WEINIG VRAAG NAAR VERPLICHTE TAPSYSTEMEN
Bijna een jaar nadat internetproviders officieel verplicht werden om internetverkeer af te kunnen tappen, hebben twee Nederlandse producenten werkende tapkasten afgeleverd. Waarom heeft het zo lang geduurd en waarom kan het nu opeens wel? Een uitgebreid vraaggesprek met Chefren Hagens, directeur van producent IDD.
Vernuftige elektronica die lang meegaat is de rode draad in het productenpakket van Innovative Design Delft. Het begon ruim 20 jaar geleden met analoge en digitale elektronica en Unix-computers. Via uiteenlopende snufjes als alarmeringslampjes voor invalidentoiletten en zusteroproepsystemen is IDD uitgekomen bij tapkasten voor internetproviders.
Wel een opmerkelijke overgang: van invalidentoiletten en bejaardenhuizen naar de internetwereld. Hoe is dat zo gekomen?
Directeur Chefren Hagens legt uit: 'Eigenlijk zijn we al heel lang bezig met tappen. In 1989 ontwikkelden we een techniek om geluid direct op een floppy te bewaren en dat zonder zoektijd af te spelen.'
'Een politieagent benaderde ons telefonisch met de vraag of we dat ook allemaal met een harddisk konden. Ik gaf aan dat dat een stuk eenvoudiger is omdat een harddisk veel sneller en bestuurbaarder is dan een floppy.'
'Een uur later belde hij met de vraag of het digitaal ook op tape kon en of we voor de volgende week een afspraak wilden maken met zijn baas. Weer een paar minuten later: dringggg. Of we de volgende dag op het bureau langs wilden komen.'
'Dat bleek in Breda te zijn bij de huidige Regio Midden- en West-Brabant, qua personeel de grootste regio van Nederland. Ik had werkelijk geen idee van tappen en werd tijdens een demonstratie langdurig van alle kanten ondervraagd door een ring van agenten over de practische en technische kanten van onze vinding.'
'Ik dacht dat ik klaar was en was al begonnen met inpakken. Plots schoven twee jongere managers, die er al die tijd hadden bijgezeten, naar voren en namen "het verhoor" over. Die zaagden mij echt helemaal door over mijn bedrijf en de planning. Het gewenste apparaat was er tenslotte nog niet...'
'IDD kreeg opdracht om een recordersysteem voor telefoonverkeer te ontwerpen en produceren. Ondanks dat er inmiddels een volgende generatie is afgenomen zijn tot mijn verbazing een paar van die oude recorders na twaalf jaar nog steeds operationeel.'
Luisterde je als producent zelf ook mee met telefoongesprekken?
'Dat moest een korte periode tijdens de ontwikkeling en het debuggen wel, ja. Eigenlijk mag daar niet eens een commissaris komen, het gaat tenslotte echt niemand wat aan wie er wordt getapt en wat er wordt gezegd, een stem of naam is zo herkend. De uitluisterruimten zijn dan ook speciaal akoestisch afgedicht en er wordt zoveel mogelijk met koptelefoon geluisterd. Dankzij een herenakkoord kregen wij korte periode wél toestemming.'
'Je maakt echt rare dingen mee in zo'n tapkamer. Je bent daar toch getuige van hele vreemde telefoongesprekken. Als je die hoort, dan begrijp je langzaamaan ook heel goed waarom de betrokken personen worden getapt. Voor een misdadiger is criminaliteit een "way of life", ze zijn er echt de hele dag mee bezig.'
'Ook iets heel triests meegemaakt, dat de hele tapkamer in rouw is, asgrauwe gezichten, was via een tap helder bekend geworden dat en hoe iemand een ander had vermoord. Maar dat mocht van de bazen niet worden gebruikt, want het taponderzoek had niets te maken met die moord. Ze gingen er duidelijk erg strikt mee om.'
Twee weken geleden haalde de Israelische fabrikant Comverse het NOS Journaal. Advocaten van een PKK-topman trokken de betrouwbaardheid van hun aftapapparatuur in twijfel.
'Dat was volkomen terecht. Gebruikers van Comverse en andere apparatuur zetten de getapte gesprekken min of meer met de hand op een rewritable en gemakkelijk en onzichtbaar te wijzigen optical disk.'
'Onze recorders backuppen als enige al twee generaties automatisch en niet modificeerbaar naar tape. Maar daar wil groot deel van de politie niet aan omdat je van tape lastiger wat terughaalt.'
Maar nu tappen jullie internetverkeer.
'Ja, Hans Leemans van NLIP [Nederlandse Vereniging van Internetproviders - WZ] meldde een tijdje geleden nogal breed in de pers dat internettappen helemaal niet kon. We stuurden hem een mailtje en schreven dat IDD geen serieuze technische problemen zag. We kwamen toen bij de NLIP op een lijst van mogelijke leveranciers.'
'Vervolgens werden we plots benaderd door een grote kabelprovider. Ik heb toen gevraagd of er ook collega's waren die mee wilden doen. Eén klant is immers te weinig voor zo'n ontwikkeling, je weet ook niet goed genoeg wat er elders precies nodig is. Daar werd voor gezorgd en we zaten vlot met de juiste mensen van alle grote kabelproviders aan tafel.'
'Ook hun technici meenden dat het niet kon, maar het lukte in ieder geval wel om heldere specificaties op tafel te krijgen. Belangrijk was dat ze alleen geënteresseerd waren als we niet in staat waren ook tapapparatuur te leveren voor de volgende generatie van snellere verbindingen. Het heeft voor die grote netwerken geen zin iets neer te zetten dat bij een beetje uitbreiding al weer helemaal anders moet.'
'De ingenieurs van IDD zijn vervolgens op het probleem gezet en die hebben een universele optische tapkaart ontworpen en uitgewerkt.'
Wat is jullie 'geheim'?
'We hebben bij het ontwerp sterk gebruik gemaakt van het feit dat we alleen maar hoeven "luisteren". Een normale router moet veel sneller zijn met de doorvoer van langskomende pakketjes.'
'Overigens zijn de snelheden en getallen duizelingwekkend. De gegevens komen met 2x 2.5 gigabit per seconde langs en heen en terug moeten beiden afgetapt. De gegevens gaan na een optisch/electrische omzetting een gate-array in met honderdduizenden logische elementen en 672 aansluitingen van 0.4 mm rond naar de print. Technisch is er ongeveer niets triviaal aan de hardware en de software.'
'Een van de grootste tegenvallers was iets heel praktisch. Er bleken in Nederland maar heel weinig bedrijven die zo'n print in elkaar kunnen zetten, eigenlijk maar twee. Assemblage kost bij kleine aantallen duizenden euro's per print. Een enkele print assembleren kost 3-4000 euro. Probleem is dat er voor die kleine aantallen niet serieus geautomatiseerd kan worden. Pick & place van onderdelen gaat wel, maar alles moet na solderen met behulp van speciale röntgencamera's door mensen gecontroleerd.'
Is het tappen van internet wezenlijk anders dan van telefonie?
'Jazeker. Het grote probleem is dat er bij internet geen centrale is en je derhalve in het veld glasvezelkabels moet aftappen. Met maar één te tappen persoon is dat gemakkelijk te doen: de provider programmeert wat aan de router of switch waarmee de te tappen klant aan het internet is verbonden en een kopie van de communicatie komt zo uit een Ethernet-poort.'
'Als er echter verschillende personen moeten worden getapt, dan wordt het beheer steeds ingewikkelder. Voor elke tap aansluiten, afsluiten, steeds de routers om, dat leidt tot een zeer ongewenste chaos.'
Maar dat hebben jullie toch op weten te lossen?
'Ja, door apparatuur te ontwerpen die strategisch is in te zetten en echt alleen meekijkt en principeel niets kan verstoren aan het verkeer.'
Ook Pine biedt een tapsysteem aan voor internetverkeer. Zijn Pine en IDD de enige twee in Nederland?
'Pine heeft bij mijn weten geen eigen oplossing voor het optische tappen, die werken met aanpassingen in de routers. Voor zover ik weet zijn het de enige partijen die compatibiliteitstests hebben doorlopen met de apparatuur van justitie. Ook ADC en Nortel waren flink actief met aanbiedingen, maar die zijn naar het schijnt beiden uitgevallen. De tap-tak van ADC is overgenomen door SS8 en Nortel schijnt wegens tegenvallende hoofdactiviteiten plots toch andere prioriteiten te hebben.'
Voor het tappen zijn er twee standaarden voor communicatie met justitie in omloop. In Europa is ETSI de norm, maar Nederland richt zich vooral op TIIT. Heeft IDD ook TIIT aangehouden?'
'ETSI is hier niet echt van toepassing, want primair voor telefoonverkeer. Wij hebben in principe ook TIIT aangehouden, maar die specificaties zijn niet 100% bruikbaar. Op details moesten we de TIIT-eisen laten schieten en kiezen voor een werkbare oplossing.'
Waarom is TIIT niet bruikbaar?
'De TIIT-standaard is opgesteld door providers en justitie, zonder overleg met ervaren producenten of cryptografische experts. Daardoor zit TIIT weliswaar goed bedoeld, maar vrij amateuristisch in elkaar. Van interne tegenspraak over lengte-velden en cryptografische zwakheden tot praktijkprobleempjes.'
Probleempjes zoals?
'Een voorbeeldje: TIIT schrijft voor dat het afgetapte verkeer over een TCP/IP-verbinding naar justitie wordt verzonden. In TCP/IP-verkeer zit echter veel terugkoppeling, omdat al het dataverkeer uitgebreid wordt gecontroleerd op fouten en gegevens zonodig opnieuw worden verzonden.'
'Die controle beperkt de capaciteit van een dataverbinding aanzienlijk. Daardoor kun je maar een paar klanten tegelijk aftappen, of in sommige gevallen nog niet eens één. Het UDP-protocol was daarom een betere keuze geweest dan TCP. UDP doet nauwelijks aan error checking.'
'Een implementatie van de TIIT-standaard is overigens maar een fractie van wat er nodig is voor een wat grotere provider. Die heeft een centraal systeem nodig waarmee de taps in het land kunnen worden ingesteld, een archief waar zes maanden wordt bewaard welke verbindingen er die periode zijn geweest en dat alles moet via veilige versleutelde verbindingen worden aangestuurd.'
'Dat klinkt stukken eenvoudiger dan het is. We proberen het systeem structureel en zoveel mogelijk van de grond af veilig op te bouwen. Zo kiezen we niet Linux als basis, maar het duidelijk veiliger opgezette OpenBSD (beide open-source Unix-versies), en we werken vanaf een read-only cd. Nergens in het systeem onnodige kopieën van gegevens bewaren, wat we maar kunnen verzinnen stoppen we er in, of beter gezegd: laten we weg.'
'Het mag niet gebeuren dat iemand kan inbreken op het systeem, een tap zet en die naar zichzelf doorgeeft. Net als bij de telefoontapapparatuur werken we er aan om het allemaal zo op te zetten dat we zelf met alle kennis van het systeem ook niet kunnen inbreken.'
Welke gegevens kan jullie systeem allemaal onderscheppen?
'In principe al het dataverkeer van en naar een bepaald IP-adres. Daarnaast kunnen we ook al het e-mailverkeer van een bepaalde internetgebruiker tappen. We kunnen nadrukkelijk niet op bepaalde trefwoorden filteren, zoals de NSA met Echelon en FBI met Carnivore doen. Dat was voor ons een principiële keuze, die we vanaf het begin in het systeem hebben gebakken. Zelfs als justitie of providers het zouden willen, kan onze optische tapkast het verkeer niet screenen op trefwoorden.'
Hoe betrouwbaar is het screenen op IP-nummers? Wat als die gebruiker de volgende dag inbelt en een ander IP-adres toebedeeld krijgt?
'Dat is geen probleem. Het koppelen van inbellende klanten aan beschikbare IP-adressen gebeurt meestal door een DHCP- of RADIUS-server. Die server kan het nieuwe IP-adres direct aan de tapkast doorgeven.'
Hoeveel gegevens kan jullie tapkast opslaan?
'Helemaal geen. Alle gegevens worden meteen doorgestuurd naar de tapkamer van justitie. Die slaat ze op en daar wordt geanalyseerd. Wij bewaren echt helemaal niets.'
Merkt de internetgebruiker iets van het tappen?
'Net als bij telefoontap pas achteraf. Binnen drie weken na beëindiging van de tap krijgt de getapte internetgebruiker bericht van justitie. In vergelijking met andere landen is dat dus in Nederland vrij netjes geregeld.'
'Een uitzondering vormt de BVD. Die rapporteert alleen maar naar boven, naar de minister en uiteindelijk de minister-president. Als de BVD je tapt, dan kom je daar pas achter als je, jaren later, inzage krijgt in je dossier. Op zich is daar wel wat voor te zeggen, aangezien het hier om de veiligheid van het land gaat.'
Vorig jaar riepen kleine providers dat het wettelijk verplichte tappen veel te duur zou worden en ze failliet zouden gaan. Er werden bedragen genoemd van miljoenen guldens. Hoeveel kost jullie tapkast?
'De prijzen staan op de webpagina. Een provider heeft eigenlijk maar twee systemen nodig om aan de wettelijke vereisten te voldoen: de FT-E voor het tappen van IP-adressen en de FT-M voor het tappen van e-mailverkeer, ieder 7000 euro. Ze kunnen de apparatuur overigens vaak delen. De kleine providers kunnen een tap laten zetten door hun top-level provider. Al met al hoeft dat zelfs een kleine provider de kop niet te kosten.'
Het is te verwachten dat kleine providers minder snel met tapbevelen van Justitie te maken krijgen, omdat ze simpelweg minder klanten hebben. Kunnen ze een tapkast ook huren?
'Bij Pine kan dat wel en als ze er bij ons op aandringen, zouden we dat misschien ook wel doen. Maar we raden het sterk af, omdat het erg onpraktisch is. Je weet nooit hoe lang een tap draait: een paar uur, een paar dagen, een paar weken of een paar jaar? Verder komt bij het inwilligen van een tapbevel veel méér kijken dan snel even een tapkastje plaatsen.'
'Tappen brengt met name door intensief gebruik van encryptie nogal wat administratieve rompslomp met zich mee. Vooraf moeten buiten het internet om, ofwel met uittreksels van de Kamer van Koophandel, ofwel met machtigingen van de ingeschreven directeuren en paspoorten, certificaten (encryptie-sleutels) met justitie worden uitgewisseld voor het coderen van de tapgegevens. Dat kun je niet even in een uurtje regelen.'
Heeft IDD al veel tapsystemen geleverd?
'Nauwelijks. Op dit moment zijn de meeste providers er niet zo mee bezig.'
Vanwaar die nonchalance, het is toch wettelijk verplicht?
'De afweging voor de providers die wij gesproken hebben is heel simpel: krijg je een boete als je een tapbevel niet volgens de richtlijnen inwilligt? De grote providers werken wel mee aan taps maar dan op de oude manier, dat justitie apparatuur naar binnen draagt. Die situatie is in het buitenland heel gewoon, maar hier - en daar kunnen we naar mijn mening best trots op zijn - door iedereen ongewenst verklaard.'
'Verkeer en Waterstaat, die de vergunningen regelt, heeft zich er nog niet voldoende helder over uitgesproken. Zolang het providers niets kost als ze zich niet strikt aan de wet houden zullen ze niet serieus investeren in een aftapbaar netwerk. Zou ik ook niet doen, het gaat toch om vrij veel geld en de meeste grote providers hebben niet echt geld over in deze periode.'
[WZ, 4 april 2002]
