Afbeelding: Motherboard | Laura Hausmann

Deze hacker laat zien hoe je écht anoniem kunt internetten

Alles wat je in de privémodus van je browser doet, is totaal niet privé.

|
16 februari 2018, 12:48pm

Afbeelding: Motherboard | Laura Hausmann

Mensen zijn bang voor big data: op Facebook noemt iemand met de achternaam Jansen zichzelf bijvoorbeeld ‘Jan Sen’ om Mark Zuckerberg en z’n goons te misleiden. Onze vriendelijke Duitse buren lopen op het gebied van internetveiligheid nogal voor op ons. Ze verwijderen hun cookies en versleutelen hun e-mails een stuk vaker dan andere Europeanen, dat komt uit dit onderzoek. Toch zijn er maar weinig mensen die weten hoe ze écht anoniem op het internet kunnen surfen.

Gelukkig is Matthias Marx wel zo iemand. In groep vijf hackte hij de computer van de systeembeheerder van z'n school al. Wat later deed hij mee aan hackchallenges om beveiligingslekken op te sporen en bemoeide hij zich met slimme schooltassen in Wolfsburg.

Marx is ondertussen 29 en doet nu onderzoek bij de vakgroep “Security and Privacy” aan de Universiteit van Hamburg. Samen met wat collega's uit Dresden ontwikkelt hij snelle en handige software om anoniem mee te internetten. Een soort Tor die wel lekker werkt dus. Maar daar later meer over.

En dus vroegen we hem wanneer je nou echt anoniem moet surfen.

Matthias Marx hackt sinds de middelbare school en wil anonimiseringssoftware toegankelijker en sneller maken | Afbeelding: Matthias Marx

Eerlijk zeggen, surf je altijd anoniem?
Dat hangt ervan af. Als ik onderweg ben en op een openbaar netwerk zit, gebruik ik vaak een VPN of Tor. Daardoor kan de eigenaar van dat netwerk niet zoveel over mijn surfgedrag te weten komen. Op m’n werk of thuis surf ik vaak niet anoniem.

Welke gegevens zijn openbaar als je zonder beveiliging internet?
Als ik een website bezoek, maak ik daar rechtstreeks verbinding mee. Ze zien dan bijvoorbeeld mijn IP-adres, waar ik ongeveer vandaan kom, welke browser ik gebruik, hoe groot mijn scherm is en welke lettertypes ik heb geïnstalleerd.

Dat klinkt misschien niet heel boeiend, maar met deze gegevens kun je mij en mijn computer identificeren. Als ik regelmatig op dezelfde plekken online ga, is het uiteindelijk mogelijk om te achterhalen waar ik woon, waar ik werk, op welke plek ik iedere dinsdag sport en waar mijn stamkroeg is. Veel sites maken gebruik van trackingservices en hebben plug-ins van Facebook en andere sociale netwerken. Hierdoor wordt het makkelijk om zulke bewegingspatronen aan mijn identiteitsgegevens te koppelen.

Is het een probleem als iemand deze gegevens kan zien?
In autoritaire regimes kunnen inlichtingendiensten bijvoorbeeld zien wie de regering bekritiseert. Anonimiteit is in zulke landen soms een kwestie van leven en dood. Maar ook in Nederland kunnen dit soort gegevens problemen veroorzaken. Als mijn verzekering alles over mij weet, gooien ze misschien mijn premie wel omhoog. En adverteerders analyseren mijn internetgedrag ook, zodat ze me gerichtere reclames kunnen voorschotelen.

Grafiek: Motherboard

Mijn gegevens kunnen in de verkeerde handen vallen. Je kan er ziektes, seksuele voorkeuren of andere zaken uit afleiden en iemand daarmee chanteren. Ik geloof dat het in een democratische samenleving belangrijk is dat mensen anoniem hun mening kunnen uiten – zonder dat ze bang hoeven te zijn voor de gevolgen.

Er zijn verschillende diensten die zeggen dat je er anoniem mee kunt internetten. Ghostery is een plug-in die trackers blokkeert. Mozilla biedt iets vergelijkbaars met de speciale browser, Firefox Klar . Maar kun je met dit soort programma’s echt anoniem surfen?
Deze plug-ins en add-ons blokkeren cookies, wat eigenlijk een soort labeltjes zijn waar trackingsdiensten je mee kunnen volgen. En dus kunnen die diensten je browsegeschiedenis niet bijhouden. Dat is handig, maar deze bescherming is ook niet perfect. Ze verhullen je IP-adres niet. Dat betekent nog steeds dat ze je locaties en browsergegevens nog steeds kunnen zien.

Bij VPN-diensten ligt het wat ingewikkelder. Soms kosten ze een paar euro per maand, maar ze beloven wel mijn locatie te verhullen. Ben ik echt anoniem met zo’n dienst?
Als je een virtual private network-dienst gebruikt, wordt een andere computer tussen jou en de website waar je verbinding maakt geplaatst. Die computer maakt met zijn eigen IP verbinding, waardoor jouw IP niet zichtbaar is. Hierdoor kun je streamingdiensten gebruiken die niet in jouw land beschikbaar zijn: met een VPN zou je bijvoorbeeld een abonnement op de Amerikaanse versie betaalzender HBO kunnen nemen om Game of Thrones meteen te bekijken, of Champions League-wedstrijden die Ziggo normaal niet uitzendt. Aanbieders als Netflix proberen alleen al wel bekende VPN's te blokkeren.

Als het gaat om anonimisering, heeft VPN een belangrijke kwetsbaarheid: je moet erop vertrouwen dat de provider verder niks met je gegevens doet. Er zijn gevallen bekend waar VPN-boeren niet alleen extra advertenties toevoegden aan websites, maar ook malware. Het kan ook dat een dienst er belang bij heeft om je gegevens door te verkopen.

Hoe vermijd jij dit soort risico's?
Ik gebruik meerdere computers en ik doe maar een deel van mijn werk op elke computer. Hierdoor is het alleen mogelijk om een goed profiel van mij samen te stellen door de gegevens van al die computers samen te voegen

Het Tor-netwerk maakt gebruik van dit zelfde principe en beschermt je identiteit goed – tenzij de NSA achter ja aan zit. Bovendien worden de gegevens versleuteld en wordt om de tien minuten gewisseld van de drie computers waarmee verbinding wordt gemaakt. Als je anoniem op het internet wil surfen, is Tor de beste keuze.

Minder dan 1% van de Duitse internetgebruikers gebruikte Tor tussen 2012 en 2013. In veel andere landen zien deze cijfers er vergelijkbaar uit. Afbeelding: University of Oxford

De Duitse veiligheidsdiensten hebben bijvoorbeeld sinds vorig jaar een eigen staats-Trojan: software waarmee ze smartphones en computers kunnen afluisteren. Kan Tor daar iets tegen beginnen?
Zodra die staats-Trojan op een computer staat, wordt alles afgetapt. Het leest gegevens al voordat ze versleuteld en verzonden worden. Een Trojan komt in een bestand op een computer terecht, bijvoorbeeld als ik op een vreemde e-mailbijlage klik. Of het komt door een veiligheidslek het systeem binnen. Tor verandert daar niets aan.

Is Tor waterdicht?
Tor klinkt ingewikkelder dan het is. Je kunt de Tor-browser eenvoudig downloaden en installeren. De Tor-browser lijkt op Firefox en je kunt het ook op eenzelfde manier gebruiken.

Kan ik dan nog iets fout doen waardoor ik mezelf verraad?
Dat is mogelijk. Tor anonimiseert het IP-adres en de locatie die normaal gesproken zichtbaar zijn. Maar ook andere details verraden veel over je identiteit, zoals de lettertypes die je geïnstalleerd hebt, welke browserversie je hebt en hoe groot je scherm is. De Tor-browser wijst je er op dat je je venster niet naar fullscreen moet slepen.

Je moet ook niet ingelogd zijn met je Facebook- of Google-account als je anoniem wil surfen met Tor – zelfs niet als je een nep-account gebruikt. Die diensten koppelen je surfgedrag namelijk aan je IP-adres en browsegegevens waar je gewoonlijk op ben ingelogd. Hieruit kan achterhaald worden waar je je bevindt en wat je identiteit is.

Ook moet je alleen pagina's bezoeken die met “https” versleuteld zijn. Anders kan de laatste schakel in het Tor-netwerk weer meelezen. Overigens moet je daar ook op letten, als je zonder Tor surft. Hier helpen browser-extensies ook bij.

Als je echt anoniem wil blijven, moet je geen PDF’s, Word-bestanden of andere documenten van websites downloaden en openen. Downloaden gebeurt vaak buiten de Tor-browser via hun eigen programma's, bijvoorbeeld Word of de Acrobat Reader. Deze programma’s openen het document en verraden je IP-adres.

Is er een alternatief voor Tor?
Als je meerdere knooppunten wil hebben die je echt anonimiseren, dan kom je uiteindelijk bij de Tor-browser uit. Er is momenteel geen alternatief.

Waarom gebruiken zo weinig mensen Tor?
De meesten weten niet dat ze zoveel gegevens achterlaten. Anderen weten het wel, maar vinden Tor te ingewikkeld en houden hun handen er van af. Daarnaast is de Tor-browser a-relaxt, omdat alles nogal traag wordt. Dat heeft technische redenen. Er zijn verschillende lagen codering rondom de gegevens. Dit betekent dat je veel data moet verzenden en dat de overdrachtssnelheid vaak traag is: twee megabits per seconde is al uitzonderlijk.

Hierdoor kan je niet lang naar HD-video's kijken of duur bufferen heel lang. Maar het zou genoeg moeten zijn voor ‘normaal’ gebruik. Daarnaast blokkeren sommige websites de toegang via het Tor-netwerk. Je kunt bijvoorbeeld geen pagina’s bewerken op Wikipedia.

En als ik snel en anoniem wil surfen?
Dat zijn we aan het onderzoeken. We willen een methode ontwikkelen die de gebruiker kan activeren als hij verbindt met het internet: een knopje dat je aanzet en dat met alle programma’s werkt. Deze methode moet eenvoudige bescherming tegen tracking bieden. We zijn momenteel met meerdere grote providers hierover in gesprek.

Daarnaast ontwikkelen we anonimiseringssoftware die vergelijkbaar is met Tor. Maar de gegevens worden sneller verzonden, omdat alleen snelle computers deel kunnen uitmaken van het netwerk. En het moet ook werken op smartphones en tablets.