Być może ostatnio słyszeliście dużo o usługodawcach internetowych (ISP) śledzących historię przeglądania i sprzedających wszystkie swoje dane. Co to oznacza i jak najlepiej chronić siebie?
Tradycyjnie Federalna Komisja ds. Handlu (FTC) była odpowiedzialna za regulowanie dostawców usług internetowych. Na początku 2015 r. Federalna Komisja ds. Komunikacji (FCC) przegłosowała przekwalifikowanie dostępu do Internetu szerokopasmowego jako usługi "wspólnego przewoźnika" w ramach dążenia do neutralności sieci. To przeniosło regulację dostawców usług internetowych z FTC na FCC.
FCC następnie wprowadziło ograniczenia na to, co dostawcy usług internetowych byli i nie mogli zrobić ze swoimi klientami. Dostawcy usług internetowych nie mogliby przekierowywać ruchu w wyszukiwarce, wprowadzać dodatkowych reklam na strony internetowe i sprzedawać danych użytkowników (takich jak historia lokalizacji i przeglądania), a także innych praktyk, które przynoszą zyski kosztem użytkowników.
W marcu 2017 r. Senat i Izba głosowały nad rezolucją o rewizji Kongresu (CRA), która uchyli zasady ochrony prywatności FCC i uniemożliwi im przyszłe regulacje. Ich uzasadnienie dla ustawy było takie, że firmy takie jak Google i Facebook mogą sprzedawać te informacje i że przepisy nieuczciwie uniemożliwiają dostawcom usług internetowych konkurowanie. Prawodawcy twierdzili, że ponieważ Google ma około 81% udziału w rynku w wyszukiwaniu, mają większą kontrolę rynku niż jakikolwiek ISP. Podczas gdy dominacja Google w wyszukiwaniu jest prawdziwa, internauci mają możliwość uniknięcia Google'a, Facebooka lub jakiejkolwiek innej strony. Większość osób korzysta z Google dla wyszukiwania, ale jest wiele innych opcji i łatwo je zmienić. Korzystając z narzędzi takich jak Privacy Badger, łatwo jest ominąć Google lub analitykę Facebooka w Internecie. Dla porównania cały ruch internetowy przechodzi przez dostawcę Internetu, a bardzo niewielu Amerykanów ma więcej niż jedną lub dwie opcje.
Ustawa została podpisana przez prezydenta na początku kwietnia. Chociaż nie wszystkie przepisy FCC zaczęły obowiązywać, zanim zostały unieważnione, jest to nadal poważny cios w prywatność Amerykanów online. Ponieważ dostawcy usług internetowych są nadal klasyfikowani jako zwykli przewoźnicy, żaden inny organ regulacyjny nie ma nadzoru, aby przywrócić te zasady.
Wiele przepisów FCC miało zacząć się w 2017 i 2018 roku. Wielcy ISP śledzą swoich użytkowników od lat. Verizon słynął z tego, że wstrzykiwał supercookie do wszystkich żądań przeglądarki swoich klientów, umożliwiając im (i stronom trzecim) śledzenie poszczególnych użytkowników w Internecie. Supercookie dodawano do żądań po opuszczeniu komputerów użytkowników, więc nie było sposobu, aby ich uniknąć, dopóki Verizon nie wykończy się i nie wyda zgody. Przez pewien czas AT & T pobierała od klientów dodatkowe 30 USD miesięcznie, aby nie śledzić korzystania z Internetu. Ta sprawa była inspiracją dla przepisów dotyczących ochrony prywatności FCC.
Łatwo jest myśleć: "No cóż, nie jesteśmy w gorszej sytuacji niż byliśmy rok temu." To może być częściowo prawdą. Żyjemy zgodnie z tymi samymi zasadami, którymi byliśmy wtedy; po prostu teraz nie zmienią się na lepsze. Wciąż nie można kupić historii Internetu danej osoby; dane są anonimizowane i sprzedawane hurtowo reklamodawcom i innym organizacjom.
Jednak te nowe regulacje (które teraz nie wejdą w życie) załatałyby znaczną dziurę w prywatności w Internecie. Jeśli zagłębisz się w anonimowe dane, możesz łatwo odkryć właściciela. Ponadto istnieje argument, że dostawcy usług internetowych są w istocie podwójnie zanurzeni. Stanowisko, że to orzeczenie stawia dostawców usług internetowych w bardziej konkurencyjnej przestrzeni z usługami takimi jak Google, jest nieco nieszczere. Dostawcy usług internetowych rządzą "ostatnią milą" na terenie swoich klientów, a my już płacimy dobre pieniądze za dostęp do nich.
Wiele osób jest zaniepokojonych przemijaniem ustawy i chce sposobów, aby uchronić się przed wścibskimi oczyma ISP. Na szczęście jest kilka rzeczy, które możesz zrobić, aby zapewnić sobie prywatność. Większość z tych metod jest nakierowana na ochronę przed atakami typu "człowiek w środku" (MitM). Podróż twoich danych zabiera podróż z komputera do serwera internetowego iz powrotem przechodzi przez wielu pośredników. Podczas ataku MitM, złośliwy aktor umieszcza się w systemie gdzieś w tej podróży w celu podsłuchiwania, przechowywania lub nawet modyfikowania danych.
Tradycyjnie przyjmuje się, że MitM jest złym aktorem, który włącza się do procesu; ufasz routerom, zaporom ogniowym i usługodawcom internetowym między Tobą a Twoim miejscem docelowym. Jeśli jednak nie możesz zaufać swojemu ISP, sprawy stają się trudniejsze. Pamiętaj, że dotyczy to całego ruchu internetowego, a nie tylko tego, co widzisz w przeglądarce.Dobrą wiadomością (jeśli można to tak nazwać) jest to, że ataki MitM to stary i dość powszechny problem, że opracowaliśmy całkiem niezłe narzędzia, których możesz użyć do ochrony siebie.
HTTPS szyfruje połączenie między komputerem a witryną, używając protokołu TLS (lub starszego protokołu SSL). W przeszłości było to najczęściej używane w przypadku poufnych informacji, takich jak strony logowania lub dane bankowe. Jednak wdrożenie HTTPS stało się łatwiejsze i tańsze. Obecnie ponad połowa całego ruchu internetowego jest szyfrowana.
Podczas korzystania z protokołu HTTPS treść pakietów danych jest szyfrowana, w tym rzeczywisty URL, który odwiedzasz. Jednak nazwa hosta miejsca docelowego (na przykład howtogeek.com) jest niezaszyfrowana, ponieważ węzły między urządzeniem a miejscem docelowym danych muszą wiedzieć, gdzie wysłać ruch. Mimo że dostawcy usług internetowych nie mogą zobaczyć, co wysyłają za pośrednictwem protokołu HTTPS, wciąż mogą stwierdzić, które witryny odwiedzają.
Nadal istnieją pewne metadane (dane dotyczące danych), których nie można ukryć przy użyciu protokołu HTTPS. Każdy, kto monitoruje Twój ruch, wie, ile jest pobierany w danym wniosku. Jeśli serwer ma tylko jeden plik lub stronę określonego rozmiaru, może to być gratisowe miejsce. Łatwo też określić, jakie są godziny i jak długo trwają połączenia (np. Długość strumienia wideo).
Połączmy to wszystko. Wyobraź sobie, że między mną a Internetem jest MitM, przechwytując moje pakiety. Jeśli używam HTTPS, mogą powiedzieć, na przykład, że poszedłem na reddit.com o 23.58, ale nie wiedzą, czy odwiedzam stronę główną, / r / technology, czy inną, mniej strona bezpieczna dla pracy. Z dużym wysiłkiem może być możliwe określenie strony w oparciu o ilość przesłanych danych, ale jest mało prawdopodobne, jeśli odwiedzasz dynamiczną stronę z dużą ilością treści. Ponieważ ładuję stronę raz i nie zmienia się ona w czasie rzeczywistym, długość połączenia powinna być krótka i trudna do nauczenia się czegoś od.
HTTPS jest świetny, ale nie jest to srebrna kula, jeśli chodzi o ochronę przed ISP. Jak wspomniano wcześniej, zasłania treść, ale nie może chronić metadanych. I chociaż od użytkownika końcowego wymaga się niewiele wysiłku, właściciele serwerów muszą skonfigurować swoje serwery, aby z niego korzystać. Niestety, wciąż jest wiele stron internetowych, które nie obsługują HTTPS. Poza tym tylko ruch w przeglądarce może być szyfrowany za pomocą protokołu HTTPS. Protokół TLS jest używany w innych aplikacjach, ale zazwyczaj nie jest widoczny dla użytkowników. Powoduje to, że trudno jest określić, kiedy - lub jeśli - Twój ruch aplikacji jest szyfrowany.
Wirtualna sieć prywatna (VPN) tworzy bezpieczne połączenie między urządzeniem a punktem końcowym. Jest to zasadniczo jak posiadanie prywatnej sieci utworzonej w publicznej sieci internetowej, dlatego często odnosimy się do połączenia VPN jako tunelu. Podczas korzystania z sieci VPN cały ruch jest szyfrowany lokalnie na urządzeniu, a następnie wysyłany przez tunel do punktu zakończenia sieci VPN - zwykle jest to serwer w dowolnej sieci VPN, z której korzystasz. W punkcie zakończenia Twój ruch został odszyfrowany, a następnie wysłany do miejsca docelowego. Ruch powrotny jest wysyłany z powrotem do punktu końcowego VPN, gdzie jest szyfrowany, a następnie wysyłany z powrotem do tunelu.
Jednym z najczęstszych zastosowań sieci VPN jest umożliwienie pracownikom zdalnego dostępu do zasobów firmy. Uważa się, że najlepszą praktyką jest odłączenie wewnętrznych zasobów firmy od Internetu. Użytkownicy mogą tunelować do punktu końcowego VPN wewnątrz sieci firmowej, co pozwala im uzyskać dostęp do serwerów, drukarek i innych komputerów, a jednocześnie ukrywać je przed dostępem do Internetu.
W ostatnich latach sieci VPN stały się popularne do użytku osobistego, w celu zwiększenia bezpieczeństwa i prywatności. Weź przykład darmowego Wi-Fi w kawiarni. Łatwo sniffować ruch w niezabezpieczonych sieciach Wi-Fi. Możliwe jest również, że łączysz się ze złą siecią bliźniaczą - fałszywym punktem dostępu do Wi-Fi, który wygląda jak prawdziwy, i który chce podawać złośliwe oprogramowanie. Jeśli używasz sieci VPN, wszystko, co widzą, to zaszyfrowane dane, bez wskazania, gdzie i komu komunikujesz. Tunel VPN zapewnia również integralność, co oznacza, że złośliwy outsider nie może modyfikować ruchu.
Gdy korzystasz z VPN, twój dostawca Internetu nie może zobaczyć ani zmienić tego, co dzieje się w zaszyfrowanym tunelu. Ponieważ wszystko jest zaszyfrowane, dopóki nie osiągnie punktu końcowego, nie wie, jakie strony odwiedzasz i jakie dane wysyłasz. Dostawcy usług internetowych mogą stwierdzić, że korzystasz z sieci VPN i zobaczyć punkt zakończenia sieci VPN (dobry wskaźnik, z której usługi VPN korzystasz).Wiedzą także, ile ruchu generujesz w danym momencie.
Korzystanie z VPN może również wpływać na wydajność sieci. Zatory w sieci VPN mogą spowolnić działanie, ale w rzadkich przypadkach można uzyskać lepsze prędkości w sieci VPN. Powinieneś również sprawdzić, czy VPN nie wycieka żadnych informacji.
Firmy i uczelnie często zapewniają bezpłatny dostęp VPN dla swoich użytkowników. Pamiętaj, aby sprawdzić zasady użytkowania; ich administratorzy prawdopodobnie nie chcą, abyście przesyłali strumieniowo wideo lub robili coś niezwiązanego z pracą w ich sieci. Alternatywnie możesz zapłacić za dostęp do usługi VPN, zwykle 5-10 $ miesięcznie. Powinieneś dokonać pewnych badań, aby wybrać najlepszą sieć VPN dla swoich potrzeb, ale przygotowaliśmy wygodny przewodnik po wyborze najlepszej usługi VPN, która może Ci pomóc.
Pamiętaj, że musisz mieć zaufanie do swojego dostawcy VPN. Sieć VPN uniemożliwia usługodawcy internetowego zobaczenie tunelowanego ruchu. Jednak twój ruch musi zostać odszyfrowany po osiągnięciu punktu końcowego, tak aby punkt zakończenia mógł przesłać go do właściwego miejsca docelowego. Oznacza to, że Twój dostawca VPN może zobaczyć te informacje. Wiele usług VPN twierdzi, że nie loguje się, nie wykorzystuje ani nie sprzedaje ruchu. Jednak często nie ma sposobu, aby powiedzieć, czy przestrzegają tych obietnic. Nawet jeśli są uczciwi, to jest to możliwe ich ISP zbiera dane.
W szczególności powinieneś uważać na darmowe VPN. Ostatnio rozszerzenia przeglądarki VPN stały się popularne, głównie ze względu na niski koszt / brak kosztów i łatwość użytkowania. Uruchomienie usługi VPN jest drogie, a operatorzy nie robią tego z dobroci serca. Korzystanie z jednej z tych bezpłatnych usług często zmienia zdolność do szpiegowania Ciebie i wprowadzania reklam od usługodawcy internetowego do sieci VPN. Pamiętaj: kiedy nie płacisz za usługę z kosztami operacyjnymi, jesteś produktem.
Ostatecznie VPN są użytecznym, ale niedoskonałym rozwiązaniem. Zapewniają one sposób przekazywania zaufania od usługodawcy internetowego osobie trzeciej, ale nie ma łatwego sposobu określenia, czy dostawca VPN jest godny zaufania. Jeśli wiesz, że twój dostawca usług internetowych nie może być zaufany, VPN może być wart strzał. Protokół HTTPS / TLS powinien być używany z siecią VPN, aby jeszcze bardziej zwiększyć bezpieczeństwo i prywatność.
The Onion Router (Tor) to system, który szyfruje i anonimizuje ruch. Tor jest złożony, a całe artykuły mogą (i zostały) na nim napisane. Chociaż Tor jest pomocny dla wielu osób, używanie tego może być trudne. Tor będzie miał znacznie bardziej zauważalny (negatywny) wpływ na jakość i wydajność twojego codziennego korzystania z Internetu niż inne metody wspomniane w tym artykule.
Dostawcy usług internetowych nie uzyskali żadnych nowych uprawnień z tego rachunku, ale uniemożliwił on rządowi zapewnienie prywatności. Nie ma srebrnej kuli, aby uniemożliwić twojemu ISP śledzenie ciebie, ale wciąż jest dużo amunicji. Jeśli to możliwe, używaj protokołu HTTPS, aby chronić treść wiadomości między Tobą a miejscem docelowym. Rozważ wykorzystanie tunelu VPN do tunelowania u dostawcy usług internetowych. Podczas wprowadzania zmian warto rozważyć ochronę przed innymi źródłami szpiegowania i podsłuchiwania. Skonfiguruj ustawienia systemu operacyjnego, aby poprawić prywatność (Windows i OSX) oraz przeglądarkę internetową (Chrome, Firefox lub Opera). Użyj wyszukiwarki, która szanuje twoją prywatność. Ochrona prywatności jest trudną bitwą, teraz bardziej niż kiedykolwiek, ale How-To Geek ma na celu pomóc Ci po drodze.
Image Credit: DennisM2.
