Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 41 reacties
Bron: Europese Unie, submitter: Netsensei

Vandaag is door de Europese Commissie (EC) een voorstel aangenomen voor een richtlijn met betrekking tot de bewaarplicht van verkeersgegevens van datacommunicatie. Deze richtlijn zorgt ervoor dat binnen de hele Europese Unie (EU) een harmonisatie zal plaatsvinden van de verplichtingen van aanbieders van elektronische communicatie, zoals internetproviders of telefoniemaatschappijen, om verkeersgegevens te bewaren. Het voorstel is dat gegevens over vaste of mobiele telefonie een jaar bewaard zullen moeten worden en dat data over internetcommunicatie zes maanden opgeslagen zal moeten worden. Verder bevat de richtlijn bepalingen die stellen dat aanbieders een tegemoetkoming in de kosten kunnen krijgen om te voldoen aan de richtlijn. Nadrukkelijk wordt gesteld dat in de richtlijn is vastgelegd dat niet de inhoud van de communicatie opgeslagen zal worden.

Vooralsnog heeft alleen de Europese Commissie dit voorstel aangenomen. Voordat dit ontwerp een definitieve richtlijn wordt en geldig zal worden binnen de EU, zal deze eerst nog goedgekeurd moeten worden door het Europees Parlement en de Europese Raad (ER). Deze Raad is bezig met de ontwikkeling van een aangepast voorstel om gegevens over het internetverkeer voor een periode van drie jaar te bewaren. Bij het opstellen van het voorstel voor het nieuwe directief is rekening gehouden met fundamentele burgerrechten. Ook is in het voorstel vastgelegd dat speciale regels voor de bescherming van de opslagen data van toepassing zullen zijn. Dit proces zal per lidstaat gecontroleerd worden door nationale organisaties. Volgens de ER is het opslaan van data over communicatiestromen erg belangrijk in de strijd tegen de georganiseerde criminaliteit en terrorisme.

Lees meer over

Gerelateerde content

Alle gerelateerde content (25)
Moderatie-faq Wijzig weergave

Reacties (41)

ff de teller van xs4all bij plaatsen:
http://www.xs4all.nl/bewaarplicht/

en dat is nog niet eens van een volledige maand, niet normaal....
Dat is trouwens niet de hoeveelheid data die XS4all op zou moeten slaan, ze tellen immers alle data, inclusief de inhoud, maar die hoeven ze niet op te slaan. Alleen informatie over wie naar welke sites surft/met welke servers verbinding maakt.

Dat neemt niet weg dat dat nog steeds ondoenlijk is en dat het evengoed te veel data is om fatsoenlijk te doorzoeken.
Zoals je kan zien, gaat het niet om inhoud maar om de headers van de ip pakketjes. Hierin staat welk ip adres op welk tijdstip met welk ip adres contact probeerde te maken.

De hoeveelheden die xs4all weergeeft betreft alleen deze data.
De hoeveelheden die xs4all weergeeft betreft alleen deze data.
Waar blijkt dat uit?
Er staat: "De datapakketten hebben een gemiddelde grootte van ongeveer 630 bytes."
En ook de "Uitgedrukt in CD's" waarde gaat daarvan uit.
Goed.. IP Packet Header :
http://www.erg.abdn.ac.uk...inet-pages/ip-packet.html

20 bytes dus.

Even totaal getalletje van XS4all gekopieerd :
7.147.145.342.136

7147145342136 * 20 = 142942906842720 bytes. Ofwel 130TB.
Even in getal van CDtjes : 142.942.906.842.720 / 734.003.200 ~= 194.744
Stuk minder dan 3 miljoen, maar ik zou niet graag een opslagruimte met 195.000 CDs vullen. Ik zou OOK al niet graag 130 TB schijven aan willen schaffen (wel 's gezien wat dat kost ?). Laat staan nog eens 130 voor de backup. Laat staan dat ik dat met een getalletje 10.75 moet vermenigvuldigen om aan mijn 6 maand te komen; Da's 2.795 terabyte schijven.
Alleen al in physieke omvang moet je daar een apart warenhuis voor hebben.
En als je die boel eenmaal angeschaft hebt, en huur betaalt voor 't warenhuis, dan moet je dag in dag uit de boel draaiende houden (2, 3 nieuwe sysadmins), electriciteit toevoer regelen, koeling regelen, etc. enz.

Ze hebben daar gewoon geen benul van hoeveel dit soort dingen kost.
Zie het zo: Het is WEL goed voor de werkgelegenheid en de aandelen van harddiskfabrikanten, en dus de economie!
</cynisch>
misschien zouden we wel voor moeten zijn. als je de teller immers bekijkt lijkt het me dat dataretentie op deze schaal zo ongeveer de beste garantie dat ze nooit iets relevants gaan terugvinden - nog beter beschermd door de hoeveelheid data!
Dan mag je als provider dus rekening gaan houden met een kleine 92.716 terrabyte aan gegevens per jaar. Die data zul je ook nog eens moeten backuppen en een dikke raid config lijkt me ook niet geheel overbodig. Laten we uit gaan van schijven van een halve terrabyte. Dan zit je alsnog met minstens 45.000 hardeschijven. Dan hebben we het nog niet eens over een raid config gehad. Laten we eens uit gaan van een simpele mirror dan zit je al op 90.000 hardeschijven. Houdt rekening met een aanzienlijke uitval iedere week. Dan mag het ook nog eens niet allemaal op 1 locatie bewaard worden gezien het risico op brand of andere rampen. Reken maar op 2 flinke server parken per provider. 180.000 hardeschijven per provider lijkt me geen onrealistisch uitgangspunt.

Ik zie Donner nogsteeds voor me met een cdrom'etje; Kan je het internet van afgelopen jaar op dit cd'tje branden.
No flame intended en het is waarschijnlijk al eerder gezegd, maar dit is dus een mooi voorbeeld van waarom de bevolking van Nederland en elk ander verstandig land "neen" heeft gekozen bij de Europese grondwet.
De weerstand van vele voorstellen (en ook vooral dit voorstel), in combinatie met het feit dat deze voorstellen toch gewoon aangenomen worden. Politici weten kennelijk niet wat praktisch is.

Edit @ dikkechill:
offtopic:
Ja dat was natuurlijk destijds een van de middenpunten van de discussie, maar probeer dat maar eens overtuigend over te brengen als ongeveer 1/4 (toch?) van de 2e kamer hier heel anders over denkt.
Het wantrouwen is begrijpelijk, wie zegt dat als de EC meer rechten krijgt hier dan wel goed mee om springt? Neem dat in combinatie met de hoeveelheid vertrouwen die we dezer tijden in de politiek hebben. Maar ik zeg natuurlijk ook niet dat het nu wel goed geregeld is.
Overigens heb je wel gelijk, maar dat wil niet zeggen dat er niet over te twisten valt.

Weer ontopic: Er zou ook een regeling komen waardoor er met 1 miljoen handtekeningen uit 1 land een bepaald voorstel van de baan kon worden geveegd.
Als je nu kijkt naar de teller van dataretentionisnosolution.com staat deze nog onder de 50.000, ondanks alle aandacht van de IT-media op dit onderwerp en de tijd dat deze teller al in de lucht is, lang geen 1 miljoen dus.
En welke beroepssectoren in Nederland hebben 1 miljoen of meer medewerkers? In het totaal maar 3 van de 14, en dat is dus nog op een vrij hoog niveau bekeken (Bron: CBS).
De kans voor een land als Nederland om op een dergelijke regeling beroep te doen is dus vrij klein, tenzij het een onderwerp betreft dat echt iedereen aangaat (dus ook de consument). Deze set van richtlijnen gaat duidelijk niet iedereen aan, maar dat wil niet zeggen dat het evengoed een slecht doordacht voorstel is, wat velen onnodige euro's zal gaan kosten als het doorgevoerd wordt.
Niet zo praktisch dus.
De bevolking heeft "nee" gezegd? Ik heb "ja" gestemd. Ben ik nu geen bevolking van Nederland meer?
De bevolking heeft op dezelfde manier "nee" gezegd als de bevolking deze regering gekozen heeft: in beide gevallen zijn er veel mensen die daar niet voor hebben gekozen.
Helaas is deze veronderstelling niet helemaal juist. De 'grondwet' gaf juist meer macht aan het europese parlement en zorgde voor meer transparantie bij besluitvorming.

Juist doordat de grondwet er niet is, kunnen allerlei zaken nog door ministers van lidstaten worden bepaald, zonder dat het europese parlement hier iets over heeft te zeggen. Als ze al iets heeft te zeggen, is dit in veel gevallen slechts een advies dat ze kan uitbrengen.
En degene die informatie naar de dader zoekt, zal van alles tegenkomen van data: plaatjes, muziek, filmpjes, oh en .... leuk hoor.
Hm, iemand enig idee wie in aanmerking zou komen om de HD's te leveren? Die aandelen gaan skyrocken als dit er door komt :+
Nadrukkelijk wordt gesteld dat in de richtlijn is vastgelegd dat niet de inhoud van de communicatie opgeslagen zal worden

Dat zou toch al heel veel moeten schelen. Alleen het tijdstip en de wederzijdse IP adressen zouden dan moeten worden vastgelegd. Eventuele downloads hoeven dus niet te worden opgeslagen, netzomin als de inhoud van b.v. e-mails.
Dat scheelt inderdaad wel. Maar het blijft onnoemelijk veel. Twee IP adressen, het tijdstip, de poorten, het protocol, misschien is dat genoeg. Als je de hele header opslaat (55 bytes) dan moet xs4all nu al 173TB opslaan. Ok, dat is op zich te doen, maar dat is al in 16 dagen tijd. Elke dag komt er dus 10TB bij. Stel dat je alles 3 jaar moet opslaan (zonder ontdubbeling en compressie) dan kom je op 10 petabyte. En dat is alleen voor xs4all. En wat heb je er aan? Je kunt zien dat een bepaalde computer op een bepaald tijdstip een verbinding heeft gemaakt met een andere computer. Niet wat er verstuurd is, enkel de verbinding. Enorm spannend :)
al die data... en je bent nog geen stap verder om te bewijzen welke persoon er op dat moment achter die computer zat...
Nadrukkelijk wordt gesteld dat in de richtlijn is vastgelegd dat niet de inhoud van de communicatie opgeslagen zal worden.
En wat is inhoud dan precies?
Moet alleen IP header worden opgeslagen? Of toch ook TCP header? Of ook HTTP header (bijvoorbeeld)?
Moeten from en to email adressen worden opgeslagen? Wat gebeurd er als ik SSL/TLS gebruik?
Voor mijn idee moet je wel de http header opslaan, anders weet je nog niet welke sites bezocht worden. Tenslotte zullen de grote servers (yahoo enzo) vele duizenden sites hosten op 1 ip ades. Zelfde geld voor email headers. Zonder kun je alleen constateren dat iemand een mailtje heeft verstuurd via de mailserver van zijn provider. Dat is nog eens interessant.

Dat betekent overigens wel dat de ISP's al die datapakketten ook nog eens moeten scannen op mogelijke http headers. Dat levert dus niet alleen een aanslag op de opslagcapaciteit.
Zelfde geld voor email headers.
Maar waar stopt niet-inhoud en begint inhoud? Een email subject is wat mij betreft al inhoud, maar het zit wel in de header.

En hoe zit het met webmail (gmail, hotmail, etc)?
Volgens mij gaat het idd alleen om het bijhouden van de conecties (tijdstip, type verbinding, heromst, doel) aangezien het opslaan van alle data onmogelijk is.
Nu heb ik echter mijn vraagtekens bij het nut van deze uit de kluiten gewassen logfiles.

Wat willen ze hier mee bereiken ?

Zonder bewijs (uitgevoerde handelingen en / of verzonden data) kun je weining beginnen.
Dit principe kan alleen werken indien alle schakels in het systeem geintegreerd worden en dat gaat nooit gebeuren, want dan zou al het interne verkeer van netwerken ook moeten worden gemonitord.

Stel iemand verzend terroristische data over het internet naar een ander.
Je weet dat ze contact hebben gehad, maar weet niet wat er is verzonden.
Dit lijkt me toch wel een grote tekortkoming, want zonder bewijs kun je niks hardmaken en als je het niet centraaal opslaat is het een peuleschil voor elke crimineel om de sporen van de data in kwestie uit te wissen en heb je geen poot om op te staan.

Nog iets ... je weet welke verbindingen er tot stand zijn gebracht ... maar als deze vanuit een publiek netwerk afkomstig zijn waar de netwerkbeheerder al dan niet enkele security nalatigheden heeft laten zitten ... en bijvoorbeeld niks meer wordt gelogd.
Zo zouden op allerhande manieren wel methoden kunnen worden bedacht om het systeem te omzeilen.

In deze twee gevallen zal het huidige voorstel dus helemaal niks toevoegen t.o.v. de huidige gang van zaken.
Criminelen zijn ook niet achterlijk, die zijn er doelbewust op uit om dit vangnet te omzeilen.
Zo zullen zoals zo vaak niet de beoogde doelgroep zoals criminelen, terroristen worden gecontroleerd, maar de normale (semi onwetende) burgerbevolking welke geen maatregelen treffen om hun internet gedrag te maskeren.

Kom ik bij het volgende punt ... wie is de doelgroep ... de huidige vorm van dit voorstel kan namelijk niet de contend boven water toveren, alleen interactie historie.
Het lijkt me eerder een tool welke ingezet wordt om masaal te kunnen visualiseren waar van welke diensten gebruik wordt gemaakt.
Dit zou dus de heilige graal zijn voor stichtingen die 'illegale' diensten en content bestrijden.

Het werd eerder al terecht opgemerkt volgens mij ... hebben we straks te maken met minitruth i.p.v. justitie ?

Misschien een beetje uit z'n verband getrokken, maar wat is werkelijk het doel en wat wordt bereikt met deze implementatie ?
Het lijkt mij dat er weer mensen met bepaalde belangen hun invloed binnen de EC laten gelden ...
Volgens mij gaat het idd alleen om het bijhouden van de conecties (tijdstip, type verbinding, heromst, doel) aangezien het opslaan van alle data onmogelijk is.
<snip>
Stel iemand verzend terroristische data over het internet naar een ander.
Je weet dat ze contact hebben gehad,
Niet eens. Je weet dat A verbinding heeft gemaakt met een SMTP server, dat deze server verbinding heeft gehad met een andere SMTP server, en dat B verbinding heeft gehad met een POP server. Meer is er niet uit de logfiles te halen, als je geen data mee gaat loggen. De kans dat A en B een directe verbinding hebben is klein, bijna niemand heeft dat. (Moet je gaan port forwarden in je router, bla, bla).
Niet eens. Je weet dat A verbinding heeft gemaakt met een SMTP server, dat deze server verbinding heeft gehad met een andere SMTP server, en dat B verbinding heeft gehad met een POP server. Meer is er niet uit de logfiles te halen.
Wat probeer je hier te ontkrachten dan ?
Dit is toch wezenlijk wat ik zeg ... de logfiles tonen aan dat er interactie is geweest ... de toedracht hier toe blijft altijd voor intrepetatie vatbaar.
De kans dat A en B een directe verbinding hebben is klein, bijna niemand heeft dat. (Moet je gaan port forwarden in je router, bla, bla).
Ik heb nooit geclaimt dat er een rechtstreekse verbinding moet zijn, maar het is duidelijk dat indien zowel de zender als ontvanger in private netwerken actief zijn welke niet gelogt worden dat het niet uitmaakt hoeveel schakels zich tussen beide bevinden.
De belangrijke start en eindschakel zijn dan namelijk niet traceerbaar.
Denk maar eens aan VPN, ssh en overige encryptie technieken ...
De internet (mis | ge)bruikers met criminele inslag zullen deze weg inslaan en dus schieten we er netto niets mee op, alleen de burger welke gewoon doorgaat in hun vaste patronen gaan hun privacy inleveren ...
Wat probeer je hier te ontkrachten dan ?
Dat je kunt waarnemen dat A contact heeft gehad met B.
Ik splitste een mailtje op in 3 datastromen, die zonder verdere gegevens ongerelateerd zijn. Tussen de twee SMTP servers gaan bakken data heen en weer, je kunt nooit zeggen of daar een mailtje van A aan B bij zat. Je neemt waar dat er data van A naar de SMTP server gaat, en in de volgende seconde verstuurd de SMTP server data naar 100 andere SMTP servers. Waar is dat (hypothetische, want je weet niet eens de aard van de data) mailtje nou naartoe?
Dat je kunt waarnemen dat A contact heeft gehad met B.
Ik splitste een mailtje op in 3 datastromen, die zonder verdere gegevens ongerelateerd zijn. Tussen de twee SMTP servers gaan bakken data heen en weer, je kunt nooit zeggen of daar een mailtje van A aan B bij zat. Je neemt waar dat er data van A naar de SMTP server gaat, en in de volgende seconde verstuurd de SMTP server data naar 100 andere SMTP servers. Waar is dat (hypothetische, want je weet niet eens de aard van de data) mailtje nou naartoe?
Ik begrijp nu waar je op doelt ... wat jij wilt zeggen is, wat als je een mailtje stuurt naar een mailserver welke de mail enige tijd vasthoudt en later doorstuurd.
Wel, in het ideale geval maakt dit niet uit, want in de mailheader worden unieke-id's geplaatst welke dus het hele traject zijn te traceren in hun logfiles.
Dit is echter wel te vervalsen, maar de mailserver welke de mail ontvangt weet altijd van welke server hij de mail heeft ontvangen, de rest van de id's en servers kunnen allemaal vervalst zijn.
Op basis van dit gegeven en de gelogde gegevens moet het mogelijk zijn om het traject te reconstrueren.
Zo is dus niet het aantal schakels van belang, alswel het feit of de zender en ontvangende server deel uitmaken van het gecontroleerde publieke domein zoals ik eerder aangaf.

Wel ben ik het met je eens dat deze non lineaire vorm van dataverkeer de nodigde haken en ogen oplevert en dat onderstreept eens te meer hoe zinloos de voorgestelde opslag van internet en telefonie gegevens is.
Tja, dan moet er eerst maar eens bekend worden wat er gelogd moet worden. Gaat het om de low-level verbinding (TCP/IP headers, die vervolgens weinig zeggen over wat er voor interactie geweest is) of over applicatie-niveau (mail logs die zender, ontvanger en zo bevatten, web server logs die aangeven welk ip adres welke pagina's heeft opgevraagd)?
Tamelijk verschillend, en dat levert wel meer aanknopingspunten over wat er gebeurd is ("bewijs" wil ik het nog niet echt noemen), maar het moet wel per protocol en applicatie geimplementeerd worden. Een webmail server zal intern moeten loggen welke gebruiker welk mailtje leest want aan het web-verkeer is alleen te zien dat een gebruiker naar de webamil server gegaan is, niet wat hij daar gedaan heeft.
En dan blijven er zwakke punten, want je europese provider zal dan alleen loggen dat er vanaf jouw ip een verbinding met gmail geweest is, maar wat gmail intern gedaan heeft, da's buitenland en dus niet te traceren voor de europese instanties. Weten ze nog niet van welke terroristen jij mail ontvangt, dus wat kunnen ze er mee? (en dan heb ik het nog niet eens over encryptie, vpn's etc wat door anderen al genoemd is)
Zul je net zien dat dit voorstel erdoorgehamerd gaat worden op een landbouwtop :)

Maar goed, best wel apart dat ze niet doorhebben dat ze dus ongeveer 1/12e van het totale internetverkeer willen gaan opslaan. Als een query al klaar is in die 6 maand zou het mooi zijn.
Beetje onzinnig idee dit

N.B. gemiddelde packet-grootte is volgens XS4all site 630 Bytes en een packet-header is ongeveer 55 Bytes. Dus ongeveer 1/12e.
eigenlijk zou je alleen de SYN en FIN packets hoeven opslaan .. het gaat om de verbinding die je maakt, niet wat je met de verbinding doet.
Dat geldt alleen voor TCP streams. Een UDP verbinding heeft geen SYNC, FIN packets.
Je kan trouwens ook data versturen mbv PING packets of een TCP stream opzetten zonder SYNC en FIN packets.
Om alle verbindingen vast te legen zal je dus alle packets moeten registreren of aan connection tracking moeten doen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True