‘Someone has my dental records. Someone has my financial records. Someone knows just about everything about me. […] Visa knows what you bought. You have no privacy. Get over it,’ zei Scott McNealy, mede-oprichter van Sun Microsystems, al in 1999. Voor een onderzoeker is het soms van belang om zijn informatieprofiel zo veel mogelijk te beschermen tegen pottenkijkers. Volledig anoniem zoeken is niet mogelijk; wel zijn er manieren om dichter bij die anonimiteit te komen. Arno Reuser geeft tips op het gebied van basissoftware, zoeken, browsen en mailen.
Door: Arno Reuser
Anonimiteit is nooit standaard
Hoe worden mensen op het internet geïdentificeerd? Onder andere via alle gegevens die ze (on)bewust over zichzelf achterlaten. Een belangrijk aspect is het IP-adres dat is toegewezen aan een apparaat (telefoon, pc, tablet, laptop). Dat, tezamen met alle informatie die u op enige andere wijze over uzelf openbaar maakt, wordt gebruikt om een uniek profiel op te bouwen. Persoonlijke informatie wordt op veel meer manieren achtergelaten dan menigeen denkt. Sociale-mediaprofielen, fotoverzamelingen, ‘likes’ op sociale media, de mail (die grondig wordt bestudeerd door sommige providers) en vragen gesteld aan zoekmachines. Maar ook bij de verzekeringsmaatschappij, de tandarts, de supermarkt, de parkeergarage, overal worden persoonlijke gegevens achtergelaten die gebruikt worden om een persoonlijk profiel samen te stellen.
In technische zin worden mensen geïdentificeerd aan de hand van het IP-adres en allerlei gegevens die op een persoonlijk apparaat zijn opgeslagen: cookies, history files, queries, verblijfplaatsen (op de mobiele telefoon) en dergelijke.
Basisregel: privacy versus informatie
Gezond verstand is de belangrijkste maatregel om veiliger en anoniemer te werken. Niet veel mensen zullen een briefje op de voordeur hangen dat ze twee weken met vakantie zijn met het hele gezin. Op Facebook is dat echter volkomen gebruikelijk. De algemene regel is deze (en vergeef mij het ongenuanceerde karakter hiervan): ga ervan uit dat alle informatie die u op enigerlei wijze publiceert altijd, voor iedereen en overal terugvindbaar zal zijn.
Maak dan een afweging. Wat is het belang van de te verwerven informatie en het afbreukrisico als (delen van) het persoonlijke informatieprofiel wordt vrijgegeven? Als die balans ten voordele uitvalt, ga dan verder. Is er enige twijfel: niet publiceren, want eens gepubliceerd altijd gepubliceerd. Scott McNealy zei dat als er een tracking device bestond voor kinderen, hij er eentje bij zijn zoon zou laten implanteren. ‘Sommigen,’ zegt Scott, ‘vinden dat Big Brother, ik noem het goed vaderschap.’ En dat geeft prachtig het dilemma weer van privacy.
Basissoftware
Zorg voor automatisch bijgewerkte veiligheidssoftware bestaande uit een firewall, virusscanner en spyware checker. Tot de betere pakketten behoren F-Secure, AVG, Kaspersky en Norton. De kwaliteit van de toptien ontloopt elkaar overigens niet veel en verandert voortdurend, per maand bijna. MacAfee en Microsoft Defender behoren tot de minder goede veiligheidspakketten.
Zorg dat het besturingssysteem automatisch de jongste updates downloadt en installeert. Wees voorzichtig met het gebruik van gratis spelletjes: die willen meestal toegang tot privégegevens en eisen het recht om uw naam en foto te gebruiken voor reclamedoeleinden. Als u bent ingelogd bij een provider, worden ook uw privégegevens prijsgegeven. Kijk af en toe even naar de privacy settings van uw sociale netwerken en pas die zo nodig aan. Verwijder de vragen die door de zoekmachine zijn opgeslagen (in Google: opties > webgeschiedenis) of zet die opslag uit.
Gebruik een opschoonprogramma, zoals ccleaner van Periform, om alle sporen die worden achtergelaten op uw machine te verwijderen.
Wissel regelmatig van zoekmachine en van internet service provider (als dat kan). Op de gebruikte machines (dat wil zeggen: uw pc, laptop, tablet en telefoon) gaat alles uit wat niet direct nodig is, met name bluetooth is vaak een boosdoener. Inbrekers bijvoorbeeld, gebruiken tegenwoordig bluetooth trackers om uit te vinden wie een tablet in z’n auto heeft laten liggen. Veiliger besturingssystemen zijn iOS en Linux-varianten. Veiliger browsers zijn Mozilla Firefox, Dolphin en Safari. Vermijd het gebruik van MS Internet Explorer. Deze browser is onlangs weer in het nieuws gekomen wegens ernstige veiligheidslekken.
Wachtwoordbeheer
Ik kreeg onlangs een e-mail over een inlogprobleem, waarin de schrijver ook maar diens gebruikersnaam en wachtwoord had vermeld. Dergelijke nonchalance zou strafbaar moeten zijn. Een betere methode om wachtwoorden te beheren dan overal hetzelfde wachtwoord gebruiken is KeePass Password Safe dat wachtwoorden slim opslaat met gebruikersnaam en URL erbij. De database kan via Dropbox beschikbaar gesteld worden op andere apparaten zoals een telefoon, als dat tenminste het risico waard is.
Anoniemer e-mailen
E-mailadressen kunnen veel meer prijsgeven dan de eigenaar denkt. Het (gefingeerde) adres ahp. reuser@intelligence.gov geeft achternaam, initialen, werkkring alsmede het land van herkomst weer.
De meeste service providers bieden de mogelijkheid om alias-e-mailadressen aan te maken. Die verwijzen gewoon naar het ‘echte’ e-mailadres zodat alle aan de alias toegezonden mail wel gewoon binnenkomt. De mailclient filtert alle mail naar een apart mapje dat u alleen gaat lezen als u iets belangrijks verwacht, zoals een hotelreservering. Kies als naam voor de alias iets anoniems. Het is aan te raden dit te doen via een internationale dienst zodat ook het land van herkomst moeilijker is te achterhalen.
Het is verstandig om de inhoud van e-mailberichten voor zover mogelijk te anonimiseren. Kort in de tekst van de mail persoonsnamen af tot voornaam en de eerste letter van de achternaam. Gebruik geen standaard handtekeningen, logo’s en andere afbeeldingen. Let op bij het meesturen van bijlagen: die kunnen allerlei privégegevens bevatten in de metadata. De werkelijke zender van een e-mailbericht is vaak te achterhalen door de e-mailheaders zorgvuldig te bestuderen. Die geven dikwijls een goede indicatie van de werkelijke herkomst. Behalve als de mail gestuurd is met behulp van een anonieme maildienst ofwel een e-mail re-mailer, zoals Neomailbox, RiseUpMail en Countermail.
Anoniemer browsen
Tijdens het gebruik van internet kun je je IP-adres onzichtbaar maken. Daarbij wordt het eigen IP-adres tijdelijk vervangen door een ander adres dat niet te herleiden is naar de eigenaar ervan. Normaal wordt het IP-adres van een websitebezoeker opgeslagen in logfiles. Dat kan voorkomen worden door een anonieme proxyservice zoals KProxy te gebruiken die de bezoeker tijdelijk een ander IP-adres verstrekt. In de logfile van de website komt dan niet het juiste maar het tijdelijke IP-adres.
Hetzelfde doel kan worden bereikt door een anonieme proxyknop als plugin te installeren in de browser, bijvoorbeeld Hidemyass of FoxyProxy Standard voor Firefox. Er is wel een nadeel aan deze maskeringsmethoden: de proxy weet natuurlijk wél precies waar de gebruiker allemaal geweest is.
Trackers zijn bedrijven die persoonlijke informatie van gebruikers verzamelen, onder andere via cookies. Meestal zijn ze onderdeel van een grote website die tot wel tientallen trackers gebruiken. U kunt het opslaan van cookies in uw browser uitzetten, maar dat is soms deksels onhandig. Ghostery en disconnect.me kunnen de trackers onderscheppen en uitzetten.
Scripts zoals JavaScript zijn belangrijk om webpagina’s zorgvuldig weer te geven, maar ze worden soms ook misbruikt om uw informatieprofiel te achterhalen. Een noscript tool zoals NoScript Security Suite voorkomt het ongewild laten uitvoeren van JavaScript en beveiligt tegen clickjacking (= het aanbieden van webbuttons met onschuldige namen maar voor de bezoeker onaangename functionaliteiten).
Anoniemer zoeken
Er zijn zoekmachines beschikbaar die het mogelijk maken anoniemer te zoeken doordat privégegevens van de gebruikers zoals IP-adres, gebruikte zoekacties en dergelijke, niet doorgegeven worden. DuckDuckGo is een heel bekende loot aan de stam die standaard in het lijstje favoriete zoekmachines zou mogen staan. Startpage en lxquick zijn gemaakt door hetzelfde Nederlandse bedrijf en bieden beide geanonimiseerd zoeken aan. Allen zeggen de privacy van de gebruiker te respecteren door privégegevens niet door te geven en geen zoekvragen door te sturen.
Tor: zo anoniem mogelijk
Gebruik van de Tor Browser Bundle is momenteel verreweg de makkelijkste en beste manier om zo anoniem mogelijk te zoeken. Tor is enerzijds bedoeld om te anonimiseren, anderzijds geeft het toegang tot een deel van het diepe web, in dit geval het .onion pseudo top-level domein. Tor kan vergeleken worden met circa twintig anonieme proxies achter elkaar en maakt het zodoende mogelijk om vrijwel volledig anoniem te surfen. Tor biedt tevens de mogelijkheid websites online te zetten zonder dat de gast erachter kan komen wat de fysieke locatie is of wie de domeinnaam heeft geregistreerd.
Arno Reuser is bibliothecaris, oprichter en voormalig manager van de Open Source Intelligence Branch van de Militaire Inlichtingen- en Veiligheidsdienst, en nu eigenaar van Reuser’s Information Services.
Deze bijdrage komt uit IP nr. 5 / 2014. Het gehele nummer kun je hier lezen