Examensarbete Integritet och medvetenhet på internet

Examensarbete
Integritet och medvetenhet på
internet
Beteendespårning och dess konsekvenser
Författare: Fred Uggla, Teddy Wong
Handledare: Jacob Lindehoff
Examinator: Dr. Jonas Lundberg
Termin: HT2015
Ämne: Datavetenskap
Nivå: G1E
Kurskod: 1DV41E
Sammanfattning
Diskussionen om personlig integritet, anonymitet och säkerhet på internet är idag
väldigt aktuell. En konsekvens av ny teknik, nya hot och de större vinstmöjligheter
som finns i IT-branschen skapar efterfrågan på information samt beteenden hos användare av internet. Informationen och beteendet på internet är värt väldigt mycket
för företag och myndigheter då det skapar nya finansiella möjligheter . Datainsamlingen sker via sociala medier, sökmotorer och genom dolda dörrar in till användarens privatliv. Gränsen för hur långt myndigheter eller företag kan gå för att skaffa
sig informationen är inte längre en ickefråga.
Denna uppsats analyserar ett antal olika tekniker för hur information samlas in. Syftet är att svara på hur spårning och profilering sker genom datainsamling. Genom en
enkät frågas användare om de är medvetna om datainsamlingen, och de får även svara på hur de ställer sig till den information som presenteras i enkäten. Vidare testas
och analyseras olika typer av verktyg som kan blockera olika typer av datainsamling.
i
Stort tack till vår handledare Jacob Lindehoff och till alla som genomförde enkäten.
ii
Innehåll
1
2
3
4
Introduktion
1.1 Inledning . . . . . . . . .
1.2 Bakgrund . . . . . . . . .
1.3 Tidigare forskning . . . . .
1.4 Problemformulering . . . .
1.5 Syfte . . . . . . . . . . . .
1.6 Frågeställning och hypotes
1.7 Disposition . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
1
1
1
1
2
3
3
3
Bakgrund och teori
2.1 Datainsamling . . . . . . . . . . . . . . . .
2.2 Beteendespårning . . . . . . . . . . . . . .
2.3 HTTP-session . . . . . . . . . . . . . . . .
2.4 Användaragent . . . . . . . . . . . . . . .
2.5 Kakor . . . . . . . . . . . . . . . . . . . .
2.6 Superkakor . . . . . . . . . . . . . . . . .
2.7 Fingeravtryck . . . . . . . . . . . . . . . .
2.8 Web Bugs . . . . . . . . . . . . . . . . . .
2.9 Spionprogram och skadlig kod . . . . . . .
2.10 Trafikanalys . . . . . . . . . . . . . . . . .
2.11 Geografisk positionering av mobila enheter
2.12 Åtgärder mot spårning . . . . . . . . . . .
2.12.1 Blockeringsverktyg . . . . . . . . .
2.12.2 Sekretessinställningar . . . . . . .
2.12.3 Tredjepart och kryptering . . . . . .
2.12.4 Lagar . . . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
4
4
4
4
4
5
6
7
8
8
9
9
10
10
10
11
11
Metod
3.1 Vetenskaplig ansats . . . . . . . . . . . . . . .
3.2 Datainsamling . . . . . . . . . . . . . . . . . .
3.2.1 Urval och genomförande av enkät . . .
3.2.2 Urval och genomförande av experiment
3.3 Analys . . . . . . . . . . . . . . . . . . . . . .
3.4 Etiska överväganden . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
12
12
12
12
13
14
14
.
.
.
.
.
15
15
17
18
24
25
.
.
.
.
.
.
.
Resultat och analys
4.1 Blockeringsverktyg . . . . .
4.2 Tredjepart och trafikanalys .
4.3 Enkätsvar . . . . . . . . . .
4.4 Sammanfattning av enkätsvar
4.5 Analys . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
5
Diskussion
26
6
Avslutning
6.1 Slutsats . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
6.2 Förslag till fortsatt forskning . . . . . . . . . . . . . . . . . . . . .
28
28
28
A Bilaga 1
A
1
Introduktion
I kapitlet presenteras bakgrund och tidigare forskning inom ämnet. Vidare beskrivs
arbetets syfte tillsammans med problemformulering, hypotes och disposition.
1.1
Inledning
Insamling av internetanvändares vanor och beteende är en stor tillgång för både företag och myndigheter. Syftet kan exempelvis vara att erbjuda besökare en hemsida
med dynamiska och avancerade funktioner eller att samla in statistik över användandet [1]. Vilka konsekvenser har denna typ av datainsamling och är användarna
medvetna om vad och hur deras nyttjande av internet loggförs? Detta är frågor som
kommer att besvaras i denna studie.
1.2
Bakgrund
I samband med att spårning och insamling av användares internetvanor blir allt vanligare har också en ökad medvetenhet hos allmänheten uppstått när det gäller behov
av integritetsskydd. Orsaken till att insamling av information är så betydelsefullt är
nya tekniska möjligheter att samla in data, men också ökat användande av digitala
tjänster där insamlingen är viktigt ur ett försäljningsperspektiv [1, 2].
Debatt kring spårningen och kontroll av individers integritet är inget nytt fenomen,
men har ökat de senaste åren då media uppmärksammat ett flertal negativa händelser
med anknytning till integriteten på internet. Enligt Skolverket är exempelvis yngre
generationer medvetna om riskerna och vana att anpassa sig [3].
2012 skrev Angwin och Valentino-Devris artikeln Google’s iPhone Tracking [4]. De
avslöjade att företaget Google ignorerade iphoneanvändares personliga inställningar
för att kunna spåra nätaktivitet, även om användarna uttryckligen valt att inte tillåta detta. Under samma tidpunkt publicerades avslöjanden rörande den amerikanska
myndigheten National Security Agency (NSA) och den globala massövervakning de
utför. Detta resulterade i eftertanke hos användare angående risker och hot mot den
personliga integriteten på internet [5]. Under senare tid har även känslig användardata läckt från stora etablerade företag, vars registrerade användare sannolikt känner
sig mindre säkra att använda berörda eller liknande tjänster [6].
En stor del av informationen om användarnas beteenden och vanor insamlas av naturliga skäl i förhållandet mellan en webbserver, en webbläsare och dess tillhörande
variabler. Analys kan exempelvis inkludera hur tjänster nyttjas, navigeras samt dess
besöksfrekvens. Det finns ingen teknisk begränsning som förhindrar anknytning till
mer privat data som kontoinformation och formulärsvar.
1.3
Tidigare forskning
European Network and Information Security Agency (ENISA) har med en omfattande studie visat hur beteendespårning sker ur ett tekniskt perspektiv och till vilken
grad detta sker. Syftet med studien är bland annat att besvara frågorna “Varför blir
vi spårade?” och “Hur blir vi det?”. Studien går också in på hur möjliga framtida
trender kan se ut med fokus på de nya tekniska möjligheterna inom IT, exempelvis
mobila enheter och trådlös kommunikation [7].
1
Samma studie analyserar även riskerna för hur beteendespårningen kan missbrukas då massövervakning av medborgare sker av säkerhetsskäl, politiska skäl eller
bådadera. En av riskerna vid profilering av användare och dess koppling till diskriminering är nyttjande av samhällstjänster. Ett exempel är möjligheten att ta reda på
om en medborgare verkligen är sjuk genom att koppla dennes internetbeteende till
sjukförsäkringen.
Silvskog och Söderbergs kandidatarbete Skydd av personlig integritet på Internet
[8] är en relevant studie till detta arbete. Dels de tekniska delarna, dels de reflektioner som härrör till skyddande av integritet. Det är även givande att se hur klimatet
kring uppkopplad integritet utvecklats.
I en mer aktuell svensk enkätundersökning av Petterson och Tornstad undersöks
medvetenhet hos internetanvändare kring marknadsföring och datainsamling. Enkätsvaren visar att en stor del av respondenterna inte läser vad som skrivs i media
rörande ämnet integritet. På frågan om i vilket syfte de trodde övervakningen och
datainsamlingar har svarade 25% marknadsföring, 23% statistik, 19% kommersiellt
och 10% svarade geografisk positionering av personer [9].
En viktig process för att möta framtida utmaningar för hot mot den personliga integriteten är utbildning och information i ett tidigt stadie. ENISAs rapport Privacy
considerations of online behavioural tracking förklarar att användare som är medvetna och utbildade kring konsekvenserna av spårning på internet har bättre möjligheter
att göra mer informerande val som är kopplade till just spridning av privat information. De listar olika existerande typer av informationmöjligheter i USA som kan få
användare att bli mer medvetna. Generella råd om det privata livet på nätet, innovativa utbildningar i hur användare kan använda verktyg för att motverka spårning och
information finns. Dessa utbildningar och informationsmöten kan även utföras inom
Sverige för bättre medvetande hos de svenska användarna [7].
1.4
Problemformulering
Enligt den årliga studien Svenskarna och internet hade 2014 hela 92% av befolkningen tillgång till internet. När sedan samma studie visar att 70% av användarna
någon gång besöker sociala medier är det lukrativt för företag att rikta reklam mot
specifika målgrupper. Den riktade reklamen mot användare är en av orsakerna till att
spårningen är så omfattande idag. Trots ökade nyheter om intrång mot den personliga integriteten på internet visar studien att 84% av de tillfrågade inte höll med om
att “det inte längre finns någon personlig integritet”. Endast 41% tycker att oron för
den personliga integriteten på nätet är berättigad samtidigt som 23% tycker att den
är överdriven [10].
All den information som dagligen görs tillgänglig tillsammans med spårning av användarnas vanor skapar ett behov av diskussioner och slutsatser. Detta arbete undersöka hur medveten gemena man är om spårning på internet, vilka tekniker som är
skapade för spårning och i vilken utsträckning det går att förebygga spårningen för
att sedan presentera resultatet. Arbetet hantera frågor kring syftet med spårningen
samt problematisera riktad reklam och kopplingen den har till beteendespårningen
hos internetanvändare. Arbetet kommer även ge en bild av hur en grupp användare
förhåller sig till att deras beteende i teorin kan användas till att kartlägga aktiviteter
och genom det profilera på en avancerad nivå. Det var dessa tankar som föranledde
utformningen av detta examensarbete.
2
1.5
Syfte
Syftet med studien och den tekniska undersökningen är att dels belysa de problemen
som kan vara en konsekvens av beteendespårning, dels analysera och presentera hur
internetanvändare tar ställning till tekniken, samt hur medvetna de är och hur de idag
förhåller sig till spårningen som sker på internet. Syftet är även att se utanför den
datavetenskapliga världens fokus på teknik genom inkludering av användarnas egna
reflektioner för att på ett effektivt sätt komma fram till varför problemen med spårning eller liknande bör bejakas, eller om det är ett problem överhuvudtaget.
Utifrån en teknisk analys ska en grupp användare informeras om ämnet på ett lättförståeligt sätt, för att sedan presentera ett sammanställt resultat före och efter den
bifogade informationen. Materialet som användarna tar del av ska baseras på de (under arbetets gång) undersökta tekniker som används för att spåra användare, vilket
syfte spårningen har och hur den kan användas i både i såväl negativa som positiva
syften.
1.6
Frågeställning och hypotes
Bakgrunden visar att problemen med beteendespårning på internet är en mycket viktig samhällsfråga då den påverkar oss alla, både privat och i arbetslivet oavsett yrkeskategori eller inkomst. Integritet och insamling av personinformation är viktiga
frågor som länge har diskuterats och för att förstå den insamling som sker behöver
tekniken förklaras på ett lättillgängligt sätt. De inledande frågeställningarna lyder, ur
ett tekniskt perspektiv:
Hur blir internetanvändare spårade och profilerade genom datainsamling? Är användarna av internet medvetna om den aktiva datainsamlingen och dess innebörd? Kan
en vanlig användare skydda sig mot detta? Om så har fallet, hur? Hur ställer sig en
grupp människor till vårt resultat på frågorna ovan?
1.7
Disposition
Examensarbetet består av 7 kapitel. Introduktion, Bakgrund/Teori, Metod, Resultat
och Analys, Diskussion samt Avslutning.
Kapitel 1 förklarar bakgrunden och varför ämnet integritet och medvetenhet är utvalt. Här presenteras också problembeskrivning, syfte med arbetet, tidigare forskning
samt de inledande frågeställningarna för examensarbetet. Kapitel 2 förklarar teoretisk datainsamling och spårning, de tekniker som används och även förebyggande
beteende och tekniker. I kapitel 3 presenteras metod och tillvägagångsätt för studie
och efterforskning. I kapitel 4 visas och analyseras resultatet av studien och tester vid
användande av förebyggande åtgärder mot datainsamling och spårning, vilket sedan
diskuteras i kapitel 6. Avslutningsvis presenteras slutsats och förslag på framtida
forskning i kapitel 7.
3
2
Bakgrund och teori
I detta kapitel beskrivs koncepten datainsamling och beteendespårning. Därefter förklaras ett flertal tekniker och begrepp rörande nyttjande av internet. Avslutningsvis
presenteras ett antal spårningsmetoder samt hur dessa teoretiskt kan undvikas.
2.1
Datainsamling
Processen datainsamling kan beskrivas som en undersökning med syfte att besvara
ett antal frågor. Allmänt anpassningsbart till en stor mängd olika metoder vilket gör
datainsamling aktuellt oavsett fält. I samband med modern teknik blir det allt enklare
att samla in data på en global nivå. Detta är inte begränsat till enkäter och intervjuer
utan även ren beteendeanalys utan direkt inblandning av individen [11]. I detta arbete läggs främst fokus på att detta genomförs utan samtycke. Digital datainsamling
kontra personlig integritet.
2.2
Beteendespårning
Med beteendespårning avses den datainsamling som syftar till att användas för att
kartlägga individers nyttjande av tjänster och produkter. I digitala sammanhang vanligtvis applikationer och hemsidor. Utifrån resultatet kan utvecklare se över och förbättra existerande tjänster. Den negativa aspekten av beteendespårning (och andra
typer av datainsamling) är kopplingen till den personliga integriteten och konsekvensen av att ett fåtal ansvarar för användarnas personliga information. Speciellt
om olika källor slås samman till en mer heltäckande databas [12].
2.3
HTTP-session
För att korrekt beskriva kommande avsnitt rörande kakor behövs även en förklaring
av HTTP-sessioner. Det är en del av protokollet HTTP och tillhandahåller möjligheten att skapa en bestående anslutning mellan en webbläsare och en server med ett
unikt sessions-ID (SID). Kommunikation mellan klienten och servern sker tillsammans med denna SID för att låta webbservern skilja en klients webbläsare från övriga
som besöker samma hemsida.
Normalt sätt sparar klienten endast denna SID, som den tilldelas av webbservern,
ingen annan information om själva sessionen sparas. Webbklienten skickar sedan
med sin SID tillsammans med kakan som innehåller viktiga attribut för att servern
ska kunna koppla innehåll med besökare. All övrig information som krävs för att
hålla en HTTP-session igång sparas på servern under sessionen. När servern blir
kontaktad av klienten och får kakan vet den dels vilken information den ska presentera för klienten, och även vem klienten är med hjälp av SID som finns i kakan
[13].
2.4
Användaragent
Vid besök av en hemsida (under en HTTP-session) identifierar webbläsaren sig mot
den anslutna servern med en sträng text kallad användaragent (user-agent string).
Den innehåller kort information om den anslutna klientens webbläsare med syftet är
att underlätta för utvecklare att anpassa material efter olika typer av mjukvara och
hårdvara. Utifrån användaragentens innehåll kan exempelvis en webbserver erbjuda
att skicka mobilanvändare vidare till en specialanpassad version av den ursprunglig
hemsida de vill besöka [14].
4
Strängen i sig kan formateras på olika sätt, men innehåller i regel följande fält: Webbläsarens namn, följt av versionsnummer (vanligtvis en siffra). Systemuppgifter som
hårdvara, operativsystem, processorarkitektur och liknande. Vidare finns information
om vilken motor programmet använder för att visa sidor, samt ett fält för eventuella
tillägg. Innehållet är överlag grundläggande och utvecklare vill (och kan) få tillgång
till mer information. Följande är ett exempel på en användaragent [14, 15, 16, 17].
Mozilla/5.0 (Windows NT 6.1; WOW64; rv:37.0)
Gecko/20100101 Firefox/37.0
Figur 1: Användaragent Firefox 37 under 64-bitars Windows 7.
2.5
Kakor
Post- och telestyrelsen beskriver en kaka som “en liten textfil som webbplatsen du
besöker begär att spara på din dator“. Tekniken implementerades i webbläsaren
Netscape Navigator för att hjälpa webbservrar att spara klientens förhållande till servern efter en avslutad HTTP-session. Det finns idag modernare alternativ för att via
en webbläsare lagra större mängd data lokalt, men kakor används fortfarande kontinuerligt i en mängd olika applikationer och syften [18, 19, 20, 21].
Kakor kan vara temporära eller kvarstående. En temporär kaka är identifierbar genom
avsaknaden av förfallodatum. De raderas normalt när webbläsare (eller en HTTPsession) avslutas. Den kvarstående kakan har ett utgångsdatum bestämt av servern.
De kan även delas in i ytterligare grupper baserat på attribut. En säker kaka kan endast skickas över krypterade anslutningar genom protokollet HTTPS och en HTTPOnlykaka kan bara skickas via protokollet HTTP samt HTTPS till skillnad från normala
kakor som kan skickas med JavaScript. I regel är de, oavsett typ, endast anslutna till
en domän. Det finns dock tredjepartskakor vars domännamn inte matchar det klienten besöker, utan är kopplat till en extern server [19, 22, 23, 24].
Syftet är i regel att underlätta för användaren genom att låta sidorna ha tillgång till
information om tidigare besök för att visa relevant innehåll för korrekt klient. Även
egenskaper och inställningar kan sparas för att vara kvarstående till användarens
nästa återbesök, vilket kan hända långt senare. Exempelvis kan utvalda inköpsobjekt från en e-handel finnas kvar i en personlig kundvagn även efter utloggning från
tjänsten och avstängning av webbläsaren. Utan kakor eller liknande tekniker kan en
användare som går från en sida till en annan betraktas av servern som en ny anslutning om inte information finns att tillgå. Utan kakor skulle många besök hos många
webbsidor sakna dynamik och vara direkt tekniskt begränsade. Det finns många olika praktiska exempel på hur utvecklare utnyttjar kakor för att skapa interaktiva och
användbara webbplatser [22, 25].
När en klient gör en förfrågan till en webbsida genererar servern, som hanterar sidan, en session-identifier (SID). Denna SID blir sedan en del av kakan som skapas
på klienten. Servern skickar alltså ett svar som ett vanligt HTTP-anrop till klienten
tillsammans med en Set-Cookie header innehållande information om SID, utgångsdatum och övriga attribut. Kakan är nu sparad hos klienten och en kopia av kakan
skickas sedan tillbaka varje gång en ny förfrågan görs till webbservern. När klienten
får tillbaka svar sparas informationen om de objekt som berörs i den redan existerande kakan för webbsidan. Figur 2 visar hur kakan skapas och används i teorin [26].
5
Figur 2: Kaka skapas och trafikeras
Kakan inkluderas endast i klientens HTTP-anrop till den domän den berör. Innan
sändning av kakan jämförs attributet domännamn mot den givna adressen till webbsidan. Är den givna adressen www.example.com accepteras sändningen till domänen
example.com och dess underdomäner om attributet i kakan är satt till .example.com.
Är attributet bestämt till test.example.com accepteras sändning endast till den underdomänen. Innehållet är statiskt och bestäms på serversidan [26, 27]. Detta för att
förhindra att känslig information skickas till fel mottagare.
sessionToken=123456
expires=Tue, 09 Jun 2021 10:18:14 GMT
path=/ domain=.example.com
Figur 3: Exempel på en Set-Cookie i HTTP-header
En Third-Party cookie är tekniskt identiskt med en First-Party cookie. Skillnaden är
att den kommunicerar med en server och ett domännamn kopplat till en tredje part.
Detta kan ske om webbsidan innehåll är hämtat från en annan server än den som
klienten kommunicerar med.
2.6
Superkakor
Det finns ett behov att ersätta förlegade spårningsfunktioner med nya. Många av
dessa faller in under benämningen supercookies. Det innebär nödvändigtvis inte att
tekniken för HTTP-kakor används, men att syftet är detsamma [28, 29, 30].
Säkerhetsfunktionen HTTP Strict Transport Security (HSTS) skapades för att säkerhetsställa att användare endast ansluter till servrar över HTTPS, en krypterad HTTPanslutning I tillhörande RFC nummer 6767 nämns dock att det finns utrymme för
kreativ manipulation, vilket är något som utvecklaren Greenhalgh har tagit vara på
genom att skapa en spårningsprototyp namngiven HSTS Supercookie [31, 32].
Vanliga kakor är textfiler skapade för syftet att spara data och följer HTTPs tekniska
utformning. Detta påverkar dock inte den metod som Greenhalgh demonstrerar och
uppmärksammar En HSTS-kaka är ett fristående koncept, helt kapabelt att spåra en
användare som exempelvis hoppar fram och tillbaka mellan temporära surflägen som
inte sparar historik eller kakor. Trots namnet har superkakor undantagsvis något med
traditionella kakor att göra. Mozilla och Google har efter publikationen uppdaterat
sina respektive webbläsare för att blockera HSTS-kakor [31].
6
Ytterligare ett exempel på en superkaka är att koppla en vanlig kaka till en uppdelad toppdomän. Exempelvis .co.uk och inte faktiska toppdomäner som .se eller .com.
Kakan blir då tillgänglig för samtliga underdomäner, till skillnad från en vanlig kaka
som är låst till en enda domän. En klient kan då spåras mellan alla sidor som slutar
på .co.uk. Även detta problem är uppmärksammat och ett publikt tillgängligt skydd
uppdateras successivt [33].
Samtliga av de större webbläsarna har stöd för någon form av insticksmoduler för
att utöka webbläsares funktioner utöver det normala. En av de mest använda är Adobe Flash Player, vilket ger möjlighet att exekvera SWF-filer direkt i webbläsaren
eller som en del av existerande HTML. Modulen används ofta till att skapa enklare
webbspel eller videospelare. Flash beräknas under 2015 finnas tillgänglig på över en
miljard enheter [34].
Programmet tillhandahåller en mängd funktioner, bland annat Local Shared Objects
vilket tillåter modulen att lagra data lokalt på klienter. Utan närmare förklaring kan
tekniken liknas med HTTP-kakor och i vardagligt tal omnämns Local Shared Objects ofta som Flash Cookies. Även problematiken är densamma, HTTP-kakor kan
användas för att spåra användarna och det kan även Flash Cookies [35]. I jämförelse
kan Flash Cookies vara svårare för en användare att identifiera och radera då lagringen är skild från HTTP Cookies. Flash Cookies har bland annat använts som backup
för att återställa radera spårningskakor [36, 37].
2.7
Fingeravtryck
Äldre analog teknik, kameror, skrivmaskiner och dylikt, producerar material som åtskiljer sig en aning från varandra. Papper skrivna på en viss typ av skrivmaskiner
ser ut på ett visst sätt, bilder fotograferade med optik från en viss kameratillverkare
ger en speciell ton på bilderna. Med kunskap om skillnaderna kan insatta individer
identifiera vilken teknik som används utifrån resultatet de håller i handen. Ett liknande koncept existerar i den digitala världen. Om en klient besöker en webbsida kan
servern identifiera vilken webbläsare som används genom att avläsa webbläsarens
användaragent (beskrivet ovan) [38].
En användaragents grundläggande information saknar tillräckligt unika värden för
att identifiera klienter på individuell nivå, då antalet återkommande och identiska
användaragenter är för högt. Klienter med samma operativsystem och mjukvara ser
med andra ord lika ut ur serverns synpunkt.
Därför behövs mer detaljerad information för att identifiera en klient, för att skilja
den från mängden och skapa ett digitalt fingeravtryck. Med fler tillgängliga variabler
kommer en större möjlighet att skapa ett unikt ID. Här finns det flera utgångspunkter
att hämta data ifrån. Notera att detta är en vridning av det ursprungliga syftet. Information finns tillgänglig för att hjälpa utvecklare att programmera mjukvara, inte för
att spåra användare.
7
Insticksmodulerna Flash Player, Silverlight och Java tillsammans med skriptspråk
som Javascript tillgängliggör alla information om klientens tekniska specifikationer. Skärmupplösning, uppspelningsmöjligheter av ljud och video, språk, tillgängligt
minne, landskod, tillgängliga API:er, CSS-egenskaper, HTML5-funktioner, typsnitt,
inställningar med mera. Utöver det skapar grafikprocessorer tvådimensionell grafik
(HTML Canvas) på ett unikt sätt utifrån mjukvara som drivrutiner, operativsystem
och webbläsare. Med andra ord finns långt mycket mer information tillgängligt, utöver det som användaragenten innehåller [39].
En vanlig webbläsare går, enligt organisationen EFFs (Electronic Frontier Foundation) verktyg Panopticlick, utan problem att skilja från mängden. Det behövs med
andra ord egentligen varken kakor, IP-adress eller användaragent för att särskilja en
klient från övriga. EFF anser att det räcker med att samla in tillgänglig information
från webbläsaren för att kunna skapa ett digitalt fingeravtryck [17].
2.8
Web Bugs
Web Bugs definieras som ett nästintill osynligt element. En minimal och genomskinlig bild på en webbsida eller i ett epostmeddelande. En sådan typ av spårning möjliggör åtkomst till IP-adress, tidpunkt för besök eller öppnande av e-post, domänadress
som besökts, och tidigare satta Set-Cookie värden hos klienten. Tekniken kan enkelt
appliceras på vanliga HTML-dokument eller e-post med HTML-innehåll.
Några syften med web bugs är att identifiera vem användaren är, hur frekvent användaren läser dokument och hur många som har klickat på en länk. Tekniken används
också i vissa fall till att verifiera e-postaddresser. Öppnandet av ett e-postmeddelande
verifierar då att mottagaren har läst meddelandet [40, 41].
2.9
Spionprogram och skadlig kod
I denna del syftar spionprogram på mjukvara installerad på en användares klient och
som skickar data till en tredje part, inte på spionprogram som ett utfärdat koncept.
Av de digitala tekniker för spårning som är undersökta i denna studie är det den som
uppmärksammas mest i media. sannolikt för att det är enkelt att jämföra med traditionell avlyssning [42, 43, 44].
Datainsamling i marknadsföringssyfte får ses som förhållandevis oskyldigt i jämförelse med de möjligheter som finns. Tillgången till data begränsas endast av programmerad funktion och utformning kontra skyddande säkerhetsmekanismer. Som
nämnt ovan finns en uppmärksammad hotbild gentemot allmänheten och med det
kommer en uppsjö av kommersiella och fria skydd [45].
Spionprogram i sig är en någorlunda generell benämning på en mjukvarugrupp och
det kan vara svårt att särskilja från övriga program med skadlig kod, då de ofta existerar i symbios med varandra. En gemensam nämnare är dock insamling av data
och information. Det betyder dock inte att alla former av spionprogram är kopplade
till intrång i form att trojaner eller dylikt, utan de kan vara en del av gratistjänster.
Exempelvis kan en kostnadsfri musiktjänst erbjudas i utbyte mot möjligheten till att
visa annonser utifrån användares tycke och smak [46].
8
Det finns även exempel där skadlig kod inte utför någon aktiv spårning eller datainsamling i sig, utan utför en förändring av användares personliga inställningar. Mest
utsatt är de vanligaste webbläsarna. Ändringar inkluderar vald startsida, standardsökmotor, proxyinställningar, aktiverade insticksmoduler med mera. Avsikten är ofta att
injicera annonser på välbesökta sidor, exempelvis Wikipedia. Bieffekten av en kapad
webbläsare är en stor möjlighet till datainsamling, speciellt om trafiken går via en
tredjepartserver (proxy) [47, 48, 49, 50].
2.10
Trafikanalys
Tidigare avsnitt har främst fokuserat på två spårningspunkter, serversidan och klientsidan. Det finns ytterligare ett alternativ, vilket är att låta en mellanhand analysera
nätverkstrafik någonstans innan en klient när en server. Funktionen är med fördel
placerad nära kanten av ett lokalt nätverk för största möjliga åtkomst till trafik. Intentionen är vanligtvis att uppfylla en lokal policy genom att konfigurera en punkt,
istället för att arbeta på klientnivå [51].
Det finns flera exempel på hur detta kan implementeras En variant är användandet av
mjukvaran Pfsense som med lämplig hårdvara kan agera brandvägg och router. Trafik
kan analyseras på låg nivå och utan problem loggföras. Det finns även möjlighet att
utöka existerande funktioner. Squid förbättrar användares internetupplevelse genom
att temporärt spara extern data som ofta efterfrågas. Tack vare verktyget Lightsquid
förenklas administrationen ytterligare med grafisk presentation av vad som sparas ner
på disk [52, 53, 54]. Här blir spårning och datainsamling transparent för användaren,
men det finns också ett mycket större krav på tillit. Speciellt inom ett nätverk kopplat
till en organisation, ett företag eller liknande. Det finns egentligen bara anledning att
ta hänsyn vid nyttjande av opålitliga nätverk.
2.11
Geografisk positionering av mobila enheter
Allt fler använder smarta mobila enheter tillsammans med tjänster över internet [55].
Det existerar flera metoder för att geografiskt positionera dessa enheter och därmed
även användarna. Ett relativt nytt fenomen är att tjänster baserar sitt eller användarens material efter den geografiska positionen.
Tjänster och relaterande teknik som förlitar sig på geografisk positionering benäms
Location Based Services (LBS) [56]. Det finns många olika typer av LBS. Exempelvis sammhällskritiska tjänster (räddningstjänster, vägassistans), mobila reklamtjänster (kupongpresentation och riktad reklam beroende på närliggande tjänster), informationstjänster (dynamiska positioner av närliggande samhällstjänster) samt navigeringstjänster (rutt-information, spårning av egen mobil eller fordon).
LBS använder olika typer av teknik för att positionera enheter. Vanligast är uppkoppling mot satelliter med Global Position Systems (GPS) med en precision på några få
meter utomhus. En annan vanlig teknik är positionering med Cell Identifier i mobila enheter med hjälp av radiofrekvenser och triangulering. Denna teknik är inte lika
positionssäker i jämförelse med föregående alternativ [55, 45].
9
2.12
Åtgärder mot spårning
När det gäller att förhindra spårning finns det minst lika många alternativ som det
finns metoder att utföra spårning. Denna rapport undersöker till viss del åtgärder mot
de tekniker som tidigare nämnts, men ska på inget sätt ses som varken heltäckande
eller ett rekommenderat utförande.
2.12.1
Blockeringsverktyg
Enklare webbplatser utan dynamiskt innehåll arbetar i regel mot ett domännamn.
Data med utformning, innehåll och eventuella funktioner finns alla lagrade på samma plats. Detta gäller i regel inte större webbplatser med högt antal besökare, där
laddas istället material från servrar tillgängliga under andra domäner. En nyhetssida
kan exempelvis hämta artiklar, annonser och kommentarer från skilda domännamn.
I samband med detta kan också spårning av användare utföras, då flera webbplatser
utnyttjar samma tjänster för att exempelvis hämta och visa annonser [57].
Här uppstår ett intresse att kontrollera vilka anslutningar som är relevanta för form,
funktion och innehåll samt vilka som är mindre önskvärda. Detta kan utföras manuellt på nivå med operativsystemet (hosts) men är vanligtvis en del av webbläsare
i form av tillägg. Det rör sig inte om anti-virus och andra skydd mot skadlig kod,
utan mjukvara som utökar redan existerande funktioner, den typen av skydd är vanligare under webbläsaren tillsammans med operativsystemet. Då i form av programvara som aktivt eller passivt söker efter skadlig kod. Detta inkluderar anti-virus och
brandväggar, men även mer specificerade verktyg. Vilka alternativ som finns eller
effektiviteten hos dessa har inte undersökts närmare i denna rapport [58, 59].
2.12.2
Sekretessinställningar
Flertalet av de internetbaserade tjänster som arbetar med spårning tillåter någon form
av avhopp (opt out). Tekniken kan liknas vid NIX, vilken är en spärrlista för telefonsamtal i marknadsförings- försäljnings- eller insamlingssyfte. Denna inställning är
inte global utan konfigureras enskilt för den specifika tjänsten. Valet sparas sedan i
en kaka (opt out cookie) vilket noterar att klienten undanber sig från spårning. Kakan
bör därför bevaras permanent för att behålla inställningen. Det finns även verktyg för
att underlätta avhopp. Network Advertising Initiative (NAI) tillåter avhopp från företag som är medlemmar i initiativet. Det finns även verktyg som förnyar denna typ av
kakor per automatik [60, 61, 62, 63, 64, 65, 66, 67, 68].
Notera att avhopp inte behöver innebära att datainsamling inte utförs, utan kan betyda att möjligheten till riktad reklam inte kommer utnyttjas. Det finns med andra
ord ingen exakt definition av vad avhopp innebär i detta sammanhang. Problemet har
resulterat i kritik från World Privacy Forum samt förslag och framtagande av nya
lösningar [69, 70].
En alternativ teknik vars namn inte ger utrymme för tveksamheter och som sen några år tillbaka av anammad av samtliga större webbläsare är Do Not Track (DNT).
I likhet med kakor och användaragenter är DNT en del av HTTP, dock fortfarande
som ett tillval och inte som standard. Funktionen utgår från klientens individuella
inställningar vilket anger om DNT ska vara på eller av, därefter är det upp till serversidan att agera korrekt utifrån funktionens syfte. Ett tjugotal företag har gjort publika
uttalanden om att de tar hänsyn till DNT [71, 72, 73].
10
2.12.3
Tredjepart och kryptering
Vanligtvis flödar trafik fram och tillbaka på internet mellan en avsändare och en mottagare, en klient och en server. Sannolikt berör innehållet i kommunikation endast
de två punkterna, men det måste passera fler korsningar på vägen för att komma rätt.
Under den fasen blir innehållet som mest utsatt för att påverkas eller läsas av en
tredjepart. Utan något form av skydd kan det liknas med att skicka vykort eller brev
utan kuvert. Detta kan åtgärdas genom att förvanska innehållet under transporten, en
beprövad teknik som har ett utbrett stöd i modern hårdvara och mjukvara [74, 75].
Kryptering förhindrar med andra ord analys av innehållet men det döljer varken avsändare eller mottagare, vilket kan vara önskvärt. Problemet kan tyckas vara komplext, då det är svårt att få fram post utan mottogarens adress. En lösning är att inte
gå den traditionella vägen, snabbast möjliga från punkt A till punkt B, utan istället
ta en omväg via en pålitlig tredjepart. Metoden beskrivs av Cisco som att paketera
sitt kuvert i ytterligare ett kuvert och be en vän, en mellanhand, att vidarebefordra
innehållet till den egentliga mottagaren. Tekniken används i praktiken idag och finns
i ett antal olika utföranden [75].
2.12.4
Lagar
I Svensk lag går det att läsa “alla som besöker en webbplats med kakor ska få tillgång
till information om att webbplatsen innehåller kakor och ändamålet med användningen av kakor. Besökaren ska också lämna sitt samtycke till att kakor används” [18].
Europaparlamentet har flera utarbetade och omfattande direktiv för hur den privata integriteten ska skyddas och personers fri- och rättigheter behandlas när det gäller
personuppgifter. Europaparlamentets datadirektiv från 1995 riktas på insamling av
personliga uppgifter och hanteringen av informationen ur ett brett perspektiv [76].
Europakommissionens faktablad Rätten att bli bortglömd[77] går igenom en rättsprocess i Spanien där en privatperson hävdade att Googles spanska kontor inkräktade på personens integritet genom att göra en notis om hans beslagtagna fastighet
tillgänglig på deras sökmotor. Faktabladet innehåller dels rättsprocessens dokument
och även förslag på framtida reformer tänkta att möta en växande globalisering och
den moderna teknikens möjligheter.
11
3
Metod
I detta kapitel presenteras de tillvägagångssätt som använts för datainsamling och
analys.
3.1
Vetenskaplig ansats
Arbetet i rapporten är främst ett resultat av en induktiv ansats. Experiment har utförts
under så realistiska förhållanden som möjligt för att få data utifrån en verklig miljö.
Syftet är att utgå från informationen resterande delar, men även ha en bra grund till
den enkät som har genomförts.
Svaren till frågorna är indelade i alternativ, men skrivna för att få målgruppen att
tänka efter och bilda sig en egen uppfattning vid svar svar, snarare än att endast utgå
ifrån fakta. Det finns dock frågor som är klart mer kvantitativa är kvalitativa.
3.2
Datainsamling
Till att börja med undersöktes aktuella blockeringsverktyg och dess effektivitet med
syfte att konstruera ett lättillgängligt material utifrån resultatet. Detta infogades som
en del i den enkätundersökning som skickades till målgruppen i hopp om att dokumentera en reaktion på innehållet, men även att informera om vårt resultat.
Enkätens övriga frågor är skapade utifrån arbetets problemformulering. Frågeställningarna riktar sig inte till en specifik grupp vilket föranleder till att några intervjuer
inte har gjorts. Respondenterna hålls anonyma och det finns ingen personlig information att tillgå bortsett från inledande filtreringsfrågor. Detta för att få så många
och ärliga svar som möjligt.
3.2.1
Urval och genomförande av enkät
Respondenterna av enkäten är ett urval bestående av anonyma personer. Svaren är
helt anonyma vilket leder till att några specifika urvalsstrategier inte har förekommit.
En förfrågan sändes om spridning av vår enkät till Sveriges samtliga kommuner via
e-post och ytterligare en förfrågan om spridning skickades till landets större universitet och högskolor. Avslutningsvis spreds länken till enkäten på sociala medier för
att nå ut till bekanta, vänner och vänners vänner. Enkätens frågor riktar sig till användare av internet i deras personliga vardag
Enkäten är webbaserad och är skapad med mjukvaran LimeServey [78]. Det ställs
10 primära frågor i enkäten tillsammans med 2 eventuella dolda följdfrågor som visas då specifika svarsalternativ väljs. Dessa som behandlar respondenternas syn på,
och förhållande till, personlig integritet på internet. 5 frågor besvaras i början av enkäten och är profilerade frågor om kön, ålder, bostadsort, sysselsättning samt högsta
avslutade utbildningsnivå.
Flera av frågorna kan besvaras med fritext om svarsalternativ inte representerar respondenterna tilltänkta svar som då skapar en eftersträvad dynamik i datainsamlingen. Frågor om påståenden svarades med en likertskala för att få en spridning på svaren. Alternativen innefattade “Inte alls”, “I liten grad”, “Till viss del”, “I hög grad”,
eller “Helt och hållet”. Enkäten innehöll även en förklarande del som belyser vad
en kaka är och hur klienten i experimentet blev ansluten till externa hemsidor utan
direkt koppling till den faktiska sidan.
12
Enkäten spreds sedan genom att skicka webbenkätens länk via e-post till Sveriges
alla 290 kommuner och 15 av Sveriges större universitet och högskolor. Meddelandet instruerade mottagaren att sprida länken internt, vilket gör det omöjligt att veta
hur många enkäten når ut till.. Länken spreds även över sociala medier i hopp om att
intressera vänner och bekanta. Enkäten var öppen från den 28 april 2015 till den 10
maj 2015. Det totala antalet svar är 610 och antalet ofullständiga svar var 270 vilka
då förkastades för att kvalitén på resultatet skulle vara så hög som möjligt. Antal
avslutade svar är 340.
Del 4 innehöll ett lägre antal frågor än övriga delar och utformades med ett informativt syfte. Resultatet från experiment kring blockeringsverktygs effektivitet presenterades på ett, i största möjliga mån, pedagogiskt vis. Avsikten var att undersöka
respondenternas reaktion genom att upplysa målgruppen vad som sker i bakgrunden
vid vardagligt surfande.
3.2.2
Urval och genomförande av experiment
Av de organisationer och företag som utvecklar mjukvara är Mozilla i framkant när
det gäller integritet. Deras webbläsare Mozilla Firefox 37.0 har dessutom ett enormt
bibliotek av tillägg och var därför lämplig som testplattform till blockeringsverktygen. De valdes i sin tur utifrån ett antal kriterier. Liknande syfte men olika funktion.
Antalet nuvarande användare, för att få med minst ett populärt verktyg. Användarvänlighet, för att avgöra om tilläggen kan nyttjas oavsett teknisk bakgrund. Bakgrund och tillförlitlighet, för att hitta ett verktyg att rekommendera i enkäten. Detta
avgjordes med en granskning av ett antal applikationers dokumentation och diskussionsforum. Det gav en klar bild över vilka verktyg som var lämpliga att jämföra. En
fördjupning genomfördes också för att att bättre förstå den tekniska funktionen av de
utvalda verktygen [79].
En jämförelse utfördes genom att installera tilläggen i tre separata instanser av Mozilla Firefox. Samtliga preparerades med Lightbeam 1.2.1 vilket bland annat övervakar av vilka domäner webbläsaren blir ansluten till. Därefter upprepades ett identiskt
surfningsmönster på samtliga instanser. 10 större svenska sidor besöktes, användes
och lämnades. Under tiden dokumenterades prestanda, helhet och användarvänlighet
tillsammans med de faktiska resultaten från Lightbeam [80]. Följande hemsidor besöktes under experimentet. Steg ett var att kontrollera hur många anslutningar som
gjordes till tredjeparts-domäner, d.v.s. domäner ej kopplad till den hemsida som faktiskt besöktes. En analys av hur många domäner som begärs och även får tillgång
till kakor i detta exempel görs. I steg två av experimentet mäts systemets minnesanvändning hos de olika blockeringsverktygen. Samtliga mätningar utfördes efter en
kallstart av systemet. Följande mönster följdes i experimentet.
• Aftonbladet.se
Visning av specifik artikel (utan filmströmmning).
• DN.se
Visning av specifik artikel (utan filmströmmning).
• Facebook.se
Inloggning. Sökning efter och visning av specifik grupp.
• Flashback.org
Visning av specifikt inlägg.
13
• Google.se
Sökord recept.nu". Sökning och visning av specifikt recept på recept.nu.
• Blocket.se
Val av specifikt område. Sökning efter och visning av specifik annons.
• Feber.se
Visning av specifik artikel (utan filmströmmning).
• Existenz.se
Visning av kommentarer relaterade till specifik artikel.
• Prisjakt.nu
Sökning efter samt visning av specifik produkt.
• Soccerway.com
Visning av specifik liga under menyn tävling".
3.3
Analys
Analysen som utförts är indelad i två kategorier och kan inte kopplas till någon dokumenterad metod utan är utfört helt på fri hand. Experiment har utförts i en kontrollerad och realistiskt miljö. Ett identiskt mönster har upprepats med de olika verktygen
och därefter har kontroller utförts av vilken teknik som har tillåtits och vilken som
har blockerats. Detta har i sin tur rangordnats efter effektivitet med hänsyn till verktygens ursprung och pålitlighet.
Resultatet från de upprepade experimenten undersöktes kvantitativt för att kunna
användas för att utforma en enkätundersökning fokuserad på kvalitativa frågor. Detta
har i sin tur kunnat analyseras för att få en inblick i allmänbildning och uppfattning
kring ämnet integritet på internet. Det insamlade resultatet har analyserats kvantitativt för att jämföra effektiviteten mellan olika metoder för att upptäcka spårning.
3.4
Etiska överväganden
Flera av enkätfrågorna är ställda på en personlig nivå och kan ses som utelämnade
då de rör individers privatliv. Främst del 1 med profilfrågor som namn, ålder, könsidentitet med mera, men även frågorna i del två som berör vilken typ av information
personen delar med sig av i slutna sammanhang. Detta utvärderades som känsligt i
förhållande till arbetets titel. Insamlad data och svar kan dock inte kopplas till person
genom exempelvis IP-adress, referrerings-url, webanalys, datum eller dylikt, då de
endast tilldelas ett ID för indexering. Enkätmjukvaran är ej heller konfigurerad för
att använda token, utan är öppen för samtliga. För närmare information, se avsnittet
“publication & access control” i Limesurveys dokumentation [81].
14
4
Resultat och analys
Kapitelet innehåller en praktisk undersökning av ett antal verktyg mot spårning samt
en fördjupning med fokus på effektivitet. Vidare presenteras data från den enkätundersökning som utförts.
4.1
Blockeringsverktyg
Ett enkelt och vanligt alternativ till åtgärder mot olika typer av spårning är blockeringsverktyg kopplade till en webbläsare i form av tillägg. Problematiken är vad
som ska blockeras och vilka riktlinjer som ska följas vid automatisering. Vanligtvis
kontrolleras detta med olika vit-listor och svart-listor tillgängliga för prenumeration.
Tilläggen Ublock, Ublock Origin och Adblock Plus delar in rekommenderade listor i följande kategorier: Ads, privacy, malware domains, social, multipurpose and
regions. Här finns även en säkerhetsaspekt utanför spårning då listor med domäner
kända för spridning av skadlig kod är tillgängliga. Effektiviteten är hög mot många
typer av spårning, då blockeringen sker redan på anslutningsnivå. Mer avancerade
verktyg tillåter även blockering av individuella element. Möjligheten att skräddarsy
olika funktioner är till stor del beroende av användares tekniska kunskaper och utan närmare konfiguration fungerar inte tilläggen optimalt. Utifrån behovet att kunna
rekommendera ett skydd användbart oavsett bakgrund inom informationsteknik utvecklas Privacy Badger från EFF. Tillägget har ingen svartlista med tillåtna domäner
utan söker främst efter kod som inte respekterar sekretessinställningen Do Not Track
[57, 82, 83, 84, 85, 86, 87].
Ovan nämnda tillägg kan utan problem hanteras utan insikt i koncept som nätverkskommunikation och programmering. Däremot kräver Request Policy Continued och
NoScript en djupare kunskap för att utnyttjas, då de vingklipper en mycket stor del av
hemsidors funktion genom att nästan bara släppa igenom statiskt innehåll. Exempelvis tillåter NoScript inte exekvering av JavaScript, Adobe Flash, Java eller liknande
oavsett (det finns dock en liten vit-lista) vilken domän som besöks. Användaren får
istället bestämma (på global eller lokal nivå) vilka domäner som är godkända. Resultatet är en hög säkerhet men, utan aktivt ställningstagande, till viss del oanvändbara
sidor [60, 88].
Följande verktyg valdes ut
• Adblock Plus 2.6.9
Mycket populärt verktyg för blockering av reklam.
• Ublock Origin 0.9.1.0
Nyare alternativ till Adblock Plus.
• Privacy Badger 0.2.6.2
Tillförlitligt verktyg utvecklat av EFF.
• NoScript Security Suite 2.6.9.22
Avancerat verktyg med krav på tekniskt kunnande.
15
NoScript är det verktyg som blockerar högst antal anslutningar till tredje-partsdomäner
följt av Ublock Origin enligt figur 4. Däremot kan inte vissa sidor användas normalt
med tillägget NoScript. Exempelvis kan endast mobilversionen av Facebook användas medan skrivbordsversionen inte fungerar alls. Ublock Origin blockerar flest antal
förfrågningar och sändningar av kakor från webbläsaren. Endast 5 kakor passerade
tilläggets kriterier. I figur 5 visas antal kakor som tilläts skickas vid användandet av
tilläggen. Adblock Plus visar sig kräva mer internminne än de övriga tilläggen som
visat i figur 6.
Figur 4: Antal anslutningar mot externa domäner för varje verktyg
Figur 5: Antal kakor som tillåts skickas till domäner under experimentet
16
Figur 6: Minnesanvändningen för varje tillägg jämfört med FireFox utan tillägg.
4.2
Tredjepart och trafikanalys
För att undvika att bli spårad (eller avlyssnad) av en tredjepart på en tekniskt mer
avancerad nivå finns flera alternativ. Ingen av dessa är tänkta att skydda mot kakor
eller dylikt utan endast för att kontrollera informationen under transporten, när den
färdas från avsändaren till mottagaren.
En vanlig och grundläggande metod är HTTPS. Vanlig HTTP-kommunikation krypteras då för att bara kunna läsas av server och klient. Det går fortfarande att utröna
avsändare och mottagare på IP-nivå, men inte mycket mer än så. Det kan med andra ord synas att en användare besöker en IP-adress som tillhör Wikipedia, men inte
alls vilka artiklar användaren läser. HTTPS är i många fall ett tillval och måste därför aktiveras manuellt på tjänstbasis. Detta kan undvikas med nyttjande av mjukvaran
HTTPS Everywhere som automatiskt aktiverar HTTPS när det är möjligt [89, 90, 91].
Nästa steg i kedjan är ett virtuellt privat nätverk (Virtual Private Network). En säker
anslutning mellan två punkter över ett opålitligt nätverk skapas, exempelvis mellan
två kontor eller för anställda som vill arbeta hemifrån. Till skillnad från HTTPS kan
VPN hantera långt fler former av datakommunikation och är transparent för överliggande applikationer. Tekniken har idag en benämning som skiljer sig från det ursprungliga syftet och syftar ofta på de tredjepartstjänster som till en månadskostnad
erbjuder användare att koppla upp sig gemensamt via en annan plats på internet. En
internetanvändares trafik kommer då innan den vanliga destinationen ta en omväg
via en server. Vid spårningsförsök ser trafiken då ut att komma från leverantören
av tjänsten och inte från användaren. Flera uppkopplingar gör det dessutom svårare
att särskilja användare från varandra, då alla utåt härstammar från samma IP-adress
[92, 93, 94].
17
Avslutningsvis finns anonymitetsnätverk som Tor, I2P med flera. I jämförelse med
VPN-tjänster som endast erbjuder en omväg innan trafiken når sin destination tar
trafik genom nätverket Tor flera hopp mellan olika punkter. Mellanhänderna är dessutom inte medvetna om vem som skickar information eller vart den ska utan vidarebefordrar endast trafiken. Tjänsten är kostnadsfri och organisationen bakom drivs
ideellt med bidrag från privatpersoner, företag och andra organisationer, bland annat
SIDA. De servrar som hanterar trafikflödet är från volontärer. Vid vanligt surfande
på internet blir tekniken i sig inte mycket värd utan bör kombineras med HTTPS
och/eller andra former av kryptering [95, 96, 97, 98].
4.3
Enkätsvar
Den första delen innehåller profilerade frågor som ger svar på ålder, könsidentitet,
utbildningsnivå, sysselsättning och bostadskommun. 29% av respondenterna är mellan 16 och 24 år gamla, vilket presenteras i figur 7. Den lägsta åldersgruppen som
svarade är 15 år eller yngre med endast en svarsfrekvens på 0,88%. 23% av respondenterna var mellan 25-34 år och 15% var mellan 35-44 år. Respondenter mellan
35-44 år, 45-54 år och 55-64 år väldigt lika med sina 15% i antal procent svarande.
Slutligen ligger antalet respondenter mellan 65-74 år på 1%. Inga respondenter är
över 74 år. Denna enkät svarades av 57,5% män och av 42% kvinnor,se figur 8. 1
person svarade en annan könsidentitet.
Figur 7: Åldersgrupper hos respondenterna
18
Figur 8: Respondenternas könsidentitet
Enkäten spred sig över hela Sverige. De 5 kommuner som har högst antal respondenter är Kalmar kommun (10%), Arvidsjaurs kommun (8%), Stockholms kommun
(5%), Sunne kommun (5%) och Göteborgs kommun (4%). En majoritet av respondenterna angav att de har som högst en avslutad eftergymnasial utbildning, hela
60.5%. Vidare har 29% en gymnasial utbildning och 10,5% av de svarande har en
högst avslutad förgymnasial utbildning.
Del två av enkäten började med två liknande frågor om vad respondenten delar med
sig av på öppna tjänster respektive stängda tjänster. De största skillnaderna i svaren
är dels vid delning av telefonnummer, e-post, och födelsedag där tendensen till att
dela denna information på stängda tjänster ökar vilket kan ses i figur 9 och figur 10.
Den första frågan löd "Vilken personlig information delar du med dig av när du använder öppna tjänsteröch den andra frågan löd Vilken personlig information delar du
med dig av när du använder stängda tjänster".
19
Figur 9: Vilken personlig information delas på öppna tjänster?
Figur 10: Vilken personlig information delas på stängda tjänster?
20
Nästa fråga behandlade noggrannheten vid delning av information, d.v.s. om respondenterna tänker sig för vilken information som de delar och vart det kommer att
delas. Hela 66,5% av respondenterna anser sig vara i hög grad noggranna med vad
de delar på öppna tjänster. Andelen som ansågs sig vara i hög grad noggranna på
stängda tjänster sjunker till 38,5%. Se figur 11.
Figur 11: Noggrannhet vid delning av information på öppna och stängda tjänster.
Vidare frågas vad som är personlig integritet på internet, ur respondenternas synpunkt. Flera svarsalternativ var möjliga. Som kan ses i figur 12 så var personlig integritet för många att ha “möjligheten att vara anonym på internet” och “Möjligheten
till att skydda mig från intrång utifrån” . Relativt få tyckte sig inte tänka på personlig
integritet.
Figur 12: Vad är personlig integritet?"
21
Många upplever att de inte är övervakade av nationella myndigheter. Samtidigt svarar
en stor del enligt figur 13 att de till någon grad känner sig övervakade av nationella
myndigheter på internet. Samma trend visar att svaren på frågan om upplevelsen är
kopplad till de internationella myndigheterna. Respondenterna frågades även om de
upplevde sig övervakade av sociala medier och sökmotorer. I båda fallen svarar en
tredjedel att de upplever sig övervakade eller spårade. Upplevelsen sänks något vid
användandet av e-handel och mailtjänster.
Figur 13: Upplevelsen över att bli övervakad/spårad.
Inställningen till nationell övervakning visar sig skilja sig mot de internationella.
Svarande är mer negativ till den internationella övervakningen på internet. Samtidigt
är svarande mer positiv till övervakningen i nationella sammanhang. Inställningen till
övervakning på sociala medier, sökmotorer, mailtjänster och e-handel är mer negativ
än positiv. Figur 14 visar skillnaden på inställningen till övervakning/spårning av
nationella och internationella myndiheter.
Figur 14: Inställningen till att bli övervakad/spårad.
22
Nästa fråga är om den svarande vidtar några former av de tekniska åtgärder som finns
för att blockera reklam och spårning eller andra verktyg för anonymitet. Som kan ses
i figur 15 svarar 54% att de inte vidtar någon typ av åtgärd. De som svarat ja på frågan
får även möjligheten att utveckla sitt svar genom att välja olika typer av tekniska
åtgärder. En stor del svarar att de använder temporära surflägen, blockeringsverktyg
och kryptering. Flera val kan väljas.
Figur 15: Andel som vidtar åtgärder mot spårning.
I enkäten visades information (se bilaga 1) om kakor och hur anslutningar till externa
domäner sker. Ett grafiskt resultat på ett experiment med blockeringsverktyg visades.
Efter information svarade 84% att de visste vad en kaka var. Knappt 14% säger att
de inte visste vad en kaka var. Se figur 16.
Figur 16: Andel som redan visste vad en kaka var.
Frågan om respondenternas noggrannhet vid delning av information återkommer.
Nu får de svara på om de i framtiden kommer bli mer noggranna vid delning på
både öppna och stängda tjänster. En stor andel respondenter kommer i hög grad eller
till viss del att vara mer noggranna i framtiden med vad de delar med sig av för
information på internet, vilket kan ses i figur 17.
23
Figur 17: Antal som i framtiden tänker vara mer noggranna med vad de delar.
Slutligen frågades respondenterna om de i framtiden kommer att vidta ytterliga åtgärder mot spårning och öka anonymiteten. 29% anger att de kommer att vidta åtgärder
och 52% kommer inte att göra det. Se figur 18.
Figur 18: Andel som i framtiden kommer att vidta åtgärder mot spårning.
4.4
Sammanfattning av enkätsvar
Enkätensvaren är jämt fördelade på gruppen män och kvinnor. Antalet svarande som
är anställda som sysselsättning är hög, 71% har det som sysselsättning Information
som delas av användarna på öppna tjänster jämfört med vilken information som delas
på stängda tjänster skiljer nämnvärt vid delning av telefonnummer, e-postadress och
födelsedag I överlag är de svarande mer restriktiva på öppna tjänster.
Respondenterna anser sig var noggranna med vad vilken information de delar med
sig på internet. 66% anser sig vara i hög grad noggranna med vad de delar med sig av
på öppna tjänster men procentandelen sänks till 39% vid delning på stängda tjänster.
24
De flesta svarande upplever sig inte övervakade vare sig av nationella eller internationella myndigheter. Däremot är det tjänster som sociala medier, sökmotorer, mailtjänster och e-handel som man upplever sig övervakade av. E-handel är de tjänster
som man minst upplever sig övervakad av. En stor andel respondenter har en negativ
inställning till övervakning på alla områden. Det var en hög andel som svarade att
de redan visste vad en kaka var. Samtidigt använder bara 34% något form av verktyg
för att motverka spårning och för att aktivt skydda integriteten. 54% använder inget
sådant verktyg. Den åtgärd som är populärast att använda är temporära surflägen så
som inkognitoläge. Även blockeringsverktyg av typen reklamblockering är populära.
Många svarande anger att de i framtiden kommer bli mer noggranna på både öppna
och stängda tjänster efter att ha tagit del av vår information. Svarsalternativen “Till
viss del” och “I hög grad” dominerar med 29% och 36% på öppna tjänster respektive 34% och 27% på stängda tjänster. 29% av de svarande anger dessutom att de i
framtiden kommer att vidta ytterligare tekniska åtgärder för att behålla sin personliga
integritet på internet.
4.5
Analys
Blockeringsverktygens effektivitet visade sig vara varierande. Vid användning av NoScript kopplades webbläsaren endast upp mot 47 domäner tillhörande tredjepart, vilket var det lägsta resultatet i den delen av undersökningen. Trots simpel administrering visade Ublock Origin på liknande effektivitet och blockerade dessutom ett högre
antal kakor. Detta antyder att en stor del av den spårning som utfördes är beroende
av kontakten mot andra domäner med hjälp av kodexekvering på klientsidan och inte
är kopplade till HTTP-sessionen med kakor av typen HTTP-only. Användarvänligheten var långt bättre i Ublock Origin i jämförelse med NoScript, vilket gör det till
ett lämpligare val för gemene man. Även Privacy Badger var pedagogiskt utformat
och mycket mer avslappnat i kontrollen av material i jämförelse med övriga verktyg.
Med hänsyn till att mjukvara enkelt kan innehålla skadlig kod och spionprogram är
verktygens tillförlitlighet hög. Samtliga utvecklas med helt öppen källkod tillgänglig
för kritisk analys samt förbättring. Privacy Badger skiljer sig dock från övriga med
organisationen EFF bakom sig, vilket gör det tillförlitligare och enklare att rekommendera till användare. Vilket också gjordes i enkätundersökningens informativa del.
Var tredje respondent upplever sig delvis övervakad och spårad. De är också negativa
till det, speciellt om det är en tjänst. Samtidigt är det få som åtgärdar möjligheterna
genom att använda alternativa tjänster som man på ett eller annat sätt litar på.
25
5
Diskussion
Det första vi tog hänsyn till i enkäten var anonymitet. Vi vill inte kunna koppla resultat till person, dels för att arbetet rör sig runt spårning i allmänhet, dels för att få
ärliga och uppriktiga svar. Vi valde dock noggrant ut ett antal filterfrågor för att till
viss mån kunna separera målgruppen. Vi diskuterade även att inkludera en fråga om
tekniskt kunnande men placerade istället en snarlik fråga i del 2. Då i mer kvalitativ
form snarare än kvantitativ.
Förvånansvärt många svarar att de använder någon typ av åtgärd mot spårning. En
majoritet använder ett inkognitoläge, vilket ger ett väldigt begränsat faktiskt skydd
och en falsk säkerhet. Data som historik och kakor sparas inte lokalt, men det finns
en uppsjö av andra möjligheter att spåra en användare. Resten av internet vet vad som
pågår, men inte klienten. Med det sagt är det få som använder alternativa sökmotorer
som är skapade ur ett integritetsperspektiv. Respondenterna vill hålla sig anonyma
och de försöker blockera kakor och reklam. De är också medvetna om riskerna som
finns med spårning och integritetskränkande datainsamling. De upplever sig övervakade av tjänster på internet men de nyttjar inte åtgärder som förebygger tjänsters
insamling av data. Exempelvis sökord på sökmotorer eller delat material på sociala
medier. De som sedan anger att de i framtiden kommer att vidta ytterligare åtgärder
är förhoppningsvis mer medvetna om att spårning och profilering kan ske på många
olika sätt, även utanför webbläsaren. Medvetenhet har alltså en stor roll i hur vi som
användare förhåller oss till personlig integritet och hur vi gör för att hålla den intakt.
En tidig idé som vi också genomförde var att inkludera en del av resultatet från
vår undersökning av blockeringsverktyg i enkäten. Dels för att informera, dels för
att mäta en reaktion. Förvånansvärt många angav att de i framtiden kommer ta större
hänsyn till sitt privatliv i samband med både öppna och stängda tjänster. Uppföljning
om det faktiskt sker är omöjlig med den tid vi har till arbetet, men förhoppningsvis
valde några att följa vår länk till EFF och Privacy Badger. En sida som idag är full
med aktuell och nyttig information. Utöver det utformade vi även andra frågor med
förhoppningen att respondenterna ska tänka till lite extra och kanske efteråt fundera
över vad de faktiskt fyllde i. På frågan om “vilken information delar du?” valde vi
ett stort antal alternativ av personlig information vilket kan se lite skräckinjagande
ut, speciellt när en majoritet av alternativen bockas för.
Enkätens svar hade varit intressanta att följa upp på en mer individuell nivå och
framförallt hade det varit bra med större spridning bland respondenterna. Svaren är
fortfarande värda mycket och har gett oss den inblick vi sökte, däremot hoppas vi i
framtida projekt kunna nå fler och få en större spridning. Nu har den sannolikt främst
besvarats av kommunalanställda och studenter vilket ger ett visst vinklat resultat. Det
var också vad vi förväntade oss, men valde att prioritera bort det till fördel för övriga
delar i arbetet. Vi är dock väldigt glada att över en tredjedel av respondenterna tänker
vidta åtgärder i framtiden vilket innebär att vårt arbete faktiskt har resulterat i ökad
medvetenhet hos en liten grupp människor!
De blockeringsverktyg som analyseras i experimentet är ett urval av de populäraste programmen. De är också verktyg som vi anser vara utmärkta val utifrån vem
utvecklaren är samt respons från användare. Adblock Plus visar sig tillåta relativt
många anslutningar och förfrågningar på kakor vilket förvånade oss då det är ett av
de mest kända och välanvända verktygen. Tillägget använder också mycket internminne och sidorna tar lite extra tid att laddas i jämförelse med konkurrenten Ublock
Origin.
26
Med verktyget NoScript blockeras flest anslutningar till tredjeparts-domäner och
det lyckas även blockera många kakor jämfört med Privacy Badger och Adblock
plus. Applikationen använder minst minne i experimentet men användarvänligheten
är lägst, då mjukvaran inte skiljer på nödvändiga funktioner från spårningsfunktioner. Flera sidor vi besöker fungerar tyvärr inte som de ska. Säkert, men på gränsen
till värdelöst. Orsaken är att NoScript blockerar exekvering av kod och bara tillåter
statiskt innehåll.
Privacy Badger utvecklas av EFF vilket gör det mest tillförlitligt då organisationen
länge har arbetat med integritet och öppenhet på internet. Dock blockerar Privacy
Badger allra minst i våra test och tillåter hela 80% av anslutningarna från tredjepartsdomäner. Det blockerar endast 1 av de 45 kakorna. Privacy Badger använder lite
minne jämfört med andra verktyg. Användarvänligheten är intakt på alla sidor vi besöker och på vissa sidor återfinns även reklam, vilket egentligen inte är konstigt med
tanke på tilläggets syfte. I praktiken gav NoScript ett bättre skydd, men är omöjligt
att rekommendera till gemene man.
Experimentet visar att Ublock Origin är det bästa valet för att blockera anslutningar
och sändning av kakor om man även tar hänsyn till användarvänligheten. Verktyget
tillåter endast 26% av de ursprungliga anslutningsförsöken mot tredjeparts-domäner
och endast 5 kakor skickas från oss under experimentet. Ublock Origin använder
även mindre minne jämfört med Adblock Plus som inte blockerar i närheten så många
anslutningar som Ublock Origin gör. En hemsida med mycket reklam kan i vissa fall
laddas in snabbare med Ublock Origin än utan något verktyg alls.
Alla verktyg som har varit en del av experimentet fungerar som ett komplement i
jakten på anonymitet. Det är också viktigt att inte bara tänka på antalet blockeringar, utan även hur sidan presenteras efter blockeringen. Det är alltså en fördel om en
hemsida kan laddas snabbt, men många verktyg kräver arbete i bakgrunden vilket
leder till att hemsidor i vissa fall laddas långsammare.
Om man bortser från de verktyg som finns tillgängliga behöver användare som verkligen vill vara anonyma själva arbeta för det. Att tänka sig för vilka bilder man delar,
vilka hemsidor man besöker och vem man delar med sig av sin personliga information till är en viktig del i processen mot anonymitet. Medvetenhet om de möjligheter
som företag och myndigheter har är ett stort steg mot ett internet med integriteten i
behåll.
Resultatet från experimentet utföll ungefär som vi förväntat oss, då vi sen tidigare
hade en liten insikt i hur blockeringsvkertyg fungerar. Att Ublock Origin var effektivast kopplar vi till att det bygger vidare på samma teknik som Adblock plus, men utan
samma vitlista där vissa domäner tillåts utifrån en överenskommelse med skaparna
av Adblock. Precis som många andra projekt i mjukvaruvärlden föds nya program
utifrån behovet och kunskapen att ersätta en existerande applikation.
27
6
Avslutning
I kapitlet presenteras vår slutsats av examensarbetet i sin helhet. Vi går även igenom
förslag till fortsatt forskning inom ämnet.
6.1
Slutsats
Sannolikt blockerades ett antal legitima källor i vårt experiment, men att samtliga
kakor är relevanta för de besökta sidornas funktion är mindre troligt. Kakor kan
dessutom ses som, i jämförelse med superkakor och liknande, den äldre metoden
att följa internetanvändares aktivitet. Att koppla samman nyttjande av tjänst A med
Tjänst B är utan tvekan möjligt för att bygga upp en profil. På mjukvarunivå går
det att skydda sig förutsatt att en installation om program kan genomföras. Flera av
blockeringsverktygen vi undersökte under arbetets gång är effektiva utan någon konfiguration över huvud taget. Överlag upplevde vi dessutom en kortare laddningstid
än normalt. Det största problemet är risken för vingklippa funktioner eller att dynamiskt innehåll helt slutar fungera.
Ett flertal av enkätens respondenter anser sig vara medvetna om att datainsamling
utförs i olika former även om de inte vidtar åtgärder. De tror även att syftet främst är
kommersiellt. Efter att de tog del av vårt resultat svarade även många att de i framtiden kommer blir mer noggranna med att inte tappa kontrollen över sin personliga
information.
Resultatet från enkäten presenteras i sin helhet på exjobb2015.freduggla.net.
6.2
Förslag till fortsatt forskning
En del i arbetet som inte lyckas fullföljas är en uppföljning på enkätsvaren. Främst
hade det varit intressant att se om respondenterna som svarade att de i framtiden
kommer ta större hänsyn till integritet på internet faktiskt ha gjort. Om så var fallet,
vad är skillnaden från tidigare? Utöver det fanns planer på att genomföra ett antal
personliga intervjuer inom olika yrkesområden för att skapa en mer personlig bild av
hur gemena man hanterar sitt uppkopplade privatliv beroende på tekniskt kunnande.
Detta i samband med en liknande enkät, förhoppningsvis med större spridning, finns
en möjlighet att både bekräfta och bygga vidare på den delen av arbetet.
Som nämnt ett flertal gånger i uppsatsen finns många vägar att gå för att värna om
sin integritet. Enklast är att vara restriktiv med personlig information och kontrollera
vilka kanaler den når. Nästa steg är att använda skyddande mjukvara. Denna uppsats
tittar närmare på typen blockeringsverktyg och dess effektivitet. En intressant uppföljning är analys av de mer avancerade verktygen, som vilka metoder som finns för
att komma runt tekniken. Tor har exempelvis ett bra rykte, men verkar också kräva
försiktighet. Vad krävs för att spåra trafiken tillbaka till källan? Vilka denna typ av
program? Varför?
Alla typer av program ersätter kontinuerligt varandra. De beskrivna blockeringsverktygen i denna rapport saknas kanske helt i framtiden. Överflödiga eller tekniskt
föråldrade. Vilka är de nya alternativen? Stoppar de nya spårningsmetoder?
28
Referenser
[1] C. J. Hoofnagle and N. Good, “Web privacy census,” UC Berkeley School
of Law, 10 2012. [Online]. Available: https://www.law.berkeley.edu/index.
htmlcenters/berkeley-center-for-law-technology/research/privacy-at-bclt/
web-privacy-census/ [Kontrollerad: 2015-05-22]
[2] D. Shelton, “Online behavioral advertising: tracking users: gold mine or land
mine,” Landslide, vol. 5, no. 1, p. 26, 2012.
[3] M.
Leijon.
(2013,
02)
Unga
har
väl
utvecklade
strategier för integritet på nätet. Skolverket. [Online]. Available:
http://www.forskning.se/fordigiskolan/utbildningsvetenskap/nyheter/
egnaskolnyheter/ungaharvalutveckladestrategierforintegritetpanatet.5.
6f7d2f9713dc8b601c96a.html [Kontrollerad: 2015-05-22]
[4] J. Angwin and J. Valentino-DeVries, “Google’s iphone tracking,” The
Wall Street Journal, 2 2012. [Online]. Available: http://www.wsj.com/
articles/SB10001424052970204880404577225380456599176 [Kontrollerad:
2015-05-22]
[5] A. Marthews and C. Tucker, “Government surveillance and internet search
behavior,” 04 2015. [Online]. Available: http://ssrn.com/abstract=2412564
[Kontrollerad: 2015-05-22]
[6] Brev, Sony Pictures Entertainment, 12 2014. [Online]. Available: http:
//oag.ca.gov/system/files/12%2008%2014%20letter_0.pdf
[7] C.
Castelluccia
and
A.
Narayanan,
“Privacy
considerations of online behavioural tracking,” European Union Agency for Network and Information Security, 11 2012. [Online]. Available: http://www.enisa.europa.eu/activities/identity-and-trust/library/
deliverables/priacy-considerations-of-online-behavioural-tracking [Kontrollerad: 2015-05-22]
[8] H. H. Silvskog and M. Söderberg, “Skydd av personlig integritet på
internet,” 09 2004. [Online]. Available: http://www.bth.se/fou/cuppsats.nsf/all/
c8e93706196045e8c1256d3d0039ccfc?OpenDocument [Kontrollerad: 201505-24]
[9] G. Pettersson and R. Tomstad, “Datainsamling av privatpersoners internetbeteende : En studie av medvetenheten hos privatpersoner,” 05 2014.
[Online]. Available: http://urn.kb.se/resolve?urn=urn:nbn:se:uu:diva-226798
[Kontrollerad: 2015-05-24]
[10] O. Findahl. (2014) En årlig studie av svenska folkets internetvanor. SE
Stiftelsen för Internetinfrastruktur. [Online]. Available: http://www.soi2014.se/
sammanfattning [Kontrollerad: 2015-05-22]
[11] Datainsamling. Statistiska Centralbyrån. [Online]. Available: http://www.scb.
se/sv_/Vara-tjanster/Insamling-och-undersokning/Datainsamling/ [Kontrollerad: 2015-05-22]
[12] C. Castelluccia, M.-A. Kaafar, and M.-D. Tran, “Betrayed by your ads!:
Reconstructing user profiles from targeted ads,” in Proceedings of the 12th
International Conference on Privacy Enhancing Technologies, ser. PETS’12.
Berlin, Heidelberg: Springer-Verlag, 2012, pp. 1–17. [Online]. Available:
http://dx.doi.org/10.1007/978-3-642-31680-7_1
[13] Understanding cookies and sessions. Lassosoft. [Online]. Available: http://www.lassosoft.com/Tutorial-Understanding-Cookies-and-Sessions
[Kontrollerad: 2015-05-22]
[14] (2013, 7) Understanding user-agent strings. Microsoft. [Online]. Available:
https://msdn.microsoft.com/en-us/library/ms537503.aspx [Kontrollerad: 201505-22]
29
[15] (2014, 3) Browser detection using the user agent. Mozilla. [Online]. Available: https://developer.mozilla.org/en-US/docs/Browser_detection_
using_the_user_agent [Kontrollerad: 2015-05-22]
[16] (2015, 4) Gecko user agent string reference. Mozilla. [Online]. Available: https://developer.mozilla.org/en-US/docs/Web/HTTP/Gecko_user_agent_
string_reference [Kontrollerad: 2015-05-22]
[17] panopticlick. Electronic Frontier Foundation. [Online]. Available: https:
//panopticlick.eff.org [Kontrollerad: 2015-05-22]
[18] (2011, 7) Kakor (cookies). Post- och telestyrelsen. [Online]. Available:
http://www.pts.se/cookies [Kontrollerad: 2015-05-22]
[19] (2011, 7) Frågor och svar om kakor för användare. Post- och telestyrelsen. [Online]. Available: http://www.pts.se/sv/Privat/Internet/Integritet1/
Fragor-och-svar-om-kakor-for-anvandare/ [Kontrollerad: 2015-05-22]
[20] (2014, 5) Http cookies. Mozilla Developer Network. [Online]. Available: https:
//developer.mozilla.org/en-US/docs/Web/HTTP/Cookies [Kontrollerad: 201505-22]
[21] (2014, 12) Web storage api. Mozilla Developer Network. [Online].
Available: https://developer.mozilla.org/en-US/docs/Web/API/Web_Storage_
API [Kontrollerad: 2015-05-22]
[22] Maintaining session state with cookies. Microsoft. [Online]. Available:
https://msdn.microsoft.com/en-us/library/ms526029 [Kontrollerad: 2015-0522]
[23] (2011, 4) Http state management mechanism. Internet Engineering Task
Force. [Online]. Available: http://tools.ietf.org/html/rfc626 [Kontrollerad:
2015-05-22]
[24] Third-party
cookies
vs
first-party
cookies.
Opentracker.
[Online].
Available:
http://www.opentracker.net/article/
third-party-cookies-vs-first-party-cookies [Kontrollerad: 2015-05-22]
[25] What is a cookie? Microsoft. [Online]. Available: http://www.microsoft.com/
en-GB/security/resources/cookie-whatis.aspx [Kontrollerad: 2015-05-22]
[26] (2007, 8) Persistent client state http cookies. Netscape. [Online]. Available: https://web.archive.org/web/20070805052634/http://wp.netscape.com/
newsref/std/cookie_spec.html [Kontrollerad: 2015-05-22]
[27] Description of persistent and per-session cookies in internet explorer. Microsoft. [Online]. Available: https://support.microsoft.com/en-us/kb/223799/en-us
[Kontrollerad: 2015-05-22]
[28] Private
browsing
use
firefox
without
saving
history. Mozilla. [Online]. Available: https://support.mozilla.org/en-US/kb/
private-browsing-use-firefox-without-history [Kontrollerad: 2015-05-22]
[29] J.
Vijayan,
“Microsoft
disables
’supercookies’
used
on
msn.com
visitors,”
Computerworld,
8
2011.
[Online]. Available: http://www.computerworld.com/article/2510494/data-privacy/
microsoft-disables--supercookies--used-on-msn-com-visitors.html [Kontrollerad: 2015-05-22]
[30] Online behavioral tracking. Electronic Frontier Foundation. [Online]. Available: https://www.eff.org/issues/online-behavioral-tracking [Kontrollerad: 201505-22]
[31] S. Greenhalgh. (2015, 1) Hsts super cookies. RadicalResearch. [Online].
Available: http://www.radicalresearch.co.uk/lab/hstssupercookies [Kontrollerad: 2015-05-22]
30
[32] (2012, 1) Http strict transport security (hsts). Internet Engineering Task Force.
[Online]. Available: https://www.rfc-editor.org/rfc/rfc6797.txt [Kontrollerad:
2015-05-22]
[33] Public suffix list. Mozilla. [Online]. Available: https://wiki.mozilla.org/Public_
Suffix_List [Kontrollerad: 2015-05-22]
[34] Adobe flash runtimes statistics. Adobe Systems. [Online]. Available:
http://www.adobe.com/se/products/flashruntimes/statistics.html [Kontrollerad:
2015-05-22]
[35] Manage, disable local shared objects. Adobe Systems. [Online]. Available: https://helpx.adobe.com/flash-player/kb/disable-local-shared-objects-flash.
html [Kontrollerad: 2015-05-22]
[36] N. Mohamed. You deleted your cookies? think again. Wired. [Online]. Available: http://www.wired.com/2009/08/you-deleted-your-cookies-think-again/
[Kontrollerad: 2015-05-22]
[37] T. Imbert. (2011, 3) Introducing flash player 10.3 beta! Adobe
Systems. [Online]. Available: http://blogs.adobe.com/flashplayer/2011/03/
introducing-flash-player-10-3-beta.html [Kontrollerad: 2015-05-22]
[38] P. Eckersley, “How unique is your web browser?” in Privacy Enhancing
Technologies.
Springer, 2010, pp. 1–18. [Online]. Available: https:
//panopticlick.eff.org/browser-uniqueness.pdf [Kontrollerad: 2015-05-22]
[39] Web browser security. BrowserLeaks. [Online]. Available: https://www.
browserleaks.com/ [Kontrollerad: 2015-05-22]
[40] R. M. Smith. (1999, 11) The web bug faq. Electronic Frontier Foundation. [Online]. Available: https://w2.eff.org/Privacy/Marketing/web_bug.html
[Kontrollerad: 2015-05-22]
[41] R. L. Jr and C. Arevalo-Lowe. About web bugs. [Online]. Available: http://
www.mailsbroadcast.com/email.bolts.nuts/about.web.bugs.htm [Kontrollerad:
2015-05-22]
[42] K. Örstadius, “Hemlig kod spionerar på svenskars surfvanor,” Dagens Nyheter, 04 2015. [Online]. Available: http://www.dn.se/ekonomi/
hemlig-kod-spionerar-pa-svenskars-surfvanor/ [Kontrollerad: 2015-05-22]
[43] TT, “Usa anklagas för nytt spionprogram,” Dagens Nyheter, 02 2015. [Online]. Available: http://www.dn.se/ekonomi/teknik/
usa-anklagas-for-nytt-spionprogram/ [Kontrollerad: 2015-05-22]
[44] K. Örstadius, “Google stoppar spionprogram,” Dagens Nyheter, 04 2015. [Online]. Available: http://www.dn.se/ekonomi/teknik/
google-stoppar-spionprogram/ [Kontrollerad: 2015-05-22]
[45] B. Rao and L. Minakakis, “Evolution of mobile location-based services,” Communications of the ACM, vol. 46, no. 12, pp. 61–65, 2003.
[46] What is spyware? Microsoft. [Online]. Available: http://www.microsoft.com/
security/pc-security/spyware-whatis.aspx [Kontrollerad: 2015-05-22]
[47] S. Shetty. (2010, 11) Introduction to spyware keyloggers. Symantec. [Online]. Available: http://www.symantec.com/connect/articles/
introduction-spyware-keyloggers [Kontrollerad: 2015-05-22]
[48] (2015, 1) I see popups or i am redirected to different websites. Symantec. [Online]. Available: https://support.norton.com/sp/en/us/home/current/solutions/
kb20100811171926EN_EndUserProfile_en_us [Kontrollerad: 2015-05-22]
[49] Troubleshoot
firefox
issues
caused
by
malware.
Mozilla.
[Online].
Available:
https://support.mozilla.org/en-US/kb/
troubleshoot-firefox-issues-caused-malware [Kontrollerad: 2015-05-22]
[50] P. Beaudette. (2012, 5) If you’re seeing ads on wikipedia, your computer is probably infected with malware. Wikime-
31
[51]
[52]
[53]
[54]
[55]
[56]
[57]
[58]
[59]
[60]
[61]
[62]
[63]
[64]
[65]
[66]
[67]
[68]
[69]
dia Foundation. [Online]. Available: http://blog.wikimedia.org/2012/05/14/
ads-on-wikipedia-your-computer-infected-malware/ [Kontrollerad: 2015-0522]
Deploying firewalls throughout your organization. Cisco. [Online]. Available: http://www.cisco.com/c/en/us/products/collateral/security/ios-firewall/
prod_white_paper0900aecd8057f042.html [Kontrollerad: 2015-05-22]
Pfsense overview. Electric Sheep Fencing. [Online]. Available: https:
//www.pfsense.org/about-pfsense/ [Kontrollerad: 2015-05-22]
S. Kear. (2014, 4) How to set up a transparent squid proxy server
using pfsense. Hubpages. [Online]. Available: http://hubpages.com/hub/
How-to-setup-a-transparent-proxy-using-pfSense [Kontrollerad: 2015-05-22]
——. (2014, 3) Monitoring internet usage with lightsquid and
pfsense. Hubpages. [Online]. Available: http://skear.hubpages.com/
hub/Monitoring-Internet-Usage-With-LightSquid-and-pfSense [Kontrollerad:
2015-05-22]
O.
Findahl.
Ökande
andel
av
internettiden
ägnas
mobilen. SE - Stiftelsen för Internetinfrastruktur. [Online]. Available:
http://www.soi2014.se/internets-spridning-har-inte-helt-stannat-upp/
okande-andel-av-internettiden-agnas-mobilen [Kontrollerad: 2015-05-22]
S. Dhar and U. Varshney, “Challenges and business models for mobile locationbased services and advertising,” Communications of the ACM, vol. 54, no. 5,
pp. 121–128, 2011.
Privacy badger. Electronic Frontier Foundation. [Online]. Available: https:
//www.eff.org/privacybadger [Kontrollerad: 2015-05-22]
S. Black. Amalgamated hosts file. [Online]. Available: https://github.com/
StevenBlack/hosts [Kontrollerad: 2015-05-25]
Blocking unwanted connections with a hosts file.
Noscript. InformAction. [Online]. Available: https://noscript.net/ [Kontrollerad: 2015-05-24]
Consumer opt-out. Network Advertising Initiative. [Online]. Available:
http://www.networkadvertising.org/choices/ [Kontrollerad: 2015-05-24]
Google analytics opt-out browser add-on. Google. [Online]. Available:
https://tools.google.com/dlpage/gaoptout?hl=en [Kontrollerad: 2015-05-24]
Ads help - opt out. Google. [Online]. Available: https://support.google.com/
ads/answer/2662922 [Kontrollerad: 2015-05-24]
Annonsinställningar. Google. [Online]. Available: https://www.google.com/
settings/ads/plugin [Kontrollerad: 2015-05-24]
(2013,
6)
Keep
my
opt-outs.
Google.
[Online]. Available: https://chrome.google.com/webstore/detail/keep-my-opt-outs/
hhnjdplhmcnkiecampfdgfjilccfpfoe [Kontrollerad: 2015-05-24]
J.
Hobbs.
Beef
taco
(targeted
advertising
cookie
optout). [Online]. Available: https://addons.mozilla.org/en-us/firefox/addon/
beef-taco-targeted-advertising/ [Kontrollerad: 2015-05-24]
Spärregistret för telefoni. NIX-Telefon. [Online]. Available: http://nixtelefon.
org/ [Kontrollerad: 2015-05-24]
Opt out of optimizely tracking. Optimizely. [Online]. Available: https:
//www.optimizely.com/opt_out [Kontrollerad: 2015-05-22]
R. Reitman. (2011, 1) Mozilla leads the way on do not track. Electronic
Frontier Foundation. [Online]. Available: https://www.eff.org/deeplinks/2011/
01/mozilla-leads-the-way-on-do-not-track [Kontrollerad: 2015-05-24]
[70]
32
[71] J. Mayer and A. Narayanan. Do not track. [Online]. Available: http:
//donottrack.us/ [Kontrollerad: 2015-05-24]
[72] ——. Do not track: Implementations. [Online]. Available: http://donottrack.
us/implementations [Kontrollerad: 2015-05-24]
[73] J. Mayer, A. Narayanan, and S. Stamm. Do not track, a universal third-party
web tracking opt out. Internet Engineering Task Force. [Online]. Available:
http://tools.ietf.org/html/draft-mayer-do-not-track-00 [Kontrollerad: 2015-0524]
[74] Why do you need pgp? [Online]. Available: http://www.pgpi.org/doc/whypgp/
en/ [Kontrollerad: 2015-05-24]
[75] (2008, 10) How virtual private networks work. Cisco. [Online]. Available: http://www.cisco.com/c/en/us/support/docs/security-vpn/
ipsec-negotiation-ike-protocols/14106-how-vpn-works.html [Kontrollerad:
2015-05-24]
[76] E. Unionen, “Europaparlamentets och rådets direktiv 95/46/eg,” Europeiska
gemenskapernas officiella tidning L-281, pp. 31–50, 11 1995. [Online].
Available: http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:
31995L0046:sv:HTML [Kontrollerad: 2015-05-22]
[77] Factsheet on the “right to be forgotten” ruling (c-131/12). Europakomissionen.
[78] Limesurvey. [Online]. Available: https://www.limesurvey.org/en/ [Kontrollerad: 2015-05-24]
[79] The mozilla manifesto. Mozilla. [Online]. Available: https://www.mozilla.org/
en-US/about/manifesto/ [Kontrollerad: 2015-05-24]
[80] Lightbeam for firefox. Mozilla. [Online]. Available: https://addons.mozilla.
org/en-US/firefox/addon/lightbeam/ [Kontrollerad: 2015-05-24]
[81] Survey settings. [Online]. Available: https://manual.limesurvey.org/Survey_
settings [Kontrollerad: 2015-05-24]
[82] D. Shackleford, “Application whitelisting: Enhancing host security,” 10 2009.
[Online]. Available: http://www.sans.org/reading-room/whitepapers/analyst/
application-whitelisting-enhancing-host-security-34820 [Kontrollerad: 201505-22]
[83] sample_cookieblocklist.txt. Electronic Frontier Foundation. [Online]. Available: https://github.com/EFForg/privacybadgerchrome/blob/master/doc/sample_
cookieblocklist.txt [Kontrollerad: 2015-05-22]
[84] J. Bau, J. Mayer, H. Paskov, and J. C. Mitchell, “A promising direction
for web tracking countermeasures,” 2013. [Online]. Available: https:
//jonathanmayer.org/papers_data/bau13.pdf [Kontrollerad: 2015-05-24]
[85] R. Hill. ublock origin. [Online]. Available: https://github.com/gorhill/uBlock/
[Kontrollerad: 2015-05-22]
[86] C. Aljoudi. ublock origin. [Online]. Available: https://github.com/chrisaljoudi/
uBlock [Kontrollerad: 2015-05-22]
[87] Adblock plus - features. Eyeo. [Online]. Available: https://adblockplus.org/en/
features [Kontrollerad: 2015-05-22]
[88] Requestpolicy continued. [Online]. Available: https://requestpolicycontinued.
github.io/ [Kontrollerad: 2015-05-22]
[89] Secure your site with https. Google. [Online]. Available: https://support.
google.com/webmasters/answer/6073543 [Kontrollerad: 2015-05-24]
[90] What is https? Comodo. [Online]. Available: https://www.instantssl.com/
ssl-certificate-products/https.html [Kontrollerad: 2015-05-24]
[91] Https everywhere. Electronic Frontier Foundation. [Online]. Available:
https://www.eff.org/https-everywhere/faq [Kontrollerad: 2015-05-24]
33
[92] I am anonymous when i use a vpn. Golden Frog. [Online]. Available: https://www.goldenfrog.com/take-back-your-internet/articles/
7-myths-about-vpn-logging-and-anonymity [Kontrollerad: 2015-05-24]
[93] T. Pornin. (2011, 1) What is the difference in security
between a vpn- and a ssl-connection? Stack Exchange. [Online].
Available:
http://security.stackexchange.com/questions/1476/
what-is-the-difference-in-security-between-a-vpn-and-a-ssl-connection
[Kontrollerad: 2015-05-24]
[94] About. Ipredator. [Online]. Available: https://www.ipredator.se/page/about
[Kontrollerad: 2015-05-24]
[95] Tor: Overview. The Tor Project. [Online]. Available: https://www.torproject.
org/about/overview.html.en [Kontrollerad: 2015-05-24]
[96] raz.
(2015,
2)
What
is
the
difference
in
security between a vpn- and a ssl-connection? Stack Exchange.
[Online].
Available:
http://security.stackexchange.com/questions/72679/
differences-between-using-tor-browser-and-vpn [Kontrollerad: 2015-05-24]
[97] A. Lewman. (2014, 5) Sida presentation. The Tor Project. [Online]. Available:
url [Kontrollerad: 2015-05-24]
[98] J. Ryberg. (2010, 11) Sida hjälper utsatta bli anonyma på internet. Metro. [Online]. Available: http://www.metro.se/metro-teknik/
sida-hjalper-utsatta-bli-anonyma-pa-natet/Objjkc!73897/ [Kontrollerad: 201505-24]
34
A
Bilaga 1
A
B
C
D
E
F