OM wil makkelijker gegevens van resellers Nederlandse hosters hebben

geralt / Pixabay

Het Openbaar Ministerie wil dat het makkelijker wordt om klantgegevens en andere informatie op te vragen van bedrijven die serverruimte in Nederland doorverhuren. Dat las ik bij Security.nl. Men citeert hightechcrime-officier Esther Baars in OM-bedrijfsblad Opportuun die signaleert dat cybercriminelen vaak servers van Nederlandse datacentra gebruiken met tussenkomst van een reseller. Optreden daartegen vereist een rechtshulpverzoek, terwijl de data gewoon hier in Nederland staat. “Dat is werkelijk idioot”.

Baars legt uit waar de kern van het probleem zit:

Vaak gebruiken [cybercriminelen] servers van datacentra in Nederland. Zo’n datacenter verhuurt een server aan een tussenpersoon, een ‘reseller’. Dat mag gewoon. En die reseller verhuurt dan die serverruimte in Nederland weer door aan zijn eigen klanten. Dat maakt het voor ons ingewikkeld om verdachte klanten op te sporen.
Dus zeg maar, het Nederlandse bedrijf verhuurt een opslagbox aan een ondernemer, die daar vervolgens mooie opslagkasten in zet en buitenlandse klanten elk in diens eigen kast wat laat opslaan. Het probleem is dan: waar in de gewone wereld de politie gewoon die kast mag openmaken, moet de cyberpolitie per kast nagaan wat de identiteit van de reseller of de eindklant is om vervolgens in dat land een rechtshulpverzoek te doen – in “Rusland, de Seychellen, de Verenigde Arabische Emiraten, of een ander land waarmee wij geen, of een trage rechtshulprelatie hebben.”

Het punt is natuurlijk, bij zo’n gewone kast in een opslagbox kun je een slotenmaker meenemen en het ding openmaken, of je neemt hem (de kast, niet de slotenmaker) mee naar het bureau om daar rustig na te gaan wat er in zit. Bij een digitale kast, de vps van de klant van een reseller, is dat een stuk complexer:

[Dan] is het niet onmogelijk om een kopie te maken, maar kan dat kopiëren schade veroorzaken voor onbekende klanten die die server ook gebruiken maar niks met de criminaliteit te maken hebben. … [O]nze wet is zo ingericht dat we dan eigenlijk rechtshulpverzoeken moeten doen om die gegevens te krijgen. Dat is werkelijk idioot, want het is gewoon data die in Nederland staat en de plaats delict is dus gewoon Nederland.
Ik denk dat het issue is dat om zo’n kopie te maken je de server even uit moet zetten (‘bevriezen’), maar een typische resellermachine – de opslagbox met de kasten – kan vele tientallen klantensystemen tegelijk hebben. Dan gaan die dus allemaal even uit, en als eentje daarvan dan toevallig de betalingsdiensten van Alibaba in Nederland doet dan wordt het een ongezellige middag.

Ja, ik kan me ook niet direct voorstellen dat dezelfde reseller én een berg pittige cybercriminelen én Alipay Nederland als klant heeft, maar dit is het voorbeeld dat men noemt dus dat zal ergens op gebaseerd zijn. Maar goed ook als het gaat om gewoon een doorsnee gamingdienst of betaald forum, je dupeert een onschuldige ondernemer enkel omdat die bij dezelfde reseller wat afneemt als een crimineel.

De reseller kan gericht servers afsluiten of kopieën helpen maken, maar die is daar zelden toe bereid zonder bevel van de lokale overheid, vandaar die route van het rechtshulpverzoek. En dat gaat inderdaad vaak traag, als men in zo’n land al bereid is om überhaupt iets te doen tegen een reseller wiens klanten in dat land geen directe rottigheid uithalen.

Wat dan wel?

De reseller [weet precies] waar wij moeten zijn. Het zou zo logisch zijn als we de Nederlandse partij kunnen verplichten die exacte locatie te achterhalen en aan ons door te geven.
Komen de kasten weer: de verhuurder van de opslagbox moet een reservesleutel van de box en liefst ook van elke kast hebben. Zo kan gericht de juiste kast meegenomen worden. Het is technisch niet héél moeilijk om dit zo in te richten, de reseller (de huurder) kan vrij eenvoudig aan de hoster (de verhuurder) welke vps van welke klant is en dan desbevolen een kopie daarvan af te geven aan het OM.

Een lastige is, hoe dwing je resellers om dit te doen. Je komt dan al snel bij administratieve procedures uit, zoals dat de hoster moet kunnen meekijken in het VPS controlepaneel maar dan zonder de overige, commercieel zeer interessante, gegevens over de klanten. Of dat de hoster een beperkte set informatie krijgt maar wel moet kunnen nagaan dat dat overeenkomt met de werkelijke configuratie. Het kan allemaal maar praktisch is anders.

Arnoud

23 reacties

    1. Dat vereist medewerking van de admin van het vm-platform. Zeg maar de verhuurder. Zoals Arnoud al opmerkt;

      Een lastige is, hoe dwing je resellers om dit te doen.
      Als de reseller dus niet meewerkt is de enige oplossing een technische agent dat datacentrum in, server uitschakelen en een kopietje trekken van de hele harde schijf. Maar daarmee zijn dus alle VMs uitgeschakeld zolang het kopiëren duurt.

    2. De achtergrond: Het datacenter verhuurt server hardware aan een (buitenlandse) reseller. Deze reseller verdeelt de servers in virtuele machines en verhuurt deze virtuele machines. Als een van de verhuurde virtuele machines betrokken is bij en misdaad dan kan de Nederlandse politie niet direct naar de reseller stappen, want die zit in een buitenland; ze kunnen alleen (met de juiste machtigingen) naar het datacenter en daar onderzoek doen aan de fysieke server. Helaas betekent dat dat alle gebruikers van deze server last hebben van het onderzoek.

      Je hebt gelijk dat het maken van een kopie van een virtuele machine op de server veel minder verstoring voor de andere klanten met zich meebrengt, maar daar is (formeel) de medewerking van de (buitenlande) reseller nodig en daarvoor is een rechtshulpverzoek nodig.

  1. Als op een server 10 VMs draaien en de machine heeft daardoor 10 IP adressen, weet het datacentrum welk IP adres bij welke VM hoort? Als ze dat niet weten, dan is dat nog een reden dat ze een snapshot van de gehele machine moeten maken.

    Makkelijkste oplossing lijkt mij dat het datacentrum toegang moet hebben tot een uitgeklede adminterminal. Hierop kunnen ze zien welk IP adres bij welke VM hoort, kunnen ze VMs starten/stoppen en kunnen ze VMs snapshotten.

    1. Als op een server 10 VMs draaien en de machine heeft daardoor 10 IP adressen, weet het datacentrum welk IP adres bij welke VM hoort? Als ze dat niet weten, dan is dat nog een reden dat ze een snapshot van de gehele machine moeten maken.

      Nee, dat weet het datacenter in principe niet. Het DC levert colocatie en/of servers aan de reseller, samen met een bepaald vermorgen en vaak ook een uplink/netwerk en IP space. De klant, vanuit het datacenter gezien, is dus de reseller. Sterker nog, het datacenter weet niet altijd dat het om een reseller gaat. In sommige gevallen kan het best af te leiden zijn uit de rDNS/FCrDNs (als dat bijvoorbeeld mail.iusmentis.com is).

      Het is veelal mogelijk om een server dusdanig in te stellen dat het DC of haar personeel daar helemaal niet bij kan.

      Makkelijkste oplossing lijkt mij dat het datacentrum toegang moet hebben tot een uitgeklede adminterminal. Hierop kunnen ze zien welk IP adres bij welke VM hoort, kunnen ze VMs starten/stoppen en kunnen ze VMs snapshotten.

      Jakkes, nee. Wat een nachtmerrie. Waarom zou een derde partij, het DC, een achterdeurtje tot mijn apparatuur moeten hebben? Waarop mogelijk ook nog data van mijn klanten staat en ik dus niets mee van doen heb?

  2. In het geval van 1 enkele server is het nog betrekkelijk eenvoudig. Maar stel dat de hostende partij meerdere racks heeft die samen 1 netwerk vormen (= tientallen of honderden servers). De websites of vps’en kunnen ook van de ene naar de andere server gemigreerd worden. Als de hoster niet meewerkt kom je er als justitie niet achter op welke server de gezochte website staat. Of wel; als je alle servers uitzet en clonet. Dat zal gigantische onderzoekskosten met zich meebrengen.

    Vervolgens moet je nog hopen dat die harde schijven niet versleuteld zijn…

    verder moet je dan maar hopen dat de gezochte website ook echt op die server gehost wordt. Een website als the pirate bay staat niet op de servers waar hun ip-adressen naar verwijzen. Die servers zijn enkel proxies die het weer doorzetten naar andere servers. Vervolgens gebruiken die proxies geen gegevens van een harde schijf, maar draaien enkel in het werkgeheugen. Dump je die harde schijf, dan zal die min of meer leeg zijn. Een setup als dit zal niet heel vaak voor komen, maar voor de echt schimmige websites des te meer.

  3. Dit is dus het OM die dat wil, maar wat wil het kabinet en de kamer? Als je het aan het OM vraagt zullen ze ongetwijfeld alle mogelijke toegang tot alle mogelijke data zonder tussenkomt van een rechtshulpverzoek of rechter willen inzien, maar dat is gelukkig niet hoe het werkt. Dus is dit een oproep voor de buhne? Is dit bijdragen aan een publiek debat? Is dit de al dan niet afgestemde oproep voorafgaand aan een wetsvoorstel om dit mogelijk te maken?

    1. Het OM is de club die merkt hoe de strafwet in de praktijk uitpakt. Dus als die een signaal geven dat zij een probleem in de praktijk hebben, dan mag de politiek dat oppakken. Voor de bühne is het dus niet, maar hoe moet het OM anders aangeven dat zij een probleem hebben in de opsporing? En waarom is het raar dat zij voor een wetswijziging zouden zijn?

      1. Dit is een discussie op een ander niveau dan de ICT, Gregorius waarschuwt dat we uit moeten kijken niet af te glijden naar een politiestaat. De politie (of, in dit geval, het OM) wil extra bevoegdheden, ‘om het werk beter te kunnen doen’, maar daar gaat het OM niet over, daar gaat de politiek over. Het is ontegenzeggelijk makkelijker om het bewijs rond te krijgen als je mag inbreken waar je verwacht dat bewijs voor criminele activiteiten liggen, maar dat mag alleen maar met een huiszoekingsbevel. En daar zitten strenge regels en onafhankelijke toetsing aan wanneer dat wel en niet mag. Uitbreiden van de bevoegdheden van de politie en het OM moet daarom altijd door de politiek worden goedgekeurd, en daarbij moeten de politici goed weten het het technisch werkt, voor ze er mee instemmen.

        1. Ik zie niets in het artikel dat dit tegenspreekt? Het enige dat ik zie, is dat het OM aangeeft dat ze meer bevoegdheden wil. Natuurlijk moet de politiek dat beslissen, maar is het zo’n rare stap dat de instantie die de bevoegdheden kennelijk nodig heeft, dit actief signaleert? Anders weet je als politiek nooit wat je zou moeten veranderen, of waarom je dingen laat zoals ze zijn.

          1. Natuurlijk wil de jager meer jagen, op op terrreinen waar dat nu niet mag en met middelen waarmee dat nu niet mag.

            De jager moet echter binnen de grenzen van de wet jagen.

            ‘ Kennelijk nodig’ … ja als hun doel is zoveel mogelijk te vangen. Nee als hun doel is zoveel mogelijk te vangen binnen de grenzen die de politiek aangeeft.

            De vraag is in essentie: wat is het doel van het OM? Uitvoeren wat de minister opdraagt? Of een eigen mening over de rechtsstaat hebben?

            1. Eigen mening over de rechtsstaat? Je bedoelt, de partij die het werk uitvoert moet kunnen klagen dat de uitvoering anders moet? De stratenmaker moet ook maar gewoon uitvoeren wat de ploegbaas opdraagt en niet met een eigen mening komen over het materiaal, of mag de stratenmaker zeggen dat het zand vies is, de stenen niet de goede maat en de gereedschappen verroest?

              1. En de stratenmaker mag ook klagen dat het zo onhandig is dat ie constant zo’n lelijk geel hesje moet dragen, niet een maand de hele straat mag afzetten, en de oude straatstenen niet gewoon in de sloot mag dumpen. Toch?

                  1. Nee, de straatstenen liggen alleen enorm in de weg als de stratenmaker meent dat het zijn taak is zoveel mogelijk vierkante meters te bestraten in zo kort mogelijke tijd.

                    Als zijn taak is om dat te doen binnen zekere randvoorwaarden qua veiligheid en opruimen van oud materiaal, liggen die oude stenen niet in de weg, maar is het afvoeren ervan gewoon een integraal deel van het werk.

                    Ik ga ervan uit dat wetten weloverwogen en met inachtname van alle belangen tot stand komen, en aangepast/afgeschaft worden indien ze niet meer aan hun doel voldoen. De wetgeving is dus bewust, willens en wetens, zoals die is en reflecteert perfect de bedoeling van de wetgevende macht.

                    Er is, logisch gesproken, dan wat voor te zeggen dat het niet aan het OM om daar dan vragen bij stellen. Die moeten loyaal uitvoeren, met de uitvoeringsmoeilijkheden die daarbij horen, die er immers bewust zijn omdat daar ook andere belangen spelen.

                    Natuurlijk, als je denk: ‘wij zijn de mensen uit de praktijk en wij geven een signaal dat het niet lekker werkt’ dan is daar op zich niets tegen.

                    Behalve het feit dat je door zo’n signaal ook aangeeft dat de wetgevende macht heeft zittten slapen.

                    Het geven van een signaal, onafhankelijk van wat de inhoud daarvan is, en of het terecht of onterecht is, is een uiting van gebrek aan vertrouwen in de wetgevende macht.

                  2. Precies. Het is niet de taak van het OM om de belangen van andere partijen mee te wegen in hun uitspraken. En zolang we, als samenleving, dat in ons achterhoofd houden bij het wegen van die uitspraken, is er niks aan de hand.

              2. Ik had het anders moeten stellen, want ik bedoelde het niet zo extreeem als jij het blijkbaar opvatte.

                Beter was geweest: ‘De vraag is in essentie: wat zou de rol moeten zijn van het OM in de vorming van wetgeving? Volgend of leidend?’

                Ik denk dat dat een kwestie van opinie is, en ik ben er ook niet 100% uit, maar het antwoord ‘vooral volgend’ is, is best verdedigbaar.

            2. De jager moet op een heel nieuw gebied jagen waar huidige wetten niet voldoen. Doorzoekingen van fysieke opslagruimtes in NL kunnen wel gedaan worden met de huidige wetten oder de juiste voorwaarden van verdenking terwijl digitale opslagplaatsen in NL vrijwel niet kunnen worden doorzocht met de huidige wetten met vrijwel identieke verdenkingen. (alleen soms met medewerking van andere landen)

              Het is best logisch dat het OM hier een oplossing voor wil en dat zij aan de politiek vragen om wet en regelgeving die dat mogelijk maakt.

      2. IMHO, als het OM merkt dat ze tegen bepaalde wettelijke grenzen aan loopt dan zou ik zeggen, stuur een notitie. Of een neutraal opgesteld persbericht. Of een brief naar de volksvertegenwoordiging. Ik vind het, voor een instantie als het OM, ongepast om de huidige wetgeving te bestempelen als “werkelijk idioot”. Het is, wederom imho, niet aan het OM om via interviews en mediaoptredens de publieke opinie te beinvloeden met angstwekkende verhalen over idiote wetgeving en vervelende restricties. Het is dus om dezelfde reden als waarom ik vind dat de belastingdienst belasting moet innen, maar niet de hoogte ervan moet vaststellen of oproepen dat die te hoog of te laag is, of dat het idioot is dat honden wel belast worden maar paarden niet. Het leger moet vredesmissies uitvoeren, maar niet zelf bepalen aan welke we wel en aan welke we niet mee gaan doen. Ze kunnen natuurlijk zeggen dat ze voor bepaalde missies onvoldoende of onjuist materiaal hebben, maar ze moeten niet in de media gaan roepen dat het idioot is dat ze nog niet zijn ingezet op bepaalde plekken. Het doet afbreuk aan de neutrale en onafhankelijke positie die het OM zou moeten innemen.

        1. Pfoe. Allereerst komt het citaat uit het bedrijfsblad, dat weliswaar openbaar is maar primair voor de eigen kring en direct omliggenden bedoeld is. Ten tweede denk ik dat mensen best wat stoom mogen afblazen en ik zie geen probleem met zo’n uitspraak in deze context. Politici zijn ook regelmatig razend, geschokt of verbijsterd en eisen dan keiharde maatregelen. Waarom moet het OM dan zo grijs en stil mogelijk mompelen over wellichte behoeftes aan aanvullende handhavende maatregelen binnen het grondwettelijk kader?

  4. Dat het maken van die kopie onschuldige nevengebruikers dupeert is misschien zo slecht nog niet. Wanneer OM/ politie dit mag doen betekent dat dat resellers die relatief veel louche klanten hebben daar vaker last van zullen hebben als zij die bonafide werken. Als dat zich rond spreekt zal het voor resellers ook minder aantrekkelijk worden om zomaar iedere klant te accepteren, zonder te kijken naar wat die dan uitspookt op de servers van de reseller. Daarmee zou in theorie de markt zichzelf gaan reguleren…

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.