ITAT 2013 Proceedings, CEUR Workshop Proceedings Vol. 1003, pp. 18–23
http://ceur-ws.org/Vol-1003, Series ISSN 1613-0073, c 2013 M. Pataky



                                    Anonymita používatel’a v internete

                                                         Mikuláš Pataky

                           Katedra aplikovanej informatiky, FMFI UK, Mlynská Dolina 842 48 Bratislava
                                                    pataky@fmph.uniba.sk,

Abstrakt: Sledovanie používatel’a internetu a analyzova-            môžu útočníkom odhalit’ vel’mi konkrétne informácie z
nie jeho správania sa je čoraz častejším javom. Jednou zo         vyhl’adávačov, ktoré by vlastnými nástrojmi len vel’mi
základných techník sledovania používatel’a je stopovanie            zložito získavali, navyše im poskytuje určitú mieru krytia.
jeho webového prehliadača.                                            Ďalším zo spôsobov využitia deanonymizačnej techniky
   V tomto článku predstavíme teoretické východiská, ro-           je deSEO (vid’ [2]). Autori tohto článku vytvorili systém
zoberieme niekol’ko základných techník a predstavíme                deSEO, ktorý odhal’uje SEO útokom. deSEO je systém na
vlastný systém na detekciu odtlačkov prehliadačov a his-          automatické detekovanie útokom nakazených výsledkov
tórie nimi navštívených stránok s ciel’om čo najpresnejšie         vyhl’adávania bez skúmania obsahov webových stránok.
identifikovat’ používatel’a internetu.                              Za dobu trvania experimentu a preskúmania stoviek mi-
   Pri tvorení systému na deanonymizáciu sme kládli dôraz           liárd URL adries z vyhl’adávačov Bing a Google dosiahli
na jednoduchost’ implementačného riešenia založeného na            zaujímavé výsledky:
bežných webových technológiách ako PHP, CSS, JavaS-                     1. deSEO identifikoval viacero skupín škodlivých URL.
ript a Flash. Ciel’om predstavovaného výskumu je ako vy-                   Každá z týchto škodlivých skupín korešpondovala s
užit’ jeho výsledky v oblasti bezpečnosti (ochrana súkro-                 kampaňou ovplyvňujúcou tisícky URL.
mia či ochrana systémov pred kyber útokmi) , tak aj vy-
užit’ nazbierané dáta pre dôkladnejšiu analýzu návštev-                 2. deSEO je schopné identifikovat’ SEO kampane, ktoré
nosti web stránok.                                                         používajú zložité techniky ako je cloaking a majú me-
   Na overenie navrhnutého systému sme tento nasadili na                   niacu sa štruktúru liniek.
stránky Univerzity Komenského v Bratislave a jej fakul-                 3. Odvodenie signatúr regulárnych výrazov na detekciu
tách, čo nám umožnilo nazbierat’ dostatočné množstvo dát                 škodlivých URL skupín umožnilo zistit’, že až 36%
a v konečnom dôsledku zároveň pomohlo získat’ dôležité                   všetkých výsledkov hl’adania Googlu a Bigu obsahu-
informácie o návštevnosti a správaní sa používatel’ov na                   júci vo svojich top výsledkoch aspoň jeden škodlivý
jednotlivých stránkach univerzity.                                         link.
   Ako ukazujú výsledky nášho výskumu, identifikovanie
používatel’a cez jeho prehliadač, či zistenie jeho histó-             Systém HostTracker (vid’ [3]) využíva ID odvodené z
rie, môže uskutočnit’ l’ubovol’ná web stránka. Za sledo-           logov aplikačnej vrstvy, s ciel’om vytvorit’ jedinečné iden-
vané jednomesačné obdobie sme boli schopní jednoznačne            tifikátory host-a a sledovat’ väzby host-ov s IP adresami.
identifikovat’ 75.74% z 225 154 prehliadačov a 10.01%              HostTracker bol nasadený na jednom z najväčších posky-
prehliadačov umožnilo detekciu histórie.                           tovatel’ov emailovej komunikácie, kde dokázal 76% uda-
                                                                    lostí v logoch systému priradit’ používatel’ovi a 92% z
                                                                    nich dokázal vysledovat’. Počas jednomesačného nasade-
1    Úvod                                                           nia odhalil 12,6 milióna účtov botov s chybou false posi-
                                                                    tive 0,4%. Za toto obdobie pomohol zablokovat’ 20,8 mi-
Strata anonymity pre niektorých l’udí znamená vážny                 lióna škodlivých účtov.
problém. Väčšina z nich si neuvedomuje, že k nej môže                  Projekt Panopticlick (vid’ [4]) podáva zaujímavé vý-
dôjst’ rôznymi spôsobmi. Oblasti záujmu a informácie o              sledky o tom, že aj po 2 428 097 identifikovaných prehlia-
jednotlivých používatel’och sa dajú dobre zistit’ aj cez            dačoch, stále dokážu unikátne identifikovat’ nové. Toto je
známe internetové vyhl’adávače ako Google, Bing atd’. In-          priamy dôkaz toho, kol’ko informácií sa dá z nich dozve-
ternetové vyhl’adávače vedia kategorizovat’, prípadne do-          diet’. Autor článku uvádza, že ich identifikačný systém do-
statočného množstva dopytov aj identifikovat’, používate-          káže úspešne identifikovat’ až 94,2% prehliadačov. Prob-
l’ov podl’a sémantiky vyhl’adávacích dopytov a zobrazo-             lém updatu prehliadača jednotlivých používatel’ov doká-
vat’ výsledky, ktoré by mali byt’ pre nich zaujímavejšie.           zali vyriešit’ jednoduchou heuristikou, kde využívajú 85%
   Pomocou dobre mierených dopytov sa dá dostat’ i k cit-           zhodu starého a nového odtlačku. Táto heuristika im do-
livým informáciám ako sú emailové adresy, zle nakonfi-              kázala správne zaradit’ až 99,1% odtlačkov. Najväčšiu en-
gurovaným alebo k zranitel’ným serverom. Pre odhal’ova-             tropiu v tomto projekte dosahovali doplnky a fonty.
nie takýchto dopytov bol vyvinutý framework SearchAu-                   Ďalší podobný výskum, ale vo väčšej miere, prebehol
dit(vid’ [1]). Identifikuje škodlivé dotazy z logov rozšíre-        na pôde Microsoftu (vid’ [5]), kde analyzovali a porovná-
ných vyhl’adávacích strojov s úmyslom odhalit’ ich spo-             vali IP adresy, informácie prehliadača, cookies a používa-
jitost’ s potencionálnym útokom. Špecializované dotazy              tel’ské prihlasovacie ID nazbierané počas jedného mesiaca
Anonymita používatel’a na internete                                                                                          19


z Hotmailu a Bingu. Podl’a zistení 60% – 70% návštev-               Avšak, ani vyššie uvedená k-anonymita nemusí vo vše-
níkov sa dalo identifikovat’ s použitím iba user agent re-       obecnosti zabezpečit’ úplnú anonymitu údajov, a teda vy-
t’azca. S pridaním IP adresy sa úspešnost’ zvýšila na 80%.       lúčit’ budúcu deanonymizáciu. Útoky na k-anonymitu sú
User agent ret’azec spolu s IP adresou mali v tomto vý-          založené na d’alších informáciach, ku ktorým sa útoč-
skume väčšiu entropiu, 20,29 bitov, ako kombinácia dopl-        níci môžu dostat’. Napríklad použitím anonymizovaných
nkov prehliadača, rozlíšenia, časovej zóny a systémových       lekárskych a volebných údajov obyvatel’ov sa dajú zís-
fontov.                                                          kat’ o niektorých pacientoch úplné informácie (vid’. [12]).
   V súčasnej dobe sa stále zvyšuje záujem používatel’ov        Ochranu proti takémuto útoku zabezpečuje silnejšia pod-
internetu o sociálne siete, s ktorými tiež súvisí deanony-       mienka na anonymitu `-Diversity.
mizácia. Spojenie skupín v sociálnych siet’ach s detekciou          Pre náš výskum bolo zaujímavé prepojenie nášho de-
histórie v prehliadači viedlo k jednoznačnej identifikácii     tekčného systému s teóriou k-anonymity na zistenie stupňa
42% používatel’ov (vid’ [6]). O prepojení informácií z via-      anonymity daného prehliadača. Tento prístup rozpracová-
cerých sociálnych sietí píšu autori v (vid’ [7]), kde doká-      vame v časti výsledky.
zali prepojit’ tisícky účtov rôznych sociálnych siet’ach a
tým zhromaždit’ viac súkromných informácií o používa-            1.2   Zhrnutie analýzy
tel’och. Zaujímavému a čoraz aktuálnejšiemu prepojeniu
sociálnych sietí a mobilných zariadení sa venujú výskumi         Z uvedených príkladov je zrejmé, že deanonymizačné
(vid’ [8] a [9]).                                                techniky majú vel’ký význam v počítačovej bezpečnosti,
                                                                 a to hned’ z dvoch dôvodov. Jednak ako narušenie súkro-
                                                                 mia a odhal’ovanie identít používatel’ov útočníkmi a jed-
1.1    k-anonymita                                               nak na odhal’ovanie útočníkov, ktorí sa snažia narušit’ bez-
                                                                 pečnost’ systému. Rôznych spôsobov deanonymizácie je
S deanonymizačnými technikami nevyhnutne súvisia aj             niekol’ko. V našom projekte sme sa rozhodli vytvorit’ sys-
ich inverzné techniky – anonymizačné. Tieto sa snažia           tém na deanonymizáciu používatel’ov internetu za pomoci
upravit’ citlivé dáta tak, aby ich čast’ mohla byt’ bezpečne   zachytávania odtlačkov a histórií prehliadačov. Pri analýze
zverejnená. S týmto problémom sa často v praxi stretá-          nazbieraných dát zase využijeme k-anonymitu na určenie
vame pri lekárskych záznamoch. Kompletné lekárske zá-            anonymít prehliadačov.
znamy sú vysoko súkromné údaje, ku ktorým by mali                   Pre stále rastúci počet užívatel’ov, ako aj webových strá-
mat’ prístup iba kompetentné osoby. Na druhej strane je          nok, či aplikácií, sme si dali za ciel’ zistit’, ako dobre sa
pre všeobecný prospech vedecká analýza týchto dát, ktorá         dá bežný užívatel’ internetu identifikovat’. Pri každom do-
môže pomôct’ odhalit’ negatívne trendy. Jednoduché od-           pyte na webovú stránku, webový prehliadač za sebou za-
stránenie identifikátorov (napr. rodné čísla, číslo sociál-    necháva stopy – odtlačky, podl’a ktorých ho možno d’alej
neho poistenia) a mien z takýchto záznamov nezaručuje,          sledovat’. V niektorých kombináciách typu prehliadača a
aby sa znovu nedali identifikovat’ konkrétny l’udia.             operačného systému je možné z prehliadača zistit’ aj čast’
   Výskum ohl’adne anonymizácií citlivých dát viedol k           histórie navštívených stránok.
formalizovaniu prístupu nazvaného ako k-anonymita (vid’.
[10] a [11]). Tento prístup sa zakladá na výbere podmno-
                                                                 1.3 Organizácia článku
žiny atribútov, kvázi-identifikátorov QI, danej tabul’ky v
databáze, ktoré spĺňajú podmienku k-anonymity.                 V prvej časti sme opísali viacero prístupov a využití dea-
                                                                 nonymizačných techník. V druhej časti popisujeme archi-
Podmienka k-anonymity Všetky zverejnené dáta musia               tektúru a činnost’ vytvoreného detekčného systému. Ďal-
   byt’ také, že každá kombinácia hodnôt z kvázi-                šia, tretia čast’ sa venuje analýze nazbieraných dát. V nej
   identifikátorov môže byt’ nepriamo zhodná aspoň s            prehl’adne prezentujeme najzaujímavejšie dosiahnuté vý-
   k záznamami.                                                  sledky. V predposlednej, štvrtej časti, vyvodzujeme závery
                                                                 a objasňujeme niektoré dosiahnuté výsledky, v ktorej pred-
Samotná k-anonymita sa definuje ako:                             kladáme aj niekol’ko usmernení pre aplikačnú prax, t.j. rád
                                                                 pre používatel’ov ako ostat’ na internete čo najviac ano-
k-anonymita Nech T (A1 , A2 , ..., Am ) je tabul’ka a nech QI
                                                                 nymný. V poslednej časti predstavujeme plány do budúcna
    je kvázi-identifikátor zviazaný s T . Hovoríme, že T
                                                                 a d’alšie možnosti využitia implementovaného systému.
    spĺňa k-anonymitu s ohl’adom na QI vtedy a práve
    vtedy, ked’ každá sekvencia hodnôt T [QI] sa vysky-
    tuje v T [QI] aspoň k-krát.                                 2     Detekčný systém
  Ďalšou možnost’ou anonymizácie je generalizovanie             Prezentovaný výskum o anonymite sme zavŕšili vytvore-
údajov daného atribútu. Napríklad vynechanie posledných          ním systému na detekciu návštevníka webovej stránky,
dvoch čísel v PSČ. Týmito spôsoby sa môže čast’ citli-        teda na získavanie otlačkov jeho prehliadača, ktorého prin-
vých údajov zverejnit’ d’alším výskumom bez toho, aby            cipiálnym znakom je jednoduchost’ riešenia. Funkčné rie-
bola porušená anonymita pôvodných dát.                           šenie, ktoré sa nám podarilo implementovat’ do podoby
20                                                                                                                                                  M. Pataky


jedného <iframe>, je založené na bežných webových
                                                                                       www….uniba.sk
technológiách ako PHP, JavaScript a Flash.                                          <iframe> so scriptami
    Z vyššie uvedeného vyplýva, že podobný detekčný sys-
tém si môže v dnešnej dobe naprogramovat’ každý tvorca
webových stránok. Tento fakt je pre nás výskum dôležitý,                               PHP script
                                                                                                               Získanie
                                                                                                             základných
                                                                                                                                          Uloženie
                                                                                                                                          údajov do
lebo dokazuje schopnost’ l’ubovolnej internetovej stránky                                                     informácii                     DB

identifikovat’ užívatel’ov prehliadač. Tieto dáta sa dajú ná-
sledne z viacerých stránok spájat’ a tak budovat’ pomerne                                       JavaScript                                   Ajax
presný pohyb užívatel’a.
    Jednoduchost’ a štandardnost’ riešenia nám zároveň od-                                                                 FlashScript
                                                                                                                           pre detekciu
straňuje problém s označením nášho systému za škodlivý.                                                                     fontov

Pri použití d’alších technológií ako napríklad Java App-
                                                                                                                                          Ukladanie
letov by sa dalo pristúpit’ k d’alším zaujímavým infor-                               Generovanie
                                                                                                                               CSS        histórie do
                                                                                        odkazov
máciám, akými sú odhadnutie výpočtového či zobrazo-                                                                                      SESSION

vacieho výkonu daného zariadenia. Tieto vlastnosti sú aj
pri rovnakých zariadeniach (napríklad mobilných zariade-
                                                                                          Obr. 1: Architektúra detekčného systému
niach jedného typu) čiastočne rozdielne. Ich výkon totiž
závisí aj od rozdielnej verzie systému a najmä od apliká-
cií bežiacich na pozadí. Nevýhodou tohto riešenia je, že                        User Agent obsahuje mikroverziu prehliadača, verziu
niektoré prehliadače (IE 10+ a Chrome) sú prednastavené,                           operačného systému, jazyk, toolbary a občas aj d’al-
aby podobný obsah blokovali a oznamovali to používate-                              šie informácie, ktoré sa líšia s použitým prehliada-
l’ovi. Ten následne môže bud’ daný prvok zakázat’, alebo                            čom.
povolit’. Takéto správanie systému, na často navštevova-
nej stránke ako je univerzitná stránka, nebolo žiaduce, na                      Hlavičky HTTP ACCEPT
čo sme pri vývoji museli brat’ dôraz.
                                                                                Povolenie cookies
    Ďalším prvkom, ktorý by mohol byt’ užitočný pri iden-
tifikácii používatel’a, je poloha jeho zariadenia. Moderné                      Rozlíšenie obrazovky sa dá zist’ovat’ v dvoch smeroch
mobilné zariadenia môžu svoju polohu poskytnút’ navští-                             a to: rozlíšenie celej obrazovky a rozlíšenie prehlia-
venej stránke pre zobrazenie relevantnejšieho obsahu. Aj                            dača.
pri tejto technológii je však obdobný problém ako s App-
letmi, nakol’ko používatel’ musí toto poskytnutie informá-                      Farebná hĺbka obrazovky
cie o polohe potvrdit’ súhlasom.
                                                                                Časová zóna

2.1     Otlačky                                                                Doplnky prehliadačov

Odtlačky sú informácie, ktoré za sebou používatel’, resp.                      Systémové fonty sa dajú zist’ovat’ za pomoci flashu. Ten
jeho webový prehliadač, zanecháva. Podl’a rôznych kom-                             má prístup k ich zoznamu. Okrem zistenia jednotli-
binácií zozbieraných informácií z odtlačkov vieme ná-                              vých fontov je zaujímavý už len ich počet, ktorý sa od
sledne identifikovat’ daný prehliadač. Za predpokladu, že                          používatel’a k používatel’ovi mení. Identifikácia fon-
bežný užívatel’ používa iba jeden či dva obl’úbené prehlia-                        tov v podobe, ako ju používame, nefunguje na mobil-
dače 1 , je pomerne dobre vystopovatel’ný.                                         ných zariadeniach.
   Samozrejme, neexistuje zaručený spôsob ako prepojit’
                                                                                Test na partial supercookie či sa dajú vytvorit’ cookie
viaceré prehliadače daného používatel’a bez prihlásenia
                                                                                     domény 1. úrovne.
sa do systému, ktorý by jednoznačne identifikoval užíva-
tel’a. Sú prípady, kedy by odhalenie danej súvislosti bolo                      Trieda CPU dá sa zistit’ iba v niektorých prehliadačoch.
možné. Napríklad, ak existujú stránky, ktoré sú navštevo-
vané niektorými prehliadačmi častejšie v istých častiach                     História dá sa sledovat’ najmä prehliadačoch Opera a v
dňa 2 alebo ojedinelá kombinácia navštívených stránok.                             Interne Exploreri vo Windows XP.
   Ďalšia možnost’ prepojenia viacerých prehliadačov k
jednému užívatel’ovi, môže viest’ cez detekciu histórie.                        2.2 Architektúra
Avšak, táto možnost’ je omedzená iba na niektoré prehlia-
dače.                                                                          Vyvinutý detekčný systém využíva niekol’ko webových
   V našom systéme zbierame 38 rôznych odtlačkov. Tie                          technológií. Prepojenie jednotlivých častí je znázornené
najvýznamnejšie uvádzame tu:                                                    na obrázku 1.
      1 jeden vo svojom notebooku a druhý v mobile                                 Systém je nasadený na jednotlivých stránkach pomo-
       2 cez pracovnú dobu z počítača v práci, po nej z mobilu, alebo z po-   cou jedného <iframe>. V ňom sa sa spúšt’ajú všetky
čítača doma                                                                   skripty, ktoré odchytávajú jednotlivé odtlačky. Dôležitou
Anonymita používatel’a na internete                                                                                       21


podmienkou je, aby vel’kost’ <iframe> bola aspoň jeden         ako výsledok vráti obrázok do pozadia, a zároveň si vie
pixel. V prípade, ak táto podmienka nebude splnená, v <if-      zistit’ pomocou get parametra odkaz, z akej stránky ho za-
rame> sa nič nevyrenderuje a skripty sa nezavolajú. Tým,       volal. Aj tento spôsob sa podarilo prehliadačom MSIE, Fi-
že sme umožnili, aby <iframe> mal minimálnu vel’kost’           refox, Chrome a Safari úspešne zablokovat’ tým, že nepod-
iba jeden pixel, sme sa nestretli s tým, aby narušil dizajn     porujú URL v nastaveniach pozadia pre príznak visible.
stránky, a teda môže byt’ široko používaný.                     V prehliadačoch Opera je táto možnost’ stále otvorená. Jej
   Základné otlačky ako meno, verzia prehliadača, IP ad-      funkčnost’ sme overili vlastným detekčným systémom od-
resa, URL navštívenej stránky, sa zist’ujú pomocou PHP.         tlačkov.
Snažili sme sa, aby sme pomocou PHP odchytávali čo naj-           Príklad štýlu, ktorý v našom systéme používame na
viac odtlačkov pre prípad vypnutého JavaSriptu. JavaS-         zist’ovanie histórie:
ript odchytáva väčšinu d’alších otlačkov, z ktorých naj-
významnejší je zoznam rozšírení (pluginov) prehliadača.        .n1:visited {
Flash sa využíva na detekciu nainštalovaných fontov v             color: green;
OS.                                                               background-image:
                                                                    url(http://...sk/visited?web=1&user=46);
                                                                }
2.3    História
                                                                  Príklad odkazu, ktorý používame na zist’ovanie his-
Na zist’ovanie histórie sa požíva špeciálne CSS, ktoré for-     tórie:
mátuje odkazy na vybrané stránky. Ak je stránka odkazu            <a href="http://google.com"class="n1»</a>
navštívená, prehliadač ju naformátuje pomocou pseudo-
triedy visited, ktorá sa odvoláva na náš detekčný sys-
tém.                                                            3   Výsledky
    Zist’ovanie histórie navštívených webových stránok má
viacero zaujímavých využití. Okrem lepšej identifikácie         Presnost’ nášho systému sme overovali za pomoci co-
užívatel’a používajúceho viaceré prehliadače, prípadne aj      okies s dlhou exspiračnou dobou. Vo výslednej analýze
operačné systémy, sa dajú celkom dobre odhadnút’ aj jeho       nazbieraných dát sme zret’azili všetky odtlačky prehlia-
záujmy. Takáto informácia by bola vel’mi žiadaná naprí-         dača do jedného ret’azca. Vzniknutý ret’azec tvoril pre
klad v reklamnom priemysle, kde by užívatelia dostali iba       daný prehliadač identifikátor, pomocou ktorého sme skú-
reklamy, ktoré by ich mali zaujímat’. Na druhú stranu his-      mali anonymitu daného prehliadača. Využili sme teóriu
tória sa dá považovat’ za súkromnú informáciu a asi väč-       k-anonymity, kde sme naše odtlačky prehliadača dosadili
šina l’udí by ju nechcela zverejnit’. Aj preto sa snažia pre-   za kvázi-identifikátor. Vo všeobecnosti sme zistili, že ano-
hliadače históriu dobre chránit’.                              nymitu prehliadača najviac ovplyvňujú odtlačky ako roz-
    V roku 2010 bol publikovaný článok Feasibility and         šírenia prehliadača a systémové fonty. Počty prehliada-
real-world implications of web browser history detection        čov spĺňajúcich daný stupeň k-anonymity je uvedený v ta-
(vid’ [13]), ktorý popisuje zist’ovanie histórie navštíve-      bul’ke 1.
ných stránok. Uvádza dve odlišné metódy, ktoré sa zakla-           Systém bol nasadený na všetky stránky fakúlt Univer-
dajú na CSS štýlovom príznaku visible.                          zity Komenského v Bratislave počas dvoch období. Testo-
    Príznak visible umožňuje zvolit’ rozličný štýl pre we-    vacia 8 dňová prevádzka zaznamenala 263 070 zobrazení
bové odkazy, ktorých stránky už používatel’ navštívil a         fakultných stránok s 41 007 prehliadačmi. Jednoznačne sa
ktoré nie. Táto vlastnost’ je pri tvorbe webových stránok       nám podarilo pomocou zozbieraných otlačkov identifiko-
pomerne obl’úbená u používatel’ov, ktorí takto vedia zis-       vat’ 84,93% prehliadačov. Históriu sa nám podarilo zistit’
tit’, ktoré stránky z daného menu už navštívili.                u 13,21%.
    Využit’ na detekciu histórie sa dá príznak visible             Počas ostrého vyše jednomesačného nasadenia od
dvomi spôsobmi. Prvý je použitím JavaSrciptu. Konkrétne         17.12.2012 do 24.1.2013 sme zaznamenali úspešnost’
objektu style a jeho funkcie getPropertyValue. Táto             identifikácie 75.74% z 225 154 prehliadačov. Všetky
funkcia vracia hodnotu štýlu, ktorý je použitý na nejaký        údaje v tomto článku sú za toto obdobie.
HTML element. Za predpokladu vytvorenia dostatočne                V tabul’ke 1 prehl’adne uvádzame, kol’ko nami zachy-
vel’kej databázy URL najrôznejších stránok, vieme zistit’       tených prehliadačov spĺňa daný stupeň k-anonymity. V pr-
na ktorých stránkach z danej databázy užívatel’ bol a uro-      vom stĺpci uvádzame stupeň k-anonymity, v druhom počet
bit’ si tak predstavu o jeho záujmoch. Tento spôsob však        unikátnych identifikačných ret’azcov prehliadačov a v tre-
bol odhalený a všetky bežne používané prehliadače nedo-        t’om počet prehliadačov spadajúcich do daného stupňa k-
vol’ujú dotazovanie na štýl odkazu, ktorý má nastavený          anonymity. Prehliadače patriace do prvého riadku tabul’ky
príznak visible.                                                vieme jednoznačne identifikovat’. Prehliadače v druhom
    Druhý spôsob je využitie CSS vlastnosti background,         riadku už len s presnost’ou 50% atd’.
ktorá nastavuje pozadie elementu. Do tejto vlastnosti sa dá        10.01% prehliadačov sa za skúmané obdobie aspoň raz
vložit’ URL adresa, ktorá môže odkazovat’ na l’ubovol’né        prihlásilo z IP adresy univerzity. Počet zobrazených strá-
umiestnenie. Tým môže byt’ napríklad php skript, ktorý          nok bol 2 334 351 z čoho 19.22% tvorili návštevy z IP ad-
22                                                                                                                                                                                                                                  M. Pataky



                                                                           Počet návštev      Počet nových prehliadačov

                                                      120000                                                                    12000
                                                                                                                                                                                                                               Chrome
     Počey návštev stránok univerzity za deň




                                                                                                                                                                                                                               Firefox




                                                                                                                                            Počet nových prehliadačov za deň
                                                      100000                                                                    10000
                                                                                                                                                                                                                               Internet Explorer
                                                      80000                                                                     8000                                                                                           Handheld Browser
                                                                                                                                                                                                                               Opera
                                                      60000                                                                     6000                                                                                           Safari
                                                                                                                                                                                                                               Unknown Browser
                                                      40000                                                                     4000                                                                                           Maxthon
                                                                                                                                                                                                                               Nokia Browser
                                                      20000                                                                     2000                                                                                           Konqueror

                                                          0                                                                     0
                                                         17.12.2012 24.12.2012 31.12.2012 07.01.2013 14.01.2013 21.01.2013




Obr. 2: Graf zobrazuje vývin zaznamenávania dát od                                                                                                                             Obr. 4: Zastúpenie prehliadačov pristupujúcich na stránky
17.12.12 do 24.1.13                                                                                                                                                            univerzity (vonkajší kruh) a zastúpenie prehliadačov pri
                                                                                                                                                                               úspešnej detekcii histórie (vnútorný kruh)
        Tabul’ka 1: k-anonymita prehliadačov
 k-anonymita # id. ret’azcov # prehliadačov                                                                                                                                        Tabul’ka 2: Najnavštevovanejšie stránky FMFI
           1           170533            170533                                                                                                                                    Počet návštev Názov stránky
           2            14272             28544                                                                                                                                         3928        AIS2
           3             1275               3825                                                                                                                                        3020        Štúdium
           4              693               2772                                                                                                                                        2539        Bakalárske štúdium
           5              309               1545                                                                                                                                        2334        Študijné plány
           6              250               1500                                                                                                                                        2269        Bakalárske štúdium
           7              150               1050                                                                                                                                        2117        Kritéria pre prijímacie konanie
           8              103                824                                                                                                                                        1895        Štúdium
           9               78                702                                                                                                                                        1720        Aktuálne jedálne lístky
          10               66                660                                                                                                                                        1637        Prvý stupeň
                                                                                                                                                                                        1615        Jedáleň FMFI

ries patriacim univerzite. Počet „migrujúcich“ prehliada-
čov sme zaznamenali 6 495 čo tvori 26.30% zo všetkých                                                                                                                        dače (Chrome 34.79%, Firefox 33.99%, IE 18.62%),
prehliadačov prihlásených z univerzity (24 693).                                                                                                                              operačné systémy (Windows 7 49.69%, Windows XP
   U 23 503 (10.39%) prehliadačov bola zistená história                                                                                                                       28.74%, Windows Vista 7.29%, Android 2.96%, Mac
jedného z 18tich odkazov. Ak by sme rozšírili databázu                                                                                                                         OS X 2.35%), najmenej vyt’ažené dni (24.-25.12.),
odkazov, vieme pomerne dobre odhadnút’, aké stránky po-                                                                                                                        najaktívnejší prehliadač/používatel’ (11 899, 7 768, 6
užívatelia daných prehliadačov navštevujú. Detekciu his-                                                                                                                      049 zobrazení), najnavštevovanejšia stránka univerzity
tórie najviac umožňoval Internet Explorer, Opera a Hand-                                                                                                                      http://www.fphil.uniba.sk/index.php?id=5885 Prijímacie
held Browser (vid’ obr. 4).                                                                                                                                                    konanie 2013 13072 zobrazení (0.56%), používatelia si zo-
                                                                                                                                                                               brazili 2 743 stránok FMFI spolu 150 250 krát, atd’.
   Pomocou nášho systému sa dajú zistit’ aj iné zau-
jímavé štatistické zistenia ako najpoužívanejšie prehlia-
                                                                                                                                                                               4   Záver
                                                                                                                                                                               Výsledky nášho výskumu poukazujú na to, že s pomerne
                                                               Obedy celkovo               Kritéria pre prijímacie konanie   AIS2                                              dobrou presnost’ou môže identifikovanie používatel’a, či
                                                               Obedy zobrazené z FMFI      Spolu v všetky stránky FMFI       Štúdium
                                                                                                                                                                               v niektorých prípadoch zistenie jeho histórie, uskutočnit’
                                                      1200                                                                          12000                                      l’ubovol’ná web stránka. S porovnaním iných podobných
                        Počet návštev v danú hodinu




                                                      1000                                                                          10000
                                                                                                                                                                               projektov, ktoré sme uviedli v úvode (vid’ [4] a [5]), sme
                                                                                                                                            Spolu všetky stráanky FMFI




                                                       800                                                                          8000
                                                       600                                                                          6000
                                                                                                                                                                               dosiahli menšiu úspešnost’. Tento fakt môže byt’ spôso-
                                                       400                                                                          4000                                       bený nasadením systému v akademickej sfére, kde sa na-
                                                       200                                                                          2000                                       chádza pomerne vel’a zhodných počítačov. Ďalším dôvo-
                                                         0                                                                          0                                          dom môže byt’, že uvedené projekty zobrazujú výsledky
                                                             0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23
                                                                                             Hodiny
                                                                                                                                                                               spred niekol’kých rokov a dnes si vývojári prehliadačov
                                                                                                                                                                               dávajú ešte viac záležat’ na rýchlej a častej aktualizácii,
                                                                                                                                                                               ktorá môže ovplyvňovat’ naše výsledky.
Obr. 3: Počet zobrazení vybraných stránok FMFI v jednot-                                                                                                                         Účinnost’ takéhoto systému, môže závisiet’ aj od kon-
livých hodinách                                                                                                                                                                krétnej web stránky, pre akých používatel’ov s akými pre-
Anonymita používatel’a na internete                                                                                               23


hliadačmi je zaujímavá. Ak stránka zaujme používatel’ov s      používatel’a na stránkach a odhadovanie jeho záujmov, vy-
ojedinelými prehliadačmi, či so špeciálnymi rozšíreniami,     hodnocovanie návštevnosti jednotlivých noviniek na strán-
je vysoká pravdepodobnost’ vel’mi dobrej účinnosti sys-        kach, dynamické tvorenie webového menu atd’.
tému.
   Takéto identifikovanie prehliadača sa dá následne jed-
                                                                Literatúra
noducho prepojit’ aj s d’alšími informáciami, ktoré na in-
ternete poskytujeme. Napríklad prepojenie prehliadača a         [1] J. P. John, F. Yu, Y. Xie, M. Abadi, and A. Krishnamurthy,
sociálnej siete či e-mailového účtu by umožňovalo ziste-          “Searching the searchers with searchaudit,” in Proceedings
nie komplexných informácií o danom používatel’ovi inter-             of the 19th USENIX conference on Security, USENIX Se-
netu, od jeho osobných údajov až po jeho aktivity v inter-           curity’10, (Berkeley, CA, USA), pp. 9–9, USENIX Asso-
nete.                                                                ciation, 2010.
                                                                 [2] J. P. John, F. Yu, Y. Xie, A. Krishnamurthy, and M. Abadi,
                                                                     “deseo: combating search-result poisoning,” in Procee-
4.1    Ako o sebe prezradit’ menej                                   dings of the 20th USENIX conference on Security, SEC’11,
                                                                     (Berkeley, CA, USA), pp. 20–20, USENIX Association,
Ideálne pre zabezpečenie čo najväčšej miery anonymity             2011.
pri prezeraní webového obsahu by bolo, používat’ najpou-         [3] Y. Xie, F. Yu, and M. Abadi, “De-anonymizing the internet
žívanejší prehliadač webových stránok, s najrozšírenejším           using unreliable ids,” SIGCOMM Comput. Commun. Rev.,
nastavením a množinou doplnkov, ktoré má najviac jeho                vol. 39, pp. 75–86, Aug. 2009.
používatel’ov. Ďalší dobrý spôsob je následne použit’ je-       [4] P. Eckersley, “How unique is your web browser?,” in Pro-
den z anonymizérov, ktorý všetku komunikáciu presme-                 ceedings of the 10th international conference on Privacy
ruje cez sériu proxy serverov. Otázkou samozrejme zo-                enhancing technologies, PETS’10, (Berlin, Heidelberg),
stáva, kto je v pozadí takéhoto programu. Na internete sa            pp. 1–18, Springer-Verlag, 2010.
ich dá nájst’ pomerne dost’ aj v podobe open source. Šest’       [5] T.-F. Yen, Y. Xie, F. Yu, R. P. Yu, and M. Abadi, “Host Fin-
takýchto aplikácií je recenzovaných v článku [14].                  gerprinting and Tracking on the Web: Privacy and Security
                                                                     Implications,” in Proceedings of the 19th Annual Network
   Ďalšou možnost’ou je používat’ prehliadač s najprísnej-
                                                                     & Distributed System Security Symposium, Feb. 2012.
ším bezpečnostným nastavením, bez povolenia cookies,
                                                                 [6] G. Wondracek, T. Holz, E. Kirda, and C. Kruegel, “A prac-
ukladania histórie, zakázaného JavaSriptu, nenainštalova-
                                                                     tical attack to de-anonymize social network users,” in Pro-
ných žiadnych rozšírení, dokonca ani Flash, ci Java. Nie-            ceedings of the 2010 IEEE Symposium on Security and Pri-
ktoré z týchto vlastností dnes všetky bežne používané                vacy, SP ’10, (Washington, DC, USA), pp. 223–238, IEEE
prehliadače podporujú pod súkromným prezeraním. Sa-                 Computer Society, 2010.
mozrejmost’ou je spúšt’anie všetkej komunikácie, cez nie-        [7] M. Korayem and D. J. Crandall, “De-anonymizing users
kol’ko proxy serverov. Týmto spôsobom sa síce st’aží sto-            across heterogeneous social computing platforms,” The 7th
povanie daného prehliadača, ale vel’a webových apliká-              international aaai conference on weblogs and social media
cií nebude vôbec funkčných, a aj obsah stránok môže byt’            (ICWSM 2013), 2013.
vel’mi obmedzený.                                                [8] N. D. Lane, J. Xie, T. Moscibroda, and F. Zhao, “On the fe-
   Aj napriek tomuto sa dá užívatel’ vystopovat’ a identi-           asibility of user de-anonymization from shared mobile sen-
fikovat’ pomocou jeho dotazov a prezeraných stránok, na-             sor data,” in Proceedings of the Third International Works-
príklad v rozšírenom vyhl’adávači.                                  hop on Sensing Applications on Mobile Phones, Phone-
                                                                     Sense ’12, (New York, NY, USA), pp. 3:1–3:5, ACM, 2012.
                                                                 [9] M. Srivatsa and M. Hicks, “Deanonymizing mobility tra-
5     Plány do budúcna                                               ces: using social network as a side-channel,” in Proceedings
                                                                     of the 2012 ACM conference on Computer and communica-
                                                                     tions security, CCS ’12, (New York, NY, USA), pp. 628–
V našom výskumnom projekte sa aj nad’alej zaoberáme                  637, ACM, 2012.
novými deanonymizačnými technikami, ktoré postupne
                                                                [10] V. Ciriani, S. D. C. di Vimercati, S. Foresti, and P. Samarati,
zapracovávame do vytvoreného a implementovaného sys-                 “k-anonymity,” in Secure Data Management in Decentrali-
tému s ciel’om zvýšit’ jeho presnost’. Skúmame d’alšie               zed Systems, pp. 323–353, Springer US, 2007.
možnosti identifikácie a dlhodobo by sme chceli zistit’, na-    [11] L. Sweeney, “k-anonymity: a model for protecting privacy,”
príklad kol’ko terajších uchádzačov o štúdium následne v            Int. J. Uncertain. Fuzziness Knowl.-Based Syst., vol. 10,
septembri navštívi univerzitu, so svojimi prehliadačmi.             pp. 557–570, Oct. 2002.
   Náš systém je zároveň aj ideálnou možnost’ou pre ana-       [12] A. Machanavajjhala, D. Kifer, J. Gehrke, and M. Venkita-
lyzovanie efektívnosti propagačných akcií na univerzite, či        subramaniam, “L-diversity: Privacy beyond k-anonymity,”
na jednotlivých fakultách. V tejto oblasti rozvíjame spolu-          ACM Trans. Knowl. Discov. Data, vol. 1, Mar. 2007.
prácu s Centrom Informačných Technológii (CIT) Univer-         [13] A. Janc and L. Olejnik, “Feasibility and real-world impli-
zity Komenského v Bratislave.                                        cations of web browser history detection,” 2010.
   Vyvinutý systém by sme chceli použit’ aj na d’alšie          [14] J. Sedlák, “Hlavně nenápadne,” Computer, vol. 18, pp. 32–
praktické aplikácie, napríklad ako sledovanie správania sa           34, Sept. 2011.