Fachtagung Datensicherheit im Internet 20.2.2019 - Folienversion v49 - Informatik
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Fachtagung Datensicherheit im Internet 20.2.2019 Folienversion v49
Personen Hochschule Trier • Joscha Grüger • Britta Herres • Tobias Krumholz • Konstantin Knorr • Rainer Oechsle • Jutta Straubinger Vorstellungsrunde Teilnehmer • Name • Schule • Fächer • Informatik Grundkurs / Leistungskurs • Selbsteinschätzung Vorkenntnisse IT-Sicherheit: Niedrig – Mittel - Hoch 20.2.2019 Fachtagung Datensicherheit 2
Zielsetzung Der Workshop richtet sich an Lehrerinnen, Lehrer, Lehramtskandidatinnen und Lehramtskandidaten, die sich im Bereich IT-Sicherheit weiterbilden wollen. Ausgewählte Themen werden anhand praktischer Szenarien unter Anleitung erprobt und diskutiert. Der Schwerpunkt liegt im Selber-Ausprobieren sowie auf dem Verstehen der Verfahren und der dazugehörigen Techniken. Zielsetzungen sind die Wissensvermittlung und die Sensibilisierung für die Themen insbesondere unter dem Aspekt der „Portabilität in den Informatik-Unterricht“. 20.2.2019 Fachtagung Datensicherheit 3
Zeitplan
Zeitraum
9:30 – 9:45 Begrüßung inkl. Vorstellungsrunde, Infrastruktur, Einführung
9:45 – 11:00 Netzwerkanalyse von Klartextkommunikation
11:00 – 11:20 Kaffeepause
11:20 – 12:30 Verschlüsselung von Web-Seiten, Zertifikate
12:30 – 13:30 Mittagspause in Mensa
13:30 – 15:00 Datenschutz und Webtracking
15:00 – 15:20 Kaffeepause
15:20 – 16:00 Anonymität im Internet mit TOR
Offene Fragerunde, Abschlussdiskussion und
16:00
Rückmeldung zu Einsatzmöglichkeiten im Unterricht
20.2.2019 Fachtagung Datensicherheit 4
Didaktik
• Etwas Theorie, viel Praxis
• Fragen jederzeit erwünscht
• Unterlagen
• Folien mit Theorie und Hintergrundinformationen
• Anleitung mit Lösungen zu den Themen, Basisanleitungen für alle,
plus optionale Anleitungen für Fortgeschrittene
• 40-90 Minuten pro Thema. Überblick und Probleme statt zu
viele Details. Vertiefung in Folien und über Referenzen.
• Voraussetzung: Grundkenntnisse
• im Umgang mit den Betriebssystemen Ubuntu und Windows und
• der Protokolle TCP und IP
• Bearbeitung einzeln oder in Teams
• Unterstützung bei der Durchführung durch Hochschul-Team
20.2.2019 Fachtagung Datensicherheit 5
Infrastruktur • Ubuntu 16.04 LTS Linux mit Wireshark auf VMWare Image am Vormittag • Windows 7 mit Firefox und dem TOR-Browser am Nachmittag • Ubuntu VMWare kann zuhause / in der Schule weiter genutzt werden • Infos zu Programmen in Unterlagen • Hochschul-Account für Netzzugang, Mail, Home-Laufwerke, Zugriff auf SSH-Sever, FTP-Server, Zugang zum Intranet, … • Hochschul-Accounts nur temporär 20.2.2019 Fachtagung Datensicherheit 6
Grundlagen Netzwerke und IT-Sicherheit
OSI Referenz-Modell
Anwendung Anwendung
Protokolle
Darstellung Darstellung
Sitzung Sitzung
Transport Transport
Vermittlung Vermittlung Vermittlung Vermittlung
Sicherung Sicherung Sicherung Sicherung
Bitübertra- Bitübertra-
Bitübertragung Bitübertragung
gung gung
Host A Router Host B
20.2.2019 Fachtagung Datensicherheit 8
Übersicht relevanter Protokolle
HTTP / HTTPS
TELNET
SNMP
DHCP
SMTP
IMAP
POP3
DNS
NTP
FTP
SSL
UDP TCP
IP (v4 und v6) ICMP
ARP Ethernet & WLAN LLC
20.2.2019 Fachtagung Datensicherheit 9
FTP
• FTP = File Transfer Protocol
• Einsatzgebiet: Dateiübertragung (Download und Upload)
• Einfaches zeichenorientiertes TCP-basiertes Protokoll.
Verwendet den TCP Standard Server-Port 21 für die
„Kontrollverbindung“ und weitere TCP-Verbindungen mit
anderen Ports für den Datei Up- und Download.
• Klartext-Protokoll ohne Sicherheitsfunktionen wie z.B.
Verschlüsselung, d.h., Passwörter, Dateiinhalte und
Kommandos werden im Klartext übertragen.
• Der FTP-Client ist auf vielen Betriebssystemen über die
Kommandozeile aufrufbar, z.B.
ftp knorr@ftp.hochschule-trier.de
• Abgesicherte Alternativen: SSH, SFTP, FTPS
20.2.2019 Fachtagung Datensicherheit 10Telnet
• Telnet = Teletype Network
• Einsatzgebieten:
• Fernzugang zu Servern: Konfiguration, Fernwartung, Zugang zu
Datenbanken. Authentisierung über Eingabe von Benutzernamen
und Password.
• Verbindungstests z.B. bei HTTP, SMTP oder IMAP
• Einfaches zeichenorientiertes TCP-basiertes Protokoll.
Verwendet den TCP Standard Port 23 für den Server.
• Klartext-Protokoll ohne Sicherheitsfunktionen (wie FTP)
• Ein Telnet-Client ist machen Betriebssystemen über die
Kommandozeile aufrufbar, z.B.
telnet localhost
• Abgesicherte Alternative: SSH
20.2.2019 Fachtagung Datensicherheit 11DNS (Domain Name System)
• Wichtigste Aufgabe: Domain Name in IP-Adresse
übersetzen
• Grund: Menschen können sich IP-Adressen schlecht
merken
• Bis Mitte der 80er war Namensraum flach in einem
File (hosts.txt) organisiert. Heute ist der Namens-
raum hierarchisch strukturiert und wird von der
ICANN verwaltet. Für die Top Level Domain de
verwaltet DENIC die Domain Namen.
• DNS verwendet UDP-Port 53 für Client/Server und
TCP-Port 53 für Server/Server Kommunikation.
• Bekannte Implementierung für DNS-Server: BIND
• DNS-Clients: nslookup ist in vielen Kommandozeilen
von Betriebssystem integriert. Beispielaufruf:
nslookup www.kicker.de
20.2.2019 Fachtagung Datensicherheit 12HTTP = HyperText Transfer Protocol • 1989 erschaffen (zusammen mit URL und HTML), Grundlage des WWW • Prominentes Protokoll der Anwendungsschicht • Zustandslos • Verwendet TCP in der Transportschicht, Server-Port:80 • Klartext-Protokoll ohne Sicherheitsfunktionen. D.h. alles Informationen werden ungeschützt übertragen. • Abgesicherte Alternative: HTTPS (HTTP über SSL) 20.2.2019 Fachtagung Datensicherheit 13
Vertikale Integration von
Sicherheitsdiensten
Welcher Sicherheitsdienst soll in welcher Schicht realisiert
werden?
Anwendung SSH, SMIME, PGP
Darstellung
OSI - Schichtenmodell
Sitzung SSL
Transport
Vermittlung IPSec
Sicherung WEP, WPA
Bitübertragung
20.2.2019 Fachtagung Datensicherheit 14Grundwerte der IT-Sicherheit • Vertraulichkeit (engl. Confidentiality) • Integrität (engl. Integrity) • Verfügbarkeit (engl. Availability) Häufig werden zusätzlich auch • Authentizität (engl. Authenticity) • Verbindlichkeit (engl. Non-Repudiation) • Anonymität und Pseudonymität mit zu den Grundwerten gezählt. 20.2.2019 Fachtagung Datensicherheit 15
Symmetrische und asymmetrische
Verschlüsselung
Sender Empfänger
symmetrische Verschlüsselung symmetrische Entschlüsselung
sicherer Kanal Erklärungen:
Schlüssel K Schlüssel K
E = Verschlüsselungs-
funktion
Quelltext, E D Quelltext, D = Entschlüsselungs-
Klartext Chiffretext Klartext funktion
DK(EK(M)=M
Beispiele: DES, 3DES, AES, A5/1, ChaCha20
Sender Empfänger A Erklärungen:
asymmetrische Verschlüsselung asymmetrische Entschlüsselung E = Verschlüsselungs-
öffentlicher Schlüssel funktion
des Empfängers
D = Entschlüsselungs-
geheimer Schlüssel funktion
des Empfängers
DSK-A(EPK-A(M))=M
Quelltext E D Quelltext
Chiffretext
Beispiele: RSA, Elgamal
20.2.2019 Fachtagung Datensicherheit 16Digitale Signatur mit asymmetrischen
Verfahren
A
Erklärungen:
M = Nachricht
H = Hash-Funktion
SK-A = geheimer Schlüssel von A
PK-A = öffentlicher Schlüssel von A
sig = Signatur-Funktion
ver = Verifikationsfunktion mit verPK-A(sigSK-A(X)) = X
Beispielverfahren: RSA, DSS, Elgamal
20.2.2019 Fachtagung Datensicherheit 17Geheimhaltung von Schlüsseln
Geheimhaltung von Daten
symmetrische Algorithmen
Geheimhaltung von Schlüsseln
asymmetrische Algorithmen
Geheimhaltung der privaten Schlüssel Authentizität der öffentlichen Schlüssel
Zertifikate, PKI, Web of Trust
Authentizität eines öffentlichen Schlüssels
20.2.2019 Fachtagung Datensicherheit 18Vereinfachte X.509v03 Zertifikats-Struktur,
Details unter http://tools.ietf.org/html/rfc5280
• Version
• Seriennummer
• Algorithmen-ID
• Aussteller
• Gültigkeitszeitraum
• Zertifikatinhaber Hash
• Subject Public Key Info
• Public-Key-Algorithmus
• Subject Public Key
Signiert mit dem
• E-Mail-Adresse, Domain Namen, …
geheimen Schlüssel
• Eindeutige ID des Ausstellers (optional) der CA
• Eindeutige ID des Inhabers (optional)
• Erweiterungen
• Zertifikat-Signaturalgorithmus
• Zertifikat-Signatur
20.2.2019 Fachtagung Datensicherheit 19Beispiel für die Auflösung eines
Zertifizierungspfads
Issuer: Root
Subject: Root Issuer: Root
Public Key: Root Subject: ZDA Issuer: ZDA
… Public Key: ZDA Subject: TN Signer: TN
Signature of Root … Public Key: TN
Kaufvertrag
Signature of Root …
…
Public Key wird benötigt, Signature of ZDA
um Signatur zu prüfen
Signature of TN
Root-Zertifikat ZDA-Zertifikat Teilnehmer- Signiertes
zertifikat Dokument
20.2.2019 Fachtagung Datensicherheit 20SSL
Was ist SSL?
• SSL = Secure Sockets Layer
• SSL ist eine Protokoll-Familie mit folgenden Eigenschaften:
• Authentisierung der Kommunikations-Parteien: Einseitig oder
beidseitig
• Vertraulichkeit der Daten wird geschützt
• Integrität der Daten wird geschützt
• Replay-Schutz
• SSL ist ein hybrides Sicherheitsprotokoll.
• SSL liegt über TCP und unterhalb verschiedenster
Anwendungsprotokolle wie z.B. HTTP.
• SSL ist heute das Standardprotokoll zur Absicherung von Web-
Verbindungen. In den neueren Versionen heißt es TLS
(=Transport Layer Security). Neuste Version (2018): TLS 1.3
• Das Protokoll-Design hat sich in der Praxis bewährt. In den
Implementierungen treten jedoch immer wieder
Schwachstellen auf.
20.2.2019 Fachtagung Datensicherheit 22Diffie-Hellman-Protokoll
• Alice und Bob wollen miteinander einen Schlüssel austauschen.
• Voraussetzung: Gegeben sei eine Primzahl p und eine
Primitivwurzel g mod p.
Alice Bob
wählt zufällig wählt zufällig
ga mod p
a ∈ {1,...,p-2} b ∈ {1,...,p-2}
gb mod p berechnet
berechnet
(gb mod p)a mod p (ga mod p)b mod p
= gab mod p = gab mod p
• Der gemeinsame Schlüssel ist K = gab mod p
• DH ist auch über elliptische Kurven mit kürzerer Schlüssellänge
möglich ECDH
20.2.2019 Fachtagung Datensicherheit 23Vereinfachtes SSL-Handshake-Protokoll
DHE_RSA mit Server-Authentisierung
Can we talk?, cipher list, RA
RSA certificates, chosen cipher, RB,
DH parameters p and g, gb mod p signed with RSA priv. key
Alice / Bob /
Client ga mod p Server
h(msgs,K)
Data protected with key K
Erklärungen:
• RA, RB sind Noncen inklusive Zeitstempel
• h = Hash-Funktion
• S = gab mod p kann von beiden Seiten mittels Diffie-Hellman berechnet
werden. S heißt Pre-Master Secret
• K = h(S,RA,RB) ist das Master Secret. Es ist die Basis für die Generierung der
symmetrischen Schlüssel für den Schutz der Anwendungsdaten.
• msgs = Alle vorherigen Nachrichten
20.2.2019 Fachtagung Datensicherheit 24Beispiele für Chipher Suites in TLSv1.2
Cipher-Suite = Key Exchange + Cipher + MAC Key-Exchange Cipher MAC
TLS_NULL_WITH_NULL_NULL NULL NULL NULL
TLS_RSA_WITH_NULL_MD5 RSA NULL MD5
TLS_RSA_WITH_NULL_SHA RSA NULL SHA
TLS_RSA_WITH_NULL_SHA256 RSA NULL SHA256
TLS_RSA_WITH_RC4_128_MD5 RSA RC4_128 MD5
TLS_RSA_WITH_RC4_128_SHA RSA RC4_128 SHA
TLS_RSA_WITH_3DES_EDE_CBC_SHA RSA 3DES_EDE_CBC SHA
TLS_RSA_WITH_AES_128_CBC_SHA RSA AES_128_CBC SHA
TLS_RSA_WITH_AES_256_CBC_SHA RSA AES_256_CBC SHA
TLS_RSA_WITH_AES_128_CBC_SHA256 RSA AES_128_CBC SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256 RSA AES_256_CBC SHA256
TLS_DH_DSS_WITH_3DES_EDE_CBC_SHA DH_DSS 3DES_EDE_CBC SHA
TLS_DH_RSA_WITH_3DES_EDE_CBC_SHA DH_RSA 3DES_EDE_CBC SHA
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA TLSDHE_DSS
V1.3 Cipher3DES_EDE_CBC
Suites SHA
TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA DHE_RSA 3DES_EDE_CBC SHA
TLS_DH_anon_WITH_RC4_128_MD5 DH_anon RC4_128 MD5
TLS_DH_anon_WITH_3DES_EDE_CBC_SHA DH_anon 3DES_EDE_CBC SHA
TLS_DH_DSS_WITH_AES_128_CBC_SHA DH_DSS AES_128_CBC SHA
TLS_DH_RSA_WITH_AES_128_CBC_SHA DH_RSA AES_128_CBC SHA
TLS_DHE_DSS_WITH_AES_128_CBC_SHA DHE_DSS AES_128_CBC SHA
TLS_DHE_RSA_WITH_AES_128_CBC_SHA DHE_RSA AES_128_CBC SHA
TLS_DH_anon_WITH_AES_128_CBC_SHA DH_anon AES_128_CBC SHA
TLS_DH_DSS_WITH_AES_256_CBC_SHA DH_DSS AES_256_CBC SHA
TLS_DH_RSA_WITH_AES_256_CBC_SHA DH_RSA AES_256_CBC SHA
20.2.2019 Fachtagung Datensicherheit 25Grundlagen des technischen Datenschutzes & Web-Tracking
Ziel des Datenschutz • Oberste Zielsetzung (und besserer Name): Schutz der informationellen Selbstbestimmung von Menschen • Jeder Mensch soll grundsätzlich selbst entscheiden, wem wann welche seiner persönlichen Daten zugänglich sind. • Datenschutz will den „gläsernen Menschen“ verhindern. • Datenschutz schützt vor missbräuchlicher Verwendung personenbezogener Daten. • Datensicherheit / IT-Sicherheit: Schutz von Daten (auch ohne Personenbezug) bzgl. der Grundwerte Vertraulichkeit, Integrität und Verfügbarkeit bei der Verarbeitung 20.2.2019 Fachtagung Datensicherheit 27
Personenbezogene Daten und
Verarbeitung nach §46 BDSG
• Personenbezogene Daten sind alle Informationen, die sich auf eine
identifizierte oder identifizierbare natürliche Person … beziehen; als
identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt,
insbesondere mittels Zuordnung zu einer Kennung … oder mehreren
besonderen Merkmalen … identifiziert werden kann.
• Besonderer Kategorien personenbezogener Daten: rassische und
ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche
Überzeugung, Gewerkschaftszugehörigkeit, genetische Daten, biometrische
Daten, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen
Orientierung
• Verarbeitung = das Erheben, das Erfassen, die Organisation, das Ordnen,
die Speicherung, die Anpassung, die Veränderung, das Auslesen, das
Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung
oder eine andere Form der Bereitstellung, den Abgleich, die Verknüpfung, die
Einschränkung, das Löschen oder die Vernichtung.
• Auftragsdatenverarbeitung ist die Verarbeitung oder Nutzung von
personenbezogenen Daten durch einen Dienstleister im Auftrag der
verantwortlichen Stelle.
20.2.2019 Fachtagung Datensicherheit 28Beispiele und Gegenbeispiele für personenbezogene Daten • Haar • Bankleitzahl • Luftbild • Autokennzeichen • E-Mail-Adresse • IP-Adresse • MAC-Adresse • Dienstliche Beurteilung • Statistik • Ärztlicher Befund • Bild • Landkarte • Übersichtsaufnahme vom Marktplatz 20.2.2019 Fachtagung Datensicherheit 29
Grundsätze des Datenschutz • Datenverarbeitung muss explizit erlaubt sein z.B. durch Gesetz oder Einwilligung, sonst ist sie verboten (juristisch: Verbot mit Erlaubnisvorbehalt ) • Zweckbindungsgrundsatz • Erforderlichkeitsgrundsatz (umgangssprachlich: Datensparsamkeit) • Betroffene haben Rechte wie z.B. Auskunfts- und Löschungsrecht, Anrufung des Datenschutzbeauftragten • Bei der automatisierten Verarbeitung personenbezogener Daten gelten besondere Pflichten (z.B. Meldung der Verfahren, Beschreibung der Sicherheitsmaßnahmen) • Bei Auftragsdatenverarbeitung muss der Auftragnehmer die gleichen Vorgaben einhalten wie der Auftraggeber. Dazu ist ein Vertrag aufzusetzen. 20.2.2019 Fachtagung Datensicherheit 30
WEB-TRACKING
Gefahren durch Tracking beim Surfen und geeignete Schutzmaßnahmen
31Ausgewählte HTTP-Nachrichten-Header Weitere Infos im RfC2616: Hypertext Transfer Protocol -- HTTP/1.1 20.2.2019 Fachtagung Datensicherheit 32
Einstiegsfrage Wie viele Drittparteien wurden beim Besuch dieser drei Newswebseiten eingebunden? 20.2.2019 Fachtagung Datensicherheit 33
Definitionen
„Beim Web-Tracking geht “Web analytics is the
es darum, dass Verbraucher objective tracking, collection,
von dritten Parteien – measurement,
sogenannten Trackern – reporting, and analysis of
verfolgt werden, wenn sie quantitative Internet data to
im World Wide Web optimize websites and web
unterwegs sind.“ marketing initiatives.“
(Schneider, 2014) (Kaushik, 2007)
20.2.2019 Fachtagung Datensicherheit 34Gründe
Der Markt um Verbraucherdaten ist ein weltweiter Milliardenmarkt:
• „Die Gesamtumsätze mit Onlinewerbung in Deutschland lagen im Jahr 2008
bei mehr als 3,1 Milliarden Euro. Für das Jahr 2016 prognostiziert PwC, dass
die Umsätze im Online-Werbemarkt in Deutschland bei rund 6,55 Milliarden
Euro liegen werden.“ (PwC, 2016)
• „Der Werbeumsatz von Google belief sich im Jahr 2013 auf rund 51,07
Milliarden US-Dollar.“ (Alphabet, 2015)
• „Für das Jahr 2015 ist ein weltweiter Umsatz von 132 Milliarden US-Dollar
prognostiziert, was einem Wachstum von knapp zwei Dritteln gegenüber dem
Jahr 2011 entspricht.“ (Schneider, 2014)
20.2.2019 Fachtagung Datensicherheit 35Funktionsweise > HTTP-Request
93.184.219.20
141.26.71.192
Gib mir:
93.184.219.20
http://huffingtonpost.de
1. 2. 3. 4.
93.184.219.20
93.184.219.20
141.26.71.192
141.26.71.192 141.26.71.192
8. 7. 6. 5.
20.2.2019 Fachtagung Datensicherheit 3620.2.2019 Fachtagung Datensicherheit 37
Funktionsweise > Plugin 20.2.2019 Fachtagung Datensicherheit 38
Funktionsweise > Plugin
FB
Gib mir: ICH
[LikeButton] Facebook
9. 10. 11. 12.
FB
FB
ICH ICH ICH
16. 15. 14. 13.
20.2.2019 Fachtagung Datensicherheit 3920.2.2019 Fachtagung Datensicherheit 40
Funktionsweise > Plugin
2
1
HH
WWW
3
4
5
H
20.2.2019 Fachtagung Datensicherheit … 41Beispiel: Lightbeam
huffingtonpost.de
twitter.com
parsely.com
adsafeprotected.com
googlesyndication.com
qservz.com
tfag.de
quantserve.com
facebook.com
ioam.de
smartredirect.de
googletagservices.com
google-analytics.com
research.de.com
amazon-adsystem.com
huffpost.com
…
Abruf von http://huffingtonpost.de am 11.09.2017.
20.2.2019 Fachtagung Datensicherheit 42Fallbeispiel
Analyse von 839 Webseiten Kliniken/Krankenhäusern
Webseiten aus Klinikdatenbanken: Kliniken.de / weisse-liste.de
(Statista 2015) schätzt Anzahl der Krankenhäuser in D für 2014
auf 1980
Messung
Beim Öffnen der Hauptseite (Landingpage)
Erfassung der Kommunikation, Cookies, etc.
Durchgeführt am 12.08.2016 (*)
Analyse der eingebetteten Drittanbieter
Insgesamt 1277 verschiedene Drittanbieter
ca. 42.000 Verbindungen, 27.000 zu Erst- und 15.000 zu
Drittanbietern
Betrachtung der am häufigsten eingebundenen Drittanbieter
Visualisierung
20.2.2019 Fachtagung Datensicherheit 4320.2.2019 Fachtagung Datensicherheit 44
Fallbeispiel > Top 20 der externen Tracker # Hosts Count # Hosts Count 1 www.google-analytics.com 287 (34.2%) 11 maps.googleapis.com 40 (4.8%) 2 fonts.gstatic.com 210 (25.0%) 12 googleads.g.doubleclick.net 39 (4.6%) 3 fonts.googleapis.com 204 (24.3%) 13 i.ytimg.com 38 (4.5%) 4 ajax.googleapis.com 134 (16.0%) 14 static.doubleclick.net 38 (4.5%) 5 www.google.com 78 (9.3%) 15 csi.gstatic.com 36 (4.3%) 6 ssl.google-analytics.com 49 (5.8%) 16 maps.gstatic.com 32 (3.8%) 7 s.ytimg.com 48 (5.7%) 17 code.jquery.com 30 (3.6%) 8 www.youtube.com 45 (5.4%) 18 piwik.sana.aspr.de 29 (3.5%) 9 maps.google.com 43 (5.1%) 19 www.facebook.com 28 (3.3%) 10 stats.g.doubleclick.net 43 (5.1%) 20 www.etracker.de 26 (3.1%) 20.2.2019 Fachtagung Datensicherheit 45
Fallbeispiel > Ergebnis
Analyse von 839 Webseiten Kliniken/Krankenhäusern in
Deutschland
523 von 839 Klinikseiten binden einen Service von
! Google ein!
(287 x Google-Analytics)
weitere Services
von Google
62 %
Google-Analytics
34 %
Quelle: Tim Wambach, Laura Schulte, Konstantin Knorr: Einbettung von Drittinhalten im
Web. Datenschutz und Datensicherheit 40(8): 523-527 (2016)
20.2.2019 Fachtagung Datensicherheit 46Schutz > Rechtlich
• Unter Telemediengesetz (TMG) fallen nahezu alle Angebote des
(deutschsprachigen) Internets
• das TMG begründet auch die „Impressumspflicht“
• Datenschutzerklärung (DSE) nach §13 Abs. 1 TMG fordert eine
Unterrichtung
• über Art der (erhobenen) personenbezogenen Daten,
• Begründung und Zweckbestimmung,
• Hinweise bzgl. Weitergabe,
• etc.
20.2.2019 Fachtagung Datensicherheit 47Weitere Tests Stiftung Warentest „Tracking: Wie unser Surfverhalten überwacht wird – und was dagegen hilft“ vom 30.08.17, getestet: • Adblock Plus • Better Privacy • Cliqz Add-on • Disconnect • Ghostery • NoScript • Privacy Badger • Scriptsafe • uBlock Origin https://www.test.de/Tracking-Wie-unser-Surfverhalten-ueberwacht-wird-und-was-dagegen-hilft-5221609-5221870 20.2.2019 Fachtagung Datensicherheit 48
Übungen Übung 1: Lightbeam • Installation von Lightbeam und Abfrage von drei News-Webseiten. Übung 2: Disconnect • Installation von Disconnect (und uBlock Origin) und erneute Durchführung des Tests. Übung 3: Developer Tools • Arbeiten mit den Firefox Developer Tools. Betrachtung der Requests bei Abruf einer Krankenhauswebseite (bkt-trier.de). 20.2.2019 Fachtagung Datensicherheit 49
Lösung > Übung 1
Besuch von drei Webseiten
- spiegel.de
- focus.de
- welt.de
ca. 70 direkt verbundene
Drittparteien
ca. 140 indirekt
verbundene Drittparteien
(Messung vom 12.09.2017)
20.2.2019 Fachtagung Datensicherheit 50Lösung > Übung 2
Besuch von drei Webseiten
- spiegel.de
- focus.de
- welt.de
ca. 28 direkt verbundene Drittparteien
ca. 29 direkt und indirekt verbundene
Drittparteien
Werbeblocker Information bei spiegel.de
(Messung vom 12.09.2017)
20.2.2019 Fachtagung Datensicherheit 51Lösung > Übung 2
Besuch von drei Webseiten
- spiegel.de
- focus.de
- welt.de
ca. 12 direkt verbundene Drittparteien
ca. 15 direkt und indirekt verbundene
Drittparteien
Keine Werbeblocker Information bei
spiegel.de
(Messung vom 12.09.2017)
20.2.2019 Fachtagung Datensicherheit 52Lösung > Übung 3 20.2.2019 Fachtagung Datensicherheit 53
Lösung > Übung 3 20.2.2019 Fachtagung Datensicherheit 54
Lösung > Übung 3
I. Welche Drittparteien werden eingebunden und zu welchem
Zweck?
• google.analytics.com
• fast.fonts.net
II. Welche Informationen werden im Header bei der Verbindung
zu „fast.fonts.net“ übertragen? Welche Rückschlüsse kann der
Drittanbieter daraus ziehen?
III. Öffnen Sie eine beliebige Unterseite – welche Verbindungen
wurden diesmal erstellt und welche Informationen
übertragen? Betrachten Sie insbesondere erneut
„fast.fonts.net“.
• Im (HTTP-)Referer findet sich die geöffnete Webseite – auch bei
Unterseiten. Dem Fontanbieter ist daher stets bekannt, welche
Webseiten zu welcher Zeit von welcher IP auf bkt-trier.de abgefragt
werden. Die Daten werden auch übertragen, wenn sich die
Ressource bereits im Browsercache befindet.
20.2.2019 Fachtagung Datensicherheit 55Lösung > Übung 3
IV. Betrachten Sie die übertragenen Cookies (Reiter „Cookies“).
• Von bkt-trier.de wird eine Session-ID gesetzt.
• Bei mehrmaligem Herunterladen werden noch weitere Cookies sichtbar.
V. Zu welchen Drittanbietern werden Cookies übertragen? Wieso werden
keine Cookies zu Google Analytics übertragen?
• Google-Analytics setzt die Cookies im Namen der Webseite. Übertragen wird
das Cookie anschließend als GET-Parameter im Aufruf von GA.
Cookies von bkt-trier.de GET Parameter zu google-analytics.com
20.2.2019 Fachtagung Datensicherheit 56Referenzen und Literatur (Schneider, 2014) M. Schneider, M. Enzmann, M. Stopczynski: Web-Tracking- Report 2014, Fraunhofer SIT (Kaushik, 2007) Avinash Kaushik: Web Analytics: An Hour a Day, John Wiley & Sons, 2007 (PwC 2016) PwC. Umsätze mit Onlinewerbung in Deutschland in den Jahren 2005 bis 2019* (in Millionen Euro). (Alphabet 2015) Alphabet. (n.d.). Werbeumsätze von Google in den Jahren 2001 bis 2015 (in Milliarden US-Dollar). (Statista 2015) Anzahl der Krankenhäuser in Deutschland in den Jahren 2000 bis 2014 http://de.statista.com/statistik/daten/studie/2617/umfrage/anzahl-der- krankenhaeuser-in-deutschland-seit-2000/ 20.2.2019 Fachtagung Datensicherheit 57
TOR – The Onion Router
TOR - Überblick
• TOR = The Onion Router
• Basiert auf einem vom Office of Naval Research finanzierten
Projekt, 1995
• Bietet Sender- und Empfängeranonymität (mit gewissen
Einschränkungen)
• Basiert auf dem „schichtweisen“ Verpacken der Nachricht
(Analogie: „Zwiebel“ oder „Teleskop“)
◦ Nachricht wird über eine Kette von
Onion Routern geleitet.
◦ „Schicht“ entspricht einer
Verschlüsselung.
◦ Jeder Onion Router entpackt eine
Schicht der Nachricht.
20.2.2019 Fachtagung Datensicherheit 59TOR-Erklärungen TOR-Erklärung https://www.torproject.org/about/overview.html Hidden Service Erklärung: https://www.torproject.org/docs/hidden-services.html 20.2.2019 Fachtagung Datensicherheit 60
Aufbau einer TOR-Verbindung mit 2 Hops
zu einem Web-Server
TOR Client / Onion Proxy Onion Router 1 Onion Router 2 Web Server
(OP) (OR1) (OR2)
Circuit Create c1, {gx1}PKOR1 (gx1)y1=k1
Aufbau
Created c1, gy1, H(k1)
(gy1)x1=k1
Circuit Relay, c1, (Extend, OR2, {gx2}PKOR2)k1 Create c2, {gx2}PKOR2
(gx2)y2=k2
Erweiterung Relay, c1, (Extended, gy2, H(k2))k1 Created c2, gy2, H(k2)
(gy2)x2=k2
Verbindung Relay, c1, (()k2)k1 Relay, c2, ()k2
zum Ziel Relay, c1, (()k2)k1 Relay, c2, ()k2
Anmerkungen:
Erklärungen:
• Der gesamte TOR-Traffic wird über TLS
c1, c2 = CirIDs
geschützt.
{} = asymmetrischer Verschlüsselung
• Die letzte Verbindung zum Web-Server ist
() = symmetrische Verschlüsselung über TOR nicht geschützt.
H = Hashfunktion • DH wird über elliptischen Kurven
PK = Public Key ausgeführt.
g = erzeugendes Element einer EC • Per Default werden 3 statt 2 Hops
x1,x2,y1,y2 zufällige DH-Werte verwendet.
20.2.2019 Fachtagung Datensicherheit 61Bösartiger Exit Node Eve kontrolliert den Exit Node und kann im Klartext übertragene Daten wie z.B. Passwärter und Benutzernamen mitlesen. 20.2.2019 Fachtagung Datensicherheit 62
Traffic Analysis Eve kontrolliert Entry und Exit Node und kann ein- und ausgehenden Traffic vergleichen. Sie kennt somit Alices IP- Adresse und ggf. den Inhalt der Kommunikation. 20.2.2019 Fachtagung Datensicherheit 63
Angriff über Muster Eve ist ein bösartiger Server, der Pakete in gewissen Zeitabständen (Muster) an Alice sendet. Wenn Eve auch Entry Node von Alice ist, kann sie das Muster wiedererkennen und kennt die IP Adresse von Alice. 20.2.2019 Fachtagung Datensicherheit 64
Feedback
Feedback
• Welche Themen haben Ihnen gut, welche nicht gefallen?
• Verbesserungsvorschläge?
• Vorschläge für weitere Themen?
• Tempo?
• Feedback
• Persönlich
• per E-Mail an knorr@hochschule-trier.de
20.2.2019 Fachtagung Datensicherheit 66Vielen Dank für Ihre Teilnahme. Gute Heimreise.
Sie können auch lesen
