DPI of nie… Houd het internet vrij en open!

Een gastbijdrage van Jaap-Henk Hoepman, verbonden aan de Radboud Universiteit Nijmgen en TNO. Het stuk is ook op zijn blog te lezen.

Deep Packet Inspection (DPI) is plotseling onderwerp van een politieke discussie, nadat bekend werd dat KPN en Vodafone van DPI gebruik maken. In de discussie wordt onder andere verwezen naar het briefgeheim. De analogie met het briefgeheim gaat echter mank en legt de nadruk op privacy aspecten, terwijl de discussie moet gaan over vrije toegang tot het Internet (en niet over het al dan niet toestaan van DPI).

Om een brief te bezorgen, hoef je de envelop niet te openen: het adres staat immers op de buitenkant. Internet werkt anders. Op het Internet worden berichten (een email, een Skype gesprek, of een WhatsApp bericht) in kleine pakketjes van vaste lengte verdeeld. Ieder pakketje bestaat uit een zogenaamde header, gevolgd door de payload. In de header staan de afzender en de ontvanger (beide als IP adres). De inhoud van het bericht staat in de payload. Er zit echter geen envelop om zo’n pakketje. Het is meer alsof je een lange brief verstuurd als een groot aantal briefkaarten.

Dit komt doordat op het Internet berichten elektronisch worden verstuurd.

Speciale computers (de routers) zorgen ervoor dat berichten bij de ontvanger terechtkomen. Deze routers zijn de distributiecentra van het Internet en staan bij Internet Service Providers (ISP’s) en telecommunicatiebedrijven. Net als bij gewone post kan een bericht via meerdere routers gestuurd worden voordat het bij de uiteindelijke bestemming aankomt. Om een bericht door te kunnen sturen moet een router het bericht eerst in zijn geheel lezen en tijdelijk opslaan in het geheugen. De payload wordt zonder verdere analyse bit voor bit gekopieerd. De payload blijft dus ruwe data. De header wordt wel geanalyseerd om de IP adressen die er in staan te achterhalen en om te zetten naar begrijpelijke informatie. Op basis van die informatie wordt bepaald hoe het bericht verder gestuurd moet worden. Uiteindelijk wordt het hele bericht gewist, maar technisch gesproken “leest” je ISP dus al je berichten.

Datzelfde gebeurt ook met Deep Packet Inspection (DPI). DPI is niets anders dan een speciale router die bij ieder binnenkomend pakketje niet alleen de header omzet naar informatie, maar ook de payload analyseert, om vervolgens iets te doen met deze extra informatie. KPN heeft deze techniek gebruikt om te kijken wat voor soort berichten er over zijn mobiele data netwerk gaan. Vodafone gebruikt deze techniek om bepaald gebruik van haar mobiele data netwerk (het zogenaamde “tetheren”) daadwerkelijk te blokkeren. ISP’s gebruiken overigens al jaren een vergelijkbare techniek om spam te filteren. Ook daarvoor moet in de inhoud van het bericht gekeken worden. Tevens wordt DPI gebruikt om botnets te detecteren, de verspreiding van virussen via het Internet te analyseren en geïnfecteerde PC’s tijdelijk van het Internet af te sluiten.

We zien dus dat

  • technisch gesproken er erg weinig verschil is tussen een router en DPI,
  • en er goede redenen zijn om de payload van een pakketje om te zetten in informatie.

Het heeft daarom weinig zin om een discussie te voeren over de vraag of we DPI moeten toestaan of niet. Juridisch gezien is het lastig onderscheid te maken tussen een router en DPI. Bovendien moet wetgeving techniek onafhankelijk zijn. In plaats daarvan zou de discussie moeten gaan over de negatieve gevolgen van het toepassen van technieken als DPI.

Wat zijn dan die negatieve gevolgen? Die liggen niet alleen op het terrein van de privacy, maar veel meer in de sfeer van netneutraliteit. Een reden temeer waarom een vergelijking met briefgeheim in relatie tot DPI mank gaat, overigens. Technieken als DPI geven ISPs de macht om

  • de kwaliteit van het Internet te bewaken,
  • de veiligheid van het Internet te verhogen door spam, virussen en botnets te blokkeren,
  • berichten voorrang te geven op andere berichten,
  • te registreren van welke internet diensten je gebruik maakt, en hoeveel,
  • op basis daarvan profielen over jou op te stellen en te verkopen,
  • voor bepaalde diensten meer of minder te laten betalen,
  • bepaald gebruik onmogelijk te maken door berichten te blokkeren.

De meeste mensen zullen het er mee eens zijn dat het bewaken van de kwaliteit van het netwerk en het filteren van spam, virussen en botnets legitiem is. Merk overigens op dat het juridisch gezien nog best lastig is om spam en dergelijke duidelijk te definiëren. Voorkomen moet worden dat ander, wellicht ongewenst maar desalniettemin legitiem, gebruik (denk aan pornografie) ook geblokkeerd wordt. Censuur ligt immers op de loer.

Het voorrang geven aan bepaalde berichten ligt al iets subtieler. Om Skype gesprekken en video’s in real-time over het Internet te versturen, mogen dergelijke pakketjes niet te lang bij een router geparkeerd worden. Deze pakketjes krijgen daarom voorrang. Dat is geen probleem, zolang ander verkeer daar niet te veel hinder van ondervind. Dit kan ondervangen worden door bij bepaalde belasting van het Internet, nieuwe real-time verbindingen te weigeren. Maar er zijn al ISP’s die vinden dat bedrijven als Google en Facebook moeten betalen voor de data die de ISP aan hun klanten verstuurd. Krijgen in de toekomst pakketjes van bedrijven die betalen voorrang op pakketjes van bedrijven die niet betalen aan de ISP?

Profilering van Internetgebruik is nu al niet toegestaan op basis van de Wet bescherming persoonsgegevens. Daar kunnen we dus kort over zijn. Blijft over de vrije toegang tot het Internet.

Tariferen van berichten door een ISP is moeilijk te verdedigen en dus ongewenst. Qua kosten maakt het voor een ISP niet uit waarvoor een pakketje wordt verstuurd en welke informatie daar in staat. De kosten worden immers puur bepaald door het aantal bits dat verstuurd wordt. Laat gebruikers die veel data versturen daarom meer betalen, maar maak daarbij geen onderscheid of deze gebruikers video’s kijken, Skypen, WhatsApp gebruiken of emailen. Elke vorm van tarifering riekt naar willekeur en is (gezien de voorbeelden waarin WhatsApp en Skype als premium services worden genoemd) vooral bedoeld om bestaande (niet Internet gebaseerde) melkkoeien van telecombedrijven te beschermen.

Blokkeren van berichten zou moeten vallen onder een “nee, tenzij” regime. Hierboven is het filteren van spam, virussen en botnets al als mogelijke uitsluitinggrond genoemd. Maar vrije toegang tot informatie is een groot goed en in veel landen gelijk gesteld aan het recht op vrije meningsuiting. Immers zonder vrije toegang tot informatie is het onmogelijk om zich een mening te vormen. In het bijzonder geeft het geen pas om gebruikers te verbieden om hun mobiele telefoon te gebruiken als netwerkverbinding voor hun laptop (het zogenaamde tetheren). Het argument dat tethering leidt tot overbelasting van het het mobiele netwerk van Vodafone, is dus gewoon een argument tegen flat-fee abonnementen…

Een duidelijk standpunt van de regering over vrije toegang tot het Internet, dat bovengenoemde punten adresseert, is essentieel. ISP’s hebben te veel controle over het Internet om dat aan deze marktpartijen over te laten.

  1. 2

    De heer Hoepman praat poep. eerst legt hij uit dat een router niet naar de payload kijkt en dat dat bij DPI wel gebeurt om vervolgens te constateren dat er geen verschil tussen een router en DPI.

    Vervolgens wordt er gesuggereerd dat DPI door de telecomns gebeurt om het specifieke gebruik te kunne detecteren maar dat kan voor het grootste deel (zo niet allemaal) gebeuren op basis van poortnummers. Sterker nog: het is uitermate lastig, zo niet onmogelijk, om via de payload te achterhalen waar het om gaat.

    Bij DPI door KPN en Vodafone gaat het niet over privacy, het gaat er om wie bepaalt wat je wel of niet mag met een internetaansluiting (netneutraliteit).

    Ik moet bij (bijna) iedere discussie over privacy en/of security constateren dat er niet met verstand van zaken wordt gesproken. Dit komt de kracht van de argumenten niet ten goede.

  2. 3

    @ALO; Ik vind het anders wel aardig uitgelegd (voor de leek).

    Sterker nog: het is uitermate lastig, zo niet onmogelijk, om via de payload te achterhalen waar het om gaat.

    Die techniek is anders inmiddels wel behoorlijk volwassen hoor. Allicht uitsluitend in het geval van gewone plaintext traffic, maarreh.. wireshark, snort, ze doen het allemaal, en dat zijn alleen nog maar de open source tools. Cisco en Symantec hebben hele suites voor dit soort doeleinden.

  3. 4

    @KJ
    Maar kunnen die dan op basis van payload thetering onderscheiden van vieze plaatjes en ook als het ge-encrypted is? Niet alleen geloof ik dat niet, het is ze er niet om te doen. KPN wil alleen de technieken die SMS verdringen in de gaten houden, daar gaat het ze om en daar heb je helemaal geen DPI voor nodig.

    En voor de leek wordt dit allemaal uitermate slecht uitgelegd. En ze trappen er ook weer in. Ze zijn uitermate verontwaardigd over DPI omdat ze denken dat het hun privacy schendt, terwijl de regering de telecoms wel toestemming geeft om bepaalde applicaties te knijpen. Dit gebeurt dus door de zelfde overheid die het gebruik van DPI gaat laten onderzoeken. Gewoon de waan van de dag. Het publiek wordt belazerd.

    Wat heeft een leek er aan als het wel aardig wordt uitgelegd maar de essentie is helemaal mis?

  4. 5

    Bij het verhaal van de router:

    De payload wordt zonder verdere analyse bit voor bit gekopieerd.

    Bij DPI:
    maar ook de payload analyseert,

    En verder:
    technisch gesproken er erg weinig verschil is tussen een router en DPI

    En:
    Juridisch gezien is het lastig onderscheid te maken tussen een router en DPI

    Misschien wel aardig uitgelegd voor een leek, maar ik begrijp er niets van.

  5. 6

    @ALO; Maar kunnen die dan op basis van payload thetering onderscheiden van vieze plaatjes en ook als het ge-encrypted is?

    Met vieze plaatjes zijn ze, ongelukkigerwijs, ook al een heel eind. Nee, niet als het encrypted is, natuurlijk. Maar VOIP zoals Skype heeft ook andere footprint-eigenschappen: packet-lengte en -frequentie bijvoorbeeld. Is iets waar ik op dit moment toevallig heftig in zit. Groot probleem – dit gelezen? De VOIP wereld staat een beetje op z’n kop op het moment.

    Wat heeft een leek er aan als het wel aardig wordt uitgelegd maar de essentie is helemaal mis?

    Het grootste probleem is en blijft het volume. En het feit dat 99,999999% van alle menselijke communicatie waar ook ter wereld bestaat uit ‘hallo, hoe gaat het?’

  6. 7

    @KJ
    Hartstikke leuk allemaal, maar niet ter zake.

    Waar het wel om gaat: Het is de KPN te doen om netneutraliteit. Men praat over DPI, men noemt privacy-aspecten, de overheid gaat het gebruik ervan onderzoeken, de waan van de dag regeert en op het zelfde moment is de regering bezig de telecoms toe te staan de internetverbinding te knijpen op applicatieniveau c.q. -criteria.

    En dit soort verhalen zitten dusdanig slecht in elkaar, dat de essentie niet duidelijk wordt.

  7. 8

    @ALO; Nou ja, afluisteren (overheid) en inspectie-vanwege-geld-verdienen (telco’s) – hoewel twee absoluut verschillende dingen – komen natuurlijk wel allebei voort uit dezelfde technologie. En het zijn beide machtige spelers, die al eerder hebben bewezen dat ze uitstekend door een deur kunnen als het gaat om jouw communicatie te onderscheppen.

    De bottom line is dat de ISPs hun bandbreedte een aantal keer hebben verkocht, ervan uitgaande dat we braaf een beetje http zouden blijven doen en dat was het. Maar klant-applicaties zijn in diversiteit gegroeid en nu klaar om die bandbreedte ook daadwerkelijk te gebruiken. We moeten gewoon weer betalen voor wat we krijgen – dan worden die telco’s ook misschien weer wat minder happig om bij de overheid extra deals te zoeken.

  8. 9

    Er staat “Deep Packer Inspection”.

    Dan lees je dus “Deep Pecker Inspection”.

    En dan wordt het opeens een heel ander stuk.

  9. 11

    @ALO Omdat er technisch gezien nauwelijks verschil is tussen een router en DPI, is het _dus_ juridisch gezien lastig onderscheid te maken tussen een router en DPI.

    Maar volgens mij zijn we het eigenlijk wel met elkaar eens: DPI is een rookgordijn. De discussie moet gaan over het waarborgen van netneutraliteit.

    @Siquo: Packer is inderdaad een lullige typo die ik helaas zelf niet kan fixen…

  10. 12

    @ KJ O_o

    @JH Hoep: Lief naar de redactie kijken helpt nog wel eens. Tip: Bondiger verwoorden levert kortere stukken op waardoor je het zelf ook eerder nog eens naleest :)

  11. 13

    Een router kopieert intern de payload van pakketten. Dat betekent dus dat de processor in een router de payload inlaadt, en elders weer wegschrijft. Als het pakket de router weer heeft verlaten is de toestand van de router (d.w.z de inhoud van al zijn geheugens en registers) wel veranderd, maar -en dat is de crux- de nieuwe toestand is onafhankelijk van de inhoud van de payload het pakket.

    Als er ook analyse van de payload plaatsvindt zal de toestand van de router nadat het pakket deze heeft verlaten niet voor iedere payload hetzelfde zijn.

    Technisch gezien is er dus een duidelijk verschil.

    Het zal niet noodzakelijkerwijs eenvoudig zijn om dit verschil praktisch aan te tonen.

    Of er juridisch verschil is, is onvoorspelbaar. De rechtspraak is bij uitstek talig waardoor bijvoorbeeld uitspraken in patentrechtzaken in de waarneming van beta-personen (ook de uitvinders zelf) niet zelden onlogisch of onzinnig zijn.

  12. 14

    @All; Het is misschien ook heel *handig* (ook voor thuisgebruik) dat routers anders kunnen oordelen over pakketten, op basis van hun inhoud. Vergeet niet – het internet breidt zich ook thuis (en op het werk) steeds verder uit. Mijn dochter kan, als ze zin heeft, de lijn aardig dicht knijpen met haar geskype. Goed, dat *kun* je ook oplossen met QoS-bits en/of haar MAC-adres, maar er zijn allicht andere situaties, nu of in de maak.

    /Ik gooi maar een balletje op.
    //Bij nader inzien – het *zou* alleen met QoS moeten kunnen, maar wie weet hoe braaf die applicaties daarin zijn?

  13. 15

    Voor de duidelijkheid is het misschien handig om ter referentie het OSI model er bij te halen.

    Een router (tegenwoordig vaak een laag 3 switch vanwege routering in hardware) houdt zich voor namelijk bezig met het routeren/switchen op basis van het IP adres van de bestemming (laag 1 t/m 3). Indien er sprake is van het gebruik van QoS zie je vaak in bedrijfsnetwerken dat er aan de randen van het netwerk op basis van TCP/UDP poort (laag 4) een bepaalde QoS kleur aan het paket gegeven wordt. Met deze kleur kan de rest van het netwerken bepaalde verkeersstromen voorrang geven ten op zichte van anderen stromen en zal pas bij een vol netwerk de minst belangrijke stromen paket verlies ondervinden. Ga er maar vanuit dat bij een internet provider de QoS kleuren van de klant niet vertrouwd worden en deze door het bedrijf zelf gezet worden.

    Bij DPI mag je er in principe van uit gaan dat deze black box zich in principe bezig gaat houden met de hogere lagen zodat (laag 5 t/m 7) er bijvoorbeeld zicht baar wordt welke URL opgevraagd, met wie een chat wordt gevoerd of naar wie een email wordt gestuurd.

    Bij laag 1 t/m 3 weet je dat je met Whatapp server communiceert. Met laag 4 weet je poort nummers met laag 5 t/m 7 weet je met welke vrienden er gecommuniceerd wordt.

    Mijn bescheiden mening is dat DPI in alle gevallen schieten met een kanon op een mug zal zijn doordat iedereen getapt wordt. Dit t.o.v. het plaatsen van een tap op een verdacht persoon waar alleen die stroom wordt opgeslagen.