Netflix beschermt kijkgedrag gebruikers met encryptie
Om de privacy van Netflixgebruikers te beschermen maakt de populaire streamingdienst sinds het afgelopen jaar gebruik van encryptie voor de videostreams, zodat het kijkgedrag niet voor derden toegankelijk is. Encryptie kon vanwege de impact op de prestaties niet zomaar worden toegevoegd.
Dat heeft de streamingdienst via een blog bekendgemaakt. Netflix gebruikt speciale Open Connect Appliances (OCAs) voor het opslaan en aanbieden van videocontent. In 2012 had een enkele OCA-server een doorvoer van 8Gbps. Dit jaar was dat verhoogd naar 90Gbps, voornamelijk door het optimaliseren van elk onderdeel van de software. Tegenwoordig draait het echter niet alleen om efficiëntie, maar ook om veiligheid.
Het afgelopen jaar is Netflix daarom begonnen met het uitrollen van Secure HTTP om ook de aangeboden videocontent te versleutelen. Dat moet gebruikers beschermen tegen luistervinken die het kijkgedrag willen achterhalen, met name op onbeveiligde netwerken. Uit berekeningen bleek dat het toevoegen van encryptie aan de videostreams grote impact op de efficiëntie van de wereldwijde Netflix-infrastructuur zou hebben.
Daarom besloot de streamingdienst de OCA-software verder aan te passen. Zo werd er gekeken naar het ideale encryptie-algoritme, de beste implementatie van dit algoritme en het vinden van manieren om de implementatie te optimaliseren. Er werd uiteindelijk gekozen voor het Advanced Encryption Standard (AES) algoritme in Galois/Counter Mode (GCM). Aangezien de OCA-servers van Intel-processoren gebruikmaken die AES-NI ondersteunen, wat het versleutelen en ontsleutelen versnelt, moest er naar een geschikte implementatie met AES-GCM worden gezocht. Netflix kwam uiteindelijk uit bij BoringSSL, een door Google ontwikkelde OpenSSL-fork, en de Intel Intelligent Storage Acceleration Library (ISA-L).
Vervolgens werden nog verschillende andere optimalisaties doorgevoerd, waardoor de prestaties met 30% werden verbeterd. "Door deze verbeteringen kunnen we encryptie aan onze videostreams toevoegen voor clients die het ondersteunen, zonder dat het grote gevolgen voor de prestaties heeft", zegt Randal Stewart van Netflix. Naast verschillende papers (pdf1 en pdf2) zal er ook tijdens het Intel Developer Forum (IDF16) in San Francisco later deze maand een presentatie over de operatie gegeven worden.
Maar ondertussen blijft dat Netflix zélf precies weet en kan bijhouden wie waar gebruik van maakt bij Netflix.
Het enige dat er verandert, is dat dat zij nu de exclusieve eigenaar van dit soort persoonlijke gegevens zijn,
en Netflix er een hogere prijs zou kunnen vragen als iemand belangstelling voor dit soort gegevens mocht hebben.
Dit "lekken" van kijkgegevens is een algemeen probleem bij digitale televisie. Vooral als het kijken op aanvraag is.
Vroeger bij analoge TV kon je zelf de gewenste zender uit de ether of van de kabel vissen: het was éénrichtingsverkeer en niemand wist automatisch waar je precies naar keek. Bij digitale TV zit welhaast automatisch de mogelijkheid van tweerichtingsverkeer bij inbegrepen, zodat men ongemerkt en geheel automatisch zou kunnen nagaan en registreren welk huisadres waar naar kijkt en heeft gekeken.
Maar ondertussen blijft dat Netflix zélf precies weet en kan bijhouden wie waar gebruik van maakt bij Netflix.
Netflix weet net zo goed wat jij ben hen kijkt. Net als de tijdschriftenwinkel om de hoek weet welke blaadjes jij daar koopt. De bakker weet wanneer jij in het weekend wat extra (luxe) broodjes koopt. De kapper weet wanneer je je haar extra laat doen.
Het voordeel van dat Netflix het weet, is dat je zo ver wegzakt in de grote hoeveelheid data dat het ondoenelijk is om individuen uit de grote hoeveelheid gegevens te filteren. Het is altijd dat X00.000 mensen graag film Y kijken op zondagavond en Z00.000 mensen dat op zaterdagavond doen.
Er zijn zo veel gegevens dat het eenvoudiger is om bij jou door het raam te gaan staan kijken naar wat je kijkt dan op zoek te gaan in de Netflix gegevens. Het is niet voor niets zo dat de politie graag jouw aansluiting tapt of in jouw computer wil inbreken. Grote hoeveelheden gegevens zijn alleen interessant voor statistieken.
Het lijkt wel gepersonaliseerde reclame als je er weer eentje krijgt voor autos als je een paar dealer sites hebt bezocht. Dat is echter alleen statistiek. Want als het gepersonaliseerd zou zijn, zouden ze weten dat je uiteindelijk een nieuwe auto hebt gekocht en de eerste jaren geen reclame voor autos meer nodig hebt.
Bedrijven als Netflix, Google, Microsoft anonimiseren alles het liefst zo snel mogelijk, zodat ze de hoeveelheid gegevens kunnen beperken. Zelfs voor een club als Google met hun miljoenen computers en PB's aan opslag, is het efficienter om opgeslagen te hebben dat X personen Y doen dan X keer op te slaan dat een bepaald persoon Y doet.
Peter
Maar ondertussen blijft dat Netflix zélf precies weet en kan bijhouden wie waar gebruik van maakt bij Netflix.
Dat is natuurlijk volkomen waar, maar niet echt een nieuw verschijnsel natuurlijk, de bibliotheek weet ook wie welk boek heeft geleend. Dat Netflix het zelf weet kan ik, ook al ben ik bijzonder privacy-minded, niet echt als een probleem zien. Zij zijn immers je leverancier, en dat ze willen weten welke series het goed doen, welke niet zo goed, en waar hun klanten behoefte aan hebben zodat ze daar series en films op kunnen inkopen. Dat is gewoon verstandig een bedrijf runnen. Ik vind het netjes dat ze op deze manier wel helpen voorkomen dat anderen kunnen zien waar je naar kijkt.
Ik moet wel bekennen dat ik niet weet (ik ben dan ook geen klant van Netflix) dat ik niet weet of Netflix je kijkgedrag verder verhandeld. Iemand hier die dat weet?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
