Två sätt Din Internetleverantör spionerar på dig och hur du är säker [10 x SurfEasy Totalt VPN + BlackBerry Z10 Giveaway]

Det är en dålig tid att vara Verizon-kund.

Det är en dålig tid att vara Verizon-kund.
Annons

Det är en dålig tid att vara Verizon-kund. Telekommunikation titan har fångats in injicering "perma-cookies" i deras kunds nätverkstrafik. Denna sekretess-ovänliga flyttning kunde se att Verizon-abonnenternas surfaktivitet spårats korrekt över Internet av tredje part. Och det finns lite de kan göra åt det.

Attacken fungerar genom att modifiera HTTP-trafik till ett element som unikt identifierar en användare. Detta överförs sedan till varje okrypterad webbplats som besöks via deras mobila dataanslutning.

Användare har inte möjlighet att stänga av dessa permakakor. Dessutom hindrar inte heller webbläsarens cookies eller surfning i ett privat bläddringsläge att användaren spåras.

I ett blogginlägg väckte Electronic Frontier Foundation (EFF) betydande farhågor om dessa permakakor, som beskriver dem som "chockerande osäkra", "farliga för integritet" och uppmanar Verizon att omedelbart upphöra med att lägga till spårningsmetad till deras användares nätverkstrafik.

isp-verizon

Med tanke på MakeUseOf sa EFF: s styrelseledamot Michael Geist: "Nya rapporter från Internetleverantörer som tar bort kryptering av e-post eller försöker spåra sina användare ökar de personuppgifter som berörs av online-aktivitet. I avsaknad av strikt sekretesslagar måste användarna ofta vidta åtgärder i sina egna händer genom att aktivt använda sekretesshöjande teknik. "

Du kan ta reda på om du är i fara genom att besöka lessonslearned.org/sniff eller amibeingtracked.com. Men hur fungerar Verins spårningsteknik, och finns det på något annat sätt din Internetleverantör stör din trafik som kan minska din integritet?

Hur Verins Perma-Cookies fungerar

Hypertext Transfer Protocol är hörnstenen på Internet. En del av detta protokoll är "HTTP Headers". Detta är i huvudsak metadata som skickas när din dator skickar en begäran eller ett svar på en fjärrserver.

I sin enklaste form innehåller detta information om webbplatsen som begärts och när begäran gjordes. Den innehåller också information om användaren, inklusive användaragentsträngen, som identifierar användarens webbläsare och operativsystem på webbplatsen.

isp-cookies

HTTP-rubriker kan emellertid också innehålla annan, icke-standardiserad information.

Det här är inte alltid så dåligt. Några rubrikfält används för att skydda mot XSS-attacker (Cross Site Scripting). Vad är Cross-Site Scripting (XSS), och varför det är en säkerhetsrisk? Vad är Cross-Site Scripting (XSS), och varför det är en säkerhetsrisk på Internet? Skriptsårbarhet är det största säkerhetsproblemet i dag idag. Studier har funnit att de är chockerande vanliga - 55 procent av webbplatserna innehöll XSS sårbarheter under 2011, enligt White Hat Securitys senaste rapport, släpptes i juni ... Läs mer, medan Firefox levereras med ett anpassat fält som begär att en webbapplikation stänger av deras spårning av användaren. Dessa är rimliga och förbättrar användarens säkerhet och integritet. Men i Verins fall använde de ett fält (kallat X-UIDH) som innehöll ett värde som var unikt för abonnenten, och skickades oavsiktligt till alla besökta webbplatser.

Det är viktigt att betona att dessa Verizons perma-cookies inte läggs till på enheten som används för att surfa på Internet. Om de var, skulle det bli enklare att rätta till det. Snarare gjordes ändringarna på nätverksskiktet inom Verizons infrastruktur. Detta skyddar mot det en allvarlig utmaning.

Det är inte bara Verizon

Det är inte bara Verizon som har blivit fångad och stör deras kunds trafik. En rapport som publicerades nyligen föreslog vissa amerikanska Internetleverantörer störde e-postkryptering av sina användare aktivt.

Enligt anklagelserna (som gjordes före Federal Communications Commission) avlyssnar dessa (icke-namngivna) Internetleverantörer e-posttrafik och tar bort en viktig säkerhetsflagg som används för att upprätta en krypterad anslutning mellan klient och server.

Det är värt att notera att detta inte bara är en amerikansk fråga. Liknande påståenden har också blivit upptagna hos de två av de största Internetleverantörerna i Thailand, som sägs vara avlyssningsförbindelser mellan Gmail och Yahoo Mail.

isp-gmail

När en e-postklient 5 av de bästa skrivbordsklientklienterna som inte kostar en dime 5 av de bästa skrivbordsklientklienterna som inte kostar en dime Du behöver en stationär e-postklient för att hantera ditt inkommande mail? Vi visar dig de bästa skrivbordet e-postklienterna du kan få gratis. Läs mer försöker hämta e-post från en e-postserver, det gör en anslutning på port 25 och skickar en STARTTLS-flagga. Detta berättar servern att skapa en krypterad anslutning. När detta har upprättats skickar klienten autentiseringsuppgifter till servern, som då svarar genom att skicka mail till klienten.

Så, vad händer när STARTTLS-flaggan tas bort? Tja, snarare än att neka anslutningen, fortsätter servern som vanligt men utan kryptering. Som du kan tänka dig är detta ett stort säkerhetsproblem, eftersom det betyder att både meddelanden och autentiseringsinformation överförs i vanlig text och kan därför avlyssas av någon som sitter i nätverket med en paketsniffer.

Det är djupt oroande att se hur cavalier vissa Internetleverantörer är när det gäller användarnas säkerhet och integritet. Med det i åtanke är det värt att fråga hur man skyddar sig mot Internetleverantörer som stör din e-post och webbtrafik.

För att vara säker, använd en VPN

Det finns en lätt lösning på båda dessa säkerhetshot.

Använd bara en VPN. Ett virtuellt privat nätverk skapar en säker anslutning mellan en fjärrserver, vilken all nätverkstrafik passerar igenom. Var den e-posten, webben eller på annat sätt.

Kort sagt skulle det inkapsla all information i en krypterad tunnel. Alla mellanhänder skulle inte kunna berätta vad som överförs, eller vilken typ av nätverkstrafik det är. Därför blir det omöjligt för Verizon att identifiera HTTP-rubrikerna och lägga till egna fält.

På samma sätt blir det också omöjligt att identifiera när datorn är ansluten till en e-postserver, vilket förhindrar en ISP från att ta bort den STARTTLS-flagg som krävs för att skapa en krypterad e-postanslutning.

Det finns många alternativ att välja mellan, men vi är ganska förtjust i SurfEasy på MakeUseOf.

SurfEasy är ett Kanada-baserat VPN-företag med slutpunkter över hela världen. De tillåter dig att vara anonym, och att vara skyddad mot alla som snooping på din nätverkstrafik. Ett gratis konto tillåter 500 megabyte trafik på upp till fem enheter, och du kan tjäna extra data genom att bjuda in vänner, ansluta till en andra enhet eller bara använda produkten. Ett års prenumeration av deras premie Total VPN-plan tar bort trafikbegränsningen och kostar $ 49, 99 (de accepterar stora kreditkort, PayPal samt Bitcoin).

Vi har tio 1-års SurfEasy Total VPN-planer att ge bort, plus en BlackBerry Z10.

Hur vinner jag en 1-års SurfEasy Total VPN-plan?

SurfEasy + BlackBerry Z10

Vinnaren kommer att väljas slumpmässigt och informeras via e-post. Visa listan över vinnare här.

En speciell behandling!

Från och med nu till 2 december erbjuder SurfEasy sitt komplett Total VPN-plan med en svimlande 50% rabatt. Använd bara koden MAKEUSE50 vid kassan för att sänka priserna i hälften.

Två sätt din Internetleverantör spionerar på dig och hur du är säker [10 x SurfEasy Totalt VPN + BlackBerry Z10 Giveaway] BlackFriday

Fotokrediter: Google-postens hemsida, Verizon-hemsidan, Internetkakor, E-postmeny

In this article