Europese criteria voor opslag verkeersgegevens
Vorige week maakte het Europees Parlement de weg vrij voor de opslag van verkeersgegevens. Europese lidstaten willen gezamenlijke criteria afspreken voor de opslag van verkeersgegevens. Dat blijkt uit documenten van de Europese politieorganisatie Europol.
Bij verkeersgegevens gaat het bijvoorbeeld om de telefoonnummers die iemand belt, de locatiegegevens van GSM-toestellen of de internetpagina's die iemand bezoekt. Het staat de lidstaten nu vrij om naar eigen inzicht deze gegevens op te slaan. Voor het vastleggen van verkeersgegevens is het niet nodig dat er een concreet strafrechtelijk onderzoek loopt.
De lidstaten willen gezamenlijke afspraken maken over welke verkeersgegevens opgeslagen gaan worden. Waarnemers verwachten dat de lidstaten een bindend akkoord willen afsluiten, zodat in heel Europa dezelfde criteria gaan gelden voor de opslag van verkeersgegevens.
Uit de documenten blijkt dat de politiediensten een grote hoeveelheid verkeersgegevens willen bijhouden. Bij internetnetwerken dienen de dag en het tijdstip van inloggen te worden vastgelegd, de gebruikte identiteit en het wachtwoord, de bezochte webpaginas, het aantal verstuurde of ontvangen bytes en het bankrekeningnummer of de creditcard waarmee het abonnement betaald wordt. Bij e-mail gaat het onder meer om het vastleggen van wie met wie mailt, de dagen en tijdstippen van verbinding, het identificatienummer van de gebruikte computers, gebruikte wachtwoorden en informatie over ontvangen e-mail.
Bij vaste telefonie willen de lidstaten alle gebelde nummers vastleggen, ook als de verbinding niet tot stand komt. Daarnaast moeten gegevens bewaard blijven over de lengte van het gesprek, de identiteit, het adres en de leeftijd van de bellers, en de factuuradressen. Bij mobiele telefonie gaat het bovendien om de locaties waar vandaan gebeld is.
Het is niet bekend hoelang de verschillende gegevens bewaard moeten blijven. Op dit moment verschilt de praktijk per lidstaat, maar het lijkt erop dat een bewaarperiode van een jaar of langer voor de meeste lidstaten acceptabel is. De Europese lidstaten legden in 1995 al gemeenschappelijke criteria vast om het aftappen van communicatie mogelijk te maken. Die afspraken waren echter niet direct bindend.
Opzich genomen is dit reden voor een feestje.
Dit besluit zal hoofdzakelijk misbruikende figuren tegen het hoofd slaan en heeft overheid eindelijk wat grip op communicatie kunnen vergaren, dat niet enkel ten nadele van criminelen is maar ook positief werkt voor gewone burgers die niets op hun geweten hebben.
Uit een opgebouwd surf c.q. communicatie verleden valt immers heel goed, nauwgezet en betrouwbaar (=verdedigbaar) te herleiden of een persoon wel of niet criminele activiteiten (heeft) (ge)bezigd.
Hieruit is te herleiden dat wanneer iemand géén misbruik (heeft) (ge)maakt van communicatiemiddelen, dit met nadruk ook zal blijken wanneer het communicatie verleden van een (verdacht) persoon wordt geraadpleegd.
Het lijkt ons alleen echter heel sterk dat men de leeftijd van de persoon die vanaf een aansluiting belt kan registreren. Blijkbaar is dat even een aandachtspunt in het gepresenteerde concept dat door de lindstaten gezamelijk zal worden uitgewerkt.
Zover mij bekend is de geboortedatum van de contractant reeds bekend bij bijvoorbeeld KPN.
Het is een goede zaak dat men op Europees niveau een dergelijk besluit heeft genomen. Een overgroot deel der internet problematiek zal hiermee met succes ter gade geslagen worden.
Weleens er aan gedacht dat het technisch voor sommige partijen -zoals KPNQWEST - niet haalbaar is.
Core routers switchen en werken op level 2 -zoals Cisco GSR- als jij van elk packet de source en destionation IP wilt weten zit je op level 3 te loggen, als je Port nummers wilt weten op level 5.
Je helpt dus je hele performance op zeep.
Aangezien capaciteit van een router DUUR is, kan het onbetaalbaar worden en leiden tot vele faillisimenten in de toekomst.
Het aftappen was al een dure aangelegenheid maar dit is nog veel duurder.
Ik zou aandelen kopen in datacom leveranciers -Cisco, Juniper, Xtreme, Foundry- en storage leveranciers -nas/san zoals Storagetec-
Weleens er aan gedacht dat het technisch voor sommige partijen -zoals KPNQWEST - niet haalbaar is.
...
Je helpt dus je hele performance op zeep.[/QUOTE]
Nee, uiteraard heb je daar zeker een goed punt aangehaald. Ik hield in voorgaande bericht in princiepe enkel rekening met het formele idee en besluit. Dat kan behoorlijk afwijken van de praktijk, niet altijd overigens omdat wanneer je naar de telecom-sector kijkt ook bijvoorbeeld KPN-Qwest heel goed in staat blijken essentiële verkeersgegevens uiterst nauwkeurig en minutieus te registreren. Zo krijg ik elk kwartaal nette grafieken waarbij het belgedrag van ons bedrijf uiterst gedetailleerd keurig in kaart wordt gebracht en zou je bij elke nota om de exacte specificaties kunnen vragen. Dus die techniek is reeds operationeel en moet wellicht (functioneel) enkel wat worden uitgebreid. Telecombedrijven die dat nog niet zouden kunnen zouden voor een dergelijke implementatie bij KPN terecht kunnen. (wellicht een mooie nieuwe mark zodat ze wat aan die grote schulden kunnen doen).
Wat betreft IP-verkeer, wordt dat alweer wat lastiger. In princiepe worden bepaalde gegevens al netjes in logfiles bewaard, zoals ondermeer de logfiles van HTTP-servers en dat van POP3 en SMTP servers. Maar deze gegevens liggen momenteel bij het 'doelstation'. De vraag zou zijn hoe deze gegevens minutieus bij de ISP zijn te vangen, zonder afbreuk te doen aan integriteit en performance. Bovendien genereerd deze laatste cathegorie voor behoorlijk wat gegevensverkeer bij de grotere ISP's. Zeker wanneer je nauwlettend tot aan bestandsgrootten toe zaken wilt registreren.
Ik bedoel, wanneer iemand onze site bezoekt staat dat garant voor ongeveer een 100 bestanden die geladen worden. Dat gegeven zou zelf best voor meer 'registratietraffic' kunnen zorgen dat dat de bestanden groot zouden zijn. Dat doet het trouwens ook wanneer ik de logs van de betreffende HTTP-server bekijk :)
Aan de andere kant heb ik zeker wel vertrouwen in de gezamelijke uitwerking van het concept door de lidstaten. Eventuele problemen komen daarbij natuurlijk ook aan de orde.
> partijen -zoals KPNQWEST - niet haalbaar is.
Ik denk dat het om gebruikersniveaus gaat en niet om geagreggeerd verkeer. Letterlijk overal loggen maakt dat alles veel te vaak wordt opgeslagen. Onredelijk
> Core routers switchen en werken op level 2 -zoals Cisco
> GSR- als jij van elk packet de source en destionation IP
> wilt weten zit je op level 3 te loggen, als je Port
> nummers wilt weten op level 5.
>
> Je helpt dus je hele performance op zeep.
Nou, ons PCI kaartje
http://www.ii.nl/idd/ft/print
Ontworpen voor:
http://www.ii.nl/idd/ft/
Zit met het verwisselen van twee optische connectors in een seconde in de verbinding. Merkt zo'n router verder nooit meer iets van.
> Aangezien capaciteit van een router DUUR is, kan het
> onbetaalbaar worden en leiden tot vele faillisimenten in
> de toekomst.
> Het aftappen was al een dure aangelegenheid maar dit is
> nog veel duurder.
Aftappen blijkt in de praktijk niet zo duur, omdat er nog nauwelijks wordt getapt begint vrijwel iedereen met iets eenvoudigs.
> Ik zou aandelen kopen in datacom leveranciers -Cisco,
> Juniper, Xtreme, Foundry- en storage leveranciers -nas/san
> zoals Storagetec-
Nou, ik vind het allemaal wat onzinnig klinken maar ik kom er nergens achter hoe met het precies van plan is.
Misschien wat filosoferen over de technische mogelijkheden?
Stel een provider heeft voor duizenden klanten een 2.5 Gigabit verbinding naar het internet. Gemiddelde pakketgrootte 500 bytes. Per log-regel tijdstip, verbindingsID, IPnr, IPnr, even ruim nemen, 20 bytes te bewaren.
Houd je met hardware filtering waar wij verder ons hand niet voor omdraaien ruwweg van elke 25bits 1bit over. Geeft een stroom van 100Mbit. Lijkt me dat een groot deel van de pakketten gebundeld kan worden, als ze bijvoorbeeld binnen 100 seconden van/naar zelfde adressen gaan dan zou je kunnen stellen dat er sprake is van de zelfde sessie. Misschien is daarmee nog wel een reductie met factor 10 mogelijk. Blijf je nog steeds met 10Mbit per seconde zitten om te loggen.
10Mbit per seconde vult een 100Gbyte AIT-3 tape van zeg 45 euro in ongeveer 80.000 seconden, ofwel 22 uur. En dan moet de 2.5Gbit pijp continu vol staan. Dat loggen kost zo'n hele grote provider 50 euro per dag aan mediumkosten.
Zo'n logger kost inclusief vervangen van tapedrives voor de vuist weg 100.000 euro in 5 jaar, ofwel 20.000 per jaar, ook ruwweg ruim 55 euro per dag.
Een log voor zo'n 2.5Gbit verbinding kost dus exclusief personeel en managementskosten voor de vuist weg zo'n 100 euro per dag. Ik kan het technisch niet onzinnig noemen.
Of het practisch nut heeft, geen idee. Het lijkt me dat de overheid strategisch een paar punten in het web moet duiden waar dan onder beheer van de providers zou moeten worden gelogd.
Gegevens alleen gefilterd, ofwel per IP adres oid, van de provider naar de overheid zodat de overheid nooit al te big-brother willekeurig met de gegevens aan de haal kan?
Dat filteren is helaas geen kleinigheid, daarvoor moet zo'n tape weer gelezen en geinterpreteerd. Lijkt me ook al weer te kostbaar voor een provider.
Tsja, complexe zaak. Ik zou toch graag van de politiek wat nadere gegevens zien.
+++chefren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
