Europol: encryptie en CGNAT uitdaging bij aanpak cybercrime
Encryptie en Carrier-Grade NAT (CGNAT) vormen een grote uitdaging bij de aanpak van cybercrime, zo stelt Europol in een nieuw rapport. De opsporingsdienst krijgt bijval van de Stichting Internet Domeinregistratie Nederland (SIDN), die CGNAT als "de pest" voor politiediensten en security-gereedschappen omschrijft. SIDN is de organisatie die de .nl-domeinnamen beheert.
Europol heeft een rapport opgesteld waarin het de voornaamste obstakels beschrijft bij het bestrijden van cybercrime (pdf). Het gaat dan om het afschaffen van de Europese bewaarplicht, CGNAT, het afschermen van Whois-gegevens, encryptie, cryptovaluta en onduidelijkheid bij het bepalen welk land jurisdictie heeft. Dit kan voorkomen wanneer de fysieke locatie van de verdachte onduidelijk is.
Volgens Europol zijn er steeds meer cybercrime-onderzoeken waarbij onderzoekers tegen encryptie aanlopen die is toegepast om data te versleutelen. Daar komt bij dat een groeiend aantal serviceproviders encryptie standaard inschakelt. "Deze ontwikkelingen hebben ernstige gevolgen voor cybercrime-onderzoeken, omdat ze de mogelijkheid van opsporingsdiensten hinderen om bewijsmateriaal te verkrijgen en criminelen te vervolgen en veroordelen", aldus het rapport.
Om met het probleem om te gaan hebben sommige landen een ontsleutelplicht voor verdachten ingevoerd. Daarnaast zijn er middelen vrijgemaakt om de mogelijkheden van Europol te vergroten om versleuteld materiaal te ontsleutelen. De opsporingsdienst erkent dat het technisch niet altijd mogelijk is om de gebruikte encryptie te omzeilen.
CGNAT
Een ander probleem dat wordt benoemd is CGNAT. Via deze technologie delen meerdere abonnees één ip-adres. Volgens Europol kunnen soms honderdduizenden abonnees zo één ip-adres delen. Internetproviders die een klant achter CGNAT willen identificeren hebben hiervoor het ipv4-adres nodig, de exacte tijd van de verbinding en het sourcepoortnummer. Het sourcepoortnummer wordt meestal niet door de elektronische serviceprovider bewaard, zoals socialmediaplatforms, e-maildiensten en hostingbedrijven. Door het ontbreken van deze informatie kan de internetprovider de gezochte persoon niet identificeren.
Europol stelt dat er tal van zaken door het gebruik van CGNAT zijn vertraagd of gehinderd. Ipv6 biedt een oplossing, aangezien elke abonnee dan een eigen adres kan krijgen. Veel providers zijn nog niet op ipv6 overgestapt. Twee jaar geleden kwam Europol al met een plan dat internetproviders op vrijwillige basis opriep om het aantal abonnees achter één ipv4-adres te beperken. Verder moest de Europese Commissie elektronische serviceproviders op het probleem met het loggen van sourcepoortnummers wijzen en moest de uitrol van ipv6 worden aangemoedigd. De actiepunten zijn echter nog niet door EU-lidstaten en de Europese Commissie uitgevoerd.
Ook de SIDN laat weten dat CGNAT het voor overheidsdiensten veel moeilijker maakt om criminelen achter een ipv4-adres te achterhalen. "Het moge duidelijk zijn dat ipv4 inmiddels op zijn laatste benen loopt. Ondanks alle goede technische en economische redenen om de transitie naar ipv6 te versnellen, verwachten we dat met name het veiligheidsargument overheden in beweging zal brengen", aldus de stichting. "Doel is om uiteindelijk maar één gebruiker per ip-adres te hebben om zo onderzoek door politie- en veiligheidsdiensten te vergemakkelijken."
"stappen jullie aub allemaal gauw over op IPv6 anders zijn jullie niet meer te volgen".
Het afschakelen van IPv4 zal de komende decennia nog niet mogelijk zijn, en als je op alle forums straks kunt
lezen hoe je IPv6 moet uitzetten om geen last te hebben van lastige politiediensten die meekijken wat je doet zal
het allemaal nog trager gaan met de uitrol van IPv6.
En het ultieme middel te hebben om individuen te tracken en hun privacy te schenden.
En het ultieme middel te hebben om individuen te tracken en hun privacy te schenden.
Waarmee ik wil zeggen dat je een sterker argument hebt als je niet alleen maar inzet op algemeen "privacy schenden", want dat mogen opsporingsdiensten in beperkte mate en dan verzand je welhaast automatisch in pietluttigheden, maar dat hun inzet je algemeen volgbaar te maken veel breder is dan hun normale mandaat. En dat is zeer zeker wel een valide tegenwerping.
https://www.akamai.com/us/en/resources/our-thinking/state-of-the-internet-report/state-of-the-internet-ipv6-adoption-visualization.jsp
Arme jij. Al die bewustwording rond privacy maakt jouw werk zeker ingewikkeld. Jouw foute praktijken worden aan het licht gebracht. En nu begin je te spartelen.
"stappen jullie aub allemaal gauw over op IPv6 anders zijn jullie niet meer te volgen".
Het afschakelen van IPv4 zal de komende decennia nog niet mogelijk zijn, en als je op alle forums straks kunt
lezen hoe je IPv6 moet uitzetten om geen last te hebben van lastige politiediensten die meekijken wat je doet zal
het allemaal nog trager gaan met de uitrol van IPv6.
CGNAT heeft voor gebruikers nog wel meer beperkingen waardoor IPv6 nog steeds een interessante optie is en als je onzichtbaar wil zijn, dan zijn er genoeg opties buiten CGNAT.
Voor NL zijn er geen providers die CGNAT gebruiken. Voor België weet ik dat alleen Proximus gebruik maakt van CGNAT. Andere meldingen uit Europa ken ik nog niet.
Voor NL zijn er geen providers die CGNAT gebruiken. Voor België weet ik dat alleen Proximus gebruik maakt van CGNAT. Andere meldingen uit Europa ken ik nog niet.
In Nederland maakt Ziggo in bepaalde gebieden gebruik van CGNAT.
https://community.ziggo.nl/community-archief-226/ds-lite-in-voormalig-ziggo-athome-gebied-van-compal-naar-arris-35977
Voor NL zijn er geen providers die CGNAT gebruiken.….
In Nederland maakt Ziggo in bepaalde gebieden gebruik van CGNAT.
Voor de fusie tussen Ziggo en UPC was UPC bezig de infrastructuur voor ds-lite geschikt te maken. (Een vorm van CG-NAT). Ziggo ging voor een volwaardige DualStack.
CGNAT zul je dus in het voormalige UPC tegenkomen.
CGNAT is echter een ramp als je zelf een server hebt. Gelukkig kun je bij ziggo nog steeds een eigen IPv4 adres krijgen.
En het ultieme middel te hebben om individuen te tracken en hun privacy te schenden.
Deze gegevens kan de overheid gebruiken zonder dat daar dan een rechter aan te pas komt.
Wederom wordt privacy voorstaan in verband gebracht met criminele activiteiten. Gelukkig zullen maar weinigen in die drogredenering trappen. Er valt zelfs te stellen dat wie het stukje bij beetje ontmantelen van fundamentele rechten en vrijheden voorstaat een bedreiging voor onze samenleving vormt. Een rechtschapen burger met niets te verbergen staat op zijn fundamentele vrijheden en zal niet zwijgen als deze aangetast worden. Daar zijn deze echt te waardevol voor.
"When the going gets narrow, keep your eye on the sparrow", ook in digitale zin gesproken dan.
Wat zouden de autoriteiten het liefste willen? Lazy mass surveillance?
Iedere wereldburger volledig transparant via een uniek en onvervreemdbaar MAC adres wellicht.
Op android wordt het al gemakkelijker met IP6 nog meer.
Ontsnappen kan dadelijk niet meer, vluchten ook niet.
En het ultieme middel te hebben om individuen te tracken en hun privacy te schenden.
Deze gegevens kan de overheid gebruiken zonder dat daar dan een rechter aan te pas komt.
Gebruik van DigID niet aan te raden... Hoef ik het niet te gebruiken dan?
Wat erg zeg... Vreselijk. Wat een drama. Overigens hebben ze je correcte NAW gegevens al lang en breed.
''Het Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) beheert een geautomatiseerd informatiesysteem (CIS) voor telefoon- en internetgegevens. Hiermee levert het persoonsgegevens die horen bij IP-adressen, telefoonnummers en e-mailadressen aan opsporingsdiensten, veiligheidsdiensten en inlichtingendiensten. Met deze gegevens kunnen deze diensten verdachten van criminele activiteiten opsporen.''
Gelukkig kun je bij andere providers een eigen IPv4 en IPv6 adres krijgen. ;-)
Peter
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
CTF/Challenge Developer
Wil jij ook werken bij het leukste securitybedrijf van Nederland en je coding skills in te zetten voor het ontwikkelen van de nieuwste security challenges voor onze klanten en evenementen zoals bijvoorbeeld #CTC2019 en #ECSC2019?