Vandaag, de meeste webbrowsers hebben modi voor privé browsen, waarin ze tijdelijk stoppen met het opnemen van de browsegeschiedenis van de gebruiker.

Maar gegevens die tijdens privé-browsingsessies worden geopend, kunnen nog steeds in het geheugen van een computer terechtkomen, waar een voldoende gemotiveerde aanvaller het zou kunnen terughalen.

Deze week, op het Network and Distributed Systems Security Symposium, onderzoekers van MIT's Computer Science and Artificial Intelligence Laboratory (CSAIL) en Harvard University presenteerden een paper waarin een nieuw systeem wordt beschreven, nagesynchroniseerde sluier, dat maakt privé browsen meer privé.

Veil zou extra bescherming bieden aan mensen die gedeelde computers in kantoren gebruiken, hotel zakencentra, of universitaire rekencentra, en het kan worden gebruikt in combinatie met bestaande systemen voor privé browsen en met anonimiteitsnetwerken zoals Tor, die is ontworpen om de identiteit te beschermen van internetgebruikers die onder repressieve regimes leven.

"Veil werd gemotiveerd door al dit onderzoek dat eerder in de veiligheidsgemeenschap werd gedaan en zei:'Privé-browsingmodi zijn lek:hier zijn 10 verschillende manieren waarop ze lekken, '" zegt Frank Wang, een MIT-afgestudeerde student in elektrotechniek en informatica en eerste auteur van het papier. "We vroegen, 'Wat is het fundamentele probleem?' En het fundamentele probleem is dat [de browser] deze informatie verzamelt, en dan doet de browser zijn best om het te repareren. Maar aan het eind van de dag, wat de beste poging van de browser ook is, het verzamelt het nog steeds. We kunnen die informatie net zo goed niet verzamelen."

Wang wordt op het papier vergezeld door zijn twee scriptieadviseurs:Nickolai Zeldovich, een universitair hoofddocent elektrotechniek en informatica aan het MIT, en James Mickens, een universitair hoofddocent informatica aan Harvard.

Schelpenspel

Met bestaande privé-browsingsessies, Wang legt uit, een browser haalt gegevens op zoals altijd en laadt deze in het geheugen. Als de sessie voorbij is, het probeert te wissen wat het heeft opgehaald.

Maar in de computers van tegenwoordig, geheugenbeheer is een complex proces, met gegevens die continu bewegen tussen verschillende kernen (verwerkingseenheden) en caches (lokaal, snelle geheugenbanken). Wanneer geheugenbanken vol raken, het besturingssysteem kan gegevens overbrengen naar de harde schijf van de computer, waar het dagen zou kunnen blijven, ook nadat het niet meer wordt gebruikt.

Over het algemeen, een browser weet niet waar de gedownloade gegevens zijn terechtgekomen. Zelfs als dat zo was, het zou niet per se autorisatie van het besturingssysteem hebben om het te verwijderen.

Veil omzeilt dit probleem door ervoor te zorgen dat alle gegevens die de browser in het geheugen laadt, versleuteld blijven totdat ze daadwerkelijk op het scherm worden weergegeven. In plaats van een URL in de adresbalk van de browser te typen, de Veil-gebruiker gaat naar de Veil-website en voert daar de URL in. Een speciale server - die de onderzoekers een verblindende server noemen - verzendt een versie van de opgevraagde pagina die is vertaald in het Veil-formaat.

De Veil-pagina ziet eruit als een gewone webpagina:elke browser kan deze laden. Maar ingebed in de pagina is een beetje code - net zoals de ingesloten code die zou, zeggen, voer een video uit of toon een lijst met recente koppen op een gewone pagina, die een decoderingsalgoritme uitvoert. De gegevens die aan de pagina zijn gekoppeld, zijn onbegrijpelijk totdat ze door dat algoritme gaan.

lokvogels

Zodra de gegevens zijn ontsleuteld, het moet in het geheugen worden geladen zolang het op het scherm wordt weergegeven. Dat soort tijdelijk opgeslagen gegevens is minder snel traceerbaar nadat de browsersessie is afgelopen. Maar om potentiële aanvallers nog meer in verwarring te brengen, Veil bevat een paar andere beveiligingsfuncties.

Een daarvan is dat de verblindende servers willekeurig een hoop betekenisloze code toevoegen aan elke pagina die ze serveren. Die code heeft geen invloed op hoe een pagina eruitziet voor de gebruiker, maar het verandert het uiterlijk van het onderliggende bronbestand drastisch. Geen twee uitzendingen van een pagina die wordt bediend door een verblindende server lijken op elkaar, en een tegenstander die erin slaagde een paar verdwaalde fragmenten van gedecodeerde code te herstellen na een Veil-sessie, zou waarschijnlijk niet kunnen bepalen welke pagina de gebruiker had bezocht.

Als de combinatie van runtime-decodering en codeverduistering de gebruiker geen adequaat gevoel van veiligheid geeft, Veil biedt een nog moeilijker te hacken optie. Met deze optie, de verblindende server opent de opgevraagde pagina zelf en maakt er een foto van. Alleen de foto wordt naar de Veil-gebruiker gestuurd, er komt dus geen uitvoerbare code op de computer van de gebruiker terecht. Als de gebruiker op een deel van de afbeelding klikt, de browser registreert de locatie van de klik en stuurt deze naar de verblindende server, die het verwerkt en een afbeelding van de bijgewerkte pagina retourneert.

de achterkant

sluier doet, natuurlijk, vereisen dat webontwikkelaars Veil-versies van hun sites maken. Maar Wang en zijn collega's hebben een compiler ontworpen die deze conversie automatisch uitvoert. Het prototype van de compiler uploadt zelfs de geconverteerde site naar een verblindende server. De ontwikkelaar voert eenvoudigweg de bestaande inhoud voor zijn of haar site naar de compiler.

Een iets veeleisender vereiste is het onderhoud van de verblindende servers. Deze kunnen worden georganiseerd door een netwerk van particuliere vrijwilligers of door een bedrijf met winstoogmerk. Maar sitebeheerders willen misschien zelf Veil-compatibele versies van hun sites hosten. Voor webservices die al de nadruk leggen op de privacybescherming die ze hun klanten bieden, de extra bescherming die Veil biedt, zou een concurrentievoordeel kunnen bieden.

"Veil probeert een privé-browsemodus te bieden zonder afhankelijk te zijn van browsers, " zegt Taesoo Kim, een assistent-professor informatica aan Georgia Tech, die niet bij het onderzoek betrokken was. "Zelfs als eindgebruikers de modus voor privé browsen niet expliciet hebben ingeschakeld, ze kunnen nog steeds profiteren van Veil-enabled websites. Veil wil praktisch zijn - het vereist geen enkele wijziging aan de browserkant - en sterker zijn - en zorgen voor andere hoekgevallen waar browsers geen volledige controle over hebben."

Dit verhaal is opnieuw gepubliceerd met dank aan MIT News (web.mit.edu/newsoffice/), een populaire site met nieuws over MIT-onderzoek, innovatie en onderwijs.