'Hostnamen voor computers zijn schadelijk voor privacy'

Volgens een request for comments, oftewel rfc, van de Internet Engineering Task Force is het huidige gebruik van hostnamen voor computers schadelijk voor privacy. Er zijn een aantal aanbevelingen om dit te veranderen.

Het document van de IETF is geen specificatie van een nieuwe standaard; het gaat om een zogenaamde informational rfc, die de zienswijze van de organisatie weergeeft. Zo schrijven de auteurs dat in huidige consumentennetwerken het uitdelen van hostnamen voornamelijk door de gebruikers zelf wordt uitgevoerd. Daarbij kan bijvoorbeeld het besturingssysteem een naam voorstellen, die de naam van een gebruiker of een login bevat. Ook in zakelijke netwerken komt dit voor, aldus de auteurs.

Zij noemen een ander voorbeeld, waarbij een aanvaller kan zien dat er via een wifiverbinding een vpn-connectie naar Microsoft wordt gelegd vanaf een apparaat met een achternaam in de aanduiding. Daardoor wordt het een stuk eenvoudiger om die persoon te identificeren. Het document noemt een aantal protocollen die namen prijsgeven, waaronder dhcp en dns.

De auteurs stellen verschillende manieren voor om het probleem op te lossen. Zo zou mensen geadviseerd kunnen worden geen gebruik te maken van de protocollen die namen verraden op 'onveilige' plekken. Een probleem met deze aanpak is dat uitschakelen niet altijd mogelijk is en dat vaak niet duidelijk is wanneer er sprake is van een verhoogd risico. Een andere mogelijkheid is het wijzigen van de verschillende protocollen zelf. Ook deze oplossing achten de auteurs voor onpraktisch, omdat sommige protocollen gesloten zijn.

De meest werkbare optie lijkt ten slotte het wijzigen van de manier waarop platformen met hostnamen omgaan. Zo wijzen de auteurs op de mogelijkheid om willekeurige hostnamen te genereren, zoals dat tegenwoordig in sommige gevallen ook met mac-adressen gebeurt. Zij bevelen aan om ook het ip- en mac-adres van hosts te wijzigen bij een gewijzigde naam. Ook bij deze aanpak zouden er problemen kunnen ontstaan, bijvoorbeeld bij het identificeren van de eigenaars van gedeelde netwerkmappen. Daarom adviseren de auteurs dan ook om meer onderzoek naar het willekeurig genereren van hostnamen te doen.

IT-banen

Reacties (122)

MneoreJ 14 maart 2017 08:04

De auteurs hebben het in de RFC vooral over situaties waarbij je in een untrusted netwerk zit waarin aanvallers je hostname af kunnen lezen en die info dan weer in combinatie met ander verkeer gebruiken om je te identificeren zonder dat dat je bedoeling is. Dat is maar een klein kanttekeningetje bij het feit dat het gebruik van zulke netwerken zelf al een probleem is. Je moet dan uiteindelijk ook dingen als je MAC adres gaan randomizen als je echt niet identificeerbaar wil zijn.

Dan nog moet je bezorgd zijn over het blote feit dat je identificeerbaar bent; je communicatie zelf versleutelen staat daar los van. Terecht hebben de auteurs het uiteindelijk over support inbouwen in besturingssystemen voor dit soort randomization als je gaat roamen over untrusted networks; dit is niet iets waar je als gebruiker mee bezig wil zijn. Het maakt mij niet uit welke naam mijn apparaat heeft op een publieke wifi; als het OS bij zulke netwerken mijn host/MAC wil randomizen zou dat prima zijn (wel uit te vinken natuurlijk).

Verwijderd @MneoreJ • 14 maart 2017 08:15

Je moet dan uiteindelijk ook dingen als je MAC adres gaan randomizen als je echt niet identificeerbaar wil zijn.

Dat gebeurt al, in principe.

kozue @Verwijderd • 14 maart 2017 08:50

Noem dan eens 1 apparaat dat dat doet? Volgens mij wordt mac randomisation alleen gebruikt bij het scannen naar netwerken. En in ssid probes zit geen hostname, die zien ze pas als je verbindt en een dhcp request doet. In dhcp is de hostname overigens gewoon uit te zetten, het protocol is er niet van afhankelijk. Op de linux client kun je het sturen van hostnames in de config uitzetten. Niet dat je daar veel aan hebt wanneer je ddns (aka bonjour) of smb (windows filesharing) aan hebt staan want die sturen je hostname gewoon op request via broadcast. Beter om gewoon helemaal niet met onbekende wifi te verbinden.

Verwijderd @kozue • 14 maart 2017 09:06

Noem dan eens 1 apparaat dat dat doet?

Diverse Android-telefoons doen dit. Overigens blijkt dit ook niet de oplossing te zijn.

monojack @kozue • 14 maart 2017 09:58

De iPhone. Zit al in iOS sinds versie 8.

geekeep @monojack • 14 maart 2017 10:18

Wel jammer dat Apple er dan toch voor kiest om apparaatnamen standaard 'iPhone/MacBook/Wifi van Voornaam Achternaam' te gebruiken. Naar mijn mening nog erger dan het niet randomizen van MAC-adressen.

erikmeuk3 @monojack • 14 maart 2017 12:36

Had dat laatst in de log van mijn gast wifi staan. 'iPhonevanMiep'
Bij android staat er meestal een wazige ID

kozue @monojack • 14 maart 2017 19:49

De iPhone in ieder geval niet: http://m.imore.com/closer-look-ios-8s-mac-randomization
Dat gaat alleen om het passief scannen, en dan blijkbaar nog heel beperkt ook. En met iOS 10 hebben ze het nog verder kapot gemaakt door een of ander ID in hun frames te verwerken.

SED @kozue • 14 maart 2017 12:00

Windows phone heeft al heel lang het random hardware adress bij Wifi connecties bijv. ( en daarnaast nog meer wifi beschermingsmaatregelen zoals geen SSID lijst rondsturen zoals android en ios wel doen bij een connectie.

Dykam @SED • 14 maart 2017 13:45

Windows 10 in het geheel heeft het, als je hardware het ondersteund.

nullbyte @kozue • 14 maart 2017 13:43

Beter om gewoon helemaal niet met onbekende wifi te verbinden.

Welnee joh, gewoon via een VPN naar huis en vandaar weer verder. Geen probleem.

kozue @nullbyte • 14 maart 2017 19:56

Dat helpt tegen hackers die je gegevens proberen af te luisteren maar niet tegen de basis netwerkprotocollen waar het hier om gaat. Ook met een VPN geef je aan het lokale netwerk je hostname vrij via dhcp, smb, dns, bonjour, etc, aangezien de VPN alleen kan werken zolang je nog een niet-VPN route naar de server hebt.

nullbyte @kozue • 15 maart 2017 09:32

Dat is uiteraard zo, stom dat ik daar niet meteen aan gedacht heb.

Verwijderd @kozue • 14 maart 2017 09:31

Beter om gewoon helemaal niet met onbekende wifi te verbinden.

Welnee, dan sta je binnen no-time bekend als dat aluhoedje. Dat is ook niet goed voor je privacy.

kozue @Verwijderd • 14 maart 2017 19:53

Dat sta ik toch al. Er zijn genoeg "domme gebruikers" die totaal niet snappen waarom ik geen facebook- en google-spul gebruik. Als iets om politiek gaf ging ik de "aluhoedjespartij" oprichten.

batjes @kozue • 14 maart 2017 17:42

Windows doet zelfs wel eens MAC adressen randomizen in een trusted network. Toevallig een week of 2 geleden nog tegen gekomen. Iemand thuis via de wifi, had regelmatig gezeik dat het internet weg viel. Ik op de router het mac adres aan een vast IP hangen. Paar dagen later begon het weer opnieuw, had die een nieuw MAC adres(geen meerdere wifi adapters oid).... Uiteindelijk maar in Windows zelf het IP adres vast gezet.

Horatius @Verwijderd • 14 maart 2017 10:17

Hoe werkt het dan met routers/modems die alleen apparaten met een bepaald MAC adres laten verbinden? Want als je dat continu randomize dan is dat niet meer mogelijk wat mij vreemd lijkt.

.oisyn Moderator Devschuur® @Horatius • 14 maart 2017 12:51

Randomization kun je over het algemeen per netwerk aan/uit zetten

H!GHGuY @MneoreJ • 14 maart 2017 18:47

Je moet dan uiteindelijk ook dingen als je MAC adres gaan randomizen als je echt niet identificeerbaar wil zijn.

MAC adres randomizen is om 'niet traceerbaar' te zijn. Dit is niet hetzelfde als identificeerbaar. De 2 technieken vullen elkaar dus aan.

Recent kwam trouwens ook dit voorbij:
https://tweakers.net/nieu...dres-schieten-tekort.html

[Reactie gewijzigd door H!GHGuY op 23 juli 2024 00:46]

Philos31 14 maart 2017 07:49

Allemaal een kwestie van logisch nadenken.
Bij mij heeft alles altijd Star Trek of Dr. Who namen, geen eigennamen.

Dasprive @Philos31 • 14 maart 2017 08:25

Tja, dat hangt maar van je perspectief af.
Dokters lezen berichten over medische onderzoeken of meldingen en denken 'allemaal een kwestie van logisch nadenken'
Monteurs lezen handleidingen en tips & tricks voor renovaties en denken 'allemaal een kwestie van logisch nadenken'
IT-ers lezen dit soort berichten en denken 'allemaal een kwestie van logisch nadenken'

Welke beroepsgroep dan ook, er is afhankelijk van de beroepsgroep een heel groot deel van de bevolking voor wie dit dus niet 'gewoon logisch nadenken' is, het kan geen kwaad af en toe even stil te staan bij het feit dat dit soort dingen gebeuren en dat het voor veel mensen niet evident is. Zeker in de IT maken we ons daar schuldig aan, voor veel mensen is IT en alles er omheen nog steeds volstrekt onduidelijk en ingewikkeld.

En dus in dit geval, omdat het technisch nu eenmaal lastig te omzeilen valt, is awareness de beste optie: zorgen dat mensen beseffen dat de hostname "MarcJanssen_kerkstraat1" niet handig is.

[Reactie gewijzigd door Dasprive op 23 juli 2024 00:46]

beerse @Philos31 • 14 maart 2017 09:38

Waar zijn de echte nerds gebleven die de hemellichamen, sterren en sterrenstelsels vernoemen in de computer namen? Of wordt ik nu echt oud?

The Zep Man

Internet
Privacy

@Philos31 • 14 maart 2017 08:01

Allemaal een kwestie van logisch nadenken.

Inderdaad. Noem je computer gewoon 'localhost'. Probleem opgelost.

0vestel0 @The Zep Man • 14 maart 2017 08:27

Ideale naam voor een introverte pc die niet met de buitenwereld wil communiceren

The Zep Man

Internet
Privacy

@0vestel0 • 14 maart 2017 08:32

Ideale naam voor een introverte pc die niet met de buitenwereld wil communiceren

Communicatie met de buitenwereld zal geen probleem opleveren. Een DNS lookup van de PC zal echter niet werken zonder domein. Vergelijk het liever met een verlegen persoon die niet wilt opvallen (en mogelijk daardoor juist opvalt).

Je kan natuurlijk ook gewoon hostname registratie in DNS uitschakelen in het besturingssysteem. Er kunnen echter andere protocollen zijn die alsnog de hostname plain text over de lijn versturen (zoals de genoemde VPN verbinding in het artikel). Ik zie dit artikel daarom meer als een herinnering dat niet alleen een MAC redelijk uniek is en bekend wordt gemaakt op het netwerk, maar dat dit ook gedaan kan worden met een hostname. Natuurlijk kan een hostname veel meer gevoelige informatie bevatten.

Helaas is een hostname niet altijd zo makkelijk dynamisch aan te passen, tenzij het op applicatieniveau gebeurd. In Windows moet het systeem herstart worden. Bij Linux wordt het overgenomen door nieuw gestarte applicaties, waardoor men in de praktijk opnieuw zou moeten inloggen. Een MAC adres dynamisch veranderen is makkelijker. Dat kan meteen actief worden vanaf een nieuw gemaakte verbinding.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 00:46]

Verwijderd @The Zep Man • 14 maart 2017 10:26

Inderdaad. Noem je computer gewoon 'localhost'. Probleem opgelost.

Localhost is een naam is altijd naar het adres 127.0.0.1 resolvet. Ik heb het nooit geprobeerd, maar ik vermoed dat je tegen een aantal eigenaardige problemen aan zou kunnen lopen, als je je machine localhost noemt.

Heb je het al ooit geprobeerd ?

SED @Verwijderd • 14 maart 2017 12:05

Als je extern een computer met de naam localhost wilt aanspreken kom je op de eigen computer uit. Dat lijkt dus geen optie.

CAPSLOCK2000

Privacy
Internet

@Verwijderd • 14 maart 2017 16:22

Localhost is een naam is altijd naar het adres 127.0.0.1 resolvet. Ik heb het nooit geprobeerd, maar ik vermoed dat je tegen een aantal eigenaardige problemen aan zou kunnen lopen, als je je machine localhost noemt.

Heb je het al ooit geprobeerd ?

Ik wel, het valt allezins mee. Zolang dat systeem zichzelf maar vindt als het de naam localhost gebruikt gaat alles goed. Je kan het systeem uiteraard niet op afstand bereiken via "korte" namen, maar ja, dan gebruiken we de FQDN wel. Als het maar in DNS staat is dat verder geen probleem.

Zer0 @Philos31 • 14 maart 2017 08:27

Handig voor adverteerders, die weten gelijk weer wat over je

Feitelijk geef je met dergelijke namen nog steeds iets over jezelf weg.

loki504 @Zer0 • 14 maart 2017 09:25

Klopt. Alleen wat heb je massa data als je het niet kan koppelen aan een persoon. Op het moment dat je het kan koppelen aan een persoon heb je er veel meer aan.

Zer0 @loki504 • 14 maart 2017 09:43

Hoe meer data je hebt hoe makkelijker het wordt onderlinge verbanden te maken en op die manier verbanden te leggen.
Een basaal voorbeeldje: ik scan het wifi netwerk van de macdonalds en zie een pc die Enterprise heet. Vervolgens kijk ik rond en zie iemand met een star trek shirt aan... één en één is... een verband.

loki504 @Zer0 • 14 maart 2017 10:00

Ja en nu een ander voorbeeldje. Je scant een mac wifi. en komt de naam laptop van Bianca de wit tegen(ja genoeg mensen die voor en achternaam gebruiken). Je typt in google Bianca de wit. En tada je hebt een direct persoon voor. een verband dat duidelijker is.

Zer0 @loki504 • 14 maart 2017 10:19

Het gaat er niet om dat met een naam in de hostname het nog makkelijker is, het gaat er om dat als je eigenschappen van jezelf (voorkeuren) als hostname gebruikt het nog steeds mogelijk is verbanden te leggen. Een random hostname is dan ook beter uit het oogpunt van privacy.

loki504 @Zer0 • 14 maart 2017 10:26

Of gewoon random shirts aan doen. Maar ik heb mijn server ook Enterprise genoemd. Maar als ik ergens van walg is het star trek wel.

gjmi @Philos31 • 14 maart 2017 08:05

En nu we dat weten......

Verwijderd @Philos31 • 14 maart 2017 09:11

Niet handig om dat te melden.

SunnieNL

@Philos31 • 14 maart 2017 11:50

Het willekeurige hostnamen concept wordt ook al standaard door Microsoft gehanteerd. Mensen vinden het echter handiger als ze makkelijk een device kunnen terugvinden/herkennen.
Een naam als Client-AB334AABR1Q3A is nou eenmaal wat lastiger doorgeven aan een supportdesk

Verwijderd @Philos31 • 14 maart 2017 12:37

Nee dat zijn lekkere namen. Gewoon een service naam -0X van het station is voldoende. Poortscans worden toch gedaan dus het aangeven van de service maakt echt weinig uit.

erikmeuk3 @Philos31 • 14 maart 2017 12:39

Moet mensen ook steeds opnieuw uitleggen waarom je een SSID van je WiFi geen herkenbare naam moet geven. Dit is net zo'n geval.

Verwijderd @erikmeuk3 • 14 maart 2017 12:48

Strikt genomen maakt dat geen snars uit, als je beveiliging zo lek is als een mandje gaat het toch mis. Ik ken voorbeelden dat mensen op 100KM afstand de meest simpele wifi devices aan het scannen zijn hoor. Eerst binnen zijn dan pas zoeken is wat het meeste gebeurt.

ASS-Ware @erikmeuk3 • 14 maart 2017 23:13

Moet mensen ook steeds opnieuw uitleggen waarom je een SSID van je WiFi geen herkenbare naam moet geven. Dit is net zo'n geval.

Denk je echt dat dat wat uitmaakt?
Als ik een hacker zou zijn, dan zou ik net zo graag willen inbreken op een wifi netwerk met de SSID bladiebla als één met de naam wifinetwerkvanhenkeningrid.

Hoppa! @Philos31 • 14 maart 2017 07:51

AIVD surveillancebus 1 t/m AIVD surveillancebus 5

FreshMaker

Internet

@Hoppa! • 14 maart 2017 08:55

AIVD surveillancebus 1 t/m AIVD surveillancebus 5

* FreshMaker had een AP "Cameratoezicht_plein" genoemd ....
Tot de gemeente ECHT een camera ging plaatsen .... toen kreeg ik volgens de logging 100én aanmeldpogingen per dag.
DHCP drops en de-auth, dus ik denk dat er een buurman met KALI aan de gang gegaan was.
Toen maar "WiFiFoFum" genoemd ( naar een gevonden lijstje met namen online )

Philos31 @Hoppa! • 14 maart 2017 07:57

Dat is leuk voor Wifi, we hebben er zo een in de straat en de overbuurman gelooft er in.

Ik heb bijvoorbeeld mijn Router Amy (Pond) genoemd en de switch Rory (haar vriendje)
Mijn hoofdserver heet Picard (want is voor mij de belangrijkste Caiptain) en mijn backup systeem heet riker (want die is de backup van picard) enzovoorts, er zit dus ook logica in, maar dan wel voor mij en niet voor iedere buitenstaander.

Sofyan @Philos31 • 14 maart 2017 08:21

Leuk! bij mij zijn het de schepen uit Star Trek. Enterprise, Voyager, Defiant en sinds kort ook Vengeance

Neko Koneko @Sofyan • 14 maart 2017 08:24

Mijn hoofd server heet Cygnus en de VPN server heet Palomino. Nee, het was geen goede film, ja, ik vind hem stiekem toch leuk

paradoXical @Philos31 • 14 maart 2017 08:48

Hier in de buurt heet alles:

Terminator HQ
Pentagon HQ
Snowden Internet Exchange
AIVD Dienst Zuid
En dat zit daar doorheen weer iemand met de neem Henk en Annie. Ik lach me helemaal ziek om dat soort dingen.

On topic: die AIVD dienst zuid is dus een echt punt, niet handig gekozen lijkt mij..

Daniel_Elessar @Philos31 • 14 maart 2017 09:49

Nice! Wifi heet hier 'Hufflepuff_common_room' Mijn laptops hebben ook DW/HP namen. Mijn samsung T1(500GB) heet Tardis want ja groter aan opslag.
Rpie3 heet Húrin(Lotr) iPad > Yog-Sothoth(cthulu mythos) Computer van mijn vriendin heeft de naam Nightrise wat weer van een boekenserie komt (kracht van 5)
En er zijn er nog wat DW namen en uit verhalen van Robin Hobb.

Maar die namen zeggen wel iets over je interesses dat is duidelijk. Er zit een zekere logica in maar meer ook niet omdat we niet echt servers hebben staan draaien. Die moet je inderdaad, zeker in een zakelijke omgeving snel kunnen identificeren dat je weet om wat voor server het gaat. En de namen logisch houden.

anargeek @Philos31 • 14 maart 2017 11:44

Mijn wifi heeft de standaard naam van een Horizon settopbox. Niet dat het een Horizon is (verre van), maar hoe lang zal het duren voordat iemand daar achter is? Lokale apparaten heb ik simpele afkortingen voor want anders vergeet ik zelf welke bij wie hoort (pi1, pi2, pi3, lap1, lap2) maar zit te denken die ook orginelere namen te geven. HP-LASERJET-5740 voor de smartphone, Samsung-CLX-3180 voor een raspberry etc

[Reactie gewijzigd door anargeek op 23 juli 2024 00:46]

wilfredk @anargeek • 14 maart 2017 13:31

niet erg lang aangezien bij het broadcasten van de sidn ook het mac address van access point gebroadcast word en deze makelijk te herleiden is naar fabrikant (google nar mac address lookup) zelfde geld voor andere fabrikant namen bij apparaten.

Keypunchie

Internet

14 maart 2017 07:55

Zelf geef ik al mijn apparaten namen, maar zoveel mensen die standaard bvb. "Jan Smit's iPhone" gebruiken.

Aan de andere kant zijn autogegenereerde namen weer gebruikers-onvriendelijk. Een dialoog als "Jan Smit's iPhone wil een bestand met je delen" is toch wat vriendelijker dan "I6Sc2a4 wil een bestand met je delen"

Waah @Keypunchie • 14 maart 2017 08:15

Omdat Apple dat zelf zo instelt ook. Standaard pakt die je naam + iPhone. Dat vind ik sowieso best bijzonder ivm privacy. Stel de vraag gewoon, ipv het automatisch in te stellen.

stuiterveer @Waah • 14 maart 2017 08:54

Het domme is dat ik uiteindelijk de naam van mijn toestel heb gewijzigd bij de instellingen. Nou zie ik wel overal waar ik de iPhone op aansluit die custom naam naar voren komen, maar in het netwerk verschijnt hij alsnog onder "<naam>'s iPhone". Dus nog beter: als je die vraag stelt, honoreer het dan ook.

MadEgg @Waah • 14 maart 2017 08:55

Kwalijk inderdaad. Gelukkig denkt Apple dat ik iets in de richting van Jan Klaassen heet

Het zou goed zijn als mensen eens een paar keer extra nadenken voordat ze braaf een formuliertje invullen dat vraagt om hun persoonlijke gegevens. Ik laat zo veel mogelijk leeg en dat wat verplicht is wordt gefingeerd.

[Reactie gewijzigd door MadEgg op 23 juli 2024 00:46]

MadEgg @Homer J.Simpson • 14 maart 2017 09:41

Stoer!.
Jammer van je: MAC

Apple doet een poging:

nieuws: 'Maatregels telefoonfabrikanten tegen tracking via mac-adres schieten...

Nog wel te weinig inderdaad - maar alsnog geeft een MAC-adres niet direct mijn naam of andere persoonsgegevens weg.

IP

Same as above. Dankzij IPv6 privacy extensions ook nog eens niet naar één specifiek apparaat terug te leiden.

Credit Card (owww)

Say wut? Hoe zou Apple aan mijn credit card komen als ik ze die nooit gegeven heb? De apps die ik gekocht heb heb ik met een prepaid iTunes kaart uit de winkel betaald. Apple (of Google of Microsoft of Facebook of ....) heeft niets met mijn betaalgegevens te maken.

en de diaree aan info die apple daarna uit je device haalt.
"de voordeur verstoppen", heet dat in jargon.

Als je er weinig instop is er weinig uit te halen. Ik maak bewust geen gebruik van iCloud en alle andere mogelijke synchronisatie-features. Voor de rest is Apple geen Google gelukkig. Ik zou liever een FOSS telefoon hebben, maar het aanbod daarvan is diep teleurstellend. Dan is Apple nog wel de lesser evil.

Alsnog is de voordeur verstoppen een vrij doeltreffende maatregel lijkt me

Jouw reactie voelt een beetje aan als ze weten toch alles al dus waarom zou je moeite doen. Verkeerde instelling wmb, alle beetjes helpen.

MadEgg @Homer J.Simpson • 14 maart 2017 09:52

Het smart-gedeelte van mijn iPhone houdt voor mij in dat er een fatsoenlijke browser op zit die hedendaagse standaarden kan weergeven. Voor de rest interesseert het me vrij weinig inderdaad. Een paar apps zijn nog wel handig, maar voor het echte werk heb ik gewoon een laptop en een desktop PC.

Het jargon wat je eigenlijk bedoelde te gebruiken is security through obscurity. Eigenlijk is dat een foute term - nagenoeg alles is security through obscurity. Je weet dat een account een gebruikersnaam en wachtwoord heeft, je weet alleen niet welke. Even brute-forcen dus. 2FA? Je weet dat je een OTP oid moet invullen, alleen niet welke. Gewoon even zoeken. Enzovoorts.

De voordeur verstoppen is in die schaal natuurlijk niet de meest complexe puzzel, maar het kost wel wat tijd. Als je in een huis wilt inbreken en eerst 5 minuten bezig bent om de voordeur te vinden is dat minder aantrekkelijk dan een huis waar je recht op de voordeur afloopt. Je moet "de voordeur verstoppen" niet als de ultieme oplossing zien, of als vervanging van het slot op je voordeur. In de ordering van mogelijke maatregelen die je neemt om het inbrekers moeilijk te maken zou "de voordeur verstoppen" ook vrij laag op de prioriteitenlijst moeten staan. Dat betekent niet dat het helemáál geen zin heeft.

stresstak @MadEgg • 14 maart 2017 13:35

Als je in een huis wilt inbreken en eerst 5 minuten bezig bent om de voordeur te vinden is dat minder aantrekkelijk dan een huis waar je recht op de voordeur afloopt.

De voordeur alleen zegt ook niks. Ik wilde ooit bij iemand op bezoek waar geen enkel pad naar de voordeur liep. En binnen bleek er dan ook geen gebruik van gemaakt te worden; er stond zelfs een kast achter. De bedoeling was dat men achterom kwam. Door klompenhok, bijkeuken langs de honden en dan een hal in.
Dus ach, een voordeur..

Cerberus_tm

@MadEgg • 14 maart 2017 17:28

Wat betreft het "smart"-gedeelte, ik zou echt niet zonder push-notificaties, zonder de Play Store en zonder Google's locatiedienst willen; dat is waarom ik niet van Google af kan op mijn telefoon. Helaas zit ik al 15 jaar of zo bij Gmail; dat zou ik in theorie kunnen vervangen maar is echt te veel gedoe. Alleen Google Calendar heb ik ook nog, en dat zou ik wel redelijk makkelijk moeten kunnen vervangen. Ik wil alleen wel zeker weten dat het alternatief dat ik kies 100% betrouwbaar is. Daar moet ik me nog in verdiepen. Verder geef ik Google zo min mogelijk informatie.

Wat betreft "security through obscurity" geef ik je helemaal gelijk: het heeft een functie en kan nuttig zijn, zolang je er maar niet op vertrouwt dat het volhardende boeven tegen kan houden.

MneoreJ @Keypunchie • 14 maart 2017 08:15

Dat zou goed op te lossen zijn in de protocollen zelf. Als ik een bestand met iemand wil delen heb ik vermoedelijk geen bezwaar tegen dat die andere partij wel de "sane" naam van mijn apparaat ziet. Daarentegen zal ik niet zo snel behoefte hebben aan iemand die ongevraagd over een openbare wifi mijn apparaat wil kunnen vinden. Maar als je beide een autogenerated name gebruikt en je zit ook op een publiek netwerk kan het nog best lastig worden om elkaar te vinden, ja.

scsirob @Keypunchie • 14 maart 2017 08:38

Mijn Samsung met Android 6 heet 'mijn iPhone'. Eerste decoy

Game_overrr @scsirob • 14 maart 2017 08:55

Haha, mijn hotspot heet Lumia 920 maar heb een android telefoon

Cerberus_tm

@scsirob • 14 maart 2017 17:29

Mijn Android heet virus.exe, maar die flauwe grap kent iedereen inmiddels zeker wel...

Moosenl 14 maart 2017 07:49

Security by obscurity?
Stupid.

Tux4life @Moosenl • 14 maart 2017 07:56

Dit artikel gaat over privacy. Een beetje 'obscurity' om een gebruiker minder makkelijk te kunnen volgen tussen netwerken is dan juist heel effectief.

FreshMaker

Internet

@Tux4life • 14 maart 2017 08:52

Wat ik er uit opmaak, is dat er weer iemand een scheet laat, en dat verpakt in een mooi papiertje.
Ik roep 'privacy' dan krijgt het aandacht ....

Weet je wat hij vergeten is, namen van mensen, dat is ook een schending van privacy.
Als ik mijn kinderen roep om te komen eten, gebruik ik elke dag een willekeurig getal, dan weten de buren tenminste niet hoe ze heten, en krijgt de pedofiel geen kans om ze te benaderen.

Ik roep dikke bullshit, voor dit soort 'onderzoekers' moeten we naar een periode vóór de gedeelde netwerken en internet.

Privacy is overrated, iedereen heeft privacy, maar omdat 'de mens' de gemakkelijkste weg wil kiezen, krijg je gaten.
Daar kies je voor, ik kies ervoor om geen social media te gebruiken, om mij te uiten.
Doe ik dat wel, gebeurt het onder een 'alias' die minimaal gekoppeld is.
Op Tweakers is dat onder deze naam, op nieuwskoerier onder een andere, en op geenstijl weer iets anders.

Uiteindelijk zal het gekoppeld kunnen worden, maar omdat mijn provider het (wederom) makkelijker vind om me jarenlang hetzelfde IPadres te geven, zal ik dat zelf moeten aanpassen.
( wat dan weer niet makkelijk is voor mijn inhouse services, die ik via internet wil bereiken )

Allemaal keuze's, zet NIET online wat je niet wil delen.
In het kader van dit 'onderzoek' is het makkelijk

alweer .... voor mij, ik heb al sinds de VIC20 mijn 'eigen naam' niet in gebruik voor iets online, dus ook mijn pc's hebben "nerd-names"
Veel succes om 'oberon' aan mijn pc te koppelen, ik zal vast niet uniek zijn

Dorank @FreshMaker • 14 maart 2017 11:18

Allemaal keuze's, zet NIET online wat je niet wil delen.
In het kader van dit 'onderzoek' is het makkelijk alweer .... voor mij,

Voor jou, voor tweakers wellicht. Maar de rest van de wereld heeft geen idee dat ze privacy gevoelige info continue rond schreeuwen. En dat heeft niets met de makkelijste weg te maken die je aanhaalt, het is de configuratie van OSen die problemenatisch zijn. Gebruikers hebben daar over het algemeen geen weet van en de huidige privacy onvriendelijke implementaties zijn onnodig. Deze RFC is een prima advies om hier eens over na te denken.

FreshMaker

Internet

@Dorank • 14 maart 2017 11:25

Mijn laatste windows installaties geven allemaal een 'onbruikbare' hostnaam, in niets (direct) te herleiden aan mijn persoon, voor de willekeurige buitenstaander.
Voorheen werd nog gevraagd naar computernaam, maar imho is dat al sinds win8 niet meer het geval

En op de vraag die destijds gesteld werd "pc naam" kwam in beeld gebruikersnaam-pc, waar je duidelijk en eenvoudig de boel kon aanpassen.
( dat heeft mijn voorkeur, want nu moet ik na het veranderen opnieuw opstarten, iets wat na een install vrijwel direct gebeurde

Verwijderd @FreshMaker • 14 maart 2017 12:10

Probeer je eens te verplaatsen in iemand die minder technisch onderlegd is en geen idee heeft van een hostname. Het is juist de taak van dit soort werkgroepen om te zorgen voor een beter en veiliger Internet, en eindgebruikers niet lastig te vallen met details.

Als ik over de weg rijd, verwacht ik niet het advies: vermijd de kuilen. Ik ga ervan uit de wegenbouwers een goed wegdek uitrollen. De details boeien mij niet.

FreshMaker

Internet

@Verwijderd • 14 maart 2017 12:15

Probeer je eens te verplaatsen in iemand die minder technisch onderlegd is en geen idee heeft van een hostname. Het is juist de taak van dit soort werkgroepen om te zorgen voor een beter en veiliger Internet, en eindgebruikers niet lastig te vallen met details.

Als ik over de weg rijd, verwacht ik niet het advies: vermijd de kuilen. Ik ga ervan uit de wegenbouwers een goed wegdek uitrollen. De details boeien mij niet.

Juist dat verwacht ik dan weer wel van de wegbeheerder.
Niet elke kuil is gelijk gerepareerd.

Maar de gebruikers waar jij het over hebt, hebben daar 'nu' met win10 geen last meer van, hun PC heeft al een 'onlogische' hostnaam.
Dit gaat meer over JUIST die gevorderde ( in zijn ogen ) gebruiker, die dit over het hoofd ziet

MrMonkE @FreshMaker • 14 maart 2017 09:09

Of 'Arie'.
Zal waarschijnlijk nog minder uniek zijn.

Keypunchie

Internet

@Moosenl • 14 maart 2017 07:56

Privacy through obscurity.

En dat is eigenlijk de enige mogelijkheid...

kaas-schaaf @Keypunchie • 14 maart 2017 08:34

Niet helemaal, whitelisting (give by allowing access) werkt ook maar maakt het management wel vele malen moeilijker. In dit geval zou dat dus zijn dat alleen apparaten die je toegang geeft hostnames kunnen opvragen en anders altijd gereject worden.

Bij 'normaal' gebruik heb je absoluut gelijk.

laptopleon @Moosenl • 14 maart 2017 10:00

Dit wordt vaak geroepen hier maar mijn ervaring is, dat het juist heel goed werkt.

De URL van je inlogpagina van je CMS veranderen bijvoorbeeld. Is het een 100% garantie? Nee, garanties bestaan niet. In de praktijk scheelt het wel 99,9999% aan valse inlogpogingen.

Cerberus_tm

@laptopleon • 14 maart 2017 17:44

Hmm misschien moet ik dat ook maar eens doen. We hebben de hele dag van die lui die "admin" en "test" als gebruikersnaam proberen (beide accounts bestaat uiteraard niet).

Vexxon 14 maart 2017 08:09

Uiteindelijk is het allemaal symptoombestrijding en zouden ze eigenlijk regels moeten opstellen voor bedrijven als facebook en google. Als je hun producten gebruikt is het niet meer dan logisch, maar als je dat niet actief doet wordt je gevolgd. Praktijken zoals browserfingerprinting zou verboden moeten worden.

Zoijar @Vexxon • 14 maart 2017 08:22

Precies! Het zo stom dat men steeds weer met technische regels komt (kuch, cookiewet...). Men moet de essentie in niet-technische wetten omschrijven, en dan maakt het niet uit hoe je het precies overtreedt.

Verwijderd @Zoijar • 14 maart 2017 09:13

Zoals ik dat altijd noem: technofixen stapelen.

nubro01 14 maart 2017 08:22

Prive zie ik bij NAT het probleem niet zo, maar zodra we naar ip6 overgaan en elk toestel zijn eigen adres krijgt en rechtstreeks aanspreekbaar is, zonder gateway en namen lopen op als familie01 tot familie09, als je 9 toestellen in huis hebt, dan........
Bij mijn laatste werkgever, waar we een eigen range hadden, gebruikten we namen gelijk aan de gebruikersnaam + os , zo konden we makkelijk achterhalen wie zat te Quaken of hartenjagen in de baas zijn tijd! Slecht voor de privacy waar wel handig om te achterhalen wie bandbreedte vrat terwijl je maar een heel dure 256kbs huurlijn had.

MadEgg @nubro01 • 14 maart 2017 09:02

Bij IPv6 is dat nog niet direct relevanter. Je hebt de 'hostname' in de zin van de naam zoals je apparaat zichzelf noemt, en je hebt de hostname zoals je in DNS geregistreerd staat met behulp van een reverse lookup. Bij IPv4 is elk apparaat op je geNAT'te netwerk niet te identificeren, alles resolved dan naar je publieke IPv4-adres waar een hostname aan hangt. Bij IPv6 zou dit theoretisch wel naar je apparaat te herleiden zijn, ware het niet dat die doorgaans standaard privcacy extentions aan hebben staan zodat het IPv6-adres continu verandert.

In beide gevallen geld wel dat je ISP hoogstwaarschijnlijk niet jou zelf je de reverse DNS hostname laat instellen, dat zal gewoon iets zijn in de 123123123123.ab-85.dynamic.ziggo.nl of iets vergelijkbaars voor een andere provider. Dat geeft alleen de identiteit van je provider weer, niet je eigen.

Deze RFC gaat dus over de naam die je apparaat zelf uitdraagt. Je apparaat doet dat over het algemeen alleen via ofwel local network protocollen als DHCP (of legacy WINS), ofwel via brakke proprietaire protocollen. In beide gevallen maakt het helemaal niet uit of dit nu over IPv4 of IPv6 gebeurt.

Cerberus_tm

@MadEgg • 14 maart 2017 17:37

Hee dit is interessant. Ik begrijp niet alle details, maar begrijp ik goed dat iemand die ip-verkeer met mijn computer via mijn wifi-modem heeft, misschien een adres van mijn computer kan zien, ook al gaat het verkeer door mijn wifi-modem heen?

En je hebt het over privacy extensions: waar zouden die staan? In mijn wifi-modem? Of ergens anders? Hoe kan ik dit checken en fixen?

MadEgg @Cerberus_tm • 15 maart 2017 12:55

Hee dit is interessant. Ik begrijp niet alle details, maar begrijp ik goed dat iemand die ip-verkeer met mijn computer via mijn wifi-modem heeft, misschien een adres van mijn computer kan zien, ook al gaat het verkeer door mijn wifi-modem heen?

Hangt van de situatie af. Bij gebruik van IPv6 kan dat - je router zal dan waarschijnlijk geen NAT toepassen dus is het verkeer herleidbaar tot één apparaat (maar zie ook hieronder over privacy-extensions). Bij gebruik van IPv4 herschrijft je router alle IPv4-adressen en krijgt de andere partij je internet IP-adres dus niet te zien.

Hostnames kunnen wél naar buiten komen, aangezien diverse protocollen dit zullen gebruiken in de communicatie met een externe partij. SMTP gebruikt in de begroeting, de HELO/EHLO bijvoorbeeld de hostname van de initiërende partij. Het hangt weer van je specifieke software af of dat daadwerkelijk gebeurt. Het zou mij niet verbazen als propriëtaire protocollen voor cloud-diensten dit bijvoorbeeld ook doen - het kan bijvoorbeeld een van de middelen zijn om nieuwe apparaten te detecteren / te identificeren.

Maar het bovenstaande staat dus volledig los van het gebruikte transport-protocol, of dit nou IPv4 of IPv6 is. Als je aan de hand van een IP-adres iemand wil identificeren dan kom je niet veel verder dan de Reverse DNS-hostname waarmee je de provider kunt identificeren. Vervolgens zou je bij de provider aan kunnen kloppen om te vragen van wie dat adres was op een bepaald tijdstip, maar de kans is groot dat ze je dat antwoord niet zullen geven.

En je hebt het over privacy extensions: waar zouden die staan? In mijn wifi-modem? Of ergens anders? Hoe kan ik dit checken en fixen?

Over de Privacy Extension kun je hier meer lezen: https://tools.ietf.org/html/rfc4941

Heel kort komt het erop neer dat standaard IPv6-adressen gegenereerd worden middels stateless autoconfiguration waarbij het MAC-adres van de Network Interface gebruikt wordt als basis. Dit is dus min of meer voorspelbaar.

Privacy Extensions zorgen ervoor dat er een tweede IPv6-adres gebruikt wordt op dezelfde interface die periodiek veranderd en niet gebaseerd is op het MAC-adres. Dit adres wordt gebruikt voor uitgaande verzoeken, zodat de andere zijde van de connectie niet het MAC-adres van de initiërende partij kan achterhalen, en bovendien maar beperkt verzoeken aan dezelfde gebruiker kan koppelen.

Privacy Extensions worden ook wel 'Temporary Addresses' of tijdelijke adressen genoemd. Bij mijn weten gebruiken álle moderne besturingssystemen dit standaard, Mac OS, Windows 10 en Linux. Je kunt het controleren door bij de netwerkinstellingen van je adapter te kijken of je meer dan één IPv6-adres hebt.

Cerberus_tm

@MadEgg • 25 maart 2017 01:06

Hee nog dank voor deze informatie! Als het goed is zou het dus OK zijn als je Windows 10 gebruikt. Je zegt Linux zonder versienummer: zou dat dan ook gelden voor Android 4.4?

Nog 1 vraagje over hostnames. Je zegt dat die naar buiten kunnen komen via bepaalde protocollen. Je suggereert daarmee dat de Privacy Extensions dit niet tegenhouden, ook omdat die protocollen dat echt nodig hebben. Klopt dat?

Klopt het dan ook dat hostnames nooit verzonden worden bij gewoon browserverkeer, als je gewoon wat pagina's bekijkt en geen SMTP of HELO o.i.d. gebruikt? In kan me zo voorstellen dat je browser die protocollen niet zal gebruiken zonder dat je daar toestemming voor geeft?

Anonymoussaurus 14 maart 2017 08:02

Vind ik nogal logisch. Daarom vind ik het ook zo fijn als je bij elk end device gewoon zelf een hostname mag en kan invullen. Bij Windows kan dit sowieso, maar bij enkele Android versies niet. Zo kan ik wel de naam van de telefoon veranderen, maar bijvoorbeeld niet de naam van het hardwarematige apparaat. Het kan wel, maar dan heb je root nodig. In de routing table staat dan gewoon doodleuk "Android bla bla bla". Nu is dat natuurlijk alleen toegankelijk voor mij als beheerder, maar wat als ik op een ander netwerk zit? Niemand hoeft te weten op wat voor een device ik zit.

[Reactie gewijzigd door Anonymoussaurus op 23 juli 2024 00:46]

Cerberus_tm

@Anonymoussaurus • 14 maart 2017 17:40

Waar vind ik eigenlijk deze naam van het hardwarematige apparaat op mijn telefoon? Staat die ergens in het instellingen-menu? Of moet ik dan in build.prop kijken of zo?

En wie kan deze hardwarematige naam zien, van buiten mijn telefoon? Iedereen met wiens Wifi ik verbinding maak? Of zelfs in alle ip-verkeer over het Internet (dat lijkt me toch niet?)?

Anonymoussaurus @Cerberus_tm • 15 maart 2017 14:58

Het zou in het instellingenmenu moeten staan, maar niet elke telefoon biedt daar ondersteuning voor (althans, de maker van de softwareschil). Via root kan het sowieso.

Als jij verbinding maakt met een AP, Wi-Fi router, staat jouw hardwarematige naam (bijvoorbeeld: android-2t523ask6l) staat dat in de lijst van de apparaten die momenteel verbonden zijn, dus ja, zij kunnen bijvoorbeeld zien of je een Android device hebt of niet. Geldt niet voor iPhones. iPhones kunnen wel hun naam veranderen, en dan komt hij ook zo te verschijnen op het netwerk.

Cerberus_tm

@Anonymoussaurus • 15 maart 2017 18:50

Hmm ik heb alleen Phone Name, die kan ik ook veranderen. Zou dat het zijn? Wacht, ik ga wel even in mijn modem kijken.

Nope, in mijn modem staat inderdaad android-blablacode. Ik ga wel eens in mijn build.prop kijken, of zou het daar niet staan.

[Reactie gewijzigd door Cerberus_tm op 23 juli 2024 00:46]

Anonymoussaurus @Cerberus_tm • 16 maart 2017 13:27

Hmm, lastig, dit helpt: https://productforums.goo...#!topic/nexus/iIlq463rl6w

Cerberus_tm

@Anonymoussaurus • 16 maart 2017 14:15

OK, thanks! Het kan dus in build.prop.

Verwijderd 14 maart 2017 08:10

Ik kan me haast niet voorstellen dat degenen die deze aanwijzing nodig hebben, dit document ook daadwerkelijk zullen lezen.
Ik lees al zelden RFCs en het is mijn vakgebied.

rogier1974 14 maart 2017 08:23

ik noem tegenwoordig nieuw geinstalleerde machines naar hun type of moederbord bij zelfbouw, zo krijgt het ding geen naam meer bij de gebruiker en als ik nieuwe drivers o.i.d. moet installeren dan weet ik meteen welk pakketje ik mee moet brengen naar de "klant"

Verwijderd @rogier1974 • 14 maart 2017 09:35

Vinden je klanten dat niet onpraktisch dan? Ik vind het zelf wel handig als ik een netwerk verbinding kan maken met \\VADERS.local of \\MOEDERS.local

rogier1974 @Verwijderd • 14 maart 2017 10:34

ik leg geen verbindingen, ik ga nog ouderwets op de koffie om hun problemen op te lossen :-)

nexhil 14 maart 2017 07:50

Leven is ook slecht voor je privacy!

totaalgeenhard @nexhil • 14 maart 2017 07:58

Doodgaan ook..... staat een naam op grafsteen.... condoleance sites, rouw advertenties etc...

Als iemand security belangrijk vind zal men vanzeld conclusie trekken dat je hostnames zelf en verstandig gaat kiezen.

Op dit item kan niet meer gereageerd worden.

'Hostnamen voor computers zijn schadelijk voor privacy'

Lees meer

IT-banen

Reacties (122)

Sorteer op:

Weergave: