От Ильича до Ильича
by sonnet 2006 이글루스 TOP 100 2007 이글루스 TOP 100 2008 이글루스 TOP 100 2009 이글루스 TOP 100 2010 이글루스 TOP 100 2011 이글루스 TOP 100
rss

skin by 이글루스
친구목록 관련
Schneier 블로그에서 보고 재미있어서 간단히.

"A Practical Attack to De-Anonymize Social Network Users."

Abstract. Social networking sites such as Facebook, LinkedIn, and Xing have been reporting exponential growth rates. These sites have millions of registered users, and they are interesting from a security and privacy point of view because they store large amounts of sensitive personal user data.

In this paper, we introduce a novel de-anonymization attack that exploits group membership information that is available on social networking sites. More precisely, we show that information about the group memberships of a user (i.e., the groups of a social network to which a user belongs) is often sufficient to uniquely identify this user, or, at least, to significantly reduce the set of possible candidates. To determine the group membership of a user, we leverage well-known web browser history stealing attacks. Thus, whenever a social network user visits a malicious website, this website can launch our de-anonymization attack and learn the identity of its visitors.

대충 이런 이야기
1. 내 웹사이트를 방문한 브라우저의 방문 목록을 털어서,
2. SNS를 뒤져 수집한 친구목록들(이글루스로 치면 링크된 블로그 목록)과 대조
3. 이 브라우저의 소유주를 특정해냄
(예를 들어 상황(1)에서 IP를 속여가며 익명으로 악플을 달았더니 (3)에서 본진이 들통나게 되는 식)

1은 이 기법이 어떤 부가적인 조건이 갖추어지면 실용적이라는 것을 보여주기 위한 덤이고, 본론은 친구목록이 익명성을 깨트리는 유용한 도구로서 작용할 수 있다는 것.

또 다른 것으로는 De-anonymizing Social Networks가 있는데, 여기서는 어떤 사람이 두 개의 SNS(Flickr와 Twitter)에서 활동할 경우, Flicker관계를 갖고 Twitter 관계에서 그 사람의 정체를 찾아낼 수 있음을 보여줌.

사실 SNS를 쓰면서 익명성을 높이 기대하는 것 자체가 헛발질인 듯. 어느 정도 감수하고 살아야.
by sonnet | 2010/03/08 23:52 | 과학기술 | 트랙백 | 덧글(12)
트랙백 주소 : http://sonnet.egloos.com/tb/4353427
☞ 내 이글루에 이 글과 관련된 글 쓰기 (트랙백 보내기) [도움말]
Commented at 2010/03/09 00:08
비공개 덧글입니다.
Commented by Ciel at 2010/03/09 01:57
뭔가 수학적 모델로 추출하는거 같아서 읽기가 난해한데...

제가 해석한 교훈은 모든 블로그에서 공개적인 인간관계를 맺는다고 가정할때
복수계정, 복수 사이트를 굴리지 않고. 블로그 하나만 굴리면 문제없다는거 같습니다만..;
Commented by sonnet at 2010/03/09 09:48
첫번쨰 것은 복수의 친구목록이 필요한 것은 아니죠.
선행 혹은 유사연구들을 언급하는 부분을 대충 보시면 SNS의 본질적인 특징인 사용자들 간에 어떤 명시적인 네트워크를 형성한다는 점을 이용한 exploit가 다양하게 시도된다는 점을 느끼실 수 있을 겁니다. 저는 그게 공격자에게 매력적인 정보가 거기 들어있고 있고 활용할 여지가 다양하다는 것을 잘 보여준다고 생각합니다.
예를 들어 SNS업체들은 광고주들에게 민감하다고 생각되는 개인 정보들을 지운 topology정보를 제공할 수 있는데, 이것과 SNS상에서 자기 친구목록을 공개한 사람들의 정보를 이용해서 친구목록을 감춘 사람의 정체를 밝혀낸다거나 할 수 있지 않을까 합니다.
또 온라인 상의 identity가 하나밖에 없어도 학교 같은 오프라인 상의 사회적 관계를 이용해서 복수의 social network가 존재하는 것처럼 문제를 풀 수도 있지 않을까 합니다.
Commented by Ciel at 2010/03/09 11:18
첫번째 예시는 트위터겠군요...
두번째 예시라면 오프라인상의 인맥을 이용해서 온라인을 추적하는건가요.ㄷ

그냥 키워질 안하고 착하게 사는게 다빈듯
Commented by .... at 2010/03/09 03:18
오오~ 그럼 제가 소넷님 스토커질을 하다 다른곳에 악플을 달면 소넷님이 뒤집어쓰겠군요!
Commented by sonnet at 2010/03/09 09:08
하하. false positive입니까. 판정방법 특성상 그런 결과가 나올 수 있을 듯.
Commented by shaind at 2010/03/09 07:59
저같은 경우는 거의 파이어폭스만 쓰는데, 악플 달 때만 IE나 오페라로 바꿔서 오면 브라우저의 방문사이트 목록을 입수해서 저런 공격을 해도 안 털리겠군요 (......)
Commented by sonnet at 2010/03/09 09:50
하하 그것은 단 한 가지 방법만 막아주는 workaround...
Commented by Fithelestre at 2010/03/09 13:08
페이스북의 인맥 만들기 시스템을 보면 바로 저런 식으로 두 개인의 친구 목록을 대조하여 "너희 둘은 친구일 가능성이 높다"고 자동 추천해 주는데 사실 좀 경악스럽더군요.
Commented by sonnet at 2010/03/15 09:38
크, 그러면 헤어진 여자친구 추천해 주고 막 그런 사태가 벌어질 것 같은 예감이..
Commented at 2010/03/31 17:59
비공개 덧글입니다.
Commented by sonnet at 2010/04/02 12:12
오. 과연 탁월한 개인기십니다. 일부러 그런 것은 아니고요. 그들이 있는줄 몰랐습니다. 저는 개미지옥 방식을 좋아하기도 하고 말이지요 (폭소)

:         :

:

비공개 덧글

<< 이전 다음 >>