Rigspolitiet: Her er fire eksempler på, at sessionslogning faktisk virker

Formanden for IT-Politisk Forening mener ikke, alle Rigspolitiets sessionslogningseksempler i et svar fra Justitsministeriet reelt handler om sessionslogning.

En heftig diskussion om værdien af sessionslogning bølger frem og tilbage med blandt andet Rigspolitiet på den ene side og privacy-fortalere på den anden.

Nu er et nyt element tilføjet debatten i form af et svar fra justitsminister Søren Pind (V) til Folketingets retsudvalg, hvor Rigspolitiet kommer med fire eksempler på, hvordan den tidligere sessionslogning er indgået i opklaringsarbejdet (PDF).

Formand for IT-politisk Forening, privacy-fortaler og modstander af sessionslogning, Jesper Lund, har kigget svaret igennem, og han er ikke imponeret over eksemplerne.

»Det er stadigvæk ikke noget, der på nogen måde står mål med det voldsomme indgreb i retten til privatliv, som sessionslogning er,« siger Jesper Lund.

Sessionslogning vil kort fortalt sige, at overordnede informationer om internetbrugeres datatrafik bliver lagret.

Det er sådan noget som en brugers ip-adresse, samt den ip-adresse han eller hun tilgår.

Rigspolitiet og Justitsministeriet anfører på den ene side, at det kan være nyttige informationer i forbindelse med opklaringen af diverse forbrydelser i takt med, at mere kriminalitet relaterer sig til online-aktiviteter.

Privacy-fortalere mener på den anden side, at lagring af disse oplysninger er en voldsom krænkelse af folks privatliv.

Eksempelvis kan sessionslogning principielt bruges til at afdække, hvilke politiske partiers hjemmesider en borger besøger og andre potentielt følsomme informationer om folks færden.

Sag om grooming

Den første sag, Rigspolitiet nævner som eksempel på, hvor sessionslogning har været en del af opklaringsarbejdet, er fra 2013 og handler om grooming.

Det vil, som Rigspolitiet formulerer det, sige, at »en voksen opbygger et tillidsforhold til et barn, typisk via internet-chat eller mobiltelefoni, med henblik på senere at begå overgreb mod barnet.«

Sagen involverede blandt andet video-kommunikation via et webcam, hvor en person har afpresset to piger på henholdsvis 11 og 12. Og her har den daværende sessionslogning altså spillet en rolle i opklaringsarbejdet.

»I forbindelse med efterforskning af sagen indhentede politiet med samtykke fra indehaveren af den internetforbindelse, som pigerne havde benyttet, loggede oplysninger om internettrafik vedrørende pigernes IP-adresse. De indhentede oplysninger viste, at én bestemt IP-adresse havde været særdeles meget i kontakt med pigernes IP-adresse. Ejeren af denne IP-adresse tilstod efterfølgende forholdet,« står der i svaret fra Rigspolitiet.

Netbank-indbrud

Et andet eksempel på, hvor den tidligere sessionslogning er blevet brugt efterforskningsmæssigt handler om netbankindbrud, ligeledes i 2013. Her har ukendte gerningsmænd skaffet sig adgang til en række bankkonti, hvorfra de har tilegnet sig penge.

Tyverierne var foregået fra et mobil-modem isat et uregistreret taletidskort.

»I forbindelse med efterforskningen indhentede politiet, på baggrund af en dommerkendelse, loggede oplysninger om internettrafik vedrørende det uregistrerede taletidskort. På baggrund af de indhentede oplysninger kunne det konstateres, at taletidskortet var blevet anvendt i forbindelse med adgangen til de pågældende pengeinstitutter, ligesom der blev afdækket flere sager om netbanktyveri, som kunne knyttes til det samme taletidskort,« oplyser Rigspolitiet i svaret.

Jesper Lund medgiver, at den daværende sessionslogning har spillet en rolle i forbindelse med efterforskningen af de to ovenstående eksempler. Han mener dog ikke, det er meget at kunne fremvise efter syv år med den daværende sessionslogning.

»Jeg har jo generelt gennem årene været skeptisk overfor, om der var særligt mange sager, hvor sessionslogning kunne bringe værdi. Her er der to. Og fair nok, det er sager, hvor de har brugt sessionslogning,« siger Jesper Lund.

Når det er sagt, mener Jesper Lund også, der har været et element af held forbundet med, at sessionslogning overhovedet har været anvendeligt i forbindelse med efterforskningen af sagen med grooming og sagen med netbank-tyverier.

»Man har været heldig i grooming-sagen i forhold til, at det har været en peer-to-peer-videoforbindelse, og at man havde noget yderligere information om, hvornår det foregik,« siger han og tilføjer:

»Og man har været tilsvarende heldig i den anden sag, at det er sket fra den samme internetforbindelse, uden der har været brugt Tor eller andet for at maskere sin identitet.«

Umiddelbart er Jesper Lund tvivlende overfor, at det vil bidrage til opklaringen af flere sager at indføre sessionslogning i den form, Rigspolitiet og Justitsministeriet nu lægger op til.

It-Politisk Forening har udgivet et notat om netop dette, der kan læses her.

Grove røverier

Rigspolitiets to sidste eksempler, som fremgår af svaret fra justitsministeriet til Folketingets Retsudvalg, mener Jesper Lund slet ikke relaterer sig til sessionslogning.

Det ene eksempel er en sag fra 2012. Her blev der rejst tiltale mod tre personer for en række røverier af særlig grov beskaffenhed. I den forbindelse blev der på baggrund af dommerkendelser indhentet loggede oplysninger om internettrafik vedrørende to mobiltelefoner.

»På baggrund af de oplysninger der derved fremkom, var politiet i stand til både at afkræfte mistanken mod én mistænkt og bestyrke mistanken mod en anden mistænkt, som senere blev dømt for en række forhold i sagen,« oplyser Rigspolitiet i svaret.

‘Manden i den røde bil’

Det sidste eksempel, Rigspolitiet har valgt at fremhæve, er sagen om 'manden i den røde bil' på Fyn, som handlede om blandt andet bortførelse og voldtægt af to 11-årige piger i 2012.

»I forbindelse med efterforskningen i sagen indhentede politiet – efterfølgende – på baggrund af en dommerkendelse, oplysninger om internettrafik vedrørende den ene af de bortførte pigers mobiltelefon. Ved hjælp af disse oplysninger lykkedes det politiet at finde frem til det gerningssted, hvor gerningsmanden havde kørt pigen hen og forøvet overgrebet mod hende,« står der i Rigspolitiets svar.

Men både hvad angår sagen med de grove røverier og sagen om 'manden i den røde bil,' mener Jesper Lund ikke umiddelbart, der er noget, der tyder på, at der er anvendt egentlige oplysninger fra sessionslogning.

Altså hvilke ip-adresser, der har kommunikeret med hinanden hvornår. Derimod lader der ifølge Jesper Lund til at være tale om, at der har været anvendt oplysninger om telemaste-positioner. Altså hvor en en mobiltelefon geografisk har befundet sig.

»Det der er brugt der, det er jo reelt ikke oplysninger om internet-sessioner. Men det må være lokationsoplysninger om, hvor mobiltelefoner har befundet sig,« siger Jesper Lund og tilføjer:

»Det har ikke noget med internet-sessioner at gøre, det er et spørgsmål om, hvor tit, man skal indsamle masteoplysninger. Rent teknisk bliver masteoplsynigner genereret et andet sted i teleselskabernes systemer.«

Kom gratis med til Danmarks største IT-sikkerhedsevent!

Infosecurity, Europas mest populære IT-sikkerhedsevent, afholdes for første gang i Danmark den 3. og 4. maj 2016. 50 udstillere, 5 konferencesale og mere end 60 seminarer og caseoplæg fra ind- og udland. Læs mere her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (33)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
René Nielsen

Jeg tror ikke på at sessionslogning er noget som helst værd som efterforskningsmiddel og mener at ordet sessionslogning er direkete misvisende fordi ordet understøtter den misforståelse af internetforbindelser svarer til telefonforbindelser - hvor man kan se hvem som snakker som snakker med hvem og hvor længe.

Fra Christian Panton ved vi at hans mobiltelefon ved TDC lavede 10.000+ logentries om dagen under sessionslogning 1.0. Det er en stor høstak at lede efter den berømte nål i hvis man nu bare skal analyser 6 måneder af Christian Pantons færden og især hvis man besøger en hjemmeside så kan dette besøg generer 50-150+ entries til reklamesites, trackere, cookies, mv.

Men den alvorlige misforståelse i ordet ”sessionslogning” er at sessionsloggen intet siger om besøgets længde/varighed. Derudover vil et besøg hos DR.dk hjemmeside vil nemt lave 100+ entries og det uden at man har trykket sig ind på undersider hvor det slet ikke er sikkert at den Signal chat på 40 tegn som politiet var interesseret i – overhoved blev logget.

Sessionslogning er uanvendeligt til alt andet end profilering af den danske befolkning fordi i de 7 år sessionslogning 1.0 var i drift burde politiet statistisk set have mindst 250 sager hvert år hvor sessionslogning burde have hjulpet signifikant i efterforskningsarbejdet – og for hele perioden mindst 2.000 sager!

Tænk på alle de tilfælde af ID_tyveri, IT-kriminalitet, pædofile, indbrud i Netbank og alt andet som kun foregår på nettet. Hvis sessionslogning var et effektivt efterforskningsmiddel, så burde det være uhyre let at fremlægge blot 250 sager hvor sessionslogning havde hjulpet politiet ligesom at der ingen grund var til at afskaffe sessionslogningen, når den nu var så effektiv!

Derimod fremlægger Justisministeren 4 tvivlsomme sager hvor sandheden ved nærlæsning er at man ikke har brugt sessionslogning, men derimod masteoplysninger og via offerets samtykke har aflyttet forbindelsen.

Man kan derfor med statistisk sikkerhed fastslå at sessionslogning ikke virker, fordi politiet burde have en opklaringsprocent for de omtalte arter af kriminalitet som signifikant overstiger et tilfældig udfald. Det kan 4 eksempler på 7 års total overvågning af den samlede danske befolkning ikke siges at være.

Det er derfor mere korrekt at kalde den gamle lov for ”internetlogning” og nu tager man så noget som vi har empirisk og statistik bevis for ikke virker og laver mere af det! - Hallejaula!!!!

Anders Jensen

Udover de åbenlyse privacy-issues, så ligner det også hul i hovedet at indføre sessionslogning ud fra en økonomisk afvejning af fordele og ulemper.

Det koster omkring en milliard at indføre sessionslogning. Dertil kommer løbende omkostninger. Mener politiet virkelig, at sessionslogningen er en milliard kroner værd? Kan vi - for nu at simplificere det en lille smule - få mere politiarbejde for pengene ved at investere en milliard i sessionslogning fremfor andre tiltag - f.eks. mere mandskab og udstyr?

Det forekommer mildest talt usandsynligt, men hvis politiet virkelig mener det er en god økonomisk prioritering, så synes jeg da de skal fremlægge besparelser i politiet for en milliard kroner. Mon ikke det kunne få rigspolitiet til at stikke piben ind hvis de selv skulle betale omkostningerne til sessionslogningen?

Bent Jensen

De har nok ikke flere end de 4 konkrete tilfælde hvor det har hjulpen, ikke været det vigtige for efterforskningen. For så ville de været kommet med dem ?

Så det er en pris på minimun 1 miliard i hver sag, da logningen jo kørte i flere år. Hvis man have sat mandskb af for de penge så var de nok opklaret alligevel, det have så været uden at give afkald på basal personlige frihedsretigheder.

Man må også formode at denne højeandel af opklaringer vil falde, da de fleste ikke gumbetunge kriminele nok kan finde ud af at beskytte sig. Hvor mange rockere er dømdt på grund af mastedata, efter skudepisoden i lufthavnen ?

Er det prisen hver ?

Jesper Frimann

var nødvendig for opklaring af de her sager ?

I sag et kunne man jo snildt fra logs på chat tjenesten, routeren hos forældrene, PC hos forældrene ... eller ved måske, at have fanget den 'perverse idiot' ved at have sat en betjent foran chatten ?

I sag to, ville det måske være mere relevant at bruge bankernes logs, som helt sikkert i kombination med teleudbyderens interne logs ville have givet et lige så stærkt materiale.
Eventuelle sessions lognings data kan jo ikke stå alene i dette tilfælde, de ville jo ikke bevise nogen kriminel adfærd. Det kan de kun i sammenhæng med bankernes logs.

I sag 3 og 4 er der igen ikke behov for sessions lognings data. Det handler jo udelukkende om, at man har haft brug for 'mastedata'.

Altså man havde ikke behøvet sessions lognings data for at opklare 1 og 2. Det har måske sparet politiet for et par arbejdsdage (pris 1 milliard). Og i tilfælde 3 og 4 omhandler jo ikke sessions logning, men handler om data om hvilke master en mobil enhed har kommunikeret med.

Det er en meget meget meget meget tynd kop the det her. Men helt klart at man spiller kortet om overgreb på børn. Jeg synes faktisk det er lidt ulækkert.

// Jesper

Bent Jensen

VeraCrypt - har brugt lidt tid på undersøgelse, den bedste alternativ til TC og understøttet på flere platforme.

Samt Tor

Hvad man skal bruge for at beskyttet SMS og samtaler på telefonen ved jeg ikke, men gerne hjælp til noget også min mor kan bruge, efter jeg har sat det op, og ikke bare noget med en falsk sikkerhed. Gerne server i Tyskland, eller andre lande med en gælden og brugbar persondatalov, og mulighed for privatliv ?

Hvis alle bruger dette, så kan politiet ikke bruge det til at intimidere en person, bare fordi han gerne vil have et privatliv.
Så fra nu er man herefter dum, idiot, og Imbecil hvis man ikke bruger en eller anden form for kryptering, for at beskytte sig mod overgreb og magt misbrug fra STASI og andre ministere.

Kom i gang, idioter.

https://www.torproject.org/docs/installguide.html.en

https://veracrypt.codeplex.com/

Baldur Norddahl

Sessionlogning genererer ufattelige mængder data. Så meget at det er helt umuligt at gennemgå og gennemskue. Dertil kommer manglende information, der findes for eksempel ingen database der hurtigt kan afklare hvad der ligger bag en IP adresse. Så når politiet står med millioner af IP adresser fra en session log, hvordan finder de ud af hvilke er interessante og hvilke blot er ekstrabladet.dk?

Svaret er at det gør de ikke. I stedet er det de helt simple tiltag man må ty til. I de nævnte eksempler har man sorteret IP adresserne efter mængden af trafik og herefter fjernet alle ikke danske IP adresse (man har alligevel ingen retshjemmel til at forfølge noget i udlandet). Derefter kan man måske lave reverse DNS opslag for at finde adresser der ligner privat internet. Tag top 5 af dem og få en retskendelse på at sparke døren ind uden skyggen af bevis for noget ondsigtet.

Selvfølgelig er vil man være heldig før eller siden. Men det er jo i virkeligheden trivielle sager. Det er muligt at en sag ikke var blevet opklaret uden dette heldige hint. Men hvor mange andre sager var blevet opklaret, hvis samfundet investerede de samme penge i flere betjente til at efterforske? Eller hvis det skal være IT, så investerede i andre værktøjer end session logning?

Personligt er jeg ikke i tvivl om at rigspolitiet hellere end gerne ville modtage en bevilling på bare 10% af det der skal bruges på session logning og så begrave den for evigt. Problemet er bare at justitsministeren ikke har de penge. Session logning er noget nogle andre skal betale (det er ikke på finansloven). Derfor og kun derfor er man villig til at investere samfundets midler på det.

Prøv at indføre et tilskud til internet overvågning betalt af finansministerens kasse. Så skal du se dette forslag begravet helt til Kina hurtigere end du kan blinke.

Per Gøtterup

Ingen af de oplyste eksempler handler om terror, og det var jo det sessionslogning skulle bruges til at forhindre og/eller opklare. Hvis det skal kunne anvendes til efterforskning af almindelig kriminalitet så er det en helt anden sag. Terror er så alvorligt at vi i teorien kan give afkald på visse privatlivsbeskyttelser, men ikke hvis det bare skal bruges til at opklare røverier, grooming og så videre. Så må politiet bruge andre mindre invasive værktøjer.

Baldur Norddahl

Hvorfor beregner man ikke samfundsøkonomi på de her projekter? Ligesom på andre store offentlige anlægsprojekter. Projekt session overvågning er også et anlægsprojekt, det er blot usynligt. Ikke desto mindre skal der bygges en masse netværk for at realisere det.

Vil man nå frem til en negativ samfundsøkonomi sammenlignet med andre tiltag? Hvis der er en politiker der læser med her, hvorfor ikke bede om et sammenligningsgrundlag hvor man opstiller alternativer, inklusiv nul alternativet? Man kan få rigtig meget efterforskning for 1 milliard kroner årligt. Og selvom man måske når frem til en billigere model, så kan man sandsynligvis også få rigtig meget efterforskning for det beløb, man så når frem til. Folketinget stemmer ikke på et oplyst grundlag, hvis man end ikke har undersøgt det.

Jeg mener ikke at session logning er noget vi bør gøre. Det får os til at ligne visse regimer, som vi helst ikke vil sammenlignes med. Men derudover er det simpelthen ikke økonomisk smart eller effektivt.

Kenn Nielsen

.....Så når politiet står med millioner af IP adresser fra en session log, hvordan finder de ud af hvilke er interessante og hvilke blot er ekstrabladet.dk?

Svaret er at det gør de ikke. I stedet er det de helt simple tiltag man må ty til.

Eller:
Man har alletiders mulighed for at hyre et BigDataAnalyzer-Firma, som jo - naturligvis - (host-host) ikke må benytte den fulde mængde af data til andet end det bestilte.

Hér kan det bestilte jo være "bevis - eller indicier - på at NNN er skyldig i Fyyy".
Således bliver indicier på det modsatte slet ikke leveret, og forsvaret er 'på herrens mark', fordi man ikke selv må efterforske.
Vupti: Vi kan sige "Se selv - der domfældes i stor stil , sikken en success"

Rent politiker-guf.

Samtidigt:

Intet kan forhindre "BigDataAnalyzer-Firmaet" i samtidigt/'on the fly' at justere diverse 'scores' tilknyttet egne profileringsprojekter, blot de ikke bliver taget på fersk gerning.

K

Baldur Norddahl

Big datas nytte er en myte. Den slags algoritmer finder frem til hvilke reklamer jeg skal have serveret og her gør det ikke noget at den for det meste tager fejl. Det har ingen værdi til efterforskning.

På den anden side, så kan selv samme big data systemer formodentlig komme med bud på hvem der er potentielle voldtægtsforbrydere. Og de behøver ikke engang session logning til det. Reklamenetværket har data nok til at de kan begynde at gætte løs. Og så kan vi måske preemptivt anholde disse personer og på forhånd forhindre de voldtægter, som de ikke har begået endnu.

USA benytter det allerede til deres "no fly" liste.

Erik Jensen

Det er jo det man prøver at forklare hver gang politikerne finder på noget nyt.

Men jeg tror ikke ret mange mennesker har den mentale kapacitet til at tænke mere end et træk frem. Eller huske alle de utallige gange politikerne har lavet et lignende stunt.

Povl H. Pedersen

De 2 første sager har vel ikke noget at gøre med sessionslogning. I grooming tilfældet loggede man fremtidig trafik hos pigerne. Det har intet med den stalinistiske sessionslogning at gøre. I angrebet mod banken, havde banken vel IP adressen der var blevet brugt. Og her ville IP adresse -> kunde kunne have vist det samme. Dog ville man måske mangle relationerne til evt andre angreb, hvis de ikke var meldt til politiet.

Den røde bil har intet med sessionslogning at gøre. Det er masteoplysninger.

Det er lidt svært at blive klog på om det har haft værdi i røverisagen, men her vil jeg igen tro at det er masteoplysninger.

Så det ser ikke ud til at sessionslogning er blevet anvendt i de 4 bedste eksempler politiet kunne finde.

Malthe Borch

Med det rette software – e.g. Palantir – kan man finde en nål i en ret stor høstak. Og det er et spørgsmål om tid før det bliver prisbilligt. Måske koster det en milliard kroner i dag, men i fremtiden vil det være helt normalt.

Og så meget data er det heller ikke.

Udfordringen er at gøre høstakken større i takt med at computerkraften bliver større, sådan at det fortsat vil være for dyrt, f.eks. ved brug af onion routing eller lignende.

Allan S. Hansen

Fordi hvis vi kan opklare eksempelvis 4 sager så berettiger det jo helt åbenbart at overvåge 5.6 millioner mennesker.

Og jeg hæfter mig ved opklare fordi det modvirker jo ikke forbrydelserne, så terrorbomberne vil stadig springe, de pædofile vil stadig overfalde de små børn, og indbrudene vil stadig blive begået........ også selvom vi overvåger samtlige borger lige indtil vi kan opnå den fantastiske drøm om "Minority Report" og "pre-crime".

(Sarkasme kan forekomme)

Mads Henriksen

For at imødegå terrorisme skulle sessionslogning være et nødvendigt værktøj. Ingen af de fire eksempler omhandler terror. Men hvad gør det, når logningen bidrager med (så meget) andet godt? Den tankegang kan ekstrapoleres til mange andre nyttige områder:

  1. Live GPS-tracking af alle køretøjer, så man kan efterforske bilbombeattentater (og sende live-fartbøder til alle fartbøller)
  2. Udfasning af fysiske kontanter, og tracking af alle transaktioner, så man kan hindre terrorfinansiering (og samtidig eliminere sort arbejde og skatteunddragelse)
  3. Live overvågning af al lyd i nærheden af smartphones, for at optrævle terrorgrupper (og samtidig indføre tankepoliti overfor opositionelle grupper)
  4. GPS-fodlænker på alle borgere, så man kan opklare terrorskyderier (og samtidig automatisk håndhæve alle polititilhold)

Hop op på glidebanen allesammen.

René Nielsen

Det meste er nettet er ved ”Going Dark” idet kryptering og maskering er ved at blive massivt indført!

Initiativer som ”Let’s Encrypt” er nu ved at ”lukke ned” for overvågningen idet mange hjemmesider nu bruger https:// i stedet for http://. Alene ”Let’s Encrypt” har udstedt 3,8 mio certifikater.

Denne graf viser hvor kraftigt stigende kryptering er http://www.wired.com/2016/04/scheme-encrypt-entire-web-actually-working/

Apps som Viber, WhatsApp med flere har nu indført kryptering. Mobiltelefoner er ved at blive låst med militarygrade kryptering, VPN-lignende forbindelser og Tor-teknologi bygges ind i Apps og programmer.

Dette på grund af myndigheders massive misbrug – verden over.

Så vi er nødt til som borgere at stille det rimelige spørgsmål om hvad sessionslogning fremadrettet er værd? Selvom politiet har ret (og det ved jeg at de ikke har) – så er er datomærkningen ved sessionslogning ved at udløbe, fordi hr og fru Jensen nu via deres standardprogrammer bliver ”beskyttet” imod sessionslogning.

Anne-Marie Krogsbøll

Nu mangler vi blot en skattesag, hvor en "slem" skattetænker afsløres i at tilgå sine skuffeselskaber.


Mit gæt er, at den slags forbrydelser mod menneskeheden vil være undtaget de forbrydelser, som man må anvende sessionslogningen til.
Det har jo i hvert fald ikke været en prioritet indtil nu at opklare den type forbrydelser - det er det nok heller ikke fremover. Man skulle jo nødigt komme til at afsløre de forkerte....

Jesper Lund

Så vi er nødt til som borgere at stille det rimelige spørgsmål om hvad sessionslogning fremadrettet er værd? Selvom politiet har ret (og det ved jeg at de ikke har) – så er er datomærkningen ved sessionslogning ved at udløbe, fordi hr og fru Jensen nu via deres standardprogrammer bliver ”beskyttet” imod sessionslogning.

Kryptering eller ej gør ingen forskel i forhold til sessionslogning, fordi pakkeindholdet ikke analyseres. Men anonymisering som Tor og tunneller som VPN (eller kommunikationstjenester som Signal, iMessage og WhatsApp), hvor trafikken ikke sendes direkte til destinationen, har stor betydning.

Justitsministeriet er lidt inde på det i svaret på REU spørgsmål 333
http://www.ft.dk/samling/20151/almdel/reu/spm/333/svar/1308801/1612290.pdf
hvor der skelnes mellem direkte aka peer-to-peer kommunikation mellem to brugere, og kommunikation mellem A og B som går via en central server.

Lidt pudsigt nævnes det at XMPP er en efterhånden mindre anvendt protokol for kommunikationstjenester på internettet. WhatsApp er baseret på XMPP, så det er lidt en tilsnigelse, men måske er formålet at give læseren af svaret det indtryk, at peer-to-peer kommunikation er i vækst?

Justitsministeriet har en naturlig præference for peer-to-peer kommunikation, fordi det her i nogle (typisk ganske specialle) situationer er muligt at se hvem der kommunikerer med hvem, altså person-til-person og ikke bare person-til-server, for eksempel at mistænkte bruger WhatsApp ligesom stort set alle andre.

Generelt virker det som om at Justitsministeriet er 10 år bagefter udviklingen. Sessionslogning får mindre effekt, når mange services kører på de samme IP addresser på grund af CDNs, og når folk bruger kommunikationstjenester som WhatsApp der ikke er peer-to-peer som Skype var det engang (men selv Skype bevæger sig væk fra peer-to-peer modellen).

Og på det "grundlag" var Justitsministeriet parat til at brænde en mia kr af teleselskabernes (eller telekundernes) penge af..

Rune Jensen

Nej, jeg forstår det sådan, at denne logning var lovlig dengang. Den blev jo taget af, fordi den ikke virkede efter hensigten, og årsagen til Pind vil have den tilbage er, fordi den beviseligt virker imod terrorisme. Jeg har i hvert fald forstået det sådan, at Pind bruger terrorisme som argument.

Jeg er helt med på, at politiet skal have de værktøjer som er nødvendige for at kunne opklare forbrydelser, men jeg er ret loren ved, at et sådan værktøj skal være logning at min internetfærden uden jeg har gjort noget galt.

Uanset, så må det i tilfældet med bankindbruddet og som én også skriver, være muligt at bruge bankens egne interne logs. Som jeg også mener de bør have simpelthen af sikkerhedshensyn. Og ikke en totallogning af alles internetfærd.

Jeg vil gerne høre Pinds forklaring. Om han mener, at total internetlogning er det værd, og så hans argumenter for hvorfor det er det. Det er et kæmpe indgreb i uskyldige menneskers privatliv at lave totallogning, så hans forklaringer må hellere være gode.

Kjeld Flarup Christensen

Initiativer som ”Let’s Encrypt” er nu ved at ”lukke ned” for overvågningen idet mange hjemmesider nu bruger https:// i stedet for http://. Alene ”Let’s Encrypt” har udstedt 3,8 mio certifikater.


Vi har også skiftet over til https for nyligt, selvom jeg egentligt mener det er hul i hovedet, at bruge ressourcer til at kryptere offentlig information. Det er bare den vej det går, og egentligt er det sørgeligt at det er nødvendigt.

Kjeld Flarup Christensen
Bjarne Nielsen

Specielt når det som regel er lovligt det som foregår.

Hvor ved du det fra?

Men iøvrigt, så er den undskyldning i familie med "jeg handlede efter ordre", og den kan være lige så dårlig. Hvis man ved, at noget ville være ulovligt, hvis folk vidste hvad der reelt foregår, så er man ikke bare på tynd is, så ligger man allerede og basker rundt i det kolde vand.

Og hvis man gør store anstrengelse for at holde noget hemmeligt, så er det svært bagefter at påstå, at man handlede i god tro.

Men jeg tror nu også, at vi snarere vil se oplysningerne blive brugt til at fange ensomme personer på overførsel, som har fundet sig en madkæreste. Det er nemlig ulovligt, og den slags 'samfundsundergravende virksomhed' kan ikke blive stoppet for hurtigt!

René Nielsen

Men jeg tror nu også, at vi snarere vil se oplysningerne blive brugt til at fange ensomme personer på overførsel, som har fundet sig en madkæreste.


Jeg tror nu "at ensomme personer på overførsel, som har fundet sig en madkæreste" kan sove trygt for sessionsloggen - for i øjeblikket er alle betydende chat apps enten allerede migreret til fuld kryptering og maskering eller har højaktuelle planer om det!

Problemet er at Justitsministeriet ikke har opdaget at det som ikke virkede sidste gang heller ikke vil virke denne gang - fordi teknologien ganske enkelt løber fra sessionsloggen og fordi internettet bare virker anderledes en telefon

Så for "en sikkerhedskyld" må vi hellere brænde en mia af borgernes penge af på noget som fagfolk siger ikke vil virke., for det kunne jo være at fagfolkene tog fejl!

Det din "ensomme person" skal være mere bange for er mobiltelefonernes masteroplysninger, Facebook og Facebooks Apps - for det er kun et spørgsmål om tid før Justitsministeriet fremlægger et forslag om at "Birte fra kommunen" pr. automatik skal have adgang til disse oplysninger for at kunne kontrollerer om et par er samboende eller ej.

Michael Cederberg

Ligesom sidste gang vi havde dette oppe, så vil jeg gå mod strømmen og sige ja tak til sessionslogning. Jeg kan godt se det kan bruges i nogle sager. Mht. til privacy, så mener jeg sagtens det kan indrettes sådan at det ikke nemt kan misbruges.

Omkring udnyttelse, så er der to steder hvor det kan bruges: Det ene er i sager med hvor den kriminelle er IT-nybegynder og ikke slører sine spor (fx sagen med pigerne). Det andet scenarie er et hvor det kriminelle forhold er tilstrækkeligt stort. Fx sagen om skats refusion af aktieudbytte eller terror sager. Dvs. sager hvor politiet er villige til at bruge fantastisk mange ressourcer og bruge af den goodwill som man har hos udenlandske samarbejdspartnere. Jeg kan ikke se at sessionslogning kan bruges i andre sager og det kan ikke bruges som definitivt bevis (bl.a. fordi man ikke har sikkerhed for hvem der sidder bag en given IP adresse).

Omkring privacy, så kan man indrette sig sådan at der skal mange mennesker ind over for at få adgang til sessionsdata. Jeg så gerne at det blev strafbart for teleselskaber og ansatte hos teleselskaber at udlevere sessionsdata uden en dommerkendelse. Samtidigt kunne man kræve at teleselskaberne og domstole offentligjorde statistik årligt om hvor meget de havde udleveret hhv. krævet udleveret. På den måde vil jeg være tryg ved sessionslogning. Fordi udnyttelsen ikke vil kunne løbe løbsk uden at vi som borgere opdager det.

Gert Madsen

Jeg så gerne at det blev strafbart for teleselskaber og ansatte hos teleselskaber at udlevere sessionsdata uden en dommerkendelse. Samtidigt kunne man kræve at teleselskaberne og domstole offentligjorde statistik årligt om hvor meget de havde udleveret hhv. krævet udleveret


Men man vil jo end ikke snakke om den slags tanker blandt danske politikere.
Og embedsmændene bliver ved at synge sangen om, at de selv er ufejlbarlige, på trods af en lang række sager, der viser det modsatte.

De betingelser du stiller op, for at man skal kunne bevare en smule privatliv, har ingen som helst gang på jord i dagens Christiansborg.
Så det er faktisk udemærkede argumenter for at vi ikke skal have nogen sessionslogning.

Christian Nobel

Jeg så gerne at det blev strafbart for teleselskaber og ansatte hos teleselskaber at udlevere sessionsdata uden en dommerkendelse.

Og hvordan er det lige, FE og PET har stort set fri adgang til teleselskaberne, så hvor mange medarbejdere tør nægte at adlyde en ordre når nogle af krigsministeriets bølletyper kommer anstigende.

Samtidigt kunne man kræve at teleselskaberne og domstole offentligjorde statistik årligt om hvor meget de havde udleveret hhv. krævet udleveret.

Og det kan politikerne sikkert få parkeret under mørklægningsloven, så disse oplysninger aldrig bliver offentligt tilgængelig.

I det hele taget, så længe vi har en mørklægningslov, så skal regimet overhovedet ikke overveje det mindste tiltag yderligere, som skal stille borgerne i en endnu dårligere retssituation.

Michael Cederberg

Men man vil jo end ikke snakke om den slags tanker blandt danske politikere.
Og embedsmændene bliver ved at synge sangen om, at de selv er ufejlbarlige, på trods af en lang række sager, der viser det modsatte.

De betingelser du stiller op, for at man skal kunne bevare en smule privatliv, har ingen som helst gang på jord i dagens Christiansborg.
Så det er faktisk udemærkede argumenter for at vi ikke skal have nogen sessionslogning.

Jeg har beskrevet hvordan jeg mener det kan fungere i praksis uden at det er til skade for nogen. Hvis man implementerer noget andet der er mindre sikkert er jeg imod.

Og hvordan er det lige, FE og PET har stort set fri adgang til teleselskaberne, så hvor mange medarbejdere tør nægte at adlyde en ordre når nogle af krigsministeriets bølletyper kommer anstigende.

Det billede kan jeg ikke genkende. Men jeg forventer at hvis der kommer nogen og beder medarbejdere i et firma om at bryde loven - specielt hvis der er en streng straf - at folk så vil sige nej. Ligegyldigt hvad det er for et firma. Jeg ved at jeg ville sige nej.

Jeg kan i øvrigt ikke finde krigsministeriet på listen af ministerier.

Og det kan politikerne sikkert få parkeret under mørklægningsloven, så disse oplysninger aldrig bliver offentligt tilgængelig.

I det hele taget, så længe vi har en mørklægningslov, så skal regimet overhovedet ikke overveje det mindste tiltag yderligere, som skal stille borgerne i en endnu dårligere retssituation.

Hvis loven siger at de skal offentliggøre det, så kan du og jeg spørge dem om hvor rapporten bliver af hvert eneste år. Hvis det samtidigt er strafbart ikke at gøre det, så er jeg sikker på det ikke bliver et problem.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder