Veiligheid en privacy op het internet

(In ontwikkeling)

Veiligheid en Privacy zijn verschillende zaken. Laten we eerst zien hoe internet ‘werkt’.

Hoe werkt internet?

Elk op het internet aangesloten apparaat (computer, server, internet-of-things-(IoT) apparaat, bijv. een deurbel of een TV) heeft een IP-adres. Een IP-adres is (via de keten van tussengelegen routers) uniek, zeg maar je postcode-huisnummer-combinatie (waardoor NL-Post weet waar een brief naartoe moet). Computers kunnen alleen met elkaar communiceren als ze elkaars IP-adres weten, en daarom moet dat IP-adres uniek zijn.
je internetprovider heeft je een IP-adres op het eindpunt van COAXkabel, glasvezel of IS/RA-punt toegewezen via (een van) hun router(s). Dit kan een officieel IP4-adres zijn, een sub-net-adres (uniek binnen hun router(s)) of een IP6-adres. (IP6 is een standaard waarbij veel meer IP-adressen mogelijk zijn dan via IP4 – meer mogelijke IP-adressen zijn nodig omdat de IP4-adressen ‘op’ dreigden te raken).

Jouw router “weet” dat toegewezen IP-adres. Jouw router heeft binnen jouw netwerk aan alle (al dan niet via WIFI) aangesloten apparaten een binnen jouw subnet uniek IP-adres toegewezen.

Als je met een browser een internetpagina opvraagt (bijv. kavdw.nl – doe dit altijd in de adres-balk van je browser, anders ben je afhankelijk van wat Google, Microsoft, of DuckDuckGo toevallig kent) gebeurt er het volgende:
1. Je computer maakt daar https://kavdw.nl (http is een communicatieprotocol) van en reserveert poort 80 op jouw computer voor het antwoord en gaat zitten wachten op antwoord.
2. Het paginaverzoek wordt naar je IP-adres van je router gestuurd die het weer doorstuurt naar de router van de internetprovider, die het weer doorstuurt naar het IP-adres van een DNS-server, meestal die van je internetprovider (tenzij jij of een hack-programma dat anders heeft ingesteld). Het IP-adres van de DNS-server die je gebruikt staat ergens ingesteld op je computer. (Op een Apple-computer is dat instelbaar via systeemvoorkeuren/netwerk/geavanceerd/DNS) . Hoe het kan weet ik niet, maar Ziggo-proces verandert die systeemvoorkeuren, zelfs als je expliciet een ander dns-ip-adres hebt opgegeven. Ook valt het ziggo-modem terug naar andere, niet door jou opgegeven instellingen bij opnieuw opstarten. Zelfs als je het modem niet opnieuw opstart blijken er soms andere instellingen in de router te staan.]
3. De DNS-server vertaalt de tekst naar een IP-adres en stuurt dat IP-adres terug naar poort 80 van je computer. Dit proces kan je zichtbaar maken (met jouw DNS-server-instellingen!) op de website https://nl.wikihow.com/Het-IP-adres-van-een-website-achterhalen. Dit DNS-vertaalproces is in het leven geroepen omdat mensen slecht zijn in het onthouden van IP-adressen, terwijl computers alleen maar middels IP-adressen met elkaar kunnen communiceren.
4. Je computer weet nu naar welk IP-adres hij het verzoek moet versturen en verstuurt nu een nieuw verzoek (in het geval van kavdw.nl is dat http://83.137.198.10 )naar je router, die het weer doorstuurt naar de router van je provider, die het weer doorstuurt naar dat IP-adres.
5. In het geval van kavdw.nl vat de server het verzoek op als zijnde gericht aan https://kavdw.nl oftewel https://83.137.198.10 . Er wordt overgeschakeld op een ander communicatieprotocol [https], waarbij gebruik gemaakt wordt van een versleuteling waarbij zowel het adres van de ontvanger (de cliënt, jij dus) als het adres van de bevraagde (de server) zit. De server heeft hiervoor een certificaat gekregen van een SSL-provider. Dat certificaat wordt gebruikt door ontvanger en server om het berichtenverkeer te versleutelen en ontsleutelen. Maar eerst moet natuurlijk het certificaat gecontroleerd worden op echtheid. Daartoe gaat een verzoek van kavdw.nl naar de cliënt met het verzoek het SSL-certificaat op te halen bij de SSL-provider en verder te communiceren over poort 443.

SSL, of eigenlijk TLS, is herkenbaar aan HTTPS voor de URL, en is een techniek waarmee de verbinding tussen de bezoeker van een website en de server waar de website is ondergebracht wordt beveiligd middels zeer sterke encryptie. Er wordt altijd gedacht dat SSL alleen nodig is wanneer een bezoeker gegevens verstuurt via de website, maar SSL werkt twee kanten op. Met een SSL verbinding zorg je ervoor dat men niet kan meelezen met wat je naar de website verstuurt. Maar het voorkomt ook dat informatie die naar de website verstuurd wordt, of vanaf de website verzonden wordt, aangepast kan worden. Als website eigenaar wil je 100% zeker weten dat jouw bezoeker of klant datgene op jouw website te zien krijgt dat je er zelf hebt neergezet. Daarom is een veilige SSL verbinding voor iedere website eigenlijk een must.

Er wordt nu verder gecommuniceerd tussen de IP-adressen via het https-protocol over poort 443 en middels de aan beide zijden bekende versleutelingsmethode.
6. Middels het http(s)-protocol wordt een verzoek gedaan aan een server zoals boven beschreven, maar van oorsprong handelt de server het paginaverzoek af en vergeet daarna alles weer. Het http(s)-protocol is in principe “fire-and-forget”. Dat is onhandig, daarom zijn er 2 methoden bedacht om extra gegevens (zoals bijv. inloggegevens) mee te sturen met elk webpaginaverzoek. Dat zijn de GET-methode en de POST-methode.

De GET-methode is onveilig – deze gegevens zijn toegevoegd aan de adresbalk, staan dus in de adresbalk, en zijn daar dus ook zichtbaar en bovendien is de adresbalkruimte gebonden aan een maximumgrootte). Bijgevolg is de methode in onbruik geraakt. De GET-methode wordt nog wel gebruikt als je aan bijv. een zoekmachine als (google.nl) vraagt – je ziet wat je vraagt in de adresbalk staan.

De POST-methode voegt een stuk geheugen toe achter het webpagina-verzoek (het request) wat steeds bij het berichtenverkeer mee wordt verstuurd. Overigens zijn ook de POST-gegevens zichtbaar te maken met de huidige generatie browsers. Daarom moeten de eventuele inloggegevens uid/password versleuteld in het POST-gebied staan en daarom moeten cliënt en server wel beide weten middels welke versleutelingsmethode dit verstuurd moet worden. Om dit te bewerkstelligen gaan ook daarvoor over en weer berichtjes naar elkaar.
7. Er gaan dus over en weer tal van berichtjes over het internet voordat uw gevraagde pagina op uw beeldscherm staat! Om dit berichtenverkeer te reduceren en daarmee de performance (de snelheid) te verbeteren is het concept van de zgn. Proxyserver bedacht. Of je een proxyserver wilt gebruiken en voor welke ranges van ip-adressen geef je op in je browser, of op een apple-computer in systeemvoorkeuren/netwerk/geavanceerd/Proxys. Wat er nu gebeurt is dat het verzoek in eerste instantie naar de proxyserver gaat. Die stuurt het verzoek door indien de proxyserver oordeelt dat de gegevens opnieuw moeten worden opgehaald bij de server van de gevraagde webpagina, of dat de proxyserver kan leveren uit wat de proxyserver al eerder heeft opgeslagen, zijn cache. Alle resultaten van alle http-requests worden op de proxyserver in zijn cache opgeslagen.

Het voordeel van een proxyserver is de grotere snelheid, en de grotere privacy (omdat de proxyserver zelf daarna het request uitzet (indien nodig). De server weet dan niet welk IP-adres daadwerkelijk het request het gedaan.
Het nadeel van een proxyserver is dat je nooit zeker weet of je de allerlaatste (versie van de) gegevens daadwerkelijk krijgt, of inmiddels verouderde gegevens. Het kan zelfs zijn dat de server “uit de lucht” is, maar dat je dat niet ziet omdat de proxyserver de gevraagde gegevens levert.

Met de huidige internetsnelheden is het snelheidsvoordeel nagenoeg verdwenen en daarmee is het concept van een proxyserver verouderd. Het voordeel van de grotere privacy kan je ook, en beter, bereiken middels een VPN-server.
8. Je kunt ervoor kiezen om al je internetverkeer te laten verlopen over een zgn. VPN-server. Wat gebeurt er dan? Bij het instellen van de verbinding met je VPN-server wordt tussen de cliënt (jouw computer) en de VPN-server een protocol afgesproken (en een paar andere instellingen, zoals welk apparaat en welk certificaat). Alle internetverkeer tussen cliënt en VPN-server verloopt daarna via dat protocol, waarbij alles eerst versleuteld en aan de andere kant ontsleuteld wordt. Iemand die mee wil luisteren ziet alleen onleesbare pakketjes. De VPN-server stuurt alles ontsleuteld door naar de gevraagde server -tenzij de website zelf weer gebruik maakt van het SSL-protocol, dan wordt een SSL-verbinding opgezet tussen VPN-server als cliënt en de gevraagde webadres-server- zoals boven beschreven. Maar die server weet jouw echte IP-adres niet, hij weet alleen het IP-adres van de VPN-server. Je bent dus voor de webadresserver anoniem (tenzij je ingelogd bent met een uid/password-combinatie, natuurlijk).

Verschillende protocollen die VPN-servers gebruiken zijn OpenVPN, L2TP/IPSec, PPTP, Chameleon, OpenVPN over SSH, OpenVPN over TOR, en OpenVPN over SSL. Met de laatste 3 worden 2 encryptiemethoden tegelijk toegepast. OpenVPN is, voor zover bekend, (nog) niet gekraakt door de veiligheidsdiensten, zoals de NSA.

Er zijn ca. 300 VPN-aanbieders. De prijzen variëren van 0 euro tot 90 euro per jaar. Van (zeer) goedkope aanbieders kan je je afvragen wat hun verdienmodel is en of je gegevens bij hun wel veilig zijn en of zij die gegevens toch niet op de een of andere manier vermarkten, en of hun snelheid wel op het juiste niveau ligt. Gerenommeerde VPN-aanbieders zijn AirVPN.org, NordVPN.com, en cyberghostvpn.com. AirVPN heeft de meeste servers in Nederland wat het voordeel heeft dat je opgaat in de massa (en daardoor anoniemer) en is het meest gebruikersvriendelijkst en ondersteunt de meeste instellingen. Alle 3 deze providers ondersteunen dat je je router als VPN-cliënt kunt laten fungeren, wat als voordeel heeft dat meteen alle internetverkeer aangestuurd door erachter liggende apparaten, inclusief alle IoT-apparaten, beschermd is. Alle 3 geven ondersteuning voor OpenVPN.
9. Om de snelheid van je internetverbinding te testen zijn er verschillende websites. Zelf gebruik ik steeds https://www.ziggo.nl/speedtest maar er zijn meer aanbieders.

Veiligheid
Veiligheidsaspecten betreffen het geheel van maatregelen die je al dan niet kunt nemen om ongewenst gedrag, waar jij nooit mee akkoord bent gegaan, van kwaadwillenden tegen te gaan. Deze aspecten betreffen een aantal onderwerpen.

DNS
Nu we weten hoe het verkeer plaatsvindt is ook duidelijk waar de kwetsbaarheden zitten in het verkeer zelf. Waar we primair bang voor zijn is dat iemand zich op de een of andere manier nestelt tussen ons en ‘het internet’ (The man in the middle). De eerste plek die onderzocht moet worden is de gebruikte DNS-server. Als de instelling voor een DNS-server vervangen zou kunnen worden (of wordt), dan opent dat de mogelijkheid de instelling te wijzigen naar een frauduleuze DNS-server, die (bijv.) het ip-adres van de ING-bank vertaald naar het ip-adres van een look-a-like site en vervolgens daar extra betaalopdrachten op mee laat lopen (om een voorbeeld te noemen).

Het is dus van het grootste belang het internetverkeer via een niet-frauduleuze DNS-server te laten werken. XS4ALL heeft daarom bovenop haar eigen DNS-servers het DNSSec-protocol gezet, dat haar eigen servers controleert. Dat geeft enigszins schijnveiligheid, aangezien je voor de toepassing van dat protocol wel verplicht bent hun DNS-servers te gebruiken – en als iemand jouw DNS-instellingen heeft gewijzigd op jouw computer, dan wordt dat protocol niet meer gevolgd. Niettemin, als je verwacht via het dnssec-protocol te werken, dan kan je dit eenvoudig controleren door het aanroepen van de site http://www.dnssec-failed.org . Als je de site te zien krijgt, dan volgt je computer (instellingen + provider) dit protocol NIET en is er dus iets illegaals gebeurd met je instellingen.

Andere wetenswaardigheden. Ziggo geeft een overzicht van bekende, betrouwbare dns-servers op de site https://ziggoforum.nl/topics/10991/ . Op hun site https://www.ziggo.nl/klantenservice/internet/veiligheid/open-dns-resolver/ kan je controleren of jouw ip-adres toevallig niet misbruikt wordt voor het omzeilen van dns-protocollen door de daar aangegeven test te doen.

Als je via een VPN-provider op het internet zit, kan je via 2 testen controleren of je dns-server veilig is. Je begint met https://www.watismijnipadres.nl op te vragen wat jouw ip-adres naar buiten is. Dat moet een ip-adres van je VPN-provider zijn. Als dat niet zo is werk je niet via een VPN-verbinding. Als dat wel zo is, dan voer je een verzoek naar https://www.dnsleaktest.com uit (extended test). Dat mag maar 1 dns-server adres opleveren, zo niet dan is er een lek.

Instellingen, zoals welke dns-server je gebruikt op je computer, kunnen veranderd worden door een persoon maar ook door een programma (een virus of een trojan). Een andere instelling die veranderd zou kunnen worden is bijv. een poort openzetten in uw firewall of een internetadres veranderen in een opgeslagen file, de mogelijkheden zijn in principe eindeloos.

Anti-virusprogramma’s
Dat een andere persoon je uid/password van je computer niet mag weten is duidelijk, maar ook moet je gebruik maken van een goede virusscanner. G-Data (5 apparaten, Windows), F-Secure (5 apparaten, Mac en Windows) en Bitdefender (1 apparaat, Mac, Windows, IOS, Android) kosten niet teveel performance en zijn gerenommeerd.

Behalve dat een anti-virusprogramma regelmatig een scan uit zou moeten voeren op uw computer op malware-signaturen zou het ook realtime uw internetverkeer moeten filteren op malware-signaturen. Als het goed is zou zowel uw provider als uw router dit trouwens ook moeten doen. ASUS-routers en ook Fritzbox!-routers doen dit, en ook veel providers filteren het internetverkeer. Kies dus een betrouwbare provider + router naast een goede virusscanner.

OS/Programma’s Updates
Er worden met enige regelmaat lekken in OS-en en programma’s gevonden. Elk internet-gebruikend programma (inclusief OS-en zoals Windows, en Mac-Os) heeft update-programma’s die op gezette tijden controleren of er veiligheidsupdates zijn. Zet deze programma’s aan en maak gebruik van een OS dat door de leverancier wordt ondersteund. Windows 98, ME en XP bijv. worden niet meer ondersteund door Microsoft, wat betekent dat een ontdekt lek niet meer opgelost wordt door een veiligheidspatch. Zulke veiligheidsrisico’s worden ook niet afgedekt door een anti-virusprogramma omdat die ervan uitgaan dat je OS zo modern is dat dat nog wordt onderhouden door de leverancier.

Firewall
Een computer, server of router heeft altijd een IP-adres en communiceert met andere internetapparaten over poorten. Indien een IP-adres+poort antwoord geeft op een request, dan weet de vrager 1. dat er een apparaat zit achter dat ip-adres en 2. dat de desbetreffende poort ‘open’ is. Achter open poorten kunnen (verouderde, kwetsbare) programma’s zitten waardoor een indringer zich toegang kan verwerven, zeker tevens als gebruik gemaakt wordt van standaard uid/password-combinaties (zoals Admin/Admin). Een goede Firewall zorgt ervoor dat het apparaat geen antwoord geeft indien er zich geen actief programma achter de poort bevindt (want het kan natuurlijk dat je je computer of router zo ingericht hebt dat het wel de wens is dat je router of computer antwoord geeft. Doorgaans is dit echter niet het geval en is het het beste indien je router op alle verzoeken op alle poorten domweg geen antwoord geeft. Je router zou een (goede) firewall moeten hebben die zo reageert, en je computer ook.

Of je firewall op je (router)IP-adres goed staat ingesteld kun je testen op https://grc.com , keuze Shields Up!, Hotspots, ShieldsUp! , proceed, keuze “common ports” of “all service ports”. Alle poorten zouden groen moeten zijn (je ip-adres – je router dus feitelijk – geeft dan nergens antwoord op). XS4ALL beschouwd een portscan als een voorbode op een inbraak . Portscannen is daarom in de reglementen van XS4ALL verboden verklaard.

Het door Ziggo meegeleverde kabelmodem via grc.com getest is zo lek als een mandje. Ik testte met de firewall ingesteld op een zo hoog mogelijk niveau met alle veiligheidsopties aan, maar hoe ik ook instelde, er bleken altijd minimaal 14 poorten open. Je kan/mag je Ziggo-router echter niet verwisselen voor een ander. Wel kan je achter je kabelmodemrouter een ander, veiliger exemplaar zetten. Het probleem wordt dan wel aan welke router je de DHCP-server-functie toekent. Je mag je ziggo-modem ‘bridged’ instellen (maar je bent niet zeker dat die instelling zo blijft), maar je TV-’s moeten dan wel verplicht op de COAXkabel werken. Een DHCP-server kent aan elk apparaat binnen het subnet een IP-adres toe. De DHCP-server-functie wordt meestal uitgevoerd door de router. Logischerwijs kan je maar 1 DHCP-server binnen je subnet hebben.

Phishing
De consumentenbond heeft hierover een duidelijke, instructieve video over gepubliceerd:

Nu je dit weet kan je de anti-phishing-game spelen:
http://www.ucl.ac.uk/cert/antiphishing/
En, 3 testen gedaan en toch NUL fouten? Dan ben je een kei. Moeilijk hè, phishing van echt onderscheiden.
Nog zo een, maar nu voor email:
http://www.sonicwall.com/phishing/

Mailen
Mailkwetsbaarheden bestaan niet uitsluitend uit phishing (en het hinderlijke, maar niet schadelijke spammen – waar je provider trouwens veel aan kan en zou moeten doen). Er zijn kwetsbaarheden aan de kant van de ontvanger en de zendende kant. Daarnaast kan
mailverkeer (net als surfverkeer) worden afgeluisterd op alle routers waarlangs het verkeer verloopt. Om deze 3 kwetsbaarheden in 1 klap op te lossen zou je alles moeten versleutelen. Dat vereist echter wel maatregelen aan beide kanten, ze moeten beide de sleutel hebben, hetgeen niet toepasbaar is als je een ‘vreemde’ wilt mailen. PGP (Pretty Good Privacy) is een bekende versleutelingsmethodiek.
Als je hier geen gebruik van (wilt) maken dan is het lezen van je mail middels webmail een goed alternatief. Dat voorkomt natuurlijk niet dat een mail op weg naar je server meegelezen wordt, maar dat voorkomt wel dat de mail meegelezen wordt op weg naar jouw ip-adres. Webmail verloopt standaard via het SSL-protocol zoals boven beschreven. Maar heel weinig mensen maken van een van beide opties exclusief gebruik, maar dat zou je in feite wel moeten doen als je het briefgeheim serieus neemt (ook al mag de overheid dit mailverkeer tegenwoordig wettelijk aftappen).
Bescherming tegen het onder valse naam verzenden en het ontvangen van emails bestaan verificatietechnieken die van belang zijn indien u een eigen emailserver op domeinnaam wilt opzetten: SPF, DKIM en DMARC. Voor uitleg hiervan: https://inboxpros.com/what-are-dmarc-dkim-and-spf/ .

WIFI
Om er voor te zorgen dat het internetverkeer over je eigen wifi-server voor jouw systeem en netwerk veilig verloopt zou je 3 dingen moeten doen om indringers buiten de deur te houden.
1) Je maakt op je router 2 netwerken, een openbaar subnetnetwerk voor je eventuele gasten en een subnetnetwerk dat wel toegang heeft tot je eigen computers. Dit voor vertrouwde apparaten.
2) Je maakt voor beide netwerken een sterk wachtwoord en je kiest tevens voor beide een sterk beveiligingsprotocol (WPA2)
3) Voor het subnetnetwerk van vertrouwde apparaten zet je de mac-adressen van die apparaten die draadloos toegang mogen hebben in een lijst in je router (de white-list). Een macadres is in principe uniek en wordt met elk bericht meegestuurd, maar aangezien het berichtverkeer versleuteld verloopt is dit mac-adres voor anderen niet te zien. Zo voorkom je dat apparaten die niet ge-white-list zijn (zoals het mac-adres van een indringer) toegang hebben tot je vertrouwde subnet, zelfs als ze het netwerk-password kennen.
Om je internetverkeer over een openbare wifiserver te beveiligen (je bent met je telefoon of ipad op een terras aan het surfen) moet je gebruik maken van een VPN-provider en VPN-verbinding.

Andere veiligheidsaspecten
Een webadres waar meer informatie staat m.b.t. andere internet veiligheidsaspecten is: https://www.xs4all.nl/veilig-online/veiligheid-techniek-en-gedrag.htm
Op de site van het Nationaal cybersecuritycenter https://ncsc.nl worden regelmatig berichten over veiligheidsrisico’s gepubliceerd.

Privacy
Privacyaspecten betreffen eventuele negatieve gevolgen van je internetgedrag doordat je in een eerder stadium (voor het erkennen van het negatieve gevolg) zelf akkoord bent gegaan met “iets”. Je hebt een privacyverklaring niet goed gelezen of de consequenties niet doorgrond, en je ziet later een foto van jou gebruikt worden op Facebook, of je bent akkoord gegaan met cookies en wordt later gespamd. Of je meldt je ziek maar je zet een foto op Instagram van die feestavond en je baas ontslaat je.

Privacy op het internet is ver te zoeken als je niet oplet.

Waarom VPN? uitleg op https://www.vpngids.nl/reviews/beste-vpn/

Cookies
Spam
De privacyverklaringen
De facebookpixel (https://www.vpngids.nl/reviews/beste-vpn/https://www.vpngids.nl/reviews/beste-vpn/video ZML)
Sociale netwerken i.h.a. LinkedIn, Google, Instagram, Twitter
TOR en VPN
De nieuwe veiligheidswet per 25 mei
De tegenwerping “ze weten van mij alles toch al” en China
“Ik heb niets te verbergen”
Bits of Freedom
Het UWV en sociale netwerken