Arvutiteaduse instituut
  1. Kursused
  2. 2023/24 kevad
  3. Infoturve (MTAT.07.028)
EN
Logi sisse

Infoturve 2023/24 kevad

  • Pealeht
  • Loengud ja praktikumid
  • Kodutööd ja reeglid
  • Terminoloogia
  • Eksam
  • Viited

Privaatsus ja anonüümsus veebis

Sisukord

  • Küpsised
    • Küpsiste haldamine brauserites
    • Küpsiste blokeerimine
  • Brauserid ja privaatsusrežiim
  • Veebiliikluse ja asukoha varjamine
    • Tor
    • VPN
    • I2P
  • Kasulikud lingid
  • Moodle foorum ja tagasiside ankeet

Küpsised

Küpsisteks (cookies) nimetakse tekstikujul olevaid andmeid, mida veebilehed salvestavad kasutajate arvutitesse, et säilitada infot veebilehe külastuse kohta. Küpsiseid kasutatakse veebisessioonide haldamiseks, veebilehtede personaliseerimiseks ja ka kasutajate jälgimiseks. Küpsiseid võib kirjeldada kui veebilehtede mälu, näiteks küpsiste abil saab veebipood meelde jätta, mis esemed on asetatud ostukorvi.

Tehniliselt pole küpsised midagi enamat kui tekstilised võti-väärtus (ingl. k. key-value) paarid, kus võti kirjeldab, mis tüüpi info küpsises sisaldub ning küpsise väärtus sisaldab siis vastavaid andmeid. Lisaks võivad küpsistes olla atribuutidena kirjas domeen, path, aegumise kuupäev ning see kas küpsis on edastatud turvalist kanalit pidi. On oluline meelde jätta, et küpsised saavad sisaldada ainult väikest andmehulka, sest küpsise suurus on piiratud 4KB. Seetõttu on küpsise väärtuseks enamasti unikaalne id, millega saab kasutajat identifitseerida. Küpsiste sisu on illustreeritud järgneval ekraanitõmmisel.

Nüüd võib tekkida küsimus, et kuidas ikkagi veebilehed saavad lugeda teie arvutisse salvestatud küpsiste väärtuseid. Selle jaoks tulevad mängu veebibrauserid, kes saadavad vajadusel koos päringuga kaasa ka küpsise. Iga kord kui kasutaja külastab veebilehte, siis saadetakse päringuga kaasa kõik küpsised, mis olid varasemalt seatud selle sama veebilehe (täpsemalt selle domeeni) poolt. Küpsisega seotud atribuute veebilehele ei edastata, päringusse lisatakse ainult küpsise võti-väärtus paar. Nii saab teenus tuvastada, et tegemist on näiteks korduva külastusega (sessiooniküpsiste puhul), mistõttu ei pea kasutaja parooli uuesti sisestama.

Samamoodi saavad reklaamipakkujad, otsingumootorid ja sotsiaalvõrgustikud kasutajaid jälgida, sest veebilehed pannakse kokku paljudest eri domeenidest pärit osadest. Näiteks kui külastatav veebileht sisaldab reklaame või sotsiaalvõrgustiku jagamisnuppe vms, siis saadetakse reklaamipäringuga kaasa vastavate reklaami jagavate domeenide küpsised ning sotsiaalvõrgustike jagamisnuppudele tehtavate päringutega sotsiaalvõrgustike küpsised. Kuna suurte reklaamipakkujate reklaamid ja sotsiaalvõrgustike jagamisnupud on väga paljude veebilehtede küljes, siis saavad reklaamipakkujad ning sotsiaalvõrgustikud küpsises oleva id abil teada, mis veebilehti vastavat id omav kasutaja külastab. Juhul kui küpsises olev id on nende andmebaasis seotud isikuandmetega (sotsiaalvõrgustikud teavad teie isikuandmeid), siis saavad nad infot koguda konkreetse isiku kohta.

Näiteks kui küpsise aegumistähtaeg on kahe aasta pärast, siis jääb küpsis brauserisse kaheks aastaks enne kui see eemaldatakse (juhul kui kasutaja ise küpsiseid ei kustuta) ning seetõttu saab vastav veebileht kahe aasta jooksul vastava kliendi külastusi jälgida. Euroopa Liidus on küpsiste kasutamine reguleeritud "küpsiste seadusega" (ePrivacy Directive). Samas on leitud mitmeid suuri "küpsiste seaduse" rikkumisi. 2015. aastal kirjutati näiteks Facebooki poolt toime pandud rikkumistest Guardiani artiklis. Võime öelda, et nn. küpsiste seaduse poolt kohustuslikuks tehtud teavitusaknad on sisuliselt läbi kukkunud: We need to fix GDPR’s biggest failure: broken cookie notices (2020). 2023. aasta lõpus avaldas Euroopa Andmekaitsenõukogu juhised, mis täpsustavad küpsiste teavituste ja nõusolekuvormidega seotud nõudeid: Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive.

Üldiselt pakub GDPR ehk isikuandmete kaitse üldmäärus EL kodanike jaoks võimalust oma privaatsust oluliselt paremini kaitsta võrreldes muu maailmaga. GDPR raames on tavainimese jaoks kõige relevantsem see, et selle abil saab nõuda ettevõtetelt enda kohta käivat infot ning selle info kustutamist. On oluline aru saada, et GDPR rakendub ainult isikustatud andmetele ja anonüümitud andmestikke GDPR ei reguleeri. GDPR rikkumise korral võivad kaasneda märkimisväärsed trahvid, mis ulatuvad kuni 20 miljoni euroni või 4 protsendini vastava ettevõtte majandusaasta ülemaailmsest kogukäibest sõltuvalt sellest, et kumb on suurem. GDPR trahvide kohta peetakse nimekirja, mis annab hea ülevaate rikkumistest: GDPR Enforcement Tracker

Küpsiste liigitus

Sessiooniküpsis (session cookie)

Sessiooniküpsiseid kasutatakse veebilehtede poolt sessioonide haldamiseks. Veebileht saab sessiooniküpsiste abil meelde jätta mida külastaja veebilehel on teinud. Seda kasutatakse näiteks kauba lisamisel ostukorvi, sellisel juhul jätab veebileht meelde mida külastaja tahaks osta. Ilma küpsisteta ei oleks veebilehtedel mälu. Näiteks ei teaks veebiserver kas uue veebilehe avas uus külastaja või külastaja, kes on juba kauba ostukorvi lisanud.

Sessiooniküpsis luuakse siis, kui küpsisele ei määrata aegumise tähtaega. Sessioonküpsiseid kasutatakse sessiooni vältel ja need kustutatakse brauseri sulgemisel. Demo: Mida saab teha ründaja, kes saab enda kätte sessiooniküpsise?

Sessiooniküpsiseid kasutatakse näiteks internetipankade poolt, aga nemad kasutavad brauseri ja veebiserveri vahel krüpteeritud andmesidet (HTTPS) ja seega on sessiooniküpsis võrgus oleva ründaja jaoks loetamatu.

Püsiküpsis (persistent cookie)

Püsiküpsiseid kasutatakse pikemaajaliseks informatsiooni salvestamiseks. Püsiküpsise säilimisaeg on määratud kas aegumise tähtaja poolt või siis küpsise maksimaalse eluea poolt. Juhul kui küpsis on alles, siis saadetakse see igal (küpsise seadnud) domeeni külastamisel vastavale veebilehele tagasi.

Kolmanda osapoole küpsis (third-party cookie)

Kolmanda osapoole küpsiste abil saab jälgida kasutajate tegevust. Kolmanda osapoole küpsis seatakse külastatavast veebilehest erineva domeeni poolt, näiteks siis kui teiselt domeenilt päritakse fotosid, videoid või muud sisu. Kolmanda osapoole küpsiseid kasutavad aktiivselt online reklaame pakkuvad firmad, et jälgida veebilehtede külastajaid ja pakkuda neile personaliseeritud reklaame. Reklaamifirma reklaame kuvatakse paljudel erinevatel veebilehtedel ja kui kasutaja külastab mitut erinevat lehekülge kus kuvatakse sama reklaamifirma reklaame, siis saab reklaamifirma pärida eelnevalt küpsistesse salvestatud infot ning kindlaks teha, millist lehekülge kasutaja eelnevalt külastas. Kuna küpsise sisu on unikaalne, siis käitub see justkui vastava kasutaja identifikaator, mis võimaldab kasutajat tuvastada. Seega saab kolmanda osapoole küpsiste abil koostada kasutaja kohta profiili, millest kasutaja ise teadlik ei ole.

NB! Levinumad veebilehitsejad on hakanud või plaanivad hakata takistama kolmanda osapoole küpsiste kasutamist kasutajate profileerimiseks.

  • Safari rakendas hakkas 2020. aastal blokeerima kolmanda osapoole küpsiseid.
  • Firefox rakendas sarnase meetme kolm aastat hiljem ehk 2023. aastal: Firefox rolls out Total Cookie Protection by default to more users worldwide.
  • Google Chrome planeerib hakata blokeerima kolmanda osapoole küpsiseid 2024. aasta kolmandas kvartalis.
Firefox poolt kasutatava Total Cookie Protectioni illustratsioon. Allikas: How Firefox’s Total Cookie Protection and container extensions work together

Lisaks proovib Firefox takistada ka muude meetodite abil tehtavat kasutajate profileerimist:

  • Firefox blocks fingerprinting.
  • Firefox 85 Cracks Down on Supercookies
  • Firefoxi poolt blokeeritud jälgimismeetodite ülevaate nägemiseks kirjutage aadressiribale about:protections

Zombi küpsis (zombie küpsis)

Küpsiseid, mis pärast kustutamist taastuvad või mida on raske eemaldada nimetatakse zombi küpsisteks. Zombie küpsiseid saab kasutada inimeste jälgimiseks ja ka identifitseerimiseks. Niisuguseid küpsiseid saab talletada näiteks HTML5 abil ja PNG faili abil. Rohkem salvestusmeetodeid on nimetatud vastavas Wikipedia artiklis: Zombie cookie. Küpsistevaba meetodit andmete salvestamiseks on demonstreeritud veebilehe http://lucb1e.com/rp/cookielesscookies/ poolt.

Küpsiste haldamine brauseris

Veebilehega seotud küpsiste ning nende väärtuste vaatamine

Proovime Google Chrome / Firefox abil vaadata mõne suurema uudisteportaali või sotsiaalvõrgustiku poolt seatud küpsiseid.

Tehke avatud veebilehel parem klõps ning valige tekkinud menüüst valik "Inspect" (Ctrl + Shift + i). Seejärel valige Chrome korral tekkinud vaatest sakk "Application" ja Firefoxi korral "Storage". Nüüd peaks vasakus menüüs olema kategooria nimega "Storage" (Firefoxis on kohe kategooria nimega Cookies), milles asub alamkategooria nimega "Cookies". Laiendage alamkategooriat "Cookies" ning seejärel näete kõiki vastava lehega seotud domeene, mille poolt võidakse küpsiseid seada. Vastava domeeniga seotud küpsiste kuvamiseks vajutage domeeni peale.

Uurige mitu küpsist on uudisteportaali poolt seatud? Mis on nende küpsiste väärtused ning kui kaua need kehtivad. Kas leidsite mõne kolmanda osapoole küpsise, mis on seatud reklaamipakkuja poolt?

Seatud küpsiste vaatamine

  • Google Chrome - Veebilehega seotud küpsiseid saab vaadata arendaja vaate kaudu: Ctrl + Shift + i -> Application -> Cookies. Google eemaldas võimaluse vaadata kõiki brauserisse salvestatud küpsiseid. Siiski on võimalik vaadata, mis domeenid on brauserisse küpsiseid salvestanud: "Settings -> Privacy and security -> Site Settings -> "View permissions and data stored across sites".
  • Firefox - Üksikute küpsite väärtust on võimalik näha vastavat veebilehte külastades läbi arendaja vaate: Ctrl + Shift + i -> Storage -> Cookies.
  • Edge: Veebilehega seotud küpsiseid saab vaadata arendaja vaate abil: F12 -> Storage -> Cookies

Küpsiste seadmise piiramine

  • Google Chrome - Minge "Settings -> Privacy and security -> Third-party cookies". Seal saate piirata kolmanda osapoole küpsiste kasutamist.
  • Firefox - Kolmanda osapoole küpsised isoleeritakse automaatselt. Kaitsemeetme ulatust saab reguleerida siit: "Preferences -> Privacy & Security -> Enhanced Tracking Protection".

Üldisemate seadete jaoks minge: "Preferences -> Privacy & Security -> Enhanced Tracking Protection -> Custom -> Cookies" ning siis valige enda jaoks sobiv filter.

  • Edge: Settings -> Privacy & security -> Browsing data -> Cookies.

Küpsiste kustutamine

  • Google Chrome - Minge "Settings -> Privacy and security -> Clear browsing data" ja märkige ära ajavahemik ning seejärel "Cookies and other site data" ja siis vajutage "Clear data".
  • Firefox - Minge "Preferences -> Privacy & Security -> Cookies and site data". Seejärel valige kas "Clear data" kui soovite eemaldada kõik küpsised või "Manage Data" kui soovite kustutada ainult mõne kindla veebilehe poolt seatud küpsised.
  • Edge: Settings -> Privacy & security -> Browsing data -> Clear browsing data.

Küpsiste blokeerimine

Laiendus Disconnect

Laiendus "Disconnect" on saadaval brauseritele Google Chrome ja Firefox. Androidi seadmetele mõeldud rakendus eemaldati 2014. aastal Google poolt Google Play rakenduste poest, sellest saab lugeda siit.

Disconnect võimaldab kuvada graafi kõikidest veebilehtedest, mis saavad külastuse kohta infot.

Harjutus: Vaatame, kuhu erinevad veebilehed meie külastuse infot edastavad. Selleks avame brauseri Google Chrome ja paigaldame laienduse “Disconnect”, mis kuvab ja blokeerib jälgivaid veebilehti. "Disconnect" on olemas ka Firefoxi jaoks.

Laiendus Privacy Badger

Laiendus Privacy Badger võimaldab piirata veebiliikluse jälgimist. Privacy Badger kuvab analoogselt laiendusele Disconnect domeene, mis tegelevad veebiliikluse jälgimisega, aga lisaks on võimalik keelata ära vastavate domeenide poolt küpsiste seadmine või vastav domeen täielikult blokeerida.

Vaikimisi kasutab Privacy Badger sisu ja küpsiste blokeerimiseks nn domeenide musta nimekirja nagu seda teeb enamik selletaolisi laiendusi. Aga on võimalik kasutada ka n-ö tarka küpsiste blokeerimise funktsionaalsust. Nimelt üritab Privacy Badger õppida, missuguseid küpsiseid kasutatakse jälgimiseks, et neid saaks automaatselt blokeerida. Seetõttu pärast laienduse paigaldamist ei hakka Privacy Badger kohe kolmanda osapoole küpsiseid blokeerima, sest kõigepealt on laiendusel vaja mitmeid veebilehti külastada, et kolmanda osapoole küpsiseid saaks tuvastada ja blokeerida. Mõnikord võib Privacy Badger blokeerida vale küpsise ning see võib muuta veebilehe kuvamise ebameeldivaks või vähendada veebilehe funktsionaalsusi. Sellisel juhul saab vastava veebilehe jaoks Privacy Badger kinni keerata või siis alternatiivse võimalusena vajalike küpsiste kasutamine laienduse kasutajaliidese abil lubada.

Antud laienduse arendamisega tegeleb tuntud digitaalsete õiguste kaitsmisega tegelev organisatsioon Electronic Frontier Foundation. Antud rakendust saab paigaldada Google Chrome veebipoest. Laiendus Privacy Badger on saadaval ka Firefoxi jaoks.

Apple'i Intelligent Tracking Prevention

Alates operatsioonisüsteemidest macOS High Sierra ja iOS 11 on Safari brauseris kasutusel nn. tark jälitamise vältija. See tehnoloogia kasutab heuristilisi meetodeid, et minimaliseerida kolmanda osapoole küpsiste eluiga, mis on seatud domeenide poolt, mida brauserikasutaja pole otseselt külastanud. Sellest tehnoloogiast annab hea ülevaate Security Now taskuhääling (podcast), osa #629 (algab 1:45:10).

Apple on mainitud tehnoloogia reegleid järjest karmistanud ja alates i(Pad)OS versioonist 13.4 ja Safari versioonist 13.1 blokeeritakse kõik kolmanda osapoole küpsised. Safari on suurema turuosaga brauseritest esimene, kes nii ranged reeglid kehtestas. Google plaanis 2022. aastal samuti hakata Google Chrome brauseris kolmanda osapoole küpsiseid blokeerima, kuid see plaan lükati edasi 2024. aastasse. Firefox blokeeris varasemalt kolmanda osapoole küpsiseid musta nimekirja alusel. Alates 2023. aastast hoiustab Firefox kolmanda osapoole küpsiseid iga domeeni jaoks eraldi, mis takistab kasutajate profileerimist üle erinevate domeenide: Firefox rolls out Total Cookie Protection by default to more users worldwide.

Brauserid ja privaatsusrežiim

Brauserid võivad ise koguda kasutajate tegevuse kohta andmeid. Seega tekib küsimus, et missuguseid päringuid brauserid teevad ning mis infot nad edastavad. Tavaline on turvauuenduste kontroll ning see ei tohiks kasutajate privaatsust riivata. Samas teevad pea kõik tuntud brauserid regulaarselt päringuid, et uuendada pahavara ning õngitsuslehtede tuvastamiseks vajalikke nimekirju. Suurem osa brauseritest kontrollib veebilehtede autentsust lokaalse nimekirja vastu ning ei lekita otse külastatava veebilehe aadressi, aga on ka erandeid. Näiteks Microsoft Edge brauser saadab teatud tingimustel külastatava veebilehe aadressi Microsofti serverisse, et kontrollida kas tegemist on õngitsuslehega. Lisaks sellele on tavapärane aadressiribale trükitava info edastamine brauseritootjale või mõnele otsingumootorile. Seda teevad nii Chrome, Firefox, Safari kui ka Edge. Täpsemat infot brauseritega seotud privaatsusprobleemide kohta saate lugeda järgnevast artiklist: Web Browser Privacy: What Do Browsers Say When They Phone Home? (2020). Sellest artiklist on tehtud ka lühiülevaade: Brave deemed most private browser in terms of 'phoning home'

Suurem osa tänapäevastest brauseritest pakub võimalust kasutada nn. privaatsusrežiimi, mis peaks kaitsma kasutaja privaatsust ning takistama kolmandal osapoolel teada saamast, mis veebilehti külastati. Seega saaks privaatsusrežiimide poolt pakutavat funktsionaalsust jagada kaheks: kaitse kohalike ründajate eest, kes võivad omada füüsilist juurdepääsu arvutile ning kaitse selle vastu, et veebilehed saaksid jälgida või tuvastada kasutajaid.

Brauserite privaatsusrežiimi eesmärgiks on kaitsta kasutajat peamiselt kohalike ründajate eest, kes võivad koguda infot arvuti kasutamise kohta. Seetõttu ei salvestata privaatsusrežiimis brauseri ajalugu, küpsiseid ja ajutisi faile. Samas pakub privaatsusrežiim kaitset kohalike ründajate vastu ainult siis kui kasutaja ise on hoolikas ja ettevaatlik. Näiteks ei ole soovitatav privaatsusrežiimis faile alla laadida või seada brauserisse järjehoidjaid. Siiski on levinud valearusaam privaatsusrežiimi poolt pakutava osas. Sellest kirjutatakse järgnevates artiklites:

  • Few Realize “Private Mode” Is Not Really Private
  • Your Secrets Are Safe: How Browsers’ Explanations Impact Misconceptions About Private Browsing Mode (2018)

Lisaks sellele pakuvad privaatsusrežiimid mõningast kaitset väliste ohtude vastu. Ideaalis võiksid privaatsusrežiimid takistada välist ründajat arvutikasutajat tuvastamast, aga reaalses maailmas see ei õnnestu. Enamasti võimaldab privaatsusrežiim ainult küpsiste kustutamist. Mõnel juhul keelatakse ära ka brauseri laiendused, sest ei ole teada kas need võivad infot lekitada. Siiski saavad veebilehed või kolmandad osapooled kasutajaid jälgida IP aadressi abil, zombi küpsise abil, brauseri unikaalsuse abil, käitumusliku profileerimise abil ning lisaks sellele võidakse ka veebiliiklust pealt kuulata. Brauseri unikaalsusel põhinevat identifitseerimist saate katsetada järgneval EFF poolt loodud veebilehel: https://coveryourtracks.eff.org/.

Privaatsusrežiimide kohta saab hea ülevaate MIT kursuse 6.858 Computer Systems Security poolt pakutava video kaudu, mis on tasuta kättesaadav läbi MIT OpenCourseWare programmi.

Firefox Private browsing

Firefoxi saab avada tavalises režiimis ja privaatses režiimis. Privaatses režiimis ei salvestata

  • sirvimise ajalugu
  • otsingute ajalugu
  • allalaadimiste ajalugu
  • vormidesse sisestatud andmeid
  • küpsiseid
  • ajutisi faile

Samas, salvestatakse järjehoidjad, mis luuakse privaatses režiimis ning samuti jäävad kõvakettale alles failid, mis antud režiimis alla laeti. Privaatne režiim on peamiselt mõeldud selleks, et arvutisse ei jääks sirvimisest jälgi. Firefoxi privaatset režiimi saab käivitada järgneva klahvikombinatsiooniga: Ctrl+Shift+P.

Katsetage Firefoxi privaatset režiimi. Kas te märkate, et veebilehed ei jäta meelde teie poolt valitud seadeid?

Google Chrome Incognito browsing

Google Chrome privaatne režiim töötab analoogselt Firefoxi vastavale režiimile. Siiski erineb Google Chrome privaatne režiim selle poolest, et kõik brauseri laiendused keelatakse privaatses režiimis ära, kuna pole teada, kas nad kaitsevad kasutaja privaatsust privaatsusrežiimis. Lisaks sellele tõstab privaatsusrežiim veidi turvataset, sest laiendused võivad sisaldada turvaauke, mida privaatsusrežiimis ei saa ära kasutada. Google Chrome privaatset režiimi saab käivitada järgneva klahvikombinatsiooniga: Ctrl+Shift+N.

Internet Exploreri InPrivate Browsing

Internet Explorer-i privaatne režiim töötab analoogselt Google Chrome vastavale režiimile. Tavaseadistusega keelatakse privaatses režiimis tööriistaribad ja laiendused. Internet Exploreri privaatset režiimi saab käivitada järgneva klahvikombinatsiooniga: Ctrl+Shift+P.

Veebiliikluse ja asukoha varjamine

Kindlasti olete veebis surfates märganud, et mõned teenused teavad, kus linnas te parajasti viibite ilma, et te oleksite teenusesse sisse loginud või neile sellekohast infot andnud. See tuleneb selles, et igal internetis oleval seadmel on unikaalne IP-aadress (vähemalt kohtvõrgu kaupa) ning päringut sooritades saab teenus teada ka kliendi IP-aadressi, et ta teaks kuhu vastus tagasi saata. Kuna avalikke IP-aadresse jagatakse interneti teenusepakkujatele (ISP-dele) plokkide kaupa, siis saab IP-aadressi järgi enam-vähem kindlaks määrata, kus vastav osapool asub: tavaliselt linna kaupa, aga mõnikord ka täpsemalt. Sellist teenust nimetatakse GeoIP.

Lisaks sellel küsivad paljud veebilehed nõusolekut külastaja asukoha tuvastamiseks. Tavaliselt kuvab brauser sellisel juhul dialoogiakna, mis küsib kasutaja käest kas ta on nõus enda asukohta veebilehega jagama. Seda tegevust saab vaikimisi keelata brauseri seadistamise abil.

  • Google Chrome:
    • Settings -> Privacy and security -> Site Settings -> Location
    • Valige Sites can ask for your location asemel Don't allow sites to see your location
  • Firefox:
    • sisestage aadressiribale: about:config
    • nõustuge hoiatusega
    • otsige üles dom.webnotifications.enabled ja määrakse selle väärtuseks false
    • otsige üles geo.enabled ja määrakse selle väärtuseks false

Mõnikord võib olla vajalik oma veebiliiklust anonüümida ja oma tegelikku asukohta varjata näidates kasutatavale teenusele nagu päring tuleks kusagilt mujalt. Selleks on olemas erinevaid vahendusteenuseid (ingl. k. proxy).


Proxy tööpõhimõte (allikas)

Kõige lihtsam selline teenus on HTTP proxy, mis lihtsalt vahendab kliendi veebipäringuid. Ajalooliselt kasutati HTTP proxy teenust veebilehtede vahemäluna, et välisühenduse koormust vähendada.

Krüpteerimata päringud on nähtavad Interneti teenusepakkujale ja sõlmedele, mille kaudu vastavad päringud liiguvad. Seega HTTP protokolli kasutav veebipäring on krüpteerimata ja nähtav sõlmedele mida mööda seda päringut edastatakse. Seega ei paku HTTP proxy kasutamine konfidentsiaalsust ning seda ei tohiks kasutada tundliku info edastamiseks. Tuletame meelde, et HTTPS protokoll tagab krüpteeritud liikluse otspunktide vahel.

Vähese sõnavabadusega riikides võib tekkida olukord kus inimesed peavad varjama oma veebiliiklust selleks, et ennast vabalt väljendada või informatsioonile ilma piiranguteta juurde pääseda. Levinumad meetodid selleks, et enda asukohta ja veebiliiklust varjata on Tor ja ka VPN.

Tor

Tor on tarkvara, mis pakub võimalust anonüümseks veebi sirvimiseks. Tor poolt pakutav teenus pole tsentraliseeritud ja Tor võrgu toimimisele saab igaüks kaasa aidata määrates oma arvuti päringute vahendajaks (relay). Tor-i kasutades suunatakse kasutaja päring läbi mitme suvaliselt valitud vahendaja (teised Tor kasutajate arvutid), kusjuures iga kahe punkti vaheline ühendus on eraldi võtmega krüpteeritud. Nii teab iga vahendaja selles ahelas ainult endale eelnevat ja järgnevat lüli. Kuna Tor suunab liikluse läbi suvaliste kasutajate arvutite, siis sõltub ühenduse kiirus sellest, kuidas liiklust kasutajate vahel edasi suunatakse. Seetõttu võib Tor olla küllaltki aeglane. Rohkem infot Tor kohta leiab wikipeediast või projekti kodulehelt.

  • https://en.wikipedia.org/wiki/Tor_
  • https://www.torproject.org

Tor tööpõhimõte, (allikas).

Tor kasutab nn. Onion marsruutimist, mis tähendab seda, et saadetav sõnum on mitmekordselt krüpteeritud ja ainult viimane ruuter saab sõnumi sisu lugeda. Seda kirjeldab hästi järgmine joonis:


Onion ruutimise tööpõhimõte. (allikas)

Tor tagab anonüümsuse ainult juhul kui kasutaja teab kuidas Tor õigesti kasutada ning on ettevaatlik Tor kasutades. Näiteks ei tohiks Tor abil logida teenustesse, mis omavad teie isikuandmeid juhul kui te tahate enda identiteeti varjata. Samuti peaks olema ettevaatlik Tor abil failide allalaadimisel ning aktiivsisu kasutamisel: https://2019.www.torproject.org/docs/faq.html.en#AmITotallyAnonymous.

Tor vastu on leitud teoreetilisi ründeid ning nende kohta saate leida täpsemat infot soovituslike materjalide juurest. Järgnevalt kirjeldame lühidalt paari Tor vastast rünnet. Näiteks 2014 aasta suvel avastati Tor vastane rünnak, mille eesmärgiks oli Tor kasutajate identifitseerimine. Ründe sooritamiseks lisati Tor võrgustikku masinaid, mis olid ründaja kontrolli all. See võimaldas ründajal mõningatel juhtudel kontrollida nii ahela esimest kui ka viimast lüli, mis lõi võimaluse kasutajate desanonüümimiseks. Sellest kirjutas ülevaate BBC News ja tehnilisemalt Tor blogi. Aasta hiljem avastati uus Tor vastane rünnak, mis võimaldas desanonüümida varjatud teenuseid, ülevaate sellest ründest leiab Ars Technica artiklist. Lisaks neile rünnetele on Tor kasutajate identifitseerimiseks kasutatud zombie küpsiseid, sellest kirjutatakse NSA poolt lekkinud dokumendis 'Tor Stinks' presentation.

Tor kohta saab hea ülevaate MIT kursuse 6.858 Computer Systems Security poolt pakutava video kaudu, mis on tasuta kättesaadav MIT OpenCourseWare programmi kaudu. Viidatud videos esineb üks Tor peamine arendaja Nick Mathewson. Antud video on lisamaterjal, mis aitab paremini selgitada Tor vajalikkust ning samuti seda, kuidas Tor toimib.

VPN

VPN (Virtual Private Network), nagu nimigi ütleb, on privaatne virtuaalvõrk. VPN-i mõte on selles, et kogu selle kasutajatevaheline võrguliiklus on krüpteeritud. Nii saavutatakse olukord, kus avaliku võrgu (internet) peale tekib teine, virtuaalne ja krüpteeritud andmevahetuskiht, mille abil saab turvaliselt suhelda. VPN-i kasutavad eelkõige ettevõtted selleks, et võimaldada kontorist väljaspoolt asuvatele töötajatele ligipääs ettevõtte sisevõrgule. Samuti saab VPN abil niimoodi ühendada ettevõtte kahte harukontorit üle interneti.

Kuigi VPN pole päris selleks loodud, annab ka selle abil oma päringuid mingil määral varjata. Suunates oma päringu läbi VPN-i tekitatud virtuaalvõrgu on interneti teenusepakkujale näha ainult krüpteeritud liiklus ja päritavale veebilehele paistab, et päring tuleb VPN serverist. Päringu tegija asukoht (ja isik) jäävad veebilehe jaoks saladuseks. Seega võib VPN mõelda kui krüpteeritud proxy teenusest.

Samas on oluline mõista, et VPN ei paku täielikku anonüümsust, sest VPN server näeb oma klientide IP aadresse ning teab, mis veebilehtedele nad päringuid teevad. Lisaks omab VPN teenusepakkuja ilmselt klientide kontaktandmeid ning isegi kui neid pole salvestatud, siis peab klient VPN teenuse eest maksma ning sellest jääb enamasti maha jälg. VPN teenusepakkujad peavad järgima selle riigi seadusi kus nad juriidiliselt tegutsevad ning seega võib anonüümsuse saavutamiseks olla oluline VPN teenusepakkuja juriidiline asukoht. Lisaks sellele on oluline teada kas VPN teenusepakkuja kasutab logimist, et salvestada klientide poolt tehtavaid päringuid. Täpsemalt saate kasutajate jälgimiseks kasutatavate meetodite kohta lugeda allpool olevatest lisamaterjalidest.


VPN tööpõhimõte. Allikas: https://web.archive.org/web/20121201000502/http://acidx.net/wordpress/2011/12/how-to-set-up-a-vpn-on-dd-wrt

Tegelikult saab sarnast krüpteeritud andmevahetuskanalit luua ja selle kaudu läbi teiste serverite päringuid teha ka SSH abil.

I2P

Invisible Internet Project (I2P) on anonüümimisvõrgustik nagu Tor, aga lisaks kogu liikluse kihilisele krüpteerimisele on I2P puhul ka ühenduse otspunktide identiteet saladus. I2P võrgustikus on kõik osapooled identifitseeritavad vaid krüptograafiliste pseudonüümide abil. Loe lähemalt I2P kodulehelt.

Kasulikud lingid

  • GDPR
    • List of GDPR fines
  • HTTP cookie
    • HTTP cookie
    • The Cookie Law Explained
    • Cookiepedia
  • Meetodid kasutajate tuvastamiseks
    • Behavioral Profiling: The password you can't change. (2015)
    • Cover Your Tracks
    • Am i unique?
    • Cookieless cookies
    • Printer Tracking, List of Printers Which Do or Do Not Display Tracking Dots
  • Jälgimise ja desanonüümimise kohta käivad artiklid
    • Exposing the Hidden Web: Third-Party HTTP Requests On One Million Websites (2015)
    • De-anonymizing Web Browsing Data with Social Networks (2017)
    • I never signed up for this! Privacy implications of email tracking (2017)
    • (Cross-)Browser Fingerprinting via OS and Hardware Level Features (2017)
    • How a single line of computer code put thousands of innocent Turks in jail (2018)
    • Fitness app Strava lights up staff at military bases (2018)
    • Third Party Tracking in the Mobile Ecosystem (2018)
    • Good News for People Who Love Bad News: Centralization, Privacy, and Transparency on US News Sites (2019)
    • Privacy Policies over Time: Curation and Analysis of a Million-Document Dataset (2020)
    • A Day in the Life of Your Data (2021)
    • Large-scale Analysis of DNS-based Tracking Evasion - broad data leaks included? (2021)
    • The CNAME of the Game: Large-scale Analysis of DNS-based Tracking Evasion (2021)
    • Bugs in our Pockets: The Risks of Client-Side Scanning (2021)
    • Security and Privacy Risks of Number Recycling at Mobile Carriers in the United States (2021)
    • Are iPhones Really Better for Privacy? A Comparative Study of iOS and Android Apps (2022)
    • GDPR enforcers rule that IAB Europe’s consent popups are unlawful (2022)
    • Blocking JavaScript without Breaking the Web: An Empirical Investigation (2023)
  • VPN
    • Why You Should Start Using a VPN (and How to Choose the Best One for Your Needs)
    • An Analysis of the Privacy and Security Risks of Android VPN Permission-enabled Apps (2016)
    • Majority of Android VPNs can’t be trusted to make users more secure (2017)
    • Which VPN Services Take Your Anonymity Seriously? (2023)
  • Tor
    • Low-Cost Traffic Analysis of Tor (2006)
    • Compromising Tor Anonymity Exploiting P2P Information Leakage (2010)
    • One Bad Apple Spoils the Bunch: Exploiting P2P Applications to Trace and Profile Tor Users (2011)
    • LASTor: A Low-Latency AS-Aware Tor Client (2012)
    • The Sniper Attack: Anonymously Deanonymizing and Disabling the Tor Network (2014)
    • Tor attack may have unmasked dark net users (2014)
    • Advanced Tor Browser Fingerprinting (2016)
    • Ultrasound Tracking Could Be Used to Deanonymize Tor Users (2017)
    • When A Small Leak Sinks A Great Ship: Deanonymizing Tor Hidden Service Users Through Bitcoin Transactions Analysis (2018)
    • Point Break: A Study of Bandwidth Denial-of-Service Attacks against Tor (2019)
  • Arvutiteaduse instituut
  • Loodus- ja täppisteaduste valdkond
  • Tartu Ülikool
Tehniliste probleemide või küsimuste korral kirjuta:

Kursuse sisu ja korralduslike küsimustega pöörduge kursuse korraldajate poole.
Õppematerjalide varalised autoriõigused kuuluvad Tartu Ülikoolile. Õppematerjalide kasutamine on lubatud autoriõiguse seaduses ettenähtud teose vaba kasutamise eesmärkidel ja tingimustel. Õppematerjalide kasutamisel on kasutaja kohustatud viitama õppematerjalide autorile.
Õppematerjalide kasutamine muudel eesmärkidel on lubatud ainult Tartu Ülikooli eelneval kirjalikul nõusolekul.
Courses’i keskkonna kasutustingimused