数据经纪人回顾
乔丹·德莱斯代尔 //
以下内容大致基于我在BSides Denver上的演讲。
在BSides Denver演讲后,一位观众花时间与BHIS讨论了内容。他称自己帮助某数据经纪人构建的软件为“真正的隐私死亡星”。他声称,平均每人收集约1400个独特数据点,用于定向广告。他指出,最盈利的定向广告是在某些“狂热条件”下投放的——当人们搜索阿片类药物滥用、自杀热线等内容时,这些搜索结果中的定向广告对数据经纪人来说利润最高。
根除。 数据经纪人比谷歌、Facebook或任何其他收集人类可追踪信息的单一实体知道得更多。他们是聚合器;与搜索引擎营销人员的关系使他们能够持续获取更新的人类情报。我们设备上的定位服务与我们的在线身份集成,并直接传输到我们个人的死亡星数据库表。
这些默认开启,并通过更新重新启用。
数字身份危机??
恢复。 备用身份、 burner手机、虚拟机、比特币、隐私浏览、插件、pi-hole项目……唉。Privacy Badger。AdBlock Plus(仍然跟踪我们访问的每个网站)。Panopticlick。uBlockOrigin。
喵。
数据收集渠道
传输?
操作系统。微软的OS 10,M$的新主要数据收集器😀http://bgr.com/2016/01/05/microsoft-windows-10-spying-2015-user-data/
浏览器?亚马逊购买记录。每一个搜索字符串。
移动设备?超级cookie和Verizon的隐私乐趣!在移动设备上添加购物车,很快就会出现在桌面购物车中。
Cookies。超级cookie、永久cookie、cookie怪物。
生活。离婚申请。刑事诉讼。死亡。可能的关联人。
嚼,嚼,嚼
SANS 504及其原则已成为日常生活的一部分。PICERL。此时可以合理假设我们都已受损。那么,既然发生了事件,我们肯定已被入侵,我们该怎么办?我们如何遏制如此大规模的漏洞?这些人会出售你想知道的关于任何人的一切,前提是你不是试图雇佣他们或租用他们什么。我们真的需要退一步,首先认识到这是一个问题,一个非常大的问题。
认识数据经纪人:
- Acxiom
- Corelogic
- Datalogix
- eBureau
- ID Analytics
- Intelius
- PeekYou
- Rapleaf
- Recorded Future
公司正在将我们货币化。Security Weekly播客的敏锐观察者可能记得Joff问为什么没有人想办法并开始要求广告网络从我们身上赚取的一部分钱?当然,我们目前被分组和汇总,统计数据针对我们的人口统计兴趣运行,但无论如何,我们的个人习惯正在被货币化。我们只需要通过侵权诉讼吗?在这种情况下,我们如何定义和评估损害?
这些激活最近通过了焚化炉……
这些问题没有真正的答案,我绝对不主张更多诉讼。我主张的是对一个严重问题的认识。那么我们在504精神中处于什么位置?很难遏制损失,因为它们已经填充了全球的数据阵列。根除这种正义的惩罚可能必须从许多被入侵公司开始的地方开始;对损失进行取证分析、恢复并从事件中学习。
隐私灾难。
如果我们要从头开始,重新开始,我会做什么不同?
准备。 亚马逊是最好的数据聚合器之一(坏?),他们的云平台很棒(好?)。旋转一个IAD Gov的GoSecure的AWS CloudFormation实例。使用这里的博客文章和这里的GitHub在树莓派上设置你的OSI层1到4的隐身设备。
GoSecure魔法。
识别。 我在这里关注威胁,并且 presumably,由于我们所学的,传输对数据经纪人来说并不那么有趣。我们的一位蓝队成员构建了一个PowerShell脚本,除了生成白噪声外什么也不做。每五分钟,从一个充满广告垃圾的小型VM访问一个新的随机URL,以及不安全浏览互联网的所有乐趣。对于日常生活,隐私浏览模式和一系列插件,使你的浏览器配置在Panopticlick上独一无二,将帮助你保持半匿名。这个团队会用星巴克卡交换无日志VPN访问:
星巴克10美元或37天的“PrivateInternetAccess”——我要一杯拿铁,por favor
遏制。 这是约翰和我的一次对话重新聚焦的地方。作为平民,我们应该在Defcon 3级别操作,完全假设我们被单独跟踪、监控,并且我们的每一次对话都被过滤以获取有趣的花絮。我们的操作水平应该是随身携带RPi,使用DuckDuckGo搜索,并支持EFF。
非归因。 PayPal接受礼品卡!
你贡献的越少:
- 应用
- 最终用户许可协议
- 位置数据
越好:
- 使用DuckDuckGo
- PrivateInternetAccess
- 检查(并清理)你的谷歌历史
我们在这里停止,因为我们回到了起点。发生了一个事件。我们被入侵了。