Juridische vraag: mag Kliksafe HTTPS verkeer eigenlijk wel decrypten?
Heb jij een uitdagende vraag over beveiliging, recht en privacy, stel hem aan ICT-jurist Arnoud Engelfriet. Arnoud geeft elke week in een artikel antwoord op een interessante vraag. Vanwege het grote aantal inzendingen kunnen niet alle vragen beantwoord worden.
Vraag: Internetprovider Kliksafe heeft tegenwoordig een speciaal filter voor HTTPS, waarin ze het verkeer decrypten. In hoeverre is dat toegestaan?
Antwoord: Kliksafe is een aanbieder van gefilterd internet. Wie deze dienst afneemt, kan voorkomen dat er ongewenste websites en diensten opgeroepen kunnen worden. De dienst kent een blacklist, whitelist en contentfilter – dat alle opgevraagde informatie scant die niet van een whitelisted site afkomstig is. (Geblackliste sites kun je natuurlijk niets van opvragen.)
Een handige internetter kan natuurlijk een encrypted verbinding opzetten en zo een dergelijk filter omzeilen. Er valt weinig te contentfilteren als je de content niet kunt lezen. Vandaar dat Kliksafe een https-filter heeft ontwikkeld. Dit filter werkt als een man-in-the-middle: de browser denkt dat hij met de bank of Youtube verbinding maakt, maar in feite gebeurt dat met het filter. Hierbij wordt een sleutel gebruikt die het filter kent, zodat het filter het verkeer kan openmaken. Vervolgens zet het filter een verbinding met bank of Youtube op, waarbij het zich voordoet als de browser. De site heeft dus geen idee dat er iemand tussen zit. Overigens staan banksites op de witte lijst, dus hun verkeer blijft versleuteld.
Het openbreken van dergelijk verkeer is al langer bekend. Bedrijven gebruiken dit nog wel eens om uitgaand werknemersverkeer te kunnen inspecteren op strijd met het bedrijfsbeleid. Of dat mag vraag ik me zeer af. Echter, omdat het decrypten hier gebeurt op speciaal verzoek van de klant zelf, lijkt me er weinig mis mee. Net zoals een slotenmaker best op mijn verzoek mijn voordeur mag openbreken.
Iets dubieuzer wordt het als het gaat om een verzoek van de klant maar niet om zijn eigen verkeer. De internetverbinding kan binnenshuis worden gedeeld, en zo zouden ouders het encrypted internetverkeer van hun kinderen kunnen lezen. Dat voelt ergens toch een tikje gek, net als een slotenmaker inhuren om de afgesloten kast in de kinderkamer open te maken (of een securitybedrijf om een verborgen camera in die kamer op te hangen). Maar dat lijkt me toch vooral een keuze van die klant, en niet iets waar je Kliksafe op kunt aankijken.
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Iets anders wordt het als we het hebben over, bijvoorbeeld, een complementaire netwerkverbinding in een hotel of conferentiecentrum, of de draadloos in het cafe om de hoek. Of zelfs een gedeelde internetverbinding in een studentenhuis. In principe geldt* vanouds "mijn netwerk, mijn regels", maar evengoed was het traditioneel heel erg not done om in andermans verkeer te graan wroeten, en zijn dit soort geintjes right out.
Vergelijk het met het recht van overpad**, waar je elkaar laat begaan zonder misbruik te maken van de situatie. De landeigenaar gaat het niet leuk vinden als je in plaats van zoals gewoonljk je hond uitlaten ineens met een tank aan komt zetten, en jij zal raar staan te kijken als hij naaktscanpoortjes opricht en latexhandschoenen klaarzet.
Dus zolang jij voor jezelf kiest "ik neem bij deze tent deze internet-met-filterdienst af", niets aan de hand. Je kan er ook voor kiezen je internetverbinding elders ongefilterd te verkrijgen. Leg jij jouw keuze op aan anderen zonder hun goedvinden dan moet je daar een goede reden voor hebben; simpelweg in de positie zijn dat je die keuze anderen op kan leggen is niet genoeg. Kliksafe zelf dwingt niemand om die dienst bij hen af te nemen*** en als zodanig valt ze weinig te verwijten.
* Binnen de netwerkgemeenschap, ongeacht wat de wetgever daar nou van vindt.
** Wat overigens geen standaardrecht is en alleen maar geldt als dat dus ook op het betreffende land rust. Binnen de netwerkgemeenschap is elkaar "transit" bieden gemeengoed wegens de verregaande cooperatieve structuur die eigenlijk altijd aanwezig is geweest ondanks zekere partijen die dat heel toevallig wel eens even vergeten.
*** Expliciet danwel impliciet omdat ze de enige beschikbare ISP zijn bijvoorbeeld.
Paul
Ik vermoed iets in de richting van een proxy via de DNS. DNS server wijst alle verzoeken naar de decryption server (proxy), speciale software leest daar de packets uit en als de header daarvan een verzoek bevat een website die op de whitelist staat haalt deze server voor jou de content op en geeft die via dezelfde weg terug. Als het op de blacklist staat, wordt het verzoek geblokkeerd.
Maar los daarvan, is dit niet in strijd met de netneutraliteit? Hoewel deze momenteel op losse schroeven staat...
Soms met node gemist, extra leuk als het hier komt bovendrijven : verbeeldingskracht èn humor.
Standbeeldje, bij deze.
"In geval het een site van een bank betreft, doet het filter verder niets (het dataverkeer wordt direct doorgestuurd). In geval het geen bank is, maar bijvoorbeeld Google of Twitter, zal het filter de informatie "decrypten" (vertalen naar leesbare informatie), de inhoud beoordelen t.o.v. de door de klant ingestelde filterwensen, en alsnog actie ondernemen (blokkeren of doorsturen)."
http://helpdesk.kliksafe.nl/questions/611/Basis+informatie+over+Kliksafe+HTTPS-filtering
Je kunt overigens als gebruiker heel eenvoudig zien of Kliksafe ertussen zit door het certificaat te bekijken. Die zal in het geval kliksafe ertussen zit namelijk niet zijn uitgegeven door het bedrijf dat jij probeert te bezoeken, maar door kliksafe.
Maar als ze https proberen te onderscheppen zie je dat toch gewoon? (Als je browser goed met de certificaten omgaat)
Als ik bijvoorbeeld naar https://kliksafe.nl krijg ik een error in iceweasel.
Verder een ISP die zulke certificaten heeft... https://www.ssllabs.com/ssltest/analyze.html?d=kliksafe.nl
Dan vertrouw je zo'n ISP ook niet.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.