: Sen. Ron Wyden (D-ELLER) du svar på spørgsmål om for nylig udgivet Republikanske plan om at reformere skatterne på September 27, 2017 i Washington, DC.Foto: Getty
Landets mest højrøstede privatliv går ind i det AMERIKANSKE Senat at trykke på Department of Homeland Security (DHS) i denne uge til at implementere nye teknologier, der vil stoppe udenlandske hackere fra at identificere, hvilke AMERIKANSKE regering hjemmesiden Amerikanere besøger, herunder AMERIKANSKE regering medarbejdere.
I et brev fra onsdag til Under Secretary Christopher Sehested, leder af DHS ‘ s risiko-reduktion indsats i cyberspace, Senator Ron Wyden opfordrede til nye foranstaltninger, der skal træffes for at skjule ukrypteret metadata, der udsætter domænenavne på de websteder, som er besøgt af brugere. Yderligere, Wyden beder DHS og General Service Administration, der varetager indkøb og udbud af offentlige kommunikation, teknologi, til at kræve, at selskaberne får forbundsrepublikken kontrakter, til at kryptere dette metadata ved hjælp af en ny teknologi, kaldet Krypteret Server Navn Identifikation (ESNI), blandt andre encrypiton teknologier.
Mens teknologier såsom HTTPS er effektive til at forhindre tredjemand, uanset om de er hackere eller internet service providers (Isp ‘ er), fra at overvåge indhold, der udveksles mellem en browser og en web-side (et brugernavn og en adgangskode, eller en bank konto, for eksempel), navnene på de besøgte websteder er ikke krypteret som standard. Der er dog flere andre teknologier, der kan tilbyde denne form for beskyttelse.
“Data, der sendes over internettet er nu i stigende grad krypteret med standard,” Wyden skriver, med henvisning til Google ‘ s seneste rapport om åbenhed, som noterer sig, at Chrome-brugere nu få adgang til 85 procent af hjemmesider via en krypteret forbindelse. “Men nogle metadata er stadig sendes i åben, afslører domænenavnet på den hjemmeside, som brugeren besøger. Hackere kan opsnappe eller kapre ubeskyttet metadata, er at narre brugere til at besøge et ondsindet websted eller spionere på deres aktiviteter.”
Wyden har foreslået to teknologier til at løse problemet: Den første er en sikkerhedsprotokol, der sheathes Domain Name System (DNS) spørgsmål og svar, enten ved hjælp af TLS (Transport Layer Security) eller HTTPS-protokollen—”DNS over TLS” (Punktum) eller “DNS over HTTPS” (DoH), hhv. Enten ville tjene til at beskytte brugerne mod aflytning og, hvad vigtigere er, man-in-the-middle-angreb mod besøgende i sikrede steder. (Cirka 34 procent af civile regering websteder er ikke beskyttet af avanceret krypterings-protokoller, ifølge NextGov.)
“Hackere kan opsnappe eller kapre ubeskyttet metadata, er at narre brugere til at besøge et ondsindet websted eller spionere på deres aktiviteter.”
“For at beskytte DNS-oplysninger, der afslører, hvilke websteder føderale arbejdere er adgang fra aflytning, DHS bør kræve, hvor det er muligt, at føderale agenturer kryptere medarbejderes DNS-forespørgsler,” skriver Wyden, og tilføjer: “Føderale agenturer kunne beskytte DNS-data ved at drive deres egen krypteret DNS-servere, eller bruge private krypteret DNS-tjenester, forudsat at de opfylder strenge cybersecurity og privatliv standarder.”
Wyden også foreslog brugen af ESNI, en ny teknologi, som omhandler en grundlæggende personlige fejl i Server Navn Identifikation (SNI) system, som udsætter navne på hjemmesider der bliver besøgt, for at internet-udbydere, hackere, og alle andre, i stand til at opfange web-trafik, trådløst eller anden måde. For de gennemsnitlige brugere, for at skjule denne information har aldrig været mere afgørende, som Kongressen valgte at vælte privatlivsbeskyttelse sidste år, der havde krævet Internetudbydere til at indhente forbrugernes samtykke til, før du bruger eller deler deres browsing historie til kommercielle formål.
“Denne teknologi er særlig nyttigt, når det bruges af større distribution af indhold netværk (CDN), som giver forbindelse til internettet for at tiere eller hundreder af tusinder af forskellige hjemmesider,” Wyden fortsætter. “Når ISNI bruges af et CDN, nogen hacker at opfange brugerens internet-browsing data vil kun lære, at brugeren besøger en hjemmeside er leveret af en bestemt CDN, og ikke som særlig hjemmeside, som brugeren besøger.”
Hvorfor er det så vigtigt for offentlige hjemmesider? Wyden ‘ s kontor tilbyder to eksempler:
- Department of Defense (DoD), som driver en online seksuelle overgreb hotline på www.safehelpline.org. Amazon Web Service værter hjemmesiden, og mens den hjemmeside, der allerede bruger til at beskytte levering af indhold til de besøgende, metadata om besøget i sig selv er ikke beskyttet i øjeblikket, fordi Amazon ikke i øjeblikket støtte ESNI. Dette betyder, at tredje parter kan potentielt identificere specifikke Amerikanerne at få adgang til DoD Sikker Helpline selv hvis disse tredjeparter kan ikke se den krypterede indhold.
- Den Federal Bureau of Investigation driver en online-tip line på tips.fbi.gov. FBI ‘ s hjemmeside er hostet af en virksomhed, der støtter ESNI. Som sådan, når denne FBI hjemmeside er besøgt af Amerikanere, der ved hjælp af en web-browser, som understøtter ESNI, navnet på den særlige hjemmeside, der besøges, vil ikke blive afsløret, at en hacker eller udenlandske regering, der er aflytning af hjemmesiden data.
Wyden ‘ s brev til DHS blev også sendt til de højtstående embedsmænd på National Institute of Standards and Technology (NIST), U.S. General Services Administration, og forsvarsministeriet. Det kræver en reaktion fra DHS inden for de næste 60 dage.
For en måned siden, blev Cloudflare den første levering af indhold netværk til at implementere ESNI tværs af hele netværket. Mozilla er også i øjeblikket ved at teste ESNI i en pre-release version af sin browser, Firefox Nightly. Wyden er også håb om, at DHS vil tage aktivt roll i at fremme brugen af den teknologi, som skaber et økonomisk incitament for virksomheder, der søger at gøre forretninger med regeringen:
“For at fremme en bred industri vedtagelsen af dette vigtige cybersecurity teknologi, og derfor beskytte følsomme metadata om Amerikanernes besøg til alle AMERIKANSKE regering hjemmesider,” Wyden skriver, “jeg opfordrer DHS arbejde med General Services Administration til at kræve, at selskaberne at give ESNI som en forudsætning for at sælge CDN-tjenesten til den AMERIKANSKE regering.”
Dele Denne Historie