MITコース「コンピューターシステムのセキュリティ」。 講義18：「プライベートインターネットブラウジング」パート3

マサチューセッツ工科大学。 講義コース6.858。 「コンピューターシステムのセキュリティ。」 ニコライ・ゼルドヴィッチ、ジェームズ・ミケンズ。 2014年

コンピューターシステムセキュリティは、安全なコンピューターシステムの開発と実装に関するコースです。 講義では、脅威モデル、セキュリティを危険にさらす攻撃、および最近の科学的研究に基づいたセキュリティ技術を扱います。 トピックには、オペレーティングシステム（OS）セキュリティ、機能、情報フロー管理、言語セキュリティ、ネットワークプロトコル、ハードウェアセキュリティ、およびWebアプリケーションセキュリティが含まれます。



講義1：「はじめに：脅威モデル」 パート1 / パート2 / パート3

講義2：「ハッカー攻撃の制御」 パート1 / パート2 / パート3

講義3：「バッファオーバーフロー：エクスプロイトと保護」 パート1 / パート2 / パート3

講義4：「特権の共有」 パート1 / パート2 / パート3

講義5：「セキュリティシステムはどこから来たのか？」 パート1 / パート2

講義6：「機会」 パート1 / パート2 / パート3

講義7：「ネイティブクライアントサンドボックス」 パート1 / パート2 / パート3

講義8：「ネットワークセキュリティモデル」 パート1 / パート2 / パート3

講義9：「Webアプリケーションのセキュリティ」 パート1 / パート2 / パート3

講義10：「シンボリック実行」 パート1 / パート2 / パート3

講義11：「Ur / Webプログラミング言語」 パート1 / パート2 / パート3

講義12：ネットワークセキュリティパート1 / パート2 / パート3

講義13：「ネットワークプロトコル」 パート1 / パート2 / パート3

講義14：「SSLおよびHTTPS」 パート1 / パート2 / パート3

講義15：「医療ソフトウェア」 パート1 / パート2 / パート3

講義16：「サイドチャネル攻撃」 パート1 / パート2 / パート3

講義17：「ユーザー認証」 パート1 / パート2 / パート3

講義18：「インターネットのプライベートブラウジング」 パート1 / パート2 / パート3



したがって、最初のアプローチは、プライベートブラウジングの保証を強化する方法として仮想マシンを使用することです。つまり、仮想マシンレベルでプライバシーを考慮します。



基本的な考え方は、各プライベートセッションを個別の仮想マシンで実行することです。 次に、ユーザーがプライベートブラウジングセッションを終了すると、仮想マシンが削除されます。 それでは、このアイデアの利点は何ですか？







おそらく、仮想マシンにはかなりクリーンなデータ入力/出力インターフェイスがあるため、ユーザーに提供できる機密性の強力な保証が得られる可能性があります。 これらの仮想マシンを組み合わせて、たとえば、ディスク上のデータの暗号化とともにOpen BSDを使用するなど、何らかの種類の安全なスワップソリューションを想定することができます。



したがって、ここでVMを非常に明確に分離し、以下で発生するすべてのI / O操作を分離しています。 これにより、情報の入出力のすべての方法と、この情報がデータウェアハウスにあるときに漏洩する可能性のあるすべての方法を大事にするためにゼロから設計されていないブラウザから得られる保証よりも強力な保証が提供されます。



はい、それはより強力な保証を提供します。 さらに、アプリケーション、つまりブラウザの変更は必要ありません。 ブラウザを使用して、これらの仮想マシンの1つに配置すると、アプリケーションに変更を加えることなく、すべてが魔法のように良くなります。



それの何が悪いのか-私はボードに悲しい笑顔を描く-それは面倒です。 面倒なことは、プライベートブラウジングセッションの1つを開始する場合、仮想マシン全体を開始する必要があることを意味します。 また、プライベートブラウジングセッションを開始するのに時間がかかるため、ユーザーはイライラするため、これは非常に痛い場合があります。







他の問題は、この解決策が実用的でないことです。 非実用的な理由は、プライベートブラウジングモードで保存したファイルをコンピューターに転送したり、このモードで生成したすべてのブックマークを転送するなど、ユーザーが本当に難しいことではありません。できた。 しかし、ここには怠lazに関連する多くの不便があります。



問題に対する2番目のアプローチは最初のアプローチと似ていますが、仮想マシンではなく、OS自体に実際に実装します。 ここでの主なアイデアは、各プロセスがプライベートドメインで実行される可能性があるということです。 プライベートドメインは、プロセスが使用するOS共有リソースの一種であり、OSはそのようなすべてのことを追跡します。 そして、プロセスが終了するとすぐに、OSはプライベートドメイン内のすべてをスキャンし、これらすべてのリソースを完全に解放して新たに使用できるようにします。



VMを使用する場合と比べて、このアプローチの利点は軽量です。仮想マシンは、OSの状態と実行中のすべてのアプリケーションの状態に本質的に依存しないためです。 したがって、オペレーティングシステムは、プライベートブラウザーがデータ入力/出力、ネットワークへの「通話」などと接触するすべてのポイントを認識しているため、VMを使用するとOSよりも多くの作業が作成されます。 おそらく、OSはDNSキャッシュを選択的にクリアする方法さえ知っているでしょう。



したがって、これらのプライバシードメインを「ねじらない」方がはるかに簡単で、後で簡単に「分解」できると想像できます。 ただし、このソリューションの欠点は、少なくともVMの起動に関しては、正しい方法で行うことがはるかに難しいことです。 したがって、仮想マシンは基本的にOSコンテナ内で動作するすべてにとらわれないため、VMを使用したアプローチをプログレッシブとして説明しました。







良い点は、VMアプローチでは、少数の低レベルインターフェイスのみに集中できることです。 たとえば、仮想マシンがディスクに書き込むために使用するインターフェイスは、必要なものがすべて含まれているため、より高い信頼度が得られます。 OSを使用している間は、システムインターフェース、たとえば個々のネットワークインターフェースで個々のファイルを使用することが予想されるため、これははるかに複雑です。 したがって、これらすべてをOSレベルで行うと、データ漏洩の可能性ははるかに大きくなります。



そのため、これらは、現在実装可能なプライベートブラウジングモードを使用する際の機密性保証を強化するための2つの主なアプローチでした。

ユーザーがこれらのより強力なセキュリティソリューションの1つを適用する場合、ユーザーの身元を明らかにできますか？OSの仮想マシンまたはプライバシードメインを使用してインターネットを閲覧しますか？ ユーザーから匿名性を奪うことはできますか？ この質問に対する答えは-はい、できます！



仮想マシンは何らかの理由で一意であるため、ユーザーの匿名化が可能です。 これは、Panopticlick Webサイトを使用してブラウザーの指紋を取得する方法に似ています。 おそらく、仮想マシンの構成方法について何かユニークなものがあり、それによって指紋を取得することができます。 VMモニターまたはOS自体がいくつかの点で一意である可能性もあります。 そしてこれにより、ネットワーク攻撃者はユーザーの身元を明らかにすることができます。



典型的な例はTCPフィンガープリントです。 TCPプロトコルの仕様により、このプロトコルの実装中に特定のプロトコルパラメータのインストールが実際に許可されるという考え方です。 たとえば、TCPでは、実行者がTCP接続を確立する最初の部分で送信される初期パケットサイズを選択できるため、実行者はこれらのパケットの初期ライフタイムなどを選択できます。







したがって、慎重に処理されたパッケージを送信するだけで、InMapなどの既製のツールを使用して、使用しているオペレーティングシステムを高い確率で確認できます。 TTLがここに表示されていること、配布パッケージのサイズ、TTPシリアル番号が表示されていることなどが表示されます。 したがって、彼らは指紋のデータベースを作成します。 「返されたパッケージにこれ、このそしてこの特性がある場合、表によると、Solarisで作業していて、Macを使用していて、Windowsを使用している」などです。 したがって、これらのアプローチのいずれかを使用して仮想マシンまたはOSを使用したプライベートブラウジングのプライバシーを強化しても、攻撃者はTCPを介してこれらの指紋検出攻撃の1つを開始し、特定のユーザーについて多くを学ぶことができます。



ユーザーがこれらのより強力な方法のいずれかで保護されている場合でも、ユーザーはまだパブリックモードとプライベートモードの両方の表示モードに分割されていることに変わりはありません。 コンピュータを使用している過程であなた自身があなたの個人情報の漏洩に貢献する可能性があるため、これは興味深いものです。



たとえば、判明したように、各ユーザーには一意のキーストロークがあります。 したがって、キーボードで「fast brown fox」というフレーズの入力を同時に開始するタスクを与えると、各人がキーを押す時間は非常に一意であるため、指紋を取得するために使用できる可能性があります。



また、ユーザーが独自の書体を持っていることも興味深いです。 スタイログラフィーと呼ばれるセキュリティ業界があります。







スタイログラフィの考え方は、攻撃者があなたの手紙のサンプルを見ることであなたが誰であるかを把握できるということです。 なんらかの理由であなたが4chanにぶら下がっていることを想像してください。 4chanのさまざまな投稿を見て、それらをスタイル的に同じコメントのセットにグループ化できます。 次に、あなたが著者である宿題など、あなたの執筆スタイルの公開サンプルを見つけようとします。 その後、4chanコメントセットのスタイルサンプルを宿題と比較し、一致するものが見つかった場合は、4chanフォーラムで凍結の危険性を明確にするために両親に手紙を書くことができます。 それが、スタイログラフィーに注意を引くことにした理由です。 これは実際には非常に興味深いです。



そのため、VMまたは変更されたオペレーティングシステムを使用してプライベートブラウジングのサポートを提供する方法について説明しました。 したがって、なぜ、ブラウザでユーザーがこれらのことの1つを行う必要がないのか疑問に思うかもしれません-仮想マシンを起動するか、OSを変更しますか？ ブラウザーがこれらすべての実装を引き継ぐのはなぜですか？



主な理由は展開性です。 通常、ブラウザメーカーは、ブラウザ自体をインストールする以外に、ブラウザを使用するために特別な操作をユーザーに強制することを望みません。 これは、Googleがこれらのクールな機能をエンドユーザーのコンピューターに追加しようとしているが、ユーザーにWindowsまたはLinuxのカスタムバージョンのインストールや他の操作を強制したくないときのNative Clientの動機に似ています。 したがって、グーグルは「私たちは自分でこれを処理します」と言っています。



もう1つの理由は、使いやすさです。 仮想マシンおよびOSレベルでのこれらのプライベートブラウジングソリューションの多くは、既に説明したように、ユーザーがプライベートブラウジングセッション中に受信したもの（ダウンロードしたファイル、ブックマークなど）を保存することを困難にします。







基本的に、ブラウザーメーカーは、自分でプライベートブラウジングモードを実装すると、ユーザーがプライベートブラウジングモードでダウンロードしたファイルを受け入れてコンピューターに保存できるようになると述べています。 最初はいいですね。 ただし、このアプローチでは、ユーザーが何らかのプライベートステートをエクスポートできるため、セキュリティシステムの多くの脆弱性が発生し、プライベートブラウジングモードの実装時に使用されるセキュリティプロパティの分析が大幅に複雑になることに注意してください。

したがって、この記事の著者は、変更可能なさまざまな種類のブラウザの状態を特徴付け、現在のプライベートブラウジングモードがそれらをどのように変更できるかを検討します。



この記事では、ブラウザーの状態の変化を分類します。 この分類には4つのタイプの変更があります。 最初のタイプは、ユーザーの介入なしにサイト自体によって状態の変更が開始された場合です。 このタイプの状態変更の例としては、Cookieの取得、ブラウザのアドレス履歴への追加、ブラウザキャッシュの更新などがあります。 したがって、基本的に、この状態はプライベート表示モード全体を通して持続しますが、完了後に破棄されます。



ユーザーはこの状態の形成中にブラウザーと対話しないため、ユーザー自身がこれに参加することを望まないと理解されると想定できます。



2番目のタイプのブラウザー状態の変更もWebサイトによって開始されますが、このWebサイトにアクセスしたユーザーと何らかのやり取りがあります。 たとえば、ユーザーがクライアント証明書をインストールするか、パスワードを使用してサイトで認証する、つまりどこかに行こうとする場合です。 さらに、ブラウザは「このパスワードを保存しますか？」と非常に役立ちます。 ユーザーが「はい」と答えた場合、保存されたパスワードなどはプライベートブラウジングモード以外でも使用できます。 したがって、原則として、この場合のプライバシーポリシーの内容は明確ではありません。 実際には、ユーザー自身が「はい」または「いいえ」と言って最適なオプションを選択すると仮定すると、ブラウザーはプライベートブラウジングモードで発生したものの存在を許可します。 ユーザーが十分に賢い場合、他の誰かがそれを使用できるため、疑わしいサイトのパスワードを保存しません。 そのため、ブラウザではなくユーザーエラーが発生し、プライバシーが失われる可能性があります。



したがって、どのポリシーが最適であるかは明確ではありませんが、実際には、このタイプの状態変更はプライベートブラウジングモードの外部に保存することが許可されています。



3番目のタイプの状態変更は、ユーザーが完全に開始します。 これらは、ブックマークの保存やファイルのダウンロードなどです。 ユーザーはその作成に直接関与しているため、この状態は前の状態と似ています。 この場合、プライベート表示モードは、このタイプの状態変更がプライベート表示以外での将来の使用のために保存されることに同意します。







さらに、特定のセッションにまったく関連付けられていないいくつかのタイプの状態があります。 たとえば、これはブラウザ自体の更新状態、つまりブラウザを表すファイルの変更です。 ブラウザ開発者は、この状態の変化は、パブリックビューとプライベートビューの両方で利用できるグローバルな状態の一部であると考えています。



最後に、注意深く見ると、特にユーザーとの対話がある場合、プライベートブラウジングモード以外でのデータ漏えいが発生する可能性のある条件がかなりあることに気付くでしょう。 これがセキュリティとプライバシーの最適な妥協案なのだろうか？







記事では、ローカルの攻撃者がプライベートブラウジングモードを使用しているかどうかを判断できる可能性を防ぐことは困難であると述べています。 これについては、記事で多少曖昧に述べられています。 事実、情報漏洩の性質から、どの表示モード（プライベートまたはパブリック）が発生するかがわかります。 たとえば、FirefoxとChromeでは、プライベートブラウジングモードでブックマークを作成すると、このブックマークには、サイトへのアクセスに費やした時間など、関連する一連のメタデータが含まれます。 多くの場合、このブックマークがプライベートブラウジングモードで作成された場合、このメタデータはゼロまたはゼロに近い値になります。 その後、後でコンピュータを管理する人がブックマーク情報を表示できるようになります。 このメタデータがゼロであることがわかると、このブックマークはおそらくプライベートブラウジングモードで作成されたと結論付けます。



ブラウザのセキュリティについて話すとき、人々がJavaScript、HTML、またはCSSで何をしているのか、プラグインや拡張機能で何ができるのかを考えます。 プライベートブラウジングのコンテキストでは、プラグインと拡張機能は非常に興味深いものです。ほとんどの場合、それらは同じ生成元ポリシーに限定されず、たとえばJavaScriptなどの使用を制限できるためです。 興味深いことに、これらの拡張機能とプラグインは通常、非常に高い権限で動作します。 大まかに言えば、それらはカーネルモジュールと考えることができます。 これらには高い権限があり、ブラウザ自体に新しい機能を直接実装できます。 したがって、これらのプラグインと拡張機能は、実際のブラウザ開発者ではない人によって開発されることが多いため、これには少し問題があります。 これは、誰かが何か良いことをして、プラグインや拡張機能を追加することでブラウザに有用なプロパティを与えようとしていることを意味します。 しかし、このサードパーティの開発者は、その拡張機能が実行されるセキュリティコンテキストを完全に理解していない可能性があるため、このような拡張機能はプライベートブラウジングモードのセマンティクスを提供したり、間違った方法で提供したりすることはありません。



これらの新しいプラグインまたは拡張機能の一部を追加すると、結果のプライバシーを正しく評価できなくなるため、セキュリティの観点からこれは実際に悪いことであると数分でお知らせします。 良いニュースは、すぐにプラグインが恐竜の道を辿ることができる、つまり消滅することです。 HTML5は、オーディオタグ、ビデオタグなど、これらすべての新機能を追加することをご存知でしょう。これらの新機能の多くは、人々がJavaやFlashなどのプラグインの使用を停止できるように設計されています。過去に、人々がサイトで2Dまたは3Dグラフィックスを使用したいとき、彼らはJavaまたはFlashのようなものを使用しなければならなかったからです。Web GLや情報タグなどを使用できるようになったので、おそらくプラグインを使用する時間です。



, IE , , - , HTML5. , YouTube, , , - HTML5-, . . , . , , , , .



, , , , 2010 , , ?

, . , , , HTML5.



, , . , . - , .



, 2014 Firefox, pdf.js, PDF-, HTML5-. , , .



, - PDF-, . PDF- , pdf.js , . . , , . , — , .



. , , , , , , , .



, : , , .







Firefox , 2011 . . , , , about:memory, , , , URL- , . , , , about:memory. , Firefox. , Firefox . , , about:memory , .



, URL-, , , . , . .

Bugzilla, , . , , , , , . , , . , . : « , , , .» : « , ».



, — HTML5 — , , . , , , .

, . , , . , .



たとえば、オンライン証拠を検索するマグネットツールがあり、それをそのまま使用できます。スワップファイルを参照してRAMアーティファクトを見つけるなどの処理を行い、見つかった画像やURLなどを一覧表示する非常に優れたグラフィカルインターフェイスを提供します。したがって、実際には、これらのプライベートブラウジングモードでは、一部の情報が漏洩する可能性があります。



そのため、次の講義ではTorについて説明します。





コースの完全版はこちらから入手できます 。



ご滞在いただきありがとうございます。 私たちの記事が好きですか？ より興味深い資料を見たいですか？ 注文するか、友人に推薦することで、私たちをサポートします。私たちがあなたのために発明したエントリーレベルのサーバーのユニークなアナログのHabrユーザーのために30％の割引： VPS（KVM）E5-2650 v4（6コア）についての真実20ドルまたはサーバーを分割する方法？ （オプションはRAID1およびRAID10、最大24コア、最大40GB DDR4で利用可能です）。



VPS（KVM）E5-2650 v4（6コア）10GB DDR4 240GB SSD 1Gbpsまで 6か月の期間を支払う場合は12月まで無料で 、 ここで注文できます 。



Dell R730xdは2倍安いですか？ オランダと米国で249ドルからIntel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100 TVを2台持っているだけです！ インフラストラクチャビルの構築方法について読んでください。 クラスRは、1米ドルで9,000ユーロのDell R730xd E5-2650 v4サーバーを使用していますか？