OM wil makkelijker gegevens van resellers Nederlandse hosters hebben

| AE 13378 | Regulering | 23 reacties

geralt / Pixabay

Het Openbaar Ministerie wil dat het makkelijker wordt om klantgegevens en andere informatie op te vragen van bedrijven die serverruimte in Nederland doorverhuren. Dat las ik bij Security.nl. Men citeert hightechcrime-officier Esther Baars in OM-bedrijfsblad Opportuun die signaleert dat cybercriminelen vaak servers van Nederlandse datacentra gebruiken met tussenkomst van een reseller. Optreden daartegen vereist een rechtshulpverzoek, terwijl de data gewoon hier in Nederland staat. “Dat is werkelijk idioot”.

Baars legt uit waar de kern van het probleem zit:

Vaak gebruiken [cybercriminelen] servers van datacentra in Nederland. Zo’n datacenter verhuurt een server aan een tussenpersoon, een ‘reseller’. Dat mag gewoon. En die reseller verhuurt dan die serverruimte in Nederland weer door aan zijn eigen klanten. Dat maakt het voor ons ingewikkeld om verdachte klanten op te sporen.
Dus zeg maar, het Nederlandse bedrijf verhuurt een opslagbox aan een ondernemer, die daar vervolgens mooie opslagkasten in zet en buitenlandse klanten elk in diens eigen kast wat laat opslaan. Het probleem is dan: waar in de gewone wereld de politie gewoon die kast mag openmaken, moet de cyberpolitie per kast nagaan wat de identiteit van de reseller of de eindklant is om vervolgens in dat land een rechtshulpverzoek te doen – in “Rusland, de Seychellen, de Verenigde Arabische Emiraten, of een ander land waarmee wij geen, of een trage rechtshulprelatie hebben.”

Het punt is natuurlijk, bij zo’n gewone kast in een opslagbox kun je een slotenmaker meenemen en het ding openmaken, of je neemt hem (de kast, niet de slotenmaker) mee naar het bureau om daar rustig na te gaan wat er in zit. Bij een digitale kast, de vps van de klant van een reseller, is dat een stuk complexer:

[Dan] is het niet onmogelijk om een kopie te maken, maar kan dat kopiëren schade veroorzaken voor onbekende klanten die die server ook gebruiken maar niks met de criminaliteit te maken hebben. … [O]nze wet is zo ingericht dat we dan eigenlijk rechtshulpverzoeken moeten doen om die gegevens te krijgen. Dat is werkelijk idioot, want het is gewoon data die in Nederland staat en de plaats delict is dus gewoon Nederland.
Ik denk dat het issue is dat om zo’n kopie te maken je de server even uit moet zetten (‘bevriezen’), maar een typische resellermachine – de opslagbox met de kasten – kan vele tientallen klantensystemen tegelijk hebben. Dan gaan die dus allemaal even uit, en als eentje daarvan dan toevallig de betalingsdiensten van Alibaba in Nederland doet dan wordt het een ongezellige middag.

Ja, ik kan me ook niet direct voorstellen dat dezelfde reseller én een berg pittige cybercriminelen én Alipay Nederland als klant heeft, maar dit is het voorbeeld dat men noemt dus dat zal ergens op gebaseerd zijn. Maar goed ook als het gaat om gewoon een doorsnee gamingdienst of betaald forum, je dupeert een onschuldige ondernemer enkel omdat die bij dezelfde reseller wat afneemt als een crimineel.

De reseller kan gericht servers afsluiten of kopieën helpen maken, maar die is daar zelden toe bereid zonder bevel van de lokale overheid, vandaar die route van het rechtshulpverzoek. En dat gaat inderdaad vaak traag, als men in zo’n land al bereid is om überhaupt iets te doen tegen een reseller wiens klanten in dat land geen directe rottigheid uithalen.

Wat dan wel?

De reseller [weet precies] waar wij moeten zijn. Het zou zo logisch zijn als we de Nederlandse partij kunnen verplichten die exacte locatie te achterhalen en aan ons door te geven.
Komen de kasten weer: de verhuurder van de opslagbox moet een reservesleutel van de box en liefst ook van elke kast hebben. Zo kan gericht de juiste kast meegenomen worden. Het is technisch niet héél moeilijk om dit zo in te richten, de reseller (de huurder) kan vrij eenvoudig aan de hoster (de verhuurder) welke vps van welke klant is en dan desbevolen een kopie daarvan af te geven aan het OM.

Een lastige is, hoe dwing je resellers om dit te doen. Je komt dan al snel bij administratieve procedures uit, zoals dat de hoster moet kunnen meekijken in het VPS controlepaneel maar dan zonder de overige, commercieel zeer interessante, gegevens over de klanten. Of dat de hoster een beperkte set informatie krijgt maar wel moet kunnen nagaan dat dat overeenkomt met de werkelijke configuratie. Het kan allemaal maar praktisch is anders.

Arnoud

Is Googles Eemshavens datacenter nou privacytechnisch spannend?

| AE 6999 | Informatiemaatschappij, Privacy | 9 reacties

datacenterGoogle gaat in de Eemshaven in Groningen een enorm datacenter bouwen., las ik bij NRCQ. Het datacenter zal zo’n 150 banen in Nederland opleveren en vertegenwoordigt een investering van minstens 600 miljoen euro. Waarop iedereen dacht: ja maar wacht eens, valt dat datacentrum niet onder Amerikaanse (privacy- en andere) jurisdictie? Althans, als ik mijn inbox mag geloven.

Eh, nee. Als je in Nederland iets bouwt, dan valt dat iets onder Nederlands recht. Of het nu een datacentrum is, een chemische fabriek of een ambassade. Want nee, een ambassade is géén grondgebied van de gast maar gewoon van het gastland (bij ons Nederland dus). Het Verdrag van Wenen bepaalt dat diplomaten en diplomatieke vertegenwoordigingen immuniteit of onschendbaarheid genieten in de landen waar ze te gast zijn (artikel 22) en dat niemand een ambassade mag betreden zonder toestemming van de ambassadeur.

Verder maakt het specifiek voor de privacy totaal niet uit of het datacentrum onder Nederlands of Amerikaans recht zou vallen. De privacywet kijkt niet naar waar de data staat, maar om wiens data het gaat. En is dat data van Nederlanders, dan geldt daarop de Nederlandse privacywet (die afgeleid is van de Europese).

De privacywet bepaalt dat persoonsgegevens niet mogen worden verwerkt in landen waar geen adequaat beschermingsniveau geldt voor zulke gegevens. De VS is het schoolvoorbeeld van zo’n land – ze hebben daar niet eens een wet die iets zegt over persoonsgegevens.

Google mag dus best hier een datacentrum neerzetten en daar gegevens van Nederlanders in opslaan. Ze moet er alleen voor zorgen dat die gegevens binnen Nederland, althans binnen Europa, blijven en met name dat Amerikaanse overheden daar niet bij kunnen.

En dat wordt nog een lastige voor het Amerikaanse bedrijf, tenzij concurrent Microsoft haar hoger beroep wint over het moeten afgeven van data uit haar dochterondernemingsdatacentrum in Iederland. Of Google moet het datacentrum alleen gebruiken voor niet-persoonsgegevens. Maar dat lijkt me sterk.

Arnoud

AMS-IX zet toch omstreden stap van Amerikaanse uitbreiding door

| AE 5981 | Ondernemingsvrijheid | 18 reacties

cloud-flag-usaOMGWTFPATRIOTACT. Een meerderheid van leden van de AMS-IX heeft zich achter de omstreden uitbreiding van het internetknooppunt naar de Verenigde Staten geschaard, meldde Tweakers zaterdag. Die uitbreiding leverde flink wat zorgen bij de leden op, maar kennelijk net niet genoeg om voldoende tegenstemmen te krijgen. Maar beloofd is dat het opzetten van het Amerikaanse internetknooppunt Patriotactrisicoloos zou gebeuren.

De uitbreiding is financieel interessant voor AMS-IX, omdat veel van de huidige Amerikaanse internetknooppunten duur en commercieel zijn. AMS-IX is een vereniging zonder winstoogmerk en kan daar dus best een stuk marktaandeel veroveren.

Alleen ja die gekke Amerikanen en hun USA PATRIOT ACT hè. Heb je een server of rechtspersoon in de VS, dan val je onder Amerikaanse rechtsmacht en dan kan de FBI dus via die antiterrorismewet komen snuffelen in je dataverkeer. En dat moet je toelaten – inclusief na verluidt snuffelbevelen in servers van je Europese datacenter. En in theorie is het dus denkbaar dat de Amerikaanse AMS-IX rechtspersoon dan te horen krijgt dat ze een livetap in de Amsterdamse AMS-IX moeten gaan zetten, op straffe van vakantie voor onbepaalde tijd in Guantanamo Bay.

Maar of dat ook wérkelijk zo gaat, is nog nooit getest bij de rechter. Dat is ook moeilijk want zulke bevelen worden onder geheimhouding (gag order) gegeven, en achteraf klokkenluiden vanuit Guantanamo Bay is best wel lastig. Maar misschien gebeurt het ook wel niet. (En misschien heb ik wel een FBI-bevel om dit zo te zeggen.)

Er zijn wel constructies denkbaar om dit tegen te gaan. Je kunt bijvoorbeeld werken met twee onafhankelijke stichtingen die alleen samenwerken maar technisch en organisatorisch gezien geen toegang tot elkaars datacenters hebben. (Nog even afgezien van de vraag of het niet op zou vallen dat een Amsterdams datacenter ineens bergen data naar Ford Meade, MY gaat versturen.) Maar het zal nog wel enig gepuzzel vergen.

Eerder kwam de AMS-IX al in opspraak over vermeend aftappen. Bezoekende Kamerleden konden echter geen NSA- of AIVD-aftapstekkers ontdekken.

Arnoud