MITコース「コンピューターシステムのセキュリティ」。 講義18：「インターネットのプライベートブラウジング」パート1

マサチューセッツ工科大学。 講義コース6.858。 「コンピューターシステムのセキュリティ。」 ニコライ・ゼルドヴィッチ、ジェームズ・ミケンズ。 2014年

コンピューターシステムセキュリティは、安全なコンピューターシステムの開発と実装に関するコースです。 講義では、脅威モデル、セキュリティを危険にさらす攻撃、および最近の科学的研究に基づいたセキュリティ技術を扱います。 トピックには、オペレーティングシステム（OS）セキュリティ、機能、情報フロー管理、言語セキュリティ、ネットワークプロトコル、ハードウェアセキュリティ、およびWebアプリケーションセキュリティが含まれます。



講義1：「はじめに：脅威モデル」 パート1 / パート2 / パート3

講義2：「ハッカー攻撃の制御」 パート1 / パート2 / パート3

講義3：「バッファオーバーフロー：エクスプロイトと保護」 パート1 / パート2 / パート3

講義4：「特権の共有」 パート1 / パート2 / パート3

講義5：「セキュリティシステムはどこから来たのか？」 パート1 / パート2

講義6：「機会」 パート1 / パート2 / パート3

講義7：「ネイティブクライアントサンドボックス」 パート1 / パート2 / パート3

講義8：「ネットワークセキュリティモデル」 パート1 / パート2 / パート3

講義9：「Webアプリケーションのセキュリティ」 パート1 / パート2 / パート3

講義10：「シンボリック実行」 パート1 / パート2 / パート3

講義11：「Ur / Webプログラミング言語」 パート1 / パート2 / パート3

講義12：ネットワークセキュリティパート1 / パート2 / パート3

講義13：「ネットワークプロトコル」 パート1 / パート2 / パート3

講義14：「SSLおよびHTTPS」 パート1 / パート2 / パート3

講義15：「医療ソフトウェア」 パート1 / パート2 / パート3

講義16：「サイドチャネル攻撃」 パート1 / パート2 / パート3

講義17：「ユーザー認証」 パート1 / パート2 / パート3

講義18：「インターネットのプライベートブラウジング」 パート1 / パート2 / パート3



それでは始めましょう。 セキュリティと、なぜ世界がこんなにひどいのかについての興味深い講演へようこそ。 そこで、今日はプライベートブラウジングモードについてお話します。これについては、多くの人が個人的な経験を豊富に持っているでしょう。 プライベートブラウジングの目的は何ですか？ セキュリティ研究者はプライバシーについて何と言っていますか？







一般的な意味で、彼らは次の目標について話します。特定のユーザーは、他のユーザーの集団と同じであってはなりません。 特に、インターネットを閲覧しているときのこのユーザーのアクティビティは、他のユーザーのアクティビティに関して妥協してはなりません。 それで、私が言ったように、今日はプライベートインターネットブラウジングの特定のコンテキストでプライバシーについて話します。



実際、プライベートブラウジングの意味についての正式な定義はありません。 これにはいくつかの理由があります。 その1つは、Webアプリケーションは非常に複雑なものだということです。 彼らは、オーディオ、ビデオコンテンツ、その他の同様のものなどの新しい機能を常に追加しています。 その結果、ブラウザは「移動するターゲット」になるはずです。 したがって、ブラウザでできることの概念はかなり曖昧であり、その結果、特定のユーザーに関するどの情報がパブリックドメインに漏洩する可能性があるのか​​が必ずしも明確ではありません。



最後に、実際に起こることは、他の多くのことと同様に、ブラウザの存在とタスクが生活の基準によって決定されるということです。 このようにして、さまざまなブラウザのメーカーが、特にプライベートブラウジングに関してさまざまな機能を実装します。 他の開発者は競合他社の結果を確認し、独自のブラウザを更新するため、ブラウザの目標と目的は常に変化しています。







ユーザーがインターネットのプライベートブラウジングにますます依存するにつれて、最終的に多くのプライバシーエラーを見つけることになります。これについては後で説明します。 グローバルな意味では、プライベートブラウジングは野心的な目標と見なすことができます。 しかし、社会が改善するにつれて、プライベートブラウジングのいくつかの側面は良くなり、いくつかは悪化します。



では、インターネットのプライベートブラウジングとはどういう意味ですか？ これを判断することは困難ですが、講義の記事では、この問題を2つの特定の方法で形式化しようとしています。 まず第一に、プライベートネットワークのローカルハッカー、つまりプライベートブラウジングが完了した後にコンピューターを所有するハッカーについて話します。 そして、この人はあなたがプライベートブラウジングモードで訪れたサイトを知りたいと思っています。



この記事では、訪問するサイトを制御するサイバー犯罪者についても説明しています。 この攻撃者は、あなたが特定の人物、ジョンまたはジェーンであり、ウェブサイトが情報を提供できない非人格ユーザーではないことを探そうとする場合があります。 したがって、これらの攻撃のそれぞれを詳細に調べます。 攻撃者がこれらの攻撃、ローカル攻撃とインターネット攻撃の両方を同時に組織化できる場合、これはあなたの身元を明らかにする彼の能力を大幅に強化すると言うだけで十分です。



たとえば、あなたのIPアドレスを知ることができるローカルの攻撃者は、この特定のIPアドレスがサイトのログにあるかどうかを知ることができます。 したがって、セキュリティの観点からは、これらのローカル攻撃とWeb攻撃を最初に個別に、次に組み合わせた形で考慮することは非常に便利です。



最初のタイプの攻撃者-ローカル攻撃者を見てみましょう。 このハッカーは、ネットワーク通信セッションの終了後にユーザーのコンピューターを制御すると想定します。 インターネットのプライベートブラウジングが完了し、ユーザーがブラウザの使用を停止し、コンピューターの前にいないことを意味します。 その後、ハッカーはコンピューターを制御し、その前に何が起こったかを見つけようとします。 したがって、セキュリティの目的は、プライベートブラウジング中にユーザーがどのWebサイトにアクセスしたかを攻撃者が理解できないようにすることです。



インターネットアクティビティセッションの終了後に攻撃を検討する重要な理由は次のとおりです。 ハッカーはキーボードインターセプターをインストールでき、ブラウザーまたはオペレーティングシステム自体の整合性に違反する可能性があるため、攻撃者がプライベートビューの前にコンピューターを制御できると想定すると、ゲームオーバーになります。 したがって、このような攻撃者には注意を払いません。 同じ理由で、攻撃者がコンピューターを制御した後、ユーザーのプライバシーを確​​保しようとはしていないことに注意してください。コンピューターの制御を奪い取ったハッカーは、少なくとも同じキーボードインターセプターをインストールすることができるためです。 したがって、原則として、ユーザーがコンピューターを離れるとすぐに、プライバシーの概念を直接考慮しません。



ここでは、達成したい別の目標を紹介することができます-ユーザーが一般的にプライベートブラウジングモードを使用していることを攻撃者から隠そうとします。







講義記事は、それは非常に難しいと言っています。 このプロパティは、しばしば「正当な拒否」と呼ばれます。 たとえば、プライベートブラウジングセッションの後、上司があなたのところに来て、「mylittlepony.comをブラウジングしましたか？」と言います。 もちろん、私はmylittlepony.comを閲覧しているという事実を隠すためにプライベートブラウジングを使用しませんでした。 それで、私が言ったように、もっともらしい否定の特性を保証することは難しいです、後で私は特定の理由を与えます。 そのため、主にローカルの攻撃者のみを検討します。



プライベートブラウジングセッション中のリークの原因となるクライアント側の一定の状態は何ですか？ 永続化とは、一部のデータがローカルハードドライブ、ローカルSSDなどに保存されることを意味します。







だから、私たちが個人的に見るときに十分に注意していなかった場合、システムのどの動作条件はデータリークに満ちていますか？ まず、これはCookieやDOMストレージなどのJavaScriptコンポーネントのアクセシビリティの状態です。 個人がブラウジングするときに心配するもう1つのことは、ブラウザーのキャッシュです。 結局のところ、訪問を他の人から隠したいウェブサイトの画像やHTMLファイルを内部キャッシュで誰かに見つけられたくないのです。



もう1つの重要なことは、訪問したサイトの履歴です。 他の人がブラウザにログインし、アドレスバーに何かを入力し始め、開始したものを恥ずかしく中断するときに、他の人との関係を台無しにすることができます。 これは、プライベートブラウジングセッションからこの情報を漏らしたくない理由の1つです。



また、構成の状態や、クライアント証明書やページのブックマークなどの表示について考えることもできます。 おそらく、特定のサイトにアクセスし、ブラウザーがこのサイトを表示するためにパスワードを構成ファイルに保存するように提案し、それらを漏らしたくない場合があります。



5番目はダウンロードされたファイルです。 ファイルをダウンロードするには明示的なユーザーアクションが必要なので、これは興味深いものです。 ブラウザを開くときに、プライベートブラウジング中にダウンロードしたファイルを使用できますが、プライベートブラウジングモード以外でブラウザを使用した後、ダウンロードしたファイルを使用することもできます。 これについては後ほど説明します。



最後に、プライベートブラウジングモードでは、ブラウザの新しいプラグインまたは拡張機能をインストールできます。 これは、プライベートブラウジングを超える漏洩が望ましくない別のタイプの状態です。







したがって、現在のブラウジングモードは通常、プライベートブラウジングセッションの最初、2番目、3番目の状態でのデータ漏洩を防止しようとします。 つまり、CookieまたはDOMデータが漏洩する可能性はありません。 プライベートブラウジングセッション中にキャッシュしたものはすべて削除する必要があります。 アクセスしたURLの履歴を保持しないでください。



原則として、プライベート表示モードの4番目、5番目、および6番目の状態のデータは、セッションから漏れることがあります。 これが起こるかもしれない有用で有害な理由があります。 後で1つのリークが許可されると、すべての個人情報のリークの脅威の表面が根本的に増加することがわかります。 したがって、どのセキュリティプロパティがプライベートビューモードを対象としているのかを正確に説明することはかなり困難です。



次に簡単に説明するのは、プライベートブラウジングモードでのネットワークアクティビティです。 興味深いのは、これら6つの状態すべてを保護して情報漏えいを防止したとしても、接続時にネットワークパケットを発行するという事実は、あなたがしたことの証拠です。 foo.comにアクセスしたいときに、コンピューターがfoo.comのDNSクエリを発行することを想像してください。 したがって、上記の6つの状態のアクティビティの痕跡を残さなくても、とにかく、ホストfoo.comにアクセスしようとしたローカルDNSキャッシュにレコードが残っています。 これは非常に興味深いです。 ブラウザはプライベートブラウジングセッションの完了後に何らかの方法でDNSキャッシュをクリアしようとするかもしれませんが、多くのシステムがこれを行うには管理者権限を必要とするため、実際にはこれは困難です。 ここでは矛盾が生じます。これは、ブラウザの信頼性が十分でないことを確認したため、ブラウザにルート権限を与えたくない可能性が高いためです。 さらに、DNSキャッシュクリーニングコマンドは特定のユーザーのアクティビティ用に設計されており、キャッシュ全体をクリアするわけではありません。プライベートブラウジングモードの場合はどうでしょうか。 他のことに影響を与えずにプライベートブラウジングモードでfoo.comや他のサイトにアクセスするという言及を取り除くには、「外科的」な精度が必要です。 実際には、これに対処することは非常に困難です。

また、この記事で言及されているもう1つの注意点は、RAM（RAM）のアーティファクトです。 ここでの主なアイデアは、プライベートブラウジングモードでは、プライベートブラウザーがメモリに何かを保存することです。 プライベートブラウジングモードでディスクへの直接データの書き込みやディスクからのデータの読み取りが不要な場合でも、ブラウザーはRAMを提供します。 たとえば、表示しているタブがページファイルに残り、この情報がノートブックの休止状態ファイルに反映される場合があります。 したがって、この状態が永続ストレージに反映されている場合、プライベートブラウジングセッションが完了した後、攻撃者はページファイルのディスクに反映されたJavaScripまたはHTMLコードを見つけることができます。



これがどのように機能するかについて、簡単なデモを行います。 画面にプライベートブラウジングタブが表示され、CSAIL研究所のコンピューターサイエンス研究所のPDOSプログラミンググループのサイトにアクセスします。



\



次に、gcoreと呼ばれるこの楽しいコマンドを使用して、この開いているPDOSページのスナップショットを保存します。







次に、ちょっとした魔法を使って、端末でメモリのスナップショットを取得します。少し時間がかかる場合もあります。







この場合に起こることは次のとおりです-ここでは、このプライベートビューのメインイメージファイルが生成されます。 次に、この画像の内部を見て、pdoの言及を見つけることができるかどうかを確認します。







興味深いことに、プライベートブラウジングモードのこのメモリイメージには、さまざまなプレフィックスを持つpdos文字列のインスタンスがたくさんあります。







さらに見ると、完全なURLやHTMLコードなどが表示されます。







ポイントは、このすべてをページのメモリで見つけることができた場合、つまり、このページの一部のデータがディスク上のページファイルに配置された場合、攻撃者はこれらの行を簡単に実行できるということです。 彼はこのページのファイルで私がやったことをして、プライベートブラウジングモードでアクセスしたサイトを見つけようとすることができます。 それは明らかですか？

原則として、ここでの問題は、プライベートブラウジングモードがRAMを「混乱」させたり、何らかの方法で暗号化しようとしないことです。 ある時点で、プロセッサはオープンテキストデータに基づいてタスクを実行する必要があるため、これは非常に基本的なことのように思えます。 したがって、この状況は大きな問題になる可能性があります。 誰にも質問がありますか？



学生：ブラウザーはプライベートブラウジングのプライバシーを保証する必要があるため、これはまさにブラウザーに期待しないことです。 たとえば、何かを購入すると、コンピューターに座っている友人はそれらを見ることができなくなります。 記事の著者が何を保証するかについて少し教えてください。また、そのような機密性を確保するためにブラウザで変更できることを記事で説明していますか？



教授：はい、とても興味深いです。 注意すべき点が1つあります。プライベートブラウジングタブを開くと、原則として、「シークレットモードへようこそ」というテキストメッセージが目の前に表示されます。 このモードは、複数のユーザーがコンピューターで作業している場合に痕跡を残さないようにするのに役立ち、コンピューターであなたの後ろに座った友人は、ビュー、Cookie、およびフォームに入力するデータの履歴を知ることができなくなります。 ただし、シークレットモードは、あなたの後ろの誰かがゴムクラブの前に立っていて、サイトに入るとすぐに「あなたをノックアウト」しようとすると役に立ちません。



したがって、製造業者自身は、ブラウザを使用する際にデータの機密性に関する保証を指定することを避けています。



実際、Snowden事件の後、多くのブラウザはこのポップアップメッセージを変更しました。NSAなどの軍隊の介入から彼を保護できないことをユーザーに明確に伝えたかったからです。



要するに、彼らはどのような保証を提供しますか？ 実際には、それらはあなたが今述べた脆弱性のみを提供します。 つまり、今あなたがしていることを見ることができない人は、あなたがしていることを見ることができます。 私たちは、素人がページファイルの行を実行したり、同様のことをしたりできないと想定しています。 ただし、2つの問題があります。 問題の1つは、ブラウザが非常に複雑であるため、一般の人々の行動に対しても保護できないことが多いことです。



個人的な例を挙げることができます。 何回か、「これらの子犬に触れると他の子犬が階段を下りるのにどのように役立つかを見てください！」などの面白いハフィントンポストバナー広告をページで見たとき、私は時々それを見つけて、弱さのためにそれをクリックしました。 しかし、私の弱点について他の人に知られたくないので、プライベートブラウジングモードでこれを行うことがありました。 ただし、これらの広告部分のURLが、この資料が意図していない通常のパブリックブラウザーモードでURL履歴に漏れることがありました。 したがって、問題の1つは、これらのブラウザーが非専門的な攻撃に対する保護を提供しない場合があることです。



第二に、私は、特にスノーデンの話の後、プライベートブラウジングモードからのプライバシー保護をもっと望んでいる人が多いと思います。 技術的に正確に希望を定式化できない場合でも、RAMアーティファクトの攻撃に対する保護を望んでいます。



したがって、この研究所で勉強している間に私がやったことの1つは、プライベートビューイングモードで保護を強化する分野の研究でした。 あなたはすべての教授が彼らの研究について延々と話すことができるので、3時間それについて話したいならば、私にリクエストを送ってください、そして我々はそれを手配します。 それで、私が今示したものは実証しています...質問がありますか？



学生：はい、RAMについてです。これがどのように機能するのかよく知らないからです。 セッションの最後にブラウザがOSに、使用したメモリのこれらの部分をクリアするように単に要求できないのはなぜですか？



教授：数分後にこのトピックに進みます。 . , . , , . , , .



, , . , , . , , , , , . , , , , .



. , memclear. , , « ».







read_secret? , , , .







, . , , , memset , , . , , , : « ».







, , ? , .







, . , «», , , . gcore, memclear, .







, , grep .







, , , , , , . , ? , .



, / , . , , , , , C /, , . , memset , , , . , , , , / - .







, . , , , , . ? , , , . , memset memclear, . , , , . ? , , SQL.



- - RAM , , , .



, RAM, , , -, . , , . -, - , , . , , , , . .



. , , , , malloc . , , RAM. , , , – , - . , , .



. / , . , .



? , . , . . , Microsoft Word , Word . , Word, .



, , . , Linux, , , 4- . , . , Linux , , , - .



, — , , .



- SSD. . , SSD, , . , .







, , SSD, : «, , , ».



. , , .



, , , - «» .



では、これらの問題をデータの有効期間でどのように修正できますか？プロセスを完了した後にメモリをリセットするという1つのソリューションについては既に説明しました。したがって、何かをリリースするたびに、ゼロの束またはランダムなものを書き留めて、あなたの後に来る可能性のある人から古いデータを本質的に隠します。



27:05分



MITコース「コンピューターシステムのセキュリティ」。 講義18：「プライベートインターネットブラウジング」パート2





コースの完全版はこちらから入手できます 。



ご滞在いただきありがとうございます。 私たちの記事が好きですか？ より興味深い資料を見たいですか？ 注文するか、友人に推薦することで、私たちをサポートします。私たちがあなたのために発明したエントリーレベルのサーバーのユニークなアナログのHabrユーザーのために30％の割引： VPS（KVM）E5-2650 v4（6コア）についての真実20ドルまたはサーバーを分割する方法？ （オプションはRAID1およびRAID10、最大24コア、最大40GB DDR4で利用可能です）。



VPS（KVM）E5-2650 v4（6コア）10GB DDR4 240GB SSD 1Gbpsまで 6か月の期間を支払う場合は12月まで無料で 、 ここで注文できます 。



Dell R730xdは2倍安いですか？ オランダと米国で249ドルからIntel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100 TVを2台持っているだけです！ インフラストラクチャビルの構築方法について読んでください。 クラスRは、1米ドルで9,000ユーロのDell R730xd E5-2650 v4サーバーを使用していますか？