Integritet och Medvetenhet på internet: Beteendespårning och dess

Transcription

Integritet och Medvetenhet på internet: Beteendespårning och dess
Examensarbete
Integritet och medvetenhet på
internet
Beteendespårning och dess konsekvenser
Författare: Fred Uggla, Teddy Wong
Handledare: Jacob Lindehoff
Examinator: Dr. Jonas Lundberg
Termin: HT2015
Ämne: Datavetenskap
Nivå: G1E
Kurskod: 1DV41E
Sammanfattning
Diskussionen om personlig integritet, anonymitet och säkerhet på internet är idag
väldigt aktuell. En konsekvens av ny teknik och de större vinstmöjligheter som finns
i IT-branschen skapar efterfrågan på analys av internetanvändare. Datainsamlingen
sker via sociala medier, sökmotorer och genom dolda dörrar in till användares
privatliv. Uppsatsen analyserar ett antal olika tekniker för hur information samlas in.
Syftet är att svara på hur spårning och profilering sker genom datainsamling. I en
enkät frågas användare om de är medvetna om datainsamlingen, och de får även
svara på hur de ställer sig till den information som presenteras i enkäten. Vidare
testas och analyseras flera verktyg som kan blockera olika typer av datainsamling.
Nyckelord: kakor, blockeringsverktyg, beteendespårning, sekretess, integritet,
datainsamling.
i
Stort tack till vår handledare Jacob Lindehoff och till alla som genomförde enkäten.
ii
Innehåll
1
2
3
4
Introduktion
1.1 Inledning . . . . . . . . .
1.2 Bakgrund . . . . . . . . .
1.3 Tidigare forskning . . . . .
1.4 Problemformulering . . . .
1.5 Tillvägagångssätt . . . . .
1.6 Syfte . . . . . . . . . . . .
1.7 Frågeställning och hypotes
1.8 Målgrupp . . . . . . . . .
1.9 Disposition . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
Bakgrund och teori
2.1 Datainsamling . . . . . . . . . . . . . . . .
2.2 Beteendespårning . . . . . . . . . . . . . .
2.3 HTTP-session . . . . . . . . . . . . . . . .
2.4 Användaragent . . . . . . . . . . . . . . .
2.5 Kakor . . . . . . . . . . . . . . . . . . . .
2.6 Superkakor . . . . . . . . . . . . . . . . .
2.7 Fingeravtryck . . . . . . . . . . . . . . . .
2.8 Web Bugs . . . . . . . . . . . . . . . . . .
2.9 Spionprogram och skadlig kod . . . . . . .
2.10 Trafikanalys . . . . . . . . . . . . . . . . .
2.11 Geografisk positionering av mobila enheter
2.12 Åtgärder mot spårning . . . . . . . . . . .
2.12.1 Blockeringsverktyg . . . . . . . . .
2.12.2 Inkognitoläge . . . . . . . . . . . .
2.12.3 Sekretessinställningar . . . . . . .
2.12.4 Tredjepart och kryptering . . . . . .
2.12.5 Lagar . . . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
1
1
1
1
2
3
3
3
3
4
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
5
5
5
5
5
6
7
8
9
9
10
10
10
10
11
11
12
12
Metod
3.1 Vetenskaplig ansats . . . . . . . . . . . . . . .
3.2 Datainsamling . . . . . . . . . . . . . . . . . .
3.2.1 Urval och genomförande av enkät . . .
3.2.2 Urval och genomförande av experiment
3.3 Analys . . . . . . . . . . . . . . . . . . . . . .
3.4 Etiska överväganden . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
13
13
13
13
14
15
15
Resultat och analys
4.1 Blockeringsverktyg . . . . .
4.2 Tredjepart och trafikanalys .
4.3 Enkätsvar . . . . . . . . . .
4.4 Sammanfattning av enkätsvar
4.5 Analys . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
16
16
18
19
25
26
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
5
Diskussion
27
6
Avslutning
6.1 Slutsats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.2 Förslag till fortsatt forskning . . . . . . . . . . . . . . . . . . . . .
29
29
29
A Bilaga 1
A
1
Introduktion
I kapitlet presenteras bakgrund och tidigare forskning inom ämnet. Vidare beskrivs
arbetets syfte tillsammans med problemformulering, hypotes och disposition.
1.1
Inledning
Insamling av internetanvändares vanor och beteende är en stor tillgång för både
företag och myndigheter. Syftet kan exempelvis vara att erbjuda besökare en
hemsida med dynamiska och avancerade funktioner, eller att samla in statistik över
användandet [1]. Vilka konsekvenser har denna typ av datainsamling och är
användarna medvetna om vad och hur deras nyttjande av internet loggförs? Detta är
frågor som kommer att besvaras i denna studie.
1.2
Bakgrund
I samband med att spårning och insamling av användares internetvanor blir allt
vanligare har också en ökad medvetenhet hos allmänheten uppstått när det gäller
behov av integritetsskydd. Orsaken till att insamling av information är så
betydelsefullt är nya tekniska möjligheter att samla in data, men också ökat
användande av digitala tjänster där insamlingen är viktigt ur ett
försäljningsperspektiv [1, 2].
Debatt kring spårningen och kontroll av individers integritet är inget nytt fenomen,
men den har ökat de senaste åren då media uppmärksammat ett flertal negativa
händelser med anknytning till integriteten på internet. Enligt Skolverket är
exempelvis yngre generationer medvetna om riskerna och är också vana att anpassa
sig till nyare teknik [3].
2012 skrev Angwin och Valentino-Devris artikeln Google’s iPhone Tracking [4]. De
avslöjade att företaget Google ignorerade iphoneanvändares personliga inställningar
för att kunna spåra nätaktivitet, även om användarna uttryckligen valt att inte tillåta
detta. Under samma tidpunkt publicerades avslöjanden rörande den amerikanska
myndigheten National Security Agency (NSA) och den globala massövervakning de
utför. Detta resulterade i eftertanke hos användare angående risker och hot mot den
personliga integriteten på internet [5]. Under senare tid har även känslig
användardata läckt från stora etablerade företag, vars registrerade användare
sannolikt känner sig mindre säkra att använda berörda eller liknande tjänster [6].
En stor del av informationen om användares beteenden och vanor insamlas av
naturliga skäl i förhållandet mellan en webbserver, en webbläsare och dess
tillhörande variabler. Analys kan exempelvis inkludera hur tjänster nyttjas,
navigeras samt dess besöksfrekvens. Det finns ingen teknisk begränsning som
förhindrar anknytning till mer privat data som kontoinformation och formulärsvar.
1.3
Tidigare forskning
European Network and Information Security Agency (ENISA) har med en
omfattande studie visat hur beteendespårning sker ur ett tekniskt perspektiv och till
vilken grad detta sker. Syftet med studien är bland annat att besvara frågorna
“Varför blir vi spårade?” och “Hur blir vi det?”. Studien går också in på hur möjliga
framtida trender kan se ut med fokus på de nya tekniska möjligheterna inom IT,
exempelvis mobila enheter och trådlös kommunikation [7].
1
Samma studie analyserar även riskerna för hur beteendespårningen kan missbrukas
när massövervakning av medborgare sker av säkerhetsskäl, politiska skäl eller
bådadera. En av riskerna vid profilering av användare och dess koppling till
diskriminering är nyttjande av samhällstjänster. Ett exempel är möjligheten att ta
reda på om en medborgare verkligen är sjuk genom att koppla dennes
internetbeteende till sjukförsäkringen.
Silvskog och Söderbergs kandidatarbete Skydd av personlig integritet på Internet
[8] belyser dels de tekniska delarna, dels de reflektioner som härrör till skyddande
av integritet. De beskriver även hur klimatet kring uppkopplad integritet utvecklats
under tidigt 2000-tal. I en mer aktuell svensk enkätundersökning av Petterson och
Tornstad undersöks medvetenhet hos internetanvändare kring marknadsföring och
datainsamling. Enkätsvaren visar att en stor del av respondenterna inte läser vad
som skrivs i media rörande ämnet integritet. På frågan om i vilket syfte de trodde
övervakningen och datainsamlingar har svarade 25% marknadsföring, 23% statistik,
19% kommersiellt och 10% svarade geografisk positionering av personer [9].
En viktig process för att möta framtida utmaningar för hot mot den personliga
integriteten är utbildning och information i ett tidigt stadie. ENISAs rapport Privacy
considerations of online behavioural tracking förklarar att användare som är
medvetna och utbildade kring konsekvenserna av spårning på internet har bättre
möjligheter att göra mer informerande val som är kopplade till just spridning av
privat information. De listar olika existerande typer av informationmöjligheter i
USA som kan få användare att bli mer medvetna. Bland annat med generella råd
gällande privatliv på internet samt innovativa utbildningar i hur användare kan
använda verktyg för att motverka spårning. Dessa utbildningar och
informationsmöten kan vara aktuella även i Sverige för bättre medvetande hos
svenska internetanvändare [7].
1.4
Problemformulering
Enligt den årliga studien Svenskarna och internet hade 2014 hela 92% av
befolkningen tillgång till internet. När sedan samma studie visar att 70% av
användarna någon gång besöker sociala medier är det lukrativt för företag att rikta
reklam mot specifika målgrupper. Den riktade reklamen mot användare är en av
orsakerna till att spårningen är så omfattande idag. Trots ökade nyheter om intrång
mot den personliga integriteten på internet visar studien att 84% av de tillfrågade
inte höll med om att “det inte längre finns någon personlig integritet”. Endast 41%
tycker att oron för den personliga integriteten på internet är berättigad samtidigt
som 23% tycker att den är överdriven [10].
All den information som dagligen görs tillgänglig tillsammans med spårning av
användarnas vanor skapar ett behov av diskussioner och slutsatser. Arbetet
undersöker hur medveten gemena man är om spårning på internet, vilka tekniker
som är skapade för spårning och i vilken utsträckning det går att förebygga
spårningen för att sedan presentera resultatet. Arbetet hanterar frågor kring syftet
med spårningen samt problematisera riktad reklam och kopplingen den har till
beteendespårningen hos internetanvändare. Arbetet ger även en bild av hur en
grupp användare förhåller sig till att deras beteende i teorin kan användas till att
kartlägga aktiviteter och genom det profilera på en avancerad nivå. Det var dessa
tankar som föranledde utformningen av detta examensarbete.
2
1.5
Tillvägagångssätt
Arbetet är ett resultat av följande steg:
1) En övergripande undersökning av spårningsteknik.
2) Ett urval av verktyg lämpliga för att aktivt förhindra spårning.
3) Ett test för att avgöra verktygens effektivitet, sammanfattat i ett lättillgängligt
material.
4) En enkätsundersökning (med föregående material infogat) gällande gemene
mans syn på integritet.
5) En analys och presentation av enkätens resultat.
1.6
Syfte
Syftet med studien och den tekniska undersökningen är att dels belysa de problemen
som kan vara en konsekvens av beteendespårning, dels analysera och presentera hur
internetanvändare tar ställning till tekniken. Hur medvetna är de och hur förhåller de
sig idag till spårningen som sker på internet. Syftet är även att se utanför den
datavetenskapliga världens fokus på teknik. Detta med inkludering av användarnas
egna reflektioner för att på ett effektivt sätt komma fram till varför problemen med
spårning eller liknande bör bejakas. Om det är ett problem överhuvudtaget.
Utifrån en teknisk analys ska en grupp användare informeras om ämnet på ett
lättförståeligt sätt, för att sedan presentera ett sammanställt resultat före och efter
den bifogade informationen. Materialet som användarna tar del av ska baseras på de
(under arbetets gång) undersökta tekniker som används för att spåra användare,
vilket syfte spårningen har och hur den kan användas i både positiva samt negativa
syften.
1.7
Frågeställning och hypotes
Bakgrunden visar att problemen med beteendespårning på internet är en mycket
viktig samhällsfråga då den påverkar oss alla, både privat och i arbetslivet oavsett
yrkeskategori eller inkomst. Integritet i samband med insamling av
personinformation är viktiga frågor som länge har diskuterats och för att förstå den
insamling som sker behöver tekniken förklaras på ett lättillgängligt sätt.
De inledande frågeställningarna lyder, ur ett tekniskt perspektiv:
1) Hur blir internetanvändare spårade och profilerade genom datainsamling?
2) Är användarna av internet medvetna om aktiv datainsamling och dess
innebörd?
3) Kan en vanlig användare skydda sig mot detta? Om så har fallet, hur?
4) Hur förhåller sig en grupp människor till vårt resultat på frågorna ovan?
1.8
Målgrupp
Arbetets resultat och utförande riktar sig till alla som har ett intresse för
beteendespårning eller övervakning. Detta inkluderar dels de som har en bakgrund
inom datavetenskap, dels de som bara är nyfikna på ämnet. Förhoppningen är även
att nå de som vill få en insikt i hur användare av internet ställer sig till spårning.
3
1.9
Disposition
Examensarbetet består av 7 kapitel. Introduktion, Bakgrund/Teori, Metod, Resultat
och Analys, Diskussion samt Avslutning.
Kapitel 1 förklarar bakgrunden och varför ämnet integritet och medvetenhet är
utvalt. Här presenteras också problembeskrivning, syfte med arbetet, tidigare
forskning samt de inledande frågeställningarna för examensarbetet. Kapitel 2
förklarar teoretisk datainsamling och spårning, de tekniker som används och även
förebyggande beteende och tekniker. I kapitel 3 presenteras metod och
tillvägagångsätt för studie och efterforskning. I kapitel 4 visas och analyseras
resultatet av studien och tester vid användande av förebyggande åtgärder mot
datainsamling och spårning, vilket sedan diskuteras i kapitel 6. Avslutningsvis
presenteras slutsats och förslag på framtida forskning i kapitel 7.
4
2
Bakgrund och teori
I detta kapitel beskrivs koncepten datainsamling och beteendespårning. Därefter
förklaras ett flertal tekniker och begrepp rörande nyttjande av internet. Vidare
presenteras ett antal spårningsmetoder samt hur dessa teoretiskt kan undvikas.
2.1
Datainsamling
Processen datainsamling kan beskrivas som en undersökning med syfte att besvara
ett antal frågor. Allmänt anpassningsbart till en stor mängd olika metoder vilket gör
datainsamling aktuellt oavsett fält. I samband med modern teknik blir det allt
enklare att samla in data på en global nivå. Detta är inte begränsat till enkäter och
intervjuer utan även ren beteendeanalys utan direkt inblandning av individen [11].
I detta arbete läggs främst fokus på att detta genomförs utan samtycke. Digital
datainsamling kontra personlig integritet.
2.2
Beteendespårning
Med beteendespårning avses den datainsamling som syftar till att användas för att
kartlägga individers nyttjande av tjänster och produkter, och i digitala sammanhang
vanligtvis applikationer och hemsidor. Utifrån resultatet kan utvecklare se över och
förbättra existerande tjänster. Den negativa aspekten av beteendespårning (och
andra typer av datainsamling) är kopplingen till den personliga integriteten och
konsekvensen av att ett fåtal ansvarar för användarnas personliga information.
Speciellt om olika källor slås samman till en mer heltäckande databas [12].
2.3
HTTP-session
För att korrekt beskriva kommande avsnitt rörande kakor behövs även en förklaring
av HTTP-sessioner. Det är en del av protokollet HTTP (Hyptertext Transfer
Protocol) och tillhandahåller möjligheten att skapa en bestående anslutning mellan
en webbläsare och en server med ett unikt sessions-ID (SID). Kommunikation
mellan klienten och servern sker tillsammans med denna SID. Webbservern kan då
skilja en klients webbläsare från övriga som besöker en och samma hemsida.
Normalt sätt sparar klienten endast denna SID, som den tilldelas av webbservern,
ingen annan information om själva sessionen sparas. Klienten skickar sedan med
sin SID tillsammans med andra viktiga attribut för att servern ska kunna koppla
innehåll med besökare. Den informationen kallas kaka (cookie). All övrig
information som krävs för att hålla en HTTP-session igång sparas på servern. När
den blir kontaktad av klienten och får kakan vet server vilken information som ska
presentera för klienten tack vare det sessions-ID som finns i kakan [13].
2.4
Användaragent
Vid besök av en hemsida (under en HTTP-session) identifierar webbläsaren sig mot
den anslutna servern med en sträng text kallad användaragent (user-agent string).
Den innehåller kort information om den anslutna klientens webbläsare med syftet
att underlätta för utvecklare att anpassa material efter olika typer av mjukvara och
hårdvara. Utifrån användaragentens innehåll kan exempelvis en webbserver erbjuda
att skicka mobilanvändare vidare till en specialanpassad version av den hemsida de
vill besöka [14].
Strängen i sig kan formateras på olika sätt, men innehåller i regel följande fält:
5
Webbläsarens namn, följt av versionsnummer (vanligtvis en siffra).
Systemuppgifter som hårdvara, operativsystem, processorarkitektur och liknande.
Vidare finns information om vilken motor programmet använder för att visa sidor,
samt ett fält för eventuella tillägg. Innehållet är överlag grundläggande och
utvecklare vill (och kan) få tillgång till mer information. Figur 1 är ett exempel på
en användaragent. [14, 15, 16, 17].
Mozilla/5.0 (Windows NT 6.1; WOW64; rv:37.0)
Gecko/20100101 Firefox/37.0
Figur 1
Användaragent med ett förlegat standardvärde för kompatibilitet, Microsoft
Windows 7, 64-bitars processorarkitektur, version 37 av geckomotorn under
webbläsaren Firefox (även den version 37).
2.5
Kakor
Post- och telestyrelsen beskriver en kaka som “en liten textfil som webbplatsen du
besöker begär att spara på din dator“. Tekniken implementerades i webbläsaren
Netscape Navigator för att hjälpa webbservrar att spara klientens förhållande till
servern efter en avslutad HTTP-session. Det finns idag modernare alternativ för att
via en webbläsare lagra större mängd data lokalt, men kakor används fortfarande
kontinuerligt i en mängd olika applikationer och syften [18, 19, 20, 21].
Kakor kan vara temporära eller kvarstående. En temporär kaka är identifierbar
genom avsaknaden av förfallodatum. Kakor raderas normalt när webbläsare (eller
en HTTP-session) avslutas. Den kvarstående kakan har ett utgångsdatum bestämt av
servern. De kan även delas in i ytterligare grupper baserat på attribut. En säker kaka
kan endast skickas över krypterade anslutningar genom protokollet HTTPS och en
kaka av typen HTTPOnly kan bara skickas via protokollet HTTP samt HTTPS till
skillnad från normala kakor som kan skickas med JavaScript. I regel är de, oavsett
typ, endast anslutna till en domän. Det finns dock tredjepartskakor vars domännamn
inte matchar den klienten besöker, utan är kopplat till en extern server
[19, 22, 23, 24].
Syftet är i regel att underlätta för användaren genom att låta sidorna ha tillgång till
information om tidigare besök för att visa relevant innehåll för korrekt klient. Även
egenskaper och inställningar kan sparas för att vara kvarstående till användarens
nästa återbesök, vilket kan hända långt senare. Exempelvis kan utvalda
inköpsobjekt vid e-handel finnas kvar i en personlig kundvagn även efter utloggning
från tjänsten och avstängning av webbläsaren. Utan kakor eller liknande tekniker
kan en användare som går från en sida till en annan betraktas av servern som en helt
ny anslutning. Utan kakor skulle många besök på webbsidor sakna dynamik och
vara direkt tekniskt begränsade. Det finns många olika praktiska exempel på hur
utvecklare utnyttjar kakor för att skapa interaktiva och användbara webbplatser
[22, 25].
När en klient gör en förfrågan till en webbsida genererar servern, som hanterar
sidan, en session-identifier (SID). Denna SID blir sedan en del av kakan som skapas
på klienten. Servern skickar alltså ett svar som ett vanligt HTTP-anrop till klienten
tillsammans med en Set-Cookie header innehållande information om SID,
utgångsdatum och övriga attribut. Kakan är nu sparad hos klienten och en kopia av
kakan skickas sedan tillbaka varje gång en ny förfrågan görs till webbservern. När
6
klienten får tillbaka svar sparas informationen om de objekt som berörs i den redan
existerande kakan för webbsidan. Figur 2 visar hur kakan skapas och används i
teorin [26].
Figur 2
Kaka skapas och trafikeras.
Kakan inkluderas endast i klientens HTTP-anrop till den domän den berör. Innan
sändning av kakan jämförs attributet domännamn mot den givna adressen till
webbsidan. Är den givna adressen www.example.com accepteras sändningen till
domänen example.com. Detta gäller även underdomäner om attributet i kakan är satt
till .example.com. Är attributet bestämt till test.example.com accepteras sändning
endast till den underdomänen. Innehållet är statiskt och bestäms på serversidan
[26, 27]. Detta för att förhindra att känslig information skickas till fel mottagare.
sessionToken=123456
expires=Tue, 09 Jun 2021 10:18:14 GMT
path=/ domain=.example.com
Figur 3
Exempel på en kaka för domänen example.com, med ett ID som identifierar
sessionen samt utgångsdatum år 2021.
En Third-Party cookie är tekniskt identiskt med en First-Party cookie. Skillnaden är
att den kommunicerar med en server och ett domännamn kopplat till en tredje part.
Detta kan ske om sidans innehåll är hämtat från en annan server än den som
klienten kommunicerar med.
2.6
Superkakor
Det finns ett behov att ersätta förlegade spårningsfunktioner med nya. Många av
dessa faller in under benämningen supercookies. Det innebär nödvändigtvis inte att
tekniken för HTTP-kakor används, men att syftet är detsamma [28, 29, 30].
Säkerhetsfunktionen HTTP Strict Transport Security (HSTS) skapades för att
säkerhetsställa att användare endast ansluter till servrar över HTTPS, en krypterad
HTTP-anslutning. I tillhörande RFC nummer 6767 nämns dock att det finns
utrymme för kreativ manipulation, vilket är något som utvecklaren Greenhalgh har
tagit vara på genom att skapa en spårningsprototyp namngiven HSTS Supercookie
[31, 32]. Vanliga kakor är textfiler skapade för syftet att spara data och följer HTTPs
tekniska utformning. Detta påverkar dock inte den metod som Greenhalgh
7
demonstrerar och uppmärksammar. En HSTS-kaka är ett fristående koncept, helt
kapabelt att spåra en användare som exempelvis hoppar fram och tillbaka mellan
temporära surflägen (närmare beskrivet under avsnitt 2.12.2) som inte sparar
historik eller kakor. För trots namnet har tekniken egentligen inget traditionella
kakor att göra. Mozilla och Google har dock efter publikationen uppdaterat sina
respektive webbläsare för att blockera HSTS-kakor [31].
Ytterligare ett exempel på en superkaka är att koppla en vanlig kaka till en uppdelad
toppdomän. Exempelvis .co.uk och inte faktiska toppdomäner som .se eller .com.
Kakan blir då tillgänglig för samtliga underdomäner, till skillnad från en vanlig
kaka som är låst till en enda domän. En klient kan då spåras mellan alla sidor som
slutar på .co.uk. Även detta problem är uppmärksammat och ett publikt tillgängligt
skydd uppdateras successivt [33].
Samtliga av de större webbläsarna har stöd för någon form av insticksmoduler för
att utöka webbläsares funktioner utöver det normala. En av de mest använda är
Adobe Flash Player, vilket ger möjlighet att exekvera SWF-filer direkt i
webbläsaren eller som en del av existerande HTML. Modulen används ofta till att
skapa enklare webbspel eller videospelare. Flash beräknas under 2015 finnas
tillgänglig på över en miljard enheter [34]. Programmet tillhandahåller en mängd
funktioner, bland annat Local Shared Objects vilket tillåter modulen att lagra data
lokalt på klienter. Utan närmare förklaring kan tekniken liknas med HTTP-kakor
och i vardagligt tal omnämns Local Shared Objects ofta som Flash Cookies. Även
problematiken är densamma, HTTP-kakor kan användas för att spåra användarna
och det kan även Flash Cookies [35]. De kan också vara svårare för en användare
att identifiera och radera då lagringen är skild från HTTP-kakor. Flash Cookies har
bland annat använts som säkerhetskopiering för att återställa radera spårningskakor
[36, 37].
2.7
Fingeravtryck
Äldre analog teknik, som kameror, skrivmaskiner och dylikt, producerar material
som åtskiljer sig en aning från varandra. Papper skrivna på en viss typ av
skrivmaskiner ser ut på ett visst sätt, bilder fotograferade med optik från en viss
kameratillverkare ger en speciell ton på bilderna. Med kunskap om skillnaderna kan
insatta individer identifiera vilken teknik som används utifrån resultatet de håller i
handen. Ett liknande koncept existerar i den digitala världen. Om en klient besöker
en webbsida kan servern identifiera vilken webbläsare som används genom att
avläsa webbläsarens användaragent (beskrivet ovan) [38].
En användaragents grundläggande information saknar tillräckligt unika värden för
att identifiera klienter på individuell nivå, då antalet återkommande och identiska
användaragenter är för högt. Klienter med samma operativsystem och mjukvara ser
med andra ord lika ut ur serverns synpunkt. Därför behövs mer detaljerad
information för att identifiera en klient, för att skilja den från mängden och skapa ett
digitalt fingeravtryck. Med fler tillgängliga variabler kommer en större möjlighet att
skapa ett unikt ID. Här finns det flera utgångspunkter att hämta data ifrån. Notera att
detta är en vridning av det ursprungliga syftet. Information finns tillgänglig för att
hjälpa utvecklare att programmera mjukvara, inte för att spåra användare.
Insticksmodulerna Flash Player, Silverlight och Java tillsammans med skriptspråk
som Javascript tillgängliggör alla information om klientens tekniska specifikationer.
Skärmupplösning, uppspelningsmöjligheter av ljud och video, språk, tillgängligt
minne, landskod, tillgängliga API:er, CSS-egenskaper, HTML5-funktioner, typsnitt,
8
inställningar med mera. Utöver det skapar grafikprocessorer tvådimensionell grafik
(HTML Canvas) på ett unikt sätt utifrån mjukvara som drivrutiner, operativsystem
och webbläsare. Med andra ord finns långt mycket mer information tillgängligt,
utöver det som användaragenten innehåller [39].
En vanlig webbläsare går, enligt ett verktyg från organisationen Electronic Frontier
Foundation (EFF), utan problem att skilja från mängden. Det behövs med andra ord
egentligen varken kakor, IP-adress eller användaragent för att särskilja en klient från
övriga. EFF anser att det räcker med att samla in tillgänglig information från
webbläsaren för att kunna skapa ett digitalt fingeravtryck [17].
2.8
Web Bugs
Web Bugs definieras som ett nästintill osynligt element. En minimal och
genomskinlig bild på en webbsida eller i ett epostmeddelande. En sådan typ av
spårning möjliggör åtkomst till IP-adress, tidpunkt för besök eller öppnande av
e-post, domänadress som besökts, och tidigare satta Set-Cookie värden hos klienten.
Tekniken kan enkelt appliceras på vanliga HTML-dokument eller e-post med
HTML-innehåll.
Några syften med web bugs är att identifiera vem användaren är, hur frekvent
användaren läser dokument och hur många som har klickat på en länk. Tekniken
används också i vissa fall till att verifiera e-postadresser. Öppnandet av ett
e-postmeddelande verifierar då att mottagaren har läst meddelandet [40, 41].
2.9
Spionprogram och skadlig kod
I denna del syftar spionprogram på mjukvara installerad på en användares klient för
att skicka data till en tredje part och inte på spionprogram som ett utfärdat koncept.
Av de digitala tekniker för spårning som är undersökta i denna studie är det den som
uppmärksammas mest i media. Sannolikt för att det är enkelt att jämföra med
traditionell avlyssning [42, 43, 44].
Datainsamling i marknadsföringssyfte får ses som förhållandevis oskyldigt i
jämförelse med de möjligheter som finns. Tillgången till data begränsas endast av
programmerad funktion och utformning kontra skyddande säkerhetsmekanismer.
Som nämnt ovan finns en uppmärksammad hotbild gentemot allmänheten och med
det kommer en uppsjö av kommersiella och fria skydd [45].
Spionprogram i sig är en någorlunda generell benämning på en mjukvarugrupp och
det kan vara svårt att särskilja från övriga program med skadlig kod, då de ofta
existerar i symbios med varandra. En gemensam nämnare är dock insamling av data
och information. Det betyder dock inte att alla former av spionprogram är kopplade
till intrång i form att trojaner eller dylikt, utan de kan vara en del av gratistjänster.
Exempelvis kan en kostnadsfri musiktjänst erbjudas i utbyte mot möjligheten till att
visa annonser utifrån användares tycke och smak [46].
Det finns exempel där skadlig kod inte utför någon aktiv spårning eller
datainsamling i sig, utan utför en förändring av användares personliga inställningar.
Mest utsatt är de vanligaste webbläsarna. Ändringar inkluderar vald startsida,
standardsökmotor, proxyinställningar, aktiverade insticksmoduler med mera.
Avsikten är ofta att injicera annonser på välbesökta sidor, exempelvis Wikipedia.
Bieffekten av en kapad webbläsare är en stor möjlighet till datainsamling, speciellt
om trafiken går via en tredjepart (proxy) [47, 48, 49, 50].
9
2.10
Trafikanalys
Tidigare avsnitt har främst fokuserat på två spårningspunkter, serversidan och
klientsidan. Det finns ytterligare ett alternativ, vilket är att låta en mellanhand
analysera nätverkstrafik någonstans innan en klient når en server. Funktionen är
med fördel placerad nära kanten av ett lokalt nätverk vilket ger största möjliga
åtkomst till trafik. Intentionen är vanligtvis att uppfylla en lokal policy genom att
konfigurera en enda filtreringspunkt, istället för att arbeta på klientnivå [51].
Det finns flera exempel på hur detta kan implementeras En variant är användandet
av mjukvaran Pfsense som med lämplig hårdvara kan agera brandvägg. Trafik kan
på låg nivå utan problem analyseras och loggföras. Det finns även möjlighet att
utöka existerande funktioner. Squid förbättrar användares internetupplevelse genom
att temporärt spara extern data som ofta efterfrågas. Tack vare verktyget Lightsquid
förenklas administrationen ytterligare med grafisk presentation av vad som sparas
ner på disk [52, 53, 54]. Här blir spårning och datainsamling transparent för
användaren, men det finns också ett mycket större krav på tillit. Speciellt inom ett
nätverk kopplat till en organisation, ett företag eller liknande. Det finns egentligen
bara anledning att ta hänsyn vid nyttjande av opålitliga nätverk.
2.11
Geografisk positionering av mobila enheter
Allt fler använder smarta mobila enheter tillsammans med tjänster över internet
[55]. Det existerar flera metoder för att geografiskt positionera dessa enheter och
därmed även användarna. Ett relativt nytt fenomen är att tjänster baserar sitt eller
användarens material på den geografiska positionen.
Tjänster och relaterad teknik som förlitar sig på geografisk positionering benäms
som Location Based Services (LBS) [56]. Det finns många olika implementationer.
Exempelvis sammhällskritiska tjänster (räddningstjänster, vägassistans), mobila
reklamtjänster (kupongpresentation och riktad reklam beroende på närliggande
tjänster), informationstjänster (dynamiska positioner av närliggande
samhällstjänster) samt navigeringstjänster (rutt-information, spårning av egen mobil
eller fordon).
LBS använder olika typer av teknik för att positionera enheter. Vanligast är
uppkoppling mot satelliter med Global Position Systems (GPS) med en precision på
några få meter utomhus. En annan vanlig teknik är positionering med Cell Identifier
i mobila enheter med hjälp av radiofrekvenser och triangulering. Denna teknik är
inte lika positionssäker i jämförelse med föregående alternativ [55, 45].
2.12
Åtgärder mot spårning
När det gäller att förhindra spårning finns det minst lika många alternativ som det
finns metoder att utföra spårning. Denna rapport undersöker till viss del åtgärder
mot de tekniker som tidigare nämnts, men ska på inget sätt ses som varken
heltäckande eller ett rekommenderat utförande.
2.12.1
Blockeringsverktyg
Enklare webbplatser utan dynamiskt innehåll arbetar i regel mot ett domännamn.
Data med utformning, innehåll och eventuella funktioner finns alla lagrade på
samma plats. Detta gäller i regel inte större webbplatser med högt antal besökare,
10
där laddas istället material från servrar tillgängliga under andra domäner. En
nyhetssida kan exempelvis hämta artiklar, annonser och kommentarer från skilda
domännamn. I samband med detta kan också spårning av användare utföras, då flera
webbplatser utnyttjar samma tjänster för att exempelvis hämta och visa annonser
[57].
Här uppstår ett intresse att kontrollera vilka anslutningar som är relevanta för form,
funktion och innehåll samt vilka som är mindre önskvärda. Detta kan utföras
manuellt på nivå med operativsystemet (hosts) men är vanligtvis en del av
webbläsare i form av tillägg. Det rör sig inte om anti-virus utan mjukvara som
utökar redan existerande funktioner. Skydd mot skadlig kod är vanligare under
webbläsaren tillsammans med operativsystemet. Då i form av programvara som
arbetar antingen aktivt elelr passivt. Detta inkluderar anti-virus och brandväggar,
men även mer specificerade verktyg. Vilka alternativ som finns eller effektiviteten
hos dessa har inte undersökts närmare i denna rapport [58, 59].
2.12.2
Inkognitoläge
Med ett inkognitoläge, privat surfning eller ett gästläge kan en webbläsare nyttjas
precis som vanligt. Dock sparas endast historik och kakor temporärt, vilket till viss
del förhindrar tredjepartsspårning med HTTP-kakor. De försvinner när läget
avslutas. I vissa webbläsare sparas heller inte några nya lösenord, sökningar eller
historik om nedladdning. Syftet är att inte lämna några spår efter sig på en lokal
klient, vilket kan vara lämpligt vid nyttjande av en publik dator med flera användare
[60, 61, 62].
2.12.3
Sekretessinställningar
Flertalet av de internetbaserade tjänster som arbetar med spårning tillåter någon
form av avhopp (opt out). Tekniken kan liknas vid NIX, vilket är en spärrlista för
telefonsamtal i marknadsförings- försäljnings- eller insamlingssyfte. Det finns dock
inget globalt avhopp utan det konfigureras enskilt för specifika tjänster. Valet sparas
sedan i en kaka (opt out cookie) vilket noterar att klienten undanber sig från
spårning. Kakan bör därför bevaras permanent för att behålla inställningen. Det
finns även verktyg för att underlätta avhopp. Network Advertising Initiative (NAI)
tillåter avhopp från företag som är medlemmar i initiativet. Det finns även verktyg
som förnyar denna typ av kakor per automatik [63, 64, 65, 66, 67, 68, 69, 70, 71].
Notera att avhopp inte behöver innebära att datainsamling inte utförs, utan kan
betyda att möjligheten till riktad reklam inte kommer utnyttjas. Det finns med andra
ord ingen exakt definition av vad avhopp innebär i detta sammanhang. Problemet
har resulterat i kritik från World Privacy Forum (WPF) samt förslag och
framtagande av nya lösningar [72, 73].
En alternativ teknik vars namn inte ger utrymme för tveksamheter och som sen
några år tillbaka är anammad av samtliga större webbläsare är Do Not Track (DNT).
I likhet med kakor och användaragenter är DNT en del av HTTP, dock fortfarande
som ett tillval och inte som standard. Funktionen utgår från klientens individuella
inställningar vilket anger om DNT ska vara på eller av, därefter är det upp till
serversidan att agera korrekt utifrån funktionens syfte. Ett tjugotal företag har gjort
publika uttalanden om att de tar hänsyn till DNT [74, 75, 76].
11
2.12.4
Tredjepart och kryptering
Vanligtvis flödar trafik fram och tillbaka på internet mellan en avsändare och en
mottagare, en klient och en server. Sannolikt berör innehållet i kommunikation
endast de två punkterna, men det måste passera fler korsningar på vägen för att
komma rätt. Under den fasen blir innehållet som mest utsatt för att påverkas eller
läsas av en tredjepart. Utan något form av skydd kan det liknas med att skicka
vykort eller brev utan kuvert. Detta kan åtgärdas genom att kryptera innehållet
under transporten. När det gäller HTTP används ofta HTTPS, vilket helt enkelt är
krypterad HTTP-trafik. En beprövad teknik som har ett utbrett stöd i modern
hårdvara och mjukvara [77, 78].
Kryptering förhindrar med andra ord analys av innehållet men det döljer varken
avsändare eller mottagare, vilket kan vara önskvärt. Problemet kan tyckas vara
komplext, då det är svårt att få fram post utan mottogarens adress. En lösning är att
inte gå den traditionella vägen, snabbast möjliga från punkt A till punkt B, utan
istället ta en omväg via en pålitlig tredjepart. Detta kan genomföras med ett Virtual
Private Network (VPN) eller en proxy. Metoden beskrivs av Cisco som att paketera
sitt kuvert i ytterligare ett kuvert och be en vän, en mellanhand, att vidarebefordra
innehållet till den egentliga mottagaren. Tekniken används i praktiken idag och
finns i ett antal olika utföranden [78].
2.12.5
Lagar
Europaparlamentet har flera utarbetade och omfattande direktiv för hur den privata
integriteten ska skyddas och personers fri- och rättigheter behandlas när det gäller
personuppgifter. I Svensk lag är det dessutom skrivet att “alla som besöker en
webbplats med kakor ska få tillgång till information om att webbplatsen innehåller
kakor och ändamålet med användningen av kakor. Besökaren ska också lämna sitt
samtycke till att kakor används” [18]. Europaparlamentets datadirektiv från 1995
riktas på insamling av personliga uppgifter och hanteringen av informationen ur ett
brett perspektiv [79]. Europakommissionens faktablad Rätten att bli bortglömd"[80]
går igenom en rättsprocess i Spanien där en privatperson hävdade att Googles
spanska kontor inkräktade på personens integritet genom att göra en notis om hans
beslagtagna fastighet tillgänglig på deras sökmotor. Faktabladet innehåller dels
rättsprocessens dokument och även förslag på framtida reformer tänkta att möta en
växande globalisering och den moderna teknikens möjligheter.
12
3
Metod
I detta kapitel presenteras de tillvägagångssätt som använts för datainsamling och
analys.
3.1
Vetenskaplig ansats
Arbetet i rapporten är främst ett resultat av en induktiv ansats. Experiment har
utförts under så realistiska förhållanden som möjligt för att få data utifrån en verklig
miljö. Syftet är att utgå från informationen resterande delar, men även ha en bra
grund till den enkät som har genomförts. Svaren till frågorna är indelade i alternativ,
men skrivna för att få målgruppen att tänka efter och bilda sig en egen uppfattning
vid svar, snarare än att endast utgå ifrån fakta. Det finns dock frågor som är klart
mer kvantitativa är kvalitativa.
3.2
Datainsamling
Till att börja med undersöktes aktuella blockeringsverktyg och dess effektivitet med
syfte att konstruera ett lättillgängligt material utifrån resultatet. Detta infogades som
en del i den enkätundersökning som skickades till målgruppen i hopp om att
dokumentera en reaktion på innehållet, men även att informera om vårt resultat.
Enkätens övriga frågor är skapade utifrån arbetets frågeställningar. De riktar sig inte
till en specifik grupp vilket föranleder till att några intervjuer inte har gjorts.
Respondenterna hålls anonyma och det finns ingen personlig information att tillgå
bortsett från inledande filtreringsfrågor. Detta för att få så många och ärliga svar
som möjligt.
3.2.1
Urval och genomförande av enkät
Med arbetets syfte samt målgrupp i åtanke valdes det att hålla enkätens
respondenter helt anonyma och inga specifika urvalsstrategier inte har förekommit.
En förfrågan om svar och spridning skickades via e-post till Sveriges samtliga
kommuner samt till större universitet och högskolor. Avslutningsvis spreds länken
till enkäten på sociala medier för att nå ut till bekanta, vänner och vänners vänner.
Meddelandet som sändes instruerade mottagaren att sprida länken internt eller i
personliga kretsar, vilket gör det omöjligt att veta hur många enkäten når ut till.
Enkäten var öppen från den 28 april 2015 till den 10 maj 2015. Det totala antalet
svar är 610 och antalet ofullständiga svar var 270 vilka då förkastades för att
kvalitén på resultatet skulle vara så hög som möjligt. Antal avslutade svar var 340.
Enkäten är webbaserad och är skapad med mjukvaran LimeServey [81].
Undersökningens utformning och frågornas formulering togs främst fram med hjälp
av arbetets handledare. Det ställs 10 primära frågor i enkäten tillsammans med 2
eventuella följdfrågor som visas då specifika svarsalternativ markeras. Dessa
behandlar respondenternas syn på, och förhållande till, personlig integritet på
internet. 5 frågor besvaras i början av enkäten och är profilerade frågor om
könsidentitet, ålder, bostadsort, sysselsättning samt högsta avslutade
utbildningsnivå.
13
Flera av frågorna kan besvaras med fritext om svarsalternativ inte representerar
respondenterna tilltänkta svar som då skapar en eftersträvad dynamik i
datainsamlingen. Frågor om påståenden svarades med en likertskala för att få en
spridning mätbar spridning. Alternativen innefattade “Inte alls”, “I liten grad”, “Till
viss del”, “I hög grad”, eller “Helt och hållet”. Enkäten innehöll även en förklarande
del som belyser vad en kaka är och hur klienten i experimentet blev ansluten till
externa hemsidor utan direkt koppling till den faktiska sidan. Del 4 innehöll ett
lägre antal frågor än övriga delar och utformades i ett informativt syfte. Resultatet
från experiment kring blockeringsverktygs effektivitet presenterades på ett, i största
möjliga mån, pedagogiskt vis. Avsikten var att undersöka respondenternas reaktion
genom att upplysa målgruppen vad som sker i bakgrunden vid vardagligt surfande.
3.2.2
Urval och genomförande av experiment
Av de organisationer och företag som utvecklar mjukvara är Mozilla i framkant när
det gäller integritet. Version 37 av deras webbläsare Mozilla Firefox har ett enormt
bibliotek av tillägg och var därför lämplig som testplattform till
blockeringsverktygen. De valdes i sin tur utifrån ett antal kriterier. Liknande syfte
men olika funktion, för att få en teknisk skillnad. Antalet nuvarande användare, för
att få med minst ett populärt verktyg. Användarvänlighet, för att avgöra om
tilläggen kan nyttjas oavsett teknisk bakgrund samt hur de påverkar webbsidors
innehåll. Bakgrund och tillförlitlighet, för att hitta ett verktyg att rekommendera i
enkäten. Detta avgjordes med en granskning av ett antal applikationers
dokumentation och diskussionsforum. Det gav en klar bild över vilka verktyg som
var lämpliga att jämföra. En fördjupning genomfördes också för att att bättre förstå
den tekniska funktionen av de utvalda verktygen [82].
En jämförelse utfördes genom att installera tilläggen i tre separata instanser av
Mozilla Firefox. Samtliga preparerades med Lightbeam 1.2.1 vilket bland annat
övervakar vilka domäner webbläsaren blir ansluten till. Därefter upprepades ett
identiskt surfningsmönster på samtliga instanser. Ett tiotal sidor där flertalet hade
svensk anknytning besöktes, användes och lämnades. Under tiden dokumenterades
prestanda, helhet och användarvänlighet tillsammans med de faktiska resultaten
från Lightbeam [83]. Steg ett var att kontrollera hur många anslutningar som
gjordes till tredjeparts-domäner, d.v.s. domäner ej kopplad till den hemsida som
faktiskt besöktes. En analys av hur många domäner som begärs och även får
tillgång till kakor i detta exempel görs. I steg två av experimentet mäts systemets
minnesanvändning hos de olika blockeringsverktygen där samtliga mätningar
utfördes efter en kallstart av systemet. Följande mönster följdes i experimentet och
genomfördes i samma ordning på samtliga instanser.
• Aftonbladet.se
Visning av specifik artikel (utan videoströmmning).
• DN.se
Visning av specifik artikel (utan videoströmmning).
• Facebook.se
Inloggning. Sökning efter och visning av specifik grupp.
• Flashback.org
Visning av specifikt inlägg.
• Google.se
Sökord: recept.nu. Sökning och visning av specifikt recept på recept.nu.
• Blocket.se
Val av specifikt område. Sökning efter och visning av specifik annons.
14
• Feber.se
Visning av specifik artikel (utan videoströmmning).
• Existenz.se
Visning av kommentarer relaterade till specifik artikel.
• Prisjakt.nu
Sökning efter samt visning av specifik produkt.
• Soccerway.com
Visning av specifik liga under menyn tävling".
3.3
Analys
Analysen är indelad i två kategorier och kan inte kopplas till någon dokumenterad
metod utan är genomförd helt på fri hand. Experiment har utförts i en kontrollerad
och realistiskt miljö. Ett identiskt mönster har upprepats med de olika verktygen
och därefter har kontroller utförts av vilken teknik som har tillåtits och vilken som
har blockerats. Detta har i sin tur rangordnats efter effektivitet med hänsyn till
verktygens ursprung och pålitlighet.
Resultatet från de upprepade experimenten undersöktes kvantitativt för att kunna
användas för att utforma en enkätundersökning fokuserad på kvalitativa frågor.
Detta har i sin tur kunnat analyseras för att få en inblick i allmänbildning och
uppfattning kring ämnet integritet på internet. Det insamlade resultatet har
analyserats kvantitativt för att jämföra effektiviteten mellan olika metoder för att
upptäcka spårning.
3.4
Etiska överväganden
Flera av enkätfrågorna är ställda på en personlig nivå och kan ses som utelämnade
då de rör individers privatliv. Främst del 1 med profilfrågor som ålder, könsidentitet
och sysselsättning, men även frågorna i del två som berör vilken typ av information
personen delar med sig av i slutna sammanhang. Detta utvärderades som känsligt i
förhållande till arbetets titel. Insamlad data och svar kan därför inte kopplas till
person genom exempelvis IP-adress, referrerings-url, webanalys, datum eller dylikt,
då ett endast tilldelas ett ID för indexering. Enkätmjukvaran är ej heller konfigurerad
för att använda token, utan är öppen för samtliga. För närmare information, se
avsnittet “publication & access control” i Limesurveys dokumentation [84].
15
4
Resultat och analys
Kapitlet innehåller en praktisk undersökning av ett antal verktyg mot spårning samt
en fördjupning med fokus på effektivitet. Vidare presenteras data från den
enkätundersökning som utförts.
4.1
Blockeringsverktyg
Ett enkelt och vanligt alternativ till åtgärder mot olika typer av spårning är
blockeringsverktyg kopplade till en webbläsare i form av tillägg. Problematiken är
vad som ska blockeras och vilka riktlinjer som ska följas vid automatisering.
Vanligtvis kontrolleras detta med olika vit-listor och svart-listor tillgängliga för
prenumeration. Tilläggen Ublock, Ublock Origin och Adblock Plus delar in
rekommenderade listor i följande kategorier: Ads, privacy, malware domains,
social, multipurpose and regions. Här finns även en säkerhetsaspekt utanför
spårning då listor med domäner kända för spridning av skadlig kod är tillgängliga.
Effektiviteten är hög mot många typer av spårning, då blockeringen sker redan på
anslutningsnivå. Mer avancerade verktyg tillåter även blockering av individuella
element. Möjligheten att skräddarsy olika funktioner är till stor del beroende av
användares tekniska kunskaper och utan närmare konfiguration fungerar inte
tilläggen optimalt. Utifrån behovet att kunna rekommendera ett användbart skydd
oavsett bakgrund inom informationsteknik utvecklas Privacy Badger från EFF.
Tillägget har ingen svartlista med tillåtna domäner utan söker främst efter kod som
inte respekterar sekretessinställningen Do Not Track [57, 85, 86, 87, 88, 89, 90].
Ovan nämnda tillägg kan utan problem hanteras utan insikt i koncept som
nätverkskommunikation och programmering. Däremot kräver Request Policy
Continued och NoScript en djupare kunskap för att utnyttjas, då de vingklipper en
mycket stor del av hemsidors funktion genom att nästan bara släppa igenom statiskt
innehåll. Exempelvis tillåter NoScript inte exekvering av JavaScript, Adobe Flash,
Java eller liknande oavsett (det finns dock en liten vit-lista) vilken domän som
besöks. Användaren får istället bestämma (på global eller lokal nivå) vilka domäner
som är godkända. Resultatet är en hög säkerhet men, utan aktivt ställningstagande,
till viss del oanvändbara sidor [63, 91].
Följande verktyg valdes ut:
• Adblock Plus 2.6.9
Mycket populärt verktyg för blockering av reklam.
• Ublock Origin 0.9.1.0
Nyare alternativ till Adblock Plus.
• Privacy Badger 0.2.6.2
Tillförlitligt verktyg utvecklat av EFF.
• NoScript Security Suite 2.6.9.22
Avancerat verktyg med krav på tekniskt kunnande.
16
I experimentet besöks 10 hemsidor. Vid varje test navigeras sidorna och en viss
aktivitet görs på varje hemsida. Exempelvis ett klick på en och samma artikel på en
nyhetssida eller på ett inlägg i en blogg. NoScript är det verktyg som blockerar
högst antal anslutningar till tredje-partsdomäner följt av Ublock Origin enligt figur
4. Däremot kan inte vissa sidor användas normalt med tillägget NoScript.
Exempelvis kan endast mobilversionen av Facebook användas, skrivbordsversionen
fungerar inte alls. Ublock Origin blockerar flest antal förfrågningar och sändningar
av kakor från webbläsaren. Endast 5 kakor passerade tilläggets kriterier. I figur 5
visas antal kakor skickade vid användandet av tilläggen. Adblock Plus visade sig
kräva mer internminne än de övriga tilläggen, se figur 6.
Figur 4
Antal anslutningar mot externa domäner för varje verktyg.
Figur 5
Antal kakor som tillåts skickas till domäner under experimentet.
17
Figur 6
Minnesanvändningen för varje tillägg jämfört med FireFox utan tillägg.
4.2
Tredjepart och trafikanalys
För att undvika att bli spårad (eller avlyssnad) av en tredjepart på en tekniskt mer
avancerad nivå finns flera alternativ. Ingen av dessa är tänkta att skydda mot kakor
eller dylikt utan endast för att kontrollera informationen under transporten, när den
färdas från avsändaren till mottagaren.
En vanlig och grundläggande metod är HTTPS. Vanlig HTTP-kommunikation
krypteras då för att bara kunna läsas av server och klient. Det går fortfarande att
utröna avsändare och mottagare på IP-nivå, men inte mycket mer än så. Det kan
med andra ord synas att en användare besöker en IP-adress som tillhör Wikipedia,
men inte alls vilka artiklar användaren läser. HTTPS är i många fall ett tillval och
måste därför aktiveras manuellt på tjänstbasis. Detta kan undvikas med nyttjande av
mjukvaran HTTPS Everywhere som automatiskt aktiverar HTTPS när det är möjligt
[92, 93, 94].
Nästa steg i kedjan är ett virtuellt privat nätverk (Virtual Private Network, VPN). En
säker anslutning mellan två punkter över ett opålitligt nätverk skapas, exempelvis
mellan två kontor eller för anställda som vill arbeta hemifrån. Till skillnad från
HTTPS kan VPN hantera fler former av datakommunikation och är transparent för
överliggande applikationer. Tekniken har idag en benämning som skiljer sig från det
ursprungliga syftet och syftar ofta på de tredjepartstjänster som till en
månadskostnad erbjuder användare att koppla upp sig gemensamt via en annan plats
på internet. En internetanvändares trafik kommer då innan den vanliga destinationen
ta en omväg via en server. Vid spårningsförsök ser trafiken då ut att komma från
leverantören av tjänsten och inte från användaren. Flera uppkopplingar gör det
dessutom svårare att särskilja användare från varandra, då alla utåt härstammar från
samma IP-adress [95, 96, 97].
Avslutningsvis finns anonymitetsnätverk som Tor, I2P med flera. I jämförelse med
VPN-tjänster som endast erbjuder en omväg innan trafiken når sin destination tar
trafik genom nätverket Tor flera hopp mellan olika punkter. Mellanhänderna är
dessutom inte medvetna om vem som skickar information eller vart den ska utan
vidarebefordrar endast trafiken. Tjänsten är kostnadsfri och organisationen bakom
18
drivs ideellt med bidrag från privatpersoner, företag och andra organisationer, bland
annat SIDA. De servrar som hanterar trafikflödet är från volontärer. Vid vanligt
surfande på internet blir tekniken i sig inte mycket värd utan bör kombineras med
HTTPS och/eller andra former av kryptering [98, 99, 100, 101].
4.3
Enkätsvar
Den profilerade svaren innehåller ålder, könsidentitet, utbildningsnivå,
sysselsättning och hemkommun. 29% av respondenterna är mellan 16 och 24 år
gamla, se figur 7. Åldersgruppen med lägst svarsfrekvens är 15 år eller yngre. 23%
av respondenterna var mellan 25-34 år och 15% var mellan 35-44 år. Respondenter
mellan 35-44 år, 45-54 år och 55-64 år väldigt lika med sina 15% i antal procent
svarande. Slutligen ligger antalet respondenter mellan 65-74 år på 1%. Inga
respondenter är över 74 år. Denna enkät besvarades av 57,5% män och av 42%
kvinnor, se figur 8. 1 person valde en annan könsidentitet.
Figur 7
Åldersgrupper hos respondenterna
Figur 8
Respondenternas könsidentitet
19
Enkäten spred sig över hela Sverige. De 5 kommuner som har högst antal
respondenter är Kalmar kommun (10%), Arvidsjaurs kommun (8%), Stockholms
kommun (5%), Sunne kommun (5%) och Göteborgs kommun (4%). En majoritet av
respondenterna angav att de har som högst en avslutad eftergymnasial utbildning,
hela 60.5%. Vidare har 29% en gymnasial utbildning och 10,5% av de svarande har
en högst avslutad förgymnasial utbildning.
Del två av enkäten började med två liknande frågor om vad respondenten delar med
sig av på öppna tjänster respektive stängda tjänster. De största skillnaderna i svaren
är dels vid delning av telefonnummer, e-post, och födelsedag där tendensen till att
dela denna information på stängda tjänster ökar vilket kan ses i figur 9 och figur 10.
Den första frågan löd "Vilken personlig information delar du med dig av när du
använder öppna tjänsteröch den andra frågan löd Vilken personlig information delar
du med dig av när du använder stängda tjänster". Öppna tjänster är i detta fall de
tjänster där det som delas är möjligt att ses av andra utan några restriktioner,
exempelvis information du publicerar utan restriktioner, bilder alla kan se,
blogginlägg som inte är skyddade och statusuppdateringar alla kan ta del av.
Stängda tjänster är där du exempelvis du delar information med restriktioner,
användaruppgifter vid e-handel, lösenordsskyddade blogginlägg, bilder delade med
en viss grupp och liknande.
Figur 9
Vilken personlig information delas på öppna tjänster?
20
Figur 10
Vilken personlig information delas på stängda tjänster?
Nästa fråga behandlade noggrannheten vid delning av information, d.v.s. om
respondenterna tänker sig för vilken information som de delar och vart det kommer
att delas. Hela 66,5% av respondenterna anser sig vara i hög grad noggranna med
vad de delar på öppna tjänster. Andelen som ansågs sig vara i hög grad noggranna
på stängda tjänster sjunker till 38,5%. Se figur 11.
Figur 11
Noggrannhet vid delning av information på öppna och stängda tjänster.
Vidare frågas vad som är personlig integritet på internet, ur respondenternas
synpunkt. Flera svarsalternativ var möjliga. Som kan ses i figur 12 så var personlig
integritet för många att ha “möjligheten att vara anonym på internet” och
“Möjligheten till att skydda mig från intrång utifrån” . Relativt få ansåg sig inte
tänka på personlig integritet.
21
Figur 12
Vad är personlig integritet?"
Många upplever att de inte är övervakade av nationella myndigheter. Samtidigt
svarar en stor del enligt figur 13 att de till någon grad känner sig övervakade av
nationella myndigheter på internet. Samma trend visar att svaren på frågan om
upplevelsen är kopplad till de internationella myndigheterna. Respondenterna
frågades även om de upplevde sig övervakade av sociala medier och sökmotorer. I
båda fallen svarar en tredjedel att de upplever sig övervakade eller spårade.
Upplevelsen sänks något vid användandet av e-handel och mailtjänster.
Figur 13
Upplevelsen över att bli övervakad/spårad.
Inställningen till nationell övervakning visar sig skilja sig mot de internationella,
respondentera är mer negativa. Samtidigt är de mer positiva till övervakningen i
nationella sammanhang. Inställningen till övervakning på sociala medier,
sökmotorer, mailtjänster och e-handel är övervägande negativ. Figur 14 visar
skillnaden på inställningen till övervakning/spårning av nationella och
internationella myndiheter.
22
Figur 14
Inställningen till att bli övervakad/spårad.
Nästa fråga berör de tekniska åtgärder som finns för att blockera reklam och
spårning. Figur 15 visar att 54% inte vidtar någon typ av åtgärd. De som svarat ja på
frågan får även möjligheten att utveckla sitt svar genom att välja olika typer av
tekniska åtgärder. En stor del svarar att de använder temporära surflägen,
blockeringsverktyg och kryptering. Flera val kan väljas.
Figur 15
Andel som vidtar åtgärder mot spårning.
I enkäten visades information (se bilaga 1) om kakor och hur anslutningar till
externa domäner sker. Ett grafiskt resultat på ett experiment med
blockeringsverktyg visades. Efter information svarade 84% att de visste vad en kaka
var. Knappt 14% säger att de inte visste vad en kaka var. Se figur 16.
23
Figur 16
Andel som redan visste vad en kaka var.
Frågan om respondenternas noggrannhet vid delning av information återkommer.
Kommer de i framtiden bli mer noggranna vid delning på både öppna och stängda
tjänster? En stor andel respondenter kommer i hög grad eller till viss del att vara
mer noggranna i framtiden med vad de delar med sig av för information på internet.
Se figur 17.
Figur 17
Antal som i framtiden tänker vara mer noggranna med vad de delar.
Slutligen frågades respondenterna om de i framtiden kommer att vidta ytterliga
åtgärder mot spårning och öka anonymiteten. 29% anger att de kommer att vidta
åtgärder och 52% kommer inte att göra det. Se figur 18.
24
Figur 18
Andel som i framtiden kommer att vidta åtgärder mot spårning.
4.4
Sammanfattning av enkätsvar
Respondenterna är jämt fördelade mellan kvinnor och män. Antalet svarande som är
anställda är hög med 71%. Information som delas av användarna på öppna tjänster
jämfört med vilken information som delas på stängda tjänster skiljer sig nämnvärt
vid delning av telefonnummer, e-postadress och födelsedag. Överlag är de svarande
mer restriktiva på öppna tjänster. De anser sig var noggranna med vilken
information de delar med sig av på internet. 66% anser sig vara i hög grad
noggranna med vad de delar med sig av på öppna tjänster, men procentandelen
sänks till 39% vid delning på stängda tjänster.
En majoritet upplever sig inte övervakade vare sig av nationella eller internationella
myndigheter. Däremot är det tjänster som sociala medier, sökmotorer, mailtjänster
och e-handel som man upplever sig övervakade av. E-handel är de tjänster som man
minst upplever sig övervakad av. En stor andel respondenter har en negativ
inställning till övervakning på alla områden.
Flertalet markerade att de redan visste vad en kaka var. Samtidigt använder bara
34% något form av verktyg för att motverka spårning och för att aktivt skydda
integriteten. 54% använder inget sådant verktyg. Den åtgärd som är populärast att
använda är temporära surflägen så som inkognitoläge. Även blockeringsverktyg av
typen reklamblockering är populära.
Många svarande anger att de i framtiden kommer bli mer noggranna på både öppna
och stängda tjänster efter att ha tagit del av vår information. Svarsalternativen “Till
viss del” och “I hög grad” dominerar med 29% och 36% på öppna tjänster
respektive 34% och 27% på stängda tjänster. 29% av de svarande anger dessutom
att de i framtiden kommer att vidta ytterligare tekniska åtgärder för att behålla sin
personliga integritet på internet.
25
4.5
Analys
Blockeringsverktygens effektivitet visade sig vara varierande. Vid användning av
NoScript kopplades webbläsaren endast upp mot 47 domäner tillhörande tredjepart,
vilket var det lägsta resultatet i den delen av undersökningen. Trots simpel
administrering visade Ublock Origin på liknande effektivitet och blockerade ett
högre antal kakor. Då de två verktygen fick närliggande resultat (trots funktionella
skillnader) antyder det att en stor del kakor skapades genom kodexekvering på
kliensidan och är kopplade till en tredjepartsdomän. Användarvänligheten var långt
bättre i Ublock Origin i jämförelse med NoScript, vilket gör det till ett lämpligare
val för gemene man. Även Privacy Badger var pedagogiskt utformat och mycket
mer avslappnat i kontrollen av material i jämförelse med övriga verktyg.
Med hänsyn till att mjukvara enkelt kan innehålla skadlig kod och spionprogram är
verktygens tillförlitlighet hög. Samtliga utvecklas med helt öppen källkod
tillgänglig för kritisk analys samt förbättring. Privacy Badger skiljer sig dock från
övriga med organisationen EFF bakom sig, vilket gör det tillförlitligare och enklare
att rekommendera till användare. Vilket också gjordes i enkätundersökningens
informativa del.
Var tredje respondent upplever sig delvis övervakad och spårad. De är också
negativa till det, speciellt om det är en tjänst. Samtidigt är det få som åtgärdar
möjligheterna genom att använda alternativa tjänster som man på ett eller annat sätt
litar på.
26
5
Diskussion
Det första vi tog hänsyn till i enkäten var anonymitet. Vi vill inte kunna koppla
resultat till person, dels för att arbetet rör sig runt spårning i allmänhet, dels för att
få ärliga och uppriktiga svar. Vi valde dock noggrant ut ett antal filterfrågor för att
till viss mån kunna separera målgruppen.
Förvånansvärt många svarar att de använder någon typ av åtgärd mot spårning. En
majoritet använder ett inkognitoläge, vilket ger ett väldigt begränsat faktiskt skydd
och en falsk säkerhet. Data som historik och kakor sparas inte lokalt, men det finns
en uppsjö av andra möjligheter att spåra en användare. Resten av internet vet vad
som pågår, men inte klienten. Med det sagt är det få som använder alternativa
sökmotorer som är skapade ur ett integritetsperspektiv. Respondenterna vill hålla
sig anonyma och de försöker blockera kakor och reklam. De är också medvetna om
riskerna som finns med spårning och integritetskränkande datainsamling. De
upplever sig övervakade av tjänster på internet men de nyttjar inte åtgärder som
förebygger tjänsters insamling av data. Exempelvis sökord på sökmotorer eller delat
material på sociala medier. De som sedan anger att de i framtiden kommer att vidta
ytterligare åtgärder är förhoppningsvis mer medvetna om att spårning och
profilering kan ske på många olika sätt, även utanför webbläsaren. Medvetenhet har
alltså en stor roll i hur vi som användare förhåller oss till personlig integritet och hur
vi gör för att hålla den intakt.
En tidig idé som vi också genomförde var att inkludera en del av resultatet från vår
undersökning av blockeringsverktyg i enkäten. Dels för att informera, dels för att
mäta en reaktion. Förvånansvärt många angav att de i framtiden kommer ta större
hänsyn till sitt privatliv i samband med både öppna och stängda tjänster.
Uppföljning om det faktiskt sker är omöjlig med den tid vi har till arbetet, men
förhoppningsvis valde några att följa vår länk till EFF och Privacy Badger. En sida
som idag är full med aktuell och nyttig information. Utöver det utformade vi även
andra frågor med förhoppningen att respondenterna ska tänka till lite extra och
kanske efteråt fundera över vad de faktiskt fyllde i. På frågan om “vilken
information delar du?” valde vi ett stort antal alternativ av personlig information
vilket kan se lite skräckinjagande ut, speciellt när en majoritet av alternativen
bockas för.
Enkätens svar hade varit intressanta att följa upp på en mer individuell nivå och
framförallt hade det varit bra med större spridning bland respondenterna. Svaren är
fortfarande värda mycket och har gett oss den inblick vi sökte, däremot hoppas vi i
framtida projekt kunna nå fler och få en större spridning. Nu har den sannolikt
främst besvarats av kommunalanställda och studenter vilket ger ett visst vinklat
resultat. Det var också vad vi förväntade oss, men valde att prioritera bort det till
fördel för övriga delar i arbetet. Vi är dock väldigt glada att över en tredjedel av
respondenterna tänker vidta åtgärder i framtiden vilket innebär att vårt arbete
faktiskt har resulterat i ökad medvetenhet hos en liten grupp människor!
De blockeringsverktyg som analyseras i experimentet är ett urval av de populäraste
programmen. De är också verktyg som vi anser vara utmärkta val utifrån vem
utvecklaren är samt respons från användare. Blockeringen av kakor och
anslutningar till externa domäner ger en möjlighet till att få vara anonym mot
reklamföretag och de som begär kakor. De blockerar dock inte den typ av
beteendespårning som kan vara en konsekvens av sökningar på sökmotorer. Därav
bidrar dessa blockeringverktyg till viss del minskad beteendespårning, men det
27
finns fortfarande andra spårningmöjligheter som kan åtgärdas med andra verktyg.
Adblock Plus visar sig tillåta relativt många anslutningar och förfrågningar på kakor
vilket förvånade oss då det är ett av de mest kända och väl använda verktygen.
Tillägget använder också mycket internminne och sidorna tar lite extra tid att laddas
i jämförelse med konkurrenten Ublock Origin.
Med verktyget NoScript blockeras flest anslutningar till tredjeparts-domäner och det
lyckas även blockera många kakor jämfört med Privacy Badger och Adblock plus.
Applikationen använder minst minne i experimentet men användarvänligheten är
lägst, då mjukvaran inte skiljer på nödvändiga funktioner från spårningsfunktioner.
Flera sidor vi besöker fungerar tyvärr inte som de ska. Säkert, men på gränsen till
värdelöst. Orsaken är att NoScript blockerar exekvering av kod och bara tillåter
statiskt innehåll.
Privacy Badger utvecklas av EFF vilket gör det mest tillförlitligt då organisationen
länge har arbetat med integritet och öppenhet på internet. Dock blockerar Privacy
Badger allra minst i våra test och tillåter hela 80% av anslutningarna från
tredjepartsdomäner. Det blockerar endast 1 av de 45 kakorna. Privacy Badger
använder lite minne jämfört med andra verktyg. Användarvänligheten är intakt på
alla sidor vi besöker och på vissa sidor återfinns även reklam, vilket egentligen inte
är konstigt med tanke på tilläggets syfte. I praktiken gav NoScript ett bättre skydd,
men är omöjligt att rekommendera till gemene man.
Experimentet visar att Ublock Origin är det bästa valet för att blockera anslutningar
och sändning av kakor om man även tar hänsyn till användarvänligheten. Verktyget
tillåter endast 26% av de ursprungliga anslutningsförsöken mot tredjeparts-domäner
och endast 5 kakor skickades från oss under experimentet. Ublock Origin använder
även mindre minne jämfört med Adblock Plus som inte blockerar i närheten så
många anslutningar som Ublock Origin gör. En hemsida med mycket reklam kan i
vissa fall laddas in snabbare med Ublock Origin än utan något verktyg alls.
Alla verktyg som har varit en del av experimentet fungerar som ett komplement i
jakten på anonymitet. Det är också viktigt att inte bara tänka på antalet blockeringar,
utan även hur sidan presenteras efter blockeringen. Det är alltså en fördel om en
hemsida kan laddas snabbt, men många verktyg kräver arbete i bakgrunden vilket
leder till att hemsidor i vissa fall laddas långsammare. Om man bortser från de
verktyg som finns tillgängliga behöver användare som verkligen vill vara anonyma
själva arbeta för det. Att tänka sig för vilka bilder man delar, vilka hemsidor man
besöker och vem man delar med sig av sin personliga information till är en viktig
del i processen mot anonymitet. Medvetenhet om de möjligheter som företag och
myndigheter har är ett stort steg mot ett internet med integriteten i behåll.
Resultatet från experimentet utföll ungefär som vi förväntat oss, då vi sen tidigare
hade en liten insikt i hur blockeringsvkertyg fungerar. Att Ublock Origin var
effektivast kopplar vi till att det bygger vidare på samma teknik som Adblock plus,
men utan samma vitlista där vissa domäner tillåts utifrån en överenskommelse med
skaparna av Adblock. Precis som många andra projekt i mjukvaruvärlden föds nya
program utifrån behovet och kunskapen att ersätta en existerande applikation.
28
6
Avslutning
I kapitlet presenteras vår slutsats av examensarbetet i sin helhet. Vi går även igenom
förslag till fortsatt forskning inom ämnet.
6.1
Slutsats
Sannolikt blockerades ett antal legitima källor i vårt experiment, men att samtliga
kakor är relevanta för de besökta sidornas funktion är mindre troligt. Kakor kan
dessutom ses som, i jämförelse med superkakor och liknande, den äldre metoden att
följa internetanvändares aktivitet. Att koppla samman nyttjande av tjänst A med
tjänst B är utan tvekan möjligt för att bygga upp en profil. På mjukvarunivå går det
att skydda sig förutsatt att en installation om program kan genomföras. Flera av
blockeringsverktygen vi undersökte under arbetets gång är effektiva utan någon
konfiguration över huvud taget. Överlag upplevde vi dessutom en kortare
laddningstid än normalt. Det största problemet är risken för vingklippa funktioner
eller att dynamiskt innehåll helt slutar fungera.
Ett flertal av enkätens respondenter anser sig vara medvetna om att datainsamling
utförs i olika former även om de inte vidtar åtgärder. De tror även att syftet främst är
kommersiellt. Efter att de tog del av vårt resultat svarade även många att de i
framtiden kommer blir mer noggranna med att inte tappa kontrollen över sin
personliga information.
Resultatet från enkäten finns i sin helhet på exjobb2015.freduggla.net.
6.2
Förslag till fortsatt forskning
En del i arbetet som fanns tid till är en uppföljning på enkätsvaren. Främst hade det
varit intressant att se om respondenterna som svarade att de i framtiden kommer ta
större hänsyn till integritet på internet faktiskt har gjort det. Om så var fallet, vad är
skillnaden från tidigare? Utöver det fanns planer på att genomföra ett antal
personliga intervjuer inom olika yrkesområden för att skapa en mer personlig bild
av hur gemena man hanterar sitt uppkopplade privatliv beroende på tekniskt
kunnande. Detta i samband med en liknande enkät, förhoppningsvis med större
spridning, finns en möjlighet att både bekräfta och bygga vidare på den delen av
arbetet.
Som nämnt ett flertal gånger i uppsatsen finns många vägar att gå för att värna om
sin integritet. Enklast är att vara restriktiv med personlig information och
kontrollera vilka kanaler den når. Nästa steg är att använda skyddande mjukvara.
Denna uppsats tittar närmare på typen blockeringsverktyg och dess effektivitet. En
intressant uppföljning är analys av de mer avancerade verktygen, som vilka metoder
som finns för att komma runt tekniken. Tor har exempelvis ett bra rykte, men verkar
också kräva försiktighet. Vad krävs för att spåra trafiken tillbaka till källan? Vilka
använder denna typ av program? Varför?
Alla typer av program ersätter kontinuerligt varandra. De beskrivna
blockeringsverktygen i denna rapport saknas kanske helt i framtiden. Överflödiga
eller tekniskt föråldrade. Vilka är de nya alternativen? Stoppar de nya
spårningsmetoder?
29
Referenser
[1] C. J. Hoofnagle and N. Good, “Web privacy census,” UC Berkeley School of
Law, 10 2012. [Online]. Available: https://www.law.berkeley.edu/index.
htmlcenters/berkeley-center-for-law-technology/research/privacy-at-bclt/
web-privacy-census/ [Kontrollerad: 2015-05-22]
[2] D. Shelton, “Online behavioral advertising: tracking users: gold mine or land
mine,” Landslide, vol. 5, no. 1, p. 26, 2012.
[3] M. Leijon. (2013, 02) Unga har väl utvecklade strategier för integritet på
nätet. Skolverket. [Online]. Available:
http://www.forskning.se/fordigiskolan/utbildningsvetenskap/nyheter/
egnaskolnyheter/ungaharvalutveckladestrategierforintegritetpanatet.5.
6f7d2f9713dc8b601c96a.html [Kontrollerad: 2015-05-22]
[4] J. Angwin and J. Valentino-DeVries, “Google’s iphone tracking,” The Wall
Street Journal, 2 2012. [Online]. Available: http://www.wsj.com/articles/
SB10001424052970204880404577225380456599176 [Kontrollerad:
2015-05-22]
[5] A. Marthews and C. Tucker, “Government surveillance and internet search
behavior,” 04 2015. [Online]. Available: http://ssrn.com/abstract=2412564
[Kontrollerad: 2015-05-22]
[6] Brev, Sony Pictures Entertainment, 12 2014. [Online]. Available:
http://oag.ca.gov/system/files/12%2008%2014%20letter_0.pdf
[7] C. Castelluccia and A. Narayanan, “Privacy considerations of online
behavioural tracking,” European Union Agency for Network and Information
Security, 11 2012. [Online]. Available:
http://www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/
priacy-considerations-of-online-behavioural-tracking [Kontrollerad:
2015-05-22]
[8] H. H. Silvskog and M. Söderberg, “Skydd av personlig integritet på internet,”
09 2004. [Online]. Available: http://www.bth.se/fou/cuppsats.nsf/all/
c8e93706196045e8c1256d3d0039ccfc?OpenDocument [Kontrollerad:
2015-05-24]
[9] G. Pettersson and R. Tomstad, “Datainsamling av privatpersoners
internetbeteende : En studie av medvetenheten hos privatpersoner,” 05 2014.
[Online]. Available: http://urn.kb.se/resolve?urn=urn:nbn:se:uu:diva-226798
[Kontrollerad: 2015-05-24]
[10] O. Findahl. (2014) En årlig studie av svenska folkets internetvanor. SE
Stiftelsen för Internetinfrastruktur. [Online]. Available:
http://www.soi2014.se/sammanfattning [Kontrollerad: 2015-05-22]
[11] Datainsamling. Statistiska Centralbyrån. [Online]. Available: http:
//www.scb.se/sv_/Vara-tjanster/Insamling-och-undersokning/Datainsamling/
[Kontrollerad: 2015-05-22]
[12] C. Castelluccia, M.-A. Kaafar, and M.-D. Tran, “Betrayed by your ads!:
Reconstructing user profiles from targeted ads,” in Proceedings of the 12th
International Conference on Privacy Enhancing Technologies, ser. PETS’12.
Berlin, Heidelberg: Springer-Verlag, 2012, pp. 1–17. [Online]. Available:
http://dx.doi.org/10.1007/978-3-642-31680-7_1
[13] Understanding cookies and sessions. Lassosoft. [Online]. Available:
http://www.lassosoft.com/Tutorial-Understanding-Cookies-and-Sessions
[Kontrollerad: 2015-05-22]
[14] (2013, 7) Understanding user-agent strings. Microsoft. [Online]. Available:
https://msdn.microsoft.com/en-us/library/ms537503.aspx [Kontrollerad:
2015-05-22]
30
[15] (2014, 3) Browser detection using the user agent. Mozilla. [Online].
Available: https://developer.mozilla.org/en-US/docs/Browser_detection_
using_the_user_agent [Kontrollerad: 2015-05-22]
[16] (2015, 4) Gecko user agent string reference. Mozilla. [Online]. Available:
https://developer.mozilla.org/en-US/docs/Web/HTTP/Gecko_user_agent_
string_reference [Kontrollerad: 2015-05-22]
[17] panopticlick. Electronic Frontier Foundation. [Online]. Available:
https://panopticlick.eff.org [Kontrollerad: 2015-05-22]
[18] (2011, 7) Kakor (cookies). Post- och telestyrelsen. [Online]. Available:
http://www.pts.se/cookies [Kontrollerad: 2015-05-22]
[19] (2011, 7) Frågor och svar om kakor för användare. Post- och telestyrelsen.
[Online]. Available: http://www.pts.se/sv/Privat/Internet/Integritet1/
Fragor-och-svar-om-kakor-for-anvandare/ [Kontrollerad: 2015-05-22]
[20] (2014, 5) Http cookies. Mozilla Developer Network. [Online]. Available:
https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies [Kontrollerad:
2015-05-22]
[21] (2014, 12) Web storage api. Mozilla Developer Network. [Online]. Available:
https://developer.mozilla.org/en-US/docs/Web/API/Web_Storage_API
[Kontrollerad: 2015-05-22]
[22] Maintaining session state with cookies. Microsoft. [Online]. Available:
https://msdn.microsoft.com/en-us/library/ms526029 [Kontrollerad:
2015-05-22]
[23] (2011, 4) Http state management mechanism. Internet Engineering Task
Force. [Online]. Available: http://tools.ietf.org/html/rfc626 [Kontrollerad:
2015-05-22]
[24] Third-party cookies vs first-party cookies. Opentracker. [Online]. Available:
http://www.opentracker.net/article/third-party-cookies-vs-first-party-cookies
[Kontrollerad: 2015-05-22]
[25] What is a cookie? Microsoft. [Online]. Available:
http://www.microsoft.com/en-GB/security/resources/cookie-whatis.aspx
[Kontrollerad: 2015-05-22]
[26] (2007, 8) Persistent client state http cookies. Netscape. [Online]. Available:
https://web.archive.org/web/20070805052634/http:
//wp.netscape.com/newsref/std/cookie_spec.html [Kontrollerad: 2015-05-22]
[27] Description of persistent and per-session cookies in internet explorer.
Microsoft. [Online]. Available:
https://support.microsoft.com/en-us/kb/223799/en-us [Kontrollerad:
2015-05-22]
[28] Private browsing - use firefox without saving history. Mozilla. [Online].
Available: https://support.mozilla.org/en-US/kb/
private-browsing-use-firefox-without-history [Kontrollerad: 2015-05-22]
[29] J. Vijayan, “Microsoft disables ’supercookies’ used on msn.com visitors,”
Computerworld, 8 2011. [Online]. Available:
http://www.computerworld.com/article/2510494/data-privacy/
microsoft-disables--supercookies--used-on-msn-com-visitors.html
[Kontrollerad: 2015-05-22]
[30] Online behavioral tracking. Electronic Frontier Foundation. [Online].
Available: https://www.eff.org/issues/online-behavioral-tracking
[Kontrollerad: 2015-05-22]
[31] S. Greenhalgh. (2015, 1) Hsts super cookies. RadicalResearch. [Online].
Available: http://www.radicalresearch.co.uk/lab/hstssupercookies
[Kontrollerad: 2015-05-22]
31
[32] (2012, 1) Http strict transport security (hsts). Internet Engineering Task
Force. [Online]. Available: https://www.rfc-editor.org/rfc/rfc6797.txt
[Kontrollerad: 2015-05-22]
[33] Public suffix list. Mozilla. [Online]. Available:
https://wiki.mozilla.org/Public_Suffix_List [Kontrollerad: 2015-05-22]
[34] Adobe flash runtimes statistics. Adobe Systems. [Online]. Available:
http://www.adobe.com/se/products/flashruntimes/statistics.html
[Kontrollerad: 2015-05-22]
[35] Manage, disable local shared objects. Adobe Systems. [Online]. Available:
https:
//helpx.adobe.com/flash-player/kb/disable-local-shared-objects-flash.html
[Kontrollerad: 2015-05-22]
[36] N. Mohamed. You deleted your cookies? think again. Wired. [Online].
Available:
http://www.wired.com/2009/08/you-deleted-your-cookies-think-again/
[Kontrollerad: 2015-05-22]
[37] T. Imbert. (2011, 3) Introducing flash player 10.3 beta! Adobe Systems.
[Online]. Available: http://blogs.adobe.com/flashplayer/2011/03/
introducing-flash-player-10-3-beta.html [Kontrollerad: 2015-05-22]
[38] P. Eckersley, “How unique is your web browser?” in Privacy Enhancing
Technologies. Springer, 2010, pp. 1–18. [Online]. Available:
https://panopticlick.eff.org/browser-uniqueness.pdf [Kontrollerad:
2015-05-22]
[39] Web browser security. BrowserLeaks. [Online]. Available:
https://www.browserleaks.com/ [Kontrollerad: 2015-05-22]
[40] R. M. Smith. (1999, 11) The web bug faq. Electronic Frontier Foundation.
[Online]. Available: https://w2.eff.org/Privacy/Marketing/web_bug.html
[Kontrollerad: 2015-05-22]
[41] R. L. Jr and C. Arevalo-Lowe. About web bugs. [Online]. Available:
http://www.mailsbroadcast.com/email.bolts.nuts/about.web.bugs.htm
[Kontrollerad: 2015-05-22]
[42] K. Örstadius, “Hemlig kod spionerar på svenskars surfvanor,” Dagens
Nyheter, 04 2015. [Online]. Available:
http://www.dn.se/ekonomi/hemlig-kod-spionerar-pa-svenskars-surfvanor/
[Kontrollerad: 2015-05-22]
[43] TT, “Usa anklagas för nytt spionprogram,” Dagens Nyheter, 02 2015.
[Online]. Available:
http://www.dn.se/ekonomi/teknik/usa-anklagas-for-nytt-spionprogram/
[Kontrollerad: 2015-05-22]
[44] K. Örstadius, “Google stoppar spionprogram,” Dagens Nyheter, 04 2015.
[Online]. Available:
http://www.dn.se/ekonomi/teknik/google-stoppar-spionprogram/
[Kontrollerad: 2015-05-22]
[45] B. Rao and L. Minakakis, “Evolution of mobile location-based services,”
Communications of the ACM, vol. 46, no. 12, pp. 61–65, 2003.
[46] What is spyware? Microsoft. [Online]. Available:
http://www.microsoft.com/security/pc-security/spyware-whatis.aspx
[Kontrollerad: 2015-05-22]
[47] S. Shetty. (2010, 11) Introduction to spyware keyloggers. Symantec.
[Online]. Available:
http://www.symantec.com/connect/articles/introduction-spyware-keyloggers
[Kontrollerad: 2015-05-22]
32
[48] (2015, 1) I see popups or i am redirected to different websites. Symantec.
[Online]. Available: https://support.norton.com/sp/en/us/home/current/
solutions/kb20100811171926EN_EndUserProfile_en_us [Kontrollerad:
2015-05-22]
[49] Troubleshoot firefox issues caused by malware. Mozilla. [Online]. Available:
https:
//support.mozilla.org/en-US/kb/troubleshoot-firefox-issues-caused-malware
[Kontrollerad: 2015-05-22]
[50] P. Beaudette. (2012, 5) If you’re seeing ads on wikipedia, your computer is
probably infected with malware. Wikimedia Foundation. [Online]. Available:
http://blog.wikimedia.org/2012/05/14/
ads-on-wikipedia-your-computer-infected-malware/ [Kontrollerad:
2015-05-22]
[51] Deploying firewalls throughout your organization. Cisco. [Online]. Available:
http://www.cisco.com/c/en/us/products/collateral/security/ios-firewall/prod_
white_paper0900aecd8057f042.html [Kontrollerad: 2015-05-22]
[52] Pfsense overview. Electric Sheep Fencing. [Online]. Available:
https://www.pfsense.org/about-pfsense/ [Kontrollerad: 2015-05-22]
[53] S. Kear. (2014, 4) How to set up a transparent squid proxy server using
pfsense. Hubpages. [Online]. Available:
http://hubpages.com/hub/How-to-setup-a-transparent-proxy-using-pfSense
[Kontrollerad: 2015-05-22]
[54] ——. (2014, 3) Monitoring internet usage with lightsquid and pfsense.
Hubpages. [Online]. Available: http://skear.hubpages.com/hub/
Monitoring-Internet-Usage-With-LightSquid-and-pfSense [Kontrollerad:
2015-05-22]
[55] O. Findahl. Ökande andel av internettiden ägnas mobilen. SE - Stiftelsen för
Internetinfrastruktur. [Online]. Available:
http://www.soi2014.se/internets-spridning-har-inte-helt-stannat-upp/
okande-andel-av-internettiden-agnas-mobilen [Kontrollerad: 2015-05-22]
[56] S. Dhar and U. Varshney, “Challenges and business models for mobile
location-based services and advertising,” Communications of the ACM,
vol. 54, no. 5, pp. 121–128, 2011.
[57] Privacy badger. Electronic Frontier Foundation. [Online]. Available:
https://www.eff.org/privacybadger [Kontrollerad: 2015-05-22]
[58] S. Black. Amalgamated hosts file. [Online]. Available:
https://github.com/StevenBlack/hosts [Kontrollerad: 2015-05-25]
[59] Blocking unwanted connections with a hosts file. [Online]. Available:
http://winhelp2002.mvps.org/hosts.htm [Kontrollerad: 2015-05-25]
[60] Surfa privat (inkognitoläge). [Online]. Available:
https://support.google.com/chrome/answer/95464?hl=sv [Kontrollerad:
2015-06-02]
[61] Private browsing - use firefox without saving history. [Online]. Available:
https://support.mozilla.org/en-US/kb/
private-browsing-use-firefox-without-history [Kontrollerad: 2015-06-02]
[62] Inprivate-surfning. [Online]. Available: http://windows.microsoft.com/sv-se/
internet-explorer/products/ie-9/features/in-private [Kontrollerad:
2015-06-02]
[63] Noscript. InformAction. [Online]. Available: https://noscript.net/
[Kontrollerad: 2015-05-24]
[64] Consumer opt-out. Network Advertising Initiative. [Online]. Available:
http://www.networkadvertising.org/choices/ [Kontrollerad: 2015-05-24]
33
[65] Google analytics opt-out browser add-on. Google. [Online]. Available:
https://tools.google.com/dlpage/gaoptout?hl=en [Kontrollerad: 2015-05-24]
[66] Ads help - opt out. Google. [Online]. Available:
https://support.google.com/ads/answer/2662922 [Kontrollerad: 2015-05-24]
[67] Annonsinställningar. Google. [Online]. Available:
https://www.google.com/settings/ads/plugin [Kontrollerad: 2015-05-24]
[68] (2013, 6) Keep my opt-outs. Google. [Online]. Available:
https://chrome.google.com/webstore/detail/keep-my-opt-outs/
hhnjdplhmcnkiecampfdgfjilccfpfoe [Kontrollerad: 2015-05-24]
[69] J. Hobbs. Beef taco (targeted advertising cookie opt-out). [Online].
Available: https:
//addons.mozilla.org/en-us/firefox/addon/beef-taco-targeted-advertising/
[Kontrollerad: 2015-05-24]
[70] Spärregistret för telefoni. NIX-Telefon. [Online]. Available:
http://nixtelefon.org/ [Kontrollerad: 2015-05-24]
[71] Opt out of optimizely tracking. Optimizely. [Online]. Available:
https://www.optimizely.com/opt_out [Kontrollerad: 2015-05-22]
[72] R. Reitman. (2011, 1) Mozilla leads the way on do not track. Electronic
Frontier Foundation. [Online]. Available: https:
//www.eff.org/deeplinks/2011/01/mozilla-leads-the-way-on-do-not-track
[Kontrollerad: 2015-05-24]
[73]
[74] J. Mayer and A. Narayanan. Do not track. [Online]. Available:
http://donottrack.us/ [Kontrollerad: 2015-05-24]
[75] ——. Do not track: Implementations. [Online]. Available:
http://donottrack.us/implementations [Kontrollerad: 2015-05-24]
[76] J. Mayer, A. Narayanan, and S. Stamm. Do not track, a universal third-party
web tracking opt out. Internet Engineering Task Force. [Online]. Available:
http://tools.ietf.org/html/draft-mayer-do-not-track-00 [Kontrollerad:
2015-05-24]
[77] Why do you need pgp? [Online]. Available:
http://www.pgpi.org/doc/whypgp/en/ [Kontrollerad: 2015-05-24]
[78] (2008, 10) How virtual private networks work. Cisco. [Online]. Available:
http://www.cisco.com/c/en/us/support/docs/security-vpn/
ipsec-negotiation-ike-protocols/14106-how-vpn-works.html [Kontrollerad:
2015-05-24]
[79] E. Unionen, “Europaparlamentets och rådets direktiv 95/46/eg,” Europeiska
gemenskapernas officiella tidning L-281, pp. 31–50, 11 1995. [Online].
Available: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:
31995L0046:sv:HTML [Kontrollerad: 2015-05-22]
[80] Factsheet on the “right to be forgotten” ruling (c-131/12).
Europakomissionen.
[81] Limesurvey. [Online]. Available: https://www.limesurvey.org/en/
[Kontrollerad: 2015-05-24]
[82] The mozilla manifesto. Mozilla. [Online]. Available:
https://www.mozilla.org/en-US/about/manifesto/ [Kontrollerad: 2015-05-24]
[83] Lightbeam for firefox. Mozilla. [Online]. Available:
https://addons.mozilla.org/en-US/firefox/addon/lightbeam/ [Kontrollerad:
2015-05-24]
[84] Survey settings. [Online]. Available:
https://manual.limesurvey.org/Survey_settings [Kontrollerad: 2015-05-24]
34
[85] D. Shackleford, “Application whitelisting: Enhancing host security,” 10
2009. [Online]. Available: http://www.sans.org/reading-room/whitepapers/
analyst/application-whitelisting-enhancing-host-security-34820
[Kontrollerad: 2015-05-22]
[86] sample_cookieblocklist.txt. Electronic Frontier Foundation. [Online].
Available: https://github.com/EFForg/privacybadgerchrome/blob/master/doc/
sample_cookieblocklist.txt [Kontrollerad: 2015-05-22]
[87] J. Bau, J. Mayer, H. Paskov, and J. C. Mitchell, “A promising direction for
web tracking countermeasures,” 2013. [Online]. Available:
https://jonathanmayer.org/papers_data/bau13.pdf [Kontrollerad: 2015-05-24]
[88] R. Hill. ublock origin. [Online]. Available: https://github.com/gorhill/uBlock/
[Kontrollerad: 2015-05-22]
[89] C. Aljoudi. ublock origin. [Online]. Available:
https://github.com/chrisaljoudi/uBlock [Kontrollerad: 2015-05-22]
[90] Adblock plus - features. Eyeo. [Online]. Available:
https://adblockplus.org/en/features [Kontrollerad: 2015-05-22]
[91] Requestpolicy continued. [Online]. Available:
https://requestpolicycontinued.github.io/ [Kontrollerad: 2015-05-22]
[92] Secure your site with https. Google. [Online]. Available:
https://support.google.com/webmasters/answer/6073543 [Kontrollerad:
2015-05-24]
[93] What is https? Comodo. [Online]. Available:
https://www.instantssl.com/ssl-certificate-products/https.html [Kontrollerad:
2015-05-24]
[94] Https everywhere. Electronic Frontier Foundation. [Online]. Available:
https://www.eff.org/https-everywhere/faq [Kontrollerad: 2015-05-24]
[95] I am anonymous when i use a vpn. Golden Frog. [Online]. Available:
https://www.goldenfrog.com/take-back-your-internet/articles/
7-myths-about-vpn-logging-and-anonymity [Kontrollerad: 2015-05-24]
[96] T. Pornin. (2011, 1) What is the difference in security between a vpn- and a
ssl-connection? Stack Exchange. [Online]. Available:
http://security.stackexchange.com/questions/1476/
what-is-the-difference-in-security-between-a-vpn-and-a-ssl-connection
[Kontrollerad: 2015-05-24]
[97] About. Ipredator. [Online]. Available: https://www.ipredator.se/page/about
[Kontrollerad: 2015-05-24]
[98] Tor: Overview. The Tor Project. [Online]. Available:
https://www.torproject.org/about/overview.html.en [Kontrollerad:
2015-05-24]
[99] raz. (2015, 2) What is the difference in security between a vpn- and a
ssl-connection? Stack Exchange. [Online]. Available:
http://security.stackexchange.com/questions/72679/
differences-between-using-tor-browser-and-vpn [Kontrollerad: 2015-05-24]
[100] A. Lewman. (2014, 5) Sida presentation. The Tor Project. [Online].
Available: url [Kontrollerad: 2015-05-24]
[101] J. Ryberg. (2010, 11) Sida hjälper utsatta bli anonyma på internet. Metro.
[Online]. Available: http://www.metro.se/metro-teknik/
sida-hjalper-utsatta-bli-anonyma-pa-natet/Objjkc!73897/ [Kontrollerad:
2015-05-24]
35
A
Bilaga 1
A
B
C
D
E
F