IT-forening: Pind vælger den mest indgribende løsning på NAT-udfordring

Men heldigvis er det jo bare for at passe på os, de kunne sikkert aldrig drømme om at misbruge den information engang i fremtiden. Som sagt, hvis vi har noget imod overvågningen er det fordi vi laver noget slemt. Bum.

Ovenstående indlæg kan indeholde spor af sarkasme, stavefejl og andre spændende ting.

Jeg tror ikke du skal undervurdere politiet,- de har lige været på kursus og lære om ping og traceroute ... så intet kan holdes hemmeligt for dem mere :)

Standardsvaret fra Rigspolitiet er at "der er altid spor", også når folk bruger VPN. Mere konkret bliver det ikke.

Loggen på VPN brugeren siger jo blot at IP-adressen kommunikerer med en server. En bare nogenlunde smart forbryder vil dele sin trafik op, således at det meste bliver logget således at hans trafikmønster ikke påkalder sig opmærksomhed.

Udadtil vil loggen vise et normalt mønster med uskyldig surfing og da alle firmaer i dag bruger VPN vil VPN-delen ikke påkalde sig opmærksomhed.

Med de priser der i dag er på tablets og mini-pc'ere bør en nogenlunde begavet tyv/pædofil/terrorist/andet skidtfolk købe separat udstyr til sine lyssky handlinger hvormed chancen for krydsende cookies, er nul.

En ekstra tablet med tails og en ekstra separat router som styrer VPN'en - vil effektivt lukke ned for enhver efterforskning baseret på logs.

Min pointe er, at dem som beslutter sig for at bruge en VPN-forbindelse med stor sikkerhed også tænker over andre relevante sikkerhedsaspekter såsom separat udstyr til udåden.

Jeg tror simpelthen ikke på at politiet i de næste 5 år fanger en eneste dansk pædofil, hvor logs understøtter sagen.

Derimod tror jeg at internet profilering af mobile forbindelser som loggen udgør giver S.Pind våde drømme om natten, i hans

Men min, rimeligt standard ASUS router har jeg altså mulighed for at taste VPN oplysningerne ind i direkte og hvis jeg gør det så glemmer jeg aldrig at slå det til for så ER det slået til.</p>
<p>Cookies ordnes nemt.

Den slags kriminelle sammensværgelser lider af de nødvendigvis må stole på hinanden til en vis grænse. Politiet går efter det svageste led. Når de har busted ham kan de overtage hans plads i netværket og arbejde på at afsløre de andre medlemmer.

Der er IKKE logning idag men alligevel er der forbrydelser der bliver opklaret. Ingen har været i stand til at pege på alvorlige forbrydelser der ikke kan opklares uden denne ekstreme indgriben i befolkningens privatliv.

Det, som jeg finder mest bekymrende ved det hele det her, er, at man reelt er ved at vende grundlaget for politiarbejde på hovedet. Klassisk set, så er politiets arbejdsmåde flg.:

1. Formuler mistanke
2. Indsaml beviser med udgangspunkt i ovenstående

Det hedder "efterforskning". Men med de tanker, som kører rundt lige nu, så bliver det til:

1. Indsaml beviser
2. Formuler mistanke med udgangspunkt i ovenstående.

og så er vi straks på vej over i "efterretning" i stedet. Det er altså at sætte vognen for hesten, hvis man taler om almindeligt politi i et frit samfund.

Du har selvfølgelig ret og det er netop også sådan nogle tilfælde som man har brugt til at afsløre folk.

Men min, rimeligt standard ASUS router har jeg altså mulighed for at taste VPN oplysningerne ind i direkte og hvis jeg gør det så glemmer jeg aldrig at slå det til for så ER det slået til.

Cookies ordnes nemt.

Men ja, det er i høj grad et spørgsmål om hvor meget de gider gøre ved det.

Standardsvaret fra Rigspolitiet er at "der er altid spor", også når folk bruger VPN. Mere konkret bliver det ikke.

Der er altid spor. Der er sandt uanset om der er logning eller ej. Det handler bare om hvor stor en indsats ordensmagten skal gøre for at opklare sagerne. Netop derfor er det ikke er rimeligt at indføre totalovervågning af befolkningen.

VPN og Tor kan være sikre hvis man ikke laver fejl, men de fleste vil før eller siden lave fejl. Det kan eksempelvis være device profilering eller cookies der afslører dig. Hvis du på noget tidspunkt har været logget på udenom din VPN og der er blevet sat en cookie, så kan de lave koblingen når den samme cookie bliver set fra din VPN. Det er metoden der med stor succes har været brugt til at afsløre flere børnelokkerringe, senest i Norge.

Jammen, man stiller da bare en exit node op, og så kan det jo være hvem som helst der har gjort det ulovlige. Jeg får snart 300 MBit fiber og så skal der da nok blive plads til sådan en.

Men det betyder da bare at man laver loven om så du administrativt bliver ansvarlig for alle de eventuelle overtrædelser der kommer til at ske via din forbindelse.

Før du nu siger at det ikke kommer til at ske, så husk på at sådan er det allerede med fartbøder i dag. Der sendes bøden til den registrerede ejer af bilen som må betale bøden og så selv sørge for at lege inkasso ved den person som ejeren lånte bilen ud til.

Uskyldig indtil det modsatte er bevist røg lige ud af vinduet der og vi ved jo godt at når politikerne først har taget en af de rettigheder vi har og vi ikke har brokket os, så er der åben for at fortsætte og det vil de gøre.

Vi så det med børnepornofiltret som de indførte. Nu om dage bruges det filter jo også til bl.a at blokere for udenlandske betting sider som ikke betaler beskyttelsespenge til staten.

Det næste bliver "had-hjemmesider" og når det så er accepteret så er der jo ikke langt til at folketinget definerer hvad der er had og at de så tilfældigvis vurderer at kritik af politikere også er "had".

Og jeg kører også VPN den vej, og har leget TOR node, både exit node og almindelig mellemnode.

Jammen, man stiller da bare en exit node op, og så kan det jo være hvem som helst der har gjort det ulovlige. Jeg får snart 300 MBit fiber og så skal der da nok blive plads til sådan en.

Ja det har de. Ligesom de har det samme problem med 3 millioner brugere bag NAT i kommunale net, universitetsnet, virksomhedsnet inkl. hjemmearbejdspladser for slet ikke at tale om bynet med WIFI.

Personligt vil jeg ikke have andre ting ind på mit produktions netværk end arbejstation og server, så derfor vil jeg dele mit LAN op i 2 net. Det ene net hvor mit SmartTV, IOT og Smartphone kører og på mit produktions net hvor mine små servere og udvikling og anden produktivitet kører. Fra mit produktions net laver jeg en OpenVPN tunnel pakket ind i Https til en VPS(Virtuel Private Server) ude i Skyen, Jeg benytter en Raspberry Pi som OpenVPN klient og gateway fra mit produktionsnet til VPS for alle enheder i mit productions net. Så adgangen til internettet fra mit produktionsnet sker gennem VPS'en som i mit tilfælde har valgt en VPS i Frankrig. Nu kan jeg tilgå mine data på produktions nettet hvor jeg end er i verden fra mobil eller notebook bare jeg har internet forbindelse. På disse enheder starter jeg OpenVPN klienten og kan jeg tilgå data på mit produktions net.

Jeg skriver dette fordi jeg kunne tænke mig at det ville blive almindeligt at lave noget lignende nu vi får flere og flere ting der taler ud af vores netværk uden at vi reelt har givet dem tilladelse. Og IOT vil blive enorm udbredt så selv jævne folk vil beskytte sine data fx. på min måde

Og jeg tror at levetid på logningslovgivning vil være ret kort, ligemeget hvad de laver, så vil udviklingen vil løbe fra dem og de vil halse efter med tungen ud af halsen.

Og som Mogens skriver :

Internet er uordentligt. Og det giver mange problemer herunder også for politiet.</p>
<p>Men det kan ikke nytte noget at rigspolitiet og Justitsministeriet som en anden Don Quixote forsøger at bringe orden for politiet i det uordentlige.

Jeg kan tænke mange lignende løsninger som den jeg har tænkt at lave. Så kan Justitsministeriet og politiet sige at det ikke typer som mig de er ude efter. Men kan jeg lave sådan en løsning så kan de kriminelle også.

PS: Jeg vil slet ikke lavet min løsningen for at beskytte mig mod logning, men i et forsøg på at beskytte mig mod kriminelle og sorte hackere!

Jeg bragte (som altid) VPN op på mødet hos Justitsministeriet i fredags.</p>
<p>Standardsvaret fra Rigspolitiet er at "der er altid spor", også når folk bruger VPN. Mere konkret bliver det ikke.

Jeg må indrømme at jeg kraftigt overvejer at købe mig en VPN forbindelse og taste den ind i min router.

Ikke fordi jeg har det mindste at skjule som sådan, men fordi jeg ikke bryder mig om at blive overvåget.

Jeg tror endda jeg vil give det som et løfte.

Hvis Søren Pind's forslag bliver vedtaget så køber jeg en VPN og sørger for at den kobler sig op mod en udenlandsk VPN server.

Så kan de jo hygge sig med at dekryptere den trafik, blot for at finde ud af at jeg slet ikke er en slemmer bandit :)

Er det eneste politiet får ud af det her ikke at de kriminelle køber en VPN forbindelse til f.eks hidemyass.com og så sørger for at koble op på en udenlandsk server så al deres internet trafik ser ud til at komme derfra.

Jeg bragte (som altid) VPN op på mødet hos Justitsministeriet i fredags.

Standardsvaret fra Rigspolitiet er at "der er altid spor", også når folk bruger VPN. Mere konkret bliver det ikke.

Er det eneste politiet får ud af det her ikke at de kriminelle køber en VPN forbindelse til f.eks hidemyass.com og så sørger for at koble op på en udenlandsk server så al deres internet trafik ser ud til at komme derfra.

Hvis VPN forbindelsen bruger kryptering som den danske efterretningstjeneste ikke kan bryde så kræver det som et minimum at de får fat i, lad os sige Uruguay hvor serveren som den kriminelle kobler sig på for at få fat i bare en smule så de måske kan lave et time-corrolation attack eller lignende.

I den forbindelse noteres det at f.eks HMA har servere i RIGTIGT mange lande så det kan blive en rigtig stor forhindring hvis banditten bruger random servere i forskellige lande hver gang.

Går vedkommende så igennem en VPN til uruguay og endda besøger hjemmesider via tor browseren, så vil jeg da anse det for værende HØJST usandsynligt at Søren (Vat)Pind nogensinde får adgang til de data.

I den forbindelse er HMA jo en meget lille investering i at beskytte sig mod hans sessionslogning og dermed bliver det igen kun almindelige mennesker som reelt set bliver logget.

Jeg er ret sikker på at man f.eks i min ASUS router kan indtaste HMA VPN oplysningerne direkte og så går AL trafik via VPN forbindelsen og man glemmer ikke at få det slået til så der lækker noget via ens egen IP

Til gengæld er vi mange der deles om forbindelsen. 4 daglige brugere + gæster. Og jeg kører også VPN den vej, og har leget TOR node, både exit node og almindelig mellemnode.

Jeg forstår ikke at du tror at "jamen vi er flere der deler forbindelse, det er ikke mig der har begået denne ulovlige handling og jeg er uskyldig indtil det modsatte er bevist" er gangbar.

Vi har jo set at politiet har fået dispensation for "uskyldig indtil det modsatte er bevist", i forhold til fartbøder og det har befolkningen tilsyneladende godtaget, så hvorfor denne praksis ikke også skulle udvides til denne lov kan jeg ikke se. Det er jo i Danmark, typisk salami metoden der anvendes når befolkningen skal lokkes til, endnu engang at æde noget som de egentligt ikke burde. (Først børneporno, så musik download, så terrorisme, så receptpligtig medicin og senest gambling sider der ikke betaler beskyttelsespenge til staten. Næste skridt er sikkert "had-hjemmesider" som så ender med at "had" = "Regeringskritiske hjemmesider")

Om det er din bil du har udlånt eller din internetforbindelse er vel i den forbindelse ligegyldigt.

Argumentationen vil med garanti blive den samme, nemlig at DU bør være ansvarlig for alt hvad der sker af overtrædelser med din bil / internet forbindelse.

At det så er tåbeligt og f.eks vil forhindre diverse små beværtninger, cafeer og så videre i at tilbyde kunderne gratis wifi adgang på deres matrikel er så en anden sag, men politikerne plejer jo at være rimeligt ligeglade med de negative konsekvenser af deres handlinger.

En af verdens største producenter af overvågningskameraer har nylig lavet en undersøgelse. Den viste at planlagt kriminalitet såsom indbrud næste aldrig skete under et kamera.

Spontan eller uplanlagt kriminalitet som voldeligt overfald og tilfældige hændelser fik de derimod ofte fat i.

Jeg tror at politiet lider af den misforståelse af logning virker på samme måde som overvågningskameraer - hænger der et kamera, så det en gang imellem noget i nettet.

Men jeg opfatter fysiske verden helt anderledes end den virtuelle verden, fordi fysikkens love ikke eksisterer i cyberspace. Der er ikke en lige linie imellem modtager og afsender som man kan aflytte.

Det er ikke en elefanthue jeg får over hovedet - det er en 100 % effektiv usynlighedskappe jeg får ved at anvende en VPN forbindelse.

Jeg synes at politiet skal svare på hvorfor de tror at IT kriminelle er mere dumme end indbrudstyvene?

Det er vigtigt at holde fast i, hvad telelogning er.</p>
<p>Det er krav om at teleudbydere bevarer bestemte personhenførbare oplysninger, som de genererer eller behandler i deres teletjenester, i stedet for at smide dem væk med det samme, som krævet efter udbudsbekendtgørelsen.</p>
<p>Logning drejer sig ikke om nye funktioner til datafangst i tele. For materien er alene de oplysninger, der allerede eksisterer.</p>
<p>Logning drejer sig heller ikke om, at man skal indrette sit telenet på en bestemt måde, så de ønskede oplysninger genereres eller behandles. Det er ikke logningsregler, der skal bestemme, hvordan man må lave sin teletjeneste.

Tak for kommentaren! Jeg er helt enig i at CG-NAT logning, og dermed også vores forslag, går for vidt og overskrider det som man med rimelighed kan kalde logning.

Notatet har et meget specifikt formål, nemlig at følge op på den diskussion af CG-NAT logning, som der var på mødet i fredags. Jeg fornemmede, at det var Rigspolitiet som insisterede på at destination IP-adressen skulle med.

Når vi nu var i gang med at skrive om CG-NAT, var det samtidig intentionen at skrive notatet lidt mere "forklarende", således at ikke-teknikere (politikere, jurister, m.v.) kan forstå hvilke problemer CG-NAT skaber for politiet, og hvad man kan gøre, HVIS man altså skal gøre noget. Normalt er vi ikke en forening som foreslår mere logning :) Dette punkt berører notatet ikke. Det må blive en anden dag, en anden diskussion.

Med internetkommunikation vil der altid være spor som ender blindt. Men jeg har ikke oplysninger, som kan fortælle hvor stort CG-NAT problemet er i den sammenhæng, relativt til andre ting.

Jeg har fast ekstern IP, jeg ved ikke om det betyder at jeg slipper ?

Hvis dit kundeudstyr får tildelt en offentlig IP-adresse, vil du slippe for CG-NAT logning.

Men din mobiltelefon får formentlig en privat IP-adresse bag CG-NAT.

Det er vigtigt at holde fast i, hvad telelogning er.

Det er krav om at teleudbydere bevarer bestemte personhenførbare oplysninger, som de genererer eller behandler i deres teletjenester, i stedet for at smide dem væk med det samme, som krævet efter udbudsbekendtgørelsen.

Logning drejer sig ikke om nye funktioner til datafangst i tele. For materien er alene de oplysninger, der allerede eksisterer.

Logning drejer sig heller ikke om, at man skal indrette sit telenet på en bestemt måde, så de ønskede oplysninger genereres eller behandles. Det er ikke logningsregler, der skal bestemme, hvordan man må lave sin teletjeneste.

Hvis teleproduktionen foregår på en sådan måde, at nogle ønskede oplysninger ikke findes, er det bare ærgerligt. Det kendes f.eks. fra anonyme telekort, hvor kundens identitet jo er ukendt.

Meningen med logningen er ikke, at politiet får nye redskaber til identifikation af kommunikation. Meningen er alene, at spor, der nogle gange kan være nyttige, bevares en vis tid inden de slettes.

I sagen om CGNAT er man helt afveget fra ovennævnte udgangspunkt. Med henvisning til, at de teleoplysninger, der behandles eller genereres, ikke er tilstrækkelige, kaster man sig ud i datafangst af oplysninger, som teleudbyderne ikke har noget med at gøre, og foreslår sågar, at CGNAT indrettes på en bestemt måde.

Det er voldsomme brud på ideologien i logning . Man kan sige, at man pludselig kræver egentlig overvågningsvirksomhed i stedet for en forsinket sletning af data.

Og når man først har forladt grundprincipperne, hvor går grænsen så?

Nogen vil sige, at man da må erkende, at politiet har et problem med sporing af en IP-adresse gennem CGNAT, hvis der ikke gøres noget.

Ja det har de. Ligesom de har det samme problem med 3 millioner brugere bag NAT i kommunale net, universitetsnet, virksomhedsnet inkl. hjemmearbejdspladser for slet ikke at tale om bynet med WIFI.

Internet er uordentligt. Og det giver mange problemer herunder også for politiet.

Men det kan ikke nytte noget at rigspolitiet og Justitsministeriet som en anden Don Quixote forsøger at bringe orden for politiet i det uordentlige.

Det er en anden diskussion, om der på sigt skal bringes bedre orden på nettet. Det vil under alle omstændigheder tage flere tiår.

Så jeg vil appellere til, at man holder fast i formålet med logning og ikke begiver sig ud på en håbløs rejse med Don Quixote. En rejse, de bare vil føre fra den ene vindmølle til den næste i en uendelig kæde.

Har jeg forstået indvendingen korrekt som:

1. at ved logning af både source og destination som foreslået fra central hold vil der - for langt de fleste af os, også alle vi uskyldige - efterlades et meget afslørende spor hos vores internetudbyder om alt, hvad vi bruger nettet til - en meget attraktiv og meget følsom information, som skal lagres i længere tid.

2. at ved logning af NAT-mapning vil der kun efterlades et billede af, at vi bruger internettet, og det derfor først giver mening, når det matches med en viden om destinationen erhvervet i regi af konkret efterforskning.

Hvis ja, så ved jeg godt, hvad jeg vil foretrække.

Ikke alene vil mulighed nr. 2 beskytte alle os uskyldige langt bedre, men det vil faktisk heller ikke på noget tidspunkt blive afsløret overfor den enkelte internetudbyder, hvorfor en personkreds er interessante i efterforskningsmæssig sammenhæng - hvad i sig selv ellers kunne være stærkt problematisk, hvis nu mistanken ikke fører til dom.

Værdien er begrænset. Vi har set at offentlige bibliotekers computere bruges til kriminalitet, vi har set åbent WiFi blive misbrugt, naboens WiFi. Jeg har fast ekstern IP, jeg ved ikke om det betyder at jeg slipper ? Til gengæld er vi mange der deles om forbindelsen. 4 daglige brugere + gæster. Og jeg kører også VPN den vej, og har leget TOR node, både exit node og almindelig mellemnode. Jeg ved ikke hvad politiet forventer at kunne få ud af at vide at en eller anden person har brugt min IP adresse ? Jeg kan ikke hjælpe dem videre. Synes faktisk at det vil være OK hvis teleselskaberne loggede IP+port -> kunde. Så må politiet sørge for at det datagrundlag der bruges til en kendelse er tilstrækkeligt til at det er nok.

Og hvor meget af dette kan man så forhindre med simpel VPN?

Vi vil >IKKE< have logning. Kom med en dommerkendelse, så skal I nok få de informationer i ønsker......