KPN: wij doen geen deep packet inspection op inhoud

Hoewel KPN bevestigt deep packet inspection op zijn mobiele netwerk toe te passen, ontkent de telecomoperator paradoxaal genoeg het dataverkeer inhoudelijk te bekijken. KPN zegt alleen naar de headers van een ip-pakketje te kijken.

In een vraag- en antwoordsessie met investeerders deze week liet Marco Visser, directeur van KPN Mobiel, weten dat het telecombedrijf deep packet inspection toepast op mobiel dataverkeer. De omstreden technologie zou zijn toegepast om de WhatsApp-penetratie bij Hi-klanten in kaart te brengen.

KPN-ceo Eelco Blok liet dinsdag, tijdens een toelichting op de strategie tot 2015, nog cijfers zien over het WhatsApp-gebruik. Deze gingen tot negen maanden terug. Hieruit zou onder meer blijken dat 85 procent van de Hi-klanten WhatsApp gebruikt. Uit de uitspraken kon worden afgeleid dat KPN al maanden het mobiele-netwerkverkeer analyseert met behulp van deep packet inspection.

In een donderdag uitgegeven reactie op alle berichtgeving hierover stelt KPN dat het bedrijf dpi heeft gebruikt om het soort dataverkeer te analyseren om de opkomst van WhatsApp te analyseren. "KPN kijkt niet naar de inhoud van berichten", zegt woordvoerster Liselore Stuut van KPN.

De woordvoerster kon tot dusver niet verduidelijken welke betekenis KPN precies geeft aan dpi, maar voorlopig kan worden geconcludeerd dat KPN enkel naar de headers van ip-pakketjes kijkt om het soort netwerkverkeer te herkennen. KPN kon tegenover Tweakers.net nog niet aangeven of er ook alternatieve manieren zijn onderzocht om dat inzichtelijk te krijgen. KPN zegt op dit moment te onderzoeken of alle regels voor het bewaren van analysegegevens zijn nageleefd.

Bits of Freedom stelt dat KPN mogelijk in strijd met de wet handelt en heeft op zijn website een stappenplan gepubliceerd om aangifte te doen tegen KPN.

IT-banen

Reacties (248)

Wunk 12 mei 2011 23:03

DPI lijkt me nogal onwaarschijnlijk, is erg duur op zoveel dataverkeer.

Het lijkt me realistischer dat ze sflow/netflow gebruiken, waarmee 'samples' worden genomen per X pakketjes aan data. En van deze pakketjes worden alleen de headers bewaard, vervolgens kun je vrij nauwkeurig inzien wie wat voor type pakketje waarheen heeft gestuurd en hoeveel dat er ongeveer zijn geweest zonder de daadwerkelijke inhoud in te zien.

Vervolgens filter je dus die headers op een bepaalde poort of een set IP's van de whatsapp servers, en voila. Een kant en klare lijst met relatief accurate (het blijven samples van grotere datastromen, dus 't is nooit helemaal compleet) statistieken over welk IP wanneer gebruik gemaakt heeft van whatsapp.

Elke moderne (enterprise) router heeft deze optie, voor cisco is dat netflow, voor andere vendors vaak het (open) sflow..

Maar goed, dat is mijn theorie

En maak je geen illusies, elke provider doet dit al. Niet om jou te bespioneren, maar om inzichtelijk te maken wat er nou eigenlijk over het netwerk waarheen gaat, onmisbaar bij troubleshooting, abuse, uitbreidingsplannen, etc..

Dus de 'We zijn hiermee voor zover bekend de eerste ter wereld' reactie van KPN is een beetje onzin, elk enterprise netwerk heeft dit soort tools draaien.

[Reactie gewijzigd door Wunk op 25 juli 2024 16:12]

Anoniem: 14038 @Wunk • 13 mei 2011 01:30

Het grote verschil is dat ze hiermee investeerders lekker proberen te maken voor een nieuw verdienmodel wat feitelijk de net-neutraliteit om zeep helpt. (Dit was volgens Verhagen overigens geen enkel probleem.)

Komt nog eens bij als je dat verdienmodel gaat baseren op 'samples' van pakketjes er eerst aangetoond moet worden dat dit binnen de redelijkheid (of wellicht absoluut) een prijskaartje aan gehangen mag worden. Dat kan nog redelijk juridisch ingewikkeld worden.
Mocht het zo zijn dat ze met absolute zekerheid alle data pakketten kunnen duiden dan zit je duidelijk met een privacy probleem. (Maar met de gemiddelde digibetische nederlandse rechter weet je het nooit.)

mrlammers 13 mei 2011 10:17

Je hebt Shallow Packet Inspection, waarbij je naar de headers kijkt. Zie bijvoorbeeld ook: http://en.wikipedia.org/wiki/Stateful_firewall
In principe is dit ruim voldoende om statistieken te verzamelen en de dienstverlening aan te passen op het gebruik. Je mag aannemen dat de KPN hier baat bij zou hebben en dat ook zal doen als de wet dat toestaat. Dat lijkt me geen probleem.

Het probleem is Deep Packet Inspection, waarbij je naar de inhoud kijkt. Er zijn gewoon wetten die dit verbieden. Want wat doe je eigenlijk precies met DPI?

Deep Packet Inspection gaat over het bekijken van de payload. Elektronisch dataverkeer tussen zender en ontvanger wordt inhoudelijk geanalyseerd. Dit gaat verder dan de inspectie van afzender- en ontvangeradres zoals routers dat voor het verder leiden van de gegevens noodzakelijkerwijs moeten doen. Deze info is NIET relevant voor de dienstverlening van KPN en volgens de wet mag de KPN deze informatie dus helemaal niet verwerken. Het is zelfs in strijd met hun eigen Algemene Voorwaarden.

Daarnaast is het toepassen van DPI van de KPN (en God-wie-weet-nog-meer?) de eerste stap naar systematische internet censuur en einde netneutraliteit:
Als ook de inhoud van de pakketjes bekeken wordt, en op basis van de inhoud verschillend behandeld worden: geweigerd, gekopieerd naar een andere ontvanger of met een andere prioriteit worden doorgestuurd, dan is het hek van de dam!

Ik stel voor dat de KPN eens goed nadenkt over wat ze aan het doen zijn. Willen we wereldwijde praktijken zoals in China? Daar wordt DPI gebruikt om bepaalde sites te blokkeren die volgens het gezag schadelijk zou zijn voor de bevolking. Dit gaat dan niet alleen over pornografie, maar ook informatie over religie, politiek en zelfs het nieuws!

Lijkt me niet wenselijk... in strijd met de wet en zelfs levensgevaarlijk...

Check dit: https://www.bof.nl/2011/0...e-te-doen-tegen-aftappen/

Supernatural C 12 mei 2011 17:02

de header kan beter zijn: KPN: wij doen >nog< geen deep packet inspection op inhoud

met andere woorden waarom zou ik dit geloven, ze hebben het gebruik ook een knappe tijd verborgen gehouden

Rob Coops @Supernatural C • 12 mei 2011 17:09

Inderdaad zelfs als ze de data niet officieel bekijken er is totaal geen enkele reden om aan te nemen dat ze die gegevens niet opslaan, of dat er niemand op het idee gekomen is om eens een paar bekende mensen in het systeem op te zoeken en specifiek hun data toch wel even bekijkt.

Hoe dan ook als een provider een zo controversiële techniek als deep packet inspection 9 maanden lang gebruikt om naar wat dan ook te kijken dan is dat toch een zeer ernstig iets zeker als consument is er totaal geen enkele reden om aan te nemen dat men bij KPN niet precies het zelfde doet om bijvoorbeeld eens in kaart te brengen hoeveel mensen gebruik maken van bepaalde services van af hun computer...

Deep packet inspection is iets dat alleen gebruikt hoort te worden door bijvoorbeeld een bedrijf dat uitgaande/binnenkomende data in de gaten wil houden om er zeker van te zijn dat bijvoorbeeld bepaalde uitgelekte informatie op een simpele manier herleid kan worden naar de bron dan wel een binnen komend virus op een simpele manier gedetecteerd kan worden.
Ik weet dat er bij ons in het netwerk een flink aantal dozen staan die dit soort werk doen simpel weg om gevaarlijke payloads ook binnen het vertrouwde netwerk te kunnen onderscheppen.

Benjamin- @Rob Coops • 12 mei 2011 19:05

De vraag is dan ook, hoelang duurt het voordat de politiek zich er dan mee gaat bemoeien.

Dit alles is onder het mom van "wij willen controleren wat onze klanten doen", daar zijn providers niet voor, zij bieden in dit geval mobiel internet.
Het is KPN's recht om meer te vragen voor grotere databundels en ook om de snelheid van de connectie omlaag te schroeven (uiteraard voor nieuwe klanten) zodat dingen zoals Skype gewoon niet bruikbaar zijn.
Maar om nu te zeggen, jullie mogen geen messaging apps gebruiken zoals Whatsapp, want dit is slecht voor onze omzet, is natuurlijk belachelijk. Wat krijgen we straks? Je mag niet meer emailen?

Maargoed ik denk dat KPN hiermee alleen het gat tussen zichzelf en de gemiddelde consument alleen nog maar groter maakt. KPN is natuurlijk al de duurste en is vooral populair bij zakelijk gebruik, maar nu kunnen ze het helemaal schudden.

Xubby @Benjamin- • 12 mei 2011 21:09

Deep packet inspection gaat komen, lijkt het. Als het niet om de ene reden is, dan wel om de andere. Het begin is er, nu de reacties afwachten.
En dan zijn we er net zo erg aan toe als de Oost-blokkers 30 jaar geleden onder de Stasi, KGB enz.
De EU bevordert democratie in de wereld, zeggen ze zelf. Die wereld is dan niet de EU zelf, langzaam aan.

Anoniem: 197965 @Xubby • 13 mei 2011 09:21

Mocht je willen. De stasi bijvoorbeeld mocht heel wat minder dan onze opsporingsorganisaties vandaag de dag, alleen hebben wij dat niet door met zijn allen. Ik geloof dat Amnesty daar wel eens een goed rapport over heeft geschreven.

Anoniem: 119722 @Anoniem: 197965 • 13 mei 2011 10:04

Mocht je willen. De stasi bijvoorbeeld mocht heel wat minder dan onze opsporingsorganisaties vandaag de dag, alleen hebben wij dat niet door met zijn allen. Ik geloof dat Amnesty daar wel eens een goed rapport over heeft geschreven.

Dat is niet zo vreemd en logisch want we zijn 22 jaar verder. Technieken en hardware zijn verbeterd. Ik vind die deep packet inspection ook weer helemaal niets. Het geeft weer eens aan hoe ver wij zijn afgezakt. Afgezakt in privacy. De burger mag niets. De overheid en het bedrijsleven alles. Denken boven de wet te staan.

De vraag om aangifte te doen tegen KPN in deze is geheel terecht!

[Reactie gewijzigd door Anoniem: 119722 op 25 juli 2024 16:12]

Anoniem: 197965 @Anoniem: 119722 • 13 mei 2011 11:02

Helemaal met je reactie eens. De burger let niet op zijn privacy, herhaalt wat de overheid hem voorschotelt, namelijk dat hij niets te verbergen heeft en denkt dat het wel goed zal komen.

Ook eens dat we technologisch verder zijn dan 22 jaar terug. Maar toch, onze speurneuzen kunnen makkelijker een telefoontap regelen dan een stasi beambte dat kon. Die moest bijvoorbeeld nog naar een rechter.

Ondertussen luisteren wij in nederland meer telefoons af met onze 17 miljoen inwoners dan in de VS gebeurt met zijn 400 miljoen burgers.

Maar ik zie het maliveld niet vollopen hoor. Oh nee. U kunt gerust gaan slapen roept Den Haag en iedereen geloof het verder wel. Sterker, zelfs toen Teeven stelde dat encryptie verdacht gedrag is waren de reacties lauw. Als de overheid het vaak genoeg herhaalt, dan zul je zien dat de burger dat als waarheid gaat zien.

BernardV @Benjamin- • 13 mei 2011 01:03

Over je mag niet meer e-mailen... er is wel eens een suggestie geweest om belasting te heffen op e-mail. Zie bijvoorbeeld nieuws: Belastingplan e-mail en sms 'slechts een suggestie'

analog_ @Rob Coops • 12 mei 2011 18:54

De officiele redenen dat ze dat ook doen is omdat een ISP gebonden is aan data retentie wetten waaronder de HEADER valt, gelieve dus eerst het europese rapport hierover op te na te slaan voor het gebrul. Mensentaal versie.

edit: @hieronder: Als je headers 'inspecteert' kan je dankzij de destination + port usage meer dan genoeg opmaken. Je kan prima aan de hand van de header (lees: iana port allocation) weten dat het om whatsapp gaat, de inhoud boeit je uiteindelijk niet of ip destination/source range van whatsapp servers. Deep packet inspection is maar een goochel term voor 'inkijken' in een bepaalde hoeveel data, of dat op l3/4 of l7 gebeurt, ze weten het toch. Daar los van kan je dmv. statistiek + protocol analyse prima nagaan hoeveel berichten het er ~ongeveer zijn, aantal users, activeiteit en dergelijke.

[Reactie gewijzigd door analog_ op 25 juli 2024 16:12]

Kees BOFH @analog_ • 12 mei 2011 21:02

header valt daar niet onder, connectiedata wel (flowdata). En ja, daar kun je dit ook uit opmaken, en ik denk ook dat ze dat gebruikt hebben, alleen haalt eoa manager termen door elkaar.

OddesE @Kees • 13 mei 2011 00:57

Inderdaad. Hoe kan KPN het verker überhaupt routeren zonder de headers te 'inspecteren'. Dit is duidelijk niet waar het over gaat.

Deep packet inspection zou, vertaald naar convetionele post, betekenen dat TNT je pakketjes open zou maken en er in zou kijken. De headers kun je dan vergelijken met het adres dat op de sticker staat die op het pakketje zit. Natuurlijk kijken ze naar het adres op de sticker maar dat is dus niet waar dit over gaat.

Vrij vertaald interpreteer ik de berichtgeving tot nu toe zo:

KPN heeft de pakketjes die langs kwamen opengemaakt en er in gekeken. Ze hebben daarbij gekeken of het een WhatsApp berichtje was of niet. Maar ze hebben niet naar de inhoud van de tekstberichtjes zelf gekeken, dus ze zaten niet mee te lezen. Dit is vergelijkbaar met TNT die je pakketje open maakt om te kijken of het een boek bevat, maar dan niet het boek zelf leest.

Zeer dubieus als je het mij vraagt en als TNT het zou doen zou het vermoedelijk ook niet legaal zijn. Ik zou dit dus geen gebrul noemen en ben het met BOF eens dat aangifte een mogelijkheid is.

Jeroen @OddesE • 13 mei 2011 10:04

Je vergelijking is een beetje scheef, maar ik kan wel uitleggen waarom het 'deep' packet inspection heet en wat de problemen zijn.

Je zegt dat KPN zonder de packets te inspecteren ze niet zou kunnen routen. Ten eerste is dat niet helemaal waar, en ten tweede is er een verschil tussen het lezen van een packet om het te routen en het tellen en interpreteren van statistieken aan de hand van dezelfde data.

Om te begrijpen wat er 'deep' aan is moet je weten hoe een 'packet' in het internet is opgebouwd. Dat gaat namelijk in lagen, elke laag voegt aan de data zijn eigen headers toe, en die worden er aan het eind weer een voor een afgehaald zodat de data de applicatie kan bereiken.

Een programma stuurt een packet naar de Transport laag, deze gooit er onder andere een afzender poort nummer en een bestemming poort op. Vervolgens stuurt deze het naar de Network laag, die alles van de vorige laag als 'data' beschouwt, en er een afzender en bestemming IP adres aan toevoegt.

Bij het routen hoef je in feite alleen de Network headers te lezen. Pas als het packet aangekomen is bij de bestemming, wordt de Transport header ook gelezen en stuurt het OS het packet naar de correcte poort.

Deep packet inspection is dan dat KPN een systeem ergens neerzet bij een router die in alle packets gaat lopen zoeken wat ze daar uit kunnen halen. Ze kunnen in ieder geval de transport (TCP) headers lezen en bepalen naar welke poort de data gaat, wat meestal een goede indicatie van het type verkeer is. Ze kunnen zo ook verkeer pas per poort blokkeren door het openen van deze headers, wat dus al DPI is. Als ze verder kijken kunnen ze ook makkelijk de data zelf uit elkaar halen en de berichten bekijken.

Nu zeggen ze nog dat ze niet heel diep kijken en alleen proberen te achterhalen wat nou WhatsApp verkeer is, maar het gaat er niet om hoe diep ze kijken maar dat ze kijken. Een router slaat geen statistieken op over de packets die voorbij komen, dat wel doen is al DPI. De volgende stap is dat ze alleen willen weten hoeveel mensen 'KPN is geweldig' in hun berichten hebben staan. En dan gaan ze misschien nog wel een keer een 'top 10 besproken onderwerpen' maken van alle berichten die langskomen. Voor je het weet gaan ze dat koppelen aan je telefoon en verkopen ze die data aan adverteerders om te compenseren voor het WhatsApp gebruik.

willempipi @Jeroen • 13 mei 2011 11:18

Routeren door in de header te kijken OK, maar opslaan van de headers ook OK?

Volgens mij niet hoor.

analog_ @willempipi • 13 mei 2011 15:55

Volgens de wet op data retentie niet alleen OK maar verplicht.

tvdijen @OddesE • 13 mei 2011 02:06

Afdeling onbestelbare stukken, daar maken ze de hele dag post open... Enige verschil is dat deze mensen beëdigd zijn en dat zijn ze bij KPN niet..

Remus @Supernatural C • 13 mei 2011 08:42

Ze doen dat wel: om te zien of iets Whatsapp, Skype, whatever is moet je in het pakketje kijken! Dat ze niet kijken naar het whatsapp bericht in het pakket doet niks af aan het feit dat ze kijken naar de inhoud zonder dat het bericht voor hun bedoeld is.

obimk1 @Supernatural C • 13 mei 2011 10:26

KPN liegt, op de aandeelhouders vergadering is letterlijk door KPN verteld dat ze DPI gebruiken. Op een aandeelhouders vergadering 'lieg' je niet, dat is een doodzonde en kan verregaande repercussies hebben. Dat ze nu beweren geen DPi te doen is een leugen en valt onder spin control.

Vanmiddag even een aangifte doen tegen deze liegende boevenbende.

Of ze hebben gelogen op de aandeelhouders vergadering, of ze hebben nu gelogen..DPI is niet netjes en nog steeds niet legaal, maar nu liegen ze er glashard over..

[Reactie gewijzigd door obimk1 op 25 juli 2024 16:12]

elteck @Supernatural C • 13 mei 2011 01:28

Ik geloof ze wel, want dat is enorm duur. De routers die "deep packet inspection" uit kunnen voeren, (die kunnen ook virussen te onderscheppen), zijn heel veel duurder dan gewone "packet sniffers".
Maar deze aanpak, is dom en gaat vrijwel zeker mislukken. Niet alleen verliezen ze zo klanten. Packets faken is relatief eenvoudig. Het is niet zo moeilijk om een alternatief voor bijvoorbeeld Skype te maken, die door de router niet als "Voip" stream herkent wordt. Zou me niet verbazen als dat een nieuw kat-muis spel gaat worden.

Ik hoop maar dat ze bij KPN snel deze directeur vervangen door iemand met iets meer visie. Begrijp heel goed dat ze zich overvallen voelen door het succes van voip. Maar in plaats van ontmoedigen, zouden ze juist nieuwe diensten moeten aanbieden, bijvoorbeeld streaming internet radio in de auto o.i.d..

killercow @elteck • 13 mei 2011 09:18

Klanten die ineens geen SMS bundel meer kopen, of geen buiten de bundel smsjes versturen is nog veel duurder.

Madcat @Supernatural C • 12 mei 2011 17:10

Het word tijd om standaard VPN op je smart phone in te stellen, het is toch om over te huilen. Ze zijn niets meer dan een ISP, enkel dan mobiel ipv bedraad. We betalen voor de data die we mogen verstoken en we mogen zelf bepalen wat we met die data doen.

Ik snap KPN ook wel, ze zien SMS verkeer waarschijnlijk minder snel groeien dan de aandeelhouders graag willen zien, dus moet ergens anders wat geld bij worden gelegd.
En dat voor een "premium provider", prima als ze met pakketten komen, maar verlaag dan ook het standaard tarief; echter betwijfel ik ten zeerste of ze dat gaan doen

Ze maken het op dit moment wel heel makkelijk voor de mensen die twijfelen over hun nieuwe telecom provider, als over 2 maanden mijn contract verloopt ga ik naar vodafoon.

[Reactie gewijzigd door Madcat op 25 juli 2024 16:12]

klakkie.57th @Madcat • 12 mei 2011 17:41

Standaard VPN opzetten ??
naar een VPN provider op één of ander exotisch eiland want anders schiet je nog niks op, tot deze "VPN Provider" dan geblacklist extra in rekening gebracht wordt.

VPN is echt niet zaligmakend hoor.

Madcat @klakkie.57th • 12 mei 2011 17:50

gewoon naar je eigen servertje thuis, aangezien "echte ISP's" zoals xs4all niet moeilijk doen over welke data je verstuurd.
Toch zuur dat xs4all van dezelfde KPN is, maar toch een hele andere filosofie heeft.

Met een (geencrypte) VPN connectie is data gewoon data, wat nog een leuke bijkomstigheid is, is dat je nog compressie kan toepassen ook, wat niet alleen je databundel toereikend maakt, maar ook nog eens de snelheid verhoogt voor bijvoorbeeld websites.

[Reactie gewijzigd door Madcat op 25 juli 2024 16:12]

Zer0 @Madcat • 12 mei 2011 18:10

angezien "echte ISP's" zoals xs4all niet moeilijk doen over welke data je verstuurd.

xs4all bekijkt het verkeer ook, en sluit je gewoon af als het verkeer in hun ogen schadelijk is.

slb @Zer0 • 12 mei 2011 18:29

Bron?

mae-t.net @slb • 12 mei 2011 18:57

Zijn bron zal eigen ervaring zijn. Bij mij is die dat in elk geval wel. Opzich vermoed ik dat ze niet het verkeer inspecteren, maar er honingpotten op na houden (dus uitgaand verkeer naar bepaalde adressen naar eigen servers omleidt). Anders zou het een nog kwalijker zaak zijn dan het al was.

Ik heb zelf meerdere problemen ervaren bij diverse klanten, en beveel xs4all ook nooit meer aan, mede omdat ze -to add insult to injury- een belabberde prijs/kwaliteit-verhouding hebben. Er schijnen nu wel wat meer procedures (jippie, er was daar nog niet genoeg bureaucratie) te zijn waardoor afsluitingen niet meer helemaal cowboy-style plaatsvinden, maar:

a) het blijft in veel gevallen nodig om te liegen voordat je weer aangesloten wordt
b) er is niet zoiets als een mogelijkheid om gebeld te worden bij problemen, ook niet voor abonnementen die ooit wel met die mogelijkheid zijn aangegaan
c) de technisch inhoudelijke kennis is -zelfs bij de helpdesk- nog steeds onder 0 en de adviezen verschillen met wie je aan de lijn krijgt. Bij de klachtenafdeling is de kennis pas echt om te huilen.
d) de interpretatie van de algemene voorwaarden lijkt niet te kloppen. Je wordt afgesloten omdat je gevaar of overlast oplevert, maar indien ze een honingpot of andere afvangende detectiemethode van home-calls gebruiken klopt dat niet. Alternatief is dat ze stiekum toch DPI doen, en dat is pas echt dubieus.
e) dankzij de bureaucratie duurt het nog steeds meer dan een dag na constatering van het virus, dat er ook daadwerkelijk een afsluiting plaatsvindt. Dat heet ook wel "mosterd na de maaltijd".

[Reactie gewijzigd door mae-t.net op 25 juli 2024 16:12]

mcmd @mae-t.net • 13 mei 2011 08:44

honingpotten zijn niet bedoeld om actief verkeer naar toe/om te leiden. Ze zijn onderdeel van het netwerk, lijken van waarde te zijn voor 'attackers', maar worden juist gebruikt om te onderzoeken hoe 'attackers' te werk gaan en daarvan te leren.

Madcat @slb • 12 mei 2011 18:32

Het enige wat ik weet dat ze actief blokeren is als je een virus te pakken hebt, maar dat zie ik als een feature.
XS4ALL staat ervoor om de privacy van de klanten te waarborgen en doet niet moeilijk over p2p, newsgroups en al helemaal niet VOIP.
Sterker nog, het spant zelfs rechtzaken aan tegen BREIN en andere piraten die het internet onveilig maken.

Anoniem: 271482 @Madcat • 12 mei 2011 18:46

Dat hangt er ook van af welk virus je pakken hebt, met MSblaster waren ze behoorlijk effectief. Ook heb ik systeembeheer gedaan bij een bedrijfje die besloot om een enorme mailbomb in de vorm van een 20MB PDF rond te sturen in 2004, die dus terug kwam in de eigen spamfilter. Bellen met XS4ALL, alle andere vuiligheid ook boven water krijgen, maar tot die tijd heb je geen internet, en ben je bezig handmatig exchange schoon te maken.

mae-t.net @Madcat • 12 mei 2011 19:01

Een ongedocumenteerde en niet consequent betrouwbare feature, die je bovendien als gebruiker mogelijk nooit geaccordeerd hebt en ook niet in kan stellen.

Het enige positieve dat overgebleven is van de erfenis van XS4ALL, is inderdaad zoals jij al noemt het actief bezig zijn met privacy en andere politieke gebruikersbelangen. Overigens meen ik dat de steun aan BoF zoals je die ooit kon aanvinken, al lang niet meer bestaat.

Jammer dat ze de rest van hun erfenis (technische excellentie gepaard aan ondersteuning door kundig personeel en korte/efficiente procedures) hebben verkwanseld.

killercow @mae-t.net • 13 mei 2011 09:16

De steun aan Bof bestaat nog.

OddesE @Madcat • 13 mei 2011 01:02

Dit doen ze hoogstwaarschijnlijk niet op basis van deep packet inspection.

Als je een virus hebt gaat je PC spam mails liggen versturen (vaak, hier verdienen ze geld mee) en dat kan je provider makkelijk zien aan het feit dat jij ineens duizend mailtjes per dag stuurt in plaats van 1 per week. En dat het mailtjes zijn kunnen ze zien aan het feit dat je naar hun mailserver stuurt. Hier hoeven de pakketjes niet voor open.

mae-t.net @OddesE • 13 mei 2011 15:31

Vermoedelijk gebruiken ze geen dpi (hoop ik voor ze), maar ook jouw methode niet. Ik denk eerder aan honeypots en andere omleidingen van uitgaand verkeer. Zie mijn bericht hier vlak onder.

Roko @slb • 12 mei 2011 20:25

xs4all is 100% van KPN en werkt op KPN infrastructuur

killercow @Zer0 • 13 mei 2011 09:17

Zou je niet denken dat Xs4all de logs pas inpsecteert op het moment dat het klachten krijgt over jouw ip?

BoringDay @Madcat • 12 mei 2011 18:59

"Ik snap KPN ook wel, ze zien SMS verkeer waarschijnlijk minder snel groeien dan de aandeelhouders graag willen zien, dus moet ergens anders wat geld bij worden gelegd."

Dan hadden ze maar geen ISP moeten worden.
Verder is het grote onzin, elke klant betaald wel haast 30 euro voor zo'n abbo.
I.p.v. Een goedkope 6 euro abbo zonder internet.
Lijkt mij een feit dat men erop meer moeten zijn gaan verdienen.

MsG @BoringDay • 12 mei 2011 23:22

Die kan je ook omgooien naar "dan had je maar ergens anders klant moeten worden". Het is toch logisch dat gederfde inkomsten met alle macht ergens anders vandaan worden gehaald? Hier op tweakers verwacht men vaak een of andere liefdadige instelling die pecies break even gaat draaien en alles doet voor de klant, ook al snijden ze zichzelf dan in de vingers. Nee zo werkt het niet in een kapitalistische maatschappij.

SunnieNL

@MsG • 13 mei 2011 09:54

het is wel logischer om dat inkomen binnen te halen op een normale manier.
Ik wordt nu ook afgerekend per sms of per telefoontik. Dan is het ook logischer om dataverkeer af te rekenen per eenheid en niet per gebruikt programma of protocol.

Daarnaast heeft KPN het whatsup en voip zelf een beetje in de hand gewerkt op hun netwerk door levenslang onbeperkt internet aan te bieden voor een ongelovelijk lage prijs (2,50 tot 7,50). Dat was gewoon stom van ze. Ik denk ook dat die reclame zich nu nog wel eens tegen hun kan keren als ze doorzetten wat ze nu doen. Want onbeperkt was namelijk niet onderbouwt.... dus mag je er van uitgaan dat alle diensten die via internet draaien ook onbeperkt gebruikt kunnen worden..

[Reactie gewijzigd door SunnieNL op 25 juli 2024 16:12]

siepeltjuh @Madcat • 12 mei 2011 20:37

Ze kunnen toch ook zien dat je een VPN tunnel gebruikt, weliswaar neit wat er door de tunnel gaat, maar wel dat er een VPN actief is.

Net als Skype, Whatsapp of ander verkeer kunnen ze toch ook VPN gaan blokkeren danwel meer geld voor gaan vragen?!

Lawwie @siepeltjuh • 13 mei 2011 07:47

En als je dan als bedrijf werkt met een VPN naar je klant toe, wordt deze dan ook dichtgegooid als je niet meer betaald? Zolang ze niet zeker weten wat er over een VPN gaat dan zouden ze hem niet zomaar standaard mogen dichtgooien.

Daar gaat je internetvrijheid, over een kleine 10 jaar betaal je voor elke dienst als het zo door gaat.

Weyland @Madcat • 12 mei 2011 17:14

Het word tijd om standaard VPN op je smart phone in te stellen, het is toch om over te huilen. Ze zijn niets meer dan een ISP, enkel dan mobiel ipv bedraad.

Precies. Nothing more, nothing less...

Anoniem: 347253 @Supernatural C • 12 mei 2011 19:58

Ik ben nou niet bepaald een Netwerk expert maar de header van een packet bevat toch ongeveer zoiets als:

Van: 11.22.333.444 Naar: 55.66.77.888 Protocol: HTTP

Hoe kunnen ze hier dan aan afleiden dat dit van What'sAPP komt?

basdej @Anoniem: 347253 • 12 mei 2011 20:32

omdat whatsapp waarschijnlijk naar de whatsapp servers stuurt

(het ip adres dus )

[Reactie gewijzigd door basdej op 25 juli 2024 16:12]

Anoniem: 347253 @basdej • 12 mei 2011 21:41

D'oh, hoe kon ik zo dom zijn

CyBeR @Anoniem: 347253 • 13 mei 2011 00:38

Met push notifications komen ze echter niet bij whatsapp vandaan, dus dan zouden ze alleen door KPN abonnees verzonden berichten kunnen tellen.

ijdod

@Anoniem: 347253 • 13 mei 2011 10:14

Dat is de header. Waar KPN naar zoekt met DPI is Data:<string> waarbij die string herleidbaar is op (onder andere) What'sApp.

Het vervelende van deze discussie is dat DPI in feite overal al gebeurd, in firewalls en virusscanners. Het gaat ook niet om DPI(!), maar om wat ze wensen te bereiken met DPI. Dit is de discussie over net neutrality.

Anoniem: 356200 @Supernatural C • 12 mei 2011 21:19

"KPN kijkt niet naar de inhoud van berichten"

Dat betekend niet dat ze niet aan DPI doen.. dat zegt alleen dat ze er niet naar kijken. Dat is wat anders...

sumac @Supernatural C • 12 mei 2011 17:19

>> de header kan beter zijn: KPN: wij doen >nog< geen deep packet inspection op inhoud

Ik denk dat het beter kan zijn: KPN - wij zeggen *nog niet* dat we DPI op inhoud doen, en over een tijdje dan laten we weten (Google streetview style) dat we een foutje hebben gemaakt en dat we het per ongeluk toch hebben gedaan. Daarna bieden we netjes onze excuses aan en beloven we onze interne regels aan te passen.

arjankoole @sumac • 12 mei 2011 18:42

Ik denk dat KPN's aandeelhouders minder positief zijn over de bijhorende boete van een miljoen die Google ook boven het hoofd hangt. En dat is alleen nog maar in Nederland. ( linkje)

In bijvoorbeeld Duitsland zijn die regels nog een stuk strenger, en de boetes volgens mij ook hoger.

-Tom @arjankoole • 13 mei 2011 00:23

Sorry, maar 1 miljoen euro is echt peanuts voor een bedrijf als KPN. Volgens de website heeft KPN in 2010 een omzet gehaald van 13,4 mld.^bron Wat ze op het moment vooral aan het verliezen zijn is goodwill en imago onder haar gebruikers. Dat kost hen klanten en dat doet véél meer pijn.

bonus @arjankoole • 13 mei 2011 08:19

Nou dat miljoentje verdienen ze dan gauw weer terug met het opkrikken van de tariefen. Want dan hebben ze toch weer aangetoond, ook al is dat dan illegaal, dat er wat te verdienen valt met het belasten van die diensten.
Soms moet je risico nemen / investeren en dan zie je waar er geld te verdienen is, ben het er niet mee eens hoor, maar zo gaat dat.

born4trance @Supernatural C • 12 mei 2011 18:50

Headers zijn ook zónder DPI te bekijken dus het komt idd niet erg geloofwaardig over.

Anoniem: 197965 @Supernatural C • 13 mei 2011 09:12

Oh goh, nou niks aan de hand dan toch ? Ik zal de postbode zeggen dat het OK is om de enveloppen vast open te scheuren. Zolang hij de inhoud maar niet bekijkt.

De smoezen worden weer steeds slapper. Maar ach, wij nederlanders vonden toch altijd dat we allemaal niets te verbergen hadden nietwaar ?

CodeCaster 12 mei 2011 17:03

KPN zou alleen naar de headers van een ip-pakketje kijken

Kwestie van de definitie verschuiven.

quote: http://en.wikipedia.org/wiki/Deep_packet_inspection
There are multiple headers for IP packets, network equipment only needs to use the first of these (the IP header) for normal operation, but use of the second header (TCP, UDP etc) is normally considered to be shallow packet inspection (usually called Stateful Packet Inspection) despite this definition.

Anoniem: 34095 @CodeCaster • 12 mei 2011 17:22

Nee dat is niet verschuiven maar de realiteit.

DPI gebeurd hier op headerniveau niet op payload.

IDS systemen of Riverbed Cascade doen exact hetzelfde binnen enterprises en geven netjes aan wat voor traffic en/of applicatie er word gebruikt.

Zoijar @Anoniem: 34095 • 12 mei 2011 19:09

"Deep packet inspection (DPI) is the act of any packet network equipment which is not an endpoint of a communication using non-header content (typically the actual payload) for some purpose."

Je kan dus niet DPI doen op alleen headers.

Anoniem: 247804 @Zoijar • 12 mei 2011 21:01

...ik zat net te denken, volgens mij is DPI een alles of niets verhaal..... dat je als commercieel bedrijf oost-indisch blind zegt te zijn voor de rest en niet voor de header zegt eigenlijk al genoeg

[Reactie gewijzigd door Anoniem: 247804 op 25 juli 2024 16:12]

humbug @Anoniem: 247804 • 13 mei 2011 03:09

Niet helemaal. Ja, DPI bekijkt de inhoud van het pakket zelf. Echter, aangezien veel bedrijven juist geinteresseerd zijn in het type verkeer en waar het heen gaat zijn er vele geautomatiseerde systemen die dat in de gaten houden. Deze IDS systemen kijken niet naar de content, enkel naar headers binnen protocollen als HTTP, SMTP, SMNP enz enz.

Deze extra informatie kan heel nuttig zijn en wordt uiteindelijk natuurlijk niet voor niets mee gestuurd. Er zit dus een groot verschil tussen naar de headers op hogere lagen te kijken en het kijken naar de content van het bericht zelf.

De vraag is of je wil dat een partij verder kijkt dan enkel naar het adres waarnaar het pakketje moet worden doorgestuurd. Misschien niet, maar dan heb je dus ook geen QoS opties meer en wordt het netwerk uiteindelijk minder effectief benut en zal de provider dus meer investeringen moeten doen om dezelfde diensten te kunnen leveren. Resultaat een hogere rekening. Panische reacties waarbij men geen onderscheid maakt tussen het lezen van Headers en content helpen niet bij die discussie en leiden in het gunstigste geval alleen maar af. In het ergste geval zorgen ze voor beleid waarbij we uiteindelijk worden opgezadeld met langzamere netwerken en hogere prijzen omdat ISPs geen optimalisaties kunnen uitvoeren.

Thystan @Anoniem: 34095 • 12 mei 2011 17:38

zeggen ze...

Anoniem: 34095 @Thystan • 12 mei 2011 18:05

Wat zou is het voordeel voor KPN om naar payload te gaan kijken ? En dat dan op individueel niveau, heb je enig idee hoeveel data analyse hiermee gemoeid is ? Wat zou je er mee bereiken ?

Kijk dat justitie en overheden daar in geinteresseerd zouden zijn ala, maar ook die mogen dat niet zomaar bekijken. Het is niet anders dan de bewaarplicht alleen gaat dit een laag dieper.

Daenney 12 mei 2011 17:04

Voorlopig kan worden geconcludeerd... juist ja.

Eigenlijk zijn we nog geen moer wijzer want ze kunnen het prima doen en beweren van niet.
Dat is voor ons niet te controleren tot er een gerechtelijk onderzoek naar is ingesteld om een beeld te krijgen van welke data KPN heeft ingezameld en wat ze er daadwerkelijk mee hebben gedaan.

Ik vind het geen fraai gedrag, iets met netneutraliteit, hekel aan dit soort praktijken.

humbug @Daenney • 13 mei 2011 03:12

Netneutraliteit. Leuk woord. Maar ben je ook bereid daarvoor te betalen? Laten we zeggen 250 euro per maand voor je mobiele data abbo? Zo ja, begin ik morgen een ISP met gegarandeerde netneutraliteit. Zo niet, moet je niet zeuren dat bedrijven proberen hun netwerk te optimaliseren.

killercow @humbug • 13 mei 2011 09:22

Bedrijven die miljoenen winst maken, jaar op jaar hoeven geloof ik ook niet te zeuren als mensen besluiten dat ze voor 140 chars geen 18 cent willen betalen.

Uitzuigen van je klanten (al jaren) is wat anders dan je netwerk optimaliseren.

Maar ja, kom maar op met je ISP, ik ben prima bereid al mn verkeer over een VPN naar mn eigen server te sturen en daar over te bellen, maar zie maar eens zo'n abbo te regelen.

totaalgeenhard 12 mei 2011 17:44

Ik ken "WhatsApp" niet, maar meeste diensten werken met een centrale server die in een bepaalde IP range zit. KPN kan zonder DPI op border-routers statistieken verzamelen.

Verder vraag ik me af waar net neutraliteit is gebleven.

Eurocommissaris Neelie Kroes dreigt wel met maatregelen tegen internetaanbieders die bepaalde vormen van trafiek blokkeren.

bron: http://datanews.rnews.be/...article-1194993613164.htm

Het lijkt mij dat als je DPI gebruikt om per klant naar protocol te kunnen factureren dat je netneutraliteit blokkeert en gewoon internet verkeer aan het discrimineren bent.

Sorcerer8472

Mobiele netwerken
Provider
KPN

@totaalgeenhard • 12 mei 2011 18:10

Op border-routers kun je niet zien hoeveel procent van je klanten een bepaalde applicatie runt. Daarvoor moet je klant aan IP en tijd matchen en die gegevens opslaan. Die gegevens zullen tijdens de analyseperiode opgeslagen zijn en mogelijk maakt KPN met die analysemethode inbreuk op de privacy van die mensen (lees: op de privacy van alle klanten die een door KPN geanalyseerd protocol/app hebben gebruikt)

Pixeltje

12 mei 2011 17:20

Hebben ze bij KPN een training gevolgd in 'hoe reduceer ik mijn vertrouwen bij klanten in 2 dagen tot nul'?

9 maanden lang dpi toepassen en verzwijgen, wel de gegevens ervan presenteren en gebruiken voor je strategie tot 2015, en dan als het uitkomt nog moeten zeggen dat je 'gaat kijken of alle regels mbt er opslaan van deze gegevens wel zijn toegepast'.

Jammer hoor, maar zo werkt het niet..

TuxDePinguïn 12 mei 2011 21:00

Ik vind dat KPN dit echt niet kan doen om iig 3 redenen:

Gevaarlijk:
Pakketheaders zijn onderdeel van -je raadt het al- een volledig pakketje. Wanneer je dan de header uit het pakketje ript heb je per definitie toegang tot alle data uit het pakketje. Zelfs als KPN geen kwade bedoelingen heeft is dit nog zeer gevoelig.

Sowieso privacyschending
Daarnaast lijkt het me ook privacyschending als KPN de header leest aangezien hier IP adressen in staan. Hoe zouden mensen er bijvoorbeeld op reageren als TNT Post alle geadresseerden en afzenders van de enveloppen willen gaan registreren? Dit is namelijk wat KPN wil doen.

Niet accuraat
Soms raken pakketjes zoek en worden dan door routers gediscard. Stel dat gemiddeld 1/20 pakketjes zoek raken, dan betaald de klant voor elke 20 pakketjes 1 pakketje teveel.
(Ik moet zeggen dat ik niet weet hoeveel pakketjes er nou gemiddeld verdwalen. Dit zal ook heel veel variëren).

martemp 12 mei 2011 22:39

Even studeren: http://scriptiesonline.bib.hva.nl/document/111677 Er wordt bij DPI (in grote hoeveelheden pakketten) gekeken naar o.m. de payload, maar er worden patronen vergeleken met 'fingerprints' van verkeer voor applicaties. Dat is dus wel wat anders dan afluisteren van een boodschap. Neemt niet weg dat er wel haken en ogen aan zitten, zoals de Chinese opvattingen. Daar ligt een belangrijke taak voor BOF. Maar niet voor huilers die proberen mij als matig gebruiker mee te laten betalen voor grootverbruik onder het mom van vrijheid en burgerrechten..

mrc4nl 12 mei 2011 17:05

kpn word in het topic: "kpn past DPI: toe bijna zwartgemaakt,
en nu geven ze dus antwoord dat ze niet kijken wat er in de berichten staat,
wat in dat topic trouwens al naar voren kwam:
Anoniem: 406345 in 'nieuws: KPN past deep packet inspection toe op mobiel internetverkeer'

zo zie je maar weer, iets met klok en klepel, maar dat wil niet zeggen dat DPI niet dubieus is..

[Reactie gewijzigd door mrc4nl op 25 juli 2024 16:12]

Snoitkever @mrc4nl • 12 mei 2011 17:29

Het probleem van de situatie zoals vanmiddag gerapporteerd bij KPN is een principekwestie en draait niet om de praktijk. ER zijn twee problemen:

1 - KPN "claimt" dat ze niet naar de inhoud kijken. We hebben daarvoor alleen hun woord. Bovendien is dit absoluut een "sliding scale", dus wie zegt dat KPN over 2 jaar nog steeds niet naar de inhoud kijkt
2 - KPN overtreed hiermee netneutraliteit. Ook dit is een sliding scale, het begint met betalen voor diensten, maar het eindigt met telecombedrijven die dubbel betaald worden, namelijk door de klant voor de aansluiting en door de grote bedrijven om vooral wél voorrang te krijgen op het netwerk. Een simpele vorm van chantage waarbij de provider tegen een bedrijf als Google zegt: "als jullie ons niet betalen krijgen jullie concurrenten die dat wel doen voorrang en meer bandbreedte"

humbug @Snoitkever • 13 mei 2011 03:19

Netneutraliteit is een idee wat sommige mensen belangrijk vinden. Het is geen wet en kan dus niet worden overtreden. Als het voor de KPN rendabel is wil men vast wel een product maken wat aan jou wensen voldoet. Zo niet, kun je altijd naar een andere partij overstappen. Maar op dit moment biedt de KPN (en ook niemand anders in Nederland) een gegarandeerd Netwerk neutraal product aan zonder netwerk optimalisaties.

Misschien een gat in de markt...... (Totdat mensen de prijs zien die daarbij hoort)

killercow @humbug • 13 mei 2011 09:26

Tot Nelie besluit het een wet te maken.

Een neutraal internet waar grote monopolisten (of groepjes enorme multinationals) niet bepalen wat voor traffic er over de lijn gaat, wie daar geld meer verdiend en in welke snelheden dat zou mogen is een internet dat gezond kan groeien. "innovaties" zoals Whatsapp bedreigen het verdienmodel van KPN, dit heeft niks met toenemende kosten te maken, dit heeft puur en alleen te maken met het feit dat KPN vroeger een cashcow had (sms) die nu geslacht is. Kortom, we betalen al jaren te veel.

Tijger @killercow • 13 mei 2011 10:30

Smit Kroes heeft al aangegeven geen enkele reden te zien om een aparte netneutraliteits wet te maken.

Zer0 @Snoitkever • 12 mei 2011 18:14

KPN overtreed hiermee netneutraliteit.

Zolang ze verkeer niet selectief behandelen is er helemaal geen sprake van een inbreuk op de net-neutraliteit.

wph @Zer0 • 12 mei 2011 18:25

Verkeer wordt wel degelijk selectief behandelt, je moet namelijk voor het ene meer gaan betalen dan voor het andere. (Dus een logisch gevolg is dat mensen die er niet voor betalen, geen gebruik meer kunnen maken van de dienst, ergo netneutraliteit)

-Tom @Snoitkever • 13 mei 2011 00:31

Zelfs met een modscore van +2 is deze post nog ondergewaardeerd. Zo had ik het nog niet eens bekeken. Je slaat namelijk de spijker op de kop; de naast het overtreden van de netneutraliteit ontstaat er een verstoring in de marktwerking. Door het blokkeren van whatsapp krijgen andere soortgelijke applicaties een oneerlijk voordeel t.o.v. whatsapp. Denk alleen al aan bv. Pingchat, maar ook een nieuw instant-messaging alternatief welke ook van het internet gebruik maakt om berichten te versturen.

Alexxxxxxxxxx @Snoitkever • 12 mei 2011 22:33

Ze wouden een tijdje geleden ook al een datacenter kopen van het internetknooppunt in Amsterdam

Virtuozzo @mrc4nl • 12 mei 2011 17:09

Als de uitspraak klopt. Hang ook af van hoe KPN welke gegevens waar opslaat en verder behandeld voor onderzoek. Een woordvoerster kan veel zeggen, dat is ook haar taak, met specifieke opdracht.

Enfin, dat ze zullen onderzoeken of alle regels worden nageleefd, kan ik me voorstellen. Dat is tenslotte een zakelijk belang wat weegt.

[Reactie gewijzigd door Virtuozzo op 25 juli 2024 16:12]

Op dit item kan niet meer gereageerd worden.

KPN: wij doen geen deep packet inspection op inhoud

Lees meer

IT-banen

Reacties (248)

Sorteer op:

Weergave: