De function creep van Arda Gerkens

SP-Kamerlid Arda GerkensEen mailwisseling tussen Bits of Freedom en SP-Kamerlid Arda Gerkens legt haarfijn de gevaarlijke naïviteit van veel bestuurders en politici bloot. Sorry mevrouw Gerkens, goede bedoelingen zijn niet genoeg om function creep tegen te houden.

Aanstaande vrijdag kan de Commissie-Gerkens een Big Brother Award in de wacht slepen vanwege haar voorstel voor een downloadverbod. De jury is niet te spreken over het gebruik van zogenoemd Deep Packet Inspection, of DPI. Dat ingrijpende volginstrument wordt gretig gebruikt door schattige regimetjes zoals China en Iran.

Vlak na de bekendmaking van de nominatie schoot Arda Gerkens terug in een mail aan Bits of Freedom:

,,Beste jury.  Met gemengde gevoelens hebben we kennis genomen van de nominatie. (…) Het steekt  ons dat opnieuw wordt gesuggereerd dat we voorstellen het verbod te handhaven via DPI-technieken.  (…) De werkgroep heeft bedoeld te zeggen dat het mogelijk is om door middel van DPI een betaalmodel op te zetten, waarbij met toestemming van de klant het gedownloade verkeer wordt gemonitord en later afgerekend. De commissie heeft nooit gezegd of willen zeggen dat door middel van DPI de overtreders van het download verbod opgespoord dienen te worden. Iedere suggestie werpt zij dan ook verre van haar, juist omdat dit onevenredige inbreuk zou maken op de privacy van de internetgebruiker.’’

Als ik de woorden van Gerkens lees, probeert ze te zeggen: we gebruiken DPI om af te rekenen en niet om op te sporen. Dat opsporen kan misschien wel, maar dat willen we niet. Mevrouw Gerkens (en haar Commissie) bedoelt het vast allemaal goed, daarvan ben ik overtuigd. Haar hart zal best op de juiste plek zitten.

Maar goede bedoelingen alleen kunnen nooit genoeg zijn.

Mevrouw Gerkens kan opsporing aan de hand van DPI te ingrijpend vinden, maar geldt dat ook voor de ambtenaren van de ministeries van Justitie en Binnenlandse Zaken? Zodra er veiligheidsargumenten op tafel komen, moeten de privacy-argumenten doorgaans snel wijken. Guusje ter Horst heeft niet voor niets een (zeer terechte)  nominatie in de categorie personen aan haar broek hangen. En kijkt het volgende kabinet er nog zo tegen aan?

In de architectuur van databanken en netwerken is een schotje of muur zo doorgebroken. Met een beetje extra software kan een toepassing ineens voor hele andere doeleinden worden ingezet. Architectuur – de manier waarop databanken en netwerken worden ingericht ís politiek. Op het fundament dat je nu legt, wordt later driftig doorgebouwd. En vaak blijkt er nog veel meer mogelijk met een databank of netwerk (neem Trajectcontrole, die ook inmiddels  voor opsporing wordt gebruikt, ondanks de belofte dat dat niet zou gebeuren). Function creep noemen we dat.

Helaas zien we vaak dat die technische specificaties maar in een commissietje of ambtelijke werkgroep worden voorgekookt. Die specificaties zouden juist in het brandpunt moeten staan van het debat. Jammer genoeg gebeurt dat niet en worden we opgezadeld met gedrochten als het EKD, EPD, ELD, Verwijsindexen, schuldendatabanken, het CIOT en de centrale databank voor vingerafdrukken, waar allerlei verschillende gebruikers allerlei hele leuke dingen mee kunnen doen die verschrikkelijk belangrijk zijn, want anders…. Ondertussen moeten we onze vingers maar gekruist houden dat die databanken niet voor hele andere doeleinden worden gebruikt dan ze aanvankelijk op waren ingericht.

Mevrouw Gerkens wordt verblind door haar eigen goede bedoelingen. Ik weet niet of ik dat gewoon dom moet vinden, of juist heel eng.

Hier een helder filmpje over DPI en zijn toepassingen

  1. 1

    In een eerdere e-mail conversatie met Arda is me al opgevallen dat “function creep” haar blijkbaar totaal onmogelijk lijkt (filters bij de ISP tegen kinderporno).

    Ik vind haar wat dat betreft dan ook zeer zeker naïef. Helaas.

  2. 2

    Niet alleen naïef, maar gewoon incompetent. Iemand die zich met zulke zaken bezig houdt, moet in staat zijn om verder te kunnen kijken dan haar neus lang is. Iets wat ik bij Gerkens ten zeerste betwijfel, afgaande op bovenstaand voorbeeld.

  3. 3

    @2, JW:

    Haar tekst was in een reply aan mij, dat “we, als volksvertegenwoordigers daar altijd nog bij zijn”.

    Ik betwijfelde dat toendertijd al, meerderheid enzo, vulling na verkiezingen etc… Het schiet inderdaad tekort aan (lange termijn) visie.

  4. 4

    “Ik weet niet of ik dat gewoon dom moet vinden, of juist heel eng.”

    Dat geldt voor zo’n beetje voor ALLES m.b.t. privacy schendende systemen.

    Het is een beetje mijn stokpaardje, maar neem de OV-chipkaart: het zou klantvriendelijker worden. Maar houdt dat ding automatisch geld terug bij vertraging bij? Ga ik automatisch met korting reizen als het tijdens mijn reis 9uur wordt? Nee: dat dan weer niet. Kortom: niet alleen de politieke visie, ook de implementatie is dom. Of eng.

  5. 5

    Dimitri vergeet het rijtje schattige regimes even compleet te maken. Dat kan door 1 land toe te voegen: De VS.

    Verder wordt DPI ook in Europa (in strijd met Europese wetgeving) al door sommige ISP’s (onder dreiging van vervolging door de grote medialabels) gebruikt om netwerkverkeer te censureren.

  6. 6

    Een iets andere kant van de zaak: als er automatisch afgerekend wordt op het downloaden van beschermd materiaal geeft dat natuurlijk ook prachtige mogelijkheden:
    een stukje verborgen code in de webpagina van een slimme artiest kan mij in dat geval een rekening opleveren zodra ik de pagina open! (Of mag ik ook nog beslissen of ik wil betalen voordat ik -al dan niet bewust- ga downloaden?)
    Kortom, een en ander klinkt weer als een stukje gelegenheidswetgeving, bij elkaar gelobby’d door een commercieel denkende partij.

  7. 7

    Voor plaintext traffic is DPI de weg van de toekomst – de routers kunnen het aan en het heeft ook vele consumenten-voordelen. Iedereen gaat er applicaties voor maken. Je zou het expliciet moeten verbieden in de wetshandhaving, maar kom daar maar eens om. Of alles in crypto verpakken, natuurlijk.

  8. 8

    JE opmerkingen zouden hout snijden wanneer de werkgroep voorstelde om wetgeving te maken om met DPI technieken het downloadverbod te handhaven. Maar nergens stellen wij voor dat de overheid met DPI moet gaan werken. Er wordt al met DPI gewerkt door ISP’s. Dat kan inmiddels overigens ook volledig anoniem. Maar KJ heeft gelijk, wanneer je bang bent voor function creep dan moet je voorstellen DPI bij wet te verbieden. De werkgroep heeft niets anders gedaan dan constateren dat deze techniek bestaat en dat men dus wel degelijk levensvatbare modellen kan opzetten, itt wat de industrie neigt te beweren.
    “We” gebruiken dus helemaal niet DPI om af te rekenen. “We” doen helemaal niks. Gezien alle discussie die erover is, is het echter wel interessant om te kijken of je DPI dan niet met regels moet gaan omgeven. Bijvoorbeeld dat je expliciet toestemming moet geven, in plaats van expliciet verbieden.
    Daar zou ik als SP-er graag de voor en nadelen op een rijtje zetten, want DPI is er en wordt gebruikt, ook in de westerse wereld.

  9. 9

    Ach, het is toch gewoon altijd hetzelfde verhaal? Stel iets voor dat niemand wilt, zet er genoeg mitsen en maaren bij om eventuele tegenstand te overkomen, voer het door tot wetgeving en kies dan een van de volgende opties:

    1) Wacht totdat het onderwerp niet meer in de aandacht is en wijzig honderd kleine details in de implementatie totdat het originele concept niet meer bestaat.

    2) Gebruik een incident om het publiekelijk onderbuikgevoel te bespelen om zo uiteindelijk de regels aan te passen naar wat je wil. Kinderporno en terrorisme werken altijd goed.

    Wat het ook gaat worden, ik denk dat er zeker een downloadverbod gaat komen en dat dit gekoppeld gaat met een belachelijke maatregel die de privacy van de gebruikers volledig schend, internetproviders bakken aan geld kost om te gaan bijhouden en uiteindelijk de mensen die *echt* misbruik maken niet kan deren omdat die slim genoeg zijn om dit soort algemene maatregelen te ontwijken.

    Downloadverbod? Laat me niet lachen, mijn torrents zijn al jaren versleuteld.

    Misschien is dit niet de schuld van de Commissie-Gerkens, maar waarom is er nou nooit eens een commissie die zegt: leuk zo’n downloadverbod, maar helaas blijkt dat de overheid zich nooit binnen normale grenzen kan houden wanneer het om de handhaving van dit soort zaken gaat dus gaan we het maar AFRADEN omdat de privacy van de burger een groter belang is dan de inkomsten van de platenmaatschappijen.

    Bah.

  10. 10

    Het is ook een beetje een modieuze term, dat DPI; in feite is PAT (een vorm van NAT – Network Address Translation) al DPI – je moet immers de source- en destination-port van een TCP of UDP pakket ‘inspecten’ om een mapping voor je ‘translation’ op te kunnen zetten. Dat gaat geheel voorbij aan de oorspronkelijke functie van een router maar de meeste kunnen dat toch gewoon.

  11. 11

    Fijn dat Dimitri ons erop wijst dat de specificaties in het brandpunt van het debat moeten staan. Deze zijn dan ook verankerd in de wet. Verankerd ?

    Lees ik nou goed dat de politie korps Rotterdam-Rijnmond bewust de grenzen van de wet heeft opgezocht ? Ik dacht altijd dat de politie een voorbeeldfunctie had. Maar als het CPB signaleert dat het korps handelt in strijd met de wet (nummerbordregistratie 120 dagen bewaren) worden de politie korpsen niet publiekelijk aan de schandpaal genageld nee, jullie zijn stout geweest, niet meer doen, eventjes wachten totdat we de wet hebben aangepast.

    Wie er niet gelooft in function creep IS naief.
    En wie er niet bang voor is gelukkig.

  12. 12

    @10: Er is nogal een verschil tussen header en payload. Te vergelijken met een postbode die de enveloppe leest versus een postbode die ‘m openritst en de brief leest.

  13. 13

    Quote geleend : “If Deep Packet Inspection becomese widespread, the consequence will be that encryption becomes equally widespread, making the internet a safer place for all of us!”

  14. 15

    Je punt was dat, #10, “in feite PAT al DPI was”. <paste #12>

    De hele betekenis van die D in DPI is nu net dat het in dat geval om non-header data draait. Jij kijkt alleen naar de overeenkomst in technische implementatie en negeert daarbij en/of -door het contextuele verschil wat degene is die van belang is in deze discussie.

  15. 16

    Goed stuk. Arda zegt: “Er wordt al met DPI gewerkt door ISP’s”. Ik ben zelf ISP maar DPI wordt door mijn bedrijf als hoogst ongewenst beschouwd. DPI vergelijken met filteren of vertalen gaat overigens wel wat ver. Ik zou PAT/NAT eerder plaatsen in de categorie pakketverwerking. Een sorteermachine van de posterijen doet net zoiets, maar hoeft er ook geen brieven voor open te scheuren. Daar is weer dat Function Creep voor nodig.

  16. 18

    Arja Gerkens: als een Nederlandse ISP zonder meer gebruik maakt van DPI, dan overtreden zij de Nederlandse privacy wetgeving. DPI is het onderscheppen en analyseren van de data in pakketten. Bij telefonie heet dat afluisteren en bij de Post het schenden van het briefgeheim. Wat ze wel doen is kijken of er geen virussen in e-mails zitten, maar dat is toch echt iets heel anders.

    In intranets van bedrijven en instellingen wordt het netwerk verkeer veel vaker afgeluisterd dan menigeen denkt, de appliances zijn kant-en-klaar te koop: het is voor IT simpel. Wie geen end-to-end-enkryptie toepast is daarom niet goed bezig, want anders leest IT mee… Paranoide? Welnee, alle grotere bedrijven gebruik(t)en Notes vanwege de uitstekende enkryptie en management van de sleutels. Al een kleine 20 jaar.

  17. 20

    Jezus Rene en Arjan, laat ik het voor de scherpslijpers nog wat verder preciseren dan ! Mijn punt is: dat wat concentrators doen is al jaren, nee decennia, een ‘glijdend pad’ bij pakketten naar binnen toe, naar een steeds hoger niveau. Dat komt omdat de CPUs die die dingen aandrijven, steeds krachtiger worden. Deden ze eerst nog primair routeren (uitsluitend naar ethernet- en ip-header kijkend) en eventueel NAT, daarna kwam firewalling en PAT (waarvoor je in de TCP of UDP header moet kijken), en nu zijn we, om allerlei redenen maar niet perse die die aan afluisteren gerelateerd zijn, de inhoud van de data zelf aan het bekijken. En dat kan heel nuttig wezen.

    Ik kan mij zo bijvoorbeeld voorstellen dat je (ik weet niet of het al bestaat) een border-router maakt, die snort-rules managet en op de traffic loslaat, en de virussen (of misschien zelfs spam) helemaal niet eens naar het achterliggende netwerk doorlaat. Dat zou toch fantastisch zijn!

  18. 21

    @9, juist de overheid heeft keer op keer laten merken dat het niet in staat is om zich te beperken tot wat er in het originele voorstel stond. Keer op keer wordt er langzaam toegevoegd…

  19. 22

    Pfff. Het gaat op die manier toe naar clubjes die ‘takethat.avi.aes.blowfish’ aanbieden met een sleutel. En dan ? Inspectie = random data. Op grond waarvan moet dit geblokt worden ? Afzender ? Titel ? Het feit dat het 700MB groot is ? P2P-signaturen ?

  20. 23

    @Jan van Rongen, maar natuurlijk gebruiken ISP’s de techniek, evenals websites. De vraag is: handelen zij hierdoor in strijd met de wet op de persoonsbescherming? Ik heb vandaag deze vraag gesteld in het debat aan minister Hirsch Ballin en hij heeft CBP verzocht te gaan onderzoeken hoe het gebruik van DPI zich verhoudt met de wetgeving die erover bestaat. Dat was mijn wens ook en ik kijk halsreikend uit naar de conclusies van het CBP. Omdat de wet op de bescherming van persoonsgegevens aangepast gaat worden kunnen we dat dus meteen meenemen mocht blijken dat we in Nederland onvoldoende beschermd zijn. In Europa is men overigens al heel kritisch.

  21. 24

    Veel technieken die privacy kunnen schaden zijn een gegeven in de wereld i.t.t. een te overwegen optie. Hun gebruik zal allen maar toenemen en voor steeds kleinere organisaties tot op het alleenstaande individu beschikbaar worden. De onderkenning hiervan lijkt me het begin van alle serieuze analyses van dit onderwerp. De vraag lijkt mij dan ook hoe de onvermijdelijke achteruitgang van privacy egalitair van aard gemaakt kan worden, zodat de lasten en baten die er uit voortkomen niet onnodig geconcentreerd worden. Who watches the watchers en meer van dat soort vraagstukken. Hoewel ik weinig op de hoogte ben van de achterliggende technologie ben ik dus wel redelijk gecharmeerd van de grondopstelling van Arda Gerkens zoals ik die hier in de comments lees.

  22. 25

    Arja Gerkens: als een Nederlandse ISP zonder meer gebruik maakt van DPI, dan overtreden zij de Nederlandse privacy wetgeving

    Oh noes! Een bedrijf overtreed de nederlandse privacy wetgeving! Bel het CBP!

    O nee, die zeggen dat ze d’r niks aan doen, en dat ze het allemaal wel prima vinden. En de pliesie wil je aangifte niet opnemen, want ze hebben wel wat beters te doen dan moeilijke verhalen overtikken.

  23. 26

    @25: Van dat laatste zou wat vaker werk gemaakt moeten worden. De politie acht zichzelf nogal vaak boven de wet staand maar is verplicht je aangifte op te nemen, met enkel een uitzondering voor evident niet strafbare feiten. Te druk, of geen prioriteit, of wat dan ook is geen reden.

    (klagen doe je bij hoofdcommissaris of officier van justitie, en als die niet willen luisteren gerechtshof)

  24. 28

    @23: Beste Arda,

    Goed dat een kamerlid zich mengt in een discussie op een (inmiddels al weer oud) nieuw medium als Sargossa. Laat ik me dan ook even voorstellen, ik ben een VUT-tende IT-er, ex-adviseur, ex-manager en nog een heleboel meer bij een groot adviesbureau (ooit nog met Steeph samen een klus gedaan).

    Wat ik vind, is dat DPI als begrip nu enorm wordt opgerekt. Daarom eerst even terug naar de basis.

    DPI staat voor deep packet inspection. Dat betekent dat er een TCP/IP verbinding tot stand is gebracht tussen A en B (Alice en Bob), en dat een derde, zeg Charles, de IP-pakketten die Alice en Bob uitwisselen meeleest. De pakketten worden dus – terwijl ze onderweg zijn van A naar B of vice versa – gekopieerd door Charles.

    De vraag is wanneer en waarom Charles dat mag doen, wanneer Charles mag meelezen, en wat Charles mag meelezen. Maar het is Charles die aan DPI doet, niet Alice of Bob.

    Als Charles een ISP is, dan leest Charles in ieder geval de IP-headers, want anders kan hij zijn werk niet doen. In sommige gevallen leest de ISP (in zijn rol van Charles) ook andere informatie. Daarvoor moet hij de IP-pakketjes bij elkaar zoeken die één compleet TCP-bericht vormen, of zelfs een complete TCP-sessie monitoren. Dat kan nog steeds functioneel zijn, maar dan betreft het de TCP-headers, want met de data in het TCP-bericht zelf kan hij niets functioneels doen.

    De ISP levert ook andere diensten. Bij e-mail stuurt Alice een bericht naar Bob, met het verzoek die naar iemand anders door te sturen. Op dit punt zal een goede ISP (die dus nu Bob is) op virussen en spam scannen. Maar dat is helemaal geen DPI, want Bob luister niet af.

    Nog een paar details.

    @23: DPI-gebruik door een website is fysiek onmogelijk, want een website ziet geen ander IP-verkeer dan wat voor die website is bestemd.

    @10: DPI van UDP is een “contradictio in terminis”, want UDP is een openbare “broadcast” die juist bedoeld is door iedereen meegelezen te worden.