SlideShare une entreprise Scribd logo

Filtrowanie sieci - Panoptykon

Télécharger en tant que PPTX, PDF
Pawel Krawczyk
Pawel Krawczyk

Prezentacja omawiająca różne techniki filtrowania treści w Internecie na potrzeby warsztatu Fundacji Panoptykon. Patrz http://ipsec.pl/

TechnologieDesign
1  sur  22
Filtrowanie sieci Praktyka, techniki, produkty
Warstwy filtrowania
Co widzi filtr?
Szybkość
Lokalizacja filtra
Precyzja klasyfikacji
Rynek - początki CyberPatrol (1995), CyberNanny etc Prymitywna instalacja Program lokalny Przechwytuje połączenia przeglądarek U nas - Beniamin (2006), Cenzor (2008)
Prymitywne filtrowanie Słowa kluczowe (np. „sex”) w Treści („Free Sex Video Filmiki Erotyczne”) Nazwie domeny (sex.wikipedia.org) Adresie URL (http://wikipedia.org/Sex) Liczne błędy w klasyfikacji („Sussex”, „Essex”) Jedna, zbiorcza czarna lista „stron zakazanych” Strony porno Strony konkurencji Przypadkowe i niejasne kryteria klasyfikacji
Heurystyka System punktowy Np. jeden punkt za każde brzydkie słowo Limit powyżej którego strona jest blokowana Modyfikacje Wagi – słowo „pupa” dostaje mniej punktów niż „dupa”
Klasyfikacja adresów URL „Sklasyfikujmy wszystkie adresy URL na świecie” Większa precyzja http://freehosting.org/sex-site (Porn) http://freehosting.org/sex-differences (Biology) Trudne do zautomatyzowania Wymaga uczestnictwa człowieka Znającego dany język i kulturę Konsekwencje Ogromny, ciągły koszt klasyfikacji Bazy mają wiele gigabajtów Cykliczne aktualizacje Wydajność filtrowania
Rynek – klasa „enterprise” Wyspecjalizowane urządzenia (np. WebSense, BlueCoat) Oprogramowanie darmowe (np. DansGuardian) TANSTAFL (jak Snort, Nessus) Bazy płatne (np. SmoothGuardian, CorporateGuardian, URLBlocklist) Przechwytywanie SSL Niezauważalne, jeśli ufam certyfikatowi filtra Klasyfikacja 50+ kategorii Np. Sports, News/Media, Social Networks, Porn, Suspicious, Fraud… Obsługa reklamacji „Ta strona jest błędnie sklasyfikowan? Zgłoś to”
Filtrowanie reputacyjne Publiczne czarne listy Listy adresów IP spammerów, hackerów, sieci abonenckich itd. Poziom IP (np. DNSBL) Listy domen dystrybuujących złośliwe oprogramowanie Poziom DNS (np. malwaredomains.com) Listy adresów stron z malware Poziom URL Zasilane zwykle z pułapek Systemy-przynęty (honeypots), pułapki emailowe
Blokady reputacyjne Zastosowania Po stronie serwerów – „tych państwa nie obsługujemy” http:BL, DShield, iBlocklist (IP) Po stronie klientów OpenDNS -> PhishTank (IP) Microsoft SmartScreen Filter, Google Safe Browsing (URL) PeerBlock, PeerGuardian -> iBlocklist (IP) Ochrona przed firmami antypirackimi, pedofilami (!)
Filtrowanie w skali kraju ,[object Object]
1996 – ISPA, Metropolitan Police, Home Office, Safety Net Foundation
Zaufanie ze strony ISPA, mało widoczne dla użytkowników
Działalność
Zarządzanie listą CleanFeed
Zgłaszanie policji stron hostowanych w UK
Klasyfikacja stron
Na podstawie zgłoszeń
Wewnętrzne kryteria oceny („fourpolice-trainedanalysts”)

Recommandé

Optymalizacja kosztów stałych
Optymalizacja kosztów stałychOptymalizacja kosztów stałych
Optymalizacja kosztów stałychZbigniew Piąstka
 
Wykonywanie aparatów jednoszczękowych
Wykonywanie aparatów jednoszczękowych Wykonywanie aparatów jednoszczękowych
Wykonywanie aparatów jednoszczękowychDawid Bogocz
 
Trudna intubacja
Trudna intubacjaTrudna intubacja
Trudna intubacjaPolanest
 
Polscy internauci-gracze 2015
Polscy internauci-gracze 2015Polscy internauci-gracze 2015
Polscy internauci-gracze 2015Polish Internet Research
 
Ergonomia książka
Ergonomia książkaErgonomia książka
Ergonomia książkaIlona Papierska
 
Top DevOps Security Failures
Top DevOps Security FailuresTop DevOps Security Failures
Top DevOps Security FailuresPawel Krawczyk
 
Authenticity and usability
Authenticity and usabilityAuthenticity and usability
Authenticity and usabilityPawel Krawczyk
 
Reading Geek Night 2019
Reading Geek Night 2019Reading Geek Night 2019
Reading Geek Night 2019Pawel Krawczyk
 

Recommandé

Optymalizacja kosztów stałych
Optymalizacja kosztów stałychOptymalizacja kosztów stałych
Optymalizacja kosztów stałychZbigniew Piąstka
 
Wykonywanie aparatów jednoszczękowych
Wykonywanie aparatów jednoszczękowych Wykonywanie aparatów jednoszczękowych
Wykonywanie aparatów jednoszczękowychDawid Bogocz
 
Trudna intubacja
Trudna intubacjaTrudna intubacja
Trudna intubacjaPolanest
 
Polscy internauci-gracze 2015
Polscy internauci-gracze 2015Polscy internauci-gracze 2015
Polscy internauci-gracze 2015Polish Internet Research
 
Ergonomia książka
Ergonomia książkaErgonomia książka
Ergonomia książkaIlona Papierska
 
Top DevOps Security Failures
Top DevOps Security FailuresTop DevOps Security Failures
Top DevOps Security FailuresPawel Krawczyk
 
Authenticity and usability
Authenticity and usabilityAuthenticity and usability
Authenticity and usabilityPawel Krawczyk
 
Reading Geek Night 2019
Reading Geek Night 2019Reading Geek Night 2019
Reading Geek Night 2019Pawel Krawczyk
 
Effective DevSecOps
Effective DevSecOpsEffective DevSecOps
Effective DevSecOpsPawel Krawczyk
 
Unicode the hero or villain
Unicode the hero or villain Unicode the hero or villain
Unicode the hero or villain Pawel Krawczyk
 
Get rid of TLS certificates - using IPSec for large scale cloud protection
Get rid of TLS certificates - using IPSec for large scale cloud protectionGet rid of TLS certificates - using IPSec for large scale cloud protection
Get rid of TLS certificates - using IPSec for large scale cloud protectionPawel Krawczyk
 
Presentation from CyberGov.pl 2015
Presentation from CyberGov.pl 2015 Presentation from CyberGov.pl 2015
Presentation from CyberGov.pl 2015 Pawel Krawczyk
 
Łukasz Lenart "How secure your web framework is? Based on Apache Struts 2"
Łukasz Lenart "How secure your web framework is? Based on Apache Struts 2"Łukasz Lenart "How secure your web framework is? Based on Apache Struts 2"
Łukasz Lenart "How secure your web framework is? Based on Apache Struts 2"Pawel Krawczyk
 
Leszek Miś "Czy twoj WAF to potrafi"
Leszek Miś "Czy twoj WAF to potrafi"Leszek Miś "Czy twoj WAF to potrafi"
Leszek Miś "Czy twoj WAF to potrafi"Pawel Krawczyk
 
Paweł Krawczyk - Ekonomia bezpieczeństwa
Paweł Krawczyk - Ekonomia bezpieczeństwaPaweł Krawczyk - Ekonomia bezpieczeństwa
Paweł Krawczyk - Ekonomia bezpieczeństwaPawel Krawczyk
 
Are electronic signature assumptions realistic
Are electronic signature assumptions realisticAre electronic signature assumptions realistic
Are electronic signature assumptions realisticPawel Krawczyk
 
Dlaczego przejmować się bezpieczeństwem aplikacji (pol)
Dlaczego przejmować się bezpieczeństwem aplikacji (pol)Dlaczego przejmować się bezpieczeństwem aplikacji (pol)
Dlaczego przejmować się bezpieczeństwem aplikacji (pol)Pawel Krawczyk
 
Pragmatic view on Electronic Signature directive 1999 93
Pragmatic view on Electronic Signature directive 1999 93Pragmatic view on Electronic Signature directive 1999 93
Pragmatic view on Electronic Signature directive 1999 93Pawel Krawczyk
 
Why care about application security
Why care about application securityWhy care about application security
Why care about application securityPawel Krawczyk
 
Source Code Scanners
Source Code ScannersSource Code Scanners
Source Code ScannersPawel Krawczyk
 
Krawczyk Ekonomia Bezpieczenstwa 2
Krawczyk Ekonomia Bezpieczenstwa 2Krawczyk Ekonomia Bezpieczenstwa 2
Krawczyk Ekonomia Bezpieczenstwa 2Pawel Krawczyk
 
Audyt Wewnetrzny W Zakresie Bezpieczenstwa
Audyt Wewnetrzny W Zakresie BezpieczenstwaAudyt Wewnetrzny W Zakresie Bezpieczenstwa
Audyt Wewnetrzny W Zakresie BezpieczenstwaPawel Krawczyk
 
Kryptografia i mechanizmy bezpieczenstwa
Kryptografia i mechanizmy bezpieczenstwaKryptografia i mechanizmy bezpieczenstwa
Kryptografia i mechanizmy bezpieczenstwaPawel Krawczyk
 
Zaufanie W Systemach Informatycznych
Zaufanie W Systemach InformatycznychZaufanie W Systemach Informatycznych
Zaufanie W Systemach InformatycznychPawel Krawczyk
 
Real Life Information Security
Real Life Information SecurityReal Life Information Security
Real Life Information SecurityPawel Krawczyk
 
Europejskie Ramy Interoperacyjności 2.0
Europejskie Ramy Interoperacyjności 2.0Europejskie Ramy Interoperacyjności 2.0
Europejskie Ramy Interoperacyjności 2.0Pawel Krawczyk
 

Contenu connexe

Plus de Pawel Krawczyk

Unicode the hero or villain
Unicode the hero or villain Unicode the hero or villain
Unicode the hero or villain Pawel Krawczyk
 
Get rid of TLS certificates - using IPSec for large scale cloud protection
Get rid of TLS certificates - using IPSec for large scale cloud protectionGet rid of TLS certificates - using IPSec for large scale cloud protection
Get rid of TLS certificates - using IPSec for large scale cloud protectionPawel Krawczyk
 
Presentation from CyberGov.pl 2015
Presentation from CyberGov.pl 2015 Presentation from CyberGov.pl 2015
Presentation from CyberGov.pl 2015 Pawel Krawczyk
 
Łukasz Lenart "How secure your web framework is? Based on Apache Struts 2"
Łukasz Lenart "How secure your web framework is? Based on Apache Struts 2"Łukasz Lenart "How secure your web framework is? Based on Apache Struts 2"
Łukasz Lenart "How secure your web framework is? Based on Apache Struts 2"Pawel Krawczyk
 
Leszek Miś "Czy twoj WAF to potrafi"
Leszek Miś "Czy twoj WAF to potrafi"Leszek Miś "Czy twoj WAF to potrafi"
Leszek Miś "Czy twoj WAF to potrafi"Pawel Krawczyk
 
Paweł Krawczyk - Ekonomia bezpieczeństwa
Paweł Krawczyk - Ekonomia bezpieczeństwaPaweł Krawczyk - Ekonomia bezpieczeństwa
Paweł Krawczyk - Ekonomia bezpieczeństwaPawel Krawczyk
 
Are electronic signature assumptions realistic
Are electronic signature assumptions realisticAre electronic signature assumptions realistic
Are electronic signature assumptions realisticPawel Krawczyk
 
Dlaczego przejmować się bezpieczeństwem aplikacji (pol)
Dlaczego przejmować się bezpieczeństwem aplikacji (pol)Dlaczego przejmować się bezpieczeństwem aplikacji (pol)
Dlaczego przejmować się bezpieczeństwem aplikacji (pol)Pawel Krawczyk
 
Pragmatic view on Electronic Signature directive 1999 93
Pragmatic view on Electronic Signature directive 1999 93Pragmatic view on Electronic Signature directive 1999 93
Pragmatic view on Electronic Signature directive 1999 93Pawel Krawczyk
 
Why care about application security
Why care about application securityWhy care about application security
Why care about application securityPawel Krawczyk
 
Krawczyk Ekonomia Bezpieczenstwa 2
Krawczyk Ekonomia Bezpieczenstwa 2Krawczyk Ekonomia Bezpieczenstwa 2
Krawczyk Ekonomia Bezpieczenstwa 2Pawel Krawczyk
 
Audyt Wewnetrzny W Zakresie Bezpieczenstwa
Audyt Wewnetrzny W Zakresie BezpieczenstwaAudyt Wewnetrzny W Zakresie Bezpieczenstwa
Audyt Wewnetrzny W Zakresie BezpieczenstwaPawel Krawczyk
 
Kryptografia i mechanizmy bezpieczenstwa
Kryptografia i mechanizmy bezpieczenstwaKryptografia i mechanizmy bezpieczenstwa
Kryptografia i mechanizmy bezpieczenstwaPawel Krawczyk
 
Zaufanie W Systemach Informatycznych
Zaufanie W Systemach InformatycznychZaufanie W Systemach Informatycznych
Zaufanie W Systemach InformatycznychPawel Krawczyk
 
Real Life Information Security
Real Life Information SecurityReal Life Information Security
Real Life Information SecurityPawel Krawczyk
 
Europejskie Ramy Interoperacyjności 2.0
Europejskie Ramy Interoperacyjności 2.0Europejskie Ramy Interoperacyjności 2.0
Europejskie Ramy Interoperacyjności 2.0Pawel Krawczyk
 

Plus de Pawel Krawczyk (18)

Effective DevSecOps
Effective DevSecOpsEffective DevSecOps
Effective DevSecOps
 
Unicode the hero or villain
Unicode the hero or villain Unicode the hero or villain
Unicode the hero or villain
 
Get rid of TLS certificates - using IPSec for large scale cloud protection
Get rid of TLS certificates - using IPSec for large scale cloud protectionGet rid of TLS certificates - using IPSec for large scale cloud protection
Get rid of TLS certificates - using IPSec for large scale cloud protection
 
Presentation from CyberGov.pl 2015
Presentation from CyberGov.pl 2015 Presentation from CyberGov.pl 2015
Presentation from CyberGov.pl 2015
 
Łukasz Lenart "How secure your web framework is? Based on Apache Struts 2"
Łukasz Lenart "How secure your web framework is? Based on Apache Struts 2"Łukasz Lenart "How secure your web framework is? Based on Apache Struts 2"
Łukasz Lenart "How secure your web framework is? Based on Apache Struts 2"
 
Leszek Miś "Czy twoj WAF to potrafi"
Leszek Miś "Czy twoj WAF to potrafi"Leszek Miś "Czy twoj WAF to potrafi"
Leszek Miś "Czy twoj WAF to potrafi"
 
Paweł Krawczyk - Ekonomia bezpieczeństwa
Paweł Krawczyk - Ekonomia bezpieczeństwaPaweł Krawczyk - Ekonomia bezpieczeństwa
Paweł Krawczyk - Ekonomia bezpieczeństwa
 
Are electronic signature assumptions realistic
Are electronic signature assumptions realisticAre electronic signature assumptions realistic
Are electronic signature assumptions realistic
 
Dlaczego przejmować się bezpieczeństwem aplikacji (pol)
Dlaczego przejmować się bezpieczeństwem aplikacji (pol)Dlaczego przejmować się bezpieczeństwem aplikacji (pol)
Dlaczego przejmować się bezpieczeństwem aplikacji (pol)
 
Pragmatic view on Electronic Signature directive 1999 93
Pragmatic view on Electronic Signature directive 1999 93Pragmatic view on Electronic Signature directive 1999 93
Pragmatic view on Electronic Signature directive 1999 93
 
Why care about application security
Why care about application securityWhy care about application security
Why care about application security
 
Source Code Scanners
Source Code ScannersSource Code Scanners
Source Code Scanners
 
Krawczyk Ekonomia Bezpieczenstwa 2
Krawczyk Ekonomia Bezpieczenstwa 2Krawczyk Ekonomia Bezpieczenstwa 2
Krawczyk Ekonomia Bezpieczenstwa 2
 
Audyt Wewnetrzny W Zakresie Bezpieczenstwa
Audyt Wewnetrzny W Zakresie BezpieczenstwaAudyt Wewnetrzny W Zakresie Bezpieczenstwa
Audyt Wewnetrzny W Zakresie Bezpieczenstwa
 
Kryptografia i mechanizmy bezpieczenstwa
Kryptografia i mechanizmy bezpieczenstwaKryptografia i mechanizmy bezpieczenstwa
Kryptografia i mechanizmy bezpieczenstwa
 
Zaufanie W Systemach Informatycznych
Zaufanie W Systemach InformatycznychZaufanie W Systemach Informatycznych
Zaufanie W Systemach Informatycznych
 
Real Life Information Security
Real Life Information SecurityReal Life Information Security
Real Life Information Security
 
Europejskie Ramy Interoperacyjności 2.0
Europejskie Ramy Interoperacyjności 2.0Europejskie Ramy Interoperacyjności 2.0
Europejskie Ramy Interoperacyjności 2.0
 

Filtrowanie sieci - Panoptykon

  • 1. Filtrowanie sieci Praktyka, techniki, produkty
  • 7. Rynek - początki CyberPatrol (1995), CyberNanny etc Prymitywna instalacja Program lokalny Przechwytuje połączenia przeglądarek U nas - Beniamin (2006), Cenzor (2008)
  • 8. Prymitywne filtrowanie Słowa kluczowe (np. „sex”) w Treści („Free Sex Video Filmiki Erotyczne”) Nazwie domeny (sex.wikipedia.org) Adresie URL (http://wikipedia.org/Sex) Liczne błędy w klasyfikacji („Sussex”, „Essex”) Jedna, zbiorcza czarna lista „stron zakazanych” Strony porno Strony konkurencji Przypadkowe i niejasne kryteria klasyfikacji
  • 9. Heurystyka System punktowy Np. jeden punkt za każde brzydkie słowo Limit powyżej którego strona jest blokowana Modyfikacje Wagi – słowo „pupa” dostaje mniej punktów niż „dupa”
  • 10. Klasyfikacja adresów URL „Sklasyfikujmy wszystkie adresy URL na świecie” Większa precyzja http://freehosting.org/sex-site (Porn) http://freehosting.org/sex-differences (Biology) Trudne do zautomatyzowania Wymaga uczestnictwa człowieka Znającego dany język i kulturę Konsekwencje Ogromny, ciągły koszt klasyfikacji Bazy mają wiele gigabajtów Cykliczne aktualizacje Wydajność filtrowania
  • 11. Rynek – klasa „enterprise” Wyspecjalizowane urządzenia (np. WebSense, BlueCoat) Oprogramowanie darmowe (np. DansGuardian) TANSTAFL (jak Snort, Nessus) Bazy płatne (np. SmoothGuardian, CorporateGuardian, URLBlocklist) Przechwytywanie SSL Niezauważalne, jeśli ufam certyfikatowi filtra Klasyfikacja 50+ kategorii Np. Sports, News/Media, Social Networks, Porn, Suspicious, Fraud… Obsługa reklamacji „Ta strona jest błędnie sklasyfikowan? Zgłoś to”
  • 12. Filtrowanie reputacyjne Publiczne czarne listy Listy adresów IP spammerów, hackerów, sieci abonenckich itd. Poziom IP (np. DNSBL) Listy domen dystrybuujących złośliwe oprogramowanie Poziom DNS (np. malwaredomains.com) Listy adresów stron z malware Poziom URL Zasilane zwykle z pułapek Systemy-przynęty (honeypots), pułapki emailowe
  • 13. Blokady reputacyjne Zastosowania Po stronie serwerów – „tych państwa nie obsługujemy” http:BL, DShield, iBlocklist (IP) Po stronie klientów OpenDNS -> PhishTank (IP) Microsoft SmartScreen Filter, Google Safe Browsing (URL) PeerBlock, PeerGuardian -> iBlocklist (IP) Ochrona przed firmami antypirackimi, pedofilami (!)
  • 14.
  • 15. 1996 – ISPA, Metropolitan Police, Home Office, Safety Net Foundation
  • 16. Zaufanie ze strony ISPA, mało widoczne dla użytkowników
  • 19. Zgłaszanie policji stron hostowanych w UK
  • 22. Wewnętrzne kryteria oceny („fourpolice-trainedanalysts”)
  • 26.
  • 28.
  • 29. Kontrola URL tylko dla serwerów zawierających zablokowane strony (0,01%?)
  • 30.
  • 31. Filtrowanie w skali kraju Rejestr Stron i Usług Niepożądanych (MF) Rozmyty i dynamicznie rosnący katalog kryteriów Ułomna procedura odwoławcza Absurdalne argumenty ekonomiczne Oczekiwane korzyści dla Skarbu Państwa wzięte z sufitu Nowy urząd klasyfikujący strony – 5 mln zł Koszt po stronie ISP, wpływ na koszt usług – zignorowany "Koszty ponoszone przez przedsiębiorcę telekomunikacyjnego będą ograniczone do stworzenia prostego oprogramowania filtrującego oraz dokonującego aktualizacji blokowania adresów." Brak zaufania społecznego do operatora
  • 32. Wyzwania i problemy Odpowiedzialność za klasyfikację stron Strony niesklasyfikowane Dlaczego zobaczyłem to czego nie powinienem? Błędna klasyfikacja Dlaczego nie zobaczyłem tego co powinienem? Wydajność sieci Spadek wydajności sieci spowodowany filtrowaniem Zatory, przekroczenie czasu oczekiwania Blokady wynikające z błędnej klasyfikacji Koszt dostępu do sieci Infrastruktura filtrująca jest kosztowna Koszty przenoszone na abonentów
  • 33. Filtrowanie a pedofilia Raport Flagging and Co-ordination System (FACS)  Child Exploitation and Online Protection (CEOP) US Financial Coalition Against Child Pornography  14,5 tys. stron pedofilskich pochodzących ze zgłoszeń 2009-2010 spadek stron w rejestrze o 78% Po roku działało tylko 0,3% stron ~40 stron (!) Wysoka skuteczność działań policji Cykliczne zatrzymania w całej Europie – Interpol, Europol
  • 34. DansGuardian, Wrocław Maj 2011, darmowy Internet miejski Oficjalny cel blokady? Anegdotyczne wypowiedzi urzędników... Zablokowany wywiad na stronie Krytyki Politycznej Jaki był powód blokady? Nie wiadomo („przekroczono limit fraz liczonych wagowo”) Spekulacje internautów W artykule? A może w komentarzach? ->Czy dowolną stronę można zablokować komentarzem z odpowiednimi słowami? Np. „akty” plus „kobiety” Jakie są możliwości reklamacji? „Taka opcja ma sens jedynie przy serwisach komercyjnych, zatrudniających do tego odpowiedni personel. W przypadku bezpłatnego Internetu Miejskiego nie mamy funduszy na zatrudnienie urzędników tylko do rozpatrywania odwołań”