Det er en dårlig tid at være Verizon-kunde. Telekommunikation titan er blevet sprængt injiceret 'perma-cookies' i deres kundes netværkstrafik. Dette privatlivs-uvenlige træk kunne se, at Verizon-abonnenternes browseraktivitet nøjagtigt spores på tværs af internettet af tredjeparter. Og der er lidt de kan gøre ved det.
Angrebet virker ved at ændre HTTP-trafik for at inkludere et element, der unikt identificerer en bruger. Dette sendes derefter til hvert ukrypteret websted, der er besøgt via deres mobile dataforbindelse.
Brugere har ikke mulighed for at slukke for disse perma-cookies. Desuden forhindrer det heller ikke, at brugeren spores, heller ikke ved at slette browserens cookies eller surfe i en privat browsing-tilstand.
I et blog-indlæg rejste Electronic Frontier Foundation (EFF) betydelige bekymringer over disse perma-cookies og beskriver dem som "chokerende usikker", "farlig for privatlivets fred" og opfordrede til, at Verizon straks ophørte med at tilføje sporingsmetadata til deres brugers netværkstrafik.
I forbindelse med MakeUseOf sagde EFF's bestyrelsesmedlem, Michael Geist, at "Nylige rapporter om internetudbydere, der fjerner e-mail-kryptering eller søger at spore deres brugere, forbedrer privatlivets bekymringer i forbindelse med onlineaktivitet. I mangel af strenge lovgivninger om beskyttelse af personlige oplysninger skal brugerne ofte træffe foranstaltninger i egne hænder ved aktivt at bruge privatlivsforbedrende teknologier. "
Du kan finde ud af om du er i fare ved at besøge lessonslearned.org/sniff eller amibeingtracked.com. Men hvordan virker Verins trackingteknologi, og er der på nogen anden måde din internetudbyder forstyrrende din trafik, der kan mindske dit privatliv?
Hvordan virker Verizon's Perma-Cookies
Hypertext Transfer Protocol er hjørnestenen på internettet. En komponent i denne protokol er 'HTTP Headers'. Dette er hovedsageligt metadata, der sendes, når din computer sender en anmodning eller et svar til en fjernserver.
I sin enkleste form indeholder dette oplysninger om det ønskede sted og når anmodningen blev fremsat. Den indeholder også oplysninger om brugeren, herunder User Agent-strengen, som identificerer brugerens browser og operativsystem til hjemmesiden.
HTTP-overskrifter kan dog også indeholde andre, ikke-standardiserede oplysninger.
Dette er ikke altid sådan en dårlig ting. Nogle overskriftsfelter bruges til at beskytte mod XSS-angreb (cross-site scripting) Hvad er cross-site scripting (XSS), og hvorfor det er en sikkerhedstrussel Hvad er cross-site scripting (XSS), og hvorfor det er en sikkerhedstrussel på tværs af webstedet scripting sårbarheder er det største website sikkerhedsproblem i dag. Undersøgelser har fundet, at de er sjovt almindelige - 55% af hjemmesiderne indeholdt XSS sårbarheder i 2011, ifølge White Hat Securitys seneste rapport, udgivet i juni ... Læs mere, mens Firefox kommer med et brugerdefineret felt, der kræver, at en webapplikation deaktiverer deres sporing af brugeren. Disse er rimelige, og forbedrer brugerens sikkerhed og privatliv. Men i Verins tilfælde anvendte de et felt (kaldet X-UIDH), der indeholdt en værdi, der var unik for abonnenten, og blev uden forskel sendt til besøgte websteder.
Det er vigtigt at understrege, at disse Verizon's perma-cookies ikke er tilføjet på den enhed, der bruges til at surfe på internettet. Hvis de var, ville det være et enklere spørgsmål at afhjælpe det. I stedet blev ændringerne foretaget på netværkslaget fra Verizon's infrastruktur. Dette gør det muligt at beskytte det mod en alvorlig udfordring.
Det er ikke bare Verizon
Det er ikke kun Verizon, der er blevet fanget forstyrrer deres kundes trafik. En rapport, der blev offentliggjort for nylig, foreslog, at visse amerikanske internetudbydere aktivt interfererede med emailkryptering af deres brugere.
Ifølge beskyldningerne (som blev lavet for Federal Communications Commission) aflyser disse (unavngivne) internetudbydere e-mail-trafik og fjerner et afgørende sikkerhedsflag, der bruges til at etablere en krypteret forbindelse mellem klient og server.
Det er værd at bemærke, at dette ikke kun er et amerikansk problem. Lignende påstande er også blevet opkrævet hos de to af de største internetudbydere i Thailand, der siges at opfange forbindelser mellem Gmail og Yahoo Mail.
Når en e-mail-klient 5 af de bedste desktop e-mail-klienter, der ikke koster en dime 5 af de bedste desktop e-mail-klienter, der ikke koster en dollar, har du brug for en desktop e-mail-klient til at håndtere din indgående mail? Vi viser dig de bedste desktop email-klienter, du kan få gratis. Læs mere forsøger at hente e-mail fra en mail-server, den opretter forbindelse på port 25 og sender et STARTTLS-flag. Dette fortæller serveren at oprette en krypteret forbindelse. Når dette er blevet etableret, sender klienten autentificeringsoplysninger til serveren, som derefter reagerer ved at sende mail til klienten.
Så hvad sker der, når STARTTLS-flagget fjernes? Nå, i stedet for at nægte forbindelsen, fortsætter serveren som normalt, men uden kryptering. Som du kan forestille dig, er dette et stort sikkerhedsproblem, da det betyder, at både meddelelser og godkendelsesoplysninger transmitteres i almindelig tekst og derfor kan opsnappes af alle, der sidder på netværket med en pakkesniffer.
Det er dybt foruroligende at se, hvordan cavalier visse internetudbydere er, når det kommer til deres brugeres sikkerhed og privatliv. Med det i tankerne er det værd at spørge, hvordan man beskytter dig mod internetudbydere, der forstyrrer din e-mail og webtrafik.
For at være sikker, brug en VPN
Der er et let middel til begge disse sikkerhedstrusler.
Brug bare en VPN. Et virtuelt privat netværk skaber en sikker forbindelse mellem en fjernserver, som hele netværkstrafikken passerer igennem. Vær den e-mail, web eller på anden måde.
Kort sagt, det ville indkapslere al information i en krypteret tunnel. Enhver formidler vil ikke kunne fortælle, hvad der bliver transmitteret, eller hvilken form for netværkstrafik det er. Derfor bliver det umuligt for Verizon at identificere HTTP-overskrifterne og tilføje deres brugerdefinerede felter.
På samme måde bliver det også umuligt at identificere, hvornår computeren forbinder til en e-mail-server, hvilket forhindrer en internetudbyder fra at strippe det STARTTLS-flag, der kræves for at oprette en krypteret emailforbindelse.
Der er mange muligheder at vælge imellem, men vi er meget glad for SurfEasy på MakeUseOf.
SurfEasy er et Canada-baseret VPN-firma med endepunkter over hele verden. De giver dig mulighed for at være anonym, og at være beskyttet mod enhver snooping på din netværkstrafik. En gratis konto tillader 500 megabyte trafik på op til fem enheder, og du kan tjene ekstra data ved at invitere venner, forbinde med en anden enhed eller bare ved at bruge produktet. Et års abonnement på deres præmie Total VPN-plan fjerner trafikbegrænsningen og koster $ 49, 99 (de accepterer større kreditkort, PayPal samt Bitcoin).
Vi har ti 1-årige SurfEasy Total VPN-planer til at give væk, plus en BlackBerry Z10.
Hvordan vinder jeg en 1-årig SurfEasy Total VPN-plan?
SurfEasy + BlackBerry Z10
Vinderen vælges tilfældigt og informeres via email. Se listen over vindere her.
En særlig behandling!
Fra nu til 2. december tilbyder SurfEasy sin premium Total VPN-plan med en svimlende 50% rabat. Brug kun koden MAKEUSE50 ved kassen til at skære priserne i halvdelen.
![To måder Din internetudbyder spionerer på dig og hvordan man kan være sikker [10 x SurfEasy Total VPN + BlackBerry Z10 Giveaway] BlackFriday](http://www.tipsandtrics.com/img/internet/143/two-ways-your-isp-is-spying-you-4.jpg)
Foto Credits: Google mail hjemmeside, Verizon hjemmeside, Internet cookies, Email menu