Er det mulig å browse i privat modus og være sikker på at du fortsatt får være anonym? Svaret er nei. Super cookies er uansett i stand til å spore deg.
Selv om du går på nettet i privat modus, gjør ny teknologi det mulig for nettsider å omgå personvernet du trodde skulle sikre deg, dersom du som bruker ikke gjør helt spesielle tiltak.
Så si alle nettlesere, enten det er Chrome, Firefox eller hvilken som helst annen søkemotor, har i årevis tilbudt muligheten for en innstilling som sørger for at du kan surfe fritt og anonymt, uten at cookies, søkehistorikk eller temporære filer blir notert. De som er opptatt av privatlivets fred stoler på at disse innstillingene skal forhindre at deres identitet blir kjent og ettersporet, og at de nettstedene de oppsøker ikke skal finne ut av hva som var deres forutgående bevegelser.
En software-programmerer har nå funnet en måte som gjør at nettsteder på en enkel måte kan omgå dine forsøk på å sikre privatlivets fred. Om du derfor ønsker å være på den sikre siden, må du gripe til helt spesielle foranstaltninger.
Ironisk nok er det en forholdsvis ny sikkerhetsinnretning som er kjent som HTTP Strict Transport Security som er ”synderen”. Nettsider bruker løsningen for å sikre at sluttbrukere er koplet opp mot og interagerer med deres servere kun når de bruker sikre HTTPS forbindelser. Når en nettleser mottar en forespørsel til en server, legger den til et flagg i headeren som forsikrer om at all videre kommunikasjon med web-siden er kryptert ved å bruke en av de vanlige HTTPS-protokollene. Ved at all kommunikasjon blir kryptert etter at den første forbindelsen er opprettet, vil HSTS sørge for å beskytte brukerne mot å bli utsatt for angrep som fører til nedgradering, og som tillater hackere å konvertere en kryptert forbindelse til en ren tekst HTTP. Sam Greenhalgh, en teknologi- og software-konsulent som benytter Radical Research, har funnet en måte å omgå dette sikkerhetstiltaket på. Det åpner opp for en større risiko forbundet med hensynet til personvern. Han demonstrerer dette gjennom et konsept som han kaller HSTS Super Cookies. Som med vanlige cookies tillater de ham å legge igjen fingeravtrykk fra vanlige brukere som ikke benytter seg av muligheten for privat modus når de server på nettet. Om de skulle vende tilbake, vil han se hvilke sider som de har vært inne og sett på.
Det er to forhold som gir hans cookies superkrefter. For det første fordi når de først er plassert på den spesifikke nettleseren og plattformen som den kjører, vil cookiene komme frem selv om en bruker har gått over til anonym surfing. Det andre er at cookiene kan leses fra websider med mange ulike domenenavn, ikke bare den ene som opprinnelig ble registrert. Resultatet er at om ikke en bruker tar i bruk spesielle tiltak som forhindrer denne muligheten (som de fleste tror er sikret fordi de allerede har stilt inn privat modus), vil supercookiene fortsatt eksistere og leve sitt eget liv i nettleseren og på den måten tillate en mengde nettsider å spore bevegelsene dine gjennom weben.
Den siste oppdateringen av dette sikkerhetsproblemet er at den nyeste versjonen av Firefox, 34.0.5, ikke lenger tillater HSTS Super Cookies i ordinær modus når du har satt nettleseren i privat modus. Greenhalgh sier at denne oppdateringen er skjedd nylig, men viste frem screenshots som beviste at hans PoC forsatt virket på Firefox’ 33, iallfall når det ble kjørt på Windows. Firefox 34.0.5 tillot fortsatt en mengde nettsider å benytte supercookies. Chrome på Windows var fortsatt sårbart og helt åpent, det samme med Chrome og Safari når de ble kjørt på en iPad som ble testet av Ars. Internet Explorer er ikke utsatt på samme måten fordi de versjonene som av nettleseren som støttes ikke støtter HSTS.
How it works
Uansett hvilken nettside kan HSTS bare bli brukt med én binær verdi – enten på eller av. For å komme forbi denne begrensningen, knytter Greenhalgh sammen 32 sider, tilføyer alle på og av og lagrer dem som et binært nummer. Resultatet er at kapasiteten til å tagge mer enn to milliarder individuelle nettbrukere.
For å gjøre det enklere på selve websiden, er desimalnummeret han bruker konvertert til en 36-basert streng, slik at 169ze7 blir brukt for å representere 71009647, eller Im8nsf blir brukt for å representere 1307145327. En mindre samvittighetsfull nettside kunne gjøre den samme sporingen på en måte som var atskillig mindre gjennomsiktig.
Ironisk nok er det en forholdsvis ny sikkerhetsinnretning som er kjent som HTTP Strict Transport Security som er ”synderen”. Nettsider bruker løsningen for å sikre at sluttbrukere er koplet opp mot og interagerer med deres servere kun når de bruker sikre HTTPS forbindelser. Når en nettleser mottar en forespørsel til en server, legger den til et flagg i headeren som forsikrer om at all videre kommunikasjon med web-siden er kryptert ved å bruke en av de vanlige HTTPS-protokollene. Ved at all kommunikasjon blir kryptert etter at den første forbindelsen er opprettet, vil HSTS sørge for å beskytte brukerne mot å bli utsatt for angrep som fører til nedgradering, og som tillater hackere å konvertere en kryptert forbindelse til en ren tekst HTTP. Sam Greenhalgh, en teknologi- og software-konsulent som benytter Radical Research, har funnet en måte å omgå dette sikkerhetstiltaket på. Det åpner opp for en større risiko forbundet med hensynet til personvern. Han demonstrerer dette gjennom et konsept som han kaller HSTS Super Cookies. Som med vanlige cookies tillater de ham å legge igjen fingeravtrykk fra vanlige brukere som ikke benytter seg av muligheten for privat modus når de server på nettet. Om de skulle vende tilbake, vil han se hvilke sider som de har vært inne og sett på.
