Door Brenno de Winter

Na de aanslagen in Londen wordt er versneld gewerkt aan een bewaarplicht voor (internet)verkeersgegevens. De maatregel is niet alleen omstreden, maar ook eenvoudig te omzeilen en daarmee niet erg effectief. Dit blijkt uit een inventarisatie van Webwereld.

Als het aan de Europese ministers van Justitie ligt, moeten internetproviders de handel en wandel van 450 miljoen burgers opslaan en jaren bewaren. De maatregel zou onderzoek naar kinderporno en terreur eenvoudiger moeten maken en zelfs kunnen bijdragen aan het voorkomen ervan, zo is het idee. Maar internetproviders zien niets in de plannen en wijzen op de kosten die ze moeten maken. Ook trekken vooral de voorvechters van privacy, zoals Bits of Freedom, de effectiviteit van de maatregel in twijfel. Webwereld nam de proef op de som en ontdekte dat criminelen heel gemakkelijk de bewaarplicht kunnen omzeilen. Tien voorbeelden.

• *Wlan * Met de opmars van draadloze netwerken is het in een beetje stad geen probleem een bedoeld of onbedoeld onbeveiligd netwerk te vinden dat gratis toegang geeft tot internet. Hierdoor is het lastig het surfgedrag te koppelen aan een individuele gebruiker. Omdat het eenvoudig is het unieke adres van een wifi-kaart softwarematig aan te passen, is het mogelijk meerdere sessies niet langer aan elkaar te koppelen. Wie tegen betaling draadloos gaat werken kan een toegangscode vaak contant betalen, zodat er geen creditcard is om de transactie te herleiden.

• *Prepaid gsm * Internetten kan ook prima worden gedaan met een prepaid telefoon, waarbij ook hoge snelheden gehaald kunnen worden. De telefoon met kaart kan met contant geld worden gekocht. Wie vervolgens op een publieke locatie gaat zitten zonder een andere gsm die aan staat, kan niet worden getraceerd. Albert Heijn biedt telefoons aan na vertoon van een bonuskaart, maar ook deze kan gratis anoniem worden verkregen tijdens de aanschaf. Een apart toestel is wel belangrijk, omdat ieder apparaat een eigen unieke imei-code heeft.

• *Chatten buiten Europa * Wie alleen wil anoniem chatten of mailen kan dat doen vanaf een website die buiten de eu staat. De overheid zal dan alleen zien dat iemand naar een bepaalde url surft, maar weet niet met wie de persoon in contact staat. Veel games hebben de mogelijkheid om met tegenspelers te chatten. Vanuit China is het een publiek geheim dat veel politiek activisten gamen om zo onderling te kunnen communiceren.

• *Eigen server * Voor een paar tientjes per maand is het mogelijk een eigen server bij een internetprovider te plaatsen. Op die server kunnen vervolgens allerhande diensten worden opgezet, waarbij met behulp van versleuteling de inhoud te verhullen is. Op het moment dat de overheid inzicht wil hebben in de logboeken, weet de crimineel precies welke informatie wordt gezocht en hoe een onderzoek in zijn werk gaat.

• *Modem * Sluit een modem aan op een computer en bel ouderwets in op een bulletin board in bijvoorbeeld Brazilië. Het verkeer is vervolgens geen internetverkeer en zal minder snel worden gemonitord. Het afluisteren en ontcijferen is een moeilijk proces.

• *Besloten dienst * Op een server verklaar je een dienst tot een besloten netwerk dat niet voor iedereen open staat. Omdat niet iedereen een login kan krijgen, is het ook niet verplicht te loggen en valt de communicatie dus buiten de bewaarplicht.

• Anonymous proxy * Door te gaan werken via 'n anonymous proxy en remailer buiten Europa is alleen vast te stellen dat er verkeer naar de proxy gaat. Door de versleuteling is niet te achterhalen wat dit verkeer precies is.

• *Tor * Met behulp van Tor, dat fungeert als Proxy, worden internetverzoeken langs veel verschillende computers gerouteerd. Bij ieder verzoek wordt een andere route gekozen en voor de administratie is niet meer duidelijk dan dat iemand surft naar een andere computer op internet. De eindbestemming blijft onduidelijk. De software om dit te realiseren is open source en voor veel platformen beschikbaar. Deze methode vergroot de privacy van de internetter overigens wel ten koste van de snelheid.

• *Freenet * Een stap verder dan Tor gaat Freenet. Dit open-sourceproject levert niet alleen bescherming voor de ontvanger van informatie, maar kan ook de informatie beschermen. De data worden namelijk niet op een enkele server op geslagen maar over veel machines op internet verspreid. Zo is er geen webserver met logboeken om te analyseren beschikbaar en kan informatie ook nooit zomaar offline worden gehaald.

• *Versleutelde tunnel * Met behulp van een versleutelde tunnel kan een verbinding met een server aan de andere kant van de wereld worden gemaakt, die vervolgens vanuit dat punt het verkeer weer op het internet brengt (anonymous proxy). Door vervolgens de informatie in een ander protocol te stoppen en weer te versleutelen, kan zelfs bij een internettap de inhoud bijna niet meer worden achterhaald door de complexiteit.

Uit de niet uitputtende lijst met voorbeelden wordt duidelijk dat zonder veel moeite de overheid om de tuin kan worden geleid, zodra wordt begonnen met het invoeren het registreren van het internetgedrag van burgers. De effectiviteit van de maatregel kan dan ook in twijfel worden getrokken, want een beetje crimineel zal snel zijn weg naar beschermde communicatie vinden. Alleen de 'domme gebruiker' zal zich dan ook laten pakken. Het logisch gevolg is dan ook dat veel mankracht van geheime diensten en politie verkeerd zal worden besteed. "Een dollar kun je slechts een keer uitgeven", zegt beveiligingsexpert Bruce Schneier over ineffectieve maatregelen. "Wie dus zijn geld verkeerd besteedt, wordt niet veiliger, maar juist onveiliger."

Bron: Webwereld.nl, 21-09-2005