Annons
Det är en dålig tid att vara Verizon-kund. Telekommunikationstitanen har varit fångas och injicerar "permakakor" in i kundens nätverkstrafik. Det här integritetsvänliga rörelsen kunde se Verizon-prenumeranters surfaktivitet noggrant spårat över Internet av tredje parter. Och det är lite de kan göra åt det.
Attacken fungerar genom att modifiera HTTP-trafik för att inkludera ett element som identifierar en användare unikt. Detta överförs sedan till varje okrypterad webbplats som besöks via deras mobildataanslutning.
Användare ges inte möjlighet att stänga av dessa permakakor. Varken att radera webbläsarkakor eller surfa i ett privat surfläge förhindrar dessutom att användaren spåras.
I ett blogginlägg, Electronic Frontier Foundation (EFF) upp betydande oro om dessa permakakor, som beskriver dem som "chockerande osäkra", "farliga för integritet" och uppmanar Verizon att omedelbart avsluta praxis att lägga till spårningsmetadata i deras användares nätverk trafik.
EFF: s styrelseledamot, Michael Geist, talade med MakeUseOf. ”Senaste rapporter om internetleverantörer som tar bort e-post kryptering eller försöker spåra sina användare, förbättrar sekretessproblemen som är associerade med online aktivitet. I avsaknad av strikta sekretesslagar måste användare ofta vidta åtgärder i sina egna händer genom att aktivt använda teknik för att förbättra sekretess. "
Du kan ta reda på om du är i riskzonen genom att besöka lesslearned.org/sniff [No Longer Available] eller amibeingtracked.com. Men hur fungerar Verizons spårningsteknologi och finns det några andra sätt som din internetleverantör stör din trafik som kan minska din integritet?
Hur Verizons permakakor fungerar
Protokollet för hypertextöverföring är hörnstenen på Internet. En del av detta protokoll är 'HTTP Headers'. Detta är i huvudsak metadata som skickas när din dator skickar en begäran eller ett svar till en fjärrserver.
I sin enklaste form innehåller detta information om den begärda webbplatsen och när begäran gjordes. Den innehåller också information om användaren, inklusive användaragentsträngen, som identifierar användarens webbläsare och operativsystem på webbplatsen.
HTTP-rubriker kan dock också innehålla annan, icke-standardinformation.
Det här är inte alltid så dåligt. Vissa rubrikfält används för att skydda mot Cross Site Scripting (XSS) attacker Vad är Cross-Site Scripting (XSS) och varför det är en säkerhetshotSäkerhetsproblem på flera webbplatser är det största säkerhetsproblemet på webbplatsen idag. Studier har visat att de är chockerande vanliga - 55% av webbplatserna innehöll XSS-sårbarheter 2011, enligt White Hat Securitys senaste rapport, släppt i juni ... Läs mer , medan Firefox kommer med ett anpassat fält som begär en webbapplikation inaktiverar deras spårning av användaren. Dessa är rimliga och förbättrar användarens säkerhet och integritet. I Verizons fall använde de emellertid ett fält (kallad X-UIDH) som innehöll ett unikt värde för abonnenten och skickades oskillnad till alla besökta webbplatser.
Det är viktigt att betona att dessa Verizons permakakor inte läggs till på enheten som används för att surfa på Internet. Om de var det, skulle det vara en enklare fråga att avhjälpa det. Snarare gjordes ändringarna i nätverkslagret från Verizons infrastruktur. Detta gör att skyddet mot det är en allvarlig utmaning.
Det är inte bara Verizon
Det är inte bara Verizon som har fångats stör deras kunders trafik. EN rapport publicerad nyligen föreslog att vissa amerikanska internetleverantörer aktivt störande e-postkrypteringen för deras användare.
Enligt anklagelserna (som gjordes före Federal Communications Commission), dessa (ej namngivna) Internetleverantörer avlyssnar e-posttrafik och strippar en avgörande säkerhetsflagg som används för att upprätta en krypterad anslutning mellan klient och server.
Det är värt att notera att detta inte bara är en amerikansk fråga. Liknande anklagelser har också tagits ut hos de två av de största ISP: erna i Thailand, som sägs hämta förbindelser mellan Gmail och Yahoo Mail.
När en e-postklient De 5 bästa gratis e-postkunderna för din stationära PCVill du ha den bästa gratis e-postklienten? Vi har sammanställt den bästa e-postprogramvaran för Windows, Mac och Linux som inte kommer att kosta dig en krona. Läs mer försöker hämta e-post från en e-postserver, den ansluter till port 25 och skickar en STARTTLS-flagga. Detta säger servern att skapa en krypterad anslutning. När detta har fastställts skickar klienten autentiseringsinformation till servern, som sedan svarar genom att skicka e-post till klienten.
Så, vad händer när STARTTLS-flaggan tas bort? Istället för att vägra anslutningen fortsätter servern som normalt men utan kryptering. Som ni kan föreställa er detta en viktig säkerhetsproblem, eftersom det betyder både meddelanden och autentiseringsinformation överförs i vanlig text och kan därför avlyssnas av vem som helst som satt i nätverket med ett paket sniffer.
Det är djupt oroande att se hur kavalerare vissa internetleverantörer är när det gäller deras användares säkerhet och integritet. Med det i åtanke är det värt att fråga hur du kan skydda dig mot internetleverantörer som stör din e-post och webbtrafik.
Det finns ett enkelt botemedel mot båda dessa säkerhetshot.
Använd bara ett VPN. Ett virtuellt privat nätverk skapar en säker anslutning mellan en fjärrserver, som all nätverkstrafik passeras genom. Var det e-postmeddelande, webb eller på annat sätt.
Kort sagt skulle det kapsla all information i en krypterad tunnel. Alla mellanhänder skulle inte kunna berätta vad som överförs eller vilken typ av nätverkstrafik det är. Därför blir det omöjligt för Verizon att identifiera HTTP-rubrikerna och lägga till sina anpassade fält.
På samma sätt blir det också omöjligt att identifiera när datorn ansluter till ett e-postmeddelande servern, vilket förhindrar att en ISP strimlar den STARTTLS-flaggan som krävs för att skapa en krypterad e-post förbindelse.
Det finns många alternativ att välja mellan, men vi är ganska förtjust i SurfEasy på MakeUseOf.
SurfEasy är ett Kanada-baserat VPN-företag med slutpunkter över hela världen. De låter dig vara anonym och skyddas mot vem som helst som snuffar i din nätverkstrafik. EN gratis konto tillåter 500 megabyte trafik på upp till fem enheter, och du kan tjäna extra data genom att bjuda in vänner, ansluta till en andra enhet eller bara genom att använda produkten. Ett års prenumeration på deras totala totala VPN-plan tar bort trafikbegränsningen och kostar 49,99 dollar (de accepterar stora kreditkort, PayPal och Bitcoin).
Vi har tio 1-åriga SurfEasy Total VPN-planer att ge bort, plus en BlackBerry Z10.
Hur vinner jag en 1-års SurfEasy Total VPN-plan?
SurfEasy + BlackBerry Z10
Vinnaren väljs slumpmässigt och informeras via e-post. Visa lista över vinnare här.
En speciell behandling!
Från och med nu till 2 december erbjuder SurfEasy sitt premium Total VPN-plan med en häpnadsväckande 50% rabatt. Använd bara koden MAKEUSE50 i kassan för att sänka priserna i hälften.
![Två sätt din ISP spionerar på dig och hur du kan vara säker [10 x SurfEasy Total VPN + BlackBerry Z10 Giveaway] BlackFriday](/f/9f6afaebabb4ff4e1bbde1a6f608d9fa.jpg)
Fotokrediter: Googles e-postsida, Verizon hemsida, Internetkakor, E-postmeny
Matthew Hughes är en programutvecklare och författare från Liverpool, England. Han hittas sällan utan en kopp starkt svart kaffe i handen och älskar absolut sin Macbook Pro och sin kamera. Du kan läsa hans blogg på http://www.matthewhughes.co.uk och följ honom på twitter på @matthewhughes.