Privacy op het net. Een, twee, drie.

Privacy op het net. Is dat mogelijk dan?

Het eerste deel van dit artikel is een opsomming van de meest voorkomende gevaren op het internet op gebied van privacy en anonimiteit. Phishing en andere oplichterij laat ik achterwege.
Voor de mensen die geen experts zijn op dit gebied zal het ongetwijfeld iets nieuws brengen.
Ik zal eerst laten zien dat de meeste mensen op het internet absoluut niet privé en/of anoniem zijn. Ik zal hier ook vast een aantal oplossingen geven. Dan ga ik nog even in op het argument: ik heb niks te verbergen. Ja dat heb je wel, je bent je er alleen niet van bewust.
Mocht je dan alsnog denken: ‘misschien heb ik toch wat te verbergen’ dan volgen er nog wat tips voor echt (bijna) anoniem/prive surfen. Hier dan ook eindelijk de al eerder beloofde vergelijking van verschillende betaalde proxies.
Als laatste geef ik nog een paar interessante punten om dieper in dit onderwerp te duiken.

Wat geef je zelf weg?
Er zijn vele manieren waarop informatie over jou verzameld kunnen worden. Allereerst natuurlijk gewoon doordat je dit accepteert. Heb je een google account? Dan krijg je een fantastische gratis mail account in ruil voor allerlei informatie die zij over jou mogen verzamelen en opslaan. Al deze informatie mag gekoppeld worden. De inhoud van de mail de je verstuurt en ontvangt, je zoektermen, de filmpjes die je bekijkt op Youtube, de informatie die je IP-adres en pc vrijgeven, de informatie die invult bij je persoonlijke gegevens en zo voort.

Via sites als Facebook en Hyves is natuurlijk ook legio informatie over jou te vinden. Of heb je op zijn minst de zoekfunctie uitgezet en je profiel afgesloten behalve voor bekenden? Heb je je naam, email, telefoon nummer, adres al een goed opgezocht op verschillende zoekmachines?

Wat maakt mij herkenbaar op het internet?
Ook als je er niet om vraagt is het voor internet sites goed mogelijk een profiel van jou op te bouwen door de unieke kenmerken van je browser en ip-adres. Je browser heeft dus een uniek profiel. In het echte leven zou je mensen herkennen aan hun ronde brilletje, CDA kapsel en smalle schouders. Op internet wordt je herkend aan je scherm resolutie, geïnstalleerde plugins en natuurlijk IP-adres. Hoe anoniem is jouw browser?

Door het accepteren van cookies ben je makkelijk overal te volgen. Hier valt echter prima wat aan te doen. Zorg dat je browser de cookies weg gooit iedere keer dat je internet afsluit. Cookies die je wel wil bewaren kun je in FireFox beschermen met Cookieculler. Dit staat ook beschreven in het artikel dat ik eerder schreef over privacy.

Daarnaast heb je ook nog te maken met 'active web content' als Java en Flash. Deze kunnen, als je het toestaat, allerlei informatie over jou en informatie van je computer doorgeven (inclusief documenten, passwords etc). Soms gebeurt dit met je medeweten, soms zonder. Noscript is een handige plugin voor Firefox om dit tegen te gaan. Hierbij geef je zelf aan of een site deze elementen mag laden of niet. In het begin even vervelend browsen, maar na verloop van tijd heb je al je standaard sites gehad.

Nog iets vreselijk onbeschofts zijn web bugs. Afbeeldingen van 1 pixel groot die geladen worden als je een website laadt. Als gebruiker zie je deze pixel niet. Dat is ook precies de bedoeling. Op een andere pagina staat weer zo'n pixel. Zo weet de 'eigenaar' van de pixel precies waar je wanneer bent geweest.

Je browser(header) laat zien waar je vandaan komt en waar je naartoe gaat. Ook is het mogelijk je volledige geschiedenis uit je browser te lezen.

Een browser waarin al heel veel van deze gevaren uitgeschakeld en plugins ingeschakeld zijn is JonDoFox. Dit is een FireFox die door experts is ingesteld om anoniem te zijn. Persoonlijk zou ik dit nooit zo samen kunnen stellen. Eigenlijk een must als je echt anoniem zou willen gaan.

Andere passieve gevaren
Los daarvan heb je natuurlijk ook de bekendere gevaren. Virussen, Trojan horses, spyware enzo. Daar heb je software tegen. Wel up to date houden natuurlijk.
Je hebt natuurlijk een goede virusscanner aan staan. Uiteraard gebruik je een goede firewall en een programma tegen spyware.

Goed, tot hier alles gev0lgt? Alles geïnstalleerd? Veilig? Nee, natuurlijk niet. En mocht je denken dat dat kan, dan wil ik je nu wel vast vertellen dat dit niet kan. Dussss.

Active gevaren
Wat hebben we nog meer? 'Man in the middle' aanvallen. Je verstuurt data van je PC naar je Internet Service Provider (ISP). Deze stuurt jouw data door naar de internet pagina die je oproept. Deze pagina stuurt informatie terug via je ISP naar jou. Van jou naar de internetpagina loopt altijd via een aantal routers. Dit kunnen er zomaar veertien zijn. Elke router wordt weer door iemand anders beheert. Als je benieuwd bent via welke stappen jou data verzonden wordt dan kun je dat zichtbaar maken met 'Visual route. ' Best grappig om een keer te doen.
Anyway, alle data die jij zo verstuurd kan op iedere router ingezien worden. De 'man in te middle' kan dus zien wat je verstuurt of ophaalt. Niet al je data gaat via dezelfde router. Dit verschilt keer op keer.
Is dit dan erg? Dat hangt er van af. Is de verbinding met je mail provider beveiligt? Wordt je password wel beveiligd verzonden? Verstuur jij je businessplan beveiligd? Upload je de 'vakantie' foto's van je vriendin via een beveiligde verbinding? Wie stuur jij eigenlijk foto's van je vriendin!? Mail jij wel eens informatie waarmee je gechanteerd zou kunnen worden?
Je bank weet hoe gevaarlijk dit kan zijn. Daarom gaan transacties over het internet ook altijd via een site die begint met httpS in plaats van http. Die 'S' staat niet voor 'secure', maar zo mag je het wel onthouden. (het staat voor 'Secure Socket Layer (SSL) wat wil zeggen dat de data gecodeerd verzonden wordt). Tegen die 'man in the middle attacks' is niet zoveel te doen. Alle data van http pagina's die je bezoekt zijn op die manier te achterhalen. Ook die leuke foto's die niet van je vriendin zijn;-)
Op welke schaal dit voorkomt weet ik eigenlijk niet. Iemand?

Je Internet Service Provider
En dan als laatste de klapperrrrrrr van de week. Wie weet het meest over wat jij online uitspookt? Wie zou er het best in staat zijn bij te houden wat jij wanneer en hoe vaak bekijkt? Langs wie gaat AL jou internet verkeer? Juist je ISP. Chello, XS4ALL, Tele2 noem maar op. Allemaal kunnen ze dit niet alleen, ze moeten het ook.

Als de overheid zou willen weten wat jij aan het doen bent hoeven ze dus alleen je ISP vragen of dwingen deze gegevens te overleggen. Dit gebeurt vaker dan je denkt. Tegenwoordig heel normaal om even de mails en bel en surfgedrag van een 'verdachte' op te vragen. Heel vaak ook zonder gerechtelijke toestemming (vooraf). Kan de bron even niet vinden, maar ik weet zeker dat ik het gelezen hebt (voor wat het je waard is).

Je ISP is dus een gigantisch struikelblok als het gaat om privacy en anonimiteit.

Ik heb niets te verbergen.
Ok, hoe vaak masturbeer jij dan? Denk ook even na over het volgende.

1. Je solliciteert voor een nieuwe baan. Als je aankomende werkgever met alle gegevens uit je cv zoekt op het internet wat vind hij dan? Heb je je politieke voorkeur bijvoorbeeld ergens duidelijk laten blijken? En wat als de meneer van de sollicitatie commissie dat maar een irritante mening vindt?

2. Een duister, creepy, louche, figuur op straat is er van overtuigd dat jij degene bent die X bij Y geflikt heeft. Hij heeft toevallig een aantal persoonlijke gegevens van je (op)gepikt. Even googelen en hij weet via hyves, facebook, forums waar je met je echte naam tekent ook: wie je vriendin/vrouw/dochter is, waar je/ze wonen, wat je vgeschatte vermogen is (de foto van je riante huis in een nieuwe buurt met je twee nieuwe midden/hoge klasse auto's).

3. Google raakt de profielen van 25 miljoen gebruikers kwijt. Via een hack, via een USB stick in de net verkochte auto, via een pc op de stoep of misschien wel via een werknemer die wraak wil of de cd-tjes op de zwarte markt verkoopt. Niet alleen bedrijven met al hun ethisch hoogstaande normen kunnen hier nu aankomen, ook (andere) criminele organisaties, overheden of terroristische groeperingen kunnen zo mooi op zoek naar: te chanteren mensen, mensen te gebruiken als zondebok, mensen die aan hun gewilde profiel voldoen. Je wordt ineens overspoelt met reclame op jou persoonlijke profiel aangepast terwijl je van gekkigheid niet meer weet aan welke chantage je gehoor moet geven omdat je het veel te druk hebt de overheid er van te overtuigen dat je geen banden hebt met terroristische organisaties die je maar blijven benaderen.
   Ok, een beetje ver gezocht, maar het punt is denk ik duidelijk.

4. Je hebt niets te verbergen? Wat dacht je van je bankrekening nummer? Jeremy Clarksen dacht ook dat dit niets uitmaakte.

5. Je hoeft ook niets te verbergen te hebben om er last van te hebben. Je hoeft ook niet schuldig te zijn om met je mugshot op internet te komen., Natuurlijk handelt de politie in andere gevallen wel altijd integer, veilig en zonder overlast te veroorzaken.

6. Een groot probleem met al deze databases (samengesteld via internet en andere manieren) is dat de data bewaart blijft. Ook over twintig jaar staat daar wellicht nog steeds jou puberale onvolwassen mening die je nu hebt;-). Over vijf jaar is nog steeds terug te vinden dat je ook toen al sympathiek was voor de Gaza kant van het verhaal. Die vakantie in marokko van 6 jaar geleden moet toch wat los gemaakt hebben. Bewijs eens dat je daar geen contact met extremisten gehad hebt? Want we lezen in deze email ban 7 jaar geleden aan een vriend van jou dat je christenen een personificatie van het kwaad vind en dat de wereld beter zou zijn zonder. "oh dat was een grapje....".

   Het geval met mensen die het 'ik heb niets te verbergen' argument gebruiken is dat ze te veel vertrouwen in anderen en in het systeem hebben.
   Vertrouwelijke informatie beland om de haverklap op plaatsen waar het niet hoort. Wat er dan mee gebeurt is niet te voorspellen. Volgens Zonealarm loop je in de VS een 1 op 30 kans dat je te maken krijgt met identiteitsdiefstal. Dit wordt natuurlijk hoger naarmate er meer over je bekent is.

   Heel even doortrekken naar het EKD en EMD. Wat als deze 'op straat' belanden? Lekker handig voor mensenhandelaren en de illegale orgaanhandel?

   Wat te doen?
   De belangrijkste gevaren tijdens het browsen heb ik hier nu wel genoemd.
   Als alles uit het voorgaande artikel en deze implementeert surf je nu voorbij je ISP redelijk veilig. Maar het kan veiliger. Je IP-adres is namelijk nog steeds bekent. Zie dit als het Burger Spionage Nummer van je PC. Door dit unieke nummer ben je te herkennen. Je IP-adres laat ook zien waar je je fysiek ongeveer bevindt. Naast de website die nu je IP-adres hebben heb je natuurlijk ook nog te maken met je ISP.

   De blauwe pijl is je data stroom.

   Proxies
   Er is één oplossing voor beide problemen. Een proxy. Even in simpele termen dan. Jij verstuurt je data naar de proxy. Deze bezoekt namens jou de website en haalt de gegevens op. Daarna krijg jij van de proxy de gegevens die opgehaald zijn.
   Het verschil met een normale verbinding is dat de website die je bezoekt het IP-adres van je proxy ziet. Niet die van jou. Je ISP ziet alleen dat je je proxy bezoekt, niet welke website de proxy voor jou bezoekt.

   De blauwe pijl is je data stroom.

   Je ISP 'ziet' natuurlijk wel alle data die je verstuurt. Om dit te voorkomen zorg je voor een httpS verbinding met je proxy. Dan ziet je ISP alleen dat je een proxy bezoekt en de versleutelde data die langskomt.
   Proxies kunnen ook gebruikt worden om firewalls te omzeilen. Bijvoorbeeld op je werk of vanuit China.

   De rode pijl is je beveiligde data stroom

   Het gebruik van een proxy werkt op verschillende manier, met verschillende methoden voor verschillende prijzen en met verschillende snelheden. Voor een vergelijking van de verschillende proxies, zie deel twee van deze post.