Detta avsnitt behandlar sju centrala sårbarheter inom digital kommunikation och spårning. Varje punkt representerar en specifik svaghet, men det som gör spårning särskilt effektiv är att webbplatser kombinerar samtliga sårbarheter för att skapa ett unikt digitalt fingeravtryck.
En viktig clarification för läsare som söker snabb information: VPN-tjänster erbjuder inte fullständig anonymitet. Medan mindre plattformar som Tedros.APP kan erbjuda högre anonymitetsnivåer, exponeras användare fullständigt gentemot större företag och deras spårningssystem.
1. IP-adress
2. DNS
3. Cookies
4. Fingeravtryck
5. Telemetri
6. VPN
7. Enheter
IP-adresser utgör en grundläggande identifieringsmekanism som tilldelas varje enhet vid internetanslutning för att möjliggöra kommunikation. När en länk klickas på skickas en begäran om att hämta den specificerade informationen. För att webbsidan ska kunna leverera innehållet till korrekt destination krävs mottagarens IP-adress.
Samtliga besökta webbplatser erhåller därmed användarens IP-adress som en nödvändig del av kommunikationsprocessen. IP-adresser i svenska hushåll byts periodvis ut av internetleverantörer, men bibehålls ofta under längre perioder (månader eller mer). När samma IP-adress används för att besöka olika webbplatser kan dessa gradvis bygga upp en profil av surfbeteendet, särskilt när spårningssystem utbyter information mellan plattformar. Effekten förstärks när samma företag hanterar spårningen på flera webbplatser.
Kartläggningsprocessen kompliceras i flerpersonshushåll eftersom alla enheter delar samma IP-adress. Mobiltelefoner, TV-apparater och internetanslutna hushållsapparater använder samma IP-adress. En webbplats kan potentiellt koppla samman hela hushållets aktivitet till en specifik användare genom inloggning med personliga uppgifter.
I ensamhushåll förenklas processen att korskoppla aktivitet mellan olika enheter (mobil och dator), oavsett användning av privata surflägen i webbläsare.
Spårningsskript från tredjepart som laddas av besökta webbplatser får automatiskt tillgång till IP-adressen, vilket förstärker spårningskapaciteten. Detta ämne behandlas mer detaljerat i senare avsnitt.
DNS fungerar som en digital telefonkatalog som översätter webbadresser till IP-adresser. Systemets huvudsakliga svaghet är beroendet av externa parter för varje adressöversättning.
Blockering av webbplatser sker ofta genom DNS-manipulation. Detta kan ske på hemnätverksnivå för att skydda barn eller hos internetleverantörer för att begränsa befolkningens tillgång till specifikt innehåll.
DNS-trafik sker traditionellt via HTTP (okrypterat), vilket gör det möjligt för internetleverantörer att både övervaka och tvinga användare att använda specifika DNS-servrar. Även vid byte till alternativa DNS-servrar kan internetleverantörer kringgå detta genom teknisk kontroll över nätverkstrafiken.
För att kringgå DNS-kontroll och censur finns två huvudsakliga tekniska lösningar: VPN-tjänster eller DNS over HTTPS (DoH). Mer om detta under flik skyddet.
Cookies är små datafiler som webbsidor lagrar på användarens dator. De flesta internetanvändare känner igen dem från popup-rutor som begär tillstånd för lagring av funktionella cookies eller tredjepartscookies.
Funktionella cookies är datafiler som webbsidor lagrar lokalt för att upprätthålla grundläggande funktioner. Dessa används för att hålla användare inloggade på webbplatser eller för att komma ihåg innehållet i kundvagnar. Detta var den ursprungliga avsikten med cookie-teknologin.
Dagens användning av cookies har utvecklats till betydligt mer sofistikerade system. Tredjepartscookies är datafiler som lagras på användarens dator men som härrör från en annan webbplats än den som besöks. Dessa cookies kommer från externa företag och används ofta för användarprofilering.
När en användare besöker power.se och godkänner tredjepartscookies, kan externa aktörer som Facebook placera cookies som registrerar användarens aktivitet på webbplatsen. Om samma användare sedan besöker aftonbladet.se och godkänner cookies, kan Facebook länka samman besöken från båda webbplatserna. Genom att samla data från flera webbplatser kan företag skapa detaljerade profiler av användares surfvanor, oavsett om användaren är inloggad på den externa tjänsten eller inte.
Power.se exemplifierar denna praxis genom att dela användaraktivitet med flera externa plattformar när alla cookies godkänns. Informationen delas med Snapchat, TikTok, LinkedIn, Facebook, Google och andra aktörer. Denna datadelning genomförs via spårningsskript, som kan skådas genom att besöka länkarna nedan:
tr.snapchat.com
px.ads.linkedin.com
Dessa länkar visar spårningspixlar som är centrerade som små punkter på webbsidan och används för att samla in användardata.
Utöver spårning via cookies existerar en omfattande datainsamling genom skript som besökta webbplatser laddar i bakgrunden. Denna spårning sker genom att webbläsaren automatiskt delar enhetsinformation för att optimera webbplatsens innehåll.
De uppgifter som samlas in inkluderar webbläsartyp, mjukvaruversioner, skärmupplösning, IP-adress, språkinställningar, installerade typsnitt, GPS-koordinater och enhetens konfigurerade systemparametrar. Mobila enheter möjliggör även spårning av installerade applikationer. Listan över tillgängliga uppgifter är betydligt mer omfattande, men dessa exempel illustrerar spårningens omfattning.
Denna omfattande datainsamling demonstrerar att VPN-tjänster och cookie-blockerare inte utgör fullständigt skydd mot spårning. Tekniken har fått beteckningen "fingeravtryck" eller "digital fingerprinting" eftersom varje enhets kombinerade egenskaper skapar en unik identifierare.
Principen bygger på att sannolikheten för att två enheter delar exakt samma konfiguration av alla parametrar är statistiskt försumbar. Detta gör det möjligt att identifiera och spåra enskilda användare även utan cookies eller IP-adresser.
Tekniska lösningar för att begränsa denna spårning behandlas under avsnitt skyddet.
Telemetry (på engelska) är den automatiserade processen där program och operativsystem kontinuerligt samlar in, mäter och överför data om användaraktivitet och systemprestanda. Omfattningen av denna datainsamling varierar betydligt mellan olika program och operativsystem.
Telemetri utgör en betydande säkerhetsrisk eftersom program kan få åtkomst till känslig information såsom filer, skärminnehåll, tangentbordstryckningar och annan användardata. Denna omfattande åtkomst gör det kritiskt att endast installera program från pålitliga källor.
En stor del medvetna användare accepterar inte datainsamling, vilket påverkar valet av programvara och operativsystem. Vissa användare undviker exempelvis Windows på grund av dess telemetrifunktioner där datainsamlingen inte kan avböjas utan användaren tvingas acceptera den. Dessa användare väljer därför alternativ med mindre datainsamling.
Vid installation av nya program bör både källan som tillhandahåller programmet och utvecklaren/företaget noggrant utvärderas avseende tillförlitlighet och säkerhetspraxis. Telemetri ska betraktas som en kritisk säkerhetsaspekt som kräver aktiv bedömning innan installation.
VPN-användning innebär en förskjutning av förtroende från internetleverantören till VPN-leverantören. Den huvudsakliga svagheten ligger i kravet på att VPN-företaget måste vara pålitligt, eftersom all datorns utgående trafik dirigeras genom deras servrar. Detta skapar ett användarproblem där personer kan välja opålitliga alternativ på grund av aggressiv marknadsföring eller lockande gratiserbjudanden. Mer om detta under flik skyddet
VPN-tjänster används för flera olika syften. Kryptering utgör den mest grundläggande funktionen, där VPN möjliggör säker surfning på osäkra nätverk såsom offentliga wifi-hotspots. Detta gör det möjligt att hantera känsliga ärenden även på opålitliga nätverksanslutningar.
Geografisk IP-förflyttning är en annan vanlig funktion, där användare kan erhålla IP-adresser från andra länder. Vissa VPN-tjänster erbjuder även annonsblockerare via DNS-filtrering och marknadsför dataskyddspraxis genom att inte spara användarhistorik.
Krypteringsfunktionen tros vara den primära orsaken till VPN-användning, även om detta skulle kunna åstadkommas kostnadsfritt genom privata VPN-lösningar.
VPN-företag som marknadsför sig aktivt på olika plattformar eller erbjuder omfattande extrafunktioner utanför traditionell VPN-funktionalitet kan vara tecken på mindre fokus på kärntjänsten och bör därför bedömas med försiktighet.