Beobachtungsmöglichkeiten
im Domain Name System
Angriffe auf die Privatspäre und
Techniken zum Selbstdatenschutz
Dr. Dominik Herrmann
Folien zum Download:
http://dhgo.to/dns-dagstuhl
Tracking ohne Cookies
Überwachung von Internetnutzern
anhand ihrer DNS-Anfragen
Tracking-Cookie
Browser-Fingerprinting
ID = 22e4970c0a0200bb…
jumpzone.de
bild.de
allianz.de
Google
Werbenetz
aktuelle Techniken unzuverlässig bzw. erkennbar 3
Neues Verfahren
Wiedererkennung anhand der
beobachtbaren DNS-Anfragen
Herausforderung
Wiedererkennung von Nutzern trotz
(meist täglich) wechselnder IP-Adressen
34.7
51.171.34.7
51.171.34.7
74.22.5.47
51.171.34.7
51.171.34.7
51.1
74.22.5.47
74.22.5.47
74.2
Frau B. 88.21.45.90
88.21.45.90
88.21.45.90
88.21.45.90
88.21.45.90
89.13.10.81
89.13.10.81
89.13.10.181
89.13.10.181
89.13.10.181
89.13.10.181
89.1
89.1
89.171.34.7
89.171.34.7
89.171.34.7
21.47
133.231.21.47
133.231.21.47
133.231.21.47
133.231.21.47
133.231.21.47
133.2
015
2. Mai 2015
3. Mai 2015
4. Mai 2015
5. Mai 2015
.181
4
6. M
Das Domain Name System löst Domains in IP-Adressen auf.
217.79.215.140
DNS-Server
bundestag.de ?
Client ?
1
Browser
2
Internetanbieter
(T-Online)
Webserver
Vertraulichkeit?
Brauchen wir nicht.
Deutscher
Bundestag
5
sicherer,
zuverlässiger
bundestag.de ?
Client ?
217.79.215.140
217.79.215.140
DNS-Server
DNS-Server
1
Google
bundestag.de ?
1
Browser
? Client
Browser
2
Internetanbieter
(T-Online)
Webserver
Webserver
Deutscher
Bundestag
Deutscher
Bundestag
2
Internetanbieter
(T-Online)
Google DNS-Server 8.8.8.8
>150 Mrd. Anfragen pro Tag (2013)
oder doch?
6
Hypothese
individuelle Vorlieben
tägliche Routine
Verkettung durch überwachtes Lernen
1 Trainingssitzung
je Nutzer
alle besuchten Domains
bis zum IP-Wechsel
1 zu klassifizierende
Sitzung je Nutzer
88.21.45.90
88.21.45.90
89.13.10.181
89.13.10.181
89.171.34.7
89.171.34.7
133.231.21.47
133.231.21.47
gestern
heute
7
Konstruktion des Verkettungsverfahrens
focus.de
…0
0
1
airbus.com
0
0
2
0
bahn.de
0
1
0…
Logarithmierung der Häufigkeiten
Gewichtung mit IDF-Faktor
Normierung der Vektorlänge
Bildung von N-Grammen
n-dimensionale
Merkmalsvektoren
bundestag.de bahn.de
focus.de airbus.com …
Nutzer 1
1-Nearest-Neighbor-Klassifikator
Cosine-Similarity
Nutzer 2
…
Nutzer n
8
Empirische Untersuchung 1/2
Forschungsfragen:
-  Genauigkeit?
DNS-Log
61 Tage
>3800 Nutzer
5 Mio. Domains
38 Mio. Dimensionen
inkl. »ground truth«
9
Empirische Untersuchung 1/2
Genauigkeit
75 %
Forschungsfragen:
-  Genauigkeit?
-  Umgang mit Fluktuation?
86 %
0.9
optimiert
0.7
MNB
1NN
3000
0.5
2000
Anzahl der aktiven Nutzer
Datum 05/08
05/15
05/22
1000
05/29
Mehrdeutige Zuordnungen im Open-World-Szenario
3
3*
4*
gestern
heute
10
Empirische Untersuchung 2/2
Anteil der korrekten Verkettungen
Anteil der korrekten Verkettungen
0.136
1
Einflussfaktoren (Spearman)
0.8
0.6
0.4
Stunden/Tag
Intra-Ähnlichkeit
+0,32
+0,26
0.2
Inter-Ähnlichkeit
–0,46
0
0
0.2
0.4
0.6
0.8
Kumulierter Anteil der Nutzer
0.9
1
11
Verkettung gelingt auch unter erschwerten Bedingungen
nur N populärste
Domain (statt
alle 5 Mio.)
Training vor x
(statt 1) Tagen
62 %
76 %
86 %
12.015
76 %
Anzahl der Nutzer
(statt 3862)
12
Ergebnis: neue Beobachtungsmöglichkeiten – nicht nur im DNS
Google Doubleclick
Google 8.8.8.8
Werbenetz
DNS-Server
können gelöschte
Cookies rekonstruieren
Tracking
ohne Cookies
besuchte
Webseiten
eingesetzte
Software
BACKUP
rein passiv und
nicht erkennbar
Verlust der informationellen Selbstbestimmung
13
Praktikable Techniken zum Schutz vor Verkettung
Sitzungsdauer
5 min
31 %
IP-Adresse häufig wechseln
10 min
34 %
1h
55 %
6h
70 %
24 h
86 %
7 Tage
97 %
Chance
»Privacy by Default« mit IPv6
ANON/NG
Selbstdatenschutz mit DNSMIX
BACKUP
14
Beobachtungsmöglichkeiten im DNS
umfangreich, aber bislang vernachlässigt
(INFERENZ-)ANGRIFFE
AUF DIE PRIVATSPHÄRE
Verhaltensbasiertes
Tracking ohne Cookies
DNS-basiertes
Website-Fingerprinting
Software-Identifizierung
anhand DNS-Verhaltens
Sensibilisierung – aber auch in der IT-­‐Forensik anwendbar Dominik Herrmann
Universität Hamburg
TECHNIKEN ZUM
SELBSTDATENSCHUTZ
Häufiger IP-Wechsel
längeres DNS-Caching
Verschleierung
Range Querys
Unbeobachtbarkeit
DNSMIX-Push-Dienst
Gestaltungsvorschläge für Forschung und Entwicklung http://dhgo.to/dns-dagstuhl
15

Beobachtungsmöglichkeiten im Domain Name System