Het Zwitserse Protonmail, een bekende voorvechter van privacyvriendelijk mailen, blijkt op bevel van de Zwitserse autoriteiten IP-adressen te loggen. Dit terwijl ze zeggen dat niet te doen. Dat meldde TechCrunch onlangs, op gezag van Etienne – Tek op Twitter. Het bevel is gegeven op gezag van Europol, naar aanleiding van een Frans onderzoek naar klimaatactivisten die in Parijs ophef creëren rond gentrificatie. Oei, wat nu?
Het mailadres van Protonmail werd gebruikt door de activisten om met elkaar te communiceren. Een niet onbekende truc: log allemaal in en typ drafts die de rest dan kan lezen, dat is effectiever dan mails naar elkaar sturen. Maar het staat of valt natuurlijk met de toegang tot die ene mailprovider.
Protonmail zegt “Standaard houden wij geen IP-logboeken bij die gekoppeld kunnen worden aan uw anonieme e-mailaccount. Uw privacy staat voorop.” Dus dat klinkt goed. Alleen, dan zegt de CEO naar aanleiding van deze zaak:
“Proton must comply with Swiss law. As soon as a crime is committed, privacy protections can be suspended and we’re required by Swiss law to answer requests from Swiss authorities.”Dit gaf veel ophef, want hoezo kan Proton ineens IP-adressen geven aan de autoriteiten als ze die niet loggen? Wordt er stiekem dan toch gelogd? Dat zou in strijd zijn met het privacybeleid dat men hanteert. Daarin staat namelijk niet “wij houden wel IP-adressen bij voor het geval Justitie langskomt”.
Als ik het goed lees, dan gaat het echter niet om afgeven van reeds gelogde IP-adressen, maar om het actief loggen op bevel. Uit het transparency report:
In addition to the items listed in our privacy policy, in extreme criminal cases, ProtonMail may also be obligated to monitor the IP addresses which are being used to access the ProtonMail accounts which are engaged in criminal activities.Dit lijkt de motivatie te zijn geweest voor deze keuze, maar ik zie dan gelijk een hoop vraagtekens bij “extreme criminal case”. Wat wordt daaronder verstaan? Proton vult die term niet zelf in, dus ik zie dan twee mogelijkheden: 1) het is PR-taal voor “heel uitzonderlijke gevallen” om te verhullen hoe vaak dit speelt of 2) het is half-begrepen juridisch jargon uit het Zwitsers strafrecht.
Vrijwel elk land kent namelijk categorieën van strafrechtelijke overtredingen. Niet alleen overtredingen en misdrijven, maar ook subcategorieën. Bijvoorbeeld bij ons misdrijven waar vier jaar of meer op staat – art. 67 Strafvordering. En dat lijstje noemt er nog veel meer, waaronder het kraakverbod (art. 138a Strafrecht). Dit terwijl daar maar één jaar cel op staat, maar toch is het “ernstig” onder Nederlands recht.
En dat is opmerkelijk, want die Franse zaak gaat dus over kraken en gezien de vele berichten over de nieuwe strenge Franse anti-kraakwetgeving zou het me dus niets verbazen als er in de Franse strafwet ook een wat hogere categorie aan dit delict is gegeven. Dat zou dan het internationale bevel verklaren en de reden dat de Zwitsers er aan meewerken. Dat is dan juridisch gezien volkomen logisch en in het geheel niet opmerkelijk.
Arnoud
Ik moet altijd lachen als ik art.138a ergens zie sta. Wij doen nog wel eens pentesten en nodigen daar soms ook wel kleinere partijen voor uit. Één keer in de zoveel tijd zie je dan “nog” staan dat ze gevrijwaard willen worden voor het kraakverbod.
Overigens niet heel raar want als je zoekt op pentest en vrijwaring kom je verschillende templates tegen die dit er (nog) in hebben.
Maar als je ze vraagt waarom ze het pand willen kraken bij een pentest zijn de vraagtekens op de gezichten erg grappig.
Tja, net zoiets als mensen die inbreuk maken op auteursrecht piraten noemen: nee, zij overvallen geen schepen op volle zee… En als pentester wil je natuurlijk een vrijwaring voor computervredebreuk als het over de systemen gaat die je gaat pen-testen, maar dat lijkt mij nogal impliciet in de opdracht.
Het punt van Justlurking is dat artikel 138a Strafrecht vroeger het misdrijf computervredebreuk is, maar enige tijd geleden is hergebruikt voor het kraakverbod. Computervredebreuk heet nu artikel 138ab Strafrecht. Maar veel pentest waivers en dergelijke zijn niet geüpdatet en eisen dus nog vrijwaring voor overtreding artikel 138a, wat in de context van een pentest anno 2021 niet snel zal gebeuren.
Protonmail is dus ook niet veilig. Is je eigen mail-server draaien niet voldoende? Logs weggooien en niet meewerken aan verzoeken van derden lijkt me dan voldoende. Is er in NL iets zoals ‘niet verplicht om mee te werken aan eigen veroordeling’? Dat zou een eigen mail-server aan populariteit moeten doen groeien.
Protonmail is wel veilig voor zover email veilig kan zijn. De inhoud is immers nog steeds zero-knowledge: ook al zou men willen/gedwongen worden, met kan de inhoud niet lezen. Voorts is Protonmail via ToR te bereiken.
Je kunt die mailserver ook nog steeds in beslag nemen, tenzij die natuurlijk staat in een land waar dat moeilijk is. Het hangt er maar van af hoeveel moeite je wilt doen.
Een warrant canary had geen kwaad gekund…
Een teken aan de wand is dat Protonmail in het verleden ook zelf metadata van berichten met de pers heeft gedeeld – en dat dit weinig alarmbellen heeft doen afgaan (want Belarus is ‘de vijand’ en als je die naait dan is het minder erg?)
https://www.reuters.com/world/europe/email-bomb-threat-sent-after-bloggers-plane-was-diverted-over-belarus-swiss-2021-05-27/
Een warrant canary was zo te lezen in strijd met Zwitsers recht, dus dat had leuke jurisprudentie gegeven. Jammer inderdaad, gemiste kans.
Wat ik niet helemaal snap: waarom zijn zo veel mensen verbaasd dat een bedrijf doet wat de lokale wet van haar eist? Heeft Protonmail de indruk gewekt dat ze dit soort bevelen zouden negeren, niet zouden gaan loggen als dat ze verplicht werd? “We’d rather go to prison than logging IP addresses for suspects”?
Ze hebben anders een lijstje met warrants staan op https://protonmail.com/blog/transparency-report/. Ze noemen dat zelfs Warrant Canary (al is het dat niet, het is gewoon een lijstje van verzoeken).
Deze betreffende zaak staat daar niet bij. Dat is natuurlijk vreemd. Alles wijst er op – zeker samen met mijn bovenstaand voorbeeld – dat ze zich “veiliger” voordoen dan ze zijn.
In de context van ProtonVPN zeggen ze expliciet dat ze niet gedwongen kunnen worden om IP adressen te verzamelen. https://protonmail.com/blog/swiss-surveillance-law/
Die laatste is wel opmerkelijk. Ik ken Zwitsers recht niet, maar in Nederland is dat zeer zeker weten wél een bevoegdheid van Justitie (bij een concrete verdachte die van ernstig misdrijf wordt verdacht). Loggen IP-adressen, aftappen alles dat in mailbox gebeurt en zelfs live meekijken voor zover dat haalbaar is.
Ik ben vooral verbaasd dat ze nu dus iets doen waarvan ze zeggen dat de wet ze daartoe niet verplicht. Ik ken helaas de relevante Zwitserse wet niet goed genoeg.
Dat zeggen ze niet Arnoud. Want het het loggen van alle IP adressen van gebruikers van een VPN dienst zonder strafrechtelijke basis is iets anders als dat ze opgedragen worden om bij te houden welke IP adressen toegang vragen toe een heel specifiek email account ivm strafrechtelijk onderzoek.
Ze zeiden dat het niet mogelijk was om “force us to obtain data from users that we don’t naturally possess (such as IP logs)”. Ik lees niet als “from ALL users regardless of circumstances” maar specifieker “ook niet als ze voor specifieke users met een bevel komen dat het wel moet”. De reacties van mensen geeft voor mij aan dat het publiek grosso modo dacht “niemand wordt gelogd, nooit”.
Niemand wordt ook gelogd, standaard. Maar ze kunnen wel zoals in dit geval gedwongen worden logging aan te zetten voor een specifieke gebruiker. Dan is de content nog steeds veilig en andere gebruikers worden ook niet gelogd, maar de IP data van die specifieke gebruiker kan wel verzameld worden. Tenzij deze heel consequent Tor gebruikt voor toegang tot zijn email, dan schieten ze er nog niet zoveel mee op. Het is niet zo dat er historische data afgegeven kan worden, enkel nieuwe logs die in opdracht gestart zijn voor die gebruiker.
In een post op Reddit (https://www.reddit.com/r/ProtonMail/comments/pil6xi/climateactivistarrestedafterprotonmail/hbqntrt/) zegt Proton dat volgens de Zwitserse wet mail-diensten en VPN-diensten in andere categoriën vallen en dat het daarom niet mogelijk is om een VPN-dienst te dwingen om IP adressen te loggen, waar dat bij mail-diensten blijkbaar wel mogelijk is.
Ik geloof niet zo in warrant canaries. Als een man met een knuppel langskomt (of het legale equivalent, een gerechtelijk bevel), dan heb je weinig opties. Het enige wat je dan nog kan doen is het zodanig inrichten dat voor dit voor aanpassingen zoals het instellen van logs, handtekeningen van meerdere partijen in verschillende jurisdicties nodig zijn, en dat je daarbij ook je servers in verschillende jurisdicties heeft staan, het liefst in jurisdicties die elkaar een beetje bijten — maar dat is erg lastig, en vrijwel niet te controleren. Dan kan de man met de knuppel hooguit het systeem binnen zijn bereik uitzetten en jou het ziekenhuis in meppen (danwel in hechtenis nemen).
Je zou het ook via een block-chain achtige techniek kunnen doen, maar dat lijkt mij dan weer overkill — en dan kan je net zo goed je (versleutelde) berichten in diezelfde block-chain kunnen droppen. (Hoe zou een overheid moeten reageren als iemand een verboden stukje informatie in de bitcoin blockchain gooit, en wacht met dat bekend maken tot die voldoende diep in de structuur verweven zit: zo zou iedereen in principe bitcoin kapot kunnen maken, zie https://www.schneier.com/blog/archives/2021/03/illegal-content-and-the-blockchain.html)
De Warrant Canary is ooit bedacht vanwege de geheime “NSL” orders in de verenigde staten. Dan wordt je door de FBI bezocht en mag je daar zelfs niks openbaar over zeggen want je krijgt meteen een ‘gag order’ op straffe van forse boetes / gevangenis straf. De wet verbiedt je echter niet, om ‘niks’ te zeggen dus haal je dan je disclaimer (we have not been sued) weg.
Warrant Canary 2.0 is zelfs uitgebreider, dan herhaal je periodiek je statement, tot het niet langer waar is. (We have not been sued in the last XXX months)
Leesvoer: https://www.yalelawjournal.org/forum/warrant-canaries-and-disclosure-by-design
Absoluut een interessant artikel, maar geheel en al geent op de Amerikaanse wetgeving (en een bepaalde interpretatie van hun grondwet, die, gezien de Texaanse abortuswet en de reactie van de Trump-rechters daarop toch al op barsten staat). Wat ik voorstel valt onder de categorie technisch middelen invoeren waardoor relevante aanpassingen nodig voor aftappen niet kunnen plaatsvinden zonder dat dat openbaar wordt (een ouderwets equivalent zou zijn: de hele telefooncentrale staat op een openbare plaats, met alle mechanieken zichtbaar (achter glas), als er een ouderwetse tap geplaatst wordt, zijn die daarna gewoon zichtbaar). Als het toepassen van dergelijke methoden schering en inslag wordt, dan zal men echter al snel tot met een wet komen die dat lastig maakt (onder het mom: systemen moeten adequaat beveiligd zijn tegen het openbaar worden van taps.)
Tegen een gericht onderzoek van een rijke natie-staat kun je weinig beginnen (zoals ook Osama bin Laden heeft ondervonden), maar tegen massa-surveillance is het het handigst om zoveel mogelijk end-to-end encryptie te hebben, waarbij de encryptie niet direct of indirect onder beheer van de leverancier van de communicatiedienst is.
Als ik mag geloven wat proton zegt, dan is de default in Zwitserland zelfs dat iemand geïnformeerd moet worden over het opvragen van informatie en dit alleen niet mag als dat expliciet door de rechter is aangegeven.
Hoe dan ook heeft Jeroen hieronder gelijk als je het echt transparant wil hebben, dan moet je zorgen dat dit soort acties altijd in twee jurisdicties zichtbaar zijn en er vooral geen ruchtbaarheid aan geven dat dit zo is.
Ja, dat vind ik dus ook vreemd. Als Protonmail niet aan de Zwitserse wet zou voldoen dan heb je wel een probleem als bedrijf. Je kunt hooguit zeggen dat hun marketing misschien wat erg optimistisch was: we loggen niets bekt toch wat lekkerder dan We Loggen Niets*
Nu zeggen ze ook: gebruik een VPN en/of Tor.
https://www.theregister.com/2021/09/07/protonmailhandsuseripaddress_police/
“ProtonMail deletes ‘we don’t log your IP’ boast from website after French climate activist reportedly arrested”