Column: Klein Duimpje in Den Haag
Kent u dat: heb je in september een reisje geboekt naar een zonovergoten Grieks vakantiehuisje, krijg je in januari nog steeds naast elk internetpagina een advertentie te zien van allerlei andere zonovergoten vakantiehuisjes. Dat mag straks niet meer. Of toch wel. Cookies worden in elk geval verboden, maar dit soort reclames, die zullen blijven.
Dat zit zo. Al bijna een jaar geleden vroeg SP-Kamerlid Sharon Gesthuizen staatssecretaris Fred Teeven van Veiligheid en Justitie of hij nadacht over een uitschrijfmogelijkheid voor gedragsprofilering op internet. De staatssecretaris antwoordde dat dit niet nodig was. Een uitschrijfoptie zou 'onwerkbaar' zijn, omdat gedragsprofilering 'alle landsgrenzen overschrijdt'. Internet is immers niet gebonden aan landsgrenzen, nietwaar. Bovendien is er op dit moment genoeg wettelijke bescherming tegen gedragsprofilering, aldus Teeven.
Gedragsprofilering is populair bij advertentiebedrijven, omdat ze je daarmee advertenties kunnen tonen die toegespitst zijn op je interesses. Traditioneel gebeurt dat met persistent cookies, kleine tekstbestandjes die op je computer geplaatst worden en als een spoor van broodkruimeltjes laten zien wat je zoal bekeken hebt op het web. De nieuwste methode van gedragsprofilering is 'device fingerprinting'. Hierbij krijgen apparaten op basis van specifieke eigenschappen en instellingen, zoals de versie-strings, ingestelde tijdzone, lettertypes en plugins, een unieke id toegewezen. Zo word je geïdentificeerd en kan je interesseprofiel bijgehouden worden. Volgens onderzoek is op deze manier 94,2 procent van alle apparaten uniek te identificeren. De gebruiker is kansloos: er is geen manier bekend om device fingerprinting te omzeilen. Teeven vindt deze techniek echter 'niet onwenselijk', zo lang bedrijven zich aan de wet houden. Gevolgen voor de veiligheid van gebruikers zijn er niet, schrijft hij.
Volgens Gesthuizen is Teeven 'niet helemaal juist geïnformeerd'. "Het ging niet om een uitschrijfmogelijkheid zoals bij het bel-me-nietregister”, zegt ze tegen Tweakers. Hoe een opt-out voor device fingerprinting eruit moet zien, weet Gesthuizen echter ook niet. Goed punt.
Maar ze had haar vraag wel nauwkeuriger moeten stellen. Het gaat over device fingerprinting via de browser. Natuurlijk kan een webserver ook een IP stack fingerprint van iedere bezoekende machine maken, door een NMap scan of iets dergelijks. Hiervoor zijn, zoals Teeven stelt, inderdaad stevige regels beschikbaar. Dat is namelijk hacken en dat mag niet.
Nog nauwkeuriger: het gaat over passieve fingerprinting via de browser. Er is ook actieve fingerprinting, daarbij gebruikt het bedrijf een stukje software op de client die de benodigde informatie vergaart. Dit duiden we normaliter aan met Spyware en hoewel de grenzen op detailniveau wazig zijn, is ook dit verboden. Passieve fingerprinting is echter iets anders. Het is het loggen van informatie die de client computer onbedoeld aanbiedt en vervolgens die logs correleren om gedrag te analyseren. En dat is heel veel informatie, zoals je hier kunt zien, en hier uitgelegd krijgt. Er is geen interactie met de gebruiker; een opt-out is dus onmogelijk. Het enige wat er mogelijk tegen te doen is, is een verbod van de overheid. Maar juist deze manier van fingerprinting is niet verboden.
Op het eerste gezicht heeft Teeven wel ongeveer gelijk. Voor veel scenario’s zijn er regels. Maar voor dit scenario niet. De intentie van de vraagsteller, of de regering iets gaat doen aan passieve browser fingerprinting, is daarmee beantwoord. De regering gaat niets doen. Met dit ongeïnformeerde en ongeïnteresseerde antwoord van Teeven eindigde de discussie in de Kamer.
Maar dan, vier maanden later: het cookieverbod. De aanleiding was dat cookies een grote bedreiging van de privacy zouden zijn. Ze werden misbruikt om gebruikers te profileren en gerichte advertenties mee te presenteren. En daar moet de burger tegen beschermd worden, stelde de PVV. En dat leidde uiteindelijk tot een strikte wetgeving: cookies mogen alleen als de gebruiker expliciet toestemming geeft. Dat wordt dus lekker veel klikken op Ja.
Het lullige is dat cookies een minder grote bedreiging voor de privacy vormen dan browser fingerprinting. Cookies staan op je eigen computer, je kan ze zelf verwijderen. Je kan ook zien welke sites er veel gebruik van maken, en besluiten deze te boycotten. Er zijn ook hele handige plugins en ook browsers helpen inmiddels behoorlijk mee. Tegen passieve fingerprinting staat zelfs de meest slimme gebruiker met lege handen.
Het had helemaal niet zo ingewikkeld hoeven zijn. In principe is het enige dat nodig is, een eenduidige uitspraak van het College Bescherming Persoonsgegevens CBP dat browser fingerprints persoonsgegevens zijn, net zoals bijvoorbeeld IP-adressen. Gesthuizen had haar vraag kunnen stellen op de website van het CBP, waar hij thuishoort. Dankzij dit parlementair gestuntel ligt er een uitspraak van de verantwoordelijke bewindsman dat bedrijven deze technologie mogen gebruiken, een gegeven dat de rechter niet zomaar kan negeren.
De bedoeling van het cookieverbod was gerichte reclames en verminderen van privacy tegen te gaan. Nu is de meest gangbare techniek daarvoor verboden, maar een andere, veel ingrijpender techniek juist toegestaan. Goed gedaan, Fred.
Zo leidt de onkunde van regering en parlement tot een verbod op de mindere van twee kwaden, de cookies. En wat gebeurt er dan: juist, bedrijven nemen hun toevlucht tot passieve fingerprinting, zodat ze toch gepersonaliseerde advertenties kunnen plaatsen. Mijn browser krijgt geen cookies meer maar de advertenties voor zonovergoten vakantiehuisjes op mijn webpagina’s blijven. Maar dan op een manier dat ik er niets aan kan doen. Behalve misschien mijn computer vervangen of opnieuw inrichten. Want passieve fingerprinting is nu, dankzij het gerommel in Den Haag, expliciet toegestaan. Het zou komisch zijn als het niet zo triest was.
Door Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -
Laatste 10 columns
Meer columns van Peter Rietveld.
http://panopticlick.eff.org/
Bij Postbus 51 krijg je gewoonlijk keurig antwoord. Ik heb zelfs wel eens meegemaakt dat ik na een enthousiaste reactie van een ambtenaar een paar weken later een minister in een interview precies hoorde zeggen wat ik had aangedragen. Dit keer bleef het stil.
Wat ze nu hebben gedaan is zoiets als woninginbraak aanpakken door niet de inbraak maar koevoeten te verbieden, met als resultaat dat het met ander gereedschap wel is toegestaan. Fred Teeven vindt dat geen probleem. Mooi is dat.
bijv. 'schaamhaar'; krijg je advies linkjes gedatterd van 2009 en 2010
Het idee dat je je iets kunt doen om te voorkomen dat fingerprinting of cookie-achtige dingen zoals evercookie kunt voorkomen is onzin. Dus wat je nodig hebt is goede regelgeving, publieke opinie en klokkenluiders, etc. Beter dan dat wordt het niet.
1 - Massaal dumpen van internet browsers die - naar jouw mening - te veel info teruggeven aan webservers
Maak een overzicht van de meest date-lekkende browser en publiceer deze dal-10 in de vakbladen
Als je eindgebruikers informeert krijgen ze zelf de kennis en dus de keuze
2 - Zelf een initiatief opstarten en een volledig opensource browser ontwikkelen waarbij ALLES 100% instelbaar is.
Niks geen deafult instellingen, vage settings of cloaked features. Alles opensource, met duidelijke heldere handleidng in gewone hollandse spreektaal, waarin iedere setting en het gevolg ervan galshelder word uitgelegd.
Hierdoor krijgt een computer-eind-gebruiker weer 100% controle terug over welke data over zijn systeem op internet zichtbaar is.
Dit is vele malen secuur-der dan te vertrouwen op loop-jongens / praatjesverkopers van het corporate bedrijfsleven, die af en toe even "de minister"of "de staatsecretaris" mogen uitjangen voor een ambts-termijn om er "een paar wetjes" door te rammen, die ze aangegeven krijgen van hun puppetmasters uit het bedrijfsleven (en andere duistere clubjes die het daglicht niet kunnen verdragen) ;-)
1. een fingerprint is een en blijft een fingerprint, een fingerprint kan prima een capabilities check zijn. Je kunt maar op 1 manier fingerprinting voorkomen en dat is dat iedereen de zelfde browser gebruikt. Exact de zelfde versie op exact het zelfde platform ook nog. Dat is een onwenselijke situatie, want dan krijg je dingen als een monopolie van IE op Windows, 95% van de markt.
2. Een browser ontwikkelen die dat niet doet is onmogelijk zonder HTTP RFCs en andere standaarden te 'overtreden' (zie evercookie, zoals via de ETag) of oude en nieuwe functionaliteit onmogelijk te maken (Flash en HTML5). Javascript uit bij default, etc. bij iedereen.
Denk er maar eens goed over na wat een fingerprint is.
http://panopticlick.eff.org/
Of wil je daarbij ook alle (build-in) unieke identificatie nummers voegen van alle cpu's chip op moederboard en randapparaten?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
