KPN inspecteert dataverkeer diep, mag dat?

deep-packet-inspection.pngOMGWTFBBQ DPI. KPN heeft in een sessie met investeerders toegegeven dat het al maandenlang de omstreden deep packet inspection-technologie heeft gebruikt op zijn mobiele netwerk, meldde Tweakers gisteren. Doel is voip-verkeer op het mobiele netwerk te herkennen en apart te factureren. In damage control modus meldt KPN geen DPI op de inhoud te doen, maar alleen het soort dataverkeer te analyseren. Is ze daarmee toch strafbaar?

Wat KPN met de DPI technologie doet, is volgens eigen zeggen het analyseren van het soort dataverkeer om vast te stellen welke diensten mensen gebruiken. Er worden geen gesprekken inhoudelijk geanalyseerd. In het kader van de discussie over netpartijdigheid is het duidelijk dat het doel hiervan is om abonnees apart te kunnen factureren voor diverse types gesprekken.

Nu heeft de strafwet diverse artikelen over het aftappen van dataverkeer. Het is inderdaad strafbaar om gesprekken af te luisteren (art. 139a lid 1 Strafrecht) als je daar geen deelnemer aan bent. Maar ook als je niet de inhoud van gesprekken beluistert, kun je strafbaar bezig zijn. Het meer algemene artikel 139c lid 1 Strafrecht verbiedt namelijk

opzettelijk en wederrechtelijk met een technisch hulpmiddel gegevens aftappen of opnemen die niet voor hem bestemd zijn en die worden verwerkt of overgedragen door middel van telecommunicatie of door middel van een geautomatiseerd werk.

Hier val je ook onder als je niet de gesprekken reconstrueert en leest maar alleen op netwerkniveau naar de pakketten kijkt. Dit artikel heeft als doel “een zo volledig mogelijke bescherming van de persoonlijke levenssfeer bij gegevensoverdracht” te realiseren. Het gaat dus nadrukkelijk niet om alleen het afluisteren van inhoud maar ook om analyses van de gegevensoverdracht zelf.

Onder technische middelen zijn alle hulpmiddelen begrepen die deze gegevenstromen zichtbaar kunnen maken en de inhoud ervan ter beschikking van de handelende persoon brengen, dus bij voorbeeld ook het waarnemen van de zogenaamde residustraling bij beeldschermen of de analyse van chips met behulp van infrarood-apparatuur.

Wel moet het natuurlijk gaan om het ‘wederrechtelijk’ aftappen. Een escape voor KPN kan bijvoorbeeld nog zijn lid 2 sub 3 van dit wetsartikel:

[Het verbod] is niet van toepassing op het aftappen of opnemen … ten behoeve van de goede werking van een openbaar telecommunicatienetwerk.

Deze uitzondering is echter vooral bedoeld voor onderhoud en reparatie van het netwerk, en niet om de bedrijfsvoering van de telecommunicatie-aanbieder te kunnen verbeteren. Een andere uitzondering zou nog kunnen zijn de algemene voorwaarden van KPN, maar daar zie ik nergens een bepaling die maar in de buurt komt van “wij mogen uw pakketten analyseren om te kijken welke applicaties u gebruikt”.

Bits of Freedom heeft een handige gids over hoe je aangifte kunt doen. Nu ben ik zelf ook KPN abonnee, dus we gaan eens kijken wat oom agent in Eindhoven hiervan vindt.

Update (4 augustus) Nu.nl meldt dat iuit oriënterend onderzoek door het Openbaar Ministerie (OM) blijkt dat KPN haar klanten niet heeft afgeluisterd. De DPI was daarvoor niet diep genoeg. Eind juni oordeelde de Opta dat de bedrijven mogelijk de wet hebben overtreden bij het gebruik van DPI. Ook loopt er nog een onderzoek door het Cbp.

Arnoud

108 reacties

  1. Veel provider kijken naar de inhoud van bepaalde (mail) traffic om bijvoorbeeld te bepalen of daarin spam of malware inzit.

    Daar wordt echt naar de inhoud gekeken en niet alleen naar de routeringsdata.

  2. @52 hAl: Klopt. Maar dat kan alleen als je de mail aan die provider (dus piet.devries@provider.nl) stuurt. Als ik het zelf (versleuteld) naar gmail stuur, dan kan mijn ISP het niet controleren.

    En om dat laatste gaat het in het geval van KPN en Whatsapp: KPN is dat geval een kale netwerkprovider, en kan alleen zien dat ik iets doe met Whatsapp, maar omdat het versleuteld is, kan KPN niet kijken wat ik naar/via Whatsapp verstuur.

    Je vergelijking gaat dus niet op.

    Een zijstap: Alles wat je via http:// doet, kan gelezen worden door partijen ‘onderweg’, dus bijvoorbeeld de telco. De telco kan dus DPI doen. Wat ik nu hier typ op http://blog.iusmentis.com/, is allemaal zichtbaar voor mijn DSL-provider.

    Op een open Wifi-netwerk (bijvoorbeeld op Schiphol, hotel of koffiebar) kan je zelf al het verkeer lezen dat anderen doen. Dat kan je zelf even boosaardige telco spelen. 😉

    Onder andere Google is er daarom voorstander om alles via https:// (let op de S) te doen: dat is versleuteld, en niet leesbaar voor partijen ‘onderweg’. Die kunnen dan alleen nog maar zien dat je iets doet op een bepaalde website (kan ook heel interessant zijn), maar niet wat dat inhoudelijk is. Voorbeeld: mijn gmail doe ik dus via https://mail.google.com/ (let op de S); dat is voor partijen onderweg onleesbaar.

    Whatsapp schijnt helemaal versleuteld te zijn. Een telco kan dan dus wel zien dat je iets doet met Whatsapp, maar niet met wie of wat.

    Dus advies: doe zoveel mogelijk versleuteld. Dat hoef je je minder zorgen te maken over afluisteren en DPI, door telco’s en door luistervinken op een wifi-netwerk.

  3. Eva heeft een goed punt! Afrekenen per MB zal weinig effect hebben want WhatsApp verbruikt weinig data. Maar gebruikers van Google Maps of mensen die hun foto’s graag direct uploaden zullen er behoorlijk pissig over worden. Terwijl KPN juist concurrentie heeft van WhatsApp omdat mensen dan minder vaak SMSjes versturen, terwijl Google Maps en foto’s uploaden wel veel bandbreedte vragen maar niet met andere producten van KPN concurreren. Afrekenen per MB is juist vervelend voor die grootverbruikers die dan naar alternatieven zoeken, niet voor mensen die graag hun mobiel gebruiken om te chatten…

    @hAl, veel providers zullen zich echter wel beperken tot de mailboxen die bij de provider zelf beheerd worden. UPC zal dus wel je UPCMail controleren en spam/malware kunnen blokkeren, maar je GMail account controleren mogen ze weer niet. Dat is dan weer een privacy-schending… Natuurlijk kun je vaak weer wel diverse mail-accounts aan elkaar knopen zodat je maar 1 mailbox hoeft uit te lezen, maar dan heb je hier ook toestemming voor gegeven.

    @Sander de Vries, een SSL verbinding is moeilijk te kraken, maar is wel mogelijk door b.v. een man-in-the-middle aanval. En de providers zitten netjes in het midden voor een dergelijke aanval. Deze truuk is o.a. toegepast in Tunesie en Syrie om zo “staatsgevaarlijke” personen te kunnen elimineren. Toch is RFDPI weer eenvoudig te omzeilen door naast SSL nog een encryptie-laag toe te voegen. Die laag moet dan weer wel bekend zijn op zowel de client als server en zal dus niet werken in een web applicatie. Maar WhatsApp zou dat weer wel kunnen!

    @Eva Quirinius Het kan mooier! WhatsApp gebruikt nu een speciale poort maar ze zouden ook gewoon poort 80 kunnen gebruiken en zich zo voordoen als standaard Internet-verkeer. De provider ziet dan alleen maar uitwisseling van binaire mime-bestanden over SSL maar kan verder niet herkennen wat het precies is. Als er dan ook nog een extra laag encryptie is toegevoegd wordt het zelfs nog lastiger! Maar SSL is in het algemeen goed genoeg, zolang er maar geen man-in-the-middle aanval wordt gedaan door je provider.

  4. Bij het maken van de afspraak voor de aangifte op probleem gestuit: ik moet wel kunnen hardmaken dat mijn KPN-verbindingen zijn afgetapt. En da’s een beetje lastig natuurlijk want ik heb alleen dat interview. Daaruit blijkt niet dat ook mijn verbinding is getapt, dus er is geen vermoeden van strafbaar handelen naar mij toe. Zucht.

  5. @Arnoud Engelfriet | 13 mei 2011 @ 16:35

    Sorry maar een agent moet toch de aangifte aan nemen?

    De politie is op grond van artikel 163 lid 5 en artikel 165 lid 1 Sv verplicht de aangifte of klacht in ontvangst te nemen. Artikel 163 lid 5 Sv luidt (tav de aangifte): “Tot het ontvangen van aangiften bedoeld in de artikelen 160 en 161 zijn de opsporingsambtenaren, en tot ontvangen van de aangiften bedoeld in artikel 162 Sv de daarbij genoemde ambtenaren verplicht.” en artikel 165 lid 1 Sv (tav de klacht): “Tot het ontvangen der klachte is elke officier van justitioe en elke hulpofficier van justitie bevoegd en verplicht”

    http://www.juridischkennisportaal.nl/wiki/strafrecht/klachtdelicten-en-aangifte/niet-opnemen-aangifte.htm

  6. ZUCHT! Dus mogelijk komt KPN er met een kleine tik op de vingers onderuit? Dat moet toch op de een of andere manier te voorkomen zijn? Ik heb gewoon zin om een anti-KPN site op te zetten, maar momenteel is dat nog teveel moeite… (Ben namelijk al met teveel andere sites bezig.)

  7. @Arnoud 56: Kan van KPN geëist worden om op basis van het interview logfiles te overleggen met daarin opgesomd welke verbindingen / consumenten zijn geinspecteerd en wanneer? Of er kan een class-action-achtig iets worden opgezet. Ombudsman wellicht?

    Overigens, over SSL/HTTPS/end-to-end encryptie: Jullie weten vermoedelijk ook dat er al jaren anonymisers/www-proxies zijn die al je verkeer anoniem maken… dus dan dacht ik: dan ziet je provider alleen nog maar verkeer met bestemming Timboektoe o.i.d. Of is dat met die SSL-DPI / RFDPI (comment 54) nu ook al niet meer veilig?

    Just my ???0,02

  8. @Arnoud: Waarom zou het voor ’t doen van aangifte relevant zijn of jouw verbinding is afgetapt?

    Het beginsel van fair play houdt voor bestuursorganen in dat zij burgers de mogelijkheid geven hun procedurele kansen te benutten. Dit beginsel is onder meer uitgewerkt in de artikelen 161 en 163 van het Wetboek van Strafvordering (Sv). Artikel 161 Sv geeft een ieder die kennis draagt van een strafbaar feit de bevoegdheid daarvan aangifte te doen. In artikel 163 Sv is hierop aansluitend geregeld dat opsporingsambtenaren verplicht zijn om een aangifte van een strafbaar feit op te nemen. Deze plicht tot het opnemen van de aangifte staat los van de vraag of aan die aangifte verder vervolg zal worden gegeven. Wanneer bij de politie aangifte wordt gedaan, mag van haar worden verwacht dat zij deze aangifte opneemt op het moment dat deze wordt gedaan. Voor zover de feitelijke mogelijkheid of de relevante kennis over een bepaald delict daartoe op dat moment, objectief bezien, ontbreekt, dient degene die aangifte wenst te doen daartoe zo spoedig mogelijk alsnog de gelegenheid te krijgen.Twijfel bij de betrokken politieambtenaar over de vraag of al dan niet sprake is van een strafbaar feit mag er niet aan in de weg staan dat hij gevolg geeft aan zijn wettelijke plicht tot het opnemen van een aangifte. In het geval van dergelijke twijfel dient hij het over te laten aan de officier van justitie om ter zake een standpunt te bepalen en dat kenbaar te maken aan de persoon die aangifte deed. Deze plicht tot het opnemen van de aangifte staat los van de vraag of aan die aangifte verder vervolg zal worden gegeven. Wanneer bij de politie aangifte wordt gedaan, mag van haar worden verwacht dat zij deze aangifte opneemt op het moment dat deze wordt gedaan. Voor zover de feitelijke mogelijkheid of de relevante kennis over een bepaald delict daartoe op dat moment, objectief bezien, ontbreekt, dient degene die aangifte wenst te doen daartoe zo spoedig mogelijk alsnog de gelegenheid te krijgen. Aldus de Nationale Ombudsman (Rapportnummer: 2005/0364).
  9. Nog even terugkomend op nr 44 & 45, het is sowieso een wijziging in afgesproken dienst, dus een contract wijziging is hiervoor nu, en zeker in de toekomst, nodig. Ben bang dat ik naar de rechter moet voordat ik over kan stappen naar een andere provider, met nummerbehoud. Kansloze actie van ze. Ze hebben wel geleerd van Google en Apple: “Eerst doen, en dan zien we het later allemaal wel”. Verstuurd via KPN mobiel 😉

  10. @Arnoud(#2):

    En dat maakt de KPN actie nog opmerkelijker: waarom zég je zoiets?
    Maar wat heeft KPN dan gezegd? Het volgende:
    Dat wij bijvoorbeeld de penetratie van WhatsApp hebben kunnen meten, daarmee zijn we voor zover ik weet de allereerste operator ter wereld die deze mogelijkheid heeft gebouwd om te identificeren waar die streams heen gaan. Dat is inderdaad de nieuwe wereld waar we naar toe gaan. Ook bij voip kunnen we identificeren of er sprake is van voip, en als mensen daar gebruik van willen maken, dan brengen we daarvoor de speciale databundel in rekening.
    De term DPI wordt hier niet genoemd. Impliceert het bovenstaande DPI? Of hoeft alleen het poortnummer van pakketjes te worden gecheckt? Even googelen leert mij dat WhatsApp poortnummer 5223/TCP gebruikt. That’s it, niets geen DPI nodig.

    Volgens het NOS journaal is deze uitlating van KPN “gelekt”. Gelekt?! Laat die slimmerds van het journaal eens hier kijken.

    Dat KPN heeft gemerkt dat hun gebruikers WhatsApp en VoIP gebruiken was al een tijdje bekend; dat had KPN ons namelijk al verteld. Bovenstaande uitspraak van KPN zou daarom niemand mogen verrassen. Nou ja, behalve dat “voor zover ik weet de allereerste operator ter wereld” dan, dat is wel een beetje naïef.

    Het is natuurlijk belachelijk dat KPN van mening is met goed fatsoen geld te kunnen vragen voor services waar ze niets mee te maken hebben, maar telco’s willen het nu eenmaal niet helemaal snappen. Niet erg, want des te sneller draaien ze zichzelf de nek om.

    Waarom nu plots al die bombarie terwijl er niets nieuws bekend is geworden? Misschien omdat de reactie van de politiek en OPTA een paar weken terug zo lauw was, en bepaalde groepen nu hebben besloten een PR-offensief in te zetten en de termen “DPI” en “aftappen” er maar eens bij te halen?

  11. Piet,

    Het poortnummer alleen zal geen garantie bieden dat een bepaalde applicatie/technologie gebruikt wordt. Dit zal in de eerste plaats valse positieven op levert en daarnaast makkelijk te omzeilen zijn omdat dit iets is dat te configureren is. Als je wilt kun je Apache draaien op poort 5223/TCP. In de stream die WebWereld beschikbaar heeft gesteld kun je het volgende horen:

    Paul Sidney from Credit Suisse. Just a question on Dutch mobile, please. How easy will it be for you to discriminate on mobile internet content access. Perticily in the face of political and consumer opposition. And how would you actually fiscally look to do this? Would you be accutally look to do it on price charge customers on certain apps or would you be able potentially look to speed to discriminate? — Yeah, it’s a relevant question in the light of discussion that goes on, on netneutrality. We also saw a lot of discussion on going in the previous week. I think our general statement is: we will not block service, but we will try to price them or we will price them. We will not block any individual application as such, but we do have investments in our network that we wont to continue to do and we want to price to the consumer. I think within the capabilities in the network that are being developed as well we are able to identify -deep packet inspection- by what is actual the destination of specific data packets that go along. Actually the interesting example of us measuring -i think though that was one of the questions- the penetration result whatsapp. We are the very first operator -i understood- in the world that has build the capability to actually identify where those streams are going to. So i think that is in deed the world that were going to. I think on VoiP it is possible to identify whether it is VoiP traffic and when people want to make use of those services and make use of the kind of highway that we have build to those applications then we will charge a mobile voice bundle for it. — So just to be clear, if somebody is using this service then you will basically charge them, its won’t be an option to the customer, they will just be charged. Is that what you purposing? — Yeah, we will -on the mobile-, for instance VoiP. We will charge and introduce mobile VoiP bundles. We will measure it and we will monitorize it.
  12. Het probleem voor Telecom-bedrijven is dat zodra ze geld gaan rekenen voor standaard VOIP, dan gaan de VOIP-applicaties allemaal extra protocollen gebruiken die dan niet gedetecteerd zullen worden. Bijvoorbeeld door de data encrypted over poort 80 te versturen. Of mooier, encrypted en dan over SSL versturen! Andere bedrijven zullen mogelijk een optie zien in het aanbieden van VOIP proxy servers zodat je niet rechtstreeks met (b.v.) Skype verbonden bent, maar met iets tussen-server. Moeten de telecom-bedrijven dus ook daar weer rekening mee gaan houden! Het probleem is nu eenmaal dat KPN alle data kan gaan afluisteren om zo uit te zoeken wat er precies over het lijntje gaat, maar uiteindelijk gaat iedereen dan gewoon technieken gebruiken om die data weer te maskeren… Mogelijk dat webbrowsers en webservers dan nog allerlei extra encryptie-methodes aan zullen bieden naast SSL, simpelweg om de netneutraliteit weer te garanderen.

    Dat KPN deze strijd wil aangaan is dapper, want het zal hen veel klanten kosten. En ook ontzettend dom, want de technieken zijn simpel aan te passen om dit alles weer eenvoudig te omzeileb…

  13. @50 Eva: Voor het verwerken van SMS-berichten maken de telco’s vrijwel geen kosten, deze worden namelijk verstuurd in een stukje ‘loze’ ruimte in de ‘status’-berichten van telefoons. Jouw telefoon praat de hele dag met telefoonmasten om zijn positie in het netwerk bekend te maken en daar liften de SMS-berichten dus op mee.

    @52 Eva: Ik verwacht zelf dat de uiteindelijke oplossing zal worden om alle verkeer voor (niet realtime) zaken als WhatsApp via een beveiligde verbinding met een proxy te versturen. KPN ziet dan enkel versleutelde pakketjes langskomen, die naar een proxy gaan die o.a. maar niet exclusief gebruikt wordt voor WhatsApp verkeer. Dit levert een kleine vertraging op, maar omdat het toch om SMS-achtige berichten gaat, is dat geen probleem.

  14. Dit lijkt weer verdacht veel op een bedrijf dat willens en wetens een achterhaald bussiness model probeert te beschermen. Met de komst van internet op de telefoon en apps die daar gebruik van maken is het ‘bedrijfsmodel sms’ achterhaald. Alles om daar nog geld mee te verdienen zijn artificiele beperkingen. Als zodanig zouden die beperkingen bij vrije concurrentie niet moeten kunnen bestaan.

    Echter, alle markt spelers verdien(d)en veel geld met sms en hebben er dus een belang bij om die inkomsten te beschermen. Als KPN dit mag, zal de rest dus snel volgen. Als de markt toegankelijk was zou een nieuwe provider hier op inspringen door een dienst aan te bieden die enkel op data volume is gebaseerd. Die zou dan mogelijk voor data groot verbruikers niet gunstig zijn, maar voor mensen die alleen sms-en kan je dan een concurrerend product op de markt brengen.

    Gezien de kosten om in deze markt in te stappen kan je wel inzien dat dit laatste niet zal gebeuren, tenzij een bestaande markt partij in dit gat springt. Wanneer dit niet gebeurt is het misschien wel een zaak voor de NMA.

    Het probleem hebben de huidige providers natuurlijk zelf geschapen. Blijkbaar bied men ‘onbeperkt’ internet aan onder de kost prijs/met minimale winst marge, gesubsidieert door dure voice en sms diensten met grotere marges. Dat men niet heeft ingezien dat de klant dit doorziet en deze diensten zal consumeren via de gesubsidieerde data verbinding is een fout van de providers. Herstel daarvan moet niet door gekunstelde diversificatie komen, maar door realistische prijzen voor data.

  15. @53 Eva Quirinius:

    @52 hAl: Klopt. Maar dat kan alleen als je de mail aan die provider (dus piet.devries@provider.nl) stuurt. Als ik het zelf (versleuteld) naar gmail stuur, dan kan mijn ISP het niet controleren.

    Maar als het onversleuteld via bijv. pop3 gaat kan de provider het wel controleren. Bij mij op het werk maken we gebruik van een pop3 server in de vs. Bij het binnenhalen van de mail, blijken er opeens pop3-headers toegevoegd die aangeven dat de adsl-provider een virusscan heeft uitgevoerd. Dat gebeurt dus geheel transparant zonder dat het via een mail-server van de provider gaat. En omdat virussen de werking van het netwerk kunnen beïnvloeden, is het denk ik ook gewoon toegestaan. Maar in ieder geval heb ik er geen probleem mee, een extra virusscan kan geen kwaad.

  16. @Alex(#64);

    Het poortnummer alleen zal geen garantie bieden dat een bepaalde applicatie/technologie gebruikt wordt. Dit zal in de eerste plaats valse positieven op levert en daarnaast makkelijk te omzeilen zijn omdat dit iets is dat te configureren is.
    Het ging KPN om het meten van de penetratie van WhatsApp. Een paar valse positieven zullen KPN daarbij worst wezen.

    En nogmaals: dat KPN de penetratie van WhatsApp heeft gemeten was eind april al bekend. Er is werkelijk niets nul komma nul nieuws verteld, laat staan “uitgelekt”. Waarom heeft men in april niet opgeroepen tot het doen van aangifte tegen KPN?

  17. Tweakers kan zoveel zeggen, het is duidelijk dat het kijken naar poortnummers en/of ip-adressen voldoende is om de statistieken te genereren die KPN wilde hebben.

    De rest is speculatie. Het is een beetje flauw om KPN op basis van pure speculatie aan te vallen.

  18. Er is geen spraken van speculatie want KPN heeft zelf verklaart dat ze DPI hiervoor hebben gebruikt. Vervolgens hebben ze in een tweede verklaring dat nog eens bevestigd. Dat ze dit misschien eventueel mogelijk niet nodig zouden hebben gehad doet van deze verklaringen niets af.

  19. @Piet #71

    Het is niet genoeg om naar poortnummers of ip adressen te kijken beide kunnen namelijk veranderd worden. Je heb DPI nodig om zeker te zijn welke applicatie het is de header is daarvoor genoeg. KPN heeft een Frans bedrijf ingehuurd die hun netwerk analyseert en rapporten maakt van poortnummer en IP adres en welke applicatie het is geweest.

  20. Om een data packet bij de juiste ontvanger af te leveren, moet je ook al in het pakketje kijken naar welk IP adres je het doorsturen. Deze gegevens moeten ook geïnterpreteerd worden en afhankelijk daarvan wordt een packet de ene of de andere router in gestuurd. Goed beschouwd staat de port informatie (welke een indicatie is voor het gebruikte protocol/applicatie) slechts een paar bytes verderop in het pakketje wat je sowieso al bestudeerd moet hebben.

    Begrijp me niet verkeerd, ik ben zeker geen voorstander van het factureren op basis van port/protocol/applicatie, maar mijn gevoel zegt dat het wel een flinterdun verschil is welke bitjes je uit een aaneen gesloten riedeltje wel of juist niet mag interpreteren.

  21. 74

    Er zit een wereld van verschil in IP en poort zijn nodig om te bekijken waar het naar toe gaat dit gaat geheel automatisch en hoeft alleen het systeem te weten waar het naar toe gaat. Aan de IP en poort kan men nog niet zien welke applicatie het is aangezien ik bijna elke applicatie die het toestaat op een andere poort kan laten draaien. Wat ze nu doen is niet de informatie die vrij is IP en poort bekijken maar ze maken de envelop open om te kijken wat er in zit en waar het voor dient.

  22. @Hutsefluts: Je gevoel klopt op de theorie maar niet de praktijk. Routers kijken juist bewust niet verder dan de destination address, de hele hardware is er op gemaakt om dat snel te doen door alleen naar die 4 bytes te kijken. Je kunt uit routers de grove verkeersstromen zien op basis van de routing decisions (netflow), maar dat geeft in dit soort geval alleen aan dat het naar “het internet” gegaan is, niet waar op het internet.

    Vandaar ook dat ze “Deep” Packet Inspection hardware (en blijkbaar ook kennis) nodig hadden om toch verder te kijken. Het was wel degelijk een flinke stap om te nemen. En omdat ze die stap alleen doen om te bepalen hoe ze de klanten meer laten betalen voor minder service (het kwam immers uit op de aandeelhoudersvergadering), zijn de klanten niet echt geneigd om dat in een goed licht te zien.

  23. @Hutsefluts Wat betreft de data-pakketjes die worden doorgestuurd, correct. Routers kijken inderdaad naar de data om te bepalen waar het allemaal naartoe moet. En machines zien alleen maar data, niet de technische definities die wij eraan geven. Maar het gaat niet om hoe machines met data omgaan, maar om hoe bedrijven en personen met data omgaan! Bij TCP/IP heb je te maken met iets dat je met een envelop kunt vergelijken. Je hebt de envelop (eerste beetje data) die de daarop volgende data omvat (X aanpal opvolgende bytes) en aangeeft wie de afzender (IP) en ontvanger (ip) is en daarnaast nog wat extra data om de envelop op de juiste route te helpen. Net zoals de postbode wel de envelop mag bekijken maar niet de inhoud, zo geldt dat ook voor data-pakketjes. Vervolgens is er nog zoiets als een digitale handtekening, wat je kunt vergelijken met het verzegelen van een envelop. Wil je de inhoud van een envelop aanpassen dan moet je eerst het zegel verbreken en de ontvanger zal dit zeker ontdekken. Zo ook met digitale handtekeningen, die aangeven dat er met de inhoud is geknoeid en dus onbetrouwbaar is. Maar een digitale handtekening is nog geen encryptie. Encryptie kun je weer vergelijken met het gebruik van geheimschrift voor de tekst van de brief. Dat de inhoud encrypted is, staat dus ook weer in een envelop aangegeven en de inhoud ziet er dan b.v. zo uit: “Xanc ubbe qng wr qvg xhag bagpvwsrera!” Zonder kennis van het encryptie-protocol snap je daar niets van, ook al probeer je het uit te lezen. En dit tekstje is nog relatief eenvoudig te kraken, maar er zijn encryptie-methodes waarbij ook nog 1 of meerdere sleutels bij betrokken zijn. Zonder sleutel is het ontcijferen van dergelijke beveiligde data gewoon een enorme klus. Met DPI is het enorm lastig om dergelijke data-pakketjes te ontcijferen. Zeker als ze met SSL encrypted zijn. Maar de provider zit precies middenin de communicatie en kan dus perfect een man-in-the-middle aanval uitvoeren. Daarbij kunnen ze zich beperken tot een klein aantal data-blokken die heen en weer gaan en daar een kopie van opslaan om deze te ontcijferen. Ze kunnen daarbij b.v. contact opnemen met de server die het SSL-certificaat heeft afgegeven om zo zelf met dezelfde server te communiceren en uit te vinden wat die server precies doet en waar het voor bedoeld is. En al hebben ze alleen de public key van het SSL certificaat, het is die key die nodig is om alle data te ontcijferen die de server verstuurt. En als dat onderdeel is van de DPI die KPN heeft gebruikt dan luisteren ze hun klanten niet af, maar iedereen met wie de klant communiceert!

    Maar we hebben wetten die het verbieden dat postbezorgers een envelop openen en de inhoud bestuderen. (Okay, er zijn uitzonderingen daarop.) Iets vergelijkbaars hebben we nodig voor data-verkeer, zeker als het om beveiligde informatie gaat! Encryptie is inderdaad een extra moeilijkheidsgraad maar wat wel eens vergeten wordt bij two-key encryptie-technieken is dat iedereen die de public key ter beschikking heeft ook de inhoud kan ontcijferen die met de private key is versleuteld. Dit wordt nog wel eens vergeten door veiligheids-specialisten, maar de man-in-the-middle kan zelfs bij SSL nog behoorlijk veel informatie verzamelen!

    Poort en IP adressen zijn daarbij minder belangrijk, maar omdat ontcijferen altijd nog redelijk veel tijd kost is het wel handig om in alle data gewoon een voor-selectie te kunnen maken van welke pakketjes je eigenlijk wilt analyseren.

    Maar indien KPN met behulp van DPI aan servers een client key vraagt voor de SSL communicatie dan kunnen ze dus alles afluisteren wat van de server naar de client gaat! Ze luisteren dan inderdaad niet hun abonnees af. Ze luisteren dan echter wel de rest van de wereld af!!! En dat mag al helemaal niet… Dus denk ik dat ook niet-abonnees gewoon aangifte zouden moeten doen…

  24. @Alex(#72):

    Er is geen spraken van speculatie want KPN heeft zelf verklaart dat ze DPI hiervoor hebben gebruikt.
    Goed, KPN gebruikt hier inderdaad zelf de term DPI. Ik gok nog steeds dat het niet meer inhield dan het controleren van poortnummers en/of ip-adressen (want dat geeft ruim voldoende informatie als het alleen gaat om statistieken), maar als KPN het DPI noemt, dan is het DPI.

    Hoe dan ook: dit was allemaal in april al bekend.

    @We are Borg(#73):

    Het is niet genoeg om naar poortnummers of ip adressen te kijken beide kunnen namelijk veranderd worden. Je heb DPI nodig om zeker te zijn welke applicatie het is de header is daarvoor genoeg.
    Waarom zou KPN in hemelsnaam moeilijk doen? Het ging om statistieken. Poortnummers en ip-adressen gegeven ruim voldoende informatie.

    Het gaat trouwens om tcp-verkeer. Denken mensen hier serieus dat KPN alle tcp-streams van gebruikers zit te parsen om te kijken of het op WhatsApp-verkeer lijkt? Hoe waarschijnlijk is dat?

    Hoe dan ook, en dit is misschien waarom KPN geen bezwaar maakt tegen het gebruik van de term DPI, ook als de gebruikte techniek naar de payload van het tcp-verkeer heeft gekeken is er geen sprake van “aftappen” in de zin van art. 139c Sr. Volgens T&C Strafrecht, art. 139c Sr:

    Aftappen

    Hiermee wordt bedoeld dat de gegevens in voor de mens directe vorm worden omgezet. Bij het verzamelen van statistieken is daar natuurlijk geen sprake van. Het enkele geautomatiseerd verwerken van de inhoud van een datapakket is in ieder geval geen aftappen. Uiteindelijk doen alle routers dat: pakketje inclusief inhoud wordt ontvangen en weer doorgegeven; alle bitjes gaan “door de handen” van de router. Eerder gaf iemand het voorbeeld van compressie. Compressie is natuurlijk geen aftappen, ook al kijken compressiealgoritmes heel intensief naar de inhoud van de pakketjes.

    @75,76,77: ik denk dat Hutseflut uitstekend weet hoe routers werken. Technisch maakt het natuurlijk verschil of je normale routerfunctionaliteit kunt gebruiken of extra functionaliteit nodig hebt, maar hoeveel technische moeite KPN heeft gedaan is volkomen irrelevant voor de vraag hoe “erg” het is dat KPN dit gedaan heeft. Uit oogpunt van “hoe erg” is het verschil flinterdun, is volgens mij het punt dat Hutsefluts maakt.

    Wat ik interessant vind, is dat ik in dat technische verschil een belangrijke aanwijzing zie dat KPN niets anders heeft gedaan dan gekeken naar ip-adres en/of poortnummer, terwijl de meesten hier voetstoots aannemen dat KPN technisch ingrijpende maatregelen heeft genomen om statistieken te verkrijgen die ook op een eenvoudige manier konden worden verkregen (en dan vervolgens moord en brand roepen).

  25. Zoals op tweakers ook te lezen valt:

    Overigens is het nog maar de vraag of KPN daadwerkelijk deep packet inspection gebruikt. Hoewel een topman deze woorden in de mond nam en KPN in een latere verklaring dit ook deed, stelt een technisch werknemer van KPN dat het bedrijf shallow packet inspection gebruikt. Bij spi wordt alleen naar de source, destination en tcp/udp-poort gekeken. Tweakers.net heeft hierover donderdag al vragen gesteld aan KPN, maar nog geen officiële reactie gehad.
    Waarbij ik nogmaals opmerk dat de term DPI in de bewuste videoconferentie helemaal niet door “een topman” in de mond is genomen.

  26. Overigens, Routers kunnen wel meer dan alleen verkeer doorverwijzen. Zowel de Thomson en LinkSys routers die ik heb kunnen cookies blokkeren, Java uitschakelen, ActiveX controls tegenhouden en proxyservers uitschakelen. Zal wel niet allemaal even vlekkeloos verlopen maar ook hier is er dus sprake van een diepere inspectie dan alleen de “envelop”. Bedenk wel dat veel mensen en bedrijven een dergelijke router in huis hebben die dit soort mogelijkheden biedt! Ik kan mijn LinkSys ook nog allerlei toepassingen laten blokkeren en zelfs tijdschema’s toekennen waarbuiten geen enkele bezoeker kan internetten. Ik kan mijn router b.v. op Zondag dichtgooien omdat ik dat een rustdag vind, en zo iedereen aan mijn kant van de router dus mijn “wil” opleggen. Ik kan ook websites blokkeren op basis van URL, keyword of IP-adres en een logboek bijhouden van al het verkeer.

    Maar voordat we KPN vergeven voor wat ze hebben gedaan, eerst de vraag of ze daar het recht toe hadden! Een werkgever kan b.v. besluiten dat ActiveX en Java schadelijk is en dit dus al bij de router blokkeren. Staat vervolgens gemeld in het personeelsbeleid, sectie IT en Internet. (Hopelijk!) Ze doen dit dan om een goede werking van het bedrijf te krijgen. Ten minste, wat zij goed vinden. Voor KPN zouden deze gegevens ook belangrijk zijn om zo een goede dienstverlening aan te bieden. Dat zou een goede reden kunnen zijn, alleen heb ik niet het idee dat dit het plan was voor KPN! KPN wil namelijk bepaalde diensten blokkeren en pas mogelijk maken als de klant meer betaalt. KPN doet dit voor een onderzoek om de NetNeutraliteit aan haar laars te lappen. En dat is wat iedereen nou zo boos maakt! Niet dat we worden afgeluisterd maar dat KPN bepaalde diensten wil gaan blokkeren.

    Kortom, dit is de strijd om de netneutraliteit!

  27. Is het met SSL niet zo dat je alleen certificaat kan faken als je een vertrouwde root CA hebt. Bij een palo alto firewall zeg je tegen (je eigen) netwerk. Hey “en vertrouw ook de firewall CA”. Die kan dan SSL opzetten met bv facebook en dan in het verkeer kijken en dan weer SSL’n met een on de fly weer versleutelen. Palot alto kan op die manier niet alleen netwerk beschermen maar ook bv facebook wel toestaan maar facebook chat tegenhouden. DPI ingezet in het prive netwerk van het bedrijf.

    Wat betreft KPN. Of ze begrijpen er geen [bleep] van en roepen maar wat en wow wat een betrouwbare partner daar moet ik echt zijn voor high tech. Of ze weten precies wat ze zeggen en wow wat een betrouwbare partner daar moet ik echt zijn voor mijn privacy. Volgens mij moet KPN niet verder kijken dan de header voor hun dienstverlening (pakketen op de juiste plaats afleveren)\

    En uiteraard naar die delen van de header die ze wettelijk verplicht zijn op te slaan!

    Ik ga toch maar eens navraag doen want volgens mij hebben we zakelijke verbindingen die deels gebruik maken van KPN en wat de …. spoken ze daar dan mee uit?

  28. @Franc, het gaat er niet zozeer om dat je een certificaat aan het facen bent… Als de gebruiker een client-certificaat mey public key heeft ontvangen van de server om de SSL verbinding mee te maken, dan heeft de provider die ertussenin zit deze dus ook ontvangen. Omdat je met een client certificaat geen data kunt decrypten die met een client certificaat is gemaakt is het dus voor de provider niet mogelijk om te zien wat jij verstuurt. Maar wat heel veel mensen niet beseffen is dat de server de private key gebruikt voor encryptie die je met de public key in het client-certificaat dus kunt ontcijferen. Ofwel, je kunt wel uitlezen wat de server naar de client verstuurt, maar niet wat de client naar de server verstuurt!

    Wil je dit dus tegengaan dan moet je de beveiliging fors verbeteren door zowel in de client als server een private en public key te gebruiken. Encrypted doe je dan met de public key van de tegenpartij, omdat die als enige de private key heeft. En decrypted dus met de private key… Maar sites die SSL gebruiken zijn dus lang niet zo veilig als verwacht. Zeker niet indien ze veel informatie naar de client sturen!

    Gelukkig werkt SSL wel met twee certificaten! Je hebt op je Windows of Linux systeem al een cetrificaat voor die specifieke machine staan met je eigen private key en wanneer er een SSL verbinding wordt gemaakt dan stuurt de server jou een public key waarop je eigen browser met de eigen public key reageert. De uitwisseling van sleutels garandeert dus de beveiligde verbinding. Alleen, bestaat er de kans dat je provider op de een of andere manier ook de beschikking heeft over jouw private key? Bijvoorbeeld dankzij de installatie van speciale ADSL software? Of software om bij je provider extra schijfruimte te krijgen? Of de gratis backup die providers soms bieden? Of -op mobieltjes- omdat die intelligentie gewoon in de simkaart/mobiel is ingebouwd om de private key even naar de provider te sturen? Geen idee. Ik weet echter wel dat veel mensen zich enorm kunnen vergissen in de beveiliging van SSL en niet beseffen dat hun eigen computer ook een speciaal certificaat becvat dat goed beschermd moet worden.

    Met PC’s zal je provider dus niet snel je private key verkrijgen. Maar met mobiele telefonie en tablets? Zeker die mobieltjes die je rechtstreeks bij de provider koopt???

  29. @Wim: Sorry, maar je suggereert veel meer dan wat met DPI (passief afluisteren) kan.

    Een passief opgenomen SSL verbinding, zelfs ene opgezet zonder server of client certificaten, is naderhand in geen enkele richting te ontcijferen. De sessie sleutel wordt beide kanten uit gebruikt en is niet uit de afgeluisterde data te deduceren dankzij een leuk crypto truukje (de Diffie-Hellman key exchange). Alleen als de aanvaller actief een man-in-the-middle aanval doet, kun hij het verkeer ontcijferen. Wat uitgebuit wordt is dat je alleen van de kant die zijn certificaten laat zien (in het normale internet geval: alleen die webserver, niet je browser) weet tegen wie je praat.

    De aanvaller moet daarvoor naar jouw als client een valide certificaat voor de server aanleveren. Dat betekent weer dat je een vertrouwde CA sleutel moet hebben zoals @Franc 81 hierboven correct neerzet (of je gokt dat de gebruiker het niet raar vindt dat hij een waarschuwing van zijn browser krijgt dat zijn bank een invalid SSL certificaat heeft).

    Dat kan KPN dus niet met hun DPI spullen, daarvoor moeten ze echt actief de verbindingen onderscheppen (voor Firefox gebruikers zijn de standaard countermeasures: Certificate patrol waarschuwt je er voor als je ineens rare nieuwe certificaten krijgt, EFF’s HTTPS everywhere zorgt voor meer gebruik van SSL).

    Er zijn een hoop mitsen en maren die maken dat deze oplossingen niet 100% werken tegen een actieve en slimme aanvaller (o.a. of de mobieltjes wel zo’n waarschuwing goed geven), maar als ze actief zo ingrijpen zijn echt de rapen gaar. Een passieve zoals DPI kan echt niet door normale SSL heen, ongeacht de certificaten (of niet). Daarom vinden partijen als de Chaos Computer Club het gebruik van self-signed certificaten even veilig als van “officiële” certificaten van CAs die ze niet vertrouwen.

  30. @Wouter, een SSL verbinding zit tussen twee computers en gebruikt twee certificaten en in totaal vier sleutels. Bij zowel client als server wordt de public key van de ander voor encryptie gebruikt die vervolgens alleen nog met de private key uit te lezen is. Indien je provider in het bezit is van de private key die op de telefoon is gebruikt kan de provider dus alle berichten afkomstig van de vele servers waar je mee communiceert gewoon afluisteren. Wie garandeert namelijk dat je mobiel een uniek certicicaat bevat en dat de private key alleen bekend is bij jouw toestel? We hebben wat dat betreft wel een enorm groot vertrouwen in onze providers… De tweede mogelijkheid schets je zelf al, de man-in-the-middle aanval, waarbij de provider zelf een eigen certificaat gebruikt om het SSL verkeer mee af te luisteren. Grote kans dat je provider “trusted” genoeg is om zelf nieuwe certificaten mee te genereren en dus ook de mogelijkheid heeft om informatie van een server-certificaat over te nemen voor een kopie met eigen keys maar dezelfde informatie als het originele certificaat. Ja, moet je dus weten dat het certificaat van de ING niet door KPN is afgegeven maar door… Hey, door wie eigenlijk? Ah, VeriSign… Maakt KPN ook gebruik van…

    Wat je verder niet moet vergeten is dat het hier gaat om mobiel internet, dus wat je op telefoons en tablets tegenkomt, niet op complete computers. En dat KPN niet duizenden certificaten hoeft te “vervalsen” maar alleen die certificaten voor diensten die ze in de gaten willen houden. En nog eenvoudiger: ze hoeven niet eens het SSL verkeer te ontcijferen maar alleen het gebruikte certificaat moet herkend worden. Als ik weet dat de communicatie wordt versleuteld met een certificaat van de ING dan weet ik dat de gebruiker aan het Internet-bankieren is. Dus bepaalde applicaties kunnen dankzij de SSL worden geblokkeerd niet op basis van het inhoud maar dankzij herkenning van het certificaat. Of je hangt er een extra rekening aan: voor ieder megabyte die met certificaat X is beveiligd breng je 10 Eurocent in rekening, of zo… KPN hoeft niet de inhoud te ontcijferen om te weten waar je mee communiceert. Maar DPI is wel nuttig om te bepalen welk certificaat er wordt gebruikt!

  31. @Piet:

    Goed, KPN gebruikt hier inderdaad zelf de term DPI. Ik gok nog steeds dat het niet meer inhield dan het controleren van poortnummers en/of ip-adressen (want dat geeft ruim voldoende informatie als het alleen gaat om statistieken), maar als KPN het DPI noemt, dan is het DPI.

    Van “flauw om op basis van speculatie KPN aan te vallen” verval je nu in “flauw om KPN aan te vallen, want ik speculeer dat…”. Zo’n draai vind ik dan weer erg flauw. Aan de een kant hebben de verklaring van een directeur die toegang heeft tot wat het bedrijf doet. Aan de andere kant hebben we algemene technische kennis. Het is beduidend steker bewijs dan het tweede wanneer het gaat om wat zich feitelijk heeft plaats gevonden. We hebben nog niets wat de exacte criteria of intenties waren. Misschien wilde ze een kleine foutmarge of misschien gebruikten ze het alvast omdat ze straks dergelijke streams willen blokkeren, ook wanneer men dit op een andere poort draait. En waarom heeft de directur deze technologie anders genoemd? Ik ga uit dat de verklaring van KPN juist is tot dat het tegendeel bewezen is. Dat mensen aanstoot nemen en aangiftes zijn gaan doen vind ik niet meer dan terecht. Laat de politie haar werk maar doen en dit onderzoeken. Jouw bewering dat dit in April reeds bekent was dat ze DPI zouden toepassen kan ik niet sierreus nemen zonder bron.

    Aftappen Hiermee wordt bedoeld dat de gegevens in voor de mens directe vorm worden omgezet.

    Aftappen is het monitoren van informatie door een derde partij. Het vastleggen van statistiek door hetzij mensen of hetzij machines kan heel goed onder aftappen vallen.

  32. @Alex(#85):

    Van ???flauw om op basis van speculatie KPN aan te vallen??? verval je nu in ???flauw om KPN aan te vallen, want ik speculeer dat??????.
    Je legt me woorden in de mond die ik niet geschreven heb. Het is uiteraard niet flauw om te beweren dat KPN DPI toepast als KPN dit zelf ook zegt. Op 13 mei heeft KPN dit inderdaad (voor zover ik weet voor het eerst) gezegd. Er zijn sterke aanwijzingen dat het in feite om SPI gaat in plaats van DPI, maar goed.

    En misschien valt het je niet op, maar er is een beetje verschil tussen “ik gok dat [speculatie]” en “doe allen aangifte, want [speculatie]”.

    Aan de een kant hebben de verklaring van een directeur die toegang heeft tot wat het bedrijf doet.

    Heb je al eens opgezocht wat die directeur heeft gezegd? Ik wel, zie mijn eerste bericht op deze pagina.

    Jouw bewering dat dit in April reeds bekent was dat ze DPI zouden toepassen kan ik niet sierreus nemen zonder bron.

    In april was duidelijk dat KPN onderzoek heeft gedaan naar WhatsApp, precies wat die directeur vertelde in de videoconferentie. Bedoel je nu dat dit zonder DPI had gekund? Goh.

    Aftappen is het monitoren van informatie door een derde partij. Het vastleggen van statistiek door hetzij mensen of hetzij machines kan heel goed onder aftappen vallen.

    Je bent het niet eens met Tekst & Commentaar Strafrecht? Ook al zitten daar hoogleraren strafrecht achter die de wetsgeschiedenis en jurisprudentie wél hebben uitgespit?

  33. We vergeten nog iets: KPN heeft niet zelf wel of niet DPI toegepast! KPN heeft dit uitbesteed aan een Frans bedrijf dat wel of niet DPI op de data heeft toegepast! KPN kan dus altijd beweren dat ze verder van niets wisten… Als KPN nu beweert dat ze alleen SPI hebben toegepast dan kan dat kloppen maar daarmee verbergen ze mogelijk het feit dat in Frankrijk wel DPI is toegepast! Probleem in deze kwestie is niet zozeer wat er gebeurt is, maar hoe we deze feiten benoemen. En met de juiste benaming klinkt het hopelijk minder eng dan het werkelijk is…

  34. @Michel, dat klopt wel maar het maakt de ontkenning van KPN nog niet onjuist. KPN kan blijven beweren dat ze geen DPI hebben toegepast. Dat hebben ze alleen maar uitbesteed aan een bedrijf in het buitenland… KPN gaat dit alles nu enorm downplayen zodat de abonnees weer een beetje in slaap worden gesust. Ze weten dat ze nu te ver zijn gegaan en nu is het een kwestie van de boel sussen terwijl de boel nog nagloeit…

  35. Vanmiddag is mijn aangifte deels opgesteld, maar de dienstdoende agent was onvoldoende op de hoogte van de technische kant van het verhaal. Er wordt nu samengewerkt met de Cybercrime afdeling van de Politie Kennemerland. Ik mag later deze week terugkomen. Ook ik liep tegen het probleem op dat ik niet kon aantonen dat ook mijn telefoon is afgetapt!

  36. @Piet: Ik ben van mening dat ik jouw standpunt juist goed heb samengevat en je dus geen woorden in de mond hebt gelegd. De sterke aanwijzingen waar je het over hebt, dat het hier in feite zou gaan om SPI, heb ik in deze discussie nog niet voorbij zien komen.

    Het is uiteraard niet flauw om te beweren dat KPN DPI toepast als KPN dit zelf ook zegt. (…) En misschien valt het je niet op, maar er is een beetje verschil tussen ???ik gok dat [speculatie]??? en ???doe allen aangifte, want [speculatie]???.

    Je blijft het ten onrechte speculatie noemen.

    Heb je al eens opgezocht wat die directeur heeft gezegd?

    Vraag jij naar de bekende weg?

    Op 13 mei heeft KPN dit inderdaad (voor zover ik weet voor het eerst) gezegd.
    Waarom nu plots al die bombarie terwijl er niets nieuws bekend is geworden?

    Kun jij ook uitleggen waarom dit niets nieuws is?

    Ook al zitten daar hoogleraren strafrecht achter die de wetsgeschiedenis en jurisprudentie wél hebben uitgespit?

    Dan zou ik die wetsgeschiedenis en jurisprudentie wel willen zien. Deze ene zin komt mij als onjuist over omdat het zou betekent dat wanneer je de aftap handelingen die door mensen wordt gedaan zou automatiseren het daardoor niet meer aftappen zou zijn.

    In artikel 138a lid 2 van het Wetboek van Strafrecht worden daarnaast weliswaar de bestanddelen ???overnemen, aftappen en opnemen??? gebezigd, doch de wetgever heeft ten aanzien daarvan blijkens de wetsgeschiedenis de volgende uitleg gegeven: Gehandhaafd blijven (???) de termen “aftappen” of “opnemen”. Deze hebben in de strafwet reeds een min of meer vastomlijnde betekenis en worden gebruikt voor het onderscheppen en vastleggen van stromende gegevens (vgl. artikelen 125g Sv en 139a e.v. Sr) In het wetsvoorstel wordt deze terminologie voortgezet. Ter onderscheiding van ” aftappen” of ???opnemen??? wordt waar het gaat om het kopiëren van bestaande, opgeslagen gegevens, de term ” overnemen” gebruikt. LJN BH9790

    Ik kan uit dit stukje wetsgeschiedenis niet op maken dat het onderscheppen van gegevens geen aftappen is wanneer het geautomatiseerd verwerkt wordt.

  37. @Wim(#90):

    @Michel, dat klopt wel maar het maakt de ontkenning van KPN nog niet onjuist. KPN kan blijven beweren dat ze geen DPI hebben toegepast.
    KPN heeft het in een officiële verklaring zelf DPI genoemd.

    Dat er in feite slechts SPI is toegepast wordt beweerd door een technisch werknemer van KPN (die er wel eens meer verstand van zou kunnen hebben dan de leiding van KPN) en zou niet geheel onlogisch zijn. Zie #79.

    Heel veel maakt het niet uit, want ook in het geval er DPI is toegepast lvert dit geen bewijs op van “aftappen” in de zin van art. 139c Sr.

    @Alex(#94):

    Ik ben van mening dat ik jouw standpunt juist goed heb samengevat en je dus geen woorden in de mond hebt gelegd.
    Ok, wijs eens aan waar in #78 ik ben vervallen in ???flauw om KPN aan te vallen, want ik speculeer dat??????.

    Vraag jij naar de bekende weg?

    Verdraaid, ik zit er inderdaad naast. Hij zegt het wel. Toen ik zelf het relevante deel van de videoconferentie beluisterde was het me niet opgevallen doordat hij de term voor het grootste deel inslikt (“diep’t inspection”), en ik had je bericht #64 eerder slechts tot aan de quote gelezen.

    Dan zou ik die wetsgeschiedenis en jurisprudentie wel willen zien. Deze ene zin komt mij als onjuist over omdat het zou betekent dat wanneer je de aftap handelingen die door mensen wordt gedaan zou automatiseren het daardoor niet meer aftappen zou zijn.

    De apparatuur krijgt per definitie alle data, headers plus payload, te zien. Dat valt juridisch inderdaad niet onder aftappen.

    Vind jij het berekenen van een checksum over de inhoud van een datapakket al “aftappen”?

    Uit de MvT (TK 1989-1990, 21551, nr. 3, p. 17):

    Het aftappen betekent dat de gegevens in voor de mens direct kenbare vorm worden omgezet. Het opnemen betekent dat de gegevens worden vastgelegd, waardoor zij later in voor de mens kenbare vorm kunnen worden omgezet of anderszins kunnen worden gebruikt.
    Het voor een operator zichtbaar maken dat een specifieke gebruiker een pakketje met poortnummer 5223 verstuurt lijkt mij onder aftappen te vallen. Het volledig geautomatiseerd door middel van DPI tellen van het totaal aantal WhatsApp pakketjes (of desnoods het totaal aantal woorden in WhatsApp-dataverkeer) dat in een uur door alle gebruikers over het netwerk wordt verzonden lijkt mij niet onder aftappen te vallen.

    Door middel van DPI blokkeren van WhatsApp-verkeer is geen aftappen. Tellen en factureren van de hoeveelheid WhatsApp-verkeer dat een gebruiker met een “WhatsApp”-abonnement verstuurt valt mogelijk wel onder aftappen, maar zal dan al snel niet “wederrechtelijk” zijn (of anders onder art. 139c lid 2 sub 2 Sr vallen). Een provider mag nu immers ook het aantal sms’jes dat je verstuurt tellen.

    Aftappen is het probleem niet voor wie netneutraliteit wil doorbreken.

  38. In de blogpost schrijft Arnoud dat art. 139c Sr niet alleen op afluisteren van de inhoud ziet, maar ook op analyses van de gegevensoverdracht zelf. Hij verwijst hiervoor echter naar een verduidelijking van het begrip “technische middelen” (in de MvT bij de wetswijziging van 2006), niet naar de uitleg van het begrip “aftappen”. Bovendien volgt uit de gegeven toelichting op “technische middelen” dat de inhoud van de gegevensstromen ter beschikking moeten komen van de handelende persoon:

    Onder technische middelen zijn alle hulpmiddelen begrepen die deze gegevenstromen zichtbaar kunnen maken en de inhoud ervan ter beschikking van de handelende persoon brengen, dus bij voorbeeld ook het waarnemen van de zogenaamde residustraling bij beeldschermen of de analyse van chips met behulp van infrarood-apparatuur.
    Die analyse van chips zal dus de inhoud van de data die door de chips wordt verwerkt ter beschikking van de handelende persoon moeten brengen.

  39. @Piet, 96: Interessant, ik las dat steeds als een uitzondering voor wanneer machines autonoom in de data kijken maar dat niet aan de mensen doorgeven, i.e. een uitzondering voor routers en webcaches enzo. Maar je kunt het dus ook andersom lezen: het is pas afluisteren als “de inhoud” eruit komt. De juridische vraag is hier dus wat ze precies uit die “DPI machines” gekregen hebben (niet wat ze erna uit gedestilleerd hebben, een volle packetdump aan de mensen geven en die dan laten destilleren zou wel weer afluisteren zijn). Is dat “de verdeling van het totale verkeer is naar applicatie zo: …”, dan zitten lijken ze die afluister clausule niet te breken. Is het “abonnee met unieke ID x gebruikt deze applicaties”, dan wordt het al twijfelachtig voor me.

    Precies dat voorbeeld van de infrarood-aanval op chips (overigens erg hip, dat was rond 2005 inderdaad een aanval waar men van dacht dat dat op echte secure chips ging werken) is zo’n samenvattende aanval: je krijgt uit de chip in theorie de bits van de cryptosleutel en in realistischer hoop de hamming weight daarvan (het aantal bits dat op 1 staat), in ieder geval haal je maar een deel van de informatie er uit (en dat kan heel schadelijk zijn).

    Als ik je goed begrijp is dus de clou hoeveel, nee hoe weinig informatie van de geïnspecteerde data ter beschikking gesteld is aan de mens in eerste instantie. Het is een lastige om een grens daarin te trekken, zelfs 1 bit informatie kan zeer pijnlijk zijn (“is abonnee X naar $insert illegale of weinig geaccepteerde klasse sites gegaan?”).

  40. Dat is een heel raar argument vind ik: SMSjes, telefoon gesprekken, normale email, zijn ook allemaal niet vercijferd vanuit het netwerk gezien en “niet privé” volgens die redenering, en daarvan verwacht je toch ook dat ze er niet in mogen kijken.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.