Tappen: alle providers nu illegaal
 Het
web van de Nederlandse aftap-regeling
Op 3 april verscheen op internet [1] een anonieme posting met daarin
de aftapspecificaties voor Nederlandse providers. De posting bevatte tevens
de antwoorden van de overheid op vragen van het Nationale Aftap Overleg (NAO
[2]) over de juridische en technische aspecten van de op 15 april ingetreden
aftapverplichting [3] voor ISP’s.
Paul Wouters
Eind 1998 is de nieuwe Telecommunicatiewet in werking getreden, met in
artikel 13 de aftapverplichting voor alle aanbieders van “openbare
telecommunicatienetwerken en -diensten”. Zulke aanbieders dienen zich te
registeren bij de OPTA [3] en moeten al hun netwerken en diensten aftapbaar
maken voor de overheid. De specificaties voor het aftappen van
telefoongesprekken, zowel op het vaste net als via ISDN of GSM waren wel
duidelijk. Het aanstormende probleem was echter het internet. Providers werd
tot 15 augustus 2000 uitstel [4] verleend, omdat de overheid zelf nog niet
wist hoe het internet te tappen. Het NLIP (de brancheorganisatie van
internetproviders) en de overheid (GOVtech) vormden samen de “Werkgroep
Aftappen Internet” (WAI). Die trachtte de specificaties te schrijven voor
het aftappen. De klus bleek al gauw te moeilijk. De overheid verleende
wederom uitstel, ditmaal tot 15 april 2001.
De NLIP-leden zagen een groot gemeenschappelijk probleem, namelijk dat
niemand op tijd aan de aftapverplichting zou kunnen voldoen. Daarom richtten
zij in december 2000 het NAO op ter coördinatie tussen de afnemers en
leveranciers van aftapmachines en de overheid.
Ondertussen leefde de rest van de internetwereld in de waan dat de
aftapregeling slechts voor Access Providers zou gelden. De staatscourant [5]
meldde immers op 19 januari 2001 nog dat een OPTA-registratie vereist was om
de specificaties van de aftapprotocollen te krijgen. Tot dan toe hadden
echter alleen de grote telecom-municatiebedrijven, backbone ISP’s en
Access Providers zo’n registratie.
Tussen de anoniem geposte documenten zat ook een brief [6] met een aantal
antwoorden van het ITO, de hofleverancier van ICT-diensten voor Justitie.
Daarin werd bevestigd dat iedereen die openbare internetdiensten
aanbiedt, dus óók webhosters, aftapbaar dienen te zijn. Deze mening had
ook de staatssecretaris, die in een brief op 28 maart aan het NAO te kennen
gaf dat alle mondelinge overeenkomsten die ze met het NAO had gemaakt, van
tafel waren geveegd. Het NAO schreef een woedende reactie [7] maar bleef gek
genoeg de illusie houden dat er met de overheid nog onderhandeld kon worden
- hoewel de overheid toch onomstotelijk te kennen had gegeven direct alles
en iedereen te willen kunnen tappen. En dat, op kosten van de providers;
kosten waarvan eerder beloofd was dat ze niet boven 1% van de omzet van een
ISP zouden komen. Dit bleek echter volstrekt irreëel. Op de door de NAO
georganiseerde “vendordag” op 1 maart boden de leveranciers slechts
“vaporware” aan. Alleen één bedrijf, Comverse Infosys, heeft inmiddels
een werkende aftapmachine (zij zijn ook de leverancier van het ontvangende
deel in de tapkamer). De kosten hiervan variëren echter van 100.000 tot
enkele miljoenen guldens, afhankelijk van de grootte van de ISP.
Slechte overheidsvoorschriften
Niemand kon zijn product af hebben omdat de overheid pas in
februari 2001 over de technische specificaties beschikte. Deze Transport of
Intercepted IP Traffic(TIIT) [8], was duidelijk een haastklus. De
specificatie mist namelijk essentiële onderdelen, en is duidelijk niet door
crypto-analisten bekeken. Ian Goldberg, het crypto-meesterbrein van de
universiteit
van Berkeley, heeft op verzoek de specificatie doorgenomen. “Onveilig
gebruik van NTP, onbekende MD5-hashes met zeer waarschijnlijk te lage
entropie, 64 bits van RC4-encryptie weggooien, onmogelijke fake packets met
pseudorandom” waren zijn eerste opmerkingen. Maar het meest kwetsbare vond
Goldberg de digitale handtekening van de rechter-commissaris, die de tap
moet autoriseren. Ook Niels Provos van de universiteit van Michigan,
programmeur van onder meer OpenBSD, OpenSSH, en IPsec verklaarde dat de
gebruikte protocollen van de TIIT, te weten SSL/TLS en IPsec, nooit op basis
van een blackbox-idee zouden mogen werken. Het is te makkelijk om met deze
protocollen in plaats van de “randomdata” (die op sommige punten in deze
protocollen vereist is) extra informatie te versleutelen, zoals de
cryptografische sleutels van diezelfde versleutelde verbinding [9]! De
producent (of overheid van deze producent) zou dan namelijk simpelweg alle
versleutelde informatie van deze aftapdozen kunnen ontsleutelen.
Webhosters niet uitgesloten
Door de brief van de staatssecretaris van 28 maart
vertegenwoordigde het NAO plots echter nog maar heel een klein deel van de
betrokken partijen. Toch bleef ze, achter min of meer gesloten deuren, met
de overheid onderhandelen als “vertegenwoordiger” van alle partijen
die aan de aftapverplichting dienden te voldoen. Met als klap op de vuurpijl
de aankondiging [10] op 18 april dat zij een exclusieve overeenkomst met de
overheid afgesloten heeft. Een deel van de overeenkomst houdt in dat er al
weer een andere organisatie wordt opgezet, de Nationale Interceptie
Organisatie (NIO). Deze organisatie zal gezamenlijk te gebruiken aftapdozen
kopen en providers ondersteunen bij het beoordelen en uitvoeren van
internettaps. Zij denkt daar 9 tot 12 maanden voor nodig te hebben. Totdat
er werkende aftap-apparatuur is krijgen NIO-leden, alweer volgens de
overeenkomst, uitstel van de tapverplichting. Niet vreemd dus dat opeens
webhosters massaal lid wilden worden van het NAO (de enige manier om uitstel
te krijgen, en onder de f 100.000 kosten uit te komen). Een enkeling lukte
dit op het moment dat zijn bedrijfsnaam ‘providerachtig’ genoeg bleek.
Op de NAO-mailinglist[11] werden deze, en vele andere relevante vragen door
webhosters ter discussie gesteld. Er kwamen van het NAO geen duidelijke
uitspraken, want uitspraken doen betekent verantwoordelijkheid nemen en dus
richting kiezen. Het NAO prefereert alle partijen te vriend te houden,  en
probeert een zo neutraal mogelijk standpunt in te nemen. Het NAO beslist via
een mandaat van het NLIP, en werd door een van zijn leden zelfs omschreven
als een “theekransje dat geen statuten of regels nodig heeft”. Uitstel
van de tapverplichting is echter alleen te verkrijgen door deelname in het
NIO, dat op zijn beurt weer deelname in het NAO (en eigenlijk in het NLIP)
veronderstelt. Het NLIP beslist dus uiteindelijk feitelijk over tapbevelen
voor organisaties die het zelf expliciet niet vertegenwoordigt.
Ondertussen moet de webhoster echter aftapbaar zijn volgens de wet.
Een tapmachine kost minimaal 100.000 gulden. Zelf bouwen kunnen ze officieel
niet, want de TIIT-specificatie (alsmede feitelijk lidmaatschap in het NAO/NIO)
kan alleen opgevraagd worden door bedrijven met een OPTA-registratie. Zo’n
registratie kost voor een webhoster echter minimaal HFL 6000 per jaar, omdat
volgens de OPTA een webhoster in de categorie “aanbieder van openbare
telecommunicatie-dienst met 1 datanetwerk” valt. De OPTA zelf lijkt nog
geen officieel standpunt te hebben ingenomen: afhankelijk van wie er belt en
hoe de vraag geformuleerd wordt, krijg je een verschillend antwoord.
Opentap
Langzaam worden webhosters en programmeurs wakker. De uitgelekte
TIIT-specificatie is weliswaar officieel geheim, maar is volgens het
document zelf vrij verspreidbaar. Daarom wordt de tapsoftware nu door een
stel programmeurs als OpenSource geïmplementeerd. Men verwacht al binnen
enkele weken een prototype af te hebben. Hou dus de website van Opentap[12]
goed in de gaten. Je vindt er de laatste ontwikkelingen op zowel juridisch
als technisch vlak. Hopelijk zal Opentap in staat zijn om ervoor te zorgen
dat binnenkort iedereen dus gewoon zijn eigen machine kan bouwen die aan de
specificatie voldoet.
De ‘geheime’ internet-tapkamer van de overheid
Het Directoraat-Generaal Telecommunicatie en Post (DGTP) wist te
vertellen dat de TIIT-specificatie als openbaar document bedoeld was, maar
dat het Ministerie van Justitie en de Binnenlandse Veiligheidsdienst (BVD)
te bang waren voor “denial of service”-aanvallen op hun apparatuur.
Daarom werd de OPTA-registratie-norm als eis voor het opvragen van de
specificatie gebruikt om zo een mate van geheimhouding te creëren.
Ook de aftapmachine moest geheim blijven. Een beetje naïef. Zo’n
snelle internetverbinding verbergen? Niet dus! De aftapgegevens gaan van de
provider gewoon (versleuteld) via de Amsterdam Internet Exchange (AMS-IX),
dat bij het NIKHEF op het terrein van het Wetenschappelijk Centrum
Watergraafsmeer in Amsterdam ondergebracht is, naar een Cisco-router van het
ITO. Waarom voor deze locatie is gekozen is een raadsel. Het NIKHEF-complex
staat im-mers bekend als de slechtst beveiligde Europese Internet Exchange.
Onze eigen foto van de Foundry “BigIron”, het apparaat waar alle
megaproviders (en nu dus ook de tapkamer) op aangesloten zijn, levert
onomstotelijk het be-wijs. We hadden net zo goed even de ITO-kabel er uit
kunnen trekken...
Onlangs was nog in het nieuws dat het hele Nederlandse internet extreem
kwetsbaar is. Dat blijkt dus ook voor de digitale tapkamer te gelden.
Voor de hardcore techneuten onder ons; het ASN van ITO is AS16147.
Ze hebben een Cisco-router aan de AMS-IX met IP-adres 193.148. 15.170 en
MAC-adres 00: 03:FE:47:14:00.
De router heeft verder 217.75.32.253 als IP-adres op een
loopback-interface. Het ligt in de lijn der verwachting dat het ITO
“private peering” (een directe koppeling tussen twee verschillende
netwerken) zal prefereren boven uitwisseling van verkeer over de
infrastructuur van de AMS-IX, om te verbergen van welke providers de
tapkamer verkeer ontvangt.
Momenteel is echter al zichtbaar dat Demon, EuroNet, InTouch,
Planet Internet, SURFnet en Wirehub! Al peering sessies met het ITO hebben
opgezet waarbij verkeer wordt uitgewisseld.
Als je straks dus wilt weten of je getapt wordt, hoef je alleen maar op
de AMS-IX MRTG-statistieken te kijken en een herkenbaar
verkeerspatroon te genereren in een periode van enkele dagen (MRTG heeft
maar een 5 minuten nauwkeurigheid in zijn grafieken). Vervolgens gooi je er
een Fourrier-analyse overheen, en je weet het.
[1] www.hal2001.org/mailman/listinfo/hal-tap
, nl.internet.providers
[2] www.nlip.nl/nao/
[3] www.recht4all.nl/wetten/w/tlcmmnctw.htm
[4] www.xtdnet.nl/paul/tap/misc/Ontheffing.pdf
[5] www.nlip.nl/nao/kennisgeving.jpg
[6] www.xtdnet.nl/paul/tap/answers_isps.doc
[7] www.opentap.org/nao/brfNAOStasVW09-04.doc
[8] www.xtdnet.nl/paul/tap/TIIT-v0.1.2.pdf
[9] http://citeseer.nj.nec.com/young96dark.html
[10] www.hal2001.org/pipermail/hal-tap/2001-April/000020.html
[11] www.opentap.org/nao-l/
[12] www.opentap.org
|
