen
gegenüber Freunden der Zielperson aufzubauen um dann von diesen sensible Informationen über
die Zielperson oder diese Personen selbst zu sammeln.
In dem Szenario wir die Position des Angreifers erneut von Carl eingenommen und Die Zielperson
ist ebenfalls wieder Bob. Freunde von Bob sind Alice und Dave. Carl hat bisher noch keine Daten
zum Nutzer Bob oder seinem Freundeskreis.
Für den ersten Schritt des Angriffes erstellt Carl eine Seite, welche für andere Nutzer potenziell
interessant ist und fordert zur uneingeschränkten Nutzung dieser eine Registrierung des Nutzers. Im Rahmen dieser Registrierung verlangt er vom Nutzer die folgenden Daten: Vorname,
Nachname, Mailadresse, sowie die Angabe des Wohnortes. Außerdem präpariert er die Registrie-
23. Oktober 2009
Seite 33/109
rungsseite derart, dass er sowohl über den HTTP-Header Daten vom Nutzer sammelt, als auch
durch einen durch diese Seite ausgeführten CSS-History Mining Angriff abfragt, auf welchen
Social Communities der Nutzer vertreten ist. Danach streut Carl den Link zu seiner Seite an
diversen Stellen im Netz, wo er interessierte Nutzer vermutet.
Nun kommt Bob ins Spiel. Er sieht auf einer Seite den Link zu Carl’s neuer Website und findet
den Inhalt interessant. Er besucht die Seite und will letztendlich auch vollen Zugriff auf die
Inhalte haben. Dafür besucht er die Registrierungsseite. Während er diese ausfüllt, wird ohne das
er es merkt ein Scan seiner History durchgeführt und mit der Cookie-ID, die Bob beim Betreten
der Startseite zugewiesen bekam, versehen werden die Resultate des Scans an Carl übermittelt.
Nachdem Bob das Formular ausgefüllt hat, schickt er dies ab, wobei er nicht bemerkte, dass dies
ebenfalls mit seiner Cookie-ID versehen worden ist.
Durch die Cookie-ID wird es Carl, der alle Daten erhält möglich die Registrierungsdaten mit
den Scan-Ergebnissen zu verknüpfen. Außerdem kann er auf diese Art und weise auch die über
den HTTP-Header erhaltenen Daten über den Nutzer zuordnen. Nun hat Carl von Bob bereits
folgendes erfahren: Vorname, Nachname, Mailadresse und Wohnort. Außerdem hat der Scan ihm
als Ergebnis geliefert, dass Bob auf den Seiten facebook.com und studiVZ.de war und ebenfalls
auf der Seite flickr.com war. Zudem weiß er über den HTTP-Header, das Bob als Standardsprache
Deutsch gewählt hat, Linux-Nutzer ist und einen Mozilla kompatiblen Browser verwendet.
Da Carl nun den Namen von Bob, sowie dessen Wohnort kennt, kann er auf den beiden Plattformen, auf welchen Bob vertreten ist nach dessen Profil suchen und dort weitere Daten sammeln.
Er besucht also als nächstes das Profil von Bob, welches wie die meisten anderen öffentlich sichtbar ist, und sammelt dort weitere Daten. Danach legt sich Carl eine neue Mailadresse an, welche
der von Bob ähnelt und meldet darüber bei einer Plattform, auf welcher Bob nicht vertreten ist
einen neuen Account an. Diesen Account füllt er darauf mit den über Bob gesammelten Daten.
Da er bisher noch kein Bild von Bob finden konnte, stattet er auch der Plattform flickr noch
einen Besuch ab, auf welcher Bob ebenfalls öfters surft.
Da er den vollen Namen von Bob besitzt, kann er diesen als Suchtag verwenden und findet daher
ein paar Urlaubsbilder, welche mit Bob’s Namen getaggt sind. Eines dieser Bilder speichert er
sich und verwendet dies als Profilbild für den Fake-Account, womit dieser vollständig wird. Als
weitere Maßnahme meldet er sich noch mit diesem Account bei mehreren Gruppen an, welch er
anhand der Zusatzdaten, die er von Bob hat, wählt (z.B. Linuxfan, Mozilla-User, etc.). Fertig ist
das gefakte Profil. Als letztes schreibt er über dieses Profil alle Freunde Bob’s aus den anderen
Communities an und bittet um Bestätigung der Freundschaft.
Da diese glauben, dass es sich wirklich um Bob handelt, kann Carl auf diesem Weg an sensible
Daten kommen. Er hat auf diesem Weg die Identität von Bob gestohlen.
2.7
Schutzmethoden
Im folgenden Abschnitt werden nun Methoden vorgestellt, durch die man sich vor den vorangegangenen Gefährdungen schützen kann, bzw. durch welche man eine Profilerstellung erschweren
kann. Die Schutzmethoden werden in server-seitige und client-seitige Maßnahmen unterteilt und
der jeweiligen Schutzmaßnahme werden entsprechende Angriffe zugeordnet.
2.7.1
Client-Seitige Maßnahmen
Client-seitige Maßnahmen sind Maßnahmen, die der Nutzer aktiv in seinem Browser, bzw.
In seinem Netzwerk einrichten muss, entweder über Browser-Add-Ons und Einstellungen oder
über einen dem Internet-vorgeschalteten Proxy-Server. Ein bedeutender Nachteil bei den clientseitigen Maßnahmen besteht darin, dass der Nutzer sie installieren, nutzen und noch dazu auf
dem aktuellen Stand halten muss.
23. Oktober 2009
Seite 34/109
Registrierungsdatenbanken
Bei Registrierungsdatenbanken, wie z.B. BugMeNot7 handelt es sich, wie der Name schon sagt
um Datenbanken, welche Registrierungsinformationen enthalten.
Die Datenbanken basieren auf einer Gemeinschaft von Nutzern, welche die Daten aus der Datenbank sowohl nutzen, als auch aktiv selbst generierte Login-Daten in die Datenbank eingeben,
damit diese von anderen Nutzern genutzt werden können. Um an die benötigten Login-Daten
zu registrierungspflichtigen Seiten zu gelangen, melden sich die Nutzer unter Angabe falscher
Daten auf diesen Seiten an und tragen danach die Daten in die Datenbank ein. Wenn nun ein
Nutzer ein Login benötigt, so muss er nur auf die Seite der Datenbank gehen und dort die URL
der Seite angeben, für welche er das Login benötigt, wonach ihm dann ein Reihe an Login-Daten
gegeben wird.
Diese Datenbanken helfen gut gegen die Datensammlung durch Seiten, welche eine Registrierung
erfordern. Zudem spart der Nutzer auch noch die zum Durchführen der Registrierung benötigte
Zeit. Der Nutzer muss sich nicht mehr registrieren, sondern kann einfach die Daten aus der
Datenbank nutzen. Dieses System funktioniert jedoch nur, solange auch genug Nutzer sich aktiv
daran beteiligen und neue Login-Daten zur Verfügung stellen, sowie mittlerweile gesperrte Logins
melden.
Falsche Angaben
Falsche Angaben bezeichnet das Eingaben von fehlerhaften, bzw. Nicht auf die Person selbst
zutreffenden Daten während einer Registrierung oder in einem User-Profil.
Die meisten Eingabeformulare bei Registrierungen oder Nutzerprofilen verfügen nicht über einen
effektiven Mechanismus zur Validierung der Eingegebenen Daten. Daher kann ein Nutzer bei der
Anmeldung einfach fiktive Daten oder die Daten einer anderen Person eingeben um Zugang zu
erhalten.
Diese Methode kann als Schutz gegen Registrierungen verwendet werden um die eigene Identität zu schützen. Dies erfordert jedoch, dass der Nutzer den kompletten Registrierungsvorgang
über sich ergehen lässt und die Zeit investiert. Außerdem ist seine Kreativität gefordert und
es darf auch keine Maßnahmen zur Validierung der Registrierungsdaten geben (z.B. PostIdentVerfahren). Zudem ist vom Nutzer abzuwägen, ob durch die Fehlangabe irgendwelche juristischen
Konsequenzen entstehen könnten.
Blocken von Fremdem Inhalt
Das Blocken fremder Inhalte zielt darauf ab, dass nicht relevante Inhalte einer Website (Werbung,
etc.) weder vom Browser des Users angezeigt, noch heruntergeladen werden.
Das Blocken kann der Nutzer auf drei Arten bewerkstelligen. Zum einen kann er in seinem
Browser manuell den kompletten Download von Bildern und die Ausführung von Java und
JavaScript Elementen deaktivieren. Diese Variante ist sehr drastisch und kann auch das Surfen
an sich behindern, da gewünschte Bildinhalte nicht gezeigt werden.
Als Alternative kann der Nutzer auch einen Content Filter, wie z.B. AdBlock Plus8 verwenden,
welcher im Browser als Plugin eingerichtet wird. Bei diesen Filtern kann man Regeln definieren,
die dann auf den Inhalt einer Seite angewendet werden und dafür sorgen, dass z.B. Werbenachrichten und anderer unerwünschter Content, wie Web Bugs (1x1 px große unsichtbare Bilder),
welche einzig und allein dem Tracking oder dem Werben dienen, effizient entfernt werden. Der
7
BugMeNot
(http://www.bugmenot.com)
8
AdBlock Plus
(http://adblockplus.org/de/)
23. Oktober 2009
Seite 35/109
User kann die Regeln entweder selbst schreiben oder einen vordefinierten Filter, wie das FilterSet.G, verwenden und diesen bei belieben erweitern. FilterSet.G zum Beispiel wird von einer
Community immer weiter ausgebaut und an aktuelle Änderungen angepasst.
Neben diesen beiden Varianten kann man auch noch einen klassischen third party content Filter
verwenden, der Inhalte blockt, die nicht von der aktuellen Domain kommen komplett blockt.
Diese Variante stellt einen Mittelweg zwischen den beiden vorherigen Varianten dar.
Von den drei vorgestellten Varianten ist die Verwendung eines Filters am effektivsten, da diese
die Inhalte intelligent prüfen und bei der Erkennung von externen Inhalten diesen blocken. Durch
das Blockieren fremder Inhalte kann sich der Nutzer gegen das Tracken von Tracking-Cookies,
sowie die generellen Nachteile von fremden Inhalten schützen. Außerdem kann sich für ihn das
Nutzen des Internets als schneller erweisen, da nicht mehrere “unnötige” Dateien von etlichen
unterschiedlichen Servern geladen werden müssen.
Opt-Out Cookies
Opt-Out Cookies sind eine freiwillige Maßnahme, die von den Anbietern im Rahmen der OECD
FIP, zur Verfügung gestellt werden. Diese ermöglichen es dem Nutzer sich ähnlich einem Abonnement vom Tracking auszutragen.
Ein Opt-Out Cookie ist ein Langzeitcookie, welches sich der Nutzer für den jeweiligen TrackingAnbieter installieren muss um vom Tracking befreit zu werden. Wenn nun der Nutzer auf eine
Seite kommt, auf der Inhalte des Trackers vertreten sind, so wird vom Browser des Users das
Cookie an den Server geschickt. Nach Erhalt des Cookies stellt dieser fest, dass es sich um das
Opt-Out Cookie handelt und sendet dem Nutzer den Inhalte, der angefordert worden ist. Er
verzichtet dabei jedoch auf das Mitsenden und Installieren des Tracking-Cookies.[10]
Auch, wenn die Installation eines Cookies als Schutz gegen Tracking-Cookies nicht gerade intuitiv
ist, so ist dies die einzig effektive Methode um das Tracking langfristig durch den Dienst zu
stoppen. Ein Nachteil ist jedoch, dass der Nutzer für jeden Tracker ein eigenes Opt-Out Cookie
benötigt. Er muss dafür auf der Homepage jedes Content Providers nach der “Privacy Policy”
suchen und dort dann nach der Möglichkeit eines Opt-Out Cookies suchen und dies installieren.
Dies ist jedoch nur möglich, wenn der Provider eines zur Verfügung stellt.
Eine Liste mit den größeren Trackern kann man auf den Seiten des World Privacy Forums9
finden.
Blocken von Cookies
Das Blocken von Cookies umfasst das Blocken von Langzeit-Cookies, normalen Cookies, sowie
den kurzzeitigen Session-Cookies.
Beim Cookie-Blocken kann man zwischen drei verschiedenen Varianten unterscheiden, die von
einem Browser oder entsprechenden Add-Ons unterstützt werden. Zum einen gibt es die Möglichkeit einfach alle Cookies ohne Ausnahmen zu blockieren. Die zweite Möglichkeit ist das Blocken
von allen third party Cookies, also das Blocken von Cookies, die von externen Seiten installiert
werden sollen. Außerdem gibt es noch die Möglichkeit Langzeitcookies zu blockieren, wodurch
alle Cookies, die eine Lebensdauer von mehr als X Tagen geblockt werden.
Jede dieser Varianten hat eigene Vor- und Nachteile. Beim Blocken aller Cookies ist der Nutzer
auf jeden Fall vor dem Tracking mit normalen Cookies sicher, jedoch wird auch die Nutzung des
Internets stark beeinflusst und die Nutzung von Diensten, die Session-Cookies zur Zugangskontrolle verwenden wird unmöglich. Beim Blocken von externen Cookies besteht noch immer die
Möglichkeit dem Browser vorzutäuschen, dass das Cookie von einer first party Seite gesetzt werden soll. Bei dem alleinigen Blocken von Langzeitcookies ist nicht sichergestellt, dass wirklich
9
WPF: Opt-Out Cookie-List
(http://www.worldprivacyforum.org/cookieoptout.html)
23. Oktober 2009
Seite 36/109
Abbildung 2.3: Schutzmethode: Domain Tags
alle Tracking-Cookies diese Zeitspanne überschreiten, außerdem kann es sein, dass auch viele
erwünschte Cookies davon betroffen sind.
Flash Cookies sind davon jedoch nicht betroffen, da diese nicht den Browser-Einstellungen unterliegen. Um diese zu blockieren und zu entfernen ist ein spezielles Add-On, wie z.B. BetterPrivacy10 für Firefox nötig.
Insite-Tracking
Gegen Insite-Tracking kann sich der Nutzer meist nur dadurch schützen, dass er seine Profileinstellungen auf der Seite genausten überprüft und nach Optionen für den Datenschutz sucht,
in denen er die Tracking-Features deaktivieren kann. Meist befindet sich ein entsprechender
Vermerk in der “Privacy Policy” des Seitenbetreibers. In dieser wird auch der Rahmen der Verwendung geregelt.
Cache: Domain-Tags
Domain-Tags stellen eine Änderung am Design der Browser dar. Durch sie wären gecachte Inhalte
nur noch von der Seite, von der sie gecacht wurden nutzbar.
Durch die Einführung von Domain-Tags würde der Browser jeder Datei, die im Cache zwischengespeichert wird einen Tag, mit dem Namen der Seite, auf der der User war als die Datei geladen
worden ist, zugeordnet und gespeichert. Beim Abrufen von Dateien aus dem Cache würde der
Browser dann bevor er die Datei aus dem Cache freigibt prüfen, ob die Seite, welche die Datei
nutzen will, auch die Seite ist, welche den Inhalt im Cache gespeichert hat. [6]
Durch die Domain-Tags wäre es möglich ein Web-Mining unter Zuhilfenahme des Web-Caches
des Browsers zu verhindern. Der Nutzer müsste zwar dieselben Dateien eventuell mehrfach zwischenspeichern, jedoch ist dies durch die aktuell rasant steigenden Verbindungsgeschwindigkeiten
nicht weiter tragisch. Allerdings müsste die oben beschriebene Änderung erst von den Browsern
umgesetzt werden, da dies eine weitreichende Änderung ist.
10
http://netticat.ath.cx/BetterPrivacy/BetterPrivacy.htm
23. Oktober 2009
Seite 37/109
Abbildung 2.4: Schutzmethode: Sameorigin Rules
Cache: Sameorigin Rules
Sameorigin Rules stehen für eine geänderte Art der Cache-Kontrolle in Web Browsern, welche
sicherstellt, dass gecachte Inhalte auch nur von den Seiten, von denen sie stammen genutzt
werden können.
Dieses Verfahren basiert auf dem Prinzip, dass jede Domain im Internet vom Browser einen
eigenen Cache erhält, so dass eine Datei A, wenn sie von Server 1.de und 2.de genutzt wird
für jede Domain separat gespeichert wird und nicht geteilt wird. Jede Domain kann nur die
Inhalte sehen, welche sie selbst beinhaltet und hat keinen Zugriff auf die Inhalte, welche von
einer anderen Domain gespeichert worden sind. [11]
Dieses System kann effektiv zur Verhinderung von Webtiming-Angriffen auf den Browser-Cache
genutzt werden. Bisher ist dieses Verfahren jedoch nur in der Theorie vorhanden und noch nicht
aktiv in einem Web-Browser umgesetzt worden.
Ein bedeutender Nachteil dieses Verfahrens besteht in der benötigten größeren Bandbreite, welche durch das mehrfache Laden von identischen Dateien auftritt.
Deaktivieren von HTML in Mails
Durch die Deaktivierung von HTML in E-Mails, wird der Mail Client des Nutzers angewiesen
den HTML-Code, der möglicherweise in E-Mails enthalten ist nicht mehr zu interpretieren.
Um diese Änderung durchzuführen muss der Nutzer seinen Mail-Agent anweisen, dass keine
HTML-Inhalte mehr interpretiert werden. Als zusätzliche Maßnahme sollte der User auch noch
das automatische Laden von Bildern deaktivieren.
Durch die obige Maßnahme wäre der Nutzer vor HTML-Inhalten geschützt und könnte eine
Informationspreisgabe vermeiden, jedoch würde der Nutzer bei gewünschten HTML-Mails Anzeigeprobleme bekommen.
23. Oktober 2009
Seite 38/109
Privacy Systems
Ein Privacy System ist ein System, welches den Nutzer zwischen verschiedenen Umgebungen
umschalten lässt, in welcher der Nutzer gerade arbeitet und entsprechend andere Elemente anzeigt.
Durch ein Privacy System muss der Nutzer beim Besuch einer Seite diese Klassifizieren. Wenn
sich nun der Kontext des Browsers ändern sollte, könnte der Nutzer von privatem Surfen auf
öffentliches Surfen umschalten und es würden nur als öffentlich klassifizierte Inhalte gezeigt
werden. So würden keine Informationen an unberechtigte Personen verbreitet werden, jedoch
müssten Inhalte auch korrekt klassifiziert werden. Alternativ wäre auch ein System, welches die
Seiten automatisch nach gewissen Kriterien bewertet und dann klassifiziert möglich.[3]
Durch solch ein Privacy System wäre es dem Nutzer effektiv möglich sich vor einer unerwünschten
Preisgabe von Informationen durch Auto-Vervollständigung und Browser-History zu schützen.
Jedoch bedeutet solche ein System für einen Nutzer einen Zusatzaufwand durch die Klassifikation.
Deaktivieren von JavaScript
Mit der Deaktivierung von JavaScript ist eine komplette Deaktivierung der JavaScript-Unterstützung
im Browser des Nutzers, von sowohl first party, als auch third party JavaScript Inhalten gemeint.
Die Deaktivierung von JavaScript kann ebenso wie bei den Cookies entweder komplett vorgenommen werden, oder aber ein Plugin wie z.B. NoScript11 kommt zum Einsatz, mit dem man
gezielte Regeln für das Blocken festlegen kann. So ist eine Blocken von third party JS mögliche,
als auch die Filterung anhand einer Whitelist. [12]
Die komplette Deaktivierung von JavaScript ist zwar sicherheitstechnisch gut, allerdings verliert
der Nutzer dadurch viele Elemente, die zur sinnvollen Nutzung von vielen aktuellen Websites
nötig sind. Er büßt also sehr viel Surf-Vergnügen ein. Durch eine gezieltere Filterung kann der
Bereich eingegrenzt werden und versucht werden nur unerwünschten JS Code zu blocken. Diese
Variante kann jedoch nicht alle schadhaften Codes blocken, da mehr und mehr auch über first
party Seiten eingebracht werden.
Löschen von Cookies und Cache
Löschen von Cookies und Cache Files umfasst das komplette leeren des Cookie-Speichers des
Browsers, wodurch sowohl Langzeit-, als auch Kurzzeit-Cookies entfernt und alle zwischengespeicherten Daten gelöscht werden. [12]
Der Nutzer müsste entweder manuell in gewissen Zeitabständen alle Cookies und den Cache
löschen oder aber er hat in seinem Browser die Möglichkeit einzustellen, dass bei jedem Start
des Browsers der Verlauf und die Cookies gelöscht werden (Firefox).
Durch diese Methode kann der Nutzer zwischen jedem Browser-Neustart sicherstellen, dass er
nicht mehr verfolgt werden kann. Allerdings ist er während seiner Session immer noch durch
Cookies und Cache verfolgbar.
Privacy Footprint
Das Ziel eines Privacy Footprints besteht darin, dass dem Nutzer nach einer Überprüfung der
gerade besuchten Seite angezeigt wird, ob und wie stark die Verbindungen von dieser Seite zu
versteckten Inhalten sind.
Bei jedem Besuch einer Internetseite würde die Internetseite durch das Programm zur Erstellung des Footprints analysiert werden. Es würde geprüft werden, wie viele Verbindungen zu
11
NoScript (http://noscript.net/)
23. Oktober 2009
Seite 39/109
Abbildung 2.5: Schutzmethode: TOR
versteckten externen Servern hergestellt werden um Inhalte zu laden. Anhand dieser Zahl wird
dem Nutzer dann eine Auswertung über die Privatsphäre der Seite dargestellt.[13]
Durch den Privacy Footprint wäre es möglich den Nutzern eine Auswertung über die Vertrauenswürdigkeit der Internetseite zu zeigen, auf der er gerade surft zu zeigen und ihn so vor möglichen
Gefahren zu warnen. Dadurch könnte der Nutzer entscheiden, ob es sich überhaupt lohnt sich
den Gefahren dieser Seite auszusetzen.
Anonymous web-browsing
Anonymes Web-Browsen zielt darauf ab, dass die Anfragen, welche der Nutzer über seinen
Browser sendet nicht mehr seiner IP eindeutig zuzuordnen sind und er somit in diesem Punkt
anonym ist.
Zum Anonymen Surfen muss der Nutzer ein Programm zur Nutzung eines anonymen Netzwerks
nutzen. Ein bekannter Vertreter dieser Netzwerke ist TOR12 (The Onion Router). Der Nutzer muss zu Beginn einen Client (Onion Proxy) installieren, der sich mit dem TOR-Netzwerk
verbindet. Nachdem der Client eine Serverliste bezogen hat, wählt der Client ein zufällige Route über drei TOR-Server, indem er eine verschlüsselte Verbindung mit ihnen aufbaut. Nachdem die Verbindung aufgebaut worden ist, werden sämtliche Daten über diesen Weg versendet.
Nach ca. 10 Minuten wird die Verbindungsstrecke automatisch gewechselt. Innerhalb der Verbindungsstrecke werden die Pakete verschlüsselt versendet, erst am Ausgangsknoten werden sie
entschlüsselt.[14, 15]
Durch die obige Technik wird die Kommunikation des Nutzer verschleiert, da seine Daten von
seiner IP entkoppelt werden. Allerdings kann er immer noch anhand von Cookies oder diversen
Mining-Techniken identifiziert werden. Außerdem ist es möglich, dass ein Angreifer den Nutzer
identifiziert, wenn er den Eingangs- und den Ausgangsserver überwacht. Ein weiteres Problem
bei TOR ist, dass die Konfiguration relativ schwierig ist und ein Nutzer, der seine Identität
preisgibt führt zu einer Gefährdung aller anderen Nutzer dieses Netzwerks.
Sticky Policies
Sticky Policies beschreiben eine andere Art der Handhabung von Nutzerdaten und den damit
verbundenen Datenschutzrichtlinien. Es wird ein Verfahren vorgestellt, welches durch die Nut12
TOR (http://www.torproject.org/)
23. Oktober 2009
Seite 40/109
Abbildung 2.6: Schutzmethode: Sticky Policies
zung einer Trusted Third Party dazu führt, dass ein Nutzer mehr Möglichkeiten zur Bestimmung
über die Verwendung und Weitergabe seiner Daten hat.
Das Konzept hinter den Sticky Policies sieht vor, dass ein Nutzer einen allgemeinen Datensatz
über sich erstellt und diesen entsprechend verschlüsselt. Zudem erstellt er ein Regelwerk zu dem
Datensatz, der dessen Nutzung regelt. Wenn sich der Nutzer nun für einen Dienst anmeldet,
sendet er dem Betreiber seine kompletten Daten, sowie die damit verbundenen Regeln und der
Betreiber muss sich gegenüber einer dritten Partei mit den Regeln einverstanden erklären und
seine Integrität nachweisen. Nach einer darauf folgenden Information und Authentifikation durch
den Nutzer erhält der Betreiber einen Schlüssel zum entschlüsseln der Nutzerdaten. Die Trusted
Third Party loggt diesen Zugriff. Der Betreiber kann im folgenden die Daten in Kombination
mit den Regeln beliebig weitergeben, da sich jeder andere Betreiber auch gegenüber der Third
Party authentifizieren muss.[16]
Im folgenden wird nun noch einmal der Ablauf des ganzen Vorgangs exemplarisch beschrieben:
1. Erstellen eines Regelwerks und der dazugehörigen verschlüsselten Nutzerdaten durch den
User
2. Das Datenpaket mit den dazugehörigen Regeln kann an einen Dienstleister gegeben werden.
3. Der Dienstleister muss gegenüber der Trusted Third Party zeigen, dass er die Regeln
verstanden hat.
4. Das Prüfsystem verifiziert, dass der Dienstleister, sowie dessen IT Umgebung vertrauenswürdig ist.
5. Der Nutzer wird je nach festgelegten Regeln um Authentifizierung der Entschlüsselung
gebeten oder er wird über die Anfrage des Dienstleisters informiert.
23. Oktober 2009
Seite 41/109
6. Die Nutzerdaten werden dem Dienstleister zugänglich gemacht, indem ihm ein entsprechender Schlüssel zu den Daten gegeben wird. Dies erfolgt nur, wenn er die Regeln des
Nutzers einhalten kann.
7. Sämtliche Zugriffe und Aktionen, welche die Daten betreffen, werden von dem Verfolgungssystem protokolliert, damit der Nutzer eine bessere Nachvollziehbarkeit der Verbreitung
seiner Daten hat.
8. Die Daten selbst können von einem Dienstleister zum anderen weitergegeben werden. Der
obige Prozess wiederholt sich dann für den neuen Dienstleister ebenfalls.
Es ist schwer, für den Nutzer eine einfache Handhabung für die Verwaltung seiner Daten, sowie
eine gleichzeitige Kontrolle über die Verbreitung seiner Daten zu gewähren. Das oben beschriebene System ist eine gute Variante um diese beiden Punkte für einen Nutzer zu gewährleisten.
Das Problem bei diesem System ist jedoch, dass es noch keine aktive Umsetzung gibt, da dies
alle E-Commerce System betreffen würde und eine TTP bestehen müsste. Ein Problem bleibt
auch noch bestehen, denn woher weiß der User, dass die TTP auch wirklich vertrauenswürdig
ist?
On-the-fly-Verschlüsselung
On-the-fly-Verschlüsselung bezeichnet eine Technik, welche die Daten, die von einem WebBrowser in ein angegebenes Online-Storage System hoch geladen werden automatisch verschlüsselt.
Zur Nutzung dieser Technik müsste der Anwender nur einmalig ein Add-On für seinen WebBrowser, bzw. für den Client, den er zum Upload verwendet, installieren und einen Schlüssel zur
Verschlüsselung erstellen. Danach könnte er solange das Add-On aktiv ist das Storage-System
in vollem Umfang nutzen und seine online gespeicherten Daten, sowie der Datenverkehr von ihm
zum Server wären durch die Verschlüsselung der Daten gesichert.[17]
Die folgende Grafik verdeutlicht die dadurch erzielte Veränderung der Kommunikation:
Durch die Verschlüsselung der Daten direkt beim Upload zum Storage kann sichergestellt werden, dass diese Daten von niemandem sonst genutzt oder analysiert werden können. Da die
Verschlüsselung direkt beim Versand erfolgt, hat der Nutzer auch keine zusätzlichen Schritte
durchzuführen und er kann ganz normal mit dem Storage kommunizieren. Ein Nachteil ist allerdings, dass der Nutzer jederzeit einen Rechner benötigt, der die nötigen kryptographischen
Verfahren unterstützt, da er die Daten sonst nicht entschlüsseln kann.
2.7.2
Server-Seitige Maßnahmen
Server-seitige Maßnahmen können direkt auf einem Web-Server eingerichtet werden, wodurch
jeder Nutzer des Web-Servers von den Maßnahmen profitiert ohne sie selbst einstellen zu müssen.
Nur der Server-Admin ist für die Aktualisierung und Installation verantwortlich. Ein Nachteil
ist jedoch, dass man nicht sicher sein kann, welche Maßnahmen vorgenommen worden sind, bzw.
Ob diese auf dem aktuellen Stand sind.
HTTP De-Referer
Ein HTTP-De-Referer verschleiert beim Aufruf eines Links die Herkunftsseite des Benutzers.
Vom Server her kann zur Anonymisierung der Herkunft der Seitennutzer jedem Link ein HTTPDe-Referer vorgeschaltet werden. Diese De-Referer sind zwischengeschaltete Internetseiten, welche als Zwischenstation für den Nutzer fungieren. Der User wird vom Server auf den De-Referer
23. Oktober 2009
Seite 42/109
Abbildung 2.7: Schutzmethode: On-the-fly-Verschlüsselung
23. Oktober 2009
Seite 43/109
Abbildung 2.8: Schutzmethode: De-Referer
Abbildung 2.9: Schutzmethode: URL Customization
geleitet und von diesem dann weiter zu seinem eigentlichen Ziel. Dadurch erscheint dem Betreiber der Zielseite nur die Adresse des Anonymisierers als Herkunft. Ein bekannter Vertreter ist
u.a. die Anonymisierungsseite anonym.to13 .
Diese Technik kann effektiv genutzt werden um Überprüfungen anhand des HTTP-Referers
auszuweichen. Diese Technik funktioniert jedoch nicht bei fremdem Inhalt, der in eine Seite
eingebunden ist. Der Provider dieser Inhalte erfährt trotzdem, über welche URL diese abgerufen
worden sind.
URL customization
URL Customizing bezeichnet eine Technologie, welche sämtliche URLs des Servers verschleiert,
wodurch jeder Clients jedes Mal individuelle URLs vom Server bekommt.
Bei der URL customization wird dem Web server ein anderer Server vorgeschaltet, der als
Translator zwischen dem Web Server und den Clients dient. Dieser Rechner übernimmt auch die
Modifikation sämtlicher URLs, während der Web Server ein ganz normaler Web Server ist. Der
Translator fängt alle Seiten des Servers ab und modifiziert die darin vorhandenen URLs. Durch
ihn werden die in den Seiten erhaltenen URLs durch einzigartige URLs ausgetauscht, so dass sie
nicht mehr von Dritten erratbar sind. In jeder Session erhalten die Clients immer wieder neue
URLs, wodurch der Web Server hinter dem Translator versteckt ist. [7]
Dies wird nun nochmal anhand eines Beispiels genauer gezeigt:
Der Translator erhält folgenden Ausschnitt einer Seite vom Server:
1
2
3
<a href = ” h t t p : / /www . g o o g l e . de / ”> Google </ a >
<a href = ” h t t p : / / 1 0 . 0 . 0 . 1 / l o g i n . j s p ”> Log In </ a >
< img src = ”/ i m a g e s / welcome . g i f ”>
13
Anonym.to - link to other sites anonymously
(http://anonym.to)
23. Oktober 2009
Seite 44/109
Listing 2.7: Original HTML code
Im ersten Schritt ersetzt der Translator alle vorkommen der Adresse des Web Servers durch
seine eigene:
1
2
3
<a href = ” h t t p : / /www . g o o g l e . de / ”> Google </ a >
<a href = ” h t t p : / / t r a n s l a t o r . de / l o g i n . j s p ”> Log In </ a >
Listing 2.8: Nach dem ersten Schritt
Danach werden sämtliche Links zu externen Seiten durch Redirects über den Translator ersetzt:
1
2
3
<a href = ” h t t p : / / t r a n s l a t o r . de / r e d i r e c t ?www . g o o g l e . de / ”> Google </ a >
<a href = ” h t t p : / / t r a n s l a t o r . de / l o g i n . j s p ”> Log In </ a >
Listing 2.9: Nach dem zweiten Schritt
Als letztes werden sämtliche Links noch mit einem einzigartigen Wert versehen um sie zu anonymisieren:
1
<a
2
href = ” h t t p : / / t r a n s l a t o r . de / r e d i r e c t ?www . g o o g l e . de /?38 f a 0 2 9 f 2 3 4 f a d c 3 ”> Google </ a >
<a href = ” h t t p : / / t r a n s l a t o r . de / l o g i n . j s p ?38 f a 0 2 9 f 2 3 4 f a d c 3 ”> Log In </ a >
< img src = ”/ i m a g e s / welcome . g i f ?38 f a 0 2 9 f 2 3 4 f a d c 3 ”>
3
Listing 2.10: Fertiger Code
Die ganzen Schritte wären normalerweise vom Translator in einem einzigen Schritt durchgeführt
werden. Zur Illustration wurden sie hier vereinzelt dargestellt.
Durch dieses Technik ist es möglich dem History Mining entgegenzuwirken, da ein Angreifer
nicht erraten kann, welche Pseudonyme den Links vom Translator in der Session zugewiesen
worden sind. Um jedoch History Mining betreiben zu können, muss der Angreifer die URL
exakt kennen.
2.8
Diskussion
Anhand der vorhergehenden Gefährdungen und Schutzmaßnahmen werden nun die Punkte gegeneinander abgewogen und auch eine Betrachtung aus User-Sicht geführt.
Durch das deaktivieren bzw. umgehen von mehreren Gefährdungspunkten hat der Nutzer nicht
nur den Vorteil des sichereren Surfens, sondern er hat auch einen Gewinn bei der Performance
des Browsers, da dieser nicht mehr über 8 Server hinweg Inhalte laden muss, die der User
eigentlich gar nicht sehen will. Ebenso muss er keine falschen Registrierungen mehr durchführen,
sondern nutzt einfach einen existierenden Account. Ein Problem bei der Sache ist jedoch, dass
nicht nur die Nutzer an Wegen arbeiten um besagte Inhalte zu verhindern, sondern auch die
Content-Provider daran arbeiten die Schutzmaßnahmen der Nutzer zu umgehen, sei es durch
das ändern von Server-URLs, Generierung von dynamischer Werbung oder durch das Sperren
von öffentlichen Nutzeraccounts.
Des weiteren kann es bei den Content-Filtern auch dazu kommen, dass Elemente einer Seite
falsch klassifiziert werden, also Werbebilder angezeigt werden und zum Bericht gehörende Bilder geblockt werden. Dies wird noch dadurch verstärkt, dass die Content-Provider an Systemen
arbeiten, die dafür sorgen, dass die fremden Inhalte möglichst schwer von den gewünschten Inhalten unterscheidbar sind, z.B. durch Inline Advertising, also durch in den Bericht eingebundene
Werbenachrichten oder Bilder.
23. Oktober 2009
Seite 45/109
Ein weiterer Punkt, der gerade aus User-Sicht sehr relevant ist, ist wie schwierig die Schutzmaßnahmen durchzuführen sind und welche Qualitätseinbuße der Nutzer dadurch hinnehmen
muss. Wenn die Qualität des Internets durch die Schutzmaßnahmen zu stark leidet, wird kaum
ein normaler Nutzer diese einsetzen, weil eben gerade im Bereich des Internets vielen Nutzern
die Wichtigkeit der Privatsphäre nur sehr begrenzt präsent ist. Das Internet wird von vielen
Personen noch als anonyme Zone wahrgenommen, obwohl dies schon längst nicht mehr so ist.
Auf einem Stück Papier würde zum Beispiel eine Person nur sehr ungern Daten wie Name,
Anschrift, Geburtsdatum, Mailadresse und eine “Sicherheitsfrage” wie “Name der Freundin?”
angeben, während im Internet dies Standard-Fragen bei den meisten Registrierungen sind.
Ein anderes Problem besteht bei der Klassifizierung von Inhalten für Privacy Systems, die dem
Nutzer einen gewissen Schutz bieten könnten. Das Problem liegt einfach darin, dass die meisten
Menschen eine unterschiedliche Einstellung gegenüber verschiedenen Themenbereichen haben.
Was für den einen öffentlich ist, kann für jemand anderes schon in den Bereich privat fallen. Von
daher ist die allgemeiner Klassifizierung nahezu unmöglich, was auch in[3] zu sehen ist.
Für User ist der Schutz ihrer Privatsphäre schwer umzusetzen, da sie sich ständig über die
neusten Angriffe informieren müssten um zu erfahren, wie sie sich vor diesen Schützen können.
Die einfachste Variante für den Nutzer wäre daher, dass von Seiten der Web-Server her schon
möglichst viele Schutzmechanismen umgesetzt worden sind. Allerdings ist dies problematisch,
da der Nutzer nicht Zwangsweise ein Feedback vom Server bekommt, ob dieser mit den neusten
Mechanismen versehen ist. Zudem ist nicht sichergestellt, dass auch jedem Seitenbetreiber etwas
an der Sicherheit der Nutzer gelegen ist, denn schließlich verdienen sich auch viele der Seitenbetreiber durch die geschaltete Werbung gutes Geld. Durch diese Maßnahmen würden jedoch die
Werbeanbieter getroffen werden, welche auf der Seite ihre Werbung schalten würden.
Ein andere Variante, die für einen User sinnvoll wäre, wäre die Nutzung eines sicheren WebBrowsers, der über Updates ständig auf dem aktuellen Stand der Technik gehalten wird. Allerdings ist bisher kein Browser in der Lage alle kooperativen Angriffe auf die Privatsphäre des
Nutzers sicher abzuwehren, da hierfür eine Vielzahl an verschiedenen Techniken nötig ist.
Bisher kann der Nutzer zumeist nur im Nachhinein möglichst gut aufräumen und alle Langzeitdaten, wie Cookies und den Cache regelmäßig Löschen, damit auch die Spuren von Angriffen,
die nicht abgewehrt werden konnten entfernt werden.
Da die Nutzer mehr und mehr Schutzmaßnahmen entwickeln, arbeiten die Anbieter auch kontinuierlich an neuen Maßnahmen um noch gezielter und versteckter Daten sammeln zu können.
Damit die Inhalte nicht so leicht zu unterscheiden sind setzen diese mehr und mehr auf die Verbreitung ihrer Inhalte über first party Seiten zu verschleiern, indem die über Subdomains des
eigentlichen Anbieters ihre Drittinhalte verbreiten. Wenn nun ein Nutzer diese Inhalte blocken
will, so sperrt er auch die Inhalte der Seite, die er nutzen will und die Seite wird unbenutzbar.
Das größte Problem beim Privacy-Schutz von Nutzern liegt aber nach wie vor in dem bisher nur
schwach vorhandenen Sorge der Nutzer um ihre Privatsphäre. Für nur einen kleinen Kostenvorteil, z.B. bei der Anmeldung zu einem Dienst, oder für eine kleine Zeitersparnis bei der Nutzung
von Diensten sind Nutzer gerne bereit viele private Daten preis zugeben, sogar, wenn wesentlich
mehr Daten dafür verlangt werden, als für die Nutzung nötig sein müssten. Nur sehr wenig
Nutzer hinterfragen in solch einem Moment, ob es denn wirklich nötig ist, dass der Betreiber all
diese Daten von ihm verlangt und der Dienst nicht einfach ohne Anmeldung bereitgestellt wird.
Es ist klar, dass ein Maildienst nicht ohne eine ausreichende Identifikation des Nutzer angeboten
werden sollte, jedoch wird auch für die Anmeldung zu einem schnelleren Download von kostenfreien Programmen meist eine umfangreiche Datenerhebung über den Nutzer durchgeführt.
Trotz der Regelungen, die durch die FIP vorgenommen worden sind, werden die Nutzer in den
meisten Fällen über den Sinn und den wirklichen Umfang der Datensammlung im Unklarem
gelassen.
Wenn ein User erst einmal seine Daten an einen Dienstanbieter weitergegeben hat, so hat er
23. Oktober 2009
Seite 46/109
Abbildung 2.10: Wachstum der Google-Familiy (Bild aus [19])
in diesem Moment die komplette Kontrolle über diese Daten verloren. Er kann nicht mehr
sicherstellen, dass die Daten nur für das verwendet werden, wofür sie auch gesammelt worden
sind. Auch eine Weitergabe von einem Anbieter zu einem anderen ist nicht durch den Nutzer
verhinderbar. Entweder werden die Daten weitergegeben, weil der Nutzer über die Kooperation
zwischen zwei Anbietern auf den Dienst eines Partners von seinem ursprünglichen Anbieter
zugreifen will oder weil der Anbieter die Daten weiterverkauft oder tauscht um selbst einen
Vorteil zu bekommen. Der Nutzer wird in solchen Fällen im Allgemeinen im Dunkeln gelassen.
Aufgrund der Problematik, der Weitergabe von Nutzerdaten und der gravierenden Sammlung
von Daten durch die Anbieter, wurde von der US-Regierung eine Erhebung zu den Kosten
und dem Nutzen von stark eingeschränkter Datensammlung durch die Betreiber vorgenommen.
Wenn die Industrie von den Nutzern keine Daten mehr sammeln könnte, würde für sie aufgrund dieser Änderung ein Gesamtaufwand von 9 bis 36 Milliarden US Dollar entstehen. Für
sie würde durch die geänderte Privatsphären Gesetzgebung die Möglichkeit der gezielten Werbung entfallen. Auch dürften sie keine Daten mehr sammeln um diese für verschiedene Zwecke
zu verwenden. Der Nachteil würde vor allem darin bestehen, dass ausländische Unternehmen
dieser Rechtsprechung nicht unterliegen würden und die US-Unternehmen an diese die Kunden
verlieren würden. Zusätzlich wurde kalkuliert, welchen Vorteil der US-Bürger von der Änderung
hätte. Dafür wurde anhand von Umfragen und dem generellen Verhalten der Nutzer festgestellt,
dass einem US-Bürger seine Privatsphäre im Netz 45,61 bis 57 US Dollar wert ist. Innerhalb von
einem Jahr tätigten damals ca. 58 Millionen Amerikaner eine Transaktion über das Internet,
wodurch ein Nutzen für die Bürger in Höhe von 4,56 bis 5,7 Milliarden Dollar[18] errechnet
wurde. Aufgrund der Zahlen wurde klar, dass der wirtschaftliche Schaden höher wäre, als der
Nutzen, den die Bürger wahrnehmen würden.
2.9
Ausblick
Anhand der Langzeitdaten, welche von Krishnamurthy et al. gesammelt und in [19] vorgestellt
wurden, zeichnet sich folgendes Bild der Zukunft im Privacy Bereich.
Seit 2005 kann man bei den ganzen Hauptakteuren der Datensammlung und des Trackings ein
rasantes Wachstum feststellen. Sie übernehmen mehr und mehr kleinere Anbieter und bauen
auch die Bereiche, in denen sie Daten sammeln können.
Ein gutes Beispiel für diese Entwicklungen stellt die Google-Familie dar, deren Anteil an firstparty Inhalt seit Ende 2005 rasant angestiegen ist.
23. Oktober 2009
Seite 47/109
Abbildung 2.11: Zunahme von verstecktem third party content (Bild aus [19])
Neben der Marktführerstellung im Suchmaschinenmarkt mit 92% betätigt sich Google in letzter
Zeit in immer neuen Bereichen. So wurde mit Google Chrome ein eigener Browser entwickelt und
mit Android stieg Google auch in den Smartphone Markt ein. Durch diese neuen Betätigungsfelder haben sich für Google auch neue Märkte geöffnet, auf denen Daten gesammelt werden
können. Für den Betrieb eines Handys mit Android ist sogar ein Google-Account nötig, was eine
Zuordnung sämtlicher Aktivitäten des Nutzer zu einer konkreten Person ermöglicht. Als nächsten Schritt plant Google mittlerweile sogar die Entwicklung eines eigenen Betriebssystems auf
Basis eines Linux-Kerns, was ihnen wieder ein riesiges Gebiet zum Sammeln von Daten öffnen
wird.
Neben der Ausweitung der Betätigungsfelder von Datensammlern wird zudem in nächster Zeit
eine weitere Verstärkung der Verschleierung von Drittinhalten zu verzeichnen sein. Diese Entwicklung begann bereits Ende 2005. Die Datensammler nutzen immer mehr first party cookies
und first party JavaScript um ihre Inhalte an den Schutzmaßnahmen der Nutzer vorbeizuschleusen.
Allerdings gibt es auch positive Entwicklungen. Die Browser-Hersteller verstärken auch ihre
Anstrengungen im Privacy Bereich. Firefox hat in der Version 3.5 mit seinem “Privaten Modus”
eine Möglichkeit geschaffen, mit der der Nutzer den Kontext seiner Rechnernutzung bestimmen
kann und sich so vor ungewollter Offenlegung von Daten schützen kann.
Durch die zahlreichen Datenskandale, wie die AOL Datenveröffentlichung und diverse andere
Vorfälle in der jüngsten Zeit ist beiden Nutzern ein wachsendes Bedenken über deren Privatsphäre auf dem Vormarsch. Wenn in naher Zukunft auch weiterhin regelmäßig Nachrichten über
solche Vorfälle in den Medien kursieren, so könnte dies letztendlich auch eine Verschärfung der
Gesetzgebung bewirken.
23. Oktober 2009
Seite 48/109
Kapitel 3
Offline Anonymisierung und
Deanonymisierung
3.1
Einführung
Viele Menschen nutzen täglich das Internet für die verschiedensten Formen von Informationsaustausch. Eine Möglichkeit, mit anderen Menschen über das Internet Kontakte herzustellen, sind
soziale Netzwerke, bei denen die einzelnen Mitglieder eine weltweite Netzgemeinschaft bilden.
Dabei gibt es viele verschiedene Formen von sozialen Netzwerken, die sich auf bestimmte Interessen oder Themenbereiche fokussieren, so zum Beispiel Twitter“, welches sich auf öffentliche
”
Tagebücher der Mitglieder konzentriert, bei denen sie anderen Personen Nachrichten schreiben
können, oder studiVZ“, über welches sich Studenten gegenseitig austauschen können.
”
In sozialen Netzwerken können die Mitglieder in einem Profil Daten über ihre Person angeben,
dies können persönliche Daten wie Name und Adresse sein oder auch solche wie Interessen,
Hobbys etc. Des Weiteren können im Profil Freunde, die auch Mitglieder in dem sozialen Netzwerk sind, angegeben werden oder man kann verschiedenen Gruppen beitreten, die die selben
Interessen verfolgen.
Als soziale Netzwerke im weiteren Sinne kann man auch den E-Mail-Verkehr zwischen mehreren
Personen bezeichnen. So bilden die E-Mail-Kontakte einer Person und wiederum die Kontakte
aller dieser E-Mail-Kontakte usw. eine Netzgemeinschaft, die der Struktur eines sozialen Netzwerks gleicht.
Soziale Netzwerke können als Graphen dargestellt werden, bei denen die Personen die Knoten
bilden. Beziehungen zwischen den einzelnen Personen, wie z. B. häufiger E-Mail-Verkehr zweier
Personen, werden durch eine Kante zwischen den entsprechenden Knoten symbolisiert, siehe
Abbildung 3.1.
Abbildung 3.1: Beispiel eines Graphen eines sozialen Netzwerks.
Die verschiedenen Gruppen in den sozialen Netzwerken oder Freundschaftsbeziehungen zwischen
49
mehreren Personen bilden dann wiederum einen Teilgraphen des gesamten Graphen, einen sogenannten Subgraph.
Das Interesse der Forschung an den Graphen von sozialen Netzwerken mit den darin enthaltenen zwischenmenschlichen Beziehungen ist groß und die Weitergabe solcher Daten durch die
Betreiber der sozialen Netzwerke wächst ständig. Da die Betreiber ihre Dienste meist kostenlos
anbieten, ist dies eine Möglichkeit zur Finanzierung der sozialen Netzwerke.
Zum Schutz der Privatsphäre und Einhaltung des Datenschutzes werden aber keine persönlichen
Daten der Mitglieder weitergegeben. Die Daten werden deshalb anonymisiert und offline weitergegeben. Was offline und anonymisiert bedeutet und warum solche Daten analysiert werden
wird in Abschnitt 3.2 vorgestellt, welche Techniken es zur Anonymisierung gibt und wie sicher
diese gegenüber der De-Anonymisierung von persönlichen Daten sind in Abschnitt 3.3 und eine
Zusammenfassung folgt schließlich in Abschnitt 3.4.
3.2
Ziele der Analyse von Offline-Daten
Forschungseinrichtungen in aller Welt widmen sich der Analyse von sozialen Netzwerken, um beispielsweise allgemeinere Eigenschaften von sozialen Netzen herauszufinden. Im diesem Abschnitt
sind einige Beispiele aufgelistet die erläutern, was das Erforschen und Analysieren solcher Netzwerkstrukturen interessant macht. Zunächst wird aber erklärt, wie die Daten der sozialen Netzwerke zwecks Forschung weitergegeben werden. Um der Einhaltung des Datenschutzes gerecht
zu werden, werden diese Daten nicht öffentlich, sondern offline und anonymisiert weitergegeben.
Offline bedeutet, dass von dem Online-Netzwerkgraphen eine Kopie erstellt wird, die die Daten
des Graphen zu einem bestimmten Zeitpunkt festhalten. Es existiert somit eine konsistente
Offline-Kopie des Graphen, die alle Verbindungen (Kanten) und Knoten des originalen Graphen
zu diesem Zeitpunkt enthält. Während das soziale Netzwerk selbst online ist, sich also ständig
weiter verändert, so bleibt die Offline-Kopie des Netzwerks beständig.
Die Offline-Kopie des Graphen enthält jedoch alle persönlichen Informationen der Mitglieder
des sozialen Netzwerks, die schon vorher in dem Graphen enthalten waren. Ziel ist es aber,
persönliche Daten zu schützen und deshalb werden sie anonymisiert. Dazu gibt es verschiedene
Techniken, die in Abschnitt 3.3 im Einzelnen vorgestellt werden.
Zunächst werden die Ziele der Anonymisierungstechniken vorgestellt: Warum ist es überhaupt
interessant, die Graphen eines sozialen Netzwerks offline und anonymisiert weiterzugeben?
3.2.1
Analyse anhand von Interessen
Mittels Analyse der Offline-Daten können beispielsweise Suchmaschinen ihre Suchergebnisse
nach den Interessen der Nutzer im sozialen Netzwerk ordnen, politische Kampagnen bei Wahlen
gezielter umgesetzt werden oder das Verhalten von Verbrauchern für die Werbeindustrie untersucht werden [20]. Dies geschieht, indem auf die Angaben der Interessen im Profil eines Mitglieds
eines sozialen Netzwerks gezielt eingegangen wird oder gemeinsame Interessen mehrerer Nutzer
beispielsweise durch die Zugehörigkeit zur selben Gruppe ermittelt werden.
3.2.2
Erforschen von small world“-Eigenschaften
”
Interessant ist auch das Erforschen sogenannter small worlds“ [21], wie sie durch soziale Netz”
werke entstehen. Mit small world“ wird der kürzeste Pfad im Graphen zwischen zwei Perso”
nen bezeichnet, dabei geht es um die Theorie, dass alle Menschen über einen überraschend
kurzen Pfad verbunden sind, obwohl die Dichte1 des Graphen nur sehr gering ist. So bilden
1
Die Dichte eines Graphen ist die Anzahl seiner Kanten gemessen an der Knotenanzahl. Die Dichte eines
Graphen verringert sich beispielsweise, wenn die Knotenanzahl erhöht wird, während die Anzahl der Kanten
23. Oktober 2009
Seite 50/109
beispielsweise Wissenschaftler, die gemeinsam einen wissenschaftlichen Text ausarbeiten, mit
den Wissenschaftlern, auf deren Texte sie sich beziehen, ein neues Netzwerk mit solchen small
”
world“-Eigenschaften. Dabei ist nach der small world“-Theorie der Beziehungspfad von den
”
Wissenschaftlern die die Ausarbeitung schreiben zu denen auf die sie sich beziehen nur sehr
kurz, obwohl sie keine direkte Verbindung haben.
3.2.3
Instant Messenger“-Netzwerke
”
Ein anderer Bereich wiederum beschäftigt sich mit der Graphstruktur aus sogenannten Instant
”
Messengern“ (IM) [22]. Hier muss zunächst der Graph aufgebaut werden, z. B. aus den veröffentlichten Kontaktlisten mehrerer Benutzer. Dann können anhand des Graphen die Kommunikationsgewohnheiten der Benutzer erforscht werden, wie Einloggen, Ausloggen, das Hinzufügen,
Entfernen und Blockieren von Kontakten, Beitreten oder Verlassen einer Session, Anzahl der
gesendeten und empfangenen Nachrichten oder einfach nur persönliche Daten wie Alter, Geschlecht, Wohnort, Sprache und IP-Adresse. Anhand dieser Daten können dann verschiedene
Statistiken erstellt werden, wie z. B. Kommunikationen zwischen Menschen verschiedener Altersstufen und Geschlechter, verschiedener Länder, nach geographischen Entfernungen oder Häufigkeiten der Kommunikationen in den unterschiedlichen Weltregionen. Anhand dieser Statistiken
können dann wiederum Kommunikationsgraphen erstellt werden, an denen beispielsweise die
small world“-Eigenschaften sichtbar werden.
”
3.2.4
Mikroskopische Entwicklungen in sozialen Netzwerken
Andere beschäftigen sich mit dem Verhalten mikroskopisch kleiner Knoten [23]: wie das Hinzukommen eines Knotens und dessen Dauer (wie lange sich ein Knoten im Graphen befindet
bis er wieder entfernt wird) und die Erzeugung neuer Kanten zu dem Knoten das Wachstum
der globalen Netzwerkstruktur beeinflussen. Es werden Funktionen für die sogenannten node
”
arrivals“ erstellt, die das Hinzufügen von Millionen individueller Knoten untersucht.
3.2.5
Entwicklungen in Gruppen
Eine weitere Motivation anonymisierte Offline-Graphen zu analysieren ist, Gruppen und deren
Entwicklung zu untersuchen [24]. Von besonderem Interesse ist dabei die Zugehörigkeit zu Gruppen, deren Wachstum und weitere Veränderungen, die sich in einer Gruppe beobachten lassen.
Beispielsweise ist in unterschiedlichen Gruppen das Wachstum unterschiedlich stark oder es gibt
Interessensänderungen innerhalb einer Gruppe. Erforscht werden auch die Beziehungen zwischen
einzelnen Freunden innerhalb einer Gruppe, wie viele Freunde eine Person durchschnittlich hat
und in wie fern diese Freundschaften das Wachstum bzw. die Veränderungen in einer Gruppe
beeinflussen; außerdem auch die Beziehungen der Freunde untereinander und welchen Einfluss
Freundschaften auf den Zusammenhalt einer Gruppe ausüben.
Gruppen können in einem sozialen Netzwerk als Subgraphen des zu Grunde liegenden Netzwerkgraphen anhand von Verbindungen identifiziert werden.
3.3
Anonymisierungstechniken und De-Anonymisierung
In diesem Abschnitt wird auf verschiedene Techniken zur Anonymisierung der Offline-Daten eines
Graphen eingegangen und beurteilt, wie anonym diese sind, also welche persönlichen Daten noch
rekonstruierbar sind und welche nicht. Ziel der Anonymisierung ist es schließlich, die persönlichen
unverändert bleibt.
23. Oktober 2009
Seite 51/109
Daten zu verbergen. Des Weiteren werden auch Varianten der Techniken vorgestellt und wie stark
sich diese auf die Anonymität der Daten auswirken.
3.3.1
Naive Anonymisierung
Die Knoten des Graphen werden durch eine geheime bijektive Zufallsfunktion auf neue Knoten
abgebildet, so dass ein isomorpher Graph2 entsteht [25, 26]. Zum Beispiel werden persönliche
Daten wie Name, E-Mail-Adresse oder Telefonnummer durch eine zufällige User-ID ersetzt (s.
Abbildung 3.2) [27] oder Namen, Adressen und andere persönliche Informationen, bzw. Informationen mit denen sich Rückschlüsse auf eine Person ziehen lassen ( personally identifiable
”
information“, PII), werden entfernt [28]. Die Struktur des Graphen selbst, also die Grade 3 der
Knoten, bleibt dabei aber erhalten. Bei der naiven Anonymisierung werden also keine Kanten
geändert.
Abbildung 3.2: Naive Anonymisierung, Namen werden durch zufällige User-IDs ersetzt.
Durch die naive Anonymisierung gehen die persönlichen Daten an den Knoten verloren, während
die Kantenverbindungen wie Freundschaftsbeziehungen, Gruppenzugehörigkeiten oder Nachrichtenaustausch erhalten bleiben.
Eine etwas modifizierte Variante der naiven Anonymisierung arbeitet nicht mit dem Ändern der
Knoteninformationen im Nachhinein, sondern hier werden schon beim ursprünglichen Netzwerkgraphen anstatt der realen Namen Pseudonyme verwendet [29]. Nur die Freunde, zu denen eine
Person Verbindungen im Graphen hat, wissen den realen Namen, der hinter dem Pseudonym
steckt. Des Weiteren werden auch die Nachrichten, die öffentlich im sozialen Netzwerk ausgetauscht werden, verschlüsselt und nur die Freunde haben die Möglichkeit, den Ciphertext zu
entschlüsseln. Durch dieses Verfahren wird die Anonymität einer Person nochmals verstärkt und
eine Identifizierung der Person schon im Online-Graphen erschwert.
3.3.2
Generalisierung der naiven Anonymisierung
Der naiv anonymisierte Graph wird generalisiert [25], d. h. seine Knoten werden in mehrere
disjunkte Knotenmengen 4 aufgeteilt. Eine solche Knotenmenge ist dann ein Knoten des generalisierten Graphen. Die Kanten bleiben dabei alle erhalten: Eine Kante des generalisierten
Graphen ist eine Schlaufe5 , falls sie im naiv anonymisierten Graphen eine Kante zwischen zwei
Knoten war, die nun in derselben Knotenmenge sind, ansonsten ist sie eine Kante zwischen den
2
Bei einem isomorphen Graphen bleibt die Struktur des ursprünglichen Graphen erhalten, es werden lediglich
die Knoten bzw. die Informationen an den Knoten geändert.
3
Der Grad eines Knoten bezeichnet die Anzahl seiner Kanten, über die er mit anderen Knoten im Graphen
verbunden ist.
4
Disjunkte Knotenmengen sind Teilmengen der Knotenmenge des ursprünglichen Graphen, wobei alle Knotenmengen zusammen wieder die ursprüngliche Knotenmenge ergeben und ein Knoten niemals doppelt in zwei
verschiedenen Knotenmengen vorkommen darf.
5
Eine Schlaufe ist eine Kante bei der Start- und Endknoten identisch sind.
23. Oktober 2009
Seite 52/109
entsprechenden Knotenmengen, in denen sich die beiden Endknoten der Kante aus dem naiven
Graphen jetzt befinden, siehe Abbildung 3.3. Die Anzahl der Kanten im Graphen ändert sich
durch die Generalisierung also nicht.
Abbildung 3.3: Generalisierung eines naiv anonymisierten Graphen, die disjunkten Knotenmengen sind grau dargestellt.
Mit einem Anonymitätsfaktor wird die Anzahl der disjunkten Knotenmengen festgelegt. Je weniger Knotenmengen es gibt, also umso mehr Knoten eine Menge enthält, desto anonymer ist
der generalisierte Graph. Umso anonymer der Graph ist, umso weniger Informationen stehen bei
einer Analyse der Daten zur Verfügung. Da die in den Knotenmengen befindlichen Knoten nicht
mehr als separate Knoten betrachtet werden können, kann nur noch die Knotenmenge an sich
als Knoten im Graphen analysiert werden. Somit werden Informationen über die Knoten und
Kanten, also beispielsweise Beziehungen zwischen Personen, die sich in der selben Knotenmenge
befinden, verborgen. Es lassen sich nur noch die Beziehungen zwischen den Knotenmengen, also
Gruppen von Personen, und der Zusammenhalt innerhalb einer solchen Gruppe über die Schlaufen einer Knotenmenge analysieren. Im Extremfall, dass jede Knotenmenge genau einen Knoten
enthält, ändert sich die Anonymität gegenüber des naiv anonymisierten Graphen nicht, da die
Anzahl der Knoten sich nicht ändert. Im anderen Extremfall, dass es nur eine Menge gibt die
alle Knoten enthält, ist die Anonymität zwar maximal, allerdings lässt sich an diesem Graphen
nichts mehr analysieren, da es nur einen Knoten gibt, der alle Kanten als Schlaufen besitzt.
Eine Variante zur Aufteilung der Knoten in die disjunkten Knotenmengen ist, z. B. Knoten mit
automorpher Äquivalenz6 der selben Knotenmenge zuzuordnen [26].
3.3.3
Kanten-Anonymisierung
Bei diesem Verfahren werden zunächst die Knoten wie bei der naiven Anonymisierung anonymisiert, zusätzlich werden aber auch die Kanten des Graphen geändert, um eine höhere Anonymität
zu gewährleisten. Dafür gibt es verschiedene Methoden: [30]
Intakte Kanten
Es werden alle sensitiven Kanten entfernt. Sensitive Kanten sind beispielsweise Kanten, die die
direkte Verbindung zwischen zwei Freunden darstellen. Kanten, die z. B. für eine Zugehörigkeit
zu einer Gruppe stehen, bleiben dagegen erhalten. Das Entfernen der sensitiven Kanten bietet
einen nicht sehr hohen Schutz der Privatsphäre, da beobachtete Kanten, nach denen bei einer
De-Anonymisierung im Graphen gesucht wird, intakt bleiben.
6
Zwei Knoten sind automorph äquivalent, wenn sie die selbe Struktur haben, d. h. beide Knoten müssen vom
selben Grad sein und alle ihre Nachbarknoten müssen ebenfalls die selben Grade haben.
23. Oktober 2009
Seite 53/109
Partial-Kanten entfernen
Es werden Kanten nach bestimmten Kriterien entfernt, z. B. zufällig ausgewählte Kanten oder
Kanten, die nach Beobachtungen festgelegte Kriterien erfüllen. Es werden beispielsweise einige Kanten zwischen zwei Knoten, die mit vielen Kanten miteinander verbunden sind, entfernt.
Die Personen, dessen Identitäten sich hinter den beiden Knoten verbergen, haben durch die
vielen Kantenverbindungen eine enge Freundschaftsbeziehung, die mit dem Entfernen einiger,
aber nicht aller, Kanten zwischen den beiden Knoten nicht mehr so offensichtlich ist. Somit
wird eine höhere Privatsphäre als bei der Methode der intakten Kanten gewährleistet, da beispielsweise nicht nur die Kanten der Verbindung einer Freundschaft entfernt werden (hier bleibt
sogar ein Teil der Freundschaftskanten erhalten), sondern auch Kanten die für die Zugehörigkeit der beiden Personen zur selben Gruppe stehen oder für Nachrichtenaustausch zwischen
den beiden Personen. Des Weiteren werden auch beobachtete Kanten entfernt, nach denen bei
einer De-Anonymisierung gezielt gesucht wird. Diese Beobachtungen könnten beispielsweise bekannte Verhaltensmuster zwischen zwei Freunden sein, die sich durch bestimmte Kantentypen
identifizieren lassen.
Cluster-Kanten Anonymisierung
Dieses Verfahren entspricht der Generalisierung der naiven Anonymisierung, die Knotenmengen
werden hier als Cluster bezeichnet.
Cluster-Kanten Anonymisierung mit Constraints
Mehrfach vorkommende Kanten des selben Typs zwischen zwei Clustern werden entfernt. Die
verschiedenen Kantentypen können beispielsweise Kanten sein, die eine Freundschaft darstellen,
für den Nachrichtenaustausch zwischen Personen stehen oder die Zugehörigkeit zu einer Gruppe
anzeigen. Zwischen zwei Clustern gibt es dann nur noch Kanten unterschiedlichen Typs und
keine mehrfach vorkommenden Kanten des selben Typs, wie sie bei der Cluster-Kanten Anonymisierung ohne Constraints durchaus vorkommen können, da dort keine Kanten entfernt werden.
Auch hier wird die Anonymität erhöht, da sich nichts mehr über die Anzahl, also die Stärke,
der Verbindungen eines bestimmten Kantentyps zwischen zwei Clustern aussagen lässt, sondern
nur noch über das Vorhandensein oder Nichtvorhandensein einer Verbindung.
Entfernte Kanten
Es werden alle Kanten des Graphen entfernt. Diese Methode bietet zwar eine ziemlich hohe
Anonymität, ist aber für die Forschung an anonymisierten Graphen denkbar ungünstig, da sie
keine Rückschlüsse mehr auf die Beziehungen zwischen den Knoten zulässt.
Bei der De-Anonymisierung der Kanten-Anonymisierung ist das Ziel, in einem Graphen, in dem
die Kanten beobachtet wurden, zwei Personen herauszufinden, die an einem bestimmten Typ
von sensitiven Beziehungen oder Kommunikationen beteiligt sind. Dabei spielt es keine Rolle, ob
diese sensitiven Informationen über eine Beziehung, also eine Kante, über die Personen selbst,
also an den Knoten, oder über strukturelle Eigenschaften des Graphen zu finden sind. Mittels
Link Re-Identifikation können beispielsweise die Personen über die sensitiven Informationen an
den Kanten herausgefunden werden, indem Kanten beobachtet werden und über bestimmte
Wahrscheinlichkeiten ausgewertet.
23. Oktober 2009
Seite 54/109
3.3.4
k-Grad Anonymität
Ein Graph ist k-Grad anonym, wenn es für jeden Knoten mindestens k − 1 andere Knoten
des selben Grads gibt [31]. Abbildung 3.4 zeigt drei Graphen mit verschiedenen AnonymitätsGraden:
Abbildung 3.4: 4-Grad (links), 2-Grad (Mitte) und 1-Grad (rechts) anonymer Graph.
• Bei dem 4-Grad anonymen Graphen gibt es 4 Knoten die den selben Grad haben: Betrachten wir beispielsweise den Knoten oben links der den Grad 2 hat, so gibt es 4 − 1 = 3
andere Knoten die ebenfalls den Grad 2 haben. Somit ist dieser Graph 4-Grad anonym.
• Bei dem 2-Grad anonymen Graphen haben jeweils zwei Knoten den selben Grad: Betrachten wir den Knoten oben links der den Grad 2 hat, so gibt es einen anderen, nämlich
den Knoten oben rechts, der den selben Grad hat. Analog ist dies für die beiden unteren
Knoten mit dem Grad 1. Somit ist dieser Graph 2-Grad anonym.
• Bei dem 1-Grad anonymen Graphen hat der Knoten oben links mit dem Grad 2 keinen
anderen Knoten mit dem selben Grad. Somit ist dieser Graph 1-Grad anonym, denn jeder
Knoten hat mindestens 1 − 1 = 0 andere Knoten des selben Grads.
Um eine Anonymität eines bestimmten Grads zu erreichen, werden so wenig Kanten wie nötig hinzugefügt, bis der Graph diesen Grad erreicht. Knoten werden dabei keine hinzugefügt
oder entfernt. Eine analoge Variante dazu ist, so wenig Kanten wie nötig zu entfernen, bis der
gewünschte Grad erreicht ist. Der Algorithmus um eine k-Grad Anonymität zu erreichen funktioniert folgendermaßen: Ausgehend von der Grad-Sequenz7 des Graphen wird mit minimalem
Aufwand eine neue Grad-Sequenz bestimmt, die die k-Grad Anonymität erfüllt. Dann wird,
ausgehend von der neuen Grad-Sequenz, mittels Kanten hinzufügen (oder entfernen analog) ein
neuer Graph erstellt. Dieser erfüllt dann die gewünschte k-Grad Anonymität.
Bei der k-Grad Anonymität wird das Analysieren des Graphen mittels De-Anonymisierung erschwert, da durch eine Anonymität eines bestimmten Grads es meistens mehr Knoten mit den
selben Graden gibt als vorher. Die Knoten sind somit schwieriger voneinander unterscheidbar
und es lässt sich ein Knoten anhand seiner Struktur (also seines Grads und der Nachbarknoten)
nicht mehr so leicht identifizieren, da es jetzt möglicherweise mehr Knoten mit dem selben Grad
gibt oder der Knoten einen anderen Grad hat als vor der k-Grad Anonymisierung.
3.3.5
De-Anonymisierungsattacken
Es gibt verschiedene Formen von Attacken, um die persönlichen Daten oder Beziehungen einzelner Personen aus den anonymisierten Offline-Daten eines sozialen Netzwerks wieder herzustellen:
[27]
7
Eine Grad-Sequenz ist eine Folge mit ganzen Zahlen, die der Reihe nach die Grade aller Knoten beinhaltet.
23. Oktober 2009
Seite 55/109
Aktive Attacken
In dem anonymisierten Netzwerk werden eigene Accounts (Knoten) erstellt und über diese Accounts werden Verbindungen zu den anzugreifenden Nutzern hergestellt. Diese Attacke funktioniert jedoch in der Praxis nur in Online-Netzwerken, da die Offline-Daten in der Regel nicht
geändert werden können [28]. Das Problem ist jedoch, dass mehrere eigene Accounts im selben
sozialen Netzwerk erstellt werden müssen, dies aber meist nicht so einfach möglich ist, da viele
Anbieter von sozialen Netzwerken bei der Erstellung eines Accounts eine E-Mail-Verifikation
durchführen und nicht mehrere Accounts mit der selben E-Mail-Adresse angelegt werden können. Des Weiteren ist es bei vielen sozialen Netzwerken notwendig, dass eine Verbindung zu
einem Nutzer von diesem erst bestätigt werden muss und es ist fraglich, ob der anzugreifende
Nutzer einer Verbindung zu einem solchen Hacker-Account zustimmt.
Passive Attacken
In dem sozialen Netzwerk wurde vor der Anonymisierung ein eigener Account erstellt. Ziel ist
es nun, diesen eigenen Knoten im anonymisierten Graphen zu finden und von dort aus die Verbindungen (Kanten) bis hin zu den anzugreifenden Knoten zu verfolgen. Dazu erstellt sich der
Angreifer einen Hilfsgraphen [28]. Dieser Hilfsgraph enthält eine Clique8 mit einer bestimmten
Anzahl an Knoten. Nach dieser Clique sucht er nun in dem anonymisierten Graphen, also nach
Knoten die im Grad und im Grad deren Nachbarknoten übereinstimmen. Ist eine solche Clique gefunden, so werden die Knoten an die entsprechenden Knoten im Hilfsgraphen abgebildet.
Dann werden anhand der gegebenen Abbildung und der Topologie des Netzwerks weitere Nachbarknoten, die noch nicht abgebildet sind, in den Hilfsgraphen übertragen, so dass immer mehr
neue Subgraphen aus dem anonymisierten Netzwerk hinzugefügt werden. Dies wird so lange
fortgesetzt bis alle Knoten, die de-anonymisiert werden sollen, in den Hilfsgraphen übertragen
wurden.
Semi-passive Attacken
Diese Attacken funktionieren wie die passiven Attacken, jedoch werden vor der Anonymisierung
Verbindungen von dem eigenen Account aus zu den anzugreifenden Knoten erstellt, um diese
Knoten im anonymisierten Graphen leichter finden zu können.
3.4
Zusammenfassung
Wir haben nun einiges Wissenswertes über soziale Netzwerke gelernt. Wir haben gelernt, wie
Graphen von sozialen Netzwerken anonymisiert werden können, warum sie anonymisiert werden
und welchen Nutzen die Graphstruktur von sozialen Netzwerken für die Forschung hat.
Zusammenfassend lässt sich sagen, dass eine hundertprozentige Anonymität von Daten in sozialen Netzwerken durch die Offline-Anonymisierung praktisch nicht umsetzbar ist bzw. wenn,
dann nur mit hohen Informationsverlusten, bei denen die Daten für die Forschung uninteressant
werden. Die Anonymität im Netz ist grundsätzlich nur so hoch, wie man es als Nutzer selbst
festlegt, denn es gelangen schließlich nur so viele persönliche Daten ins Netz, wie man selbst
preisgibt. Wenn man also bestimmte Daten nicht öffentlich verbreiten möchte, schreibt man
diese am besten gar nicht in sein Profil oder verbreitet sie anderweitig.
Eine weitere Möglichkeit, wie man zumindest die Weitergabe seiner persönlichen Daten etwas
einschränken kann, ist, die eigenen Profile in den sozialen Netzwerken nicht öffentlich zugänglich
zu machen. So können die Daten zumindest etwas geschützt werden, da sie nicht für jeden, der
8
Eine Clique ist ein Teilgraph, in dem jeder Knoten mit jedem anderen Knoten des Teilgraphen direkt über
eine Kante verbunden ist.
23. Oktober 2009
Seite 56/109
im Internet unterwegs ist, sofort zugänglich sind und in der Regel nicht von Suchmaschinen
gefunden werden. Allerdings bietet diese Maßnahme auch keinen größeren Schutz, wenn die
Netzwerke anonymisiert offline weitergegeben werden.
23. Oktober 2009
Seite 57/109
Kapitel 4
Online Anonymisierung, hop-by-hop
4.1
Einleitung
Anonymität ist eine wichtige Grundlage für die Privatsphäre eines Menschen. Allerdings bieten
moderne Kommunikationstechnologien immer mehr Möglichkeiten diese zu verletzen. Beispielsweise kann der Standort einer Person über ein aktives Mobiltelefon verfolgt werden oder getätigte Einkäufe beim verwenden von Kreditkarten oder Bonussystemen wie PayBack nachvollzogen
werden. Eine weitere Gefahr für die Privatsphäre stellt das Internet dar. Anonymität lässt sich
im Allgemeinen dadurch definieren, dass die Identität einer Person die an einem Vorgang beteiligt ist nicht bestimmt werden kann. Bei der Kommunikation im Internet ist es in der Regel
nicht möglich direkt die Identität einer Person zu ermitteln, wenn diese keine Angaben darüber
macht. Deshalb bezieht sich Anonymität im Internet häufig darauf, dass die IP Adresse der
Quelle einer Verbindung nicht eindeutig bestimmt werden kann. Das Internet basiert auf Punkt
zu Punk Verbindungen. Datenpakete die über eine solche Verbindung gesendet werden enthalten
sowohl die IP Adresse des Ziels als auch der Quelle. Dadurch kann zum Beispiel ein Betreiber
eines Webservers genau feststellen von welcher IP auf welche Inhalte zugegriffen wird. Aber
auch Dritte die in der Lage dazu sind eine Verbindung zu überwachen können so bestimmen wer
mit wem kommuniziert. Desweiteren bieten Unternehmen wie Google Statistik Tools die auf den
meisten größeren Webseiten zum Einsatz kommen. Dies ermöglicht es einen nahezu vollständigen
Überblick die Aktionen eines Benutzers im Internet zu gewinnen und diesen einer IP Adresse
zuzuordnen. Wen man nun einen Dienst von Google verwendet bei dem man Angaben über
seine Identität machen musste kann bei der Verwendung dieses die IP Adresse einem Namen
zugeordnet werden. Ein anderer Weg wie eine IP Adresse einem Namen zugeordnet werden kann
führt über den Internet Service Provider. Dieser ist dazu verpflichtet Informationen darüber
wem wann welche IP Adresse zugeordnet wurde über einen gewissen Zeitraum zu speichern. Um
die eigene Privatsphäre im Internet zu schützen ist es also wichtig seine IP Adresse zu verbergen
und anonym zu bleiben. Anonymisierungsnetzwerke ermöglichen es Verbindungen über mehrere Knoten umzuleiten, so dass die ursprüngliche Adresse der Quelle verborgen bleibt. Dadurch
kann die Verbindung zwischen Nutzer und IP nicht mehr hergestellt werden und die gesammelten Daten werden nutzlos. Solche Netzwerke können aber auch dazu verwendet werden Daten
anonym zu veröffentlichen. So können Zensurmechanismen von Regierungen umgangen werden
die die Redefreiheit beschränken indem sie beispielsweise den Zugriff auf regierungsfeindliche
Dokumente unterbinden oder ahnden. In den folgenden Kapiteln wird die allgemeine Struktur
solcher Netzwerke sowie Anforderungen die an diese gestellt werden beschrieben. Anschließend
werden einige theoretische Ansätze von Anonymisierungsnetzwerken erläutert.
58
4.2
Online Anonymisierung
Direkte Verbindungen im Internet geben in Form von IP Adressen immer ihre Quelle preis. Aus
diesen IP Adressen lassen sich häufig Rückschlüsse auf die Identität ziehen. Eine Möglichkeit dies
zu verhindern ist es die Pakete umzuleiten. Die einfachste Realisierung dafür ist ein Proxy Server
der die eigentliche Verbindung zur Quelle übernimmt. Ein Proxy ist ein Vermittler zwischen zwei
Parteien. Anstelle einer direkten Verbindung von Alice zu Bob kann die Verbindung über einen
Proxy geleitet werden. Dadurch kann man zum Beispiel erreichen, dass Bob nicht erfährt, dass
er eine Anfrage von Alice erhalten hat, da der Proxy anstelle von Alice die Verbindung zu
ihm aufbaut. Ein anderes Beispiel für die Verwendung eines Proxys ist es, wenn Alice und Bob
unterschiedliche Protokolle verwenden, so dass eine direkte Kommunikation nicht möglich ist.
In diesem Fall kann der Proxy als Übersetzer zwischen den beiden Protokollen dienen. Eine
Proxy kann aber auch dazu verwendet werden Daten zu filtern, so dass keine privaten Daten
übermittelt werden. Allerdings bietet dieser keinen Ausreichenden Schutz gegen Traffic Analyse.
Unter Traffic Analyse versteht man es aus dem Beobachten von Datenpaketen Informationen
wie zum Beispiel Quelle und Ziel einer Verbindung zu gewinnen. Im einfachsten Fall können
solche Informationen aus dem Header eines IP Paketes ausgelesen werden. Des Weiteren können
über zeitliche Zusammenhänge im Aufbau von Verbindungen oder übertragene Datenmengen
Informationen gewonnen werden, selbst wenn keine direkte Verbindung aufgebaut wird. Da es
relativ einfach ist den Datenverkehr eines einzelnen Proxys zu überwachen bietet er keinen Schutz
gegen solche Angriffe. Ein besserer Ansatz ist es ein Netzwerk aus Routern die die Verbindungen
ähnlich wie ein Proxy weiterleiten aufzubauen. Ein solches Netzwerk ist bedeutend schwerer
vollständig zu überwachen als ein einzelner Knoten. Zum Aufbau einer Verbindung wird rekursiv
ein Pfad aufgebaut, so dass jeder Knoten nur seinen Vorgänger und Nachfolger kennt, was als
Hop-by-Hop Routing bezeichnet wird.
Abbildung 4.1: Aufbau eines Anonymisierungsnetzwerkes
Abbildung 1 zeigt ein Beispiel für eine anonyme Verbindung zwischen Alice und Bob. Das Anonymisierungsnetzwerk besteht hier aus vier miteinander verbundenen Routern. Die grün gekennzeichnete Verbindung von Alice zu Bob wird über drei verschiedene dieser Router aufgebaut.
Dies erschwert es zum enorm Traffic Analyse anzuwenden.
4.2.1
Verschlüsselung
Eine wichtige Grundlage für Anonymisierungsnetzwerk ist das Verschlüsseln der Übertragenen
Daten. Dadurch kann zum Beispiel verhindert werden, dass aus dem Inhalt von Paketen Rückschlüsse auf ihr eigentliches Ziel gezogen werden können. Generell lassen sich Verschlüsselungsverfahren in zwei Gruppen unterteilen, nämlich symmetrische und asymmetrische. Symmetrische
Verfahren setzen voraus, dass beide Parteien einen identischen geheimen Schlüssel besitzen der
23. Oktober 2009
Seite 59/109
dazu verwendet wird Nachrichten zu ver- und entschlüsseln. Diese Verfahren sind in der Regel
nicht sonderlich rechenintensiv und erlauben es Datenübertragungen in Echtzeit zu verschlüsseln. Asymmetrische Verfahren hingegen basieren auf einem Paar aus öffentlichen und privaten
Schlüsseln. Hierbei kann eine mit einem öffentlichen Schlüssel verschlüsselte Nachricht nur mit
dem entsprechenden privaten Schlüssel entschlüsselt werden. Dieses Prinzip erlaubt es, dass zur
Kommunikation zwischen einer Partei und einer beliebigen anderen immer das gleiche Schlüsselpaar verwendet werden kann. Der Nachteil an diesen Verfahren ist, dass sie sehr rechenintensiv
und somit langsam sind. Deshalb werden asymmetrische Verschlüsselungsverfahren in Anonymisierungsnetzwerken hauptsächlich dazu verwendet symmetrische Schlüssel auszutauschen. Hierzu
wird häufig das im Folgenden beschriebene Diffie-Hellman-Schlüsselaustausch Protokoll verwendet. Wenn Alice und Bob einen Schlüssel bestimmen wollen einigen sie sich zunächst auf eine
Primzahl p und eine Primitivwurzel g mod p. Nun wählt Alice eine geheime Zufallszahl a und
Bob eine geheime Zufallszahl b. Alice sendet Bob die Nachricht und Bob sendet Alice. Nun gilt
und somit besitzen Alice und Bob den gemeinsamen Schlüssel. Die Sicherheit des Verfahrens
beruht auf der Annahme das kein effizienter Algorithmus existiert der die geheimen Zufallszahlen a und b anhand der entsprechenden Nachrichten bestimmen kann. Allerdings ist dieses
Verfahren nicht Sicher, wenn es einem Angreifer gelingt die gesendeten Nachrichten abzufangen
und zu manipulieren. Um dies zu verhindern werden asymmetrische Verschlüsselungsverfahren
verwendet, die die Authentizität der Daten garantieren. Da beim Schlüsselaustausch nur eine
geringe Datenmenge übertragen werden muss ist die Geschwindigkeit asymmetrischer verfahren
vernachlässigbar [32].
4.3
Anforderungen
Transparenz
Ein Anonymisierungsdienst sollte für den Benutzer möglichst transparent sein. Das heißt er sollte
keinen Unterschied feststellen wenn er einen Dienst im Internet direkt verwendet oder über das
Anonymisierungsnetzwerk. Eine anonyme Verbindung die in ihrer Bandbreite stark begrenzt ist
und erhöhte Latenzen aufweist kann nicht als transparent angesehen werden.
Ausfallsicherheit und Skalierbarkeit
Um Ausfallsicherheit und Skalierbarkeit zu gewährleisten sollte ein Anonymisierungsnetzwerk
möglichst dezentral arbeiten. Wenn ein solches Netzwerk von einzelnen Servern abhängig ist
können diese durch eine starke Auslastung die aus einer großen Benutzerzahl resultiert überlastet werden, was die Funktionalität des gesamten Netzes beeinträchtigt. Neben normalen Belastungen sind aber auch durchaus gezielte Angriffe denkbar die zum gleichen Ergebnis führen.
Resistenz gegen Bösartige Knoten
Ein Anonymisierungsnetzwerk sollte eine hohe Resistenz gegenüber bösartige oder korrumpierte
Knoten aufweisen. Durch solche Knoten sollte die Anonymität einer Verbindung mit einer hohen Wahrscheinlichkeit nicht beeinträchtigt werden. Dazu darf ein Knoten nur ein Minimum an
Informationen aus den Daten die er weiterleitet gewinnen. Außerdem sollte es nicht möglich sein
die Funktionsfähigkeit eines Netzes durch das einfügen von bösartigen Knoten stark zu verringern.
Abhörsicherheit
Die Daten die zwischen den Knoten des Netzes gesendet werden müssen ausreichend stark verschlüsselt sein, so dass es nicht möglich ist den Klartext oder Teile davon zu bestimmen. Dies
wird in der Regel durch Verschlüsslungen zwischen den Knoten gewährleistet.
23. Oktober 2009
Seite 60/109
Resistenz gegen Traffic Analyse
Um Traffic Analyse zu verhindern müssen verschiedene Bedingungen erfüllt sein. Alle Nachrichten die gesendet werden müssen die gleiche Größe haben, so dass man eine Nachricht nicht
auf Grund dieser identifizieren kann. Eine weitere Bedingung dafür, dass eine Nachricht nicht
identifiziert werden kann ist es, dass sich diese nach jedem Knoten des Pfades so verändert, dass
man sie nicht ihrem Vorgänger zuordnen kann. Desweiteren sollte es nicht möglich sein durch
zeitliche Zusammenhänge Informationen zu gewinnen.
4.4
Ansätze
In diesem Kapitel werden verschiedene Ansätze beschrieben, die auf Basis von Hop-by-Hop
Routing einen anonymen Austausch von Informationen gewährleisten.
4.4.1
Crowds
Crowds [33] ist ein Anonymisierungsnetzwerk das dazu dient den Sender einer HTTP Anfrage
zu anonymisieren. Ein Crowds Netzwerk besteht aus einem zentralen Server und mehreren Client Proxies. Der Server wird als ”blender“ bezeichnet und die Client Proxies als ”jondos”. Jeder
Benutzer der an einem Crowds Netzwerk teilnehmen möchte muss sich hierzu mit einem Benutzernamen und Passwort bei dem blender registrieren. Beim Betreten des Netzwerkes meldet
sich der ”jondo” mit diesen Daten bei dem ”blender” an. Dieser verwaltet eine Liste mit den
IP Adressen aller angemeldeten ”jondos”, sowie Schlüsseln die zur sicheren Kommunikation verwendet werden. Diese Liste wird an den ”jondo” zurück gegeben nachdem er hinzugefügt wurde.
Zusätzlich wird jeder andere Knoten des Netzwerkes darüber informiert dass sich das Netzwerk
erweitert hat. Somit besitzt jeder ”jondo” eine vollständige und aktuelle Liste mit den IP Adressen und entsprechenden Schlüsseln aller Teilnehmer des Netzwerkes. Wenn nun eine Anfrage an
einen Webserver gesendet werden soll entscheidet der ”jondo” gemäß einer Wahrscheinlichkeitsverteilung ob er die Anfrage direkt sendet oder an einen zufällig gewählten ”jondo” weiterleitet.
Im Falle des Weiterleitens wird am folgenden Knoten der gleiche Prozess durchgeführt. So baut
sich iterativ ein Pfad durch das Crowds Netzwerk auf. Jeder innere Knoten des Pfades muss
die eingehende mit der ausgehenden Verbindung verknüpfen können um die die Antwort auf die
Anfrage weiterleiten zu können. Hierzu besitzt jede Verbindung zwischen zwei Knoten entlang
des Pfades eine ID. Diese ID wird den entsprechenden Paketen die gesendet werden beigefügt.
Der Knoten muss also eine Liste von ID Paaren speichern. Da eine weitergeleitete Anfrage nicht
von der ursprünglichen Nachricht unterschieden werden kann ist der Sender anonym.
Allerdings besitzt Crowds einige Schwachstellen. Es existiert ein zentraler Server zu dem sich
alle Benutzer verbinden müssen um dem Netzwerk beizutreten. Wenn dieser korrumpiert wird
können die geheimen Schlüssel dazu verwendet werden die Kommunikation innerhalb des Netzes
zu überwachen. Ein weiterer Schwachpunkt ist, dass die Daten die gesendet werden jedem Knoten unverschlüsselt vorliegen, da bei jedem Knoten der Fall eintreten kann, dass er die Anfrage
an einen Webserver weiterleitet. Außerdem besitzen die Anfragen und Antworten die über das
Netz gesendet werden unterschiedliche Größen und können so verfolgt werden.
4.4.2
Rewebber
Ein Rewebber Netzwerk [34] dient dazu Inhalte über Webserver anzubieten ohne dabei die eigene Identität preiszugeben. Das Netzwerk besteht aus mehreren modifizierten Proxy Servern,
den sogenannten Rewebbern. Diese Rewebber sind in der Lage verschachtelte URLs zu verarbeiten. Ein Beispiel hierfür wäre http://www.proxy.com/http: //www.targetsite.com. Hier bei
bezieht sich der erste Teil der URL auf die Adresse des Rewebbers und der zweite Teil auf die
23. Oktober 2009
Seite 61/109
Adresse des Zielservers bzw. auf die entsprechende Datei. Der zweite Teil der URL soll nun aber
nur für den Rewebber selbst einsehbar sein können. Hierzu wird eine asymmetrische Verschlüsselung eingesetzt und die Zieladresse mit dem öffentlichen Schlüssel des Rewebbers verschlüsselt.
Ein kompletter Pfad zu einer einer Datei führt über mehrere Rewebber.
Abbildung 4.2: Aufbau eines Rewebber URLs
Wenn man nun eine Datei anonym veröffentlichen will wählt man eine Menge von Rewebbern aus
und erzeugt eine solche URL. Diese kann dann veröffentlicht werden, so dass jeder auf die entsprechende Datei zugreifen kann ohne dabei zu erfahren von welchem Server sie stammt. Um zu
verhindern das man die herunter geladenen Inhalte über Suchmaschinen einem Server zuordnen
kann werden diese verschlüsselt auf den Server gespeichert. Der entsprechende Schlüssel muss in
der URL enthalten sein, so dass der letzte Rewebber auf dem Pfad diesen zusätzlich zur URL der
Zieldatei durch anwenden seines privaten Schlüssels erhält. Das Rewebber Netzwerk bietet eine
sichere und gut skalierbare Möglichkeit Daten zu veröffentlichen. Für eine Datei können mehrere
alternative Pfade erstellt werden, so dass der Ausfall einzelner Knoten die Verfügbarkeit nicht
beeinflusst. Der einzige Knoten eines solchen Pfades der kritische Informationen erhält ist der
letzte, da dieser die Adresse des Servers auf dem sich die Datei befindet erfährt. Somit können
bösartige Knoten die Anonymität nicht beeinflussen, solange sichergestellt wird, dass der letzte Knoten des Pfades nicht zu diesen gehört. Der Zugriff auf eine anonymisierte Datei ist für
den Benutzer vollkommen Transparent. Lediglich die Verzögerung der Antwort kann durch den
Zeitaufwand der asymmetrischen Entschlüsselungen verzögert werden.
4.4.3
Turtle
Turtle [35] ist ein peer-to-peer Netzwerk das es ermöglicht Daten zu suchen und auszutauschen.
Die Anonymität wird dadurch gewährleistet, dass die Verbindungen innerhalb des Netzwerkes
auf sozialen Beziehungen beruhen. Das heißt ein Benutzer verbindet sich nur zu Knoten die von
Freunden und Bekannten betrieben werden. Die Verbindungen zwischen den Knoten sind durch
einen vorher ausgetauschten geheimen Schlüssel gesichert. Zusammen mit hop-by-hop Routing
wird so gewährleistet, dass nur Knoten zu denen man direkt verbunden ist erfahren welche
Dateien ein Knoten anbietet und welche Suchen er startet. Ein Benutzer der nach einer Datei
suchen möchte erstellt hierzu eine Suchanfrage, die neben den Suchattributen einen hopcount
enthält. Dieser gibt an wie oft die Anfrage weitergeleitet werden soll. Diese Suchanfrage wird
an alle verbundenen Knoten gesendet, welche diese dann verarbeiten und weiterleiten wenn der
hopcount nicht negativ ist. Die Antworten werden auf dem gleichen Pfad wie die entsprechenden Anfragen in umgekehrter Richtung übertragen. Eine Antwort enthält unter Anderem einen
23. Oktober 2009
Seite 62/109
hopcount, ein finalbit und eine Adresse. Der hopcount wird von der Quelle der Antwort auf 0 gesetzt und von jedem folgenden Knoten entlang des Pfades erhöht. Das finalbit wird auf 1 gesetzt
wenn das Ende eines Suchpfades erreicht wurde. Die Adresse in der Antwort ist die Adresse des
Knotens der die Antwort erstellt hat bzw. die Adresse des Knoten der diese weitergeleitet hat.
Jeder Knoten muss alle Anfragen und Antworten die er erhält speichern um später einen Pfad
zu rekonstruieren über den eine Datei bezogen werden kann. Wenn ein Knoten alle Antworten
auf eine Suchanfrage erhalten hat kann er den Download einer Datei beginnen. Hierzu sendet
er eine Nachricht an den Knoten der die Antwort mit dem geringsten hopcount bezüglich der
Datei geliefert hat. Diese Nachricht wird entsprechend weitergeleitet bis sie an der Quelle der
Datei ankommt. Diese wird dann über den gleichen Pfad zurück gesendet.
Die Anonymität in einem Turtle Netzwerk beruht darauf, dass man beim rekursiven Aufbau
eines Pfades durch Hop-by-Hop Routing nur Knoten in Betracht zieht denen man vertraut. So
wird die Wahrscheinlichkeit dass man mit bösartigen Knoten Kommuniziert und private Informationen preisgibt stark verringert. Allerdings ist dieses Konzept nicht sehr gut skalierbar. Es
wird eine hohe Anzahl von aktiven Benutzern mit vielen Verbindungen benötigt, dass überhaupt
ein zusammenhängender Graph entsteht.
4.4.4
Tor
Tor [36] ist ein Anonysierungsnetzwerk das auf Onion Routing [37] basiert. Der Name Onion
Routing wird bezieht sich auf die Verschlüsselung der Pakete die gesendet werden. Ein solches
Paket wird mehrfach verschlüsselt, so dass mehrere Verschlüsselungsschichten entstehen, was den
Schichten einer Zwiebel ähnelt. Jeder Knoten über den das Paket gesendet wird entfernt eine
Schicht der Verschlüsselung bis der letzte Knoten die vollständig entschlüsselten Daten enthält.
Tor verwendet das Onion Routing Prinzip um ein Netzwerk aufzubauen über das anonyme TCP
Verbindungen aufgebaut werden können. Ein Tor Netzwerk besteht aus Onion Routern und
Directory Servern. Jeder Benutzer betreibt einen eigenen Onion Proxy der dazu dient Verbindungen über das Tor Netzwerk aufzubauen. Der Directory Server verwaltet Informationen über
alle Onion Router des Netzwerkes. Zwischen diesen bestehen sichere TLS Verbindungen. Hierzu
besitzt jeder Onion Router einen privaten und öffentlichen Schlüssel. Wenn ein Onion Proxy nun
einen Pfad aufbauen will nutzt er die Daten des Directory Servers um eine Menge von Onion Routern auszuwählen. Danach muss er mit jedem Knoten des Pfades einen symmetrischen Schlüssel
austauschen. Dieser Schlüssel wird mit Hilfe des Diffie-Hellman-Schlüsselaustausch Protokolls
generiert. Die Kommunikation erfolgt in Zellen die eine feste Struktur und Größe haben. Es gibt
zwei Typen von Zellen. Command Zellen werden zur direkten Kommunikation zwischen zwei
Knoten verwendet und enthalten eine ID, ein Kommando und Nutzdaten. Die ID identifiziert
eine Verbindung zwischen zwei Knoten entlang eines Pfades. Relay Zellen werden verwendet
wenn eine Zelle weitergeleitet werden soll und enthält weitere Informationen.
Abbildung 4.3: Struktur von Zellen [37]
Der Onion Proxy baut eine TLS Verbindung mit dem ersten Onion Router des Pfades auf und
sendet eine solche Zelle mit einem create Kommando an diesen. Die Zelle enthält außerdem den
23. Oktober 2009
Seite 63/109
ersten Teil des symmetrischen Schlüssels. Der Onion Router antwortet mit einer created Zelle
die den zweiten Teil enthält. Zum erweitern des Pfades sendet der Onion Proxy eine relay extend
Zelle an den ersten Onion Router. Diese enthält die Adresse des nächsten Knotens und den ersten
Teil des Schlüssels der mit diesem vereinbart werden soll. Diese Zelle wird in Form einer create
Zelle vom ersten Onion Router weitergeleitet. Zur Kommunikation über einen solchen Pfad muss
eine Stream aufgebaut werden. Dies geschieht durch relay begin Zellen. Die eigentlichen Daten
werden dann als relay data Zellen über den Stream gesendet.
Abbildungen 4 zeigt ein Beispiel wie Alice einen Pfad über zwei Onion Router aufbaut und
anschließend einen HTTP Request über diesen Pfad ausführt.
Abbildung 4.4: Alice erstellt einen Pfad und bezieht führt einen HTTP Request darüber aus
([37], Figure 1)
Über einen einzelnen Pfad können mehrere Streams erstellt werden. Hierzu enthalten relay Zellen
eine ID die den Stream identifiziert. Außerdem enthalten relay Zellen einen Hashwert mit Hilfe
dessen jeder Knoten des Pfades die empfangen Zellen auf Integrität überprüfen kann. Der Onion
Proxy erstellt regelmäßig neue Pfade, so dass es schwerer wird Verbindungen nachzuvollziehen.
Streams und Pfade werden analog zum Erzeugen durch das Senden spezieller Zellen beendet
wenn sie nicht mehr benutzt werden.
Neben dem Aufbau von anonymen TCP Verbindungen ermöglicht es Tor auch sogenannte Versteckte Dienste zu betreiben. Ein Anbieter eines solchen Dienstes wählt mehrere Onion Router
als Rendezvous Punkte aus und baut Pfade zu diesen auf. Zusätzlich benötigt er ein Paar aus
einem öffentlichen und privaten Schlüssel für seinen Dienst. Ein Benutzer der auf den Dienst zugreife möchte baut einen Pfad zu einem der Rendezvous Punkte auf und sendet über diesen eine
Nachricht an den Dienst die den ersten Teil für einen symmetrischen Schlüssel enthält. Wenn
der Dienst die entsprechende Anfrage annimmt baut er einen neuen Pfad zu dem entsprechenden Rendezvous Punkt auf und antwortet mit dem zweiten Teil des Schlüssels. Der Rendezvous
Punkt verbindet die Pfade so, dass auf normalem Weg ein Stream aufgebaut werden kann.
Tor ist einer der bekanntesten und sichersten Anonymisierungsdienste. Er bietet seinen Benutzern mit Hilfe der Onion Proxies eine einfache und transparente Benutzung. Tor benötigt keine
zentralen Server. Es können mehrere Verzeichnis Server erstellt werden. Ein Onion Proxy muss
sich lediglich zu einem von diesen verbinden können um Informationen über eine Menge von
Onion Routern zu erhalten. Somit ist das System gut skalierbar. Ein Nachteil ist allerdings,
dass Tor kein peer-to-peer basiertes Netzwerk ist. Die Benutzer müssen ihre eigenen Ressourcen
also nicht zur Verfügung stellen in dem sie als Knoten des Netzes fungieren. Ein Benutzer kann
aber freiwillig einen eigenen Onion Proxy betreiben. Ein weiterer Nachteil von Tor ist es, dass
nur TCP Verbindungen unterstützt werden. Dienste die auf UDP basieren können somit nicht
über das Netzwerk anonymisiert werden. Hier zählt zum Beispiel der Domain Name Service
der benötigt wird um einen Hostnamen in die entsprechende IP Adresse aufzulösen. Um solche
23. Oktober 2009
Seite 64/109
Dienste über das Tor Netzwerk benutzen zu können sind deshalb spezielle Anpassungen notwendig. Wenn eine solche DNS Anfrage nicht anonymisiert wird gibt man bereits vor dem Aufbau
der eigentlichen Verbindung ihr Ziel preis.
4.4.5
Tarzan
Tarzan [38] ist peer-to-peer basiertes Netzwerk Overlay, das es ermöglicht anonym IP basierte
Protokolle zu verwenden. Ein Benutzer der eine Verbindung über das Netzwerk aufbauen will
geht ähnlich wie bei Onion Routing [37] vor. Er wählt zunächst einen Pfad der über mehrere
verschiedene Knoten des Netzwerkes führt. Danach werden mit jedem einzelnen Knoten Session
Schlüssel ausgehandelt die verwendet werden um ein Paket zu verschlüsseln. Hierbei entfernt
jeder Knoten auf dem Pfad eine Schicht der Verschlüsselung. Zwischen den einzelnen Knoten
werden werden die Nachrichten über das verbindungslose UDP Protokoll ausgetauscht. Die Besonderheit bei Tarzan ist, dass der IP Header eines Paketes manipuliert wird bevor es von seiner
Quelle gesendet wird. Jeder Knoten in dem Netzwerk besitzt neben der Funktionalität Pakete weiterzuleiten einen PNAT (pseudonymous network address translator) Dienst. Dieser wird
jeweils beim Endknoten eines Pfades benutzt. Ein Knoten der Daten über einen Pfad senden
möchte bezieht von dem letzten Knoten des Pfades ein Pseudonym. Dieses verwendet er um seine
IP Adresse im IP Header der Pakete zu ersetzen. Dieses modifizierte Paket wird dann entlang
des Pfades zum letzten Knoten weitergeleitet. Dieser baut eine Verbindung zu dem im Header
des Paketes angegebenen Ziel auf. Abbildung 5 zeigt wie der Client seine Adressinformationen
eines IP Paketes durch ein Pseudonym ersetzt und dieses über einen Pfad sendet.
Abbildung 4.5: Ein IP Paket wird vom Client anonymisiert und über einen zuvor erstellten Pfad
gesendet ([36], Figure 2)
Tarzan wurde dazu entwickelt Anwendungen die das IP Protokoll verwenden zu anonymisieren.
Da Tarzan lediglich Modifikationen am IP Protokoll vornimmt können folglich alle Anwendungen
die darauf basieren ohne Anpassungen anonymisiert werden. Somit ist auch für den Benutzer kein
Unterschied in der Verwendung dieser bemerkbar. Da Tarzan ein peer-to-peer Netzwerk ist stellt
jeder Benutzer seine Ressourcen für andere Benutzer zur Verfügung. Somit weißt Tarzan eine
gute Skalierbarkeit auf. Allerdings besitzen viele Benutzer asymmetrische Internetanbindungen.
Das heißt ihre Upload Bandbreite ist um Vielfaches geringer als die Download Bandbreite,
wodurch die Verbindungen zwischen den Knoten aus gebremst werden.
4.5
Anonymisierungsdienste
Es existieren verschiedene Dienste die einem das anonyme Verwenden des Internets ermögliche.
Hierzu zählen unter anderem Tor1 , I2P2 und Java Anaon Proxy(JAP)3 . Alle diese drei Dienste
können kostenlos verwendet werden. Bei solchen kostenlosen Angeboten ist die Bandbreite die
1
https://www.torproject.org
http://www.i2p2.de
3
http://anon.inf.tu-dresden.de
2
23. Oktober 2009
Seite 65/109
mit anonymen Verbindungen erreicht werden kann meist sehr gering und sie weißen hohe Latenzen auf. Der kommerzielle Anonymisierungsdienst JonDonym der auf JAP basiert stellt gegen
Bezahlung leistungsfähige Server zur Verfügung. Allerdings treten auch hier im Vergleich zu
herkömmlichen Verbindungen erhöhte Latenzen auf. Deshalb basieren viele Anonymisierungsdienste4 nicht auf Hop-by-Hop Routing sondern greifen auf einfache VPN Server zurück. Dadurch
kann dem Kunden eine anonyme und transparente Verbindung geboten werden, die allerdings
nur einen schwachen Schutz gegen Traffic Analyse bietet.
4.6
Fazit
Es existieren verschiedene Ansätze die es ermöglichen Dienste im Internet anonym zu nutzen
und anzubieten. Alle bieten einen gewissen Schutz gegen das Ausspionieren von IP Adressen und
stärken die Anonymität der Benutzer. Allerdings haben alle Anonymisierungsnetzwerke einen
großen Nachteil. Für jede Verbindung entsteht an allen Knoten auf dem Pfad zusätzlicher Traffic.
Bei kostenlosen Diensten ist die Bandbreite der Knoten deshalb häufig stark limitiert, wodurch
die Verbindungen relativ langsam sind und die Bandbreitenkapazität des Nutzers unterschreiten.
Für Anonymität muss man also entweder geringere Bandbreiten in Kauf nehmen oder Gebühren
bezahlen. Doch selbst bei kostenpflichtigen Diensten sind die Latenzen höher als bei einer direkten Verbindung. Dies macht Anonymisierungsnetzwerke für einige Anwendungen nur bedingt
brauchbar. Außerdem bieten Anonymisierungsnetzwerke keinen vollständigen Schutz gegen das
Sammeln von privaten Informationen. Die Anonymität wird lediglich beim Transport der Daten gewährleistet. Anwendungen die darauf basieren können immer noch Daten übermitteln aus
denen sich Rückschlüsse auf die Identität ziehen lassen. Beispielweise können mit Hilfe von Java Scripten Informationen über den Browser und den Rechner von dem eine Anfrage stammt
gesammelt werden. So kann ein Benutzer häufig identifiziert werden ohne auf die IP Adresse zurückzugreifen. Trotz Gewisser schwächen und mangelnder Transparenz der Verbindungen
über Anonymisierungsnetzwerke kann es durchaus Sinn machen auf solche zurückzugreifen, wenn
keine hohen Übertragungsraten und geringen Latenzen benötigt werden.
4
https://www.jondos.de
23. Oktober 2009
Seite 66/109
Kapitel 5
The Darknet
5.1
5.1.1
Einleitung
Publikationsmöglichkeiten im Internet
Um Dateien im Internet zu verbreiten, gibt es prinzipiell zwei Paradigmen: Client/Server und
Peer-to-Peer.
Client/Server-basierte Systeme
Client/Server als Publikationssystem umfasst das Bereitstellen von Dateien über einen Webserver. Jeder Interessent lädt die Datei von diesem Server. Client/Server zeichnet sich dadurch aus,
dass der Bereitsteller die volle Kontrolle über die Verfügbarkeit hat. Er kann den Zugriff auf die
Datei beschränken oder einstellen. Gleichzeitig ist er identifizierbar und kann für den Inhalt der
Datei verantwortlich gemacht werden.
Peer-to-Peer-Systeme
Ein Peer-to-Peer-System (P2P) ist ein Netz gleichberechtigter Anwender. Anwender nutzen die
Dienste, die das P2P-Netz zur Verfügung stellt – in einem Filesharing-Netz etwa zum Download
verfügbare Dateien –, gleichzeitig stellen sie dem Netz selbst entsprechende Ressourcen zur
Verfügung.
Die Verteilung der Gesamtlast auf viele Rechner statt weniger Server erspart einem Betreiber
große Kosten. Sie sichert außerdem die fortgesetzte Funktion des Netzes bei Ausfall einiger
Rechner.
5.1.2
Probleme der Publikation im Internet
P2P-Systeme sind gegen einen Ausfall des gesamten Netzes gut geschützt. Es stellt sich jedoch
heraus, dass individuelle Teilnehmer durch einen böswilligen Angreifer kompromittiert werden
können. Daraus ergibt sich die Notwendigkeit, P2P-Systeme mit Schutzmechanismen auszubauen.
5.1.3
Anforderungen an eine gute Lösung
Eine gute Lösung ermöglicht folgende Eigenschaften des Netzes:
67
• Anonymität für Autoren: Ein Teilnehmer kann nicht von der Präsenz oder Weiterverbreitung bestimmter Daten auf ihren Autoren schließen.
• Anonymität für Abrufer: Ein Teilnehmer kann nicht erfahren, dass ein anderer Teilnehmer
bestimmte Daten für sich selbst abruft.
• Erreichbarkeit: Ein Teilnehmer, der Kenntnis von im Netz existierenden Daten hat, kann
diese jederzeit abrufen.
• Zensurresistenz: Ein Teilnehmer kann nicht bewirken, dass bestimmte im Netz vorhandene
Daten für andere Teilnehmer nicht abrufbar sind.
• Authentizität: Ein Teilnehmer kann nicht bewirken, dass bestimmte im Netz vorhandene
Daten verfälscht werden.
• Robustheit: Das Netz ist robust gegenüber Hardware- und Softwareausfällen.
• Dezentralisierung: Es gibt kein Element zentraler Kontrolle oder Verwaltung.
• Flexibilität: Das Netz kann mit veränderlicher Belastung und wechselnden Ressourcen
umgehen.
• Leistung: Das Netz bietet eine möglichst gute Transfergeschwindigkeit und Latenz.
Wie gut die genannten Eigenschaften in einer gegebenen Lösung umgesetzt sind, kann durch
Metriken bestimmt werden. Bei den negativen Eigenschaften ( ein Teilnehmer kann nicht...“)
”
besteht die Frage darin, welchen Aufwand ein Angreifer leisten muss, um die betrachtete Eigenschaft zu untergraben. Ein Angreifer ist jede Entität, die versucht, eines der aufgeführten Ziele
zu kompromittieren, ggf. auch staatliche Ermittlungsbehörden.1 Positive Eigenschaften können
meist direkt gezeigt werden.
5.1.4
Zielsetzung der Arbeit
In dieser Arbeit betrachten wir die Programme WASTE, OneSwarm, Turtle F2F und Freenet.
Allen Programmen ist gemein, dass sie ein so genanntes Darknet bilden, den bisher am weitesten
gehenden Ansatz zum Schutz von Anwendern. Die Programme werden daran gemessen, wie gut
sie die oben angeführten Eigenschaften erfüllen.
5.1.5
Struktur der Arbeit
In Kapitel 5.2 werden die Grundlagen für diese Arbeit gelegt. Wir beleuchten den Antrieb
hinter der Entwicklung historischer dezentraler Systeme und ihre offenen Probleme und führen
eine genauere Definition eines Angreifers ein. Wir stellen die Arbeiten Stanley Milgrams und
Jon Kleinbergs vor, die einen Zusammenhang zwischen menschlichen Bekanntschaftsbeziehungen
und Grapheneigenschaften zeigen. In Kapitel 5.3 werden drei Programme analysiert: Eine alte
Version des Programms Freenet, WASTE und OneSwarm. In Kapitel 5.4 werden die Programme
Turtle F2F und die aktuelle Version Freenets detailliert betrachtet. In Kapitel 5.5 gibt es neben
einer Zusammenfassung einen Ausblick auf denkbare zukünftige Angriffe auf Freenet und die
Richtung der weiteren Entwicklung.
1
Für
eine
Rechtfertigung
http://freenetproject.org/philosophy.html
23. Oktober 2009
derart
wirksamer
Schutzmaßnahmen
siehe
z. B.
Seite 68/109
5.2
5.2.1
Grundlagen
Entwicklungsgeschichte dezentraler Systeme
In der früheren Entwicklung dezentraler Systeme ging es vor allem um den Ausfallschutz und
die Effizienz des Netzes als Ganzes.
Grundsätzliche Problemstellung dezentraler Systeme
Das Grundproblem dezentraler Systeme lautet: Wie kommt ein Teilnehmer, der eine Leistung
benötigt, zusammen mit einem Teilnehmer, der diese Leistung anbietet?
Lösungsansatz durch Napster
Napster war eine Filesharing-Software. Es löst das Problem, indem es einen zentralen Server
zur Vermittlung einbaut. Die Teilnehmer informieren den Server, welche Dateien sie anbieten.
Suchanfragen werden ebenfalls an den Server geschickt, der sie mit seinen Informationen über
vorhandene Dateien abgleicht. Für alle Treffer wird dem Anfrager direkt die IP-Adresse des
jeweiligen Anbieters gegeben.
Problem eines Single Point of Failure
Napsters zentraler Server erwies sich als fatale Schwachstelle, deren Abschaltung auf gerichtlichem Wege das System zum Erliegen brachte (so genannter Single Point of Failure). Die
Entwicklung von Nachfolgern der Filesharing-Software Napster wurde entsprechend dadurch
angetrieben, einen Single Point of Failure zu vermeiden.
Lösungsansatz durch Gnutella
Gnutella war eine neue Filesharing-Software. Es löst das Probleme eines Single Point of Failure, indem es zentrale Elemente ganz abschafft. Alle Teilnehmer verbinden sich untereinander.
Suchanfragen werden mit einem Timeout versehen und an alle Nachbarn im Verbindungsgraphen geschickt. Wer eine Anfrage erhält, die er erfüllen kann, kontaktiert direkt den Anfrager,
dessen IP-Adresse in der Anfrage enthalten ist.
Problem der Effizienz
Gnutellas Art der Verbreitung von Suchanfragen (so genanntes Flooding) erwies sich als sehr
ressourcenintensiv. Die Anzahl an Teilnehmern, die eine Anfrage entgegennehmen, wächst exponentiell mit der Anzahl an Schritten. Um eine Überlastung des Netzes zu vermeiden, muss
die Schrittzahl deshalb eng begrenzt werden. In einem großen Netz kann jeder Teilnehmer seine Suchergebnisse damit nur aus einem kleinen Teil des Netzes schöpfen. Die Entwicklung von
Nachfoldern der Filesharing-Software Gnutella wurde entsprechend dadurch angetrieben, das
Wachstumspotential des Netzes sicherzustellen.
Lösungsansatz durch KaZaA
KaZaA war eine neue Filesharing-Software. Es sichert das Wachstumspotenzial seines Netzes,
indem es das ressourcenintensive Flooding von Anfragen durch eine effizientere hierarchische
Verbreitung ersetzt. Manche Teilnehmer werden so genannte Supernodes. Zusätzlich zu ihrer
eigenen Aktivität koordinieren Supernodes den Verkehr ihnen zugeordneter normaler Nodes.
Ähnlich wie Napsters Zentralserver speichern sie die angebotenen Dateien ihrer Nodes, gleichen
Suchanfragen mit diesem Bestand ab und vermitteln ggf. den direkten Kontakt. Darüber hinaus
23. Oktober 2009
Seite 69/109
sind die Supernodes aber untereinander verbunden und leiten fehlgeschlagene Anfragen auch an
benachbarte Supernodes weiter.
Offene Probleme
In der geschilderten Entwicklung dezentraler Systeme ging es vor allem um den Ausfallschutz
und die Effizienz des Netzes als Ganzes. Diese Fortschritte ermöglichen es einem Angreifer weiterhin, auf einzelne Nutzer abzuzielen. So kann sich der Angreifer als ein Teilnehmer des Netzes
positionieren, der anderen Nutzern bestimmte Daten anbietet, wobei der Abruf dieser Daten
ein sanktionierbares Verhalten darstellt. In mancher Filesharing-Software wie z. B. BitTorrent
formen die Nutzer außerdem ein Netz jeweils nur für einen bestimmten Datensatz, so dass der
Angreifer nur von der Teilnahme eines Nutzers erfahren muss, um ein Verdachtsmoment für
sanktionierbare Handlungen zu haben.
5.2.2
Stanley Milgram
Das Small-World-Phänomen
Das Small-World-Phänomen besagt, dass der Graph menschlicher Kontakte ein Small-WorldNetz formt. Small-World-Netze haben einen geringen Durchmesser, das heißt, von einem beliebigen Knoten sind es nur wenige Schritte zu jedem anderen Knoten.
Diese Idee wurde 1967 durch Stanley Milgrams berühmtes Experiment aufgeworfen. Individuen
in den US-amerikanischen Städten Omaha, Nebraska and Wichita, Kansas wurden in Briefen
über eine Person in Boston, Massachusetts informiert und gebeten, den Brief an einen persönlichen Bekannten weiterzuleiten, der die Zielperson mit höherer Wahrscheinlichkeit kenne. Die
Briefe, die ihr Ziel erreichten, waren durchschnittlich etwa sechsmal weitergeleitet worden. [39]
Geltungsbereich des Small-World-Phänomens
Der Begriff der six degrees of separation“2 bezeichnet die Idee, dass ein Mensch jeden anderen
”
auf der Welt in etwa sechs solcher Schritte erreichen kann. Sie ist in mehreren aktuellen Fällen
experimentell bestätigt worden, z. B. zeigte [22] 2007, dass die durchschnittliche Pfadlänge in
Microsoft Messenger 6,6 betrug, basierend auf den Daten von 240 Millionen Anwendern.
Routing in Small-World-Netzen
Ein einfacher Algorithmus auf so einem Netz lautet dann: Falls ich selbst der Adressat bin,
verarbeite die Anfrage. Sonst bestimme denjenigen Nachbarn, der am dichtesten am Ziel liegt,
und route die Anfrage an ihn weiter. Dieser Algorithmus heißt Greedy Routing3 und ist das
grundlegende Prinzip von Distributed Hashtables und von Freenet.
Eigenschaften von Small-World-Netzen
Der Durchmesser eines Small-World-Graphen wächst mit dem Logarithmus der Knotenzahl an.
Small-World-Netze sind also skalierbar, d. h., eine wachsende Knotenzahl bewirkt nur einen sehr
geringen Anstieg des Durchmessers und damit der durchschnittlichen Routingdauer.
Small-World-Netze sind außerdem robust gegenüber Manipulationen des Routings: Falls ein
Teilnehmer entscheidet, die Anfrage an jemanden vollständig Unverwandten zu schicken, wird
2
Der Begriff wurde nicht von Milgram selbst benutzt.
Als greedy“ werden allgemein Algorithmen bezeichnet, die ihre Entscheidung anhand der aktuell vorliegenden
”
Informationen treffen und nie revidieren.
3
23. Oktober 2009
Seite 70/109
der Routingprozess einfach nur neu gestartet und benötigt von Neuem wieder nur die geringe
Anzahl an Schritten.
5.2.3
Jon Kleinberg
Jon Kleinberg publizierte ab 2000 wesentliche Erkenntnisse in der theoretischen Konstruktion
und Analyse von Small-World-Netzen.
Konstruktion
Für eine theoretische Betrachtung von Small-World-Netzen ist eine mathematische Konstruktion
nötig. Kleinberg konstruiert in [40] Small-World-Netze wie folgt:
Die Knoten sind in Form eines k-dimensionalen quadratischen Gitters verbunden und haben
entsprechende Gitterkoordinaten. Zu diesem Graphen werden pro Knoten zufällig q abkürzende
Kanten addiert. Die Wahrscheinlichkeit, dass eine abkürzende Kante von dem vorgegebenen
Knoten x zu einem Knoten y führt, sei
1
d(x, y)k Hk (n)
wobei d Gitterdistanz im ursprünglichen Gitter bezeichnet, n die Knotenzahl und Hk eine Normalisierungskonstante. [41]
Durch die Gitterkanten ist gewährleistet, dass man sich in jedem Schritt dem Ziel nähern kann.
Wenn man die Gitterkanten entfernt und nur mit dem Abkürzungsgraphen arbeitet, ist das potentiell eine realistischere Darstellung eines sozialen Netzes, sorgt aber für mögliche Sackgassen,
von denen aus man sich nur weiter weg vom Ziel bewegen kann.
Die Wahrscheinlichkeit einer Sackgasse sinkt offenbar mit steigendem Knotengrad q. Sandberg
zeigt experimentell, dass es ausreicht, q mit log(n) zu skalieren.
l(x, y) =
Kantenverteilung
Die Wahrscheinlichkeit einer bestimmten Kantenverteilung E von Kanten 1, ..., m ist
P(E|φ) =
m
Y
1
d(φ(xi ), φ(yi ))k HG
i=1
Dabei bezeichnet φ eine Zuordnung von Kanten auf Gitterpositionen, d Gitterdistanz und HG
eine Normalisierungskonstante.
Ergebnis
Kleinberg zeigt die Dynamiken, die ein Netz haben muss, damit Greedy Routing schnell Pfade
findet. Diese lauten wie folgt: Unter der beschriebenen Verteilung, bei der die Anzahl an Kanten
der Länge d proportional zu d1 ist, kann einfaches Greedy Routing Pfade in durchschnittlich
O(log 2 (n)) finden, wobei n die Größe des Graphen ist. [40]
Kleinbergs Ergebnis ist strikt in dem Sinne, dass Graphen, in denen die Kanten nach einer
anderen Verteilung ausgewählt wurden, keine effiziente Suche erlauben: Zu geringe Häufung
kurzer Kanten bedeutet, dass nicht genug Kanten die Suche weiter vorantreiben, wenn diese
schon nahe am Ziel ist, während eine zu hohe Häufung bedeutet, dass ein Mangel an langen
Kanten das schnelle Vorankommen zu Beginn der Suche verhindern. [41]
Die Tatsache des Small-World-Phänomens zeigt offenbar, dass Greedy Routing in dem sozialen
Netz der Welt effizient ist. Also scheint dieses Netz Kleinbergs Kriterium zu erfüllen.
In Kleinbergs Suchalgorithmus kennen die Knoten aber ihre eigenen Koordinaten sowie die ihrer
Nachbarn und des Ziels.
23. Oktober 2009
Seite 71/109
Anwendung in Computernetzen
Die bloße Existenz kurzer Pfade zwischen beliebigen Knotenpaaren löst noch nicht das Problem,
diese Pfade zu finden. Ein Konzept der Verwandtschaft zwischen Knoten ist nötig. In Stanley
Milgrams Experiment kannten die Teilnehmer den Zielort der Briefe und entschieden anhand
der geografischen Nähe ihrer Kontakte zum Zielort. Diese Entscheidung ist nicht annähernd so
leicht für Computer.
Das Computernetz muss die Eigenschaft erfüllen, dass Knoten, die – nach irgendeiner Metrik –
näher miteinander verwandt sind, mit höherer Wahrscheinlichkeit miteinander verbunden sind.
Die Problemstellung lautet also: Angefangen mit einem unmarkierten Graphen und keinen weiteren Koordinateninformationen, versuchen wir, diesen in Kleinbergs Modell einzupassen, um
effiziente Suche zu ermöglichen. Die Annahme ist, dass der Graph durch die Anwendung von
Kleinbergs Modell erstellt wurde, also ein Small-World-Graph ist. [41]
5.2.4
Darknet
Definition
Darknet bezeichnet ein privates Peer-to-Peer-Netz, dessen Anwender sich nur mit solchen anderen Anwendern verbinden, denen sie vertrauen. In seiner weiteren Bedeutung umfasst der Begriff
prinzipiell alle Netze mit geschlossenem Nutzerkreis, also auch solche, die zentral organisiert werden oder in denen Verbindungen mit persönlich unbekannten anderen Teilnehmern aufgebaut
werden (z. B. innerhalb eines Intranet).
Ziel
Der Darknet-Ansatz ist interessant, weil der Anwender unbekannten Dritten – bzw. in der weiteren Bedeutung Menschen außerhalb des geschlossenen Nutzerkreises – die Datenbasis über sein
Nutzungsverhalten entzieht, auf deren Grundlage Sanktionen erfolgen können.
Da die oben genannten Angriffe darauf beruhen, dass der Angreifer eine direkte Verbindung
mit dem Nutzer eingeht oder zumindest von seiner Teilnahme erfährt, stellt das Darknet eine
wirksame Antwort auf den Angriff dar. Bei einer gewissenhaften Auswahl der Freunde“, mit
”
denen Teilnehmer Verbindungen eingehen, soll das Missbrauchsrisiko minimiert werden.
Herausforderungen
Darknets stehen vor zwei fundamentalen Herausforderungen. Die erste Herausforderung ist, eine
hinreichende Zahl von Nutzern zu versammeln, so dass für den Zweck des Netzes (z. B. eine
Datei zu finden) aus einer hinreichenden Zahl an Quellen geschöpft werden kann. Dies ist im
Vergleich zu anderer P2P-Software ein Problem, da ein neuer Anwender einen viel größeren
Einrichtungsaufwand hat. Er muss Freunde finden, die das Programm ebenfalls laufen lassen
wollen, und Verbindungen zu diesen im Programm einrichten.
Die zweite Herausforderung besteht darin, dass die Nutzerzahl nicht in mehrere isolierte Netze
zerfallen darf. Die Anwender sollen ihre Informationen mit jedem anderen teilen können, nicht
nur mit einer kleinen Auswahl an Personen, die im eigenen, isolierten Netz sind. Eine manuelle
Richtigstellung dieses Missstandes durch Verbindung der isolierten Darknets ist nicht möglich,
da der Zweck dieser Darknets gerade die Geheimhaltung ihrer Existenz vor Außenstehenden ist.
23. Oktober 2009
Seite 72/109
5.3
5.3.1
Related Work
Freenet bis Version 0.5
Einleitung
Die Software Freenet, auf die in dieser Arbeit näher eingegangen werden wird, wurde zuerst in
[42] beschrieben. Es handelt sich um einen verteilten Datenspeicher.
Von den in 5.1.3 genannten Anforderungen will Freenet 0.5 insbesondere die Anonymität von
Verfasser und Abrufer, Dezentralisierung, Zensurresistenz, Robustheit und Flexibilität erfüllen.
Speicherstrategie
Ein verteilter Datenspeicher wie Freenet unterscheidet sich von anderen Filesharing-Netzwerken
dadurch, dass sich die vorhandenen Daten nicht ausschließlich auf den Rechnern der Besitzer“
”
befinden, sondern besitzunabhängig auf den Teilnehmerrechnern verteilt werden.
Nutzdaten in Freenet 0.5 können in drei Formaten gespeichert werden.
KSK-Schlüssel (Keyword Signed Key) ermöglichen die Speicherung von Daten unter einem
vom Anwender gewählten Klarnamen. Es gibt hier keine weiteren Mechanismen zur Adressauflösung, Kollisionen zweier verschiedener Dateien unter demselben KSK-Schlüssel sind einfach
möglich. Bei einer solchen Kollision versucht Freenet, die ältere der beiden Dateien zu erhalten.
Abbildung 5.1: Erstellung eines KSK-Schlüssels aus Daten und einem frei wählbaren Namen
CHK-Schlüssel (Content Hash Key) speichern Daten unter ihrem Hashwert. Dies ist die gebräuchlichste Speichervariante für große Dateien. Sie vermeidet Redundanz, da dieselbe Datei,
von verschiedenen Teilnehmern gespeichert, denselben Schlüssel bekommt.
SSK-Schlüssel (Signed Subspace Key) ermöglichen die kryptografisch signierte Speicherung
von Daten. Der Anwender kann das Suffix des SSK-Schlüssels selbst wählen und ganze signierte
Verzeichnisstrukturen anlegen. Nur der Besitzer des privaten Schlüssels kann Daten unter seinem
SSK-Schlüssel speichern; die Software verwirft Daten, die nicht die richtige Signatur tragen.
Mit SSK-Schlüsseln können Abrufer sicher sein, dass zwei verschiedene Inhalte von demselben
Autoren stammen – ohne dessen Identität zu kennen.
Routing
Die Datenverteilung eines verteilten Datenspeichers ermöglicht es, das Routing von Anfragen
deutlich gezielter und ressourcensparender durchzuführen. Alle Teilnehmer und alle Dateien in
Freenet haben eine ID. Dateien werden bei solchen Teilnehmern gespeichert, die eine ähnliche ID
23. Oktober 2009
Seite 73/109
Abbildung 5.2: Erstellung eines CHK-Schlüssels aus Daten
Abbildung 5.3: Erstellung eines SSK-Schlüssels aus Daten, einem frei wählbaren Namen und
einem Schlüsselpaar
23. Oktober 2009
Seite 74/109
haben. Die Teilnehmer-IDs sind ihren unmittelbaren Nachbarn bekannt. Eine Anfrage enthält
stets die gesuchte ID.
Freenet setzt so genanntes Hop-by-Hop-Routing ein. Erhält ein Knoten eine Anfrage, prüft er
seinen eigenen Speicher auf die angeforderte Datei. Falls er sie nicht hat, leitet er die Anfrage
an denjenigen Nachbarn weiter, dessen ID am dichtesten an der gesuchten Datei liegt. Eine
unbegrenzte Weiterleitung wird durch ein in der Anfrage enthaltenes Limit verhindert. Das
Ergebnis wird über dieselbe Kette an Knoten (Hop-by-Hop) zurückgegeben, über die die Anfrage
weitergeleitet worden ist.
Auf diese Weise kann ein Knoten, der eine Anfrage bekommt, nicht sagen, ob der Anfrager
wirklich selbst an den Daten interessiert ist oder sie nur weiterleitet.
Abbildung 5.4: Ablauf einer Anfrage in Freenet
Der Algorithmus, der in Abbildung 5.4 grafisch dargestellt ist, kann dabei mit Sackgassen (Knoten c) und Schleifen (Knoten b, e, f ) umgehen. Es handelt sich im Grunde um eine Tiefensuche.
Probleme
Freenet in seiner ursprünglichen Form macht es sehr aufwändig für einen Angreifer, einem Nutzer
nachzuweisen, dass dieser eine bestimmte Datei verfasst oder für sich selbst abgerufen hat. Es
stößt jedoch an seine Grenzen, falls die Verwendung der Software selbst illegal ist oder zumindest
die Weiterleitung sanktionierbarer Daten für andere Teilnehmer als Mitwirkung gewertet wird.
Im ursprünglichen Freenet war es trivial, schnell die Mehrheit der Teilnehmer zu identifizieren.
Damit neue Anwender die Software benutzen konnten, wurde auf der Website eine aktuell gehaltene Liste von Seednodes bereitgestellt, mit denen sich der Teilnehmer verbinden konnte. Ein
Angreifer musste nichts weiter tun, als diese Liste ein paar Tage lang zu beobachten. Selbst wenn
es eine solche öffentliche Liste nicht gegeben hätte und neue Nutzer eine Liste von Seednodes
durch einen persönlichen Kontakt hätten erhalten müssen, konnte ein Angreifer, sobald er es
einmal in das Freenet-Netz geschafft hatte, einfach die Verbindungen seiner Freenet-Software
ein paar Tage lang beobachten und alle auftauchenden IP-Adressen speichern.
23. Oktober 2009
Seite 75/109
5.3.2
WASTE
WASTE ist eine P2P-Software, die ein echtes Darknet erstellt. Die Software ist ein dezentralisiertes Chat-, Instant-Messaging- und Filesharing-Programm und eigenständiges Protokoll.
WASTE will Erreichbarkeit, Robustheit, Dezentralisierung, Flexibilität und Leistung bringen.
WASTE versucht, einen möglichst dichten Graphen zu erstellen, indem neue Teilnehmer mit
möglichst vielen vorhandenen Teilnehmern verbunden werden. Es gibt viele kleine WASTENetze, die typischerweise unter 50 Teilnehmer haben. WASTE erfüllt damit nicht die Anforderung dieser Arbeit, ein globales Darknet zu bilden.
5.3.3
OneSwarm
OneSwarm ist eine in [43] vorgestellte P2P-Software, die ein Darknet mithilfe eines BitTorrentClients erstellen will.
Die Ziele von OneSwarm sind Erreichbarkeit, Robustheit, Dezentralisierung, Flexibilität und
Leistung.
Großes Augenmerk ist dem Problem gewidmet, den Prozess der Darknet-Formung in Gang zu
bringen (siehe 5.2.4). Die Autoren weisen darauf hin, dass Freenet 0.7 das manuelle Hinzufügen
von Freunden erfordert, was als Hindernis der Verbreitung gedeutet wird. Die Implementation
der Software auf Grundlage des populären BitTorrent-Clients Azureus, der jederzeit auch für das
normale BitTorrent-Protokoll genutzt werden kann, sowie die Möglichkeit, Kontakte automatisch
aus Google Talk auslesen zu lassen, sollen der Verbreitung helfen.
Die Autoren betonen jedoch, dass erklärtes Nicht-Ziel der Software eine beweisbar starke Anonymität oder ein Schutz gegenüber Ermittlungsbehörden ist. Damit erfüllt OneSwarm nicht
die Ambition dieser Arbeit.
5.3.4
Bewertung
Die vorgestellten Ansätze verfehlen aus verschiedenen Gründen das Ziel. Die Kombination von
Freenet mit dem Darknet-Ansatz in Version 0.7 ist begründet, falls gezeigt werden kann, dass
ein solches Netz skaliert.
5.4
5.4.1
Analyse
Turtle F2F
Einleitung
Turtle F2F ist eine P2P-Software ursprünglich vorgestellt in [35] und erweitert in [44].
Es handelt sich um ein Filesharing-Programm. Anwender schicken eine Anfrage heraus, die eine
bestimmte Anzahl an Hops läuft, bis verschiedene andere Knoten Ergebnisse zurückliefern. Der
Anwender kann unter den zurückgelieferten Ergebnissen dann Dateien anfordern.
Diskussion
Im Unterschied zu Freenet ist also Inhaltssuche in Echtzeit möglich. Auf der anderen Seite
hängen sowohl die Suchergebnisse als auch die Erreichbarkeit eines Inhalts davon ab, ob die
Besitzer relevanter Inhalte gerade online sind. Ein Angriff auf einen Teilnehmer zum Zweck der
Inhaltezensur ist also erfolgversprechender als in Freenet, da der Fortbestand des Inhalts im Netz
davon abhängt, dass andere Teilnehmer ihn sich heruntergeladen und wiederum selbst angeboten
haben.
23. Oktober 2009
Seite 76/109
Über reines Filesharing hinausgehende Anwendungen wie anonyme e-Mail oder Diskussionsforen
sind so ebenfalls nicht möglich.
Turtle F2F verwendet Flooding zur Verbreitung von Anfragen. Wie bei Gnutella (siehe 5.2.1 f.)
gilt auch hier, dass diese Art der Anfrage-Verbreitung sehr ressourcenintensiv ist. Es ist nicht
klar, dass eine Anfrage auf diese Weise einen passenden Inhalt finden kann, der viele Hops
entfernt ist.
5.4.2
Freenet 0.7
Einleitung
Freenet 0.7 ist eine von Grund auf überarbeitete Version von Freenet. Es strebt die Errichtung
eines globalen Darknets an. Alle in 5.1.3 aufgeführten Schutzziele werden angestrebt, auf Kosten
der Leistung.
Um die Verbreitung der Software zu beschleunigen (siehe 5.2.4), können Freenet-Knoten in
zwei Modi betrieben werden, Darknet oder Opennet. Im Opennet ist die Teilnahme an Freenet
öffentlich, und Anwender verbinden sich wie in früheren Versionen mit persönlich unbekannten
anderen Teilnehmern. Beide Modi können gleichzeitig laufen, so dass Anwender einen einfachen
Einstieg mit Opennet finden und während des Betriebs ein Darknet aufbauen können.
Routing
Um ein globales Darknet mit den hohen Sicherheitsanforderungen von Freenet 0.7 zu ermöglichen, muss das Routingproblem (siehe 5.2.3) gelöst werden. Freenet 0.7 führt dafür den SwappingAlgorithmus ein.
Abbildung 5.5: 100 Freenet-Knoten ringförmig entsprechend ihrer Adresse angeordnet
Wenn ein neuer Nutzer Freenet beitritt, wählt er eine zufällige ID. Die ID liegt auf einem Ring
(Abbildung 5.5), also einer eindimensionalen Menge.4 Der Nutzer verbindet sich manuell mit
seinen Freunden in Freenet. Die Software macht sich nun daran, durch Reverse Engineering“
”
die numerischen Identitäten so anzupassen, dass die Verteilung einer Small World entspricht. Die
Nutzer tauschen ihre Positionen mit anderen Knoten so, dass das Produkt der Kantendistanzen
minimiert und damit die Wahrscheinlichkeit der Kantenverteilung maximiert wird (siehe 5.2.3).
4
Sandberg zeigt experimentell, dass die Effizienz des Algorithmus mit wachsender Dimension abnimmt.
23. Oktober 2009
Seite 77/109
Simulation des Algorithmus
Abbildung 5.6 zeigt ein ideales Small-World-Netz nach Kleinberg, mit Histogramm der Verbindungslänge (unten). Rot dargestellt ist eine Verbindung zwischen zwei zufällig gewählten
Knoten.
Im Gegensatz dazu zeigt Abbildung 5.7 ein zufälliges Netz, ebenfalls mit einer Verbindung
zwischen zwei zufällig gewählten Knoten.
Abbildung 5.6: Screenshot 1
Abbildung 5.8 zeigt grün dargestellt die Nachbarschaftsverbindungen des eben gewählten Knotens. Die Small-World-Eigenschaft ist verletzt: Es dominieren mittlere bis lange Verbindungen.
Denselben Knoten und seine Nachbarschaftsverbindungen nach Anwendung von Freenets Algorithmus zeigt Abbildung 5.9: Es dominieren kurze Verbindungen.
Abbildung 5.10 zeigt, dass die Verbindung zwischen den zwei zufällig gewählten Knoten wieder
eine kurze Pfadlänge hat.
Die Simulation zeigt eine erfolgreiche Wiederherstellung eines Small-World-Netzes aus einem
Zufallsgraphen. Die Simulation kann mit beliebigen Startwerten erfolgen.
Validierung der Simulation an echten Daten
Zur Validierung der Simulationsergebnisse wendeten Clarke und Sandberg in [45] ihren Algorithmus auf eine Auswahl von Menschen in dem Social Network Orkut an. 2196 Menschen wurden
gecrawlt, angefangen bei Clarke. Die Auswahl war vergleichsweise dicht (durchschnittlich 36,7
Verbindungen pro Person), und die Verbindungszahl war etwa potenzmengenverteilt.
Die Daten wurden dann max. log2 (n)2 Schritte lang untersucht:
23. Oktober 2009
Seite 78/109
Tabelle 5.1: Vergleich von Freenets Swapping-Algorithmus mit zufälliger Suche
Zufällige Suche
Swapping-Algorithmus
Erfolgsrate
0,72
0,97
Mittlere Anzahl Schritte
43,85
7,714
Der Algorithmus nutzt Personen, die viele Verbindungen haben, hängt aber für seinen Erfolg
nicht von ihnen ab.
Untersuchung der Schutzziele
Wie in den Vorgängerversionen verwendet Freenet 0.7 Hop-by-Hop-Routing (siehe 5.3.1). Dadurch erhalten Teilnehmer sogar innerhalb des Darknets, in dem sie sich definitionsgemäß nur
mit Freunden verbinden sollen, Anonymität.
Erreichbarkeit ist das Kernanliegen des Swapping-Algorithmus. Ihre Erfüllung ist durch die oben
geschilderte Arbeit belegt.
Zensurresistenz hängt davon ab, dass ein Teilnehmer langfristig nicht seine eigene ID bestimmen
kann. Da die ID bestimmt, welche Daten dem Teilnehmer zur Speicherung anvertraut werden,
könnte ein Angreifer sich sonst absichtlich unter der ID zu zensierender Daten positionieren.
Zum Zeitpunkt dieser Arbeit dauert die Forschung zu diesem Thema noch an (siehe 5.5.1).
Authentizität wird durch Public-Key-Kryptografie und Hashing sichergestellt. Ein Autor veröffentlicht üblicherweise einen Kern an Daten (z. B. eine Website) mit seinem Schlüssel signiert.
Größere Datenmengen werden über ihren Hashwert abgerufen, wobei eine moderne, kollisionsresistente Hashfunktion gewählt wird.
Durch die Dezentralisierung und Verteilung des Datenbestandes auf alle Teilnehmerrechner ergibt sich eine hohe Robustheit. Freenet reagiert flexibel auf plötzliche Lastspitzen, indem Knoten
ihren Nachbarn mitteilen können, dass sie gerade überlastet sind und neue Anfragen erst nach
einer bestimmten Zeit t entgegennehmen können. Die Anfragen werden dann auf anderen Wegen
geroutet.
5.5
Zusammenfassung und Ausblick
Wir haben in dieser Arbeit die Entwicklung von P2P-Systemen von Napster bis hin zu moderner Software analysiert. Dabei haben wir festgestellt, dass hohe Anforderungen an Anonymität
23. Oktober 2009
Seite 79/109
Tabelle 5.2: Vergleich von Freenets Swapping-Algorithmus mit zufälliger Suche bei max. 40
Verbindungen
Zufällige Suche
Swapping-Algorithmus
Erfolgsrate
0,51
0,98
Mittlere Anzahl Schritte
50,93
10,90
die Einrichtung eines Darknets erfordern. Wir haben die theoretischen Grundlagen von SmallWorld-Netzen ergründet und ihre praktische Anwendung auf Computernetze problematisiert.
Mehrere Darknet-Implementationen haben wir in Hinblick auf starke Schutzmechanismen untersucht. Dabei haben wir schließlich insbesondere den Swapping-Algorithmus von Freenet 0.7
vorgestellt, dessen Angemessenheit für die Wiederherstellung der Small-World-Eigenschaft in
einem unmarkierten Graphen experimentell gezeigt worden ist. Wir enden mit einem Ausblick
auf denkbare Angriffe auf Freenet 0.7.
5.5.1
Angriff auf den Swapping-Algorithmus
In Freenet 0.7 gibt es durch das Darknet keine globalen Informationen über die Netzwerktopologie. Wenn ein Knoten im Rahmen des Swapping-Algorithmus seine Koordinaten mit einem
Nachbarn tauscht, kann er die Güte dieses Tauschs also nicht auf globaler Ebene beurteilen.
Aktuelle Forschung beschäftigt sich mit einem Szenario, bei dem ein Angreifer mit mehreren
Knoten das Swapping manipuliert. Voraussetzung ist, dass der Angreifer Teilnehmer des Netzes
dazu bringen kann, sich mit ihm als Freunde zu verbinden. Ziel des Angriffes ist es, einen Teilbereich des Adressraumes durch gezielte Swapping-Anfragen leerzuräumen und so erfolgreiches
Routing zu behindern.
Den Nachbarknoten wird vorgespielt, der angegriffene Adressbereich wäre bereits von anderen
Knoten abgedeckt. Diese Knoten befänden sich aber in der Netztopologie weiter entfernt, so dass
eine höhere Adressdistanz zur korrekten Modellierung der Small-World-Eigenschaft erforderlich
wäre. So werden die Nachbarknoten abgedrängt.
In bisherigen Simulationen (Abbildungen 5.11, 5.12) konnte ein hinreichend starker Angreifer so
das gesamte Netz dazu bringen, zu einem Punkt auf dem Adressring zu konvergieren. [46]
Abbildung 5.11: Swapping-Angriff
23. Oktober 2009
Abbildung 5.12: Swapping-Angriff
Seite 80/109
5.5.2
Traffic Analysis
Ein möglicher Angriff gegen Freenet 0.7, der keiner Infiltration des Netzes bedarf, besteht darin,
seitens des ISP Traffic Analysis durchzuführen. Zwar verschlüsselt Freenet allen Datenverkehr,
aber die Feststellung, dass ein Benutzer konstant Daten mit einer kleinen Zahl gleichbleibender
Ziele austauscht, kann ausreichen, auf die Verwendung von Freenet hinzudeuten.
Diesem Angriff kann bis zu einem gewissen Grad durch Steganografie entgegengetreten werden.
Freenet könnte seinen Datenverkehr in dem Protokoll einer akzeptierten Anwendung verstecken,
z. B. eines Computerspiels, Voice over IP oder SSL.
Falls die Kontrolle des Internetverkehrs zu restriktiv wird, könnte Freenet den Offline-Datentransfer
über das Sneakernet“ unterstützen. Anwender könnten ihre Daten in Form von physischen Da”
tenträgern austauschen.
23. Oktober 2009
Seite 81/109
Kapitel 6
Automated Social Engineering
6.1
Abstract
Automated Social Engineering ist eine mögliche zukünftige Bedrohung für Internetnutzer. Mit
Automated Social Engineering lassen sich massenhaft Angriffe starten, die den Menschen als
Schwachstelle eines Sicherheitssystems ausnutzen, um vertrauliche Informationen zu sammeln.
Diese Seminararbeit beschreibt die Eigenschaften des Automated Social Engineerings und stellt
bekannte und mögliche Angriffe vor. Einschränkungen und Gegenmaßnahmen werden präsentiert. Abschließend wird die tatsächliche Bedrohung durch Automated Social Engineering diskutiert.
6.2
Einführung
Social Engineering ist eine Methode um Sicherheitssysteme anzugreifen. Automated Social Engineering verwendet Bots als Werkzeug und Online Social Networks als Datenquelle, um Social
Engineering-Angriffe automatisiert auszuführen. In dieser Einführung werden daher die Themen
IT-Sicherheit, Social Networks und Bots behandelt, um Begriffe einzuführen und Automated Social Engineering thematisch einzuordnen und zu motivieren.
6.2.1
IT-Sicherheit
Die IT-Sicherheit [47] beschäftigt sich mit der Sicherheit von IT-Systemen. IT-Systeme, im Speziellen Computer, werden in privaten, organisatorischen, militärischen, geschäftlichen und anderen
Umgebungen eingesetzt. Die dabei verarbeiteten und entstehenden Daten können sicherheitsrelevante Informationen und Ressourcen enthalten: Es entstehen finanzielle oder anderere Schäden
für den Nutzer eines IT-Systems, falls Schutzziele wie Vertraulichkeit und Integrität für diese
Informationen und Ressourcen nicht erfüllt werden.
Definition 1. Vertraulichkeit bezeichnet die Geheimhaltung von Informationen und Ressourcen
vor Unbefugten.
Definition 2. Integrität bezieht sich auf die Vertrauenswürdigkeit von Daten. Oft wird damit
verstanden, dass keine unautorisierten Änderungen an Daten vorgenommen werden können.
Definition 3. Ein Asset ist eine schützenswerte Information oder Ressource. Wenn bestimmte
Schutzziele für ein Asset nicht erfüllt werden können, entsteht Schaden für den Besitzer des
Assets.
Definition 4. Eine Security Policy (kurz: Policy) ist eine Angabe, was innerhalb eines Systems
erlaubt ist und was verboten ist.
82
Definition 5. Ein Sicherheitsmechanismus (kurz: Mechanismus) ist eine Methode, ein Werkzeug oder eine Prozedur, um eine Policy geltend zu machen. Diese Mechanismen können technisch auf Computerebene realisiert sein. Sie können auch nicht-technisch sein. Beispiel für nichttechnische Mechanismen sind Verhaltensregeln für Angestellte in einem Unternehmen.
Definition 6. Das zu schützende System inklusive der Policys und Mechanismen wird in dieser
Seminararbeit Sicherheitssystem genannt. Ein Sicherheitssystem enthält Assets, die geschützt
werden müssen.
Definition 7. Eine mögliche Verletzung von Schutzzielen wird Bedrohung genannt.
Definition 8. Angriffe sind Aktionen, die eine Bedrohung hervorrufen können.
Die Rollenverteilung bei einem Angriff ist:
Definition 9. Der Akteur, der Angriffe ausführt, heißt Angreifer. Dieser Akteur kann je nach
Kontext eine Person oder ein Computerprogramm sein.
Definition 10. Ein Angriff wird auf ein Target ausgeführt. Das Target enthält ein Asset, welches für den Angreifer von Interesse ist. Unter Target ist je nach Kontext ein Sicherheitssystem
oder eine Person gemeint sein.
Definition 11. Der Verteidiger versucht einen Angriff abzuwehren. Er verwendet dazu Mechanismen, die Policys umsetzen sollen. Ein Verteidiger kann eine Person oder ein Sicherheitssystem sein.
Definition 12. Ist der Angriff für den Angreifer erfolgreich, so bezeichnet man das Target auch
als Opfer.
Social Engineering
Traditionell wird IT-Sicherheit mehr aus dem technischen Blickwinkel betrachtet. Sie analysiert
die Sicherheit auf der Ebene des Computers. Bedrohungen existieren aber auch durch nichttechnische Angriffe. Ein Sicherheitssystem, welches nicht-technische Angriffe ignoriert, muss Bedrohungen durch solche Angriffe in Kauf nehmen.
Bei einem Social Engineering-Angriff wird der Mensch als Schwachstelle eines Sicherheitssystem
ausgenutzt. Kevin Mitnick, der in der Vergangenheit durch seine Angriffe den Begriff Social
Engineering geprägt hat und deswegen auch strafrechtlich verfolgt wurde, definiert Social Engineering folgendermaßen:
“Social Engineering verwendet Beeinflussung und Überredung um Menschen zu täuschen, indem
sie sie überzeugen, dass der Social Engineer jemand ist, der er nicht ist, oder durch Manipulation.
Infolgedessen kann der Social Engineer Menschen ausnutzen, um Informationen mit oder ohne
der Verwendung von Technologie zu erhalten.” [48]
Manchmal werden Menschen in einem Sicherheitssystem als schwächstes Glied in der Kette
bezeichnet [49]. Menschen sind immer Teil eines Sicherheitssystems. Sie müssen das Sicherheitssystem warten, administrieren und damit arbeiten. Aus dieser Sicht betrachtet greift der
Angreifer mit dem Social Engineering konsequenterweise die größte Schwachstelle des Systems
an und umgeht somit technische Sicherheitsmechanismen.
6.2.2
Social Networks Sites
Soziale Netzwerke bilden Menschen und ihre sozialen Beziehungen in ein Netzwerk ab. Diese
sozialen Beziehungen können Verwandtschaft, Freundschaft, Kollegschaft, aber auch gemeinsame
Hobbys, Musikgeschmack usw. sein. Ein Online Social Network ist eine Internetplattform, in
23. Oktober 2009
Seite 83/109
denen dessen Nutzer miteinander kommunizieren und sich dabei nach ihren sozialen Beziehungen
gruppieren.
Social Network Sites (SNS) sind das bekannteste Beispiel für Online Social Networks. SNSs wie
Facebook [50], StudiVZ [51] und XING [52] bieten ihren Nutzern eine Webplattform, in denen
diese sich nach Berufsgruppe, Hobbys und sonstigen Interessen gruppieren und kommunizieren
können und somit ein soziales Netzwerk bilden. SNSs können verschiedene Ausrichtungen und
Zielgruppen haben. Beispielsweise wendet sich StudiVZ an Studenten, während XING sich auf
geschäftliche Kontakte zwischen den Nutzern konzentriert.
Definition 13. Nutzer können auf SNSs Profile erstellen, in denen sie Informationen über sich
für andere publizieren.
Das sind beispielsweise persönliche Informationen, Meinungen, persönliche Werke, Interessen wie
Hobbys, Musikgeschmack, Lieblingsfilm, Lieblingsautoren usw.
Soziale Netzwerke bieten Kontaktfunktionen, in denen Nutzer ihre sozialen Bindungen wie
Freundschaft auf dem SNS explizit machen können.
Definition 14. Ist ein Nutzer A mit einem Nutzer B durch die Kontaktfunktion verbunden, ist
Nutzer B ein Kontakt von Nutzer A und umgekehrt.
Definition 15. Ein Nutzer sendet eine Kontaktanfrage an einen anderen Nutzer, damit sie auf
dem SNS einander als Kontakte behandelt werden. Diese Kontaktanfrage kann akzeptiert oder
abgelehnt werden.
Diese Kontaktfunktionen bieten Kontakten je nach SNS zusätzliche Möglichkeiten bei der Kommunikation. Nutzer können beispielsweise benachrichtigt werden, wenn ein Kontakt zur gleichen
Zeit auf dem SNS ist. In vielen SNSs können Nutzer einstellen, dass ihre Profile oder bestimmte
Profilinformationen nur für Kontakte zugänglich sind, damit nur diejenigen Nutzer Profilinformationen einsehen können, denen der Nutzer vertraut.
Die Verwendung von SNSs birgt einige Gefahren für den Nutzer. Prinzipiell führt das Veröffentlichen von persönlichen und privaten Informationen zu einem teilweisen Verlust der Privatsphäre
des Nutzers.
Es ist anzumerken, dass Informationen in einem SNS oft so strukturiert sind, dass diese von
Computerprogrammen analysiert und verarbeitet werden können. Beispielsweise können aus
den Informationen Soziogramme erstellt werden, die die Beziehungen von Nutzern untereinander
darstellen.
6.2.3
Bots
Definition 16. Ein Internet-Bot (kurz: Bot) ist ein Computerprogramm, das in Internetdiensten vordefinierte Aufgaben automatisiert erledigt.
Definition 17. Ein Crawler ist ein Bot, der Informationen nach einem bestimmten Muster
findet und sammelt.
Bots werden im Internet für viele sinnvolle Aufgaben verwendet. Beispielsweise durchsuchen
und klassifizieren Crawler Websites für Suchmaschinen. Bots können aber auch für böswillige
Aufgaben verwendet werden. Als Beispiel sammeln Crawler E-Mail-Adressen, an die sogenannte
Spambots dann Spam-Mails senden.
Definition 18. Ein Chatterbot ist ein Bot, der mit Menschen über ein Internetchat Unterhaltungen führen kann.
23. Oktober 2009
Seite 84/109
Bekanntes Beispiel für ein Chatterbot ist das von Joseph Weizenbaum 1966 entwickelte ELIZA
[53], welches ein Gespräch mit einer Psychotherapeutin simuliert. Chatterbots werden bei der
Forschung der Künstlichen Intelligenz (KI) betrachtet. Ein Ziel der Forschung ist es, eine KI
zu entwickeln, die den Turing-Test [54] besteht. Im Erfolgsfall soll es bei einem Turing-Test für
einen Menschen nicht möglich sein, festzustellen, ob der Gesprächspartner in einem Chat ein
echter Mensch ist oder eine KI, also ein Chatterbot, ist.
6.2.4
Automated Social Engineering
Mit dem zunehmenden Einsatz des Internets im Alltag wachsen die sicherheitsbedingten Bedrohungen. Privatpersonen erledigen ihre Bankgeschäfte im Internet (Online-Banking), verwenden
Online-Bezahldienste, kaufen in Onlineshops, kommunizieren mit Mitmenschen über SNSs und
veröffentlichen persönliche Informationen. All diese Anwendungen erfordern den Einsatz von Sicherheitsinfrastruktur und machen Privatpersonen zu Zielen von Angriffen. Sie sind angewiesen
auf die Vertraulichkeit von ihren Authentifizierungsdaten wie Nutzername und Passwörter oder
PIN/TANs beim Online-Banking und verlassen sich auf die Integrität von Profilen in SNSs.
Kriminelle Strukturen versuchen aus dieser neuen Nutzung und Verbreitung des Internets Kapital zu schlagen. Phishing ist ein bekannter Internetbetrug, um an vertrauliche Daten zu kommen.
Es nutzt keine Sicherheitslücken bei Computerprogrammen aus, sondern setzt auf die Täuschung
des Nutzers. Phishing wird durch Bots automatisiert, damit Angriffe massenhaft ausgeführt werden können.
Es ist zu erwarten, dass diese automatisierten, auf den Menschen als Schwachstelle zielende
Angriffe über das Internet weiterentwickelt werden. Dies rechtfertigt den Begriff des Automated
Social Engineerings. SNSs sind aufgrund ihrer Eigenschaft, dass persönliche Informationen und
Informationen über soziale Beziehungen leicht automatisiert gesammelt werden können eine gute
Quelle für Informationen, um Angriffe anspruchsvoller und effektiver zu gestalten.
In dieser Seminararbeit wird Automated Social Engineering und Entwicklungen, die zu ihm
führen, erläutert. Das Ziel dieser Seminararbeit ist:
• Die Einordnung von Angriffen in das Automated Social Engineering
• Aufmerksamkeit wecken gegenüber dem Automated Social Engineering
• Vorstellung von Gegenmaßnahmen und Einschränkungen
• Eine Diskussion über das tatsächliche Risiko durch Automated Social Engineering führen
Dazu sollen andere Arbeiten im Bereich Automated Social Engineering betrachtet und ausgewertet werden.
Social Engineering ist kein fest umrandeter Begriff. Einige würden vielleicht nur klassische Angriffe, die charakteristische Phasen durchlaufen, als echten Social Engineering-Angriff bewerten.
Während diese Sicht zur besseren Einordnung und Unterscheidung der Angriffe nützlich ist,
verschwimmen gerade durch die hier vorgestellte Automatisierung die begrifflichen Grenzen. In
dieser Seminararbeiten werden jene automatisierte Angriffe hier zusammenzutragen, bei dem
das Nutzungsverhalten des Computernutzers der Schwachpunkt ist, den der Angriff ausnutzt.
6.2.5
Verwandte Arbeiten
Während viel Literatur zum verwandten Thema Phishing vorhanden ist, ist Automated Social
Engineering kein gängiger Begriff. Meines besten Wissens taucht Automated Social Engineering
als eigenständiger Begriff zuerst in [55, 56] auf. Weitere Literatur zum Begriff Automated Social
Engineering war nicht auffindbar, vermutlich weil außerhalb des Phishings bisher kein realer und
massiver Automated Social Engineering-Angriff stattgefunden hat.
23. Oktober 2009
Seite 85/109
Abbildung 6.1: Mitnicks Social Engineering Cycle.
Diese Seminararbeit gibt einen Überblick über die Arbeiten in [56, 57, 58] und versucht diese
im Umfeld des Automated Social Engineerings einzuordnen.
6.3
6.3.1
Social Engineering-Modelle
Mitnicks Social Engineering Cycle
Mitnicks Social Engineering Cycle [48] ist ein einfaches Modell für einen Social EngineeringAngriff. Abbildung 6.1 illustriert dieses Modell. Es unterteilt einen Angriff in vier Phasen. In
der ersten Phase Research sammelt der Angreifer Informationen über das Target und das anzugreifende Sicherheitssystem. Unterschiedliche Quellen werden genutzt, darunter öffentliche
Informationen wie Pressemeldungen, Informationen auf Websites, aber auch Informationen aus
Material in Mülltonnen.
Diese Informationen nutzt der Angreifer in der zweiten Phase Developing rapport and trust,
um eine Verbindung zum Target aufzubauen und sich Vertrauen bei ihm zu erschleichen. Der
Angreifer nimmt dabei typischerweise eine falsche Identität an, um das Target zu täuschen.
In der dritten Phase Exploting trust wird dieses Vertrauen ausgenutzt, indem das Target nach
Informationen gefragt wird oder das Target zu einer Handlung überredet wird.
Vertrauliche Informationen sind nun für den Angreifer zugänglich und können in der vierten
Phase Utilize information schließlich vom Angreifer verwendet werden. Gewonnene Informationen können für den Angreifer auch nur ein Schritt zu seinem eigentlichen Ziel sein. Der Angreifer
kehrt in frühere Phasen zurück und durchläuft den Zyklus solange bis sein Ziel erreicht ist.
6.3.2
Nohlbergs und Kowalskis Cycle of Deception
Ein detailliertes Modell für Social Engineering ist der “Cycle of Deception” von Nohlberg und
Kowalski [59]. Es besteht aus drei Zyklen: Attack Cycle, Defense Cycle und Victim Cycle. Diese
Zyklen werden zum kompletten Cycle of Deception zusammengefügt.
23. Oktober 2009
Seite 86/109
Abbildung 6.2: Attack Cycle [59]
Attack Cycle
Abbildung 6.2 illustriert den Attack Cycle. Der Attack Cycle beschäftigt sich mit den Aktionen
des Angreifers. Er beginnt mit der Phase Goal & Plan. In dieser Phase plant der Angreifer
den Angriff und überprüft die Voraussetzungen. Ein Angriff muss einen Zweck, ein Ziel und
einen Plan haben. Der Angreifer muss wissen, welche Angriffe es gibt, welche in einer Situation
anwendbar sind und die Fähigkeit besitzen einen solchen Angriff auszuführen.
In der nächsten Phase Map & Bond sammelt der Angreifer die für den Angriff notwendige Informationen, beispielsweise durch das Durchwühlen von Abfalleimern oder indem Verbindungen
zu Kontaktpersonen aufgebaut werden, die wichtige Informationen besitzen.
Diese Informationen werden für die Vorbereitung der nächsten Phase verwendet, Execute. In
dieser Phase werden jene meist illegale Aktionen ausgeführt, die dem Angreifer Zugriff auf Assets
verschaffen.
In der Phase Recruit & Cloak versucht der Angreifer seine Aktivitäten zu vertuschen (Cloak).
Beispielsweise kann er weiterhin seine Verbindungen zu seinen Kontaktpersonen pflegen, damit
seine Aktionen nicht ungewöhnlich erscheinen. Eventuell kann er Kontaktpersonen rekrutieren
(Recruit) für ihn zu arbeiten, um weitere Angriffe zu starten.
In der Phase Evolve/Regress wertet der Angreifer seinen bisherigen Angriff aus. Stellt der Angreifer fest, dass sein bisheriger Angriff nicht zu dem von ihm gewünschtem Erfolg führt, muss er
den Angriff beenden oder in frühere Phasen zurückkehren (Regress). Im Erfolgsfall kann er den
Angriff weiterentwcikeln (Evolve) und den Zyklus wieder durchlaufen bis alle seine Ziele erreicht
sind.
Defense Cycle
Der Defense Cycle beschreibt die Optionen des Verteidigers in Phasen bei einem Social EngineeringAngriff. Abbildung 6.3 illustriert diesen Zyklus. Dieser beginnt mit der Phase Deter : Der Verteidiger kann Angriffe im Vornherein abschrecken, etwa mit einer guten Reputation bei der
Abwehr von Social Engineering-Angriffen oder wenn bekannt ist, dass Vorfälle direkt an die
Polizei gemeldet werden.
Wird ein Angreifer nicht abgeschreckt, ist in der Phase Protect der tatsächliche Schutz gegen Social Engineering von Bedeutung. Dieser Schutz ist beispielsweise gewährleistet durch das
Aufstellen und Befolgen von Policys und Mechanismen. Angestellte eines Unternehmens können
unterrichtet werden, um auf Social Engineering-Angriffe aufmerksam zu machen und diese damit
zu verhindern.
23. Oktober 2009
Seite 87/109
Abbildung 6.3: Defense Cycle [59]
Abbildung 6.4: Victim Cycle [59]
Angriffe können durch unterrichtete Angestellte oder Anti-Social Engineering-Mechanismen entdeckt werden, was durch die Phase Detect repräsentiert wird.
Wird ein Angriff entdeckt, wird in der Phase Respond darauf reagiert. In dieser Phase wird zum
Beispiel der Angriff bei der Polizei gemeldet oder es werden neue Policys entwickelt, die erneute
Angriffe vermeiden sollen.
Sollte der Angriff das Sicherheitssystem kompromittiert haben, muss das Sicherheitssystem in
der Phase Recover wiederhergestellt werden.
Victim Cycle
Der Victim Cycle beschreibt das Verhalten des Opfers bei einem Angriff. Es wird in Abbildung
6.4 illustriert. Der Victim Cycle beginnt mit der Phase Advertise. Das Opfer besitzt ein Asset,
welches für den Angreifer interessant ist. Das Opfer macht sich also bewusst oder unbewusst als
Target bekannt.
In der nächsten Phase Socialize & Expose enthüllt das Opfer Schwachstellen. Es knüpft Kontakte
mit dem täuschenden Angreifer oder gibt Informationen preis, die Assets zugänglich machen.
In der Phase Submit gibt sich das Opfer dem Angriff hin, etwa indem vertrauliche Informationen
weitergegeben werden oder er manipuliert wird.
Nach dem Angriff ist das Opfer in der Phase Accept & Ignore. Das Opfer kann den Angriff
hinnehmen oder ignorieren. Bei der Hinnahme kann der wirkliche Schaden von dem Opfer her-
23. Oktober 2009
Seite 88/109
Abbildung 6.5: Nohlbergs und Kowalskis Cycle of Deception [59]
untergespielt werde. Dies kann psychologische Gründe haben oder der Versuch sein, ein Angriff
vor der Öffentlichkeit zu vertuschen. Angriffe können auch ignoriert werden. Entweder ignoriert
das Opfer den Angriff wissentlich oder er ist sich des Angriffs gar nicht bewusst.
In der folgenden Phase Evolve/Regress kann das Opfer entweder aus dem Angriff lernen (Evolve),
um spätere Angriffe abzuwehren, oder das Opfer nimmt seine Rolle als Opfer hin und wird damit
zum verwundbareren Target für weitere Angriffe (Regress).
Cycle of Deception
Der Cycle of Deception ist die Zusammensetzung der drei vorherigen Zyklen. Abbildung 6.5
illustriert den Cycle of Deception. Er bezweckt eine holistische Sicht auf einen Social EngineeringAngriff anstatt jeweils isolierter Sichten von Angreifer, Verteidiger und Opfer. Diese holistische
Sicht wird dadurch begründet, dass der Erfolg oder der Fehlschlag eines Social EngineeringAngriffs letztendlich von allen Aktionen in den drei Zyklen abhängt.
6.3.3
Cialdinis Prinzipien der Beeinflussung
Da Social Engineering-Angriffe Menschen ausnutzen, können auch psychologische Modelle wie
Cialdinis Prinzipien der Beeinflussung [60, 56] angewendet werden. Cialdini untersuchte, wieso
Menschen in geschäftlichen und anderen Feldern Anfragen anderer nachkommen. Er entdeckte
sechs feste Aktionsmuster, die für Beeinflussung und Überredung ausgenutzt werden können.
Nach Cialdini sind diese festen Aktionsmuster bei allen Menschen beobachtbar, jedoch sind sie
abhängig von individuellen Faktoren wie kulturellen Normen und Erfahrungen unterschiedlich
stark ausgeprägt.
Das Prinzip der Erwiderung
Menschen zeigen sich erkenntlich, wenn man ihnen etwas gibt oder einen Gefallen macht. Sie
fühlen sich verpflichtet, Gefallen und Geschenke in der Zukunft zurückzuzahlen. Mit dieser tief
verwurzelten menschlichen Eigenschaft ist es möglich, dass Menschen einander helfen, schenken
und Gefallen erledigen. Ressourcen und Arbeit werden aus der Sicht des Gebers nicht verschwendet, wenn er dafür Gegenleistungen erwarten kann. Dieses System der wechselseitigen Hilfe ist
vorteilhaft für die Gesellschaften, in denen das Prinzip ausgeprägt ist.
Das feste Aktionsmuster der Erwiderung wird im Alltag oft bewusst angesprochen. Kleine Geschenke können mit wertvolleren Gegenleistungen erwidert werden. Beispielsweise werden einem
23. Oktober 2009
Seite 89/109
Kunden in Geschäften Probestücke ausgehändigt oder Getränke ausgeschenkt, um ihn dazuzubringen es mit weiteren Einkäufen zu danken.
Eine Variation ist das Aktionsmuster des gegenseitiges Zugeständnisses. Angenommen, zwei Personen haben eine Verhandlung. Dabei ist Person A der Bittsteller und Person B der Angefragte.
Beispielsweise will Person A der Person B etwas verkaufen. Person A stellt eine anfängliche
Anfrage, die von Person B abgelehnt wird. Wenn Person A von seiner anfänglichen Anfrage
zurücktritt und stattdessen eine zweite, kleinere Anfrage stellt, so ist es aufgrund sozialer und
psychologischer Aspekte wahrscheinlicher, dass Person B dieses Zugeständnis annimmt, als wenn
Person A direkt die zweite Anfrage an Person B stellt. Dieses Verhalten kann ausgenutzt werden,
wenn Person A absichtlich zuerst eine überhöhte Anfrage und erst dann die eigentliche Anfrage
stellt (reject-then-retreat).
Das Prinzip der Festlegung und Konsistenz
In einer Gesellschaft ist von Personen eine gewisse Konsistenz zu erwarten. Es wird von einer
Person erwartet, dass wenn sie Positionen und Meinungen vertritt, solche weiterbehält. Dieses
Aktionsmuster wird bei der Beeinflussung ausgenutzt, indem beispielsweise zunächst viele kleinere Anfragen an eine Person gestellt werden, damit die Person später aus Gründen der Konsistenz
weiteren Anfragen nachkommt.
Das Prinzip der sozialen Validation
Wenn Menschen unsicher sind, was sie in bestimmten Situationen tun sollen, ahmen sie das
Verhalten anderer nach. So finden Menschen sozial akzeptierte Verhaltensweisen, die sie in diesen
Situationen anwenden können. Dieses feste Aktionsmuster wird beispielsweise ausgenutzt, wenn
bei einer Anfrage der Person gesagt wird, dass alle anderen der Anfrage ebenfalls nachgekommen
seien.
Das Prinzip der Freundschaft und Ähnlichkeit
Menschen kommen Anfragen eher nach, wenn sie von Personen kommen, mit denen sie befreundet sind, sie mögen oder die ihnen ähnlich sind. Dieses Aktionsmuster wird beispielsweise durch
das sogenannte Homepartymarketing angesprochen. Dabei veranlassen Firmen Firmenfremde
dazu, sogenannte Homepartys zu veranstalten und Freunde und Bekannte einzuladen. In dieser
Runde werden dann die Produkte der Firma angeboten, mit dem Ziel, dass sie sich durch die
freundschaftlichen Bindungen verkaufen.
Das Prinzip der Autorität
Der Umgang mit Autoritäten ist für jeden Menschen natürlich, zum Beispiel der Umgang eines
Kinds mit seinen Eltern. Man gibt Forderungen nach, wenn sie von einer Autorität kommen.
Dieses feste Aktionsmuster kann ausgenutzt werden, indem einer Person eine Anfrage gestellt
wird, während ihr eine Autorität vorgegaukelt wird. Die Autorität ist oft so bindend, dass andere
Faktoren vernachlässigt werden.
Das Prinzip der Knappheit
Wenn bei einer Person der Eindruck der Knappheit einer Ressource geweckt wird, so wird dieser
Ressource automatisch ein höherer Wert zugeordnet. Im Alltag wird dieses feste Aktionsmuster ausgenutzt, wenn Aktionsangebote gemacht werden, die entweder nur in einer begrenzten
Stückzahl angeboten werden oder nur für kurze Zeit verfügbar sind.
23. Oktober 2009
Seite 90/109
6.4
Eigenschaften des Automated Social Engineerings
Huber merkt in [56] an, dass man Automated Social Engineering nicht als bloße Erweiterung
des Werkzeugs eines Social Engineers ansehen sollte. Die Automatisierung reduziert die Zeit
manueller Interaktion auf ein Minimum, so dass Angriffe massenhaft gestartet werden können,
da die Ressourcen für die benötigte Rechenzeit zu vernachlässigen sind. Ein Automated Social
Engineering-Angriff verspricht daher eine höhere Reichweite und somit eine höhere Ausbeute für
den Angreifer. Selbst wenn die Erfolgsrate für einen Angriff gering ist, kann sich der Angriff für
den Angreifer lohnen, wenn der Wert der Beute die meist geringen Kosten übersteigt.
Ein weiterer Punkt ist, dass Automated Social Engineering-Angriffe über Botnets [61] koordiniert werden können. So können beispielsweise Sperren einzelner IP-Adressen umgangen werden.
Weiterhin ist die Zurückverfolgung des Angreifers für Strafverfolgungsbehörden erschwert.
Automated Social Engineering-Angriffe müssen wegen der Automatsierung komplett im Internet
abgeschlossen sein, d.h. das Sammeln von Informationen und die Interaktion mit Targets muss
bei einem vollständig automatisierten Angriff über das Internet möglich sein. So ist es nicht wie
beim Social Engineering möglich, Mülltonnen nach vertraulichen Informationen zu durchwühlen.
Auch sind Angriffe, bei denen mit Menschen interagiert werden muss, durch die Qualität der
Mensch-Maschine-Interaktion eingeschränkt.
Traditionelle Social Engineering-Angriffe benötigen in manchen Situationen Kreativität und Anpassbarkeit. Das ist im Automated Social Engineering nur dann möglich, wenn diese Situationen
im Voraus eingeplant wurden.
Die in den Automated Social Engineering-Angriffe wie Phishing und Spear Phishing zielen oftmals auf die vertraulichen Informationen von Privatpersonen. Mit der Automatisierung aggregieren sie viele, gleichartige vertrauliche Informationen wie PIN/TANs fürs Online-Banking, deren
gesamter Wert aus der Sicht des Angreifers den Aufwand beim Angriff übersteigen sollen. Assets
beim Automated Social Engineering sind also Assets, die immer mit dem gleichen Schema erbeutet werden können. Social Engineering-Angriffe können dagegen ein ganz bestimmtes Asset,
wie die Blaupausen eines Flugzeugherstellers, als Ziel haben und werden zu diesem Zweck auch
speziell geplant.
6.5
6.5.1
Angriffstypen
Phishing
Mit Phishing, einer Wortschöpfung aus “Password” und “Fishing”, wird ein einfacher, aber bekannter Internetbetrug bezeichnet.
Ziel
Phishing zielt auf den Diebstahl von vertraulichen Informationen. Hauptsächlich sollen Logins,
PIN/TANs fürs Online-Banking und Kreditkarteninformationen gesammelt werden, mit denen
der Angreifer unmittelbar Geld erbeuten kann. Die Targets sind beim Phishing Internetnutzer,
meistens Privatpersonen.
Idee
Beim Phishing werden Targets mit einer Täuschung dazu gebracht, vertrauliche Informationen
anzugeben. Phishing spekuliert darauf, dass viele Internetnutzer nicht in der Lage sind, echte
Anfragen von seriösen Organisationen von betrügerischen Täuschungen zu unterscheiden.
23. Oktober 2009
Seite 91/109
Ein wichtige Eigenschaft des Phishings ist es, dass es massenhaft und automatisiert ausgeführt
wird. Dadurch kann der Angreifer massenhaft Targets angreifen, um eine höhere Ausbeute zu
bekommen.
Detaillierte Beschreibung
Im Folgenden wird ein möglicher, fiktiver Aufbau eines Phishing-Angriffs beschrieben. Zunächst
beschafft sich der Angreifer eine große Anzahl an E-Mail-Adressen. Eine mögliche Quelle für
diese Adressen sind Anbieter, die diese Adressen sammeln und pflegen. Alternativ sammelt
der Angreifer E-Mail-Adressen selbst, indem er mit einem Crawler Websites oder Mailinglisten
danach durchsucht.
Im zweiten Schritt setzt der Angreifer eine Website für die Täuschung auf. Beispielsweise sucht
er sich die Website des Bezahldienstes PayPal [62] aus. Nutzer müssen bei der Verwendung
eines solchen Bezahldienstes Nutzerkennung und Passwort angeben, um sich zu authentifizieren.
Diese Authentifizierungsdaten müssen vertraulich sein, da sonst Unbefugte unter dem Namen
des Nutzers Dienste verwenden können oder Geld entwenden können. Der Angreifer imitiert die
PayPal-Website: Er kopiert dessen Aussehen und macht sie im Internet zugänglich. Websites, die
andere Websites imitieren, werden gefälschte Websites genannt. Der Angreifer versucht mögliche
Anzeichen einer Fälschung zu verschleiern, damit die Täuschung effektiver ist. Beispielsweise
macht der Angreifer die Website unter einer Internetadresse zugänglich, die dem Target seriös
und plausibel erscheint. Gibt ein Target Authentifizierungsdaten auf der gefälschten Website ein,
werden diese nicht, wie das Target vermutet, an PayPal übermittelt, sondern an den Angreifer.
Im dritten Schritt versendet der Angreifer E-Mails an die zuvor gesammelten E-Mail-Adressen,
die den Adressaten unter Vorspielung falscher Tatsachen auf die zuvor präparierte gefälschte
Website lenken sollen. Beispielsweise soll folgender Text verwendet, um den Nutzer auf die
gefälschte Website zu lenken, die unter der Internetadresse http://paypal-payment-services.tk
liegt:
Sehr geehrter PayPal-Kunde,
zum 14. Juli 2009 haben wir unsere Allgemeinen Geschäftsbedingungen (AGB) geändert. Bitte melden Sie sich unter http://paypal-payment-services.tk mit Ihren Anmeldedaten an und bestätigen Sie
diese Änderungen.
Mit freundlichen Grüßen,
Ihr PayPal-Team
Wegen den geringen Kosten sendet der Angreifer diese E-Mails auf Verdacht an alle E-MailAdressen, unabhängig davon, ob Adressaten tatsächlich PayPal-Kunden sind oder nicht. Der
Angriff zahlt sich für den Angreifer finanziell bereits aus, wenn wenige Targets sich täuschen
lassen.
Zusätzliche Wortschöpfungen wie SMishing (SMS), Vishing (VoiP) usw. verdeutlichen, dass Phishing sich nicht nur auf E-Mails und gefälschten Websites beschränkt. Kommunikationswege und
Täuschungen sind unterschiedlich, verlaufen jedoch nach dem selben, vorgestellten Prinzip.
Diskussion
Phishing soll mit Mitnicks Social Engineering Cycle analysiert werden: Die ersten zwei Phasen
“Research” und “Developing rapport and trust” werden beim Phishing ignoriert. Meistens ist
das einzige, was dem Angreifer vom Target bekannt ist, dessen E-Mail-Adresse. In der dritten
23. Oktober 2009
Seite 92/109
Abbildung 6.6: Social Phishing [58]
Phase “Exploting trust” nutzt Phishing das Target aus, indem er vertrauliche Informationen von
ihm sammelt, wobei beim Phishing kein wirkliches Vertrauen (Trust) zum Angreifer vorliegt.
Vielmehr versucht der Angreifer das Vertrauen des Targets in die Authentizität der Anfrage auszunutzen. Als Ziel des Phishing-Angriffs werden die Informationen in der letzten Phase “Utilize
information” ausgenutzt.
Da Phishing einige Aspekte des Social Engineerings wie die Erforschung des Targets nicht aufgreift, wird Phishing nicht immer mit Social Engineering bzw. Automated Social Engineering
verbunden. Dennoch sind Phishing-Angriff im Internet so verbreitet, dass viele Internetnutzer
bereits einem Phishing-Angriff begegnet sind. Die kriminellen Strukturen, die Phishing einsetzen,
werden in Zukunft womöglich weitere Automated Social Engineering-Angriffe einsetzen.
6.5.2
Spear Phishing
Ziel
Das Ziel des Spear Phishings ist dasselbe wie das des Phishings. Es versucht dabei mit den
nachfolgend vorgestellten Konzepten die Effektivität von Angriffen zu erhöhen.
Idee
Spear Phishing nutzt Informationen über das Target, um die Täuschung zu verbessern. Solche
Informationen können über das Target und sein soziales Umfeld sein (Social Phishing) oder sich
auf einen Kontext beziehen, in welchem sich das Target befindet (Context-aware Phishing).
23. Oktober 2009
Seite 93/109
In [58] wurde ein Social Phishing-Experiment dokumentiert. Im Folgenden sollen Aufbau und
Ergebnisse erläutert werden.
Abbildung 6.6 illustriert das Social Phishing-Experiment. Das Experiment vergleicht den Erfolg
von Social Phishing mit normalem Phishing. Die Testgruppe bzw. die Targets des Angriffs sind
Studenten der Indiana University in Bloomington, USA. Zunächst wurden Informationen über
die Bekanntschaft eines Targets mit anderen Studenten untersucht. Dabei wurden öffentliche
Informationen aus dem Internet verwendet (1). Die Informationen der Targets wurde dabei mit
dem Adressbuch der Indiana University abgeglichen, um sicherzustellen dass es sich bei Targets
um Studenten der Indiana University handelt. Diese Bekannschaftsinformationen wurden in
eine Datenbank gesichert (2). Eine E-Mail wird für jedes Target komponiert (3). Sie enthält als
gefälschten Absender eine vorher festgestellte Bekanntschaft des Targets und enthält einen Link
auf eine Website mit Indiana University-Domain. Die E-Mail wird an das Target gesendet (4).
Klickt das Target auf den Link in der E-Mail, wird es von der Website mit Indiana UniversityDomain (5) auf eine Website mit einer nicht vertrauenswürdigen Domain umgeleitet (6). Die
Daten dieser Website landen beim Angreifer, in diesem Fall bei den Leitern des Experiments. Die
Websites täuscht vor, dass ein Login mit universitätsinternen Daten notwendig ist (7). Werden
Daten eingegeben, werden sie mit dem Login-Server der Universität verglichen (8). Falls das
Login gültig ist, wird angezeigt, dass die Seite temporär nicht erreichbar ist (9a), andernfalls
wird gemeldet, dass das Login ungültig ist (9b).
Der Angriff auf einen Studenten wurde als erfolgreich gezählt, falls er auf den Link der E-Mail
geklickt hat und auf der folgenden Seite seinen universitätsinternen Login angegeben hat. Der
Angriff wurde im Experiment nicht vollständig automatisiert, zeigt jedoch die potentielle höhere
Gefahr durch Social Phishing. Bei der Kontrollgruppe bestehend aus 94 Studenten mit normalem
Phishing hatte der Angriff eine Erfolgsquote von 16%. Dagegen hat der Angriff auf die Social
Phishing-Gruppe bestehend aus 487 Studenten eine Erfolgsquote von 72%.
Ein möglicher Context-aware Phishing-Angriff wird in [63] beschrieben. Dieser findet auf der
Internetauktionsplattform eBay [64] statt. Targets sind Bieter bei einer abgelaufenen Auktion, die die Auktion nicht gewonnen haben. Der Angreifer muss zunächst die E-Mail-Adressen
seiner Targets besitzen und sie der Nutzerkennung in eBay zuordnen können. Dies kann beispielsweise geschehen, indem frühere Auktionen oder Internetplattformen nach E-Mail-Adressen
durchsucht werden, die heuristisch Nutzerkennungen zugeordnet werden können. Im nächsten
Schritt werden E-Mails an die Targets versendet, die echte E-Mails bei Auktionsgewinnen in
eBay nachahmt. Die E-Mail gibt dabei ein verfälschtes Szenario wieder, in welchem das Target
die Auktion gewonnen hat und es beglückwünscht. Zusätzlich ist in der E-Mail ein Link zu einer
gefälschten PayPal-Website vorhanden, die das Target glauben machen soll, für die gewonnene
Auktion zu zahlen. Der scheinbare Link auf die PayPal-Website ist für das Target plausibel, weil
PayPal ein Tochterunternehmen von eBay ist. Im Angriff wird die Information über den Kontext
des Targets, die Teilnahme an einer eBay-Auktion, ausgenutzt. Nach dem Plan des Angreifers
erwartet das Target eine E-Mail zu diesem Kontext und rechnet nicht damit, dass die E-Mail
eine Täuschung sein könnte.
Diskussion
Betrachtet man Spear Phishing unter den Gesichtspunkten von Mitnicks Social Engineering Cycle, greift Spear Phishing im Gegensatz zum Phishing zusätzlich den Aspekt Research auf. Es
ist zu erwarten, dass die Angriffe in der Praxis höhere Erfolgsraten als Phishing haben. Spear
Phishing-Angriffe in der Praxis sind in Zukunft wahrscheinlich, da es eine natürliche Weiterentwicklung des verbreiteten Phishings ist und die populären SNSs die notwendigen Informationen
bieten.
23. Oktober 2009
Seite 94/109
(a) Situation vor dem
Angriff
(b) Angreifer klont A
und erzeugt A’
(c) A’ stellt Kontaktanfragen an Kontakte von A
(d) B und D haben Kontaktanfrage akzeptiert
Abbildung 6.7: Profile Cloning
6.5.3
Profile Cloning
In [57] zeigt eine Forschergruppe die Möglichkeit eines Profile Cloning-Angriffs in SNSs auf.
Dieser Abschnitt gibt den vorgestellten Angriff aus jenem Paper wieder.
Ziel
Das Ziel eines Profile Cloning-Angriffs ist es, die Identität eines Profils in einem SNS zu stehlen.
Diese kann genutzt werden, um vertrauliche Profilinformationen von Kontakten des geklonten
Profils zu sammeln, für die eine Kontaktbeziehung erforderlich ist. Zusätzlich können mit der
gestohlenen Identität Vertrauensbeziehungen zwischen den Kontakten ausgenutzt werden. Profile Cloning ist somit ein Angriff auf die Integrität von Profilen und auf die Vertraulichkeit von
Informationen in einem SNS. Der Angriff hat zwei Typen von Targets: Einerseits den Besitzer
des geklonten Profils und andererseits die Kontakte des geklonten Profils.
Idee
Die Idee hinter einem Profile Cloning-Angriff ist, dass Kontakte sich auf SNSs vertrauliche Informationen austauschen und einander vertrauen, aber sich nicht genügend der Identität des
Gegenübers versichern. Der Angriff kopiert ein öffentliches Profil in einem SNS und sendet Kontaktanfragen mit dem neuen Profil an dessen Kontakte. Die Kontaktanfragen enthalten einen
fingierten Grund, wieso der vermeintliche Profilbesitzer ein neues Profil erstellen musste. Nimmt
ein Kontakt diese Kontaktanfrage an, ist der Angriff erfolgreich und der Angreifer kann vertrauliche Profilinformationen sammeln oder die Vertrauensbeziehung ausnutzen. Dieser Angriff ist
automatisierbar und kann genutzt werden, um massenhaft vertrauliche Profilinformationen zu
sammeln.
Abbildung 6.7 illustriert einen Profile Cloning-Angriff in einem Graphen. Ein Knoten repräsentiert ein Profil in einem SNS. Eine schwarze Kante repräsentiert eine Kontaktbeziehung zwischen
zwei Profilen. Abbildung 6.7(a) zeigt die Situation aus der Sicht des Angreifers vor dem Angriff
an. A ist ein öffentliches Profil und hat B, C und D als Kontakte. In Abbildung 6.7(b) wird
Profil A geklont: Der Angreifer erzeugt Profil A’ aus den Profilinformationen von A. Eine rote
Kante zeigt an, dass der Knoten am Pfeilende ein Klon des Profils des Knotens am anderen Ende
ist. Im darauffolgenden Schritt in Abbildung 6.7(c) sendet A’ Kontaktanfragen an die Kontakte
23. Oktober 2009
Seite 95/109
von A. Eine gestrichelte Kante zeigt eine Kontaktanfrage an. Abbildung 6.7(d) zeigt, dass B
und D die Kontaktanfragen angenommen haben und somit Kontakte von A’ geworden sind. Der
Angreifer kann jetzt vertrauliche Profilinformationen von B und D sammeln oder die Kontakte
für weitere Angriffe nutzen.
Um einen Profile Cloning-Angriff zu demonstrieren, hat die Forschergruppe den Prototypen
iCloner entwickelt. Dieser beinhaltet folgende Komponenten:
• Einen Crawler, der die Profilinformationen in den jeweiligen SNSs durchsucht.
• Einen Profile Creator, der aus den gesammelten Profilinformationen neue Profile erzeugt
(“klont”).
• Einen Message Sender, der sich in das Profil einloggt und Nachrichten und Kontaktanfragen an die Kontakte sendet.
Ein Profile Cloning-Angriff mit iCloner wurde auf der SNS Facebook in einem Experiment simuliert. Um ethischen Maßstäben zu genügen, wurden anstatt zufällig auswählten öffentlichen Profilen die Profile von fünf vorab informierten Facebook-Nutzern ausgewählt und geklont. iCloner
sendete daraufhin Kontaktanfragen an die Kontakte aus der Kontaktliste von den Originalprofilen. Die Kontaktanfragen wurden bei allen Profilen in mindestens 60% aller Fälle akzeptiert. Zur
Kontrolle wurden fiktive Profile erstellt und Kontaktanfragen an die gleichen Kontakte gesendet.
Die Akzeptanzrate für diese Profile war deutlich niedriger. Sie lag bei vier fiktiven Profilen unter
25%; bei einem anderen fiktiven Profil jedoch bei etwa 40%.
Weiterhin wurde getestet, inwiefern die Nutzer dem Profil vertrauen, welches sie akzeptiert
haben. Es wurde folgende Nachricht mit einem Link an Kontakte gesendet:
Hey, I put some more pictures online. Check them here!:
http://193.55.112.123/userspace/pix?user=<account>
&guest<contact>&cred=3252kj5kj25kjk325hk
Ciao, <account first-name>
Dabei wurde <account> mit dem Profilnamen des Absenders, <contact> mit dem Profilnamen
des Adressats und <account first-name> mit dem Vornamen des Absenders ersetzt. Der Aufbau dieser Nachricht und insbesondere des Links ist bewusst sehr verdächtig gehalten. Es soll
überprüft werden, ob Kontakte trotz dieser verdächtigen Nachricht dem Link folgen. Bei der
Durchführung des Experiments folgten sowohl die Kontakte der geklonten Profile als auch die
Kontake der fiktiven Profile diesen Link zu etwa 50%.
Die Forschergruppe merkt an, dass manche Kontakte den Besitzer des Originalprofils alarmiert
haben. Dieser war in der Studie bereits vorab informiert. Bei einem echten Angriff könnten die
Besitzer Einfluss auf das Ergebnis haben.
Diskussion
Es soll Profile Cloning mit Mitnicks Social Engineering Cycle analysiert werden. Im Profile
Cloning werden als Erstes die Kontaktbeziehungen zwischen Profilen untersucht, was der ersten
Phase Research des Social Engineering Cycles entspricht. Die Phase Developing rapport and trust
tritt im Profile Cloning durch die Kontaktanfragen mit den geklonten Profilen auf. Die dritte
Phase Exploiting trust geschieht dann mit dem Sammeln der vertraulichen Profilinformationen
bzw. mit dem Senden von Anfragen an die Kontakte. In der vierten Phase Utilizing information
werden die Informationen verwendet, beispielsweise bei einem Spear Phishing-Angriff.
23. Oktober 2009
Seite 96/109
Es zeigt sich, dass der Aufbau eines Profile Cloning-Angriffs mit dem Social Engineering Cycle
angemessen beschrieben werden kann. Es werden keine Phasen im Social Engineering Cycle
ignoriert. Dies rechtfertigt es, Profile Cloning als ein Social Engineering bzw. Automated Social
Engineering zu bezeichnen.
Profile Cloning zeigt, dass Sicherheitseinstellungen und technische Mechanismen in SNSs umgangen werden können, wenn Nutzer sich nicht der Identität von anderen vergewissern. Die
Forschergruppe in [57] merkt an, dass im durchgeführten Experiment einige Kontakte skeptisch
gegenüber Kontaktanfragen waren und den Besitzer des Originalprofils alarmiert haben. Jedoch geschah das oft erst nach dem Akzeptieren der Kontaktanfrage, womit die vertraulichen
Informationen bereits für den Angreifer zugänglich wurden.
6.5.4
Cross-Site Profile Cloning
Zusätzlich zum Profile Cloning-Angriff beschreibt die Forschergruppe einen Cross-Site Profile
Cloning-Angriff [57].
Ziel
Die Ziele beim Cross-Site Profile Cloning sind die Gleichen wie beim Profile Cloning. Es wird
beim Cross-Site Profile Cloning im Vergleich zum Profile Cloning eine höhere Effektivität und
ein geringerer Verdacht bei den Targets und Opfern erwartet.
Idee
Eine Verfeinerung des Profile Clonings ist das Cross-Site Profile Cloning. Die Idee ist, dass einige
Personen mehrere SNSs nutzen. Der Angriff überträgt das Profil in einem SNS auf ein anderes
SNS und kontaktiert dann Kontakte, die in beiden SNSs angemeldet sind. Im Gegensatz zum
Profile Cloning existieren nicht zwei gleiche Profile in einem SNS und weckt weniger Verdacht.
Dass sich ein Nutzer eines SNSs sich bei einem anderen SNS anmeldet, ist nicht ungewöhnlich.
Es wird daher vermutet, dass Cross-Site Profile Cloning-Angriffe höhere Erfolgsraten bei der Akzeptanz von Kontaktanfragen haben als normale Profile Cloning-Angriffe und Angriffe seltener
als solche erkannt werden.
Abbildung 6.8 illustriert einen Cross-Site Profile Cloning-Angriff. Es gibt zwei SNSs, SNS A
und SNS B. Die Ausgangssituation in SNS A ist wie beim Profile Cloning (Abbildung 6.8(a)).
Der Angreifer sucht sich A als zu klonendes Profil aus. Profil A hat in SNS A die Kontakte
B, C und D. Der Angreifer versucht im zweiten Schritt die Kontakte B, C und D in SNS B
zu finden. Er identifiziert die Kontakte B und D in SNS B (Abbildung 6.8(b)). Der Angreifer
überträgt nun die das Profil A aus SNS A in das SNS B (Abbildung 6.8(c)). Der Klon heißt
A’. Im nächsten Schritt werden Kontaktanfragen an die Kontakte in SNS B von Profil A’ aus
gesendet (Abbildung 6.8(d)). Kontakt B nimmt diese Kontaktfrage an (Abbildung 6.8(e)).
Der von der Forschergruppe entwickelte iCloner besitzt zusätzlich Funktionen für das Cross-Site
Profile Cloning. Dazu besitzt der iCloner einen Identity Matcher, der Profile in verschiedenen
SNSs vergleicht und versucht festzustellen, ob die Profile von der selben Person stammen. Die
notwendigen Routinen für eine Übertragung von Profilen von XING auf LinkedIn [65] wurden
implementiert. Wieder wurden fünf Profile mit dem Einverständnis der Profilbesitzer geklont.
Daraufhin wurden Kontaktanfragen an die Kontakte gesendet, die auf der Kontaktliste des
XING-Profils waren und gleichzeitig ein Profil auf LinkedIn besaßen. 78 Kontaktanfragen wurden
insgesamt gesendet, davon wurden 56%, also 44 akzeptiert.
23. Oktober 2009
Seite 97/109
(a) Ausgangssituation aus der Sicht des Angreifers
(b) Angreifer findet Kontakte von A in SNS
B
(c) Angreifer klont A und erzeugt A’ in SNS
B
(d) A’ stellt Kontaktanfragen an Kontakte
von A
(e) B hat Kontaktanfrage akzeptiert
Abbildung 6.8: Cross-Site Profile Cloning
23. Oktober 2009
Seite 98/109
Diskussion
Die gleichen Punkte, die unter Profile Cloning besprochen wurden, gelten auch beim Cross-Site
Profile Cloning. Beim Cross-Site Profile Cloning ist jedoch die Anzahl der möglichen Targets
allgemein kleiner als beim Profile Cloning. Die Kontakte müssen für den Angriff Profile bei den
zwei anvisierten SNSs besitzen und gleichzeitig sollte das geklonte Profil nicht bereits im zweiten
SNS vorhanden sein. Darüberhinaus muss der Angreifer einen höheren Aufwand betreiben, um
Profile vom ersten SNS auf das zweite SNS zu übertragen und um Profile zu vergleichen und
festzustellen, ob sie dem gleichen Besitzer gehören.
Eine höhere Effektivität gegenüber dem normalen Profile Cloning konnte mit dem Experiment
nicht belegt werden. Während Kontaktanfragen beim Cross-Site Profile Cloning zu 56% akzeptiert wurden, wurden Kontaktanfragen beim Profile Cloning zu mindestens 60% akzeptiert.
Diese Ergebnisse sind jedoch mit Vorsicht zu genießen. Erstens gelten die grundsätzlichen Einschränkungen empirischer Ergebnisse. Zweitens sind die Experimente nicht direkt miteinander
vergleichbar, unter anderem weil XING und LinkedIn auf geschäftliche und berufliche Zielgruppen ausgerichtet sind, in denen vermutlich mehr Wert auf Sicherheit gelegt wird.
6.5.5
Chatterbot-Angriffe
Ziel
Das Ziel des Angreifers von Chatterbot-Angriffen ist es, automatisiert Vertrauensbeziehungen zu
Targets aufzubauen, die ausgenutzt werden können, um beispielsweise vertrauliche Informationen
zu sammeln oder die Targets zu manipulieren.
Idee
Viele Menschen kommunizieren im Internet mit anderen, die sie außerhalb des Internets gar
nicht kennen. Manchmal entwickeln sie starke Vertrauensbeziehungen, in denen sie vertrauliche
Informationen austauschen oder Bitten und Gefallen des Gegenübers nachkommen. In manchen
Fällen werden über das Internet Vertrauensbeziehungen auch aufgebaut, obwohl sich die Gesprächspartner nur kaum kennen. Ein Chatterbot-Angriff will dieses Verhalten ausnutzen, indem
eine Vertrauensbeziehung durch ein Chatterbot aufgebaut werden soll. Diese Vertrauensbeziehung kann dann vom Angreifer ausgenutzt werden. Alle Schritte in einem Chatterbot-Angriff
können dabei automatisch ausgeführt werden.
Ein Beispiel für ein Chatterbot-Angriff ist ASEBot [56] (“Automated Social Engineering Robot”).
Es ist ein dedizierter Versuch typische Social Engineering-Angriffe in SNSs zu automatisieren. Es
wurde im Rahmen einer Masterarbeit entwickelt, um die Machbarkeit von automatischen Social
Engineering-Angriffen im SNS Facebook demonstrieren. ASEBot verfügt über ein Chatterbot,
der ein wesentlicher Bestandteil des Angriffs ist.
ASEBot orientiert sich an den Attack Cycle aus Nohlberg und Kowalskis Cycle of Deception
(Abschnitt 6.3.2). Abbildung 6.9 illustriert das Angriffsverhalten des ASEBots. Der Angriff nutzt
die persönlichen Informationen der Targets im SNS Facebook. Nachfolgend soll dieses Verhalten
kurz umrissen werden:
In der Phase Plan werden vom Angreifer die Parameter des Angriffs bestimmt. Es werden die
Targets des Angriffs bestimmt. Diese werden nach Kriterien wie Alter, Geschlecht, Familenstand,
zugehöriger Organisation usw. ausgesucht.
In der Phase Map & Bond wird nach diesen Targets in Facebook gesucht. Dabei werden die
persönlichen Angaben der Targets in Facebook durchforstet. Anschließend werden die Targets
23. Oktober 2009
Seite 99/109
mit einem Chatterbot kontaktiert, der eine fiktive Identität vorspielt. Dieser versucht eine Vertrauensbeziehung zu dem Target aufzubauen.
In der Phase Execute werden diese Vertrauensbeziehungen ausgenutzt. Der ASEBot sendet mit
einer fingierten Begründung entweder einen Link zu Malware oder einen Link zu einer Website,
in der das Target vertrauliche Informationen angeben muss.
In der Phase Recruit & Cloak wird anschließend des Facebook-Account ASEBots gelöscht, um
Spuren zu löschen (Cloak). Da das Opfer unter Umständen gar nicht merkt, dass es angegriffen
wurde, kann der ASEBot alternativ nach Kontakten des Opfers fragen (Recruit). Diese können
dann zu einem späteren Zeitpunkt angegriffen werden.
In der letzten Phase Evolve/Regress kann der ASEBot den Angriff auswerten.
In einer Studie sollte ein Angriff mit ASEBot simuliert werden. Die ursprünglich geplante Studie
mit dem ASEBot wurde aufgrund von ethischen Unklarheiten nicht ausgeführt. Da der Aufbau
der Studie die möglichen Ausmaße und Ideen eines Chatterbot-Angriffs demonstrieren, wird sie
trotzdem hier beschrieben.
Es wird ein Facebook-Profil einer fiktiven, ledigen Studentin aus Österreich (“Anna Fallstrick”)
erzeugt. Die Bilder in diesem Profil suggerieren die Attraktivität dieser Studentin. Der ASEBot
soll daraufhin zehn männliche Singles einer Zielorganisation (“Royal Institute of Awareness”)
kontaktieren. Die Nachricht ist in etwa wie folgt aufgebaut:
Hallo, ich habe gerade gesehen, dass du an der“Royal Institute of Awareness”studierst. (. . . ) Könntest
du mir helfen? Kennst du irgendein Masterprogramm auf Englisch, welches internationale Studenten
aufnimmt?.
Sollte die Zielperson darauf antworten, wird der eigentliche Angriff ausgeführt:
Meine Freundin ist Doktorantin im DSVLab und braucht Hilfe bei einer Studie. Hättest du Zeit für
eine vierstündige Studie über’s Telefon oder fünf Minuten für eine Web-Studie?
Diese Täuschung verwendet Cialdinis Prinzipien der Beeinflussung (Abschnitt 6.3.3). Die Erwähnung der Doktorantin vermittelt Autorität. Ein weiteres Cialdini-Prinzip ist das Anbieten
von zwei Möglichkeiten, für die sich der Angefragte entscheiden kann. Sie besteht aus einer
überzogenen Bitte, die wahrscheinlich abgelehnt wird (reject) und der eigentlichen Bitte, die
der Angefragte als Konzession eher annimmt (retreat). Hinter dem Link der Web-Studie könnte
sich Malware befinden oder die gesammelten vertraulichen Daten der Web-Studie könnten vom
Angreifer gesammelt werden.
Statt dieser beschriebenen Studie wurden zwei seperate Studien durchgeführt. Die erste Studie
testete die Data Mining-Fähigkeiten des ASEBots in Facebook. Es sollten männliche Singles von
fünf vorher festgelegten Organisationen durch den ASEBot identifiziert werden. Es wurden bei
der Ausführung insgesamt 42 mögliche Ziele gefunden, die diese Kriterien erfüllten.
Die zweite Studie war ein Turing-Test mit dem ASEbot. Dabei mussten die Testpersonen herausfinden, ob es sich beim Facebook-Gesprächspartner um eine reale Person oder ein Chatterbot
handelt. Die Testpersonen mussten sich nach jeweils drei von insgesamt neun Antworten die
Wahrscheinlichkeit angeben, ob es sich beim Gesprächspartner um ein Chatterbot handelt. Eine
Testgruppe bestehend aus zehn Studenten chattete mit dem Chatterbot Anna. Eine Kontrollgruppe, die ebenfalls aus zehn Studenten bestand, chattete mit der realen Person Julian. Im
Durchschnitt fand es die Kontrollgruppe zu 3.27% wahrscheinlich, dass Julian ein Chatterbot
ist. Dagegen fand es die Testgruppe im Durchschnitt zu 85.1% wahrscheinlich, dass Anna ein
Chatterbot ist.
23. Oktober 2009
Seite 100/109
Abbildung 6.9: Das Angriffsverhalten des ASEBots [56]
23. Oktober 2009
Seite 101/109
Diskussion
Chatterbot-Angriffe können alle Phasen in Mitnicks Social Engineering Cycle durchlaufen. Sie
zielen im Gegensatz zu den anderen Angriffen insbesondere auf Phase Developing rapport and
trust ab. Mit der Popularität von SNSs können Angreifer mit der Menge an im Internet zugreifbaren persönlichen Informationen Chatterbots effektiver gestalten.
Chatterbot-Angriffe sind noch nicht weit verbreitet. Nachrichtenmeldungen zufolge sollen jedoch
bereits erste Angriffe in der Praxis stattgefunden haben. Angeblich ist eine Frau Opfer eines
Angriffs des Chatterbots “Cyberlover” geworden. Demzufolge hat der Chatterbot das Opfer
dazu gebracht, Telefonnummer, Fotos und andere persönliche Informationen anzugeben [66].
6.6
6.6.1
Einschränkungen
Mensch-Maschine-Interaktion
Bots sind noch nicht besonders gut darin, Sprache zu verstehen und zu verwenden (Natural
Language Processing). Weiterhin ist vieles, was Menschen leicht fällt, wie das Erkennen von
Objekten in Bildern, für Bots schwer. Diese Einschränkung kann bei einer Interaktion mit Menschen auffallen und zum Scheitern von Angriffen führen. Außerdem können Gegenmaßnahmen
gezielt diese Einschränkungen bei der Abwehr von Bots ausnutzen.
6.7
6.7.1
Gegenmaßnahmen
Sensibilität des Computernutzers erhöhen
Menschen sind meistens in der Lage, Chatterbots und Sprachsynthese von echten Menschen zu
unterscheiden. Wenn ein Target sich der Gefahr durch Automated Social Engineering-Angriffe
bewusst ist, ist die Chance höher, dass er den Angriff abwehren kann.
6.7.2
Datensparsamkeit und Datenschutz
Automated Social Engineering-Angriffe können das Opfer besser täuschen, wenn Informationen
über ihn zur Verfügung stehen. Das Vorhandensein dieser Daten in strukturierter Form wie in
SNS ermöglichen erst groß angelegte Angriffe. Man könnte solche Angriffe gegen sich verhindern,
wenn man auf die Verwendung von SNSs verzichtet und seine Daten nicht preisgibt.
Einen großflächigen Verzicht auf die Nutzung von SNS ist allerdings nicht realistisch. SNS sind
aktuell für viele Jugendliche ein beliebtes Medium, das zum Alltag gehört. Auch können externe
Zwänge eine Teilnahme an SNSs erfordern. Weiterhin werden Daten auch außerhalb von SNS
immer mehr vernetzt und veröffentlicht, ohne dass man selbst Einfluss nehmen kann.
Einige SNSs bieten für ihre Nutzer verschiedene Einstellungen an, um ihre Daten nur berechtigten Kontakten zugänglich zu machen. Nicht alle Nutzer sehen die Gefahr darin, persönliche
Informationen für alle zugänglich zu machen oder kümmern sich nicht darum. Standardeinstellungen der SNSs sollten so sein, dass persönliche Informationen nur für Berechtigte zugänglich
sind. Ein Angriff darauf ist das beschriebene Profile Cloning.
6.7.3
Erkennung von Bots
CAPTCHAs (Completely Automated Public Turing test to tell Computers and Humans Apart)
verhindern Bots beim Zugriff auf Websites. Sie schützen also auch SNSs vor Automated Social
Engineering-Angriffe. Jedoch konnten Prototypen von Automated Social Engineering-Angriffen
die in populären SNSs verwendeten CAPTCHAs knacken (beispielsweise [57]). Ein Hindernis
23. Oktober 2009
Seite 102/109
für komplexere CAPTCHAs ist, dass sie das Lösen für den legitimen Nutzer erschweren oder
gar unmöglich machen, oder als störend empfunden werden. CAPTCHAs können für behinderte
Menschen (zum Beispiel Farbblinde) ein Problem darstellen: Die Website ist nicht barrierefrei
und diskriminiert Behinderte.
Außerdem können Websites das Nutzungsverhalten ihrer Benutzer analyisieren. Fallen Anomalien auf, wie zum Beispiel das exzessive Aufrufen vieler Seiten innerhalb einer kurzen Zeitspanne,
könnte der Zugriff gesperrt werden. Allerdings können das Bots umgehen, falls sie sich genauso
verhalten wie ein typischer Nutzer [56].
6.7.4
Überprüfen der Identität
Um Profile Cloning-Angriffe zu vermeiden, muss die Identität des Profilbesitzers überprüft werden. Beispielsweise könnte die Anmeldung eine bessere Authentifikation erfordern. Oft ist für
Anmeldungen nur eine E-Mail-Adresse nötig. Cross-Site Profile-Cloning Angriffe ließen sich verhindern, wenn es üblich wäre, dass man alle seine Profile an einer verlässlichen Stelle auflistet.
SNSs könnten ihr Netzwerk heuristisch nach Klonen durchsuchen und gegebenfalls Maßnahmen
einleiten. Die Aufgabe der Klonerkennung kann jedoch schwierig sein, wenn bei den Klonen bewusst einige Daten verändert werden. Zusätzlich könnte es sein, dass der wirkliche Profilbesitzer
ein neues Profil erzeugt, etwa weil er den alten Login vergessen hat und keinen Zugang mehr zu
seiner alten E-Mail hat.
6.7.5
Bekannte Methoden gegen Social Engineering
Bekannte Methoden gegen Social Engineering schützen auch gegen Automated Social Engineering. Diese bestehen jedoch zum größten Teil aus Policies für Angestellte, die in SecurityTrainings vorgestellt werden. Automated Social Engineering-Angriffe zielen jedoch auch auf
Privatpersonen in ihrem Alltag, für die man keine Policies oder Security-Trainings aufstellen
kann.
6.8
Diskussion
Bis jetzt sind außer dem Phishing keine großangelegten Automated Social Engineering-Angriffe
im Internet bekannt. Es bleibt die Frage, ob Automated Social Engineering eine reale Gefahr
darstellt. [57] merkt an, dass kriminelle Elemente sich schnell auf neue populäre Technologien im
Internet einstellen. Als Beispiel wird SPAM, Phishing, Malware im Anhang etc. bei der E-Mail
genannt oder bereits existierende Würmer in SNSs.
Ein weiterer Grund, wieso Automated Social Engineering-Angriffe in Zukunft wahrscheinlich
sind, liegt in der Motivation der Angreifer. Früher war technische Neugier ohne böswillige Absicht
Motivation für Angriffe im Internet. Heutzutage gibt es Kriminelle, die mit ihren Angriffen
Geld verdienen wollen, indem sie Kreditkarteninformationen stehlen, Opfer über das Internet
erpressen oder Wirtschaftsspionage betreiben. Diese Strukturen bestehen schon für Phishing und
es ist wahrscheinlich, dass sie weitere Automated Social Engineering-Angriffe aufnehmen, sofern
das technisch für sie möglich ist.
6.9
Fazit und Ausblick
Es wurde gezeigt, dass Automated Social Engineering eine mögliche zukünftige Bedrohung im
Internet ist, welches durch die zunehmende Veröffentlichung von persönlichen Daten begünstigt
wird. Diese Angriffe sind weniger gezielt als Social Engineering-Angriffe, können jedoch massenhaft gestartet werden. Sie sind eine Weiterentwicklung von Malware, Spambots und Phishing
23. Oktober 2009
Seite 103/109
und werden von Kriminellen benutzt, die mit ihren Angriffen Geld verdienen wollen. Es wurde
festgestellt, dass diese Angriffe Einschränkungen in der Mensch-Maschine-Interaktion haben und
Gegenmaßnahmen unter anderem diese Einschränkungen ausnutzen.
Weitere Arbeiten zum Automated Social Engineering können weitere Angriffe finden, sich detaillierter mit den hier vorgestellten Angriffen beschäftigen oder Gegenmaßnahmen wie CAPTCHAs
erforschen. Es können Modelle für das Automated Social Engineering entwickelt werden. Diese
können sich mit den Automated Social Engineering-Angriffen beschäftigen oder deren Abwehr
und Erkennung. Zugleich kann über die tatsächlichen Risiken durch das Automated Social Engineering diskutiert werden.
23. Oktober 2009
Seite 104/109
23. Oktober 2009
Seite 105/109
Literaturverzeichnis
[1] Gregor Conti and Edward Sobiesk, “An honest man has nothing to fear: user perceptions on
web-based information disclosure,” in Proceedings of the 3rd symposium on Usable privacy
and security. ACM, 2007, pp. 112–121.
[2] Knowledge@Wharton, “Privacy on the web: Is it a losing battle?,” Online, June 2008,
http://knowledge.wharton.upenn.edu/article.cfm?articleid=1999.
[3] Kristie Hawkey and Kori M. Inkpen, “Examining the content and privacy of web browsing
incidental information,” in Proceedings of the 15th international conference on World Wide
Web. ACM, May 2006, pp. 123–132.
[4] Balachander Krishnamurthy and Craig E. Wills, “Cat and mouse: Content delivery tradeoffs
in web access,” in Proceedings of the 15th international conference on World Wide Web.
ACM, May 2006, pp. 337–346.
[5] Michael M. Afergan et al.,
“Method of data collection among participating content providers in a distributed network,” Online, April 2008,
http://www.freepatentsonline.com/y2008/0092058.html.
[6] Edward W. Felten and Michael A. Schneider, “Timing attacks on web privacy,” in Proceedings of the 7th ACM conference on Computer and communications security. ACM, 2000,
pp. 25–32.
[7] Markus Jakobsson and Sid Stamm, “Invasive browser sniffing and countermeasures,” in
Proceedings of the 15th international conference on World Wide Web. ACM, 2006, pp.
523–532.
[8] Markus Jakobsson, Ari Juels, and Jacob Ratkiewicz, “Privacy preserving history mining
for web browsers,” in Web 2.0 Security and Privacy. IEEE, 2008.
[9] Oded Nov and Sunil Wattal, “Social computing privacy concerns: antecedents and effects,”
in Proceedings of the 27th international conference on Human factors in computing systems.
ACM, 2009, pp. 333–336.
[10] Pam Dixon, “Consumer tips: How to opt-out of cookies that track you,” Online, July 2008,
http://www.worldprivacyforum.org/cookieoptout.html.
[11] Collin Jackson et al., “Protecting browser state from web privacy attacks,” in Proceedings
of the 15th international conference on World Wide Web. ACM, 2006, pp. 737–744.
[12] Balachander Krishnamurthy, Delfina Malandrino, and Craig E. Wills, “Measuring privacy
loss and the impact of privacy protection in web browsing,” in Proceedings of the 3rd
symposium on Usable privacy and security. ACM, July 2007, pp. 52–63.
106
[13] Balachander Krishnamurthy and Craig E. Wills, “Generating a privacy footprint on the
internet,” in Proceedings of the 6th ACM SIGCOMM conference on Internet measurement.
ACM, 2006, pp. 65–70.
[14] Jeremy Clark, P. C. van Oorschot, and Carlisle Adams, “Usability of anonymous web
browsing: an examination of tor interfaces and deployability,” in Proceedings of the 3rd
symposium on Usable privacy and security. ACM, 2007, pp. 41–51.
[15] Gábor Gulyás, Róbert Schulcz, and Sándor Imre, “Comprehensive analysis of web privacy and anonymous web browsers: Are next generation services based on collaborative
filtering?,” Tech. Rep., Budapest University of Technology and Economics, 2004.
[16] M. C. Mont, S. Pearson, and P. Bramhall, “Towards accountable management of identity and privacy: sticky policies and enforceable tracing services,” in 14th International
Workshop on Database and Expert Systems Applications. IEEE, 2003, pp. 377–382.
[17] Mihai Christodorescu, “Private use of untrusted web servers via opportunistic encryption,”
in Web 2.0 Security and Privacy. IEEE, 2008.
[18] Il-Horn Hann et al., “Online information privacy: Measuring the cost-benefit trade-off,” in
Twenty-Third International Conference on Information Systems, 2002.
[19] Balachander Krishnamurthy and Craig E. Wills, “Privacy diffusion on the web: a longitudinal perspective,” in Proceedings of the 18th international conference on World wide web.
ACM, 2009, pp. 541–550.
[20] A. Mislove, M. Marcon, K.P. Gummadi, P. Druschel, and B. Bhattacharjee, “Measurement and analysis of online social networks,” in Proceedings of the 7th ACM SIGCOMM
conference on Internet measurement. ACM New York, NY, USA, 2007, pp. 29–42.
[21] AL Barabasi, H. Jeong, Z. Neda, E. Ravasz, A. Schubert, and T. Vicsek, “Evolution of
the social network of scientific collaborations,” Physica A: Statistical Mechanics and its
Applications, vol. 311, no. 3-4, pp. 590–614, 2002.
[22] Jure Leskovec and Eric Horvitz, “Planetary-Scale Views on an Instant-Messaging Network,”
Tech. Rep., Microsoft Research, June 2007.
[23] J. Leskovec, L. Backstrom, R. Kumar, and A. Tomkins, “Microscopic evolution of social
networks,” 2008.
[24] L. Backstrom, D. Huttenlocher, J. Kleinberg, and X. Lan, “Group formation in large social
networks: membership, growth, and evolution,” in Proceedings of the 12th ACM SIGKDD
international conference on Knowledge discovery and data mining. ACM New York, NY,
USA, 2006, pp. 44–54.
[25] M. Hay, G. Miklau, D. Jensen, D. Towsley, and P. Weis, “Resisting structural reidentification in anonymized social networks,” Proceedings of the VLDB Endowment archive,
vol. 1, no. 1, pp. 102–114, 2008.
[26] M. Hay, G. Miklau, D. Jensen, P. Weis, and S. Srivastava, “Anonymizing social networks,”
University of Massachusetts Technical Report, pp. 07–19, 2007.
[27] L. Backstrom, C. Dwork, and J. Kleinberg, “Wherefore art thou r3579x?: anonymized
social networks, hidden patterns, and structural steganography,” in Proceedings of the 16th
international conference on World Wide Web. ACM New York, NY, USA, 2007, pp. 181–
190.
23. Oktober 2009
Seite 107/109
[28] A. Narayanan and V. Shmatikov, “De-anonymizing social networks,” Imprint, 2009.
[29] K.B. Frikken and P. Golle, “Private social network analysis: How to assemble pieces of a
graph privately,” in Proceedings of the 5th ACM workshop on Privacy in electronic society.
ACM New York, NY, USA, 2006, pp. 89–98.
[30] E. Zheleva and L. Getoor, “Preserving the privacy of sensitive relationships in graph data,”
Lecture Notes in Computer Science, vol. 4980, pp. 153, 2008.
[31] K. Liu and E. Terzi, “Towards identity anonymization on graphs,” in Proceedings of the
2008 ACM SIGMOD international conference on Management of data. ACM New York,
NY, USA, 2008, pp. 93–106.
[32] Johannes Buchmann, Einführung in die Kryptographie, 4., erweiterte Auflage, SpringerVerlag, 2007.
[33] Aviel D. Rubin: Crowds Michael K. Reiter, “Anonymity for web transactions,” ACM
Transactions on Information and system security, 1998.
[34] David Wagner Ian Goldberg, “Taz servers and the rewebber network: Enabling anonymous
publishing on the world wide web,” 1999, Communications of the ACM, Vol. 42.
[35] Bogdan C. Popescu, Bruno Crispo, and Andrew S. Tanenbaum, “Safe and Private Data
Sharing with Turtle: Friends Team-Up and Beat the System,” Tech. Rep., Vrije Universiteit
Amsterdam, Apr. 2004.
[36] Paul Syverson Roger Dingledine, Nick Mathewson, “Tor: The second-generation onion
router,” in Proceedings of the USENIX Security Symposium, Vol. 13, 2004.
[37] David M. Goldschlag Michael G. Reed, Paul F. Syverson, “Proxies for anonymous routing,”
Communications of the ACM, 1999.
[38] Michael J. Freedman and Robert Morris, “Tarzan: a peer-to-peer anonymizing network
layer,” in Conference on Computer and Communications Security., 2002.
[39] Stanley Milgram, “The Small World Problem,” in Psychology Today, pp. 60–67. May 1967.
[40] Jon Kleinberg, “The Small-World Phenomenon: An Algorithmic Perspective,” in Proceedings
of the 32nd ACM Symposium on Theory of Computing, 2000.
[41] Oskar Sandberg, “Distributed Routing in Small-World Networks,” Tech. Rep., Chalmers
Technical University and Gothenburg University, Dec. 2005.
[42] Ian Clarke, “A Distributed Decentralised Information Storage and Retrieval System,” Tech.
Rep., University of Edinburgh, 1999.
[43] Tomas Isdal, Michael Piatek, Arvind Krishnamurthy, and Thomas Anderson, “Friend-tofriend data sharing with OneSwarm,” Tech. Rep., University of Washington, Feb. 2009.
[44] Petr Matejka, “Security in Peer-to-Peer Networks,” M.S. thesis, Charles University, Prag,
Dec. 2004.
[45] Ian Clarke and Oskar Sandberg, “Covert Communication in a Dark P2P Network: A major
new version of Freenet,” 22. Chaos Communication Congress, Berlin, Dec. 2005.
[46] Nathan S. Evans, “Pitch Black. Routing in the Dark,” Colorado Research Institute of
Security and Privacy.
23. Oktober 2009
Seite 108/109
[47] M. Bishop, Computer Security: Art and Science, Addison-Wesley, 2003.
[48] K.D. Mitnick, W.L. Simon, and S. Wozniak, The art of deception: Controlling the human
element of security, John Wiley & Sons Inc, 2002.
[49] M. Nohlberg, “Why Humans are the Weakest Link,” Social and Human Elements of Information Security: Emerging Trends and Countermeasures, p. 15, 2008.
[50] “Facebook,” http://www.facebook.com.
[51] “StudiVerzeichnis,” http://www.studivz.de.
[52] “XING,” http://www.xing.com.
[53] J. Weizenbaum, “ELIZA—a computer program for the study of natural language communication between man and machine,” Commun. ACM, vol. 9, pp. 1, 1966.
[54] A.M. Turing, “Computing machinery and intelligence,” Mind, vol. 59, no. 236, pp. 433–460,
1950.
[55] M. Nohlberg, S. Kowalski, and M. Huber, “Measuring Readiness for Automated Social
Engineering,” in Proceedings of the 7th Annual Security Conference, 2008.
[56] M Huber, “Automated Social Engineering,” M.S. thesis, Royal Institute of Technology,
2009.
[57] L. Bilge, T. Strufe, D. Balzarotti, and E. Kirda, “All your contacts are belong to us:
automated identity theft attacks on social networks,” in Proceedings of the 18th international
conference on World wide web. ACM New York, NY, USA, 2009, pp. 551–560.
[58] T.N. Jagatic, N.A. Johnson, M. Jakobsson, and F. Menczer, “Social phishing,” Communications of the ACM, vol. 50, no. 10, pp. 94–100, 2007.
[59] M. Nohlberg and S. Kowalski, “The Cycle of Deception-A Model of Social Engineering
Attacks, Defences and Victims,” in Proceedings of the Second International Symposium on
Human Aspects of Information Security & Assurance (HAISA 2008). Lulu. com, 2008, p. 1.
[60] R.B. Cialdini, “Compliance principles of compliance professionals: Psychologists of necessity,” Social influence, vol. 5, pp. 165–183, 1987.
[61] N. Ianelli and A. Hackworth, “Botnets as a vehicle for online crime,” CERT Coordination
Center, 2005.
[62] “PayPal,” http://www.paypal.com.
[63] M. Jakobsson, “Modeling and preventing phishing attacks,” LECTURE NOTES IN COMPUTER SCIENCE, vol. 3570, pp. 89, 2005.
[64] “eBay,” http://www.ebay.de.
[65] “LinkedIn,” http://www.linkedin.com.
[66] T. O’Brien,
“Chat bot tricking women into disclosing personal information,”
http://www.switched.com/2007/12/17/chat-bot-tricking-women-into-disclosing-personalinformation/, 12 2007, News report.
23. Oktober 2009
Seite 109/109

Seminarband im Fachgebiet Peer-to-Peer

Transcription

Similar documents

Seminarausarbeitung Filesharing

PDF, 3.0 MB - Fraunhofer SIT - Fraunhofer

Soccer Analytics - Universität Konstanz

Abschlussarbeit Evaluierung von ausgewählten - www2.inf.h

MitMachProgramm - ver.di – Bezirk Stuttgart

Sammelband - Deutsches Institut für Entwicklungspolitik

grundlagen der computernutzung

Workshop IT-Sicherheit

uncorrected proof - Hannah-Arendt

Stylebook for Tübingen Treebank - Seminar für Sprachwissenschaft

Social Networks - Universität Oldenburg