Reklama
To zły czas na bycie klientem Verizon. Tytanem telekomunikacyjnym był przyłapani na wstrzykiwaniu „trwałych plików cookie” w ruch sieciowy klienta. To nieprzyjazne dla prywatności posunięcie może sprawić, że aktywność przeglądania subskrybentów Verizon będzie dokładnie śledzona w Internecie przez osoby trzecie. I niewiele mogą na to poradzić.
Atak polega na modyfikacji ruchu HTTP w celu włączenia elementu, który jednoznacznie identyfikuje użytkownika. Jest on następnie przesyłany do każdej niezaszyfrowanej witryny odwiedzanej za pośrednictwem połączenia danych mobilnych.
Użytkownicy nie mają możliwości wyłączenia tych trwałych plików cookie. Co więcej, ani usunięcie plików cookie przeglądarki, ani surfowanie w trybie prywatnego przeglądania nie uniemożliwi śledzenia użytkownika.
W poście na blogu Electronic Frontier Foundation (EFF) podniesiony znaczące obawy o tych trwałych plikach cookie, określając je jako „szokująco niepewne”, „niebezpieczne dla prywatności” i wzywając Verizon do natychmiastowego zakończenia praktyki dodawania metadanych śledzenia do sieci ich użytkowników ruch drogowy.
W rozmowie z MakeUseOf, członek zarządu EFF, Michael Geist powiedział: „Ostatnie doniesienia o usuwaniu wiadomości e-mail przez dostawców usług internetowych szyfrowanie lub próba śledzenia ich użytkowników, zwiększa obawy związane z prywatnością w Internecie czynność. Wobec braku surowych przepisów dotyczących prywatności użytkownicy często muszą podejmować środki we własnych rękach, aktywnie wykorzystując technologie zwiększające prywatność. ”
Możesz dowiedzieć się, czy jesteś narażony na ryzyko, odwiedzając na stronie memorieslearned.org/sniff [No Longer Available] lub amibeingtracked.com. Ale w jaki sposób działa technologia śledzenia Verizon i czy istnieją inne sposoby, w jakie Twój dostawca usług internetowych zakłóca ruch, który mógłby zmniejszyć twoją prywatność?
Jak działają trwałe pliki cookie Verizon
Protokół przesyłania hipertekstu jest kamieniem węgielnym Internetu. Składnikiem tego protokołu jest „Nagłówki HTTP”. Są to zasadniczo metadane wysyłane za każdym razem, gdy komputer wysyła żądanie lub odpowiedź do zdalnego serwera.
W najprostszej formie zawiera informacje o stronie, której dotyczy wniosek i kiedy prośba została złożona. Zawiera także informacje o użytkowniku, w tym ciąg agenta użytkownika, który identyfikuje przeglądarkę użytkownika i system operacyjny witryny.
Nagłówki HTTP mogą jednak zawierać także inne, niestandardowe informacje.
To nie zawsze jest takie złe. Niektóre pola nagłówka służą do ochrony Ataki typu Cross Site Scripting (XSS) Co to jest skrypty między witrynami (XSS) i dlaczego stanowi zagrożenie dla bezpieczeństwaLuki w skryptach między witrynami stanowią obecnie największy problem bezpieczeństwa witryny. Badania wykazały, że są one szokująco częste - zgodnie z najnowszym raportem White Hat Security opublikowanym w czerwcu w 55% witryn zawierały luki XSS w 2011 r. ... Czytaj więcej , podczas gdy Firefox zawiera niestandardowe pole, które żąda od aplikacji internetowej wyłączenia śledzenia użytkownika. Są to uzasadnione i zwiększają bezpieczeństwo i prywatność użytkownika. Jednak w przypadku Verizon użyli pola (o nazwie X-UIDH), które zawierało wartość unikalną dla subskrybenta, i było bezkrytycznie wysyłane do wszystkich odwiedzanych witryn.
Należy podkreślić, że te permisowe pliki cookie Verizon nie są dodawane na urządzeniu używanym do przeglądania Internetu. Gdyby tak było, naprawienie tego byłoby prostsze. Zmiany wprowadzono raczej w warstwie sieciowej w ramach infrastruktury Verizon. To sprawia, że ochrona przed nim jest poważnym wyzwaniem.
To nie tylko Verizon
Nie tylko Verizon został przyłapany na zakłócaniu ruchu klientów. ZA raport opublikowany niedawno zasugerował, że niektórzy amerykańscy dostawcy usług internetowych aktywnie zakłócają szyfrowanie wiadomości e-mail swoich użytkowników.
Według zarzuty (które zostały wykonane przed Federalna Komisja Łączności), ci (nienazwani) dostawcy usług internetowych przechwytują ruch e-mail i usuwają kluczową flagę bezpieczeństwa używaną do ustanowienia szyfrowanego połączenia między klientem a serwerem.
Warto zauważyć, że nie jest to tylko problem amerykański. Podobne zarzuty zostały również postawione dwóm największym dostawcom usług internetowych w Tajlandii, o których mówi się, że przechwytują połączenia między Gmailem a Yahoo Mail.
Kiedy klient e-mail 5 najlepszych darmowych klientów e-mail na komputer stacjonarnyChcesz najlepszego darmowego klienta e-mail? Zebraliśmy najlepsze oprogramowanie do obsługi poczty e-mail dla systemów Windows, Mac i Linux, które nie kosztuje ani grosza. Czytaj więcej próbuje pobrać wiadomość e-mail z serwera poczty, nawiązuje połączenie na porcie 25 i wysyła flagę STARTTLS. Informuje to serwer o utworzeniu szyfrowanego połączenia. Po ustaleniu klient wysyła dane uwierzytelniające na serwer, który następnie odpowiada, wysyłając pocztę do klienta.
Co się stanie, gdy flaga STARTTLS zostanie usunięta? Cóż, zamiast odmawiać połączenia, serwer działa normalnie, ale bez szyfrowania. Jak możesz sobie wyobrazić, jest to poważny problem bezpieczeństwa, ponieważ oznacza, że zarówno wiadomości, jak i informacje uwierzytelniające są przesyłane zwykłym tekstem i dlatego mogą zostać przechwycone przez każdego, kto siedział w sieci z pakietem wąchać.
Głęboko niepokoi fakt, że niektórzy dostawcy usług internetowych są mniej kawalerscy, jeśli chodzi o bezpieczeństwo i prywatność ich użytkowników. Mając to na uwadze, warto zapytać, jak zabezpieczyć się przed dostawcami usług internetowych, które zakłócają ruch e-mailowy i internetowy.
Istnieje łatwe rozwiązanie dla obu tych zagrożeń bezpieczeństwa.
Po prostu użyj VPN. Wirtualna sieć prywatna tworzy bezpieczne połączenie między zdalnym serwerem, przez który przepływa cały ruch sieciowy. Może to być ten e-mail, internet lub inny.
Krótko mówiąc, zawierałby wszystkie informacje w zaszyfrowanym tunelu. Pośrednicy nie byliby w stanie stwierdzić, co jest przesyłane ani jaki jest ruch sieciowy. Dlatego Verizon nie może zidentyfikować nagłówków HTTP i dodać ich niestandardowych pól.
Podobnie niemożliwe staje się określenie, kiedy komputer łączy się z wiadomością e-mail serwer, zapobiegając usunięciu przez dostawcę usług internetowych flagi STARTTLS wymaganej do utworzenia zaszyfrowanej wiadomości e-mail połączenie.
Istnieje wiele opcji do wyboru, ale lubimy SurfEasy w MakeUseOf.
SurfEasy jest kanadyjską firmą VPN z punktami końcowymi na całym świecie. Pozwalają na anonimowość i ochronę przed wszystkimi szpiegującymi ruch sieciowy. ZA darmowe konto umożliwia 500 megabajtów ruchu na maksymalnie pięciu urządzeniach, a dodatkowe dane można uzyskać, zapraszając znajomych, łącząc się z drugim urządzeniem lub po prostu korzystając z produktu. Roczna subskrypcja premium abonamentu Total VPN usuwa ograniczenie ruchu i kosztuje 49,99 USD (akceptują główne karty kredytowe, PayPal, a także Bitcoin).
Mamy dziesięć rocznych planów SurfEasy Total VPN do rozdania, a także BlackBerry Z10.
Jak wygrać roczny abonament SurfEasy Total VPN?
SurfEasy + BlackBerry Z10
Zwycięzca zostanie wybrany losowo i poinformowany pocztą elektroniczną. Zobacz lista zwycięzców tutaj.
Specjalna uczta!
Od teraz do 2 grudnia SurfEasy oferuje swoje premium Total VPN plan z oszałamiającą 50% zniżką. Po prostu użyj kodu MAKEUSE50 przy kasie obniżki cen o połowę.
![Dwa sposoby, w jakie Twój ISP cię szpieguje i jak być bezpiecznym [10 x SurfEasy Total VPN + prezent BlackBerry Z10] BlackFriday](/f/9f6afaebabb4ff4e1bbde1a6f608d9fa.jpg)
Kredyty fotograficzne: Strona główna poczty Google, Strona główna Verizon, Internetowe pliki cookie, Menu e-mail
Matthew Hughes jest programistą i pisarzem z Liverpoolu w Anglii. Rzadko można go znaleźć bez filiżanki mocnej czarnej kawy w dłoni i absolutnie uwielbia swojego Macbooka Pro i aparat. Możesz przeczytać jego blog na http://www.matthewhughes.co.uk i śledź go na Twitterze na @matthewhughes.
