Mijn provider blokkeert IP-adressen van schurkenstaten, mag dat?

shirt-127-0-0-1-ip-adresEen lezer vroeg me:

Wij zijn klant bij het Amerikaanse cloudbedrijf SoftLayer. Nu lezen wij dat SoftLayer network-wide blocking implementeert van IP-adressen uit Cuba, Iran, North Korea, Soedan en Syrië. Dit in verband met Amerikaanse handelssancties. Kan dat zomaar?

Inderdaad zijn er al diverse jaren allerlei zware handelssancties tegen de genoemde landen. President Bush noemde ze destijds de Axis of Evil, ook wel “schurkenstaten” (wat ik dan iets meer Donald Duck vind, maar goed). Interessant stukje achtergrond hier.

Sancties gaan primair over het niet mogen leveren van goederen, maar soms vallen diensten er ook onder. En routering van IP-pakketten is nu eenmaal een dienst, zodat naar de letter van het verbod je er zomaar onder kunt vallen als toegangsprovider of hoster.

Of de sancties tegen deze landen zó ver gaan dat ook deze vorm van dienstverlening eronder valt, betwijfel ik. Ik kan in ieder geval nergens ontdekken dat internetconnectiviteit een dienst is die verboden is om te leveren. Zo lees ik in het handelsverbod met Sudan toch echt een uitzondering voor:

• transactions with respect to telecommunications in Sudan;

Vergelijkbare uitzonderingen staan bij de andere landen. Misschien dat SoftLayer meer informatie heeft, of op safe wil spelen.

Mag dat? Ja, in principe wel. Internetproviders en hosters zijn ‘gewoon’ private bedrijven, en als die naar aanleiding van een wet eigen regels willen stellen die verder gaan, dan mag dat. Zeker omdat het hier gaat om business-to-business transacties. De enige vraag is eigenlijk of ze de bevoegdheid hebben het contract aan te passen, en natuurlijk is dat zo, in typisch Amerikaans-lompe stijl:

SoftLayer may modify the terms and conditions of this MSA by notifying You through the Customer Portal and all modifications will be effective upon such notice. It is Your responsibility to review the Customer Portal for such notices. Your use of the Services following any such notice will be deemed acceptance of such modifications.

Lees: het contract is wat wij vandaag online zetten, en als u dat niet leest dan is dat jammer maar helaas. Dus zelfs als de sancties van de VS IP-access toestaan van en naar schurkenstaten, dan mag SoftLayer nog steeds weigeren daarheen te routeren.

Deze actie van SoftLayer verbaasde me een tikje, maar nog meer verbaasde me het dat er vrijwel niets over te lezen is. Is het geen nieuws?

Arnoud

23 reacties

  1. Toen ik een korte tijd in Sudan op vakantie was kon je vrij veel sites niet zonder VPN benaderen, zoals bijvoorbeeld de google play store. En dat het geen nieuws is komt voornamelijk door onwetendheid ben ik bang.

    Je krijgt geen melding, de site doet het gewoon niet en je hebt geen idee of het de telecomprovider/overheid is die de boel blokkeert (het zijn namelijk ook allemaal landen met stevige firewalls) of dat de aanbieder je niet toelaat.

    1. Ik weet niet of dat wikipedia artikel klopt: Er staat: “aangezien de gegevens en databases van die klanten ook door de Amerikaanse overheid opgevraagd kunnen worden” De patriot act heeft met name betrekking op gestructureerde gegevens (busines records) uit het klantproces van amerikaanse bedrijven (denk aan IP adressen, creditcard opnames, GSM locatiegegevens). De patriot act bevat voor zover ik weet geen voorzieningen die het mogelijk maken om inhoudelijke gegevens of bestand van klanten op te vraag. Dus ook geen databases inhoud van klanten maar dus wel alle gegevens OVER klanten die een provider zelf in databases opslaat. Je kan dus met de patriot act wel bij google opvragen waar een mailtje heen gestuurd wordt (omdat gmail die gegevens nodig heeft voor de verzending) maar dus niet de inhoud van een gmailtje opvragen.

      Er is nu wel een poging van de VS om inhoudelijke gegevens van een klant van Microsoft die opgeslagen zijn in Ierland op te vragen maar die zaak loopt nog. Die opvraging gebeurt echter ook niet met behulp van voorzieningen in de partriot act maar met een soort doorzoekingsbevel van een gewone rechter.

      1. Twitter kreeg het verzoek, naast gestructureerde gegevens (IP-connecties), ook de inhoud van privé-berichten te delen “correspondence and notes of record” http://mashable.com/2011/01/08/twitter-subpoenaed-by-u-s-government-for-wikileaks-accounts/#o865YZs.qPqr

        Maar ik denk niet dat dat specifiek de Patriot-act was, maar een dagvaarding van de U.S. overheid ivm vermeende spionage. Je privé mail kan dus wel gelezen worden, maar met een andere constructie.

        1. Ik vermoed dat de twitter data gewoon in de VS staat en dus juist direct onder Amerikaans recht valt. Maar als ze privé data uit bijvoorbeeld Nederland. willen zou dat via een rechtshulp verzoek moeten en zou een Nederlandse rechter de data kunnen opeisen en aan de VS doorgeven

  2. Dan switch je toch gewoon naar een niet-Amerikaanse provider? Dat zal ze leren.

    Nederland is een best geschikte vestigingslocatie voor cloud providers (vanwege het goede internet hier, en soms ook qua belastingen), dus ik verwacht dat je wel ergens een geschikte Nederlandse aanbieder kunt vinden. Bijkomend voordeel is dat je alleen met Nederlands recht te maken hebt, en niet zo ver hoeft te reizen om je recht te halen.

    In het geval je om performance-problemen echt een co-locatie in Noord-Amerika(*) wilt hebben, zou je hosting kunnen uitbesteden aan twee verschillende partijen: 1 in Noord-Amerika voor de Amerikaanse bezoekers, en 1 elders, voor de rest van de wereld. Internetverkeer kan je verdelen over de twee aanbieders zoals dat meestal gaat bij gebruik van meerdere locaties, bijv. met een DNS die een andere doorverwijzing doet bij andere bezoekers.

    (*) Is Canada een optie? Welke specs moet je halen? Is de verbinding Vancouver <-> San Fransisco goed genoeg, of Toronto <-> New York?

  3. Wel eens wat van meegekregen (GoDaddy werd als een van de voorbeelden genoemd). Ja het is eingelijk wel nieuwswaardig, maar de meeste klanten van dit soort partijen doet schijnbaar geen zaken met genoemde landen dus heeft zelf amper reden om aan de bel te trekken.

    Voor A.E.: wat nu als je een hoster/ reseller bent, bij Softlayer oid staat en je klanten gaan klagen? Kan hostingklant dan claim bij je neerleggen wegens noodgedwongen verhuizing van website naar andere partij?

      1. Daar zit wel een beestje van zekere omvang onder het gras. Ik ken geen NL hoster die bij een USA bedrijf zijn racks heeft staan en die – om op zeker te spelen – in zijn voorwaarden heeft opgenomen dat hij zich ook houdt aan USA recht.

  4. Een groter probleem met dit soort praktijken lijkt mij, dat vooral door de schaarste van IPv4 adressen, deze ook steeds vaker verhandelt en hergebruikt worden. Zo kan jij gewoon een IP adres uit Iran of Soedan krijgen, zolang jou provider maar zorgt dat de routing informatie wereldwijd bekent is. Technisch geen probleem (behalve dat de tabel met routing informatie uit de klauwen loopt).

    En dan ben jij dus ook geblokkeerd.

    Omgekeerd kan iemand in Soedan ook weer gewoon een buitenlands IP adresje huren. Makkelijk via VPN (of botnet), maar het is ook mogelijk dat een provider daar gewoon een hele IP range van een buurland inkoopt. Als ik mij niet vergis zit er bijvoorbeeld nogal een menging van IP adressen tussen Noord-Korea en China.

    1. Ook mijn gedachte. Voor VPN-providers is het omzeilen van censuur één van de grotere selling points aan klanten, dus die zullen niet snel met deze onzin mee doen. Gebruikers uit “schurkenstaten” (en andere slachtoffers die toevallig een “verkeerd” IP-adres hebben gekregen) zullen waarschijnlijk wel vaker tegen dit probleem aan lopen, dus die zullen wel weten dat ze een VPN moeten gebruiken.

  5. “nu lezen wij’… Moet ik daaruit opmaken dat het een nieuwe policy is van de provider of is het gewoon niet eerder opgevallen ? Een nieuwe policy voor landen als Cuba en Iran zou wat vreemd zijn aangezien daar juist sprake is van het herstellen van de betrekkingen door/met de US. Om dan nu een blokkade op basis van zo’n embargo (dat in geval van Cuba al een halve eeuw bestaat) te gaan invoeren ?

  6. Het zou best kunnen dat deze blokkade geen nieuws is omdat Softlayer dit misschien pas recentelijk doet? Als ik dit artikel lees van 14 januari dan denk ik dat de media er nog niet helemaal van doordrongen is. Mogelijk dat men denkt dat deze staten zelf de toegang blokkeren richting Softlayer. Overigens lijkt api.rubygems.org ook geblokkeerd te zijn vanuit Iran, maar deze site draait bij Amazon, niet IBM. Dat zou kunnen betekenen dat ook Amazon een dergelijke ban uitvoert, en dan vanaf november 2015. En dat kan betekenen dat meer providers dit gaan doen!

  7. Dit is de lijst met landen met een embargo: Afghanistan, Balkans, Belarus, Myanmar (Burma), Central African Republic, China (PR), Côte d’Ivoire, Crimea Region of Ukraine, Cuba, Cyprus, Democratic Republic of the Congo, Eritrea, Fiji, Haiti, Iran, Iraq, Kyrgyzstan, Lebanon, Liberia, Libya, North Korea, Russia, Rwanda, Somalia, Sri Lanka, North Sudan, Syria, Venezuela, Vietnam, Yemen, Zimbabwe.

    Veel Amerikaanse bedrijven betalen niet, leveren niet, accepteren geen verkeer uit deze landen. Dan is er nog een sloot aan personen, bedrijven en stichtingen waar niet aan geleverd mag worden (sommige daarvan gevestigd in Nederland). https://www.treasury.gov/ofac/downloads/t11sdn.pdf

    En dan is er nog een exportverbod voor bepaalde apparatuur voor alle landen. Je mag bijvoorbeeld geen hardware voor bepaalde neurale netwerken inkopen in de V.S. omdat deze ingezet kan worden voor militaire doeleinden (gezichten herkennen op extreem grote schaal). Doet me denken aan de jaren ’90 waar alleen gehandicapte encryptie-software mocht worden uitgevoerd.

    1. Irak ook niet? Dat heeft toch al heel lang een zogenaamd democratische regering? Afghanistan idem. En met Cuba en Iran zijn recent de betrekkingen verbeterd. En hoezo “Balkans”? Kroatië en Slovenië zijn nota bene EU-lid!

      Kortom: dit lijkt een wel heel sterk verouderde lijst.

      1. De Krim staat er anders wel bij. Zo oud is de lijst dus ook weer niet, hoogstens 2 jaar.

        Wat betreft het embargo tegen de “Balkan”, vraag ik me af, is zoiets wel effectief als ze in de EU liggen? Slovenië en Kroatië zouden bijvoorbeeld vrij eenvoudig via Oostenrijk en Hongarije een embargo kunnen omzeilen.

        1. Je moet wel beseffen dat de overheid in de VS enorm bureaucratisch is, en dat er een sterke cultuur heerst van “er mag nooit iets mis gaan”. Een land toevoegen aan de lijst kan heel snel gaan, als er maar sprake is van een beetje paniek. Een land verwijderen van de lijst is een proces dat traag is als stroop, omdat niemand de verantwoordelijkheid durft te nemen voor het risico dat er toch weer een keer wat mis gaat in dat land.

    2. Weet niet wat je bedoelt met embargo, maar het feit dat die lijst met landen zo uitgebreid is en dat landen als China en Rusland erop staan doet me vermoeden dat het hier gaat om landen waarop bepaalde gedeeltelijke embargo’s van toepassing zijn.

  8. De embargo’s tegen Irak startten rond 1990 en waren eerst een stuk strenger. Verlicht nadat Saddam het toneel verliet. Pas in 2010 is het alleenrecht van de US en UK op olie verlopen. Een wapenembargo is nog steeds van kracht. Lijkt minder te maken hebben met democratie, dan met de “spoils of war”.

    Afghanistan heeft nog steeds last van de Taliban, Cuba is bijna uit een embargo (alleen nog voor toeristenbezoek), Iran is ook bijna uit een embargo, maar nog steeds erg streng op nucleaire materialen. EU-lid zijn hoeft niets uit te maken.

    Al de landen hebben dus officieel nog een embargo (van mild tot streng). Embargo’s doen het erg goed voor sommige bedrijven en overheden: Tijdelijk opheffen zodat je olie in ruil voor voedsel kan ruilen. De economische infra overnemen met multinationals etc. Door de vaak slechte onderhandelingspositie van een land onder embargo, blijven veel embargo’s (nodeloos) lang bestaan. Er is helaas een direct verband tussen hogere kindsterfte en (economische) embargo’s.

    1. Madeleine Albright (youtube):

      Interview: We have heard, that half a million children have died. I mean, that is more children that died in Hiroshima. Is the price worth it? Albright: I think this a very hard choice. But we think the price is worth it.
      Economische sancties zijn een massavernietigingswapen. Interessant aan dit interview is dat Albright het niet ontkent, en niet verbaasd lijkt te zijn over de gegevens!

      1. Er zijn nog wel wat vraagtekens te trekken bij die cijfers waarvan met name UNICEF een bron is: https://fas.org/news/iraq/1999/08/irqu5est.pdf

        Een probleem is bijvoorbeeld dat die cijfers van UNICEF gebaseerd zijn op deels onverifieerbare informatie van de iraakse overheden over sterfte cijfers van voor en na de sancties en vervolgens geextrapoleerd zijn terwijl onduidelijk is of dat realistisch was. De iraakse cijfers tonen bijvoorbeeld ook dat toen de sancties deels werden opgeheven via het Oil for Food programma en Irak weer veel meer voedsel en medicijenen kon importen in ruil voor voor olie dat toen de sterfte cijfers nog meer omhoog gingen wat natuurlijk wel heel tegenstrijdig zou zijn. http://www.iraqwatch.org/perspectives/meria-rubin-sanctions-1201.htm

        Ongetijfeld zullen de sancties na de 1e golf oorlog heel negatief zijn geweest voor Irak en ook geleid hebben tot slechtere omstandigheden voor kinderen maar gegeoochel met cijfers maakt dat we niet goed kunnen zien wat er echt aan de hand is geweest.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.