Komt de (van NAW gegevens ontdane) aangifte op je blog te staan? Dat is wel leuk

Telfort heeft aangegeven dat ook hun klanten meegenomen zijn in de DPI. (Bron: http://forum.telfort.nl/topic9180.html#p194369).

Zelf ben ik Telfort klant, maar KPN (in mijn ogen ander bedrijf) heeft zeer waarschijnlijk wel mijn verkeer geanalyseerd. Zou daarom een aangifte van mij (en andere Telfort klanten) nu zwaarder wegen? Immers ik ben geen KPN klant, maar mijn verkeer is wel door hun geanalyseerd.

Dat lijkt me een tijdelijk bruikbaar argument Arnoud, want zodra tariefdifferentiatie wordt ingevoerd, worden de voorwaarden ongetwijfeld aangepast. En misschien is het enkele feit dat tariefdifferentiatie onderdeel van de overeenkomst wordt, voldoende voor de rechter om te oordelen dat met het aanvaarden van de overeenkomst wordt ingestemd met de voor tariefdifferentiatie benodigde DPI. Hoe kan het anders? Als ik een patatje bestel bij de snackbar stem ik er toch impliciet mee in dat die arme aardappeltjes in het hete vet worden gemieterd?

Stel dat je het aanvaardbaar vindt dat een telefoongesprek over internet een ander prijskaartje heeft dan het versturen van een e-mail die uit ongeveer evenveel bytes bestaat. Wat kun je er dan in hemelsnaam voor bezwaar tegen hebben dat het technisch systeem van KPN kijkt naar een portnummer o.i.d.? Dat moet het toch doen om het tariefonderscheid te kunnen maken?

En als je zulks niet aanvaardbaar vindt, is artikel 139c van de strafwet dan een redelijke grond voor je bezwaar?

En trouwens, KPN heeft waarschijnlijk ook nooit met je overlegd over datacompressie en heeft nooit gerechtvaardigd dat je daarmee zou moeten instemmen. Datacompressie is al decennia een normale techniek in datacommunicatienetwerken en inspecteert de packets veel dieper dan wat nu aan de orde is. OMG! Als je voor de 2e keer “love you schatje” zegt, blijkt dat KPN dat nog in zijn compressietabel had staan. Is Bits of Freedom al wakker?

@Bram -reactie 5 de factor “domheid” lijkt mij een nette beschrijving.
Laat onverlet, dat er meer fout is aan de procedure. Van een beursgenoteerd mag je verwachten dat investeerders / journalistenbijeenkomsten goed worden voorbereid en dat iedereen een nauwkeurig afgestemd script heeft. En tijdens alle voorbereidingen heeft niemand van PR en legal de impact van de drie letters d-p-i voorzien?

Arnoud, het gaat niet over “wij hebben uw pakketjes bekeken”, maar “onze technische systemen hebben bepaalde technische kenmerken van uw pakketjes gebruikt om het juiste tarief te hanteren”. En het gaat niet om een naheffing, maar om nieuwe nog overeen te komen tarieven, waar je al of niet mee kunt instemmen.

Ik zie geen principieel verschil tussen kijken naar een poortnummer en kijken naar een protocolcommando o.i.d.

Deze discussie wordt over enkele decennia pas echt interessant, als computerprogramma’s minstens zo intelligent zijn als mensen en het netwerk van KPN inhoudelijk met je gaat meedenken

Op bof.nl heb ik al gemeld dat je volgens mij ook als niet-abonnee gewoon aangifte kunt doen. Zelfs als je geen mobieltje hebt! De achterliggende gedachte hierbij is dat je communiceert met iemand die wel een abonnee is bij KPN, en deze communicatie dus afgeluisterd wordt. En dus niet alleen je telefoongesprek maar ook als zo’n abonnee op hun mobiel jouw mailtje leest of jouw website bezoekt! Communicatie gaat immers in twee richtingen en volgens mij moeten beide partijen toestemming geven tot het afluisteren.
Het kan zijn dat KPN-abonnees hiertoe worden gedwongen via het abonnement. Maar ik ben geen abonnee en geef ook echt geen toestemming maar toch wordt ook ik afgeluisterd zodra ik met een KPN-abonnee communiceer!
Mijn moeder had b.v. een Hi-abonnement, nu Vodafone, en dus ben ik ook afgeluisterd iedere keer dat ik haar mobiel belde.

Arnoud, jij schrijft “Natuurlijk, als men de voorwaarden aanpast én mensen duidelijk informeert dan is er een minder groot probleem. Als DHL tegen mij zegt dat ze mijn post openmaken en op basis van de inhoud het tarief bepalen, dan is dat prima. Ik kan dan besluiten daar al of niet in mee te gaan.”
Het probleem hiermee is dat de kans enorm groot is dat alle providers de rijen sluiten en op dezelfde manier te werk gaan. Juist omdat ze allemaal in hetzelfde schuitje zitten. Als consument heb je dus feitelijk geen keus.

Arnoud, ik ben geen klant, maar wel gebruiker van KPN mobiel internet (mijn baas betaalt nl de rekening), kan/mag ik ook aangifte doen? Of moet ik mijn werkgever ook op pad sturen?

Iedereen die kennis heeft van een gepleegd misdrijf mag aangifte doen. Er zijn slechts een beperkt aantal uitzonderingen waarbij alleen het slachtoffer aangifte moet doen.

@Arnoud:

Als ik ze opdracht geef om dit te doen (bv. door in te stemmen met een algemene voorwaarde die bepaalt dat ze het mogen doen), dan is er niets aan de hand.

Ik lees “opdracht geven” als in “expliciet aangeven” dat jij wil dat ze dit doen. Het lijkt me niet dat via algemene voorwaarden kunt regelen dat je een techniek gebruikt waarbij iemand al zijn privacy kwijt raakt. Een en ander in verband met WPB, ERVM en het cyber-crime verdrag.

Dat kun je niet weten, tenzij de provider zelf meldt dat ze het doet. En dat maakt de KPN actie nog opmerkelijker: waarom zég je zoiets?

Ze wouden aan de aandeelhouders overtuigen van wat ze konden zonder daarbij te denken aan de juridische gevolgen.

@Peter Staal, DHL mag alleen pakketjes open maken indien zowel verzender als ontvanger daarmee akkoord gaan! Toch? En hoe kan de ontvanger akkoord gaan met die algemene voorwaarden indien hij nog niets heeft ontvangen? En het moment van ontvangst is sowieso te kort om eerst even de AV door te nemen…

Omdat KPN, net als DHL, een verbinding legt tussen twee partijen moeten volgens mij dus beide partijen akkoord gaan met zaken zoals het openen van pakketjes en bestuderen van data en analyses van gesprekken… Daarom kan KPN dit ook niet opnemen in hun AV omdat ze daarvoor ook toestemming nodig hebben van mensen die geen abonnee zijn…

DPI kijkt dan wel naar de inhoud, maar er is inhoud en inhoud. Inhoud kan bijvoorbeeld ook zijn specifieke applicatie informatie (specifieke whatsapp of skype headers bijvoorbeeld) en niet zozeer werkelijke persoonsgebonden (“gespreks”) inhoud.

Ik denk dus niet dat je al direct kan spreken van een strafbaar feit, aangezien het tot nu toe niet duidelijk gemaakt is of er ueberhaupt persoonsgerelateerde info is gescanned.

Ik vraag mij het volgende af: ik heb zelf geen KPN abonnement (maar Vodafone) maar wissel regelmatig data uit met een collega met een KPN abonnement.
Ik begrijp dat KPN ook DPI op mijn data gedaan en zou eigenlijk daarvan ook aangifte willen doen, ook al ben ik geen klant van KPN.
Ze zitten immers wel in mijn data te loeren.

Het postkantoor hoeft daarvoor niet in je pakketje te kijken. Dat gebeurt hier wel.

@Ogre
Wat ik niet snap is dat er hier zo veel mensen zijn die dat redelijk vinden.
Het maakt toch niet uit wat er in dat pakketje zit? KPN hoeft er toch niet meer of minder voor te doen als voor een ander pakketje? Het enige verschil is dat dit pakketje ten koste gaat van andere bussiness maar dat geeft ze toch niet het recht pakketten te inspecteren?
Of in jouw analogie: KPN mag kijken of er een factuur in die envelope zit want ze hebben een aparte dienst waarbij ze voor een (hoger) tarief facturen verzorgen.

@Peter van G Slecht argument. Wat KPN namelijk wil doen door extra geld te vragen voor bepaalde diensten is het verkrijgen van een monopolie voor hun eigen, vergelijkbare diensten. Je voorbeeld met een factuurdienst geeft het probleem al aan: indien KPN extra gaat rekenen voor post die facturen bevat en niet door hun eigen factuur-systeem is geproduceerd blokkeren ze daarmee dus een concurrent en verkrijgen ze een monopolie op factuur-gebied. Dan heb je ook geen keuze meer als KPN-abonnee.
Idem met andere diensten zoals de concurrentie met Skype. Natuurlijk is het vervelend dat mensen via Skype “gratis” kunnen bellen terwijl ze normaal KPN per minuut moeten betalen. Maar zo werkt concurrentie nu eenmaal. KPN kan ook gewoon betere diensten aanbieden en misschien is het gewoon tijd dat mobiele telefonie-bedrijven gewoon een onbeperkt aantal belminuten aanbieden bij een abonnement. Precies wat Skype ook doet!
Ik vind het sowieso belachelijk dat je bij telefonie nog per minuut moet betalen maar internet gewoon onbeperkt gebruikt kan worden. (Nou ja, zolang het gebruik maar redelijk blijft…)

KPN kan en hoeft niet in het pakket te kijken om te zien dat jij als klant Whatsapp gebruikt. Dat ziet KPN al aan het het IP-adres. En dat IP-adres moet zichtbaar zijn om het af te kunnen leveren.
Even gekeken: Volgens mij is Whatsapp-verkeer herkenbaar aan IP-adres 50.22.227.224. En het verkeer zelf is encrypted, dus onleesbaar voor KPN, dus geen DPI mogelijk.

Dus dat is net zoiets dat TPG/TNT/PostNL ziet dat je post stuurt aan Postbus 1060, Hilversum”, en dan weet jij iets doet met de AVRO. En dat TPG/TNT/PostNL per week 300.000 poststukken aflevert met afzender “Postbus 1060, Hilversum” en dan dus weet dat de AVRO 300.000 AVRO-bode-klanten heeft. En dat kan best in een gesloten, verzegelde envelop.
De vervoerder kan dat dus weten zonder de envelop/pakket open te maken.

Nu de grote vraag: mag een vervoerder (KPN of DHL) tariferen op basis van bestemming/afzender (en daarmee geschatte inhoud). Dus: “Aha, afzender is Belastingdienst, dus dat is waardevolle informatie, dus dan moet u 0,50 euro extra betalen”.
Dat klinkt heel raar (en mogelijk vervelend), maar het is gebruikelijk dat je een tarief stelt op basis van de waarde voor de klant en op basis van het maximale wat je als leverancier kan vragen (en dus niet op basis van de kosten die de leverancier heeft). Een-en-dezelfde huurauto kan voor verschillende tarieven beschikbaar zijn, afhankelijk van de klant. En op vrijdagavond met Easyjet naar Barcelona is duurder dan op dinsdagochtend. En nu Easyjet boeken voor vanavond is duurder dan dezelfde reis over 3 maanden.

Nogmaals: mogelijk niet leuk, maar in een markteconomie gebeurt dat, en zolang er marktconcurrentie is kan een leverancier het proberen.

@27 Mark Berck

Wat KPN nu doet, is zeggen “85% van de Hi-gebruikers gebruikt Whatsapp”. Dat is anoniem, geen DPI nodig, en lijkt mij OK.

Wat KPN wil gaan doen, is zeggen “Geachte heer Mark Berck, we zien dat u Whatsapp gebruikt, en om de kwaliteit te kunnen blijven garanderen, zullen we u daarvoor 2,50 Euro per maand in rekening brengen”.
NB: ook hiervoor is geeen DPI nodig.

Het is discussie-waardig of dat leuk is (waarschijnlijk niet), en of het toegestaan is (in mijn persoonlijk mening: ja, maar alleen als er marktconcurrentie/marktwerking is en niet alle partijen dat doen).

Attentie: voor beide zaken is geen DPI nodig; zie mijn vorige post.

Omdat dit vuurtje nog wel wat extra olie kan gebruiken: KPN blijkt deep packet inspection uit te besteden
Het is dus niet KPN zelf die deze “Deep Packet Inspection” uitvoert! In werkelijkheid voert Alcatel-Lucent deze inspecties uit. Voor eenieder die aangifte doet of al heeft gedaan, gelieve Alcatel-Lucent ook even te noemen in de aangifte want ook dit bedrijf kan niet vrijuit gaan.

Het Teakers-artikel legt ook uit waarom voor KPN het niet voldoende is om IP+Poort te weten waarover het verkeer gaat, simpelweg omdat Whatsapp meerdere IP adressen gebruikt en er nieuwe bij kunnen komen. En Whatsapp maakt gebruik van xmpp, waar Jabber en Google Talk dus ook gebruik van maken. En omdat xmpp voor heel wat soorten berichten-verkeer wordt gebruikt en niet alleen voor chats…

Als het mogelijk eventueel misschien zou zijn dat KPN dit zou kunnen achterhalen op basis van alleen het ip adress en poort nummer, waarom komt doen ze dan een verklaring de deur uit dat ze hiervoor DPI hiervoor hebben ingezet?

Wat ik hier nog een beetje mis in dit artikel / comments, is of het mogelijk is om je contract te laten ontbinden, mochten ze door een rechter schuldig bevonden worden aan het aftappen van vertrouwelijke gegevens o.i.d.
Zoals je misschien kan begrijpen heb ik geen enkele behoefte om nog langer klant te blijven bij deze leverancier.

Als er een werkelijk goede marktwerking in de telecom wereld was, dan zou deze actie van KPN geen enkel probleem zijn, en zouden de prijzen van de betreffende diensten vanzelf al snel een niveau bereiken waarbij de prijzen van de dienst een redelijke relatie hebben met de daarvoor te leveren inspanning: ofwel SMS zou zo goedkoop zijn dat een applicatie als WhatsApp geen enkel bestaansrecht zou hebben (los van dat zo’n tool mogelijk makkelijker is in gebruik), ofwel de SMS dienst zou geheel verdwijnen in het breedbandgeweld van een dataverbinding.

Helaas is er met de huidige drie grote jongens die elkaar op de voet volgen geen goede marktwerking, en kan die, volgens mijn eigen inschatting, vanwege de enorme investeringen in infrastructuur en bijbehorende schaalvoordelen ook niet goed bestaan. In zo’n geval lijkt het mij noodzakelijk dat de politiek ingrijpt om misbruik te voorkomen, en dingen als ‘netneutraliteit’ voor te gaan schrijven en DPI te verbieden (al zou ik persoonlijk dan liever end-to-end versleuteling voorschrijven).

@Wim ten Brink: Dat probleem met hoge telefoonrekeningen kun je beperken door een maximum bedrag per dag/maand te hanteren voor mobiel internet.

@39 Peter Staal:

Afrekenen per MB … interessant punt. Ik heb de neiging om gelijk te zeggen “de ene MB heeft een andere waarde dan de andere MB”, en dat zal een telco aanvoeren, maar dat is lastig te verdedigen richting klant.

Dus: tariefmodel per MB, met een vastrecht van 5 of 10 Euro per maand voor hebben van mobiel Internet. In brugklas-wiskunde: ax+b

Voorstel: 7.50 Euro per maand, plus 0.02 Euro / MB dag-tarief resp 0.01 Euro / MB nachtarief.

Deal?

Het vervelende voor een telco is dat SMS-inkomsten instorten, en Whatsapp per maand maar 1 MB zal doen, dus inkomsten van 0.01 Euro. So be it: Whatsapp betekent ook geen netwerkkosten. Nieuwe inkomstenbron voor telco is dan Google Maps etc; die doet wel veel nieuw verkeer, dus nieuwe inkomsten voor de telco.

Veel provider kijken naar de inhoud van bepaalde (mail) traffic om bijvoorbeeld te bepalen of daarin spam of malware inzit.

Daar wordt echt naar de inhoud gekeken en niet alleen naar de routeringsdata.

Eva heeft een goed punt! Afrekenen per MB zal weinig effect hebben want WhatsApp verbruikt weinig data. Maar gebruikers van Google Maps of mensen die hun foto’s graag direct uploaden zullen er behoorlijk pissig over worden. Terwijl KPN juist concurrentie heeft van WhatsApp omdat mensen dan minder vaak SMSjes versturen, terwijl Google Maps en foto’s uploaden wel veel bandbreedte vragen maar niet met andere producten van KPN concurreren. Afrekenen per MB is juist vervelend voor die grootverbruikers die dan naar alternatieven zoeken, niet voor mensen die graag hun mobiel gebruiken om te chatten…

@hAl, veel providers zullen zich echter wel beperken tot de mailboxen die bij de provider zelf beheerd worden. UPC zal dus wel je UPCMail controleren en spam/malware kunnen blokkeren, maar je GMail account controleren mogen ze weer niet. Dat is dan weer een privacy-schending… Natuurlijk kun je vaak weer wel diverse mail-accounts aan elkaar knopen zodat je maar 1 mailbox hoeft uit te lezen, maar dan heb je hier ook toestemming voor gegeven.

@Sander de Vries, een SSL verbinding is moeilijk te kraken, maar is wel mogelijk door b.v. een man-in-the-middle aanval. En de providers zitten netjes in het midden voor een dergelijke aanval. Deze truuk is o.a. toegepast in Tunesie en Syrie om zo “staatsgevaarlijke” personen te kunnen elimineren. Toch is RFDPI weer eenvoudig te omzeilen door naast SSL nog een encryptie-laag toe te voegen. Die laag moet dan weer wel bekend zijn op zowel de client als server en zal dus niet werken in een web applicatie. Maar WhatsApp zou dat weer wel kunnen!

@Eva Quirinius Het kan mooier! WhatsApp gebruikt nu een speciale poort maar ze zouden ook gewoon poort 80 kunnen gebruiken en zich zo voordoen als standaard Internet-verkeer. De provider ziet dan alleen maar uitwisseling van binaire mime-bestanden over SSL maar kan verder niet herkennen wat het precies is. Als er dan ook nog een extra laag encryptie is toegevoegd wordt het zelfs nog lastiger! Maar SSL is in het algemeen goed genoeg, zolang er maar geen man-in-the-middle aanval wordt gedaan door je provider.

ZUCHT! Dus mogelijk komt KPN er met een kleine tik op de vingers onderuit? Dat moet toch op de een of andere manier te voorkomen zijn? Ik heb gewoon zin om een anti-KPN site op te zetten, maar momenteel is dat nog teveel moeite… (Ben namelijk al met teveel andere sites bezig.)

@Arnoud: Waarom zou het voor ‘t doen van aangifte relevant zijn of jouw verbinding is afgetapt?

Het beginsel van fair play houdt voor bestuursorganen in dat zij burgers de mogelijkheid geven hun procedurele kansen te benutten. Dit beginsel is onder meer uitgewerkt in de artikelen 161 en 163 van het Wetboek van Strafvordering (Sv). Artikel 161 Sv geeft een ieder die kennis draagt van een strafbaar feit de bevoegdheid daarvan aangifte te doen. In artikel 163 Sv is hierop aansluitend geregeld dat opsporingsambtenaren verplicht zijn om een aangifte van een strafbaar feit op te nemen. Deze plicht tot het opnemen van de aangifte staat los van de vraag of aan die aangifte verder vervolg zal worden gegeven. Wanneer bij de politie aangifte wordt gedaan, mag van haar worden verwacht dat zij deze aangifte opneemt op het moment dat deze wordt gedaan. Voor zover de feitelijke mogelijkheid of de relevante kennis over een bepaald delict daartoe op dat moment, objectief bezien, ontbreekt, dient degene die aangifte wenst te doen daartoe zo spoedig mogelijk alsnog de gelegenheid te krijgen.Twijfel bij de betrokken politieambtenaar over de vraag of al dan niet sprake is van een strafbaar feit mag er niet aan in de weg staan dat hij gevolg geeft aan zijn wettelijke plicht tot het opnemen van een aangifte. In het geval van dergelijke twijfel dient hij het over te laten aan de officier van justitie om ter zake een standpunt te bepalen en dat kenbaar te maken aan de persoon die aangifte deed. Deze plicht tot het opnemen van de aangifte staat los van de vraag of aan die aangifte verder vervolg zal worden gegeven. Wanneer bij de politie aangifte wordt gedaan, mag van haar worden verwacht dat zij deze aangifte opneemt op het moment dat deze wordt gedaan. Voor zover de feitelijke mogelijkheid of de relevante kennis over een bepaald delict daartoe op dat moment, objectief bezien, ontbreekt, dient degene die aangifte wenst te doen daartoe zo spoedig mogelijk alsnog de gelegenheid te krijgen.

Aldus de Nationale Ombudsman (Rapportnummer: 2005/0364).

En nr 47. Dankzij Wim dacht ik aan ‘t nummerbehoud.

Piet,

Het poortnummer alleen zal geen garantie bieden dat een bepaalde applicatie/technologie gebruikt wordt. Dit zal in de eerste plaats valse positieven op levert en daarnaast makkelijk te omzeilen zijn omdat dit iets is dat te configureren is. Als je wilt kun je Apache draaien op poort 5223/TCP. In de stream die WebWereld beschikbaar heeft gesteld kun je het volgende horen:

Paul Sidney from Credit Suisse. Just a question on Dutch mobile, please. How easy will it be for you to discriminate on mobile internet content access. Perticily in the face of political and consumer opposition. And how would you actually fiscally look to do this? Would you be accutally look to do it on price charge customers on certain apps or would you be able potentially look to speed to discriminate?
–

Yeah, it’s a relevant question in the light of discussion that goes on, on netneutrality. We also saw a lot of discussion on going in the previous week.

I think our general statement is: we will not block service, but we will try to price them or we will price them. We will not block any individual application as such, but we do have investments in our network that we wont to continue to do and we want to price to the consumer.

I think within the capabilities in the network that are being developed as well we are able to identify -deep packet inspection- by what is actual the destination of specific data packets that go along. Actually the interesting example of us measuring -i think though that was one of the questions- the penetration result whatsapp. We are the very first operator -i understood- in the world that has build the capability to actually identify where those streams are going to. So i think that is in deed the world that were going to.

I think on VoiP it is possible to identify whether it is VoiP traffic and when people want to make use of those services and make use of the kind of highway that we have build to those applications then we will charge a mobile voice bundle for it.

–
So just to be clear, if somebody is using this service then you will basically charge them, its won’t be an option to the customer, they will just be charged. Is that what you purposing?
–
Yeah, we will -on the mobile-, for instance VoiP. We will charge and introduce mobile VoiP bundles. We will measure it and we will monitorize it.

@50 Eva:
Voor het verwerken van SMS-berichten maken de telco’s vrijwel geen kosten, deze worden namelijk verstuurd in een stukje ‘loze’ ruimte in de ‘status’-berichten van telefoons. Jouw telefoon praat de hele dag met telefoonmasten om zijn positie in het netwerk bekend te maken en daar liften de SMS-berichten dus op mee.

@52 Eva:
Ik verwacht zelf dat de uiteindelijke oplossing zal worden om alle verkeer voor (niet realtime) zaken als WhatsApp via een beveiligde verbinding met een proxy te versturen. KPN ziet dan enkel versleutelde pakketjes langskomen, die naar een proxy gaan die o.a. maar niet exclusief gebruikt wordt voor WhatsApp verkeer. Dit levert een kleine vertraging op, maar omdat het toch om SMS-achtige berichten gaat, is dat geen probleem.

@53 Eva Quirinius:

@52 hAl: Klopt. Maar dat kan alleen als je de mail aan die provider (dus piet.devries@provider.nl) stuurt. Als ik het zelf (versleuteld) naar gmail stuur, dan kan mijn ISP het niet controleren.

Maar als het onversleuteld via bijv. pop3 gaat kan de provider het wel controleren. Bij mij op het werk maken we gebruik van een pop3 server in de vs. Bij het binnenhalen van de mail, blijken er opeens pop3-headers toegevoegd die aangeven dat de adsl-provider een virusscan heeft uitgevoerd. Dat gebeurt dus geheel transparant zonder dat het via een mail-server van de provider gaat. En omdat virussen de werking van het netwerk kunnen beïnvloeden, is het denk ik ook gewoon toegestaan. Maar in ieder geval heb ik er geen probleem mee, een extra virusscan kan geen kwaad.

Volgens Tweakers is het nodig om echt de payload te bekijken voordat kan worden vastgesteld of het echt WhatsApp of wat anders is.

Er is geen spraken van speculatie want KPN heeft zelf verklaart dat ze DPI hiervoor hebben gebruikt. Vervolgens hebben ze in een tweede verklaring dat nog eens bevestigd. Dat ze dit misschien eventueel mogelijk niet nodig zouden hebben gehad doet van deze verklaringen niets af.

Om een data packet bij de juiste ontvanger af te leveren, moet je ook al in het pakketje kijken naar welk IP adres je het doorsturen. Deze gegevens moeten ook geïnterpreteerd worden en afhankelijk daarvan wordt een packet de ene of de andere router in gestuurd.
Goed beschouwd staat de port informatie (welke een indicatie is voor het gebruikte protocol/applicatie) slechts een paar bytes verderop in het pakketje wat je sowieso al bestudeerd moet hebben.

Begrijp me niet verkeerd, ik ben zeker geen voorstander van het factureren op basis van port/protocol/applicatie, maar mijn gevoel zegt dat het wel een flinterdun verschil is welke bitjes je uit een aaneen gesloten riedeltje wel of juist niet mag interpreteren.

@Hutsefluts: Je gevoel klopt op de theorie maar niet de praktijk.
Routers kijken juist bewust niet verder dan de destination address, de hele hardware is er op gemaakt om dat snel te doen door alleen naar die 4 bytes te kijken. Je kunt uit routers de grove verkeersstromen zien op basis van de routing decisions (netflow), maar dat geeft in dit soort geval alleen aan dat het naar “het internet” gegaan is, niet waar op het internet.

Vandaar ook dat ze “Deep” Packet Inspection hardware (en blijkbaar ook kennis) nodig hadden om toch verder te kijken. Het was wel degelijk een flinke stap om te nemen. En omdat ze die stap alleen doen om te bepalen hoe ze de klanten meer laten betalen voor minder service (het kwam immers uit op de aandeelhoudersvergadering), zijn de klanten niet echt geneigd om dat in een goed licht te zien.

@Alex(#72):

Er is geen spraken van speculatie want KPN heeft zelf verklaart dat ze DPI hiervoor hebben gebruikt.

Goed, KPN gebruikt hier inderdaad zelf de term DPI. Ik gok nog steeds dat het niet meer inhield dan het controleren van poortnummers en/of ip-adressen (want dat geeft ruim voldoende informatie als het alleen gaat om statistieken), maar als KPN het DPI noemt, dan is het DPI.

Hoe dan ook: dit was allemaal in april al bekend.

@We are Borg(#73):

Het is niet genoeg om naar poortnummers of ip adressen te kijken beide kunnen namelijk veranderd worden. Je heb DPI nodig om zeker te zijn welke applicatie het is de header is daarvoor genoeg.

Waarom zou KPN in hemelsnaam moeilijk doen? Het ging om statistieken. Poortnummers en ip-adressen gegeven ruim voldoende informatie.

Het gaat trouwens om tcp-verkeer. Denken mensen hier serieus dat KPN alle tcp-streams van gebruikers zit te parsen om te kijken of het op WhatsApp-verkeer lijkt? Hoe waarschijnlijk is dat?

Hoe dan ook, en dit is misschien waarom KPN geen bezwaar maakt tegen het gebruik van de term DPI, ook als de gebruikte techniek naar de payload van het tcp-verkeer heeft gekeken is er geen sprake van “aftappen” in de zin van art. 139c Sr. Volgens T&C Strafrecht, art. 139c Sr:

Aftappen

Hiermee wordt bedoeld dat de gegevens in voor de mens directe vorm worden omgezet.
Bij het verzamelen van statistieken is daar natuurlijk geen sprake van. Het enkele geautomatiseerd verwerken van de inhoud van een datapakket is in ieder geval geen aftappen. Uiteindelijk doen alle routers dat: pakketje inclusief inhoud wordt ontvangen en weer doorgegeven; alle bitjes gaan “door de handen” van de router. Eerder gaf iemand het voorbeeld van compressie. Compressie is natuurlijk geen aftappen, ook al kijken compressiealgoritmes heel intensief naar de inhoud van de pakketjes.

@75,76,77: ik denk dat Hutseflut uitstekend weet hoe routers werken. Technisch maakt het natuurlijk verschil of je normale routerfunctionaliteit kunt gebruiken of extra functionaliteit nodig hebt, maar hoeveel technische moeite KPN heeft gedaan is volkomen irrelevant voor de vraag hoe “erg” het is dat KPN dit gedaan heeft. Uit oogpunt van “hoe erg” is het verschil flinterdun, is volgens mij het punt dat Hutsefluts maakt.

Wat ik interessant vind, is dat ik in dat technische verschil een belangrijke aanwijzing zie dat KPN niets anders heeft gedaan dan gekeken naar ip-adres en/of poortnummer, terwijl de meesten hier voetstoots aannemen dat KPN technisch ingrijpende maatregelen heeft genomen om statistieken te verkrijgen die ook op een eenvoudige manier konden worden verkregen (en dan vervolgens moord en brand roepen).

Overigens, Routers kunnen wel meer dan alleen verkeer doorverwijzen. Zowel de Thomson en LinkSys routers die ik heb kunnen cookies blokkeren, Java uitschakelen, ActiveX controls tegenhouden en proxyservers uitschakelen. Zal wel niet allemaal even vlekkeloos verlopen maar ook hier is er dus sprake van een diepere inspectie dan alleen de “envelop”.
Bedenk wel dat veel mensen en bedrijven een dergelijke router in huis hebben die dit soort mogelijkheden biedt! Ik kan mijn LinkSys ook nog allerlei toepassingen laten blokkeren en zelfs tijdschema’s toekennen waarbuiten geen enkele bezoeker kan internetten. Ik kan mijn router b.v. op Zondag dichtgooien omdat ik dat een rustdag vind, en zo iedereen aan mijn kant van de router dus mijn “wil” opleggen. Ik kan ook websites blokkeren op basis van URL, keyword of IP-adres en een logboek bijhouden van al het verkeer.

Maar voordat we KPN vergeven voor wat ze hebben gedaan, eerst de vraag of ze daar het recht toe hadden! Een werkgever kan b.v. besluiten dat ActiveX en Java schadelijk is en dit dus al bij de router blokkeren. Staat vervolgens gemeld in het personeelsbeleid, sectie IT en Internet. (Hopelijk!) Ze doen dit dan om een goede werking van het bedrijf te krijgen. Ten minste, wat zij goed vinden.
Voor KPN zouden deze gegevens ook belangrijk zijn om zo een goede dienstverlening aan te bieden. Dat zou een goede reden kunnen zijn, alleen heb ik niet het idee dat dit het plan was voor KPN! KPN wil namelijk bepaalde diensten blokkeren en pas mogelijk maken als de klant meer betaalt. KPN doet dit voor een onderzoek om de NetNeutraliteit aan haar laars te lappen. En dat is wat iedereen nou zo boos maakt! Niet dat we worden afgeluisterd maar dat KPN bepaalde diensten wil gaan blokkeren.

Kortom, dit is de strijd om de netneutraliteit!

@Franc, het gaat er niet zozeer om dat je een certificaat aan het facen bent… Als de gebruiker een client-certificaat mey public key heeft ontvangen van de server om de SSL verbinding mee te maken, dan heeft de provider die ertussenin zit deze dus ook ontvangen. Omdat je met een client certificaat geen data kunt decrypten die met een client certificaat is gemaakt is het dus voor de provider niet mogelijk om te zien wat jij verstuurt. Maar wat heel veel mensen niet beseffen is dat de server de private key gebruikt voor encryptie die je met de public key in het client-certificaat dus kunt ontcijferen. Ofwel, je kunt wel uitlezen wat de server naar de client verstuurt, maar niet wat de client naar de server verstuurt!

Wil je dit dus tegengaan dan moet je de beveiliging fors verbeteren door zowel in de client als server een private en public key te gebruiken. Encrypted doe je dan met de public key van de tegenpartij, omdat die als enige de private key heeft. En decrypted dus met de private key…
Maar sites die SSL gebruiken zijn dus lang niet zo veilig als verwacht. Zeker niet indien ze veel informatie naar de client sturen!

Gelukkig werkt SSL wel met twee certificaten! Je hebt op je Windows of Linux systeem al een cetrificaat voor die specifieke machine staan met je eigen private key en wanneer er een SSL verbinding wordt gemaakt dan stuurt de server jou een public key waarop je eigen browser met de eigen public key reageert. De uitwisseling van sleutels garandeert dus de beveiligde verbinding. Alleen, bestaat er de kans dat je provider op de een of andere manier ook de beschikking heeft over jouw private key? Bijvoorbeeld dankzij de installatie van speciale ADSL software? Of software om bij je provider extra schijfruimte te krijgen? Of de gratis backup die providers soms bieden? Of -op mobieltjes- omdat die intelligentie gewoon in de simkaart/mobiel is ingebouwd om de private key even naar de provider te sturen? Geen idee. Ik weet echter wel dat veel mensen zich enorm kunnen vergissen in de beveiliging van SSL en niet beseffen dat hun eigen computer ook een speciaal certificaat becvat dat goed beschermd moet worden.

Met PC’s zal je provider dus niet snel je private key verkrijgen. Maar met mobiele telefonie en tablets? Zeker die mobieltjes die je rechtstreeks bij de provider koopt???

@Wouter, een SSL verbinding zit tussen twee computers en gebruikt twee certificaten en in totaal vier sleutels. Bij zowel client als server wordt de public key van de ander voor encryptie gebruikt die vervolgens alleen nog met de private key uit te lezen is. Indien je provider in het bezit is van de private key die op de telefoon is gebruikt kan de provider dus alle berichten afkomstig van de vele servers waar je mee communiceert gewoon afluisteren. Wie garandeert namelijk dat je mobiel een uniek certicicaat bevat en dat de private key alleen bekend is bij jouw toestel? We hebben wat dat betreft wel een enorm groot vertrouwen in onze providers…
De tweede mogelijkheid schets je zelf al, de man-in-the-middle aanval, waarbij de provider zelf een eigen certificaat gebruikt om het SSL verkeer mee af te luisteren. Grote kans dat je provider “trusted” genoeg is om zelf nieuwe certificaten mee te genereren en dus ook de mogelijkheid heeft om informatie van een server-certificaat over te nemen voor een kopie met eigen keys maar dezelfde informatie als het originele certificaat. Ja, moet je dus weten dat het certificaat van de ING niet door KPN is afgegeven maar door… Hey, door wie eigenlijk? Ah, VeriSign… Maakt KPN ook gebruik van…

Wat je verder niet moet vergeten is dat het hier gaat om mobiel internet, dus wat je op telefoons en tablets tegenkomt, niet op complete computers. En dat KPN niet duizenden certificaten hoeft te “vervalsen” maar alleen die certificaten voor diensten die ze in de gaten willen houden. En nog eenvoudiger: ze hoeven niet eens het SSL verkeer te ontcijferen maar alleen het gebruikte certificaat moet herkend worden. Als ik weet dat de communicatie wordt versleuteld met een certificaat van de ING dan weet ik dat de gebruiker aan het Internet-bankieren is. Dus bepaalde applicaties kunnen dankzij de SSL worden geblokkeerd niet op basis van het inhoud maar dankzij herkenning van het certificaat. Of je hangt er een extra rekening aan: voor ieder megabyte die met certificaat X is beveiligd breng je 10 Eurocent in rekening, of zo…
KPN hoeft niet de inhoud te ontcijferen om te weten waar je mee communiceert. Maar DPI is wel nuttig om te bepalen welk certificaat er wordt gebruikt!

@Alex(#85):

Van ???flauw om op basis van speculatie KPN aan te vallen??? verval je nu in ???flauw om KPN aan te vallen, want ik speculeer dat??????.

Je legt me woorden in de mond die ik niet geschreven heb. Het is uiteraard niet flauw om te beweren dat KPN DPI toepast als KPN dit zelf ook zegt. Op 13 mei heeft KPN dit inderdaad (voor zover ik weet voor het eerst) gezegd. Er zijn sterke aanwijzingen dat het in feite om SPI gaat in plaats van DPI, maar goed.

En misschien valt het je niet op, maar er is een beetje verschil tussen “ik gok dat [speculatie]” en “doe allen aangifte, want [speculatie]“.

Aan de een kant hebben de verklaring van een directeur die toegang heeft tot wat het bedrijf doet.

Heb je al eens opgezocht wat die directeur heeft gezegd? Ik wel, zie mijn eerste bericht op deze pagina.

Jouw bewering dat dit in April reeds bekent was dat ze DPI zouden toepassen kan ik niet sierreus nemen zonder bron.

In april was duidelijk dat KPN onderzoek heeft gedaan naar WhatsApp, precies wat die directeur vertelde in de videoconferentie. Bedoel je nu dat dit zonder DPI had gekund? Goh.

Aftappen is het monitoren van informatie door een derde partij. Het vastleggen van statistiek door hetzij mensen of hetzij machines kan heel goed onder aftappen vallen.

Je bent het niet eens met Tekst & Commentaar Strafrecht? Ook al zitten daar hoogleraren strafrecht achter die de wetsgeschiedenis en jurisprudentie wél hebben uitgespit?

@87 Dan nog is KPN verantwoordelijk te noemen omdat zij dat Franse bedrijf toegang tot hun netwerk gaven.

Ik heb volgende week dinsdag een afspraak staan voor de aangifte in Nijverdal!

hoi

ik ben klant van vodafone die ook dpi gebruikt.
is dit dan een reden om mijn abonnement op tezeggen (zonder dat mijn contract termijn is afgelopen).
want ik vindt dit niet kunnen.

@Wim(#90):

@Michel, dat klopt wel maar het maakt de ontkenning van KPN nog niet onjuist. KPN kan blijven beweren dat ze geen DPI hebben toegepast.

KPN heeft het in een officiële verklaring zelf DPI genoemd.

Dat er in feite slechts SPI is toegepast wordt beweerd door een technisch werknemer van KPN (die er wel eens meer verstand van zou kunnen hebben dan de leiding van KPN) en zou niet geheel onlogisch zijn. Zie #79.

Heel veel maakt het niet uit, want ook in het geval er DPI is toegepast lvert dit geen bewijs op van “aftappen” in de zin van art. 139c Sr.

@Alex(#94):

Ik ben van mening dat ik jouw standpunt juist goed heb samengevat en je dus geen woorden in de mond hebt gelegd.

Ok, wijs eens aan waar in #78 ik ben vervallen in ???flauw om KPN aan te vallen, want ik speculeer dat??????.

Vraag jij naar de bekende weg?

Verdraaid, ik zit er inderdaad naast. Hij zegt het wel. Toen ik zelf het relevante deel van de videoconferentie beluisterde was het me niet opgevallen doordat hij de term voor het grootste deel inslikt (“diep’t inspection”), en ik had je bericht #64 eerder slechts tot aan de quote gelezen.

Dan zou ik die wetsgeschiedenis en jurisprudentie wel willen zien. Deze ene zin komt mij als onjuist over omdat het zou betekent dat wanneer je de aftap handelingen die door mensen wordt gedaan zou automatiseren het daardoor niet meer aftappen zou zijn.

De apparatuur krijgt per definitie alle data, headers plus payload, te zien. Dat valt juridisch inderdaad niet onder aftappen.

Vind jij het berekenen van een checksum over de inhoud van een datapakket al “aftappen”?

Uit de MvT (TK 1989-1990, 21551, nr. 3, p. 17):

Het aftappen betekent dat de gegevens in voor de mens direct kenbare vorm worden omgezet. Het opnemen betekent dat de gegevens worden vastgelegd, waardoor zij later in voor de mens kenbare vorm kunnen worden omgezet of anderszins kunnen worden gebruikt.

Het voor een operator zichtbaar maken dat een specifieke gebruiker een pakketje met poortnummer 5223 verstuurt lijkt mij onder aftappen te vallen. Het volledig geautomatiseerd door middel van DPI tellen van het totaal aantal WhatsApp pakketjes (of desnoods het totaal aantal woorden in WhatsApp-dataverkeer) dat in een uur door alle gebruikers over het netwerk wordt verzonden lijkt mij niet onder aftappen te vallen.

Door middel van DPI blokkeren van WhatsApp-verkeer is geen aftappen. Tellen en factureren van de hoeveelheid WhatsApp-verkeer dat een gebruiker met een “WhatsApp”-abonnement verstuurt valt mogelijk wel onder aftappen, maar zal dan al snel niet “wederrechtelijk” zijn (of anders onder art. 139c lid 2 sub 2 Sr vallen). Een provider mag nu immers ook het aantal sms’jes dat je verstuurt tellen.

Aftappen is het probleem niet voor wie netneutraliteit wil doorbreken.

@Piet, 96: Interessant, ik las dat steeds als een uitzondering voor wanneer machines autonoom in de data kijken maar dat niet aan de mensen doorgeven, i.e. een uitzondering voor routers en webcaches enzo.
Maar je kunt het dus ook andersom lezen: het is pas afluisteren als “de inhoud” eruit komt. De juridische vraag is hier dus wat ze precies uit die “DPI machines” gekregen hebben (niet wat ze erna uit gedestilleerd hebben, een volle packetdump aan de mensen geven en die dan laten destilleren zou wel weer afluisteren zijn).
Is dat “de verdeling van het totale verkeer is naar applicatie zo: …”, dan zitten lijken ze die afluister clausule niet te breken. Is het “abonnee met unieke ID x gebruikt deze applicaties”, dan wordt het al twijfelachtig voor me.

Precies dat voorbeeld van de infrarood-aanval op chips (overigens erg hip, dat was rond 2005 inderdaad een aanval waar men van dacht dat dat op echte secure chips ging werken) is zo’n samenvattende aanval: je krijgt uit de chip in theorie de bits van de cryptosleutel en in realistischer hoop de hamming weight daarvan (het aantal bits dat op 1 staat), in ieder geval haal je maar een deel van de informatie er uit (en dat kan heel schadelijk zijn).

Als ik je goed begrijp is dus de clou hoeveel, nee hoe weinig informatie van de geïnspecteerde data ter beschikking gesteld is aan de mens in eerste instantie. Het is een lastige om een grens daarin te trekken, zelfs 1 bit informatie kan zeer pijnlijk zijn (“is abonnee X naar $insert illegale of weinig geaccepteerde klasse sites gegaan?”).

Afke Schaart twitterde een paar dagen geleden:

@aaksterw VVD vindt dat blokkeren niet mag, maar waarom niet minder betalen als je geen gebruik maakt van skype? Minder keuze is duurder.

Van mij mag Afke minder betalen voor haar internetverbinding als ze geen gebruik meer maakt van twitter.

@Misthoorn VVD wil dat je gewoon betaalt voor wat je gebruikt en niet meebetaalt aan diensten die je nooit gebruikt.

Als ik nooit van de dienst http://www.vvd.nl gebruikmaak, krijg ik dus korting op mijn abonnement?

Afke denkt trouwens dat “duurdere prijzen” goed Nederlands is.

Ik verbaas me in positieve zin over Verhagen:

Volgens Verhagen is er geen reden om wetgeving voor netneutraliteit uit te stellen. “We zijn eerder dan andere landen geconfronteerd met plannen om concurrerende diensten te belasten”, verdedigde de bewindsman zijn beslissing om nu al actie te ondernemen. Als er nadere Europese regelgeving komt die ervoor zorgt dat de Nederlandse regels over netneutraliteit weer moeten worden aangepast, ‘spreken we elkaar weer’, zei hij.

KPN en Vodafone hebben hun eigen graf gegraven.

“Een vrij toegankelijk internet is van groot belang”, stelde Verhagen, die daarmee in grote lijnen herhaalde wat Kamerleden van GroenLinks, PvdA en SP al hadden betoogd. Door nu een garantie voor netneutraliteit in te voeren, wordt een signaal gegeven aan andere landen, denkt Verhagen.

Volgens de bewindsman zou iedereen vrij toegang tot informatie moeten kunnen krijgen, zonder bemoeienis van de internetprovider. Verhagen wil niet dat providers toepassingen blokkeren als die concurreren met hun eigen diensten: “Dat is slecht voor innovatie”, zei hij. Wel moet het mogelijk blijven om kwaadwillenden zoals hackers van het netwerk te weren.

Verhagen zal nu waarschijnlijk een wijzigingsvoorstel indienen, waarna het samen met de Telecomwet volgende week dinsdag kan worden aangenomen.
(bron: tweakers.net)

Persoonlijk blijf ik van mening dat netneutraliteit los staat van privacy. Het was wellicht politiek handig om de privacykaart te spelen, maar juridisch niet zuiver. De vrijheid van meningsuiting en het (economische) principe van de vrije markt zijn m.i. veel relevanter.

Oh en must carry regels (heet eigenlijk ontbundelde toegang) gelden niet voor mobiele diensten en ook niet voor breedband via de kabel of andere infrastructuur dan die (oude meuk) van KPN. In Australië wordt een volledig glasvezelnet door de staat aangelegd, waarover vervolgens vrij ISP’s worden losgelaten. Dan heb je echte concurrentie. Ook hybridemodellen zijn mogelijk waarbij zowel overheden als private partijen (waar nodig gestimuleerd door bijv belastingvoordelen, in ruil voor FRAND toegangsverplichting) investeren in nieuwe infrastructuur, zoals succesvol is toegepast in Korea, Japan en Zweden.

Een 200 pagina’s tellend onderzoek van het Berkman Center (Harvard ja) heeft aangetoond dat LLU (die ontbundelde toegang dus weer) bepaald geen windeieren legt. Zelfde geldt voor netneutraliteit; handhaving van de juiste gelaagdheid van de internetinfrastructuur is belangrijk en leidt tot effectievere concurrentie op iedere laag.