Når du skriver www.google.com i din browsers adressefelt, kan du så være sikker på, at din browser udelukkende modtager data fra www.google.com?
Ja selvfølgelig, vil de fleste svare.
Nogle vil måske komme med et lille forbehold om, at hvis ondsindede hackere har kapret din browser-session via et såkaldt man-in-the-middle attack, så kan du måske ikke være helt sikker på, at alle data vil komme fra www.google.com.
De færreste forventer, at deres internetudbyder indsætter ekstra programkode i datastrømmen fra Google.
Og der er nok ingen der forventer, at internetudbyderen manipulerer med datatrafikken, så det ser ud som om, den indsatte programkode kommer fra Google.
Og slet ikke at den indsatte programkode kalder noget andet programkode på en webserver, der ikke har noget som helst med Google at gøre.
Det er imidlertid tilfældet for internetabonnenter hos den amerikanske internetudbyder WOW!.
WOW! har indgået et samarbejde med virksomheden NebuAd, der specialiserer sig i såkaldt behavioral advertising, der går ud på at målrette annoncer baseret på modtagernes adfærd.
WOW! anvender et system udviklet af NebuAd, der indsætter javascript når WOW!-abonnenter besøger websteder som Google og Yahoo.
Det viser en rapport fra Free Press and Public Knowledge" (PDF).
Ondsindede hacker-teknikker
Rapportens forfatter, Robert M. Topolski, sammenligner NebuAds system med hacker-teknikker som browser-hijacking, cross-site-scripting og man-in-the-middle angreb.
"NebuAd udnytter forskellige former for angreb på brugernes og applikationernes sikkerhed; angrebsformer som browser hijacking, cross-site scripting og man-in-the-middle angreb som har skabt betydelig kontrovers og brugerfordømmelse," lyder det blandt andet i rapporten.
Robert M. Topolski betegner NebuAds og WOW!s fremgangsmåde som et brud på fundamentale forventninger om internet privacy, sikkerhed og standardbaseret interoperabilitet.
Desuden "overtræder NebuAd Internet de Engineering Task Force (IETF) standarder som har skabt Internettet, hvor netværksoperatører sender pakker frem og tilbage mellem slutbrugere uden at inspicere og rode med pakkerne.
TCP-protokollen vil normalt ikke acceptere kode fra en kilde som er tredjepart i forhold til klient-server forbindelsen. NebuAd er involveret i pakkeforfalskning for at narre en brugers computer til at acceptere data og webside-ændringer fra en tredjepart som NebuAd."
Afvikler kode fra andet domæne
NebuAds system er installeret i internetudbyderens WOW!s netværk, så systemet sidder mellem brugerens maskine og Googles server. Det er et såkaldt Man-in-the-middle scenarie, hvor "manden" i midten nu kan ændre i trafikken mellem brugeren og Google - uden at brugeren og Google aner uråd.
NebuAds system tilføjer en ekstra datapakke, der indeholder javascript. Javascriptet kalder så et andet script på et helt andet domæne end Google.com
"Når javaScriptet udføres får det brugerens browser til at kalde et script fra domænet a.faireagle.com. Fair Eagle er et NebuAd company som ikke har nogen forbindelser til Google og det er ikke nævnt i Google’s privacy politikker eller på andre Google-sider."
Robert M. Topolski har kontaktet Google, som bekræfter at javascriptet ikke kommer fra Google.
Tilføjer ekstra IP-pakke med falsk afsender
NebuAds system gør dog sit yderste for at få det til at se ud som om javascriptet kommer fra Google. Det sker ved at manipulere og forfalske datapakker sendt til brugerens browser.
"TCP-protokollen skulle have været i stand til at sende hele siden (siden for Google.com, red.) i fem IP pakker. Underligt nok blev der anvendt seks... Det er fordi den krænkende scriptkode sendes i sin egen pakke...
Den sjette pakke identificerer sig som kommende fra samme IP-adresse og portnummer som Google-serveren min browser har forbindelse til, ganske som de fem andre pakker. Den identificerer sig som en del af transmissionen fra Google gennem TCP’s ACK og SEQ nummerering for at undgå at systemet afviser den forfalskede pakke," lyder det i rapporten.
