‘Here’s looking at you…’

In de afgelopen weken is er al veel gezegd over de verschillende vormen van cyber spionage. De Verenigde Staten heeft de Chinezen beschuldigd van cyber spionage en het stelen van bedrijfsgeheimen. Een voormalig werknemer van de Amerikaanse NSA, Edward Snowden, heeft verschillende Amerikaanse inlichtingendiensten beschuldigd van het systematisch onderzoeken van de activiteiten op de verschillende populaire sociale netwerkdiensten, door middel van een programma genaamd “PRISM”. Vandaag de dag mogen cloud services in de mode zijn, maar er is ook een opkomend besef dat zodra jouw gegevens in een van deze clouds wordt gezet, het dan niet langer noodzakelijk volledig jouw data is. Het kan zijn dat de gegevens ook van iemand anders zijn geworden.

En de regels en protocollen inzake de toegang door derden tot wat vroeger jouw gegevens waren, zijn niet langer nadrukkelijk de regels en protocollen zoals gedefinieerd door de wet- en regelgeving van jouw land. Andere regels en protocollen die worden gebruikt in andere landen kunnen van toepassing zijn, waardoor anderen toegang tot jouw gegevens krijgen. En als je geen burger van dit andere land bent, heb je weinig of geen rechten met betrekking tot de privacy van deze gegevens of enige rechten met betrekking tot de veilige afhandeling van persoonlijk identificeerbare informatie in dit vreemde regime.

Uiteraard heeft dit alles veel publiek debat veroorzaakt. Zoals diverse inlichtingendiensten beweren staat het internet voor een essentiële bron van waardevolle informatie. Volgens hen is deze informatie van vitaal belang voor hun werk: de bescherming van de veiligheid en de veiligheid van de burgers van hun land. Voor anderen vertegenwoordigt deze informatieverzamelingsactiviteit een misbruik van bevoegdheden en macht, dan het meer traditionele proces van het gerechtelijk toezicht en met diverse afwegingen. Het lijkt op een ongedisciplineerde haast om deze rijke ader van online informatie uit te buiten.

Ongetwijfeld zal dit debat nog vele jaren voortduren. Net als het vinden van de juiste balans tussen deze vaak tegenstrijdige belangen. Geen gemakkelijke taak. Echter, veel van de publieke discussie wordt gevoerd met een gebrek aan informatie. Hoe is deze online spionage uitgevoerd? Wie op zoek is naar wie? Kunnen we deze digitale spionage zien gebeuren?

We zagen een onbedoeld voorbeeld van deze vorm van online spionage toen in juni 2012 bleek dat de Australische telecommaatschappij Telstra de bepalingen van de nationale wetgeving overtrad, toen ze klaarblijkelijk bepaalde geconfigureerde apparatuur in hun mobiele datanetwerk hadden opgenomen. Online zoekopdrachten van klanten werden onderschept en een kopie van deze URL’s werden verstuurd aan een derde partij in de Verenigde Staten. Telstra hield zich afzijdig en noemde deze digitale stalking “een normale exploitatie van het netwerk,” terwijl anderen zeer bezorgd leken te zijn over het misbruik van de rol van de operator bij de uitvoering van een dergelijk ongeoorloofd afluisteren van klantenverkeer (zie mijn column uit juli 2012 voor mijn perspectief op dit incident).

Nu de beschuldigingen van verschillende vormen van cyber spionage over en weer vliegen, is het een jaar later waarschijnlijk handig om wat meer vragen te stellen. Wat is een redelijke verwachting als je kijkt naar privacy en het internet? Dienen we de verschillende vormen van digitale stalking als ‘normaal’ te beschouwen? In hoeverre is de informatie zichtbaar met betrekking tot het doorgeven van de online-activiteiten van individuen aan anderen?

De laatste is een interessante vraag, en in het bijzonder is het een vraag waar we misschien in staat zijn om een ​​kleine hoeveelheid gegevens te vertrekken over een dergelijke handel in informatie.

Bij onze inspanningen om de omvang van de invoering van IPv6 en DNSSEC te meten geven we URL’s uit naar zo’n 800.000 gebruikers per dag en gebruiken we de online advertentie bezorgingsnetwerken om te proberen ervoor te zorgen dat deze gebruikers in een betrekkelijk willekeurige wijze uit het hele Internet worden onttrokken. Omdat al deze URL’s terug verwijzen naar onze server – en elke gegenereerde URL unieke onderdelen in DNS-naam gedeelte bevat – zouden we verwachten dat op de server elke unieke URL slechts één keer en door één unieke client wordt gebruikt. Immers, door de meeste internetgebruikers wordt aangenomen dat de websites waarmee hun systeem contact maakt, in wezen prive-informatie is. Dus als je een website met behulp van een unieke URL bezoekt, zou je in principe niet verwachten dat jouw sessie door een derde wordt afgeluisterd en jouw URL wordt gekaapt.

Als dit werkelijk het geval zou zijn, dan zou elke URL die we als onderdeel van ons meetprogramma uitdelen één keer worden gebruikt, en slechts één keer en alleen door de client die de URL ontvangt. En in de meeste gevallen is dat precies wat we zien. Maar soms zien we dat dezelfde unieke URL meer dan één keer wordt gebruikt. Wat kunnen we begrijpen uit deze gevallen? Zien we hier het bewijs van een vorm van digitale stalking?

Laten we enkele datasets bekijken en zien wat we kunnen vinden.

In de periode van 1 mei 2013 tot en met 18 juni 2013 hebben we 29.171.864 unieke URL’s uitgegeven. Zoals we zouden verwachten kwamen de meeste van deze URL’s op de server terug vanaf een enkel client IP-adres. Maar over deze periode werden 612.089 URL’s meer dan eens aan ons teruggestuurd, vanuit verschillende client-IP-adressen. In sommige gevallen was de oorspronkelijke set van URL’s van het IP-adres van een cliënt meerdere malen gedupliceerd door een ander IP-adres. Dat was ongeveer 2,1% van alle URL’s. Als dit echt een indicator is van het niveau dat digitale stalking op het Internet vandaag de dag omvat, dan is het een verontrustend hoog cijfer.

Welke adressen voeren van deze vorm tracking uit?

Hier is de top 25 IP-adressen waar werd deze URL re-fetch werd waargenomen.

hustonprism01

Toch moeten we even stilstaan bij een belangrijke overweging. Hoewel het gebruikelijk is dat web-proxies zich gedragen op een wijze die niet makkelijk detecteerbaar is, zien we ook proxies die lijken te werken in een vrij openlijke modus. Hierbij lijkt de proxyserver een feed van URL’s te krijgen, die worden gebruikt door de groep gebruikers die door de proxy-server worden bediend. De proxy-server bevraagt de URL-server afzonderlijk om zijn eigen kopie van de webobject halen. Web proxies zijn zeer vaak geïmplementeerd vanwege de kostenefficiëntie van netwerken. Wat de proxy probeert te doen is om de omvang van dubbele informatie-aanvragen te beperken tot de groep cliëns die door de proxy worden bediend. Niet alleen de netbeheerder behaalt op deze manier efficiëntie in termen van verlaging van de totale verkeersbelasting, maar ook de gebruikers achter de proxy zien vaak een veel snellere downloadtijd voor proxy-served webobjecten. Dus de invloed van het gebruik van web proxies in diverse opkomende economieën in deze tabel komt niet bepaald als een verrassing.

Kunnen we de aannemelijke web proxies in deze gegevens er uitfilteren? Eén manier om dat te bekijken is dat het vrij gebruikelijk is dat de web proxy in hetzelfde Autonomous System voorkomt als de client die door de proxy wordt bediend. Dus wat als we alle gegevens filteren waar het oorspronkelijke IP-adres en de schaduw IP-adres in hetzelfde AS voorkomen? Hoe ziet de tabel er dan uit?

hustonprism02

Dit heeft het aantal aanzienlijk verminderd, wat het standpunt ondersteund dat de belangrijkste reden waarom we gedupliceerde URL’s zien een bepaalde vorm van het inzetten van proxies is, waarbij de proxyserver een onafhankelijke aanvraag doet op het web-object. Na deze filteringsactie bleven systemen over die gevestigd zijn in China (10 van de top 25 zijn gevestigd zijn in China), Japan, Libanon, India, Indonesië, Irak, Argentinië, de Verenigde Staten en de Filippijnen.

Het is nog steeds mogelijk dat dit proxy-webservers zijn, die de proxy-functie uitvoeren voor “downstream”-netwerken. Maar we zien ook een iets andere motivatie die deze URL-tracking in deze lijst kan verklaren. In deze lijst staat een web filtering dienst  die is gevestigd in de Verenigde Staten: Convenant Eyes (http://www.covenanteyes.com). De beoogde functionaliteit van deze dienst is dat een lijst van alle bezocht URL’s van een client-systeem worden gestuurd en om hun website te citeren: “in een gemakkelijk te lezen rapport naar iemand die u vertrouwt”. Dus het systeem lijkt deze URL’s op te halen als onderdeel van de rapportage dienst.

De volgende filter die ik op deze lijst toepas, is om het land van herkomst te bepalen en al die gevallen te filteren waarin de cliënt en het fetch-systeem gebruik maken van IP-adressen uit hetzelfde land. De lijst met resultaten is die van een reeks servers die URL’s ophalen die reeds werden opgehaald door een client, en waar de client en de dubbele fetch-server zich in verschillende landen lijken te bevinden.

hustonprism03

Het eerst genoemde resultaat is vrij uitzonderlijk. In de periode van 49 dagen waarin de data werd verzameld, zagen we ongeveer 7.000 exemplaren van deze dubbele URL-fetch, terwijl het aantal van de server op de tweede positie veel lager was: namelijk 156 gevallen.

Laten we de acties van het 119.147.146.xxx-systeem eens onder de loep nemen. In welke landen zijn de oorspronkelijke clients gevestigd? (Aangezien het systeem in China staat, neem ik het aantal clients mee die zich ook in China bevinden in deze lijst.)

hstonprism04

Het levert een indrukwekkende lijst op van originele clients waarvan de URL fetch werd gedupliceerd door dit systeem. De lijst omvat 110 verschillende landen, met een hoog aantal in Japan en Taiwan. Ik zou wel wat verbaasd zijn als ik zou moeten uitvinden dat het systeem dat het IP-adres 119.147.146.xxx gebruikt, een conventionele web proxy-systeem is. Maar het is tegelijkertijd moeilijk te geloven dat dit deel uit maakt van een geheime operatie om gegevens te verzamelen. Het gebruik van een consistent IP-adres om deze fetch uit te voeren, wijst op een slechte poging om zijn functie te verbergen of er was geen poging om zijn bestaan ​​te verberge. En deze openlijke aanwezigheid ondersteunt een meer goedaardige uitleg van zijn rol. Misschien maakt dit systeem gebruik van een zeer verspreide set van web proxies om zijn URL’s te verkrijgen, die vervolgens worden onderzocht als onderdeel van een functie om een zoekopdracht op internet of web-filterproduct van unieke URL’s te voorzien. Toch is het een uitdaging om te begrijpen hoe deze opstelling in staat is om URL’s van over de hele internet te trekken. Andere mogelijke verklaringen, zoals een bot-systeem of een andere vorm van afgedwongen dataverzameling zijn voor te stellen, maar bij het ontbreken van een serieuze pointers naar schadelijke activiteiten, is een relatief goedaardige uitleg het meest waarschijnlijk.

Met betrekking tot de omvang van de hele internet; de analyse van ongeveer 30 miljoen web fetches over een periode van 49 dagen is een microscopisch deel van de activiteit van het internet. Echter, de mogelijkheid om afwijkend gedrag binnen deze microkosmos van webactiviteiten te detecteren is wellicht illustratief voor wat we kunnen verwachten op het hele internet. Hoewel deze kleine dataset geen duidelijk bewijs bevat van consistente digitale stalking of cyber-spionage van enige vorm, is het een illustratie van een uiterst belangrijke stelregel voor het Internet – niets op het internet is volledig privé. Zelfs wanneer encryptie (tot op zekere hoogte) enige privacy-bescherming biedt voor inhoud van gesprekken en transacties op het internet, moet jealtijd in gedachten houden dat de sites die je bezoekt, deel uitmaken van een gemakkelijk toegankelijke pool van gegevens die niet privé zijn. En het zal geen verrassing zijn om te horen dat er systematische inspanningen op het internet worden gedaan, om deze gegevens over uw online gedrag te verzamelen, te interpreteren en te gebruiken op verschillende manieren.

Dus het is zeer waarschijnlijk dat van tijd tot tijd, of zelfs vaker dan dat, iemand op het internet inderdaad met je meekijkt.


Geoff Hutson is Chief Scientist bij APNIC.

Dit artikel verscheen op 21 juni op het blog van APNIC en is met toestemming op ISP Today overgenomen. Het is vertaald vanuit het Engels. De titel hebben we niet vertaald, aangezien deze te specifiek een Engelse uitdrukking is. “Here’s looking at you, kid” is een citaat afkomstig uit de film Casablanca en opgenomen in de top 100 van filmcitaten van het American Film Institute. Een vertaling is het Nederlands zou kunnen luiden: ‘Op je gezondheid’ (maar dat dekt niet helemaal de lading vinden wij).

In the classic film Casablanca, Rick’s toast to Ilsa, “Here’s looking at you, kid”, used several times, is not in the draft screenplays, but has been attributed to something Humphrey Bogart said to Ingrid Bergman as he taught her poker between takes. It was voted the 5th most memorable line in cinema in AFI’s 100 Years…100 Movie Quotes by the American Film Institute.

Six lines from Casablanca appeared in the AFI list, the most of any film. The other five are:
”Louis, I think this is the beginning of a beautiful friendship.”
”Play it, Sam. Play ‘As Time Goes By’.”
”Round up the usual suspects.”
”We’ll always have Paris.”
”Of all the gin joints in all the towns in all the world, she walks into mine.”

Wikipedia: http://en.wikipedia.org/wiki/Casablanca_(film)

Over Geoff Huston

Laatste artikelen