Abschlussarbeiten

Typ: Bachelorarbeit

Betreuer: Wittig

Abstract

Das Gesch?ftsmodell der verhaltensbasierten Werbung beruht darauf, so viele Informationen über die Nutzer wie m?glich zu sammeln. Dazu werden in einem verschachtelten ?kosystem an Anbietern diverse Techniken eingesetzt, um den Nutzer webseitenübergreifend bzw. ger?teübergreifend zu (re-)identifizieren und personenbezogene Daten auszutauschen. Am Ende des Prozesses soll der Werbeplatz in einer Echtzeitauktion an den H?chstbietenden verkauft werden. bwin娱乐_bwin娱乐官网欢迎您@er Markt stellt für die informationelle Selbstkontrolle des Nutzers und dessen Privacy eine Bedrohung dar, da diesem (1) aufgrund der fehlenden Transparenz des Markts das Bewusstsein für das Abflie?en seiner personenbezogenen Daten fehlt sowie (2) dieser kaum bis keine Kontrolle über die Praktiken der Datensammlung und -verteilung ausüben kann.

In der Ver?ffentlichung "Online advertising: Analysis of privacy threats and protection approaches" wurden die Bedrohungen für die Privatsph?re des Nutzers, die in dem Markt für online Werbung existieren, modelliert und Schutzl?sungen miteinander verglichen. Allerdings stammt diese Ver?ffentlichung aus dem Jahr 2017. Seitdem haben sich Technik und Marktstrukturen stark ge?ndert, z.?B. das Ende von Flash-Cookies und Third-Party Cookies, Einführung der Privacy Sandbox Initiative.

Im Mittelpunkt der Privacy steht der Grundsatz der informationellen Selbstbestimmung, der besagt, dass der Einzelne die Kontrolle über seine pers?nlichen Daten und deren Verwendung in der virtuellen Welt haben sollte. Weiterhin wird Privacy ein individueller sowie sozialer Wert beigemessen, dessen Schutz der gesamten Gesellschaft zugutekommt.?Ein wichtiger Aspekt von Privacy Threat Modeling ist daher die Berücksichtigung von Machtasymmetrien (in Bezug auf Information) bei der Analyse bestehender oder geplanter Systeme. Darüber hinaus zielt sie darauf ab, Fehlentwicklungen bei der Gestaltung von Diensten aufzudecken und es dem Gegner zu erschweren, seine Kontroll- und Beeinflussungsabsichten zu realisieren.

Ziel dieser Bachelorarbeit ist es, Privacy Threats im online Werbemarkt zu modellieren. Als Basis soll die Ver?ffentlichung "Online advertising: Analysis of privacy threats and protection approaches" dienen, die aktualisiert und ggf. um eine soziale Dimension erweitert werden kann.

Grundlegende Forschungsfragen k?nnten sein:

1. Was versteht man unter Privacy Threat Modelling?
2. Was hat sich seit der Ver?ffentlichung sowohl in der Technik als auch am Markt ver?ndert und welche Implikationen haben diese?
3. Wie kann das Privacy Threat modelliert werden? Existieren weiterführende Modellierungstechniken?

Literatur

• Estrada-Jiménez, J., Parra-Arnau, J., Rodríguez-Hoyos, A., & Forné, J. (2017). Online advertising: Analysis of privacy threats and protection approaches. Computer Communications, 100, 32–51. https://doi.org/10.1016/J.COMCOM.2016.12.016
• Kim Wuyts, Wouter Joosen,?LINDDUN privacy threat modeling: a tutorial, CW Reports, CW Reports CW685, Department of Computer Science, KU Leuven, Leuven, Belgium, July, 2015.

Typ: Bachelorarbeit

Betreuer: Wittig

Abstract

L?ngst geh?ren Adblocker im Webbrowser zum Standardrepertoire jedes Nutzers. bwin娱乐_bwin娱乐官网欢迎您@e blockieren unerwünschte Anfragen, u.?a. Web-Tracking Anfragen, des Clients anhand von Filterlisten, welche allerdings zahlreiche Nachteile mit sich bringen. Einer der gr??ten Nachteile betrifft die Robustheit der Regeln, da sie mit wenig Aufwand durch URL-Modifikationen kontinuierlich umgangen werden k?nnen. Anknüpfende Forschungsarbeiten konzentrieren sich daher auf die automatisierte Erstellung von Filterregeln mithilfe von Machine Learning. Jedoch setzen diese Verfahren Zugriff auf die Anwendungsschicht voraus. Dementsprechend handelt es sich bei diesen Ans?tzen um clientseitige Tools, die nicht ohne weiteres auf die Netzebene ausgeweitet werden k?nnen, da sich der Trend zur verschlüsselten Datenübertragung verlagert.?In dieser Abschlussarbeit soll das Potenzial tieferer Netzwerkprotokolle (insb. IP/TCP) zur Erkennung von Web-Tracking untersucht werden. Im weiteren Sinne geht es darum, den Zweck einer Kommunikationsbeziehung (hier Online-Werbung und Tracking) aus dem verschlüsselten Netzverkehr zu ziehen. Zu dieser Fragestellung gibt es in der Forschung zahlreiche Traffic Classification Probleme, die trotz Verschlüsselung Information durch Anwendung von Mustererkennung gewinnen k?nnen (siehe Literatur). Ziel dieser Arbeit soll es sein, ein realit?tsnahes Klassifikationsmodell anzuwenden, um kurze Konversations-Schnipsel eines Webhosts als (i) tracking oder (ii) non-tracking einzuordnen.

Literatur

• Akbari, I. et. al. (2022) ?Traffic Classification in an Increasingly Encrypted Web“, Communications of the ACM, 65(10), S. 75–83.
• Iqbal, U. et. al. (2020) ?AdGraph: A Graph-Based Approach to Ad and Tracker Blocking“, in 2020 IEEE Symposium on Security and Privacy, S. 763–776.
• Siby, S. et. al. (2020) ?Encrypted DNS ??Privacy? A Traffic Analysis Perspective“, in Network and Distributed System Security Symposium.

Typ: Masterarbeit

Betreuer: Wittig

Abstract

Der Schutz mobiler Ger?te vor Third-Party Tracking bringt verglichen mit dem traditionellen Web-Tracking neue Herausforderungen mit sich. Apps werden isoliert voneinander auf dem System ausgeführt und k?nnen sich nicht gegenseitig beeinflussen ("Sandboxing"). Gleichzeitig handelt es sich oftmals um geschlossene Systeme, die wenig bis kaum konfiguriert werden k?nnen (bspw. die Verwendung von Web-Proxys oder die Installation eines selbst-signierten Zertifikats). G?ngige Schutzl?sungen für diesen Ger?tetyp sind DNS-Sinkholes wie Pi-hole und AdGuard Home. bwin娱乐_bwin娱乐官网欢迎您@e Methoden blockieren jedoch die gesamte Kommunikation zu einer Dom?ne und beruhen auf Filterlisten, die nach aktuellen Erkenntnissen leicht umgangen werden k?nnen. Ein anderer Ansatz w?re es, die verschlüsselte Kommunikation in einer zentralen Entit?t im Netzwerk auf unerwünschte Inhalte zu analysieren. Zahlreiche Forschungsbeitr?ge haben bereits vielversprechende Ergebnisse geliefert, aus verschlüsselten Netzverkehr trotzdem Information zu ziehen. Beispielsweise wird bei Website-Fingerprinting eine durch Tor anonymisierte Kommunikationsbeziehung anhand von charakteristischen Merkmalen im Webverkehr deanonymisiert.?bwin娱乐_bwin娱乐官网欢迎您@e Angriffe haben sich bei HTTPS als effektiv erwiesen, da die Merkmale des Datenverkehrs, wie Gr??e, Zeitpunkt und Reihenfolge der Netzwerkpakete, für jede Website einzigartig sind. In dieser Arbeit soll daher verschlüsselter Mobile App Traffic mithilfe von Wireshark aufgezeichnet, mithilfe von deskriptiver Statistik der Netzwerkfluss beschrieben und anschlie?end mit Webverkehr verglichen werden. Fraglich ist, wie sich Mobile App Traffic zu Webverkehr unterscheidet und was diesen charakterisiert. Der Datensatz soll sp?ter darauf untersucht werden, ob trotz Verschlüsselung Information gewonnen werden kann (wie in den Forschungsarbeiten zu Webverkehr gezeigt wurde). Konkret soll diese Arbeit also einen Datensatz schaffen, der in anknüpfenden Arbeiten verwendet wird, um Third-Party-Tracker im Netzverkehr zu identifizieren.

Literatur

• Shuba, A., Markopoulou, A. und Shafiq, Z. (2018) ?NoMoAds: Effective and Efficient Cross-App Mobile Ad-Blocking“, Proceedings on Privacy Enhancing Technologies. Berlin: Sciendo, (4).

• Varmarken, J. et. al. (2020) ?The TV is Smart and Full of Trackers: Measuring Smart TV Advertising and Tracking“, Proceedings on Privacy Enhancing Technologies. Berlin: Sciendo, 2020(2), S. 129–154.

• Panchenko, A. et. al. (2011) ?Website Fingerprinting in Onion Routing Based Anonymization Networks“, in Proceedings of the 10th Annual ACM Workshop on Privacy in the Electronic Society, S. 103–114.

Typ: Masterarbeit

Betreuer: Ro?berger

Abstract

Moderne Kryptographie erm?glicht es, vertrauliche Informationen sicher mit anderen Personen über das Internet zu teilen. Doch bei dieser Kommunikation bleibt weiterhin sichtbar wer mit wem kommuniziert. So k?nnen Anbieter von E-Mails und Instant-Messengern sehen, wer mit wem schreibt, sowie ISPs beobachten, welche Webseiten besucht werden. Als L?sung für diese Gef?hrdung der Anonymit?t wurden Mix-Netzwerke entwickelt. Zuerst von Chaum [1] vorgeschlagen und aktuell bspw. in Loopix [2] implementiert.

Doch auch diese Netzwerke k?nnen angegriffen werden und passive Beobachter k?nnen durch das Beobachten von Sendern und Empf?ngern über mehrere Runden hinweg immer besser absch?tzen, wer mit wem kommuniziert. Dafür kann der Statistical Disclosure Angriff (SDA [3]) genutzt werden. bwin娱乐_bwin娱乐官网欢迎您@er Angriff wurde bereits mit verschiedenen Ans?tzen in der Literatur erweitert (bspw. [4], [5], [6]), bietet jedoch weiterhin das Potenzial, verbessert zu werden. Dabei kann nicht nur die Effektivit?t des Angriffes selbst gesteigert werden, sondern auch der Einfluss von verschiedenem Nutzerverhalten und System-Konfigurationen untersucht werden.

Vorwissen über Mix-Netzwerke ist nicht notwendig. Da der Angriff implementiert, erweitert und evaluiert werden soll, sind Programmierkenntnisse erforderlich. Bestehende Implementierungen existieren in Java und Python.

Literatur

• [1] Chaum, David L. "Untraceable electronic mail, return addresses, and digital pseudonyms." Communications of the ACM 24.2 (1981): 84-90.

  [2] Piotrowska, Ania M., et al. "The loopix anonymity system." 26th {USENIX} Security Symposium ({USENIX} Security 17). 2017.

  [3] Danezis, George. "Statistical disclosure attacks: Traffic confirmation in open environments." Security and Privacy in the Age of Uncertainty: IFIP TC11 18 th International Conference on Information Security (SEC2003) May 26–28, 2003, Athens, Greece 18. Springer US, 2003.

  [4] Danezis, George, Claudia Diaz, and Carmela Troncoso. "Two-sided statistical disclosure attack." Privacy Enhancing Technologies: 7th International Symposium, PET 2007 Ottawa, Canada, June 20-22, 2007 Revised Selected Papers 7. Springer Berlin Heidelberg, 2007.

  [5] Troncoso, Carmela, et al. "Perfect matching disclosure attacks." Privacy Enhancing Technologies: 8th International Symposium, PETS 2008 Leuven, Belgium, July 23-25, 2008 Proceedings 8. Springer Berlin Heidelberg, 2008.

  [6] Emamdoost, Navid, Mohammad Sadeq Dousti, and Rasool Jalili. "Statistical Disclosure: Improved, Extended, and Resisted." arXiv preprint arXiv:1710.00101 (2017).

  ?

Typ: Bachelorarbeit

Betreuer: Ro?berger

Abstract

Moderne Kryptographie erm?glicht es, vertrauliche Informationen sicher mit anderen Personen über das Internet zu teilen. Doch bei dieser Kommunikation bleibt weiterhin sichtbar wer mit wem kommuniziert. So k?nnen Anbieter von E-Mails und Instant-Messengern sehen, wer mit wem schreibt, sowie ISPs beobachten, welche Webseiten besucht werden. Als L?sung für diese Gef?hrdung der Anonymit?t wurden Mix-Netzwerke entwickelt. Zuerst von Chaum [1] vorgeschlagen und aktuell bspw. in Loopix [2] implementiert.

Doch auch diese Netzwerke k?nnen angegriffen werden und passive Beobachter k?nnen durch das Beobachten von Sendern und Empf?ngern über mehrere Runden hinweg immer besser absch?tzen, wer mit wem kommuniziert. Dafür kann der Statistical Disclosure Angriff (SDA [3]) genutzt werden. bwin娱乐_bwin娱乐官网欢迎您@er Angriff wurde bereits mit verschiedenen Ans?tzen in der Literatur erweitert (bspw. [4], [5], [6]), bietet jedoch weiterhin das Potenzial, verbessert zu werden.

So haben verschiedene Ans?tze versucht, aus den sichtbaren Beobachtungen mehr und mehr Informationen zu gewinnen, indem von symmetrischen Kommunikationsverhalten ausgegangen wird, Antwort-Wahrscheinlichkeiten und Kommunikationsbeziehungen berechnet werden. Doch all diese Ans?tze verlangen stets eine neue Idee, welche manuell implementiert werden muss. Eventuell sind aus den Beobachtungen noch weitere Rückschlüsse m?glich, welche bisher nicht erkannt wurden. SO soll in dieser Arbeit versucht werden, mithilfe von Machine Learning Techniken Kommunikationsbeziehungen aufzudecken. bwin娱乐_bwin娱乐官网欢迎您@e Ergebnisse k?nnen abh?ngig von verschiedenen Modellen und Szenarien evaluiert und mit bestehenden L?sungsans?tzen verglichen werden.

Programmierkenntnisse sind erforderlich und Grundkenntnisse in Machine-Learning hilfreich.

Literatur

• [1] Chaum, David L. "Untraceable electronic mail, return addresses, and digital pseudonyms." Communications of the ACM 24.2 (1981): 84-90.

  [2] Piotrowska, Ania M., et al. "The loopix anonymity system." 26th {USENIX} Security Symposium ({USENIX} Security 17). 2017.

  [3] Danezis, George. "Statistical disclosure attacks: Traffic confirmation in open environments." Security and Privacy in the Age of Uncertainty: IFIP TC11 18 th International Conference on Information Security (SEC2003) May 26–28, 2003, Athens, Greece 18. Springer US, 2003.

  [4] Danezis, George, Claudia Diaz, and Carmela Troncoso. "Two-sided statistical disclosure attack." Privacy Enhancing Technologies: 7th International Symposium, PET 2007 Ottawa, Canada, June 20-22, 2007 Revised Selected Papers 7. Springer Berlin Heidelberg, 2007.

  [5] Troncoso, Carmela, et al. "Perfect matching disclosure attacks." Privacy Enhancing Technologies: 8th International Symposium, PETS 2008 Leuven, Belgium, July 23-25, 2008 Proceedings 8. Springer Berlin Heidelberg, 2008.

  [6] Emamdoost, Navid, Mohammad Sadeq Dousti, and Rasool Jalili. "Statistical Disclosure: Improved, Extended, and Resisted." arXiv preprint arXiv:1710.00101 (2017).

  ?