Internet fungerar som ett väl organiserat postsystem där datorer hittar varandra genom adresser (IP-adresser) och specifika ingångar (portar). DNS-systemet, som kontrolleras av internationella organisationer, fungerar som en pålitlig telefonkatalog som översätter webbadresser till IP-adresser - detta är en tjänst vi behöver lita på för att internet ska fungera.
Den verkliga säkerhetsrisken ligger inte i grundsystemet, utan i hur moderna webbplatser spårar användare. Företag placerar osynliga spårningskoder på webbsidor som kan identifiera besökaren.
Fliken kommunikation förklarar nödvändiga koncept för att förstå och kunna utvärdera vilket skydd som är bäst beroende på syfte, enhet och tjänst. Flik svagheter förklarar sårbarheter i de verktyg vi använder och fliken skyddet fokuserar på att ge exempel på praktiska verktyg för hur man kan motverka sårbarheterna.
Med bättre förståelse för hur personlig data samlas in på nätet kan användaren vidta konkreta åtgärder för att förbättra sin integritet och säkerhet.
1. Dator som bostadshus
2. IP adress som husadress
3. Port som lägenhetsnummer
4. Domännamn som lättläst adress
5. DNS som internets telefonkatalog
6. Kommunikation HTTP & HTTPS
7. DNS over HTTPS (DoH)
8. Virtual Privat Network (VPN)
Det bör noteras att följande framställning är förenklad och att vissa delar inte återger den fullständiga tekniska komplexiteten. Syftet är att öka kunskapen om säkerhet och spårning för personer utan djupare teknisk bakgrund. Denna pedagogiska ansats motiveras av att vi i allt högre grad kommer att spendera vårt liv i digitala miljöer. Om den övervakning som förekommer på internet skulle överföras till vårt fysiska liv skulle sådan praktik aldrig accepteras av samhället.
Din dator kan förstås som ett flerbostadshus med tusentals lägenheter. Varje program som körs på datorn motsvarar en lägenhet i huset. Precis som varje lägenhet i Sverige har ett lägenhetsnummer för att posten ska kunna levereras till rätt adress, använder datorsystem specifika identifierare för att skicka information till rätt program.
En IP-adress är jämförbar med bostadshusets postadress. Informationen skickas initialt till IP-adressen innan detaljer som lägenhetsnummer eller efternamn blir aktuella. En IP-adress är unik för varje dator eller server och skrivs vanligtvis i formen 13.248.174.171. Testa skriv IP-adressen "13.248.174.171" i din webbläsare och se vart du hamnar.
En port fungerar som lägenhetsnummer i vårt bostadshus. Varje program på datorn eller webbläsarflik har en egen port så att datorn vet vilket program eller vilken flik som begärt informationen.
Föreställ dig att du i en flik skriver domännamnet svt.se och i en annan flik skriver sr.se. Eftersom det är samma dator som begär informationen, skickas båda förfrågningarna från samma IP-adress. Men när svaret ska levereras till rätt flik måste varje program eller webbläsarflik ha en intern adress - ett lägenhetsnummer. Lägenhetsnummer kallas för port inom IT-terminologi och gör det möjligt för svt.se att hamna i ena fliken och sr.se i den andra.
Eftersom numeriska IP-adresser är svåra att memorera används domännamn som svt.se, vilka är lättare för människor att komma ihåg. Domännamn är människovänliga adresser som pekar på IP-adresser.
När du skriver svt.se i din webbläsare skickas först en förfrågan till DNS-servrarna (Domain Name System). Dessa servrar fungerar likt en telefonkatalog för internet. Processen är komplex, men enkelt förklarat frågar din dator DNS-servern vilken IP-adress som är kopplad till svt.se. DNS-servern svarar med en IP-adress, antingen direkt till svt. se eller till en annan DNS-server. Användaren måste här lita på att DNS-servern ger korrekt information, vilket är en svaghet på internet (säkerhetsmässigt).
Från ett integritetsperspektiv är problemet inte enbart att användaren måste lita på informationen från DNS-servern, utan även att användaren avslöjar för tredje part vart den planerar att surfa. De flesta användare låter sin internetleverantör eller bredbandsoperatör sköta DNS-uppslagen.
Det är dock möjligt att välja en annan DNS-server. Detta är vanligt förekommande för att uppnå bättre prestanda men också pga. andra skäl.
En internetleverantör (ISP, Internet Service Provider) kan se att domänen https://www.svt.se/ besöks men innehållet är krypterat. Det vill säga bilder, formulär eller lösenord är skyddade av HTTPS-krypteringen. Leverantören kan inte heller se om du besöker undersidor till domänen som https://www.svt.se/nyheter/utrikes/.
HTTP är det äldre sättet att kommunicera på internet och vi var då inte skyddade av kryptering. En HTTP-adress ser ut som http://www.svt.se/. HTTP bör undvikas.
När du söker efter svt.se i webbläsaren gör du ett DNS-uppslag mot antingen din egen ISP eller mot den DNS-server du valt. I båda fall skickas domännamnet till ISP eftersom det sker i klartext, det vill säga HTTPS har ännu inte aktiverats.
DNS over HTTPS (DoH) är en teknik som krypterar DNS-uppslag mellan användaren och DNS-servern. Vanliga beskrivningar på internet framställer ofta DoH:s huvudsyfte som integritetsskydd - att dölja användarens besökta webbplatser från internetleverantören genom kryptering av DNS-frågorna.
Denna framställning är dock missvisande. DoH:s primära funktion är säkerhetsrelaterad snarare än integritetsrelaterad. Tekniken skyddar främst mot DNS-manipulation och säkerställer att användaren får korrekta IP-adresser från DNS-uppslagen. Genom att implementera DoH förhindras förfalskade svar från att nå användaren, vilket garanterar autentiska adresser till efterfrågade webbplatser.
Som följande illustration till vänster visar skiljer sig DoH:s faktiska funktionalitet från den allmänt spridda uppfattningen om dess integritetsfördelar.
Steg 1-4 är synligt för ISP eller i ett publikt wifi. Data som utbyts mellan dator och hemsida efter steg 4 är krypterat med HTTPS.
Virtual Private Network (VPN) kan förstås som en krypterad tunnel mellan användarens dator och internet. Istället för att skicka information direkt från användarens dator till webbplatser, dirigeras all trafik först till VPN-leverantörens server genom en krypterad kanal (lila). Från VPN-servern vidarebefordras förfrågan till den önskade webbplatsen på samma sätt som vid konventionell internetanvändning. I vårt bostadsexempel kan VPN liknas vid ett postfack där post skickas och tas emot istället för att använda den faktiska bostadsadressen.
VPN-teknologin erbjuder två primära fördelar för användarintegritet. För det första krypteras all trafik mellan användarens dator och VPN-servern, vilket erbjuder skydd mot avlyssning på publika wifi. För det andra maskeras datorns faktiska IP-adress för besökta webbplatser, eftersom dessa endast registrerar VPN-serverns IP-adress. Adressen kan se ut att härstamma från ett annat land.
Internetleverantören kan observera att kommunikation sker med VPN-servern, men saknar möjlighet att inspektera vilka webbplatser som besöks eller vilket innehåll som överförs.
En kritisk faktor att beakta är att VPN-användning innebär en förskjutning av förtroende från internetleverantören till VPN-leverantören. VPN-företaget erhåller full insyn i användarens besökta webbplatser, vilket understryker vikten av att välja en leverantör med dokumenterad trovärdighet och transparent säkerhetspolicy.
VPN utgör således ett verktyg för att förbättra online-integritet, särskilt vid användning av osäkra nätverk/publika wifi, men kräver noggrann utvärdering av leverantörens tillförlitlighet och dataskyddspraxis.
Steg 1 - Förtroende förskjutning: Utan VPN kan internetleverantören observera vilka webbplatser som besöks från användarens dator. Vid VPN-användning förskjuts denna insyn från internetleverantören till VPN-tjänsteleverantören. Detta medför ökad säkerhet på osäkra nätverk såsom offentliga Wi-Fi-förbindelser, där tredje parter annars skulle kunna avlyssna trafiken. Privata VPN-lösningar är att föredra men det kräver teknisk kompetens.
Steg 2 - Begränsad Anonymisering: VPN skyddar bara trafiken mellan din dator och VPN-tjänstens server. När du använder VPN får din dator VPN-serverns IP-adress, vilket gör att webbplatser inte ser din verkliga IP-adress. Trafiken från VPN-servern till den webbplats du besöker skickas däremot som vanlig internet trafik. Detta innebär att internetleverantören som VPN-tjänsten använder kan se att någon från VPN-servern besöker exempelvis www.svt.se.
Steg 3 - HTTPS End-to-End Kryptering: Moderna webbplatser implementerar HTTPS kryptering som etablerar direktkryptering mellan användarens dator och webbplatsen, oberoende av VPN-tunneln. Denna start-till-slut-kryptering innebär att VPN-leverantören inte kan inspektera det faktiska innehållet i datatrafiken efter att HTTPS-anslutningen etablerats.
Steg 4 - Dubbel Krypteringsarkitektur: Systemet implementerar två distinkta krypteringslager. VPN-krypteringen (illustrerad i lila) skyddar all datatrafik från internetleverantörer och potentiella avlyssnare på osäkra nätverk/publika wifi. HTTPS-krypteringen (illustrerad i svart) säkerställer att endast användaren och webbplatsen kan dekryptera det faktiska innehållet. Denna arkitektur garanterar att VPN-leverantören saknar möjlighet att inspektera innehållet i HTTPS-skyddad kommunikation.