Upload
pawel-krawczyk
View
1.990
Download
2
Embed Size (px)
DESCRIPTION
Prezentacja omawiająca różne techniki filtrowania treści w Internecie na potrzeby warsztatu Fundacji Panoptykon. Patrz http://ipsec.pl/
Citation preview
Filtrowanie sieciPraktyka, techniki, produkty
Warstwy filtrowania
IP
DNS
Treść Adres
Co widzi filtr?
•"Lorem ipsum dolor sit amet, consectetur adipisicing elit”Treść
•http://www.lipsum.com/Adres
•www.lipsum.comDNS
Szybkość
Adres DNS IP
Lokalizacja filtraZalety Wady
Komputer lokalny • Wie jaka aplikacja• Wie kto• Widzi ruch w SSL
• Wymaga programu• Można go wyłączyć• Spowalnia komputer
Brama sieciowa • Widzi więcej• Trudno obejść• Nie można wyłączyć
• Kosztuje dużo• Spowalnia sieć• Nie widzi w SSL
Precyzja klasyfikacjiPrecyzja Wydajność
Treść Wysoka – działa ad hoc, ale łatwo o błędy
Niska – czasochłonna analiza treści każdej strony
Adres Wysoka – ale wymaga uprzedniej klasyfikacji
Niska – przeszukiwanie ogromnych baz URL
DNS Średnia – blokuje wszystkie strony w danej domenie
Wysoka
IP Niska – blokuje wszystkie domeny na danym serwerze
Wysoka
Rynek - początki• CyberPatrol (1995), CyberNanny etc• Prymitywna instalacja
• Program lokalny• Przechwytuje połączenia przeglądarek
• U nas - Beniamin (2006), Cenzor (2008)
Prymitywne filtrowanie• Słowa kluczowe (np. „sex”) w
• Treści („Free Sex Video Filmiki Erotyczne”)• Nazwie domeny (sex.wikipedia.org)• Adresie URL (http://wikipedia.org/Sex)• Liczne błędy w klasyfikacji („Sussex”, „Essex”)
• Jedna, zbiorcza czarna lista „stron zakazanych”• Strony porno• Strony konkurencji
• Przypadkowe i niejasne kryteria klasyfikacji
Heurystyka• System punktowy
• Np. jeden punkt za każde brzydkie słowo• Limit powyżej którego strona jest blokowana
• Modyfikacje• Wagi – słowo „pupa” dostaje mniej punktów niż „dupa”
Klasyfikacja adresów URL• „Sklasyfikujmy wszystkie adresy URL na świecie”• Większa precyzja
• http://freehosting.org/sex-site (Porn)• http://freehosting.org/sex-differences (Biology)
• Trudne do zautomatyzowania• Wymaga uczestnictwa człowieka
• Znającego dany język i kulturę
• Konsekwencje• Ogromny, ciągły koszt klasyfikacji• Bazy mają wiele gigabajtów• Cykliczne aktualizacje• Wydajność filtrowania
Rynek – klasa „enterprise”• Wyspecjalizowane urządzenia (np. WebSense, BlueCoat)• Oprogramowanie darmowe (np. DansGuardian)
• TANSTAFL (jak Snort, Nessus)• Bazy płatne (np. SmoothGuardian, CorporateGuardian,
URLBlocklist)• Przechwytywanie SSL
• Niezauważalne, jeśli ufam certyfikatowi filtra• Klasyfikacja
• 50+ kategorii• Np. Sports, News/Media, Social Networks, Porn, Suspicious, Fraud…
• Obsługa reklamacji• „Ta strona jest błędnie sklasyfikowan? Zgłoś to”
Filtrowanie reputacyjne• Publiczne czarne listy
• Listy adresów IP spammerów, hackerów, sieci abonenckich itd.• Poziom IP (np. DNSBL)
• Listy domen dystrybuujących złośliwe oprogramowanie• Poziom DNS (np. malwaredomains.com)
• Listy adresów stron z malware• Poziom URL
• Zasilane zwykle z pułapek• Systemy-przynęty (honeypots), pułapki emailowe
Blokady reputacyjne• Zastosowania
• Po stronie serwerów – „tych państwa nie obsługujemy”• http:BL, DShield, iBlocklist (IP)
• Po stronie klientów• OpenDNS → PhishTank (IP)• Microsoft SmartScreen Filter, Google Safe Browsing (URL)• PeerBlock, PeerGuardian → iBlocklist (IP)
• Ochrona przed firmami antypirackimi, pedofilami (!)
Filtrowanie w skali kraju• Organizacja pozarządowa
• 1996 – ISPA, Metropolitan Police, Home Office, Safety Net Foundation
• Zaufanie ze strony ISPA, mało widoczne dla użytkowników• Działalność
• Zarządzanie listą CleanFeed• Zgłaszanie policji stron hostowanych w UK
• Klasyfikacja stron• Na podstawie zgłoszeń• Wewnętrzne kryteria oceny („four police-trained analysts”)• Bez wyroku sądu• Kilka kontrowersyjnych przypadków
• Wikipedia – Virgin Killer• Odblokowane po 3 dniach
Internet Watch Foundation• Tworzy i udostępnia „czarną listę”
• „Every URL on the list depicts indecent images of children, advertisements for or links to such content, on a publicly available website. The list typically contains 500 - 800 URLs at any one time and is updated twice a day to ensure all entries are still live„ (Internet Watch Foundation)
• Zamknięta dystrybucja listy (brytyjscy ISP)• Baza adresów IP oraz URL• Tzw. CleanFeed
• Opt-in, ale 95% pokrycia• Także Kanada (80%), proponowane w Australii• Stosunkowo niewielka baza
• Bardzo szybka rotacja• Dane starsze niż 1 miesiąc w danym momencie
• Średnio 60, odchylenie standardowe 54 (!)
• Z ok. 43 tys. zgłoszeń rocznie (!)
Jak działa CleanFeed
Klient
•199.181.132.250•Połącz z tym IP
ISP
www.disney.com
•Pokaż stronę Disney
A jeśli jest?
Klient
ISP
IWF
www.disney.com
•Pokaż stronę Disney
Sprytne:• Wydajność – pierwsze filtrowanie po IP• Kontrola URL tylko dla serwerów zawierających zablokowane strony (0,01%?)• Precyzja – blokowanie tylko konkretnych URL
Filtrowanie w skali kraju• Great Firewall of China
• Selektywny routing IP, blokowanie i przekierowanie DNS, filtrowanie URL, filtrowanie pakietów (inne protokoły)
• Arbitralne i niejawne kryteria blokowania• Liczne problemy z wydajnością• Eksport – Kuba, Zimbabwe, Białoruś
Filtrowanie w skali kraju• Rejestr Stron i Usług Niepożądanych (MF)
• Rozmyty i dynamicznie rosnący katalog kryteriów• Ułomna procedura odwoławcza• Absurdalne argumenty ekonomiczne
• Oczekiwane korzyści dla Skarbu Państwa wzięte z sufitu• Nowy urząd klasyfikujący strony – 5 mln zł• Koszt po stronie ISP, wpływ na koszt usług – zignorowany
• "Koszty ponoszone przez przedsiębiorcę telekomunikacyjnego będą ograniczone do stworzenia prostego oprogramowania filtrującego oraz dokonującego aktualizacji blokowania adresów."
• Brak zaufania społecznego do operatora
Wyzwania i problemy• Odpowiedzialność za klasyfikację stron
• Strony niesklasyfikowane• Dlaczego zobaczyłem to czego nie powinienem?
• Błędna klasyfikacja• Dlaczego nie zobaczyłem tego co powinienem?
• Wydajność sieci• Spadek wydajności sieci spowodowany filtrowaniem• Zatory, przekroczenie czasu oczekiwania• Blokady wynikające z błędnej klasyfikacji
• Koszt dostępu do sieci• Infrastruktura filtrująca jest kosztowna
• Koszty przenoszone na abonentów
Filtrowanie a pedofilia
• Raport• Flagging and Co-ordination System (FACS) • Child Exploitation and Online Protection (CEOP)• US Financial Coalition Against Child Pornography
• 14,5 tys. stron pedofilskich pochodzących ze zgłoszeń• 2009-2010 spadek stron w rejestrze o 78%• Po roku działało tylko 0,3% stron
• ~40 stron (!)• Wysoka skuteczność działań policji
• Cykliczne zatrzymania w całej Europie – Interpol, Europol
DansGuardian, Wrocław• Maj 2011, darmowy Internet miejski
• Oficjalny cel blokady? Anegdotyczne wypowiedzi urzędników...
• Zablokowany wywiad na stronie Krytyki Politycznej• Jaki był powód blokady?
• Nie wiadomo („przekroczono limit fraz liczonych wagowo”)• Spekulacje internautów
• W artykule? A może w komentarzach?• →Czy dowolną stronę można zablokować komentarzem z odpowiednimi
słowami?• Np. „akty” plus „kobiety”
• Jakie są możliwości reklamacji?• „Taka opcja ma sens jedynie przy serwisach komercyjnych, zatrudniających do tego
odpowiedni personel. W przypadku bezpłatnego Internetu Miejskiego nie mamy funduszy na zatrudnienie urzędników tylko do rozpatrywania odwołań”