Advertentie
Het is een slecht moment om klant van Verizon te zijn. De telecommunicatie-titan is geweest betrapt bij het injecteren van 'perma-cookies' in het netwerkverkeer van hun klanten. Door deze privacy-onvriendelijke actie kan de browse-activiteit van Verizon-abonnees nauwkeurig worden gevolgd op het internet door derden. En ze kunnen er weinig aan doen.
De aanval werkt door HTTP-verkeer aan te passen om een element op te nemen dat een gebruiker uniek identificeert. Dit wordt vervolgens verzonden naar elke niet-versleutelde website die wordt bezocht via hun mobiele gegevensverbinding.
Gebruikers krijgen niet de mogelijkheid om deze perma-cookies uit te schakelen. Bovendien zal het niet verwijderen van browsercookies of surfen in een privé-browsingmodus voorkomen dat de gebruiker wordt gevolgd.
In een blogpost, de Electronic Frontier Foundation (EFF) opgehaald significante zorgen over deze perma-cookies, beschrijvend als "schokkend onzeker", "gevaarlijk voor privacy" en waarin Verizon wordt opgeroepen om onmiddellijk de praktijk van het toevoegen van trackingmetadata aan het netwerk van hun gebruiker te beëindigen verkeer.
In gesprek met MakeUseOf zei EFF-bestuurslid Michael Geist: “Recente rapporten van ISP's die e-mail verwijderen versleuteling of het traceren van hun gebruikers, vergroot de privacyproblemen die verband houden met online werkzaamheid. Bij gebrek aan strikte privacywetten moeten gebruikers vaak zelf maatregelen nemen door actief gebruik te maken van privacyverbeterende technologieën. ”
Je kunt erachter komen of je risico loopt door naar lessenlearned.org/sniff te gaan of amibeingtracked.com. Maar hoe werkt de trackingtechnologie van Verizon en zijn er andere manieren waarop uw internetprovider uw verkeer verstoort en uw privacy zou kunnen schaden?
Hoe de Perma-cookies van Verizon werken
Het Hypertext Transfer Protocol is de hoeksteen van internet. Een onderdeel van dit protocol is 'HTTP-headers'. Dit zijn in wezen metagegevens die worden verzonden wanneer uw computer een verzoek of antwoord naar een externe server verzendt.
In de eenvoudigste vorm bevat deze informatie over de gevraagde site en wanneer de aanvraag is gedaan. Het bevat ook informatie over de gebruiker, inclusief de User Agent-reeks, die de browser en het besturingssysteem van de gebruiker voor de website identificeert.
HTTP-headers kunnen echter ook andere, niet-standaard informatie bevatten.
Dit is niet altijd zo erg. Sommige koptekstvelden worden gebruikt ter bescherming tegen Cross Site Scripting (XSS) -aanvallen Wat is Cross-Site Scripting (XSS) en waarom het een beveiligingsrisico isCross-site scripting-kwetsbaarheden zijn tegenwoordig het grootste beveiligingsprobleem van websites. Studies hebben aangetoond dat ze schokkend vaak voorkomen: volgens het laatste rapport van White Hat Security, uitgebracht in juni... bevatte 55% van de websites XSS-kwetsbaarheden in 2011. Lees verder , terwijl Firefox wordt geleverd met een aangepast veld dat een webtoepassing vraagt om het volgen van de gebruiker uit te schakelen. Deze zijn redelijk en verbeteren de veiligheid en privacy van een gebruiker. In het geval van Verizon gebruikten ze echter een veld (X-UIDH genaamd) dat een unieke waarde voor de abonnee bevatte en zonder onderscheid naar alle bezochte websites werd gestuurd.
Het is belangrijk om te benadrukken dat deze Verizon-permacookies niet worden toegevoegd op het apparaat dat wordt gebruikt om op internet te surfen. Als ze dat wel waren, zou het verhelpen ervan eenvoudiger zijn. De wijzigingen zijn eerder aangebracht op de netwerklaag vanuit de infrastructuur van Verizon. Dit maakt bescherming daartegen een serieuze uitdaging.
Het is niet alleen Verizon
Het is niet alleen Verizon die betrapt is op het verstoren van het verkeer van hun klanten. EEN rapport onlangs gepubliceerd suggereerde dat bepaalde Amerikaanse ISP's de e-mailversleuteling van hun gebruikers actief verstoorden.
Volgens de beschuldigingen (die zijn gemaakt vóór de Federale Communicatie Commissie), onderscheppen deze (naamloze) ISP's het e-mailverkeer en ontdoen ze van een cruciale beveiligingsvlag die wordt gebruikt om een gecodeerde verbinding tussen client en server tot stand te brengen.
Het is vermeldenswaard dat dit niet alleen een Amerikaans probleem is. Soortgelijke beschuldigingen zijn ook ingediend bij de twee grootste ISP's in Thailand, die naar verluidt verbindingen tussen Gmail en Yahoo Mail onderscheppen.
Wanneer een email klant De 5 beste gratis e-mailclients voor uw desktop-pcWilt u de beste gratis e-mailclient? We hebben de beste e-mailsoftware voor Windows, Mac en Linux samengesteld die u geen cent kost. Lees verder probeert e-mail op te halen van een mailserver, maakt verbinding met poort 25 en verzendt een STARTTLS-vlag. Dit vertelt de server om een gecodeerde verbinding te maken. Zodra dit is vastgesteld, stuurt de client verificatiegegevens naar de server, die vervolgens reageert door e-mail naar de client te sturen.
Dus wat gebeurt er als de STARTTLS-vlag wordt verwijderd? Welnu, in plaats van de verbinding te weigeren, gaat de server gewoon door, maar zonder de codering. Zoals u zich kunt voorstellen, is dit een groot beveiligingsprobleem, omdat het zowel berichten als authenticatie-informatie betekent worden verzonden in platte tekst en kunnen daarom worden onderschept door iedereen die op het netwerk zit met een pakket snuffelen.
Het is heel verontrustend om te zien hoe arrogant bepaalde ISP's zijn als het gaat om de beveiliging en privacy van hun gebruikers. Met dat in gedachten is het de moeite waard om te vragen hoe u uzelf kunt beschermen tegen ISP's die uw e-mail- en webverkeer verstoren.
Beide beveiligingsbedreigingen kunnen eenvoudig worden verholpen.
Gebruik gewoon een VPN. Een Virtual Private Network zorgt voor een veilige verbinding tussen een externe server, waar al het netwerkverkeer doorheen gaat. Of dat nu e-mail, internet of anderszins is.
Kortom, het zou alle informatie in een gecodeerde tunnel inkapselen. Elke tussenpersoon zou niet kunnen zeggen wat er wordt verzonden of wat voor soort netwerkverkeer het is. Daarom wordt het voor Verizon onmogelijk om de HTTP-headers te identificeren en hun aangepaste velden toe te voegen.
Evenzo wordt het ook onmogelijk om te identificeren wanneer de computer verbinding maakt met een e-mail server, waardoor wordt voorkomen dat een ISP de STARTTLS-vlag verwijdert die vereist is om een gecodeerde e-mail te maken verbinding.
Er zijn veel opties om uit te kiezen, maar we zijn dol op SurfEasy bij MakeUseOf.
SurfEasy is een in Canada gevestigd VPN-bedrijf met eindpunten over de hele wereld. Hiermee kunt u anoniem zijn en worden beschermd tegen iedereen die op uw netwerkverkeer rondsnuffelt. EEN gratis account staat 500 megabyte aan verkeer toe op maximaal vijf apparaten en u kunt extra gegevens verdienen door vrienden uit te nodigen, verbinding te maken met een tweede apparaat of gewoon door het product te gebruiken. Een jaarabonnement op hun premium Total VPN-abonnement heft de verkeersbeperking op en kost $ 49,99 (ze accepteren grote creditcards, PayPal en Bitcoin).
We hebben tien 1-jarige SurfEasy Total VPN-abonnementen om weg te geven, plus een BlackBerry Z10.
Hoe win ik een SurfEasy Total VPN-abonnement van 1 jaar?
SurfEasy + BlackBerry Z10
De winnaar wordt willekeurig gekozen en via e-mail op de hoogte gebracht. Bekijk de lijst met winnaars hier.
Een bijzondere traktatie!
Vanaf nu tot 2 december biedt SurfEasy haar aan premium Totaal VPN-abonnement met maar liefst 50% korting. Gebruik gewoon de code MAKEUSE50 bij het afrekenen om de prijzen te halveren.
Fotocredits: Google mail homepage, Verizon homepage, Internet cookies, E-mailmenu
Matthew Hughes is een softwareontwikkelaar en schrijver uit Liverpool, Engeland. Hij wordt zelden gevonden zonder een kopje sterke zwarte koffie in zijn hand en is dol op zijn Macbook Pro en zijn camera. Je kunt zijn blog lezen op http://www.matthewhughes.co.uk en volg hem op twitter op @matthewhughes.