Mangel på ip-adresser bremser efterforskning

Illustration: leowolfert/Bigstock
Trængslen på nettet betyder, at internetudbydere i stigende grad anvender en teknologi, som gør det svært for politiet at finde brugere ud fra en ip-adresse.

Politiet kan ikke længere forvente at kunne finde frem til en forbryder alene ud fra en ip-adresse. Det skyldes, at antallet af ip-adresser, som de enkelte internetudbydere har til rådighed, er en begrænset ressource.

Tidligere har Rigspolitiet med henvisning til den såkaldte logningsbekendtgørelse ellers tilkendegivet over for internetudbyderne, at de skal kunne diske op med en brugers identitet alene på baggrund af en ip-adresse.

»Logningsbekendtgørelsen er tilbage fra 2007. Og der havde man jo ikke den samme mangel på ip-adresser, som man har i dag. Så carrier-grade NAT, hvor man har adskillige tusinde brugere bag samme ip-adresse, var nok ikke rigtig noget, man tænkte over,« siger Yoel Caspersen, direktør for internetudbyderen Kviknet.

For at komme på internettet skal en bruger have en ip-adresse. Derfor anvender flere internetudbydere den såkaldte NAT-teknologi (Network Address Translation), der gør det muligt for flere brugere at deles om en ip-adresse hos internetudbyderen. Fænomenet kendes også fra mange arbejdspladser, hvor medarbejderne i organisationen udefra set alle deler ip-adresse.

Internetudbyderne har typisk flere ip-adresser at jonglere med. Men alligevel vil der ofte være adskillige brugere, der deles om samme ip-adresse på et vilkårligt tidspunkt. Hvor mange brugere det handler om, afhænger af størrelsen på den samlede brugerskare i forhold til antallet af ip-adresser, som en internetudbyder har til rådighed.

Ifølge mobilselskabet 3 kan et typisk scenarie være, at ca. 300 kunder på et givent tidspunkt deles om en ip-adresse. Et tal, som Yoel Caspersen kan nikke genkendende til.

Portnummeret skal med

Han fortæller dog, at det er teknisk muligt at finde frem til identiteten på en bruger på en delt ip-adresse, hvis politiet også er i besiddelse af et såkaldt portnummer. Kombinationen af portnummer og ip-adresse udgør nemlig en unik adresse for en enkelt bruger på et givent tidspunkt.

I den forbindelse påpeger han dog, at i hvert fald tre af de softwareløsninger, som håndterer brugerforespørgslerne til en hjemmeside og præsenterer brugere for indhold – nemlig Microsofts IIS-server, Apache og Nginx – kun logger en brugers portnummer, hvis administratoren aktivt vælger at gøre det.

Yoel Caspersen vurderer, at de færreste organisationer har disse data i deres logs, men understreger, at det er teknisk muligt at logge dem. Han gætter på, at organisationer med stor fokus på sikkerhed (som f.eks. banker) logger alt, hvad de kan.

Uden et portnummer, men med en ip-adresse og et tidspunkt, er der dog også en anden mulighed for at identificere en bruger. Det forudsætter dog, at den omdiskuterede sessionslogning, som blev ophævet i 2014, bliver genindført.

Med sessionslogning vil internetudbyderne nemlig være forpligtede til også at lagre informationer om, hvilke ip-adresser – eksempelvis en hjemmeside – brugere tilgår.

»Hvis man ikke har source port med i loggen, kan man – hvis man har fuld sessionslogning på NAT-gateway’en, og både logfilen og sessionsloggen har sammenfaldende tidspunkter – være heldig at kunne udpege en bruger bag NAT. Det går dog ikke, hvis to brugere samtidig har været inde på det samme website, da man så ikke vil kunne skelne dem fra hinanden. Og det vil også hurtigt blive svært, hvis tiden på en af enhederne ikke er korrekt indstillet (f.eks. via NTP),« skriver Yoel Caspersen i en opfølgende e-mail.

Rigspolitiets forventninger

Rigspolitiets cybercrime-enhed, NC3, rettede i 2014 henvendelse til de fire store udbydere TDC, 3, Telia og Telenor. Her gav NC3 udtryk for, at politienheden oplever, at udbyderne ikke altid kan udlevere en brugeridentitet alene på baggrund af en ip-adresse og et kommunikationstidspunkt – data, som NC3 mener, udbyderne i henhold til den såkaldte logningsbekendtgørelse skal kunne levere.

Den omdiskuterede sessionslogning har tidligere været en del af logningsbekendtgørelsen, men ellers har sessionslogning i sig selv ikke noget at gøre med bekendtgørelsens øvrige bestemmelser om, at en internetudbyder eksempelvis skal logge ip-adresser.

I forbindelse med NC3’s henvendelse i 2014 svarede udbyderne samstemmende, at det kunne være teknisk svært for dem at udlevere en brugeridentitet alene på baggrund en ip-adresse og et kommunikationstidspunkt. Udbyderne henviser til netop NAT-teknologien som forklaring på, hvorfor dette kunne være et problem.

Ingeniøren har været i kontakt med de fire udbydere her i 2016 for at høre, om noget har ændret sig siden da, så det alligevel skulle være muligt for dem at betjene forespørgsler fra NC3 ud fra en ip-adresse og et kommunikationstidspunkt.

Det er ifølge TDC, 3 og Telenor ikke tilfældet. Uden at gå nærmer i detaljer lyder tilbagemeldingen fra Telia, at ‘der lige nu foregår en positiv dialog om logning med Justitsministeriet, og at vi af hensyn hertil ikke ønsker at udtale os om logning på nuværende tidspunkt.’

Rigspolitiet har ikke ønsket at svare på, hvorvidt NC3 stadig forventer, at internetudbydere skal kunne oplyse en slutbrugers identitet ud fra en ip-adresse.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (17)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Yoel Caspersen Blogger

En ting er den tekniske side - jo mere vi overvåger, jo mere kan vi i teorien få at vide, og hvis vi forstår at sortere vores data rigtigt, kan det lette opklaringen af visse forbrydelser.

Men et langt vigtigere spørgsmål: Er vi interesseret i at leve i et samfund, hvor alle forbrydelser kan opklares, fordi alle overvåges hele tiden?

Jeg har uddybet problematikken her: https://www.version2.dk/blog/sessionslogning-og-carrier-grade-nat-749226

  • 13
  • 0
Peter Vangsgaard

man kan da logge trafikken på firewallen, så man kan matche den interne adresse med den trafik politiet kan se, men det vil kræve at det gøres fra udbyderens side. Præcis som mange virksomheder logger NAT trafik for at sikre sig at medarbejdere ikke laver noget som er imod deres politikker

  • 0
  • 0
Yoel Caspersen Blogger

man kan da logge trafikken på firewallen, så man kan matche den interne adresse med den politiet kan se, men det vil kræve at det gøres fra udbyderens side.

Ja, det eneste, det kræver, er - tada - sessionslogning.

Men den skal logge samtlige forbindelser, og selv hvis den gør, er der god sandsynlighed for at det er ubrugeligt.

Og har du som borger lyst til at bruge en forbindelse, hvor udbyderen logger alt hvad du laver?

  • 11
  • 0
Jens Jönsson

Og det vil også hurtigt blive svært, hvis tiden på en af enhederne ikke er korrekt indstillet (f.eks. via NTP),« skriver Yoel Caspersen i en opfølgende e-mail.

Ved sessionslogning vil man have ekstremt mange logposter (Mogens Ritsholm har tidligere redegjort for dette).
Det betyder også, at hvis de forskellige logsystemer ikke er 100% i tidssynk, så bliver det noget af en opgave at sammen koble logfilerne, så man kan søge og få noget fornuftigt ud af dem. Hvis du har prøvet, så ved du hvad jeg snakker om.

Når vi så ved hvor kompetente politiet er i brugen af IT, så er jeg bange for at vi kommer til at opleve alt for mange sager, hvor politiet lægger alt for stor vægt på "sandhedsværdien" i logningen. Se f.eks. dette eksempel omkring sandhedsværdi af loggede data: https://www.information.dk/moti/2015/08/vidste-uskyldig

Sessionslogning er i min optik intet andet end notorisk overvågning af alle borgere 24/7/365....

  • 9
  • 0
Yoel Caspersen Blogger

Se f.eks. dette eksempel omkring sandhedsværdi af loggede data: https://www.information.dk/moti/2015/08/vidste-uskyldig

Det er virkelig et uhyggeligt eksempel på hvad der sker, når retsvæsenet begynder at tillægge teknologien magiske evner.

Nu endte den pågældende med at blive frikendt efter 11 måneder - med de dertil hørende voldsomme menneskelige konsekvenser. Men hvis man skal tro Informations artikel er der mange andre sager, der rutinemæssigt bliver afgjort til sigtedes ugunst selv om "beviserne" langt fra er entydige.

Det er nok et stort held, at politiet har anvendt sessionslogningen så lidt, som det er tilfældet, mens den var der. Men en ny og mere effektiv sessionslogning vil også blive tillagt større sandhedsværdi, og så er vejen banet for et utal af justitsmord.

  • 10
  • 0
Baldur Norddahl

Det er virkelig et uhyggeligt eksempel på hvad der sker, når retsvæsenet begynder at tillægge teknologien magiske evner.

Det er også et kæmpe demokratisk problem at samtlige enheder i politiet dækker sig ind med at de ikke vil fortælle om det, da det kan hjælpe forbryderne.

Hvad er det for et slags argument?

Kloge forbrydere ved godt i forvejen at man ikke tager en tændt mobiltelefon med på tyveritogt og at man benytter VPN hvis man har gang i noget lyssky på nettet. Det behøver de ikke høre fra ordensmagten.

De fanger i forvejen kun dem der ikke tænker over det, så det er et rigtigt dårligt argument for at sabotere demokratiets mulighed for at vurdere rimeligheden i de anvendte værktøjer.

  • 11
  • 0
Jens Jönsson

Det er nok et stort held, at politiet har anvendt sessionslogningen så lidt, som det er tilfældet, mens den var der. Men en ny og mere effektiv sessionslogning vil også blive tillagt større sandhedsværdi, og så er vejen banet for et utal af justitsmord.

Det er det jeg frygter.

Hvis du har en Android mobiltelefon, så tracker den automatisk din færden, hvis du ikke har slået det fra. Validiteten i din færden er helt hen i vejret. Fordi jeg har været på Langeland og tæt på Marstal på Ærø, så mener den at jeg både har været i Marstal og på Thurø. Jeg har desværre aldrig i hele mit liv været nogen af stederne.
Så det skal lige passe at en dag sker der et eller andet og fordi jeg kører i en blå bil og min mobiltelefon fortæller at jeg har været der, så bliver jeg anklaget for noget jeg ikke har gjort. Her skal man huske på at det aldrig er rart at blive hentet til afhøring af politiet, selvom man er 100% uskyldig. Der vil blive snakket i krogene.

Min frygt er at med sessionslogning vil noget af det samme ske ret ofte. F.eks. bare et par sekunders forskel i 2 logfiler og så har du balladen. Logninger der f.eks. peger på den forkerte person.

  • 10
  • 0
Claus Pedersen

Er der ikke nogen der vil hviske Søren Pind i øret at IPv6 vil hjælpe.

Så kunne man måske få ham til at tvinge udbyderne til at rulle IPv6 ud til alle. Dermed kunne der da komme en smule fornuftigt ud af hele det lognings hejs.

  • 3
  • 2
Jens Jönsson

Er der ikke nogen der vil hviske Søren Pind i øret at IPv6 vil hjælpe.


Hvordan mener du det vil hjælpe ?

Så kunne man måske få ham til at tvinge udbyderne til at rulle IPv6 ud til alle. Dermed kunne der da komme en smule fornuftigt ud af hele det lognings hejs.

Hvad skulle det hjælpe ? Så du mener at vi på den måde skal tvinge IPv6 igennem i Danmark ?
Hvad mener du så vi skal gøre, når vi forsøger at tilgå resten af verden, som kun kører IPv4 ?
Jeg synes også at vi skal køre "ren" IPv6. Det er bare ikke gjort ved at vi på den måde tvinger det igennem i Danmark.

Jeg kan simpelthen overhovedet ikke forstå, at der er nogen der vil sessionslogning. Det er så meget overvågning 24/7/365 af borgerne man kan komme.
Kan slet ikke overskue konsekvenserne, når man kan begynde at koble alle disse forskellige logninger sammen til et billede. Et billede der indeholder så mange muligheder for fejl fortolkninger at det skriger til himlen.
Stakkels de mennesker der vil komme i klemme i den maskine, for det er ikke et spørgsmål om det vil ske. Det vil det! Det er bare et spørgsmål om hvornår....

Desuden ønsker jeg ikke som Internetudbyder at have ansvar for de logfiler på mine systemer. Hvad hvis systemerne bliver hacket ? (For det er også kun et spørgsmål om tid, ikke om de bliver eller ej...)
CSC/Se og Hør sagen er et fint eksempel på det....

  • 5
  • 0
Henning Wangerin

Fantastisk. Så kan du da være sikker på at nogle uskyldige kommer i klemme, fordi politiet ikke formår at tolke oplysningerne korrekt....

Og dog.

Når politiet beder om hvem der har brugt en given IP på et govent tidspunkt, må de jo derefter bruge andre metoder til at sortere ud i hvem der kunne være synderen. Hvis de får 10-100 hits, beviser det jo ikke det store, men kun et potentielt fingerpeg i den rigtige retning.

Men det vil da selvfølgelig være ret træls hvis modpartens server er 10 minutter ude af sync.

/Henning

  • 0
  • 0
Erik Haukjær Andersen

Hvis de får 10-100 hits, beviser det jo ikke det store, men kun et potentielt fingerpeg i den rigtige retning.


Nu vil det ikke nødvendigvis sikre nogen, jævnfør politiets brug af masteoplysninger (se den første artikel fra information) som fakta for hvor man har opholdt sig. Hvis du af en eller anden grund er mistænkt (eller kan msitænkes) OG er blandt de 10-100 hits SÅ er du nok også skyldig.

  • 0
  • 0
Jesper Nielsen

Desuden ønsker jeg ikke som Internetudbyder at have ansvar for de logfiler på mine systemer. Hvad hvis systemerne bliver hacket ? (For det er også kun et spørgsmål om tid, ikke om de bliver eller ej...)

Og så kommer jeg til at tænke på den nye persondataforordning med dertilhørende bødestørrelser.

Sessionslogning må da også, om noget, kræve en data protection officer, tænker jeg.

  • 0
  • 0
Christian Nobel

Se f.eks. dette eksempel omkring sandhedsværdi af loggede data: https://www.information.dk/moti/2015/08/vidste-uskyldig

Jeg var på magisk vis i Sverige her forleden, og det endda helt uden at have forladt landet - mens jeg var ved at købe ind hos Rema 1000 i Gilleleje fik jeg en "Velkommen til Sverige...."!

At politiet benytter den slags"spor" er dybt uanstændigt, og at de bruger 11 måneder på at "efterforske" er totalt uacceptabelt.

Hele den historie gør mig så harm så det ikke kan beskrives - prøv hver især at forestille jer konsekvensen af at blive hevet væk fra jeres liv i 11 måneder:

Firmaet gået konkurs.
Huset røget på tvangsauktion.
Bank og Skat på heksejagt efter det der ikke er tilbage.
Børn traumatiseret.
Osv, osv.

Reelt set har politiet med deres sløseri og uansvarlighed ødelagt kvindens liv, ikke nok med at hun skal tumle med tankerne om mandens selvmord, nej overgrebsmagten mener hele hendes og barnets liv skal ødelægges - og så får hun en erstatning på en sølle halv million.

En halv million for et ødelagt liv og en ruin - jeg synes det er så skammeligt at politiregimet behandler borgere på den måde - føj.

  • 8
  • 0
Christian Schmidt

Hvis politiet kan koble din identitet til en specifik IP-adresse, kan alverdens reklamenetværk mv. det også. Så hjælper det ikke at slette cookies eller bruge Private browsing.

Min bredbåndsforbindelse har fast IP-adresse, uden at jeg specifikt har bedt om det eller har mulighed for at fravælge det. Jeg ville foretrække, at den skiftede med jævne mellemrum, eller at mine forbindelser blev NAT'tet. Udover større anonymitet over for de websites, jeg besøger, vil det også gøre det lidt sværere at hacke sig ind i mit lokalnet.

  • 0
  • 0
Log ind eller Opret konto for at kommentere