Δομή της παρουσίασης

Σεμινάριο Ανωνυμία στο Διαδίκτυο Internet Anonymity Seminar Ανωνυμία και Ιδιωτικότητα στο διαδίκτυο Λέκτορας Π. Κοτζανικολάου pkotzani@unipi.gr Πανεπιστήμιο Πειραιώς Τμήμα Πληροφορικής 6/6/2013

Δομή της παρουσίασης 0) Η κοινότητα Blackd@ck 1) Εννοιολογική θεμελίωση 2) Κοινωνική διάσταση της ανωνυμίας 3) Μορφές παραβίασης της ανωνυμίας 4) Μύθοι σχετικά με την ανωνυμία 5) Ανωνυμία στο διαδίκτυο Τεχνική προσέγγιση 6) Επιθέσεις, αντίπαλοι και πρωτόκολλα ανωνυμίας 7) Τι ακολουθεί 2

0. Η κοινότητα Blackd@ck Στόχος Η καθιέρωση ενός ανοιχτού χώρου μάθησης γύρω από θέματα ασφάλειας και γενικότερα της Πληροφορικής. Εκδηλώσεις Σεμινάρια Ασφάλεια Διαδικτυακών εφαρμογών Ανωνυμία στο Διαδίκτυο Lighting talks, workshops, study groups HTML5 Game Development study group Git (Παρουσίαση & Workshop) 3

0. Η κοινότητα Blackd@ck Κάλεσμα Όσοι φοιτητές ενδιαφέρονται να βοηθήσουν με τα διαδικαστικά ή κάνοντας κάποια παρουσίαση είναι φυσικά ευπρόσδεκτοι! Ενημερώσεις και επικοινωνία blackduck.cs.unipi.gr Ανακοινώσεις με τις τρέχουσες εξελίξεις της κοινότητας Υλικό όλων των εκδηλώσεων blackduck-discuss@students.cs.unipi.gr Δημόσια mailing list συζητήσεων για τα δρώμενα της κοινότητας Εγγραφή από τη σελίδα

1. Εννοιολογική θεμελίωση Ιδιωτικότητα (Privacy) The right to be left alone Το δικαίωμα στην ιδιωτική ζωή το οποίο θα πρέπει να προστατεύεται από παραβίαση, εκτός εάν διατρέχει κάποιος πολύ σημαντικός λόγος για το δημόσιο συμφέρον [1] Η δυνατότητα ενός ατόμου να αποκλείσει τον εαυτό του, ή πληροφορίες που αφορούν το άτομό του, από τρίτους Ανωνυμία (Anonymity) «Η ανωνυμία είναι η ασπίδα από την τυραννία της πλειοψηφίας» (απόφαση Ανωτ. Δικαστηρίου ΗΠΑ, 1995) [2] Η δυνατότητα του ατόμου να αποκρύψει την ταυτότητά του από τρίτους 5

1.1 Μορφές της ανωνυμίας Ανωνυμία και ταυτότητα: μπορεί να είμαι ή να μην είμαι ο Χ Ανωνυμία και έκφραση γνώμης: είμαι ο Χ και μπορεί να έχω ή να μην έχω πει το Υ Ανωνυμία και θέση: είμαι ο Χ και μπορεί να βρίσκομαι ή να μην βρίσκομαι στη θέση Υ (τη στιγμή Ζ) Ανωνυμία και γνώση: είμαι ο Χ και μπορεί να γνωρίζω ή να μην γνωρίζω το Υ 6

1.2 Ανωνυμία και αυθεντικοποίηση Ανωνυμία ~= αποκρύπτω την ταυτότητά μου Αυθεντικοποίηση ~= αποδεικνύω ότι είμαι μία γνωστή οντότητα Η απόλυτη αντίθεση (;) 7

2. Κοινωνική διάσταση ανωνυμίας Η ανωνυμία ως θεμελιώδες δικαίωμα του ανθρώπου Ανωνυμία εναντίον ολοκληρωτισμού Διασφάλιση ελεύθερης επικοινωνίας Προστασία ιδιωτικής ζωής Ανωνυμία και ανθρώπινη ιδιοτέλεια Ανωνυμία και έγκλημα Ανωνυμία και παρενόχληση 8

2.1 Ανωνυμία εναντίον ολοκληρωτισμού Χ Αντίσταση στην καταπίεση της ελευθερίας λόγου Άξονας ανωνυμίας Απόλυτη ανωνυμία Ελεύθερη επικοινωνία Ολοκληρωτισμός Άξονας ελευθερίας Δημοκρατία Καθολική παρακολούθηση Ελεγχόμενη επικοινωνία Ανελευθερία λόγου Χ Καθόλου ανωνυμία 9

2.2 Ανωνυμία και ιδιοτέλεια Άξονας ανωνυμίας Απόλυτη ανωνυμία Εγκληματικές πράξεις Παρενόχληση Χ Αλληλοσεβασμός Άξονας Ιδιοτέλειας Ατομισμός Καταλογισμός ευθύνης Καθόλου ανωνυμία Χ 10

2.2 Όλα μαζί Άξονας ανωνυμίας Απόλυτη ανωνυμία Αντίσταση στην καταπίεση της ελευθερίας λόγου Παράνομες ενέργειες Ελεύθερη επικοινωνία Παρενόχληση Ολοκληρωτισμός Αλληλοσεβασμός Άξονας ελευθερίας Δημοκρατία Άξονας Ιδιοτέλειας Ατομισμός Καθολική παρακολούθηση Ανελευθερία λόγου Ελεγχόμενη επικοινωνία Καταλογισμός ευθύνης Καθόλου ανωνυμια 11

3. Μορφές παραβίασης της ανωνυμίας 1. Άρση της ανωνυμίας (κρατική οντότητα) 2. Παραβίαση της ανωνυμίας (μη κρατική οντότητα) 3. Αυτο-παραβίαση της ανωνυμίας 12

3.1 Άρση της Ανωνυμίας Η οριζόμενη από το Νόμο δυνατότητα κάποιας Αρχής Επιβολής του Νόμου (Law Enforcement Authority), για άρση της ανωνυμίας/απορρήτου της επικοινωνίας 1. Στοχευμένη παρακολούθηση με «ελέγξιμα» μέσα 2. Στοχευμένη παρακολούθηση με «ελέγξιμα» μέσα 3. Συστήματα Άρσης Απορρήτου (Lawful Interception LI) 4. Συστήματα Στρατηγικής Παρακολούθησης (καθολική + προληπτική παρακολούθηση) Η διαδικασία, ο έλεγχος, οι προϋποθέσεις και το επίπεδο άρσης της ανωνυμίας/απορρήτου διαφέρει από χώρα σε χώρα 13

3.2 Παραβίαση της ανωνυμίας Η πέραν του Νόμου άρση της ανωνυμίας / απορρήτου της επικοινωνίας, συνήθως από κάποια μη κρατική οντότητα 1. Παρακολούθηση/ υποκλοπή 2. Κατάχρηση δεδομένων επικοινωνίας από Πάροχο Δικτύου 3. Κατάχρηση δεδομένων επικοινωνίας από Πάροχο Υπηρεσίας 14

3.3 Αυτό-παραβίαση της ανωνυμίας Η αποκάλυψη της ταυτότητας και των δεδομένων επικοινωνίας από το ίδιο το υποκείμενο της επικοινωνίας 1. Εθελοντική, συνειδητή(;) άρση της ανωνυμίας Για τη βελτίωση της παρεχόμενης υπηρεσίας, αποδέχομαι τη χρήση της ταυτότητάς μου και άλλων προσωπικών δεδομένων για σκοπούς... 2. Συναινετική, μη συνειδητή παραβίαση της ανωνυμίας Κοινωνικά δίκτυα, κινητές υπηρεσίες κτλ 15

4.Ανωνυμία και ατομική ευθύνη ή γνωστοί μύθοι σχετικά με την ανωνυμία και την ιδιωτικότητα 16

4.1 Ανωνυμία και ατομική ευθύνη 1 ος Μύθος: «Δεν είμαι αρκετά σημαντικός για να θέλει κάποιος τα δεδομένα μου» Γεγονότα: Πιθανώς ισχύει σε ατομικό επίπεδο. Όμως: το σύνολο των πληροφοριών >> άθροισμα των μερών Εκτιμώμενη αξία εταιρειών κοινωνικής δικτύωσης: αρκετά δισ. $ [3] Πιθανώς να μην είσαι σήμερα. Αύριο; 17

Ανωνυμία και Ατομική Ευθύνη 1. Αποτίμηση Facebook σύμφωνα με το Forbes [3] (συντηρητική εκτίμηση) 2. Αριθμός ενεργών λογαριασμών χρήστη (Σεπ. 2012) [4]: περίπου 1,01 δις

4.2 Ανωνυμία και ατομική ευθύνη 2 ος Μύθος: «Δεν κάνω κάτι παράνομο, δεν έχω τίποτα να κρύψω και δεν με ενοχλεί η χρήση των δεδομένων επικοινωνίας μου» Γεγονότα: Δεν χρειάζεται να κάνετε κάτι παράνομο για να γίνει χρήση των δεδομένων σας Χρήση δημόσια προσβάσιμων προσωπικών δεδομένων για την αξιολόγηση υποψήφιων ή υφιστάμενων εργαζόμενων [5] 19

Ανωνυμία και Ατομική Ευθύνη 25 Facebook Posts That Have Gotten People Fired (από το [6])

4.3 Ανωνυμία και ατομική ευθύνη 3 ος Μύθος: «Οι πάροχοι ηλεκτρονικών υπηρεσιών δεν θα καταχραστούν τα δεδομένα μου διότι αυτό θα κατέστρεφε την εικόνα τους /φήμη τους» Γεγονότα: Υπάρχουν πολλοί άλλοι κίνδυνοι όπως: Κακόβουλοι διαχειριστές / εσωτερικοί χρήστες Κενά ασφάλειας / ελλιπή μέτρα προστασίας Κενά «Πολιτικής Απορρήτου» 21

Ανωνυμία και Ατομική Ευθύνη Γνωστά περιστατικά μεγάλης έκτασης παραβίασης δεδομένων χρηστών 1. Νοέμβριος 2012: Ποινική δίωξη για την κλοπή προσωπικών δεδομένων (όπως ονοματεπώνυμα, διευθύνσεις, τηλέφωνα, φορολογικά στοιχεία) 9.000.000 πολιτών στην Ελλάδα [7] 2. 2011: Κλοπή δεδομένων από 24.500.000 λογαριασμούς χρηστών της εταιρείας Sony [8]

4.4 Ανωνυμία και ατομική ευθύνη 4 ος Μύθος: «Η μαζική καταγραφή των επικοινωνιών είναι πρακτικά ανέφικτη γιατί κοστίζει πάρα πολύ» Γεγονότα: Υπoτυπώδης υπολογισμός για τη μαζική καταγραφή όλων των σταθερών κλήσεων στη Γερμανία, το έτος 2010 [9]: 197 δις λεπτά κλήσεων/έτος με κωδικοποίηση 8 Kbps ~= 12 Petabyte $500 εκ. / Pb = $7,5 εκ ή περίπου 6.000.000 Συνολικό κόστος για ΟΛΕΣ τις επικοινωνίες ~= 30.000.000 23

5. Ανωνυμία στο Διαδίκτυο Τεχνική προσέγγιση Μορφές επικοινωνίας μέσω διαδικτύου 1. Υπηρεσίες επικοινωνιών (communication services) VoIP, Internet access, email, chat 2. Υπηρεσίες Ιστού (web services) Κοινωνικά δίκτυα, ανταλλαγή αρχείων, ηλεκτρονικές υπηρεσίες (π.χ. η-συναλλαγές, η-ψηφοφορίες, η-δημοπρασίες ) 3. Υπηρεσίες βασισμένες στη θέση (Location Based Services) Σποραδικά ερωτήματα (π.χ. εστιατόρια κοντά μου) Υπηρεσίες τύπου push (π.χ. ενημέρωσέ με για την τιμή της βενζίνης όταν πλησιάσω σε σταθμό ανεφοδιασμού) Συνεχείς υπηρεσίες θέσεις (π.χ. συνεχής λήψη της κίνησης σε ακτίνα 1 χμ. από το αυτοκίνητό μου) 24

5.1 Δεδομένα επικοινωνίας 1. Εσωτερικά δεδομένα (Content data): Το πραγματικό περιεχόμενο της επικοινωνίας 2. Εξωτερικά δεδομένα (Context data): Δεδομένα που χρησιμοποιούνται για τον έλεγχο και την παροχή της επικοινωνίας, όπως: Τηλεφωνικός Αριθμός Διεύθυνση IP Διεύθυνση e-mail Διεύθυνση MAC Ημερ./ώρα σύνδεσης/ αποσύνδεσης κτλ 25

Εξωτερικά δεδομένα (Internet)

Εξωτερικά δεδομένα (Κινητή τηλεφωνία)

5.2 Ανωνυμία και επίπεδα δικτύου Σε κάθε επίπεδο ενός TCP/IP δικτύου χρησιμοποιούνται διαφορετικά δεδομένα επικοινωνίας για ταυτοποίηση 1. Επίπεδο σύνδεσης (data link layer) Διεύθυνση MAC 2. Επίπεδο δικτύου (network layer) Διεύθυνση IP 3. Επίπεδο εφαρμογής (application layer) Όνομα χρήστη (username) 28

5.2.1 Ανωνυμία στο επίπεδο σύνδεσης H διεύθυνση MAC χρησιμοποιείται μόνο στο τοπικό δίκτυο. Δεν μπορεί να χρησιμοποιηθεί για την ταυτοποίηση απομακρυσμένου χρήστη/κόμβου....εκτός από τους τοπικούς διαχειριστές δικτύου. 29

5.2.2 Ανωνυμία στο επίπεδο δικτύου Το πρωτόκολλο IP είναι δίκτυο point-to-point. Όλοι οι δρομολογητές (ακραίοι και ενδιάμεσοι) μαθαίνουν την IP της πηγής και την IP του προορισμού. Διαφορετικά δεν μπορεί να δρομολογηθεί η κίνηση. Διάφορες λύσεις για την απόκρυψη της ΙΡ πηγής (και προορισμού) με διαφορετικά επίπεδα προστασίας: NAT Proxies / Anonymizers TOR 30

Ανωνυμία στο επίπεδο δικτύου NAT NAT: Network Address Translation Protocol Αποκρύπτει την εσωτερική IP ενός κόμβου, αντικαθιστώντας την με μία δημόσια, πραγματική IP. Μπορεί εύκολα να εντοπιστεί ο εσωτερικός κόμβος (σε συνεργασία με τον ISP και τον διαχειριστή του τοπικού δικτύου) 10.0.0.1 NAT table LAN side addr WAN side addr 10.0.0.1:3345 111.22.33.4:5001 10.0.0.2:3346 111.22.33.4::5002. 10.0.0.2 10.0.0.3 Πραγματική IP (111.22.33.4) 31

Ανωνυμία στο επίπεδο δικτύου Anonymizers Proxies δημόσια προσβάσιμοι από κόμβους του διαδικτύου Αντικαθιστά την IP ενός χρήστη με τη δική του IP Μπορεί εύκολα να εντοπιστεί ο εσωτερικός κόμβος (σε συνεργασία με τον ISP και τον διαχειριστή του anonymizer) Anonymizer IP Web Server IP Χρήστης IP Χρήστη Anonymizer Anonymizer IP Web Server 32

Ανωνυμία στο επίπεδο δικτύου TOR Κατανεμημένο πρωτόκολλο ανωνυμίας το οποίο βασίζεται σε στρώματα κρυπτογράφησης Παρέχει εγγυημένη ανωνυμία εφόσον δεν αποκαλύψει το μυστικό κλειδί του τουλάχιστον ένας ενδιάμεσος Περισσότερες λεπτομέρειες στη σχετική παρουσίαση! Alice R 4 R 1 R 2 R 3 Bob {M} pk(b) {R 2,k 1 },{ {R 3,k 2 },{ {R 4,k 3 },{ {B,k 4 },{ } pk(r 4) k4 } pk(r 3) k3 } pk(r 2) k2 } pk(r 1) k1 33

5.2.3 Ανωνυμία στο επίπεδο εφαρμογής Οι χρήστες (σταθεροί/κινούμενοι) συνδέονται στο δίκτυο μέσω ενός ISP, και αποκτούν πρόσβαση σε παρόχους υπηρεσιών (Service Providers) Οι χρήστες δεν χρησιμοποιούν κάποιο όνομα χρήστη αλλά ψευδώνυμα (pseudonyms / anonymous credentials) συνήθως μίας χρήσης για να αποκτήσουν πρόσβαση. Κάποια Έμπιστη(;) οντότητα είναι υπεύθυνη για την έκδοση των ψευδωνύμων. 34

5.4 Απαιτήσεις για ανώνυμη επικοινωνία Για να είναι ή επικοινωνία ανώνυμη, θα πρέπει να ικανοποιούνται ορισμένες απαιτήσεις (ή χαρακτηριστικά): 1. Απαιτήσεις Ιδιωτικότητας (Privacy requirements) 2. Απαιτήσεις Ασφάλειας (Security requirements) 3. Απαιτήσεις «Δικαιοσύνης» (Fairness requirements) Διαφορετικά πρωτόκολλα ικανοποιούν διαφορετικές απαιτήσεις σε διαφορετικά επίπεδα δικτύου (network layers) 35

5.4.1 Απαιτήσεις Ιδιωτικότητας Μη ανιχνευσιμότητα (untraceability): Η ταυτότητα του χρήστη δεν θα πρέπει να είναι ανιχνεύσιμη κατά την παροχή της υπηρεσίας Μη συνδεσιμότητα (unlinkability): Με δεδομένο ότι δεν μπορεί να ανιχνευθεί η ταυτότητα του χρήστη, θα πρέπει επιπλέον να μην είναι δυνατή η διασύνδεση δύο διαφορετικών προσβάσεων του ίδιου χρήστη 36

5.4.2 Απαιτήσεις Ασφάλειας Ανίχνευση πλαστών ψευδωνύμων (Unforgeability): Δεν θα πρέπει να επιτρέπεται η πρόσβαση σε χρήστες με μη έγκυρα (πλαστά) ψευδώνυμα Ανθεκτικότητα σε επιθέσεις «κλίκας» (Coalition resistance): Δεν θα πρέπει να μην είναι δυνατό σε χρήστες του συστήματος να συνδυάσουν έγκυρα ψευδώνυμά του και να δημιουργήσουν νέα έγκυρα ψευδώνυμα, τα οποία δεν θα οδηγούν στην ανίχνευσή τους Δυνατότητα ανάκλησης ψευδωνύμων (Revocation of credentials): Θα πρέπει να είναι δυνατή η ανάκληση ψευδωνύμων σε περίπτωση κατάχρησής τους 37

5.4.3 Απαιτήσεις «Δικαιοσύνης» Λογική σύγκρουση μεταξύ ανωνυμίας και αυθεντικοποίησης Εάν ικανοποιηθούν μόνο οι απαιτήσεις της ιδιωτικότητας, είναι πιθανό να το εκμεταλλευθούν κακόβουλοι χρήστες Εάν ικανοποιηθούν μόνο οι απαιτήσεις ασφάλειας, είναι πιθανό ο Πάροχος Υπηρεσίας να παραβιάσει την ιδιωτικότητα των χρηστών Ένα «δίκαιο σύστημα» ανώνυμης αυθεντικοποίησης θα πρέπει να ισορροπήσει όλες τις απαιτήσεις 38

Απαιτήσεις Δικαιοσύνης Για τον χρήστη Μη παγιδευσιμότητα (non-frameability) Δεν θα πρέπει να είναι δυνατό σε καμία οντότητα (η συνεργασία μεταξύ οντοτήτων) να συνδέσουν έναν νόμιμο χρήστη με μία πλαστή πρόσβαση Για τον Πάροχο Προστασία από μεταβίβαση ψευδωνύμων (non-transferability): Δεν θα πρέπει να είναι δυνατό σε χρήστες να μεταβιβάζουν σε τρίτους τα δικά τους έγκυρα ψευδώνυμα (χωρίς μεγάλο «κόστος») 39

6. «Αντίπαλοι» και μοντέλα ασφάλειας Οι οντότητες (entities) της επικοινωνίας Πάροχος Χρήστης Πάροχος Δικτύου Διαδίκτυο Υπηρεσίας Χρήστης Για να αναλύσουμε το επίπεδο ασφάλειας ενός πρωτοκόλλου ανώνυμης επικοινωνίας, θα πρέπει να ορίσουμε: 1. Ποιες οντότητες επικοινωνούν (ακραίοι κόμβοι) και ποιες παρεμβάλλονται (ενδιάμεσοι κόμβοι) 2. Ποιος ο σκοπός της επικοινωνίας (υπηρεσία) 3. Ποιες οντότητες θεωρούνται «Έμπιστες» και ποιες «Μη-έμπιστες» 4. Ποιες οντότητες συνεργάζονται μεταξύ τους 5. Πόση ανωνυμία θέλουμε να επιτύχουμε (απόλυτη, υπό συνθήκη) 40

Πόσο ασφαλές είναι ένα πρωτόκολλο ανωνυμίας; 1. Για να απαντηθεί το ερώτημα, θα πρέπει πρώτα να ορίσουμε όλα τα παραπάνω 2. Στη συνέχεια θα πρέπει να αποδείξουμε (με μαθηματικό τρόπο) ότι το πρωτόκολλο υποστηρίζει τις απαιτήσεις που θέσαμε Απαιτεί τη χρήση κρυπτογραφικών εργαλείων (γνωστών ή λιγότερο γνωστών όπως: Κρυπτογραφία δημόσιου κλειδιού (Public Key Crypto) Πρωτόκολλα μηδενικής γνώσης (Zero Knowledge Protocols) Ειδικοί αλγόριθμοι υπογραφών (π.χ. blind signatures) 3. Αναγωγή της δυσκολίας παραβίασης κάθε ιδιότητας του πρωτοκόλλου σε ένα γνωστό (και δύσκολο) κρυπτογραφικό πρόβλημα 41

7. Τι ακολουθεί Παρουσίαση πρωτοκόλλων/συστημάτων για ανώνυμη επικοινωνία: Ανωνυμία στο επίπεδο εφαρμογής Anonymous authentication / anonymous credentials Ανωνυμία στο επίπεδο ΙΡ TOR I2P Σενάρια επίδειξης / εφαρμογές πρωτοκόλλων ανωνυμίας 42

Αναφορές [1] Warren, S. D., Brandeis, L.D.: The Right to Privacy, Harvard Law Review, Vol. IV, No. 5, pp. 193 220, Dec. (1890) [2] Απόφαση του Ανώτατου Δικαστηρίου των ΗΠΑ, 1995 (υπόθεση McIntyre v. Ohio Elections Commission) [3] How Much is Facebook really worth?, Forbes, 21/2/2013, Πηγή: http://www.forbes.com/sites/gregsatell/2013/02/21/how-much-is-facebook-really-worth/ [4] Number of active users at Facebook over the year. Πηγή: Yahoo finace http://finance.yahoo.com/news/numberactive-users-facebook-over-years-214600186--finance.html [5] Beth E.H. Lory: Using Facebook to Assess Candidates During the Recruiting Process: Ethical Implications. https://www.class.umn.edu/crimson/dependancies/multimedia/facebook_in_hiring_ethical_implications.pdf [6] 25 Facebook Posts That Have Gotten People Fired. Πηγή: http://www.complex.com/tech/2012/05/25-facebookposts-that-have-gotten-people-fired/paynestaking [7] Ποινική δίωξη για την κλοπή των στοιχείων 9 εκατομμυρίων πολιτών. Πηγή: Καθημερινή, 20 Νοεμβρίου 2012, http://www.kathimerini.gr/4dcgi/_w_articles_kathremote_1_20/11/2012_470776 [8] Information Week Security, Sony Reports 24.5 Million More Accounts Hacked, Πηγή http://www.informationweek.com/security/attacks/sony-reports-245-million-more-accounts-h/229402656 [9] Julian Assange, Cypherpunks. Η ελευθερία και το μέλλον του Διαδικτύου», ISBN 978-960-7803-76-4, Εκδόσεις Ποιότητα, 2013 (Ελληνική μετάφραση) 43

Ερωτήσεις; 44