AMS-IX zet toch omstreden stap van Amerikaanse uitbreiding door

cloud-flag-usaOMGWTFPATRIOTACT. Een meerderheid van leden van de AMS-IX heeft zich achter de omstreden uitbreiding van het internetknooppunt naar de Verenigde Staten geschaard, meldde Tweakers zaterdag. Die uitbreiding leverde flink wat zorgen bij de leden op, maar kennelijk net niet genoeg om voldoende tegenstemmen te krijgen. Maar beloofd is dat het opzetten van het Amerikaanse internetknooppunt Patriotactrisicoloos zou gebeuren.

De uitbreiding is financieel interessant voor AMS-IX, omdat veel van de huidige Amerikaanse internetknooppunten duur en commercieel zijn. AMS-IX is een vereniging zonder winstoogmerk en kan daar dus best een stuk marktaandeel veroveren.

Alleen ja die gekke Amerikanen en hun USA PATRIOT ACT hè. Heb je een server of rechtspersoon in de VS, dan val je onder Amerikaanse rechtsmacht en dan kan de FBI dus via die antiterrorismewet komen snuffelen in je dataverkeer. En dat moet je toelaten – inclusief na verluidt snuffelbevelen in servers van je Europese datacenter. En in theorie is het dus denkbaar dat de Amerikaanse AMS-IX rechtspersoon dan te horen krijgt dat ze een livetap in de Amsterdamse AMS-IX moeten gaan zetten, op straffe van vakantie voor onbepaalde tijd in Guantanamo Bay.

Maar of dat ook wérkelijk zo gaat, is nog nooit getest bij de rechter. Dat is ook moeilijk want zulke bevelen worden onder geheimhouding (gag order) gegeven, en achteraf klokkenluiden vanuit Guantanamo Bay is best wel lastig. Maar misschien gebeurt het ook wel niet. (En misschien heb ik wel een FBI-bevel om dit zo te zeggen.)

Er zijn wel constructies denkbaar om dit tegen te gaan. Je kunt bijvoorbeeld werken met twee onafhankelijke stichtingen die alleen samenwerken maar technisch en organisatorisch gezien geen toegang tot elkaars datacenters hebben. (Nog even afgezien van de vraag of het niet op zou vallen dat een Amsterdams datacenter ineens bergen data naar Ford Meade, MY gaat versturen.) Maar het zal nog wel enig gepuzzel vergen.

Eerder kwam de AMS-IX al in opspraak over vermeend aftappen. Bezoekende Kamerleden konden echter geen NSA- of AIVD-aftapstekkers ontdekken.

Arnoud

18 reacties

  1. Ik zou het op technisch gebied wel grappig vinden als ze inderdaad “bergen data” gaan versturen naar de NSA.

    De grootste (op dit moment) amerikaanse internet knooppunt zit in New York en verstuurt gemiddeld genomen 100Gb/s. De AMS-IX verstuurt op dit moment gemiddeld 1,300 Gb/s… Dat is slechts een factor 13 meer.

    Aangenomen dat de AMS-IX inderdaad voldoet aan het bevel, trekken we dus in een keer 13 van de grootste internet knooppunten van Amerika dicht. …. WOEPS.

    1. Technisch gezien zou ik dan verwachten dat dit opgelost wordt door al een heleboel filtering en compressie te doen “op locatie” (in Amsterdam dus). Je zou bijv. van alle langskomende TCP-sessies alleen de meta-data kunnen bewaren, en alleen bij aanwezigheid van verdachte content de content zelf. Bij bepaalde protocollen (bijv. e-mail en HTTP) zou je de meta-data van de application layer ook standaard op kunnen slaan.

      Ik denk dat je daarmee al een stuk verder komt dan een factor 13. Het betekent wel dat er ergens in de AMS-IX een kastje van de NSA zou moeten staan, maar ik verwacht dat de AMS-IX er op het oog uit ziet als een grote verzameling van anonieme elektronica-kastjes met een wirwar van kabels, waardoor het moeilijk zal zijn om de aanwezigheid van zo’n kastje uit te sluiten.

      1. Toch maar filteren dus! De NSA ging er juist prat op, dat ze alles opsloegen en analyseerden.

        Bovendien kan de NSA een buitenlandse dochter wel verplichten om hun datastromen open te gooien, maar echt fysiek een kastje plaatsen bij een Nederlands bedrijf zonder tap vergunning van de nederlandse overheid zie ik niet zo maar gebeuren.

        1. Bovendien kan de NSA een buitenlandse dochter wel verplichten om hun datastromen open te gooien, maar echt fysiek een kastje plaatsen bij een Nederlands bedrijf zonder tap vergunning van de nederlandse overheid zie ik niet zo maar gebeuren.

          Wat is het verschil? Waarom zou je wel een tapvergunning nodig hebben als je afluistert op de ene manier, en niet als je afluistert op de andere manier?

          PS. Hebben tapvergunningen niet meer te maken met café’s? 😉

    2. Wat ik me bij deze acties afvraag is hoe het juridisch zit buiten de VS.

      De patriot act verplicht bedrijven met een aanwezigheid in de US wereldwijd mee te werken als ze een NSL krijgen (data opleveren, danwel tap plaatsen).

      Bij een bedrijf als MS kan ik nog enigzins zien hoe dit opgelost kan worden. MS in de VS heeft gewoon remote toegang tot de servers van alle dochterondernemingen en kan vanuit de VS aan alle datarequests voldoen, Google idem.

      Lastiger wordt het al als het hoofdkantoor in bijvoorbeeld Nederland staat. Als Nederland op basis van de Nederlandse wetgeving en de bekende praktijk in de US besluit om dochters in de VS geen (directe) toegang tot de server te geven. Dan moet iemand die in de VS een NSL met gag order krijgt wel contact opnemen met iemand in Nederland. Deze persoon valt echter onder de Nederlandse wet en zit dus met twee conflicterende wetten. Aangezien hij in Nederland is en niet in de VS, kan ik mij voorstellen dat hij zegt “De groeten, je zoekt maar een ander”

      Nog problematischer wordt het met een tap, deze zal fysiek moeten worden aangebracht in het knooppunt waar je wilt tappen. In het eerste geval kan men natuurlijk vanuit de VS iemand sturen die onder de Amerikaanse wetgeving leeft en de tap laten aanbrengen. In het tweede geval kan toegang een probleem zijn. Los nog van het feit dat een Nederlandse leidinggevende die van niets weet natuurlijk bij verdachte zaken gewoon onderzoek kan doen en niet onder de gag order valt.

      En tenslotte, als je als Nederlander toegang geeft tot die servers in Nederland of een tap aanlegt in Nederland, maak je je dan niet schuldig aan spionage voor een vreemde mogendheid? In ieder geval de vraag of redelijkerwijs kan aannemen dat er informatie wordt verschaft waarvan je redelijkerwijs kan aannemen dat er ‘verboden informatie’ bijzit en kom je dan niet in problemen met artikel oude versie van wetboek, ik zie dat er is hernummerd. Dat wordt zoeken 🙂 -> artikel 98 nu als ik me niet vergis.

      1. De patriot act verplicht bedrijven met een aanwezigheid in de US wereldwijd mee te werken als ze een NSL krijgen (data opleveren, danwel tap plaatsen).

        Een NSL is alleen voor opvraag van gestructureerde business data. Denk aan adresgegevens, inloggegevens, creditcard transacties, telefoongegevens (inclusief locatiegegevens) maar kan niet gebruikt worden voor ongestructureerde gegevens. Met een NSL uit de patriot act kan dus niet de inhoud van email worden opgevraagd of de inhoud van een cloud storage. En een tab plaatsen kan daar dus ook zeker niet mee.

      2. Ik denk dat sommige mensen hier op het blog een verkeerd beeld heeft van hoe een tap wordt gezet op een switched-omgeving zoals AMS-IX.

        Het is 1 configuratie instelling ( http://en.wikipedia.org/wiki/Port_mirroring ) die zegt: kopieer de data die naar deze switch-poort wordt verstuurd ook naar locatie-X.

        Dat is alles. Er hoeft niemand een kastje te plaatsen, in een deel van het netwerk is gewoon extra verkeer.

        En over samenvattings- of meta-informatie gesproken ook daar zijn verschillende standaarden voor die door meerdere merken en analyse- en verwerkings software worden ondersteunt dus de apparatuur heeft al de mogelijkheid om meta-informatie te versturen.

        En voor die mensen die geen idee hebben hoe een National Security Letter werkt: http://www.youtube.com/watch?v=eT2fQu50sMs Samenvatting: de overheid dwingt jou te liegen en bedriegen en zodat zei de informatie kunnen krijgen die zij willen hebben. Zonder dat jij het mag weigeren of een realistische vorm van beroep.

        Misschien dat je nu begrijpt waarom de dienst van Lavabit niet meer bestaat.

    1. Een consulaat valt onder de wetgeving van het gastland, en de grond is en blijft ook gewoon soeverein deel van het gastland. Het is “slechts een afspraak” dat men niet naar binnen gaat zonder toestemming van de ambassadeur/consul.

      Het Verdrag van Wenen regelt de juridische status van diplomaten en diplomatieke vertegenwoordigingen. Basis is dat dezen immuniteit of onschendbaarheid genieten in de landen waar ze te gast zijn (artikel 22). Ook de archieven en documenten van de ambassade zijn onschendbaar (artikel 24).

      Niemand mag naar binnen zonder toestemming van de ambassadeur. En het gastland moet maatregelen nemen om dit te verzekeren (artikel 22 lid 2). Een ambassade kan dus politiehulp inroepen als er bv. een relletje ontstaat en men bang is dat er iemand naar binnen komt. Ook meer juridische zaken zoals beslag leggen (wegens een niet-betaalde rekening) op de ambassade mag niet.

      Maar nergens staat “de vierkante meters grond worden eigendom van het bezoekende land”.

      1. Politiek gezien is het natuurlijk wel een stuk gevoeliger om met een ambassade te gaan morrelen. Het kán misschien wel maar zal niet snel gebeuren. Om diezelfde politieke overweging zal Nederland dan ook nooit toestaan dat er een sever op de ambassade wordt geplaatst maar goed.

  2. Bezoekende Kamerleden konden echter geen NSA- of AIVD-aftapstekkers ontdekken.

    Wat hadden ze verwacht? Een grote kast met label “AIVD” er op? Ik denk niet dat er veel kamerleden zijn die het verschil weten tussen een Brocade MLX-32 router en een Glimmerglass OXC, toch de belangrijkste apparaten zijn in de AMS-IX architectuur. En dan nog? Weet een kamerlid het verschil is specificaties tussen een Glimerglass en een Calient? Beide zijn optical cross connects (OXC) en Calient gaat er prat op dat ze aan port mirroring doen, en noemt als business case “overheidsdiensten”. Ik heb Glimmerglass er nooit over gehoord, maar of dat betekent dat ze het niet hebben? En als ze het hebben, hoe kan ik achterhalen welke glasvezel naar welke kast loopt, laat staan wat er in elke kast zit. Hoeveel hostinglocaties heeft de AMS-IX tegenwoordig? 7? Mochten de kamerleden in een halve dag de kabelwirwar op al die locaties kunnen onvlechten, dan mogen ze hun sollicitatiebrief opsturen, want dan neem ik ze graag in dienst. In praktijk ligt er (zeker bij de twee oudere locaties) voor 20 jaar aan kabels en is het vrijwel onmogelijk dat op te ruimen zonder dat dat impact heeft of bestaande kabels.

    Goed, dat was even lachen.

    [Edit, AMS-IX heeft Brocade, geen Juniper zoals ik schreef. Foutje.]

  3. En in theorie is het dus denkbaar dat de Amerikaanse AMS-IX rechtspersoon dan te horen krijgt dat ze een livetap in de Amsterdamse AMS-IX moeten gaan zetten

    Je kunt dat toch ook gewoon in de praktijk voorkomen door medewerkers van de US vestiging sowieso geen toegang te geven tot de amsterdamse internet exchange.

    Wat ik me verder afvraag is of je het kan regelen dat de US dochter intern verplicht wordt tap verzoeken op data in Nederland door te sturen aan de Nederlandse vestiging /directie. De Nederlandse vestiging die niet echt gebonden is door de US gagorder kan deze verzoeken namelijk wel publiceren. Ook kan er aangifte gedaan worden als deze verzoeken in strijd zijn met nederlandse wetten wat voor de VS publicitair en diplomatiek vervelend zou zijn.

  4. Er zijn wel constructies denkbaar om dit tegen te gaan. Je kunt bijvoorbeeld werken met twee onafhankelijke stichtingen die alleen samenwerken maar technisch en organisatorisch gezien geen toegang tot elkaars datacenters hebben.

    Als de twee organisatorisch geen toegang hebben tot elkaar, hebben we het dan nog wel over een stichting die onder de controle van AMS-IX staat? En, zou de Amerikaanse overheid het bestaan van bijvoorbeeld financiele banden (waar het AMS-IX vermoedelijk om te doen is) niet kunnen aanwenden om te bepalen dat de Nederlandse stichting gewoon onder Amerikaans recht valt?

  5. het is natuurlijk ongehoord dom om juist op dit moment zoiets in de USA te gaan ondernemen. en een ongelofelijke minachting voor de huidige klanten en hun privacy, want de betrokkenheid van de NSA wordt alleen maar groter, waarbij NL bestuurder snel eieren voor hun geld kiezen als ze de toegang tot de USA wordt ontzegd etc. En dat alleen voor een ‘groter marktaandeel’. Krijgen de internet tycoons nu ook bankbobo neigingen? Het wordt tijd voor een neutrale aanbieder, wellicht een mooie activiteit voor Zwitserland nu het bankgeheim aan het verdwijnen is…

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.