Dengan tekanan dari Google, Facebook, dan penyedia utama lainnya seperti Yahoo dan Apple, world wide web semakin lambat menjadi lebih aman, dengan layanan web menggunakan HTTPS untuk mengenkripsi lalu lintas web secara default. Namun, kedatangan draft penyelidikan Powers Bill menimbulkan pertanyaan tentang siapa yang berpotensi bisa mendapatkan akses ke apa - di sini adalah beberapa jawaban.
Ada yang bisa melihat semua permintaan web saya?
Yes. Setiap kali Anda melihat HTTP di bilah alamat browser, maka setiap data yang dikirim melalui tautan tidak akan dienkripsi. Ini berarti alamat halaman dan domain yang Anda jelajahi, dan data yang Anda kirim, seperti dalam formulir, dan data apa pun yang dikembalikan.
Dapatkah orang melihat permintaan web saya jika saya menggunakan HTTPS?
Tidak. Jika Anda melihat HTTPS di bilah alamat browser, maka sambungannya akan dienkripsi SSL / TLS. Hanya alamat IP tujuan (dan port yang digunakan, biasanya 443) dapat ditentukan. Tidak ada rincian halaman atau sumber apa yang diakses, atau data lebih lanjut yang dikirim melalui koneksi akan dapat diakses. Google, Facebook dan banyak layanan online utama lainnya sekarang menggunakan HTTPS secara default, jadi semua permintaan pencarian Google Anda, misalnya, dilindungi dan ISP Anda tidak dapat melihat URL dan hasil permintaan tersebut.
Jika saya menggunakan HTTPS, akan ada yang dapat mengakses rincian saya dari log web server jarak jauh?
Yes. Terowongan HTTPS mengenkripsi data di internet untuk mencegah penyadapan, namun lalu lintas didekripsi di kedua ujungnya sehingga log server akan menunjukkan rincian alamat IP mana yang telah mengakses sumber daya dan kapan. Karena SSL / TLS yang digunakan oleh HTTPS menggunakan model client-server, kunci yang diperlukan untuk mendekripsikan koneksi tersedia di server - tidak seperti layanan enkripsi end-to-end dimana hanya pihak-pihak yang terlibat memiliki kunci dekripsi. Ini berarti mata-mata dan penyidik dapat memberikan surat perintah dan meminta penyedia layanan menyerahkan salinan kunci dekripsi dan mengakses komunikasi Anda. HTTPS hanya melindungi transmisi data melalui internet, dan rincian lengkap permintaan dan balasan dapat dicatat di server.
Dapatkah permintaan DNS saya dicatat?
Yes. DNS - Domain Name System, yang menerjemahkan nama domain ramah manusia menjadi alamat IP dari server web di mana halaman web yang terletak - menggunakan UDP tidak terenkripsi pada port 53. ISP Anda akan dapat login permintaan DNS Anda, dan setiap mata-mata atau peneliti akan dapat meminta data itu.
Dapatkah ISP saya menentukan yang mana di rumah kita yang mengakses situs tertentu?
Tidak. Biasanya, koneksi broadband rumahan berbagi satu alamat IP internet publik yang dapat dilacak antara banyak komputer dan smartphone menggunakan apa yang disebutnya Terjemahan Alamat Jaringan (NAT). ISP Anda akan masuk hanya alamat IP publik yang ditugaskan ke router rumah Anda, bukan yang perangkat individu dalam rumah menggunakan pada saat itu.
Jika saya terhubung ke situs web menggunakan VPN, akan permintaan saya login?
Mungkin. Sebuah virtual private network (VPN) adalah terowongan terowongan point-to-point dari satu komputer ke komputer lain melalui internet publik. ISP Anda tidak dapat melihat rincian paket data yang bepergian melalui terowongan. Persis apa lalu lintas jaringan berjalan melalui terowongan terenkripsi dan apa yang tidak tergantung pada bagaimana VPN telah disiapkan. Misalnya, mungkin juga untuk melewati DNS melalui terowongan terenkripsi, jika diarahkan ke server VPN perusahaan. Perusahaan juga sering menggunakan sistem yang disebut proxy server, dimana rincian komputer dalam jaringan tidak akan terungkap ke log eksternal.
Jika saya menggunakan browser Tor, apakah ISP saya bisa mencatat permintaan web saya?
Tidak. Menggunakan browser Tor-enabled itu mungkin untuk browsing internet publik menggunakan jaringan anonymising Tor. ISP Anda tidak akan dapat melihat data apa pun yang ditransmisikan, dan log web server hanya akan mencatat alamat simpul gateway - titik masuk ke jaringan Tor, bukan asal (browser Anda) atau tujuan akhir (web server).
Bagaimana ISP dapat melacak saya?
Biasanya, a cookie sesi digunakan untuk sesi browsing web masing-masing pengguna. Ini adalah tidak terenkripsi, item teks yang jelas yang dapat dipanen saat berkomunikasi melalui HTTP dan ditambang untuk informasi yang sering mengungkapkan detail identifikasi tentang pengguna.
Akan email-email saya dipindai untuk rincian?
Tidak mungkin. Banyak penyedia email sekarang mengenkripsi lalu lintas email di internet, misalnya email berbasis web seperti Gmail atau Yahoo Mail (menggunakan HTTPS), atau versi dienkripsi dari protokol mail umum, seperti POP, SMTP atau IMAP. Jadi ISP Anda tidak dapat membaca email Anda, tetapi akan tahu bahwa Anda telah diakses layanan email. Ini berarti ISP akan memiliki rincian untuk lolos ke mata-mata atau peneliti.
Apakah penyidik memiliki wewenang untuk memeriksa log web server?
Yes, untuk yang berbasis di Inggris. Tapi server untuk layanan web yang paling banyak digunakan berbasis di luar Inggris, jadi tidak tunduk pada hukum Inggris. Kredibilitas bukti yang didapat dari log web server juga dipertanyakan karena sering kali dapat dirusak, sedangkan alamat IP dapat dipalsukan (dipalsukan).
Mungkinkah ada "man-in-the-middle"?
Mungkin. Draft Investigatory Powers Bill menyediakan penyidik dan mata-mata hak untuk mengutak-atik hardware dan software untuk mengakses data, misalnya untuk membantu mengelak dari enkripsi. Meskipun ini mungkin penggunaan terbatas untuk situs web yang dihosting di luar Inggris, ada banyak peralatan di Inggris antara browser web Anda dan server tersebut. Ada juga cara lain untuk menipu browser web dan perangkat lunak lain menggunakan HTTPS - seperti yang ditunjukkan oleh serangan "man-in-the-middle" yang digunakan oleh software Superfish diinstal pada komputer Lenovo.
Akankah penyidik melihat kata sandi saya?
Tidak. Sistem login situs web yang dirancang dengan benar menggunakan HTTPS - jika tidak, dan Anda berurusan dengan informasi sensitif, jangan menggunakannya. Data apa pun termasuk kata sandi yang dikirim melalui HTTPS dienkripsi dan diamankan.
Jadi, siapa yang benar-benar tahu apa yang saya akses?
Google. Anda bahkan dapat mendownload riwayat lengkap Anda setiap pencarian yang pernah Anda buat.
Tentang Penulis
Bill Buchanan, Kepala Pusat Komputer Terdistribusi, Jaringan dan Keamanan, Universitas Edinburgh Napier. Dia saat ini memimpin Pusat Komputasi Terdistribusi, Jaringan, dan Keamanan, dan bekerja di bidang keamanan, antarmuka pengguna generasi mendatang, infrastruktur berbasis web, e-Crime, sistem deteksi intrusi, forensik digital, e-Health, komputasi seluler, sistem berbasis agen, dan simulasi
Artikel ini awalnya diterbitkan pada Percakapan. Membaca Artikel asli.
Catatan Editor: Semua Situs Web InnerSelf tersedia dengan keamanan https: //. Jika Anda tiba di situs via http: // hanya ganti ke https: //. Anda dapat mengubah bookmark menjadi https: // dan menghindari perubahan di masa mendatang. Beralih sekarang
Buku terkait:
at
Inilah yang Mungkin Ada Perang Cyber
Bayangkan Anda bangun untuk menemukan serangan dunia maya besar-besaran di negara Anda. Semua data pemerintah telah dimusnahkan, mencabut layanan kesehatan…
Terimakasih telah berkunjung InnerSelf.com, dimana ada 20,000 + artikel yang mengubah hidup yang mempromosikan "Sikap Baru dan Kemungkinan Baru". Semua artikel diterjemahkan ke dalam 30+ bahasa. Berlangganan ke Majalah InnerSelf, diterbitkan mingguan, dan Inspirasi Harian Marie T Russell. Innerself Majalah telah diterbitkan sejak tahun 1985.
Inilah yang Mungkin Ada Perang Cyber
Terimakasih telah berkunjung InnerSelf.com, dimana ada 20,000 + artikel yang mengubah hidup yang mempromosikan "Sikap Baru dan Kemungkinan Baru". Semua artikel diterjemahkan ke dalam 30+ bahasa. Berlangganan ke Majalah InnerSelf, diterbitkan mingguan, dan Inspirasi Harian Marie T Russell. Innerself Majalah telah diterbitkan sejak tahun 1985.
