Nederlandse providers tegen bewaarplicht
Een grote groep Nederlandse internetaanbieders roept het Parlement op in een open brief om zich uit te spreken tegen een Europees plan voor een algemene bewaarplicht verkeersgegevens. De providers vinden dat het plan drie grote nadelen heeft: het belemmert innovatie, schendt de privacy en brengt hoge kosten met zich mee. Daarom dringen ze er bij de justitie-experts in de Eerste en Tweede Kamer op aan om het Kabinet te verbieden akkoord te gaan zolang de noodzaak niet glashelder is aangetoond.
Op 2 en 3 december vergaderen de Europese ministers van Justitie over het voorstel om alle gegevens over het telefoon- en internetverkeer van alle klanten minstens een jaar te bewaren. Het Nederlandse Kabinet lijkt vastberaden om het voorstel door te drukken voor het einde van het Nederlandse EU-voorzitterschap. De providers, waaronder Active 24, BIT, Casema, Demon, MCI Nederland, Planet Media Group, Wanadoo, UPC, WideXS en XS4ALL, menen dat de bewaarplicht een hele zware hypotheek legt op de toekomst van de telecomindustrie. "Innovatieve nieuwe communicatiediensten kunnen alleen uitgeprobeerd worden als ze op voorhand voldoen aan strenge opsporingseisen ten aanzien van aftapbaarheid en straks aan de bewaarplicht verkeersgegevens. Dat is in volstrekte tegenspraak met het belang dat de overheid zegt te hechten aan innovatieve nieuwe breedbanddiensten voor de ontwikkeling van Nederland als kenniseconomie," aldus de open brief.
Wat betreft de kosten schrijven de providers dat de bewaarplicht waarschijnlijk vele miljoenen euro's gaat kosten, omdat het om zeer grote hoeveelheden informatie gaat. "Een doorsnee breedbandprovider met 100.000 klanten vervoert snel 5,5 Terabyte per dag, dat wil zeggen, 8.500 CD's per dag. Uit deze verkeersstroom moeten de verkeersgegevens gedestilleerd worden, en opgeslagen in hele dure, zeer streng beveiligde, dubbel uitgevoerde databases om per klant te kunnen terugzoeken hoe lang iemand online is geweest, wat voor e-mail iemand heeft verstuurd en/of ontvangen en welke websites iemand heeft bekeken."
De voorgestelde bewaarplicht zorgt voor een enorme vergaarbak aan privacy-gevoelige gegevens over iedere internetter, niet alleen over verdachten. " Iedereen maakt zich zorgen over terrorisme en criminaliteit", schrijven de providers, "maar politie en justitie beschikken al over een groot arsenaal opsporingsmiddelen. Er is geen bewijs dat de beschikbare middelen onvoldoende zijn, of dat er strafbare feiten onopgelost zijn gebleven door het ontbreken van een bewaarplicht. In tegendeel, het enige beschikbare onderzoek (door de politie Rotterdam) wijst op het tegendeel."
Tenslotte stellen de providers dat er niet goed is nagedacht over de technische uitvoerbaarheid van een bewaarplicht in de internetwereld. Internetaanbieders bewaren heel weinig gegevens, omdat er geen enkel bedrijfsbelang mee gemoeid is. In tegenstelling tot telefoonbedrijven sturen providers geen rekeningen voor elk e-mailtje of per bezochte website. De bewaarplicht dreigt te gaan betekenen dat providers ook alle informatie over bijvoorbeeld spam en virussen moeten gaan bewaren.
Meer over dit initiatief kan op deze deze pagina gevonden worden.
we mooi 'fake' data verstoken om de kosten omhoog te
drukken. Fake bedoel ik mee daadwerkelijk fake of gewoonweg
meer verbruiken. Dit werkt met name goed als je een FUP
hebt. Doot dit te doen zet je meer druk op ISPs om zich hier
tegen te verzetten. Dus lekker P2Pen iedereen. Bovendien, nu
kan het nog!
(Sorry voor m'n klootjesreactie :)
de bewaarplicht. Helaas heeft de regering de neiging met de
buik i.p.v. het hoofd te regeren.
Dus als de bewaarplicht er toch komt, hoelang zal het duren
tot er een soort van Braatolizer of Lycos screensaver
http://www.security.nl/article/9360/1 komt?
Tijdens inactiviteit kan er druk gemaild, gechat en gesurfd
worden naar en met "verdachte" URL's met "verboden" termen.
Ook vanwege humanitaire reden is een dergelijke bewaarplicht
onwenselijk. Het zelfde soort overheids controle heeft in
China geresulteerd tot een massale psychologische zelf-censuur.
Dit kost de belastingbetaler klauwen vol met geld, en anders wordt het
verrekend met je abonnementsgeld.
Gratis providers vervallen. Abonnementskosten stijgen met tientallen
euro's per jaar, want uiteindelijk financier jij als gebruiker je eigen controle.
Dus een soort extra harddiskruimte waar je wel voor betaaldt, maar geen
gebruik van kan maken. Want reken maar dat de overheid geen reet
betaald hieraan. Je krijgt een nieuw soort rekening surfen, je betaald per
MB aan logging.
Je wordt een dief van je eigen beurs.
Mensen zeg het maar...............en geloof maar niet dat er hierdoor meer
mensen opgepakt worden c.q. veiliger wordt, want het gerechtelijk
apparaat heeft het veels te druk met bonnetjes uitdelen, flitsen,
parkeerders beboeten.
huidige techniek tegen niet eens zulke hoge kosten.
Daar komt bij dat er telecom providers zijn die nu al meer vastleggen dan
wettelijk is bepaald.
In de toekomst worden de kosten alleen maar lager van storage.
Wat mij betreft een slechte argumentatie die makkelijk onderuit te halen is.
Kosten in de toekomst ?? Het moet zeer binnenkort geïmplementeerd
worden, niet in de toekomst.
Het is niet alleen telefoon, maar ook internet, etc etc
Leuk als je commentaar geeft, maar lees of probeer tenminste iets te
begrijpen wat het allemaal inhoudt.
Vraag het maar aan een provider.......
Kosten in de toekomst ?? Het moet zeer binnenkort geïmplementeerd
worden, niet in de toekomst.
Het is niet alleen telefoon, maar ook internet, etc etc
Leuk als je commentaar geeft, maar lees of probeer tenminste iets te
begrijpen wat het allemaal inhoudt.
Leuk dat je een reactie geeft maar leer jij eerst eens goed lezen.
Kosten in de toekomst zijn wel degelijk relevant, met oog op groei van de
hoeveelheid informatie. Je dimensioneert je systeem op de toekomst en
neemt daar ontwikkeling van de techniek in mee.
Het is duidelijk dat het niet alleen om telefonie gaat, maar in die wereld
gebeurd dit al zeer lang, sterker nog daar wordt meer/langer data
opgeslagen dan nu wettelijk vereist wordt/toegestaan is.
Men weet al vrij lang dat dit er aan zit te komen (5 jaar?), het is flauw dat er
nu zo'n probleem van wordt gemaakt.
Als de overheid iets perse wil, laat ze dan ook maar betalen.
Echelon en Carnivore komt dus naar Nederland .
Als de overheid iets perse wil, laat ze dan ook maar betalen.
Nee, de vervuiler betaald: als jij een dienst levert die criminaliteit met zich
meebrengt of een hulpmiddel voor criminaliteit is dan ben jij mede
verantwoordelijk.
Wij zijn de burgers die er schade van ondervinden, de overheid zijn wij, de
rijke providers die op hun geld zitten zijn wij niet.
Nee, de vervuiler betaald: als jij een dienst levert die
criminaliteit met zich
meebrengt of een hulpmiddel voor criminaliteit is dan ben
jij mede
verantwoordelijk.
verantwoordelijk voor misbruik van een intermediair zoals
een Telco, ISP, e.d. Zij zijn net zo goed slachtoffer.
Evenmin is een bouwmarkt verantwoordelijk voor wanneer hun
materialen worden misbruikt.
Nee, de vervuiler betaald: als jij een dienst levert die
criminaliteit met zich
meebrengt of een hulpmiddel voor criminaliteit is dan ben
jij mede
verantwoordelijk.
verantwoordelijk voor misbruik van een intermediair zoals
een Telco, ISP, e.d. Zij zijn net zo goed slachtoffer.
Evenmin is een bouwmarkt verantwoordelijk voor wanneer hun
materialen worden misbruikt.
Ze zijn niet op zich verantwoordelijk voor het misbruik maar moeten
rekening houden met het maatschappelijk belang, wat dat betreft zijn ze
mede verantwoordelijk als ze dat niet doen.
Dat geldt ook voor een bouwmarkt, creditcard maatschappij of een
voetbalstadion.
Ze zijn niet op zich verantwoordelijk voor het misbruik maar
moeten
rekening houden met het maatschappelijk belang, wat dat
betreft zijn ze
mede verantwoordelijk als ze dat niet doen.
Dat geldt ook voor een bouwmarkt, creditcard maatschappij of
een
voetbalstadion.
houden met het maatschappelijk belang. Maar is het wel in
het maatschappelijk belang wanneer er gigantische kosten
gemaakt moeten worden om van alle mensen
TCP/IP-connecties/sessies te gaan bewaren om ooit voor een
handje vol enge griezels het volledige connectieverleden op
te kunnen hoesten?
Ja, ik log ook gericht zodat wanneer er ooit onverhoopt wat
vervelends wordt geprobeert het zeer handig is en weet dus
hoe groot logs kunnen worden, gewoon op een server. Dat
geeft te denken hoe dat dan zal zijn voor (mega) grote ISP's?
Ik zie er de voordelen ook van in, daar niet van. Als je
iets niet doet zal dat uit deze gegevens blijken als
tegenbewijs: kijk mij eens geen griezel zijn :)
Trouwens, hoe wil je die gegevens raadplegen wanneer
jarenlang ziljoenen Bytes zijn vergaard en je eventjes de
connection-history van een gegeven mogelijke griezel wil hebben?
BRUSSEL - De Europese justitieministers gaan een eventuele
bewaarplicht voor internetgegevens verder onderzoeken. De
opslag is volgens hen nodig om terroristen en criminelen
beter te kunnen opsporen, maar ze willen meer weten over
privacy, kosten en eventuele uitwijkmogelijkheden.
Lees meer:
http://nu.nl/news.jsp?n=450797&c=52
opvragen, omdat criminelen telefoontaps kunnen ontwijken via
internet en bijvoorbeeld kabeltelefoon.''
En daarvoor moet je de TCP/IP-connecties van àlle
half-miljard inwoners gaan bewaren?
Dat verkeer kun je ook gewoon gericht tappen van de aloude
koperen telefoondraadjes, fiber, ether, sateliet en coax.
Is ook goedkoper, beter te kaderen en te controleren.
worden, en opgeslagen in hele dure, zeer streng beveiligde, dubbel
uitgevoerde databases om per klant te kunnen terugzoeken hoe lang
iemand online is geweest, wat voor e-mail iemand heeft verstuurd en/of
ontvangen en welke websites iemand heeft bekeken."
ff een simpele vraag : Kan mijn provider dit nog steeds tracen als ik
gebruik maak van een proxyserver ??? Ik vraag dit omdat ze zeer veel tools
en site's met proxy's op het internet staan .
Groet Jan.P
ff een simpele vraag : Kan mijn provider dit nog steeds
tracen als ik
gebruik maak van een proxyserver ??? Ik vraag dit omdat ze
zeer veel tools
en site's met proxy's op het internet staan.
eerste tracet een provider niet. De provider is geen
opsporingsdienst en mag zich daartoe ook niet gratis laten
misbruiken door de overheid.
Wanneer de overheid graag van een verdachte meer inzicht
wenst te verkrijgen in diens verkeer, zal de provider graag
zijn of haar medewerking verlenen, en bijvoorbeeld tappen.
Omdat al het verkeer ondermeer via de provider over vaste
infrastucturen loopt is dit gewoon te onderscheppen. Dit wil
zoveel zeggen dat het dus geheel niet uitmaakt of je een
systeem rechtstreeks of middels andere methodes zoals
proxy's bezoekt.
Ze zijn niet op zich verantwoordelijk voor het misbruik maar
moeten
rekening houden met het maatschappelijk belang, wat dat
betreft zijn ze
mede verantwoordelijk als ze dat niet doen.
Dat geldt ook voor een bouwmarkt, creditcard maatschappij of
een
voetbalstadion.
houden met het maatschappelijk belang. Maar is het wel in
het maatschappelijk belang wanneer er gigantische kosten
gemaakt moeten worden om van alle mensen
TCP/IP-connecties/sessies te gaan bewaren om ooit voor een
handje vol enge griezels het volledige connectieverleden op
te kunnen hoesten?
Ja, ik log ook gericht zodat wanneer er ooit onverhoopt wat
vervelends wordt geprobeert het zeer handig is en weet dus
hoe groot logs kunnen worden, gewoon op een server. Dat
geeft te denken hoe dat dan zal zijn voor (mega) grote ISP's?
Ik zie er de voordelen ook van in, daar niet van. Als je
iets niet doet zal dat uit deze gegevens blijken als
tegenbewijs: kijk mij eens geen griezel zijn :)
Trouwens, hoe wil je die gegevens raadplegen wanneer
jarenlang ziljoenen Bytes zijn vergaard en je eventjes de
connection-history van een gegeven mogelijke griezel wil hebben?
Het valt op zich wel mee. Alle Telecom providers doen al jaren hetzelfde,
sterker nog, die loggen nog meer en langer dan wat is
voorgeschreven/mag bij wet. Die hoor je niet klagen over een tekort aan
capaciteit.
Een simpel rekensommetje toont ook aan dat het heel goed te doen is (we
nemen alles lekker ruim zonder compressie):
Stel we hebben 6 miljoen gebruikers in NL die gemiddeld 20 keer per
maand online zijn en 100 sites bezoeken en 200 e-mails afhandelen. We
gaat uit van 20 bytes per log-entry.
Dan hebben we in 12 maanden 5365 Gigabyte aan log van heel
Nederland in een jaar.
Dit wordt verdeeld over meerdere providers maar zelfs als dat niet het
geval zou zijn dan nog loop ik hier niet warm voor. 5Tb per jaar daar draai
ik m'n hand niet voor om, sterker nog ik ken systemen die dat per dag aan
transacties loggen.
Al zou het een factor 10 of 100 hoger liggen dan nog is het geen
(technisch) probleem.
kent immers 65535 poorten, gebruikmakend van meerdere
protocollen, niet beperkt tot het bezoeken van website's of
lauter e-mail.
Voor enkel verkeersgegevens log je datum-tijd (32b),
protocol (8b), doel-ip (32b), doel-domain (2040b),
doel-poort (16b), source-ip (32b), source-domain (2040b),
source-port (16b) en geen payload, dat 4216 bits maakt ofwel
527 Bytes per te loggen TCP-SYN of UDP packet.
Het gaat immers om verkeersgegevens. Dat gaat niet met 20 Bytes.
Althans niet wanneer je daadwerkelijk iets aan deze gegevens
wilt hebben wanneer je deze nodig hebt er iets op moet
kunnen baseren.
Wie dan één resourcerijke bonte website bezoekt met 100
opleuk afbeeldinkjes, genereert dus even flink wat logging,
die FTP'er idem en vice versa.
Want als je rekening wilt houden met protocol-eigen
eigenschappen (zegmaar gebruiks-sessies) zul je deze mee
moeten implementeren, waarmee het foutgevoelig(er) wordt en
aanzienlijk meer realtime verwerkingscapaciteit benodigd is
bovendien.
Reken maar over.
Die 20 Bytes komen wèl overeen met de logging van m'n
telefooncentrale, die ikzelf uitvoerig log.
Het ligt gecompliceerder dan hierboven wordt gesteld. TCP/IP
kent immers 65535 poorten, gebruikmakend van meerdere
protocollen, niet beperkt tot het bezoeken van website's of
lauter e-mail.
Voor enkel verkeersgegevens log je datum-tijd (32b),
protocol (8b), doel-ip (32b), doel-domain (2040b),
doel-poort (16b), source-ip (32b), source-domain (2040b),
source-port (16b) en geen payload, dat 4216 bits maakt ofwel
527 Bytes per te loggen TCP-SYN of UDP packet.
Het gaat immers om verkeersgegevens. Dat gaat niet met 20 Bytes.
Althans niet wanneer je daadwerkelijk iets aan deze gegevens
wilt hebben wanneer je deze nodig hebt er iets op moet
kunnen baseren.
Wie dan één resourcerijke bonte website bezoekt met 100
opleuk afbeeldinkjes, genereert dus even flink wat logging,
die FTP'er idem en vice versa.
Want als je rekening wilt houden met protocol-eigen
eigenschappen (zegmaar gebruiks-sessies) zul je deze mee
moeten implementeren, waarmee het foutgevoelig(er) wordt en
aanzienlijk meer realtime verwerkingscapaciteit benodigd is
bovendien.
Reken maar over.
Die 20 Bytes komen wèl overeen met de logging van m'n
telefooncentrale, die ikzelf uitvoerig log.
Tuurlijk komt er iets meer bij kijken, maar het gaat om de orde-grootte van
het gemiddelde.
Zelfs met al die extra bits die jij telt (512 bytes worden er gevormd door
doel en source domain; zijn die niet overbodig?) zit het nog ruim binnen de
marges van het haalbare.
Het gaat niet om het per packet te loggen maar per connectie. Daarbij gaat
het dus ook niet om de uitzondering maar om het gemiddelde.
Tuurlijk komt er iets meer bij kijken, maar het gaat om de
orde-grootte van
het gemiddelde.
bij opslag van velden met variabele lengte klopt dit.
worden er gevormd door doel en source domain; zijn die niet
overbodig?) zit het nog ruim binnen de marges van het
haalbare.
Systemen wisselen regelmatig van adres, netten opnieuw
ingericht, dynamische IP-toekenning e.d.
Je wil toch iets aan de gegevens hebben?
Als je logt moet het wel nut hebben, anders is het bij
voorbaat waardeloos.
connectie.
Wat versta jij in deze onder het woord 'connectie' dan?
dat een connectie wordt opgezet middels een TCP-SYN
(3-voudige handshake) en wordt beëindigd met een TCP-FIN,
dat wordt bevestigd met een TCP-FIN_ACK
Met uitzondering van het verbindingsloze UDP.
Er is hier al eens in het forum voorgerekend dat het makkelijk kan met de
huidige techniek tegen niet eens zulke hoge kosten.
Nee hoor, integendeel.. ik heb voorgerekend dat het juist zeer veel ging
kosten. Ga jij je eens verdiepen in de infrastrucktuur die je nodig hebt,
en het feit dat je veel kleine providers hebt die simpele architecturen
hebben, dan kom je al heel snel tot de conclusie dat het voldoen aan de
eisen van de overheid voor veel kleine clubs meer kost dan het leveren
van de service zelf.
Daar komt bij dat er telecom providers zijn die nu al meer vastleggen dan
wettelijk is bepaald.
Jouw denktrend is procies het totale probleem in een notedop. We hebben
niet te maken met telcom-providers, maar met ISP, wat iets totaaaal anders
is. Een telecom club logt zowieso al elke call omdat ze die billen. Een ISP
logt alleen minimaal connecties naar haar eigen webservers (niet uitgaande
connecties), en een paar auth-logs. Die worden alleen gebruikt voor
statestieken, en daarna geroteerd (weggegooid).
Dat is iets totaal anders dan 8 jaar al die data beschikbaar te moeten
hebben op een gespecialiseerd systeem dat communiceerd op een
methode die de overheid voorschijft.. het komt zelfs niet eens in de buurt.
Providers moeten totaal nieuwe gespecialiseerde (dus dure) systemen
opzetten alleen maar omdat de overheid telecom denken rechtsreeks
toepast op ISP's.
In de toekomst worden de kosten alleen maar lager van storage.
Wat mij betreft een slechte argumentatie die makkelijk onderuit te halen is.
Ga je nou eerst eens inlezen, en kom dan terug.
Er is hier al eens in het forum voorgerekend dat het makkelijk kan met de
huidige techniek tegen niet eens zulke hoge kosten.
Nee hoor, integendeel.. ik heb voorgerekend dat het juist zeer veel ging
kosten. Ga jij je eens verdiepen in de infrastrucktuur die je nodig hebt,
en het feit dat je veel kleine providers hebt die simpele architecturen
hebben, dan kom je al heel snel tot de conclusie dat het voldoen aan de
eisen van de overheid voor veel kleine clubs meer kost dan het leveren
van de service zelf.
Daar komt bij dat er telecom providers zijn die nu al meer vastleggen dan
wettelijk is bepaald.
Jouw denktrend is procies het totale probleem in een notedop. We hebben
niet te maken met telcom-providers, maar met ISP, wat iets totaaaal anders
is. Een telecom club logt zowieso al elke call omdat ze die billen. Een ISP
logt alleen minimaal connecties naar haar eigen webservers (niet
uitgaande
connecties), en een paar auth-logs. Die worden alleen gebruikt voor
statestieken, en daarna geroteerd (weggegooid).
Dat is iets totaal anders dan 8 jaar al die data beschikbaar te moeten
hebben op een gespecialiseerd systeem dat communiceerd op een
methode die de overheid voorschijft.. het komt zelfs niet eens in de buurt.
Providers moeten totaal nieuwe gespecialiseerde (dus dure) systemen
opzetten alleen maar omdat de overheid telecom denken rechtsreeks
toepast op ISP's.
In de toekomst worden de kosten alleen maar lager van storage.
Wat mij betreft een slechte argumentatie die makkelijk onderuit te halen is.
Ga je nou eerst eens inlezen, en kom dan terug.
Wat een lullige opmerking. Ik ben het met 'm eens, kom nu eerst maar
eens met een inhoudelijke opmerking die de argumentatie weerlegt of ga
buitenspelen.
In http://www.security.nl/article/7417 voer je zelf aan dat het te
doen is voor een ton (ex operationele kosten).
Uit eigen ervaring weet ik dat de logs van telecomproviders veel
omvangrijker zijn en tientallen jaren bewaard blijven.
Overigens is de bewaartermijn maximaal 3 jaar (volgens mij moet je zelf
nog even inlezen).
Die providers zijn rijk genoeg, en technisch is het niet zo moeilijk. Ze zijn
gewoon lui en zitten op hun geld: ieder jaar extra uitstel is weer verdiend!
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.