Förra veckan slog bloggen nytt besöksrekord, för andra veckan på raken. Enligt Google Analytics 25 807 helt unika besökare, 90 870 besök och 181 277 sidnedladdningar under vecka 46 år 2012. Detta baserat på de användare som inte blockerar Google Analytics skript. Bloggers loggning på serversidan visar på 196 787 sidvisningar, dvs ca 15 500 sidvisningar från användare som blockerar Google Analytics eller stoppat sidnedladdning före skriptet laddats färdigt.
Vilket för mig över till själva kärnan i det här inlägget.
Lita inte på de banala webbaserade anonymiseringstjänster som finns på Internet. Exempelvis specialproxy.com.
Skärmdump från iPhone. |
Dessa ger dig ett intryck av att du inte kommer gå att identifiera på en viss sajt, utan ser ut att komma från specialproxy.com. Ja, det stämmer om vi kliver tillbaka till mitten av 90-talet, där allt man gjorde var att ladda ner HTML-sidor och tillhörande bilder. Men idag laddar man till stora delar ner Javascript i olika former och dessa körs lokalt på din dator och kommer inte använda en webbaserad proxy när de väl körs, om inte denna proxy identifierar och substituerar alla Internetanrop i Javascriptkod. Det senare en bevisbart1. omöjlig uppgift och inga webproxys går vad jag vet in och ändrar i Javascriptkod.
Det betyder att du fortfarande loggas korrekt av Google Analytics, Statcounter mfl tjänster om du inte aktivt blockerar dessa. Vilket ca 7.5% av mina besökare verkar göra med Google Analytics.
Ute till höger visar jag ett exempel på en användare som tror sig vara anonym. Personen har besökt bloggen 1208 gånger och bor i Borås. Jag har vederbörandes IP-nr, trots bruket av specialproxy.com och kan till och med se vilket bostadsrättsförening som vederbörande surfar från då denna identifieras som s k ISP i det här fallet. Knappast den nivå av anonymitet som vederbörande hade tänkt sig. Specialproxy.com hävdar att det ska se ut som att man kommer från London, men vad jag vet ligger inte Borås och Brf X i London.
Jag kunde inte bry mig mindre, men det relevanta är att det samma gäller besök på myndigheters, företags och organisationers webplatser. Ni kanske tror att ni dolt ert ursprung, men det gäller bara om ni stänger av Javascript och för säkerhets skull också all visning av bilder, beroende på hur usel “anonymiserings”-webtjänsten är.
Nej, ska ni försöka surfa anonymt måste ni använda en riktig VPN-tjänst, som därmed döljer alla anrops ursprung. Dessa kostar generellt pengar. Jag är själv väldigt nöjd med Flashback:s VPN-tjänst, flashback.name, även om den bara är en ompaketering av dold.se. Handlar om vem man vill ska få fatt på faktureringsuppgifterna.
Och kom ihåg att inte spara sk cookies eller ens tillåta tredjepartscookies på webplatser. Ska du dessutom dölja din framfart måste du även göra det lokalt på din dator, t ex genom anonymt läge i webläsaren. Kom dock ihåg att tredjeparts programvaror, som t ex Flash, inte omfattas av webläsarnas anonyma lägen och alltså ändå lämnar lokala spår.
Användaren ovan använder specialproxy.com, men raderar inte cookies, därav kan man se att vederbörande besökt den här bloggen 1208 gånger. Faktum är att det är bättre att inte försöka dölja sig alls, då man inte på något sätt väcker uppmärksamhet då. Men när någon misslyckas med anonymisering blir det förstås intressant.
Gäller även användare från Halmstadstrakten, Stockholm, Västerås mfl platser bland de senaste timmarnas skörd av folk som tror att de är anonyma. Dessutom, som alltid: Quis custodiet ipsos custodes? Hur kan ni vara säkra på att gratis anonymiseringstjänster på Internet går att lita på, då de per definition ser allt ni tror ni dolt gör på Internet…
Relaterat så har ryska radioamatörer (??) fått fatt på intern e-post inom svenska Försvarsmakten, då den skickas okrypterat från svenska fartyg på Östersjön (bloggrannarna Wiseman och Observationsplatsen). Råd med standard (gratis) out-of-the-box SSL/TLS-kryptering har tydligen inte Försvarsmakten, men PRIO ska kosta ytterligare 500 MSEK och försvaret måste låna dessa pengar för att kunna få fungerande verksamhet igen.
1. Läs en kurs i beräkningsbarhet och lambdakalkyl eller något annat kul i de högre årskullarna på någon datavetenskaplig institution på våra universitet, så förstår du varför.
43 kommentarer
Torproject är klart värt att kolla in.
Nej. Tor har bevisade säkerhetsproblem, där man kan sätta upp en honeypot och fiska. All utgående trafik från Tor-noder går att övervaka. En svensk säkerhetsexpert plockade ut lösenord etc från svenska ambassader på det här viset för några år sedan.
Enkelt att sätta upp en egen Tor-server och sätta igång och titta på vad utgående trafik gör. Vem som helst kan göra det.
Sökord: Man-in-the-middle
Nätverk överlag är ett bevisat säkerhetsproblem och det enda man kan göra om man vill vara absolut hundra procent anonym är att ge fan i internet. Bortsett från det är tor ett bra alternativ. Din flashback vpn skulle jag inte lita på för fem öre. Intressant också att du alltid tar för givet att du presenterar information bara du känner till.
För er som vill lära er göra en bearnaisesås rekommenderar jag en matlagningskurs på lite högre nivå så förstår ni hur man gör.
Ja, Tor är ett såkallat "Low latency Network" vilket innebär att det inte skyddar traffik vid gränserna där data går in och ut. Man lyckades så sent som 2011 få loss ip-adresser från bit-torrent användare i Tor nätverket via såkallad "bad apple attack". Själv betalar jag hellre en slant för anonymiseringstjänst typ VPN. Man ska även komma ihåg att "kakor" kan avslöja en (som jag har förståt det) men det finns naturligtvis möjlighet att slå på anonym surf i både Firefox och Chrome. I chrome Ctrl+Shift+N eller kringla+shift+N om man kör mac.
Var presenterar jag information bara jag känner till?
Jag presenterar denna information till läsarna som en tjänst, då det uppenbarligen finns individer som tror de är anonyma men skriker ut sin plats över Internet.
Ah, vilket bra sökord, tack. Jag ska prova att skriva det i google är det va? Du menar att du alltså bemödar dig med att sätta upp en honungsburk för att på något sätt då söka identifiera dina besökare?
Sökord: tennisarmbåge.
Även Safari har (på Mac OSX) anonymt läge, kallat (på engelska) Private browsing.
nonsensikvadrat. Nej, jag menar att Tor är utmärkt för man-in-the-middle-attacker.
Low latency network? Utveckla gärna vad du menar nu. På vilket sätt har nätverks svarstider att göra med "gränser där data går in och ut"?
Corny, rätt använt, förhindrar tor dig att se personlig information om dina besökare eller inte?
Ja, jag kan bara se den personliga information de har lust att delge om de kör Tor. Men problemet med Tor är att tredje part kan se saker. Det är en ganska enkel gissning att många underrättelsetjänster i världen har satt upp Tor-noder för att spana på främmande makt. Det samma gäller kriminella eller hackers, som genom att driva Tor-noder ibland kan fiska ut användbart data.
Min poäng är att Tor inte är idiotsäkert, utan tvärt om om och om igen har använts just för MitM-attacker. Vill man kan man ju dessutom sätta upp ett flertal Tor-servrar som bara pratar med varandra och på så sätt kan identifiera både avsändare och själva trafikinnehållet.
Detta är för mig känd information. Jag tror dock inte att flertalet som vill vara anonyma när de surfar eller bara vill posta något på en blogg utan att bloggägaren snokar bryr sig nämnvärt om underrättelsetjänster. Det är i praktiken nästintill omöjligt att anonymisera sig. Dom bästa sätten är ofta inte dom mest komplicerade eller dyraste sätten heller, utan dom är ofta baserade på ren finurlighet. Exempelvis, ett smart sätt att undgå iallafall många snokande ögon när man vill kommunicera över internet är att skapa ett konto på någon epost-tjänst med ett lösenord känt för båda parter. Istället för att skicka mail, skriver man istället ett utkast som motparten sen läser genom att logga in. Et voila, epost utan epost. Nåja, så smart är det väl egentligen inte men som exempel fungerar det. Hursom, jag ser din poäng Cornucopia.
Mvh.
För övrigt finns det väl inget jag skriver som inte redan är känd information av någon annan.
En delad utkastmapp är mindre säker, inte mer.
"The problem is, like so many other digital security methods employed by terrorists, it doesn’t work. Emails saved in a draft folder are stored just like emails in any other folder in a cloud service, and further, the providers can be compelled, prospectively, to save copies of everything (so that deleting the messages after reading them won’t actually stop investigators from getting a copy)."
http://www.aclu.org/blog/technology-and-liberty-national-security/surveillance-and-security-lessons-petraeus-scandal
Tröttsam myt.
Tekniken fungerar utmärkt. Krypterar du dessutom innehållet i utkastet med lämplig metod, kanske till och med rövarspråket fungerar det ännu bättre. Poängen är att eftersom något mail aldrig skickas med allt det innebär, fastnar man heller inte i några "scanners". Om det nu är terrorister som använder denna metod så är väl allt vunnet om dessa "investigators" letar i efterhand? Slutsats, tekniken fungerar strålande.
Dessutom har såna här tekniker inte uppstått just nu som du verkar tro.
Cosmoskitten, att efter överrenskommet schema byta adress till nya hjälper också, det finns myriader av knep och varianter. Vill du förklara hur detta kan vara MINDRE säkert?
En sak till. För nöjes skull, ponera att man INTE skapar nya meddelanden vid varje byte av kommunikationshåll, utan redigerar samma meddelande/fil på lämpligt sätt, hur hanteras det? Hur många revisioner sparas av samma fil? Man kan ju dessutom leka med tanken att koda in saker i bifogade dokument till utkastet på något finurligt sätt. Jag påstår att det ska mycket till innan det här uppdagas om man i övrigt ser till att inte utmärka sig.
@nonsensikvadrat 21:46
http://www.aclu.org/blog/technology-and-liberty-national-security/surveillance-and-security-lessons-petraeus-scandal
Kort förklaring: Om du kan se vad den andra skrev, så överförs ju _någonting_. Detta någonting kan spåras.
"Ironically enough, by storing emails in a draft folder, rather than an inbox, individuals may be making it even easier for the government to intercept their communications. This is because the Department of Justice has argued that emails in the “draft” or “sent mail” folder are not in “electronic storage” (as defined by the Stored Communications Act), and thus not deserving of warrant protection. Instead, the government has argued it should be able to get such messages with a mere subpoena.
I hope that this scandal will finally kill off this inaccurate myth about hiding emails from the government. General Petraeus should have known better—placing documents in an email “drafts” folder is not an effective way to hide things from the government. It wasn’t 10 years ago, and it certainly isn’t anymore.
More broadly, this scandal centers around email, and it’s a reminder that the legal protections for email fall far short of what they should be. We need to modernize our privacy laws—for example by passing the proposal that is now before the Senate Judiciary Committee—and we need protections that cover metadata of the kind that was apparently so central in this scandal."
Artikeln är skriven av By Chris Soghoian, Principal Technologist and Senior Policy Analyst, ACLU Speech, Privacy and Technology Project. Han har en PhD i relevant område.
Fler av hans artiklar finns på http://www.aclu.org/blog/author/chris-soghoian
Läs vad Karl 19:41 och Alex 20:40 skriver i kommentarerna här, de verkar ha bra koll på läget.
Jag kör mullvad.net och tycker det funkar utmärkt. Det är en riktigt VPN-tjänst. Funkar utmärkt att köra via ipad och iphone också med IOS inbyggda VPN-config, utan att behöva ladda ner någon app. Man kan även betala för tjänsten med bitcoin om man vill vara extra anonym.
Kan du se vart jag sitter nu?
Du påstås sitta i en ort som börjar på F. Ser dock ut att vara en serverhall, så det är antagligen där Mullvad.net kör sin VPN-utgång.
Nån som vet om det verkligen stämmer att anonymiseringstjänter som tex mullvad är undantagna från datalagringsdirektivet?
https://mullvad.net/sv/faq.php#data_retention
Antagligen, ja. Mullvad är ingen ISP och därmed inte skyldig att lagra något. Det som går ut från mullvad kan dock lagras av Mullvads ISP.
Men därmed behöver inte Mullvad lagra något och eventuell spårning slutar hos Mullvad. Skickar du ett okrypterat mail , som lagras av Mullvads ISP i enlighet med direktiven (alltså inte hela mailet), så kan det fortfarande inte spåras längre än till Mullvads tjänst.
Sedan är det ju väldigt många som använder proxys eller anonymiseringstjänster av helt andra skäl än att just bli "anonyma".
Jag har två användningsfall där jag själv använder en "anonymiseringstjänst" utan att vilja vara anonym.
För att komma runt företagspolicys. T.ex. måste jag använda min proxy hemma via SSH för att kunna surfa hit då Cornucopia av någon anledning ligger i vårt surfilter. (Den går dessutom över en VPN-tjänst från den virtuella maskinen vilket i det fallet är lite overkill eftersom jag inte skulle behöva vara anonym, bara komma genom företagsproxyn och se ut som jag är hemma och surfar.)
För att spoofa att man finns i annat land för att nå internettjänster eller få bättre rabatter och liknande. Amerikanska Netflix eller Hula är två som jag själv når på det sättet. Flygbiljetter är ofta billigare om man bokar med amerikanskt IP också.
Men visst belyser du en intressant poäng!
//H – skrivet helt utan proxys. 🙂
Stämmer bra det.
Hade varit rysligt intressant att veta vilka företag som blockerar den här bloggen… Maila mig gärna.
Är det inte så att man i första hand använder sådana tjänster för att man behöver ett IP i ett annat land, typiskt för att kringgå olika slags fåniga bebränsningar, snarare än av anonymitetsskäl?
Jag bor t.ex. i UK för tillfället och vill ibland titta på nån importerad TV-serie på SVT play. Då måste man ha ett IP-nummer i Sverige.
Jag kör relakks.com. C:a 500 spänn per år, funkar utmärkt. Jag antar att det ser ut som jag sitter i Lund, men så är inte fallet.
Jag läser normalt den här bloggen med Google Reader. Kan du ens se det? Jag menar Google Reader läser väl bara in varje inlägg en gång till alla sina läsare. Och hamnar RSS i samma statistik som http-request?
Ja och nej. Jag kör ut min feed via Google FeedBurner, som bäddar in något som kan spåra läsare. Men det finns ett mörkertal. Det Feedburner rapporterar är att jag har 3089 feed-prenumeranter som förra veckan tittade på 8 805 inlägg. Får ju viss reklamintäkt via Adsense for Feeds, som dock läggs ner vid årsskiftet. Därefter är dessa 12% av läsarna en ren förlust. Dock kommer ni ju in ibland in på bloggen för att kommentera och blogginterna länkar ger ju en del trafik, liksom reklam i inlägg, t ex länkar till böcker.
Jag är kanske en förlustanvändare redan nu om man räknar bort de gånger som jag kommenterar (som nu t.ex.) eftersom jag kör filtrerar bort reklamen både i webbläsaren och i Google Reader. Särskilt anonym är jag dock inte…
Den här kommentaren har tagits bort av skribenten.
Tror att en del av trafikökningen beror på att folk får flera plattformar att surfa in på din blog med. Om man t.ex. har två olika telefoner som man surfar med, surfar från jobbet och från hemmet, och dessutom bara kommenterar från en adress, ja då har jag svårt att se att ens den allsmäktige google kan tolka det på annat sätt än som flera unika besökare, åtminstone 4. Själv skiter jag fullständigt i om någon ser var jag surfar ifrån. Men det kan ändå vara bra att städa undan alla spår emellanåt. Enkelt att se om man lyckats, när reklamen för dejtingsajterna kommer tillbaka.
Fast om man loggar från de olika pattformarna på sitt googlekonto, FB, yahoo eller nåt sånt så är man förmodligen identifierad igen som samma användare.
Dessutom bör man väl köra webläsaren i en VMWare instans så att man kan resetta den varje gång… svårt att spara cookies eller något annat i en instans som resettas.
Ja för att vara helt säker bör man starta i en tom virtuell maskin varje gång man ska surfa, betala för en bra anonymiseringstjänst, stänga av cookies och javascript, slå på privat surf, filtera bort alla annonser samt absolut låta bli att logga in någonstans eller klicka på något.
Och vill man skoja till det med NSA kan man kryptera några coredumpar och mejla till någon med lämplig inledande bombtext och nyckelord för att fånga deras nyfikenhet.
Annars, om man inte orkar hålla på så kan man utgå från att någon eller något analysprogram läser allt man skriver och klickar på på nätet, och bete sig därefter.
Kör med anonine till å från, nåt så när vettig nedladdningshastighet, 1028 bits kryptering, kostar ca 40 kr i månaden, vill jag av nån anledning vara extra anonym kör jag in private browsing via IE (litar faktiskt mer på den än på googles). Men jag har hört att firefox ska vara bäst på att dölja fingerprint som det kallas, även med VPN så lämnar din browser ut information som är rätt unik, då gäller de iofs att de tar din dator och jämför mot loggar, men först måste dom hitta dig.
https://panopticlick.eff.org/index.php?action=log&js=yes
Your browser fingerprint appears to be unique among the 2,525,802 tested so far.
Currently, we estimate that your browser has a fingerprint that conveys at least 21.27 bits of identifying information
https://addons.mozilla.org/en-us/firefox/addon/firegloves/
Fick det att funka nu, döljer mer eller mindre fingerprints.
För den som är extremt nojjig så skaffa en helt ren dator, utan någon som helst privat information, skaffa trådlöst bredband via kontaktkort, skaffa vpn 1028 bits via anonine som ni betalar med ett kontantkort, som ni för övrigt köper i en övervakningsfri butik, skaffa firefox, kör "privat surfning" och ha "fire gloves" aktiverat, ställ även in "random" i settings i fire gloves…
Detta är det enda jag vet en vanlig svensson kan skydda sig mot, sen finns det säkert roliga hackers som kan klå en med häpnad. Mitt förslag tar iofs inte mer än några timmar att göra iordning inklusive att installera ett rent windows 🙂
Skydda sig med ska det stå… cornu, coman nu, ge oss mindre begåvade en redigerinsfunktion.
Det är inte obegåvat att skriva fel. Betyder bara att du har viktigare saker att tänka på.
Storebror (och förmodligen en lång rad hackare, journalister och annat löst folk) vet redan nästan allting om mitt knasiga liv. Det kommer dock aldrig att bli film eftersom mitt liv är så j-la tråkigt.
Rättelse:
"Jag är själv väldigt nöjd med Flashback:s VPN-tjänst, flashback.name, även om den bara är en ompaketering av dold.se."
Jag är inte besserwisser men…
Flashbacks:S VPN tjänst är en ompaketering av relakks.com
Gå in på https://www.flashback.name/ och välj rubriken OM TJÄNSTEN
Relakks står högst upp. De har förmodligen missat i översättningen av siten om det nu spelar någon roll. Det viktiga är ju att du är nöjd:-)
Jag kom bara ihåg det som att det var en ompaketering. Hade väl fel om dold.se, vilket är rimligt, då jag provat dold och var missnöjd.