Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
Informasjonssikkerhet på internett og de påtrengende tredjepartene
• Om Cookies, beacons, device fingerprinting, pålogging og alt det der.
• Og hvordan påvirker dette bruken av domenenavn og dnssec?
2
Sjekkpunkt
• Behandles personopplysninger?
• Personopplysning:
• Opplysninger og vurderinger som kan knyttes til en enkeltperson.
• Behandling av personopplysninger:
• Enhver bruk av personopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter.
3
Personopplysninger
• Fødselsnummer: 13087846271
• Telefonnummer: 22396900
• IP-adresse: 195.159.103.82
• Bilnummer: BL 23456
• Bluetooth MAC: 17:35:52:78:4B:CA
• Wi-Fi-adresse MAC: 12:44:32:45:7B:C9
• Autpass-brikke-ID: 7483920983278394
• UDID: f7426bd759856431d9ae2c99175407a0dcd67ab5
4
Hvor trygg er man?
12
• Bryting av kryptering
• Alle disse tredjepartene
• Hva hjelper det å se på domenenavnet?
• Hva hjelper det med dnssec da?
Informasjonsinnhentingsteknikker
• Cookies
• Beacons
• Device fingerprinting
• Pålogging
• Trylleord: Skal ivareta sikkerhet
13
Cookies – Dårlig norsk løsning
• Den reviderte ekomloven trådte i kraft 1. juli 2013 og har fått en ny bestemmelse om vilkårene knyttet til lagring av opplysninger i kommunikasjonsutstyr - den såkalte «cookie paragrafen», jf. ekomloven § 2-7b.
• Lagring av opplysninger og behandling av disse opplysningene er ikke tillatt med mindre bruker er informert om, og har samtykket til, hvilke opplysninger som behandles, hva formålet med denne behandlingen er og hvem som behandler opplysningene.
• De fleste nettlesere er innstilt slik at de automatisk aksepterer cookies. Dersom du ikke vil akseptere cookies, kan du gå inn og trekke tilbake ditt samtykke ved å endre innstillingene i nettleseren. Vi gjør imidlertid oppmerksom på at dette kan medføre at tjenestene på nettsider ikke fungerer optimalt.
14
Beacons og statistikk
• Google Analytics bruker cookies for å analysere hvordan brukere benytter nettstedet. Informasjonen som genereres av en slik cookie ved bruk av det aktuelle nettstedet, inkludert din IP-adresse, sendes til Google og lagres på servere i USA. Noen bruker anonymizeIP, en funksjon som gjør at en enkeltbruker ikke kan identifiseres (?).
• Klippet fra Googles Personvernvilkår:
• 2012: “Vi bruker informasjonen vi samler inn fra alle tjenestene til å levere, vedlikeholde, beskytte og forbedre tjenestene”.
15
Device fingerprinting
• Alternativ til cookies• Cookie regler gjelder, krav om samtykke, hvordan vil norske cookieregler håndtere dette?
• There are many types of data that can form a fingerprint, including the following examples:• (a) CSS information (Cascading Style Sheets: layout, colors, and fonts)• (b) JavaScript objects (e.g., document, window, screen, navigator, date and language);• (c) HTTP header information (e.g., the number of bits of information in the User Agent
string, HTTP header ordering, HTTP header variation by request type);• (d) clock information (e.g., clock skew and clock error);• (e) TCP stack variation;• (f) installed fonts;• (g) installed plugin information (e.g., configuration and version information);13• (h) the use of internal Application Programming Interfaces14 (API) exposed by the user
agent/device; or• (i) the use of external API’s of Web services the user agent/device is communicating with.
16
Pålogging
• Schibsted: Aftenposten, Finn, SPID…
• Google…
• Facebook…
• Microsoft…
• Twitter…
• …
• ..
• .
17
Informasjonsinnhentingsteknikker
• Cookies
• Beacons
• Device fingerprinting
• Pålogging
• Trylleord: Skal ivareta sikkerhet
18
Art 29 WP (Datatilsynene i Europa)
• 2012- Google endret sin privacy policy.
• Det er påstått av noen land at Googles Privacy Policy ikke tilfredsstiller loven i disse landene.
• Det er satt opp en felles liste over krav som Google kan implementere.
- Informasjon
- Hvordan Google Analytics skal håndteres
- Hvordan Google DoubleClick skal håndteres
- Osv
-
19
Sensorer
• TYPE_ACCELEROMETER
• TYPE_AMBIENT_TEMPERATURE
• TYPE_GRAVITY
• TYPE_GYROSCOPE
• TYPE_LIGHT
• TYPE_LINEAR_ACCELERATION
• TYPE_MAGNETIC_FIELD
• TYPE_ORIENTATION
• TYPE_PRESSURE
• TYPE_PROXIMITY
• TYPE_RELATIVE_HUMIDITY
• TYPE_ROTATION_VECTOR
• TYPE_TEMPERATURE
• TYPE_SIGNIFICANT_MOTION
• TYPE_STEP_COUNTER
• TYPE_STEP_DETECTOR
• TYPE_GAME_ROTATION_VECTOR
• TYPE_GEOMAGNETIC_ROTATION_VECTOR
• TYPE_MAGNETIC_FIELD_UNCALIBRATED
• TYPE_ORIENTATION
20
Wifi P2P
Bluetooth BLE
NFC
GPS
Digitalt kompass
GSM
Kameraer
Mikrofon
Personopplysninger
• Fødselsnummer: 13087846271
• Telefonnummer: 22396900
• IP-adresse: 195.159.103.82
• Bilnummer: BL 23456
• Bluetooth MAC: 17:35:52:78:4B:CA
• Wi-Fi-adresse MAC: 12:44:32:45:7B:C9
• Autpass-brikke-ID: 7483920983278394
• UDID: f7426bd759856431d9ae2c99175407a0dcd67ab5
21
iBeacons
• iBeacon is Apple's implementation of Bluetooth low-energy (BLE) wireless technology
• The beacons themselvers are small, cheap Bluetooth transmitters.
• Apps installed on your iPhone listen out for the signal transmitted by these beacons and respond accordingly when the phone comes into range.
• The technology could be a big step towards mobile payments.
24
På europeisk nivå
• Geolokalisering av mobiltelefoner
• Adferdsbasert annonsering på internett
• Ansiksgjenkjennelse på nett- og mobiltjenester
• Unntak fra kravet om samtykke til cookies
• Om apper
• Retningslinjer for samtykke for cookies
• Anonymiseringsteknikker
• Utviklingen for Internett of things
• Device fingerprinting
29
Telefon: +47 22 39 69 00
datatilsynet.no
personvernbloggen.no
Atle Årnes er fagdirektør for teknologi i Datatilsynet.
Hans hovedarbeidsfelt er personvern innenfor
telekommunikasjons- og internettjenester, eID og biometri,
samt samferdsel og intelligente transportsystemer. Han
deltar i europeisk og internasjonal koordinering av
personvernarbeid.