Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 32 reacties

De zeven belangrijkste organisaties voor de Nederlandse digitale infrastructuursector spreken bij monde van stichting DINL hun zorgen uit over het mogelijk aftappen van transitverbindingen. De stichting roept de Nederlandse overheid op om af te zien van het aftappen van transitverbindingen.

De DINL is bezorgd over het mogelijk aftappen van de verbindingen, omdat dit het vertrouwen en de economie al snel schade toebrengt terwijl het effect op de nationale veiligheid nooit goed onderzocht en onderbouwd zou worden. De stichting is een samenwerkingsverband van internetknooppunt AMS-IX, DHPA, ISPConnect, NLnet, SURFnetDDA en domeinregistratiestichting SIDN; zeven belangrijke organisaties op het gebied van digitale infrastructuur in Nederland.

De organisaties spreken hun zorgen uit naar aanleiding van de recente onthulling van het Oostenrijkse parlementslid Peter Pilz, dat een prioriteitenlijst van de Duitse spionagedienst erop lijkt te wijzen dat transitverbindingen met Nederlandse herkomst door Duitsland mogelijk afgetapt worden. Tegelijkertijd waarschuwt DINL dat ook in Nederland aftappen van transits op de loer ligt.

De minister heeft in het recente debat over de WIV, op vragen van Kamerlid Jeroen Recourt van de PvdA, gezegd dat 'niet de hele AMS-IX zal worden afgetapt', zo meldt de stichting. "Dat suggereert dat de minister zichzelf precies dezelfde bevoegdheden wil toekennen als die nu uit de beschikbaar gekomen informatie naar voren komen, namelijk het kunnen afluisteren van verbindingen in de diepste lagen van internet."

Daarnaast wijst DINL op de recente aanbeveling van de WRR om de internetinfrastructuur te beschouwen als een publiek en beschermd goed. De stichting raadt de overheid aan 'het voortouw te nemen bij een internationale visie op bescherming van de digitale infrastructuur'.

Moderatie-faq Wijzig weergave

Reacties (32)

"De minister heeft in het recente debat over de WIV, op vragen van PvdA kamerlid Jeroen Recourt, gezegd dat “niet de hele AMS-IX zal worden afgetapt”",
Het Kamerlid Jeroen Recourt lijkt niet te snappen dat 'een beetje' aftappen, de volledige integriteit aan van AMS-IX aantast.

Ik vraag me ook af of 'een beetje aftappen' in de praktijk hetzelfde betekend als 'een beetje zwanger'. Je doet het of je doet het niet. Als je het 'een beetje' doet, schept het in de praktijk vaak precedent, om het helemaal te doen.

Dat de Juridische 'zelfcontrole' daarop door een geheime dienst daarop niet werkt bij een geheime dienst, hebben we geleerd uit Amerika, waarin een relatief 'kleine' bevoegdheid om selectief te tappen, gecombineerd werd met een wetsartikel uit de 19e eeuw om de nsa volledige bevoegdheid te geven om ook alle amerikanen af te luisteren.

[Reactie gewijzigd door nul07 op 2 juni 2015 19:25]

Ik denk dat plasterk er wel zeker verstand van heeft. Sterker nog, uitgerekend zijn kennis en politieke welsprekendheid tot het uiterste inzet om zijn bezigheden door te zetten terwijl hij de media sust. Deze bewoording is namelijk ook al eens eerder door hem gebruikt. "Niet iedereen wordt afgetapt" kan ook heel Nederland minus Ronald Plasterk zelf zijn.
Volgens mij is het geven van minder geld de enige manier om de macht van inlichtingen diensten in te perken.

Ronald Plasterk heeft geprobeerd het budget van AIVD te korten maar na het escaleren van de oorlog in Syria en het deelnemen van Nederlanders aan deze oorlog kon de minister niet anders dan toegeven aan de wens van lobbyisten, 2e kamer en een groot deel van het publiek om de korting op het budget AIVD ongedaan te maken.
Ja maar als er andere machten hier profijt van hebben dan gaat er iedere keer net als er zo een beslissing genomen moet worden ergens op de wereld iets escaleren zodat dit niet doorgezet zal worden. Er worden spelletjes gespeeld en wij worden gewoon voor de gek gehouden, ook hier in Nederland.

[Reactie gewijzigd door GranCanaria op 3 juni 2015 12:55]

Hij is meer van de Cowboy hoeden en lekker vakantietjes :)
Nog eventjes en 100% van het Internet-verkeer gaat encrypted over poortje 443. Kunnen ze de tap-spulletjes ook weer op marktplaats zetten.
De meeste internationaal georiŽnteerde bedrijven doen het al, maar ook voor particulieren is het niet zo moeilijk:

Wie verstandig is surft via een betrouwbare vpn-dienst. Dan heb je minder last van Nederlandse-tap wetgeving. [VPN] Internetten via een VPN-provider

Of als je echt een privacy-freak bent of snode plannen hebt kun je tor gebruiken.
Je staat in de karmalijst voor beheer en beveiliging en dan spreek je over 'betrouwbare vpn-dienst'?
nieuws: 'Speciale NSA-afdeling kraakt vpn-, https- en ssh-verbindingen'

Volgens mij bestaan er geen betrouwbare vpn-diensten meer.
Je nieuwsbericht gaat over pptp verbindingen.

Juist in het topic waarnaar ik verwijs,
  • Wordt het belang van een degelijk encryptie protocol uitgelegd.
  • Worden diverse encryptiestandaarden besproken en naast elkaar gezet.
  • Wordt specifiek gewaarschuwd voor het pptp protocol.
  • En worden ook andere voor- en na-delen en de risico's van vpn-providers besproken
Maar je hebt wel gelijk, dat het zoeken van een veilige betrouwbare vpn-dienst die ook bestendig is tegen de lange arm van de overheid, moeilijk is vandaag de dag.

[Reactie gewijzigd door nul07 op 2 juni 2015 20:27]

PPTP is gekraakt, ipsec al iets lastiger. Kwestie van tijd al ik het zo lees. En met alle onthullingen de laatste jaren geloof ik niet meer in veiligheid tegen het tappen van geheime diensten. En mocht je encryptie zelf sterk genoeg zijn dan vinden ze wel iets in de implementatie van de encryptie of ze hacken de vpn-router. De onthulling van de laatste jaren hebben wel laten inzien dat ze hacken op elk niveau.

Daarbij is het altijd nog maar de vraag hoe betrouwbaar de vpn providers zelf zijn, die in amerika zou ik niet vertrouwen, want die vallen onder de amerikaanse wet.

Al met al nogmaals, betrouwbare verbindingen bestaan voorlopig niet meer. Ik denk dat we dan bij quantumencryptie aankomen voor iets betrouwbaars.
Er zijn VPN providers die NTRU encryptie ondersteunen - voor zover bekend onkraakbaar door quantum computers.

Je moet verder ook rekening houden met de kosten van het kraken. Als je geen "target" bent zal men ook niet teveel rekenkracht aan je willen besteden. Als gewone burger mag je je met de huidige encryptie methode dus best veilig rekenen.
OpenVPN met de juiste config is niet door de supercomputers te kraken:
tls-auth ta.key 0
dh dh2048.pem
cipher AES-128-CBC
tls-cipher TLS-DHE-RSA-WITH-AES-128-GCM-SHA256
tls-version-min 1.2
auth RSA-SHA256

En niet vergeten om het CA en server certificaat met SHA256 en een 2048-bit key te maken.

En je kunt ook goedkoop een VPS huren en zelf OpenVPN draaien.
Ter nuance: pptp is gekraakt, ipsec kost nog veel tijd, en OpenVPN is, mits goed geconfigureerd, nog niet te kraken.

Aan de andere kant zal de NSA wel budget genoeg hebben om een rudimentaire quantum computer in te zetten, dus kraken zal ze wel lukken, de truuk zit vooral in het zo moeilijk maken dat ze alleen tijd hebben om de echt interessante data te ontsleutelen en de rest lekker met rust te laten.
Jawel. Als je die berichten leest weet jek dat men vooral veel vorouitgang geboekt heeft in het breken van bepaalde VPN systemen.

O.a. PPTP was al langer totaal gebroken en eigenlijk enkel geschiklt om Netflix USA of BBC vanuit Nederland te kijken. Maar L2TP/IPSec, SSTP, OpenVPN en IKEv2 werden nog steeds als veilig gezien.

Rcentelijk is er meer informatie gekomen (vai de LogJam aanval op TLS) over wat de NSA mogelijk bedoeld. Men weet nu dat een groot deel van de 1024 DHE 'key's van met name Linux/*nix servers niet random genoege priem getallen gebruiken en daarom potentieel gekraakt kunnen worden door 'keys' op basis van deze getallen vooruit te rekenen. Andere 1024 bit keys kunnen hetzelfde euvel hebben. L2TP/IPSec wordt gezien als kwetsbaar tegen deze aanval en en SSTP en OpenVPN ook wanneer DHE of een andere 1024 exchange gebruikt wordt.

Maar SSTP en OpenVPN met sterkere keys of implementaties waarvan bekend is dat de keys met goede 'ramdom genoeg' priemgetallen gemaakt zijn en IKEv2 zijn nog steeds veilig.
Nee hoor, want ze tappen alleen metadata. Encryptie kan niet verbergen op welke tijdstippen je welke websites bezoekt.
Encryptie alleen niet inderdaad, doch met VPN en soortgelijke zaken wordt het wel als snel onmogelijk.

Plus als iemand tapt af op locatie X en kan enkel herleiden dat paketje X van A naar B gaat. Maar Als A een NAT systeem was, is al niet meer zomaar te achterhalen wat er achter A zat.

En bij zaken als chat en email waar de verbinding meestal niet end-to-end is zoals bij websites wel, is encryptie helemaal effectief. Immers men ziet dat enkel dat Ziggo's email server X MB's uitwisselt met HotMail's server maar welke ziggo/hotmail gebruiker het betrof, hoeveel en wat voor email is niet meer te achterhalen.

Encryptie is geen wondermiddel, maar maakt het gelukkig een stuk lastiger.
Nee hoor, want ze tappen alleen metadata
Oeps dat is nogal een vergissing
  • Wat moest worden opgeslagen was wel alleen metadata.
  • Bij tappen gaat het om de inhoud, het geluid van een telefoongesprek, je SMSjes, alle bits van je internet verbinding.
Tappen mag behalve voor radio verkeer nu nog alleen op bestelling met tussenkomst rechter. Nog even en dan mag ook op vaste lijnen worden ingebroken en dat verkeer afgeluisterd en opgeslagen worden.
Kijk eens in je CA store, bij mij staat de "Staat der Nederlanden" tussen. Hiermee is het triviaal om een MitM op ssl uit te voeren. Of doe jij aan certificaat pinning om zoiets te voorkomen?
Maar je moet ergens het internet opgaan. En daar tappen ze dan. Je kan niet met alle websites en diensten over SSL praten. Met een andere vestiging van je bedrijf is je makkelijk alles over een tunnel te laten lopen. Maar dat gaat niet zo makkelijk met de rest van het internet.
Beetje laat: toen het Internetknooppunt in Amsterdam in Amerikaanse handen viel riepen alle privacy belangenclubs al over de risico's (patriot act in de USA), en nu ineens zien we 'risico's??!?.

Overigens tappen de amerikanen natuurlijk ook op grote schaal illegaal af, dus wat dat betreft maakt het weinig uit.
Amsix is niet in Amerikaanse handen maar de Amsix heeft een dochter onderneming in de US. De Amsix zelf valt niet onder de patriot act!
Volgens mij is het helemaal niet haalbaar om zoveel data af te tappen.

Een beetje crimineel heeft toch end-to-end encryptie en valt gewoon daardoor niet onder de doelgroep. Waarom doen ze het dan?
Er zijn vast wel genoeg 'domme' criminelen die via internet stomme dingen doen.
Maar zijn die 'domme' criminelen dan ook de 'gevaarlijke terroristen' die ze steeds gebruiken om dit soort dingen er doorheen te duwen?
Dat is idd nog steeds zo.
je kunt prima end to end encryptie hebben, maar dan kan tappen alsnog interessant zijn;

je weet welke adressen veel met elkaar uitwisselen, die kun je selectief gaan aanvallen/inbreken om zo (ongezien) de communicatie "live" te volgen (het ouderwetse telefoontappen). Daarnaast is het ook wel eens in het nieuws geweest, nu is het mischien nog niet in redelijke tijd te kraken. Maar de kennis kan mogelijk over 5 - 10 jaar ineens wel ervoor zorgen dat het binnen afzienbare tijd te kraken is. Zie bijvoorbeeld de chips die voor bitcoin minen gemaakt zijn, enkele jaren ontwikkeling maakt ineens een gigantische spurt in de specifieke handeling mogelijk met speciale chip, dan heb ik het nog niet eens over quantum computers die nog stukken sneller zullen zijn....

[Reactie gewijzigd door aadje93 op 2 juni 2015 19:34]

Het is prima haalbaar. De Britise geheime dienst heeft dit reeds gedaan. Zij tapte theoretisch zo'n 21 Petabyte per dag af. De data wordt opgeslagen en vervolgens geanalyseerd, gecatalogiseerd en in databases gezet: nieuws: Britse inlichtingendienst tapt petabytes aan data via backbones af
De "even/0" bits opslaan op Server A, de "oneven/1" bits opslaan op Server B. Zo doe ik dat ook altijd.
Waarbij de helft van de tijd op diskarray X en andere helft van de tijd op diskarray Y per server :P
Die Peter Pilz tapt wat af :)

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True