Het spionagebeleid van de overheid is veel omvangrijker dan het Amerikaanse PRISM-programma en bovendien slecht gecontroleerd. Directeur John Knieriem van hostingbedrijf Intermax doet een boekje open over de dagelijkse praktijk van de Nederlandse inlichtingendiensten.


Elke 24 uur stuurt Knieriem privégegevens van zijn klanten naar justitie, vertelt hij vanochtend in de Volkskrant. Duizenden namen, adressen woonplaatsen, telefoonnummers, e-mailaccounts en IP-nummers gaan naar de database van het Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT).

Soms komt ook de FIOD langs. Er wordt een apparaat met een kabel binnengereden die de ambtenaren aan een switch van Intermax koppelen. "Wat er in het apparaat zit, een black box, weten we niet. Maar het leest alles mee op bitniveau, wie met wie e-mailt, wat er in die berichten staat, gewoon alles", verklaart Knieriem in het dagblad.

http://www.automatiseringgids.nl/nieuws/2013/27/prism-niks-vergeleken-met-tapbeleid-nederland

Wauw! Dat wist toch iedereen al jaren? Het is hier gewoon een publiek geheim. Iedereen die in de hosting branche werkt is hier volgens mij mee bekend.

Ik vind die stelling wel erg overdreven. Sturen jullie dan ook die informatie op, of hebben jullie dan netwerksniffers van de overheid in het netwerk?
Ik betwijfel of veel hosters die actief in hun netwerk hebben hangen op het niveau dat Knieriem beschrijft: tot aan het uitlezen van e-mails.

Post dan ook even de link naar het gehele verhaal. Klik. (http://www.volkskrant.nl/vk/nl/2686/Binnenland/article/detail/3471627/2013/07/06/Spionagepraktijken-in-de-VS-Kijk-eerst-eens-naar-Nederland.dhtml)

Ik vind die stelling wel erg overdreven. Sturen jullie dan ook die informatie op, of hebben jullie dan netwerksniffers van de overheid in het netwerk?
Ik betwijfel of veel hosters die actief in hun netwerk hebben hangen op het niveau dat Knieriem beschrijft: tot aan het uitlezen van e-mails.

Dat aftappen gebeurt volgens mij alleen wanneer daar een verzoek toe is geweest, maar misschien lees ik het artikel op een andere manier. Maar verder is het voor mij in ieder geval niets nieuws. Wij doen het niet, maar het moet eigenlijk wel.

Ik vind die stelling wel erg overdreven. Sturen jullie dan ook die informatie op, of hebben jullie dan netwerksniffers van de overheid in het netwerk?
Ik betwijfel of veel hosters die actief in hun netwerk hebben hangen op het niveau dat Knieriem beschrijft: tot aan het uitlezen van e-mails.

En jullie als grote hoster?

Iedereen met een eigen netwerk is dacht ik verplicht te tappen, m.i. overigens zinloos...
bovendien doen overheden het al op grote schaal...

Elke hoster is verplicht bepaalde gegevens naar het CIOT te sturen. Je krijgt er zelf 32 eu zoveel per dag voor. Er wordt nog niet actief op gecontroleerd, maar het moet wel. Net als dat iedere hoster aan de tap en bewaarplicht moet voldoen. Ik ben benieuwd hoeveel partijen dit ook daadwerkelijk allemaal uitvoeren, want niet doen is natuurlijk eigenlijk een economisch delict, want daardoor heb je ten onrechte lagere kosten.

Ik voeg nog even linkje toe: http://www.rijksoverheid.nl/bestanden/documenten-en-publicaties/brochures/2010/07/01/factsheet-ciot/informatieblad-ciot.pdf

Elke hoster is verplicht bepaalde gegevens naar het CIOT te sturen.

Dit is niet waar; deze verplichting geldt alleen voor aanbieders van een openbaar netwerk, of zoals in het besluit staat te lezen "de aanbieder van een openbaar telecommunicatienetwerk of een openbare telecommunicatiedienst" wat in artikel 4 nog wordt verduidelijkt naar "aanbieder van openbare telecommunicatienetwerken of van openbare telecommunicatiediensten die uitsluitend bestaan in de verlening van toegang tot Internet en de door middel van Internet te leveren of te verrichten diensten" (om onderscheid te maken met aanbieders van telefonie).

Hiermee geldt de verplichting voor het aanleveren van informatie (net als de tapplicht) niet voor hostingproviders die ergens een paar servers hebben hangen en hierop websites en e-mail hosten. De verplichting geldt over het algemeen wel voor hostingproviders die colocatie aanbieden, omdat dat gezien kan worden als "verlening van toegang tot Internet" en het colocatienetwerk een openbaar netwerk is. Deze partijen hebben doorgaans ook een telecomvergunning en de verplichte tapapparatuur staat vaak permanent in het netwerk.

Het besluit dat het CIOT uitvoert is na te lezen op http://wetten.overheid.nl/BWBR0011123/

Overigens is er nog wel een verschil met PRISM omdat de Nederlandse overheid (in ieder geval op papier) niet de sleepnetmethode hanteert waarbij gegevens grootschalig worden getapt en geanalyseerd; een tap wordt als het goed is pas gezet als daar een specifieke reden voor is.

Het CIOT zelf spreekt over Internetaanbieders en benoemt e-mail als aparte dienst die er onder valt. Maar je stipt een belangrijk punt aan: de overheid is niet eenduidig. Zo ken ik partijen bij wie het wordt afgedwongen (neem een AMS-IX aansluiting en je krijgt een vriendelijk briefje of je het binnen x dagen wilt regelen, althans wij) en anderen worden overgeslagen.

Voor een kleine 12.000 euro per jaar zal het voor veel hosters best aantrekkelijk kunnen zijn om die gegevens dagelijks op te sturen...

Voor een kleine 12.000 euro per jaar zal het voor veel hosters best aantrekkelijk kunnen zijn om die gegevens dagelijks op te sturen...


Waarom krijg ik dat geld dan niet standaard op mijn rekening gestort?
met terugwerkende kracht sinds de oprichting, zo'n € 72000,-
Dank u sinterklaasje!

Waarom krijg ik dat geld dan niet standaard op mijn rekening gestort?
met terugwerkende kracht sinds de oprichting, zo'n € 72000,-
Dank u sinterklaasje!

Ik begreep de post van Gsmurf toch goed? De hoster krijgt er 32,zoveel per dag voor? (365*32,- = 11.xxx,xx)
Je krijgt het dus niet voor niets, wel netjes de gevraagde data iedere dag aanleveren ;)

Ik begreep de post van Gsmurf toch goed? De hoster krijgt er 32,zoveel per dag voor? (365*32,- = 11.xxx,xx)
Je krijgt het dus niet voor niets, wel netjes de gevraagde data iedere dag aanleveren ;)

Waarschijnlijk doelt hij erop dat hij het elke dag opstuurt, maar nog niks heeft ontvangen.

72.000 / 32 euro = 2250 dagen. Zo lang doet hij dat al. Lijkt mij.

Ik werk bij een hostingprovider.. een redelijk grote in NL (stop 10 sidn) al 12 jaar maar wij hebben nog nooit
zo'n verzoek gehad voor het leveren van al deze data elke dag... wel misschien max 10 keer in 12 jaar om IP gegevens voor het bezoeken van
individuele websites. Denk ook niet dat we hier aan meezouden werken en dit juridisch zou laten onderzoeken.

Ook niet voor 32 euro per dag... Ik denk dat wienig hosters de vraag hebben gehad.

Het verbaasd me dan ook dat een hostingprovider hier mee komt... natuurlijk wel eerlijk, maar toch..
Denk niet dat zijn klanten dit oke vinden.. ondanks zijn eerlijkheid.

Het is simpelweg regulering/wetgeving waar bep. providers aan moeten voldoen.
En daar staat een vergoeding tegenover omdat de ISP ook kosten moet maken ervoor.

Maar hoe zit het dan als de servers in het buitenland staan?
Hebben de Nederlandse autoriteiten dan jurisdictie?

Wij hebben namelijk een aantal openvpn en voip servers in het buitenland staan,
waar dus ook Nederlanders gebruik van maken.

Voor de duidelijkheid, het gaat hier om access providers. Via de CIOT database wil de overheid weten welk IP adres van Ziggo/XS4All/UPC aan welke klant toe behoord op welk moment.

Is Intermax ook een access provider dan?


Voor de duidelijkheid, het gaat hier om access providers. Via de CIOT database wil de overheid weten welk IP adres van Ziggo/XS4All/UPC aan welke klant toe behoord op welk moment.

Is Intermax ook een access provider dan?

Uiteraard.

Uiteraard.

Waaruit concludeer je dat dan?
Op hun site staat dat ze webhosting aanbieden en wat servertjes in de cloud hebben staan.
Ik zie nergens staan dat ze dezelfde diensten aanbieden als Ziggo, XS4ALL, KPN enz.

Waaruit concludeer je dat dan?
Op hun site staat dat ze webhosting aanbieden en wat servertjes in de cloud hebben staan.
Ik zie nergens staan dat ze dezelfde diensten aanbieden als Ziggo, XS4ALL, KPN enz.

https://www.acm.nl/nl/onderwerpen/telecommunicatie/registraties/geregistreerde-ondernemingen/resultaat/?query=intermax&categorie=&plaats=



Intermax B.V.
ROTTERDAM 940357 28-10-2004 Aanb. v.e. openbare elektr. comm. Dienst
Intermax B.V.
ROTTERDAM 940413 28-10-2004 Aanb. v.e. openbaar elektr. comm. Netwerk

Pas nog een leuke discussie met het CIOT gehad, ze nemen geen 'Hosters' meer aan.

Een kort uittreksel uit onze mailwisseling:

Ik stelde de volgende vraag (Na een al lange mailwisseling overigens:



Wel wil ik graag naar mijn conculega's communiceren dat CIOT RackWerk momenteel niet aansluit om voornoemde reden (Webhosters moeten volgens het besluit wel aangesloten worden, maar volgens telecomwetgeving niet). Formuleer ik het zo correct?

Als er geen wetgeving is die webhosters verplicht hun gegevens aan te leveren bij het CIOT, dan is mijn conclusie, en overigens ook die van mijn conculega's denk ik, dat die verplichting niet bestaat. Aan hen dan de keus om hun aanlevering door te zetten of te staken.


En kreeg toen als antwoord:



Ik denk dat je het correct formuleert als je aangeeft dat de wetgeving niet eenduidig is, en dat momenteel het CIOT geen nieuwe aanbieders aansluit die alleen emailgegevens kunnen aanleveren. Het CIOT is overigens van mening dat de verplichting wel bestaat. Aanbieders die internettoegang of telefoniediensten i.c.m. mail aanbieden worden wel aangesloten en moeten naast de telefonie- en internetgegevens ook emailgegevens aanleveren. (Het gaat hierbij om de NAW-gegevens gekoppeld aan een identificerend gegeven, niet om verkeergegevens!)

Hiermee geldt de verplichting voor het aanleveren van informatie (net als de tapplicht) niet voor hostingproviders die ergens een paar servers hebben hangen en hierop websites en e-mail hosten. De verplichting geldt over het algemeen wel voor hostingproviders die colocatie aanbieden, omdat dat gezien kan worden als "verlening van toegang tot Internet" en het colocatienetwerk een openbaar netwerk is.

Ja, en het beroerde is dat de agenten die gegevens opvragen niet technisch opgeleid zijn, en niet over de kennis beschikken om het verschil te zien tussen een thuisverbinding en colo.

Inmiddels een niet zo prettige discussie gehad met een agent die het IP-adres van onze mailserver had opgezocht.
Kwam vervolgens verhaal halen of ik een bepaalde e-mail had verstuurd.
Wat een hosting provider was wist hij niet, wel wou hij weten of onze wifi router wel goed beveiligd was. Nee meneer, die hebben we niet in het rack. ->|

Als ik het probeer samen te vatten geldt dus volgens CIOT;

- hosters die geen colocatie aanbieden en alleen e-mailadressen kunnen aanleveren: wèl de verplichting, maar momenteel sluit CIOT ze niet aan op het systeem

- hosters die wel colocatie of internet access o.i.d. aanbieden: verplichte aanlevering bij CIOT, ook van alle e-mailadressen van hostingdiensten die in bovenstaand geval niet zou hoeven worden aangeleverd à 30 euro per dag

?

Ja, en het beroerde is dat de agenten die gegevens opvragen niet technisch opgeleid zijn, en niet over de kennis beschikken om het verschil te zien tussen een thuisverbinding en colo.

Dat komt inderdaad voor, maar dat is niet in alle gevallen zo. In grotere/belangrijkere zaken wordt vaak de high-tech crime unit betrokken, en die jongens kun je over het algemeen wel echt experts noemen.

Dat komt inderdaad voor, maar dat is niet in alle gevallen zo. In grotere/belangrijkere zaken wordt vaak de high-tech crime unit betrokken, en die jongens kun je over het algemeen wel echt experts noemen.

Tja, ook voor minder belangrijke zaken lijkt me het wel zo fijn om niet de verkeerde partij als "verdachte" aan te merken. :X

Viel me overigens op dat in het CIOT rapport dat in het artikel van de automatiseringsgids wordt genoemd een overzichtje staat van het aantal opvragingen per dienst.
Aantal opvragingen van de nationale recherche (vermoed dat high-tech daar onder valt) valt in het niets met wat de regionale diensten opvragen.
(maar ja, als je weet hoe je gericht moet zoeken, i.p.v. domweg elke IP die in een e-mail header voorkomt opvraagt zal dat inderdaad in het aantal aanvragen wel schelen)