NMI14 Pavel Schamberger - Cookieless Monster: Fingerprinting zařízení skrze webový prohlížeč

transcript

WEB BASED DEVICE FINGERPRINTING*

*cookieless edition

08.02.2014#NMI148

COOKIES● 1994 - Lou Montulli (Netscape Comm.)

● session, persistent, secure, httponly● third-party, supercookie, zombie...

● ⅓ uživatelů maže cookies v průběhu 1 měsíce

Identifikace zařízení● Cookieless - jde to i bez cookies! ● Fingerprinting - 2009 (DNT)

● Platforma, rozlišení, timezone, fonty, pluginy…

● Pasivní vs aktivní● Konstruktivní vs destruktivní

How Unique is Your Browser?

● Peter EckersleyElectronic Frontier Foundation (2010)

https://panopticlick.eff.org/

● open-source fingerprinting software

ECKERSLEY, Peter. How Unique Is Your Web Browser?. In: ATALLAH, Mikhail J a Nicholas J HOPPER. Privacy enhancing technologies: 10th international symposium, PETS 2010, Berlin, Germany

● 94.2% prohlížečů s Javou a Flashem unikátní ve vzorku 286,777.

● 99.1% po změně správně detekováno

● V průměrů přes 18 bitů identifikačních informací

You are so special to me ♪♪♪

Identifikační informace● Jméno + adresa?● dr. Latanya Sweeney (2007): “ZIP + DoB +

gender identifies almost all US residents”

● 7 miliard lidí○ okolo ~20 000 (50 000) na jedno PSČ○ děleno 365 pro den narození○ děleno ~70 pro rok narození○ děleno 2 pro pohlaví

Identifikační informaceK identifikaci osoby potřebujeme 33bitů

log2 7 miliard = 33 bitů

Narozeniny:log2 365.25 = 8.59 bitů(1. duben = 8.51 bitů / 29. únor = 10.51 bitů)

NIKIFORAKIS, Nick, Alexandros KAPRAVELOS, Wouter JOOSEN, Christopher KRUEGEL, Frank PIESSENS a Giovanni VIGNA. Cookieless Monster: Exploring the Ecosystem of Web-Based Device Fingerprinting. 2013 IEEE Symposium on Security and Privacy [online]. IEEE, 2013, s. 541-555

Alexa top 10,000 - 40 webů (0.4%)● Pornography 15%● Personals/Dating 12.5%● Skype.com

NIKIFORAKIS, Nick, Alexandros KAPRAVELOS, Wouter JOOSEN, Christopher KRUEGEL, Frank PIESSENS a Giovanni VIGNA. Cookieless Monster: Exploring the Ecosystem of Web-Based Device Fingerprinting. 2013 IEEE Symposium on Security and Privacy [online]. IEEE, 2013, s. 541-555

Jak se bránit?● “The anonymity set is the set of all possible

subjects who might cause an action...”- Andreas Pfitzmann

● Tor Browser Bundle (TorButton)● NoScript● iPhone & Android

Děkuji za pozornost!

NMI14 Pavel Schamberger - Cookieless Monster: Fingerprinting zařízení skrze webový prohlížeč

Technology