06 protect ction from browser fi fingerprinting
play

06. Protect ction from Browser fi fingerprinting - PowerPoint PPT Presentation

Dec 31, 2022 •648 likes •857 views

06. Protect ction from Browser fi fingerprinting Nataliia Bielova @nataliabielova September 17 th =21 st , 2018 Web Privacy course University of Trento Nataliia Bielova

  1. 06. ¡ ¡Protect ction ¡ ¡from ¡ ¡Browser ¡ ¡ fi fingerprinting Nataliia ¡Bielova ¡ @nataliabielova September ¡17 th =21 st , ¡2018 Web ¡Privacy ¡course University ¡of ¡Trento

  2. Nataliia ¡Bielova Example ¡of ¡a ¡browser ¡fingerprint 2 Attribute Value User ¡agent Mozilla/5.0 ¡(X11; ¡Fedora; ¡Linux ¡x86_64; ¡rv:55.0) ¡Gecko/20100101 ¡ Firefox/55.0 HTTP ¡headers text/html, ¡application/xhtml+xml, ¡application/xml;q=0.9,*/*;q=0.8 ¡gzip, ¡ deflate, ¡br en-­‑US,en;q=0.5 Plugins Plugin ¡0: ¡QuickTime ¡Plug-­‑in ¡7.6.6; ¡libtotem-­‑narrowspace-­‑plugin.so; ¡Plugin ¡ 1: ¡Shockwave ¡Flash; ¡Shockwave ¡Flash ¡26.0 ¡r0; ¡libflashplayer.so. Fonts Century ¡Schoolbook, ¡ Source ¡Sans ¡Pro ¡Light, ¡DejaVu Sans ¡Mono, ¡Bitstream Vera ¡Serif, ¡URW ¡Palladio ¡L, ¡Bitstream Vera ¡Sans ¡Mono, ¡Bitstream Vera ¡Sans, ¡ ... Platform Linux ¡x86_64 Screen ¡resolution 1920x1080x24 Timezone -­‑480 ¡(UTC+8) OS Linux ¡3.14.3-­‑200.fc20.x86 ¡32-­‑bit WebGL ¡vendor NVIDIA ¡Corporation WebGL ¡renderer GeForce ¡GTX ¡650 ¡Ti/PCIe/SSE2 Canvas Slides ¡courtesy ¡of ¡Pierre ¡Laperdrix (Stony ¡Brook ¡University)

  3. Browser ¡fingerprinting ¡used ¡for ¡tracking Browser ¡and ¡operating ¡system ¡properties ¡ are ¡used ¡to ¡track ¡repeated ¡ visits ¡to ¡a ¡site. http://site1.com fingerprinter.com <script src=fingerprinter.com /script.js> processing ¡engine script 2:52pm: user_fp </src> 9jhldpe7fv visited site1.com fingerprinter.c fi .com/tr track? fp_i _id=9 =9jh jhld ldpe7fv& logs si site=si site1.com 3

  4. Outline I. What ¡is ¡browser ¡fingerprinting? ¡ II. Defenses ¡against ¡browser ¡fingerprinting Slides ¡courtesy ¡of ¡Pierre ¡Laperdrix (Stony ¡Brook ¡University)

  5. Nataliia ¡Bielova II. ¡Defending ¡against ¡fingerprinting 5 • Goal: ¡to ¡protect ¡users ¡against ¡ browser ¡fingerprinting, ¡i.e. ¡to ¡ prevent ¡them ¡from ¡being ¡ Fingerprinting ¡ script tracked ¡online Loaded ¡webpage JavaScript ¡engine Browser OS Hardware Slides ¡courtesy ¡of ¡Pierre ¡Laperdrix (Stony ¡Brook ¡University)

  6. Nataliia ¡Bielova II. ¡Blocking ¡scripts 6 • The ¡fingerprinting ¡script ¡is ¡ simply ¡not ¡executed. Fingerprinting ¡ script Loaded ¡webpage JavaScript ¡engine Browser OS Hardware Slides ¡courtesy ¡of ¡Pierre ¡Laperdrix (Stony ¡Brook ¡University)

  7. Nataliia ¡Bielova II. ¡Blocking ¡scripts 7 • Browser ¡extensions ¡or ¡built-­‑in ¡in ¡the ¡browser uBlock Ghostery Disconnect Brave Firefox ¡(by ¡default ¡ in ¡private ¡mode) • Pros: ¡Easy ¡to ¡install ¡and ¡to ¡use. ¡Transparent ¡to ¡the ¡user. • Cons: ¡This ¡technique ¡revolves ¡around ¡up-­‑to-­‑date ¡blacklists. ¡User ¡is ¡ vulnerable ¡if ¡the ¡fingerprinting ¡script ¡is ¡not ¡in ¡the ¡database. Slides ¡courtesy ¡of ¡Pierre ¡Laperdrix (Stony ¡Brook ¡University)

  8. Nataliia ¡Bielova II. ¡Blocking ¡browser ¡APIs 8 • The ¡fingerprinting ¡script ¡will ¡ collect ¡less ¡information. Fingerprinting ¡ script Loaded ¡webpage JavaScript ¡engine Browser OS Hardware Slides ¡courtesy ¡of ¡Pierre ¡Laperdrix (Stony ¡Brook ¡University)

  9. Nataliia ¡Bielova II. ¡Blocking ¡browser ¡APIs 9 • Browser ¡extensions ¡or ¡built-­‑in ¡in ¡the ¡browser CanvasBlocker Brave • Pros: ¡Easy ¡to ¡install ¡and ¡to ¡use. ¡Transparent ¡to ¡the ¡user. • Cons: ¡Only ¡limits ¡the ¡amount ¡of ¡collected ¡information. Slides ¡courtesy ¡of ¡Pierre ¡Laperdrix (Stony ¡Brook ¡University)

  10. Nataliia ¡Bielova II. ¡Injecting ¡JavaScript 10 • The ¡injection ¡of ¡JavaScript ¡ overwrites ¡the ¡default ¡methods ¡ of ¡the ¡JavaScript ¡engine. Fingerprinting ¡ script • Can ¡change ¡values à Default: ¡“Win64” Loaded ¡webpage à New ¡value: ¡“Linux ¡x86_64” JavaScript ¡engine • Can ¡inject ¡noise Browser OS Hardware Slides ¡courtesy ¡of ¡Pierre ¡Laperdrix (Stony ¡Brook ¡University)

  11. Nataliia ¡Bielova II. ¡Injecting ¡JavaScript 11 • Browser ¡extensions Canvas ¡Defender Random ¡Agent ¡Spoofer User-­‑Agent ¡Switcher • Pros: ¡Easy ¡to ¡install ¡and ¡to ¡use. ¡Transparent ¡to ¡the ¡user. • Cons: ¡Can ¡easily ¡be ¡detected ¡and ¡creates ¡inconsistencies. Slides ¡courtesy ¡of ¡Pierre ¡Laperdrix (Stony ¡Brook ¡University)

  12. Nataliia ¡Bielova II. ¡The ¡problem ¡of ¡inconsistencies 12 480 ¡x ¡800 ¡ Slides ¡courtesy ¡of ¡Pierre ¡Laperdrix (Stony ¡Brook ¡University)

  13. Nataliia ¡Bielova II. ¡Tor ¡browser ¡and ¡its ¡fingerprint 13 Firefox ¡browser ¡on ¡Fedora ¡25 Tor ¡browser ¡on ¡Fedora ¡25 • In ¡theory, ¡all ¡ fingerprints ¡ from ¡the ¡Tor ¡ Browser ¡should ¡ be ¡identical. • In ¡reality, ¡ differences ¡can ¡ still ¡be ¡found ¡ (screen ¡ resolution, ¡ platform…). Slides ¡courtesy ¡of ¡Pierre ¡Laperdrix (Stony ¡Brook ¡University)

  14. Nataliia ¡Bielova II. ¡Changing ¡browsers 14 • One ¡fingerprint ¡for ¡each ¡ browser • One ¡profile ¡for ¡each ¡ Fingerprinting ¡ script Fingerprinting ¡ script fingerprint Loaded ¡webpage Loaded ¡webpage • The ¡OS ¡and ¡Hardware ¡ layers ¡are ¡shared ¡by ¡ JavaScript ¡engine JavaScript ¡engine both ¡fingerprints. Browser ¡n°1 Browser ¡n°2 OS Hardware Slides ¡courtesy ¡of ¡Pierre ¡Laperdrix (Stony ¡Brook ¡University)

  15. Nataliia ¡Bielova II. ¡Changing ¡browsers 15 • Browsers • Pros: ¡Anybody ¡can ¡switch ¡between ¡any ¡browsers. • Cons: ¡Cross-­‑browser ¡fingerprinting ¡exists. ¡By ¡collecting ¡enough ¡ information ¡on ¡the ¡OS ¡and ¡hardware, ¡one ¡can ¡still ¡be ¡identified. Ø See ¡uniquemachine.org ¡(WebGL tests) Slides ¡courtesy ¡of ¡Pierre ¡Laperdrix (Stony ¡Brook ¡University)

  16. Nataliia ¡Bielova II. ¡Recreating ¡a ¡complete ¡environment 16 • Disposable ¡environments ¡ with ¡a ¡unique ¡fingerprint ¡for ¡ each ¡browsing ¡session Database • Database ¡with ¡different ¡OS, ¡ fonts, ¡plugins ¡and ¡browsers • Use ¡of ¡virtualization ¡to ¡ Virtualization isolate ¡the ¡host ¡OS ¡from ¡the ¡ OS new ¡environment Hardware Slides ¡courtesy ¡of ¡Pierre ¡Laperdrix (Stony ¡Brook ¡University)

  17. Nataliia ¡Bielova II. ¡Recreating ¡a ¡complete ¡environment 17 • Academic ¡prototype ¡called ¡Blink Version ¡on ¡Docker Version ¡on ¡VirtualBox https://github.com/plaperdr/blink-­‑docker https://github.com/DIVERSIFY-­‑project/blink • Pros: ¡Does ¡not ¡create ¡inconsistencies ¡in ¡fingerprint. ¡The ¡components ¡truly ¡ exist. • Cons: ¡ • High ¡resources ¡consumption ¡(disk ¡space, ¡CPU). • The ¡usability ¡is ¡not ¡as ¡good ¡as ¡other ¡solutions. Slides ¡courtesy ¡of ¡Pierre ¡Laperdrix (Stony ¡Brook ¡University)

  18. Nataliia ¡Bielova II. ¡Summary ¡of ¡defense ¡techniques 18 Many ¡different ¡approaches: • Blocking ¡scripts • Blocking ¡browser ¡APIs Fingerprinting ¡ script • Injecting ¡JavaScript Loaded ¡webpage • Native ¡spoofing JavaScript ¡engine • Changing ¡browsers Browser • Recreating ¡complete ¡ environments OS Hardware Slides ¡courtesy ¡of ¡Pierre ¡Laperdrix (Stony ¡Brook ¡University)

  19. Nataliia ¡Bielova II. ¡Summary ¡of ¡defense ¡techniques 19 No ¡ultimate ¡solutions • Each ¡one ¡has ¡its ¡pros ¡and ¡cons. • It ¡is ¡always ¡a ¡complicated ¡ Fingerprinting ¡ script tradeoff ¡between ¡protection ¡and ¡ Loaded ¡webpage usability. JavaScript ¡engine Easiest ¡solution ¡to ¡put ¡in ¡place: ¡ Browser block ¡fingerprinting ¡scripts. OS Hardware Slides ¡courtesy ¡of ¡Pierre ¡Laperdrix (Stony ¡Brook ¡University)

Recommend

Website fingerprinting attacks against Tor Browser Bundle: a comparison between HTTP/1.1 and

Website fingerprinting attacks against Tor Browser Bundle: a comparison between HTTP/1.1 and

Tor website fingerprinting Website fingerprinting attacks against Tor Browser Bundle: a comparison between HTTP/1.1 and HTTP/2 T.T.N. Marks BSc. K.C.N. Halvemaan BSc. University of Amsterdam System and Network Engineering Research Project #1

664 views • 32 slides
Carnus: Exploring the Privacy Threats of Browser Extension Fingerprinting Soroush Karami ,

Carnus: Exploring the Privacy Threats of Browser Extension Fingerprinting Soroush Karami ,

Carnus: Exploring the Privacy Threats of Browser Extension Fingerprinting Soroush Karami , Panagiotis Ilia, Konstantinos Solomos, Jason Polakis University of Illinois at Chicago, USA skaram5@uic.edu February 24, 2020 Browser extensions

886 views • 30 slides
Carnus: Exploring the Privacy Threats of Browser Extension Fingerprinting Soroush Karami ,

Carnus: Exploring the Privacy Threats of Browser Extension Fingerprinting Soroush Karami ,

Carnus: Exploring the Privacy Threats of Browser Extension Fingerprinting Soroush Karami , Panagiotis Ilia, Konstantinos Solomos, Jason Polakis University of Illinois at Chicago, USA skaram5@uic.edu February 24, 2020 Browser extensions

492 views • 28 slides
Br Browser fi fingerprinting Nataliia Bielova @nataliabielova February 12

Br Browser fi fingerprinting Nataliia Bielova @nataliabielova February 12

Br Browser fi fingerprinting Nataliia Bielova @nataliabielova February 12 th , 2019 Security and ethical aspects of data Universit Cote d'Azur Todays class A brief history

534 views • 38 slides
FPRandom: Randomizing core browser objects to break advanced device fingerprinting techniques

FPRandom: Randomizing core browser objects to break advanced device fingerprinting techniques

FPRandom: Randomizing core browser objects to break advanced device fingerprinting techniques Pierre Laperdrix, Benoit Baudry, Vikas Mishra Outline 1) What is fingerprint-based tracking? 2) Randomizing core browser objects a. Generating

245 views • 22 slides
Social Fingerprinting Browser Id Proxy Piercing Device Id

Social Fingerprinting Browser Id Proxy Piercing Device Id

Email Verification Mobile Location Deep Location Site Velocity &amp; Behaviour Social Fingerprinting Browser Id Proxy Piercing Device Id Domain Lookup VLR/HLR Lookup IP

511 views • 13 slides
Using Guided Missiles in Drive-bys Automatic browser fingerprinting and exploitation with the

Using Guided Missiles in Drive-bys Automatic browser fingerprinting and exploitation with the

Using Guided Missiles in Drive-bys Automatic browser fingerprinting and exploitation with the Metasploit Framework James Lee # whoami James Lee egypt Developer, Metasploit Project Co-Founder, Teardrop Security Member,

738 views • 35 slides
Fast and efficient Browser Identification with JavaScript Engine Fingerprinting Martin Mulazzani ,

Fast and efficient Browser Identification with JavaScript Engine Fingerprinting Martin Mulazzani ,

Fast and efficient Browser Identification with JavaScript Engine Fingerprinting Martin Mulazzani , Philipp Reschl, Manuel Leithner, Markus Huber, Edgar Weippl SBA Research Vienna, Austria Outline Motivation &amp; Background JavaScript Engine

539 views • 33 slides
Detection of Browser Fingerprinting by Static JavaScript Code Classification Sjors Haanen &amp;

Detection of Browser Fingerprinting by Static JavaScript Code Classification Sjors Haanen &amp;

Detection of Browser Fingerprinting by Static JavaScript Code Classification Sjors Haanen &amp; Tim van Zalingen UvA February 6, 2018 Supervisors (KPMG): Aidan Barrington &amp; Ruben de Vries Research Project 82 Sjors Haanen &amp; Tim van

331 views • 30 slides
How to protect your browser 0-day Codenamed #IRONSQUIRREL TS//SI//FVEY FOUO//SI//FVEY Zoltan

How to protect your browser 0-day Codenamed #IRONSQUIRREL TS//SI//FVEY FOUO//SI//FVEY Zoltan

How to protect your browser 0-day Codenamed #IRONSQUIRREL TS//SI//FVEY FOUO//SI//FVEY Zoltan Balazs MRG Effitas 2017 November Whoami? Zombie Browser Toolkit https://github.com/Z6543/ZombieBrowserPack HWFW Bypass tool Idea later(?)

711 views • 55 slides
FP-Block usable web privacy by controlling browser fingerprinting Joint work with Sjouke Mauw

FP-Block usable web privacy by controlling browser fingerprinting Joint work with Sjouke Mauw

FP-Block usable web privacy by controlling browser fingerprinting Joint work with Sjouke Mauw (UL), Christof Ferreira Torres (UL) OUtline Part 1: introduction Part 2: thwarting 3 rd party fingerprint-based web-tracking Introducing

1.52k views • 112 slides
Fi Fix x the the leak: k: Side de-Cha Channe nnel Protect ction for SGX using Data

Fi Fix x the the leak: k: Side de-Cha Channe nnel Protect ction for SGX using Data

Fi Fix x the the leak: k: Side de-Cha Channe nnel Protect ction for SGX using Data Locatio Lo ion Ran andomiz izatio ion Alexandra Dmitrienko Julius-Maximilians-Universitt Wrzburg alexandra.dmitrienko@uni-wuerzburg.de MARCH 4,

402 views • 27 slides
04. 04. Web Track cking tech chnologies: Br Browser

04. 04. Web Track cking tech chnologies: Br Browser

04. 04. Web Track cking tech chnologies: Br Browser fingerprinting Nataliia Bielova @nataliabielova September 18 th , 2018 Web Privacy course University of Trento

666 views • 44 slides
k -fingerprinting: a Robust Scalable Website Fingerprinting Technique George Danezis Jamie Hayes

k -fingerprinting: a Robust Scalable Website Fingerprinting Technique George Danezis Jamie Hayes

k -fingerprinting: a Robust Scalable Website Fingerprinting Technique George Danezis Jamie Hayes University College London August 12, 2016 1/24 How does website fingerprinting work? - Training Tor network Relay 2 Adversary Relay 1

988 views • 24 slides
Firefox Security Sid Stamm &lt;sid@mozilla.com&gt; Browser as a Protector Protect Site

Firefox Security Sid Stamm &lt;sid@mozilla.com&gt; Browser as a Protector Protect Site

Firefox Security Sid Stamm &lt;sid@mozilla.com&gt; Browser as a Protector Protect Site Content Safe Platform Third-Party Features Keeping your Secrets Content Restrictions Content Security Policy Content Restrictions Document

560 views • 43 slides
Picasso: Light-weight device class fingerprinting for web clients Elie Bursztein , Artem Malyshev,

Picasso: Light-weight device class fingerprinting for web clients Elie Bursztein , Artem Malyshev,

Picasso: Light-weight device class fingerprinting for web clients Elie Bursztein , Artem Malyshev, Tadek Pietraszek, Kurt Thomas Title Interesting story here Subpoint g.co/research/protect Keeping online interactions meaningful

641 views • 32 slides
CO 447 | LEC6 BLOCKCHAIN SECURITY Dr. Benjamin Livshits Stateless Fingerprinting 2 EFF

CO 447 | LEC6 BLOCKCHAIN SECURITY Dr. Benjamin Livshits Stateless Fingerprinting 2 EFF

CO 447 | LEC6 BLOCKCHAIN SECURITY Dr. Benjamin Livshits Stateless Fingerprinting 2 EFF Fingerprinting Tester https://panopticlick.eff.org 3 Panopticlick Testing 4 IE Brave Fingerprinting Components 5

1.28k views • 78 slides
Acoustic Fingerprinting Soundz Jake Runzer June 28, 2018 Jake Runzer Acoustic Fingerprinting

Acoustic Fingerprinting Soundz Jake Runzer June 28, 2018 Jake Runzer Acoustic Fingerprinting

Acoustic Fingerprinting Soundz Jake Runzer June 28, 2018 Jake Runzer Acoustic Fingerprinting June 28, 2018 1 / 35 Outline What is Acoustic Fingerprinting 1 Fingerprinting for Music Identification 2 Spectrograms 3 History 4 My

743 views • 35 slides
Fingerprinting hardware devices Fingerprinting hardware devices using clock-skewing using

Fingerprinting hardware devices Fingerprinting hardware devices using clock-skewing using

Fingerprinting hardware devices Fingerprinting hardware devices using clock-skewing using clock-skewing Renaud Lifchitz renaud.lifchitz@gmail.com #HES2010 8,9,10 April 2010 Paris, France Presenter's bio French computer security

644 views • 35 slides
Blind Elephant: Web Application Fingerprinting &amp; Vulnerability Inferencing Patrick Thomas

Blind Elephant: Web Application Fingerprinting &amp; Vulnerability Inferencing Patrick Thomas

Blind Elephant: Web Application Fingerprinting &amp; Vulnerability Inferencing Patrick Thomas Qualys 7/28/10 Outline Web Apps &amp; Security Existing Fingerprinting Approaches Static File Approach Observations From A Net Survey

832 views • 69 slides
Competition Law Strategies: - Protect Your Brand - - Protect Your Retail Partners - - Protect

Competition Law Strategies: - Protect Your Brand - - Protect Your Retail Partners - - Protect

Competition Law Strategies: - Protect Your Brand - - Protect Your Retail Partners - - Protect Your Revenue - Brussels, Geneva Luxury Law New York Summit David Hull 14 November 2018

461 views • 19 slides
Bayes, not Nave Security Bounds on Website Fingerprinting Defenses Giovanni Cherubin Privacy

Bayes, not Nave Security Bounds on Website Fingerprinting Defenses Giovanni Cherubin Privacy

Bayes, not Nave Security Bounds on Website Fingerprinting Defenses Giovanni Cherubin Privacy Enhancing Technologies Symposium Minneapolis, Minnesota, USA 19 July, 2017 @gchers Website Fingerprinting (WF) Encrypted Tunnel Victim

400 views • 20 slides
Browser and Network request Browser website CS 4803 reply Network OS Computer and Network

Browser and Network request Browser website CS 4803 reply Network OS Computer and Network

Browser and Network request Browser website CS 4803 reply Network OS Computer and Network Security Hardware Alexandra (Sasha) Boldyreva Browser sends requests May reveal private information (in forms, cookies) Web security.

517 views • 7 slides
Articulus Detecting IP Hijacking Through Server Fingerprinting Research Question How can we

Articulus Detecting IP Hijacking Through Server Fingerprinting Research Question How can we

Articulus Detecting IP Hijacking Through Server Fingerprinting Research Question How can we detect BGP IP hijacking by probing the at risk subnets to detect suspect change to hosts and subnets. 2 Intro Fingerprinting Avoiding

795 views • 31 slides

More recommend