En wederom proberen ze de providers op de stoel van de rechter te zetten. Het is niet aan de providers om te beoordelen of iets wel of niet mag. Dat moet de politie toch echt zelf doen.

En wat valt er onder "cybercriminaliteit"? Hoe zit het met pagina's waar kritiek wordt geuit op bijvoorbeeld islam of overheid? Krijg je dan net zoals een aantal Twitteraars politie aan de deur?

Deze chef praat veel maar zegt eigenlijk niks. Ja, natuurlijk zijn hostingpartijen 'enablers' voor criminelen, maar zo zijn wegen ook 'enablers' voor hardrijders, en messen zijn 'enablers' voor steekpartijen. Het woord "faciliteren" komt hopelijk niet uit zijn mond, want dan zou het echt een incompetent figuur zijn (dat zou betekenen dat een hostingpartij medeplichtig zou zijn).

Hoe dan ook, hostingproviders hebben niet direct baat om heel actief te acteren. Behalve dat dit heel moeilijk is (immers kun je moeilijk gaan grutten in het dataverkeer van je klanten), hebben zij ook geen commercieel incentive om dat heel actief te doen of daarin te investeren (immers een goed betalende crimineel is nog altijd een goed betalende klant).

Dus tenzij de politie die internationaal coördinerende rol op zich gaat nemen, gaat er aan het spel niks veranderen. Het grappige is, is dat je dit in principe 20 jaar terug ook al had kunnen zeggen. Toen was er weliswaar nog niet echt sprake van 'cybercrime', maar internet gerelateerde criminaliteit (internet als een enabler) was er wel degelijk. Dus de politie heeft eigenlijk 20 jaar zitten slapen, en komt nu met een 'briljante' maar ook ondoordachte stelling waar eigenlijk niemand wat aan heeft.

Ik hoop dat de lunch lekker was tijdens de conferentie, want ik zou het zonde vinden als mijn belastinggeld die dag helemaal aan onzin was opgegaan.


op zich wil gaan nemen (zoals inderdaad in de internetcommunity deze taak eigenlijk al sinds het begin der tijden bijvoorbeeld door abuse medewerkers van ISPs en andere partijen wordt gedaan), gaat er helemaal niks veranderen.

Korpschef schuift verantwoordelijkheden eigen taken af naar providers

Deze discussie is al vaker gevoerd met als uitkomst dat providers geen politie agenten zijn en die verantwoordelijkheid ook niet hebben.
Zij faciliteren een dienst, het doorgeven van data.

Op het moment dat providers verantwoordelijk worden om die data inhoudelijk te gaan screenen en beoordelen schaadt zij de privacy van haar klanten.
Hier is dus iets anders aan de hand.
De zoveelste variatie op een strategie die al in allerlei variaties gehanteerd wordt.

Wanneer de politie iets niet mag kijkt ze naar anderen die dat eventueel wel mogen of doen.
Daarmee ontstaat de handige situatie dat zij zelf buiten schot blijft en schone handen houdt.

Data laten verzamelen en parkeren bij de belastingdienst en die dan daar opvragen.
Bouwmarkten hun eigen camerabeelden laten aandragen en screenen op klanten die bijvoorbeeld een breekijzer of zware hamer kopen.
Hotels 'vrijwillig' hun complete gastenlijsten laten langsbrengen (dat mag niet meer).
Providers onder druk zetten met bepaalde websites en dreigend te wijzen dat die in strijd kunnen zijn met de eigen voorwaarden zodat er geen rechtelijke beoordeling nodig is om te beoordelen of die website wel of niet wetten overschrijdt.

Dat heet, zoals opstelten ooit al zei, werken langs de kaders van de wet.
Beter gesteld, misbruik maken van de mazen in de wet.
Dat boeven dat doen is begrijpelijk.
Dat de overheid zelf aan alle kanten naar gaten in de wet zoekt om ze in haar te misbruiken heeft eigenlijk weinig meer de intentie van een rechtsstaat te maken.

Alles verwordt onderhand tot woordspelletjes (samenwerken dient gelezen te worden als afschuiven en impliciet dwingen) en het bespelen van publieke opinie om invloed uit te oefenen op politieke besluiten.
Als dat aanhouden gebeurt, en dat is aan de hand, breek je de publieke opinie wel, het publiek wordt niet alleen security moe maar ook moe van het aanhoudende gelieg, gesuggereer en gedram om meer bevoegdheden.

Voor de gemiddelde burger die er geen full time job van wil maken om het nog te volgen en te snappen is het vroeg of laat genoeg.
Dan krijgt de politie en politiek haar zin.
Dat is de inzet en het werkt.

Maar kloppen doet het niet deze asymmetrische strijd.

Want wij hebben niet de macht die de overheid wel heeft, niet dat automatische podium in de pers.
En daarmee is het misbruik uit eigenbelang onacceptabel te noemen : politie hoort geen politiek te bedrijven, laat staan dat moraal aan hen is toevertrouwd want als het puntje bij het paaltje komt is het opdracht is opdracht met wij voeren dat slechts uit. En dat klopt, men voert slechts uit waar men voor gelobbyd heeft.
Alleen verandert de politieke context soms nogal sterk.
Maar dat interesseert ze geen ene drol!

Daar ligt het langetermijn gevaar voor de rechtsstaat van dit soort aanhoudend publicitair gedram.
Het grote afglijden is allang begonnen.

Er zijn een aantal zaken waar je als betrouwbare hostingprovider niet mee te maken wil hebben. Zoals:
- meewerken aan witwassen geld
- illegale inhoud (auterswetten) helpen verspreiden
- inbreuk op privacy en portretrecht (wraakporno)
Deze zijn al vaak benoemd in de dienstverlenings- overeenkomst. Dat zou geen probleem mogen zijn.
Het is niets anders dan bijvoorbeeld financiële dienstverleners ook doe. Of ze zich er aan houden (Panama papers) is wat anders.

Het is vanzelfsprekend makkelijker met een sociale insteek die al veel reguleert dan een waar de politie alles moet doen.
Hoe zit dat met opvoeden? Ook dat is recent bij de politie belegd. Voor onhandelbare kinderen moet je die inschakelen anders weet je niet of er kindermishandeling zou kunnen zijn.

Internet providers (in de breedste zin) hebben wel degelijk baat bij actief reageren op abuse. Als een provider een spammer heeft, dan zal het IP van de server op een blacklist belanden. Dat verlaagt de reputatie score, email wordt geblokkeerd en dan kunnen andere klanten daar last van hebben en uiteindelijk een andere provider zoeken. Dus er is een direct belang.

Hosting providers moeten zorgen dat ze een acceptable use policy hebben en die actief handhaven. Dat is de enige manier om een goede reputatie te krijgen en te houden. Voorbeelden zijn de top level domeinen info en xyz, die handhaven en het resultaat is een zeer sterke terugloop van abuse.

Samenwerking met de politie daarentegen geeft niet aan om welke "samenwerking" het gaat. Gaat het om het zonder rechtelijke autorisatie verkrijgen van gegevens of gaat het om het waarschuwen en verzoeken tot downhalen? Waarschuwen, daar ben ik voor, vragen om iets neer te halen zonder rechtelijke autorisatie mag ook, want vragen staat vrij, maar de hoster moet vrij zijn zelf de afweging maken of hij daar op ingaat. Bij spam en malware is er duidelijk een urgent belang, maar bij piraterij en vrijheid van meningsuiting niet.

Het probleem zit hem in het grijze gebied waar een ISP zeker voor oppast. Als iets overduidelijk gaat over wapen handel, kinder prono, diefstal enz dan kan (moet?) een ISP er melding van maken. Aan de andere kant begaat de ISP op glad ijs als het niet zo duidelijk is.
Een enkele foto, bestand of email zegt nog helemaal niets, een verzameling of een trend echter mogelijk meer. En welke regels zou een ISP dan moeten volgen? Naakt kan ook kunst zijn, onwenselijk kan ook gewenst zijn (zie http://www.nu.nl/tech/4334238/facebook-weigerde-advertentie-met-foto-van-vrouw-met-brandwonden.html). Portretrecht is helemaal lastig in de huidige samenleving goed uit te voeren.

Een ISP mag niet een verlengstuk van de politie worden als het gaat om systematisch beoordelen van het materiaal, volgen van personen en het plaatsen van afluister technologien ZONDER inmenging van een rechter. Zolang we niet in een politiestaat leven mag een ISP niet automatisch een verlengstuk van de politie worden.

Daar is zelfs de politie niet voor, maar de rechter.

nee,
vragen staat niet vrij.
Ook die discussie is al jaren geleden gevoerd.
Maar weer een beetje vergeten dus probeert men het gewoon opnieuw op een andere manier met andere woorden.

"Vragen staat vrij, maar niet voor de politie"
https://www.bof.nl/2012/05/07/om-negeert-rechter-bij-bevel-blokkeren-website/

"Overheid, stop met vragen!"
https://www.bof.nl/2016/07/17/overheid-stop-met-vragen/
Er is dus een verschil tussen vragen en vorderen, en dat weten ze bij de politie heel erg goed.
Dus noemt men het nu 'samenwerken', maar daarmee is in essentie de druk van de vrager (om ahum 'samenwerking') nog niet verdwenen.
De politie moet niet haar werkveld verleggen door haar verantwoordlijkheden op het bordje van een ander te schuiven.

Niet ondenkbare volgende publicitaire actie: "We hebben meer bevoegdheden nodig want de providers werken niet mee".

Als je ruimte verhuurt, je voorwaarden aan de verhuur stelt, weet krijgt dat de huurders de voorwaarden overtreden (bijvoorbeeld door aantoonbare klachten van phishing slachtoffers of aanwijzingen van ransomware onderzoekers), dan staat niets een verhuurder in de weg om actief diensten op te schorten tot de verhuurder bewijs levert correct te handelen. Vaak gaat het om websites die gehacked en besmet zijn, websites op valse naam waar malware publiek op staat of aantoonbare klachten over het versturen van spam met phishing links. Voor dergelijke civiele zaken is geen politie of rechter noodzakelijk en als je het als klant niet eens bent met dergelijk beleid kan je naar de rechter of naar een van de miljoenen andere providers.

Anno 2016 is dat vaak niet meer zo, het OM gaat vaak op die stoel zitten. Daarbij worden ze ook nog in 1 ministerie gestopt. Degenen die dat hebben bedacht zijn vergeten waarom er een scheiding van de machten is.

Wellicht tot spijt van anderen, ben ik het hier mee eens.

De providers stellen een platform beschikbaar waar criminelen dankbaar gebruik van maken.

We staan als Nederland in de top 3 van ransomware distributeurs. Het lijkt me wenselijk om een breedere aanpak te gaan hanteren.

Ik snap zelf niet waarom de malwarehunters de hostingproviders moeten informeren dat het door hun beschikbaar gestelde platform wordt gebruikt voor de distributie van ransomware. (en dan heb ik het niet over 0-day varianten) Als wij dit kunnen detecteren, dan moet de provider dit al helemaal kunnen(en stoppen).

Puur mijn mening.

Eens Hans. de grijze gebieden is niet voor de ISP maar voor de rechter.
Als voorbeeld: Dat Facebook de vietnamfoto onder kinderporno zette was gewoon echt fout.

Nog meer wat duidelijk fout is wat een ISP buiten kan houden. Tja de hollandse VOC mentaliteit: "geld stinkt niet""

Ik vind dat je als hosting provider best mag letten op indicatoren van misbruik. Dat zijn dus bijv. klachten, blacklistings, bepaalde soorten verkeer, ...

Grappig, want je opmerking geeft al het dilemma voor een ISP aan: wapenhandel hoeft namelijk helemaal niet illegaal te zijn. Zo mag een sportschutter zijn/haar wapen gewoon te koop aanbieden aan een andere vergunninghouder. Dit is stevig aan regels gebonden, voor een ISP is het niet te controleren of dit wel of niet illegaal is. Hoe moet een ISP onderscheid hierin maken? Dit lijkt me toch echt een taak voor de politie.

Ik begrijp en respecteer je standpunt, maar je schiet uit de heup en je hebt de rest van mijn verhaal niet gelezen of met opzet niet gequote.

Als security professional sta ik aan de kant van de bestrijding. Ik wil dat gehackte servers zonder treuzelen van Internet worden afgekoppeld en dat spammers service wordt geweigerd. Zoals ik al zei, het gaat mij over duidelijke gevallen. Niet over copyright schendingen (piraterij) en andere niet urgente zaken.

Als providers zich verplicht voelen is dat niet OK. Elders ter wereld, bijvoorbeeld de VS, is echte vrijwillige samenwerking tussen law enforcement en providers normaal.

Overigens zit er bij de wat grotere providers soms nogal wat procedurele "red tape". Procedures en gelijke zorgvuldige behandeling klinkt goed, maar bij phishingbestrijding (in duidelijke gevallen) moet je direct off line halen en niet downstream om uitleg gaan vragen of de criminele klant waarschuwen. Dat laatste gaat niet werken, want voordat er iets gebeurt is de phishing aanval al voorbij en het leed geschiedt. Een phishing of spam pagina is hetzelfde als iemand heterdaad betrappen. Dan moet je direct handelen.

Sommige schutters schieten scherp en raak vanuit de heup en hoeven zich niet te bedienen van selectief quoten.
Dat is dan ook niet het geval.

De essentie aangaande de uitspraak wordt haarfijn door BOF uitgelegd.
Dat moet je willen lezen en willen begrijpen.
Iets met een ongelijk machtsevenwicht waardoor er geen spake is van werkelijke beslissingsvrijheid.

Wellicht is er dus sprake van een perspectief verschil.
Het mijne is meer vanuit het BOF perspectief en dat staat haaks op dat van sommige bestrijders (die zich al dan niet mengen op online fora om hun lobby uit te breiden en te verdedigen).
Ook bij dat laatste kan je kanttekeningen plaatsen, wie is er allemaal even vrij om zich te mengen in openbare discussie's op fora en in hoeverre dienen zij herkenbaar te zijn als burgers, commercie of overheid zellf?

Sommige schutters schieten scherp en raak vanuit de heup en hoeven zich niet te bedienen van selectief quoten.
Dat is dan ook niet het geval.

De essentie aangaande de uitspraak wordt haarfijn door BOF uitgelegd.
Dat moet je willen lezen en willen begrijpen.
Iets met een ongelijk machtsevenwicht waardoor er geen spake is van werkelijke beslissingsvrijheid.

Wellicht is er dus sprake van een perspectief verschil.
Het mijne is meer vanuit het BOF perspectief en dat staat haaks op dat van sommige bestrijders (die zich al dan niet mengen op online fora om hun lobby uit te breiden en te verdedigen).
Ook bij dat laatste kan je kanttekeningen plaatsen, wie is er allemaal even vrij om zich te mengen in openbare discussie's op fora en in hoeverre dienen zij herkenbaar te zijn als burgers, commercie of overheid zellf?

Rejo I presume ...
Het standpunt van BOF is een perspectief. Een probleem met het idealisme kan zijn dat de binding met de doelgroep en anderen verloren raakt. In het stuk RJ wordt genoemd dat de Politie niets mag tenzij het expliciet benoemd is. Dat is maar beperkt waar en waar je genoeg voorbeelden van kan geven en verzinnen. Veel wetgeving gaat uit van een intentie van de daad zonder exacte omschrijving. Het is wel net het heikelste punt in alle privacy en overheidsbemoeienis regels.

In een aantal niet specifiek benoemde gevallen http://www.wetboek-online.nl/wet/Wetboek%20van%20Strafrecht/184.html Dat is meer in lijn met het bof verhaal https://www.bof.nl/2010/09/29/politie-laat-seksueel-kindermisbruik-jaren-op-internet-staan/ Verder ben ik van mening dat BOF een grote kans heeft gemist bij het WRR big-data verhaal waar ze mochten komen praten.

Niet lezen en selectief quoten werkt niet in je voordeel. Zeker niet als je het twee keer achter elkaar doet. Deze "discussie" is geen discussie, dus einde wat mij betreft.

Wat betreft je lobby aanname: ik word niet betaald door een van de betrokken partijen (politie, justitie, providers of BOF) en ik vertegenwoordig geen standpunt van een van hen. Wel die van mezelf gebaseerd op professionele ervaring en kennis. De ad hominem poging treft geen doel.

Heeft iemand wel eens nagedacht over de "vluchtigheid"en "houdbaarheid" van het probleem?
Meestal leeft malware zeer kort (soms een half uurtje actieveverspreiding)
en werken de overtreder bij detectie niet tegen.

Ze dDossen virus watch MX bijvoorbeeld zo stevig dat detectie rapporten
alleen bij registratie nog verkrijgbaar zijn en niet meer openbaar gegeven kunnen worden.

Bij ontdekking verhuizen ze het circus direct en als globale spelers kunnen ze alle kanten op.
Leg zo'n slak maar een zout op de staart.

Wat anders is het bij "persistent malware" en dan nog
met een louche hostertje in het zuiden des lands en werkend binnen de grenzen aangegeven
voor het opereren van de Russian Business Network medewerker is het moeilijk hier tegen te
opereren. Hoe zou je ze moeten sinkholen bijvoorbeeld?