Bij Facebook gaan privacy en veiligheid écht niet samen

Vaak wordt er gezegd dat privacy en veiligheid niet samen gaan. Voor meer veiligheid moeten we nu eenmaal privacy opgeven. Er zijn voldoende redenen om te geloven dat dat niet klopt, maar de meeste mensen geloven dit helaas wel.

Facebook doet in ieder geval zijn best om de stelling te bewijzen.

Om mijn privacy te beschermen, leeg ik mijn cookies als ik mijn browser afsluit. Daardoor verklein ik de kans dat bedrijven een archief opbouwen van mijn gedrag. Ik vind dit zelf vrij normaal, hoewel het er wel voor zorgt dat ik altijd opnieuw moet inloggen bij sites. Maar dat heb ik er graag voor over.

Tegelijkertijd maak ik op zoveel mogelijk sites gebruik van twee-factor authenticatie. Nog steeds volgens mij één van de beste manieren om jezelf te beschermen tegen kaping van je e-mailaccount of je social media profielen. En daarmee dus belangrijk voor je online veiligheid.

Maar bij Facebook gaan die twee niet samen.

Facebook biedt wel de mogelijkheid dat ze een sms’je sturen als extra beveiliging bij het inloggen, net als DigiD dat doet. Die optie zit bij de Security Settings.facebook security 1Je kunt proberen het hokje aan te vinken, maar dan zegt Facebook doodleuk:

facebook security 2Wat ze eigenlijk zeggen is: “Ja dag, we gaan je toch zeker niet steeds sms’en als jij ons niet laat onthouden dat je op deze computer al eerder hebt ingelogd. Bekijk het lekker met je privacy-bewuste instellingen.”

Vooral het woordje “fix” is hierbij op een cynische manier grappig: je hebt je browser instellingen kapot gemaakt, nu moet je ze herstellen.

Maar goed, voor een bedrijf als Facebook, dat gedijt bij de onzorgvuldigheid waarmee we met onze persoonlijke informatie omgaan, was dit ook eigenlijk wel te verwachten.

Webluis

Er zit nog behoorlijk wat levends in onze dooie digitale wereld. Zo heet een programma dat iets doet, wat jij niet wil een virus. En besturen we onze cursor met een muis.

Een minder bekend soort online ongedierte zijn de web bugs. De formele vertaling is webbaken, maar ik vind webluis een betere omschrijving: pixels of linkjes, die jouw klikgedrag vastleggen.

Niet schadelijk, maar het jeukt behoorlijk. Op internet vooral in de vorm van “gepersonaliseerde” advertenties van producten waar je ooit naar op zoek was.

Wil je zelf zien hoeveel webluis je tegen komt op internet, installeer dan de add-on Ghostery in je browser. Veel van de bedrijven die je ziet in het wolkje zijn webluisverspreiders. Een deel hiervan zet onzichtbare pixels op de websites die je bezoekt en volgt je via deze luizen over het hele internet.

Ghosterywolk op ad.nl

In de broncode van de pagina (hoe de website is geprogrammeerd, op te vragen via de rechtermuisklik als je op een pagina bent) ziet dat er ongeveer zo uit:

webbug in broncodeHet begint bij <noscript>: De website die jij bezoekt, vraagt een plaatje van 1 bij 1 pixel (height=”1″ width=”1″) op van b.scorecardresearch.com. Op dat moment maakt jouw computer contact met hun server, waardoor je bij dat bedrijf sporen achterlaat over bijvoorbeeld je ip-adres. Ook kunnen zij op dat moment een cookie bij je plaatsen of informatie toevoegen aan het cookie dat je al eerder (bijvoorbeeld op een andere website) van ze had gekregen. Zo kunnen dit soort bedrijven je over het hele internet volgen.

Maar ook in je mail kom je een hoop webluis tegen. Aan de ene kant via dezelfde soort taktiek: een bepaald plaatje uit de mail wordt opgevraagd van hun server, zodat je contact met ze moet maken en gegevens achterlaat. Aan de andere kant via unieke linkjes in de mail zelf.

Ook dit kun je makkelijk met eigen ogen zien, als je weet wat je op moet letten. Open bijvoorbeeld eens een willekeurige nieuwsbrief van een groot bedrijf in je mailbox en ga met de muis boven één van de linkjes hangen. Linksonder in beeld (in de statusbalk) zie je waar je naartoe wordt gestuurd. In dit linkje zie je waarschijnlijk een reeks cijfers en letters staan, die terugkomt als je gaat hangen boven andere linkjes in diezelfde mail. Dat is je unieke luis-code, zodat het bedrijf aan het aangeklikte linkje kan zien dat jij het bent.

Dit is bijvoorbeeld een linkje in mijn Kathmandu-nieuwsbrief:
webbug in mailHet stuk achter de e= is -voor zover ik het heb kunnen achterhalen- mijn kathmandu-luiscode.

Dit soort luizenstreken zijn natuurlijk mooi voor bedrijven om te leren waarin je geïnteresseerd bent. Maar het is minder mooi voor de mensen die online jeuk willen vermijden. In ieder geval weet je nu waar je op kunt letten.

Voldoende reserves?

Regel één van pc-beheer kent als het goed is iedereen: MAAK BACK-UPS! Lees bijvoorbeeld het fascinerende verhaal van Mat Honan en je weet weer waarom die reservekopieën echt belangrijk zijn.

Maar een praktische, goede manier van back-uppen is behoorlijk lastig. In deze blogpost wat aandachtspunten.

Vraag één zou moeten zijn: waar bescherm ik mijn bestanden tegen?

Is je grootste angst virussen en crashende computeronderdelen? Dan is een externe harde schijf is voldoende. Zorg wel dat hij normaal losgekoppeld is van je normale schijf om je te beschermen tegen rottige virussen. En zorg natuurlijk voor een regelmatige back-up, bijvoorbeeld door het in te plannen in Windows of een alarm in je agenda te zetten.

Maar wat gebeurt er dan bij brand of inbraak? Laptops en harde schijven blijken slecht tegen hitte en bluswater te kunnen en zijn makkelijk mee te nemen. In die situaties ben je dan dus allebei je kopiën kwijt. Niet handig. Dat ontdekte deze hacker ook na een inbraak. Hij heeft vervolgens alles op alles gezet om zijn apparatuur weer te lokaliseren en terug te halen. Iets wat ons gewone stervelingen waarschijnlijk nooit zal lukken.

Je kunt natuurlijk je externe harde schijf bij je buren of in de schuur bewaren. Kleine kans dat die gelijktijdig geplunderd wordt of afbrandt. Maar wil je dat iedereen die die schijf vindt al je documenten kan zien als ze de schijf aan hun eigen computer hangen?

Online back-up dan maar? Maar bij welke partij? Dropbox vertoont nog wel eens gaten. En vrijwel alle cloudopslag (Google Drive, de iCloud, Office 365, etc) heeft als nadeel dat die partijen mee (kunnen) kijken in je documenten. En online back-up bij je serviceprovider maakt je nog afhankelijker van die clubs (plus: hoe veilig is dat precies?). Ook niet ideaal dus. Daarbij, de meeste van deze diensten synchroniseren automatisch. Dus als je (zoals ik pas deed) per ongeluk een hele map met cruciale documenten delete, zijn ze op de server in no time ook verdwenen. En toen was ik maar wat blij met mijn aanvullende back-up op een andere schijf.

En zo kom je algauw bij encryptie. Want versleutelde bestanden zijn ook voor nieuwsgierige buren of cloudbeheerders niet te bekijken. Goede versleutelingssoftware is nog steeds Truecrypt (ondanks alles) of één van zijn alternatieven. Zelf vind ik Boxcryptor handig voor een versleutelde gesynchroniseerde cloudopslag. Of je neemt één van de andere betaalde services.

Maar ja, met goede encryptie kom je weer op andere problemen, zoals: password kwijt, bestanden kwijt. En een paar “omgevallen bitjes” (beschadigingen aan je digitale kluis) en als je pech hebt zijn geen van je bestanden meer te benaderen. Dan zijn je versleutelde bestanden nog onkraakbaarder dan de beste niet-digitale kluis. Of er zit toch een lek in een betaalde dienst, waardoor je gegevens mogelijk op straat liggen.

Kortom, dat simpele “zorg dat je altijd reservekopieën hebt” blijkt nog helemaal niet zo makkelijk.

Wat is nu de oplossing?

Allereerst: alles wat echt van waarde is, zal je toch moeten versleutelen. Oók op je eigen computer. Dus informatie over je gezondheid, financiën, persoonlijke gegevens, dagboeken en alle andere informatie die in verkeerde handen je in de problemen kan brengen. Alle gevoelige informatie is veiliger in een kluis, of die nu online staat of op een externe schijf.

Maar ook dan is het handig om voor de zekerheid zo af en toe een onversleutelde kopie te maken op een usb-stick ofzo en die in een echte kluis te bewaren. Of gebruik te maken van een goed versleutelde usb-stick, zoals de Datashur. Praktisch, maar voor de meeste mensen niet groot genoeg voor een volledige back-up.

Voor niet zulke gevoelige informatie, zoals vakantie-foto’s, werkt online waarschijnlijk het beste. En dan vooral díe online alternatieven die automatisch synchroniseren zonder dat je er iets aan hoeft te doen. Plus voor de zekerheid nog een regelmatige kopie via de automatische back-up mogelijkheid van je besturingssysteem op een andere schijf in je eigen huis. En dan kan jou hopelijk nooit meer wat gebeuren.

Wat zou het fijn zijn als nu eindelijk iemand dé ultieme back-upoplossing levert voor lage kosten. En dan dit keer niet alleen maar de reclameslogan.

Spam – Linke linkjeslijst

We gaan verder in de serie moderne spamtechnieken. Deel 3, voor nu het laatste deel.

Een tijdje geleden schreef ik over referrers, die surfprivacy-verpestende linkjes die direct verraden hoe je op een website terecht bent gekomen en vaak ook nog via welke zoekmachine- en woorden. Nou, die referrers zijn ook ontdekt door spammers!

Je kunt je referrer namelijk spoofen, vervalsen. Een add-on voor Firefox of Chrome zoals Refcontrol maakt dat kinderlijk eenvoudig. Het enige wat je nu nog hoeft te doen, is een robotje met je spamlink als referrer het web over sturen om allerlei (bij voorkeur wat kleinere) websites te bezoeken. In de referrerlijst van deze websites komt jouw spamsite pontificaal te staan.

En nu maar hopen dat de websitebeheerder wat nieuwsgierigheidsissues heeft en dus gaat kijken hoe die site tussen de referrers terecht is gekomen. Tadaa, weer een bezoeker erbij voor de spammert!

Voor de verkoop van spullen lijkt dit me een omslachtige speld-in-een-hooibergstrategie. Maar als slimme cybercrimineel zorg je er natuurlijk voor dat de spamsite volgeladen is met zoveel mogelijk virussen, zodat je een nietsvermoedende bezoekende beheerder kunt besmetten als hij op je site komt. Dan heb je niet een potentiële koper op je website, maar een kansrijke uitbreiding van je botnet. En dat is lekker verdienen, want die kun je verhuren aan andere spammers of criminelen.

Dus, beste mede-website-beheerders: klik nooit zomaar op onbekende linkjes, ook niet als ze in je referrerlijst staan. Mocht je je nieuwsgierigheid toch niet kunnen bedwingen, dan kun je altijd Google gebruiken, eventueel via de cache, om te kijken of jouw site toch niet ergens genoemd staat.

Spam – Marktplaats in de reacties

De vorige post had ik het over social media spam. Nu verder met deel 2 van de moderne spamsoorten.

Op mijn blog krijg ik zo af en toe een leuke reactie van iemand die een echte, nuttige bijdrage levert. Veel vaker, bijna elke dag wel, ontvang ik een reactie van een “geïnteresseerde reageerder”, die er eigenlijk vooral in geïnteresseerd is om mij te laten klikken op het linkje bij zijn reactie. Hieronder staan een paar voorbeelden.

 

Er was een tijd dat het vooral hele vleiende posts waren over hoe fantastisch mijn blog wel niet was. Met linkjes naar echte sites, die op geen enkele manier van doen hadden met de inhoud op mijn blog. Waarschijnlijk gaf dat toch teveel gedoe en te weinig resultaat.

Nu is mijn spamlijst gevuld met linkjes naar facebook-pagina’s. Makkelijk te maken, moeilijk te onderzoeken en/of vervolgen. Ook is de tekst nu wat meer inhoudelijk: de ouderwetse mix van viagra, religie, snel geld verdienen en porno.

Gelukkig heeft WordPress een ingebouwd goed-werkend spamfilter, Akismet. Dus er is nog nooit een dergelijke illegaal-commerciële reactie op mijn blog verschenen. En zo eens in de zoveel tijd dan neem ik even vijf minuten om me te verdiepen in wat de spammers denken dat ik wil. Maar nog nooit ben ik in de verleiding gekomen om te klikken. Misschien ben ik toch de doelgroep niet.