Britse regering: providers moeten communicatiedata bijhouden

De Britse regering wil dat providers bij gaan houden wie met elkaar communiceren. Dat doen ze al voor email en telefonie, maar dit moet worden uitgebreid naar bijvoorbeeld sociale netwerken. Plannen voor een centrale database zijn geschrapt.

De Britse regering is met voorstellen gekomen om internet- en telecomproviders communicatiedata op te laten slaan. Daarmee moeten de opsporingsmogelijkheden van de politie op peil worden gehouden. De bewaarplicht van de Europese Unie regelt weliswaar al de opslag van telefoon- en emailgegevens, maar biedt, zoals de Britse regering eerder al aangaf, onvoldoende mogelijkheden: er wordt immers ook geregeld via sociale netwerken en instantmessaging gecommuniceerd. Plannen om al dit soort verkeersgegevens in een centrale database op te slaan zijn echter geschrapt omdat dit teveel gevaar voor de privacy op zou leveren. De regering heeft nu voorgesteld om, net als bij de bewaarplicht, te regelen dat providers de gegevens opslaan, meldt BBC News.

Britse politieagenten De regering heeft twee miljard pond uitgetrokken voor een periode van tien jaar, onder meer om isp's te vergoeden voor het opzetten van opslagsystemen. Die moeten voorzien in het opbouwen van profielen van hun abonnees, waarin data van derden die over het netwerk gaat, zoals bijvoorbeeld van Facebook of Windows Live Messenger, met hun eigen gegevens wordt gematcht, aldus het voorstel. De data zou twaalf maanden bewaard moeten worden.

De providerbranche heeft verklaard blij te zijn dat de regering het idee voor centrale opslag heeft geschrapt, aldus The Register. De plannen worden wel complex genoemd, en velen in de sector zouden stiekem hopen dat een volgende kabinet ze in de prullenmand gooit. Securityonderzoeker Richard Clayton van de universiteit van Cambridge denkt dat de regering met het voorstel is gekomen omdat het voor het publiek te gemakkelijk te begrijpen is dat opslag in een centrale database een 'buitenproportionele' aanslag op de privacy is. Hij benadrukt echter dat de surveillancemogelijkheden van de overheid er niettemin fors door toenemen. Toch zullen opsporings- en inlichtingendiensten met minder genoegen moeten nemen dan waarvoor ze hebben gepleit: in plaats van snelle toegang via een databank moeten ze het doen met aanvragen bij wellicht verschillende providers over individuele gevallen.

Door Mick de Neeve

27-04-2009 • 18:57

65

Reacties (65)

65
62
18
11
0
7
Wijzig sortering
Toevallig dat ik me in de Dataretentie Richtlijn (zo heet de EU Directive) verdiept heb. Iedere lidstaat is verplicht deze in zijn nationale wetgeving op te nemen, zo dus ook de UK en NL.

Wat er vlgs deze EU richtlijn bewaart moet worden door telecomproviders en isp's die publieke diensten aanbieden zijn identificate-, verkeers-, apparatuur- en lokatiegegevens. Het gaat daarbij NIET om de inhoud, de websites of diensten die men bezoekt. Zoals aangegeven in het artikel vallen de 'moderne' middelen als social networks, chat etc er niet onder. Maar wel vast, mobiel, voip telefonie, email, internet access, sms/mms ed. Dit voor zowel gelukte, niet gelukte en afgebroken gesprekken incl. spam. Het is duidelijk, zeker voor tweakers, dat er nogal wat gaten vallen: msn of skype vallen er dus niet onder. Ook hotmail bv niet (US based, niet eu/nl), proxies, spoofing etc bieden escape. Dat is dan ook (gedeeltelijk) waar de UK op inspeelt met dit voorstel.

In NL kennen de telecomproviders al jaren iets soortgelijks, voor ISP's is de impact veel groter daar deze tot op heden nooit verkeersgegevens hebben moeten bewaren. Let wel, de overheid kan dus niet zomaar data mining of profiling toepassen; men moet strikte regels volgen en een aanvraag indienen bij de betreffende operator met het verzoek bepaalde gegevens over te dragen. Om het in perspektief te brengen: men praat al snel over enkele miljoenen records die per dag bewaard moeten worden en langere tijd bewaard moeten worden. Als je even nadenkt gaat dat met een gemiddelde RDBS niet lukken: het inserten van data en bijwerken van indices duurt eenvoudig te lang en de opslag verveelvoudigd zich. Er zijn dan ook speciale databases voor nodig, die met name op het query deel heel snel heel veel data kunnen doorzoeken specifiek gericht op date/time stamp records.

Op dit moment ligt het NL wetsvoorstel bij de 1e Kamer en men verwacht deze zomer eea als NL wet goedgekeurt te hebben. Ook hier heeft men voor 12 maanden opslagtermijn gekozen, maar men houdt vast aan de Directive dwz niet met andere middelen als chat uitgebreid als de UK nu voorsteld. Men evalueert na een aantal jaren en kan dan bijsturen.

Mochten er mensen meer info willen, of zelfs een oplossing zoeken (kan ook als hosted/managed service) PM me maar.
Wat er vlgs deze EU richtlijn bewaart moet worden door telecomproviders en isp's die publieke diensten aanbieden zijn identificate-, verkeers-, apparatuur- en lokatiegegevens. Het gaat daarbij NIET om de inhoud, de websites of diensten die men bezoekt. Zoals aangegeven in het artikel vallen de 'moderne' middelen als social networks, chat etc er niet onder. Maar wel vast, mobiel, voip telefonie, email, internet access, sms/mms ed. Dit voor zowel gelukte, niet gelukte en afgebroken gesprekken incl. spam. Het is duidelijk, zeker voor tweakers, dat er nogal wat gaten vallen: msn of skype vallen er dus niet onder. Ook hotmail bv niet (US based, niet eu/nl), proxies, spoofing etc bieden escape. Dat is dan ook (gedeeltelijk) waar de UK op inspeelt met dit voorstel.
Ik zie hier andere problemen in: dit kan nooit waargemaakt worden! Er moet zoveel gecontroleerd worden dat er gaten in het systeem zullen zitten. Deze zullen misbruikt worden. En de personen die het bedacht hebben zullen zeggen dat het systeem niet voldoende resultaat oplevert, om het vervolgens nog meer uit te willen breiden. Of ze zeggen dat het wel werkt (statistieken zijn flexibel) en willen het daarom alsnog uitbreiden.

Als daadwerkelijk elk spambericht wordt getracked, dan loopt een willekeurige dataserver zo vol (ze willen namelijk minstens een half jaar de data bewaren). Als je vervolgens PKI gebruikt (of stenografie) om uiteindelijk een bericht van A naar B te krijgen, dan kan het nooit getraceerd worden door de massale ruis die aanwezig zou zijn.

Het is te merken dat dit soort maatregelen bedacht zijn door mensen die weinig van techniek afweten en zich daarover ook niet laten informeren. Aan de ene kant een geruststellende gedachte: het internet zal altijd 'vrij' zijn voor de slimme Tweaker (die als taak erbij krijgt zijn directe omgeving te informeren). Aan de andere kant een treurige gedachte: hoeveel belastinggeld (of ISP abonneegeld) dit gaat kosten en (nog belangrijker) hoeveel privacy hiervoor ingeleverd zal worden.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 02:01]

Het gaat dus niet om de inhoud. Men wil vastleggen wanneer wie wat gedaan heeft en met wie.

Vwb technische kennis: ja, maar dat is onderkend en men heeft experts ingeroepen om eea duidelijker te krijgen. En deze hebben dan ook de gaten in het concept aangegeven. Daar wordt dan ook na evaluatie tzt verder over nagedacht, zowel op globaal, europees als nationaal nivo.
Het gaat dus niet om de inhoud. Men wil vastleggen wanneer wie wat gedaan heeft en met wie.
En daar zit een gigantisch probleem. Stel je hebt een Facebook-achtige site die SSL ondersteunt en die draait op servers buiten de UK. Hoe ga je dan ooit bijhouden wie er daar een berichtje op elkaars profiel achterlaat? Zonder SSL te kraken zie je immers alleen dat een gebruiker contact maakt met de server. Dit geldt trouwens ook voor veel IM-protocollen; die laten alles (behalve file transfers) gezellig over centrale servers lopen. Zolang die servers buiten de UK staan kun je niet eisen dat ze die gegevens afdragen (of zelfs maar bijhouden).
Overigens is er helemaal geen Europees of globaal niveau, dit bestaat (voorlopig....) alleen in de UK, dus zullen ze het helemaal zelf op moeten lossen.

Verder heeft The Zep Man gewoon helemaal gelijk: iedereen met verstand van zaken (en iedereen die zo iemand in kan huren) komt hier toch wel onderuit. Het overgrote deel van de bezoekers van T.net valt in de eerste categorie, de zware criminelen / terroristen vallen in de tweede categorie. Uiteindelijk is dit dus een enorme verspilling van geld die zijn oorspronkelijke doel finaal mist en alleen bruikbaar is om gewone burgers te bespioneren.
Miljoenen records per dag opslaan en verwerken is een praktisch oplosbaar probleem. Daar zijn datawarehouses en zware servers voor uitgevonden. Kost natuurlijk wel wat maar als je als telco die data toch moet bijhouden kun je het meteen analyseren om je tariefformules to optimaliseren zodat je meer inkomsten per klant kunt genereren.
Niet volgens de Directive: data opgeslagen voor gebruik onder de Dataretentierichtlijn mag alleen daarvoor gebruikt worden. Dus niet voor analyses, data mining etc. Oftwel: vanuit alle logfiles etc wordt een dataset 'gemaakt' die de informatie bevat voor alleen Dataretentie, niet voor bv fraude detectie of analyses. Wil je dat laatste toch, dan moet je dat apart gaan maken.
Anoniem: 190996 @Der Rudi27 april 2009 20:34
Twee soorten taken zijn bijzonder simpel voor een relationele database:
- alleen maar records lezen
- alleen maar records schrijven

Aangezien dit erg dicht in de buurt komt van de tweede situatie zal dit met het juiste ontwerp technisch niet zo complex zijn. Vooral niet als je bedenkt dat realtime weergave geen vereiste is maar een kleine vertraging nog best acceptabel.
De opslag is niet het probleem, maar wel de retrieval. En zoals aangegeven, het bijhouden van (vele) indexen om in een RDBS nog enigzins perfomance te krijgen VOOR DEZE SPECIFIEKE toepassing gaat veel tijd en extra opslagruimte kosten. Bedenk dat een record in deze toepassing paar honderd bytes is, een index erover en dat worden vele kbytes.

Er worden eisen gesteld aan de snelheid, volledigheid, kwaliteit etc. Real time is geen vereiste, dat snapt men gelukkig ook.
Ik kan echt alleen nog maar zuchten als ik zoiets lees. Natuurlijk ben ik het er absoluut niet mee eens, maar wat kan je er tegen doen zolang de meerderheid van de mensen dit probleem totaal onderschat ?
Het klinkt natuurlijk heel stoer wat ik nu ga zeggen, maar ik heb liever een beetje gevaar in mijn leven dat dat iedereen gecontroleerd wordt wat hij op internet doet en laat.
Waarom zijn een paar mensenlevens in totale vrijheid een te dure prijs ?
Hoeveel aanslagen zijn er nu werkelijk gebeurt ? ze hebben af en toe een bommelding of verdacht pakketje en dan blijkt er weer niks aan de hand of een paar scholieren die gebruik maken van deze domme maatschappij. Natuurlijk moet je blijven opletten maar wat er nu gebeurt is alleen nog maar angst zaaien om mensen beter te controleren.

Ik zie gesprekken op internet als een persoonlijk gesprek tussen 2 of meerdere mensen. Ik wil ook niet dat er in mijn huis opgenomen wordt wat ik zeg ook al heb ik helemaal niets te verbergen. Pas hoorde ik ook weer dat Nederland zo hoog op de lijst staat voor terroristische aanslagen. moet ik dan bang worden ?

Te veel "bescherming" kan ook. Als er 1 of 2 kinderen onder een vrachtwagen komen moeten alle vrachtwagens rekken onder de auto en extra spiegels. we mogen geen km te hard want dat is te gevaarlijk voor ons want met 100 rij je jezelf minder hard dood dan met 120. er zal wel te weinig verdiend worden met internet door regeringen, want er gaan meer mensen dood aan roken en vervuiling dan aan terrorisme en je mag nog steeds roken en langs een rijksweg of naast en vervuilende fabriek wonen.
En ja ik ben stom genoeg om te roken dus misschien ligt het wel allemaal aan mij dat ik deze mate van bescherming zijn doel totaal voorbij vind schieten.
Anoniem: 46304 @Beakzz27 april 2009 21:31
Waarom zijn een paar mensenlevens in totale vrijheid een te dure prijs?
Hete gaat er helemaal niet om om mensenlevens te sparen maar om burgers beter onder controle te kunnen houden. De huidige regeringen zijn doodsbang voor burgers die anoniem kunnen oproepen tot verzet.
Hete gaat er helemaal niet om om mensenlevens te sparen maar om burgers beter onder controle te kunnen houden. De huidige regeringen zijn doodsbang voor burgers die anoniem kunnen oproepen tot verzet.
de spijker op z'n kop, 9/11 is alleen het excuus om dit uit te voeren, de "goedgelovige" en "brave" burger slikt het als zoete koek.

[Reactie gewijzigd door digifan op 23 juli 2024 02:01]

Dit is alweer het zoveelste voorstel waarmee stelselmatig, stapje bij beetje, de privacy en andere burgerrechten steeds verder wordt ingeperkt. Zogenoemd omwille van de criminaliteits- en terreurbestrijding. Maar harde cijfers ontbreken dat dit ook daadwerkelijk effect heeft. Het verbaast me dat de Britse, maar ook de Nederlandse politici hier zover mee kunnen komen. Alles lijkt mogelijk te zijn na de terreuraanslagen van 11 september 2001 in de VS. We zouden ons eens moeten afvragen of het middel niet erger dan de kwaal begint te worden. Het zou goed zijn om eens wat kritischer te zijn en niet alleen bij de dooddoener "Ik heb toch niets te verbergen" te blijven. Iedereen heeft immers een privéleven, en dat gaat niemand wat aan. Ook de staat niet.

Voor de geïnteresseerden: Bekijk ook eens de (Britse) documentaire Taking Liberties. Deze geeft een aardig compleet beeld van de ontwikkelingen sinds 9/11 en hoe dit de burgerrechten, waaronder het recht op privacy heeft aangetast.
Volgens het overzicht van stellingnames van politieke partijen zoals vermeldt op de Stemwijzer Europese verkiezingen vinden alle serieuze partijen die deelnemen aan de Europese verkiezingen in Nederland de privacy ondergeschikt maken aan 'veiligheid'. Orwell en Kafka hadden het niet eens zo slecht ingeschat.
Betekent dit niet dat ze alle websites die iedereen bezoekt bij moeten houden? Want als iemand anders iets post op tweakers.net, en ik bezoek tweakers.net, dan kunnen wij gecommuniceerd hebben. En aangezien er miljoenen sites zijn met reactiemogelijkheden, en iemand ook zelf gewoon een site aan kan maken voor communicatie, moeten ze dus een volledige history van iedereen bijhouden. Good luck with that, veel servertjes voor nodig.

En daar komt nog bij dat het aantal mensen met wie je gecommuniceerd kan hebben ongelofelijk groot is. Als je dan ook nog rekening houdt dat je via een derde kan communiceren, dan communiceert iedereen al snel moet iedereen.
Anoniem: 93050 28 april 2009 07:36
Waanzin.. gruwelijk en onzin. Uiteraard zijn er altijd mensen die dit soort KGB praktijken afdoen met 'ik heb niets te verbergen', maar, ook zij doen de deur van het toilet dicht. Iedereen wil wel wat privacy. Buiten de technische problemen etc, ik zag ook een opmerking dat zelfs gemiste gesprekken geregistreerd worden. dus .. als (willekeurig gekozen naam..) Osama mij belt, doordat hij een verkeerd nummer intikt (kan hem toch ook overkomen) ik neem niet op, of na het noemen van mijn naam breekt hij af, dan ben IK geregistreerd als relatie van Osama ? Eagle Eye, Enemy of the State ... het is dus waar: de werkelijkheid is gekker dan je vreemdste fantasieën. In elk geval lijkt me nu de wereld van '1984' een behoorlijk vrije wereld.
Anoniem: 26447 27 april 2009 19:07
Ik ben er niet zeker van, maar mag zoiets überhaupt van wege gesloten protocollen etc etc ik neem aan als je zoiets wil gaan opslaan ook de desbetreffende info moet hebben van b.v. Microsoft hoe hun software werkt en ik vrees dat zoiets absoluut niet gaat gebeuren dat MS inzage gaat geven hoe hun IM werkt qua protocollen. :/
Hoe kunnen de opensource clients dan verbinden via het messenger protocol van MS?
GAIM, aMSN etc etc

Onzin dus het kan wel, daarbij komt dat Microsoft geen extra ruzie met de EU wil.

Ik daarentegen ben wel zwaar tegen dit soort Big Brother praktijken, de personen die dit verzonnen heeft moet voor de rest van zijn leven voor een camera leven en alle zijn acties gecontrolleerd voordat hij het nogmaals mag voorstellen voor anderen.

Wedden dat het ineens niet meer nodig is?
Dat kan omdat de protocollen gehackt worden
Het werkt echter verre van perfect
aMSN kan bijvoorbeeld niet cammen met de nieuwste versies van WLM
Daar ben ik nog niet zo zeker van. Als de Britse regering een wet maakt waarin software leveranciers verplicht worden om openheid van zaken te geven, dan blijft er voor Microsoft enz. weinig keuzes over lijkt me.

En terug trekken van de Britse markt is ook geen optie lijkt mij
Anoniem: 46304 @Bozevkwa27 april 2009 21:19
De communicatiesoftware kan dan van buiten het VK gedownload worden. Als dat de Britse regering niet bevalt sluiten ze de toegang tot al die downloadcentra maar af.
en hoe gaan ze dat doen als ze encrypted protecollen gaan maken?
bij telefonie en email is het wat lastiger maar bij sociale netwerken stukken minder
:)
Hoe gaan ze nu al achterhalen met welke andere facebook gebruikers je contact hebt :?
Dan moeten ze echt de facebook pagina en requests achterhalen en kunnen verwerken. Als ik facebook zou zijn (of een andere partij), dan zou ik daar ernstige bezwaren tegen maken; immers mijn communicatie wordt nu ge-hacked :(
Als provider zou ik ook niet blij worden als ik al die verschillende community sites moet doorzoeken.
Idd. En als Facebook het 1 en ander veranderd dan werkt het niet meer. Moet het monitor programma aangepast worden.
De Britse regering wil dat providers bij gaan houden wie met elkaar communiceren. Dat doen ze al voor email en telefonie, maar dit moet worden uitgebreid naar bijvoorbeeld sociale netwerken.
.
.
.

De bewaarplicht van de Europese Unie regelt weliswaar al de opslag van telefoon- en emailgegevens, maar biedt, zoals de Britse regering eerder al aangaf, onvoldoende mogelijkheden: er wordt immers ook geregeld via sociale netwerken en instantmessaging gecommuniceerd.
Dus als ik het goed begrijp is de oplossing van de Britse regering voor het probleem van het vinden van een speld in een hooiberg gewoon een grotere hooiberg bouwen?

Nog even en we hebbeb onze privacy weer terug. Ze weten wel alles van je, maar ze weten niet waar het staat

[Reactie gewijzigd door Ortep op 23 juli 2024 02:01]

Dat zou m.i. betekenen dat ISP's software moeten gebruiken welke alle wereldwijd gebruikte IM-protocollen kan analyseren. Dat lijkt mij bijna onmogelijk.
Hoezo? Zolang er geld te verdienen is, ziet er wel een bedrijf brood in.
Veel plezier met kraken van SSL?
Ze moeten het niet kraken, enkel loggen wie naar waar een ssl tunnel opgezet heeft..

Desalnietemin, ik zie het toch liever niet gebeuren bij mijn overheid, een V for Vendetta (of 1984) komt in the UK dichter en dichter bij :s

edit:
irt Free rider, wel, als dit het hele opzet is van het voorstel, dan zijn ze toch niet helemaal op de hoogte van het werk dat dit met zich zal meebrengen, zo zou een isp elke "post" of "get" aanvraag moeten onderzoeken, indien nodig decrypteren, parsen, de nodige data uithalen (zoals linken aan een gebruiker, linken aan een topic) opslaan, en doorzoekbaar maken.

Dit is toch niet iets wat je als isp wil doen?

Maar kraken is zoals hieronder gezegd door QplQyer niet nodig, een man in the middle kan door de isp maklijk opgezet worden, als het toch wettelijk verplicht is moet de gebruiker er maar vrede mee nemen dat zijn isp de issuer is van elk certificaat...

[Reactie gewijzigd door Keneo op 23 juli 2024 02:01]

Ze moeten het wel degelijk kraken, ze moeten immers vastleggen met welke gebruikers er contact was - niet met welke site.
Wellicht is http://tweakers.net/aanbod/ een netwerksite - de een biedt wat aan, de ander reageert enz. Dus moeten Britse ISPs gaan vastleggen wie daar allemaal reageren, immers het vastleggen van het contact met de site zelf is niet voldoende. Om dat te doen moeten ze het verkeer analyseren, en dat betekent dat de gebruikte protocollen gekraakt moeten worden.
Kraken is niet nodig, een ISP kan perfect een man-in-the-middle opzetten door middel van een vervalst certificaat. Ethisch & veilig is iets anders natuurlijk, maar het kan.

Ze zijn echt dol aan het draaien in het VK op gebied van vrijheid van het individu en politiestaat ...
Anoniem: 37691 @QplQyer27 april 2009 23:27
En dat valt niet op? Mits de software deze fouten niet negeert en gewoon doorgaat met verbinden. HTTPS kan je moeilijk faken als de gebruikers de fingerprint in de gaten houden.
Met een man-in-the-middle attack krijg je wel een beveiligingswaarschuwing te zien (vermits het om een niet zelf-gegenereerd certificaat ging).
Ja het valt natuurlijk op, maar niet voor de gemiddelde gebruiker. Tenzij jij veel gewone gebruikers kent die een certificaat gaan bestuderen in plaats van het gewoon te accepteren.

Als overigens al bekend is gemaakt dat providers dergelijke data moeten bijhouden is het niet noodzakelijk erg dat het opvalt. Mijn punt was dat SSL helemaal niet beschermt als de providers data moeten gaan verzamelen.

[Reactie gewijzigd door QplQyer op 23 juli 2024 02:01]

En mocht dat ooit gedaan worden, zal er vast ook een bedrijf brood zien in het maken van een nog geavanceerder en veiligere encryptie.

En zo heeft ieder land z'n eigen manier om de economie aan te slingeren. :9
Oh, ik was recent aan het zoeken welke BHO browser toolbar ik kon maken.
Ziehier een leuke: facebook private message encryptie. Simpel, transparant en veilig. Leuke uitdaging :)
Dus als ik het goed begrijp kiezen ze in plaats van een centrale database voor diverse decentrale databases bij de isp's.

Dus het enige wat rest is links leggen tussen de diverse databases en je hebt precies wat ze willen hebben: een centrale opslag van alle verkeersdata.

Ik hoop inderdaad dat dit voorstel in de prullenbak verdwijnt bij een volgend Brits kabinet

Op dit item kan niet meer gereageerd worden.