Het Net op met een masker voor
Herbert Blankesteijn, NRC Handelsblad 25-3-'99
Door recente ontwikkelingen maakt de burger op Internet kans op een minimum aan privacy. Daar moet hij wel wat voor doen.
Bedrijven op Internet hebben volop manieren om informatie te verzamelen over de bezoekers van hun sites. De protocollen tussen computers op Internet maken achterhaalbaar bij welke Internetaanbieder iemand zit. Browsers (de software waarmee het World Wide Web wordt bekeken) laten allerlei technische gegevens los. Talrijke sites laten een Internetgebruiker pas toe wanneer hij in ieder geval een e-mailadres heeft ingetikt.
Er zijn waarmerken voor sites die netjes met persoonlijke gegevens omgaan. Een daarvan is TRUSTe (Trusted Universal Standards in Electronic Transactions). TRUSTe is ontstaan vanuit de Electronic Frontier Foundation, een soort digitale burgerbeweging in de VS, en heeft een flinke omvang bereikt. Een kleine 500 bedrijven, waaronder toonaangevende als CNet, Hotbot, IBM, Microsoft, Netscape, Wired, Yahoo! en ZDNet, doen er aan mee. Een deelnemend bedrijf moet een privacybeleid hebben dat aan minimale eisen voldoet, en moet dit beleid op zijn site uit de doeken doen. Een bezoeker moet daaruit kunnen opmaken welke informatie over hem wordt verzameld, wat daarmee wordt gedaan en aan wie de gegevens eventueel kunnen worden doorgegeven; hij moet daar invloed op hebben en fouten kunnen corrigeren. Ook moet de informatie zijn beveiligd tegen gebruik door onbevoegden.
Aangesloten bedrijven betalen abonnementsgeld, kunnen worden gecontroleerd, en mogen het logo van TRUSTe voeren. [Dat moet dan 'klikbaar' zijn waarna de gebruiker een tekst over het privacybeleid op zijn scherm krijgt. Een andere versie van het logo brengt de klant op de site van TRUSTe zelf, waar hij in de lijst deelnemende instellingen kan controleren of het bedrijf dat hij zojuist bezocht daar inderdaad bij is.] Van de hierboven genoemde deelnemers gebruikt alleen CNet het logo en noemt alleen ZDNet TRUSTe met name. De overige beperken zich tot een verwijzing naar hun beleid.
[Een recent alternatief plan heet WebTrust en werkt op een vergelijkbare manier. Het voornaamste verschil is dat bedrijven ook moeten voldoen aan eisen op het gebied van electronische transacties: bestellingen moeten tijdig worden geleverd en er moet het nodige gedaan zijn aan het voorkómen van fouten. WebTrust gaat uit van Amerikaanse en Canadese accountantsorganisaties.]
Zulke vormen van zelfregulering werken alleen als consumenten het waarmerk zo vertrouwenwekkend en belangrijk vinden, dat ze geen zaken doen met sites waar het ontbreekt en juist wel met sites die het hebben. Het waarmerk moet dus bekend zijn - jammer dat veel grote sites het logo van TRUSTe niet gebruiken. De bedrijven die meedoen moeten geloofwaardig zijn. Pijnlijk dat Microsoft onlangs moest toegeven dat er in Windows een identificatienummer zit. Verder moet zo'n waarmerk regelen wat de Internetgebruiker geregeld wil zien. En zelfs dat is de vraag. Niet voor niets wordt op Internet geëxperimenteerd met verschillende methodes die computergebruikers werkelijk hun anonimiteit teruggeven.
Bijvoorbeeld Freedom. Dat is een computerprogramma dat anoniem surfen mogelijk maakt. Het zorgt ervoor dat het opvragen van een webpagina niet rechtstreeks gebeurt, maar via minstens drie andere computers, en dan nog in gecodeerde vorm. De computers die onderweg worden aangedaan weten elk uitsluitend het vorige en het volgende adres waar het verzoek langs gaat. De site die de pagina levert heeft dus geen idee wie de aanvrager is. Freedom wordt gemaakt door een Canadees bedrijf, Zero Knowledge Systems. Omdat in de VS voor codeertechnieken exportbeperkingen gelden heeft ZKS cruciale bestanden op computers in het buitenland gestald. Mocht Canada het beleid van de VS volgen dan kan ZKS toch gewoon zaken blijven doen met andere landen. Freedom moet over een paar maanden als proefversie verschijnen.
'Crowds' bereikt hetzelfde doel, anoniem surfen, op een andere manier. Wie zich aansluit bij Crowds wordt deel van een groep Internetgebruikers. Wanneer iemand uit deze groep een pagina opvraagt van een site, loopt zijn verzoek via de computers van een willekeurig aantal andere leden van de groep. Wanneer het verzoek de site bereikt, lijkt het te komen van een van de andere leden van de groep. Dat is plezierig voor de werkelijke afzender, maar misschien minder leuk voor degene die de afzender lijkt te zijn, bijvoorbeeld als het een compromitterende site betreft. Naarmate grotere aantallen mensen van Crowds gebruik maken zullen sites weten dat bezoekers niet zijn wie ze lijken, en voorzichtiger worden in het gebruik van hun gegevens.
Crowds is bedacht door onderzoekers bij AT&T en is ook nog experimenteel. Voor het installeren heb je enige computerkennis nodig (gebruikersvriendelijke versies worden verwacht) en het is noodzakelijk dat je computer permanent met Internet in verbinding staat - anders kan hij geen verzoeken van andere groepsleden doorsluizen. Modemgebruikers zijn dus uitgesloten.
Op de website www.anonymizer.com kun je een Internetadres intikken en de computer van Anonymizer geeft die pagina dan door, zonder dat de betreffende site weet zie de werkelijke aanvrager is. Anonymizer doet dit gratis, of betaald - in het laatste geval is de dienst sneller. Als betalend abonné moet je je gegevens prijsgeven, maar alléén aan Anonymizer - en deze site doet mee aan TRUSTe.
Een laatste voorbeeld is LPWA, de Lucent Personalized Web Assistant. Deze truc vereist alleen het instellen van een proxy in het browserprogramma van de surfer. Een proxy is een computer, vaak bij een Internetprovider, die veelgevraagde Internetpagina's opslaat. Als er een proxy is ingesteld, gaat de browser altijd eerst kijken of de gezochte pagina daar te vinden is. De proxy van LPWA heeft een andere functie, te vergelijken met wat Anonymizer doet: het opvragen van pagina's namens de echte afzender. Bovendien fopt LPWA sites die een naam, wachtwoord, of e-mailadres verlangen: zulke gegevens worden automatisch gegenereerd, en eventuele e-mail wordt desgewenst doorgestuurd. LPWA slaat gegevens van haar gebruikers niet op, maar berekent ze elke keer op grond van de inlognaam en het wachtwoord dat de gebruiker moet kiezen. De proxy hoeft zelf dus niet te weten wie er 'aan de lijn' is. LPWA is door Lucent gepatenteerd en is gedurende een demonstratieperiode gratis te gebruiken.
Er zijn dus mogelijkheden om anoniem het Internet over te gaan. Nadelen hebben ze wel. Allemaal vertragen ze de gang van zaken enigszins, omdat de data over meer schijven gaan dan zonder beschermende maatregelen. Ook moet de gebruiker er moeite voor doen, bijvoorbeeld software installeren of speciale instellingen kiezen. Andere beperkingen hangen af van de gebruikte techniek. Maar overgeleverd aan Big Brother ben je op Internet ook weer niet.
Sites:
TRUSTe: http://www.truste.org
WebTrust: http://www.cpawebtrust.org
Freedom: http://www.zks.net
Crowds: http://www.research.att.com/projects/crowds/index.html
Anonymizer: http://www.anonymizer.com/3.0/index.shtml
LPWA: http://lpwa.com:8000/
Op verschillende plaatsen op Internet kunt u zien wat een ander over u te weten kan komen. Het is prettig dat dit tegenvalt.
Zo probeert de site www.anonymizer.com (zie artikel hiernaast) indruk te maken met: 'You don't have to tell us, we already know all about YOU.' Een klik op 'You' start een programma (een zogeheten script) dat de informatie uit de browser van de betreffende gebruiker retour afzender stuurt. Die ziet dan bijvoorbeeld het volgende:
Your connection provider is located in Netherlands. Your Internet browser is Microsoft Internet Explorer. Your computer has a screen that is and is powered by a CPU. You are coming from dynaisdn-90.knoware.nl. You just visited the Anonymizer Home Page.
Informatie over het versienummer van de browser ontbreekt, evenals die over het beeldscherm en de processor (CPU). Het script vermeldt fier dat hiervóór de voorpagina van Anonymizer zelf is bezocht, maar voeren we het script uit na een bezoek aan de website van NRC Handelsblad dan ontbreekt ook dit gegeven. Opvallend, want het bestaansrecht van Anonymizer is gelegen in het weglekken van dit soort informatie en de demonstratie is niet bepaald overtuigend.
Een artikel op http://www.hotwired.com/webmonkey/geektalk/96/41/index3a.html?tw=javascript legt uit dat Microsoft zijn browsers vermomt als Netscape, om doortrapte webdesigners voor te zijn, die Microsoft-gebruikers plagen door ze saaie pagina's voor te schotelen. Maar de auteur kan daarvoor kennelijk niet corrigeren: het script dat in het artikel is opgenomen en dat ook bedoeld is om te overdonderen, ziet de browser van de NRC-verslaggever tot twee keer toe aan voor Netscape 4.03 op een Macintosh, en dat is driedubbel fout. Dat elders in het stuk wel de juiste browser wordt geïdentificeerd maakt de zaak alleen maar erger. Dus geruststellender.
Het materiaal dat hier verkrijgbaar is mag worden gedownload, gelezen en zelfs gekopieerd, maar alleen voor eigen gebruik. Vermenigvuldigen met winstoogmerk is niet toegestaan. Alles is copyright Herbert Blankesteijn, tenzij anders vermeld.