Niemand die je daar antwoord op kan geven, ist gehaim.

Je stelt de juiste vragen. Als je niet wie waar zit kun je dat proberen uit te vinden met metadata.
Het social network analysis deel vind massale hoeveelheden data niet leuk. Je zult het eerst flink moeten gaan indikken.

Een vpn is juist heel goed herkenbaar als marker.
Het gaat om niet standaard gedrag te herkennen. Daarbij kan het heel behulpzaam om te weten wat normaal gedrag is.
Pak een flat 2 adressen gaan via vpn en de rest naar nu.nl google Facebook etc.

Als jij heel veel aluminium koopt, voor je hoedje of zo, dan val je op. Als jij geen bankrekening hebt, dan val je op. Als je nooit pint in een supermarkt, dan val je op.

SSL is mooi, maar het volstaat om fysiek in te breken, en een extra "comodo" te installeren, waarna men via een DNS reroute alle websites met geldig slotje kan laten zien. Dat zal de aivd wel mogen, en daarmee is het gemakkelijker om boeven te vangen.

De allerslimste vang je niet, en voor de allerdomste heb je dit allemaal niet nodig, maar wel voor de redelijk slimme die af en toe een foutje maken.
Metadata is vaak al goud waard. Als jij ineens begint te bellen of appen met een drugsdealer, en bepaalde nummerborden rijden ineens je wijk in en uit, dan kan dat een reden zijn om je nog wat beter in de gaten te houden.
Gekoppeld met je creditrating, je bestelgedrag bij de appie met je bonuskaart, en vooral het gedrag van je gezin/buren, kan men via een computer een profilering opstellen, waarmee je vanzelf bovendrijft, en een ouderwetsche rechercheur op onderzoek uit kan gaan.

Je hebt niet goed opgelet. Ze tappen geen wijk via de WiV, dat is zinloos en enorm veel moeite i.v.m meerdere netwerken.
Ze gaan meer op backbone niveau werken: Iedereen in NL die met (b.v.) Syrie communiceerd.

Individuen tappen ze gewoon met een standaard tap. En met standaard taps kan je makkelijk een straat/wijk gericht tappen. Dat kan nu al, zonder de nieuwe WiV. De minister moet dan besluiten dat iedereen in de wijk getapt mag worden. Dat zijn veel handtekeningen (i.p.v. 1 voor kabelgebonden tap). Een wijk kan onmogelijk in 1 kabelgebonden tap.

Het inrichten van een kabelgebonden tap kost veel meer werk (fiberroute vanaf kabelgebonden tap naar AIVD HQ?). Als ze aan hun eigen schattingen voldoen, is dat ongeveer 1 tappunt per jaar.

Als het uitkomt dan is de toko failliet. En technisch is dit te voorkomen (zie verderop in post).
Er zitten sowieso enorm veel "vage" Certificate Authorities in je browser. Ik gooi b.v. TurkTrust uit deze lijst. En vele anderen.

Paar "modules" als LEGO. Een hele wijk hacken zou kunnen. Maar lijkt me nogal absurd.


Certificates zijn en blijven secure op HTTPS. Zie:

https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security
https://en.wikipedia.org/wiki/HTTP_Public_Key_Pinning

Ik maak me meer zorgen om andere clients (non HTTP), zit daar PKP in? Zelden....
De aanvalsvector is afwezig als een website de juiste maatregelen neemt.

Een kabelgebonden tap is nogal onhandig om een wijk te tappen. Een wijk kan je beter via standaard taps laten lopen (de diensten weten toch wie waar woont).

Met een kabelgebonden tap kunnen ze zien wie nogmeer van die VPN-dienst gebruikt maakt. Niet op wijkniveau, maar landsniveau. Als je een VPN hebt richting een vreemd land (zoals je zelf suggereert), zetten ze sneller vraagtekens bij jou als persoon.

Het is zeer inefficiënt om een "kabelgebonden tap" te zetten op een wijk, dat zou namelijk een "kabelgebonden tap" per ISP zijn (en met 50+ ISP's wordt het lastig). Ik denk dat het vooral gebruikt gaat worden "voor de andere kant van de verbinding" (i.p.v. wijk niveau).

Hiernaast een advertentie met: "AIVD: Werk je graag met state-of-the-arttechnologieën als Hadoop, Spark en Kafka?"
Het zijn de bekende open source toepassingen hiervoor, iets wat er mee kan kun je uitvogelen.
https://www.tutorialspoint.com/hadoop/index.htm distributed systems , https://spark.apache.org/ let op het in memory deel en https://kafka.apache.org/ message broker ooit bedoeld om pageviews van webservers te volgen. Je kan op zoek gaan naar de beperkingen.

De cpu en io zijn gangbare beperkingen vandaar de spreiding over vele systemen. Het nadeel met elk systeem wat werk geven is dat zoiets universeel herhaalbaar moet zijn (map/reduce). Spark zit met het intern memory als afweging tegen de io en kafka is de data aanlevering Als je iets doet moeten het voor elk onderdeel hapklare brokjes zijn.
Denk nu niet dat je er in welke weg wat in kunt gooien dat er zo wat zinnigs uitrolt. R met phyton er omheen om iets op wat lijkt op coderen en programmeren voor de logica. Probleem is je weet niet van te voren niet welke logica.

"Aan referenda heb je helemaal niks in de discussie over privacy en veiligheid" door Ko Colijn, in Vrij Nederland, vrijdag 30 maart https://www.vn.nl/niks-aan-referenda/

Dit is volgens Ko "Instituut Clingendael" Colijn de uitvoering van de Wiv in de praktijk:


Een parel van inzicht. Die wet komt er uiteindelijk wel.

Dat voorbeeld van de wijk hebben de diensten ooit de wereld in geholpen, maar later teruggetrokken. Inderdaad verwarrend maar men zegt dat dit geen realistisch scenario is. Je hebt gelijk dat er veel via TLS gaat, dus veel van het verkeer (Gmail, je bank, whatsapp) kunnen ze waarschijnlijk niet lezen, tenzij ze de sleutels hebben.


Een partij als Comodo heeft de private key van de SSL certificaten van hun klanten niet. Ze kunnen wel nieuwe certificaten aanmaken maar dan moet je verkeer gaan manipuleren ipv aftappen. Dat mogen de diensten alleen gericht.


Dat mag ook niet. Het hacken door de diensten mag alleen gericht ingezet worden.


Kan, maar wederom alleen gericht


Als je weet dat een terrorist een bepaalde VPN gebruikt zou je zo misschien kunnen identificeren waar hij is. Je kan inderdaad alleen niet zijn verkeer zijn.


Nee wel meer, ze kunnen ook inhoud van onversleuteld verkeer zien. Maar ze moeten weggooien wat niet relevant voor hun onderzoeksopdracht is.

Met HSTS en HPKP is het manipuleren van certificaten onmogelijk binnen de browser. Ik wens de diensten veel sterkte.