OPENTAP.ORG TEN EINDE
Het initiatief om open source aftapsoftware te maken is mislukt. De
partijen die zich met aftappen bezighouden blijven in hun schulp werken met semi-geheime
specificaties aan eigen tapsoftware.
Sinds 15 april 2001 moeten Nederlandse internetproviders 'aftapbaar' zijn. Alle internetproviders
kregen geheime specificaties van de overheid, de zogenaamde TIIT-specificaties.
Met behulp van hiervan kunnen internetproviders en fabrikanten van
de specialistische apparatuur om af te tappen bouwen en installeren.
Paul Wouters, de initiatiefnemer van Opentap.org
vond dat niet fraai. Hij verzet zich tegen de zijns inziens halfslachtige geheimhouding,
waarmee de overheid wilde voorkomen dat de TIIT-specificaties in verkeerde handen
vielen. Wouters legde
de hand op de specificaties en zette deze op
zijn website (pdf). De specificaties, een soort blauwdruk voor de apparatuur
en de netwerktopologie zijn afkomstig van het Nederlands
Forensisch Instituut, onderdeel van het ministerie van Justitie.
Opentap.org was een poging om tot betere, betrouwbaardere software te komen.
Het probleem met de gesloten specificaties is de gebrekkige ontwikkeling. Fouten
en beveiligingsgaten blijven zo langer verborgen, zo is de gedachte achter de
open source-opzet.
Maar het initiatief dat Wouters meer dan een jaar geleden startte is een stille
dood gestorven. Volgens Wouters is dat te wijten aan twee oorzaken: gebrek aan
sponsoring en aan externe deelname.
'Blijkbaar waren er weinig sponsors bereid zich aan een dergelijk project
te binden, het klinkt niet echt positief waarschijnlijk', zo luidt de eigen verklaring
van Wouters voor het wegblijven van sponsors.
De onwil van Nederlandse ontwikkelaars zoals Pine
en Innovative Design Delft
betreurt hij: 'Andere partijen waren wel geïnteresseerd,
maar ze wilden eigen software pas open source maken als ze de kosten eruit hadden.'
Het falen van het project is niet van invloed op het aftappen van internetproviders
door de overheid, want de apparaten en software zijn inmiddels operationeel. Wel
blijft het euvel volgens Wouters dat de geslotenheid van het aftapsysteem nauwelijks
extern toezicht mogelijk maakt op de exacte technische werking en de veiligheid
van het systeem.
Het gaat om gerede vragen: valt de software te beïnvloeden, zodat opsporingsdiensten
om de tuin zijn te leiden; luistert de overheid niet stiekem een een hele wijk
af in plaats van de aansluiting van een verdachte? Is de datastroom af te luisteren
door derden? Is cryptografie sterk genoeg?
Chefren
Hagens van IDD denkt dat er weinig voordelen zitten aan het 'open sourcen'
van de aftapcode: 'Het is ook niet echt veel software, wel zeer nauwkeurig "getuned"
en geoptimaliseerd. Klanten hebben er niet zo veel aan als het open source zou
zijn, er is enige service nodig en up-to-date verstand van zaken.
Hagens ziet de principiele voordelen van open source niet in dit geval: 'Zelfs
al is het open-source dan nog moet er de kennis worden ontwikkeld om het in gebruik
te nemen en houden. Dat kost ook geld, maar niet veel. Daar rekenen wij per basis-doos
700 euro per jaar voor, daar kan een bedrijf zelfs met open source niet tegen
op. Bedenk ook dat het moet werken en dat er geen ruimte is voor experimenten.'
Twijfel aan gedeelde appratuur
De markt voor aftapapparatuur is klein, en de TIIT-specificaties zijn geen
internationale standaard. Bovendien beperkt de NLIP met het gezamenlijk kopen
en beheren van apparatuur via een stichting de totale kosten.
Insiders binnen de aftapindustrie zetten vraagtekens bij deze 'apparatenpool'
van de NLIP. Zo is het nooit mogelijk voor een opsporingsdienst om zonder voorbehoud
direct in actie te komen met een tap. Daarnaast zouden de NLIP en het technisch
personeel dat de tapapparatuur beheert, altijd op de hoogte zijn van de aftapbevelen.
Sterker nog, de brancheorganisatie zou altijd op de hoogte zijn van een tap, terwijl
deze informatie bij de politietop, justitie of politiek niet eens direct beschikbaar
is op het moment van tappen.
Een niet ter zake kundige woordvoerster van het ministerie Economische Zaken,
waar het bevoegde Directoraat Telecom en Post nu onder valt, weigert een standpunt
te uiten over deze twijfels aan de 'pool' voor tapappatuur. Ze verwijst naar de
wettekst.
Is er soms sprake van frictie tussen Justitie en Economische Zakens aangaande
verantwoordelijkheden voor de afluisterapparatuur? Het wachten is wellicht op
de advocaat die de eerste echte rechtszaak met bewijzen komt dat het niet goed
geregeld is.
Aan Opentap.org zullen de providers voorlopig niets hebben. Wel blijft het
grote aantal documenten over aftappen in Nederland gewoon op de website staan,
zo verzekert Wouters. Het open source-project kan elk moment weer uit de koelkast
getrokken worden.
[AW, 7-11-2002]
