It-folk griller Søren Pinds argument for sessionslogning: Kan ikke spore Skype, iMessage og Messenger

Der er ikke hold i et af justitsministerens argumenter for at indføre sessionslogningen igen ifølge sikkerhedseksperter Christian Panton og Henrik Kramshøj.

Justitsminister Søren Pind (V) vil genindføre sessionslogningen blandt andet for i højere grad at kunne overvåge de digitale kommunikationsplatforme som Skype og Facebook Messenger.

Læs også: Sessionslogning af danskernes internetbrug på vej tilbage i udvidet form

Ministerens og politiets ambitioner løber dog hovedet mod muren ifølge it-sikkerhedseksperterne Christian Panton og Henrik Kramshøj. Den måde som sessionslogningen fungerer på, vil nemlig ikke være i stand til at opsnappe, hvem der modtager beskederne og opkaldene i de digitale tjenester.

»I dag logges oplysninger om, hvilke telefonnumre der har ringet til hinanden på hvilket tidspunkt, men hvis parterne bruger internetbaseret telefoni som f.eks. Messenger, Skype eller iMessage, bliver oplysningerne ikke logget. I den tid vi lever i, nytter det ikke,« skrev Søren Pind til Information, der havde adspurgte ham om, hvorfor han vil genindføre sessionslogningen.

»Enten er politiet misinformeret om, hvad sessionslogning kan. Ellers også håber de på senere at kunne udvide den,« siger Henrik Kramshøj om muligheden for at spore eksempelvis Skype-opkald.

Det afgørende er forskellen mellem den nuværende logning af telefonopkald og så logningen af den digitale kommunikation på nettet, dvs. sessionslogningen.

Telelogningen gør det muligt at se både modtager og afsender på opkaldet, men ikke hvad der ellers er blevet talt om.

Dette princip fungerer dog anderledes med digitale tjenester som Skype, Facebook Messenger og iMessage.

Her er det nemlig ikke muligt at identificere, hvem modtageren af Skype-opkaldet eller iMessage-beskeden er ud fra metadata, lyder vurderingen fra Panton og Kramshøj.

Når man ringer over Skype, kan internetudbyderen ganske rigtigt se på den modtagende ip-adresse, at man ringer til Skype-serveren hos Microsoft. Men derfra er der ikke noget i metadata, der afslører, hvem man ringer til - og dermed er værktøjets brugbarhed til efterforskning også stærkt forringet.

I både Facebook Messenger, iMessage og Skype ligger information om modtageren nemlig ikke åbent i netværkslaget. Den ligger i stedet krypteret som metadata på applikationsniveau, hvor internetudbyderen ikke har adgang.

»Internettet er et helt andet slags netværk end mobilnetværk. De (politiet, red.) kommer fra en baggrund, hvor de er vant til at referere ting ud fra teledata. Men når de flytter det tankesæt over på internettet, så er det ikke kompatibelt, for det er ikke samme slags netværk,« siger Christian Panton.

Ingen forskel på statusopdateringer og chat-beskeder

Internetudbyderne vil med sessionslogningen heller ikke være i stand til at se forskel på, om man laver en statusopdatering på Facebook eller skriver en besked via Messenger.

Digitale tjenesteudbydere som Google og Facebook bruger ifølge Christian Panton ofte samme server til både kommunikation og indholdstjenester. Derfor vil ‘modtagers ip-adresse’ henvise til den samme intetsigende Facebook-server, ligegyldigt hvordan man interagerer via det sociale medie.

Skype har tidligere været en undtagelse, da tjenesten fungerede som et peer-to-peer netværk, hvor man forbandt direkte med modtagerens ip-adresse, når man lavede et opkald. På dette tidspunkt ville sessionslogningen sandsynligvis have kunnet bruges til at identificere, hvem folk ringede til på Skype.

Men Microsoft har siden ændret arkitekturen på Skype, således at opkaldene foregår via en central server. Samtidig indførte Microsoft for nyligt en beskyttelse af gamere mod DDoS-angreb ved at skjule ip-adresserne på Skype-brugerne. Dermed er brugerne på tjenesten med al sandsynlighed også afskærmet fra at blive identificeret med sessionslogningen ifølge Panton og Kramshøj.

Læs også: Gamer-beskyttelse: Skype vil skjule IP-adresser som standard

Usandsynligt at kunne sammenkæde oplysninger

Der findes en anden teoretisk mulighed for at sammenkæde to personer, der eksempelvis har skrevet eller ringet sammen via digitale tjenester.

Den består i, at politiet kan korrelere tidspunkterne for to uafhængige logninger af eksempelvis en Skype-samtale eller iMessage-besked og finde sammenhængen mellem afsender og modtager. Det er dog usandsynligt, at metoden vil virke i praksis ifølge ifølge både Christian Panton og Henrik Kramshøj.

»Man kan ikke bare sammenligne timestamps i logninger og sige, at de to personer har talt sammen,« siger Christian Panton og uddyber:

»Mange informationssystemer kører via en forskudt tjeneste med store and forward. Man lægger en besked op, og den bliver først hentet senere.«

Derudover kommer udfordringen med, at der er millioner af samtaler i gang på Skype og andre sociale netværk på samme tid, hvilket gør det endnu sværere at finde nålen i høstakken og sammenkæde to brugere ud fra deres metadata.

Endvidere kan der være forskel på, hvor præcist de forskellige internetudbydere holder styr på tiden og logger tidspunkterne for de forskellige datapakker.

Sessionslogning er godt til masse-profilering

Når sessionslogningen ikke fungerer til at identificere, hvem der har snakket eller skrevet sammen på Skype og lignende tjenester, kan man spørge, hvad den så kan bruges til.

Det har Christian Panton et bud på. Han fik for nylig indsigt i de registreringer, som hans teleselskab havde indsamlet om hans internetbrug tilbage i 2013 som et led i den daværende sessionslogning.

Det bestod i et omfattende register over alle de hjemmesider, han havde besøgt samt det nøjagtige klokkeslæt. Der inkluderede hjemmesiden for SF’s ungdomsafdeling, ejendomsmæglerkæden HOME, den tyske forsker Andreas Schwarz samt programmørforummet Stack Overflow ifølge Information.

»Jeg kan se ud fra de data, jeg har fået, at sessionslogningen fungerer okay til profilering og at se, hvilken person jeg er,« siger han og afviser behovet for masseovervågning for at nå frem til denne konklusion:

»Det kan man også sagtens finde ud af, hvis man foretager målrettet data-aflytning af min telefon et par dage.«

Om politiet og efterretningstjenesten efterfølgende vil kunne få udleveret oplysninger om brugerne fra virksomheder som Microsoft, Apple og Facebook er uvist.

Men at der skulle være behov for sessionslogning til dette afviser Christian Panton.

»Man kan blot data-aflytte en telefon fremadrettet for at se, hvilke tjenester personen bruger,« siger han.

Grafik: Martin Kirchgässner.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (67)

Mogens Ritsholm

Jeg skal blot tilføje, at politiet ikke har adgang til metadata, men kun logposter for en bestemt bruger. Så de kan slet ikke korrelere i alle data og kun korrelere, hvis de på forhånd har en mistanke om modtageren, hvis data også kan rekvireres via dommerkendelse.

Jesper Lund

Denne gang skal der logges sessioner (så det kan blive rigtigt dyrt), synes Justitsministeriet.

Men på en god forbindelse kan TCP sessioner til Skype serverne eksistere længe, og der kan være mange opkald i samme TCP session, så sammenkædning af to sessionslogninger vil (heller) ikke afsløre hvem der ringer til hvem.

Andreas Jensen

Det er jo spild af tid og ressourcer. Ikke nok med at sessionslogning ikke rigtigt giver mening ifht. de allermest udbredete tjenester som Skype og messenger, men går man skridtet videre og finder en tjeneste med end-to-end kryptering er der slet intet at komme efter.. Personligt bruger jeg Telegram, Discord og Tox, held og lykke med at få noget ud af de logs..

Michael Hansen

"Det har Christian Panton et bud på. Han fik for nylig indsigt i de registreringer, som hans teleselskab havde indsamlet om hans internetbrug tilbage i 2013 som et led i den daværende sessionslogning."

Bare af ren nysgerrighed hvordan er det teknisk muligt når de data for længst skulle have været slettet?, eller har de bare været længe om at behandle hans forespørgsel.

René Nielsen

De lovgivningstiltag som er sket i de sidste par år er ikke rettet imod terrorister som vil sprænge en atombombe inde på rådhuspladsen. De er rettet imod stiknarkomanen som vil røve indvandrekiosken henne på hjørnet.

Sessionslogningen er helt uegnet til at fange ”bad guys” som terrorister, pædofile og internet kriminelle men er uhyre effektivt når vi taler om at buste hr. og fru Jensen. Det tør politikkerne dog ikke sige, for så blev der et ramaskrig.

Kom det frem at sessionsloggen i virkeligheden skal logge store dele af V, R, DF og S vælgerbaser så ville der nok blive problemer med vælgerne, så hellere holde fast at de skal bruges til at fange ”bad guys”.

Jeg tror en stor del af problemet er at juristerne i ministerierne lider af den vrangforestilling at Internettet funger på samme måde som telefonnettet, hvor metadata om opkald er ganske effektive efterforskningsværktøjer.

Mogens Hansen

...at politiet kan korrelere tidspunkterne for to uafhængige logninger af eksempelvis en Skype-samtale ... og finde sammenhængen mellem afsender og modtager.

Kan, udover de nævnte begrænsninger, omgås let med en 3. mand og et gruppeopkald:
A ringer til B
B inviterer C til samtalen
A giver sin besked til C og går ud af samtalen.
Nu er der ingen korrelation mellem start- og sluttidspunkter for A og C.

Christian Nobel

A ringer til B
B inviterer C til samtalen
A giver sin besked til C og går ud af samtalen.
Nu er der ingen korrelation mellem start- og sluttidspunkter for A og C.

Og dybest set, så kunne Terrorist A/S vel også bare oprette en mødetelefon et eller andet sted ude i Langtboristan.

For så kunne A jo bare ringe til omstillingen hos Terror A/S som så sørgede for at viderestille samtalen til B efter nogle minutter (eller bare senere leverede en båndet besked) - jeg har meget svært ved at se hvordan politiet skulle kunne fange den, især i lyset af at de ikke anede hvad de skulle stille op med de mange data de tidligere høstede, da "de ikke havde værktøjerne".

Det eneste de måske kunne docere var at A havde ringet til Terror A/S på et tidspunkt og på et andet tidspunkt havde Terror A/S så kontaktet B - men hvis nu der var hundreder eller tusinder der gjorde det, hvordan ville de så kunne forbinde A med B?

Kun hvis de decideret havde aflytning på A eller B kunne de udelede noget reelt, men så er det jo alligevel en helt anden situation.

Der er så mange måder at gå under radaren, men alligevel fører politiet og Pind sig frem med patetiske og direkte ubegavede argumenter.

Christian Panton

Ja de var 2 år om det, og havde USB stick liggende i en skuffe. Alm. telelogning blev dog ikke udleveret, da det i mellemtiden var blvet slettet

Johnnie Hougaard Nielsen

Selv om kryptering på Skype og anden Internet telefoni/chat blokerer for at bruge metadata til at se hvem der kommunikerer, kan det også have en værdi at se hvem det ikke er. Og det vil trods alt i nogen grad kunne udledes af en sessionslogning mellem brugere der ikke gør krumspring, i den udstrækning at der sker en nogenlunde synkron kommunikation. I mange tilfælde vil det endvidere kunne sandsynliggøre hvem der faktisk har forbindelse.

Mogens Ritsholm

Det er en rigt møgsag.

Sagens kerne er nok, at hverken politiet eller PET har nævneværdigt behov for sessionslogning. PET sagde det nærmest direkte i redegørelsen fra december 2012. Først siger PET, at de bruger andre typer logning, og at de er vigtige for dem. Dernæst siger de:

"For så vidt angår anvendelse af teledata fra sessionslogning kan det oplyses, at det i meget begrænset omfang har været relevant at indhente sådanne oplysninger i forbindelse med efterforskning"

Når man kender embedsværkets stil er det det samme som en tilståelse af, at det slet ikke har været anvendt af PET.

Så PET har for længst indset, at det ikke duer til noget, selv om det egentlig var dem, der skubbede på for at få det indført.

Nu er det Rigspolitiet, der står alene med ønsket.

Hvorfor kan de bruge det, når PET ikke kan.

Svaret er, at det kan de heller ikke.

Men TDC mobil har lavet en meget omfattende logning ved en særdeles vidtgående fortolkning af kravene om at logge IP-identiteter samt første og sidste celle for dataadgang.

Denne logning ligner sessionslogning med tilføjelse af celle-id. Men det er det ikke, og den vil forsvinde igen, når man går over til IPv6, så man ikke længere behøver NAT.

Jeg har fortalt om det andet steds. Se mine tweets, der indeholder en henvisning. Af en eller anden grund kan jeg ikke kopiere direkte link til denne editor.

Som det også fremgår af redegørelsen fra 2012 kalder rigspolitiet hårdnakket TDC mobils omfattende logning for sessionslogning, selv om sessionslogning jo ikke indeholder celle-id.

Og de tror så, at et generelt krav om sessionslogning for alle fastnet og mobilnet vil give dem de eftertragtede tætte oplysninger om celle-id.

Søren Pinds eksempel fra tusindårsskoven er netop brug af denne tætte logning af celle-id.

Ok.

Hvis det er så vigtigt for politiet, så kunne man da nøjes med et mere direkte krav om logning af celle-id. Jeg ved så ikke om det skal være 5,10,25 eller 1000 gange i døgnet.

Så kan man politisk tage stilling til det.

Men det er jo helt hen i vejret, at alle skal belastes med nytteløs logning, fordi celle-id skal sniges med i halen af kravene.

Men sagen er nok den, at tæt logning af din færden fremlagt som et direkte forslag ville blive afvist af politikerne.

Sikke en møgsag.

Johnny Olesen

Jeg sidder altså og undre mig lidt - måske nogle af de kloge hoveder kan hjælpe mig lidt?

Kan det tænkes, at PET kan bruge sessions logningen at få andre data udleveret? Lad os lige glemme juraen lidt, og udelukkende fokusere på det tekniske.

Altså hvis PET har fået mistanke til Akmed eller Jonas, så undersøger de lige, hvad de to mistænkte går og laver på deres computere og telefoner. Via sessions logningen kan se de, at både Akmed og Jonas nogle gange har kontakt til Skypes servere, og at der overføres en stor mængde data til Skypes servere.

Derefter kan gutterne hos PET ringe til CIA (eller hvem der ellers har Microsoft boller i en skruetvinge) og spørge om de ikke lige kan checke hvem Akmed eller Jonas har ringet eller chattet med via Skype?

Hvorfor er det, at alle taler om at sessions logning er ubrugelig blot, fordi man ikke kan bruge data direkte ligesom f.eks. ved mobiltelefoni?
Hvis man skal følge den logik, så er videoovervågning af et røveri jo også ubrugelig fordi man ikke kan se navn, adresse og CPR nummer på røverne.

Steen Garbers Enevoldsen

Hvis sessionslogningen bliver en realitet kunne det være vi skulle starte noget tilsvarende op for kryptering, pgp, vpn, etc? Folk kan komme med deres device, og få gode råd og hjælp til at installere basis beskyttelse. Man kunne holde et lille foredrag hvor grundbegreberne forklares, best pratice gennemgås, osv.

"Når uret bliver ret, bliver modstand til pligt", og man kunne godt argumentere for, at vi bør hjælpe vores mindre IT-kyndige medborgere med at beskytte sig mod statens overgreb, og jeg mener faktisk at dette er et overgreb!

Jeg er 'game' - Andre?

Jesper Lund

Kan det tænkes, at PET kan bruge sessions logningen at få andre data udleveret? Lad os lige glemme juraen lidt, og udelukkende fokusere på det tekniske.

Altså hvis PET har fået mistanke til Akmed eller Jonas, så undersøger de lige, hvad de to mistænkte går og laver på deres computere og telefoner. Via sessions logningen kan se de, at både Akmed og Jonas nogle gange har kontakt til Skypes servere, og at der overføres en stor mængde data til Skypes servere.

Derefter kan gutterne hos PET ringe til CIA (eller hvem der ellers har Microsoft boller i en skruetvinge) og spørge om de ikke lige kan checke hvem Akmed eller Jonas har ringet eller chattet med via Skype?

Ja, det har hele tiden været meningen at sessionslogningen skulle bruges på den måde (med dommerkendelser og MLAT i stedet for skruetvinger og CIA bøller). Også i 2007-2014, hvor Justitsministeriet kunne fremvise hele NUL sager, hvor sessionslogning havde været af væsentlig betydning for politiet.

På baggrund af denne fiasko er det IMO fair at sige at erfaringerne viser, at sessionslogningen er ubrugelig.

Trenden går mod privacy-by-design tjenester uden central metadata opsamling på serveren (fx Signal), og så bliver det endnu mere ligegyldigt med sessionslogning, i det omfang det er muligt.

Morten Birkelund

Har de helt glemt UDP eller skal hver enkel UDP pakke logges som en session...

Forventningen om at mægden af logs kun er 4-600 linjer om dagen pr borger er også forkert. Bare at loade forsiden på version2.dk er 123 (ja 123) forskellige filer der hentes. en god del af dem fra forskellige servere.

DR.dk er 121
ING.dk er 259

Erling Sjørlund

Efter min mening er kritikken og den saglige påvisning af, at forslaget rent teknisk er håbløst unyttigt, helt forfejlet.

Hvad skal en populist som i årevis har forlangt flere fængsler og højere straffe for så den ene og så den anden forbrydelse gøre, når kriminaliteten er faldende og fængslerne begynder at få god plads?

Her komme logningen ind som et rigtigt godt forslag.

  • Ingen forstår rigtigt konsekvenserne af det
  • Det viser, at politiet er helt fremme i skoene rent teknologisk
  • Ingen kan have noget imod det, da de jo aldrig selv gør noget galt
  • Det er dejligt at politiet passer på os, og fanger alle terroristerne, inden de begynder at rende rundt i Krystalgade og myrde løs.
  • Det er gratis for staten. I modsætning til løn, uniformer og politibiler bliver dette vigtige nye værktøj betalt af dem, der logges
  • Finansieringen medfører til og med, at værdien aldrig skal holdes op mod andre statslige udgifter. Hvor meget ventetid kunne man have fjernt for pengene?
  • Ligesom børnepornofilteret har fået pædofili til helt at forsvinde, vil denne logning skræmme alle skurkene fra at planlægge terrorangreb.
  • DF vil have det mere omfattende, hvilket får Søren Pind til at fremstå afbalanceret og bevidst om proportionalitet.

Alt i alt et velgennemtænkt forslag fra en erfaren populist - jeg er fuld af beundring, også selv om jeg - ved et rent uheld - kan være kommet til at formulere mig lettere ironisk herover.

Jesper Louis Andersen

Jeg skal blot tilføje, at politiet ikke har adgang til metadata, men kun logposter for en bestemt bruger. Så de kan slet ikke korrelere i alle data og kun korrelere, hvis de på forhånd har en mistanke om modtageren, hvis data også kan rekvireres via dommerkendelse.

Hvis logning genindføres kunne det være rart med et krav om at der føres oversigt fra ISPernes side om hvor mange gange data har været udleveret. Det kan man så holde op med hvor mange gange data har fundet anvendelse i en eventuel senere sag som bevismateriale.

Hvis man kigger på anvendelsen af de tidligere sessionslogs, så tyder intet på at data har fundet anvendelse på anden vis en den Ritsholm beskriver: lokationssporing af mobiltelefoner. Og det er jo ikke sessionslogning, så det kan ikke bruges som argument herfor.

Krøllen med at de tidligere sessionslogs kun indeholdt hver 500 pakke skal findes i det faktum at routing-switche typisk ikke kan holde til at man udtrækker fuldt flow fra mere end enkelte IP adresser (i.e., aflytning med dommerkendelse i hånden). Til gengæld har de ofte muligheden for ved hver pakke at kaste en 500-sidet terning[0] og trække alle dem der slår 500 ud. Det bruger man så til statistisk oversigt, så man kan bestemme hvordan ens trafik skal flyde i netværket, eller til at lave billing af kunder for deres forbrug i erhvervsøjemed. Det var aldrig tiltænkt som et værktøj til overvågning. Fra det tilfældige sample kan man så byde på sessioner: hver pakke fra kilde A til modtager B via port P sættes til at tælle som 512 gange pakkestørrelse. Hvis man ikke ser nogen pakker i sit sample i et stykke tid, så antager man sessionen som afsluttet.

Grunden til at dette var modellen var et krav om at logningsbekendtgørelsen ikke måtte komme ISPerne til økonomisk skade, så der skulle ikke være nogen meromkostninger for dem. Derfor udnytter man ovenstående teknologi til andet formål.

I dag kan det formentlig godt lade sig gøre at lave systemer der kan trække fuldt flow til analyse. NSA gør det oplagt, det ved vi post-Snowden. Men det er bestemt ikke gratis at konstruere et sådant system, og routing switche kan typisk ikke gøre det som standard. Med andre ord må staten op med den store tegnebog for at få den del til at glide ned.

Kardinalpunktet er dog at sådan en log har ringe effekt i en moderne verden hvor det meste chat-kommunikation går gennem 3.-part, hvilket akkurat er Panton's pointe. På sin hvis fungerer 3.-parten som en obfuskerende enhed: eller et mixing netværk.

[0] I praksis er det ikke 500, men 512 (eller 1024, 2048, ...) Det er vigtigt at det er tilfældigt, ikke periodisk udtræk, derfor terningekastet. Loven sagde 500, men 512 er den laveste opløsning du kan køre med i teknologier såsom sFlow.

Svend Skipper Andersen

Hvis udbyderene tvinges til at logge, så kunne det være en god idé, at de gjorde alle oplysningerne tilgængelige for brugeren. Skriv på regningen, at man kan logge ind på Selvbetjening og se de data som er gemt om en, og som Staten kan læse.

Så kan det nok være, at befolkningen vågner op!

Bent Jensen

Hvordan undgår man overvågning fra MS

Har ellers stået alt rapportering og andet fra i Windows, men efter den sidste opdateringer mente MS åbenbart at alle applikationer skal have adgang til mine kontakter, placering og få lov til det i baggrunden. Samt nu er det ikke muligt at slå rapportering til MS fra overhovedet. Ligner mere et dumt og tåbeligt bytte fra Win7.
Måske bliver det kun en Linux version på den PC også, også kun en enkelt Win Dåse til Spil.
Hvis man ikke kan kvæle MS phone home, kan man så ikke blokere for dette i sin Firewall ? Nogen forslag. Til IP. Evt, Alle USA IP som en start,

Johannes Aagaard

I artiklen anføres det, at "Når man ringer over Skype, kan internetudbyderen ganske rigtigt se på den modtagende ip-adresse, at man ringer til Skype-serveren hos Microsoft.", og dette er jo korrekt. Men Christian Panton drager i denne forbindelse nogle konklusioner, som i mine øjne ikke nædvendigvis holder og som baserer sig på præmisser, som dybest set er spekulationer fra Pantons side.
For det første er der ingen tvivl om, at også dansk og amerikansk lovgivning i vid grad understøtter forhold, hvor dansk politi med bl.a. en retskendelse kan pålægge Facebook eller Skype at udlevere registrerede data.
For det andet er ambitionen med sessionslogningen i f.t. f.eks. Skype-trafik måske netop "kun" fastlægge brugen af denne service. Jeg har intet som helst set i den tidligere lovgivning eller betænkningerne bag, at profilering ud fra et samlet trafikbillede var målet.
Dernæst lancerer Panton så påstanden om, at man så bare fremadrettet kan aflytte trafikken, for at se, hvilke tjenester en person bruger - underforstået for at kunne konkludere eller sandsynliggøre, at det har personen så nok også gjort tidligere i forbindelse med mistanke om allerede begået kriminalitet. Men her må Panton kunne indse, at kan man fra politiets side sammensætte et kriminalitetsbillede at flere forskellige indikationer eller spor i forbindelse med en given forbrydelse, så er tidsfæstelsen i alle tilfælde ganske vigtig. Ønsker politiet at kontakte en tjenesteudbyder m.h.p. at tilvejebringe yderligere oplysninger, så er tidsfæstelsen naturligvis også væsentlig at kunne dokumentere - og det samme gør sig naturligvis i forhold til en eventuel retssag.
Mosaikken er blevet mere fragmenteret, og enkeltelementer har ikke nødvendigvis den samme bevismæssige værdi som hidtil, og i en del tilfælde ses værdien af enkeltelementer kun i kombination med andre elementer. Dét er den naturlige konsekvens af, at vi alle i dag anvender en bred vifte af flere forskellige internettjenster til at kommunikere med hinanden på.
Jeg kan sagtens følge opfattelsen hos nogle om, at der er problemer med især proportionaliteten i de luftede tanker om sessionslogning fra Justitsministeriet, og jeg kan f.s.v. også følge dem, der er modstandere af enhver form for logning (f.eks. telelogning). Men er man modstander, så må man som alle andre holde sig til stringent argumentation og ikke basere sine konklusioner på løse antagelser og manglende viden om f.eks. gældende lovpraksis. Det nytter slet ikke at udstikke nogle præmisser for diskussionen, som kun tjener ens egne argumenter lidt for godt.
Jeg forstår dog godt, at spekulationerne om myndighedernes motiver florerer også her på V2, for Justitsministeriet og politiet har ikke været og er virkelig ikke gode til at bringe den slags spørgsmål op til debat, og man er slet ikke gode til åbent at erkende den tidligere lovgivnings vildskud.
Jeg respekterer skam også holdninger, hvor følelser spiller ind og hvor argumenterne ikke nødvendigvis er af videnskabelig karakter (tænk f.eks. på abortspørgsmål, spørgsmål om kunstig befrugtning eller religion). Derfor respekterer jeg også, hvis nogle siger, at overvågningen nu simpelthen er ved at tage overhånd og at vi må standse en ny internet sessionslogning og måske også al telelogning. Men er det proportionalt?
Vi skal bare træffe oplyste valg, og vi skal være pinedød opmærksomme på, at uanset, om vi siger ja eller nej, så har det nogle konsekvenser. Og formår de gode mennesker i Justitsministeriet eller inden for politiet ikke åbent, beredvilligt og redeligt - og ikke mindst teknisk velfunderet - at redegøre for en ny sessionslogning, så har vi ikke brug for sessionslogning. Så enkelt er det.
Det kan tydeligvis virke frustrerende for nogle debattører her på V2 (og også hos mig selv), at det er svært at få myndighederne ordentligt i tale, men derfra og så til at konspirere og spekulere og tillægge gedulgte motiver hos meningsmodstandere, er altså et stykke vej i den helt forkerte retning.

Mogens Ritsholm

For det første er der ingen tvivl om, at også dansk og amerikansk lovgivning i vid grad understøtter forhold, hvor dansk politi med bl.a. en retskendelse kan pålægge Facebook eller Skype at udlevere registrerede data.


Sådan er det ikke. Man kan ikke med en dansk retskendelse pålægge disse tjenester udlevering, men de har en politik, hvorefter de i særlige tilfælde udleverer.

Men de er temmelig restriktive, og dansk politi vil derfor gerne kunne få adgang til så meget som muligt under dansk jurisdiktion.

Det løser bare ikke problemet, som Christian og Henrik påviser.

Man kan næsten lidt polemisk sige: "vi kan ikke få det, som vi skal bruge, men vi kan i det mindste sikre os adgang til det, som vi ikke kan bruge".

Hvis man under dansk jurisdiktion kunne få oplysninger udleveret fra tjenester, ville tilskyndelsen til at kræve sessionslogning være væsentligt reduceret.

Med hensyn til det fremadrettede, som Christian nævner, har danske teleudbydere siden 2006 haft pligt til at hjælpe politiet med fuld aflytning af kunders internetadgang og det er for nogle af de store udbydere automatiseret. Hermed får politiet fuldt indblik i kommunikationen i det omfang det kan dekrypteres.

For nogle år siden var der problemer med disse aflytninger i politiets eget modtage center. Jeg ved ikke om det er løst.

Men det er selvfølgelig den rigtige vej, hvis der er en konkret mistanke om noget alvorligt. Og det kan forhindre terrorhandlinger, hvilket historiske teleoplysninger næppe kan.

Når man vurderer logning, skal man altid huske det øvrige arsenal af redskaber, som politiet har til rådighed.

For god ordens skyld finder jeg den nuværende logning rimelig, bortset fra sessionslogning (heldigvis ophørt) og den omfattende logning, som f.eks. TDC mobil foretager i strid med reglernes bogstav og ånd.

Mogens Ritsholm

Terrordåden sidste år bruges som et af argumenterne for at genindføre sessionslogning.

Efter min mening, burde landets justitsminister sige:

"Efter de to første terrorpakker har politi og PET fået en lang række redskaber til logning, aflytning og teleobservation mv., som er blandt de bedste i international sammenligning.

Jeg er forundret over, at ingen af disse redskaber blev benyttet til i det mindste i et eller andet omfang at overvåge et risikoelement, der efter PETs eget udsagn var på deres radar.

Rettidig brug af disse midler kunne måske ikke have forhindret udåden. Men det er også muligt, at det havde afsløret ændrede mønstre og adfærd for risikoelementet som et advarselstegn, der kunne have initieret handlinger, der imødegik udåden.

Jeg ønsker en undersøgelse og vurdering heraf, inden samfundet investerer i yderligere redskaber til poltiet og PET".

Emil Stahl

Er den man snakker med på Skype ens kontakt, forbinder man P2P til personen, og persons IP vil i det tilfælde blive logget?

Anton Lauridsen

Nu er jeg ikke jurist, men jeg kan ikke forstå hvordan forslaget kan give mening.

Sessionslogning, vel at mærke den reducerede EU udgave, og ikke den udvidede danske udgave blev dømt til at overtræde de europæiske menneskerettigheders artikel 7 og 8.

Hvad er det der skal gøre den her udgave lovlig?

Michael Johansen

Hr. Pind og politiet tænker måske også på at udvide deres totalkontroller til nettet så SKAT også kan få glæde af de data.

Man kunne ønske at nogle gode dybdeborende jounalister, hvis disse eller snart findes mere, satte sig for at finde ud af HVEM det præcist er, der får overtalt politikerne til at komme med det ene totalitære forslag efter det andet.

Johannes Aagaard

@ Mogens Ritsholm,
Det er også derfor, at jeg skrev, at dansk politi "med blandt" andet en retskendelse kan pålægge de omhandlede tjenester at udlevere data. "Blandt andet" betyder således, at selv om de fleste større udbydere uden problemer anerkender en danske rets kendelse, så kan dansk politi i visse situationer blive nødt til at anmode om, at der udfærdiges en egentlig international retsanmodning, som man så overdrager til i dette tilfælde modtagerlandets forbindelsesofficerer eller på ambassaden. I forhold til f.eks. USA har Danmark og EU således indgået en bindende aftale om gensidig retshjælp.
Der er ikke tale om "særlige tilfælde" - på nær naturligvis, at USA selvfølgelig kan kræve en dansk retskendelse eller at danske politi uopfodret søger at indhente en sådan forinden. Jeg har således ikke hørt om tilfælde, hvor en dansk rets kendelse om f.eks. tilladelse til politiet om indhentning af oplysninger f.eks. i f.t. en given Facebook-konto (tilhørende en ikke US-statsborger) er blevet afvist - hverken af tjenesteudbyderen eller af myndighederne i USA. (Dette hænger naturligvis sammen med, at begge landes myndigheder har et grundigt kendskab til rammerne for samarbejderne.)
Når jeg valgte at skrive "blandt andet" var det således fordi, at denne debat jo dybest set ikke handler om samarbejder landene imellem.
Derfor også min opfordring til stringens i forhold til, at vi i debatten fokuserer på præcis dét, som det her handler om.
Min opfattelse er, at uanset hvilken form for kommunikation, så skal politiet have de nødvendige muligheder for (med domstolskontrol) for at kunne bekæmpe kriminalitet. Dét er blevet vanskeligere siden fastnettelefonien, men det betyder jo ikke, at vi som samfund skal give op over for de kriminelle. Men vi må til stadighed have proportionaliteten for øje, lige som formålene med lovgivning på området skal være beskrevet ned i detaljen; ikke kun for at undgå lovsjusk, men så sandelig også for ikke at pålægge industrien for mange omkostninger.
Måske vigtigst af alt skal vi sikre os, at en sessionslogning ikke misbruges til alle andre formål end de oprindeligt beskrevne - ud fra en nyttemorals betragtning hos f.eks. skattemyndigheder eller socialvæsen. Derudover skal man i selve lovteksten forlange indføjet en bestemmelse om, at lovgivningen skal evalueres f.eks. hvert år og præcise tal for anvendelsen og oplysninger om nytteværdien skal indgå i en årlig vurdering af, om en sessionslov har nytteværdi. Sker det ikke, bortfalder loven.
Jeg kunne godt tænke mig at henvise til, hvorledes briterne forfatter lovudkast og -tekster, for det er virkelig oplysende: "Draft Investigatory Powers Bill" - https://www.gov.uk/government/publications/draft-investigatory-powers-bill (Lige her ser jeg så bort fra rimeligheden i eller proportionaliteten af den britiske lovgivning.)

Johannes Aagaard

@ Mogens Ritsholm,
Jeg er som sagt meget enig i, at vi til enhver tid skal forholde os til nytteværdien af den gældende lovgivning også på dette område.
Om PET eller andre myndigheder svigtede i den situation, som du henviser til, ved jeg intet om - og det er f.s.v. også ligegyldigt i forhold til den konkrete debat om sessionslovgivning (uden at jeg på nogen måde vil bagatellisere terroristens udåd eller ofrenes død).
Skal vi endelig forholde os til den form for terrorisme, så må vi altså bare erkende, at i et åbent samfund, så kan den slags finde sted, men det er lykkeligvis uhyre sjældent. Skulle vi forhindre alle utilpassede kriminelle med en radikaliseret politisk eller religiøs overbygning i at begå terror, så ville det fordre en totalitært altfavnende og dybt indgribende kontrol af alle borgere.
Så at lade dette tragiske eksempel med Krudttønden og synagogen tjene som eksempel på, at vi ikke behøver en sessionslogning, er i mine øjne ikke rimeligt.

Johannes Aagaard

Men det er selvfølgelig den rigtige vej, hvis der er en konkret mistanke om noget alvorligt. Og det kan forhindre terrorhandlinger, hvilket historiske teleoplysninger næppe kan.


@ Mogens Ritsholm,
Hvis et angreb pågår som i Paris eller over flere dage, vil historiske sessionsoplysninger naturligvis kunne tjene til pågribelse af eventuelle medgerningsmænd eller til optrevling af faciliteringsnetværk m.v.
Så nej, man ville selvfølgelig ikke med de historiske oplysninger kunne forhindre et allerede forøvet terrorangreb, men som vi så i Paris, så var der og er fortsat terrorister og medgerningsmænd på fri fod, og flere af gerningsmændene (levende og døde) efterlod spor, som direkte kan henføres til kommunikation og til safe houses, hvorfra der formentlig også har været kommunikation.

Christian Nobel

men som vi så i Paris, så var der og er fortsat terrorister og medgerningsmænd på fri fod, og flere af gerningsmændene (levende og døde) efterlod spor, som direkte kan henføres til kommunikation og til safe houses, hvorfra der formentlig også har været kommunikation.

Muligvis ud fra celle id, som Mogens har påpeget før - sessionslogning vil ikke ændre en tøddel i lige denne situation.

Som sagt JM har stadig til gode at komme med bare et eksempel på at de kunne bruge den gamle sessionslogning til noget som helst - og ja så kan de henholde sig til mørklægningsloven og jeg-skal-gi-dig, men det fremstiller dem ikke mere troværdige.
Og Mr. Andertons trollerier giver jeg ikke en bønne for.

Mogens Ritsholm

@Johannes Aagård

Dine beskriveles af anmodning om indgreb i meddelelseshemmeligheden stemmer ikke med mine erfaringer. Arbejdsgangen er, at man via politiet i det andet land får en retskendelse i det pågældende land, hvorefter udlevering sker gennem det pågældende lands politi.

En dansk retskendelse har selvsagt ingen betydning uden for dansk område. For tjenester som Google mv. tror jeg, at politiet anmoder dem om oplysninger direkte uden retskendelse og evt. inddrager politiet i det pågældende land, der kan få det, der i Danmark hedder en editionskendelse. Det er i almindelighed ikke let, men i en terrorsag tror jeg nok, at tjenesteudbydere vil være hjælpsomme - også fordi de kan få et medansvar, hvis oplysninger, som de besidder, ikke udleveres.

Men tilbage til sagen om sessionslogning.

Der er ikke brug for stringente spørgsmål af akademisk og halvrigtig art.

Der er brug for et stringent svar.

Forslaget om at genindføre sessionslogning er fremsat og til dels støttet af justitsministeren. DF siger ja. Det vil de konservative nok også. R og LA siger nej. Alt afhænger af S.

Der bliver taget stilling lige nu.

Hvad mener du ?

Jeg siger nej.

Og min baggrund herfor er, at jeg har arbejdet med hele lovkomplekset omkring logning og efterfølgende siddet permanent i kontaktudvalg med JMIN og den udførende del af politiet. Så jeg tror nok jeg kender politiets eksisterende redskaber. Og min konklusion er klar. Sessionslogning tilføjer lidt eller intet af praktisk værdi for efterforskning af kriminalitet, herunder terror.

Hvad mener du? ja eller nej

Johannes Aagaard

Muligvis ud fra celle id, som Mogens har påpeget før - sessionslogning vil ikke ændre en tøddel i lige denne situation.


@ Christian Nobel,
Du ser for snævert på nytteværdien af sessionslogningen. Den kan isoleret set næppe opklare nogle sager, men den kan meget vel give en ledetråd om (og en tidsfæstet) anvendelse af f.eks. en kommunikationsform, og det kan udnyttes (som f.eks. Jesper Lund nævner ovenfor) til at iværksætte en kæde af andre efterforskningsmæssige tiltag. Værdien af det samlede resultat kan dermed overstige summen af de enkelte elementers (eller indhentningskilders) bidrag.

Mogens Ritsholm

Så er det bekræftet, at man vil gennemtvinge celle-id til sessionslogning for mobil. Altså i virkeligheden lovgive TDC mobils ulovlige praksis som et krav. Men igen. Hvorfor ikke bare indføre et særskilt krav om celle-id i et eller andet omfang for mobil, når nu samtaler og SMS forsvinder over på IP.

Hvorfor hægte det på sessionslogning, som allerede har bevist, at det er en fuser?

http://www.information.dk/560587.

Christian Nobel

Du ser for snævert på nytteværdien af sessionslogningen. Den kan isoleret set næppe opklare nogle sager, men den kan meget vel give en ledetråd om (og en tidsfæstet) anvendelse af f.eks. en kommunikationsform, og det kan udnyttes (som f.eks. Jesper Lund nævner ovenfor) til at iværksætte en kæde af andre efterforskningsmæssige tiltag. Værdien af det samlede resultat kan dermed overstige summen af de enkelte elementers (eller indhentningskilders) bidrag.

Undskyld jeg siger det, men det er noget vrøvl.

Den tidligere sessionslogning tilførte intet af værdi, hvorfor skulle en ny, med mindre man går den helt drakoniske vej, og bevæger sig op på lag 5?

Prøv at lyt til hvad Mogens siger, og så fortæl mig helt præcis hvilken evidens der er for at sessionslogningen overhovedet skulle have nogen værdi, ud over at øge befolkningens usikkerhed i forhold til statsmagten.

Terrorbekæmpelse drejer sig langt hed ad vejen om godt politiarbejde, og at benytte de værktøjer der allerede nu er tilgængelige (til overflod) - der intet der retfærdiggør at samfundet skal påduttes en kæmpe regning for noget virkningsløst, udelukkende som resultat af scaremongeres italesættelse af terror.

Hvis du mener andet, så mener jeg at du er nødt til at diske op med noget konkret viden/dokumentation, ellers er det bare mundsvejr.

Johannes Aagaard

Arbejdsgangen er, at man via politiet i det andet land får en retskendelse i det pågældende land, hvorefter udlevering sker gennem det pågældende lands politi.


@ Mogens Ritsholm,
Helt enig - jeg fandt blot ikke den detaljeringsgrad nødvendig i denne sammenhæng, men tak for præciseringen. Og jo, flere af de større udenlandske tjenesteudbydere udleverer mod eksempelvis forevisning af en oversat dansk retskendelse oplysninger direkte til politiet. Der behøver ikke "kun" at være tale om edition.
Min holdning til sessionslogning er, at jeg faktisk er i tvivl.
At den gamle og senere fjernede sessionslogning stort set ikke blev benyttet, skyldes formentlig en kombination af flere faktorer: først og fremmest uvidenhed hos politiet om både potentialet og begræsningerne ved loven, samt at størstedelen af kommunikationen på tidspunktet for lovens vedtagelse og "drift" stadig var klassisk telefoni og SMS/MMS.
Desuden har flere udbydere har svært ved at levere varen, og hvorfor skulle de egentlig også anstrenge sig, når politiet ikke efterspurgte den (virkelig en interessant cirkelslutning), og endelig har NAT-teknologien for mobildata som bekendt ligeledes betydet, at det kunne være meget bøvlet, hvis over hovedet muligt, at fremfinde brugbare data.
Siden er der jo hos brugerne sket en enorm migration over på andre tjenester, og den samlede kommunikation består således i dag af en kompleks mosaik, der også teknisk kan være meget forskelligartet. Det er en virkelighed som også lovgivningen (f.eks. vedr. indgreb i meddelelseshemmeligheden) nødvendigvis må afspejle.
Jeg erkender, at vil man (som briterne) tilstræbe fuld parallelitet mellem telefoni og internettrafik (i f.t. myndighedernes evne til at monitere trafikken), så indebærer netop migrationen over på IP-baserede tjenester, at graden og omfanget af overvågningen af os alle risikerer at eksplodere helt ud af kontrol.
Så det er helt enkelt proportionaliteten i det her, der bekymrer mig mest - også fordi meget omfattende datasæt på alle borgere selv i demokratiske samfund virker utroligt fristende at bruge til mange andre ting, end man oprindeligt tiltænkte dem. (F.eks. oplever hollændere, der ytrer sig kritisk på nettet om migranterne og eksempelvis opfordrer andre til at vise deres utilfredshed ved at gå på gaden, at politiet opsøger dem og udstikker advarsler, samt spørger, om pågældende har tænkt sig at arrangere en demonstration - for så vil de godt lige vide det.)
Jeg kan se en logik i, at mobildatatrafik genererer en maste-/cellelokation, som politiet med en retskendelse bør kunne skaffe sig adgang til og anvende, som det i dag sker med mobiltelefoni. Det er i forvejen en datatype, som både udbyderne og politiet i dag er ganske fortrolige med og er i mine øjene kun et logisk tiltag at få på plads.
Identifikationen af mobiltelefonen i forhold til den enkelte mast skal således være på plads også for datatrafik.
Jeg mener, at en sessionslogning vil kunne tilføre politiet efterforskningsmæssig historisk værdi (jævnfør, hvad jeg tidligere har nævnt her). Men hvis man skulle vedtage en sessionslogning, så vil jeg ud fra et hensyn til retssikkerhed og proportionalitet, samt økonomi, mene, at udbyderne kun skulle opbevare eksempelvis maksimalt syv dage sessionslog og køre en automatisk rullende sletning af data ældre end de syv dage.
Derudover ville jeg som sagt kræve, at et årligt evalueringskrav blev indføjet i lovgivningen, og kan politiet og PET da ikke fremlægge dokumentation for anvendeligheden, så bortfalder sessionslogningen uden videre.
Man kunne desuden lette byrderne for teleudbyderne (og borgerne) ved at forkorte opbevaringsperioden for historiske kaldsdata (og lokationsdata) til f.eks. tre måneder.
Den skitserede model mener jeg ville tilgodese alle parter (også flertallet her på V2), og den ville desuden indebære en skærpet tone over for et politi, der sammen med Justitsministeriet i den grad har sovet i timen og som virkeligt gjort den hidtidige sessionslogning til en pinagtig farce.

Johannes Aagaard

Undskyld jeg siger det, men ...


@ Christian Nobel,
I mit svar til Mogens Ritshom mener jeg faktisk, at jeg også forholder mig til det, som du spørger til her.
Jeg anfører jo netop, at den hidtige sessionslogning af flere grunde ikke havde nogen nytteværdi - eller kun en meget begrænset i ganske få sager. Uvidenhed, NAT-problematikken, flertallet af udbydernes manglende evne til at identificere data ordentligt og også data-pakkereglen var medvirkende faktorer. Du kan på den baggrund simpelthen ikke udlede nogen som helst fornuftig evidens, der kan fortale helt at droppe ordentlig tænkt sessionslogning (og derfor ser jeg mig selvfølgelig heller ikke forpligtet til at levere en evidens for det modsatte). For dét ville være vrøvl, hvis vi nu skal anvende den term.
Med migrationen af kommunikation over på IP mener jeg, at vi ganske enkelt må gøre forsøget med sessionslogning igen - og en bedre og langt mere gennemrænkt version sammenholdt med betydeligt skærpede krav til aktørerne.
Godt håndværk er jeg bestemt tilhænger af, både hvad angår politiets og lovgivernes arbejde, men det rækker bare ikke i alle tilfælde over for angreb af den type, som vi så i Paris den 13. november. Her må vi afprøve nye værktøjer og bruge dem rigtigt.
Jeg både læser gerne, lytter til og forstår, hvad Mogens Ritsholm fremfører her; det er min deltagelse her vel også et bevis på.

Mogens Ritsholm

Uvidenhed, NAT-problematikken, flertallet af udbydernes manglende evne til at identificere data ordentligt og også data-pakkereglen var medvirkende faktorer.

NAT-problemet er først og fremmest et problem, når man skal spore en IP-adresse. Logning af kunders IP-adresser er vigtig for politiet, og det har ikke noget at gøre med sessionslogning. NAT forekommer i øvrigt oftest i kundesfæren, hvor teleudbyderen ikke kan løse sporingen. Det bliver så også et problem for sessionslogning, men det er ligegyldigt, da det alligevel ikke kan bruges.

Mange har sagt, at hver 500 pakke er et problem. Så er der jo 499, der slipper fri, og man kan spekulere i netop hver 500 pakke.

Forkert. Det er hver 500 pakke i fællesstrømmen på kaanten til andre net og derfor tilfældigt i den enkelte brugers strøm.

Hver 500 pakke giver faktisk et ganske god repræsentation af trafikken. Det bør det jo også gøre, når det blev til 3,5 billioner på årsbasis - eller knap 2000 pr. dansker pr. dag.

Så når politiet siger, at der var for mange huller, spiller de på den almene uvidenhed.

Men du har ret i, at uvidenhed er en stor del af hele sagsforløbet, der nu truer med at blive en rigtig stor skandale.

Christian Nobel

Med migrationen af kommunikation over på IP mener jeg, at vi ganske enkelt må gøre forsøget med sessionslogning igen - og en bedre og langt mere gennemrænkt version sammenholdt med betydeligt skærpede krav til aktørerne.

Lad os lige tænke tre scenarier:

1 - Hans Frihed.
Hans er en livlig debattør, og han forspilder ikke en chance for at deltage i diverse debatfora, hvor han hylder frihed, og er faktisk i gang med at stifte et nyt frihedsparti, hvor ytringsfriheden er i centrum.

Så når Hans er på internettet, så er han på mange sider der beskæftiger sig med den slags, han læser aviser, og hvad man nu ellers gør på internettet - og det ellers er, at han også har en skjult forkærlighed for unge mænd i lædertøj, men det er noget han holder en meget lav profil omkring.

Og al hans færden på nettet foregår som hovedparten af folks, nemlig uden nogen specielle dikkedarer.

2 - Jens Paranoid
Jens er paranoid, så al hans færden på internettet foregår via en Proxy der står et sted i udlandet, uden for NSA&Co's rækkevidde.

Ikke fordi Jens har noget som helst at skjule, han er en lovlydig mand, og bruger nettet til at læse nyheder, gå i webshops og al den slags.

Jens er endda så kedelig at han ikke rigtig interesser sig for politik, og han har heller ikke nogen små sjove seksuelle drømme han ønsker at udleve - mao. han er ret så uinteressant, han vil bare ikke dele sit privatliv med andre.

3 - Hassan IzNoGood.
Hassan er en af de rigtig slemme drenge, og han er i gang med at forberede et terrorangreb af den helt fæle slags.

Men Hassan er ikke dum, så han bruger konsekvent en proxy i udlandet - uheldigvis den samme som Jens.


Og politiet logger sessioner på lag 4 - og hvad kan de så udlede af det:

Hans er irriterende politisk aktiv, besøger sider med politiske holdninger som ikke passer i Ingsocs kram, og så har han (aha, her kan vi få en klemme på ham) en skjult seksuelt tilbøjelighed.
Måske det var på tide at invitere ham ned i værelse 101!

Jens kan vi desværre ikke finde ud af en skid om, for al hans kommunikation går til den forbandede proxy i Langtbortistan - men han må være skummel siden han gør det.

Og tilsvarende med Hassen, ham kan vi desværre heller ikke finde ud af en skid om, for al hans kommunikation går til den forbandede proxy i Langtbortistan - men han må være skummel siden han gør det.


Og så sker der det at Hassan lader bomben springe - men politiet kan ingen information finde ud fra sessionslogningen om hans færden, det eneste de ved er at al hans kommunikation går til den forbandede proxy i Langtbortistan.

Men hov, Jens brugte jo også den proxy, og ham ved vi heller ikke noget om, så mon ikke også han skal en tur ned i værelse 101 - og Hassan han er død, så ham kan vi jo ikke få noget ud af.


Ligegyldigt hvordan man end vender og drejer den, så er sessionslogning en ren loose-loose situation - de gode græder og de onde ler.

Gert Madsen

Med migrationen af kommunikation over på IP mener jeg, at vi ganske enkelt må gøre forsøget med sessionslogning igen


Man bør forholde sig til at Politiet og JM bare har påstået at de har glæde af sessionslogningen. Der er ikke leveret noget der bare ligner argumenter.
Det påstod de også om den gamle udgave af sessionslogning. Det viste sig at være løgn.
Dine spekulationer om evt. gavn af sessionslogning ændrer ikke på det billede.

Til gengæld ved vi, at det er reelt umuligt at sikre mod at indsamlede data bliver lækket, og anvendt til andre formål end de er tiltænkt.
Det eneste man kan sige om Politiets omgang med indsamlede data, er at de er helt åbne om at de bruger dem til ganske andre formål, end de har angivet som årsag til indsamlingen.

Jeg forstår ikke hvordan man overhovedet kan overveje at genindføre denne logning.

Jens Jönsson

Til gengæld ved vi, at det er reelt umuligt at sikre mod at indsamlede data bliver lækket, og anvendt til andre formål end de er tiltænkt.

Netop fordi en Internetudbyder har fået proppet sessionlogningen ned i halsen og den kun er en byrde, samt økonomisk stor udgift.
Hvem gider ofre en krone på at beskytte nogle data, som man bare synes er træls ?

Kjeld Flarup Christensen

Hvis du har sessionsdata for begge ender, så vil du kunne se en sammenfaldende aktivitet og dermed konstatere kommunikation mellem de to parter.
Hvis du har sessionsdata for rigtigt mange ender og nok datakraft, så har du endnu en måde at knække TOR på.

Kun stater råder over nok datakraft, penge og ikke mindst vilje til det formål.

Christian Nobel

Går ud fra at det er hele EU, og at USA i forvejen gør det.
Så er vi godt på vej deropad.

Prøv lige at tage dig bare et minimum sammen før du udtaler dig - du kunne starte med at se hvilke lande der vitterlig har sessionslogning, dernæst kunne du se hvordan de evt. var udmøntet, og så kunne du prøve at finde en fællesnævner.

Man fristes næsten til at citere Abraham Lincoln......

Så gælder det blot om at få fat på data.

Nåeh ja, blot - suk.

Og sjovt nok så bytter amerikanerne om på måned og dag, og bruger komma der hvor vi andre har decimalpunktum, så er der timing, etc, etc - det er altså absolut ikke trivielt at lave ting på tværs af landegrænser.

Kjeld Flarup Christensen
Christian Nobel

Ved vi det? ( :-( )

Det har jo på intet tidspunkt været nævnt, og man kan jo bare se inden for EU hvor stor uenighed der er omkring dette.

Og udmøntningen kan jo også være vidt forskellig, så korrelering, i fald det endelig var tilfældet, ville være en i praksis umulig opgave.

Anne-Marie Krogsbøll

Det var mest en "joke", Christian - men det er jo desværre efterhånden svært at skelne mellem jokes og virkelighed på dette felt, så jeg forstår, at det kunne opfattes som et alvorligt ment spørgsmål :-(

Kjeld Flarup Christensen

Det har jo på intet tidspunkt været nævnt, og man kan jo bare se inden for EU hvor stor uenighed der er omkring dette.


Hele logningsaffæren startede jo med en EU direktiv, som ganske vist er blevet underkendt. På den baggrund vil jeg altså ikke føle mig sikker på noget som helst. De skal blot finde nogle formuleringer som domstolen kan acceptere.

Og imens viser Danmark vejen.

Log ind eller opret en konto for at skrive kommentarer