4 Wat is gegevensonttrekking?
4.2 Hoe worden gegevens onttrokken?
Het vorige hoofdstuk beschrijft wat een smartphone is en welke functies deze heeft. Deze functies zijn inmiddels ontelbaar en voor elke vraag vanuit de consument wordt binnen zeer korte tijd wel een applicatie ontwikkeld, waarbij veiligheid vaak onderschikt is aan functie en ontwikkelingssnelheid. Maar met de komst van al deze functies is ook de informatiewaarde toegenomen omdat apps gebruikers uitnodigen om steeds meer persoonlijke informatie prijs te geven. Hieronder beschrijf ik de vier belangrijkste methodes om informatie te onttrekken.
4.2.1 Gegevens als verdienmodel
We zijn ons tegenwoordig bewust van het afluisteren van mobiel communicatieverkeer dat rechtstreeks bij de providers van mobiele verbindingen plaatsvindt, onder andere door inlichtingendiensten zoals AIVD in Nederland en de National Security Agency (NSA) in de Verenigde Staten. Ook is in dezelfde context gebleken dat onttrekking van informatie rechtstreeks plaats heeft gevonden bij de digitale dienstverleners. Denk hierbij aan het zich toegang verschaffen tot de servers van Google en Facebook door de bovengenoemde partijen.
Het bovenstaande geeft sterk aan dat beveiliging van communicatieverkeer niet altijd een garant staat voor het veiligstellen van data. Goede beveiliging van communicatie bestaat uit meerdere gevarieerde lagen en is niet sterker dan de zwakste schakel in de keten. Deze schakel kan technologisch van aard zijn maar net zo goed menselijk. Er hoeft maar een partij in de keten kwade bedoelingen te hebben en je kan nog zo'n uitvoerige beveiliging of encryptie toepassen maar deze zal in de praktijk niets waard blijken.
Men gebruikt bij het uitvoeren van de meest gebruikte applicaties (zowel van de fabrikant zelf als van derde partijen, zie hoofdstuk 5 op pagina 40) een verscheidenheid aan online diensten en opslag. Toch zijn gebruikers zich niet altijd bewust van het feit dat de aanbieders van deze diensten een schat aan informatie over hen opslaan.
Een voorbeeld hiervan is Facebook. Men denkt vaak dat de informatiewaarde van een Facebook account ophoudt bij de informatie die men zelf toevoegt. Dat geeft een zeker gevoel van controle. Toch blijkt dat in de praktijk vaak schijn want metadata geeft deze informatie extra waarde. Het combineren van klikgedrag, locaties en voorkeuren met het sociale netwerk creëert voor een bedrijf als Facebook (maar ook andere sociale media aanbieders) de grootste informatiewaarde.
Het verdienmodel van een dergelijk bedrijf ligt namelijk in het doorverkopen van de persoonlijke informatie (vaak wel geanonimiseerd) aan advertentieaanbieders om gericht advertenties te tonen. De komst van het internet en de hoeveelheid informatie dat daarop te verzamelen is, heeft daarom een verschuiving teweeg gebracht in de advertentiemarkt. Waar adverteerders vroeger heel breed informatie aan moesten bieden, worden
advertenties nu (mede dankzij informatie die wij zelf publiceren of onbewust toegankelijk maken) veel gerichter aan ons aangeboden.
Zonder het te weten werken gebruikers dit soort verdienmodellen in de hand, alleen al door actief gebruik te maken van online diensten. Je zou je eens af moeten vragen hoe de grootste technologiebedrijven die wij nu kennen, zonder geld te vragen voor hun
diensten, uitgegroeid zijn tot beursgenoteerde miljardenbedrijven, waarin soms wel meer geld omgaat dan in de economieën van kleine landen (Business Insider, 2011). In de volgende afbeelding kun je ook zien hoe deze bedrijven qua omzet groeien, geteld vanaf hun oprichting.
Afbeelding 7: Omzet en groei van deze omzet bij Yahoo, Facebook en Google sinds hun oprichting (Business Insider, 2010).
Niet alleen kunnen de bedrijven die informatie verzamelen die informatie gebruiken voor hun eigen doeleinden, maar door onzorgvuldig handelen kunnen zij er ook voor zorgen dat deze informatie in handen valt van kwaadwillenden.
4.2.2 Onderschepping van communicatie
Zoals bij de beschrijving van de verschillende functies van de smartphone te lezen was, zijn er een aantal ingangen tot een apparaat. De meest besproken ingang op dit moment, mede door de in het nieuws terugkerende items over het afluisteren van mobiele telefonie door onder andere de NSA, is mobiele connectiviteit. Onder mobiele
connectiviteit wordt traditioneel verstaan het verbinden met het GSM-netwerk voor het uitvoeren van telefoongesprekken en/of het versturen en ontvangen van SMS berichten.
Maar tegenwoordig is de term GSM netwerk eigenlijk alweer achterhaald. Inmiddels spreekt men van een 3G- en in sommige gevallen van een 4G-netwerk. Het grote verschil tussen deze netwerken en het traditionele GSM netwerk is dat deze nieuwere netwerken digitaal zijn in plaats van analoog. Een bijkomend verschijnsel van deze snellere en geavanceerdere digitale verbindingstechnieken is dat we (sinds 3G) veel meer data over deze connecties zijn gaan versturen.
Deze verbindingen zouden in principe versleuteld moeten zijn, en zijn dat vaak ook, maar zoals bij alle beveiligingen in de digitale omgeving is de versleuteling alleen zo sterk als de zwakste schakel in het proces. Wanneer er bijvoorbeeld bij het verzenden of ontvangen iets misgaat dan vervalt het hele nut van de tussentijdse versleuteling.
Maar niet alleen de beveiliging loopt risico ondermijnd te worden. Gebruikers kunnen ook misleid worden. Phishing bijvoorbeeld is een techniek voor het ontfutselen van de privégegevens van computer- en telefoongebruikers door zich voor te doen als de website of server van een vertrouwde aanbieder van een dienst, zoals Google of een bank, en daarmee te gebruiker te ontlokken de privégegevens vrijwillig te overhandigen aan een kwaadwillende partij. In de afbeelding hieronder is een voorbeeld te zien van een dergelijke website.
Afbeelding 8: Een voorbeeld van een phishing website die de website van de ING nabootst (ING, z.j.).
Het uiteindelijke doel van deze techniek is het bemachtigen van privégegevens zodat een crimineel zich vervolgens kan voordoen als de eigenaar ervan en zich zo toegang kan verschaffen tot bijvoorbeeld verdere privégegevens, bankrekeningen of andere gevoelige informatie. Het doel van phishing is dus over het algemeen het plegen van
identiteitsfraude.
In 2014 beschreef het CBS de grootte van het probleem van identiteitsfraude in
Nederland. Volgens hun onderzoek werd in het gehele jaar in 2013 werd meer dan 1,2% van de Nederlandse bevolking het slachtoffer van identiteitsfraude. Hoewel dit niet veel lijkt, gaat het toch om 200.000 mensen en vaak grote financiële gevolgen.
Wel merkt het CBS op dat er een daling heeft plaatsgevonden sinds 2013 welke zij toeschrijven aan een grote afname van het aantal skimming (het kopiëren van een bankpas bij een pinautomaat) gevallen, mede door maatregelen die door banken en overheden zijn genomen om dit terug te dringen. Uit mijn eigen onderzoek worden deze cijfers bevestigd, al komen verschillende vormen van digitale criminaliteit daar iets meer voor.
Afbeelding 9: Slachtoffers digitale criminaliteit onder respondenten uit mijn eigen onderzoek.
4.2.3 Toegang tot het apparaat
Dit is een thema dat in de context van dit onderzoek steeds terug zal keren. Naast het onttrekken van de informatie uit de (vaak draadloze) communicatie en op de locatie van de ontvanger (in dit geval de aanbieder van een dienst zoals Google of Facebook) kan data ook van het apparaat van de zender (in dit geval de eigenaar van de data) onttrokken worden.
Hierbij kan gedacht worden aan verlies of diefstal van het toestel waarbij degene die de data wil onttrekken het apparaat fysiek in zijn bezit krijgt en zodoende zich toegang kan verschaffen tot de aanwezige data. Dit is misschien een minder in het nieuws
voorkomende manier van onttrekking maar desondanks niet minder relevant. Bij een woninginbraak of diefstal in de werkomgeving heeft een dief meteen toegang tot de
veelvoud van data die de meeste mensen achteloos met zich meedragen. Zodoende kan meteen de gehele inventaris aan informatie buit worden gemaakt.
Ter illustratie, wanneer bijvoorbeeld iemand alleen je bankgegevens zou willen
bemachtigen zou deze persoon bij een inbraak alleen de bankadministratie uit een kast kunnen halen, tezamen met een pinpas of creditcard. Hierbij zouden gegevens over werk, vrienden en familie ontbreken tenzij deze ook zijn actief zijn meegenomen. Wanneer iemand daarentegen toegang krijgt tot je smartphone, kan hij in een keer allerlei andere informatie buit maken die veel meer waarde biedt dan een van de onderdelen alleen.
In de onderstaande afbeelding kun je ook de resultaten bekijken uit mijn eigen onderzoek naar het verlies of de diefstal van de smartphones van de doelgroep. Zoals je kunt zien, komt deze vorm niet vaak voor. Wel is het belangrijk hier goed op voorbereid te zijn.
Afbeelding 10: Verlies of diefstal van de smartphone onder respondenten uit mijn eigen onderzoek.
4.2.4 Onttrekking via applicaties
Tot slot, naast onttrekking uit draadloze communicatie, de servers van online diensten en de smartphones zelf, bestaat er vorm van onttrekking via applicaties.
In 2010 was de applicatiemarkt nog zeker niet zo groot als nu maar toch was er al sprake van stiekeme informatieonttrekking. Een voorbeeld hiervan is een op het eerste gezicht onschuldige applicatie voor Android, Jackeey Wallpaper. Die bleek persoonlijke informatie van het toestel waarop het geïnstalleerd was terug te sturen naar servers in China
(Gizmodo, 2010). Uiteindelijk bleek het hierbij te gaan om de zoekgeschiedenis, SMS- berichten, SIM-kaart informatie en voicemailwachtwoorden van telefooneigenaren. Dit is allemaal informatie die in theorie van waarde kan zijn bij bijvoorbeeld fraude en
identiteitsdiefstal. Uiteindelijk gaf de maker van de applicatie in een verklaring aan dat de informatie niet doorgestuurd zou zijn, maar toch bleken de gegevens van tussen de 1,1 en 4,6 miljoen personen op een Chinese website te staan.
Dit is maar een enkel voorbeeld van het soort onfutselingen die veel vaker plaatsvinden. Met de miljoenen apps in de verschillende applicatiewinkels is het een risico dat altijd op
de loer ligt. Regelmatig worden er in verschillende smartphoneapplicaties geheime functies, oftewel backdoors, en andere vormen van ongewenste informatieonttrekking ontdekt.
Beveiligingsbedrijf Sophos ontdekte bijvoorbeeld in 2011 al, toen men nog lang niet zo ver in de ontwikkeling was op het gebied van applicaties voor smartphones en andere mobiele apparaten, dat ongeveer 50 verschillende applicaties geïnfecteerd waren met hetzelfde Droid Dream malware (Sophos, 2011). Duidelijk is dat op grote schaal dit soort applicaties worden verspreid waarvan de eigenlijke bedoelingen kwaadaardig zijn.
Om de ontwikkeling op dit gebied aan te geven, PCWorld schreef dat in 2011 meer dan 11.000 applicaties die te downloaden waren uit de Google Play Store op de een of andere manier geïnfecteerd waren. Drie jaar later waren dat er al 42.000 (PCWorld, 2014). Het is een kwestie van aantallen: hoe meer applicaties in een bepaalde applicatiewinkel beschikbaar zijn, hoe meer risicovolle applicaties er tussenzitten.