211service.com
Statistische trucs halen gevoelige gegevens uit versleutelde communicatie
Geprikkeld door onthullingen over massaal overheidstoezicht, breiden consumentenwebbedrijven hun gebruik van encryptie uit en geven ze meer details over die beveiligingen vrij om op hun hoede zijnde klanten gerust te stellen. Eerder dit jaar heeft Apple bijvoorbeeld details vrijgegeven over hoe communicatie die via zijn iMessage-service wordt verzonden, wordt gecodeerd.
Nieuw onderzoek suggereert dat de Amerikaanse National Security Agency, of een andere organisatie die in staat is om grote hoeveelheden webverkeer te verzamelen, privé-informatie uit versleutelde communicatie zou kunnen halen door te zoeken naar patronen in die datastroom. In tests kon de analyse van versleuteld internetverkeer de gezondheidstoestanden blootleggen die een persoon online aan het onderzoeken was. Vergelijkbare technieken kunnen informatie verzamelen over het gebruik van iMessage, zoals wanneer iemand begint te typen of in welke taal hij een bericht heeft geschreven. Dat onderzoek richt zich op een benadering die bekend staat als verkeersanalyse, waarbij statistische technieken worden gebruikt om patronen in versleutelde communicatie te vinden.
Onderzoekers van de University of California, Berkeley en Intel ontwikkelden een bijzonder effectieve versie die is gericht tegen HTTPS, de vorm van codering die wordt gebruikt om websites te beschermen en die voor websurfers zichtbaar is als een hangslot in de adresbalk van een browser. De techniek houdt in dat software de websites van interesse bezoekt en machine learning-algoritmen gebruikt om de verkeerspatronen te leren die aan verschillende pagina's zijn gekoppeld. Die patronen worden vervolgens gezocht in het verkeersspoor van een slachtoffer.
De aanpak bleek in staat om de pagina's te identificeren voor specifieke medische aandoeningen die een persoon bekeek op de websites van Planned Parenthood en Mayo Clinic, hoewel beide sites verbindingen met HTTPS versleutelen. Het kan ook identificeren welke diensten een persoon gebruikt wanneer hij of zij inlogt op financiële sites, waaronder Wells Fargo en Bank of America. Gemiddeld was de techniek ongeveer 90 procent nauwkeurig bij het identificeren van webpagina's. EEN papier over het Berkeley-onderzoek zal worden gepresenteerd op de Symposium over privacyverbeterende technologieën volgende maand in Amsterdam.
Verkeersanalyse zou een handig hulpmiddel zijn voor toezicht door overheidsprogramma's, zoals programma's die door de NSA worden gebruikt om versleuteld internetverkeer te verzamelen en te analyseren (zie NSA Leak Leaves Crypto Math Intact but Highlights Known Workarounds ). Bedrijven met toegang tot internetverkeer kunnen ook gemotiveerd zijn om het te gebruiken, zegt Brad Miller, de promovendus bij Berkeley die het onderzoek leidde.
Er zijn zeer valide use-cases van dit type analyse voor bedrijven, zegt hij. Een ISP kan bijvoorbeeld informatie willen verkrijgen over de online activiteiten van zijn klanten die kunnen worden gebruikt om advertenties te targeten, zelfs als die klanten hun browsen of communicatie hebben versleuteld. Sommige ISP's, zoals Verizon Wireless, verkopen voor dergelijke doeleinden al gegevens over het browsen van hun klanten aan derden.
Scott Coull , een onderzoeker bij het beveiligingsbedrijf Redjack , zegt dat het werk van Berkeley het nieuwste is in een reeks artikelen die laten zien hoe verkeersanalyse tegen consumenten kan worden gebruikt. Als je kijkt naar het ergste geval voor dit soort aanvallen, ziet het er niet erg goed uit, zegt hij.
Coull ontdekte onlangs dat verkeersanalyse zeer effectief kan zijn tegen berichten verzonden via iMessage van Apple , die worden gecodeerd vanaf het moment dat ze worden verzonden tot het moment dat ze worden ontvangen. iMessage is verreweg het ergste dat ik heb gezien, zegt hij. Coull kon identificeren wanneer gebruikers begonnen of stopten met typen, een bericht verzonden of openden, de taal waarin een bericht was geschreven en de lengte ervan, met een nauwkeurigheid van 96 procent of hoger.
Dat, in combinatie met het feit dat het iMessage-protocol een unieke identificatiecode voor een apparaat verzendt, komt neer op vergelijkbare metadata als wat controversieel is verzameld door de NSA over Amerikaanse telefoongesprekken, zegt Coull. Als ik de mogelijkheid had om een groot deel van het verkeer van en naar de iMessage-servers te volgen, zou ik een sociaal netwerk kunnen bedenken van wie berichten naar wie stuurt, en de taal die ze gebruiken en de geschatte grootte van de berichten, zegt hij. .
Coull ontdekte dat zijn techniek meestal 100 procent effectief was tegen berichten die werden verzonden via de populaire mobiele berichtenservices WhatsApp en Viber.
Tegenwoordig besteden maar weinig online serviceproviders veel aandacht aan verkeersanalyse bij het implementeren van codering om de privacy te beschermen, zegt Ashkan Soltani , een onafhankelijke beveiligingsonderzoeker die heeft bijgedragen aan de Washington Post ’s Pulitzer-winnende berichtgeving over NSA-surveillance. Die bezorgdheid is meestal meer gericht op de beveiligingsgemeenschap dan op de daadwerkelijke website-exploitanten die codering implementeren, zegt hij.
Een operator die zich wel wilde verdedigen tegen verkeersanalyse, zou het waarschijnlijk duur vinden. Onderzoekers, waaronder Coull en het team van Berkeley, hebben manieren getest om versleutelde gegevens op te vullen om weggeefpatronen te verbergen voor verkeersanalyse, maar het overdragen van extra gegevens is niet gratis. Het is ongelooflijk duur om je sporen uit te wissen, zegt Coull. Hij berekent dat de servers van Apple drie keer zoveel gegevens zouden moeten overbrengen om de verkeersanalyse tegen iMessage te verminderen.
Hoe een overheidsinstantie of bedrijf verkeersanalyse in de praktijk kan gebruiken, is echter onduidelijk. Coull zegt dat hij onderzoek zou moeten doen met behulp van echte verkeersgegevens, bijvoorbeeld van een ISP, om licht op die vraag te werpen.