[Algemeen] Wetgeving over internet

[Nido Media]

Sjors Gielen wrote:
> 
> Op 18 apr 2010, om 20:37 heeft Nido het volgende geschreven:
> 
>> Dit is op zich een heel mooi verhaal, maar heeft in principe weinig
>> met de al dan niet digitale voordeur te maken. Een ISP heeft een
>> functie die vergelijkbaar is met die van de postbode vroeger. Als
>> zodanig pleit ik ook voor hun voor een soortgelijk briefgeheim. Ik
>> reageer ook niet omdat ik het niet met je eens ben, maar omdat ik een
>> zeer duidelijke visie heb op de digitale voordeur.
>>
>> Om het gelijk maar even geeky te stellen. Uw voordeuren zijn de exit
>> points vanaf uw eigen naar het publieke netwerk. In de meeste gevallen
>> betekent dit dat het modem wat u van uw ISP heeft gekregen de voordeur
>> is. Voor de gevallen waarbij er al dan niet expres gebruik wordt
>> gemaakt van het draadloos netwerk van de buurman, in dat geval is zijn
>> wireless netwerk uw voordeur.
> 
> Ik denk dat we het begrip "voordeur" hier meer symbolisch/figuurlijk 
> moeten zien dan fysiek/letterlijk. Wat Jorrit bedoelt, denk ik, is dat 
> er een afgebakend gedeelte van privé-ruimte moet zijn, "achter" de 
> voordeur, en een ruimte waar de overheid alle controle over heeft. 
> Inderdaad is het dan op zich logisch om die voordeur je router te 
> noemen, maar laten we het wat symbolischer bekijken.

Ik had geloof ik ook aangegeven dat ik dit stuk niet heb geschreven 
omdat ik het niet met het antwoord eens was. Toch lijkt het mij niet 
onverstandig om de symboliek aan het fysieke vast te binden. Dit omdat 
de voordeur zelf niet alleen een symbool is, maar ook gelijk een 
manifestatie. Door de symboliek aan de objecten te binden kun je de 
correctheid van de gekozen termen toetsen. Ook vermindert het de 
mogelijkheid voor verwarring door de verschillende voorstellen die wij 
van een voordeur hebben.

> Het maffe van het Internet is dat de overheid eigenlijk helemaal niet de 
> controle heeft. Het is een publieke ruimte over de hele wereld, en niet 
> alleen binnen Nederland. Laten we echter afspreken dat, voor het doel 
> van deze discussie, het internet "grenzen" heeft en dat binnen onze 
> grenzen, dus wat er het land binnenkomt en uitgaat aan datapakketten, de 
> overheid de controle heeft als ware het brieven, dingen die gezegd 
> worden op straat of binnenshuis.

Deze grenzen zijn er ook daadwerkelijk. Hoewel zij niet als zodanig 
gemapped zijn is er wel degelijk een redelijke mapping te maken tussen 
netwerk en land. Voor nederland ligt deze grens hoofdzakelijk bij de 
AIX. Het is waar dat er meerdere verbindingen liggen naar duitsland en 
belgie welk niet via het AIX worden gerouteerd, bieden deze bij lange na 
niet de bandbreedte om heel nederland internettoegang te bieden op 
vergelijkbare snelheden als nu.

> De vraag is dus hoe de regels /in real life/ zich nu doortrekken naar 
> dit beeld van een gigantisch "digitaal plein" waar wij allemaal op 
> rondlopen, en waar wij allerlei dingen kunnen doen die we op straat in 
> theorie ook zouden kunnen doen: rustig met elkaar kletsen (fora), onze 
> mening verkondigen (deze lijst), spullen van elkaar kopen 
> (Marktplaats.nl), maar ook meer illustere praktijken zoals heling 
> (botnets?) of zelfs misdaden als vandalisme ((D)DoS)[0]. De overheid 

Dit zijn op zich allemaal voorbeelden van gedrag, zou ik mij de mapping 
niet op deze mannier voorstellen. Voor menige actie geld dat de 
legaliteit niet zo zeer te maken heeft met het medium waarop het 
gebeurt, maar meer met de actie zelf. iemand oplichten op straat, bij 
hem/haar thuis, op de metro, via hypnosevideos of via het internet; het 
blijft oplichting, ongeacht het medium.

Een botnet zou ik daarom niet zozeer als een heling zien. Een botnet is 
simpel gezegd een verzameling computers welke naar een baas luistert. 
Het probleem is eigenlijk dat in de meeste vergelijkingen de gebruiker 
en zijn/haar computer als dezelfde entiteit worden gezien. De eerste 
associatie die dan bij mij boven komt voor een botnet is een verzameling 
slaven. Hoewel dit vast tot een hele interesante discussie kan leiden 
denk ik niet dat dit zal werken. Zeker niet aangezien we dan allemaal 
minimaal een slaaf moeten hebben, en omdat ik dan toch meer neig naar 
een discussie over de rechten van de slaven. Met de huidige levels van 
kunstmatige inteligentie ben ik nog niet bereid hier over na te denken.

Bij het begrip (D)DoS wil ik graag ook even de volgende kanttekening 
plaatsen. Een DoS, oftewel Denial of Service aanval, is het de bedoeling 
om de aan te vallen partij zo druk bezig te krijgen dat ze niet meer in 
staat is andere aanvragen te verwerken.

Bij wijze van voorbeeld wil ik dan ook de webserver vergelijken met een 
informatiebalie. een webserver luistert naar de aanvraag die u doet 
(bijvoorbeeld wat er in uw url balk staat). Vervolgens gebeurt er iets 
magisch (de webserver kan in principe doen wat die wilt nadat deze 
aanvraag is voldaan), vervolgens wordt er een documentje opgesteld en 
deze aan u overhandigd. Ditzelfde geld ook voor een informatiebalie.

Een typische DoS aanval richt zich op de database van een site. Als de 
aanvaller geluk heeft kan hij door even met de baliemedewerker te praten 
erachter komen wat voor soort aanvragen hij kan doen. Normaal gesproken 
wordt er door de gebruiker een invulformulier ingevult alvorens deze aan 
de server te geven, de aanvaller pakt hiervoor zijn eigen invulformulier 
en geeft hier aan om bijvoorbeeld niet alleen de eerste tien resultaten 
te geven, maar de eerste tien miljoen.

Afhankelijk van hoe goed de baliemedewerker dit formulier controleert 
zal zij dit verzoek weigeren, of inderdaad de aanvaller informeren over 
alle producten die zij heeft. Nou hebben de meeste balies, en ook de 
meeste webservers, meerdere baliemedewerkers. Maar de aanvaller kan net 
zo goed meerdere aanvallers inzetten vanuit dezelfde computer. Als alle 
beschikbare medewerkers direct overtuigd worden om de hele 
bedrijfshistorie te vertellen zal iemand anders niet meer in staat zijn 
tussen beide te komen. De aabvaller wordt namelijk het resultaat van 
zijn aanvraag retour gedaan, het signaal om het nog een keer te vragen.

Een DDoS is hetzelfde concept, maar dan breeder. In plaats van een 
specifiek moeilijke opgave voor de server te verzinnen vraag je gewoon 
de hoofdpagina aan. Echter houd je je alleen bezig met het aanvragen van 
die pagina, als er wat arriveert dump je het weer net zo hard. Hierbij 
heb je een hele grote groep vrienden (of een botnet) uitgenodigd die 
hetzelfde doen op dezelfde locatie. Het resultaat is hetzelfde als de 
gewone DoS. De server heeft het zo druk met de "nepaanvragen", dat ze 
geen tijd meer heeft echte verzoeken te verwerken.

> moet in het echt regels stellen om alles soepel te laten verlopen, maar 
> doet dat ter bescherming van de burger, en niet om hem op een 
> onwettelijke manier te limiteren.

De wettigheid van een gestelde limiet is te bepalen door de regering. 
Die bepaalt of een wet wel of niet bestaat. Het is aan de rechter om een 
wet te toetsen, echter hoeft dit niet te betekenen er wat met die 
toetsing gedaan wordt. Een middagje wetten.nl doorstruinen en u zult een 
verzameling wetten hebben waaruit blijft dat u ten alle tijde schuldig 
bent aan in ieder geval een van een set van wetten.

> Denken jullie dat dit een sluitende vergelijking is? Natuurlijk kraakt 
> het, maar is het goed genoeg om op voort te bouwen? Kunnen we, ook al 
> laat de technische kant van het verhaal het niet volledig toe, hieruit 
> de "internetwetgeving" afleiden of voorstellen, zoals Jorrit die voorstelt?
> 
> [0] Ik laat hier "hot topics" zoals kopietjes van een CD aan vrienden en 
> onbekenden uitdelen even expres weg. Die kleuren misschien de discussie 
> meteen weer zo.
> 
>> Op zich kan ik nog dertig pagina's voltypen met waarom dit een goede
>> metafoor is en waar wij onze voordeuren dan al niet goed of slecht
>> behandelen, maar dit lijkt mij onzinnig, in ieder geval totdat iemand
>> zijn intresse hiervoor laat blijken.
> 
> Ga je gang.

Ik zal het toch wat kort houden. Mijn voorkeur gaat er van uit om iedere 
computer als een apart huis te zien. Hierbij kun je de tcp-poorten als 
deuren zien. Okay, een huis met 65536 voordeuren is lastig voor te 
stellen, maar geef het digitale huis even extra veel ruimte en het is 
best te doen. Omdat je toch zo veel voordeuren hebt, houd je bepaalde 
deuren beschikbaar voor bepaalde taken. Als je wilt weten waar iemand 
anders woont (dns) gebruik je deur 53, wil je naar een informatie balie 
neem je deur 80, voor een veilige informatiebalie deur 443, en zo verder 
en zo voort.

Echter, als ik op de weg sta, en ik kom vanaf jou ISP jou netwerk 
(straat, dorp, stad, afhankelijk van je netwerk) binnen, is het 
onmogelijk voor mij om niet eerst langs dat specifieke huis te gaan. 
Eenmaal binnen is het de aanvaller vrij om je te overtuigen dat hij toch 
wel verder mag, maar hij kan niet om het huis heen lopen.

Als zodanig is de voordeur een goed voorbeeld. Misschien is een 
stadspoort wel een betere. Enigzins kan de vergelijking worden getrokken 
tot het sluiten van de statspoort met het eruit trekken van de kabel van 
de ISP.

>> De overheid heeft interne mensen nodig met meer verstand van computers
>> dan 'hoe houd je een windows  bak draaiend'. Daarbij moet eigenlijk de
>> hele overheid een cursus krijgen dat een memory stick van 1 bij 2 bij
>> 0.5cm evenveel data kan bevatten dan een pakhuis vol papier. En dat in
>> tegenstelling tot het pakhuis, wanner hij wordt leeggehaald vaak de
>> interesante delen van de documenten volledig in tact houdt: Een memory
>> stuck waar vertrouwelijke informatie op stond staat nog steeds
>> vertrouwelijke informatie op.
> 
> Ik neem aan dat daar binnen de overheid al veel op gehamerd wordt, maar 
> mensen blijven mensen. Interessant blijft wel dat grote bedrijven in 
> staat zijn hun research and development-afdeling zo ontzettend af te 
> schermen dat geen enkele elektronische gegevensdrager met mogelijk 
> gevoelige bedrijfsgegevens die afdeling kan verlaten, en dat een 
> ambtenaar zijn laptop kan laten liggen met ongelofelijk veel 
> privacy-gevoelige gegevens van heel Nederland daarop.

Kan ik hieruit opmaken dat u het toch wel met mij eens bent?

> Het informatie vergaren van de overheid houdt maar niet op, en dat is op 
> zich niet zo slecht; dan moeten wij er echter als bevolking wel op 
> kunnen vertrouwen dat met die informatie wordt omgegaan alsof ze het 
> grootste goed van de overheid is. Dat blijkt nu keer op keer niet zo te 
> zijn. Eigenlijk moeten daarover ook wetten komen, misschien - of in 
> ieder geval regels waar elke overheidsinstantie zich aan moet houden, en 
> waar -geheel relevant aan de "Controleer de controleurs"-poster- het CBR 
> bijzonder veel controle op moet hebben. Ik weet niet in hoeverre dit nu 
> al zo is.
> 
> Echter misschien moeten we ook dit afsplitsen naar een andere thread, en 
> deze even puur over wetgeving op internet houden. Ik stel dan dus drie 
> threads/categoriën voor:
> 
> 1. Wetgeving over internet - wat de overheid en ISP's wel en niet mogen 
> en moeten

bij deze. Andere mensen kunnen met de topics doen wat ze willen