Tag: Technologie

Over technologie (en soms: wetenschap), en over de impact daarvan op ons dagelijks leven.

Ziekenhuizen ziek

Drie Britse ziekenhuizen hebben een virus opgelopen:


Drie Londense ziekenhuizen hebben hun complete netwerk vanwege een wormbesmetting voor tenminste 24 uur moeten uitschakelen. In een verklaring laat een van de ziekenhuizen weten dat er noodprocedures aanwezig zijn en men op backup-systemen kon overstappen. De dienstverlening aan patiënten zou niet door de infecties in gevaar zijn gekomen, alleen een aantal “minder essentiële activiteiten” zijn op een lager pitje gezet.

Volgens de Britse virusbestrijder Sophos zijn de ziekenhuizen met een variant van de Mytob worm besmet geraakt. De eerste variant dateert uit februari 2005 en opent een achterdeur op geïnfecteerde systemen, waardoor een aanvaller volledige controle heeft. Hoe de drie ziekenhuizen besmet raakte is nog altijd niet bekend. Met Mytob geïnfecteerde systemen worden meestal ingezet voor het uitvoeren van DDoS-aanvallen en het versturen van spam, hoewel aanvallers ook op vertrouwelijke informatie uit kunnen zijn.
Computerworm infecteert Britse ziekenhuizen, Security.nl, 18 november 2008

Als deze oude worm de computersystemen kon binnendringen, was de beveiliging bepaald niet op orde. Erger is de zin ‘…waardoor een aanvaller volledige controle heeft.’ Dat betekent immers dat iemand gegevens heeft kunnen kopiëren of, erger nog, wijzigen. Roepen dat je kunt overstappen op een back-upsysteem klinkt leuk, maar als je niet weet wanneer je besmet bent geraakt weet je ook niet hoe ver in de tijd je moet teruggaan – nog daargelaten hoe je dan de gegevens die sinds die laatste, ‘gezonde’ back-up zijn ingevoerd, weer in het systeem krijgt.

Het kinddossier als ongecontroleerde vraagbaak

Vandaag in Security.nl:


Een database met de gegevens van 11 miljoen Britse kinderen zal door de politie gebruikt worden om misdaad mee te bestrijden. De ContactPoint database bevat namen, leeftijd, adresgegevens en informatie van alle kinderen onder de 18 jaar alsmede gegevens over hun ouders, scholen en of ze professionele hulp krijgen. Het project moet voorkomen dat kinderen langs het sociale vangnet glippen, maar nu blijkt dat de overheid de politie toegang tot de database geeft om naar bewijs te zoeken. Zodoende kunnen mensen vervolgd worden ook al zijn ze al lang volwassen. [..] Privacyvoorstanders en de Liberaal Democraten zijn geschokt over het voornemen. “Dit is schokkend. Het is de exacte definitie van een politiestaat. De politie heeft straks in de naam van misdaadpreventie de gegevens van een complete generatie.”

Ook in Nederland is het plan om anderen dan alleen zorg- en hulpverleners toegang te geven tot het Elektronisch Kinddossier (EKD): van buurtregisseurs tot politie. Een van de grote zorgen over dat `EKD is dat je verleden je dan nog jarenlang zal achtervolgen: één keer een – subjectieve en ongecontroleerde – negatieve opmerking van een juf of hulpverlener, en de politie vist je er telkens uit als ze op zoek zijn naar iemand die mogelijk zus-en-zo. Immers, alle aantekeningen van iedereen die met een kind of puber te maken heeft, belanden in het EKD, zonder dat er enige vorm van controle of corroboratie plaatsvindt. En die aantekeningen, zo is het plan, blijven staan totdat iemand 34 (!) is.

Daarnaast is het altijd een buitengewoon slecht idee om hulpverlening en politiewerk met elkaar te vermengen. Een dergelijke vermenging van functies maakt dat mensen hulp gaan vermijden, terwijl het doel van het EKD juist is om betere hulp te kunnen leveren.

Datalekkerij

In de Britse pers is het bijna een hobby geworden: rapporteren over ontsnapte persoonlijke gegevens. Toen een handvol ambtenaren kort na elkaar cd’s kwijtraakten met daarop de gegevens van miljoenen burgers, compleet met hun adres, geboortedatum, gezinssamenstelling, bankrekening en soms zelfs hun saldo, is de pers daar buitengewoon alert geworden op het probleem en nu verschijnt er bijna elke week wel een artikel over interne documenten die open en bloot op websites staan, wagenwijde lekken in software en verloren of verkeerd bezorgde cd’s met persoonsgegevens.

Ook de houding van het publiek is veranderd. De Britten dachten aanvankelijk, net als Nederlandse burgers. ‘ach nou ja, stom van ze, maar wat kun je daar nu helemaal mee’. Dat veranderde rap nadat een populaire presentator hardop zei dat onverlaten toch niks hadden aan de wetenschap wat zijn naam, gironummer en geboortedatum waren. Twee dagen later wist-ie beter: op basis van die ogenschijnlijk onschuldige gegevens had iemand kunnen inbreken op zijn bankrekening en een maandelijkse automatische overschrijving naar een goed doel aangemaakt.

Het kostte de presentator handenvol werk om de inbreuk ongedaan te maken. Ik geloof dat-ie zich heeft neergelegd bij de al gepleegde overmaking (hij kon het geld ook gerust missen), maar probeer als gewone burger maar eens een kennelijk door jezelf gedane overschrijving ongedaan te maken. Vanaf dat moment sloeg de sfeer in de Britse pers om. Data breaches – want zo heten die ongelukjes met persoonsgegevens – zijn nu groot nieuws in Engeland. Er struikelen tegenwoordig zelfs ministers over.

De Nederlandse pers is nog lang niet zover. Niet dat zulke dingen hier nooit gebeuren, in tegendeel. Alleen ziet niemand de nieuwswaarde er van in.

Vorige week ontdekte het business magazine Z24 dat ergens op een website een intern document van MeesPierson Bank te kijk stond. MeesPierson is een tak van Fortis die alleen klanten met meer dan een miljoen euro als klant aanneemt. Het document bevatte een overzicht van de rijkste klanten: naam, rekeningnummer, wat voor investeringen ze hebben gedaan, hun hypotheek en hun spaartegoeden. Het incident trok amper aandacht. Vier regeltjes in een krant, een kort stukje op een gespecialiseerde website, dat was al. En de ontdekkers waren nog wel journalisten – mensen met een goede ingang tot de pers. IJzersterk verhaal, goede contacten, en toch: minimale berichtgeving.

Soms denk ik: hadden we hier maar zo’n charitatieve hacker, iemand die op een humoristische manier aantoont dat onze tentoongespreide gezapigheid over zulke datalekkerij dom en kortzichtig is – want dat is het. Hoe kunnen we enerzijds accepteren dat onze maatschappij afhankelijk is geworden van gegevensstromen, dat ons hele hebben & houden, onze rechten & plichten, staan of vallen met wat er over ons is vastgelegd, en anderzijds tolereren dat overheden en bedrijven zo vaak laks zijn met diezelfde gegevens?

Verwant daaraan: hoe kan een overheid die wil dat we ons voor alles identificeren, brakke OV chipkaarten accepteren die zo makkelijk te vervalsen zijn als de Mifare chip? Hoe kan diezelfde overheid steunen op vingerafdrukken, die immers in twintig seconden te jatten en na te maken zijn?

Een samenleving die steunt op datastromen kan het zich niet permitteren slordig te zijn met diezelfde gegevens. Het wordt tijd dat we gaan nadenken over datahygiëne: hoe voorkomen we vervuiling en lekken van data, hoe beschermen we gegevens, hoe verifiëren we ze – en dus: hoe beschermen we onszelf.

» Zie ook mijn overzicht van Dutch Data breaches.

Zo gaat-ie goed, zo gaat-ie beter

De vingerscan van Albert Heijn is nog geen twee weken na aankondiging gekraakt. Webwereld wijdt er vandaag een artikel aan:


De nieuwe Tip2Pay betaaldienst van Albert Heijn is nu al misbruikt. Een onderzoeker kopieerde eenvoudig een vingerafdruk en kon daarmee boodschappen afrekenen. (..) Ton van der Putte, oud medewerker van ATOS Origin die gespecialiseerd is in biometrie, maakte als demonstratie een kopie van een vingerafdruk. Met een rubberen kopie van een vingerafdruk kon hij vervolgens bij de kassa afrekenen. Zowel het systeem als de kassamedewerker hebben de vervalsing niet opgemerkt.

Het kopiëren van een vingerafdruk is relatief eenvoudig. Een vingerafdruk op een verpakking of een glas is daarvoor al voldoende. De hack komt niet als een verrassing, want diverse beveiligingsdeskundigen hebben bij de introductie gewaarschuwd dat de technologie onveilig is. Albert Heijn lijkt zich daar echter nog weinig van aan trekken. Afgelopen vrijdag verklaarde de keten nog op het Utrechtste radiostation Roulette FM dat het diverse maatregelen heeft genomen. “Met de beveiliging zit het wel goed”, stelde een woordvoerder. (..)

Van der Putte is geen onbekende op dit gebied. Sinds 1990 heeft hij al meerdere malen bewezen dat het werken met een vingeradruk alleen onvoldoende veilig is. Ook de Chaos Computer Club demonstreerde in 2004 al hoe een vingerafdruk eenvoudig te kopiëren is en schreef zelfs een handleiding. Ook werd een vergelijkbaar vingerafdruksysteem van een supermarkt vorig jaar november al onderuit gehaald. Dit jaar lukte het de club om de vingerafdruk van de Duitse minister van Binnenlandse Zaken Dr. Wolfgang Schäuble te kopiëren van een wijnglas en te publiceren. In reactie hierop is nu een debat ontstaan om af te zien van het gebruik van vingerafdrukken in paspoorten.

Maatschappelijke verantwoordelijkheid

Webwereld meldt vandaag dat staatssecretaris Huizinga van mening is dat de Radboud Universiteit, die de afgelopen maanden op verschillende manieren heeft aangetoond dat de OV-chipkaart buitengewoon onveilig is, voortaan haar mond moet houden over zulke zaken:


Staatssecretaris Tineke Huizinga reageerde dinsdag in een reactie op vragen van GroenLinks dat zij de universiteit op haar maatschappelijke verantwoordelijkheid wil wijzen. Ze is bang dat derden misbruik kunnen maken van de gepubliceerde gegevens. (..) Jacobs en Teepe (de betrokken onderzoekers, KS) hebben te horen gekregen dat vanwege de gevoeligheid is besloten tot “een strakkere regie”.

Wat nu? De NS mag een onveilige kaart ontwikkelen, de overheid mag op invoering ervan aandringen, maar wijzen op de onveiligheid van de gebruikte techniek zou moeten worden voorkomen onder het mom van ‘maatschappelijke verantwoordelijkheid’? Duh.

Asymmetrische vingerafdruk

In het tijdschrift van de Duitse hackersvereniging CCC zit deze maand een stukje folie met daarop de afdruk van de rechterwijsvinger van minister Wolfgang Schäuble. Plak de folie over je eigen vinger heen en alle machines die op vingerafdrukken controleren, geloven grif dat je de Duitse minister van Binnenlandse Zaken bent. Dat dergelijke machines zich door zulke stukjes folie laten bedotten, heeft diezelfde CCC al eerder overtuigend aangetoond: ruim twintig machines van verschillende makelij, waaronder ook het type machines dat Duitsland wil gaan gebruiken bij grens- en paspoortcontroles, zien dergelijke folie-afdrukken voor echt aan.

Andermens’ vingerafdrukken zijn makkelijk te kopiëren; we laten ze immers overal achter. De CCC heeft die van Schäuble bemachtigd door ze van een glas te halen waaruit hij tijdens een forumbijeenkomst had gedronken. Glas poederen, dotje houtlijm over de afdruk uitstrijken, even laten opdrogen, filmpje afpellen en klaar ben je. Het hele procedé kost maar een paar minuten.

Het doel van de actie? Duitsland heeft – net als Nederland – vergevorderde plannen om de vingerafdrukken van alle inwoners in een database te stoppen. Juist Schäuble is een groot voorstander van het gebruik van vingerafdrukken ter identificatie van burgers, en wil de vingerafdrukcontroles onder meer invoeren om paspoortfraude te voorkomen. De CCC vindt dat een slecht plan, juist omdat elke burger zijn vingerafdrukken ongemerkt zo gul rondstrooit. Controles op vingerafdruk leveren schijnzekerheid en scheppen ongewild juist meer mogelijkheden tot fraude. Voor een rooie rotcent kun je jezelf immers andermens’ vingerafdruk aanmeten, zoals de CCC laat zien.

De Duitse overheid is woedend: Schäuble heeft laten weten dat hij juridische stappen tegen de CCC overweegt. Dat laatste deed collega-hacker Rop Gonggrijp gisteren droogjes opmerken: ‘Dus zij nemen vingerafdrukken van alle burgers voor hun biometrische database. Nemen wij er eentje van hen, zijn ze plotseling helemaal overstuur.’

Het is een schoolvoorbeeld van de machtsasymmetrie die zich juist op het gebied van privacy zo sterk doet gelden. ‘Er zit iets paradoxaals in het telkens benadrukken dat het voor onze eigen veiligheid is dat de staat zo veel van ons mag weten. Dat gaat immers uit van wantrouwen, van het idee dat iedereen wel een crimineel of een terrorist kan zijn. Maar vervolgens moet de burger er maar vanuit gaan dat hij de staat, ofwel de ook maar gewone mensen die die staat vertegenwoordigen, kan vertrouwen. De staat wantrouwt de burger, maar de burger moet de staat vertrouwen,’ schreef Aukje van Roessel afgelopen week in een privacydossier in de Groene Amsterdammer.

De Duitse vingerafdrukaffaire laat nog een andere asymmetrie zien. Overheden willen steeds meer risico’s uitsluiten en controles inbouwen, ze willen steeds meer gegevens van ons hebben en opslaan. Diezelfde overheden vertrouwen in hun streven naar veiligheid en controle volledig op technologie die ze fundamenteel niet snappen en waarvan ze de gaten en de risico’s weigeren in hun beleid te verdisconteren. Van stemmachines tot OV-chipkaarten, van vingerafdrukken tot patiëntendossiers: alles is lek, met alles is eenvoudig te rotzooien. De wrange ironie is dat elke veiligheidsmaatregel zodoende nieuwe risico’s schept. Maar dat willen ze niet weten.

Links:

Kamervragen GroenLinks over kinderpornofilter

Ook Groen Links heeft vandaag kamervragen gesteld, zo lees ik op hun website:

GroenLinks wil dat Nederlandse kinderpornosite beter bestreden worden. Uit onderzoek van publiciste Karin Spaink (het Parool van vandaag) blijkt dat minimaal vier Nederlandse kinderpornosites niet geweerd zijn, ondanks dat het KLPD dit had kunnen doen. GroenLinks vraagt daarom de verantwoordelijke ministers Hirsch Ballin en Ter Horst om opheldering. Kamerlid Naima Azough vraagt tevens of er extra maatregelen nodig zijn om ervoor te zorgen dat alle kinderpornosites uit de lucht gehaald kunnen worden. Zij stelde hierover de volgende vragen:

  1. Bent u bekend met het bericht uit het Parool van 12 februari dat niet is ingegrepen bij Nederlandse kinderpornosites, terwijl de KLPD wist dat deze bestonden?
  2. Kunt u deze conclusies van het onderzoek van Karin Spaink onderschrijven?
  3. Deelt u de mening dat het niet aanpakken van Nederlandse kinderpornosites buitengewoon onwenselijk is en bovendien zeer schadelijk voor de kinderen die hiervan slachtoffer zijn? Zo ja, wat gaat u eraan doen? Zo nee, waarom niet?
  4. Welke maatregelen gaat u inzetten om nu en in de toekomst alle Nederlandse kinderpornosites te blokkeren?

Ik ben niet bepaald blij met deze vragen. Nederlandse kinderpornosites zijn heus niet schadelijker voor kinderen dan Franse, Duitse of Amerikaanse. Het punt is dat ze hier staan en dat Justitie er dan vrij makkelijk iets aan kan doen. Verder geen woord over de 138 Nederlandse sites die op de lijst staan die Matti Nikki heeft gecomplileerd, noch over de allerbelabberdste procedure die nu wordt gehanteerd om een site op de lijst te zetten (namelijk: niet toetsbaar, zonder transparante criteria). Het allerergste is wel dat Azough vraagt om het blokkeren en weren van Nederlandse kinderpornosites, in plaats van bepleit dat die krengen uit de lucht worden gehaald en de eigenaars ervan vervolgd.

Zucht. Ik ben nog wel lid van die club. Hadden ze me niet even kunnen bellen? Of is snel vragen indienen belangrijker dan goede vragen inleveren?

Kamervragen SP over kinderpornofilter

Naar aanleiding van mijn stuk over het kinderpornofilter en dat van Addie Schulte in Het Parool van vandaag heeft Kamerlid Ada Gerkens (SP) de volgende kamervragen gesteld:

 

Vragen van het lid Gerkens (SP) aan de minister van Justitie over kinderporno op Nederlandse sites:

  1. Wat is uw reactie op het bericht Politie liet kinderporno lopen?
  2. Klopt het dat er op de zwarte lijst van kinderpornosites van de KLPD minimaal 4 Nederlandse sites staan?
  3. Hoeveel sites staan er op deze lijst en hoeveel sites worden vanuit Nederland gehost? Hoe wordt deze lijst samengesteld?
  4. Hoe lang staan de Nederlandse sites al op de zwarte lijst? Hoe zijn deze hierop terecht gekomen?
  5. Klopt het dat er bij twee sites zeker sprake is van kinderporno?
  6. Sluit u uit dat er op deze lijst ook sites staan waar geen kinderporno op staat? Hoe wordt dit gecontroleerd?
  7. Hoe kan het dat deze sites wel bekend zijn bij en onderzocht zijn door de KLPD, maar hier niet tegen opgetreden wordt?
  8. Bent u bereid strafrechtelijke stappen te zetten tegen deze sites en hosting providers? Zo nee, waarom niet?
  9. Hoe gaat u bewerkstelligen dat in de toekomst Nederlandse sites direct aangepakt worden?
  10. Kunt u vertellen hoe het staat met het overleg tussen u en de providers over het blokkeren van kinderpornosites? Is deze berichtgeving voor u aanleiding om toch een justitiële toets in te voeren op de lijst? Zo ja, hoe gaat u dit doen? Zo nee, waarom niet?

Natuurlijk zijn dit vragen die allemaal gesteld hadden moeten worden bij de eerste besprekingen van het kinderpornofilter, maar ja, beter laat dan nooit….

Child pornography: fight it or hide it?

[translation of my column for Het Parool: Kinderporno: niet bestrijden maar verstoppen of February 19, 2008.]

Last year October, Dutch Parliament demanded that the Department of Justice would legally bind ISPs to implement a filter that would block sites containing child pornography. ‘Providers can no longer look the other way; they should be forced to take their social responsibility. It is an outrage that they don’t comply voluntarily,’ member of Parliament Van der Staaij said during the debate. (Webwereld, October 4, 2007).

Most child porn sites, the argument holds, are hosted in countries that fail to take action against child pornography; Eastern Europe and Russia are often cited as the culprits. Thus, the only way for ‘proper’ European countries to get rid of such sites is by filtering them.

In the Netherlands, UPC is the only provider who has implemented a child porn filter. UPC subscribers who try to access a filtered site are presented with an ominous warning on their screen: STOP. Your browser tried to access a page that is being used to distribute files that depict the sexual abuse of children. This is illegal under article 240b of the Dutch Criminal Law.

UPC uses a blacklist that has been compiled by the National Police Forces (KLPD). All other providers have refused, arguing that the list has not been reviewed and that the criteria whereby a site gets blacklisted are unclear and not open to any kind of public scrutiny. There is no method to check whether nasty but legal sites are blacklisted as well, or to check that it is only child porn that is being filtered. Furthermore, filtering doesn’t solve the problem; blacklisting merely hides child porn sites, while the objective should be to shut them down and to arrest the people maintaining them. Only when there is a solid procedure to establish which sites should be blacklisted and there really is no other method of intervention – for instance, when such a site resides outside of Europe and the US – will they consider implementing a child porn filter.

Dutch Parliament called this stance ‘reprehensible’. Child pornography is the ultimate crime; thus, it merits strong measures. The KLPD is just as impatient with the ISPs as Parliament is. As their spokesman Kraszweski stated: ‘The ISPs have the power to do something against child porn sites, but they keep coming up with arguments why they shouldn’t. But we’re taking about child pornography, it’s almost a moral obligation to comply.’ (Webwereld, November 7, 2007).

ISPs in other European countries have implemented a child porn filter too. In Finland, for instance. And in Finland it’s also completely unclear what is being filtered. Matti Nikki tried to find out. He clicked his way through an endless series of sites and was thus able to compile a list of more than one thousand blocked sites, and published it.

His list contains 138 Dutch web sites. Uhm, Dutch sites? But isn’t the Netherlands part of Europe? Can’t – no, shouldn’t – Finland do more than just block them? Why don’t they report these sites to the proper Dutch authorities, so that they can take the appropriate measures, close them down and bring their owners and maintainers to court? Or does Finland perhaps maintain a much stricter definition of what establishes child pornography?

This weekend, I examined the first 40 Dutch sites on the Finnish blacklist. There was a lot of nasty stuff. Sometimes, their legal status was difficult to assess: Dutch law states that it is illegal to distribute pictures of children under eighteen engaged in sexual acts or posing in a sexual way; but age is not always easy to ascertain. However, I encountered numerous pictures of children aged ten or twelve in lurid poses, or fucking or sucking. Obviously child porn, obviously illegal, also under Dutch law. Almost all the sites involved are openly hosted at two Dutch providers, Leaseweb and Webazilla; companies that are easy to find and whom you can serve with a legal notice to shut down a site and to hand over information about the site’s owner.

Then, I checked the same sites via a UPC connection. Part of the sites that Finland labels as child porn sites are accessible via UPC, which means that they are not on the Dutch blacklist. `Evidently, the Fins and the Dutch authorities disagree spectacularly on what qualifies as child pornography, which, in turn, is another reason for ISPs to demand to know on the basis of which criteria the lists are compiled. If specialised police squads can’t figure out which sites should and which sites shouldn’t be blocked, how can a provider make a responsible choice?

Using UPC, I ran into ten blocked sites. One of them did no longer exist, one of them is hosted in the UK, four of them are in the US, and four are hosted in the Netherlands: two at Leaseweb, and two at Webazilla. And again, there was this quaint randomness: I could access plenty of sites that did not differ fundamentally from those that are being blocked. This child porn filter is a weird and unfathomable hodgepodge.

England, the US, and the Netherlands. Again: what was the reason to filter these sites? ‘These sites usually cannot be shut down by the police, because they are often hosted in countries that we have no legal liaisons with.’ (Webwereld, March 23, 2007) Since when are Haarlem and Utrecht located in Russia and out of Dutch jurisdiction?

Critics of child porn filters have said it before: the authorities should not focus on blocking such sites, but on shutting them down. Filtering them away is window dressing, mere show. Blacklisting them does not equal doing something about them, and it sure as hell doesn’t stop the abuse of children. It just prevents us from acknowledging it and from understanding that it is still happening.

The actual reality turns out to be even worse. The Dutch child porn filter contains Dutch child porn sites. To state it bluntly: the Dutch KLPD and the department of Justice are clamouring for a law that will oblige ISPs to make their own insufficiency invisible to the general audience.

According to the KLPD, Leaseweb and Webazilla host child pornography. In that case, they had better do something about it and serve Leaseweb and Webazilla with orders to shut down these sites. Surely, the KLPD and the Department of Justice shouldn’t expect ISPs to do their cleaning for them.

Kinderporno: niet bestrijden, maar verstoppen

In oktober vorig jaar riep een kamermeerderheid de minister van Justitie op om providers wettelijk te verplichten kinderpornosites te blokkeren. ‘Providers moeten niet langer wegkijken en dienen hun maatschappelijke verantwoordelijkheid te nemen. Het is schandelijk dat ze dit niet doen’, zei SGP-kamerlid Van der Staaij in dat debat. (Webwereld, 4 oktober 2007)

Veel kinderpornosites, zo gaat het verhaal, staan in landen waar te weinig tegen kinderporno wordt gedaan: Oost-Europa en Rusland worden meestal als de boosdoeners genoemd. Omdat internet nu eenmaal een internationaal medium is en zulke illegale sites daarom eenvoudig in Nederland zijn te bekijken, is filtering de enige manier om ze te weren.

In Nederland is UPC de enige provider die zo’n kinderpornofilter hanteert. Wie een UPC-verbinding heeft en een dergelijke site wil bezoeken, krijgt een omineuze waarschuwing op zijn scherm: STOP. Uw browser heeft geprobeerd een pagina te benaderen die wordt gebruikt voor de verspreiding van bestanden waarop seksueel misbruik van kinderen is afgebeeld. Dit is strafbaar gesteld in artikel 240b van het Wetboek van Strafrecht.

UPC gebruikt een lijst die is opgesteld door het Korps Landelijke Politiediensten (KLPD). Andere providers houden tot nu toe de boot af. Ze stellen dat de lijst niet is getoetst door de rechter en de criteria voor opname op de lijst niet openbaar en niet toetsbaar zijn. Bovendien zet filtering weinig zoden aan de dijk: een site wordt er alleen onzichtbaar van, terwijl de inzet natuurlijk zou moeten zijn om de makers ervan op te pakken. De providers zijn daarnaast bevreesd dat er na verloop van tijd ongewenste, maar niettemin legale sites op dergelijke lijsten zullen verschijnen. Pas wanneer er een fatsoenlijke procedure is om dergelijke sites op illegaliteit te toetsen, en wanneer evident is dat echt niet ingegrepen kan worden – bijvoorbeeld omdat zulke sites zich buiten Europa of de VS bevinden – willen de providers zo’n filter overwegen.

Hun houding wordt door de Tweede Kamer als ronduit verwerpelijk beschreven. Kinderporno is immers zo erg, daar moet je alles tegen doen. Ook de KLPD is bepaald ongelukkig met de weigerachtige houding van de ISPs. KLPD-voorlichter Kraszweski; ‘De providers hebben op dat moment de macht om iets te doen aan sites met kinderporno, maar de providers komen dan steeds met andere principiële bezwaren waarom ze dat niet willen. Maar we hebben het hier over kinderporno en vinden het bijna een morele verplichting om dat wel te doen.’ (Webwereld, 7 november 2007)

Ook andere Europese landen voeren zo’n kinderpornofilter. Finland, bijvoorbeeld. Ook daar is onduidelijk wat er wordt geblokkeerd. Voor de Fin Matti Nikki was dat reden om uit te zoeken welke sites er precies in zijn land worden weggefilterd. Door eindeloos sites op te zoeken kwam hij tot een lijst van ruim duizend geblokkeerde sites.

Op zijn lijst staan 138 Nederlandse websites. Nederlandse websites? Die vallen onder de Europese wetgeving, daar moet Finland toch meer mee kunnen doen dan ze alleen blokkeren? Doorgeven aan de Nederlandse autoriteiten, bijvoorbeeld, zodat die maatregelen kunnen nemen en de bewuste sites uit de lucht kunnen halen en de verantwoordelijken voor de rechter kunnen brengen? Of zou Finland wellicht een veel strengere definitie van kinderporno aanhouden dan Nederland?

Afgelopen weekend heb ik de eerste veertig Nederlandse sites van de Finse lijst uitgebreid bekeken. Er staat veel vunzigs op. De leeftijd van de afgebeelde kinderen is soms op het randje (Nederland legt de grens voor kinderporno bij kinderen onder de achttien), maar geregeld zijn er plaatjes van kinderen van tien of twaalf jaar oud die masturberen, seks hebben of buitengewoon uitdagend poseren. Kinderporno en dus strafbaar, ook volgens de Nederlandse wet. Vrijwel al die sites staan open en bloot bij twee Nederlandse hosting providers: Leaseweb en Webazilla, bedrijven die makkelijk zijn te vinden en die je zo een gerechtelijk bevel onder de neus kunt duwen om de betreffende site te sluiten en de gegevens van de eigenaars aan justitie te overhandigen.

Diezelfde sites heb ik daarna via een UPC-verbinding bekeken. Een deel van de sites die Finland als kinderporno beschouwt, is via UPC gewoon te bekijken en staat dus niet op de KLPD-lijst. Kennelijk is er zelfs tussen Europese politiediensten onderling geen overeenstemming over wat wel en wat niet als kinderporno moet worden beschouwd – een constatering die de ISPs in Nederland die weigeren om de KLPD-lijst blindelings te hanteren, gelijk geeft. Als de politiediensten zelf al ruziën wat wel of niet moet worden geblokkeerd, hoe kan een provider dan de goede keuzes maken?

Via UPC stuitte ik op tien geblokkeerde sites. Eén ervan bestond helemaal niet meer, eentje bevindt zich in Engeland, vier staan op servers in de VS, en vier staan in Nederland; twee bij Leaseweb, twee bij Webazilla. Opmerkelijk was – alweer – de willekeur. Sites die niet fundamenteel afweken van door UPC geblokkeerde sites, kon ik, ook via UPC, gewoon zien. Dat kinderpornofilter is een vreemd ratjetoe.

Engeland, Amerika en Nederland. Wat was ook alweer het argument om dergelijke sites te filteren? ‘De sites zelf kunnen veelal niet door de politie worden afgesloten, omdat ze zich vaak bevinden in landen waar geen justitiële contacten mee zijn.’ (Webwereld, 23 maart 2007) Sinds wanneer liggen in Haarlem en Utrecht in Oost-Europa of Rusland?

Critici van het kinderpornofilter hebben het al eerder gezegd: de inspanning van de KLPD zou er niet op gericht moeten zijn om zulke sites uit het zicht te halen, maar om ze te sluiten. Een kinderpornofilter voeren is etalagepolitiek. Dat je troep niet langer kunt zien, betekent niet dat-ie weg is, en het blokkeren van sites helpt geen zier tegen kindermisbruik.

De werkelijkheid blijkt helaas een graadje erger. Het Nederlandse kinderpornofilter bevat Nederlandse kinderpornosites. Anders gesteld: de KLPD en de minister van Justitie willen de ISPs in Nederland verplichten de onmacht van de KLPD en justitie te maskeren.

Volgens de KLPD huisvesten Leaseweb en Webazilla kinderporno. In dat geval dient justitie in te grijpen: die sites uit de lucht te halen en de eigenaars te vervolgen. In geen geval horen ze UPC in te zetten om de sporen van hun onmacht weg te poetsen.

(Met dank aan Joris van Hoboken)
 

Reacties

Parool-journalist Addie Schulte heeft gisteren de betrokkenen om commentaar gevraagd. Bij deze zijn artikel over de kwestie.

» Politie laat kinderporno lopen

AMSTERDAM – Het Korps Landelijke Politiediensten (KLPD) heeft Nederlandse kinderpornosites ongemoeid gelaten, terwijl ze van het bestaan ervan op de hoogte was. Dat blijkt uit onderzoek van Parool-columniste en publiciste Karin Spaink. Het KLPD hanteert een zwarte lijst van kinderpornosites. Die lijst wordt ter beschikking gesteld aan internetproviders die daarmee kunnen verhinderen dat hun klanten deze sites bezoeken. Twee providers gebruiken deze lijst.

Volgens woordvoerder Ed Kraszewski van het KLPD staan er alleen buitenlandse kinderpornosites op de lijst. ‘Nederlandse sites kunnen we aanpakken.’ Als een kinderpornosite bij een Nederlands bedrijf is ondergebracht, werken internetbedrijven mee om die zo snel mogelijk te verwijderen, aldus Kraszewski.

Hoewel de lijst geheim is, is Spaink er via een omweg achter gekomen dat op de lijst van het KLPD zeker vier Nederlandse sites staan. Deze sites zijn ondergebracht bij twee zogeheten hosting providers, bedrijven die websites toegankelijk maken. Het gaat om Webazilla uit Utrecht en Leaseweb uit Haarlem. Op de sites zijn jonge meisjes en jongens te zien in allerlei poses, van Wehkamp-achtige foto’s tot seksuele handelingen. Het KLPD oordeelt dat het bij twee van deze sites zeker om kinderporno gaat, bij de twee andere wordt dat onderzocht.

Volgens Kraszewski waren de sites bekend onder andere namen, waardoor onduidelijk bleef dat ze ook bijNederlandse bedrijven onderdak hadden gevonden. ‘We beschikten over andere adresgegevens,’ aldus Kraszewski. ‘Dit soort sites duiken steeds onder andere namen.’ ‘We zijn een zeer grote hostingprovider, dan ontkom je hier niet aan,’ zegt directielid Laurens Rosenthal van Leaseweb. ‘Maar deze mensen zijn in staat om in vijf minuten een nieuwe site de wereld in te slingeren.’

 
Vervolg (18 april 2008)

Leaseweb heeft deze week maatregelen genomen om zelf na te gaan of er kinderporno bij hun klanten staat. Inmiddels heeft de provider vijf dubieuze sites verzocht hun biezen te pakken, blijkens een persbericht dat het ANP gisteren publiceerde. Zelf denk ik dat daar de oplossing niet ligt: de KLPD moet kinderpornosites actiever monitoren en meteen ingrijpen als een dergelijke site naar Nederland of een ander Europees land verhuist: collega-diensten in andere landen waarschuwen, gegevens over de eigenaars opvragen bij de provider, betalingen traceren en de makers zien op te pakken. Providers zijn geen politie-agenten en niemand verwacht van hen dat ze een dergelijke rol op zich nemen. Sterker, in veel gevallen is dat ongewenst.

» LeaseWeb grijpt zelf in bij kinderporno

AMSTERDAM (ANP) – LeaseWeb, het grootste hostingbedrijf van websites in Nederland, gaat tijdelijk zelf actie ondernemen tegen de verspreiding van kinderporno op het internet. Het bedrijf heeft deze week vijf dubieuze maar niet strafbare sites te verstaan gegeven zich terug te trekken, zegt LeaseWeb-directeur Con Zwinkels donderdag.

Het is voor het eerst dat LeaseWeb via een interne beoordelingscommissie zelfstandig sites beoordeelt en daarop actie onderneemt. Zwinkels: ‘Volgens Europese richtlijnen is dit verboden. Zonder juridische onderbouwing mogen we eigenlijk geen websites van internet halen. Feitelijk komt dit neer op internetcensuur, vergelijkbaar met landen als Birma, China en Cuba, maar wij zien ons ertoe genoodzaakt vanwege toenemende druk vanuit de media en Meldpunt Kinderporno. Het is kiezen tussen twee kwaden.’

Tot dusver deed het bedrijf, dat op zijn servers ruimte biedt aan meer dan twee miljoen websites uit binnen- en buitenland, dit in samenspraak met het Korps Landelijke Politiediensten (KLPD). Momenteel krijgt LeaseWeb zo’n twee tot drie meldingen per week van kinderporno. ‘Daarop wordt in overleg met de KLPD altijd direct actie ondernomen, maar niet alle twijfelachtige sites met afbeeldingen van kinderen kunnen door het KLPD worden aangepakt omdat het ontbreekt aan een adequate juridische basis’, aldus Zwinkels.

Eind deze maand gaat LeaseWeb om tafel met het Meldpunt Kinderporno, dat meldingen omtrent kinderpornografisch materiaal registreert. Het bedrijf beraadt zich op structurele stappen die nog verder gaan dan de maatregelen die justitie en politie momenteel nemen om kinderporno op het internet te bestrijden. Zwinkels zegt dringend behoefte te hebben aan meer informatie van het Meldpunt, ten einde maatregelen te kunnen nemen. ‘Maak inzichtelijk waar het om gaat, geef ons een lijst. Als wij niet horen wat er mis is, kunnen we ook geen actie ondernemen.’ Het huidige protocol bij het bedrijf is dat sites die evident strafbaar materiaal verspreiden door LeaseWeb zelf op zwart gezet worden. De politie wordt daarover ingelicht. Vaak gaat het echter om twijfelachtig materiaal – niet ieder plaatje of filmpje van blote kinderen, hoe smakeloos soms ook, valt binnen de strafbare categorie. In dergelijke gevallen legt LeaseWeb een en ander voor aan de specialisten van het KLPD.

‘Iedereen is het erover eens dat dit verschijnsel bestreden moet worden’, zegt Zwinkels. ‘Wij hebben er ons altijd verre van gehouden om zelf te beoordelen, dat is een taak van Justitie en het KLPD. Gezien de zwaarte van het onderwerp en de ermee gepaard gaande emoties hebben we in elk geval tijdelijk besloten dat wel te doen.’ Zwinkels wijst erop dat de definitieve oplossing gezocht moet worden in (internationaal geldende) wetgeving, die zijns inziens op dit moment hiaten vertoont. ‘Pas als minister Hirsch Ballin hierin zijn verantwoordelijkheid heeft genomen, zullen wij onze interne beoordelingscommissie binnen LeaseWeb weer kunnen ontbinden.’

Zwarte lijsten van professionele aanbieders van kinderporno zijn moeilijk actueel te houden, schreef minister Ernst Hirsch Ballin eerder deze week in een brief over cybercrime aan de Tweede Kamer. Om ongrijpbaar te blijven, wisselen de aanbieders veelvuldig van hostingprovider, wereldwijd. Volgens de bewindsman kan dit verklaren waarom bij Nederlandse hostingbedrijven sites met kinderporno terug te vinden zijn. Hirsch Ballin maakte deze week tevens bekend dat hij een aantal internetproviders bereid heeft gevonden sites met kinderporno te blokkeren aan de hand van webfilters. Tot dusver deed alleen provider UPC dat.