reklama
Je špatný čas být zákazníkem Verizon. Telekomunikační titan byl chytil vstřikování „perma-cookies“ do síťového provozu jejich zákazníků. Tento krok, který neznepokojuje soukromí, umožnil třetím stranám, aby procházení přes internet Verizon sledovalo aktivitu předplatitelů. A je toho málo, co s tím mohou udělat.
Útok funguje tak, že modifikuje provoz HTTP tak, aby obsahoval prvek, který jedinečně identifikuje uživatele. Toto je poté přeneseno na každý nešifrovaný web navštívený prostřednictvím jejich mobilního datového připojení.
Uživatelé nemají možnost tyto perma-cookies vypnout. Kromě toho ani smazání souborů cookie prohlížeče ani surfování v režimu soukromého prohlížení nezabrání sledování uživatele.
V blogovém příspěvku Electronic Frontier Foundation (EFF) aktivováno vážné obavy o těchto perma-cookies, které je označují jako „šokující nejistota“, „nebezpečná pro soukromí“ a požadovat, aby Verizon okamžitě ukončil postup přidávání sledovacích metadat do sítě svých uživatelů provoz.
Člen představenstva EFF Michael Geist v rozhovoru pro MakeUseOf řekl: „Nedávné zprávy o odstranění e-mailů poskytovateli internetových služeb šifrování nebo sledování jejich uživatelů, zvyšuje obavy o soukromí spojené s online aktivita. Pokud neexistují přísné zákony na ochranu soukromí, uživatelé často potřebují přijmout opatření do svých rukou aktivním používáním technologií zvyšujících soukromí. “
Zda jste ohroženi, můžete zjistit na adrese learlearned.org/sniff [Už není k dispozici] nebo amibeingtracked.com. Jak ale funguje technologie sledování společnosti Verizon a existují i jiné způsoby, jak váš poskytovatel internetových služeb narušuje váš provoz, což by mohlo snížit vaše soukromí?
Jak fungují soubory cookie Perma od společnosti Verizon
Protokol Hypertext Transfer Protocol je základním kamenem internetu. Součástí tohoto protokolu jsou „HTTP Headers“. Jde v podstatě o metadata, která se odesílají pokaždé, když váš počítač odešle požadavek nebo odpověď na vzdálený server.
Ve své nejjednodušší podobě obsahuje informace o požadovaném webu a o tom, kdy byl požadavek podán. Obsahuje také informace o uživateli, včetně řetězce User Agent, který identifikuje prohlížeč uživatele a operační systém na webu.
Záhlaví HTTP však mohou obsahovat i jiné nestandardní informace.
To není vždycky tak špatná věc. Některá pole záhlaví se používají k ochraně před Útoky napříč skriptováním mezi weby (XSS) Co je skriptování mezi weby (XSS) a proč je to bezpečnostní hrozbaChyby zabezpečení skriptování mezi weby jsou dnes největším problémem zabezpečení webových stránek. Studie zjistily, že jsou šokově běžné - podle poslední zprávy White Hat Security, vydané v červnu... 55% webových stránek obsahovalo zranitelnost XSS v roce 2011 ... Přečtěte si více , zatímco Firefox přichází s vlastním polem, které vyžaduje, aby webová aplikace zakázala sledování uživatele. To je rozumné a zvyšuje bezpečnost a soukromí uživatele. V případě společnosti Verizon však použili pole (nazvané X-UIDH), které obsahovalo hodnotu jedinečnou pro předplatitele, a byla bez rozdílu zasílána na všechny navštívené webové stránky.
Je důležité zdůraznit, že perma-cookies těchto Verizon nejsou přidány do zařízení používaného k procházení Internetu. Pokud by tomu tak bylo, napravit by to bylo jednodušší. Spíše byly provedeny změny na síťové vrstvě z infrastruktury společnosti Verizon. Proto je ochrana proti němu vážnou výzvou.
Není to jen Verizon
Není to jen Verizon, kdo byl chycen zasahovat do provozu jejich zákazníků. A zpráva byla nedávno zveřejněna navrhli, aby někteří američtí poskytovatelé internetových služeb aktivně zasahovali do šifrování e-mailů svých uživatelů.
Podle obvinění (které byly vyrobeny před Federální komise pro komunikaci), tito (nejmenovaní) poskytovatelé internetových služeb zachycují e-mailový provoz a odstraňují klíčový bezpečnostní příznak používaný k navázání šifrovaného spojení mezi klientem a serverem.
Stojí za zmínku, že to není jen americký problém. Podobná obvinění byla uvalena také u dvou největších poskytovatelů internetových služeb v Thajsku, kteří prý zachycují spojení mezi Gmailem a Yahoo Mailem.
Když e-mailový klient 5 nejlepších bezplatných e-mailových klientů pro váš stolní počítačChcete nejlepšího e-mailového klienta zdarma? Sestavili jsme nejlepší e-mailový software pro Windows, Mac a Linux, který vás nebude stát desetník. Přečtěte si více se pokusí načíst e-mail z poštovního serveru, naváže připojení na portu 25 a odešle příznak STARTTLS. To říká serveru, aby vytvořil šifrované připojení. Jakmile je toto stanoveno, klient odešle ověřovací podrobnosti na server, který pak odpoví zasláním pošty klientovi.
Co se tedy stane, když bude odstraněn příznak STARTTLS? Server spíše než odmítnutí připojení server pokračuje normálně, ale bez šifrování. Jak si dokážete představit, jedná se o závažný problém se zabezpečením, protože to znamená, že zprávy i autentizační informace jsou přenášeny v prostém textu, a proto je může zachytit každý, kdo seděl v síti pomocí paketu čichat.
Je hluboce znepokojivé sledovat, jak jsou určití poskytovatelé internetových služeb kavalírem, pokud jde o bezpečnost a soukromí jejich uživatelů. S ohledem na to stojí za to se zeptat, jak se chránit před poskytovateli internetových služeb narušujícími váš e-mail a webový provoz.
Obě tyto bezpečnostní hrozby lze snadno odstranit.
Stačí použít VPN. Virtuální privátní síť vytváří zabezpečené spojení mezi vzdáleným serverem, kterým prochází veškerý síťový provoz. Buď e-mail, web nebo jinak.
Stručně řečeno, zapouzdří všechny informace do šifrovaného tunelu. Žádní zprostředkovatelé by nebyli schopni říct, co se přenáší nebo jaký je síťový provoz. Verizon proto nemůže identifikovat záhlaví HTTP a přidat svá vlastní pole.
Podobně je také nemožné zjistit, kdy se počítač připojuje k e-mailu server, což brání poskytovateli Internetu v odstranění příznaku STARTTLS potřebného k vytvoření šifrovaného e-mailu spojení.
Existuje spousta možností na výběr, ale my jsme docela rádi SurfEasy na MakeUseOf.
SurfEasy je kanadská společnost VPN s koncovými body po celém světě. Umožňují vám být anonymní a být chráněni proti komukoli, kdo slíbil síťový provoz. A účet zdarma umožňuje 500 megabajtů provozu až na pěti zařízeních a další data můžete získat pozváním přátel, připojením k druhému zařízení nebo pouhým použitím produktu. Roční předplatné prémiového plánu Total VPN odstraňuje omezení provozu a stojí 49,99 USD (přijímají hlavní kreditní karty, PayPal a bitcoiny).
Máme deset jednoletých plánů SurfEasy Total VPN, které máme rozdat, plus BlackBerry Z10.
Jak mohu vyhrát roční VPN plán SurfEasy?
SurfEasy + BlackBerry Z10
Vítěz bude vybrán náhodně a informován e-mailem. Zobrazit seznam výherců zde.
Speciální dárek!
Od této chvíle do 2. prosince SurfEasy nabízí své prémiový celkový tarif VPN s ohromující 50% slevou. Stačí použít kód MAKEUSE50 při pokladně snížit ceny na polovinu.
Foto Kredity: Domovská stránka pošty Google, Verizonova domovská stránka, Internetové cookies, Nabídka e-mailů
Matthew Hughes je vývojář a spisovatel softwaru z anglického Liverpoolu. Málokdy je nalezen bez šálku silné černé kávy v ruce a absolutně zbožňuje svůj Macbook Pro a fotoaparát. Jeho blog si můžete přečíst na adrese http://www.matthewhughes.co.uk a následujte ho na twitteru na @ matthewhughes.