5 kwaadaardige kanten van DPI

Telco's gaan belasting heffen

Omdat de SMS- en bel-melkkoe inmiddels leeg lijkt te zijn, moeten de gebruikers die zo slim waren een gratis alternatief als WhatsApp of Skype te gebruiken maar boeten. De telefoonmaatschappijen willen in feite belasting heffen voor een dienst die zij zelf helemaal niet leveren. Behalve het dataverkeer dat over hun eigen netwerken gaat hebben de telco's namelijk helemaal niets te maken met Skype en WhatsApp. Hoewel... De nieuwerwetse tekst- en spraakdiensten zijn eigenlijk concurrenten van de bedrijven, net als bijvoorbeeld Viber.

Wat de telecombedrijven doen is eigenlijk concurrenten kapotmaken door hun macht te misbruiken. Een klant gebruikt een dienst die hen eigenlijk niets kost, maar ook zeker niets oplevert en dus moet die klant betalen. Het is alsof Microsoft een tientje vraagt voor iedere alternatieve browser die een gebruiker op zijn Windowscomputer wil installeren of wanneer een stroomleverancier extra rekent als iemand spaarlampen gebruikt.

Geld verdienen via betere producten van een ander dus. Dat zou zonder DPI niet goed mogelijk zijn, dan valt namelijk niet te controleren of iemand wel echt die dienst gebruikt. Door DPI weet iedereen zeker dat hun provider het zal merken als je iets doet wat zij liever niet hebben. Dan krijgt 'met lichte dwang' een duurder abonnement aansmeren, zoals KPN voorstaat, toch ineens een heel andere lading.

Einde van de netneutraliteit

De providers luiden daarmee ook direct het einde van netneutraliteit in. Op internet is ieder pakketje gelijk, maar bij KPN en Vodafone zijn sommige pakketjes meer gelijk dan andere. Of in ieder geval duurder dan andere. Diensten als WhatsApp en Skype gebruiken namelijk nauwelijks dataverkeer, dus is ieder pakketje wat via die applicatie wordt verstuurd een stuk duurder. Dat gaat precies tegen alles in waar netneutraliteit voor staat.

KPN maar ook Vodafone lijken nog niet helemaal te snappen dat internet primair om data verstouwen gaat. Als de telco's gewoon dataverkeer af blijven rekenen zou dat eerlijk zijn. Dat dekt namelijk alle kosten die zij er zelf aan hebben. Op die manier betaalt iemand die regelmatig video op zijn mobiel kijkt, veel en iemand die nauwelijks gebruik maakt van internet weinig. Maar ja, instant messaging verbruikt nauwelijks data. Daarmee is het verlies van de winst dus niet te compenseren, zal KPN hebben gedacht.

Dus maakt het bedrijf sommige data maar gewoon heel erg duur. Dat is niet nieuw voor een mobiele aanbieder, SMS'jes zijn namelijk ook overpriced. Zo'n berichtje is maximaal 160 bytes groot. Stel dat een SMS-bericht 25 cent kost dan kost een SMS'je 1638,40 euro per MB.

Als het blijkt te werken is het hek natuurlijk van de dam: Met DPI kan KPN zomaar extra gaan geld vragen aan mensen die populaire websites bezoeken of vaak e-mailen. Lekker binnenlopen!

Schieten met kanon op een mug

Maar dat is natuurlijk helemaal niet aan de orde. KPN heeft immers alleen "het soort dataverkeer geanalyseerd om de opkomst van de applicatie WhatsApp in kaart te brengen". Daarmee zou het bedrijf dan later, als de nieuwe abonnementen zijn geïntroduceerd, deze klanten netjes kunnen factureren voor hun gebruik. Maar daar heeft KPN helemaal geen DPI voor nodig.

Ook Vodafone hoeft geen DPI te gebruiken voor haar 'Quality of Service' waarmee de provider VoIP, SMSoIP en tethering blokkeert. Zowel de analyse als de kwaliteitsbewaking zijn namelijk eenvoudig af te vangen door gewoon te kijken naar het poortnummer en de host waar iemand verbinding mee maakt. Matcht dat, dan benadert de kans dat iemand ook echt een voor de telco's omstreden dienst gebruikt toch echt 100 procent.

De providers kunnen bovendien kiezen voor shallow packet inspection (SPI). Daarmee kan de provider achterhalen wat de bron, de bestemming, het protocol en poortnummer is. Voor wat KPN (analyseren) en Vodafone (kwaliteit bewaken) willen doen is dat meer dan voldoende. Sterker, UPC gebruikte dit naar verluidt al om diensten als usenet tijdens piekuren minder bandbreedte te geven. Geen probleem dus.

Klanten raken privacy kwijt

Maar, nee, de mobiele providers moeten het groots aanpakken. Waarom slechts een deel van de data bekijken? Het is vast veel simpeler om het gewoon in één keer allemaal te doen, dat kan immers in de toekomst nog heel handig van pas komen. En hoewel beide bedrijven zeggen dat ze de privacy van hun klanten zeker niet aantasten, zijn veel Nederlanders toch erg bezorgd.

Twitter stond donderdag vol mensen die wilden opzeggen en die dreigden aangifte te doen omdat KPN de wet zou overtreden. Ook digitale burgerrechtenorganisatie Bits Of Freedom roept mensen op aangifte te doen, internetjurist Arnoud Engelfriet deed dat zelfs al. En hoewel het misschien wat zwaar klinkt, is het misschien niet eens zo vreemd om aangifte te doen tegen de oud-monopolist. Naar de letter van de wet is wat zij doet immers strafbaar en bovendien zal niemand het leuk vinden dat KPN in jouw gegevens zit te roeren.

Tuurlijk, KPN gebruikt DPI alleen voor analyse en Vodafone alleen voor bandwith shaping, maar hé, ze hebben die gegevens van de klanten dus wel. In theorie weten de telco's precies welke websites je bezoekt, met wie je e-mailt en zelfs wát jij diegene stuurt. Als we op de reacties op internet moeten afgaan raken KPN en Vodafone dus veel klanten kwijt, al is het even de vraag waar die hun heil moeten zoeken. T-Mobile zegt de enige te zijn die niet toegeeft aan DPI dus daar kunnen bezorgde burgers heen. Mensen vinden het in ieder geval geen fijn idee om al die data aan een commercieel bedrijf te geven. Zelfs mensen die normaal niets te verbergen hebben.

Function creep

En dat gevoel is misschien ook wel terecht. Commerciële bedrijven willen immers geld verdienen en apparatuur voor deep packet inspection is niet goedkoop. Een deel verdienen ze terug door hun klanten meer te laten betalen, maar dat zal niet snel alle kosten dekken. Misschien zijn de providers daarom wel genegen mee te werken als ze een telefoontje van Brein-voorman Tim Kuik krijgen. Een paar duizend euro per maand als de telco's actief piraterij tegengaan door sites met bijvoorbeeld het woord 'torrent' te blokkeren klinkt misschien wel erg aantrekkelijk. Het is een lekker zakcentje en kan bovendien vrij eenvoudig met DPI.

Dat dachten de Britse providers British Telecom, TalkTalk en Virgin trouwens ook toen ze begonnen met het tonen van eigen advertenties gebaseerd op het profiel van de gebruiker. Via DPI roerden deze providers net zo lang in de privégegevens van een klant tot zij een heerlijk profiel hadden waarmee ze persoonlijke advertenties konden tonen. De verliezer? De gebruiker die zijn privacy kwijtraakt, maar ook de website-eigenaar die zijn advertentie-inkomsten ineens naar een ISP ziet gaan. De providers zelf verdienden er lekker aan door de privacy te schenden.

Misschien wil de AIVD wel bijhouden welke internetgebruikers er allemaal Googelen op 'hoe maak ik een bom' om deze mensen vervolgens op de lijst van mogelijke terroristen te plaatsen. Dat is niet zo moeilijk, Vodafone en KPN hebben de apparatuur toch al staan. Dat kunnen ze dan ook wel even loggen. Vervolgens kunnen ze die staatsgevaarlijke websites voor de zekerheid ook maar gewoon blokkeren.

Dat doen landen als China, Iran en Libië trouwens ook. Zij blokkeren websites niet alleen per adres, maar kijken ook naar de inhoud op een website en blokkeren die vervolgens. Met DPI weet je niet alleen wat de inhoud is maar ook wie er naar kijkt. In dictatoriale regimes verdwijnen deze mensen simpelweg. Toch iets waar je als telefoonaanbieder niet mee geassocieerd wil worden.

De rubriek De Vijf haakt op eigen wijze aan op actuele ontwikkelingen in de webwereld, waarbij een pittige stellingname niet is uitgesloten. De onderwerpen variëren sterk, het cijfer 5 is de enige constante.