आपका YouTube इतिहास उजागर: शोधकर्ता वीडियो स्ट्रीमिंग में निहित सुरक्षा दोष की पहचान करता है

[ware_item id=33][/ware_item]

YouTube ट्रैफ़िक सुरक्षा दोष उजागर हुआ


यह देखते हुए कि इंटरनेट सेवा प्रदाता (आईएसपी) उपयोगकर्ताओं की वीडियो-देखने के अनुभवों को बेहतर बनाने के लिए अपनी सेवाओं का अनुकूलन कैसे कर सकते हैं, साइबर-सुरक्षा विशेषज्ञ रान डबलिन ने महसूस किया कि आईएसपी केवल घड़ी की गुणवत्ता से अधिक का पता लगा सकते हैं - यदि वे चाहते थे, तो सटीक का निर्धारण करें। वीडियो शीर्षक उनके उपयोगकर्ता देख रहे थे.

डबलिन की विधि सामान्य निगरानी के दृष्टिकोण से अलग है केवल ट्रैफ़िक पैटर्न का विश्लेषण करता है, हालांकि पारंपरिक निगरानी तकनीक अनएन्क्रिप्टेड डेटा को देखती हैं, प्रोटोकॉल में खामियों का फायदा उठाती हैं, या व्यक्तिगत पैकेट का विश्लेषण करती हैं.

यद्यपि YouTube आपके डेटा को सुरक्षित करने के लिए एन्क्रिप्शन का उपयोग करता है, लेकिन डबलिन ने ExpressVPN को समझाया, आपके नेटवर्क को देखने वाला कोई भी व्यक्ति निर्धारित कर सकता है कि आप क्या देख रहे हैं - लेकिन एक तरीका है जिससे आप अपनी रक्षा कर सकते हैं.

प्रतिमानों की मैपिंग

डबलिन ने एक्सप्रेसवीपीएन को बताया,

“मुझे पता चला कि सभी धाराओं में वास्तव में एक बहुत ही विशिष्ट पैटर्न है। और उन पैटर्न को पहचाना जा सकता है। ”

जब आप YouTube का उपयोग वीडियो स्ट्रीम करने के लिए करते हैं, तो आपका ब्राउज़र दो काम करता है:

  1. यह YouTube के साथ एक एन्क्रिप्टेड चैनल खोलता है जिसके माध्यम से सभी डेटा को स्थानांतरित किया जाता है.
  2. यह आपके नेटवर्क कनेक्शन की गति के आधार पर एक विशिष्ट गुणवत्ता पर वीडियो के छोटे वर्गों का अनुरोध करता है और प्राप्त करता है.

एन्क्रिप्ट किए जाने के बावजूद, एन्कोडिंग तंत्र परिष्कृत निष्क्रिय पर्यवेक्षकों के लिए पर्याप्त डेटा उत्पन्न करता है जो आप देख रहे हैं। गलत हाथों में, इस डेटा को आसानी से बेचा जा सकता है या अन्यथा लक्ष्यित किया जाता है और वस्तुतः किसी के साथ भेदभाव किया जाता है.

प्रत्येक वीडियो में एक अद्वितीय, पता लगाने योग्य हस्ताक्षर है

डबिन के शोध में पाया गया कि आपका वीडियो लोड हो रहा है, कोई भी व्यक्ति कनेक्शन देख रहा है - जैसे कि आपका आईएसपी, आपके वाई-फाई नेटवर्क का दोहन करने वाला हैकर, या कोई सरकारी एजेंसी- समय के साथ एन्क्रिप्टेड डेटा प्रवाह के विभिन्न पैटर्न का पालन कर सकता है।.

यह पैटर्न मौजूद है क्योंकि वीडियो sil चंक्स ’में डाउनलोड किए जाते हैं, जिससे ट्रैफ़िक के प्रवाह में चोटियाँ और खामोशी पैदा होती है। बिट्स-प्रति-पीक की संख्या का विश्लेषण करके, उदाहरण के लिए, वीडियो के उस भाग में रंगों या त्वरित आंदोलनों की संख्या से - वीडियो के लिए एक हस्ताक्षर बनाया जाता है, जिससे इसे विशिष्ट रूप से पहचाना जा सके.

ब्लैक हैट यूरोप 2016 में डबलिन के व्याख्यान का अंशब्लैक हैट यूरोप 2016 में डबलिन के व्याख्यान का अंश। आर। डबलिन की अनुमति से.
रण दुबे, अमित दवीर, टिरेल पेले और ओफ़र हैदर। "मुझे पता है कि आपने अंतिम मिनट क्या देखा - क्रोम ब्राउज़र केस।" व्याख्यान, ब्लैक हैट यूरोप 2016, लंदन, 3 नवंबर 2016.

प्रत्येक पैटर्न को एक वीडियो से मिलान करने के लिए, निष्क्रिय पर्यवेक्षक को उन सभी वीडियो की एक पूर्वनिर्धारित सूची की आवश्यकता होगी, जिनकी वे निगरानी करना चाहते हैं। हालांकि YouTube पर उपलब्ध सभी वीडियो की सूची को संकलित करना मुश्किल होगा (यह देखते हुए कि हर मिनट में लगभग 300 घंटे नई सामग्री अपलोड की जाती है), लोकप्रिय वीडियो के लिए ऐसी सूची को संकलित करना संभव है — या रुचि के वीडियो.

गोपनीयता के दुरुपयोग के लिए संभावित

यद्यपि आप किस वीडियो को देख रहे हैं, यह निर्धारित करना कोई छोटी उपलब्धि नहीं है, लेकिन यह गलत विश्लेषण बहुत मुश्किल हो सकता है यदि गलत उद्देश्यों वाले समूह यह निर्धारित करने में सक्षम थे कि क्या आपने इनमें से किसी पूर्व-सूचीबद्ध सूची पर कोई वीडियो देखा है:

  • विशिष्ट राजनेता से संबंधित वीडियो
  • एक विशिष्ट प्रतिरोध आंदोलन से संबंधित वीडियो
  • कुछ स्वास्थ्य स्थितियों के बारे में सूचनात्मक वीडियो
  • धूम्रपान बंद करने या अन्य लत से संबंधित वीडियो

यह इस संभावना को बढ़ाता है कि किसी को भी उनकी सरकार, आईएसपी, या स्वास्थ्य बीमा प्रदाता द्वारा लक्षित, सहवास या भेदभाव किया जा सकता है, बस वे कौन से वीडियो को देखते हैं.

निष्क्रिय YouTube नेटवर्क ट्रैफ़िक विश्लेषण कैसे काम करता है

अपने घर के बाहर खड़े एक पर्यवेक्षक की कल्पना करें और अपने दरवाजे पर वितरित किए जा रहे सभी पैकेजों का अवलोकन करें.

भले ही प्रत्येक पैकेज का आकार, आकार और वजन अलग-अलग हो, लेकिन एक पर्यवेक्षक उन्हें ज्ञात पैकेजों की सूची में मिला सकता है और यह निष्कर्ष निकाल सकता है कि आपने क्या आदेश दिया है, भले ही उन्होंने आपके पैकेज कभी नहीं खोले हों।.

जब आप YouTube का उपयोग कर रहे होते हैं, तो प्रत्येक पैकेज में न केवल एक अद्वितीय हस्ताक्षर होता है - यह प्रेषक (YouTube) और रिसीवर (आप) दोनों के आईपी पते को भी वहन करता है। इन IP पतों के साथ, एक पर्यवेक्षक यह निर्धारित कर सकता है कि क्या कोई पैकेज YouTube वीडियो के साथ-साथ आपकी पहचान से जुड़ा है.

यह पर्यवेक्षक एक हैकर हो सकता है जो आपकी स्थानीय कॉफी शॉप, आपके कैंपस के व्यवस्थापक वाई-फाई नेटवर्क या आपके आईएसपी पर राउटर को नियंत्रित करता है।.

डबलिन: "मैं यह भी अनुमान लगाने में सक्षम हो सकता हूं कि लगभग 30 से 40 सेकंड के वॉच टाइम के बाद आप क्या वीडियो देख रहे हैं।"

डबलिन का शोध तब भी लागू होता है जब आप एक वीडियो का केवल एक भाग देखते हैं - और संभावित रूप से वास्तविक समय में भी। "मेरे पास एक अलग डेमो है जो दिखा रहा है कि मैं वीडियो के वास्तविक समय भाग में भी भविष्यवाणी कर सकता हूं। हालाँकि, इस एल्गोरिथ्म की सटीकता को अंतिम रूप नहीं दिया गया है। ”उनका अनुमान है कि यह देखने के लिए कि आपको कौन सा वीडियो देखना है, यह निर्धारित करने में लगभग 30 से 40 सेकंड का समय लगता है।.

क्या हमें वीडियो मास-मॉनीटरिंग के बारे में चिंतित होना चाहिए?

हां और ना। इस बिंदु पर निगरानी संभव है, यह महंगा है, क्योंकि पर्यवेक्षक को उन सभी YouTube वीडियो की एक सूची संकलित करने की आवश्यकता होगी जिन्हें वे पहचानना चाहते हैं और फिर एक-एक करके उनका विश्लेषण करते हैं। यह बहुत अच्छा लग सकता है, लेकिन यह केवल ब्याज के प्रत्येक वीडियो के लिए एक बार किया जाना चाहिए.

परिवर्तनीय नेटवर्क की स्थिति अतिरिक्त चुनौतियों का सामना कर सकती है, क्योंकि पैकेट हानि और नेटवर्क विलंब अनिश्चितता पैदा करते हैं। हालांकि, डबलिन ने दिखाया कि वह अभी भी इन शर्तों के तहत एक बहुत ही उच्च भविष्यवाणी सफलता दर प्राप्त कर सकते हैं.

क्योंकि पहले से रिकॉर्ड किए गए पैटर्न केवल प्रेक्षितों के साथ संभावित रूप से मेल खाते हैं, एक बहुत बड़े डेटा सेट में संभवतः कुछ गलत मैच होंगे। डुबिन ने बताया कि जब उनके अध्ययन में 2000 वीडियो के नमूने के आकार के साथ शून्य-सकारात्मक पाया गया, तो बहुत अधिक मात्रा में खिताबों की संख्या में वृद्धि हो सकती है क्योंकि "बिट-पीक सुविधा 100% अद्वितीय नहीं हो सकती है।"

हालांकि यह विश्लेषण सैद्धांतिक रूप से अन्य सेवाओं और डेटा के प्रकार (नेटफ्लिक्स, फेसबुक, या स्पॉटिफ़ के रूप में) पर लागू हो सकता है, डबलिन ने अनुमान नहीं लगाया कि कौन सी अन्य सेवाएं असुरक्षित हो सकती हैं। लेकिन उनका कहना है कि वह इन जैसी सेवाओं के आसपास अपनी अगली शोध परियोजनाओं की योजना बना रहे होंगे.

अपनी YouTube गतिविधि को ट्रैक होने से कैसे बचाएं

जबकि YouTube सैद्धांतिक रूप से उनके वीडियो में बाधा डाल सकता है, रैन डबलिन की सलाह है कि आप आज कैसे अपनी सुरक्षा कर सकते हैं:

"आप वीपीएन का उपयोग कर सकते हैं [या] आप पहचान को बहुत कठिन बनाने के लिए टोर नेटवर्क का उपयोग कर सकते हैं।"

टो या वीपीएन जैसे नेटवर्क का उपयोग पहचान के तत्काल उपकरण को हटा देता है: आपका आईपी पता। वीपीएन का उपयोग करके, एक पर्यवेक्षक अभी भी यह देख सकेगा कि वीपीएन सर्वर से कौन सा वीडियो देखा गया था, लेकिन उस ट्रैफ़िक को सैकड़ों अन्य उपयोगकर्ताओं के ट्रैफ़िक के साथ मिलाया जाएगा, जो यह निर्धारित करने की क्षमता को विफल करता है कि कौन देख रहा था और कहाँ से.

पैकेज के रूपक पर वापस जाकर, एक वीपीएन या टोर अनिवार्य रूप से एक रिस्पेशन गोदाम बनाता है, जिसमें सभी पैकेजों को संबोधित और भेजा जाता है। अंदर, वे जमा होते हैं, पुन: संग्रहित होते हैं, और कभी-कभी भराई को आगे के लिए जोड़ा जाता है। के रूप में repackaged माल अपने घर के लिए भेजा जाता है, एक पर्यवेक्षक अब अनुमान नहीं लगा सकता है कि अंदर क्या है या पैकेज किसने भेजा है.

आपका आईएसपी, या आपके और आपके वीपीएन प्रदाता के बीच कोई अन्य पर्यवेक्षक, और भी कम जानकारी देखेंगे। आधुनिक वीपीएन ऐप्स द्वारा लागू किए गए आपत्तिजनक उपायों के कारण, आपके ट्रैफ़िक पैटर्न अब उन लोगों से मेल नहीं खाएंगे जो उनके पास पहले से दर्ज हो सकते हैं, वे आपके द्वारा एकत्रित किए गए डेटा को निरर्थक प्रदान करते हैं.

अपने मेटाडेटा से सावधान रहें!

यहां तक ​​कि मेटाडेटा के साथ एन्क्रिप्टेड डेटा वहन करती है। जब आप HTTPS पर YouTube वीडियो स्ट्रीम करते हैं, तो यह मेटाडेटा टाइमस्टैम्प, आईपी पते, वीडियो आकार, वीडियो लंबाई, और - जैसा कि डबलिन ने दिखाया है - वह पैटर्न जिसके साथ डेटा संचारित होता है.

टोर नेटवर्क या वीपीएन जैसे प्रॉक्सी नेटवर्क स्ट्रिप की मदद कर सकते हैं जो मेटाडेटा को या तो इसे बाधित करते हैं या इसे प्रॉक्सी के परतों के माध्यम से रूट करते हैं।.

आपका YouTube इतिहास उजागर: शोधकर्ता वीडियो स्ट्रीमिंग में निहित सुरक्षा दोष की पहचान करता है
admin Author
Sorry! The Author has not filled his profile.