Xs4all en Bit betwijfelen of de hoeveelheid verkeersgegevens over internetgebruik vermindert met een factor 20 ten opzichte van eerdere schattingen. De internetaanbieders vinden deze conclusie, van studenten van de Universiteit Twente, voorbarig.
De dreigende bewaarplicht leidt tot veel kritiek van Nederlandse internet service providers (isp’s). Zij vrezen onder meer dat de plicht om internetverkeersgegevens op te slaan massa’s opslagcapaciteit vereist en daardoor te kostbaar is.
Twee informaticastudenten van de universiteit van Twente, Ward van Wanrooij en Aiko Pras, stellen in hun scriptie ‘Data on Retention’ dat de hoeveelheid opslag die nodig is voor de internetverkeersgegevens veel minder groot is dan de isp’s stellen. Het onderzoek beschouwt een klein onderdeel in de discussie over een mogelijke wet die isp’s verplicht internetgebruiksgegevens te bewaren van hun abonnees.
Nuanceren
In plaats van de eerder geschatte twee terabyte per dag, is volgens het duo niet meer dan honderd gigabyte nodig (zie kader ‘Accounting Data’). Een gemiddelde isp hoeft daardoor volgens hen per maand niet zes terabyte op te slaan, maar ‘slechts’ driehonderd gigabyte. Van Wanrooij presenteert de resultaten in oktober in Barcelona, op een conferentie over gedistribueerde netwerken. Van Wanrooij: “Het onderzoek zegt niets over de zin of onzin van de Bewaarplicht. We willen echter wel verhalen over de enorme opslag die ermee gepaard zou gaan een beetje nuanceren.”
Xs4all en Bit wijzen het onderzoek van de hand. Er staat nog lang niet vast wat bewaard moet worden, betogen ze. De studenten gaan uit van de verkeersgegevens die worden gegenereerd door (Cisco’s) router-gegevensprogramma Netflow. “En dat wordt het zeker niet”, aldus Alex Bik, technisch directeur van Bit. Judith van Erve, woordvoerster van Xs4all: “Netflow laat slechts zien vanaf welk ip-adres contact wordt gezocht met welke webserver. Daar kunnen meerdere sites op staan. En dus weet je nog steeds niet wat een gebruiker daar deed.”
Oom agent
De twee isp’s verzetten zich met veel andere internetbedrijven tegen het wetsvoorstel dat hen verplicht alle gegevens van internetgebruik van de abonnees te bewaren. Ze vrezen onder meer voor de privacy van gebruikers en de hoge kosten. Ze twijfelen daarnaast aan het nut van de gegevens voor opsporingsinstanties.
De isp’s zetten niet als enige vraagtekens bij schattingen over de opslagbehoefte die ontstaat met de bewaarplicht. Onderzoeksbureau Stratix onderzocht in opdracht van het ministerie van Justitie begin 2003 welke internetverkeersgegevens voor opsporingsambtenaren van belang zijn. Volgens Hendrik Rood, een van de onderzoekers, moet die oorspronkelijke berekening worden bijgesteld. Hij denkt dat er nu al vier keer zoveel internetverkeer wordt gegeneerd. Ook wordt nu gerept over het opslaan gedurende een jaar, in plaats van een kwartaal. “Dat betekent zestien keer zoveel gegevens.”
Die data eens per week op een cd of dvd branden is een manier van bewaren, erkent de onderzoeker. Alleen heeft een opsporingsambtenaar daar niets aan. Die data moet in een gestructureerde database, om doorzoekbaar en combineerbaar te zijn. “De opslagcapaciteit is niet een technisch, maar een economisch probleem.”
Rood betwijfelt daarom of het verbeteren van de logs van Netflow voldoende is. Oom agent en de officier van justitie willen zoveel mogelijk gegevens verzamelen, zegt hij. “Over relevantie en weggooien is door hen nog niet nagedacht.”
De scriptie van Ward van Wanrooij en Aiko Pras staat online: http://www.ward.nu/papers/draft_wanrooij_pras_data_on_retention.pdf
Accounting data
De bewaarplicht vereist niet dat internetaanbieders alle gebruiksgegevens van hun abonnees bewaren. Het gaat slechts om een deel van de ip-gegevens. Ward van Wanrooij en Aiko Pras definiëren de accounting data als volgt:
1) ip-nummers gekoppeld aan gebruikers
2) poortnummers
3) data en tijdstippen
4) het soort dienst dat wordt afgenomen
Dergelijke gegevens zijn bij isp’s wel bekend, maar worden nu niet bewaard. Onder meer met de Cisco-software Netflow is het internetgebruik te monitoren. Netflow wordt door veel isp’s gebruikt om te zien of het netwerk goed functioneert.
De twee studenten stellen een betere manier te hebben uitgevonden om deze Netflow-informatie in te dikken. Door bepaalde stukken weg te laten en andere gecomprimeerd op te slaan, blijft niet meer dan 0,04 procent van de originele datastroom over. Dat is een factor 20 lager dan eerdere schattingen.
Petitie tegen bewaarplicht
Xs4all begon vorige week een petitie tegen de bewaarplicht. Het smeekschrift, te ondertekenen op http://www.dataretentionisnosolution.com, wordt aangeboden aan de Europese politiek.
De handtekeningenactie is een vervolg op de T-shirtactie dit voorjaar. Enkele tientallen medewerkers van internetbedrijven, gekleed in deze zwarte t-shirts, werd de toegang ontzegd tot de Tweede Kamer. Daar wilden ze een overleg over de bewaarplicht bijwonen. “Het dragen van t-shirts met de tekst http://www.bezwaarplicht.nl zou de orde verstoren”, aldus een van de dragers ervan. “We hebben toen de t-shirts binnenstebuiten gekeerd. Zo mochten we wel naar binnen.”
Xs4all is een van de internetdienstaanbieders die zich verzet tegen de bewaarplicht. Samen met collegabedrijf Bit stapte de Amsterdamse internetaanbieder om onder meer die reden eind vorig jaar uit de branchevereniging NLIP. Deze koepelorganisatie zou zich niet genoeg verzetten tegen overheidsplannen. De twee begonnen een nieuwe branchevereniging, ISPO (Internet Service Provider Overleg) dat zich luidkeels verzet tegen onder meer de bewaarplicht. De NLIP werd in april dit jaar opgeheven; een publieke brief van de ISPO tegen de bewaarplicht werd tot nu toe door 246 internetbedrijven ondertekend.
Nieuwe routers maken bewaarplicht heilloos
De vereisten van de bewaarplicht zijn nog lang niet duidelijk. Wel is al twijfelachtig of de wet enige zin heeft. Technische ontwikkelingen maken een bewaarplicht in Nederland en de EU ‘heilloos’, aldus acht Nederlandse internetdienstaanbieders. Een slimmerik maakt gebruik van anonimiseringsdiensten, versleuteling en encryptietunnels om zijn data buiten de EU te brengen. Zo omzeilt hij de bewaarplicht.
De acht schrijven dit begin juli in een reactie op een onderzoek van de Erasmus-universiteit over de bewaarplicht. Ze wijzen onder meer op anonimiseringsdienst Tor (http://tor.eff.org/). Dat legt voor de gebruikers het tcp-verkeer om via zogenaamde Onion-routers (Tor is volgens de auteur mogelijk de afkorting van The Onion Routing network). Iedere router kent alleen de vorige en de volgende router. Dat maakt het voor afluisteraars lastig om de bron van voorbijkomende data te vinden.
Volgens de makers van deze open source software maakt Tor veel van de gebruikelijke tcp-applicaties anoniem, waaronder het surfen over het net, het publiceren van websites, instant messaging, internet relay chat en zelfs ssh. Dat laatste programma wordt veel ingezet voor het versleutelen van verbindingen tussen clients en servers.
