Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Device identifiers, fingerprinting, and privacy
Search
Dorothea Salo
April 08, 2021
Technology
0
83
Device identifiers, fingerprinting, and privacy
For LIS 510 "Information Security and Privacy"
Dorothea Salo
April 08, 2021
Tweet
Share
More Decks by Dorothea Salo
See All by Dorothea Salo
What’s machine learning (ML)? Or artificial intelligence (AI)? Or a Large Language Model (LLM)?
dsalo
0
490
LIS 510 "Human Factors in Information Security" course introduction
dsalo
0
140
She can't say that, can she? (with notes)
dsalo
0
480
Is your software teachable? (with notes)
dsalo
0
64
Infosec training / On phishing tests and deception
dsalo
1
490
Organizational behavior [in information security]
dsalo
0
56
Print design in the web age: a starter toolkit
dsalo
0
110
Single sign-on, the library, and patron privacy
dsalo
0
640
The Tightwad's Guide to Open Access
dsalo
0
340
Other Decks in Technology
See All in Technology
「単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる」のか検証してみた
terara
0
380
ACRiルーム最新情報とAMD GPUサーバーのご紹介
anjn
0
150
Amazon FSx for NetApp ONTAPのパフォーマンスチューニング要素をまとめてみた #cm_odyssey #devio2024
non97
0
220
RAGのサービスをリリースして1年3ヶ月が経ちました
segavvy
4
910
コミュニティサービスに「あなたへ」フィードを リリースするまでの試行錯誤
takapy
1
150
[NIKKEI Tech Talk] KDDI/KAG Scrum & Community for Engineering Training
curanosuke
2
220
AWSでRAGを作る法方
sonoda_mj
1
140
エンジニアリングマネージャーはどう学んでいくのか #devsumi / How Do Engineering Managers Continue to Learn and Grow?
expajp
4
1.3k
目標設定は好きですか? アジャイルとともに目標と向き合い続ける方法 / Do you like target Management?
kakehashi
10
3k
How to Think Like a Performance Engineer
csswizardry
4
590
たくさん本を読んだけど 1年後には綺麗サッパリ!を乗り越えて 学習の鬼になるぞ👹
yum3
0
160
大規模ドラレコデータ収集・機械学習基盤を支える AWS CDK 〜導入・運用事例紹介〜
pemugi
0
110
Featured
See All Featured
Agile that works and the tools we love
rasmusluckow
325
20k
Building an army of robots
kneath
301
42k
How STYLIGHT went responsive
nonsquared
93
5k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
13
430
Optimizing for Happiness
mojombo
373
69k
No one is an island. Learnings from fostering a developers community.
thoeni
17
2.8k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
228
16k
Large-scale JavaScript Application Architecture
addyosmani
506
110k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
26
2.1k
Music & Morning Musume
bryan
43
5.9k
KATA
mclloyd
20
13k
Product Roadmaps are Hard
iamctodd
PRO
48
10k
Transcript
Device identifiers, fingerprinting, and privacy LIS 510
Something we heard a lot in Data Doubles ✦ “I’m)okay)with)data)collection/analysis)AS)LONG)
AS)I’M)ANONYMOUS!”) ✦ This)betrays)a)fundamental)misunderstanding)of) how)anonymous)we)can)even)be)today.) ✦ It)makes)me)want)to)scream,)cry,)and)throw)things)at)walls.)) ✦ (I)don’t.)Especially)not)during)a)research)interview)or)focus)group!)) ✦ tl;dr:)WE)BASICALLY)CAN’T.)So)if)you’re) depending)on)anonymity)to)make)a)data)practice) okay,)that)practice)is)NOT)OKAY.)Okay?) ✦ Let)me)break)this)down)a)bit.
[Direct] Identifiers ✦ They’re)what)they)sound)like.)They)identify) someone)or)something,)pick)them)out)of)a)crowd.) ✦ Any)string)of)characters)that)only)you)use)—)such)as)an)email) address)—)can)be)used)as)an)identifier)for)you.) ✦ You)and)I)have)lots)of)them.)We)all)do.)
✦ ID)numbers)(various)forms)of)ID!),)usernames/handles,)account) numbers,)email)addresses,)biometric)identifiers…) ✦ Your)name)is)the)LEAST)of)it…)and)for)many)it’s)a)lousy)identifier) anyway.)(My)name)happens)to)be)unique.)Yours)may)or)may)not)be!)) ✦ So)does)the)stuff)we)own.) ✦ Phone)numbers/SIM)cards,)serial)numbers,)on-device)identifiers)(any) digital)gadget;)mobile)gadgets)have)tons)of)these,)including)ones) meant)specifically)for)surveillance)adtech)and)isn’t)that)gross)…
If they collect an identifier from or for your device,
you’re NOT anonymous to them.
Who does this? Well, for example: ✦ Your)mobile)service)provider)(the)famous) “metadata”).)Any)cell)tower)you)pass)by.) ✦
Any)wifi)you)log)on)to)(including)ours).)) ✦ Any)wifi)access)point)anywhere)CAN)collect)a)device)identifier)even)if) you)don’t)connect)with)it,)as)long)as)you)have)wifi)enabled!)) ✦ The)wifi)connection)protocol)was)not)designed)with)privacy)in)mind.) ✦ Any)website/app)you)log)into,)obviously…) ✦ …)and)any)other)website)containing)a)web)bug)from)the)website/app) you’re)logged)into.)That’s)why)using)FaceGoogAzon)to)log)into)other) websites)is)a)privacy)killer)(not)that)NOT)logging)in)prevents)this;)get) a)browser)tracker)blocker!).) ✦ To)some)extent)single-sign-on)(as)with)UW-Madison)netID/password/ Duo))can)help)with)this,)if)(and)only)if))well-implemented.
A)“device)MAC)address”) is)a)device)identifier.) This)isn’t)private)at)all!) Photo)courtesy)Dan)Tracy.
“But we’d never match the device identifier to you!” ✦
Horsepuckey.)Happens)all)the)time.) ✦ Think)about)that)library.)Somebody)commits)a)crime)there?)Or)there’s)a) flash)mob)(which)is)NOT)A)CRIME)?)You)better)BELIEVE)campus)police) will)grab)up)those)device)identifiers)like)candy.) ✦ (The)library)shouldn’t)hand)them)over…)but)librarians)have)forgotten)our) ethical)responsibilities)in)these)degenerate)days.)) ✦ Even)if)the)data)collectors)themselves)don’t)do)the) matching,)someone)else)will,)when)the)data)gets) shared,)sold,)or)just)combined)with)other)data.) ✦ Remember)that)thing)I)told)you)about)where)collected)data)commonly) gets)used)by)people/orgs)the)data)collectors)didn’t)envision,)for)purposes) the)data)collectors)didn’t)envision?) ✦ This)is)exactly)that)thing.)Exactly.) ✦ Don’t)fall)for)this,)please.
But that’s not all!
Indirect identifiers ✦ INDIRECT)IDENTIFIER:)a)characteristic)or) combination)of)characteristics)that)make)you)or) something)you)use)(which)basically)means)you,) again))individually)identifiable.) ✦ Works)on)people.)Works)on)devices!) ✦
OUTLIER:)A)datapoint)that’s)so)far)outside)the)rest) as)to)be)unique)in)the)dataset.)Ka-bam,)identified!) ✦ College)and)Research)Libraries)published)research)about) undergraduates)in)which)one)person)in)the)dataset)was)83)years)old.) This)was)editorial)malpractice)and)the)article)should)be)retracted!) Identifying)individuals)in)research)(unless)they)have)agreed)to)it))is) JUST)PLAIN)UNETHICAL)RESEARCH)CONDUCT.) ✦ Exclude)outliers)or)report)bigger)data)slices,)researchers)and)editors.
How hard is it to reidentify someone indirectly? ✦ Super-duper-easy,)it)turns)out!)
✦ Famous)research)by)Harvard’s)Dr.)Latanya) Sweeney:)birth)date,)gender)(binary)assumed),) zip)code)is)enough)for)almost)9)in)10)Americans.) ✦ Walking)“birth)date”)back)to)“birth)year”)still)identifies)three)in)four.) ✦ Higher-education)context:)Think)about)gender,) major(s),)and)exact)GPA.)I)don’t)know)for)sure,) but)I)bet)that’d)identify)a)WHOLE)LOT)of)you.) ✦ Almost)all)“learning)analytics”)datasets)contain)these)datapoints…)and) lots,)lots)more.) ✦ If)you’re)okay)with)learning)analytics)because)you)think)you’re) anonymous,)STOP)BEING)OKAY,)BECAUSE)YOU’RE)NOT.
Big Data makes this worse. ✦ The)more)sources)of)data)there)are)to)match)against,) and)the)richer)they)are,)the)easier)it)is)to)use)some) incomplete)data)to)identify)somebody)or)something.) ✦
And)the)instant)the)incomplete)data)gets)matched)with)a)dataset)that) actually)has)direct)identifiers)for)people)or)their)devices…)that) “anonymized”)dataset)you’re)in)suddenly)isn’t)anonymous)any)more.) ✦ Doing)this)is)called)REIDENTIFICATION.) ✦ Thanks,)data)brokers!)Thanks,)social)media!)Thanks,) adtech!)Thanks,)facial)recognition!)Thanks,) biometrics!)Thanks,)learning)analytics!)Thanks,)CRM!) Thanks,)data)warehouses!)Thanks,)surveillance!) ✦ Now)none)of)us)can)be)anonymous)pretty)much)ever!) Not)even)when)we’re)safer)that)way!
An equity issue ✦ Because)of)the)outlier)effect,)if)you’re)unusual)in) your)context,)you’re)easier)to)indirectly)identify.) ✦ At)UW-Madison,)if)you’re)not)white)(the)student) body)was)~65%)white)in)2021),)this)means)you.)) ✦
You)have)every)reason)to)want)us)to)be)careful)with)data)about)you.) ✦ Source:)https://registrar.wisc.edu/enrollment-reports/) ✦ Trans,)non-binary,)GNC)folks:)think)HARD)about) whether)you)want)this)recorded)about)you)as) data.)For)now,)you’re)strong)outliers.) ✦ Data)collection/analysis/selling/sharing)means) more)risk)for)people)of)color)in)the)US.
Fingerprinting ✦ FINGERPRINTING:)combining)indirect)identifiers)of) a)device)or)a)piece)of)software)into)a)unique) identifier)for)that)device/software) ✦ e.g.)device)model,)operating)system)and)version,)configuration) options,)installed)fonts,)installed)software/apps)and)versions,)screen) resolution,)installed)plug-ins,)(devices))temperature)and)battery)level,) (browsers))links)you’ve)already)clicked,)(social)media))your)friends)
and)family) ✦ Check)out)panopticlick.eff.org)to)(safely))fingerprint)your)browser.) ✦ Again:)if)they)identify)your)device)or)software,) they’ve)identified)you.) ✦ A)fair)few)leaks/breaches)leak)device)identifiers)or)fingerprints.) Consider)these)as)serious)as)any)PII)leak/breach.)They)are!
Yeah, yeah, what’s the threat model, Salo? ✦ Excellent)question!)Glad)you)asked)it.) ✦
A)lot)of)discussions)about)privacy)get)lost)in)the)weeds)because)nobody)lays) out)a)realistic)threat)model)(much)less)a)real)threat).) ✦ I)gave)you)the)law-enforcement)one.) ✦ And)believe)you)me,)that’s)not)a)movie-plot)threat.)It’s)happened!)Including)to) lots)of)folks)who)committed)no)actual)crime,)but)annoyed)people)in)power!) ✦ But)let’s)think)about)a)person/org)who)has)a)specific) interest)in)finding)out)stuff)about)you,)to)make)a) decision)about)you.) ✦ Such)as)a)grad)school)you’re)applying)to.)Or)a)prospective)employer.)Or)an) insurer)(health,)car,)life,)home/renter))deciding)whether)to)insure)you)and)how) much)to)charge.)Or)a)loan)officer)for)your)car)loan)or)mortgage.) ✦ They)have)some)info)on)you.)They)want)more.) ✦ Of)course)they’ll)take)the)info)they)have)and)ask)for)matches)in)as)many) “anonymized”)datasets)as)they)can.)Will)they)find)you?)Yeah.
Our good buddy Facebook ✦ Tried)to)patent)a)method)by)which)they)would) evaluate)your)insurability/creditworthiness)by) looking)at)your)friendslist)(“social)graph”)) ✦ Far)from)the)only)judgement)tool)they’ve)tried)to)
build)or)patent!) ✦ I)can’t)say)this)loudly)enough:)THIS)IS)NOT)A) MOVIE-PLOT)THREAT.) ✦ Real)organizations)are)making)substantive,)life- altering)decisions)about)you)based)on)this)stuff.
College/university admissions: Home of Shady Surveillance Stuff ✦ I)just.)This)is)so)wrong.)But)okay,)here)we)go.) Admissions)offices)look)at:)
✦ your)social)media)and)friend)graph) ✦ how)long)you)spend)on)the)website)(red)flag:)digital)divides!)) ✦ whatever)data)they)get)from)web)bugs)on)the)website)(and)yes,)the)web- bugging)companies)reidentify)you)) ✦ whatever)data)they)decide)to)buy)from)data)brokers)and)match)up) ✦ It)may)not)determine)whether)you)get)in…)but)it’s)a) big)determiner)of)how)much)money)you’re)offered.) ✦ I)can)say)for)iSchool)master’s)programs)that)we)do) not)do)this)stuff.) ✦ We)look)at)your)actual)application)package!)And)that’s)all!) ✦ And)the)decision)to)admit)(or)not))is)ours)and)ours)alone.
One more time: If you’re comfortable with something only because
“I’m anonymous,” don’t be. Because as soon as someone wants you not to be, you’re not.
Questions? Ask them! This lecture is copyright 2021 by Dorothea
Salo. It is available under a Creative Commons Attribution 4.0 International license.