MIT-Kurs "Sicherheit von Computersystemen". Vortrag 18: "Privates Surfen im Internet", Teil 2

Ursprünglicher Autor: Nikolai Zeldovich, James Mykens
  • Übersetzung
  • Tutorial

Massachusetts Institute of Technology. Vorlesung # 6.858. "Sicherheit von Computersystemen." Nikolai Zeldovich, James Mykens. 2014


Computer Systems Security ist ein Kurs zur Entwicklung und Implementierung sicherer Computersysteme. Die Vorträge behandeln Bedrohungsmodelle, Angriffe, die die Sicherheit gefährden, und Sicherheitsmethoden, die auf der neuesten wissenschaftlichen Arbeit basieren. Zu den Themen gehören Sicherheit des Betriebssystems (Betriebssystem), Funktionen, Informationsflusssteuerung, Sprachsicherheit, Netzwerkprotokolle, Hardwareschutz und Sicherheit in Webanwendungen.

Vorlesung 1: "Einführung: Bedrohungsmodelle" Teil 1 / Teil 2 / Teil 3
Vorlesung 2: "Kontrolle von Hackerangriffen" Teil 1 / Teil 2 / Teil 3
Vorlesung 3: "Pufferüberlauf: Exploits und Schutz" Teil 1 /Teil 2 / Teil 3
Vorlesung 4: "Privilegienseparation" Teil 1 / Teil 2 / Teil 3
Vorlesung 5: "Woher kommen die Fehler des Sicherheitssystems" Teil 1 / Teil 2
Vorlesung 6: "Fähigkeiten" Teil 1 / Teil 2 / Teil 3
Vorlesung 7: "Native Client Sandbox" Teil 1 / Teil 2 / Teil 3
Vorlesung 8: "Netzwerksicherheitsmodell" Teil 1 / Teil 2 / Teil 3
Vorlesung 9: "Web Application Security" Teil 1 / Teil 2/ Teil 3
Vorlesung 10: "Symbolische Ausführung" Teil 1 / Teil 2 / Teil 3
Vorlesung 11: "Ur / Web-Programmiersprache" Teil 1 / Teil 2 / Teil 3
Vorlesung 12: "Netzwerksicherheit" Teil 1 / Teil 2 / Teil 3
Vorlesung 13: "Netzwerkprotokolle" Teil 1 / Teil 2 / Teil 3
Vorlesung 14: "SSL und HTTPS" Teil 1 / Teil 2 / Teil 3
Vorlesung 15: "Medizinische Software" Teil 1 / Teil 2/ Teil 3
Vorlesung 16: "Angriffe durch einen Seitenkanal" Teil 1 / Teil 2 / Teil 3
Vorlesung 17: "Benutzerauthentifizierung" Teil 1 / Teil 2 / Teil 3
Vorlesung 18: "Private Internet Viewing" Teil 1 / Teil 2 / Teil 3

Hält jemand dies für ein mögliches Problem? Das erste Problem ist, dass sich die Leute immer über die Leistung beschweren, wenn es um die Sicherheit geht. Wenn Sie den Speicher zurücksetzen und Ihr Programm durch die Funktionen des E / A-Geräts eingeschränkt ist, ist dies kein Problem. Sie müssen nur warten, bis die mechanischen Teile der Festplatte oder etwas anderes funktionieren.



Stellen Sie sich jedoch vor, dass Ihr Programm an einen Prozessor gebunden ist und möglicherweise sehr intensiv mit dem Arbeitsspeicher interagiert, indem Sie Daten zuordnen und freigeben. In diesem Fall kann das Zurücksetzen des Speichers die Systemleistung erheblich beeinträchtigen und geht zu Lasten der Sicherheit, die Sie nicht bezahlen möchten. Dies ist in der Praxis normalerweise kein Problem. Aber wie wir alle wissen, schätzen die Leute die Leistung wirklich, daher wird die Option zum Zurücksetzen des Speichers sicherlich auf Einwände stoßen.

Eine Alternative zum Nullstellen des Speichers kann das Verschlüsseln von Daten sein, die zum permanenten Speichern empfangen werden. Das heißt, die Daten werden verschlüsselt, bevor die Anwendung sie auf die SSD oder die Festplatte schreibt. Wenn dann vom Programm Daten aus einem stabilen Repository angefordert werden, werden sie dynamisch entschlüsselt, bevor sie im RAM gespeichert werden. Bei dieser Schutzmethode ist es interessant, dass der Angreifer diese Daten nicht von der Festplatte wiederherstellen kann, wenn Sie den Schlüssel wegwerfen, der zum Ver- und Entschlüsseln von Daten verwendet wurde. Es setzt voraus, dass Sie der Kryptographie absolut vertrauen.

Es ist also sehr, sehr gut, weil es uns die Möglichkeit gibt, sich nicht alle Orte zu merken, an denen Sie diese verschlüsselten Daten schreiben. Sie fragen sich vielleicht, warum die Schlüssel weggeworfen werden, weil wir einfach alle verschlüsselten Daten als etwas betrachten, das wieder ausgewählt werden kann.

Betrachten Sie beispielsweise das Open BSD-Betriebssystem, in dem eine Swap-Verschlüsselungsoption verfügbar ist. So können Sie Schlüssel mit verschiedenen Abschnitten der Auslagerungsdatei verknüpfen, d. H., Was ich erwähnt habe, geschieht. Jedes Mal, wenn Sie Ihren Computer starten, generiert dieses Betriebssystem eine Reihe neuer Schlüssel. Nachdem der Computer ausgeschaltet oder neu gestartet wurde, vergisst er alle zum Verschlüsseln des Auslagerungsbereichs verwendeten Schlüssel. Man kann sagen, dass der Swap jetzt für die Wiederverwendung verfügbar ist und da diese Schlüssel vergessen werden, kann davon ausgegangen werden, dass der Angreifer nicht in der Lage ist, die dort gespeicherten Dinge zu erreichen.



Student: Wie wird die Entropie dieser Schlüssel zugewiesen und können sie entschlüsselt werden?

Professor:das ist eine gute frage. Ich weiß nicht, welche Ressourcen der Entropie hier verwendet werden. Open BSD hat Sicherheitsparanoia. Daher gehe ich davon aus, dass beispielsweise der Entropiepool, der aus Benutzereingaben über die Tastatur des Benutzers erfasst wird, und andere ähnliche Dinge berücksichtigt wird. Ich weiß nicht, wie dieses Betriebssystem die Schlüssel verwaltet. Sie haben jedoch absolut Recht, dass, wenn die verwendeten Entropieressourcen vorhersehbar sind, der Entropieraum des Schlüssels selbst komprimiert wird, was ihn anfälliger macht.

Im Prinzip bietet dieses Modell nur eine Swap-Verschlüsselung, d. H. Es wird davon ausgegangen, dass RAM-Seiten für Schlüssel niemals aus dem Speicher entladen werden. Im Betriebssystem ist das ganz einfach, wenn Sie diese Seite einfach im Arbeitsspeicher reparieren. Es hilft auch nicht, etwas mit jemandem zu tun, der Kontakte zum Speicherbus hat, oder mit jemandem, der auf der Kernel-Speicherseite oder Ähnlichem „laufen“ kann.

Student: Aus Sicht des Browsens hilft es, sich gegen Eindringlinge zu schützen, die nach einer privaten Betrachtung kommen, denn wenn Sie den Schlüssel wegwerfen müssen, bleibt er nicht im Speicher.

Professor: Ganz richtig. Das Gute daran ist, dass die Swap-Verschlüsselung im Wesentlichen keine Änderungen in den Anwendungen erfordert.

Student:etwas zurückgehen - Wenn Sie sich die Daten ansehen, bevor sie in den RAM-Speicher gelangen, gibt es dann noch Speicherartefakte?

Professor:Wenn ich Ihre Frage richtig verstehe, stört es Sie, dass die Daten zwar auf der Festplatte verschlüsselt sind, sich jedoch im Klartext im Speicher befinden. Zurück zur Diskussion des Verschlüsselungsaustauschs. Die verschlüsselte Übertragung von Daten auf die Festplatte schützt nicht vor einem Angreifer, der RAM in Echtzeit anzeigen kann. Wenn Sie also nur nach einer privaten Browsersitzung, die den RAM nicht in Echtzeit anzeigen kann, Angst vor einem Angreifer haben, funktioniert dies einwandfrei. Aber Sie haben definitiv Recht, dass es - mangels eines besseren Begriffs, sagen wir - keine RAM-Verschlüsselung bietet. Es gibt einige Forschungssysteme, die versuchen, so etwas zu tun. Dies ist etwas komplizierter, da Ihr Prozessor irgendwann beim Zugriff auf Ihre Hardware etwas mit echten Daten tun muss. Zum Beispiel

Es gibt auch einige interessante Forschungssysteme, die versuchen, Berechnungen basierend auf verschlüsselten Daten durchzuführen. Es explodiert das Gehirn wie der Film "The Matrix". Es genügt jedoch zu sagen, dass der Datenschutz im RAM normalerweise viel schwächer ist als der Schutz von Daten, die auf stabilen Laufwerken gespeichert sind. Noch Fragen?



Student: Wir sprachen über den Angreifer, der nach dem Ende der Privatbesichtigungssitzung handelt. Wenn Sie jedoch eine öffentliche Registerkarte und eine private Registerkarte in Ihrem Browser haben und nach dem Schließen der Registerkarte "Private Viewing" die Registerkarte "Public Viewing" weiterhin geöffnet bleibt, kann ein Hacker durch diese Funktion zu den Speicherartefakten gelangen?

Professor:Dies ist eine interessante Frage, und am Ende der Vorlesung werden wir über eine ähnliche Angriffsmethode sprechen. Tatsache ist, dass die meisten Bedrohungsmodelle im privaten Anzeigemodus die Anwesenheit eines Angreifers nicht in Echtzeit annehmen. Mit anderen Worten, sie gehen davon aus, dass Sie, wenn Sie eine private Anzeige machen, gleichzeitig keine andere Person haben, die über eine Registerkarte für öffentliches Ansehen oder ähnliches verfügt. In der Tat haben Sie Recht, dass die Art und Weise, wie privates Surfen häufig implementiert wird, nicht ausreichend geschützt ist.

Angenommen, Sie öffnen eine Registerkarte für die private Anzeige und schließen nach einer Weile, um eine Tasse Kaffee zu trinken. Firefox speichert jedoch beispielsweise Statistiken wie die Speicherzuordnung. Wenn also der Speicher für die Registerkarte "Privates Durchsuchen" zusammen mit dem gesamten vom Browser gesammelten Müll angezeigt wird, kann ich die besuchten URLs usw. in Ihrer Registerkarte sehen. Kurz gesagt, die meisten Angreifer-Modelle gehen nicht davon aus, dass sich ein Angreifer zu der Zeit befindet, zu der Sie damit beschäftigt sind, privat im Internet zu surfen.

Daher ist die Swap-Verschlüsselung eine nützliche Sache, da sie einige recht interessante Sicherheitsfunktionen bietet, ohne dass der Browser oder die darauf laufenden Anwendungen geändert werden müssen. In der Praxis sind die Kosten für die Verwendung eines Prozessors beim Verschlüsseln eines Swap weitaus geringer als die tatsächlichen Kosten für E / A-Vorgänge insgesamt, insbesondere wenn Sie eine Festplatte haben, da Sie zusammen mit der Festplatte ihre Leistung einkaufen. Dies ist die Kosten für rein mechanische Teile ("Hardware"), daher ist die Swap-Verschlüsselung keine so große Auswirkung auf die Leistung.

Der nächste Angreifer, den wir uns ansehen werden, ist der Web-Angreifer, den ich zu Beginn der Vorlesung erwähnt habe. Dabei wird davon ausgegangen, dass der Angreifer die Website kontrolliert, die der Benutzer im privaten Browsermodus besuchen möchte. Dieser Angreifer kontrolliert jedoch nicht den lokalen Computer des Benutzers. Dabei verfolgen wir zwei Sicherheitsziele, um sich vor Angriffen aus dem Internet zu schützen.

Erstens möchten wir nicht, dass ein Angreifer Benutzer identifiziert. Identifikation bedeutet, dass ein Angreifer einen Benutzer von einem anderen Benutzer unterscheiden kann, der seine Site besucht.

Zweitens soll der Angreifer nicht wissen lassen, ob der Benutzer den privaten Anzeigemodus verwendet oder nicht. Laut einem Vortragsartikel ist der Schutz vor einem Web-Angreifer eine ziemlich kluge Aufgabe.

Was bedeutet es also, verschiedene Benutzer zu identifizieren? Wie gesagt, im globalen Sinne können Sie sich vorstellen, dass ein Benutzer genauso aussieht wie alle anderen Benutzer, die diese Website besuchen. Angenommen, ein Web-Angreifer möchte eine der beiden folgenden Aufgaben ausführen. Der erste sieht folgendermaßen aus: „Ich sehe, dass mehrere Personen meine Website im privaten Browsermodus besucht haben und Sie der fünfte, siebte und achte Besucher waren.“ Mit anderen Worten, es handelt sich um eine Benutzeridentifizierung im Zusammenhang mit mehreren privaten Browsersitzungen.



Die zweite Sache, die ein Angreifer möchte, ist der Versuch, den Benutzer mit öffentlichen Sitzungen im öffentlichen und privaten Modus zu verbinden. Angenommen, ich gehe in der öffentlichen Ansicht auf amazon.com und das zweite Mal in der privaten Ansicht. Findet der Angreifer wirklich heraus, dass derselbe Benutzer beide Besuche auf der Website durchgeführt hat?

Student: aber das ist alles an IP-Adressen gebunden?

Professor:Ja, ganz richtig. Dies ist eine großartige Annahme, daher wage ich zu vermuten, dass der Benutzer in unserem Fall kein Tor oder ähnliches verwendet. Ja, wir können auf der IP-Adresse des Benutzers aufbauen. Es ist leicht, anhand der IP-Adresse zu identifizieren. Wenn die Site innerhalb kurzer Zeit von derselben IP-Adresse zweimal besucht wird, ist es sehr wahrscheinlich, dass derselbe Benutzer dies tat.

Tatsächlich dient es als Motivation, Dinge wie Tor zu verwenden. Wir werden dieses Thema in der nächsten Vorlesung diskutieren. Wenn Sie noch nichts von Tor gehört haben, sage ich, dass dies im Grunde ein Tool ist, das versucht, Dinge wie Ihre IP-Adresse zu verbergen. Sie können sich den Browser als eine Sammlung von Ebenen vorstellen, die auf Tor basiert, und darüber hinaus haben Sie einen privaten Browsermodus. Dies kann Ihnen solche Vorteile bieten, die der private Modus überhaupt nicht bieten kann. Tor bietet also ein gewisses Gefühl der Anonymität einer IP-Adresse, ist jedoch nicht in der Lage, die Geheimhaltung der Daten, eine bestimmte Zeit ihres Lebens oder ähnliches sicherzustellen. Sie können „Thor“ als notwendige, aber nicht ausreichende Bedingung für die vollständige Implementierung des privaten Internet-Browsermodus betrachten.

Das Interessante daran ist, dass der Webserver den Benutzer anhand der einzigartigen Eigenschaften dieses Browsers auch dann identifizieren kann, wenn Sie Tor verwenden.



Jetzt zeige ich Ihnen die neueste Demo für heute. Mal sehen, wie ich eine Site namens Panopticlick benutze. Einige von Ihnen haben von dieser Site gehört. Dies ist ein Online-Projekt der EFF - Electronic Frontier Foundation, der Electronic Frontier Foundation. Die Hauptidee des Projekts besteht darin, dass Sie versuchen, Sie als Benutzer zu identifizieren, indem Sie verschiedene Merkmale Ihres Webbrowsers analysieren. Ich zeige dir genau was ich meine. Wir gehen auf diese Seite, Sie sehen den Button "Test me" und ich klicke darauf.



Im Grunde läuft eine Reihe von Javascript-Code, vielleicht einige Applets und etwas Java.

Diese Website versucht, einen Fingerabdruck von meinem Browser abzurufen und herauszufinden, wie viele eindeutige Informationen er hat.

Lassen Sie mich die Schrift vergrößern - Sie sehen, dass eines der Dinge, die er herausfinden möchte, die Details der von mir verwendeten Browser-Plugins ist. Im Grunde wird bei diesem Test Code ausgeführt, der überprüft, ob ich Flash installiert habe, welche Version von Flash installiert ist, ob Java installiert ist und welche Version es hat.



Sie sehen, dass all diese Plugins nicht einmal gleichzeitig auf den gleichen Bildschirm passen. Dies sind alles verschiedene Plugins und Dateiformate, die mein Browser unterstützt. Im globalen Sinne sollte dies Sie beunruhigen, wenn Sie eine "Sicherheitsperson" sind. Wenn ich all diese Dinge zu einem bestimmten Zeitpunkt wirklich aktiv verwende, dann ist dies nur ein Albtraum!



Letztendlich kann ein Webserver oder ein Angreifer nach dem hier gezeigten Code suchen und herausfinden, welche Plugins Ihr Browser verwendet. Wenn Sie nun diese beiden Spalten auf der linken Seite betrachten, was ist das?



Die erste Spalte enthält die Bits der identifizierten Informationen. Die nächste Spalte ist interessanter - sie zeigt, dass nur einer von einer bestimmten Anzahl von Browsern denselben Satz an Plug-Ins enthält. In diesem Fall handelt es sich um einen von 27679 Browsern. Dies ist also eine ziemlich spezifische Methode, um meine Fingerabdrücke zu erhalten. Diese Zahl gibt an, dass es sehr, sehr wenige Benutzer gibt, deren Browser genau die gleichen Plug-Ins und Dateikonfigurationen enthält.
Wie sich herausstellte, haben sie recht, ich bin eine völlig einzigartige Person, aber in der Zukunft entsteht ein großes Sicherheitsproblem. Sehen Sie sich die restlichen Testergebnisse an.



Hier ist die Bildschirmauflösung und die Farbtiefe meines Laptops, einer auf 1,5 Millionen Computern. Dies ist eine ziemlich schockierende Entdeckung, da nur eine Person in einer Stichprobe von anderthalb Millionen Benutzern über solche Bildschirmmerkmale verfügt.
Diese Dinge sind also in gewissem Sinne additiv. Je mehr Ausdrucke, desto leichter kann ein Angreifer herausfinden, dass Sie seine Site besucht haben. Beachten Sie, dass dies ausschließlich vom Server durchgeführt wurde. Ich ging einfach zu dieser Seite und drückte einen Knopf, und das war es, worauf sie gelangten. Nur eine Sekunde, ich möchte noch etwas zeigen. Der Login auf der Site Panopticlick erfolgte im privaten Modus. Jetzt werde ich die Adresse aus der Adressleiste kopieren und die reguläre, öffentliche Version von Firefox öffnen. Danach werde ich diesen Test erneut durchführen.

Ich werde noch einmal darauf hinweisen - ich bin jetzt in einem öffentlichen Browsermodus und davor war ich im privaten Modus. Wenn Sie sich Browser-Plugins anschauen, bleibt der Index für die Eindeutigkeit der Fingerabdrücke des Browsers nahezu gleich - 27679.82 gegenüber 27679.68. Dieser Unterschied besteht aus mehreren Plugins, die je nach Implementierung des Datenschutzmodus geladen werden können. Aber Look - Fingerprinting ist immer noch einfach. Betrachten Sie die Bildschirmgröße und Farbtiefe - diese Zahlen unterscheiden sich nicht zwischen öffentlichen und privaten Anzeigemodi.

Die Möglichkeit, Fingerabdrücke in beiden Modi zu hinterlassen, ist also ungefähr gleich. Dies ist einer der Gründe, warum es so schwierig ist, sich vor einem solchen Webangriff zu schützen, da die Browser selbst in ihrer Konfiguration eine Vielzahl von Informationen zur Identifizierung durch den Angreifer enthalten.

Student: Ich bin neugierig auf die Bildschirmgröße und die Farbtiefe. Wie ist das passiert? Warum sind sie so einzigartig? Wie viele Bildschirmgrößen und Farbtiefen gibt es?

Professor:Ich glaube, er versteckt sich hier tatsächlich als Teil der Magie, mit der Panopticlick herausfindet, was es ist. Wie funktionieren viele dieser Tests weltweit? Es gibt einige Teile Ihres Browsers, die nur mit JavaScript-Code angezeigt werden. Sie können sich also vorstellen, dass der JavaScript-Code die Eigenschaften des Fensterobjekts betrachtet, bei dem es sich um ein dreidimensionales Bild von JavaScript handelt, und wie der Code im Fenster dieses fremde Widget, das benachbarte Widget, den Textteil, Plug-Ins usw. kennzeichnet. Solche Seiten nutzen normalerweise auch die Tatsache, dass Java-Applets und Flash-Objekte nach interessanteren Dingen suchen können, z. B. auf Ihrem Computer verfügbare Schriftarten und dergleichen. Deshalb denke ich persönlich

Daher denke ich, dass dieser Indikator tatsächlich mehr enthält als nur die Bildschirmgröße und Farbtiefe, sie verkürzen den Namen einfach auf diese Art.

So arbeiten alle diese Techniken auf hohem Niveau. Sie sehen also eine Reihe von Informationen, in denen Sie sich mit JavaScript vertraut machen können. Dann führen Sie eine Reihe von Plugins aus, die in der Regel auf mehr Dinge zugreifen können und sehen, was sie finden können. Danach können Sie ein Gesamtbild der Vorgänge erstellen.

Das ist klar? Deshalb ist es so schwierig, einen Angreifer über das Netzwerk zu verteidigen. Ich möchte insbesondere auf die Diskussion über Tor zurückkommen, selbst wenn ich mit dem Test über Tor begonnen habe - und Sie sehen, dass während dieses Tests die IP-Adresse immer noch nicht ermittelt wird, der Server diese Informationen dennoch erhalten konnte. Das ist totaler Wahnsinn!

Einige Produkte ermöglichen es Hackern, diesen Trick auszunutzen. Angenommen, Sie verfügen über einen Cloud-Proxy, über den der gesamte Webdatenverkehr geleitet wird. Stellen Sie sich vor, ein Proxy versucht, eine kanonische Version der Browser-Laufzeit zu erstellen, indem Sie beispielsweise Firefox 10.7 emulieren. Dann wird er versuchen, die Daten, die er als Firefox-Browser bereitgestellt hat, zurückzusenden, und der Hacker versucht möglicherweise, diese Daten abzufangen. Das ist eine Art Trick.

Student:Was bietet ein Tor-Benutzer? Kann es zusammen mit einer virtuellen Maschine verwendet werden?

Professor: Ich habe noch nie von einem solchen Projekt gehört, aber ich habe von anderen Projekten gehört. Ich denke, die Schwierigkeit besteht darin, die Wirksamkeit eines solchen Systems sicherzustellen, insbesondere im interaktiven Modus, zum Beispiel wenn Sie ein Online-Spiel spielen. Es ist ziemlich unpraktisch, einen Mausklick an einen Proxy zu senden, der versucht, ihn an einen anderen Ort zu senden.



Student: Ich möchte klarstellen, was ich bei der Verwendung eines Tor-Proxyservers vorhatte, der ein Firefox-Browser-Plugin wie eine virtuelle Maschine enthält.

Professor:Ja, das ist nur ein Tor-Proxy. Dann ist eine andere Sache, und der Overhead eines solchen Systems ist gleich dem festen Overhead des Durchgangs der gesamten "Zwiebel" -Route Tor. Ich sagte, dass es Systeme gibt - lassen Sie uns für einen Moment die Anonymität von IP ignorieren - die versuchen zu sagen, dass Sie einen eigenen, sehr typischen Fingerabdruckbrowser auf Ihrem eigenen Computer haben und diesen nicht dem Webserver zeigen möchten.

Im Wesentlichen durchlaufen Sie also einen Proxyserver, den Sie als Browser wahrnehmen, etwa Firefox, eine Art kanonische Version. Der Webserver glaubt, dass er mit diesem Ding interagiert. Wenn ich also versuche, die Site-Seite auf einen Computer zu laden, empfinde ich den Webserver als Firefox 10.7. Wenn Sie auf dieselbe Weise über einen Proxy auf die Site zugreifen, werden Sie vom Server auch als Firefox 10.7 wahrgenommen. Hinter den Kulissen wird dies in HTML und ähnliche vom Proxy gesammelte Dinge aufgeteilt. Diese zwei Dinge sind orthogonal.

Student: Es scheint mir, dass dies keinen Proxy braucht, Sie brauchen nur Browser-Unterstützung. Der Tor-Browser tut dies jedoch bereits und versucht, als generische Version von Firefox zu erscheinen.

Professor:Ja es ist wahr. Ich denke zwar, auch wenn wir das Problem mit einer großen Anzahl charakteristischer Versionen gelöst haben und Sie versuchen, die allgemeine Version des Browsers zu verwenden, gibt es noch viele Dinge, die charakteristische Fingerabdrücke hinterlassen können. Es wird oft gesagt, dass die Verteilung von Tor kontrolliert wird. Wenn wir also alle zur Tor-Distribution gehen, wird sich herausstellen, dass wir alle Firefox mit derselben Java-Version erhalten werden und so weiter.

Es gibt eine interessante Sache: Das Tor-Entwicklungsteam veröffentlicht häufig Berichte darüber, welche Daten während des Betriebs aus dem Zwiebelnetzwerk fließen können. Daher leckt noch Material aus diesem geschlossenen Netzwerk. Aber Sie haben absolut Recht: Wenn wir uns alle einig waren, die gleiche Distribution herunterzuladen, ohne sie mit verschiedenen Plug-Ins und ähnlichen Zusätzen zu verdünnen, würde dies aus Sicht der Schwierigkeit, Benutzer zu identifizieren, gut funktionieren.
Was ist das ultimative Ziel der Privatsphäre? Im globalen Sinne - um Ihre vollständige Anonymität als Benutzer des Netzwerks sicherzustellen. Mit anderen Worten, mit wie vielen Personen kann ein Angreifer Sie verwirren? Browser-Fingerabdrücke zeigen, dass ein Web-Angreifer den Identifizierungsbereich oft stark einschränken kann, ohne den lokalen Computer zu kontrollieren. Das ist eigentlich ziemlich unheimlich. Sie können darüber nachdenken, wie ein Angreifer Sie identifizieren kann, wenn Sie den privaten Anzeigemodus verwenden.



Der Artikel beschreibt einen Angriff, der Verbindungsfarben verwendet. Denken Sie daran, dass Browser im Verlauf des privaten Browsers den Verlauf der besuchten Websites nicht verfolgen sollten. Daher beschreiben die Autoren des Artikels einen Angriff, bei dem eine von einem Angreifer kontrollierte Seite ein Iframe-Tag für eine von ihm kontrollierte URL erstellt und diesen Iframe in eine angreifende Seite lädt. Dann kann der Hacker nur die Farben der Links betrachten. Er erstellt einen Link zu dieser Seite, für die er gerade einen iframe erstellt hat, und sieht, ob seine Farbe in die Farbe geändert wurde, die der besuchten Seite entspricht, dh lila statt blau.

Die Idee ist, dass, wenn Sie diesen Test im privaten Modus durchführen, die Farbe der Links gleich bleiben sollte, da der Browser all diese Dinge vergessen soll. Diese Art von Angriff basiert auf einer Änderung der Farbe der Links, die in dem Artikel beschrieben werden. Fakt ist jedoch, dass Angriffe dieser Art nicht mehr funktionieren. Wir haben dies vor einigen Vorträgen besprochen. Der Artikel beschreibt also den Verlauf von Browserangriffen mit einem Sniffer. Derzeit bietet JavaScript-Code jedoch nicht die korrekte Farbe von Links in JavaScript, wodurch diese Art von Angriff verhindert wird. Dieser Teil des Vorlesungsartikels ist also veraltet.

Student: Was erklärt, dass Browser im privaten Browsing-Modus jetzt auch Links in lila anzeigen, aber wenn sie diesen Modus verlassen, werden sie blau lackiert?

Professor: Ja, das ist ein bisschen seltsam. Ich denke, dass dieser Schutzmodus bereits eingeführt wurde, bevor der private Anzeigemodus so populär wurde, dass jetzt das Neulackieren von Links beim privaten Betrachten zusätzlich ist. Kurz gesagt, diese Art von Angriff funktioniert jetzt nicht, da Browser vor Sniffer-Angriffen geschützt sind. Es gibt jedoch andere Möglichkeiten, mit denen ein Angreifer wissen kann, dass Sie einen privaten Browsermodus verwendet haben.



Im privaten Browsermodus sollten Sie beispielsweise keine Cookies senden, die Sie im öffentlichen Browsermodus erhalten haben. Wenn ich also in einem öffentlichen Modus zu Amazon.com gehe, generiere ich einige Cookies. Wenn ich dieselbe Website dann im privaten Browsermodus besuche, sollten diese Cookies nicht gesendet werden, da sie dem Angreifer anzeigen können, dass Sie einen privaten Modus verwenden.

Student: Das heißt, der Hacker verwendet in beiden Fällen eine Umfrage, daher muss er die IP-Adresse kennen.

Professor: Ja das ist es.

Student:Daher basiert die Verbindung, auf die der Hacker aufgrund der Farbänderung abzielt, auf der IP-Adresse des Benutzers. Sie können sich also darauf verlassen, dass der Benutzer die Website zum ersten Mal in der öffentlichen Ansicht besucht hat, und versuchen, sie zu schützen.

Professor: Tatsache ist, dass ein Link-Angriff im Kontext einer einzelnen Seite erfolgen kann. Stellen Sie sich vor, ich, ein Angreifer, erstelle eine Seite. Ich habe ein Javascript, das einen iframe für foo.com erstellt, sodass der Inhalt dieser Seite von iframe geladen wird. Dann kann ich, der Angreifer, ein Linkelement im übergeordneten Frame erstellen und dann versuchen, die Farbe des Links zu sehen.

Es hat vor vier Jahren funktioniert. In diesem Fall konnte sich der Hacker nicht darauf verlassen, dass der Benutzer diese Iframe-Seite besucht hat, da er sie im Kontext der Seite erstellen konnte, die er dem Benutzer zur Verfügung gestellt hat.

Überlegen Sie, wie Cookies öffentliche oder private Browsing-Modi öffnen können. Lassen Sie uns überlegen, wie Sie für private Browser leistungsstarke Datenschutzgarantien bereitstellen können.

Aus Gründen dieser Diskussion werden wir IP-Adressen vorerst einfach ignorieren, denn wie wir in der nächsten Vorlesung besprechen werden, können wir Tor verwenden, um den Schutz der IP-Adressen zu gewährleisten.

54:00 Min.

Kurs MIT "Computer Systems Security". Vortrag 18: "Privates Surfen im Internet", Teil 3


Die vollständige Version des Kurses ist hier verfügbar .

Danke, dass Sie bei uns bleiben. Magst du unsere Artikel? Möchten Sie weitere interessante Materialien sehen? Unterstützen Sie uns, indem Sie eine Bestellung aufgeben oder Freunden empfehlen, 30% Rabatt für Habr-Benutzer auf ein einzigartiges Analogon der Einstiegsserver, die wir für Sie erfunden haben: Die ganze Wahrheit über VPS (KVM) E5-2650 v4 (6 Kerne) 10 GB DDR4 240 GB SSD 1 Gbps $ 20 oder wie kann ich den Server freigeben? (Optionen sind für RAID1 und RAID10 verfügbar, bis zu 24 Kerne und bis zu 40 GB DDR4).

VPS (KVM) E5-2650 v4 (6 Kerne) 10 GB DDR4 240 GB SSD 1 Gbit / s bis Dezember kostenlos, wenn Sie für einen Zeitraum von sechs Monaten bezahlen, können Sie hier bestellen .

Dell R730xd 2 mal billiger? Nur bei uns2 x Intel Dodeca-Core Xeon E5-2650v4 128 GB DDR4 6 x 480 GB SSD 1 Gbit / s 100 TV ab 249 $ in den Niederlanden und den USA! Lesen Sie mehr darüber, wie Sie ein Infrastrukturgebäude bauen. Klasse C mit Servern Dell R730xd E5-2650 v4 im Wert von 9000 Euro für einen Cent?

Jetzt auch beliebt: