Pornosites bekeken? Belgische hacker weet het
Een Belgische hacker lanceert vandaag een website waarop te zien is welke pornosites u bezocht. 'Dankzij een lek dat ik ontdekte, kan ik het surfgedrag van iedereen nagaan', zegt Inti De Ceukelaire. 'Ook over welke periode en hoeveel porno iemand bekeek.'
www.benjijeenpornomens.be, zo luidt de site waarmee ethisch hacker en security blogger Inti De Ceukelaire (20) mensen beter wil laten nadenken over hun surfgedrag. De site gaat na welke pornosites u bezocht heeft. De student multimedia aan de Erasmushogeschool in Brussel krijgt dat voor elkaar met een eenvoudige computercode die gebruik maakt van het cachegeheugen van een browser. Dat geheugen laat toe om beelden en bestanden van eerder bezochte sites vlugger te laden.
"Ik kan heel gericht het pornobezoek van één iemand achterhalen. Het enige wat ik daarvoor moet doen, is iemand naar mijn site lokken en ze een video of een stuk tekst te laten lezen", zegt Inti De Ceukelaire. "Terwijl de surfer die bekijkt, loopt er op de achtergrond een programma waarmee ik zijn pornogeschiedenis te weten kom."
De Ceukelaire gebruikt op zijn site porno als voorbeeld, omdat de meeste mensen dat als een grote inbreuk op hun privacy ervaren. Ideaal om hen wakker te schudden. "Maar ik kan ook te weten komen welke pagina's iemand bezocht op bijvoorbeeld bol.com, door te kijken welke afbeeldingen of bestanden vlugger laden dan andere. Op die manier kan ik heel veel te weten komen over mensen."
De Ceukelaire maakt gebruik van het cachegeheugen van een browser. Dat geheugen maakt het mogelijk dat we op een aangename manier, en vooral zonder vertraging, kunnen surfen. "Het cachegeheugen is standaard ingeschakeld. Anders zou surfen op het internet trager gaan. Veel mensen denken vandaag: ik zet mijn cookies uit en ik zit safe. Maar dat klopt dus niet." Dat het bezoek aan pornosites gevoelige informatie is, bewijst een onthulling van Edward Snowden. Daaruit bleek dat de Amerikaanse inlichtingendienst NSA de mogelijkheden onderzocht om burgers in diskrediet te brengen door onder meer bezoeken aan pornosites te openbaren.
"Het bijzondere aan de code die ik nu in elkaar gestoken heb, is dat ik niet alleen weet of iemand porno bezocht heeft. Ik kan ook te weten komen over welke periode hij dat gedaan heeft. Dat maakt de informatie nog gevoeliger." Toch is er daar ook een beperking bij. De test kan niet op elk bestand even ver terug gaan in de tijd. Bij sommige bestanden kan hij heel ver terug gaan, bij andere maar drie of vier maanden, bij nog andere sites maar één dag. Het hangt er dus van af hoe goed de site in elkaar zit. "Er zijn sites die ervoor zorgen dat het cachegeheugen maar een dag terug gaat, maar dat zijn eerder uitzonderingen", zegt De Ceukelaire.
"Bedoeling is vooral dat mensen beter nadenken over hun onlineprivacy. Die ligt véél meer te grabbel dan velen denken." Aanvankelijk werkte De Ceukelaire op zijn site ook een test uit die nagaat van welke politieke partijen u een site bezocht. Maar omdat de site van onder meer Vlaams Belang te onstabiel bleek om de test op uit te voeren, voerde hij dat idee af.
Of dit een goede manier is om mensen te laten nadenken over hun onlineprivacy? Jos Dumortier, emeritus hoogleraar ICT-recht aan de KU Leuven vindt van wel: "Wat hij doet, doet me denken aan een programma dat de Franse privacycommissie gebruikt om mensen duidelijk te maken welke cookies er allemaal op je laptop, tablet of smartphone gezet worden. Weinig mensen weten dat er heel veel op hun computer staat dat hun surfgeschiedenis verklapt. Hoe bewuster mensen zich daarvan zijn, hoe beter."
De Ceukelaire heeft enkele tips voor surfers én websiteontwikkelaars om toch nog te vermijden dat hun gedrag getraceerd wordt. Eén ervan is beelden en andere bestanden van delicate websites te wissen in het cachegeheugen van je browser. Hoe je dat doet, hangt af van browser tot browser. "Je kunt ook in incognitomodus surfen. Informatie daarover vind je makkelijk online."