Privacy en Gmail / Google
De afgelopen weken hen ik mij nog eens even verdiept in het onderwerp Privacy. Wat ik geleerd heb wil ik graag met mensen delen. Een aantal van jullie (zeker op Zap) zal dit station al gepasseerd zijn, anderen wellicht niet. Het lijkt me in ieder geval constructief e.e.a. nog eens even aan te stippen.
Zelf heb ik inmiddels mijn email en standaard zoekmachine gewijzigd. Ik wil hiermee niet zeggen dat anderen dit ook moeten doen. Ik denk echter wel dat je op de hoogte moet zijn van de gegevens in dit artikel voordat je tot een oordeel komt.
Ik ben geen ICT specialist, ik kan niet programmeren, begrijp maar weinig van netwerken en heb geen juridische achtergrond. Ik heb geen jarenlang onderzoek verricht. Ok, ik weet meer van pc's en internet dan de gemiddelde Nederlander (how hard can that be?).
Toch denk ik dat ik een redelijk beeld heb kunnen vormen Privacy, Gmail, Google en internet. Het volgen van onderstaande tips maak je niet anoniem, maar wel iets minder makkelijk te profilen. Dit Artikel richt zich vooral op Gmail en Google.
Een aantal specifieke redenen voor mij om geen Gmail meer te gebruiken:
- Gmail registreerd, net als Yahoo, hotmail en vele andere, persoonlijke gegevens. Je hebt gelukkig wel de keus te liegen over je persoonlijke informatie. Heb jij je echte leeftijd gegeven?
- Bij ieder bezoek aan een internetpagina is je IP-adres zichtbaar. Uiteraard ook bij Gmail. Dit IP-adres wordt gekoppeld aan je persoonlijke gegevens. Je IP-adres is overal zichtbaar.
- Al je mail wordt door Gmail gescanned. Onderwerp, inhoud, ook attachments worden gescanned op informatie die wordt gekoppeld aan je persoonlijke informatie. Dit geldt niet alleen voor mail die je verstuurd, ook mail die je binnenkrijgt. Gmail heeft zo alle data om een profiel van jou, maar ook van anderen op te bouwen. Als ik dus een Gmail gebruiker mail dan word mijn email gescanned ook al ga ik daar niet mee akkoord!
- Vertrouw jij Gmail hiermee? Vertrouw je de veiligheidsmaatregelen van Gmail? Het zal niet de eerste keer zijn dat gevoelige informatie op straat beland. Als het niet per ongeluk gebeurt, dan wel expres. Mocht Gmail fuseren of overgenomen worden, wat gebeurt er dan met je gegevens?
- Door het oneindig kunnen opslaan van je mail is het voor Gmail (of anderen) mogelijk allerlei gegevens uit een ver verleden te ‘gebruiken’.
- Als je in je browser (Explorer, firefox) iets leest dan zijn dat gegevens die door Gmail naar jou PC verstuurd zijn. Dit gaat niet rechtstreeks, maar altijd in kleine stukjes langs verschillende wegen (routers). Gmail maakt geen gebruik van het gecodeerd versturen van je mail naar je computer. Alle stukjes kunnen dus ongecodeerd opgevangen worden door derden en gekoppeld worden aan je IP-adres.
- Gmail is van Google Inc. Google mag gegevens die zij verzamelen verspreid over hun verschillende diensten aan elkaar koppelen. Zo weten ze niet alleen waar je email over gaat, maar ook waar je naar zoekt en gezocht hebt en uiteraard welke filmpjes je op Youtube bekijkt. Ik gebruikte igoogle als startpagina en google favorites voor toegang tot mijn favorieten. Ze weten dus nog meer van mijn interesses, welke websites ik regelmatig bezoek en al mijn favorieten!
-
Uiteraard worden al deze gegevens bewaard, gekoppeld aan je IP-adres, je persoonlijke gegevens en geanalyseerd voor het opstellen van een persoonlijk profiel.
Wat kun je doen als je dit niet wil?
- Kies een andere email provider. Dat zal nog niet meevallen als je de functionaliteit van Gmail wil behouden. Ik heb gekozen voor Lavabit. Zij scannen mail op virussen, maar slaan geen informatie op. Sterker nog: password en email worden gecodeerd opgeslagen op hun server, de enige met de code ben jij. Ik haal nu mijn mail via een beveiligde verbinding op met Thunderbird, een soort Outlook, maar dan veiliger. Zonder codering gratis, met codering $8 per jaar.
Nadeel is hun internet mail. Die interface laat nogal wat te wensen over, maar ze werken aan een nieuwe. -
Maak geen gebruik van Google om te zoeken op het internet. ‘Wat! geen Google meer!?’ Nee, gebruik bijvoorbeeld http://www.vinden.nl/. Deze zoekt in Google, Yahoo, en andere sites. Je kunt ook zoeken op plaatjes etc. Voordeel van deze site (of werkbalk) is dat alleen zij je zoekgegevens hebben en deze na 1 dag verwijderen.
Andere privacy en security tips:
Gebruik Firefox in plaats van Internet Explorer. Firefox is veiliger. - Denk na voordat je je gegevens achterlaat. Je kunt vaak gegevens gebruiken die niet kloppen om te voorkomen dat je gegevens gelinked worden over verschillende websites. Of maak gebruik van bugmenot.com voor algemene inlog gegevens voor allerlei sites waar je normaal voor moet registreren
- Zorg dat cookies niet (te lang) op je PC staan. Firefox is zo in te stellen dat alle cookies verwijderd worden bij uitloggen. Met ‘cookieculler’ kun je zorgen dat cookies van sites die je wel vertrouwt dan blijven bestaan.
- Gebruik in Firefox ‘Noscript’. Dit zorgt ervoor dat niet overal Java zomaar uitgevoerd wordt. Als er één gevaar is voor je privacy is het wel overal zomaar allerlei Javascripts laten lopen.
-
Als je echt goed aan de slag wil met je privacy op het web kijk dan eens op anoniemsurfen.nl of voor complete anonimiteit in het extreme bezoek JonDo.
Mijn onderzoek naar proxies is bijna afgerond. Ik zal in mijn volgende post mijn bevindingen laten zien. Want vergeet niet, met al deze maatregelen weten websites een stuk minder van je, maar je ISP (UPC, Tele2, HetNet, XS4ALL etc) weten nog steeds ALLES wat je doet op internet en slaan dit voor de overheid 18 maanden lang op.....
Wel een paar dingetjes. Als je email verstuurt en je gebruikt geen enkele vorm van encryptie kun je er sowieso nooit zeker van zijn dat niemand anders dat leest. Of je dan gmail of hotmail gebruikt of je eigen mailserver, maakt dan geen fluit uit.
De meeste mensen maken ook nog steeds gebruik van Windows, 100% propriëtaire software waarvan je eigenlijk ook niet weet wat het allemaal uitspookt, en waarvan bekend is dat de NSA eraan meeknutselde en nog steeds knutselt.
M.a.w., het gebruik van een OS als BSD of Linux, met een volledige encryptie van de harde schijf (LUKS bijv.)., het uitsluitend gecodeerd versturen van emails van (natuurlijk) een eigen mailserver (ook geen sinecure), enz. enz. zijn allemaal van die dingen waar je op uit komt als je serieus werk wilt maken van je privacy.
... Tijd voor een install party? :-P
GMail trekt ook ontzettend veel spam aan.
sim kaartje wisselen heeft geen zin omdat zowel imei (serienummer telefoon) en imsi (aboneenummer) voor ieder gesprek opgeslagen worden.
2e telefoon bij je hebben heeft ook geen zin aangezien beide telefoons altijd dezelfde locatie hebben en je zo als het ware hetzelfde patroontje tekent op de landkaart.
Het heeft zowieso geen zin als je altijd dezelfde nummers belt aangezien je zo ook makkelijk herleid kunt worden.
En die bejaarplicht is ook bullshit. Van de belastingdienst moeten de gegevens 10 jaar bewaard worden zodat de boel altijd nog nagekeken kan worden. Mijn oude werkgever, een telecomboer, had toen ik daar 4jr geleden wegging nog de 320mb tapes voor een antieke mainframe in de kluis liggen (uit de tijd dat autotelefoons nog cool waren....)
In opensource heb ik vooral geen vertrouwen, aangezien de nsa met zn cryptonerds in dienst ongetwijfeld heel wat zwakheden heeft gevonden die ze uiteraard liever niet aan de grote klok hangt. Een klein onbetekenend bugje kan betekenen dat het brute force hacken van iets van 4500 jaar tot 2 minuten gereduceerd wordt.
Dan wil ik nog even ingaan op de tekst zelf, twee dingetjes kloppen niet;
Je IP-adres is inderdaad per definitie bekend, anders weet de andere kant van de "lijn" niet naar welk adres het antwoord terug moet. Echter worden persoons en gebruiksgegevens meestal gekoppeld aan een cookie (in Gmail's geval gewoon de gebruikersnaam) in plaats van het IP adres. IP adressen zijn namelijk niet per definitie vast. De meeste ADSL verbindingen hebben een vast IP adres maar vooral kabel abbonomenten hebben meestal dynamische IP adressen, wat inhoud dat de kans groot is dat je een ander IP adres toegewezen krijgt op het moment dat je je kabel modem reset of uit/aan zet.
Vandaar dat vaak coocies gebruikt worden, want die worden standaard door de browser (firefox / internet explorer / safari / opera) opgeslagen.
Dat moet niet servers maar routers zijn. Servers zijn computers waar websites en email services op staan en routers vormen een groot netwerk wat we "internet" genoemd hebben.
http://zapruder.nl/portal/artikel/een_transparante_wereld_bestaat_niet_bewapen_jezelf_11/
Ja, mail met ge3codeerde verbinding heeft wel de voorkeur (httpS://). Op die manier is het moeilijker de data tussen de je mailprovider en je pc te lezen.
@Impeacher
Moet je dan geen eigen domein hebben?
@Spaceinvader
Helemaal anoniem en prive is belachelijk moeilijk. Ik heb daar de tijd en de resources niet voor. Echter, wat we nu doen is vrijwillig al onze informatie op een zilveren dienblad aanreiken.
Voor de overheid afgeschermd zijn is ontzettend moeilijk. Zij hebben immers veel meer resources dan jij en ik. Voor google afgeschermd zijn is echter niet zo moeilijk en dat vind ik wel zo fijn.
De pest van Gmail is dat het zo ontzettend gratis en verschrikkelijk goed is. Een vergelijkbaar alternatief heb ik niet kunnen vinden.
De $8 jaar van Lavabit vond ik behoorlijk acceptabel. 1GB ruimte, grote bestanden verzenden, https, gecodeerd op hun server, privacy hoog in het vaandel.
Twee belangrijke nadelen echter: de interface van de webmail is (nog) vreselijk minimalistisch. Daardoor moet je een programma gebruiken op je eigen pc zoals outlook, maar zoals ik al schreef: Ik haal nu mijn mail via een beveiligde verbinding op met Thunderbird, een soort Outlook, maar dan veiliger.
@Merethan
Dank voor de correcties. Het zijn inderdaad routers waarlangs je data gaat.
T.a.v. je IP-adres, ze koppelen IP-adres wel aan zoekopdrachten. Zouden ze die dan ook niet koppelen aan je gebruikersnaam/profiel als ze die mogelijkheid hebben? Wordt anders als je een dynamisch IP hebt natuurlijk.
Heb je artikel ook gelezen. Absoluut een aanrader voor ieder die zich verder met privacy op het net wil bezig houden.
Ik las dat je ook schreef over TOR. Ik heb wat onderzoek naar verschillende proxies gedaan. Zal hier ook even over schrijven.
De NSA en ik neem aan verschillende andere inlichtingendiensten gebruiken o.a. Linux en coden daar zelfs aan mee. Daar zullen ze een reden voor hebben, en één van die redenen is dat het erg goede systemen zijn.
SELinux, een mandatory access control (MAC) laag op kernelniveau (als ik me goed uitdruk) wat o.a. Red Hat (Fedora, CentOS) gebruikt is in den beginne afkomstig van de NSA, maar open source dus wie dat wil knutselt er nu aan mee, vooral Red Hat dus, maar ik neem aan ook IBM, HP, Debian.
Betekent dat dan dat zo'n installatie gerootkit is door de NSA? Gezien de hoeveelheid mensen die (hoop je) de broncode hebben ingezien zou je -- als je er niks over hoort -- erop mogen vertrouwen van niet. Weer een kwestie van vertrouwen dus, maar als je van al die bedrijven en organisaties geen enkel belletje hoort heb je óf te maken met een verbijsterende vorm van incompetentie, óf van een samenzwering op een ongehoord niveau. ;-)
Er gebeuren wel eens hele domme dingen hoor, niet alleen binnen Microsoft maar ook binnen een club als Debian (en daarmee dus ook alle Debian-derivaten, o.a. Ubuntu). Zie het OpenSSL debakel waarbij random number generators niet echt zo random waren als de bedoeling was...
Jakkes.. je kan echt niemand meer vertrouwen. Maar goed, dat komt dan toch boven water en wordt gefikst. Wat er in het propriëtaire wereldje allemaal gebeurt is een kwestie van gokken. Wat je software zoal uitspookt is daar echt een raadsel.
Ze vinden wel een excuus om erbij te mogen.
Daarbij is men al veel verder als dat ze naar buiten voordoen, we kunnen alleen maar gissen hoever men al is.
Dan heb ik het nog niet eens over het zgn buitenaardse aspect alwaar men mee samenwerkt en wat je ook enkel kunt baseren op suggestie, maar als je je verdiept in het remote viewen en wat die mensen meegemaakt hebben dan kun je je wel een aardig beeld vormen.
Ik ben ondertussen wat aan het meehelpen om de chaos rond de eenduidigheid van mijn ip-adres wat te doorbreken door gasten op mijn netwerk toe te laten. Zodra ik even wat tijd heb ga ik weer eens wat experimenteren met Tor. Ik hoop dat ik t.z.t wat support van deskundigen als Merethen kan krijgen.
Je kunt echter veel doen om zo anoniem en prive mogelijk te zijn. Echter vanuit huis op je eigen PC is dit, inclusief gebruik van TOR, JAP, OS, en andere extreme maatregelen gewoon niet mogelijk, aldus het artikel.
Dus ik quote graag Merethan: "Maar de link die Renatus gepost heeft is een hele goede. [email=http://cryptogon.com/?p=624]Lezen[/email]!"
Verder blijf ik bij mijn originele redenering: het is nu voor bedrijven erg makkelijk allerlei informatie in grote hoeveelheden te verzamelen en te profilen terwijl wij hele goede manieren hebben dit te voorkomen of niet rendabel te maken.
Meer hierover volgt.