OM wil makkelijker gegevens van resellers Nederlandse hosters hebben

| AE 13378 | Regulering | 23 reacties

geralt / Pixabay

Het Openbaar Ministerie wil dat het makkelijker wordt om klantgegevens en andere informatie op te vragen van bedrijven die serverruimte in Nederland doorverhuren. Dat las ik bij Security.nl. Men citeert hightechcrime-officier Esther Baars in OM-bedrijfsblad Opportuun die signaleert dat cybercriminelen vaak servers van Nederlandse datacentra gebruiken met tussenkomst van een reseller. Optreden daartegen vereist een rechtshulpverzoek, terwijl de data gewoon hier in Nederland staat. “Dat is werkelijk idioot”.

Baars legt uit waar de kern van het probleem zit:

Vaak gebruiken [cybercriminelen] servers van datacentra in Nederland. Zo’n datacenter verhuurt een server aan een tussenpersoon, een ‘reseller’. Dat mag gewoon. En die reseller verhuurt dan die serverruimte in Nederland weer door aan zijn eigen klanten. Dat maakt het voor ons ingewikkeld om verdachte klanten op te sporen.
Dus zeg maar, het Nederlandse bedrijf verhuurt een opslagbox aan een ondernemer, die daar vervolgens mooie opslagkasten in zet en buitenlandse klanten elk in diens eigen kast wat laat opslaan. Het probleem is dan: waar in de gewone wereld de politie gewoon die kast mag openmaken, moet de cyberpolitie per kast nagaan wat de identiteit van de reseller of de eindklant is om vervolgens in dat land een rechtshulpverzoek te doen – in “Rusland, de Seychellen, de Verenigde Arabische Emiraten, of een ander land waarmee wij geen, of een trage rechtshulprelatie hebben.”

Het punt is natuurlijk, bij zo’n gewone kast in een opslagbox kun je een slotenmaker meenemen en het ding openmaken, of je neemt hem (de kast, niet de slotenmaker) mee naar het bureau om daar rustig na te gaan wat er in zit. Bij een digitale kast, de vps van de klant van een reseller, is dat een stuk complexer:

[Dan] is het niet onmogelijk om een kopie te maken, maar kan dat kopiëren schade veroorzaken voor onbekende klanten die die server ook gebruiken maar niks met de criminaliteit te maken hebben. … [O]nze wet is zo ingericht dat we dan eigenlijk rechtshulpverzoeken moeten doen om die gegevens te krijgen. Dat is werkelijk idioot, want het is gewoon data die in Nederland staat en de plaats delict is dus gewoon Nederland.
Ik denk dat het issue is dat om zo’n kopie te maken je de server even uit moet zetten (‘bevriezen’), maar een typische resellermachine – de opslagbox met de kasten – kan vele tientallen klantensystemen tegelijk hebben. Dan gaan die dus allemaal even uit, en als eentje daarvan dan toevallig de betalingsdiensten van Alibaba in Nederland doet dan wordt het een ongezellige middag.

Ja, ik kan me ook niet direct voorstellen dat dezelfde reseller én een berg pittige cybercriminelen én Alipay Nederland als klant heeft, maar dit is het voorbeeld dat men noemt dus dat zal ergens op gebaseerd zijn. Maar goed ook als het gaat om gewoon een doorsnee gamingdienst of betaald forum, je dupeert een onschuldige ondernemer enkel omdat die bij dezelfde reseller wat afneemt als een crimineel.

De reseller kan gericht servers afsluiten of kopieën helpen maken, maar die is daar zelden toe bereid zonder bevel van de lokale overheid, vandaar die route van het rechtshulpverzoek. En dat gaat inderdaad vaak traag, als men in zo’n land al bereid is om überhaupt iets te doen tegen een reseller wiens klanten in dat land geen directe rottigheid uithalen.

Wat dan wel?

De reseller [weet precies] waar wij moeten zijn. Het zou zo logisch zijn als we de Nederlandse partij kunnen verplichten die exacte locatie te achterhalen en aan ons door te geven.
Komen de kasten weer: de verhuurder van de opslagbox moet een reservesleutel van de box en liefst ook van elke kast hebben. Zo kan gericht de juiste kast meegenomen worden. Het is technisch niet héél moeilijk om dit zo in te richten, de reseller (de huurder) kan vrij eenvoudig aan de hoster (de verhuurder) welke vps van welke klant is en dan desbevolen een kopie daarvan af te geven aan het OM.

Een lastige is, hoe dwing je resellers om dit te doen. Je komt dan al snel bij administratieve procedures uit, zoals dat de hoster moet kunnen meekijken in het VPS controlepaneel maar dan zonder de overige, commercieel zeer interessante, gegevens over de klanten. Of dat de hoster een beperkte set informatie krijgt maar wel moet kunnen nagaan dat dat overeenkomt met de werkelijke configuratie. Het kan allemaal maar praktisch is anders.

Arnoud