Safe Browsing: to Track, Censor and Protect



Documents pareils
MailStore Server 7 Caractéristiques techniques

Guide Utilisateur Enregistrement d'un compte en ligne

Numilog - Téléchargement des ebooks Mode d emploi

Outils de traitements de logs Apache

Présentation de la solution Open Source «Vulture» Version 2.0

Procédure d utilisation du PRM

Proxies,, Caches & CDNs

COURS 5 Mettre son site en ligne! Exporter son site avec WordPress Duplicator Installer un logiciel FTP Faire le suivi des visites de son site avec

L IMPACT ATTENDU DE DMARC SUR LE PHISHING. Auteur Sébastien GOUTAL Responsable Filter Lab

Programmation Web. Introduction

L e-commerce : sécurité et paiements en ligne

Poste virtuel. Installation du client CITRIX RECEIVER

HTTP Commander. Table des matières. 1-Présentation de HTTP Commander

Version: 1.1 Date du document: 07 Novembre 2013 N du document: Guide Utilisateur Mandant. Guide utilisateur Mandant Page 1 de 20

Guide d installation BiBOARD

SVP j ai besoin d aide!

Recommandations techniques

21 mars Simulations et Méthodes de Monte Carlo. DADI Charles-Abner. Objectifs et intérêt de ce T.E.R. Générer l'aléatoire.

Guide de migration BiBOARD V10 -> v11

I. QU'EST-CE QU'UN ORDINATEUR? Un ordinateur est relié à plein de périphériques

Mode d emploi pour lire des livres numériques

Google Merchant Center

Trusteer Pour la prévention de la fraude bancaire en ligne

Exigences système Edition & Imprimeries de labeur

Maîtrisez votre Navigateur

Zeus V3.XX :: PRE-REQUIS TECHNIQUES

Exigences système Edition & Imprimeries de labeur

Modules InnovationCRM

Etude d Exchange, Google Apps, Office 365 et Zimbra

DNSSEC. Que signifie DNSSEC? Pourquoi a-t-on besoin de DNSSEC? Pour la sécurité sur Internet

CHAPITRE 11. Temps réel Remy Sharp

Guide d installation de SugarCRM Open Source version 4.5.1

Exemple de configuration ZyWALL USG

Vulnérabilités et sécurisation des applications Web

MANUEL D INSTALLATION D UN PROXY

Création d un «Web Worm»

CRYPTOGRAPHIE. Signature électronique. E. Bresson. SGDN/DCSSI Laboratoire de cryptographie

Le format OpenPGP. Traduit par : Sébastien Person. personseb@yahoo.fr. Matthieu Hautreux. matthieu.hautreux@insa-rouen.fr.

Skype (v2.5) Protocol Data Structures (French) Author : Ouanilo MEDEGAN

Configurer le Serveur avec une adresse IP Statique (INTERFACE :FastEthernet) : et un masque

Guide utilisateur i-milo >> Décisionnel

SUGARCRM Sugar Open Source Guide d Installation de French SugarCRM Open Source Version 4.2

Paramétrage des navigateurs

RTE Technologies. RTE Geoloc. Configuration avec Proxy ou Firewall

Document de présentation technique. Blocage du comportement

Didier Perrot Olivier Perroquin In-Webo Technologies

Guide pour les chercheurs. Version 1.0

PHP et le Cloud. All rights reserved. Zend Technologies, Inc.

WDpStats Procédure d installation

cbox VOS FICHIERS DEVIENNENT MOBILES! INTERFACE WEB MANUEL D UTILISATION

Fiche pratique. Présentation du problème. Pourquoi Rapport? Comment çà marche?

Logiciel d archivage d s et de gestion et de contrôle de la conformité

Sécuristation du Cloud

1. En moyenne, un ordinateur sans protection connecté à Internet est infecté après... quelques minutes heures 3 jours plus d une semaine

Recherche d information textuelle

CATALOGUE DES OFFRES O2i INGÉNIERIE POUR LES PLATEFORMES ÉDITORIALES

Oracle Developer Suite 10g. Guide de l installation. Vista & Seven

Tutoriel compte-rendu Mission 1

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

Guide de mise en service - THOMSON ST2030

Le partenaire tic de référence. Gestion des ressources humaines INOVA RH

Guide d utilisation de Secure Web Access

Mode d emploi CONNEXION AU TERMINAL SERVER

Créée en 2002, la société PineApp est pionnière sur le. Le siège de la société se trouve aux États-Unis, avec des

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet

Installation d OpenVPN

Solution Pro pour l Envoi de SMS direct opérateurs PUSH SMV MODE HTTP. Documentation Technique

Informatique. Les réponses doivent être données en cochant les cases sur la dernière feuille du sujet, intitulée feuille de réponse

Partager rapidement un fichier volumineux

Menaces du Cyber Espace

Tech-Evenings Sécurité des applications Web Sébastien LEBRETON

M1 Informatique, Réseaux Cours 9 : Réseaux pour le multimédia

Performance Front-End

Windows 7 Système d exploitation. INF Outils bureautiques, logiciels et Internet

Fiche Technique. MAJ le30/03/2011

GERER SES REFERENCES BIBLIOGRAPHIQUES AVEC ZOTERO

Espace Client Aide au démarrage

Documentation API Octopush

Demande d'assistance : ecentral.graphics.kodak.com

Rationalité et irrationalité dans le gestion des risques informatiques

OpenDNS: Un DNS rapide et utile

Guide utilisation SFR Sync. SFR Business Team - Présentation

Défis engendrés par la criminalité informatique pour le secteur financier

INSTALLATIONS. Vous adapterez l installation en fonction des nouvelles versions qui peuvent légèrement différer.

I. Descriptif de l offre. L offre Sage 100 Entreprise Edition Entreprise

Allegro INVOICE subito. Prise en main rapide

Fingerprinting d'applications Web

De l authentification au hub d identité. si simplement. Présentation OSSIR du 14fev2012

Logiciel de gestion des équipements de test MET/TEAM. NOUVEAU logiciel convivial de gestion des ressources d étalonnage par navigateur

CONFÉRENCE WEB 2.0. UPDATE ASBL Michaël Barchy 23 janvier 2013

Journées MATHRICE "Dijon-Besançon" DIJON mars Projet MySafeKey Authentification par clé USB

RSA ADAPTIVE AUTHENTICATION

Sommaire : Pourquoi créer un site web? Qu est-ce qu un site Web? Les différents types de sites. Quelles solutions peuvent être employées?

I La création d'un compte de messagerie Gmail.

Procédure d utilisation et de paramétrage (filtrage) avec IPFIRE

Mozilla Firefox 3.5. Google Chrome 3.0 LES NAVIGATEURS WEB. (pour Windows) Opéra 10. Internet Explorer 8. Safari 4.0

Etude de la pertinence et de l'intérêt des appliances WAF (IPS web) à l'inria

RELEASE NOTES. Les nouveautés Desktop Manager 2.8

SaltStack pour la gestion de parc

Transcription:

Safe Browsing: to Track, Censor and Protect Thomas Gerbet, Amrit Kumar, Cédric Lauradoux 26 mars 2015

Google Safe Browsing Mise en service en 2008 pour les navigateurs : Google Chrome Mozilla Firefox Apple Safari Opera Impact : plus d un milliard d utilisateurs selon Google Objectifs : prévenir les utilisateurs d atteindre des sites de phishing malwares Approche : blacklist API compatible avec C#, Python et PHP Copier par Yandex (et Baidu?). 1

Safe Browsing Lookup API Google crawle le web à la recherche des sites de phishing ou de malwares pour maintenir une blacklist sur ces serveurs. Utilisation la plus simple : on demande aux serveurs de Google si un site est malicieux avec un simple HTTP GET. https://sb-ssl.google.com/safebrowsing/api/lookup? Problèmes : passage a l échelle mauvais problème de protection de la vie privée 2

La première blacklist de l histoire 3

72 Démons de Salomon Agares Aim Alloces Amdusias Amon Amy Andras Andrealphus Andromalius. 4

Comment reconnaître un démon? Problème : tout le monde ne peut pas disposer de la clavicule de Salomon dans sa poche. Comment faire alors? Solution : faire de la compression avec perte. Ag Ai Al Am An. On passe de 72 noms à 50 préfixes (30% de compression). On passe de 518 caractères à 150 (70% de compression). 5

Les faux positifs Hollande Ho n est pas dans le dictionnaire. Donc Hollande n est pas un démon. Vals Va est dans le dictionnaire. Pourtant Vals n est pas dans la liste complète. C est un faux positif! Si une valeur est dans la liste raccourcie, il faut vraiment ouvrir la Clavicule de Salomon pour avoir la liste de tous les démons. Pour Va, on aurait : Valefar, Vapula et Vassago. La solution est intéressante si on a peu de faux positifs. Si tout est clair, il est temps de revenir a Safe Browsing. 6

Google Safe Browsing API v3 La vérification en local est faites dans ces fichiers : List name Description #prefixes goog-malware-shavar malware 317,807 goog-regtest-shavar test file 29,667 goog-whitedomain-shavar unused 1 googpub-phish-shavar phishing 312,621 Environ 650000 entrées au total. On ne travaille pas avec directement sur les URLs. On utilise les 4 premiers octets de l empreinte SHA-256 (32 octets). Prefix32(SHA256(www.example.com/))=0xd59cc9d3 7

Safe Browsing API v3 Start client Found prefix? no Nonmalicious URL no Update needed? no URL Canonicalize and compute digest yes Get full digests Found digest? yes Update local database yes Malicious URL 8

Why 32-bit prefixes? Code optimisation Structure (Mo) Codage Delta Filtre de Bloom Préfixe (bits) Don. brutes taille Compr. taille Compr. 32 2. 5 1.3 1.9 0.8 64 5.1 3.9 1.3 1.7 80 6.4 5.1 1.2 3 2.1 128 10.2 8.9 1.1 3.4 256 20.3 19.1 1 6.7 9

Why 32-bit prefixes? Privacy Year # unique URLs (Google) # of domains 2008 1 Trillion 177 Million 2012 30 Trillion 252 Million 2013 60 Trillion 271 Million M for URLs M for domain l (bits) 2008 2012 2013 2008 2012 2013 16 2 28 2 28 2 29 253 363 388 32 443 7541 14757 2 3 3 64 2 2 2 1 1 1 96 1 1 1 1 1 1 10

Yandex Safe Browsing API v3 List name Description #prefixes goog-malware-shavar malware 283,211 goog-mobile-only-malware-shavar mobile malware 2,107 goog-phish-shavar phishing 31,593 ydx-adult-shavar adult website 434 ydx-adult-testing-shavar test file 535 ydx-imgs-shavar malicious image 0 ydx-malware-shavar malware 283,211 ydx-mitb-masks-shavar man-in-thebrowser 87 ydx-mobile-only-malware-shavar malware 2,107 ydx-phish-shavar phishing 31,593 ydx-porno-hosts-top-shavar pornography 99,990 ydx-sms-fraud-shavar sms fraud 10,609 ydx-test-shavar test file 0 ydx-yellow-shavar shocking content 209 ydx-yellow-testing-shavar test file 370 ydx-badcrxids-digestvar.crx file ids * ydx-badbin-digestvar malicious binary * ydx-mitb-uids man-in-thebrowser * ydx-badcrxids-testing-digestvar test file * 11

Re-identififcation URL https://cappris.inria.fr/project/events/ https://cappris.inria.fr/project/ https://cappris.inria.fr/ 32-bit prefix 0x2929f0b1 0xc99584e3 0x192af851 Problème des valeurs positives : 1 match : 0x2929f0b1 aucun problème. 2 matches : 0xc99584e3 et 0x192af851 re-identification. Corrélations temporelles URL https://cappris.inria.fr/ https://cappris.inria.fr/project/events/ 32-bit prefix 0x192af851 0x2929f0b1 12

Caractéristiques des fichiers Reconstruction à partir de sources publiques. Google Yandex Malware list Phishing list list name #matches %matches #matches %matches goog-malware-shavar 18785 5.9 351 0.1 googpub-phish-shavar 632 0.2 11155 3.5 ydx-malware-shavar 44232 15.6 417 0.1 ydx-adult-shavar 29 6.6 1 0.2 ydx-mobile-only-malware-shavar 19 0.9 0 0 ydx-phish-shavar 58 0.1 1568 4.9 ydx-mitb-masks-shavar 20 22.9 0 0 ydx-porno-hosts-top-shavar 1682 1.6 220 0.2 ydx-sms-fraud-shavar 66 0.6 1 0.01 ydx-yellow-shavar 43 20 1 0.4 13

Orphelins et faux-positifs Google Yandex #full hash per prefix #Coll. with TopAlexa list name 0 1 2 Total 0 1 2 Total goog-malware-shavar 36 317,759 12 317,807 0 572 0 572 googpub-phish-shavar 123 312,494 4 312,621 0 88 0 88 ydx-malware-shavar 4,184 279,015 12 283,211 73 2,614 0 2,687 ydx-adult-shavar 184 250 0 434 38 43 0 81 ydx-mobile-only-malware-shavar 130 1,977 0 2,107 2 22 0 24 ydx-phish-shavar 31,325 268 0 31,593 22 0 0 22 ydx-mitb-masks-shavar 87 0 0 87 2 0 0 2 ydx-porno-hosts-top-shavar 240 99,750 0 99,990 43 17,541 0 17,584 ydx-sms-fraud-shavar 10,162 447 0 10,609 76 3 0 79 ydx-yellow-shavar 209 0 0 209 15 0 0 15 14

URLs remarquables URL matching decomposition prefix http ://fr.xhamster.com/user/video fr.xhamster.com/ 0xe4fdd86c xhamster.com/ 0x3074e021 http ://nl.xhamster.com/user/video nl.xhamster.com/ 0xa95055ff xhamster.com/ 0x3074e021 http ://m.mofos.com/user/login m.mofos.com/ 0x6e961650 mofos.com/ 0x00354501 http ://fr.xhamster.com/user/kmille fr.xhamster.com/ 0xe4fdd86c xhamster.com/ 0x3074e021 http ://de.xhamster.com/user/video de.xhamster.com/ 0x0215bac9 xhamster.com/ 0x3074e021 http ://nl.xhamster.com/user/ppbbg nl.xhamster.com/ 0xa95055ff xhamster.com/ 0x3074e021 http ://mobile.teenslovehugecocks.com/user/join mobile.teenslovehugecocks.com/ 0x585667a5 teenslovehugecocks.com/ 0x92824b5c http ://nl.xhamster.com/user/photo nl.xhamster.com/ 0xa95055ff xhamster.com/ 0x3074e021 http ://m.mofos.com/user/logout m.mofos.com/ 0x6e961650 mofos.com/ 0x00354501 15

Censure avec Yandex.Browser secours-islamique.org 16

Conclusion Des URLs peuvent être re-identifiées par Google et Yandex. Les listes sont choisies arbitrairement : reverse impossible... orphelins, justification des valeurs. On a besoin d accountability. Solution (par défaut) : trivial Private Information Retrieval! accountable private 17

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back