Controle op aftappen onvoldoende
De juridische en organisatorische controle op het aftappen van communicatie
is onvoldoende. Daarom zijn er vraagtekens te zetten bij de betrouwbaarheid
van afgetapte communicatie als bewijsmateriaal in rechtszaken.
Dat stelde M. Kuylman afgelopen vrijdag tijdens een congres over aftappen
en strafrecht in Amsterdam. Kuylman werkte jarenlang als aftapdeskundige
bij de Amsterdamse politie en nadien als veiligheidsexpert bij
telecommunicatiebedrijven. Volgens Kuylman gaat er nogal eens wat mis bij
aftappen. Zo'n twintig procent van de afgetapte gesprekken raakt op de een
of andere manier verloren. Daarin kan ontlastende informatie voor de
verdachte staan, maar bijvoorbeeld ook informatie die naar andere daders
wijst. Kuylman raadt advocaten dan ook aan altijd goed te controleren in
hoeverre afgetapt materiaal is verdwenen. Dat kan bijvoorbeeld door de
printgegevens, die vastleggen welke gesprekken hebben plaatsgevonden, te
vergelijken met tapverslagen.
Daarnaast bestaat er volgens Kuylman geen garantie dat afgetapte gesprekken
niet worden gemanipuleerd. 'Voor een techneut is het eenvoudig om digitaal
te plakken en te knippen in opgenomen gesprekken zonder sporen achter te
laten. Er zijn geen garanties om dat te voorkomen,' aldus Kuylman. Door
juridische en organisatorische zwaktes in het aftapproces is volgens
Kuylman de authenticiteit en integriteit van afgetapt materiaal niet te
garanderen.
De overheid ziet tot nu toe niets in certificering van aftapinstallaties.
'Dat zou te veel geld kosten,' aldus Kuylman. 'Maar waarschijnlijk is men
ook bang dat de helft van de aftapinstallaties dan als ondeugdelijk uit de
bus komt.' Kuylman signaleert een toenemende drift van de overheid om alles
afgetapt te krijgen. Telecombedrijven worden zo steeds meer een verlengstuk
van de overheid. 'Er is een proces gaande van harken en graaien in
telecomdata. Dat verontrust mij als burger,' aldus Kuylman.
Volgens Kuylman vindt er bij de rechtelijke macht wel langzaam een omslag
plaats. 'Jarenlang gold: een tap is per definitie betrouwbaar,' aldus
Kuylman. 'Nu worden er vraagtekens bij gezet en niet ten onrechte. Je kan
niet langer voetstoots aannemen dat het allemaal wel in orde zal zijn.'
Andere deskundigen wezen op vergelijkbare problemen met de bewijslast van
afgetapte GSM-gesprekken en internetcommunicatie. Ook daar ontbreken
juridische, technologische en organisatorische garanties voor de
betrouwbaarheid van het bewijsmateriaal. Zo is de locatiebepaling van GSM-
toestellen lang niet zo betrouwbaar en eenduidig als justitie het in de
rechtszaak doet voorkomen.
Bij het aftappen van internetverkeer is nog vrijwel niets geregeld. Er
bestaat alleen een protocol voor de overdracht van afgetapt materiaal van
de provider naar de politie. Maar hoe de provider aftapt is nergens
geregeld. 'Fabrikanten leveren verschillende apparaten,' aldus M. Wessling
van Bits of Freedom, een organisatie die zich inzet voor digitale
burgerrechten. 'Daar is geen controle op, er is geen audit of een keurmerk,
er zijn geen garanties tegen misvangst of bijvangst.' Hij voorspelde dan
ook een titanenstrijd tussen deskundigen in de rechtszaal de komende jaren.
Wessling wees er verder op dat nauwelijks valt aan te tonen dat het
internetverkeer dat een provider aftapt daadwerkelijk afkomstig is van de
computer van een verdachte, of dat de verdachte zelf dat verkeer genereert.
'Een PC is buitengewoon onveilig. Er kunnen virussen inzitten, Trojan
Horses, of hackers zijn er mee in de weer,' aldus Wessling.
De deskundigen pleiten voor meer transparantie en controle op het
aftapproces. Zo zou de broncode van aftapinstallaties openbaar moeten zijn
zodat iedereen de werking van de apparatuur kan controleren. Als
alternatief suggereerden de deskundigen keuring en certificering door een
onafhankelijke instantie. Veelvuldig werd verwezen naar de commotie rond de
aftapinstallaties van het Isra�lische bedrijf Comverse, die ook door de
Nederlandse politie worden gebruikt. Comverse is een bedrijf dat wordt
gerund door mensen afkomstig uit de Isra�lische inlichtingendiensten. Er
bestaan zware verdenkingen dat er een achterdeur in de tapinstallaties zit,
waardoor de geheime dienst van Isra�l toegang zou kunnen krijgen tot
afgetapt materiaal, maar ook in staat zou zijn tot manipulatie van het
materiaal.
Veel van de aanwezigen op het congres spraken de verwachting uit dat het
een kwestie van tijd is voordat de geheimzinnigheid waarmee het aftappen in
Nederland omgeven is, zich tegen de overheid gaat keren. 'Het wachten is op
de eerste rechterlijke uitspraak waarin bewijsmateriaal uit taps wordt
afgewezen omdat de betrouwbaarheid niet valt te bewijzen,' aldus een
aanwezige advocaat. 'Er ligt een bom te tikken onder het strafrecht en het
opsporingsapparaat.'
Reacties (15)
"de geheimzinnigheid waarmee het aftappen in Nederland omgeven is"
Mag ik er op wijzen dat in Nederland niet de overheid tapt maar de providers?
Als iemand zich zorgen maakt over of hij in een eventueel geval correct wordt getapt dan moet hij vragen hoe zijn provider een en ander heeft geregeld.
Dit gaat voor zowel telefonie als internet op.
De raad van de heer Kuylman aan advocaten om te controleren vind ik tendentieus. Ja het is op zich een goed advies maar advocaten moeten alles altijd controleren, dat hoort bij hun vak.
Verder levert Innovative Design Delft (IDD, waarvoor ik werkzaam ben) al sinds 1990 tapkamerrecorders waarbij fraude aan de politiekant vrijwel is uitgesloten. Voorzover ik weet heeft IDD dat wereldwijd als enige leverancier op orde.
Sinds enige tijd produceert IDD ook voor internettappen en we doen ook daar aantoonbaar ons best te zorgen dat inbraak in de apparatuur onmogelijk kan worden geacht en dat tappen van de verkeerde persoon is uitgesloten. Ondermeer door van de provider te eisen dat de geauthenticeerde IP-nummer uitgifte niet wordt gesnift maar dat er patches in worden aangebracht die garanderen dat de juiste persoon wordt getapt.
We zijn volkomen open over de werking van de apparatuur en de sources zijn onder non-disclosure overeenkomst toegankelijk voor de klanten.
Kies voor je communicatie een provider die hoogst serieus met tappen omgaat! In de rest van de wereld is dat vrijwel nergens mogelijk!
Tappen is kamerbreed democratisch overeengekomen, graag opbouwende kritiek, meld maar hoe het beter kan.
Chefren Hagens
[email]chefren@pi.net[/email]
Mag ik er op wijzen dat in Nederland niet de overheid tapt maar de providers?
Als iemand zich zorgen maakt over of hij in een eventueel geval correct wordt getapt dan moet hij vragen hoe zijn provider een en ander heeft geregeld.
Dit gaat voor zowel telefonie als internet op.
De raad van de heer Kuylman aan advocaten om te controleren vind ik tendentieus. Ja het is op zich een goed advies maar advocaten moeten alles altijd controleren, dat hoort bij hun vak.
Verder levert Innovative Design Delft (IDD, waarvoor ik werkzaam ben) al sinds 1990 tapkamerrecorders waarbij fraude aan de politiekant vrijwel is uitgesloten. Voorzover ik weet heeft IDD dat wereldwijd als enige leverancier op orde.
Sinds enige tijd produceert IDD ook voor internettappen en we doen ook daar aantoonbaar ons best te zorgen dat inbraak in de apparatuur onmogelijk kan worden geacht en dat tappen van de verkeerde persoon is uitgesloten. Ondermeer door van de provider te eisen dat de geauthenticeerde IP-nummer uitgifte niet wordt gesnift maar dat er patches in worden aangebracht die garanderen dat de juiste persoon wordt getapt.
We zijn volkomen open over de werking van de apparatuur en de sources zijn onder non-disclosure overeenkomst toegankelijk voor de klanten.
Kies voor je communicatie een provider die hoogst serieus met tappen omgaat! In de rest van de wereld is dat vrijwel nergens mogelijk!
Tappen is kamerbreed democratisch overeengekomen, graag opbouwende kritiek, meld maar hoe het beter kan.
Chefren Hagens
[email]chefren@pi.net[/email]
Och hoe serieus moeten we Chefren Hagens nemen? Zijn bedrijf zat niet bij de bake off van het Internet tappen.
Het gaat overigens om een bepaald merk tapkamers ( niet IDD ) en de toegepaste protocollen zoals JTS en TIIT en de juistheid van implementatie zowel de juridische als technische.
Ronald Eygendaal
Protection Company
Het gaat overigens om een bepaald merk tapkamers ( niet IDD ) en de toegepaste protocollen zoals JTS en TIIT en de juistheid van implementatie zowel de juridische als technische.
Ronald Eygendaal
Protection Company
Originally posted by Unregistered
..... en dat tappen van de verkeerde persoon is uitgesloten. Ondermeer door van de provider te eisen dat de geauthenticeerde IP-nummer uitgifte niet wordt gesnift maar dat er patches in worden aangebracht die garanderen dat de juiste persoon wordt getapt.
..... en dat tappen van de verkeerde persoon is uitgesloten. Ondermeer door van de provider te eisen dat de geauthenticeerde IP-nummer uitgifte niet wordt gesnift maar dat er patches in worden aangebracht die garanderen dat de juiste persoon wordt getapt.
Jullie zullen dan wel veel ISP's als klant hebben ;-)
En na het lezen van bovenstaande zullen er nog minder een offerte aanvragen.
Chefren Hagens
[email]chefren@pi.net[/email] [/B]
Over authenticatie gesproken, elke Jan met achternaam kan een email adres nemen bij Planet en zeggen dat hij ergens werkt, komt lekker professioneel over.
Tevens weet men bij justitie heel goed hoe er getapt moet worden, aangezien ze dit al jaren doen, en als jullie aftap apparatuur leveren mbt telefoongesprekken zullen jullie ook wellicht weten dat in de processen erom heen er gebruik gemaakt wordt van codes die aan een subject worden gehangen, zodat de typist(e) niet weet over wie het gaat, waarmee je enigszins de garantie hebt dat het niet al daar fout kan gaan.
Als je het zelfde weet te regelen mbt internet taps, zal een ISP nooit weten dat er getapt wordt en om welk subject het gaat, zodat je als Officier van Justitie ten alle tijden kan claimen dat het getapte van een specifieke verbinding afkomt -en niet van een specifieke individue, waarvan men nu uitgaat-.
Originally posted by Unregistered
Jullie zullen dan wel veel ISP's als klant hebben ;-)
En na het lezen van bovenstaande zullen er nog minder een offerte aanvragen.
Jullie zullen dan wel veel ISP's als klant hebben ;-)
En na het lezen van bovenstaande zullen er nog minder een offerte aanvragen.
Heel karakteristiek zo'n niet inhoudelijke aanval, net als de vage veronderstelling dat je bij een bake off zou moeten zitten.
Maar graag terzake, het ging hier naar ik begreep om bezorgdheid over de kwaliteit van de taps:
De wet eist dat er onverwijld wordt getapt als er een bevel binnen komt.
A) Als je IP-nummeruitgiftesoftware snift en de lease is net voor de start daarvan uitgegeven dan kan het gerust een paar dagen duren voor er weer wat te sniffen valt. De verdachte mag achteraf niet kunnen zeggen dat zhij niet heeft zitten internetten en dat dan aan de hand van het tapverslag kunnen aantonen.
B) Techniek is niet perfect, als door welke omstandigheid dan ook een keer niet, of verkeerd, wordt gesniffed is het mogelijk dat een volgend iemand het IP-nummer krijgt toegewezen. De informatie van die volgende persoon mag nooit in de tap van de te tappen persoon terecht komen.
Een patch in de IP-nummeruitgiftesoftware is triviaal in vergelijking met de problemen die een incorrecte tap kan opleveren.
En niet op de man huilebalken graag, dan doen jullie de discussie verder maar zonder mij.
+++chefren
Als eerste ging het om betrouwbaarheid van tappen, dit hoeft niet perse een technische inslag te hoeven zijn, er zijn VELE andere punten in de processen eromheen waarop het al fout kan zijn. (WLAN aanwezigheid bij het subject b.v.)
Originally posted by Unregistered
A) Als je IP-nummeruitgiftesoftware snift en de lease is net voor de start daarvan uitgegeven dan kan het gerust een paar dagen duren voor er weer wat te sniffen valt. De verdachte mag achteraf niet kunnen zeggen dat zhij niet heeft zitten internetten en dat dan aan de hand van het tapverslag kunnen aantonen.
[/QUOTE]
Dit is zeer gemakkelijk aftevangen, als je gehele lease/renewal proces snift, weet je net zoveel als de client en server, en dus kan je daarop anticiperen.
B) Techniek is niet perfect, als door welke omstandigheid dan ook een keer niet, of verkeerd, wordt gesniffed is het mogelijk dat een volgend iemand het IP-nummer krijgt toegewezen. De informatie van die volgende persoon mag nooit in de tap van de te tappen persoon terecht komen.
Ik ben het deels mee eens, als je gehele lease/renewal proces bekijkt en hierbij alle parameters zoals MAC adres in ogenschouw neemt, verloopt dit PROCES -uitgifte IP- altijd goed, anders komt men immers niet het internet op, en valt er niets te sniffen.
Een patch in de IP-nummeruitgiftesoftware is triviaal in vergelijking met de problemen die een incorrecte tap kan opleveren.
Ken je de wereld van ITIL ?
Je gaat niet zomaar patches installeren op productie systemen waarop je core business volledig leunt.
Verder is het in sommige gevallen niet mogelijk om de software te patchen, en zul je additionele of andere software moeten gebruiken in je productie omgeving, iets wat de meeste ISP's als onwenselijk zullen beschouwen, vandaar wellicht die opmerking hierboven.
A) Als je IP-nummeruitgiftesoftware snift en de lease is net voor de start daarvan uitgegeven dan kan het gerust een paar dagen duren voor er weer wat te sniffen valt. De verdachte mag achteraf niet kunnen zeggen dat zhij niet heeft zitten internetten en dat dan aan de hand van het tapverslag kunnen aantonen.
[/QUOTE]
Dit is zeer gemakkelijk aftevangen, als je gehele lease/renewal proces snift, weet je net zoveel als de client en server, en dus kan je daarop anticiperen.
B) Techniek is niet perfect, als door welke omstandigheid dan ook een keer niet, of verkeerd, wordt gesniffed is het mogelijk dat een volgend iemand het IP-nummer krijgt toegewezen. De informatie van die volgende persoon mag nooit in de tap van de te tappen persoon terecht komen.
Ik ben het deels mee eens, als je gehele lease/renewal proces bekijkt en hierbij alle parameters zoals MAC adres in ogenschouw neemt, verloopt dit PROCES -uitgifte IP- altijd goed, anders komt men immers niet het internet op, en valt er niets te sniffen.
Een patch in de IP-nummeruitgiftesoftware is triviaal in vergelijking met de problemen die een incorrecte tap kan opleveren.
Ken je de wereld van ITIL ?
Je gaat niet zomaar patches installeren op productie systemen waarop je core business volledig leunt.
Verder is het in sommige gevallen niet mogelijk om de software te patchen, en zul je additionele of andere software moeten gebruiken in je productie omgeving, iets wat de meeste ISP's als onwenselijk zullen beschouwen, vandaar wellicht die opmerking hierboven.
Originally posted by Unregistered
Als eerste ging het om betrouwbaarheid van tappen, dit hoeft niet perse een technische inslag te hoeven zijn, er zijn VELE andere punten in de processen eromheen waarop het al fout kan zijn. (WLAN aanwezigheid bij het subject b.v.)
Als eerste ging het om betrouwbaarheid van tappen, dit hoeft niet perse een technische inslag te hoeven zijn, er zijn VELE andere punten in de processen eromheen waarop het al fout kan zijn. (WLAN aanwezigheid bij het subject b.v.)
Maak maar een lijstje van die "vele" punten, graag met argumenten. Waarom is WLAN een probleem om te beginnen.
Dit is zeer gemakkelijk aftevangen, als je gehele lease/renewal proces snift, weet je net zoveel als de client en server, en dus kan je daarop anticiperen.
Dat is niet triviaal, omdat er geen terugkoppeling is met de IP-nummeruitgiftesoftware kan je niet garanderen dat je "in sync" bent met het hele proces. Alleen als je fysiek tussen IP-nummeruitgifte server en klanten gaat zitten en die bit voor bit "vasthoudt en doorgeeft" weet je theoretisch zeker dat je alle informatie kan hebben, mag je geen interpretatiefouten maken(!). Electrisch of optisch sniffen met een T-stuk, in plaats van er tussen te gaan zitten, maakt al dat je niet zeker weet of je het zelfde hebt geinterpreteerd als de communicerende partijen.
Ken je de wereld van ITIL ?
Je gaat niet zomaar patches installeren op productie systemen waarop je core business volledig leunt.
Verder is het in sommige gevallen niet mogelijk om de software te patchen, en zul je additionele of andere software moeten gebruiken in je productie omgeving, iets wat de meeste ISP's als onwenselijk zullen beschouwen, vandaar wellicht die opmerking hierboven. [/B][/QUOTE]
Niet flauw bedoeld: "Ken je de wereld van justitie?"
Het gaat hier om een bijzonder serieuze zaak. Als aangetoond kan worden dat alleen een toch eenvoudige patch in de IP-nummeruitgifte een correcte tap kan worden gelegd dan moet dat gewoon gebeuren.
In de rest van de wereld wordt er voornamelijk voor militaire en inlichtingen doelen getapt, dan is een foutje geen onoverkomelijk probleem. Bij justitieel tappen gaat het hele dossier naar de rechter en de getapte gebruikt het in veel gevallen ook als verdediging.
Zo correct mogelijke taps zijn =ook= core business van de providers!
+++chefren
quote:
--------------------------------------------------------------------------------
Mag ik er op wijzen dat in Nederland niet de overheid tapt maar de providers?
--------------------------------------------------------------------------------
De providers hebben een wettelijke verplichting, het niet nakomen van deze verplichting is een misdrijf.
quote:
--------------------------------------------------------------------------------
Als iemand zich zorgen maakt over of hij in een eventueel geval correct wordt getapt dan moet hij vragen hoe zijn provider een en ander heeft geregeld.
--------------------------------------------------------------------------------
Chefren doet als of de overheid alles technisch en juridisch juist heeft geregeld. Dit is onjuist, providers moeten het afgetapt verkeer afleveren met behulp van door de wet vastgestelde protocollen. Deze vastgestelde protocollen hebben hun eigen specifieke problemen waarvoor in de loop van de tijd door techneuten oplossingen zijn bedacht, echter deze oplossingen zijn nooit juridisch bekrachtigd. Ook IDD heeft meegewerkt aan dit soort oplossingen zonder zich af te vragen of e.a juridisch bekrachtigd is.
quote:
--------------------------------------------------------------------------------
Dit gaat voor zowel telefonie als internet op.
--------------------------------------------------------------------------------
Dit is juist.
quote:
--------------------------------------------------------------------------------
Verder levert Innovative Design Delft (IDD, waarvoor ik werkzaam ben) al sinds 1990 tapkamerrecorders waarbij fraude aan de politiekant vrijwel is uitgesloten. Voorzover ik weet heeft IDD dat wereldwijd als enige leverancier op orde.
--------------------------------------------------------------------------------
Ik weet wel meer leverancier die alles op orde hebben en die in tegenstelling tot IDD zowel aan tapkamers als aan providers leveren. ( telefonie en internet )
quote:
--------------------------------------------------------------------------------
Ondermeer door van de provider te eisen dat de geauthenticeerde IP-nummer uitgifte niet wordt gesnift maar dat er patches in worden aangebracht die garanderen dat de juiste persoon wordt getapt.
--------------------------------------------------------------------------------
Wat is dit nou voor onzin, als je zorgt voor een goede koppeling tussen de radius en het tap systeem dan kun je dit zonder geauthenticeerde IP-nummer uitgifte regelen. Overigens werken de tap oplossingen van bijna alle leveranciers zonder deze controle.
--------------------------------------------------------------------------------
Mag ik er op wijzen dat in Nederland niet de overheid tapt maar de providers?
--------------------------------------------------------------------------------
De providers hebben een wettelijke verplichting, het niet nakomen van deze verplichting is een misdrijf.
quote:
--------------------------------------------------------------------------------
Als iemand zich zorgen maakt over of hij in een eventueel geval correct wordt getapt dan moet hij vragen hoe zijn provider een en ander heeft geregeld.
--------------------------------------------------------------------------------
Chefren doet als of de overheid alles technisch en juridisch juist heeft geregeld. Dit is onjuist, providers moeten het afgetapt verkeer afleveren met behulp van door de wet vastgestelde protocollen. Deze vastgestelde protocollen hebben hun eigen specifieke problemen waarvoor in de loop van de tijd door techneuten oplossingen zijn bedacht, echter deze oplossingen zijn nooit juridisch bekrachtigd. Ook IDD heeft meegewerkt aan dit soort oplossingen zonder zich af te vragen of e.a juridisch bekrachtigd is.
quote:
--------------------------------------------------------------------------------
Dit gaat voor zowel telefonie als internet op.
--------------------------------------------------------------------------------
Dit is juist.
quote:
--------------------------------------------------------------------------------
Verder levert Innovative Design Delft (IDD, waarvoor ik werkzaam ben) al sinds 1990 tapkamerrecorders waarbij fraude aan de politiekant vrijwel is uitgesloten. Voorzover ik weet heeft IDD dat wereldwijd als enige leverancier op orde.
--------------------------------------------------------------------------------
Ik weet wel meer leverancier die alles op orde hebben en die in tegenstelling tot IDD zowel aan tapkamers als aan providers leveren. ( telefonie en internet )
quote:
--------------------------------------------------------------------------------
Ondermeer door van de provider te eisen dat de geauthenticeerde IP-nummer uitgifte niet wordt gesnift maar dat er patches in worden aangebracht die garanderen dat de juiste persoon wordt getapt.
--------------------------------------------------------------------------------
Wat is dit nou voor onzin, als je zorgt voor een goede koppeling tussen de radius en het tap systeem dan kun je dit zonder geauthenticeerde IP-nummer uitgifte regelen. Overigens werken de tap oplossingen van bijna alle leveranciers zonder deze controle.
Originally posted by Unregistered
quote:
Chefren doet als of de overheid alles technisch en juridisch juist heeft geregeld. Dit is onjuist, providers moeten het afgetapt verkeer afleveren met behulp van door de wet vastgestelde protocollen. Deze vastgestelde protocollen hebben hun eigen specifieke problemen waarvoor in de loop van de tijd door techneuten oplossingen zijn bedacht, echter deze oplossingen zijn nooit juridisch bekrachtigd. Ook IDD heeft meegewerkt aan dit soort oplossingen zonder zich af te vragen of e.a juridisch bekrachtigd is.
quote:
Chefren doet als of de overheid alles technisch en juridisch juist heeft geregeld. Dit is onjuist, providers moeten het afgetapt verkeer afleveren met behulp van door de wet vastgestelde protocollen. Deze vastgestelde protocollen hebben hun eigen specifieke problemen waarvoor in de loop van de tijd door techneuten oplossingen zijn bedacht, echter deze oplossingen zijn nooit juridisch bekrachtigd. Ook IDD heeft meegewerkt aan dit soort oplossingen zonder zich af te vragen of e.a juridisch bekrachtigd is.
IDD heeft =niet= meegewerkt aan het opstellen van TIIT, dat stuk knoeiwerk is door de providers opgesteld in samenwerking met justitie, practisch gezien goed bedoelende amateurs, er hadden gekwalificeerde en ervaren ontwerpers van fabrikanten bij moeten zitten.
IDD heeft wel veel tijd gestoken in het werkbaar krijgen van de TIIT specificaties hetgeen voor insiders goed is te zien aan de laatste versies. Er zijn meer dan 10 diepgaande rapportages naar de instanties ingestuurd. Altijd puntsgewijs en opbouwend met suggesties voor serieuze oplossingen.
TIIT kan zeker beter maar het is nu werkbaar. Ons insziens is het nu het beste om het een tijdje aan te zien en dan 2.0 op te stellen.
Ik wijs overigens iedere suggestie van de hand dat IDD zich niet zou hebben afgevraagd of haar producten juridisch dan wel technisch verantwoord zijn. Integendeel, ik ga ook niet op al die dingen in. Mocht dat door iemand als storend worden ervaren: Mailtje met verzoek naar [email]chefren@pi.net[/email] en ik post alsnog een reactie.
Ik blijf er overigens bij dat de ISP's de verantwoording hebben voor het juist doorgeven van tapgegevens. Het TIIT deel is wat de kwaliteit van de tap betreft maar een klein deel, notabene een deel waar de provider verder geen invloed op heeft.
Misschien zouden ze wel publiek moeten maken hoe ze precies tappen en waarmee. Versienummers van de software erbij?
+++chefren
Originally posted by Unregistered
quote:
--------------------------------------------------------------------------------
IDD heeft =niet= meegewerkt aan het opstellen van TIIT, dat stuk knoeiwerk is door de providers opgesteld in samenwerking met justitie, practisch gezien goed bedoelende amateurs, er hadden gekwalificeerde en ervaren ontwerpers van fabrikanten bij moeten zitten.
--------------------------------------------------------------------------------
TIIT was inderdaad knoeiwerk, dat is juist maar ik doelde op JTS.
Bij de herziening van de TIIT zittende leveranciers aan tafel. Ik heb jullie daar niet gezien, hoe kan dat?
quote:
-----------------------------------------------------------------------------------
TIIT kan zeker beter maar het is nu werkbaar. Ons insziens is het nu het beste om het een tijdje aan te zien en dan 2.0 op te stellen.
-----------------------------------------------------------------------------
Zoals eerder gemeld er komt een nieuwe versie.
Ik wijs overigens iedere suggestie van de hand dat IDD zich niet zou hebben afgevraagd of haar producten juridisch dan wel technisch verantwoord zijn. Integendeel, ik ga ook niet op al die dingen in. Mocht dat door iemand als storend worden ervaren: Mailtje met verzoek naar [email]chefren@pi.net[/email] en ik post alsnog een reactie.
quote:
-----------------------------------------------------------------------------------
Je verkoopt toch JTS dozen en daar in zit ook een probleem.
-----------------------------------------------------------------------------------
quote:
------------------------------------------------------------------------------------Ik blijf er overigens bij dat de ISP's de verantwoording hebben voor het juist doorgeven van tapgegevens. Het TIIT deel is wat de kwaliteit van de tap betreft maar een klein deel, notabene een deel waar de provider verder geen invloed op heeft.
----------------------------------------------------------------------------------
Slaap verder.
quote:
--------------------------------------------------------------------------------
IDD heeft =niet= meegewerkt aan het opstellen van TIIT, dat stuk knoeiwerk is door de providers opgesteld in samenwerking met justitie, practisch gezien goed bedoelende amateurs, er hadden gekwalificeerde en ervaren ontwerpers van fabrikanten bij moeten zitten.
--------------------------------------------------------------------------------
TIIT was inderdaad knoeiwerk, dat is juist maar ik doelde op JTS.
Bij de herziening van de TIIT zittende leveranciers aan tafel. Ik heb jullie daar niet gezien, hoe kan dat?
quote:
-----------------------------------------------------------------------------------
TIIT kan zeker beter maar het is nu werkbaar. Ons insziens is het nu het beste om het een tijdje aan te zien en dan 2.0 op te stellen.
-----------------------------------------------------------------------------
Zoals eerder gemeld er komt een nieuwe versie.
Ik wijs overigens iedere suggestie van de hand dat IDD zich niet zou hebben afgevraagd of haar producten juridisch dan wel technisch verantwoord zijn. Integendeel, ik ga ook niet op al die dingen in. Mocht dat door iemand als storend worden ervaren: Mailtje met verzoek naar [email]chefren@pi.net[/email] en ik post alsnog een reactie.
quote:
-----------------------------------------------------------------------------------
Je verkoopt toch JTS dozen en daar in zit ook een probleem.
-----------------------------------------------------------------------------------
quote:
------------------------------------------------------------------------------------Ik blijf er overigens bij dat de ISP's de verantwoording hebben voor het juist doorgeven van tapgegevens. Het TIIT deel is wat de kwaliteit van de tap betreft maar een klein deel, notabene een deel waar de provider verder geen invloed op heeft.
----------------------------------------------------------------------------------
Slaap verder.
--------------------------------------------------------------------------------
IDD heeft =niet= meegewerkt aan het opstellen van TIIT, dat stuk knoeiwerk is door de providers opgesteld in samenwerking met justitie, practisch gezien goed bedoelende amateurs, er hadden gekwalificeerde en ervaren ontwerpers van fabrikanten bij moeten zitten.
--------------------------------------------------------------------------------
IDD? niet gezien.
Herinner me wel een discussie op tweaker over IDD.
IDD heeft =niet= meegewerkt aan het opstellen van TIIT, dat stuk knoeiwerk is door de providers opgesteld in samenwerking met justitie, practisch gezien goed bedoelende amateurs, er hadden gekwalificeerde en ervaren ontwerpers van fabrikanten bij moeten zitten.
--------------------------------------------------------------------------------
IDD? niet gezien.
Herinner me wel een discussie op tweaker over IDD.
Originally posted by Unregistered
Maak maar een lijstje van die "vele" punten, graag met argumenten. Waarom is WLAN een probleem om te beginnen.
[/QUOTE]Dat lijstje kan jij ook verzinnen, aangezien mensen bij overheid dit ook lezen, zie ik niet in wat het nut is om aanwijzingen te geven van zaken die in de toekomst tot vrijspraak zullen leiden.
Daar wordt ik niet voor betaald, en inderdaad, voor niets gaat alleen de zon op.
Maar je kan een hint krijgen door artikel waar o.a. jij ook naar aanleiding hebt gereageerd, en wat ik nogmaals heb herhaald.
Het gaat over het betrouwbaarheid van tappen, aangezien jij nog een ander MD5SUM hashes per packet kunt binden, deze linken doormiddels van biometrie aan een individu, is tappen van packets niet als niet betrouwbaar te kwalificeren.
En dient juist om deze reden er voorzichtig mee te worden omgesprongen, en niet gezien worden als de natte droom van elke Inlichtingendienst / officier van justitie waar mee je feilloos en voor 100% iets mee kunt bewijzen.
De enige proces wat enigszins is gedocumenteerd is het GETAPTE AFLEVEREN bij JUSTITIE, dit is ook het enige waar je aan MOET voldoen, maar ALLE andere processen die betrouwbaarheid van een tap kan vergroten zijn niet gedocumenteerd, laatstaan dat ze zijn gecertificeerd danwel geaudit.
Ook laat de intrepretatie van wat 'zie ik nu' grote vraagtekens staan, immers dat je sessies kan reconstrueren zegt nog niets, zelfs als je bestanden zou kunnen recontrueren en je deze zou bekijken zoals -wellicht- de verdachte dat zou hebben gedaan, kun je nog steeds geen waterdichte conclusies trekken, waarop een verdachte wordt veroordeelt.
Dit is een kwalijke zaak.
In de Alkmaarse kinderporno zaak, is ook getapt, alleen lukte het justitie niet om plaatjes weer terug te toveren, vandaar dat ze over zijn gestapt op pseudo koop opsporing techniek.
Ook zijn bijvangst niet uit te sluiten, als je een website bezoekt, en daar staat een banner met kinderporno, wil dat niet zeggen dat jij kinderporno hebt bekeken, laatstaan dat je het gezien hebt.
Bij de interpretatie kunnen dit soort dingen naar de hand van de aanklager worden gezet, om iemand maar veroordeelt te krijgen.
Zeker gezien het feit dat indien je carriere wilt maken binnen justitie je alleen maar als aanklager zaken wilt, waar een veroordeling aan vast zit. (niet goedschiks, dan maar kwaadschiks is het credo)
Dat is niet triviaal, omdat er geen terugkoppeling is met de IP-nummeruitgiftesoftware kan je niet garanderen dat je "in sync" bent met het hele proces. Alleen als je fysiek tussen IP-nummeruitgifte server en klanten gaat zitten en die bit voor bit "vasthoudt en doorgeeft" weet je theoretisch zeker dat je alle informatie kan hebben, mag je geen interpretatiefouten maken(!). Electrisch of optisch sniffen met een T-stuk, in plaats van er tussen te gaan zitten, maakt al dat je niet zeker weet of je het zelfde hebt geinterpreteerd als de communicerende partijen.
Ik wil niet veel zeggen, maar in switched omgevingen kan je niet sniffen zonder ergens tussen in te zitten, of een spawn port te gebruiken.
Aangezien ELKE client in de meeste omgevingen dynamisch hun IP adressen verkrijgen zullen je daar een tappunt moeten hebben, indien je het slim aanpakt -integenstelling wat meeste verkopers je zullen adviseren- zorg je er voor dat je IP uitgifte punt in de buurt van een CENTRALE punt in je infrastructuur zit, zodat je met 1 aftap kunt volstaan. (zolang alle verkeer van die gebruiker er maar langs komt inclusief radius/tacacs/bootp).
Als je aftap doosje gewoon alle RENEWALLS/REQUEST bij houdt, weet je OOK bij door jouw aangegeven HALVE SYNCS alles wat je moet weten.
Tevens ben ik het er principieel niet mee eens dat men tapt op IP adres, omdat het niets zeggend is.
Ze kunnen beter in de telefoon centrale (ADSL/modem) en op centrale HUBs (kabelmodems) in een ring tappen, zodat je daadwerkelijk weet dat het IP verkeer ook bij het MAC adres vandaan komt, waarvan je het verwacht dat het vandaan behoort te komen.
Tenzij je er heilig van overtuigd ben dat er niets zo veilig is als het IP protocol, en dat het uitgesloten is dat er mee geklooit kan worden.
MAW (tenminste als je het met me eens bent) het huidige AFTAP -aka snif- verhaal is slechts bedoelt voor klootjesvolk die toch al niets van internet afweten, en die waarschijnlijk toch al weinig zal -kunen- uithalen wat een AFTAP bevel rechtvaardigd.
Aan de andere kant, inlichtingendiensten zullen de groot gebruikers zijn van het middel dat onder de paraplu van justitie bij iedereen in de strot is geschoven.
Klootjes volk zijn namelijk erg intressant om te monitoren, en dat doe je -als het kan- geautomatiseerd.
Niet flauw bedoeld: "Ken je de wereld van justitie?"
Genoeg om te weten dat de meeste leveranciers justitie niet op details wijzen, maar slechts R&D diensten leveren die hun omzet het best bevalt.
Afgezien daarvan is de wereld van overheid en met name van justitie al jaren het domein van bedrijven die veel geld verdienen met bedenkelijke producten en diensten, daarom hebben zij vaak ook geen klanten in de het bedrijfsleven, misschien iets voor nieuwe kabinet om op te letten. (overheid mag niet de grootste afnemer zijn van enig bedrijf.)
Het gaat hier om een bijzonder serieuze zaak. Als aangetoond kan worden dat alleen een toch eenvoudige patch in de IP-nummeruitgifte een correcte tap kan worden gelegd dan moet dat gewoon gebeuren.
Aha, dus justitie en een leverancier bepaald hoe een ISP zijn infrastructuur inricht?
Neem dan ook maar meteen het beheer over, misschien dat ISP's dan wel winst kunnen maken.
Bij justitieel tappen gaat het hele dossier naar de rechter en de getapte gebruikt het in veel gevallen ook als verdediging.
En hier ga JIJ de mist in, er is helemaal geen operationele ervaring op dit vakgebied, je neemt zaken maar aan die helemaal nog niet hebben plaatsgevonden.
Of denk jij niet dat de eerste de beste rechtzaak waarbij TIIT is gebruikt en voor de intrepetatie aan justitie/OM zijde COMVERSE software is gebruikt, men zal vragen hoe en wat mbt intrepretatie en die COMVERSE software.
En hoe de intregiteit van elke packetje vanaf het moment dat het een modem/router heeft verlaten t/m via TIIT doos bij Justitie wordt afgeleverd is gewaarborgd?
Zo correct mogelijke taps zijn =ook= core business van de providers!
Heb je ISP's als klant?
Core business van een tap is het alleen als je het als selleable ITEM op je lijstje hebt staan.
Of als je aftap apperatuur in de markt inschuift gebaseerd op een standaard dat nog geen standaard is.
Maak maar een lijstje van die "vele" punten, graag met argumenten. Waarom is WLAN een probleem om te beginnen.
[/QUOTE]Dat lijstje kan jij ook verzinnen, aangezien mensen bij overheid dit ook lezen, zie ik niet in wat het nut is om aanwijzingen te geven van zaken die in de toekomst tot vrijspraak zullen leiden.
Daar wordt ik niet voor betaald, en inderdaad, voor niets gaat alleen de zon op.
Maar je kan een hint krijgen door artikel waar o.a. jij ook naar aanleiding hebt gereageerd, en wat ik nogmaals heb herhaald.
Het gaat over het betrouwbaarheid van tappen, aangezien jij nog een ander MD5SUM hashes per packet kunt binden, deze linken doormiddels van biometrie aan een individu, is tappen van packets niet als niet betrouwbaar te kwalificeren.
En dient juist om deze reden er voorzichtig mee te worden omgesprongen, en niet gezien worden als de natte droom van elke Inlichtingendienst / officier van justitie waar mee je feilloos en voor 100% iets mee kunt bewijzen.
De enige proces wat enigszins is gedocumenteerd is het GETAPTE AFLEVEREN bij JUSTITIE, dit is ook het enige waar je aan MOET voldoen, maar ALLE andere processen die betrouwbaarheid van een tap kan vergroten zijn niet gedocumenteerd, laatstaan dat ze zijn gecertificeerd danwel geaudit.
Ook laat de intrepretatie van wat 'zie ik nu' grote vraagtekens staan, immers dat je sessies kan reconstrueren zegt nog niets, zelfs als je bestanden zou kunnen recontrueren en je deze zou bekijken zoals -wellicht- de verdachte dat zou hebben gedaan, kun je nog steeds geen waterdichte conclusies trekken, waarop een verdachte wordt veroordeelt.
Dit is een kwalijke zaak.
In de Alkmaarse kinderporno zaak, is ook getapt, alleen lukte het justitie niet om plaatjes weer terug te toveren, vandaar dat ze over zijn gestapt op pseudo koop opsporing techniek.
Ook zijn bijvangst niet uit te sluiten, als je een website bezoekt, en daar staat een banner met kinderporno, wil dat niet zeggen dat jij kinderporno hebt bekeken, laatstaan dat je het gezien hebt.
Bij de interpretatie kunnen dit soort dingen naar de hand van de aanklager worden gezet, om iemand maar veroordeelt te krijgen.
Zeker gezien het feit dat indien je carriere wilt maken binnen justitie je alleen maar als aanklager zaken wilt, waar een veroordeling aan vast zit. (niet goedschiks, dan maar kwaadschiks is het credo)
Dat is niet triviaal, omdat er geen terugkoppeling is met de IP-nummeruitgiftesoftware kan je niet garanderen dat je "in sync" bent met het hele proces. Alleen als je fysiek tussen IP-nummeruitgifte server en klanten gaat zitten en die bit voor bit "vasthoudt en doorgeeft" weet je theoretisch zeker dat je alle informatie kan hebben, mag je geen interpretatiefouten maken(!). Electrisch of optisch sniffen met een T-stuk, in plaats van er tussen te gaan zitten, maakt al dat je niet zeker weet of je het zelfde hebt geinterpreteerd als de communicerende partijen.
Ik wil niet veel zeggen, maar in switched omgevingen kan je niet sniffen zonder ergens tussen in te zitten, of een spawn port te gebruiken.
Aangezien ELKE client in de meeste omgevingen dynamisch hun IP adressen verkrijgen zullen je daar een tappunt moeten hebben, indien je het slim aanpakt -integenstelling wat meeste verkopers je zullen adviseren- zorg je er voor dat je IP uitgifte punt in de buurt van een CENTRALE punt in je infrastructuur zit, zodat je met 1 aftap kunt volstaan. (zolang alle verkeer van die gebruiker er maar langs komt inclusief radius/tacacs/bootp).
Als je aftap doosje gewoon alle RENEWALLS/REQUEST bij houdt, weet je OOK bij door jouw aangegeven HALVE SYNCS alles wat je moet weten.
Tevens ben ik het er principieel niet mee eens dat men tapt op IP adres, omdat het niets zeggend is.
Ze kunnen beter in de telefoon centrale (ADSL/modem) en op centrale HUBs (kabelmodems) in een ring tappen, zodat je daadwerkelijk weet dat het IP verkeer ook bij het MAC adres vandaan komt, waarvan je het verwacht dat het vandaan behoort te komen.
Tenzij je er heilig van overtuigd ben dat er niets zo veilig is als het IP protocol, en dat het uitgesloten is dat er mee geklooit kan worden.
MAW (tenminste als je het met me eens bent) het huidige AFTAP -aka snif- verhaal is slechts bedoelt voor klootjesvolk die toch al niets van internet afweten, en die waarschijnlijk toch al weinig zal -kunen- uithalen wat een AFTAP bevel rechtvaardigd.
Aan de andere kant, inlichtingendiensten zullen de groot gebruikers zijn van het middel dat onder de paraplu van justitie bij iedereen in de strot is geschoven.
Klootjes volk zijn namelijk erg intressant om te monitoren, en dat doe je -als het kan- geautomatiseerd.
Niet flauw bedoeld: "Ken je de wereld van justitie?"
Afgezien daarvan is de wereld van overheid en met name van justitie al jaren het domein van bedrijven die veel geld verdienen met bedenkelijke producten en diensten, daarom hebben zij vaak ook geen klanten in de het bedrijfsleven, misschien iets voor nieuwe kabinet om op te letten. (overheid mag niet de grootste afnemer zijn van enig bedrijf.)
Het gaat hier om een bijzonder serieuze zaak. Als aangetoond kan worden dat alleen een toch eenvoudige patch in de IP-nummeruitgifte een correcte tap kan worden gelegd dan moet dat gewoon gebeuren.
Aha, dus justitie en een leverancier bepaald hoe een ISP zijn infrastructuur inricht?
Neem dan ook maar meteen het beheer over, misschien dat ISP's dan wel winst kunnen maken.
Bij justitieel tappen gaat het hele dossier naar de rechter en de getapte gebruikt het in veel gevallen ook als verdediging.
En hier ga JIJ de mist in, er is helemaal geen operationele ervaring op dit vakgebied, je neemt zaken maar aan die helemaal nog niet hebben plaatsgevonden.
Of denk jij niet dat de eerste de beste rechtzaak waarbij TIIT is gebruikt en voor de intrepetatie aan justitie/OM zijde COMVERSE software is gebruikt, men zal vragen hoe en wat mbt intrepretatie en die COMVERSE software.
En hoe de intregiteit van elke packetje vanaf het moment dat het een modem/router heeft verlaten t/m via TIIT doos bij Justitie wordt afgeleverd is gewaarborgd?
Zo correct mogelijke taps zijn =ook= core business van de providers!
Core business van een tap is het alleen als je het als selleable ITEM op je lijstje hebt staan.
Of als je aftap apperatuur in de markt inschuift gebaseerd op een standaard dat nog geen standaard is.
Originally posted by Unregistered
--------------------------------------------------------------------------------
IDD heeft =niet= meegewerkt aan het opstellen van TIIT, dat stuk knoeiwerk is door de providers opgesteld in samenwerking met justitie, practisch gezien goed bedoelende amateurs, er hadden gekwalificeerde en ervaren ontwerpers van fabrikanten bij moeten zitten.
--------------------------------------------------------------------------------
IDD? niet gezien.
Herinner me wel een discussie op tweaker over IDD.
--------------------------------------------------------------------------------
IDD heeft =niet= meegewerkt aan het opstellen van TIIT, dat stuk knoeiwerk is door de providers opgesteld in samenwerking met justitie, practisch gezien goed bedoelende amateurs, er hadden gekwalificeerde en ervaren ontwerpers van fabrikanten bij moeten zitten.
--------------------------------------------------------------------------------
IDD? niet gezien.
Herinner me wel een discussie op tweaker over IDD.
Sorry, zie:
http://forum.security.nl/showthread.php?threadid=829&highlight=tappen
Kies voor je communicatie een provider die hoogst serieus met tappen omgaat! In de rest van de wereld is dat vrijwel nergens mogelijk!
Het moet toch niet in handen zijn van een commerciele organisatie.
Er is geen enkel door de overheid gereguleerde controle op de tap software, geen certificering.
Mag ik daarbij de voorbeelden plaatsen van de "features" laatselijk ontdekt in de t1 t2 kant van comverse....
Tappen is kamerbreed democratisch overeengekomen, graag opbouwende kritiek, meld maar hoe het beter kan.
Net als de nieuwe mogelijkheden van een aivd, geweldig!
Trouwens bedankt voor de reclame boodschap..
Yours Sincerely,
......
Originally posted by Unregistered
Het moet toch niet in handen zijn van een commerciele organisatie.
Er is geen enkel door de overheid gereguleerde controle op de tap software, geen certificering.
Mag ik daarbij de voorbeelden plaatsen van de "features" laatselijk ontdekt in de t1 t2 kant van comverse....
Het moet toch niet in handen zijn van een commerciele organisatie.
Er is geen enkel door de overheid gereguleerde controle op de tap software, geen certificering.
Mag ik daarbij de voorbeelden plaatsen van de "features" laatselijk ontdekt in de t1 t2 kant van comverse....
Wij melden die "features" niet eens, worden we toch niet voor betaald.
Overigens neem ik al jaren geen blad voor de mond als voorstander van open-source standaarden en drivers voor dit soort gegevensoverdracht.
Een eerste vereiste voor TIIT2.0 meen ik.
Verder vind ik dat het tappen en loggen wel degelijk door vrij te kiezen niet-overheids organisaties moet worden gedaan. Dat is een gezond basisprincipe. Kunnen ook stichtingen met ide-ele belangen zijn.
+++chefren
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
