En heftig diskussion om værdien af sessionslogning bølger frem og tilbage med blandt andet Rigspolitiet på den ene side og privacy-fortalere på den anden.
Nu er et nyt element tilføjet debatten i form af et svar fra justitsminister Søren Pind (V) til Folketingets retsudvalg, hvor Rigspolitiet kommer med fire eksempler på, hvordan den tidligere sessionslogning er indgået i opklaringsarbejdet (PDF).
Formand for IT-politisk Forening, privacy-fortaler og modstander af sessionslogning, Jesper Lund, har kigget svaret igennem, og han er ikke imponeret over eksemplerne.
»Det er stadigvæk ikke noget, der på nogen måde står mål med det voldsomme indgreb i retten til privatliv, som sessionslogning er,« siger Jesper Lund.
Sessionslogning vil kort fortalt sige, at overordnede informationer om internetbrugeres datatrafik bliver lagret.
Det er sådan noget som en brugers ip-adresse, samt den ip-adresse han eller hun tilgår.
Rigspolitiet og Justitsministeriet anfører på den ene side, at det kan være nyttige informationer i forbindelse med opklaringen af diverse forbrydelser i takt med, at mere kriminalitet relaterer sig til online-aktiviteter.
Privacy-fortalere mener på den anden side, at lagring af disse oplysninger er en voldsom krænkelse af folks privatliv.
Eksempelvis kan sessionslogning principielt bruges til at afdække, hvilke politiske partiers hjemmesider en borger besøger og andre potentielt følsomme informationer om folks færden.
Sag om grooming
Den første sag, Rigspolitiet nævner som eksempel på, hvor sessionslogning har været en del af opklaringsarbejdet, er fra 2013 og handler om grooming.
Det vil, som Rigspolitiet formulerer det, sige, at »en voksen opbygger et tillidsforhold til et barn, typisk via internet-chat eller mobiltelefoni, med henblik på senere at begå overgreb mod barnet.«
Sagen involverede blandt andet video-kommunikation via et webcam, hvor en person har afpresset to piger på henholdsvis 11 og 12. Og her har den daværende sessionslogning altså spillet en rolle i opklaringsarbejdet.
»I forbindelse med efterforskning af sagen indhentede politiet med samtykke fra indehaveren af den internetforbindelse, som pigerne havde benyttet, loggede oplysninger om internettrafik vedrørende pigernes IP-adresse. De indhentede oplysninger viste, at én bestemt IP-adresse havde været særdeles meget i kontakt med pigernes IP-adresse. Ejeren af denne IP-adresse tilstod efterfølgende forholdet,« står der i svaret fra Rigspolitiet.
Netbank-indbrud
Et andet eksempel på, hvor den tidligere sessionslogning er blevet brugt efterforskningsmæssigt handler om netbankindbrud, ligeledes i 2013. Her har ukendte gerningsmænd skaffet sig adgang til en række bankkonti, hvorfra de har tilegnet sig penge.
Tyverierne var foregået fra et mobil-modem isat et uregistreret taletidskort.
»I forbindelse med efterforskningen indhentede politiet, på baggrund af en dommerkendelse, loggede oplysninger om internettrafik vedrørende det uregistrerede taletidskort. På baggrund af de indhentede oplysninger kunne det konstateres, at taletidskortet var blevet anvendt i forbindelse med adgangen til de pågældende pengeinstitutter, ligesom der blev afdækket flere sager om netbanktyveri, som kunne knyttes til det samme taletidskort,« oplyser Rigspolitiet i svaret.
Jesper Lund medgiver, at den daværende sessionslogning har spillet en rolle i forbindelse med efterforskningen af de to ovenstående eksempler. Han mener dog ikke, det er meget at kunne fremvise efter syv år med den daværende sessionslogning.
»Jeg har jo generelt gennem årene været skeptisk overfor, om der var særligt mange sager, hvor sessionslogning kunne bringe værdi. Her er der to. Og fair nok, det er sager, hvor de har brugt sessionslogning,« siger Jesper Lund.
Når det er sagt, mener Jesper Lund også, der har været et element af held forbundet med, at sessionslogning overhovedet har været anvendeligt i forbindelse med efterforskningen af sagen med grooming og sagen med netbank-tyverier.
»Man har været heldig i grooming-sagen i forhold til, at det har været en peer-to-peer-videoforbindelse, og at man havde noget yderligere information om, hvornår det foregik,« siger han og tilføjer:
»Og man har været tilsvarende heldig i den anden sag, at det er sket fra den samme internetforbindelse, uden der har været brugt Tor eller andet for at maskere sin identitet.«
Umiddelbart er Jesper Lund tvivlende overfor, at det vil bidrage til opklaringen af flere sager at indføre sessionslogning i den form, Rigspolitiet og Justitsministeriet nu lægger op til.
It-Politisk Forening har udgivet et notat om netop dette, der kan læses her.
Grove røverier
Rigspolitiets to sidste eksempler, som fremgår af svaret fra justitsministeriet til Folketingets Retsudvalg, mener Jesper Lund slet ikke relaterer sig til sessionslogning.
Det ene eksempel er en sag fra 2012. Her blev der rejst tiltale mod tre personer for en række røverier af særlig grov beskaffenhed. I den forbindelse blev der på baggrund af dommerkendelser indhentet loggede oplysninger om internettrafik vedrørende to mobiltelefoner.
»På baggrund af de oplysninger der derved fremkom, var politiet i stand til både at afkræfte mistanken mod én mistænkt og bestyrke mistanken mod en anden mistænkt, som senere blev dømt for en række forhold i sagen,« oplyser Rigspolitiet i svaret.
‘Manden i den røde bil’
Det sidste eksempel, Rigspolitiet har valgt at fremhæve, er sagen om 'manden i den røde bil' på Fyn, som handlede om blandt andet bortførelse og voldtægt af to 11-årige piger i 2012.
»I forbindelse med efterforskningen i sagen indhentede politiet – efterfølgende – på baggrund af en dommerkendelse, oplysninger om internettrafik vedrørende den ene af de bortførte pigers mobiltelefon. Ved hjælp af disse oplysninger lykkedes det politiet at finde frem til det gerningssted, hvor gerningsmanden havde kørt pigen hen og forøvet overgrebet mod hende,« står der i Rigspolitiets svar.
Men både hvad angår sagen med de grove røverier og sagen om 'manden i den røde bil,' mener Jesper Lund ikke umiddelbart, der er noget, der tyder på, at der er anvendt egentlige oplysninger fra sessionslogning.
Altså hvilke ip-adresser, der har kommunikeret med hinanden hvornår. Derimod lader der ifølge Jesper Lund til at være tale om, at der har været anvendt oplysninger om telemaste-positioner. Altså hvor en en mobiltelefon geografisk har befundet sig.
»Det der er brugt der, det er jo reelt ikke oplysninger om internet-sessioner. Men det må være lokationsoplysninger om, hvor mobiltelefoner har befundet sig,« siger Jesper Lund og tilføjer:
»Det har ikke noget med internet-sessioner at gøre, det er et spørgsmål om, hvor tit, man skal indsamle masteoplysninger. Rent teknisk bliver masteoplsynigner genereret et andet sted i teleselskabernes systemer.«
Kom gratis med til Danmarks største IT-sikkerhedsevent!
Infosecurity, Europas mest populære IT-sikkerhedsevent, afholdes for første gang i Danmark den 3. og 4. maj 2016. 50 udstillere, 5 konferencesale og mere end 60 seminarer og caseoplæg fra ind- og udland. Læs mere her.