APN opgedrongen proxy schending van de privacy?

Heb je vragen of opmerkingen over deze provider via de kabel? Post dan je vragen hier.
Plaats reactie
ubremoved_2964
Elite Poster
Elite Poster
Berichten: 5295
Lid geworden op: 12 jan 2006, 14:25
Uitgedeelde bedankjes: 65 keer
Bedankt: 387 keer

Mods: kunnen jullie topic aub moven naar https://userbase.be/forum/viewforum.php?f=80 , te laat gezien
base-proxy-proof-via-firefox.jpg
Toen mijn phone in vliegtuigstand stond, en ik naar slashdot.org wou surfen, zie ik een proxy connection refused. Ik gebruik firefox op android.

Ik heb nog load balanced proxies bij een telecomvendor voor 10K users opgezet met authenticatie, en ik kon dus perfect de inhoud & het surfgedrag volgen als ik dat zou willen, terwijl dat niet de bedoeling was. Maar in zeldzame gevallen dat bvb één node erin slaagde om een proxy onderuit te halen, dan konden we niet anders dan in de logs kijken. Dat een ISP dit pushed is onaanvaardbaar. Zij krijgen nu inzage in de inhoud dus layer 7 van de OSI laag, iets waar zij geen helemaal geen zaken mee hebben.

In firefox voor android kan je network.proxy.type op 0 zetten ipv de default 5, maar dit lost het privacy probleem enkel op voor één app, terwijl system wide nog steeds alle HTTP onderschept wordt door de proxy van base.

https://android.stackexchange.com/quest ... y-settings

Wat is het probleem? Stel je surft naar een bepaalde zoekterm "privaat onderwerp". Als ze je verplichten een proxy te gebruiken, dan komt de zoekterm in hun logs:

https://www.google.com/search?q=privaat+onderwerp

Ik kan dit weten want ik gebruik zelf transparante proxy servers om GPL firmwares van bepaalde IOT devices te onderscheppen, maar dan op mijn eigen netwerk waar ik dit legaal mag, gezien de vendor weigert om de GPL firmware direct downloadbaar te maken.

Stel dat je geen proxy gebruikt, dan kunnen ze deze zoekterm niet zomaar zien tenzij ze DPI of andere illegale praktijken uitoefenen, want de inhoud wordt niet gelogd, maar hooguit de communicatie tussen jouw uitgaande poort en een remote webserver (google) zonder kennis te nemen van de inhoud. Ze zien dus hooguit logs op layer 3 of 4 in het OSI model. Als ze een proxy afdwingen nemen ze op eenvoudige wijze kennis van ALLE communicatie, gezien de inhoud gecached wordt ergens op een server.

En ik weet maar al te goed hoe makkelijk het is om die data terug uit de cache te vissen.

Dus hoe is een afgedwongen proxy server nog compliant met de GDPR? Volgens mij heeft een operator geen recht om de inhoud te bewaren, dat doen ze nu door objecten op disk op te slaan, en door de volledige query string te loggen zoals typisch gebeurt door proxy servers. Verder kan een proxy ook SSL traffic decrypteren en opnieuw encrypteren.

En inderdaad, na wat zoeken wordt dit via de APN settings gepushed system wide op Android, en gezien firefox default value van network.proxy.type op 5 staat, volgt hij braaf de door Base opgelegde settings.
base-apn-proxy-values.jpg
base-apn-proxy-values.jpg (8.5 KiB) 1125 keer bekeken
Komen deze settings via de simkaart, of kunnen ze ook OTA (over the air) gepushed worden? Ik overweeg een klacht tegen Base wegens schending van de privacy.

Je kan in Android wel de APN settings wijzigen, zodat de 2 specifieke proxy config lijntjes niet langer toegepast worden, echter een default opt-in vind ik een grove schending van onze privacy.
Laatst gewijzigd door meon 28 dec 2019, 12:05, in totaal 1 gewijzigd.
Reden: Bericht verplaatst naar Telenet-subforum.
lithion
Elite Poster
Elite Poster
Berichten: 2139
Lid geworden op: 21 aug 2006, 13:02
Uitgedeelde bedankjes: 7 keer
Bedankt: 78 keer
Recent bedankt: 1 keer

Welkom op het wereldwijde web, waar elke node waar jouw verkeer passeert, kan meeluisteren als je niet versleutelde verbindingen gebruikt? SSL decryptie is enkel mogelijk wanneer hun root cert op jouw toestel staat en er geen HSTS (cert pinning ed) gebruikt wordt door de leverancier.
Gebruikersavatar
meon
Administrator
Administrator
Berichten: 16729
Lid geworden op: 18 feb 2003, 22:02
Twitter: meon
Locatie: Bree
Uitgedeelde bedankjes: 574 keer
Bedankt: 770 keer

Mja, je mag er van uit gaan dat alles wat je in een URL voorbij ziet komen wel ergens bij een ISP gelogd zal worden, proxy of niet.

Het concept 'proxy' zoals we dat traditioneel kennen is tegenwoordig een hele suite aan beveiligingstools waarbij caching (het oorspronkelijke nut van een proxy) vaak niet eens gebruikt wordt. Normaal gezien zouden HTTPS-verbindingen getunneld moeten worden tenzij ze onderweg her-encrypteren, maar ik neem aan dat op unmanaged devices zoals jouw smartphone geen root-certificaat van de proxy geïnstalleerd staat, dus lijkt me weinig waarschijnlijk. Bovendien worden voor bepaalde sites/diensten certificate pinning gebruikt waarbij ook dat niet transparant zou werken.

Is dit nu schending van de privacy... Ik weet 't zo niet. Net zoals CGNAT zal dit om netwerkverkeeroptimalistatie gaan en is dit dus iets dat vanuit het aanbieden van de dienst gedaan wordt.
Tomsworld
Elite Poster
Elite Poster
Berichten: 2656
Lid geworden op: 29 jan 2004, 10:15
Uitgedeelde bedankjes: 85 keer
Bedankt: 231 keer

Als jij geen root certificaat hebt geïnstalleerd van je isp kan die evenveel zien in de logs, dan op een gewone utm firewall. Ze doen dit idd voor caching / optimalisatie.

Als je zo paranoia bent misschien permanent vpn doen naar een server in je eigen netwerk, en vpn vragen naar iedere website die je bezoekt, want als sip, transit provider, internet exchange, ... kan je altijd zien wat er voorbij komt en niet encrypted is en voor encrypted ook de server name.
Tomby
Elite Poster
Elite Poster
Berichten: 6350
Lid geworden op: 01 feb 2006, 12:36
Uitgedeelde bedankjes: 1287 keer
Bedankt: 486 keer
Recent bedankt: 2 keer

Tomsworld schreef:Als je zo paranoia bent.
Je hebt paranoia, of je bent paranoïde ;). Sorry, pet peeve van me...
streulma
Elite Poster
Elite Poster
Berichten: 815
Lid geworden op: 06 aug 2011, 16:39
Uitgedeelde bedankjes: 13 keer
Bedankt: 56 keer
Recent bedankt: 1 keer

Ik heb mijn Base APN van mijn smartphone er even bijgehaald en er staat geen Proxyserver vermeld:

APN: gprs.base.be
Proxy: Niet ingesteld
Poort: Niet ingesteld
Gebruikersnaam: BASE
Wachtwoord: **** (wellicht ook BASE)
MCC: 206
MNC: 20
Verificatietype: PAP
Type toegangspunt: default,supl
APN Protocol: IPv4
APN-roamingprotocol: IPv4
Operatortype virtueel netwerk: SPN
Operatorwaarde mobiel virtueel netwerk: BASE
Gebruikersavatar
NuKeM
Administrator
Administrator
Berichten: 5494
Lid geworden op: 10 nov 2002, 00:55
Uitgedeelde bedankjes: 114 keer
Bedankt: 234 keer
Recent bedankt: 4 keer

Dit zijn dan ook transparant proxies, je ziet ze normaal niet, ze zijn geen instelling of keuze, maar geforceerd.
Plaats reactie

Terug naar “Telenet (Chello, UPC)”