Nederland kan vanaf juli hosters beboeten die kindermisbruik niet verwijderen

Ik vraag me dan ook af hoe die melding wordt gedaan. Telefonisch of via e-mail? Je zou toch minimaal moeten kunnen verifiëren dat de hoster daadwerkelijk op de hoogte is en dat een e-mail niet ergens in de spam is beland. Als het via telefonisch contact gaat dan volgen ze waarschijnlijk ook de openingstijden van het bedrijf en moet het dus niet heel lastig zijn om binnen enkele uren actie te ondernemen.

[edit] Vraag me ook af of ze letterlijk verwijderen bedoelen, of dat offline halen ook al voldoende is. Het lijkt me dat je ook bewijsmateriaal vernietigd als je het letterlijk verwijderd.

[Reactie gewijzigd door 3raser op 23 juli 2024 16:01]

12 uur lijkt me ook aan de krappe kant. In de praktijk dwing je providers hier bijna mee om het proces te automatiseren, met een grote kans op misbruik tot gevolg.

Daarnaast wordt hiermee toch ook bewijslast vernietigd lijkt me? En als een schijf encrypt is, dan moet die hele schijf geformatteerd worden.

Ja wel vreemd inderdaad. Ik verhuur mijn schuur ook aan dealers, die betalen flink voor die paar vierkante meter. Zou wel vreemd zijn als dat niet zou mogen.

Het "einde van usenet/nieuwsgroepen" is al zo vaak geroepen. Echter, het bestaat nog steeds, ook in de US. Dit soort "content" zal ook niet gaan verdwijnen, hoogstens meer verborgen/ge-encrypt worden.

En als het al het "einde van binaries" op Usenet zou betekenen, dan is het gewoon een kwestie van terug naar de basis: text-only.

Stel je leent je digitale camera aan iemand uit. Die persoon maakt misbruik van de situatie en filmt kinderporno, en geeft de camera weer aan je terug met de opnames nog steeds op whatever opslag medium gebruikt wordt.

Het is in jouw bezit, jij bent medeplichtig als je het niet aangeeft en op aanvraag van de politie direct verwijdert.

Is deze situatie anders? Het wordt ergens opgeslagen op een opslagmedium in het bezit van de hostingprovider. Diverse neem ik aan, want backups. Dat laatste zal het proces extra moeilijk en kostbaar maken waardoor men liever lui dan moe is en wetgeving nodig is voor iets wat eigenlijk een complete no-brainer zou moeten zijn.

Hostingbedrijven zijn nog steeds niet verantwoordelijk voor wat gebruikers doen. De hostingpartijen krijgen nu alleen verantwoordelijkheid om acties uit te voeren binnen een termijn. En daarop (de acties (niet)uitvoeren) kunnen ze verantwoordelijk gehouden worden.

Omdat het een belachelijke eis is maar die hebben ze er door onkunde toch door gekregen.

Er mist in het nieuwsbericht eigenlijk motivatie waarom dit is en @stijnos1991 beantwoord die vraag al:

Je hebt hosters wiens doelgroep "dingen die je niet zomaar ergens gehost krijgt" is. Denk bijvoorbeeld dus aan kinderporno, maar ook illegale goksites, of wat marktplaatsen met gesloten data

Momenteel kunnen we daar niet zoveel aan doen en is Nederland redelijk vaak een goed land om dit te hosten. Immers geen regels hier tegen, en wel veel rechten dus je server mag niet zomaar geraid worden. Met deze wetgeving wordt het dus snel niet meer aantrekkelijk om het hier te doen.

Als steeds meer landen (of bijv op EU niveau) dit regelt, wordt het steeds lastiger.

Omdat het technisch niet zo simpel en altijd duidelijk is. Als webhoster heb je niet in alle gevallen toegang tot de bestanden van je gebruikers.
Bij een managed hosting, waar je als webhoster de server beheert, kan je gewoon inloggen en het bestand verwijderen. Maar als het over unmanaged hosting gaat, heb je als webhoster geen directe toegang tot de machine van de gebruiker - daar zijn wel omwegen naar, maar daar kruipt wel werk in. Concreet kan je in die gevallen het volgende doen:

• De server herstarten en door middel van een live CD of rescue omgeving de disk mounten en de betreffende file opzoeken en verwijderen
• Het wachtwoord van de server resetten of in single user mode zetten (als dat mogelijk is) en zo vervolgens inloggen en de file verwijderen.

In beide gevallen is het een vrij invasief proces waarbij downtime onstaat voor de gebruiker - als die effectief illegale content bevat is dat zeker gerechtigd, maar als er ook veel legale inhoud op staat is ook dat getroffen.
Wanneer het ook over unmanaged hosting gaat, weet je ook niet wat er juist op de machine draait en moet je je klant vervolgens informeren dat je illegale content verwijderd hebt én de login van de machine hebt omzeild of gereset, wat impact kan geven op applicaties en dergelijke. Maar mogelijk is er een specifieke procedure voor het opstarten van de machine die je zelf niet kent als hoster en dus extra downtime veroorzaakt hierdoor.
Daarnaast kost het daarnaast ook gewoon moeite om uit te vogelen waar iets staat. Gebruikt je klant een simpele Apache/Nginx dan vind je dat zo terug, maar als het een wat exotischere setup is ben je al snel heel wat tijd kwijt.
Uit mijn ervaring als iemand die enkele jaren bij een grote webhoster gewerkt heeft, gok ik toch dat dit proces makkelijk zo'n 15-20 minuten in beslag zou nemen. Ik zou als voorzorgsmaatregel ook een snapshot van de server zelf nemen, en dan neemt het nog meer tijd in beslag.
Uiteindelijk is het zo dat als de disk encrypted is, je ook als webhost er niets aan kan doen. Dan kan je niet aan het bestand aan en het dus niet verwijderen.

Het is dus een zeer tijdrovende klus als webhoster om dit te doen, te onderzoeken en de impact voor je klant (die mogelijk niet technisch genoeg is, en gewoon gehackt is) te beperken.

In de praktijk zie ik het eerder gebeuren dat je als webhoster gewoon de machine ofwel uitschakelt, het netwerk van de machine uitschakelt, of de firewall op poort 80 en 443 dicht zet tot het opgelost is, zodat de klant het zelf kan oplossen. Dat is ook hoe ik het zelf zou aanpakken - dan is het wel niet verwijderd, maar haal je als webhoster ook niet al het werk en de verantwoordelijkheid op je dak mocht er bij het verwijderen iets mislopen.

Het uit de lucht halen van een site als hoster is een relatief simpel klusje. En er is altijd iemand aanwezig in een datacentrum. Voor normale kantoortijden lijk 12uur erg lang, maar een hoster is een 24uurs service. Als dit soort berichten in een high-prio inbox komen kunnen dit soort dingen in theorie in minuten worden geregeld.

Toevallig gisteren een korte docu op youtube gezien over bulletproof hosters en zelfs zij schijnen deze troep niet op hun servers te accepteren.

What Is BulletProof Hosting?
YouTube: What Is BulletProof Hosting?

Dat is inderdaad wel knullig.

Het beste zou zijn geweest "permanent verwijderd" in plaats van "ontoegankelijk"

Maar wellicht zit er een juridische grondslag achter mocht er een zaak van komen dat het wel "beschikbaar" moet zijn als bewijsmateriaal?

Ik kan zowel hier als hier het woord onbereikbaar niet vinden.

Valt wel mee hoor. Er zijn bij hosters eigenlijk altijd mensen paraat. Zowel fysiek aanwezig en remote op afstand. Het lijkt spectaculair, maar in praktijk wordt er voor andere onderwerpen gewoon al zo gewerkt. De meeste hosters kunnen nu al dit soort requests in gemiddelde omstandigheden <30min verwerken.