Datensafari

Was wir täglich alles so preisgeben.

Vorgetragen von René Pfeiffer / @luchsat auf der Privacyweek 2017.

Ausgangspunkt

„Typischer“ Mensch mit

Smartphone (plus einigen Apps),
Computer (ohne Telefon),
Social Media Konto/Konten,
Multimedia Anbieter (Streaming),
E-Mail Adresse,
Grundoffenheit/„Naivität“ und
einer Kundenkarte.

Kein Internet der Dinge (IoT) – zumindest explizit.

Zusätzliche Annahme

Daten? Daten!

Betrachtung jedweder Daten und Metadaten
letztlich alles personenbezogen
„typischer“ Tag
„typischer“ Interaktionen
individuell verschieden – Profile

Metadaten von Interaktionen

Zeitstempel
Teilnehmer/Endpunkte (Quelle/Ziel)
Typ der Interaktion
Größe / Dauer
Ortsdaten

Kommunikation

Methoden

E-Mail
(Instant/Krypto/Social Media) Messenger
Webportale (Foren)
Textnachrichten (SMS)
Telefonie (Audio/Video)

Social Graphs – E-Mail

23 Sender, 20 Empfänger

Social Graphs – E-Mail (2)

2450 Sender, 2429 Empfänger

Netzwerke und Namen

Netzwerkadressen sind Nummern
Geräte haben lokale/globale Adressen
Domain Name System (DNS) - Name zu Nummern
alles hat Namen…
…und Namen haben Bedeutungen
Feature Autodetektierung – ist da jemand?

DNS und IPA

Investigatory Powers Act 2016

Netzwerke und Namen (2)

Die ~~Zukunft~~Gegenwart ist drahtlos.

Bluetooth
Infrarot
Near-Field Communication (NFC)
Mobilfunk
Radio-Frequency Identification (RFID)
50 Shades of WLAN
…

Mobilfunk – Call Details Records

Mobilfunk – Lokalisierung

Smartphones

Smartphones suchen stets bekannte WLAN Netzwerke
Publikation aller konfigurierten Netze
Liste ergibt ein Profil
Gerät/Hersteller ist zusätzlich verfügbar
WLAN Information as Geolocation

Smartphones – Lokalisierung

Smartphones – Apps

Apps sitzen direkt an der Quelle
App kann ständig Daten übertragen/erfassen
Berechtigungssysteme werden kaum hinterfragt

Aber App Stores beschützen uns doch. Oder?

World Wide Web

W³ ist voller Hyperlinks
Webseiten haben viele Komponenten
Aufrufe verraten Interessen
- Erinnerung: DNS und Namen haben Bedeutung
- trotz HTTPS zumindest Namen ersichtlich
wenige Designer hinterfragen Komponenten

Aufrufe einer Webseite

Alexa, Cortana, Google, M, Siri, Tay

Social Media Datengold

Datenmenge mit anderen Plattformen vergleichbar/größer.

Social Media

Video/Audio Streaming

Bezahlen im Internet

Kreditkarte
Sofortüberweisung
Apps mit Guthabenfunktion
App Stores
Mobilfunkrechnung
Paypal

Zahlende Profile

Transaktionen geben Daten preis
freie E-Mail Portale scannen E-Mails nach Rechnungen
App Stores haben diese Profile schon
Kundenkarten/-Apps mit Bezahlfunktion auch

Drang nach Pay-by-Smartphone – Griff nach Daten

Zwischenstand

Datengenerierung/-ernte überall vorhanden
Metadaten/Profile oft nicht transparent
Benutzung von „Web 3.0/Telefon 2.0“ immer personalisiert
Mitmachzwang - graduelle Reduktion nicht möglich
Teil „neuer“ Geschäftsmodelle

Kooperationen – Steigerung

Smartphone/Apps als Zahlmittel
Smart Assistants zuhause
Firmenzusammenschlüsse
- Google ist Teil von Alphabet
- Alphabet hat 200+ Firmen gekauft
- Apple hat 88 Firmen gekauft
- Microsoft hat 202 Firmen gekauft
- …
Daten sind Teil der Firmen
Vorhersagen über Fusionen schwierig

Datensammlung

Datensammlung Symbolbild

Schutz?

Abhilfe im Ansatz vorhanden, aber…
…funktioniert nicht überall (Geschäftsmodelle)
…erfordert andere Gewohnheiten
…I like Lifestyle ist einfacher
…ändert sich mit den AGBs
…erfordert offene/Freie Standards.
Vorsicht vor Start-Ups!

Noch Fragen?

Über die Crowes Agency OG

Die Crowes Agency OG ist eine Gruppe von Experten aus verschiedenen Feldern. Wir bieten unsere Erfahrungen im Rahmen von großen und kleinen Projekten an. Der Fokus liegt auf den Gebieten Grafikdesign, Software-Entwicklung, öffentlichen Erscheinungen (wie beispielsweise Webseiten und Kommunikation mit der „Außenwelt“), Systemadministration, IT Sicherheit und Unternehmensberatung. Die Crowes Agency stellt aus ihrem Pool von Mitarbeitern Teams für die Lösung von Kundenproblemen zusammen.

Über die DeepSec

Die DeepSec GmbH veranstaltet seit 2007 jährlich im November die DeepSec In-Depth Security Conference in Wien. Die DeepSec bringt als neutrale Plattform die Sicherheitsexperten aus allen Bereichen zum Gedanken- und Erfahrungsaustausch zusammen. Dort erhalten IT- und Security-Unternehmen, Anwender, Behördenvertreter, Forscher und die Hacker-Community in über 42 Vorträgen und Workshops die Chance, sich über die aktuellen und zukünftigen Sicherheitsthemen auszutauschen. Die Konferenz möchte insbesondere dem verbreiteten Vorurteil entgegen wirken, dass Hacker zwangsläufig Kriminelle sind.

Über den Autor

René Pfeiffer ist selbstständiger Systemadministrator und Vortragender an der Fachhochschule Technikum Wien im Bereich Computer- und Datensicherheit. Mit über 15 Jahren Berufs- und 30 Jahren Computererfahrung sowie einem akademischen Hintergrund in theoretischer Physik verbindet er in Schulungen und Projekten erfolgreich Theorie und Praxis.

Seine Themenschwerpunkte liegen im Bereich IT Administration, Aufbau sicherer Infrastrukturen (Host-/Netzwerkbereich), sichere Kommunikation in Organisationen und Infrastruktur (VPN Technologien, Nachrichtensysteme), Wireless Security, technische Dokumentation, Betreuung von Forschungsarbeiten in der IT Security, technischem Auditing und Evaluierung von Software.

Herr Pfeiffer hält seit 2000 jährlich Fachvorträge und Schulungen auf Tagungen und Seminaren (Institute for International Research (I.I.R.), Business Circle, Confare, Linuxwochen Österreich, SAE Institute Wien, DeepSec In-Depth Security Conference, Bundesverband Sicherheitspolitik an Hochschulen, Kundenveranstaltungen).