XS4ALL Weblog

Telecomgegevens voor opsporing eenvoudig te manipuleren

Niels Huijbregts

Nu.nl heeft met medewerking van XS4ALL onthuld dat telecomgegevens voor opsporing eenvoudig te manipuleren zijn. Journalist Brenno de Winter benaderde ons met het verzoek mee te werken aan een test: hij wilde vanaf zijn mobiele telefoon bellen naar een nummer van een XS4ALL klant, om te zien hoe dat gesprek wordt geregistreerd in de database voor de Bewaarplicht. Het nummer waarmee hij belde, zou vervalst zijn. Gespoofd, in tech-taal.

Alle internet- en telefonieproviders in Europa moeten de metadata van alle telefoongesprekken en e-mails op te slaan, zodat opsporingsdiensten daar gebruik van kunnen maken. Zo wordt bijvoorbeeld geregistreerd wie met wie belt en mailt, hoe lang gesprekken duren en waar mensen zich bevinden op het moment dat het gesprek plaatsvindt. Dit is wettelijk verplicht in de Bewaarplicht Telecomgegevens.

De vraag die Brenno de Winter zich had gesteld: als ik mijn ‘afzender-nummer’ vervals, komt dan mijn eigen nummer in de database terecht, of het vervalste nummer? Want als zou blijken dat het vervalste nummer werd geregistreerd, dan zouden de bewaarplicht-gegevens onbetrouwbaar blijken.

De test wees uit dat inderdaad het vervalste nummer werd geregistreerd. Volgens de database had niet Brenno de Winter gebeld, maar heel iemand anders. Dat zorgde voor opschudding. De vereniging van strafrechtadvocaten maakte zich zorgen over de betrouwbaarheid van bewijsmateriaal en in de Tweede Kamer werden kamervragen gesteld aan minister Opstelten van Veiligheid en Justitie.

Een week later kreeg de zaak een spraakmakend vervolg, toen bleek dat het spoofen van het afzender-nummer niet alleen gevolgen had voor de Bewaarplicht, maar ook voor het aftappen van telefoonlijnen. De Winter ontdekte dat criminelen een eventuele telefoontap op hun lijn eenvoudig zelf kunnen uitschakelen door hun nummer te spoofen.

Helaas geloven sommige beleidsmakers dat elk probleem met technologie eenvoudig kan worden opgelost, zonder oog te hebben voor de nieuwe problemen die het gebruik van technologie met zich meebrengt. Het probleem hier is dat de gegevens die voor de Bewaarplicht worden opgeslagen, nooit bedoeld zijn voor opsporing. De gegevens zijn primair bedoeld voor het technisch tot stand brengen van gesprekken, en voor facturering. Bij een telefoongesprek is het nummer waarnaar wordt gebeld natuurlijk belangrijk. Maar het is technisch niet relevant of het nummer van de beller correct is en ook voor de factuur maakt dat niet uit. Daarom zit er geen controle op de juistheid van dat nummer in het systeem. Later werd in Europa bedacht dat deze gegevens nuttig zouden zijn voor opsporingsdiensten. Maar als je informatie klakkeloos voor andere doelen gaat gebruiken dan aanvankelijk de bedoeling was, dan krijg je dit soort problemen en kan opsporingsinformatie dus zomaar opeens onbetrouwbaar blijken. En dat is zorgelijk, als je weet dat de bewaarplichtgegevens heel vaak opgevraagd worden. In 2012 maar liefst 2,7 miljoen keer!

  • Facebook
  • Twitter
  • LinkedIn

Tags: , , . Bookmark de Permalink. 9 Reacties.

9 reacties op “Telecomgegevens voor opsporing eenvoudig te manipuleren”

  1. Hawick zegt:

    Typisch gevalletje van administriotie, [idiotie door overwaardering voor adminstratieve systemen]. Helaas is dit beeld [nog] niet in de psychiatrie erkend als een echt ziektebeeld. Het komt zeer veel voor bij overheidsdienaren. er zitten duidelijke kenmerken in van een waan [het is niet te corrigeren, zoals bij een waanachtig denkbeeld].

    Maar waarom is er nooit iemand met ECHT verstand van telecom-protocollen als getuige deskundige ingeschakeld. Want de verificatie van de beller gebeurt echt met meer gegevens dan alleen dat gespoofte telefoonnummer.

    er is een analogie met het vroegere spoofen van internet adressen, toen mac-adressen nog niet/nauwelijks te spoofen waren.

    Ik meen [ik ben hierover onvoldoende op de hoogte] dat het imei nummer ook beschikbaar komt en dat de politie dat voor andere zaken wel gebruikt. Dus de politie zou dit eenvoudig kunnen fixen door ook imei nummers te laten opslaan.

    en op dit moment zijn imeinummers nog iet eenvoudig te spoofen.

    Ga er maar van uit dat dat zeker wel mogelijk is, d.w.z. dat er dure speciale testsystemen voor de telecom zijn, die elke indentiteit kunnen nabootsen en heeft niet elke SIM ook een uniek nummer ?

    Er is geen fundamentele barriere tegen spoofen,
    ongeacht of het om een abonneenummer, SIM-nummer of Imei nummer gaat, dus als het nu nog net gebeurt, dan nog moet men er van uit gaan dat het binnen korte tijd wel zal gebeuren.

    Het enige wat we kunnen concluderen is dat administrioten vele miljoenen hebben uitgegeven zonder harde benul van de techniek.

    Dat is niet nieuw, maar machtswellustige administrioten hebben ons al eens de crisis gebracht en zorgen nu wederom dat we er niet uit komen.

    Ik wil belastinggeld terug en 100% bezuiniging op [specifiek] adminstrioten.

    En alle dure consultants die de overheden hebben geadviseerd mogen van mij ook worden aangepakt.

    1. Hennie de Graaf zegt:

      Eindelijk iemand die het begrijpt, maar er is licht aan de horizon. Dit systeem richt zichzelf ten gronde. Het kan niet zo zijn dat dit door blijft gaan. Even ten overvloede….ik heb bijna 40 jaar automatisering achter de rug, maar ben momenteel werkeloos, want ze hebben een vent van 58 niet meer nodig. Nee, schoolverlaters zijn de uitkomst. Die zijn goedkoper, maar de automatiseringsproblemen worden daardoor alleen maar erger. Kijk om je heen. De expertise is er gewoon niet meer.

  2. Adje zegt:

    Deze openbaarmaking heeft twee gevolgen:
    1. dat criminelen hiermee gaan aantonen dat het bewijs niet sluitend is.
    2. dat onze overheid dure maatregelen gaat eisen die wel werken, maar door de klanten betaald moeten worden.
    Welke kamerfractie durft dit nu eens aan de kaak te stellen door te vragen of dit wel effectief en door te stellen dat het onwenselijk is om alles van alle burgers te willen registeren?

  3. Hawick zegt:

    aanvulling op Adje

    Als je gelijk hebt is er nog een derde gevolg:

    politici en top-ambtenaren gaan aantonen dat ze lijden aan administriotie. ;-)

  4. Frank zegt:

    Wat ik me afvraag: als je het nummer van jezelf kan spoofen en je dus als een ander (nummer) voordoet, hoe weet XS4ALL dan toch dat de belkosten voor mijn rekening moeten komen en niet voor die ander (van wie ik het nummer misbruik)?

    1. Henk zegt:

      Als je via xs4all VOIP belt (geldt volgens mij voor alle ip telefonie providers) dan wordt natuurlijk gebruik gemaakt van de je eigen VOIP account. Het VOIP account bestaat uit je eigen telefoonnummer en het VOIP wachtwoord. Je kan daarvoor geen ander nummer gebruiken omdat het wachtwoord dan niet overeenkomt. Je weet namelijk het wachtwoord niet en kan er dan niet gebeld worden.

  5. Michel zegt:

    Bijna iedereen maakt zich hier druk om het feit dat er een nummertje gespoofd, dus vervals kan worden, maar blijkbaar geen hond die zich druk maakt om het feit dat zomaar al onze gegevens inclusief locatie worden opgeslagen en door allerlei machtswellusthebbers te pas en te onpas worden opgevraagd en gebruikt.

  6. Carlo zegt:

    was ISDN toch beter ene gespoffd nummer genereerde daar tenminste een Cause 100 fout en het hoofdnummer werd dan meegestuurd :-)

  7. Paulpetrowiets zegt:

    Het grootste probleem is nog dat er hele volksstammen zijn die het niets kan schelen dat hun gegevens niet veilig zijn. Ik heb niets te vrezen want ik heb niets te verbergen is hun argument. Erg jammer want iedereen moet in opstand komen want als ik per ongeluk in de buurt van een criminele activiteit ben geweest ben ik al verdachte. Een fout van de politie en ik ben voorlopig de klos.

Commentaar is gesloten