Geen enkele anonymizer garandeert anonimiteit

De afperser van Campina had zich slecht georiënteerd: op internet blijken vrijwel geen anonymizers te vinden die altijd de anonimiteit van de gebruikers kunnen volhouden. Zodra een gebruiker in 'strafrechtelijke sferen treedt', is het gedaan met anonimiteit. Net afgelopen week kreeg de gerespecteerde, principiële anonymizer JAP het aan de stok met justitie in Duitsland.

Ook 'anonymizer-land' heeft geleden onder de dotcom-crisis. Waren eind jaren 90 nog honderden van deze diensten op internet te vinden, op dit moment telt het aantal serieuze anonymizers en anonieme remailers nog maar enkele tientallen. Ook een deel van de anonymizers uit een vergelijkend warenonderzoek van Netkwesties drie jaar geleden blijkt gestopt of spoorloos verdwenen.

Uit een rondgang langs een aantal anonymizers en hun gebruiksvoorwaarden rest één klare conclusie: anonymizers kunnen geen absolute anonimiteit bieden. Zodra de politie of een andere opsporingsdienst - al dan niet wapperend met een gerechtelijk bevel - persoonsgegevens vordert, gaan al deze anonymizers uiteindelijk overstag. Dit gebeurt ondanks alle jarenlange principiële discussies over het recht op anonimiteit.

JAP

Een uiterst recent voorbeeld is de Duitse zaak met de anonymizer JAP, een initiatief van de Universiteit van Dresden. Midden augustus 2003 lekte het bericht uit dat het tot dan toe zeer betrouwbaar geachte JAP een achterdeur had moeten inbouwen voor justitie. Dat was gebeurd op aandrang van het Bundes Kriminal Ambt, zeg maar de Duitse FBI.

De makers hadden een nieuwe functie aan de software toegevoegd om desgewenst al het verkeer naar een bepaalde website vast te leggen. In eerste instantie maakte ze geen melding van deze nieuwe achterdeur, want anders zouden ze de Duitse wetgeving overtreden. Maar het duurde niet lang voordat die alsnog uitlekte, wat JAP op zware kritiek kwam te staan.

Eind augustus wist de projectgroep An.On, die JAP maakt, een kleine overwinning te melden. Een hogere rechtbank (Das Landgericht, Frankfurt am Main) vonniste dat een uitspraak van een lagere rechtbank tot het vastleggen van de gegevens niet rechtsgeldig was, op procedurele gronden. De achterdeur kon daardoor tijdelijk weer dicht.

Een aantal gegevens was echter al opgeslagen. Op 2 september stond de politie voor de burelen van de TU Dresden om de tot nu toe vastgelegde gegevens 'even op te halen'. Volgens de TU Dresden was dit een illegale actie van de politie. De TU Dresden heeft beroep aangetekend bij een rechtbank, maar een uitspraak gaat nog een paar weken duren.

Volgens Lukas Gundermann, een van de projectleiders van JAP en werkzaam bij het 'Datenschutz'-bureau van de deelstaat Sleeswijk-Holstein: "Het bewijs dat de politie nu in bezit heeft mag ze in principe gewoon gebruiken, al moet de rechter er nog over oordelen. Het is niet zoals in Amerika [of Nederland] dat illegaal verkregen bewijs niet in een zaak gebruikt mag worden." Om welke zaak het precies gaat, en welke website er achter het bewuste IP-nummer zit, mag Gundermann niet zeggen. Hij kan niet garanderen dat er in de toekomst niet opnieuw afgetapt gaat worden.

"Technisch gezien zijn we de meest geavanceerde anonymizer die er is. We zijn niet af te tappen omdat het systeem werkt met zogenaamde 'mixes', meerdere versleutelde datastromen. We hebben onder dwang echter korte tijd een nieuwe functionaliteit aangebracht, zodat er een soort 'marker' met de datastroom werd meegestuurd, die over alle mixes heen liep. Zo was de IP-stroom toch terug te voeren tot een enkel persoon."

JAP is mede-gefinancierd door het Ministerie van Economische Zaken. De financiering werd voor een vaste termijn verstrekt van drie jaar, die november 2003 zal aflopen. JAP stond binnen de privacywereld bekend als uitermate betrouwbaar, mede omdat de wetenschappers pal stonden voor fundamentele zaken zoals vrijheid van meningsuiting en het recht op anonimiteit.

Rewebber

Een andere Duitse anonieme webdienst is Rewebber, technisch al net zo geavanceerd als JAP, maar ook Rewebber moet voldoen aan de Duitse wet. Rewebber biedt een manier om webadressen zo te versleutelen dat niemand op internet ziet waar de surfer naartoe gaat. Maar, zo schrijven de initatiefnemers: "Als de Duitse rechtbank ons opdraagt om adressen te decoderen, dan zullen we dat doen."

Anonymizer

Zelfs de marktleider op dit gebied, Anonymizer.com, kan nooit en te nimmer gebruikt worden voor criminele handelingen: "Abusers of the Anonymizer can expect no anonymity", zo zegt het bedrijf in de voorwaarden: wie misbruikt maakt van de dienst, hoeft niet te rekenen op anonimiteit. "Zouden we dit niet doen, dan moeten we stoppen met de dienst", zo vat Anonymizer.com de afspraak met de FBI samen.

Anonymizer.com reageerde niet op ons verzoek om een commentaar te geven op de Nederlandse aftapzaak met de Campina-afperser, die een Amerikaanse anonymizer gebruikte.

Xganon

Xganon.com, een gratis dienstverlener die toegang tot de nieuwsgroepen van Usenet verschaft en het mogelijk maakt om anoniem e-mail te versturen, is ook duidelijk: in de gebruikersovereenkomst staat niets over het geheimhouden van de identiteit van de gebruikers, mochten ze wetten overtreden. De anonymizer weet te melden: 'No information on the legal use of this server by any user is sold, given, traded, or intentionally released in any way without a court order."

Met andere woorden: als de FBI met toestemming van een Amerikaanse rechtbank gegevens wil verkrijgen, of een tap wil plaatsen, zal dit zeker gebeuren. Er zijn veel van dit type tamelijk vage en onbekende anonymizers. Ook Surfola.com, de site die door de toetjesterrorist van Campina werd gebruikt, valt onder deze categorie. Sommige van deze sites bieden kleine geldbedragen aan webmasters die een link of banner op hun site opnemen.

Surfola werkt vanaf een Texaanse server en valt onder Texaanse wetgeving. Hoewel de rest van de site rommelig oogt, ziet de gebruikersovereenkomst er professioneel uit: wie de Amerikaanse wet overtreedt krijgt geen anonimiteit.

Sendfakemail

De anonymizer Sendfakemail.com lijkt vooral spammers te willen trekken. De website staat geregistreerd in Australië. Als we de kwestie van Surfola en de toetjesterrorist aan de eigenaar voorleggen, antwoordt hij stellig te melden dat bij zijn server zoiets nooit en te nimmer zal gebeuren. Maar de functies van de site zijn beperkt tot het anoniem versturen van e-mail, een erg eenvoudige website zonder encryptie die 'iedereen' zo zou kunnen beginnen. Maar toch zegt hij: "Onze dienst is hetzelfde als een openbare telefooncel, iedereen kan er zonder controle gebruik van maken."

Dit soort mededelingen kun je met een korreltje zout nemen. Volgens een publicatie van de rechtsgeleerde Indira Carr zijn de wetten in Engelssprekende landen op dit punt vrijwel gelijk. Maar Sendfakemail valt meer onder de klasse van 'anonymous remailers', diensten die het anoniem versturen van e-mail mogelijk maken.

The Cloak

De website The Cloak is een van de weinige anonymizers die een eerlijk en direct antwoord kan geven op de vraag: wat als er een opsporingsbevel komt?

"Je moet, voor je eigen veiligheid, aannemen dat we de logfiles, en andere informatie overhandigen als we een huiszoekingsbevel krijgen of een andere juridisch schrijven waarin dit wordt geëist door een niet-totalitaire staat. We bezitten niet de financiële middelen om zelf een juridische tegenactie te beginnen. In de praktijk zullen we niet zomaar meewerken met buitenlandse mogendheden die hier geen jurisdictie hebben."

Niet anoniem

Al met al blijkt dat zodra de politie of een wat serieuzere opsporingsdienst iets van iemand wil weten, of dit nu achteraf terecht is of niet, een anonymizer een van de slechtste manieren om daadwerkelijk anoniem te blijven.

Bovendien is de kans klein dat een gebruiker er ooit achterkomt of- en wanneer een anonymizer gegevens heeft afgestaan aan de politie: de Duitse betrokkenen bij JAP hadden een zwijgplicht. Dissidenten in verre buitenlanden zijn wellicht veilig bij de Amerikaanse bedrijven, maar roepen ze op tot terrorisme, tegenwoordig een zeer breed begrip, dan hoeven ook zij niet te rekenen op behoud van hun anonimiteit door een dergelijke website.

Zijn er nog wel anonymizers die 100 procent anoniem zijn en onkwetsbaar voor autoriteiten? Gundermann van JAP: "Heel misschien zijn ze er nog wel, maar ik ken verder geen anonymizers die altijd een volledige anonimiteit kunnen garanderen, nergens ter wereld. Ook bij ons kwam een opsporingsbevel en in essentie moeten we gewoon samenwerken met de politie."

De meeste commerciële anonymizers verkopen hun producten tegenwoordig echter als een soort bescherming tegen marketeers: cookies worden tegengehouden en je persoonlijke IP-nummer kan niet misbruikt worden, wat de kans op hacken verkleint. Ook voor surfers die vanaf hun werkplek willen surfen, zijn er producten, zoals Rewebber, die webadressen zo versleutelt dat het lijkt alsof de surfer alleen maar Rewebber.de bezocht heeft.

Proxies en anonymizers

Een proxyserver is een computer die tussen de websurfer en de website staat. Een dergelijke server maakt anoniem surfen in principe mogelijk, omdat het IP-adres van het tussenstation wordt gebruikt en vastgelegd bij de website waar je op bezoek gaat. Het is afhankelijk van de aanbieder van deze dienst of ze ook daadwerkelijk al het surfgedrag registreren.

Op de website Proxybench.com staan duizenden openstaande proxies. Soms staan deze bewust open, soms maakt deze server deel uit van een bedrijfsnetwerk, waarvan de proxy niet goed beveiligd is. Maar in alle gevallen is de proxyserver vrij eenvoudig te traceren. Betrouwbaar anoniem surfen als bescherming tegen autoriteiten met opsporingsbevoegdheid zijn deze proxies niet. Iets dat trouwens voor de meeste gebruikers niet veel uit maakt: anoniem posten op een webforum, anoniem Hotmail gebruiken of om anoniem te spammen, zal de toch al beperkte aandacht van de politie niet krijgen. Onder computerexperts staat een proxy onderaan de anonimiteitsladder: simpel te gebruiken door wat voorkeuren in de browser aan te passen, maar wel degelijk te traceren.

Het verschil tussen een proxyserver, vaak gewoon een IP-nummer dat eventueel met een wachtwoord beveiligd is, en een anonymizer is er nauwelijks. Ook anonymizers bieden zonder uitzondering een dergelijke proxy-dienst. Echter, een anonymizer heeft vaak aanvullende diensten, zodat niet alleen het IP-adres veranderd maar ook de informatiestroom zelf versleuteld wordt. Iemand die de lijn wil aftappen ziet schijnbaar wat willekeurige tekentjes. Sommige anonymizers richten zich met name op werknemers die vanaf hun werk anoniem willen surfen door de links te versleutelen. De marktleider Anonymizer.com legt op zijn website uit waarom iedereen via deze proxy zou moeten surfen.

We bekeken paar van deze gratis proxies, die we via proxybench.com vonden. De meesten bleken buiten gebruik, of zo extreem langzaam dat surfen niet mogelijk is. Wel vonden we het IP-adres 199.71.136.70:80, dat eigendom blijkt van een Canadese internetprovider. De kans dat een gebruiker van deze proxy daadwerkelijk anoniem blijft als hij misdadige zaken via deze verbinding pleegt, is nihil. Canadese internetproviders moeten ook verkeersgegevens afdragen. Wel aardig is dat deze proxy snel en gratis is, en ook nog eens een gratis pornofilter ingebouwd heeft, dan zijn werk wel erg voortvarend doet en ook wat normale Nederlandse websites blokkeert.

Kortom, ook met proxyservers kunnen boeven zich niet aan de speurneuzen van de politie en justitie onttrekken.

Netkwesties
Netkwesties is een webuitgave over internet, ict, media en samenleving met achtergrondartikelen, beschouwingen, columns en commentaren van een panel van deskundigen.
Colofon Nieuwsbrief RSS Feed Twitter

Nieuwsbrief ontvangen?

De Netkwesties nieuwsbrief bevat boeiende achtergrondartikelen, beschouwingen, columns en commentaren van een panel van deskundigen o.g.v. internet, ict, media en samenleving.

De nieuwsbrief is gratis. We gaan zorgvuldig met je gegevens om, we sturen nooit spam.

Abonneren Preview bekijken?

Netkwesties © 1999/2024. Alle rechten voorbehouden. Privacyverklaring

1
0