Due modi in cui il tuo ISP ti sta spiando e come essere sicuro [10 x SurfEasy Total VPN + BlackBerry Z10 Giveaway]
È un brutto momento essere un cliente di Verizon. Il titano delle telecomunicazioni è stato sorpreso a iniettare "perma-cookie" nel traffico di rete dei propri clienti. Questa mossa ostile alla privacy potrebbe vedere l'attività di navigazione degli abbonati di Verizon accuratamente tracciata attraverso Internet da terze parti. E c'è poco che possono fare al riguardo.
L'attacco funziona modificando il traffico HTTP per includere un elemento che identifica univocamente un utente. Questo viene quindi trasmesso a tutti i siti Web non crittografati visitati tramite la loro connessione dati mobile.
Agli utenti non viene data la possibilità di disattivare questi cookie perma. Inoltre, né la cancellazione dei cookie del browser né la navigazione in una modalità di navigazione privata impediscono all'utente di essere rintracciati.
In un post sul blog, la Electronic Frontier Foundation (EFF) ha sollevato notevoli preoccupazioni su questi perma-cookie, descrivendoli come “incredibilmente insicuro”, “pericoloso per la privacy” e chiedendo a Verizon di terminare immediatamente la pratica di aggiungere metadati di tracciamento al traffico di rete dell'utente.
Parlando con MakeUseOf, Michael Geist, membro del board di EFF, ha detto, “Recenti segnalazioni di ISP che rimuovono la crittografia e-mail o cercano di rintracciare i propri utenti, aumentano i problemi di privacy associati all'attività online. In assenza di rigide leggi sulla privacy, gli utenti spesso devono prendere le misure nelle proprie mani utilizzando attivamente le tecnologie di miglioramento della privacy.”
Puoi scoprire se sei a rischio visitando lessonslearned.org/sniff o amibeingtracked.com. Ma come funziona la tecnologia di tracciamento di Verizon e ci sono altri modi in cui il tuo ISP sta interferendo con il tuo traffico che potrebbe diminuire la tua privacy?
Come funzionano i perma-cookie di Verizon
L'Hypertext Transfer Protocol è la pietra angolare di Internet. Un componente di questo protocollo è 'Intestazioni HTTP'. Si tratta essenzialmente di metadati inviati ogni volta che il computer invia una richiesta o una risposta a un server remoto.
Nella sua forma più semplice, contiene informazioni sul sito richiesto e quando è stata fatta la richiesta. Contiene anche informazioni sull'utente, inclusa la stringa User Agent, che identifica il browser e il sistema operativo dell'utente sul sito web.
Tuttavia, le intestazioni HTTP possono contenere anche altre informazioni non standard.
Questa non è sempre una cosa così brutta. Alcuni campi di intestazione sono utilizzati per la protezione dagli attacchi Cross Site Scripting (XSS) Che cosa è Cross-Site Scripting (XSS) e Perché è una minaccia per la sicurezza Che cos'è Cross-Site Scripting (XSS) e Perché è una minaccia per la sicurezza Cross-site le vulnerabilità di scripting sono il più grande problema di sicurezza del sito web oggi. Gli studi hanno scoperto che sono sorprendentemente comuni - il 55% dei siti web conteneva vulnerabilità XSS nel 2011, secondo l'ultimo rapporto di White Hat Security, pubblicato a giugno ... Read More, mentre Firefox viene fornito con un campo personalizzato che richiede a un'applicazione Web di disabilitare il tracciamento di l'utente. Questi sono ragionevoli e migliorano la sicurezza e la privacy di un utente. Tuttavia, nel caso di Verizon, hanno utilizzato un campo (chiamato X-UIDH) che conteneva un valore univoco per l'abbonato e che veniva inviato indiscriminatamente a qualsiasi sito web visitato.
È importante sottolineare che questi perma-cookie di Verizon non vengono aggiunti sul dispositivo utilizzato per navigare in Internet. Se lo fossero, rimediare sarebbe una questione più semplice. Piuttosto, le modifiche sono state apportate sul livello di rete dall'infrastruttura di Verizon. Ciò rende la protezione contro di essa una seria sfida.
Non è solo Verizon
Non sono solo Verizon a essere stati interferiti nel traffico dei loro clienti. Un rapporto pubblicato di recente ha suggerito che alcuni ISP americani interferivano attivamente con la crittografia dei loro utenti.
Secondo le accuse (che sono state fatte prima della Federal Communications Commission), questi ISP (senza nome) stanno intercettando il traffico e-mail e rimuovendo un flag di sicurezza cruciale usato per stabilire una connessione crittografata tra client e server.
Vale la pena notare che questo non è solo un problema americano. Accuse simili sono state applicate anche ai due più grandi ISP in Thailandia, che si dice stiano intercettando connessioni tra Gmail e Yahoo Mail.
Quando un client di posta elettronica I 5 migliori client di posta elettronica desktop che non costano un centesimo I 5 migliori client di posta elettronica per desktop che non costano un centesimo È necessario un client di posta elettronica desktop per gestire la posta in arrivo? Ecco i migliori client di posta elettronica desktop che puoi usare gratuitamente. Ulteriori informazioni tenta di recuperare la posta da un server di posta, effettua una connessione sulla porta 25 e invia un flag STARTTLS. Questo dice al server di creare una connessione crittografata. Una volta stabilito, il client invia i dettagli di autenticazione al server, che quindi risponde inviando posta al client.
Quindi, cosa succede quando il flag STARTTLS viene rimosso? Bene, piuttosto che rifiutare la connessione, il server continua normalmente ma senza la crittografia. Come potete immaginare, questo è un grosso problema di sicurezza, poiché significa che sia i messaggi che le informazioni di autenticazione vengono trasmessi in formato testo e possono quindi essere intercettati da chiunque sia seduto in rete con uno sniffer di pacchetti.
È profondamente preoccupante vedere quanto siano disinvolti alcuni ISP quando si tratta della sicurezza e della privacy dei loro utenti. Con questo in mente, vale la pena chiedersi come proteggersi dagli ISP che interferiscono con la posta elettronica e il traffico web.
Per rimanere al sicuro, utilizzare una VPN
C'è un rimedio facile a entrambe queste minacce alla sicurezza.
Basta usare una VPN. Una rete privata virtuale crea una connessione sicura tra un server remoto, attraverso il quale passa tutto il traffico di rete. Sii quel email, web o altro.
In breve, incapsulerebbe tutte le informazioni in un tunnel crittografato. Qualsiasi intermediario non sarebbe in grado di dire cosa viene trasmesso o che tipo di traffico di rete è. Pertanto, diventa impossibile per Verizon identificare le intestazioni HTTP e aggiungere i loro campi personalizzati.
Allo stesso modo, diventa anche impossibile identificare quando il computer si connette a un server di posta elettronica, impedendo a un ISP di rimuovere il flag STARTTLS richiesto per creare una connessione di posta elettronica crittografata.
Ci sono molte opzioni tra cui scegliere, ma siamo molto affezionati a SurfEasy su MakeUseOf.
SurfEasy è una società VPN con sede in Canada, con endpoint in tutto il mondo. Ti consentono di essere anonimi e di essere protetti da chiunque curiositi dal traffico di rete. Un account gratuito consente 500 megabyte di traffico su un massimo di cinque dispositivi e puoi guadagnare ulteriori dati invitando amici, connettendoti a un secondo dispositivo o semplicemente utilizzando il prodotto. L'abbonamento di un anno al loro piano Total VPN premium rimuove la limitazione del traffico e costa $ 49,99 (accettano le principali carte di credito, PayPal e Bitcoin).
Abbiamo dieci piani SurfEasy Total VPN da 1 anno da regalare, oltre a un BlackBerry Z10.
Come posso vincere un piano VPN di SurfEasy Total di 1 anno?
SurfEasy + BlackBerry Z10
Il vincitore verrà selezionato a caso e informato via email. Visualizza l'elenco dei vincitori qui.
Un trattamento speciale!
Da ora fino al 2 dicembre, SurfEasy offre il suo piano Total VPN premium con uno sbalorditivo sconto del 50%. Basta usare il codice MAKEUSE50 alla cassa per tagliare i prezzi a metà.
Crediti fotografici: home page di Google, homepage di Verizon, cookie Internet, menu Email
Scopri di più su: ISP, MakeUseOf Giveaway, sicurezza online, violazione della sicurezza, VPN.