São apresentados agora os resultados obtidos para cada um dos perfis de utilizadores definidos e simulados neste trabalho. Para uma correcta interpretação dos resultados aqui apresentados é necessário ter em consideração que cada caso apresentado representa não um utilizador tipo do perfil considerado mas o conjunto de todos os utilizadores simulados desse mesmo perfil. Não se procura agora que o sistema identifique um só utilizador mas sim que agrupe todas as visitas de cada um dos utilizadores simulados.
71
27B7.3.1 – Simulação de todos os utilizadores com perfil Padrão
Como já foi referido anteriormente, os utilizadores que se incluem neste perfil não alteram qualquer valor identificador nos seus sistemas entre sessões Web. Sendo assim, esperava-se que o sistema de UserTracking desenvolvido identificasse com sucesso, em todas as técnicas, os vários utilizadores simulados segundo este perfil e que, para cada um deles, agrupasse todas as visitas efectuadas. Foram simulados sete utilizadores diferentes de acordo com as características definidas para este perfil, como se pode verificar no 155HAnexo D – Registo
de Simulações. A 156HFigura 7.6 reflecte esse mesmo cenário, onde sete utilizadores diferentes
foram identificados através de cada uma das técnicas de comparação de semelhança.
Figura 7.6 - Simulações de utilizadores Padrão (SDC.00003-00009): Sessões reconstruídas
A tabela de sessões reconstruídas não foi incluída neste caso mas pode-se verificar na
157HFigura 7.7 que as listas obtidas através da combinação das técnicas para cada uma das
simulações coincide a 100% com as listas carregadas dos ficheiros de log do Selenium.
Figura 7.7 - Simulações de utilizadores Padrão (SDC.00003-00009): Resultados de User
72 Testes e Resultados
Os números de identificação de simulação, indicados no eixo horizontal do gráfico, são gerados automaticamente pela User Tracking Analysis Tool quando se carrega um ficheiro de log produzido durante a simulação. Uma vez que os registos das simulações foram inseridos sequencialmente à simulação 0 corresponde a simulação guardada no log SDC.00003, à simulação 1 corresponde o ficheiro SDC.00004 e assim em diante. Esta metodologia foi seguida ao longo de todo o trabalho. Por serem idênticos ao gráfico da Figura 7.7 não foram aqui apresentados os gráficos de resultados de User Tracking para as outras técnicas.
Como se pode perceber este perfil não levanta grandes dificuldades ao sistema implementado sendo que os objectivos foram completamente alcançados.
28B7.3.2 – Simulação de todos os utilizadores com perfil Segurança (1)
O perfil Segurança (1) define os utilizadores que têm a preocupação de apagar os seus cookies entre sessões Web ou que simplesmente configuram os seus browsers para rejeitar cookies. Como todos os outros parâmetros identificadores não são alterados esperava-se que todas as técnicas de associação, com a excepção da baseada em cookies, conseguissem reconstruir as visitas dos sete utilizadores simulados para este perfil. Como se pode observar na Figura 7.8 foi esse o resultado a que o sistema chegou.
Figura 7.8 - Simulações de utilizadores Segurança (1) (SDC.00010-00016): Sessões reconstruídas
Pela Figura 7.9 pode ser constatado que todas as listas de visitas associadas através da combinação das técnicas de comparação durante o processamento dos dados coincidem perfeitamente com as visitas simuladas para cada um dos utilizadores. Os gráficos de resultados de User Tracking obtidos para todas as outras técnicas, excepto cookies, foram omitidos uma vez que cada um deles é idêntico ao já apresentado.
De acordo com os resultados aqui expostos, pode-se concluir que o sistema de User Tracking comportou-se como era esperado, identificando os utilizadores simulados segundo este perfil e agrupando todas as visitas de cada um deles.
73
Figura 7.9 - Simulações de utilizadores Segurança (1) (SDC.00010-00016): Resultados de
User Tracking para Combined Similarity
29B7.3.3 – Simulação de todos os utilizadores com perfil Segurança (2)
As características dos diferentes perfis foram pensadas de forma incremental, isto é, foram sendo acrescentados comportamentos que dificultem cada vez mais a identificação dos utilizadores. Desta forma, o perfil Segurança (2) vem adicionar ao facto de os cookies serem rejeitados a aleatoriedade na escolha do browser entre cada visita. Esta característica, que pretende simular um utilizador que utilize vários browsers alternadamente, origina um comportamento no sistema um pouco mais complexo do que aqueles já analisados nos perfis anteriores uma vez que influencia directamente os dados sobre os quais a técnica de associação de visitas por assinatura opera.
Foram simulados sete utilizadores com as características definidas para este perfil. Do processamento dos registos de todas essas simulações foram obtidos os dados apresentados. Como se pode verificar na Figura 7.10 foram de facto identificados pelo sistema sete utilizadores. No entanto, uma análise atenta aos dados permite perceber que, embora as listas de visitas associadas pelas técnicas baseadas em endereço IP e Flash cookies coincidam com as listas registadas nos logs das simulações, visível na Figura 7.11, o mesmo não acontece com as listas associadas através da técnica de assinatura, como se percebe observando a Tabela 7.5. Uma vez que os valores do endereço IP e dos Flash cookies se mantêm constantes ao longo das simulações para cada utilizador era esperado que as listas criadas pelas técnicas respectivas do User Tracking DPP coincidissem com as listas registas nos logs das simulações. O comportamento da técnica de assinatura é mais interessante e, indiscutivelmente mais valioso, uma vez que permite identificar relações entre visitas que as outras técnicas não conseguem detectar.
74 Testes e Resultados
Figura 7.10 - Simulações de utilizadores Segurança (2) (SDC.00017-00023): Sessões reconstruídas
Observando atentamente a Tabela 7.5 verifica-se que nas primeiras cinco listas os JIC IDs estão contidos no intervalo [1-125] e nas últimas duas listas o intervalo é [126-175], ou seja, a técnica de associação por assinatura encontrou cinco assinaturas diferentes que se repetem ao longo dos primeiros cento e vinte e cinco IDs e duas outras assinaturas diferentes das primeiras e entre si que apenas aparecem nas últimas cinquenta visitas processadas. Procurando explicar esta relação, constata-se pela consulta ao Anexo D que esta diferença reflecte a mudança de máquina virtual.
Figura 7.11 - Simulações de utilizadores Segurança (2) (SDC.00017-00023): Resultados de
75
Tabela 7.5 - Simulações de utilizadores Segurança (2) (SDC.00017-00023): Sessões reconstruídas por assinatura
76 Testes e Resultados
As simulações SDC.00017 a SDC.00021 foram executadas na máquina virtual 1, que disponibiliza cinco browsers diferentes, enquanto que as restantes simulações, SDC.00022 e SDC.00023, foram efectuadas na máquina virtual 2 que oferece apenas dois browsers distintos. São estas configurações que condicionaram o comportamento da técnica de associação de visitas por assinatura. Esta técnica identificou sete configurações distintas, uma para cada browser em cada máquina. É muito importante notar que browsers idênticos, como foi o caso do Firefox 3.5.5, instalados em máquinas com configurações diferentes originam assinaturas distintas devido aos testes que capturam informações específicas do sistema.
Uma forma interessante de entender estes resultados é considerar que na verdade a técnica de associação por assinatura foi além dos esforços para simular diferentes utilizadores com este perfil. Para se simular utilizadores distintos seria necessário configurar máquinas independentes, com browsers independentes, para cada utilizador. As simulações, tal como foram feitas e como um todo, representam sete utilizadores diferentes que partilham dois sistemas distintos com vários browsers instalados. São estes dois sistemas, que englobam no total sete browsers, que a técnica de assinatura identifica.
Resta ainda explicar o comportamento da técnica de combinação de similaridades. No primeiro gráfico apresentado, Figura 7.10, são apresentadas vinte e nove listas distintas para os sete utilizadores simulados. Torna-se necessário perceber como surge este valor. Como já foi indicado anteriormente, as listas associadas através da assinatura diferem das listas construídas pelas técnicas baseadas nos endereços IP e Flash cookies. Para combinar estas diferentes listas o User Tracking DPP procura os elementos comuns. A multiplicação de listas deve-se ao facto de que nas listas de assinatura são associadas visitas que têm valores diferentes de endereço IP e Flash cookie. Ao combinar as listas de assinatura com as restantes são cobertas todas as possibilidades, sendo que a cada lista de assinatura é associada cada uma das listas de semelhança por IP e Flash cookie que contenha elementos em comum com ela. Para tornar este comportamento mais perceptível foram incluídos os gráficos que mostram as sessões reconstruídas para as simulações dos utilizadores deste perfil separados pela máquina virtual utilizada: a Figura 7.12 mostra o resultado do processamento das simulações executadas na máquina com Windows XP e a Figura 7.13 o resultado das simulações efectuadas na máquina configurada com sistema operativo Ubuntu.
Figura 7.12 - Simulações de utilizadores Segurança (2) com sistema operativo Windows (SDC.00017-00021): Sessões reconstruídas
77
Figura 7.13 - Simulações de utilizadores Segurança (2) com sistema operativo Ubuntu (SDC.00022-00023): Sessões reconstruídas
No primeiro caso temos cinco listas geradas pelas técnicas de semelhança de endereço IP e Flash cookies que diferem das cinco listas construídas a partir das assinaturas, o que origina um total de vinte e cinco listas (5 x 5 = 25). No segundo caso temos apenas duas listas associadas por endereço IP e Flash cookies que diferem da mesma forma das duas listas associadas por assinatura. O total de listas combinadas é neste caso quatro (2 x 2 = 4). Uma vez que o caso da junção de todas as simulações para este perfil se sabe que as assinaturas diferem entre todos os browsers e de máquina para máquina pode-se concluir que as vinte e nove listas geradas devem-se à combinação das listas de uma máquina somada à combinação das listas da outra máquina (5 x 5 + 2 x 2 = 29).
A análise deste perfil vem revelar que a arquitectura proposta para executar as simulações não é suficiente para distinguir utilizadores quando em várias simulações são executados os mesmos browsers nas mesmas máquinas. O método de comparação de assinatura identifica as semelhanças entre estas simulações e agrupa-as. Para superar este problema seria necessário instalar máquinas e browsers distintos para cada um dos utilizadores que se pretendem simular. No entanto, este facto pesa a favor do sistema desenvolvido que possibilita a identificação e distinção de diferentes sistemas e de vários browsers neles instalados.
30B7.3.4 – Simulação de todos os utilizadores com perfil Segurança (3)
Como é visível na Figura 7.14 a simulação do perfil Segurança (3) pouco difere da simulação do perfil anterior, Segurança (2), analisado extensivamente na secção precedente. A única diferença digna de nota é a ausência de resultados provenientes da aplicação da técnica de comparação de visitas através de Flash cookies que se deve ao facto de estes serem removidos entre cada visita neste perfil, originando assim valores únicos para cada visita.
78 Testes e Resultados
Figura 7.14 - Simulações de utilizadores Segurança (3) (SDC.00024-00030): Sessões reconstruídas
Como no perfil anterior, as listas fornecidas pela técnica de associação através de endereços IP coincide exactamente com os logs registados na simulação dos utilizadores e diferem das listas construídas pela técnica de comparação de assinaturas. Os motivos que despoletam este comportamento, a sua relação com a forma como as simulações foram executadas e com o facto de estas simulações utilizarem browsers escolhidos aleatoriamente, foram já expostos e analisados anteriormente e, desta forma, não serão aqui repetidos. As conclusões que podem ser retiradas desta simulação são semelhantes às da simulação do perfil Segurança (2) acrescentando apenas o facto de que mesmo que os utilizadores rejeitem ou apaguem todos os cookies e Flash cookies entre cada visita à página auditada o sistema consegue ainda identificar e agrupar as suas visitas.
31B7.3.5 – Simulação de todos os utilizadores com perfil Malicioso (1)
Os perfis Maliciosos introduzem a alteração do endereço IP entre cada visita ao website auditado como forma de simular utilizadores que utilizam proxies para esconder o seu endereço. O perfil Malicioso (1) caracteriza-se pela alteração de todos os valores identificadores usados habitualmente para tracking de utilizadores Web: endereço IP, cookies e Flash cookies. No entanto, neste perfil cada utilizador utiliza um único browser. A única técnica utilizada para tentar determinar os diversos utilizadores e as suas visitas é a baseada na assinatura. Desta forma, as listas obtidas por semelhança combinada são exactamente as mesmas que as construídas através do emprego da técnica de associação baseada na assinatura.
79
Figura 7.15 - Simulações de utilizadores Malicioso (1) (SDC.00031-00037): Sessões reconstruídas
Os sete utilizadores simulados foram identificados como se pode perceber pela Figura 7.15 e, na Figura 7.16 é possível observar que as listas construídas através da semelhança de assinaturas coincide perfeitamente com as listas registadas na simulação de cada um dos utilizadores.
Figura 7.16 - Simulações de utilizadores Malicioso (1) (SDC.00031-00037): Resultados de
User Tracking para Combined Similarity
Os resultados obtidos para este perfil são muito satisfatórios uma vez que demonstram que a técnica de associação de visitas por semelhança de assinaturas consegue agrupar com sucesso os utilizadores simulados mesmo quando estes alteram o seu endereço IP e apagam ou rejeitam cookies e Flash cookies.
80 Testes e Resultados
32B7.3.6 – Simulação de todos os utilizadores com perfil Malicioso (2)
O perfil Malicioso (2) acrescenta ao facto de o endereço IP ser alterado entre cada visita ao website auditado a escolha aleatório do browser que utilizado para cada visita. Além disto cada utilizador mantém os seus Flash cookies inalterados.
Figura 7.17 - Simulações de utilizadores Malicioso (2) (SDC.00038-00044): Sessões reconstruídas
Esta configuração, e os resultados consequentes, assemelham-se muito com os que já foram mencionados anteriormente para os perfis Segurança (2) e (3). Como se pode notar na Figura 7.17 o comportamento do sistema é muito semelhante ao observado e descrito para os outros casos mencionados: as listas obtidas através dos Flash cookies são idênticas às que constam nos logs das simulações, ver Figura 7.18, e diferem das construídas por assinatura.
Figura 7.18 - Simulações de utilizadores Malicioso (2) (SDC.00038-00044): Resultados de
81
Tabela 7.6 - Simulações de utilizadores Malicioso (2) (SDC.00038-00044): Sessões reconstruídas por assinatura
82 Testes e Resultados
Para uma melhor percepção das listas obtidas através da técnica de semelhança de assinatura foi incluída a Tabela 7.6. As observações que se devem notar aqui são as mesmas que já foram apontadas na secção 7.3.3 – Simulação de todos os utilizadores com perfil Segurança (2). Estas associações, como já foi mencionado, devem-se ao facto de embora se simulem diferentes utilizadores alterando para isso os Flash cookies entre simulações os browsers e sistemas operativos são repetidos em várias simulações o que origina uma associação conseguida através das assinaturas. Isto revela que esta técnica consegue superar as simulações efectuadas no sentido em que estabelece relações que de facto existem mas que mais nenhuma técnica é capaz de identificar.
33B7.3.7 – Simulação do perfil Malicioso (3)
O último perfil a ser definido procura levar ao extremo a capacidade de um utilizador evitar e se proteger de métodos e técnicas que o possam identificar. Todos os valores identificadores são alterados entre visitas à página Web auditada e, através de um proxy, os campos que contêm os dados da assinatura são descodificados, alterados de forma a falsificar os valores dos testes e novamente codificados. Este processo implica um profundo conhecimento da arquitectura implementada.
Não existem gráficos para apresentar para este perfil pois nenhuma técnica conseguiu encontrar semelhanças entre as visitas. Como era esperado, cada visita produziu uma assinatura diferente e, desta forma, foi considerada pelo sistema como proveniente de um utilizador diferente.
Para que um utilizador pudesse de facto falsificar a sua assinatura, como é simulado neste perfil, seria necessário que ele conhecesse detalhadamente a arquitectura do sistema de user tracking implementado e conseguisse contornar todas as suas protecções: testes de integridade, protecção dos dados, palavras-chave, ofuscação do código, etc.