De Zweedse isp Bahnhof gaat het internetverkeer van alle klanten leiden over een vpn-verbinding, meldde Tweakers afgelopen vrijdag. Door het netwerkverkeer over zo’n versleutelde verbinding te leiden kan de provider niet meer zien wat voor sites en diensten klanten gebruiken, zodat ze die informatie ook niet kan doorgeven aan de overheid in het kader van de Zweedse bewaarplicht (dataretentie).
In Zweden lopen ze kennelijk een beetje achter, want de Richtlijn dataretentie is uit 2006 en had dus volgens mij allang in de Zweedse wet moeten staan. (En in andere landen is hier en daar al geoordeeld dat de bewaarplicht ongrondwettig is.) In ieder geval, in Zweden geldt dus nu ook een Wet bewaarplicht op grond waarvan providers bepaalde informatie moeten bewaren over hun klanten, zoals de MAC- en IP-adressen van klanten, de logon- en logoff-tijden van elke internetsessie en de mailadressen van alle mails die via de provider worden verzonden of ontvangen. Niet verplicht is het bijhouden van elke website die wordt bezocht.
De Richtlijn bewaarplicht verplicht echter niet tot het actief genereren van die informatie. De eis is dat je bewaart wat je verzamelt, meer niet. Artikel 3 van de Richtlijn zegt expliciet:
[De wet bewaarplicht eist dat] gegevens, voorzover deze in het kader van de aanbieding van de bedoelde communicatiediensten worden gegenereerd of verwerkt … worden bewaard overeenkomstig de bepalingen van deze richtlijn
Wie dus die gegevens niet nodig meent te hebben als provider, logt die gegevens simpelweg niet en hoeft ze dan ook niet te bewaren.
Wat echter de meerwaarde is van zo’n VPN, ontgaat me volledig. Ten eerste omdat je dus niet hoeft bij te houden welke websites men bezoekt, dus waarom zou je dat dan afschermen? Ten tweede omdat ik gewoon niet snap hoe dat VPN gaat werken. Bij Torrentfreak lees ik:
“Technically, this is a stealth section, we will store all data up to this point of invisibility,” adds Karlung, referring to the first-hop connection the customer makes with the company’s servers when going online.
“What happens after that is not our responsibility and is outside Bahnhof. So the only thing we are going to store is very little information, which in practice will be irrelevant.”
Als ik dit goed begrijp, dan gaat de VPN-verbinding dus vanaf mijn thuisnetwerk naar de eerste hop bij Bahnhof. Vanaf daar gaat het onversleuteld verder. Maar dan kan de provider toch nog steeds zien welke klant (die is en blijft identificeerbaar via de inkomende poort) naar welke website gaat?
Volgens mij kan dit alleen werken als het VPN-eindpunt buiten het netwerk van Bahnhof staat. Zouden ze dat bedoelen met “outside Bahnhof”? Maar bij welke dienstverlener wordt dan het eindpunt van de verbinding gelegd?
Arnoud
Dit begrijp ik niet helemaal. Dit lijkt te impliceren dat als je bijvoorbeeld de gegevens van een connectie maar niet log je ze niet hoeft te bewaren (als isp). Daarboven lees ik echter iets als: als je de gegevens op enig moment hebt, moet je ze bewaren. Door een VPN-verbinding (als die zo is opgezet dat de isp inderdaad geen verdere info krijgt) te gebruiken kun je voorkomen dat je die gegevens ?berhaupt als isp ontvangt (of dat werkt laat ik even in het midden). Klopt dat?
Dat klopt. De bewaarplicht zegt niet “gij zult gegevens A, B en C verzamelen ?n bewaren” maar “indien gij A, B en C toevallig al logt dan zult gij dat bewaren”. Wie niets logt, hoeft niets te bewaren. Maar je moet wel ?cht niets loggen, dus ook niet even 2 minuten in /tmp in een tijdelijk bestandje. Zodra een regel informatie een opslagmedium raakt, moet die een jaar blijven staan(*).
(*) Ja, dat zou een half jaar worden maar dat komt er voorlopig niet van vrees ik.
Niet ‘outside bahnhof’ maar volledig buiten Zweden. Maar waarom vraag je dat niet even vriendelijk aan Bahnhof zelf, hoe het in elkaar steekt? Aardige mensen, willen je vast verder helpen.
Door het over een VPN te sturen, kan het zijn dat ze ook meerdere organisaties (dochterondernemingen?) er achter hangen. Hierdoor wordt het identificeren van individuele gebruikers lastiger, er moeten dan meerdere gerechtelijke bevelen komen: -E?n voor de VPN provider, die z’n eindklant niet kent omdat hij alleen aan bahnhof levert -En ??n voor de fysieke provider die niet weet wat het eind-ip van z’n klant is. Door eventueel zelfs de VPN peer in een ander land te plaatsen moet iemand die gegevens op wil vragen langs meerdere rechtbanken.
Ik weet niet zeker of dat bij deze provider zo geregeld is, maar ik weet dat er wel in het verleden partijen waren die dit soort methodes er op nahielden.
Ik weet niet hoe bahnhof het specifiek doet, maar Ipredator van een van de ThePiratebay mannen gebruikt de volgende constructie: * Een VPN service die niet logt waarvandaan de VPN clients komen (dus geen source IP adres/port in de logs, mogelijk wel een VPN username) en zeker niet waar ze heen gaan. * Usernames hebben een vaste beperkte levensduur (3 maanden) * Een aparte(!) payment provider die de username/password naar de gebruiker stuurt.
Redenering die zij gebruiken: * De VPN service heeft de meeste informatie gewoon weg niet, dus ze kunnen ze niet leveren. * De VPN service weet niet welke personen achter welke username zitten, dus zelfs gerichte tap-opdrachten kunnen ze niet aan voldoen (deze is twijfelachtig volgens mij, ik neem aan dat de politie gewoon ook met het source IP adres kan komen). * Username is nodig om het verkeer in plaintext uit het totaal te halen (daar is de VPN echt voor, zodat je niet aan de inkomende kant kunt sniffen). * De payment provider is geen telecom provider dus hoeft die username echte identiteit koppeling niet te geven.
Praktische eindresultaat van deze aanpak is wel dat ze ook geen abuse handling kunnen doen op die VPN service, met als te verwachte resultaat dat vanuit die VPN endpoints op vele plekken geblokkeerd worden (inclusief zo te zien the pirate bay ;-)).
Ik vraag me af hoe een rechter daar naar kijkt. Ja strak logisch lijkt het dicht te zitten, maar het is toch heel duidelijk het omzeilen van de geest van die wetgeving (ze maken er zelfs reclame mee). Als ik iets van Arnoud’s verhalen geleerd heb, is dat precies het gebied waar de geek-verrassende uitspraken van rechters vandaan komen…
Dank voor de uitleg Wouter. Je hebt gelijk, dit riekt zeer sterk naar omzeilen van de wetgeving. Punt is wel dat bij strafrecht (en daar gaat dit toch eigenlijk over) de hoofdregel is dat je all??n strafbaar bent als je een specifiek wetsartikel overtreedt. In het ‘gewone’ recht kan men nog zeggen “dat is niet redelijk” maar in het strafrecht mag dat niet, omdat je dan mensen op zou kunnen sluiten op grond van “kom nou toch”-argumenten.
Het is dus eerder denkbaar dat mensen vrijuit gaan onder de strafwet (of bestuursrecht, Telecommunicatiewet) met een hele slimme truc dan dat ze vrijuit gaan onder het gewone recht. Dan moet er dus reparatiewetgeving komen om dat handelen alsnog strafbaar te stellen.
Jaren geleden was er bv. een discussie of een artikel over afgifte van opgeslagen gegevens mocht worden ingezet om te vorderen dat men gegevens tapt. Argument was “die gegevens raken 0,5 seconde je harde schijf en dus zijn ze opgeslagen”. Dat ging de rechter te ver, dat was niet bedoeld met “opgeslagen”. Er werd daarna een apart artikel gemaakt over het live mogen tappen van datacommunicatie.
Nog ouder is het verhaal over joyriding: g??n diefstal omdat in de wet staat dat je dan een zaak moet wegnemen met het doel je de zaak toe te eigenen. Daarvan is geen sprake bij joyriding, je wilt immers al bij het wegrijden de auto straks dumpen. Meer dan “diefstal van benzine” is er dus niet van te maken.
Een paar jaar terug was er een verrassende uitspraak in de Runescape-zaak: het wegnemen van virtuele objecten was “diefstal” hoewel zeer zeker niet duidelijk was dat zo’n object eigenlijk “voor menselijke beheersing vatbaar” was. Het gerechtshof vond van wel, en dan mag het dus: men voldeed aan de omschrijving van het wetsartikel en dus was men strafbaar. Maar meer dan creatieve invulling van termen uit het wetsartikel geven, mag niet bij het strafrecht. “De bedoeling” van een strafwetartikel kan niet tegen een verdachte worden gebruikt.
Omdat de dataretentierichtlijn spreekt van “gegevens, voorzover deze in het kader van de aanbieding van de bedoelde communicatiediensten worden gegenereerd of verwerkt”, is m.i. vervolging alleen mogelijk als iemand gegevens w?l genereert (ook al is het maar 1 seconde) en ze n?et opslaat. Bied je bv. geen e-mail aan, dan hoef je geen mailheaders te bewaren (door verkeer naar poorten 25 elders te sniffen bijvoorbeeld).
Discutabel is wat er gebeurt als je wel e-mail aanbiedt maar logging uitzet op je mailserver. “Verwerk” je dan nog steeds e-mailadressen? Mogelijk wel: je server krijgt te horen “MAIL FROM” en “RCPT TO” en doet daar iets mee. Iets doen met input lijkt mij “verwerken”. Ik denk dus dat je dan toch logging weer aan zult moeten zetten.
Ok, dus strafrecht ligt daarin dichter bij de blik vanuit zeg maar de wiskunde-logica. Dank je Arnoud!
In die strakke zin verwerkt/genereert de VPN service (in ieder geval ipredator, waarover ik vermoed dat het gaat ook bij Bahnhof) hoogstens een source IP, mogelijk source port, destination IP address (de endpoint), username en wachtwoord. Die informatie kan de VPN service dus niet aan een natuurlijk persoon koppelen (want door de payment provider + regels is de username ontkoppelt van een echt persoon of diens credit card/email address/…). En als ze al die informatie opleveren, dan kun je met die informatie wat ik kan zien alleen een vermoeden bevestigen (je weet dat VPN IP-x in de logs van zeg een gehackte machine staat, je vermoedt dat persoon Y dat gedaan heeft, je linkt met de opgevraagde gegeven persoon Y aan VPN IP-x van die tijd). Je kunt er niet mee gaan onderzoeken met wie je verdachte allemaal gepraat heeft (want die outbound informatie wordt niet gelogd). Je kunt er dus niet mee terug in de tijd gaan voor het communicatie gedrag (wat het hele doel van deze wetten was).
Enige “gat” dat ik in de juridische constructie zie, is een tap-bevel op basis van een source IP adres (of username). Ipredator claimt dat tappen in Zweden alleen bij zaken met een minimum straf van 2+ jaar kan en dus alleen maar vooruit in de tijd.
Bahnhof heeft tot nu toe alleen aangekondigd dat ze deze VPN-dienst in de toekomst denken te gaan leveren. Details over het hoe zijn nog niet te vinden op hun website.
Momenteel heeft Bahnhof een VPN-dienst beschikbaar voor al haar klanten ? SEK 40 (ongeveer ??? 4,50) per maand. Dit produkt gaat onder de naam “Anonine”. In deze dienst kunnen klanten hun verkeer via een VPN verbinding naar servers die toebehoeren aan een samenwerkingspartner (Portlane) laten lopen. Portlane logt volgens de afspraak niets. Websites en services die je bezoekt zien een IP-adres van Portlane.
Klanten kunnen vanuit de hele wereld deze VPN dienst gebruiken. Buiten anonimisering wordt als doel van deze dienst genoemd om de mogelijkheid te bieden aan klanten om toegang te krijgen tot webdiensten die alleen vanaf Zweedse IP-adressen te benaderen zijn (bijvoorbeeld TV-streams). Doel van de dienst is dus niet uitsluitend anonimisering.
Als je een VPN-tunnel dienst aanbiedt, dan kun je als provider nog steeds loggen wanneer en naar wie die verbinding gaat, maar als het andere einde van die tunnel laat uitkomen op een plaats waar de dataretentie-eis niet geldt (buiten de EU of in een EU land dat de richtlijn niet implementeert wegens strijdigheid met een grondwet die boven de EU verdragen gaat en dat niet kan wijzigen, omdat dat ze door de Amerikanen is opgelegd…), dan kan daarna die gebruiker overal naar toe gaan. Voor de ISP is het de vraag of de kosten van al dat VPN verkeer naar buiten de EU opweegt tegen de kosten van loggen en opslaan die je anders moet maken.
Voor de klanten van zo’n dienst is het de vraag of je die partij dan wel vertrouwd je gegevens niet te loggen. Ik stuur bv. al mijn email via een Amerikaanse (hosting) provider, die dus niet onder de EU regels valt, maar ook daar zijn vergelijkbare regels in de maak…