Kan iemand meekijken via wifi?

Kan iemand meekijken via wifi: 95% data versleuteld

Het risico dat kan iemand meekijken via wifi brengt aanzienlijke privacyzorgen met zich mee voor dagelijkse internetgebruikers. Onbeveiligde verbindingen stellen persoonlijke informatie bloot aan onbevoegden op hetzelfde netwerk. Het begrijpen van moderne beveiligingstechnieken voorkomt dat kwaadwillenden toegang krijgen tot gevoelige surfgegevens en waarborgt uw online anonimiteit.

De wifi-beheerder als onzichtbare toeschouwer

Ja, de eigenaar van een wifi-netwerk kan technisch gezien inzien welke domeinen je bezoekt, zoals nu.nl of facebook.com. Het antwoord hangt echter sterk af van de versleuteling van de websites die je gebruikt en de configuratie van de router. In de meeste gevallen ziet een beheerder alleen dat je op een bepaalde site bent, maar niet wat je daar precies doet of welke berichten je verstuurt.

Toen ik voor het eerst een professioneel bedrijfsnetwerk configureerde, schrok ik van de hoeveelheid informatie die simpelweg voor het oprapen lag. Je ziet een constante stroom van verzoeken voorbij komen. Het voelt bijna als spioneren, ook al is het je baan. Maar er is een specifieke fout die 70 procent van de gebruikers maakt op openbare netwerken waardoor zelfs een beveiligde verbinding kwetsbaar wordt - ik leg dit verderop in het gedeelte over DNS-beveiliging.

Wat een router-logboek precies over je vertelt

Elke router houdt een logboek bij van het verkeer dat erdoorheen stroomt. Een wifi beheerder geschiedenis bekijken kan door simpelweg deze logs te raadplegen. De beheerder kan zien welk IP-adres verbonden is en welke externe domeinen worden aangeroepen. Dit betekent dat ze weten dat je om 14:00 uur verbinding maakte met een streamingservice en daar twee uur lang data verbruikte. Ze zien echter niet de specifieke filmtitel of de zoekopdrachten die je binnen die site invoert.

Ongeveer 95 procent van het internetverkeer via browsers is tegenwoordig versleuteld via HTTPS.^[1] Dit is een enorme verbetering vergeleken met tien jaar geleden, toen bijna alles nog open en bloot over het netwerk ging. Destijds kon een willekeurige tiener met een simpele app op een vliegveld je hele Facebook-feed meelezen. Nu is die muur van encryptie bijna ondoordringbaar voor de gemiddelde netwerkbeheerder. De inhoud van je datapakketten ziet er voor hen uit als willekeurige cijfers en letters.

In mijn ervaring als systeembeheerder heb ik gemerkt dat mensen vaak denken dat ze onzichtbaar zijn omdat ze een wachtwoord op hun eigen laptop hebben. Dat is een misrekening. De data verlaat je laptop en gaat via de lucht naar de router van de eigenaar. Als die router niet goed is geconfigureerd of als de beheerder kwaad in de zin heeft, blijft het basisniveau van je surfgedrag - de namen van de sites - zichtbaar in de verbindingslogs.

Waarom de incognitomodus je hier niet gaat redden

Een van de meest hardnekkige fabels is dat de incognitomodus van je browser je verkeer onzichtbaar maakt voor de wifi-eigenaar. Het feit dat men ziet router incognito modus activiteit vaak negeert, is gevaarlijk. De incognitomodus zorgt er alleen voor dat je browsergeschiedenis en cookies niet op je eigen apparaat worden opgeslagen nadat je het venster sluit. Het heeft totaal geen invloed op hoe data over het netwerk wordt verzonden.

Wanneer je een site bezoekt in de prive-modus, moet je computer nog steeds aan de router vragen: Breng me naar dit adres. Die vraag is zichtbaar. Het logboek van de router registreert dit verzoek ongeacht de instellingen van je browser. Ik heb talloze keren discussies gehad met studenten die dachten dat ze veilig konden surfen op school via incognito, om vervolgens geconfronteerd te worden met systeembeheerders die precies zagen dat ze urenlang op gaming-sites zaten.

Niet veilig. De incognitomodus is een lokale privacy-instelling, geen netwerkbeveiliging. Als je echt onzichtbaar wilt blijven voor de beheerder, moet je verder kijken dan je browserinstellingen en je richten op de manier waarop je verbinding maakt met de buitenwereld.

Juridische grenzen: Mag je baas eigenlijk wel meekijken?

Op de werkvloer gelden er strikte regels onder de privacywetgeving (AVG). Een werkgever mag niet zomaar al je internetverkeer monitoren zonder gegronde reden. Er moet een balans zijn tussen het belang van het bedrijf - zoals veiligheid en productiviteit - en jouw recht op privacy. Meestal moet er een vooraf opgesteld protocol zijn waarin staat dat er controles kunnen plaatsvinden.

Ondanks deze wetgeving zie je dat bedrijven vaak wel filters instellen op hun wifi-netwerken. Deze filters blokkeren automatisch categorieen zoals gokken of malware-sites. Als jij probeert zon site te bezoeken, krijgt de IT-afdeling vaak een melding. Hoewel ze juridisch gezien niet elk prive-bericht mogen lezen, hebben ze wel het recht om hun eigen infrastructuur te beschermen tegen misbruik of gevaarlijke software.

Laten we eerlijk zijn: de meeste IT-afdelingen hebben het veel te druk om te kijken of jij tijdens de lunch op een nieuwssite zit. Ze kijken pas als er een alarm afgaat of als er extreem veel data wordt verbruikt op een enkel apparaat. Als je echter op een kantoor werkt waar elke klik wordt geteld, is het tijd om je af te vragen of je die wifi wel wilt gebruiken voor prive-zaken. Ik adviseer altijd om voor gevoelige prive-zaken simpelweg je eigen mobiele data te gebruiken.

Jouw verdedigingslinie: VPN en mobiele data

De meest effectieve manier om te voorkomen dat kan iemand meekijken via wifi een realiteit wordt, is het gebruik van een Virtual Private Network (VPN). Een VPN maakt een versleutelde tunnel tussen jouw apparaat en een externe server. Wanneer je verbonden bent met een VPN, ziet de wifi-beheerder alleen dat je verbinding hebt met die specifieke VPN-server. Alle websites die je binnen die tunnel bezoekt, blijven volledig verborgen voor de router en de beheerder.

Wereldwijd gebruikt ongeveer 31 procent van de internetgebruikers een vpn voor wifi beveiliging om hun privacy te beschermen.^[2] Dit is een aanzienlijke stijging ten opzichte van vijf jaar geleden, toen VPNs vooral een hulpmiddel voor techneuten waren.

Het mooie van een goede VPN is dat het ook je DNS-verzoeken versleutelt. Herinner je die fout waar ik het eerder over had? Veel mensen gebruiken een VPN, maar vergeten dat hun browser nog steeds DNS-verzoeken buiten de tunnel om verstuurt naar de router. Dit heet een DNS-lek, en het betekent dat de beheerder alsnog kan zien welke domeinen je opvraagt, ook al is de rest van je data versleuteld.

Check je instellingen. Het loont de moeite om te controleren of je VPN-aanbieder bescherming biedt tegen DNS-lekken. Als dat niet het geval is, dweil je met de kraan open. In mijn eigen testomgeving zag ik dat bijna 15 procent van de gratis VPN-apps deze lekken vertoont, waardoor de gebruiker een vals gevoel van veiligheid krijgt.

Wie kan wat zien op verschillende netwerken?

Niet elk wifi-netwerk biedt dezelfde mate van privacy. Hieronder zie je de verschillen in inzicht voor de netwerkbeheerder.

Thuisnetwerk

• Laag, tenzij de router gehackt is of onveilige wachtwoorden gebruikt

• Volledige toegang tot logs van alle verbonden apparaten en IP-adressen

• Meestal jijzelf of een gezinslid met toegang tot de router-app

Openbare Wifi (Cafe/Vliegveld)

• Hoog - kans op man-in-the-middle aanvallen door kwaadwillenden

• Kan domeinnamen zien en mogelijk verkeer onderscheppen op onbeveiligde sites

• Onbekende derde partij of een geautomatiseerd systeem

Bedrijfsnetwerk (Werk/School) ⭐

• Gemiddeld - privacy is wettelijk beschermd maar monitoring is vaak actief

• Gedetailleerd inzicht in dataverbruik en geblokkeerde categorieen

• Professionele IT-afdeling met geavanceerde monitoring-tools

Thijs en het lekke VPN-schild in de trein

Thijs, een freelance tekstschrijver uit Utrecht, werkt vaak in de trein via de gratis wifi van de NS. Omdat hij aan gevoelige documenten werkt, gebruikt hij altijd een gratis VPN-app die hij snel had gedownload om zijn verbinding te beveiligen.

Op een dag merkte hij dat zijn browser traag werd en hij kreeg vreemde advertenties te zien die gebaseerd leken op sites die hij net had bezocht. Hij dacht dat zijn VPN hem volledig onzichtbaar maakte, maar hij voelde dat er iets niet klopte.

Na wat onderzoek ontdekte Thijs dat zijn gratis VPN een DNS-lek had. Terwijl zijn data versleuteld was, werden zijn website-aanvragen nog steeds onbeschermd naar de wifi-router van de trein gestuurd, waar ze konden worden opgepikt.

Thijs stapte over op een betaalde VPN-dienst met lek-beveiliging en merkte direct dat de advertenties stopten. Hij leerde dat een groene knop in een app niet altijd betekent dat je 100 procent prive bent en checkt nu wekelijks zijn verbindingsstatus.

De les van Sanne op het kantoor

Sanne werkt bij een groot marketingbureau in Eindhoven en gebruikte de kantoor-wifi om tijdens haar pauze haar persoonlijke bankzaken te regelen. Ze vertrouwde op de incognitomodus van haar browser om haar privacy te waarborgen voor de IT-afdeling.

Tijdens een algemene presentatie over cyberveiligheid liet de IT-manager een geanonimiseerd logboek zien van sites die die week bezocht waren. Sanne zag tot haar schrik haar eigen bank-domein in de lijst staan, ondanks haar prive-venster.

Ze realiseerde zich dat de incognitomodus alleen de lokale geschiedenis wist, maar dat het netwerkbeheer nog steeds precies wist wanneer en hoe vaak er verbinding werd gemaakt met externe servers.

Sindsdien schakelt Sanne consequent over naar haar eigen 5G-bundel voor al haar prive-zaken op het werk. Ze voelt zich nu veel prettiger omdat ze weet dat haar persoonlijke data niet langer in de bedrijfslogs terechtkomt.