Informasjonssikkerhet på internett og de

påtrengende tredjepartene.

20.03.2015

Informasjonssikkerhet på internett og de påtrengende tredjepartene

• Om Cookies, beacons, device fingerprinting, pålogging og alt det der.

• Og hvordan påvirker dette bruken av domenenavn og dnssec?

2

Sjekkpunkt

• Behandles personopplysninger?

• Personopplysning:

• Opplysninger og vurderinger som kan knyttes til en enkeltperson.

• Behandling av personopplysninger:

• Enhver bruk av personopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter.

3

Personopplysninger

• Fødselsnummer: 13087846271

• Telefonnummer: 22396900

• IP-adresse: 195.159.103.82

• Bilnummer: BL 23456

• Bluetooth MAC: 17:35:52:78:4B:CA

• Wi-Fi-adresse MAC: 12:44:32:45:7B:C9

• Autpass-brikke-ID: 7483920983278394

• UDID: f7426bd759856431d9ae2c99175407a0dcd67ab5

4

3. Parter 1

5

3. parter 2

6

3. Parter 3

7

3. Parter 4

8

3. parter 5

9

Lightbeam

10

Nettside – behandlingsansvarlig og databehandler

Hvor trygg er man?

12

• Bryting av kryptering

• Alle disse tredjepartene

• Hva hjelper det å se på domenenavnet?

• Hva hjelper det med dnssec da?

Informasjonsinnhentingsteknikker

• Cookies

• Beacons

• Device fingerprinting

• Pålogging

• Trylleord: Skal ivareta sikkerhet

13

Cookies – Dårlig norsk løsning

• Den reviderte ekomloven trådte i kraft 1. juli 2013 og har fått en ny bestemmelse om vilkårene knyttet til lagring av opplysninger i kommunikasjonsutstyr - den såkalte «cookie paragrafen», jf. ekomloven § 2-7b.

• Lagring av opplysninger og behandling av disse opplysningene er ikke tillatt med mindre bruker er informert om, og har samtykket til, hvilke opplysninger som behandles, hva formålet med denne behandlingen er og hvem som behandler opplysningene.

• De fleste nettlesere er innstilt slik at de automatisk aksepterer cookies. Dersom du ikke vil akseptere cookies, kan du gå inn og trekke tilbake ditt samtykke ved å endre innstillingene i nettleseren. Vi gjør imidlertid oppmerksom på at dette kan medføre at tjenestene på nettsider ikke fungerer optimalt.

14

Beacons og statistikk

• Google Analytics bruker cookies for å analysere hvordan brukere benytter nettstedet. Informasjonen som genereres av en slik cookie ved bruk av det aktuelle nettstedet, inkludert din IP-adresse, sendes til Google og lagres på servere i USA. Noen bruker anonymizeIP, en funksjon som gjør at en enkeltbruker ikke kan identifiseres (?).

• Klippet fra Googles Personvernvilkår:

• 2012: “Vi bruker informasjonen vi samler inn fra alle tjenestene til å levere, vedlikeholde, beskytte og forbedre tjenestene”.

15

Device fingerprinting

• Alternativ til cookies• Cookie regler gjelder, krav om samtykke, hvordan vil norske cookieregler håndtere dette?

• There are many types of data that can form a fingerprint, including the following examples:• (a) CSS information (Cascading Style Sheets: layout, colors, and fonts)• (b) JavaScript objects (e.g., document, window, screen, navigator, date and language);• (c) HTTP header information (e.g., the number of bits of information in the User Agent

string, HTTP header ordering, HTTP header variation by request type);• (d) clock information (e.g., clock skew and clock error);• (e) TCP stack variation;• (f) installed fonts;• (g) installed plugin information (e.g., configuration and version information);13• (h) the use of internal Application Programming Interfaces14 (API) exposed by the user

agent/device; or• (i) the use of external API’s of Web services the user agent/device is communicating with.

16

Pålogging

• Schibsted: Aftenposten, Finn, SPID…

• Google…

• Facebook…

• Microsoft…

• Twitter…

• …

• ..

• .

17

Informasjonsinnhentingsteknikker

• Cookies

• Beacons

• Device fingerprinting

• Pålogging

• Trylleord: Skal ivareta sikkerhet

18

Art 29 WP (Datatilsynene i Europa)

• 2012- Google endret sin privacy policy.

• Det er påstått av noen land at Googles Privacy Policy ikke tilfredsstiller loven i disse landene.

• Det er satt opp en felles liste over krav som Google kan implementere.

- Informasjon

- Hvordan Google Analytics skal håndteres

- Hvordan Google DoubleClick skal håndteres

- Osv

-

19

Sensorer

• TYPE_ACCELEROMETER

• TYPE_AMBIENT_TEMPERATURE

• TYPE_GRAVITY

• TYPE_GYROSCOPE

• TYPE_LIGHT

• TYPE_LINEAR_ACCELERATION

• TYPE_MAGNETIC_FIELD

• TYPE_ORIENTATION

• TYPE_PRESSURE

• TYPE_PROXIMITY

• TYPE_RELATIVE_HUMIDITY

• TYPE_ROTATION_VECTOR

• TYPE_TEMPERATURE

• TYPE_SIGNIFICANT_MOTION

• TYPE_STEP_COUNTER

• TYPE_STEP_DETECTOR

• TYPE_GAME_ROTATION_VECTOR

• TYPE_GEOMAGNETIC_ROTATION_VECTOR

• TYPE_MAGNETIC_FIELD_UNCALIBRATED

• TYPE_ORIENTATION

20

Wifi P2P

Bluetooth BLE

NFC

GPS

Digitalt kompass

GSM

Kameraer

Mikrofon

Personopplysninger

• Fødselsnummer: 13087846271

• Telefonnummer: 22396900

• IP-adresse: 195.159.103.82

• Bilnummer: BL 23456

• Bluetooth MAC: 17:35:52:78:4B:CA

• Wi-Fi-adresse MAC: 12:44:32:45:7B:C9

• Autpass-brikke-ID: 7483920983278394

• UDID: f7426bd759856431d9ae2c99175407a0dcd67ab5

21

Registreringer

22

Helsinki airport, sporer de reisende

23

iBeacons

• iBeacon is Apple's implementation of Bluetooth low-energy (BLE) wireless technology

• The beacons themselvers are small, cheap Bluetooth transmitters.

• Apps installed on your iPhone listen out for the signal transmitted by these beacons and respond accordingly when the phone comes into range.

• The technology could be a big step towards mobile payments.

24

Beacon-butikker og tredjeparter

AA

AA

BB

BB BB

CC CC

CC

Personvernpolicy

26

WIFI

27

ITS – Intelligente transportsystemer

28

På europeisk nivå

• Geolokalisering av mobiltelefoner

• Adferdsbasert annonsering på internett

• Ansiksgjenkjennelse på nett- og mobiltjenester

• Unntak fra kravet om samtykke til cookies

• Om apper

• Retningslinjer for samtykke for cookies

• Anonymiseringsteknikker

• Utviklingen for Internett of things

• Device fingerprinting

29

postkasse@datatilsynet.no

Telefon: +47 22 39 69 00

datatilsynet.no

personvernbloggen.no

Atle Årnes er fagdirektør for teknologi i Datatilsynet.

Hans hovedarbeidsfelt er personvern innenfor

telekommunikasjons- og internettjenester, eID og biometri,

samt samferdsel og intelligente transportsystemer. Han

deltar i europeisk og internasjonal koordinering av

personvernarbeid.