APN opgedrongen proxy schending van de privacy?

ub4b
Elite Poster
Elite Poster
Berichten: 4046
Lid geworden op: 12 Jan 2006
Bedankt: 334 keer
Uitgedeelde bedankjes: 58 keer

APN opgedrongen proxy schending van de privacy?

Berichtdoor ub4b » 28 Dec 2019, 11:31

Mods: kunnen jullie topic aub moven naar viewforum.php?f=80 , te laat gezien

base-proxy-proof-via-firefox.jpg


Toen mijn phone in vliegtuigstand stond, en ik naar slashdot.org wou surfen, zie ik een proxy connection refused. Ik gebruik firefox op android.

Ik heb nog load balanced proxies bij een telecomvendor voor 10K users opgezet met authenticatie, en ik kon dus perfect de inhoud & het surfgedrag volgen als ik dat zou willen, terwijl dat niet de bedoeling was. Maar in zeldzame gevallen dat bvb één node erin slaagde om een proxy onderuit te halen, dan konden we niet anders dan in de logs kijken. Dat een ISP dit pushed is onaanvaardbaar. Zij krijgen nu inzage in de inhoud dus layer 7 van de OSI laag, iets waar zij geen helemaal geen zaken mee hebben.

In firefox voor android kan je network.proxy.type op 0 zetten ipv de default 5, maar dit lost het privacy probleem enkel op voor één app, terwijl system wide nog steeds alle HTTP onderschept wordt door de proxy van base.

https://android.stackexchange.com/quest ... y-settings

Wat is het probleem? Stel je surft naar een bepaalde zoekterm "privaat onderwerp". Als ze je verplichten een proxy te gebruiken, dan komt de zoekterm in hun logs:

https://www.google.com/search?q=privaat+onderwerp

Ik kan dit weten want ik gebruik zelf transparante proxy servers om GPL firmwares van bepaalde IOT devices te onderscheppen, maar dan op mijn eigen netwerk waar ik dit legaal mag, gezien de vendor weigert om de GPL firmware direct downloadbaar te maken.

Stel dat je geen proxy gebruikt, dan kunnen ze deze zoekterm niet zomaar zien tenzij ze DPI of andere illegale praktijken uitoefenen, want de inhoud wordt niet gelogd, maar hooguit de communicatie tussen jouw uitgaande poort en een remote webserver (google) zonder kennis te nemen van de inhoud. Ze zien dus hooguit logs op layer 3 of 4 in het OSI model. Als ze een proxy afdwingen nemen ze op eenvoudige wijze kennis van ALLE communicatie, gezien de inhoud gecached wordt ergens op een server.

En ik weet maar al te goed hoe makkelijk het is om die data terug uit de cache te vissen.

Dus hoe is een afgedwongen proxy server nog compliant met de GDPR? Volgens mij heeft een operator geen recht om de inhoud te bewaren, dat doen ze nu door objecten op disk op te slaan, en door de volledige query string te loggen zoals typisch gebeurt door proxy servers. Verder kan een proxy ook SSL traffic decrypteren en opnieuw encrypteren.

En inderdaad, na wat zoeken wordt dit via de APN settings gepushed system wide op Android, en gezien firefox default value van network.proxy.type op 5 staat, volgt hij braaf de door Base opgelegde settings.

base-apn-proxy-values.jpg
base-apn-proxy-values.jpg (8.5 KiB) 571 keer bekeken


Komen deze settings via de simkaart, of kunnen ze ook OTA (over the air) gepushed worden? Ik overweeg een klacht tegen Base wegens schending van de privacy.

Je kan in Android wel de APN settings wijzigen, zodat de 2 specifieke proxy config lijntjes niet langer toegepast worden, echter een default opt-in vind ik een grove schending van onze privacy.
Laatst gewijzigd door meon op 28 Dec 2019, 12:05, 1 keer totaal gewijzigd.
Reden: Bericht verplaatst naar Telenet-subforum.

lithion
Elite Poster
Elite Poster
Berichten: 1799
Lid geworden op: 21 Aug 2006
Bedankt: 49 keer
Uitgedeelde bedankjes: 6 keer

Re: APN proxy schending van de privacy

Berichtdoor lithion » 28 Dec 2019, 12:32

Welkom op het wereldwijde web, waar elke node waar jouw verkeer passeert, kan meeluisteren als je niet versleutelde verbindingen gebruikt? SSL decryptie is enkel mogelijk wanneer hun root cert op jouw toestel staat en er geen HSTS (cert pinning ed) gebruikt wordt door de leverancier.

Gebruikersavatar
meon
Administrator
Administrator
Berichten: 15925
Lid geworden op: 18 Feb 2003
Twitter: meon
Locatie: Bree
Bedankt: 565 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 492 keer
Contact:

Re: APN proxy schending van de privacy

Berichtdoor meon » 28 Dec 2019, 13:12

Mja, je mag er van uit gaan dat alles wat je in een URL voorbij ziet komen wel ergens bij een ISP gelogd zal worden, proxy of niet.

Het concept 'proxy' zoals we dat traditioneel kennen is tegenwoordig een hele suite aan beveiligingstools waarbij caching (het oorspronkelijke nut van een proxy) vaak niet eens gebruikt wordt. Normaal gezien zouden HTTPS-verbindingen getunneld moeten worden tenzij ze onderweg her-encrypteren, maar ik neem aan dat op unmanaged devices zoals jouw smartphone geen root-certificaat van de proxy geïnstalleerd staat, dus lijkt me weinig waarschijnlijk. Bovendien worden voor bepaalde sites/diensten certificate pinning gebruikt waarbij ook dat niet transparant zou werken.

Is dit nu schending van de privacy... Ik weet 't zo niet. Net zoals CGNAT zal dit om netwerkverkeeroptimalistatie gaan en is dit dus iets dat vanuit het aanbieden van de dienst gedaan wordt.

Tomsworld
Elite Poster
Elite Poster
Berichten: 2054
Lid geworden op: 29 Jan 2004
Bedankt: 176 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 26 keer

Re: APN opgedrongen proxy schending van de privacy?

Berichtdoor Tomsworld » 28 Dec 2019, 14:15

Als jij geen root certificaat hebt geïnstalleerd van je isp kan die evenveel zien in de logs, dan op een gewone utm firewall. Ze doen dit idd voor caching / optimalisatie.

Als je zo paranoia bent misschien permanent vpn doen naar een server in je eigen netwerk, en vpn vragen naar iedere website die je bezoekt, want als sip, transit provider, internet exchange, ... kan je altijd zien wat er voorbij komt en niet encrypted is en voor encrypted ook de server name.
Provider: Orange cable 100/10
Netwerk: Unifi Edgerouter 4, 2 x UniFi® AP AC Pro 's + UniFi switches Voip: Voip 3cx & Ovh + 3*net
Tv: Orange decoder

Tomby
Elite Poster
Elite Poster
Berichten: 4126
Lid geworden op: 01 Feb 2006
Bedankt: 275 keer
Recent bedankt: 3 keer
Uitgedeelde bedankjes: 567 keer

Re: APN opgedrongen proxy schending van de privacy?

Berichtdoor Tomby » 4 weken 1 dag 3 uur geleden (29 Dec 2019, 18:44)

Tomsworld schreef:Als je zo paranoia bent.


Je hebt paranoia, of je bent paranoïde ;). Sorry, pet peeve van me...
Afbeelding

streulma
Member
Member
Berichten: 63
Lid geworden op: 06 Aug 2011
Bedankt: 4 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 1 keer

Re: APN opgedrongen proxy schending van de privacy?

Berichtdoor streulma » 4 weken 23 uur 41 minuten geleden (29 Dec 2019, 22:50)

Ik heb mijn Base APN van mijn smartphone er even bijgehaald en er staat geen Proxyserver vermeld:

APN: gprs.base.be
Proxy: Niet ingesteld
Poort: Niet ingesteld
Gebruikersnaam: BASE
Wachtwoord: **** (wellicht ook BASE)
MCC: 206
MNC: 20
Verificatietype: PAP
Type toegangspunt: default,supl
APN Protocol: IPv4
APN-roamingprotocol: IPv4
Operatortype virtueel netwerk: SPN
Operatorwaarde mobiel virtueel netwerk: BASE

Gebruikersavatar
NuKeM
Content Editor
Content Editor
Berichten: 4288
Lid geworden op: 10 Nov 2002
Locatie: Vlaams Brabant
Bedankt: 69 keer
Recent bedankt: 2 keer
Uitgedeelde bedankjes: 26 keer
Contact:

Re: APN opgedrongen proxy schending van de privacy?

Berichtdoor NuKeM » 4 weken 14 uur 24 minuten geleden (30 Dec 2019, 08:07)

Dit zijn dan ook transparant proxies, je ziet ze normaal niet, ze zijn geen instelling of keuze, maar geforceerd.


Terug naar “Telenet (BASE)”

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 0 gasten