Beetje meer privacy 1: VPN

Door Megaflix op zondag 18 augustus 2013 17:16 - Reacties (25)
Categorie: My thoughts, Views: 16.120

Sinds de Edward Snowden Leaks over de afluisterpraktijken van allerlei geheime diensten in de wereld, ben ik iets anders gaan nadenken over mijn privacy op internet. In de afgelopen jaren ben ik nogal actief geweest en dat laat natuurlijk een grote footprint achter. Daar ga ik iets aan doen.

Het niet mijn doel om volledig verborgen te zijn voor de overheid, geheime diensten, bedrijven of andere mensen. Het internet gaat niet weg, social media hebben ook zeker positieve eigenschappen en ik ga ook niet alle advertenties blokkeren. Wat ik wel wil, is zelf de keuze hebben welke informatie ik deel, en vooral ook met wie ik die informatie deel. Gebruiksgemak blijft nog steeds een belangrijk punt.

Nu ben ik een complete noob als het aankomt op privacy, encryptie en de technieken daarachter. Waar kinderen van nu echt geen basiskennis over computers hebben, kan ik er goed mee uit de voeten en zal ik het zeker niet schuwen om te tweaken als dat de gebruikerservaring verbetert.

Ik zal de verschillende stappen die je kunt nemen ter bescherming van je privacy toelichten in verschillende blogposts. Denk daarbij aan het gebruik van een VPN, Tor, PGP / GnuPG voor email, live usb besturingssystemen, Off The Record (OTR) instant messaging, flash cookies, https. Ik hou me zeer zeker aanbevolen voor jullie tips en trucs, handige apps en links naar interessante websites. Als ik ergens een fout maak in mijn redenatie, dan ga ik er ook vanuit dat jullie me verbeteren.

Voor deze eerste aflevering heb ik gekozen voor VPN. De reden daarvoor is tweeledig. Ten eerste is het een eenvoudige stap, bruikbaar op bijna alle devices, en ten tweede levert het meteen een grote stap op in de richting van privacy.

Het probleem

Je wilt een website bezoeken, en je device stuurt je request via de verbinding van je ISP naar de betreffende server. In principe kan je ISP dus zien welke sites jij bezoekt. Op basis van de Wet Bewaarplicht Telecommunicatiegegevens is je ISP zelfs verplicht om een deel van die gegevens voor opsporingsdoeleinden op te slaan en gedurende een jaar te bewaren. Ga je online via een wifi hotspot? Een kwaadwillend persoon kan dan een man in the middle aanval uitvoeren en bijvoorbeeld je Facebooksessie kapen met Firesheep, of je bankgegevens als je even vlug een betaling doet. Websites kunnen hun bezoekers hier tegen beveiligen door https te gebruiken, maar dan moet dit wel geÔmplementeerd zijn. Veel websites doen dit helaas niet of slecht. Je zult dus zelf aan de bak moeten.

Firesheep

De oplossing

Hier komt de VPN om de hoek kijken, een ‘virtual private network’. Je maakt niet rechtstreeks een openbare verbinding met een server, maar een verbinding met een eigen server of die van een VPN-provider. Die verbinding beveilig je met encryptie. Die server laat je vervolgens de verbinding leggen met de site die je wilt bezoeken, of de mailserver waar je verbinding mee wilt maken. Het is een beveiligde tunnel. Zelfs de ISP kan niet meer zien welke sites jij bezoekt. Het enige wat ze kunnen zien, is dat je een verbinding legt met de VPN-server. Vergelijk het met in je eentje in een groot gebouw rondlopen. Iedereen zag je binnengaan en er uit komen, maar niemand weet wat je binnen deed.

Je kunt thuis een eigen VPN-server draaien en daar verbinding mee maken. Dan ben je veilig voor de ‘man in the middle’ aanval. Je thuis-ISP slaat vervolgens nog wel al je internetverkeer op. Je kunt er voor kiezen om een VPN-provider zoals iPredator of Private Internet Access in de arm te nemen. Je maakt dan een versleutelde verbinding met het internet via hun server. Met een VPN ben je een beetje beter beschermd tegen identiteitsdiefstal en diefstal van je waardevolle data.

Dit is niet het enige voordeel wat een VPN je kan bieden. Je maakt effectief verbinding via het internet via een andere server, en dat is ook je zichtbare IP-adres voor de sites die je bezoekt. Door middel van cookies kunnen ze je nog steeds volgen, maar je eigen IP-adres is afgeschermd. Maak je verbinding met een VPN-server in de Verenigde Staten? Dan kun je dus ook content bekijken en services gebruiken die alleen beschikbaar zijn in dat land, zoals Netflix of Hulu, omdat je een Amerikaans IP gebruikt.

Kies je VPN-provider zorgvuldig, kijk naar reviews, de snelheid van de verbindingen, de prijs, of ze logs bijhouden over welke sites je bezoekt en voor de meest paranoÔde gasten of ze Bitcoin accepteren. Voor de freeloaders zijn er ook gratis alternatieven, zoals OpenVPN.

Zelf heb ik gekozen voor een betaalde dienst, Private Internet Access in mijn geval. In veel reviews kwam deze als zeer goed uit de test. De snelheid is hoog, weinig vertraging in de verbinding, ze houden geen logs bij en de prijs is prima. Ik mag 5 apparaten tegelijkertijd verbinding met de VPN laten maken. Ik heb er drie, dus dat komt goed uit.

Op iOS

Mijn telefoon en tablet zijn van Apple. Apple heeft ingebouwde VPN-software. Nadeel is wel dat iedere keer dat je telefoon of tablet in slaapstand gaat, je VPN-verbinding weg is en hij overstapt op normale wifi of 3G zonder VPN. Op zoek naar een oplossing hiervoor kwam ik OpenVPN Connect tegen, de app van OpenVPN. De app nestelt zich in je telefooninstellingen en mag zelf de VPN-instellingen regelen, buiten de VPN van Apple om. Private Internet Access levert ook .ovpn bestanden voor gebruik in OpenVPN Connect, maar je moet wel een kleine wijziging er in maken om het werkend te krijgen. Deze app is overigens ook beschikbaar voor Android-users.

Het werkt als volgt (en ook met andere VPN-providers):
Je opent het .ovpn bestand in een teksteditor, je wijzigt de gegevens en server in die van de provider die je wilt gebruiken, en vervolgens stuur je in iTunes het certificaat plus dat bestand naar je OpenVPN Connect app. Start de app, vul je logingegevens in en druk op verbinding maken. En ja, deze app houdt wel je VPN permanent in stand! Je hoeft niet eens de app te laten draaien, dus kill hem gerust in je multitaskbar. Ik gebruik het hoofdzakelijk als ik inlog op een wifi hotspot of bij de wifi van vrienden en kennissen.

Het gebruik van een VPN betekent continue encryptie en decryptie. Dat kost processorkracht en dus heeft het gebruik van een VPN uitwerking op je batterijduur. Ik ben een medium gebruiker van telefoon en mijn tablet is mijn enige ‘pc’ met intensief gebruik. Bij volledige dagen op VPN ging mijn batterijduur ongeveer omlaag met 30% op de iPhone 5 en met 20% op de iPad 3. Het is wel een serieuze hit op je accuduur. Als je het alleen gebruikt op wifi-netwerken die je niet vertrouwd, dan merk je daar weinig van.

Op de laptop

Ik heb geen eigen laptop meer, maar mijn ouders wel. Die maakt geen verbinding met de ingebouwde VPN-client van Windows, maar via die van Private Internet Access zelf. Het is natuurlijk ook gewoon mogelijk om die van Windows te gebruiken, of de OpenVPN Connect client. Dit is een simpele installatie en er zijn geen instellingen, anders dan welke server je verbinding mee wilt maken. Je kunt zelfs instellen dat hij meteen na het opstarten van de pc al verbinding moet maken met de VPN.

VPN op je router

Er zijn routers waar je de gegevens van je VPN op kan instellen, zodat al je devices meteen beschermd zijn. Routers die deze functie niet hebben, kunnen deze krijgen door middel van de open source software van DD-WRT. Helaas is mijn router niet geschikt en zal ik dus in de toekomst uitkijken naar een geschikte router, die dit wel ondersteunt.

BestVPN.com: 5 best VPNs for Usenet
TorrentFreak: VPN services that take your anonimity seriously 2013 edition

Volgende delen

Dit was mijn eerste stap op weg naar privacy en veiligheid op internet. Ik ben erg benieuwd naar jullie eerste stap. Ik heb nog genoeg voer voor meer blogposts, dus vergeet niet terug te komen voor meer. Onderwerpen die onder meer nog de revue gaan passeren zijn het gebruik van Tor, diverse besturingssystemen, custom rom's voor telefoons, apps voor encrypted messaging, telefonie, sms en VoIP, webbrowsers, PGP / GnuPG voor email, en eventueel door jullie aangedragen items.

Volgende: Multitouch bloemen en planten 08-'12 Multitouch bloemen en planten

Reacties


Door Tweakers user Precision, zondag 18 augustus 2013 17:22

Hoe ga je om met cookies en etag's? (ETAG wordt gebruikt om bij te houden of je de laatste cache versie hebt zodat niet altijd alles over de lijn moet. Adhv die etag ben je ook te identificeren, de server kan die tag voor elke bezoeker uniek maken)

Door Tweakers user Megaflix, zondag 18 augustus 2013 17:31

Op de laptop gebruik ik Firefox met de plugins HTTPS Everywhere, HTTPS Finder, ShareMeNot, BetterPrivacy en Disconnect. BetterPrivacy is verantwoordelijk voor het verwijderen en verwijderd houden van LSO-cookies (flash cookies), Disconnect zorgt er voor dat tracken door advertentiebedrijven geblokkeerd wordt (zelf in te stellen per domein of subdomein). Zo heb ik er geen problemen mee als Tweakers.net mijn surfgedrag op hun eigen site in kaart brengt of volgt vanuit welke pagina of zoekopdracht ik op een pagina terecht kom.

Op iOS draai ik in Privacy-modus, waarbij ik eigenlijk alle cookies standaard blokkeer. In Windows neem ik daar de moeite (nog) niet voor.

ETAG ben ik nog niet zo in thuis, maar ik ga me er wel in verdiepen en zal daar in een volgende blog post over webbrowsers op terugkomen :)

Door Tweakers user Rudy, zondag 18 augustus 2013 21:40

Je kunt een i2p mail adres nemen. Dan weet je zeker dat je mail veilig zit. Downside is dat je het er maar voor over moet hebben 'al dat gedoe' :+

Door Tweakers user jamy015, maandag 19 augustus 2013 00:47

Bedankt voor de link naar het topic over het aanpassen van de OpenVPN-bestanden voor iOS! Ik ben zelf ook tevreden Private Internet Access-gebruiker, maar was onder de indruk dat OpenVPN op iOS in combinatie met deze provider niet mogelijk was (ik heb het een paar maanden geleden geprobeerd door zelf de bestanden aan te passen, maar kreeg het niet werkend, en zelfs door een medewerker op de Live Chat werd mij verteld dat het niet mogelijk was).

Eigenlijk klopt wat je zegt ("Private Internet Access levert ook .ovpn bestanden voor gebruik in OpenVPN Connect") niet helemaal, je moet dus met de instructies in dat topic de bestanden die zij leveren aanpassen zodat het werkt. Maar als ik jou en de mensen in dat topic mag geloven werkt het uiteindelijk wel :+

Ik ga het in ieder geval een dezer dagen uitproberen!

Door Tweakers user Megaflix, maandag 19 augustus 2013 01:09

Ik zal dat stukje morgen uitbreiden met een stap voor stap Nederlandse tutorial. Of als je wilt kan ik je de werkende .ovpn geven :) Klopt inderdaad dat je het bestand stukje moet wijzigen en dan via iTunes naar OpenVPN moet sturen, samen met het certificaat. Het door hun standaard geleverde bestand is gewoon stuk. Die app houdt je VPN permanent aan, echt super.

Door Tweakers user Snake, maandag 19 augustus 2013 07:12

Voor occasioneel gebruik kan je altijd Tunnelbear gebruiken. 500MB gratis + 1GB als je tweet.

Door Tweakers user HelaasPindakaas, maandag 19 augustus 2013 09:42

Interessant artikel!

Hoe is je ervaring met Private Interet Access omtrent downloaden? Staan zij, bijvoorbeeld vanaf nieuwsgroepen, downloaden toe?

Ik ben nu klant bij HideMyAss, maar door jouw blog kom ik tot de conclusie dat zij zeer waarschijnlijk wel logs bijhouden |:( Ik neem tenslotte niet voor niets zo'n dienst af.

Door Tweakers user Megaflix, maandag 19 augustus 2013 10:12

Uit de privacy statement van Hidemyass blijkt dat je best veilig zit. Ze loggen alleen de web proxy, niet de VPN.
What data we collect: We will store a time stamp and IP address when you connect and disconnect to our VPN service together with the IP address of the individual VPN server used by you. We do not store details of, or monitor, the websites you connect to when using our VPN service.
TorrentFreak heeft een mooi overzicht van VPN-providers die privacy hoog in het vaandel hebben. Ik heb mijn keuze gebaseerd op een andere website, maar kon die niet teruggevonden krijgen. Dat was een top 5 van beste providers. PIA scoort daar erg goed op gebied van privacy, ook al is het een Amerikaans bedrijf. Ze hebben geen probleem met downloaden van nieuwsgroepen.

[Reactie gewijzigd op maandag 19 augustus 2013 10:13]


Door Tweakers user himlims_, maandag 19 augustus 2013 10:18

hoe zit je met je connectie? heb het in verleden eens geprobeerd; maar de sessie tijd, verbinding kwaliteit en betrouwbaarheid vond ik om te janken; geen functionele oplossing.

Door Tweakers user Megaflix, maandag 19 augustus 2013 10:41

Sessie op de iPad staat al zeker een week open zonder problemen. Hieronder 2 uitvoeringen van Speedtest op mijn telefoon. Met en zonder VPN. Verbinding met de 802.11g range extender, welke via wifi verbinding heeft met mijn router. Gebruikte verbinding is 100Mbit glasvezel. Gebruikte VPN-server in Arnhem. Ping is nog steeds goed, snelheid neemt wel af, maar zowel up als down nog prima geschikt voor onder andere downloaden. Grootste bottleneck is de range extender :)

Zonder VPN
Met VPN

Door Tweakers user Freekers, maandag 19 augustus 2013 10:50

HelaasPindakaas schreef op maandag 19 augustus 2013 @ 09:42:
Ik ben nu klant bij HideMyAss, maar door jouw blog kom ik tot de conclusie dat zij zeer waarschijnlijk wel logs bijhouden |:( Ik neem tenslotte niet voor niets zo'n dienst af.
Klopt helemaal. De enige manier om er dus voor te zorgen dat je gebruik maakt van een VPN die geen logs bijhoudt, is door er zelf eentje op te zetten. Dat kan heel makkelijk met OpenVPN op een eigen (virtual) private server, die al te krijgen is voor nog geen euro per maand (www.lowendbox.com).
Indien gewenst kan ik mijn OpenVPN setup script delen, wat op Ubuntu en Debian Server (commandline only dus) via SSH/Putty geheel geautomatiseerd OpenVPN download, installeert en configureert.
As we speak maak ik gebruik van mijn OpenVPN verbinding gehost op mijn Raspberry Pi die gratis gecolocated staat bij PC Extreme.

Door Tweakers user Opinion, maandag 19 augustus 2013 11:29

Tip: Whatsapp alternatief met oog op privacy: heml.is
Het is nog in de maak, maar staat genoeg info op de site voor een eerste indruk. De service is gratis zolang je je beperkt tot berichten sturen, als je foto's etc. wilt delen moet je een betaalde account hebben (eenmalig bedrag).
Edit: gruwelijke spelfouten verbeterd

[Reactie gewijzigd op dinsdag 20 augustus 2013 12:05]


Door Tweakers user Megaflix, maandag 19 augustus 2013 11:46

Freekers schreef op maandag 19 augustus 2013 @ 10:50:
Indien gewenst kan ik mijn OpenVPN setup script delen, wat op Ubuntu en Debian Server (commandline only dus) via SSH/Putty geheel geautomatiseerd OpenVPN download, installeert en configureert.
As we speak maak ik gebruik van mijn OpenVPN verbinding gehost op mijn Raspberry Pi die gratis gecolocated staat bij PC Extreme.
Draait het ook op Linux Mint Debian Edition? Dan heb ik zeker interesse in je script. Staat het ergens online?
Faber89 schreef op maandag 19 augustus 2013 @ 11:29:
Tip: Whatsapp alternatief met oog op privacy: heml.is
Het is nog in de maak, maar staat genoeg info op de site voor een eerste indruk. De service is gratis zolang je je beperkt tot berichten sturen, als je foto's etc. wilt delen moet je een betaalde accound hebt (eenmalig bedrag).
Ik heb ook meegedaan aan de crowdfunding-actie hiervoor. En aan die van Mailpile.is ook. Encrypted email die je zelf kan draaien op je server en mogelijkheid tot webbased inloggen daarop.

[Reactie gewijzigd op maandag 19 augustus 2013 11:47]


Door Tweakers user Rudy, maandag 19 augustus 2013 14:55

Freekers schreef op maandag 19 augustus 2013 @ 10:50:
[...]


Klopt helemaal. De enige manier om er dus voor te zorgen dat je gebruik maakt van een VPN die geen logs bijhoudt, is door er zelf eentje op te zetten. Dat kan heel makkelijk met OpenVPN op een eigen (virtual) private server, die al te krijgen is voor nog geen euro per maand (www.lowendbox.com).
Indien gewenst kan ik mijn OpenVPN setup script delen, wat op Ubuntu en Debian Server (commandline only dus) via SSH/Putty geheel geautomatiseerd OpenVPN download, installeert en configureert.
As we speak maak ik gebruik van mijn OpenVPN verbinding gehost op mijn Raspberry Pi die gratis gecolocated staat bij PC Extreme.
Ik zou niet bepaald zeggen dat je voor nog geen euro per maand je eigen, stabiele goed functionerende vps hebt :'(

Misschien te gebruiken als een ssh proxy doos... als je geluk hebt.

Als je een beetje stabiliteit wilt zul je toch echt wel een tientje moeten neertellen imho

Door Tweakers user Freekers, maandag 19 augustus 2013 15:00

Megaflix schreef op maandag 19 augustus 2013 @ 11:46:

Draait het ook op Linux Mint Debian Edition? Dan heb ik zeker interesse in je script. Staat het ergens online?
Phoe, durf ik niet te zeggen. Ik zal het op Github knallen.
EDIT: Heb hem op Github gezet:
https://github.com/Freekers/AutOpenVPN
Rudy schreef op maandag 19 augustus 2013 @ 14:55:
Ik zou niet bepaald zeggen dat je voor nog geen euro per maand je eigen, stabiele goed functionerende vps hebt :'(

Misschien te gebruiken als een ssh proxy doos... als je geluk hebt.

Als je een beetje stabiliteit wilt zul je toch echt wel een tientje moeten neertellen imho
Ik wel. Ik heb een box bij InceptionHosting (NL), Prometeus (Italy) en IPXCore (US) voor nog geen euro per maand per stuk. Draaien allemaal als een tierelier. Is wel maar 128MB RAM per stuk, maar meer heb je echt niet nodig voor puur en alleen OpenVPN.

[Reactie gewijzigd op maandag 19 augustus 2013 15:10]


Door Tweakers user procyon, maandag 19 augustus 2013 16:35

Mocht je nog een routertje zoeken met VPN support ingebouwd, dan heb ik er nog eentje voor je liggen. Ben zelf overgestapt op de vigor 2710 omdat deze dan ook mijn modem zelf vervangt.

Linksys WRV200 Wireless-G VPN Router with RangeBooster, is dus overcompleet geworden, hoef er niet veel voor te hebben :)
(heeft de laatste firmware die stabiel draait)

[Reactie gewijzigd op maandag 19 augustus 2013 16:36]


Door Tweakers user Megaflix, maandag 19 augustus 2013 17:11

Een blog op Securityrecht.nl: Anonieme VPN aanbieden, mag dat? Ik ben benieuwd naar de uitkomst daarvan.

Door Tweakers user wizzkizz, maandag 19 augustus 2013 20:39

Freekers schreef op maandag 19 augustus 2013 @ 10:50:
Klopt helemaal. De enige manier om er dus voor te zorgen dat je gebruik maakt van een VPN die geen logs bijhoudt, is door er zelf eentje op te zetten. Dat kan heel makkelijk met OpenVPN op een eigen (virtual) private server, die al te krijgen is voor nog geen euro per maand (www.lowendbox.com).
bedenk wel dat je in feite beter traceerbaar bent als je al je verkeer via een externe box laat lopen en die box alleen verkeer van jou routeert. Statisch IP, dus altijd hetzelfde daar waar veel thuisverbindingen nog DHCP hebben met in ieder geval een theoretische kans op een ander IP adres. Advertentienetwerken, analytics bedrijven etc. leidt je hier dus niet mee om de tuin.

Je verkeer is niet zichtbaar voor je ISP, maar dat is tegelijk ook weer een afwijking van een normaal patroon. En dat maakt je dus interessant in Nederland aftapland. En als je de enige ben die gebruik maakt van die externe box, is al het verkeer daar vandaan dus van jou. (Als ze je box monitoren is dat gemakkelijk te zien.) Je kunt dit voorkomen door een grote hoeveelheid verkeer vanaf je server te laten komen waar jouw verkeer dan in verborgen zit. Bijvoorbeeld door een TOR exit node te draaien. Of toch maar zo veel mogelijk end-to-end te versleutelen en via een commerciŽle VPN aanbieder.

Door Tweakers user Opinion, dinsdag 20 augustus 2013 08:22

Megaflix schreef op maandag 19 augustus 2013 @ 11:46:
[...]
Ik heb ook meegedaan aan de crowdfunding-actie hiervoor. En aan die van Mailpile.is ook. Encrypted email die je zelf kan draaien op je server en mogelijkheid tot webbased inloggen daarop.
Bedankt voor de tip van Mailpile.is! Heb me ook hierbij aangesloten door te doneren.

[Reactie gewijzigd op dinsdag 20 augustus 2013 08:47]


Door Tweakers user jorisk322, dinsdag 20 augustus 2013 21:42

Ik weet hier zelf erg weinig vanaf, en kon het antwoord niet vinden d.m.v een snelle google-search (waarschijnlijk was het antwoord er wel, maar begreep ik het niet), dus vraag ik het hier:
VPN-providers geven aan dat je ISP niet kan meekijken naar je internet-gedrag, maar is dat wel echt waar? Mijn gegevens gaan dan misschien versleuteld naar de VPN en versleuteld terug, vanaf de VPN naar de rest van het internet is het dus niet versleuteld (of begrijp ik dat verkeurd?), waardoor de ISP van de VPN alsnog kan meekijken. Kan iemand mij vertellen of dit zo is en waarom dit wel/geen probleem zou zijn? Alvast bedankt.

[Reactie gewijzigd op dinsdag 20 augustus 2013 21:42]


Door Tweakers user Soldaatje, dinsdag 20 augustus 2013 23:16

De ISP van de VPN server heeft waarschijnlijk geen naw gegevens van alle VPN gebruikers, alleen van de VPN-beheerder, dan is het dus veiliger.
Het is dus vooral handig als je je eigen ISP niet vertrouwt (of de overheid) maar ergens komt het verkeer toch weer tevoorschijn, dat is waar.

Door Tweakers user Megaflix, dinsdag 20 augustus 2013 23:44

Inderdaad is een VPN geen end-to-end encrypted verbinding zoals dat mooi heet. Je moet inderdaad ergens weer het internet op komen. Een VPN gebruik je met name om veilig op openbare hotspots te kunnen, zonder bang te hoeven zijn voor een man-in-the-middle aanval. In theorie kan de ISP van je VPN-provider meekijken, maar die weet niet dat jij het bent + het feit dat er vanaf die VPN-provider misschien wel een paar miljoen connecties gelegd worden op hetzelfde IP-adres naar allerlei servers. Maar combineer VPN met Tor en bezoek een site net https en dan ben je er redelijk zeker van dat er niemand mee kan kijken. Tor maakt je al redelijk anoniem op internet, met VPN is je IP adres sowieso al verborgen plus een heel eind van je verbinding is encrypted en met https is je verbinding ook nog eens end-to-end encrypted.

Door Tweakers user jorisk322, woensdag 21 augustus 2013 00:45

Ok, bedankt voor jullie antwoorden!

Door Tweakers user jamy015, donderdag 22 augustus 2013 17:52

Megaflix schreef op maandag 19 augustus 2013 @ 01:09:
Of als je wilt kan ik je de werkende .ovpn geven :)
Dat hoeft niet hoor, ik heb het intussen werkend gekregen :)

Door Tweakers user aCiDcHaOZ, vrijdag 27 september 2013 09:52

Komt er nog een follow-up? Ik wil meer!

Reageren is niet meer mogelijk