Blog

Onze experts schrijven elke week nieuwe artikelen over de WIV

Bijvangst in onderzoeks­opdracht­gerichte interceptie: casus Jemen

11 februari 2018 -

Artikel 48 van de nieuwe WIV geeft de AIVD en de MIVD de bevoegdheid tot “onderzoeksopdrachtgericht” aftappen van internetverkeer. Wat we precies moeten verstaan onder “onderzoeksopdrachtgericht” wordt verduidelijkt in de Memorie van Toelichting, waarin een aantal voorbeelden worden genoemd. Een van deze voorbeelden is aftappen met als doel ‘ongekende contacten bloot te leggen tussen telefoontoestellen in een failed state en Nederland’ (p. 126). In deze casus analyse gaan we er van uit dat de AIVD en MIVD Jemen zien als een “failed state”. We beschrijven hoe dataverkeer tussen telefoons in Nederland en Jemen getapt kan worden en wat de implicaties hiervan zijn.

Voor we beginnen met de casus analyse volgen eerst een aantal opmerkingen. De Memorie van Toelichting spreekt van telefoontoestellen. Daarbij is het belangrijk te bedenken dat smartphones tegenwoordig meer op computers lijken dan op ouderwetse telefoontoestellen. Het ligt in de lijn der verwachting dat het merendeel van het verkeer van telefoontoestellen tussen Jemen en Nederland niet via het klassieke telefoonnetwerk zal gaan, maar via internetdiensten als WhatsApp, Viber, Skype, etc. Deze casus analyse zal zich dan ook richten op het aftappen van internetverkeer tussen Nederland en Jemen.

Het is opmerkelijk dat de Memorie van Toelichting de grenzen van het “onderzoeksopdrachtgerichte” vaak illustreert aan de hand van geografische afbakening. In de praktijk is dit echter vaak niet helemaal hoe het internet werkt. Het internet is primair een netwerk van netwerken. Al deze netwerken waaruit het internet bestaat regelen zelf met welke andere netwerken ze verbinding maken. Daarbij zijn lang niet alle netwerken direct met elkaar verbonden: vaak zal een verbinding tussen netwerk A en netwerk B via een aantal andere netwerken lopen. Zelfs internetverkeer tussen twee punten binnen een stad of dorp in Nederland zal, indien de twee punten niet bij dezelfde provider zijn aangesloten, vaak via meerdere netwerken, soms zelfs via buitenlandse netwerken, lopen.

Bekijken we nu, terugkomend op de casus, bijvoorbeeld het netwerk van een van de grootste aanbieders van mobiel internet in Nederland, KPN, dan zien we dat er geen directe verbinding is tussen het netwerk van KPN en netwerken in Jemen. Internetverkeer van het netwerk van KPN zal om bij Jemen uit te komen (uitgaande van de kortst mogelijke routes) eerst via danwel het Flag Telecom netwerk in het Verenigd Koninkrijk danwel via Telecom Italia’s Sparkle netwerk lopen om uiteindelijk bij Jemen uit te komen. Om binnen Nederlands grondgebied al het dataverkeer tussen KPN en Jemen in de gaten te houden zullen dus een tweetal taps moeten worden gelegd: een op de kabel die KPN met Flag Telecom in het Verenenigd Koninkrijk verbindt en een op de kabel die KPN met Telecom Italia’s Sparkle verbindt. Onderstaande visualisatie toont alle onafhankelijke netwerken op het internet (de groene stippen) en hun onderlinge verbindingen, met daarin gearceerd de routes tussen KPN en Jemen. Het netwerk van KPN is aangeduid met een oranje stip, de taps aangeduid met rode lijnen, de netwerken van FLAG en Sparkle zijn aangeduid met rode stippen, de vervolgroute naar Jemen is aangeduid met paarse lijnen en de netwerken in Jemen zijn aangeduid met een zwarte stip.

Taps op de routes tussen KPN en Yemen

Taps op de routes tussen KPN en Yemen

Het moge duidelijk zijn dat bij deze tap niet alleen dataverkeer naar Jemen binnenkomt. Ook dataverkeer naar de tussengelegen netwerken in het Verenigd Koninkrijk en Italië zal op deze tap binnen komen als bijvangst. De bijvangst is echter veel groter dan enkel de tussengelegen netwerken. De verbindingen van KPN naar FLAG Telecom en Telecom Italia’s Sparkle zijn namelijk te zien als grote aderen voor internetverkeer vanuit KPN naar allerlei bestemmingen over de hele wereld. Zo is het waarschijnlijk dat bijvoorbeeld verkeer van KPN naar het Zwitserse Credit Suisse Group netwerk via het FLAG netwerk zal gaan en verkeer van KPN naar het Amerikaanse Wikimedia via Sparkle zal lopen. De onderstaande visualisatie toont alle netwerken waarbij verkeer van en naar KPN door een van de taps gaat (op basis van kortst mogelijke route). Deze netwerken vormen samen de totale bijvangst en zijn met paarse stippen aangeduid.

Bijvangst van aftappen tussen KPN en Yemen

Bijvangst van aftappen tussen KPN en Yemen

Twee taps bedoeld om dataverkeer tussen KPN en Jemen op te vangen zal dus als bijvangst ook het dataverkeer naar ongeveer 12% van alle netwerken op het internet wereldwijd opvangen. Aan zo een kolossale mate van bijvangst heeft onderzoeksopdrachtgerichte interceptie de bijnaam sleepnet te danken.

In principe is het vrij eenvoudig om de bijvangst te scheiden van het daadwerkelijke verkeer naar Jemen. Ieder netwerk op internet heeft een eigen reeks adressen, oftewel IP-ranges. Al het dataverkeer op internet is vergezeld van zo’n adres om aan te geven waar het verkeer naar toe gaat. De data uit de tap kunnen in theorie dan ook vrij makkelijk gefilterd worden door specifiek te kijken naar IP adressen van of naar Jemen. De AIVD en MIVD zijn hier echter onder de nieuwe WIV niet toe verplicht. De diensten mogen van alle getapte data, inclusief bijvangst, de metadata gebruiken voor data-analyse. Daarnaast mogen de diensten de ruwe getapte data delen met buitenlandse diensten. Uiteindelijk moet wel binnen drie jaar geselecteerd worden welke data relevant zijn en dienen de overige data verwijderd te worden. Daarbij geldt dat ook uit de bijvangst nog relevante data kunnen worden bewaard en verder onderzocht, de selectie vindt namelijk niet plaats op wat relevant is voor het onderzoek naar telefoonverkeer tussen Nederland en Jemen, maar op wat relevant is voor ieder lopend onderzoek van de diensten.

Disclaimer

De visualisaties tonen de verschillende Autonomous Systems op het internet met hun onderlinge transit verbindingen. Dit is een versimpeld doch indicatief model van het internet dat niet alle peering tussen netwerken meeneemt. Verbindingen tussen netwerken in deze visualisaties komen niet per se overeen met fysieke verbindingen, zo kan het zijn dat meerdere verbindingen tussen verschillende netwerken fysiek samen in een kabel gebundeld zijn. Data voor de visualisaties is afkomstig van bpgview.io en maxmind, de dataset is hier te downloaden.

Lab Experiment

In dit experiment kunt u zelf zien langs welke netwerken verkeer van uw mobiele telefoon naar Jemen gaat. Installeer hiervoor de visual traceroute app voor Android of iPhone. Open de app en vul het IP adres 195.94.0.1 in, dit is een IP adres binnen het Teleyemen netwerk te Jemen. De app laat nu op de kaart zien langs welke netwerkroutes de verbinding tussen uw telefoon en het Teleyemen netwerk loopt. Bekijk langs welke route uw netwerkverkeer Nederland verlaat: dit is waar getapt moet worden om uw dataverkeer naar Jemen te onderscheppen.

Screenshot van een traceroute naar Jemen

Screenshot van een traceroute naar Jemen

Voer vervolgens de namen van websites die u graag bezoekt in in de app, zodat de routes naar deze websites getoond worden. Komen deze routes langs de tap? Dan komt uw bezoek aan deze websites mee in de bijvangst.