Ik weet waar jij naar zoekt!
Heb jij al ooit gebruikt gemaakt van een publiek Wi-Fi netwerk? Waarschijnlijk wel want we vinden ze in vele openbare ruimtes zoals een café, een restaurant, een hotel, het openbaar vervoer, noem maar op. En dat is normaal, want die netwerken zijn handig en zorgen er voor dat we minder moeten uitgeven aan mobiele data. Maar het gebruik van die netwerken is niet helemaal zonder gevaar…
HTTPS, onze beschermengel
Een aantal jaren geleden was het voor de eigenaar van een publiek netwerk (bijvoorbeeld een hoteluitbater) zeer eenvoudig om mee te luisteren naar wat jij op zijn netwerk aan het uitspoken was. Hij kon niet alleen jouw wachtwoorden zien maar ook de mails en berichtjes die je verstuurde via zijn Wi-Fi netwerk. Niet alleen de eigenaar kon eenvoudig meeluisteren, ook een aanvaller die in jouw buurt een antenne in de lucht stak, kon er zelfs in slagen om mee te luisteren naar wat jij aan het doen was. Gelukkig is het internet de afgelopen jaren sterk geëvolueerd en gebruiken we bijna overal HTTPS, je weet wel dat slotje in je webbrowser. HTTPS zorgt er voor dat al het verkeer tussen jou en de website waarmee je communiceert versleuteld is. Voor iemand die wil meelezen zien alle berichtjes tussen jou en de website er uit als allemaal willekeurige tekens. Doordat enkel jij en de website de sleutel hebben, kunnen enkel jullie die willekeurige tekens omvormen naar een zinvolle tekst.
Toch is HTTPS niet dé perfecte beschermer van onze privacy. Iemand die kan meeluisteren ziet bijvoorbeeld nog altijd vanaf welk uniek adres, het IP-adres, je bericht verzonden is en naar welk IP-adres het bericht verstuurd wordt. Ook zorgt de versleuteling er niet voor dat de lengte van je bericht verandert en zijn de domeinnamen van de websites die je bezoekt nog steeds zichtbaar. De aanvallers kunnen echter niet zien welke pagina je op een website bezoekt. Zo kunnen ze zien dat je bijvoorbeeld naar Wikipedia surft, maar kunnen ze niet zien welk artikel je aan het lezen bent.
Al die verschillende verbindingen kunnen interessant zijn voor iemand die meeluistert. Toch is het niet zo eenvoudig om te achterhalen welke websites jij expliciet opende. Als je bijvoorbeeld naar een website surft die ook een kaartje toont zal niet alleen die website geladen worden maar ook een website die dat kaartje voorziet, zoals Google Maps. Dat verschil is echter niet direct zichtbaar voor iemand die aan het meeluisteren is.
Hoe weet jij nu naar wat ik zoek?
Het onderzoek in deze thesis heeft uitgewezen dat deze lekkende informatie voldoende kan zijn om jouw zoekopdracht te achterhalen. Doordat we de verschillende vormen van informatie op een intelligente manier combineren, vertelt die meer over jouw zoekopdracht dan je zou denken.
Zo zijn we er in de eerste plaats in geslaagd om de lengte van de verschillende woorden in je zoekopdracht te achterhalen, op voorwaarde dat je die volledig intypte. Daarnaast kunnen we de websites die je hebt aangeklikt ook onderscheiden van de websites die door je smartphone in de achtergrond geopend werden. Als we van al die websites de startpagina bekijken en we zoeken naar woorden van de lengte van jouw zoekopdracht, dan zou het wel eens kunnen dat we die zoekopdracht op de website vinden. Stel, je bent op zoek naar een nieuwe gsm en je bent geïnteresseerd in een nieuwe iPhone. Je zoekt naar die “iPhone” en opent de productpagina op de website van Apple. Dan kan iemand die je afluistert zien dat je zoekopdracht bestaat uit één zesletterwoord en dat je verbinding maakte met apple.com. Op de startpagina van Apple staat verschillende keren het zesletterwoord “iPhone”, wat jouw zoekopdracht was.
Op diezelfde pagina staan meerdere zesletterwoorden. Om deze lijst van potentiële zoekopdrachten te filteren bespreken we verschillende methodes in de thesis. We hebben onze aanpak automatisch getest aan de hand van een lijst van vaak uitgevoerde zoekopdrachten en we konden in een kleine 41% van de testen de zoekopdracht correct achterhalen.
Jouw gegevens zijn goud waard
Je vraagt je nu misschien af: waarom zou iemand zich in deze informatie interesseren? Bedrijven zijn de laatste jaren alsmaar meer verzot geworden op jouw persoonlijke gegevens. Kijk naar bijvoorbeeld, Google of Facebook, ze houden alles bij wat je doet op hun websites. Met die gegevens proberen ze om zo gericht mogelijk advertenties te tonen aan hun gebruikers. Hierdoor kunnen ze die advertentieruimte ook duurder verkopen aan geïnteresseerde adverteerders en dus meer winst maken. Zo verdiende Facebook in de eerste vier maanden van 2020 ongeveer $6 per gebruiker. Maar ook de eigenaren van die publieke netwerken zouden jullie gegevens kunnen gebruiken voor reclame op bijvoorbeeld digitale schermen in hun zaak.
Zal ik dan maar stoppen met het gebruik van die Wi-Fi netwerken?
Er zijn veel gevallen waarin die netwerken toch handig zijn omdat mobiele data ook wel zijn beperkingen heeft. Wees je ervan bewust dat als je verbindt met een Wi-Fi hotspot, het altijd zo kan zijn dat er iemand je probeert af te luisteren. Je kan ervan uitgaan dat de inhoud van je berichten onleesbaar en veilig is, maar er kan toch randinformatie over je surfgedrag kan lekken. Voor de thesis is er een extensie voor je internetbrowser ontwikkeld die er al voor zorgt dat de lengte van je zoekopdrachten verborgen wordt. Er wordt momenteel ook al onderzoek gevoerd naar manieren om de domeinnamen van websites die je bezocht af te schermen. Je gegevens worden dus steeds beter beschermt maar ook aanvallers worden steeds beter in het achterhalen van gegevens. Als je dus volgende keer reclame krijgt van de Burger King in de hotellift terwijl je juist de dichtstbijzijnde McDonald's hebt opgezocht dan weet je hoe laat het is.
