Auteursrechtenwaakhond Buma/Stemra heeft eerder ook al gesteld dat derden valselijk zijn ip-adressen hebben gebruikt om via p2p-protocol BitTorrent content te downloaden. Deze down- en uploads, van onder meer porno, zijn geconstateerd door YouHaveDownloaded.com. Die BitTorrent-indexsite leek recenter ook de Tweede Kamer in de fuik te hebben. Het Nederlandse parlement was echter niet de dader, want de bewuste ip-adressen waren daar allang niet meer in gebruik. Webwereld zoekt de zaak uit.

Teruggegeven

SURFnet is de eigenaar van de ip-adressen die ten onrechte nog op naam van de Tweede Kamer stonden. Die provider had de internetnummers zelf lang geleden aangevraagd en toegewezen aan de Kamer die tot tien jaar terug klant was bij SURFnet. De van piraterij verdachte ip-adressen zijn toen teruggegeven aan de provider en sindsdien niet opnieuw toegewezen, heeft SURFnet eerder laten weten aan Webwereld.

Doordat de adressen dus de afgelopen tien jaar niet door een ander zijn gebruikt, rijst het vermoeden dat eigenaar SURFnet zelf het geconstateerde BitTorrent-verkeer heeft veroorzaakt. Deze P2p-datauitwisseling is sinds eind vorig jaar gemeten door YouHaveDownloaded.com. Het vermeende downloaden en uploaden zou gedaan kunnen zijn door iemand binnen het netwerk van die organisatie. SURFnet spreekt dit nu echter tegen.

'Ongebruikt'

“Uit de analyse van de Netflow-gegevens van SURFnet is gebleken dat de IP-adressen in de range 192.87.88.0/24 niet in het SURFnet-netwerk gebruikt zijn." Dit meldt de provider in een rapport na een eigen technisch onderzoek dat is uitgevoerd door het securityteam (SURFcert) van de organisatie. Het door Cisco ontwikkelde Netflow brengt ip-verkeer in kaart, en is volgens experts een diepgaande meetmethode - afhankelijk van de gebruikte versie.

“Over hoe deze adressen bij youhavedownloaded.com zijn terecht gekomen kunnen we geen uitsluitsel geven", schrijft het onderzoeksteam van SURFnet. Hierbij wordt er nog wel een mogelijke verklaring geopperd: “Een scenario is dat een partij op het internet gebruik maakt van Network Address Translation (NAT). Normaal gesproken worden bij NAT specifieke IP-adressen gebruikt, zoals bijvoorbeeld 192.168.0.0/24 (RFC 1918), die speciaal voor dit doel is gereserveerd."

NAT-fout

“Het is bij SURFcert bekend dat er fouten gemaakt worden bij het configureren van de NAT IP-adressen. Het is mogelijk en niet ongebruikelijk dat bijvoorbeeld foutief 192.0.0.0/16 is geconfigureerd als NAT IP-reeks in plaats van 192.168.0.0/24. In principe kan iedereen die een netwerk configureert, thuis of op een bedrijf of instelling, dit doen en het is niet te achterhalen wie dit doet."

Technisch expert Paul van Brouwershaven, voorheen cto van Networking4all, vindt deze uitleg in eerste instantie “wel heel vaag". Na enig eigen onderzoek stelt hij echter dat het “theoretisch wél zou kunnen". Hij legt uit dat intern gebruikte ip-adressen normaliter extern niet zichtbaar zijn en ook extern niet gebruikt worden. Gebruik van publieke adressen binnen een door NAT 'afgeschermd' netwerk is daarmee wel mogelijk.

Interne adressen aanzien voor extern

Interne adressen kunnen echter wel 'mee gaan' naar buiten toe; het internet op. “Bijvoorbeeld in mailheaders kun je soms zien, voor troubleshooting, vanaf welk intern ip-adres een mailtje komt. Dat ip-adres staat dan als 'first recipient' in de headers", vertelt Van Brouwershaven, tegenwoordig in dienst bij GlobalSign. Het is dus mogelijk dat een BitTorrent-client het interne ip-adres van een computer ook ergens in zijn netwerkverkeer meestuurt.

Volgens SURFnet kan dat hier het geval zijn. “Youhavedownloaded.com baseert zijn informatie op basis van een aantal zogeheten torrents trackers en de daarbij gebruikte Distributed Hash Tables (DHT) techniek. Het is mogelijk dat daarbij intern gebruikte IP-adressen in die trackers en DHT informatie terecht komen. Daardoor kan het lijken alsof de interne IP-adressen op het publieke internet actief gebruikt zijn terwijl dit feitelijk niet zo is."

Het is dus de vraag of YouHaveDownloaded wellicht dát heeft gemeten. Om dan vervolgens die intern gebruikte maar extern ook bestaande adressen als echte adressen op te nemen in zijn openlijk doorzoekbare database. Een steekproef door Webwereld op YouHaveDownloaded van willekeurige adressen in de drie officiële ip-ranges voor intern gebruik levert geen resultaten op.

'Bullshit-uitleg'

Producer Suren Ter van YouHaveDownloaded wijst de verklaring van SURFnet geheel van de hand. Hij stelt dat de ip-adressen in kwestie wel degelijk zijn gebruikt en dat de mogelijkheid van foutief NAT-gebruik door een ander onzin is. “We krijgen veel bullshit-uitleg van mensen, maar mensen zijn minder creatief dan officiële instanties."

“Onze crawler [die data vergaart van BitTorrent-verkeer - red.] heeft geen toegang tot interne ip-adressen, en dat is trouwens onmogelijk voor welke crawler dan ook." Hij antwoordt: “Om deze uitleg waar te laten zijn, is er een hele keten aan erg onrealistische gebeurtenissen nodig."

Onwaarschijnlijke keten

Als eerste schakel moet iemand zijn interne netwerk hebben opgezet met verkeerde ip-adressen. Ter erkent dat dit mogelijk is, maar zegt dat het moeilijk is en geen enkel nut dient. “Zo'n LAN werkt ook niet naar behoren." Als tweede schakel moet YouHaveDownloaded “die interne adressen op magische wijze hebben bereikt, wat nooit is gebeurd met reguliere internet ip-adressen - die wereldwijd veel meer in gebruik zijn".

Als derde schakel moeten dat dan nét die ongebruikte ip-adressen zijn, “terwijl de wereld aan IPv6 moet omdat IPv4 niet genoeg is", somt Ter op. “Al deze dingen zijn mogelijk, maar erg onwaarschijnlijk. En allemaal tegelijk? Met zulk geluk moet ik maar loterijkaartjes kopen."

De producer van de torrentindex vat de kwestie samen met een verwijzing naar Occam's razor: dat de simpelste verklaring vaak de juiste is. “Wat is er makkelijker te geloven? We hebben twee opties: enkele it-mensen van SURFnet hebben gedownload vanaf een ongebruikt ip-adres óf een ongeloofwaardig verhaal over vermenging van interne en externe ip-adressen."

1.1.1.1

SURFnet wijst er in het eigen onderzoeksrapport nog op dat de index van YouHaveDownloaded ook enkele andere niet-valide ip-adressen bevat. De provider “heeft geconstateerd dat youhavedownloaded.com ook andere niet in gebruik zijnde IP-adressen zoals 1.1.1.1 en 1.1.1.2 in haar database heeft staan."

Dat eerstgenoemde ip-adres staat op naam van internetregister APNIC. Dat is de Aziatische collega van het Europese RIPE NCC, waar de van pornopiraterij verdachte SURFnet-adressen nog op naam van de Tweede Kamer stonden.

APNIC gebruikt 1.1.1.1 voor het Debogon Project waarbij niet-valide ip-adressen (zogeheten bogons) worden 'gerecycled'. Die gereserveerde ip-adressen worden in netwerkverkeer normaliter genegeerd, legt netwerkexpert Van Brouwershaven uit. De bogons worden via dit project weer valide om echt gebruikt te kunnen worden. RIPE werkt zelf ook mee aan deze herwinning van IPv4-adressen.