Bezpieczeństwo w Systemach Komputerowych 1. 2. i ochrona osobistych zwyczajów i zachowań ukrywanie tożsamości 1. 1.1 Prawo 1.2 Programy szpiegujące 1.3 Monitorowanie pracowników 1.4 Serwisy społecznościowe a prywatność 1.5 Metody ochrony prywatności 1 2 1.1 Prawo chroniące prywatność 1.2 Programy szpiegujące Konstytucja RP art. 49 Ustawa zasadnicza gwarantuje wolność i ochronę tajemnicy komunikowania się. Uprawnienie to jest szeroko rozumiane. Chodzi więc nie tylko o tajemnicę korespondencji, ale również o prawo do zachowania w tajemnicy np. samego faktu, że komunikacja między danymi osobami w ogóle miała miejsce. Programy szpiegujące (monitorujące działalność) Notują informacje wprowadzane za pomocą klawiatury Robią okresowo zrzuty ekranów Notują odwiedzane strony www, uruchamiane aplikacje, operacje na plikach i folderach Wyniki przesyłane e-mailem lub dostępne lokalnie 3 4 1.3 Monitorowanie pracowników (1/4) 1.3 Monitorowanie pracowników (2/4) Rodzice sprawują opiekę i nadzorują małoletnie dzieci mogą z mocy prawa monitorować aktywność dzieci bez informowania ich. Pracodawca ma prawo do zabezpieczenia swojego interesu. Chodzi o wydajność pracowników, jak i wycieki informacji. Czy Pracodawca może MONITOROWAĆ pracowników (TAK) Czy Pracodawca MUSI POWIADAMIAĆ o monitorowaniu (TAK) wyjaśnienie --> POLSKA: Artykuł 94 punkt 2 Kodeksu Pracy: pracodawca ma obowiązek organizowania pracy w sposób zapewniający pełne wykorzystanie miejsca pracy POLSKA: Departament Prawa Pracy MPiPS rozszerzając wykładnię tego przepisu potwierdził, że pracodawca może kontrolować zawartość skrzynki e-mailowej pracownika, czytać korespondencję służbową pracownika i udostępniać ją innym pracownikom. (04.2007) wyrok Europejskiego Trybunału Praw Człowieka: wg Europejskiej Konwencji Praw Człowieka (art. 8), ewidentnym naruszeniem prawa do prywatności jest brak powiadomienia pracownika o monitorowaniu rozmów, poczty e-mail oraz rejestrowaniu odwiedzanych stron www 5 6 1
1.3 Monitorowanie pracowników (3/4) 1.3 Monitorowanie pracowników (4/4) Rozmowa z GIODO (2009) Jeżeli pracodawca zakazuje używania komputera do celów prywatnych, to może monitorować podwładnych Jeżeli pracodawca zezwala na korzystanie z komputerów do celów prywatnych, to może dokonywać kontroli, ale ograniczając się do sprawdzania ruchu w sieci bez wchodzenia w treść korespondencji. Zawsze jednak musi powiadamiać o ewentualnych kontrolach. TOTALNA KONTROLA: Monitoring nie może naruszać prywatności pracowników (poszanowanie godności i dóbr osobistych pracowników) Dobra osobiste: zdrowie, wolność, cześć, swoboda sumienia, nazwisko lub pseudonim, wizerunek, tajemnica korespondencji, nietykalność mieszkania, sfera życia rodzinnego, prywatnego, sfera intymności. Totalna kontrola (zrzuty ekranowe, keyloggery) jest sprzeczna z prawem do ochrony prywatności (nieuprawnione rejestrowanie i - Zabronione umieszczanie kamer w szatni, toalecie gromadzenie danych osobowych) - Zabronione czytanie korespondencji prywatnej 7 - Zabronione pytanie m.in. dr oinż.tomasz karalność Łukaszewski, ciążę, stan zdrowia. 8 Gazeta.pl 13.01.2009 1.4 Serwisy społecznościowe a prywatność Google ostrzega, że serwisy społecznościowe (np. Facebook, MySpace) mogą stanowić zagrożenie dla sfery prywatnej użytkowników: 2. łączenie rozproszonych danych użytkownika zautomatyzowane powiadomienia o aktywności członków rozmaitych społeczności internetowych(np. powiadamianie o nowych przyjaciołach) (Cypherpunks, Mixmaster, Mixminion) (TOR/JAP) (FreeNet, I2P) 9 10 Wprowadzenie Co nas zdradza? adres IP w nagłówku dane w cookie Jak zachować anonimowość? Remailery Proxy Łańcuchy proxy Anonimowa dystrybucja P2P Sieci bezprzewodowe (nie omawiane na tym wykładzie) Anonimowe płatności (nie omawiane na tym wykładzie) 11 anon.penet.fi(1993) (Typ 0) pseudoanonimowość możliwość odpowiedzi(baza danych) remailer: baza danych(nadawca/cyfry@anon.penet.fi) Z: ataki na bazę / analiza ruchu wejściowego i wyjściowego Wysyłanie wiadomości Centralny remailer Ewntualna odpowiedź 12 2
Cypherpunks Distributed Remailer (Typ 1) (pseudo) anonimowość użycie reply block ów do odpowiedzi nadawca: szyfruje wiadomość kluczami publicznymi serwerów Z: możliwość analizy we/wy Mixmaster (Typ 2) ulepszenie Cypherpunks a (pseudo) anonimowość podział wiadomości na pakiety przez nadawcę pakiety wysłane różnymi ścieżkami, wspólny końcowy remailer szyfrowanie między każdą parą remailerów remailer zbiera pakiety w grupę przed wysłaniem ich dalej ostatni remailer zbiera pakiety w całość pakiety miedzy remailerami stały rozmiar Klient Adresat Z: możliwość wielokrotnej odpowiedzi i analiza ruchu 13 14 2.1 e-mail Mixminion (2002) (Typ 3) ulepszenie Mixmastera (pseudo) anonimowość mechanizm Single Use Replay Block SURB, likwiduje możliwość rozpoznania nadawcy poprzez wielokrotną odpowiedź na tego samego email a i analizowanie ilości przekazywanych wiadomości przez kolejne remailery. www.10minutemail.com tymczasowe konto pocztowe (bez rejestracji) Z:? 15 16 2.2 Serwery proxy (Cypherpunks, Mixmaster, Mixminion) (TOR/JAP) (FreeNet, I2P) Serwer proxy transparentne (nie ukrywają IP nadawcy) / anonimizujące serwery / anonimizujące serwisy www (np. hells.pl) 17 18 3
TOR (The Onion Routing) (TCP) (Cypherpunks, Mixmaster, Mixminion) (TOR/JAP) (FreeNet, I2P) klient Onion Proxy (lokalne proxy) przekaźniki (wolentariusze): pośrednie / końcowe serwery katalogowe lista aktywnych przekaźników nadawca: szyfruje wiadomość kluczami publicznymi serwerów Onion routing (1996), TOR (2004) 2 generacja 19 20 Serwer Katalogowy Łańcuchy proxy Połączenie nieszyfrowane Klient INTERNET TOR (The Onion Routing) (TCP) cd. TOR używa danej ścieżki tylko przez około 10 minut Jeśli użytkownik nie zmienia adresu docelowego pakietów (np. IRC) zmiana nie zachodzi gdyż zmiana zdradziłaby ukrywającego się użytkownika że wykorzystuje program typu Tor Połączenie szyfrowane może być złamana przez spreparowany kod w Javie, Flashu, ActiveX, JavaScripcie (powinno się zablokować tę zawartość) lub podstawiony węzeł końcowy Klient Prawo w niektórych krajach (UK, Germany) powoduje, że postawienie węzła końcowego jest bardzo ryzykowne 21 22 TOR - aplikacje Privoxy non caching Web Proxy m.in. chroni przed zdradzeniem tożsamości serwerowi DNS email, ftp, ssh, komunikatory, irc, bittorent Polipo uproszczone Web Proxy (stosowane w portable browsers) OperaTor browser + klient tor Tor Browser browser + klient tor + komunikator (Piddgin) Vidalia GUI dla TOR (kient/serwer) Janus VM maszyna wirtualna 23 24 4
JAP Java Anonymous Proxy / JonDo (aktualna nazwa) (HTTP) badawczy projekt Technical University of Dresden JAP/JonDo klient JAP lokalne proxy dla przeglądarki serwery (Mixy) (zazwyczaj 3) łączone są w grupy kaskady mixów, których jest około kilku dla zwiększenia anonimowości generowane są fałszywe pakiety Dummy - generacja sztucznego ruchu w przypadku braku jego odpowiedniego natężenia zmiana kaskady mixów na życzenie użytkownika Przenośna przeglądarka: JondoFox 25 26 Łańcuchy proxy (Cypherpunks, Mixmaster, Mixminion) (TOR/JAP) (FreeNet, I2P) 27 28 ANONIMOWOŚĆ P2P: Węzły sieci nie mają identyfikatorów Węzły sieci nie wiedzą, czy dane otrzymane od sąsiedniego węzła zostały na tym węźle utworzone czy też jedynie zostały przez niego przekazane Węzły sieci nie wiedzą, czy dane przekazywane do sąsiedniego węzła są dla niego czy też będą przekazane dalej FreeNet (1999) anonimowa sieć dystrybucji oparta na P2P: pliki, serwisy www, e-maile, komunikaty brak cenzury, filtrowania brak standardowego portu TCP samooptymalizacja dane częściej pobierane występują w wielu kopiach i przemieszczane w te miejsca sieci gdzie jest zainteresowanie i pozostają w sieci na dłużej 29 30 5
FreeNet (1999) udostępniamy fragment przestrzeni dyskowej (np. 1 GB) na pliki, serwisy www, e-maile, komunikaty. zapytania o plik są propagowane (hops-to-live); w przypadku braku odpowiedzi w ustalonym czasie odpowiadamy negatywnie pakiety mają identyfikatory uniknięcie ponownego przepływu nie wiemy czy sąsiad wysyła zapytanie czy je przekazuje nie wiemy co przepływa połączenie jest szyfrowane nie wiemy co mamy zasoby na dysku są zaszyfrowane okresowo migracja zasobów (unikanie skompromitowania) 11 0 Masz plik? 5 10 1 2 3 Wysyłanie 2.4 Anonimowa dystrybucja zapytania P2P 6 4 7 Klient Free Net 8 9 Informacja o braku pliku Tak Mam! Odesłanie informacji o posiadanym pliku 31 32 FreeNet wyszukiwanie zasobu na podstawie klucza trzeba go zdobyć klucze rozgłaszane lub umieszczane w serwisach klucze dla plików niezmiennych i dla dynamicznych stron Z: dane zapytanie zostało wygenerowane przez naszego sąsiada jeśli wielokrotnie wysyła zapytanie o ten sam klucz (prawdopod.) Z: wierzchołek który uzyskuje połączenie z nową osobą w sieci zna jej prawdziwy adres IP Z: sieć skompromitowana np. przez japońską policję 33 I2P (2003) Invisible Internet Project Protokół - wykształcił się z FreeNet u Programy: eepsite (browser), Susimail (klient poczty), imule (klient ed2k), Syndie (blog), I2PSnark (klient torrenta), anonimowość nadawcy i odbiorcy transmisja przez jednokierunkowe tunele o krótkim czasie życia rozproszona baza z adresami bramy do komunikacji garlic routing rozwinięcie koncepcji onion routing przesyłanie w jednej paczce (główce) wielu wiadomości skierowanych do wybranego celu + identyfikator nadawcy szyfrowanie wielowarstwowe. 34 Podsumowanie Podsumowanie Istniejące rozwiązania są podatne na ataki Rozwój wielu z nich ulega zatrzymaniu Najbardziej stabilne to TOR i JAP i I2P Zagrożenia (i obrona): skompromitowane węzły (kaskady serwerów) analiza wielkości paczek (stały rozmiar paczek) korelacja czasowa (opóźnienia lub fałszywe pakiety) replay wiadomości (wykrywanie duplikatów) Pracodawca może monitorować pracowników Pracodawca musi powiadamiać o monitorowaniu Pracodawca nie może czytać korespondencji prywatnej Pracodawca nie może realizować totalnej kontroli pracowników Wysoki poziom prywatności zapewnia zaufany terminal to: - anonimowe przesyłanie e-maili - anonimowe korzystanie z zasobów Internetu (np. TOR) - anonimowe sieci P2P (np. I2P) 35 36 6