Het is een slechte tijd om een klant van Verizon te zijn. De titan van de telecommunicatie is betrapt met het injecteren van 'perma-cookies' in het netwerkverkeer van hun klanten. Deze privacy-onvriendelijke actie kan ervoor zorgen dat de browse-activiteit van Verizon-abonnees nauwkeurig wordt gevolgd op internet door derden. En er is weinig dat ze eraan kunnen doen.
De aanval werkt door het wijzigen van HTTP-verkeer om een element op te nemen dat een gebruiker op unieke wijze identificeert. Dit wordt vervolgens verzonden naar elke niet-versleutelde website die wordt bezocht via hun mobiele gegevensverbinding.
Gebruikers krijgen geen optie om deze perma-cookies uit te schakelen. Verder zal het niet verwijderen van de browsercookies of surfen in een privé-browsingmodus voorkomen dat de gebruiker wordt gevolgd.
In een blogpost vestigde de Electronic Frontier Foundation (EFF) grote zorgen over deze perma-cookies, beschreef ze als 'schokkend onveilig', 'gevaarlijk voor de privacy' en riep Verizon op om onmiddellijk de praktijk van het toevoegen van trackingmetadata aan hun gebruikers te beëindigen netwerk verkeer.
Met de opmerking van MakeUseOf zei EFF-bestuurslid Michael Geist: "Recente rapporten van ISP's die e-mailversleuteling verwijderen of hun gebruikers traceren, vergroten de privacyproblemen die verband houden met online activiteiten. Bij gebrek aan strikte privacywetten, moeten gebruikers vaak maatregelen in eigen handen nemen door actief gebruik te maken van privacybevorderende technologieën. "
Je kunt erachter komen of je risico loopt door naar lessonslearned.org/sniff of amibeingtracked.com te gaan. Maar hoe werkt de volgtechnologie van Verizon, en zijn er andere manieren waarop uw internetprovider uw verkeer verstoort dat uw privacy zou kunnen schaden?
Hoe Verizon's Perma-Cookies werken
Het Hypertext Transfer Protocol is de hoeksteen van internet. Een onderdeel van dit protocol is 'HTTP-headers'. Dit zijn hoofdzakelijk metadata die worden verzonden wanneer uw computer een verzoek of een antwoord naar een externe server verzendt.
In de eenvoudigste vorm bevat deze informatie over de gevraagde site en wanneer het verzoek is gedaan. Het bevat ook informatie over de gebruiker, inclusief de reeks Gebruikersagent, die de browser en het besturingssysteem van de gebruiker identificeert voor de website.
HTTP-headers kunnen echter ook andere, niet-standaard informatie bevatten.
Dit is niet altijd zo erg. Sommige kopvelden worden gebruikt om te beschermen tegen Cross Site Scripting (XSS) -aanvallen. Wat is Cross-Site Scripting (XSS), en waarom is het een beveiligingsbedreiging? Wat is Cross-Site Scripting (XSS), en waarom het een beveiligingsbedreiging is Cross-site kwetsbaarheden in scripts zijn tegenwoordig het grootste beveiligingsprobleem van de website. Uit onderzoeken is gebleken dat ze schokkend veel voorkomen: 55% van de websites bevatte XSS-kwetsbaarheden in 2011, volgens White Hat Security's laatste rapport, uitgebracht in juni ... Lees meer, terwijl Firefox wordt geleverd met een aangepast veld dat een webtoepassing vraagt om hun volgen van de gebruiker. Deze zijn redelijk en vergroten de veiligheid en privacy van een gebruiker. In het geval van Verizon gebruikten ze echter een veld (X-UIDH genaamd) dat een unieke waarde voor de abonnee bevatte en die zonder onderscheid naar de bezochte websites werd verzonden.
Het is belangrijk om te benadrukken dat deze perma-cookies van Verizon niet zijn toegevoegd aan het apparaat dat wordt gebruikt om op internet te surfen. Als dat zo zou zijn, zou het oplossen van de zaak eenvoudiger zijn. In plaats daarvan zijn de wijzigingen aangebracht op de netwerklaag vanuit de infrastructuur van Verizon. Dit maakt bescherming tegen het een serieuze uitdaging.
Het is niet alleen Verizon
Het is niet alleen Verizon die betrapt wordt zich te bemoeien met het verkeer van hun klanten. Een onlangs gepubliceerd rapport suggereerde dat bepaalde Amerikaanse ISP's zich actief bemoeiden met de e-mailversleuteling van hun gebruikers.
Volgens de beschuldigingen (die zijn gedaan voor de Federal Communications Commission) onderscheppen deze (niet bij naam genoemde) ISP's e-mailverkeer en ontdoen ze een cruciale beveiligingsmarkering die wordt gebruikt om een gecodeerde verbinding tot stand te brengen tussen client en server.
Het is vermeldenswaard dat dit niet alleen een Amerikaans probleem is. Soortgelijke beweringen zijn ook geuit bij de twee van de grootste ISP's in Thailand, die naar verluidt verbindingen tussen Gmail en Yahoo Mail onderscheppen.
Wanneer een e-mailclient 5 van de beste desktop e-mailclients die geen cent waard zijn 5 van de beste desktop e-mailclients die geen cent waard zijn U hebt een desktop e-mailclient nodig om uw inkomende e-mail af te handelen? We laten u de beste desktop e-mailclients zien die u gratis kunt krijgen. Read More probeert e-mail op te halen van een mailserver, maakt een verbinding op poort 25 en verzendt een STARTTLS-vlag. Dit vertelt de server om een gecodeerde verbinding te maken. Nadat dit is vastgesteld, verzendt de client verificatiegegevens naar de server, die vervolgens reageert door een e-mail naar de client te sturen.
Wat gebeurt er wanneer de STARTTLS-vlag wordt verwijderd? In plaats van de verbinding te weigeren, gaat de server gewoon door, maar zonder de codering. Zoals je je kunt voorstellen, is dit een groot beveiligingsprobleem, omdat het betekent dat zowel berichten als authenticatiegegevens in platte tekst worden verzonden en daarom kunnen worden onderschept door iedereen die op het netwerk zit met een pakketsniffer.
Het is hoogst verontrustend om te zien hoe cavalier bepaalde ISP's zijn als het gaat om de veiligheid en privacy van hun gebruikers. Met dat in gedachten is het de moeite waard om te vragen hoe u uzelf kunt beschermen tegen ISP's die uw e-mail- en internetverkeer verstoren.
Om veilig te blijven, gebruikt u een VPN
Er is een eenvoudige oplossing voor beide beveiligingsbedreigingen.
Gebruik gewoon een VPN. Een virtueel privénetwerk creëert een beveiligde verbinding tussen een externe server, waar al het netwerkverkeer doorheen gaat. Wees die e-mail, web of anderszins.
Kortom, het zou alle informatie inkapselen in een versleutelde tunnel. Elke tussenpersoon zou niet kunnen vertellen wat wordt verzonden of wat voor soort netwerkverkeer het is. Daarom wordt het voor Verizon onmogelijk om de HTTP-headers te identificeren en hun aangepaste velden toe te voegen.
Evenzo wordt het ook onmogelijk om vast te stellen wanneer de computer verbinding maakt met een e-mailserver, waardoor een internetprovider de STARTTLS-vlag die nodig is voor het maken van een gecodeerde e-mailverbinding, niet kan strippen.
Er zijn veel opties om uit te kiezen, maar we zijn dol op SurfEasy bij MakeUseOf.
SurfEasy is een in Canada gevestigd VPN-bedrijf met eindpunten over de hele wereld. Hiermee kunt u anoniem blijven en worden beschermd tegen iedereen die snuffelt over uw netwerkverkeer. Een gratis account biedt 500 megabytes aan verkeer op maximaal vijf apparaten en u kunt extra gegevens verdienen door vrienden uit te nodigen, verbinding te maken met een tweede apparaat of gewoon door het product te gebruiken. Een jaarabonnement op hun Premium Total VPN-abonnement neemt de verkeersbeperking weg en kost $ 49, 99 (ze accepteren de belangrijkste creditcards, PayPal, evenals Bitcoin).
We hebben tien SurfEasy Total VPN-abonnementen voor een jaar om weg te geven, plus een BlackBerry Z10.
Hoe win ik een 1 jaar SurfEasy Total VPN-abonnement?
SurfEasy + BlackBerry Z10
De winnaar wordt willekeurig geselecteerd en via e-mail op de hoogte gebracht. Bekijk hier de lijst met winnaars.
Een speciale traktatie!
Vanaf nu tot 2 december biedt SurfEasy zijn premium Total VPN-abonnement aan met een verbluffende 50% korting. Gebruik de code MAKEUSE50 bij het afrekenen om de prijzen te halveren.
Foto's: e-mailhomepage van Google, homepage van Verizon, internetcookies, e-maillijst