DPI en netneutraliteit, hoe zit het daar nu mee?

Door bazs2000 op donderdag 10 november 2016 12:08 - Reacties (6)
Categorie: Zoektochten, Views: 2.047

Deep Packet inspection, hierna te noemen DPI. Alle providers gebruiken dat en alle providers mogen dat gebruiken. Wel zijn er een aantal voorwaarden aan gesteld om misbruik te voorkomen.

In 2011 is er veel ophef over geweest omdat destijds naar voren kwam dat DPI als middel ingezet werd (of kon worden) om bepaald verkeer voorang te verlenen, of uit te sluiten. En daar komt netneutraliteit om de hoek kijken.

Maar goed, wat is in de eerste instantie handig om te weten over DPI en de inzet hiervan? Hier is een stukje uit de telecomwet waar dit onder zou vallen:
Artikel 11.2a
1 Onverminderd het Wetboek van Strafrecht en het overigens bij of krachtens deze wet bepaalde, dragen de aanbieder van een openbaar elektronisch communicatienetwerk en de aanbieder van een openbare elektronische communicatiedienst zorg voor het vertrouwelijke karakter van de communicatie en de daarmee verband houdende gegevens via hun netwerken onderscheidenlijk hun diensten.
2 De aanbieder van een openbaar elektronisch communicatienetwerk en de aanbieder van een openbare elektronische communicatiedienst onthouden zich van het aftappen, afluisteren of anderszins onderscheppen of controleren van de communicatie via een openbaar elektronisch communicatienetwerk of openbare elektronische communicatiedienst en de daarmee verband houdende gegevens tenzij en voor zover:
a. de betrokken abonnee voor deze handelingen zijn uitdrukkelijke toestemming heeft gegeven;
b. deze handelingen noodzakelijk zijn om de integriteit en de veiligheid van de netwerken en diensten van de betrokken aanbieder te waarborgen;
c. deze handelingen noodzakelijk zijn voor het overbrengen van informatie via de netwerken en diensten van de betrokken aanbieder, of
d. deze handelingen noodzakelijk zijn ter uitvoering van een wettelijk voorschrift of rechterlijk bevel.
3 Voorafgaand aan het verkrijgen van toestemming als bedoeld in het tweede lid, onderdeel a, verstrekt de aanbieder aan de abonnee de volgende informatie:
a. de soort gegevens die wordt afgetapt, afgeluisterd, onderschept of gecontroleerd;
b. de doeleinden waarvoor de gegevens worden afgetapt, afgeluisterd, onderschept of gecontroleerd, en
c. de duur van het aftappen, afluisteren, onderscheppen of controleren van de gegevens.
4 Een abonnee kan de verleende toestemming, bedoeld in het tweede lid, onderdeel a, op elk moment intrekken.
Oke, een provider heeft zich aan heel wat regels te houden als het gaat om DPI want verderop in de wet staat dat er op zich niets mis mee is, resultaten mogen zelfs (geanonimiseerd) worden gebruikt in onderzoeken door derde partijen (ook weer aan een lading regels gebonden). Maar waar zit het knelpunt?

Nou, T-mobile heeft bedacht (en in uitvoering gebracht) dat klanten met specifieke abonnementen onbeperkt van muziekdiensten gebruik mogen maken (mits aangemeld en goedgekeurd door T-mobile) en dat dit verkeer niet ten koste gaat van de bundel.

Dat klinkt erg mooi maar er zitten een aantal addertjes onder het gras. Volgens T-mobile mogen alle muziekdiensten hieraan meedoen, dat klinkt goed want zo ontstaat gelijkheid tussen de muziek-aanbieders alleen duurt het heel lang voordat aanbieders van muziekdiensten goedgekeurd worden waardoor er toch sprake is van ongelijkheid. Als gebruiker zou je hierdoor geneigd kunnen zijn door bijvoorbeeld een abonnement op Spotify te nemen omdat dit verkeer niet van de bundel af gaat. Als twee weken later een vergelijkbare dienst wordt toegevoegd dan zit die gebruiker al bij Spotify en zal niet snel overstappen (de overstapkans wordt kleiner wanneer de gebruiker een betaald abonnement heeft afgenomen).

Een ander knelpunt is dat er geen gebruik gemaakt kan worden van VPN, dat klopt want om na te gaan of je gebruik maakt van een muziekdienst moet je DPI inzetten of naar de headers van het verkeer te kijken. T-mobile is er niet heel duidelijk over en redelijk ontwijkend in haar antwoorden. Op het forum van T-mobile wordt over IP-adressen gerept wat impliceert dat er gebruik wordt gemaakt van headers maar het sluit het gebruik van DPI niet uit. Voor de passage uit de telecomwet maakt dit onderscheid niet uit want ook het controleren van de headers en de resultaten tegen de lijst van muziekdiensten houden valt onder het controleren van de verkeersgegevens en mag dus niet zonder aan al die regels te voldoen.

Nu wordt het interessant want we weten nu het volgende:

1. T-mobile doet aan prijsdiscriminatie door alleen specifieke abonnementen in aanmerking te laten komen voor het gebruik van muziekdiensten buiten de databundel.
2. T-mobile voldoet niet aan alle voorwaarden die zijn gesteld aangaande het controleren van het verkeer. Zo moet iedere gebruiker hiervoor nadrukkelijk toestemming verlenen. Bovendien, als voorwaarde is gesteld dat het alleen mag om de integriteit en de veiligheid van het netwerk of de diensten te waarborgen. Dat is duidelijk niet het geval.
3. T-mobile werpt een drempel op voor het toevoegen van de dienst omdat het gebruik van VPN bij voorbaat is uitgesloten. Het open karakter is helemaal niet meer zo open, bovendien ontstaat er een verschil tussen muziekaanbieders omdat het lang duurt voordat je op de lijst staat, hierdoor is de kans groot dat je als muziekaanbieder klanten misloopt of zelfs verliest.

Alleen al vanwege de hierboven genoemde zaken zou je verwachten dat er in de politiek rellen uit zouden breken maar dat is niet zo. In 2011 was de commotie een stuk groter, anno 2016 worden er wel wetsvoorstellen aangaande dit onderwerp ingediend alleen blijft de handhaving blijkbaar uit. Er gaat heel wat mis op dit vlak, het wordt tijd dat dit verandert omdat wij anders over 5 jaar weer met dit probleem te maken krijgen.

Nog wat interessante links:

http://www.sfix.nl/2011/0...ket-inspection-gebruiken/
http://wetten.overheid.nl/BWBR0009950/2016-11-03#Hoofdstuk11
https://www.bof.nl/2016/1...in-tegen-netneutraliteit/
https://www.bof.nl/2016/0...-of-staat-bij-handhaving/
https://www.bof.nl/2016/0...niet-om-een-boete-vragen/
http://www.nu.nl/internet...-met-netneutraliteit.html

Ik blijf het maar raar vinden dat dit zomaar kan en nog raarder, waarom zoiets keer op keer terug kan komen.

Volgende: [Voeding] Hoe bewust van onze energie-inname zijn wij? 01-'14 [Voeding] Hoe bewust van onze energie-inname zijn wij?

Reacties


Door Tweakers user Blokker_1999, donderdag 10 november 2016 20:35

Ik wil toch even opmerken dat er een enorme misvatting is tussen wat DPI nu eigenlijk is en welke gangbare praktijken ISPs toepassen. Het bekijken van een TCP header is niet hetzelfde als DPI. Bij DPI wordt effectief de payload geanalyseerd.
]1. T-mobile doet aan prijsdiscriminatie door alleen specifieke abonnementen in aanmerking te laten komen voor het gebruik van muziekdiensten buiten de databundel.
Geen DPI voor nodig, je hebt gewoon een whitelist van IP adressen nodig. En dat niet alle abbonementen hetzelfde kunnen en mogen lijkt mij ook maar evident. Je gaat ook niet klagen omdat het goedkoopste TV abbonement ook niet alle zenders heeft van het duurste.
2. T-mobile voldoet niet aan alle voorwaarden die zijn gesteld aangaande het controleren van het verkeer. Zo moet iedere gebruiker hiervoor nadrukkelijk toestemming verlenen. Bovendien, als voorwaarde is gesteld dat het alleen mag om de integriteit en de veiligheid van het netwerk of de diensten te waarborgen. Dat is duidelijk niet het geval.
De toestemming hiervoor zal netjes opgenomen zijn in de algemen voorwaarden. Je weet wel, dat documentje dat bijna niemand leest maar wel mee akkoord gaat.
3. T-mobile werpt een drempel op voor het toevoegen van de dienst omdat het gebruik van VPN bij voorbaat is uitgesloten. Het open karakter is helemaal niet meer zo open, bovendien ontstaat er een verschil tussen muziekaanbieders omdat het lang duurt voordat je op de lijst staat, hierdoor is de kans groot dat je als muziekaanbieder klanten misloopt of zelfs verliest.
Het gebruik maken van VPN is een keuze van de klant. Tenzij jij van plan bent om T-Mobile inzage te geven in je VPN verkeer (wat je niet gaat doen want dan had je evengoed geen VPN kunnen gebruiken) moet je niet komen klagen dat je geen gebruik kunt maken van de voordelen die zij bieden voor bepaalde diensten.

Het enige wat hier misloopt is de zero rating die T-mobile aanbied. En daar zullen de nodige instanties (zoals de ACM) wel naar kijken en de nodige stappen ondernemen.

Door Tweakers user analog_, donderdag 10 november 2016 22:55

Blokker_1999 schreef op donderdag 10 november 2016 @ 20:35:
Ik wil toch even opmerken dat er een enorme misvatting is tussen wat DPI nu eigenlijk is en welke gangbare praktijken ISPs toepassen. Het bekijken van een TCP header is niet hetzelfde als DPI. Bij DPI wordt effectief de payload geanalyseerd.


[...]
Geen DPI voor nodig, je hebt gewoon een whitelist van IP adressen nodig. En dat niet alle abbonementen hetzelfde kunnen en mogen lijkt mij ook maar evident. Je gaat ook niet klagen omdat het goedkoopste TV abbonement ook niet alle zenders heeft van het duurste.
Voor censuur is enkel een blacklist nodig. Zover ik lees doen ze op basis van destination-IP hun policing. Wat DPI exact omvat is maar de vraag; traditioneel > ISO laag 4 maar wat is het verschil down-the-wire? Paar bitjes intelligent bekijken.

Paar leuke dingen om te weten in het thema:
- Er zijn meerdere gratis en betalende internet domein-naam per categorie diensten beschikbaar
- Ook enkele overheids lijsten
- Sommige hiervan zijn ook in API vorm beschikbaar waarbij je vraagt in welke categorie een URL valt.
- ook HTTPs verkeer is te discrimineren op basis van domein-naam welke plain-text leesbaar is in de initiele request
- HTTPs verkeer is inmiddels zo te beschermen dat MITM niet meer mogelijk is; dat is echter vaak niet het geval.
- vrijwel al het IP-based verkeer wordt voorafgegaan door een bijhorende DNS request de seconde eerder.
- Het is mogelijk wire-speed destination IP based DNS filtering te doen in Linux x86 software. Wat je met deze classificatie doet is te kiezen: CRUD; (ad-)injection, inspection, manipulation (QoS, ...) en blackholen.

Door Tweakers user bazs2000, donderdag 10 november 2016 23:43

Blokker_1999 schreef op donderdag 10 november 2016 @ 20:35:
Ik wil toch even opmerken dat er een enorme misvatting is tussen wat DPI nu eigenlijk is en welke gangbare praktijken ISPs toepassen. Het bekijken van een TCP header is niet hetzelfde als DPI. Bij DPI wordt effectief de payload geanalyseerd.

[...]
Geen DPI voor nodig, je hebt gewoon een whitelist van IP adressen nodig. En dat niet alle abbonementen hetzelfde kunnen en mogen lijkt mij ook maar evident. Je gaat ook niet klagen omdat het goedkoopste TV abbonement ook niet alle zenders heeft van het duurste.
het verschil tussen DPI en het bekijken van headers ken ik en (hetzij dunnetjes) maakte ik dat onderscheid ook.

Dat het niet voor alle abonnementen geldt is toch minstens opmerkelijk te noemen? De abonnementen met grote bundels vallen er wel onder, de kleine bundels niet terwijl deze verhoudingsgewijs er het meeste profijt van hebben. Check de Q&A op T-mobile en zie de flinterdunne argumenten waarmee ze dat brengen. :)
De toestemming hiervoor zal netjes opgenomen zijn in de algemen voorwaarden. Je weet wel, dat documentje dat bijna niemand leest maar wel mee akkoord gaat.
Dat hoor en lees ik wel vaker alleen valt het verstoppen van dergelijke zaken niet onder het "Uitdrukkelijk toestemming geven". Als jij jouw uitdrukkelijke toestemming geeft dan doe jij dit nadat er een uitdrukkelijke vraag is gesteld. Met andere woorden, het plaatsen van een zin in de algemene voorwaarden waaruit blijkt dat je ermee akkoord gaat zodra jij jouw handtekening zet voldoet dus niet. De telecomwet is daar heel duidelijk over.
Het gebruik maken van VPN is een keuze van de klant. Tenzij jij van plan bent om T-Mobile inzage te geven in je VPN verkeer (wat je niet gaat doen want dan had je evengoed geen VPN kunnen gebruiken) moet je niet komen klagen dat je geen gebruik kunt maken van de voordelen die zij bieden voor bepaalde diensten.
Niet helemaal, je moet voordat je eraan mee mag doen jouw server open zetten voor iedereen voordat je eraan mag meedoen. Dan kom je alweer op een heel ander vlak want dan ben je een dienstaanbieder en geen privegebruiker, privegebruikers zijn al uitgesloten.

Oke, sorrie voor dit half-slachtige antwoord want VPN is slechts een uitsluiting. Er wordt te makkelijk over gedaan. De opvatting is: "Jij gebruikt VPN dus jij sluit jezelf uit". Te kort door de bocht want als ik er vanuit ga dat jij een nas hebt en dat jij de muziek die daarop staat wilt beluisteren zonder dat dit van de bundel af gaat, dan moet je alles openzetten voor jan en alleman. Zit je daar dan op te wachten?

Waarom ben jij dan anders dan Deezer of Spotify? Echt, zo open is het allemaal niet hoor. Onbeperkt muziek luisteren zonder dat het van de bundel gaat is dit niet want er zijn zoveel voorwaarden dat het helemaal niet onbeperkt is. Er worden partijen voorgetrokken en that's it.
Het enige wat hier misloopt is de zero rating die T-mobile aanbied. En daar zullen de nodige instanties (zoals de ACM) wel naar kijken en de nodige stappen ondernemen.
Nouja, dat valt te zeggen. de ACM heeft de melding wel gekregen maar stappen zijn er nog niet ondernomen. Wat moet er gebeuren voordat de ACM opstaat en zegt: "Hey T-mobile, wat jullie doen mag niet"? Dit speelt al een aantal maanden en er is nog altijd niet om opheldering gevraagd. De aanname dat de ACM wel zal optreden is niet geheel terecht in dit geval.

Heb je de links trouwens gelezen die ik erbij heb gedaan? Dat blijkt niet uit jouw reactie terwijl deze best beeldvormend zijn over dit onderwerp. :)

[Reactie gewijzigd op donderdag 10 november 2016 23:49]


Door Tweakers user i-chat, vrijdag 11 november 2016 11:03

weer iemand die niet snapt wat DPI is, en wat een provider wel en/of niet mag inzien, bovendien is wetteksten lezen iets dat je beter aan een professional kunt overlaten... het geciteerde artiekel lijk je namelijk niet correct te lezen... maar dat is voor een andere keer...

Door Tweakers user bazs2000, vrijdag 11 november 2016 14:16

i-chat schreef op vrijdag 11 november 2016 @ 11:03:
weer iemand die niet snapt wat DPI is, en wat een provider wel en/of niet mag inzien, bovendien is wetteksten lezen iets dat je beter aan een professional kunt overlaten... het geciteerde artiekel lijk je namelijk niet correct te lezen... maar dat is voor een andere keer...
Lees ik het niet correct of lijkt het maar zo? Denk je dat ik er niets van snap of lijkt het maar zo?

Dat is niet voor een andere keer, dat is voor nu. Enlighten me, wat is het dat ik schrijf waardoor jij denkt dat ik er niets van snap? En wat moet het dan wel zijn? Als je reageert op de wijze waarop je dat nu doet dan heeft het geen zin, daar heb ik dit stuk namelijk niet voor geschreven.

Maar goed, op basis van wat jij nu roept heeft Bits of Freedom het zelfs fout en zij zijn hier toch een stuk verder in gegaan dan wat ik hier doe. Ben jij een professional op dit vlak want dat blijkt niet uit jouw reactie namelijk.

Door Tweakers user i-chat, zondag 13 november 2016 21:29

om te beginnen moet je wetteksten leren lezen, maar in casu is het zo dat de subs a t/m c elkaar uitsluiten (en dus niet cumulatief zijn zoals jij beweert, verder heb je in lid 3 te maken met een verduidelijking (en aanvulling) op lid 2 sub a, met andere woorden er klopt bijna niets van je hele argumentatie...

1) er wordt helemaal niet gekeken naar de package inhoud, maar alleen naar de headers (laten we zeggen de adressering op de envelope). wordt het briefgeheim geschonden als postNL mij niets rekent voor een pakketje naar bol.com antwoordnummer 12345 6789AB nergenshuizen.

nee, en dat heeft niets met het openen van de brief te maken... maar alleen met het analoge (ip-) adres van bol.com

of zero-rating daarmee dan maar moet kunnen is een andere discussie, de EU vindt van wel (bron heb ik even niet bij de hand) en onze overheid vindt van niet (ook hier ben ik te lui om een bron op te zoeken)... wie er gelijk heeft? geen idee, dat laat ik liever aan geleerden over.

Reageren is niet meer mogelijk