Waarom encryptie u ook kan schaadden.

Posted on by jerryhopper

Https, HSTS, end-to-end Encryptie, ALLES moet veilig. Maar pakt deze techniek altijd goed uit voor u?

Natuurlijk is encryptie een zegen, als je je bankzaken doet – of die geheime liefdesboodschap wilt delen met die ene persoon. Maar wat als jou Deurbel, Chat-app -of Malware, over diezelfde beveiligde verbindingen gevoelige data naar externen verstuurt of malware binnenhaalt zonder jou medeweten?

Amazon’s Ring

Recentelijk kwam Ring in het nieuws doordat de app uw data deelt over beveiligde verbindingen met diverse externe partijen. Dat er data werd verstuurd was duidelijk: niet versleutelde dns-aanvragen lieten dit duidelijk zien. Het was voor de onderzoekers een aardig technisch klusje om uit te vinden welke daadwerkelijke data werd verstuurd, want alle verbindingen zijn versleuteld.

Wacom Tekentabletten

Als u dacht dat apparaten met GPS of Camera de voorkeur hebben bij data-boeren om zo veel mogelijk informatie te vergaren, dan heeft u het mis. Neem bijvoorbeel een Wacom Tekentablet. Robert Heaton vondt het nogal vreemd dat er bij zijn TekenTablet een Privacy-Policy zat. Hij ging op onderzoek uit, en ontdekte dat deze Wacom tekentabletten de naam van elke applicatie die u opent, versleuteld doorstuurt naar Google Analytics.

Wacom Tekentabletten registreren elke applicatie die u gebruikt.

Beveiligde verbindingen, hoe werkt het.

Beveiligde verbindinen beschermen jou data van ogen die mee willen kijken. End-to-End encryptie betekend eigenlijk dat de verbinding tussen het begin -en eindpunt versleuteld is, ondanks dat de verbinding via diverse netwerk-knooppunten loopt.

  • U geeft aan uw browser door dat u naar website X wilt gaan.
  • Uw browser heeft de netwerk-instellingen van uw netwerk overgenomen, waarin dns instellingen staan en vraagt aan deze server : Waar bevind zich website X?
  • Als de DNS server weet waar deze domeinnaam zich bevindt zal antwoorden en het adres doorgeven aan uw browser.
  • Nu uw browser het adres weet waar website X zich bevindt, word er een beveiligde verbinding opgezet met dit adres. Als alle gegevens kloppen ( het beveiligings certificaat wordt gechecked ) is de beveiligde verbinding gemaakt.
  • Alle informatie die u nu via deze verbinding uitwisseld is beveiligd.
Een certificaat

Domain Name System (DNS)

In bovenstaande beschrijving word begonnen met een vraag aan een DNS server. Deze DNS server krijgt u automatisch via de netwerkinstelling van uw internet provider. Elke internetprovider heeft DNS servers, die voor zorgen dat website/domein-namen worden opgezocht in het adresboek van domeinen, en antwoorden met het netwerk-adres.

Voorbeeld: u wilt naar de website van de NOS. In uw browser typt u: www.nos.nl
Deze ‘domeinnaam‘ word doorgegeven aan een dns server, die een adres as antwoord geeft: 145.58.29.114
Uw browser zet nu een verbinding op met dit adres, en u ziet de website. Het is essentieel om te begrijpen dat deze domeinnaam die u intypt – als vraag aan de dns-server, NIET ge-encrypteerd is!

Wat ook essentieel is, is dat er elke dag duizenden nieuwe domeinnamen bijkomen. Dit is onmogelijk voor 1 DNS server om deze domeinnamen bij te houden, Hierom vragen dns-servers – bij het opzoeken van een nog onbekende naam- aan andere dns servers! Kortom: DNS is een gedecentraliseerd netwerk van adresboeken die namen, in adressen vertaalt.

Dns over Https – Het Probleem

DNS over HTTPS is een techniek waarmee ook de vraag ‘www.nos.nl’ word ge-encrypt, als u deze website opvraagt. Normaliter word dit dus aan een DNS server gevraagt, meestal via poort 53. DOH echter, gebruikt geen DNS specifieke poort, en kan de aanvraag via een HTTPS verbinding doen.

Wanneer je de DNS aanvraag encrypt, is deze niet meer leesbaar. Of dat goed voor uw privacy is, valt nog te bezien. In China bijvoorbeeld – kan dit zeer wenselijk zijn – immers : als je de aanvraag niet kan lezen, kan je die ook niet blokkeren!

Een voorbeeld : PirateBay

In nederland is er een blokkade op thePirateBay. – die illegale content verspreid. Deze blokkade is mogelijk door middel vanwege de ‘insecure’ dns requests. Wanneer u thepiratebay opvraagt, zorgt uw internetprovider ervoor dat deze aanvraag niet beantwoord word. – het is alsof het domein niet bestaat, en zal er niet getoont worden.

Nu maak ik me helemaal niet druk om de (eenvoudig) te omzeilen PirateBay blokkade. Waar ik me wel druk om maak – zijn de mogelijkheden die DNS over https aan de Advertentie-boeren of andere boefjes op deze wereld geeft, en de mogelijkheiden die DNS over HTTPS ons ontneemt om zelf te bepalen of wij wel of niet gevolgd worden via trackers/advertenties.

U leest het goed : Dns over Https kan ervoor zorgen dat uw advertentie-blokker niet meer zo goed werkt als u zou willen.

Complexe materie

En zo kan het zijn, dat encryptie niet altijd voordelen voor het individu heeft. In de alsmaar luidere roep om ‘reversable encryptie’ door overheden, en het tegengeluid van privacy organisaties – is het noodzakelijk dat het onderwerp ‘Encryptie’ in al zijn vormen en toepassingen goed wordt belicht, om misbruik door de onder -en- boven-wereld te voorkomen.

Huidige discussie omtrent Encryptie

Op dit moment is de discussie omtrent Encryptie in volle gang, maar echt duidelijker wordt het er (nog) niet op. En hoewel het door mij geschetste probleem van DNS over HTTPS mijlenver af ligt van de (eenzijdige) discussie die op dit moment door Minister Grapperhaus wordt gevoerd: Het gaat beide over het onderwerp ‘Encryptie’

Het mes snijdt aan twee kanten

Met de recentelijke schendingen van de AVG door grote multinationals, die slinkse methodes bedenken om diezelfde avg te omzeilen, ben ik van mening dat elke internet-gebruiker een advertentie blocker zou moeten gebruiken. En laat voor diezelfde Multinationals – DNS over HTTPS nu juist de perfecte oplossing zijn voor die vervelende advertentieblockers of privacy-onderzoekers te weren.

Als er toch gediscusseerd word op politiek niveau over encryptie : Voorkom dat Software/App ontwikkelaars Dns over HTTPS gaan gebruiken als wapen tegen uw recht om te blokkeren.

BRONNEN :
Wacom drawing tablets track the name of every application that you open
Dns-over-https: vloek of zegen?
De deurbel always rings twice

Jerryhopper is vervent gebruiker van de Pi-Hole advertentie-blocker, en vindt het noodzakelijk ook deze kant van de toepassingen van Encryptie te belichten. – Wil jij ook minder online gevolgt worden? Dat is een fluitje van een cent. Maak je sterk tegen de ontembare honger voor databoeren: gebruik een Pi-Hole

Gerelateerde artikelen:

  1. Elsevier gijzelt de wetenschappelijke vooruitgang met haar verdienmodel.
  2. De staat als promotie-apparaat
  3. Digitale heling: Het kan gewoon
  4. DDOS de NOS!
  5. Wifi-tracking, en hoe je er vanaf komt.
  6. Wifi-Tracking, Enschede en Maassluis
  7. Menno (en nog iemand) is niet zo snel met Kamervragen over app Nextdoor.
  8. Bent u fan van de serie Narcos?
  9. Waarom encryptie u ook kan schaadden. (2)
  10. Speciale berichtgeving: Facebook wil wat verbieden

geplaatst door jerryhopper

JerryHopper is applicatie ontwikkelaar, neust al 23 jaar rond online en is een typische internet-dinosaurus. Houdt van Techniek, predikt Open-Source en is gek op nieuwe ontwikkelingen op het gebied van Software, beveiliging en andere curiositeiten. Duurzaamheids criticus. runt ook een engelstalig tech/gaming blog -