Sessionslogning af danskernes internetbrug på vej tilbage i udvidet form

Mere overvågning, vil man se en opblomstring af VPN forbindelser og evt TOR?

Vil brug af VPN ikke forhindre at overstående kan bruges til noget?

.. linker jeg lige til en anden kommentar jeg har skrevet:

Hvordan kan JM i øvrigt prøve at få logningen genoptaget, når der foreligger en dom fra EU domstolen?

Jeg bliver virkeligt mere og mere bange for udviklingen. Den synes ustoppelig - alle fornuftige argumenter preller af.

http://www.information.dk/telegram/559878

Sagen blev også omtalt i går i Information. Der kom en kommentar om, at det var stort set udskadeligt, da det ikke kunne bruges til noget:

" Mogens Ritsholm 28. januar, 2016 - 12:49. Det er selvfølgelig helt hul i hovedet, hvis man genindfører sessionslogning. Men det er sådan set uskadeligt, da det ikke kan bruges til noget. Men reglerne, der stammer fra 2006, trænger selvfølgelig til en opdatering, hvor efterforskningsmæssig værdi afvejes med hensynet til privatlivet. Men man kan frygte, at hverken telebranchen eller JM magter dette og ender i endnu en gang nytteløs registrering, som allerede er ovehalet af udviklingen. Et af problemerne er, at logning kun retter sig mod teleudbydere, mens alt det interessante for efterforskning i stigende grad er hos tjenesteudbyderne (google, mail, IP-telefoni, facebook, twitter osv.). Dem kan man ikke forpligte til logning, da de ikke er teleudbydere." http://www.version2.dk/artikel/sessionslogning-af-danskernes-internetbru...

Jeg kan ikke vurdere rigtigheden af dette, men under alle omstændigehder så er selve tankegangen, der ligger bag, uhyggelig.

Artiklen er lidt misvisende. EU-direktivet indeholdt ikke sessionslogning og det gjorde det danske lovgrundlag heller ikke.

Det var et rent dansk misfoster, som beroede på inkompetence i PET og Justitsministeriet kombineret med rædsel for terror hos politikere.

Det er derfor, at man nu vil lovgive om det, inden det gennemføres igen.

Reelt er det justitsministeriet, der forsøger at tørre den tidligere skandale af på Folketinget.

Måske lykkes det.

Det vil med sikkerhed føre til nye absurditeter. Men så har Folketinget skylden.

Vil brug af VPN ikke forhindre at overstående kan bruges til noget?

Det kan i forvejen ikke bruges til noget. Der er spild af other peoples money. Jeg kan garantere at de vil droppe det som en varm kartoffel, hvis staten selv skulle betale for udgiften ved denne nytteløse logning.

Har Teleindustrien eller andre tænkt sig at lægge sag an for brud på EMK, hvis en sådan lovgivning gennemføres? Den er jo åbentbart i strid med EMK.

Hov Mogens Ritholm - sorry. Jeg havde ikke opdaget, at du selv kommenterede her, så skulle jeg jo ikke have citeret dit indlæg på Inf.dk :-)

Leve Tor!

VPN vil f.eks. effektivt underminere enhver sporing.

Desuden ved vi allerede, at selv de forholdsvist uintelligente islamistiske fanatikere forlængst har fundet ud af at kommunikere i kode, så alt hvad man kan bruge det her til er at udspionere helt almindelige borgere som ikke forventer at de bør have noget at skjule.

Hej Rene,

Som ejer/udvikler af CitizenVPN kan jeg oplyse at, Jo, brugen af VPN vil gøre disse sessionslogs ubrugelige. Endvidere så kan CitizenVPN ikke omfattes af loven (hvilket andre danske VPN udbydere ellers vil blive), idet vi leverer servicen fra Bahamas som tager privatliv mere seriøst. (bemærk dog vi har VPN servere i forskellige lande).

/reklame_slut :)

Findes der så noget VPN der duer, jeg synes markedet er uoverskueligt

Findes der så noget VPN der duer, jeg synes markedet er uoverskueligt

For de teknisk kyndige påstår jeg at intet står over AirVPN.

Afsendende IP-adresse. - 87.x.x.x Modtagende IP-adresse - 131.x.x.x Transportprotokol. - UDP Afsendende portnummer - random Modtagende portnummer - 1194 Volumental (antal bytes overført) - 0-6TB (ved godt det vil blive splittet i mindre flows) Tidspunkt for påbegyndelse og afslutning af datasession - når loven træder i kraft -til når de indser det er pointless

Synd for den store del af befolkningen der ikke kan beskytte dem selv, men er ved at have fået nok af de stemmer de her idioter ind i folketinget, så de ligger lidt som de har redt.

Måske Version2 skulle bringe en artikel om hvilke VPN tjenester der findes på markedet i dag og deres respektive fordele og ulemper. Det lyder som om det ville være relevant.

Hej Morten,

Ja, CitizenVPN er Dansk og der er også en Android app. Der bruges OpenVPN (open source) som er det mest sikre.

(Jeg er ejer/udvikler af firmaet.Vi har efterhånden 5 år på bagen..)

Det er modbydeligt at danske politikere forsøger at gennemføre en komplet overvågning af almindelige borgeres færd på nettet.

Der har været en diskussion om scanning af bilers nummerplader, som i forvejen er en yderst betænkelig praksis alt efter hvordan den eksekveres. Men dette tiltag er størrelsesordner mere kompromitterende for almindelige menneskers privatliv og et gigantisk tillidsbrud af de folkevalgte politikere.

Måske dette frygtbaserede, forhastede, uovervejede forsøg på at opnå sikkerhed på bekostning af velfærd, værdighed og privatliv vil stå i et andet lys, den dag loggen lækkes og lister over de websites, der er besøgt fra kendte personers IP adresser i deres private hjem pludselig bliver offentliggjort.

Om der skal en dommerkendelse eller mindre til at aktivere logning af udvalgte IP adresser, myndigheder kan have en årsag til at granske, det kan diskuteres. Men den komplette sessionslog er en ydmygelse af befolkningen.

Læg mærke til, at man samtidigt vil sænke kravet om opbevaring af loggede oplysninger fra 12 til 6 mdr.

Det skal få politikere til at tro, at dette element er en indskrænkning af overvågningen.

Man udvider altså overvågningen ca. 1000 gange målt på antal poster, mens man sænker opbevaringstiden til det halve.

Der skal nok være nogen, der hopper på den.

For teleselskaberne er det formentlig ligegyldigt, om data skal henligge 6 eller 12 mdr.

Men den udvidede overvågning, der skønsmæssigt vil generere mere end 1000 logposter pr. dansker pr. dag (jeg tror faktisk, at det er meget mere) er selvfølgelig ikke nemt at gennemføre uden radikale økonomiske og operative konsekvenser.

Og så er det jo helt uden værdi for politiets efterforskning, som enhver med kendskab til internettets virkemåde vil kunne se.

Tobias Skytte:

Spørgsmål fra en, der ikke engang ved, hvad VPN er (men som er ved at blive nysgerrig): Hvis dit firma befinder sig på Bahamas, hvilke persondataregler er det så underlagt mht. ret til indsigt/sletning/logning, hvis man benytter VPN der?

I det hele taget hvilke rettigheder har man i så fald som forbruger?

Læg mærke til, at man samtidigt vil sænke kravet om opbevaring af loggede oplysninger fra 12 til 6 mdr.

Al erfaring viser at sådanne tidsfrister ALDRIG overholdes. Der ligger altid kopier et eller andet sted (hvis ikke de er blevet stjålet af crackere og lagt ud på internettet). Husk bare på momsloven og de 5 år etc.

Stol ALDRIG på løfter om at ens data bliver slettet igen når de først er logget!

Men den komplette sessionslog er en ydmygelse af befolkningen.

Enig -det er et direkte overgreb. Og når man kan finde på det, hvad kan man mon så mere finde på?

Hvis man sammenligner med holdninger og tanker om sådanne tiltag for bare 10-15 år siden, så er skredet så stort, at man vel efterhånden må sige, at vi allerede befinder os i en slags undtagelsestilstand - som bare ikke er officielt erklæret.

Desværre ser Socialdemokraterne ud til (ikke overraskende) at være med på tanken: http://jyllands-posten.dk/politik/ECE8404639/socialdemokraterne-er-ikke-...

Så ærgrer man sig over, at det ikke blev indført før Dong-salget, så vi måske kunne få indsigt i, hvem Corydon havde besøgt og kommunikeret med op til salget (nå, det havde vi nok alligevel ikke fået indsigt i).

Liberal Alliance stritter imod, men er nok til at forhandle med for en lille skattelettelse - mon ikke?

Findes der så noget VPN der duer, jeg synes markedet er uoverskueligt

Jeg bruger https://www.privateinternetaccess.com/ til $40/år (startede med det, fordi jeg rejste meget i Kina en overgang), og jeg har ikke mærket lavere hastighed (har 50/10 Mbit/s), og de er altid oppe. De har servere i mange lande. De understøtter OpenVPN og har også deres egen klient. Det er inkl. SOCKS5 proxy, hvis man har brug for det.

http://www.information.dk/telegram/559892

*" - Jeg har taget konsekvensen af, at det er tvivlsomt, om reglerne om sessionslogning kan anses for egnede til at opnå deres formål, lød begrundelsen fra daværende justitsminister Karen Hækkerup (S), da hun afskaffede registreringen.

Til det siger Svend Larsen: - Det er rigtigt, at på den måde, som sessionslogningen teknisk var indrettet på det tidspunkt, var det af begrænset værdi. Hvis man laver det på den rigtige måde, vil det faktisk have stor betydning."*

Sagkyndig (og uvildig) vurdering af dette ønskes....

Hej Anne-Marie,

Det er et rigtig godt spørgsmål. Vi har faktisk to selskaber. Selve VPN servicen leveres fra Bahamas. Men du køber servicen gennem vores Danske selskab. Derved har du forbruger rettigheder som ved køb fra andre firmaer i Danmark og evt. personoplysninger befinder sig i det Danske firma. Bemærk endvidere at vi ikke behøver andet end en email adresse for at kunne levere servicen og vi kan også modtage f.eks Bitcoin hvis du vil være ekstra anonym. Se evt mere på websiden: https://citizenvpn.com og der er også en artikel her på version2 hvis du søger.

De uddyber snarere hullet i deres viden.

For Skype og vist også messenger er ikke end-to-end kommunikation. For Skype viser sessionslogning bare den supercelle, som kunden har været i kontakt med, og ikke den egentlige samtalepartners IP-adresse.

Hvis politiet ønsker spor af Skype og messenger kommunikation, skal de selvfølgelig stille kravet til forvalterne af disse tjenester. Men det kan de ikke, da de ikke er teleudbydere, men IT-tjeneste udbydere efter lovgivningen (bortset fra skype-out).

hej Tobias.

Tak for svaret. Men hvis man har forbrugerrettigheder som ved andre køb i Danmark, har politet så ikke også samme rettigheder til data?

Om der skal en dommerkendelse eller mindre til at aktivere logning af udvalgte IP adresser, myndigheder kan have en årsag til at granske, det kan diskuteres. Men den komplette sessionslog er en ydmygelse af befolkningen.

Da CFCuS jo har stort set frit lejde hos teleselskaberne, så kan vi være ret sikre på at der kommer til at ske rigtig megen snagen uden det overhovedet kommer omkring det civile retssystem.

Samt aktsindsigt og tilsyn er en by i Rusland.

Desværre ser Socialdemokraterne ud til (ikke overraskende) at være med på tanken: http://jyllands-posten.dk/politik/ECE8404639/socialdemokraterne-er-ikke-...

Nu er kom-og-tag-mig Trine jo eksorbitant overvågningsliderlig (kunne hun ikke få nørderne, så måtte hun jo søge noget andet), så det kommer ikke som den store overraskelse.

Mogens Ritsholm:

De uddyber snarere hullet i deres viden.

Eller også forsøger de at udnytte, at de fleste "almindelige mennesker" (inkl. mig) ikke har en jordisk chance for at gennemskue argumenternes gyldighed. Desværre. Det gør det rigtigt svært at tage kampen op og vække Holger Danske (mod tiltagende overvågning - ikke for at eskalere krigsindsatser i øvrigt).

De uddyber snarere hullet i deres viden.

For Skype og vist også messenger er ikke end-to-end kommunikation. For Skype viser sessionslogning bare den supercelle, som kunden har været i kontakt med, og ikke den egentlige samtalepartners IP-adresse.

Og allligevel så udstiller de deres afgrundsdybe inkompetence: http://jyllands-posten.dk/indland/politiretsvaesen/ECE8404811/politiet-v...

For hov hvad var lige det der skete der?

Og læg så mærke til at Svend Larsen bliver ved med at dvæle ved det såkaldte "terrorangreb" sidste år, trods det at Omar el-Hussein som bekendt var særdeles godt kendt før angrebet, og at man efterfølgende har arresteret andre involverede som så lystigt har talt i mobiltelefon fra fængslet.

Så for at dække over egen uduelighed vil man prøve at få gennemført en drakonisk masseovervågning, som dels vil koste ISP'erne en formue, dels chikanere menigmand, men på ingen måde vil gøre en tøddel fra eller til i forhold til terror eller bandekriminalitet.

Og læg mærke til at Svend Larsen så også lige skal smide børnepornokortet.

Hvordan det nye system rent teknisk skal indrettes er dog »for kompliceret at forklare« på stående fod, siger han.

Ja for han ved det jo ikke!

Mon vi skal tro på dette i ovennævnte uddybning fra politiet?: "Det er ikke noget med, at vi skal sidde og overvåge, hvad alle mennesker laver hele tiden. Det er at give os en mulighed for mod dommerkendelse at få nogle oplysninger tilbage i tiden."

Er dommerkendelse et krav i forslaget - eller bare en (fjern) mulighed?

Hej Anne-Marie,

Vores Danske selskab er 'blot' en salgsagent for firmaet i Bahamas. Politiet kan evt. ved en dommerkendelse få indsigt i om du er kunde hos os eller ej. De kan ikke få indsigt i hvornår/om du har brugt en given VPN server (da den er ejet/lejet af Bahamas selskabet). Endvidere så logger vi ikke din IP adresse ved brug af VPN serveren så selvom de skulle få tiltvunget sig adgang er der ingen info at hente.

Tak for svar, Tobias (så er der lige det med skatteforholdene (når man nu som jeg er venstredrejet), går jeg ud fra ... men det skal vi ikke tale om her :-))

Måske Version2 skulle bringe en artikel om hvilke VPN tjenester der findes på markedet i dag og deres respektive fordele og ulemper. Det lyder som om det ville være relevant.

TorrentFreak har lavet en fin liste de sidste par år. Men jeg vil bare leje en VPS ved Digital Ocean eller OVH og så sætte OpenVPN op, det kan gøres billigere end hvad stort set alle VPN udbydere på markedet kan tilbyde. Dansk politi får næppe OVH eller DO til at logge noget for dem.

Interessant og se om dette forslag bliver trumfet igennem, så vi igen kan poste penge i en unødvendig udgift for staten og virksomheder. Det er vidst ikke nogen overraskelse, hvorfor der i højere og højere grad ses skævt på Danmark udefra, både fra enkelt personer og virksomheder.

Der står at sessionslogningen er suspenderet i artiklen, men betyder det at der i øjeblikket intet bliver logget? Jeg er i tvivl, da jeg kan se en kommentar herinde, hvor en skriver der bliver logget i 12 måneder. Hvad bliver i øjeblikket logget, og kan det bruges til noget?

Tobias,

Først, tak fordi du tør gøre det. Dernæst, ud fra dine skriverier, så får jeg den opfattelse at du ikke rigtig har generet nogen med dine aktiviteter, og derfor ikke har stiftet nærmere bekendskab med magtapparatet. Spørgsmålet der melder sig er: Har du virkelig taget forbehold for alle realistiske situationer?

Vores Danske selskab er 'blot' en salgsagent for firmaet i Bahamas. Politiet kan evt. ved en dommerkendelse få indsigt i om du er kunde hos os eller ej. De kan ikke få indsigt i hvornår/om du har brugt en given VPN server (da den er ejet/lejet af Bahamas selskabet).

Du har teoretisk ret. Men i praksis ser det anderledes ud:

1. Vi bruger ikke dommerkendelser mere i Danmark. Jeg skal bare påstå at jeg har hørt fra naboen, at dit VPN bliver brugt til børneporno, narkotika, skatteundragelse og terrorisme.

2. Du bor i Danmark sammen med din familie, derfor kan du nemt overbevises om at det er sundest for dig, at du samarbejder frivilligt.

Endvidere så logger vi ikke din IP adresse ved brug af VPN serveren så selvom de skulle få tiltvunget sig adgang er der ingen info at hente.

3. Jfr. mit punkt 2. Hvis du virkelig ikke logger IP'er. så kan du i din samarbejdsiver ændre mening. Eller du kan blive blive nød til at opfinde nogle IP adresser som du kan give dem. Du kan evt. bruge log filen fra din web-server, den er lige ved hånden.

Det er ikke fordi jeg vil tage modet fra dig eller gøre dig paranoid, men der skal altså mere end en off-shore juridisk enhed til at beskytte dig og dine kunder.

Beklager.

Hej Anne-Marie,

Jeg er nok en af de danske efterforskere der har benyttet sessionslogning mest og har derfor lidt erfaring. Jeg benyttede det kun de senere år af min efterforskning, idet jeg ganske enkelt ikke var bekendt med muligheden før.

Logningsbekendtgørelsen er den samme som hele tiden, men det som blev gjort for et par år siden var at fjerne § 5, stk. 2 til stk. 6, den del der populært blev kaldt sessionslogningen.

Når politiet skal lave indgreb i noget … også logningsbekendtgørelsen og i den tid den eksisterede også den del der hed sessionslogningen. Så skulle politiet forelægge det for en dommer!! Det er ikke en del af straffe loven men af retsplejeloven. Det var ikke tidligere ikke bare en fjern mulighed, men en virkelighed, der var intet ’selvfølgeligt’ over at få lov til at få udleveret en sessionslog for at efterforske en forbrydelse. Jeg kan ikke forestille mig, at det ikke mindst bliver samme regler for en eventuel ny logningsbekendtgørelse med indbygget sessionslogning.

Som hovedregel skal der være 6 år i strafferammen for at få udleveret en sessionslog. Der er i retsplejeloven nogle undtagelser.

Nu er der mange der påpeger at sessionslogningen blev indført for at bekæmpe terror. Det er muligt at den blev det i sin tid, men implementeringen var en generel implementering, som der gjorde at der blev indført sessionslogning, som kunne udleveres jf. bestemte krav i retsplejeloven. Den dækkede ikke eksklusivt terror, men hele straffeloven. Min erfaring er udelukkende i henhold til almindelig straffelovs efterforskning.

Hvis jeg i en efterforskning skønnede (det er datid, da det p.t. ikke længere er muligt) det var relevant og nødvendigt at få udleveret en sessionslog, så skulle jeg skrive en anmodning til retten. Denne anmodning indeholdt en kort beskrivelse af, hvad det var jeg ønskede udleveret, hvorfor jeg ønskede det udleveret og hvilken paragraf i straffeloven, som jeg forventede en gerningsmand kunne sigtes efter. Når jeg havde udfærdiget denne anmodning blev den sendt til det lokale advokatur, her gennemså en anklager anmodningen, vurderede om han var enig i mine ønsker og konklusioner. Såfremt han ikke var det ville han afvise at gå i retten med anmodningen. Politiet kan ikke selv gå i retten, det skal anklagemyndigheden. Såfremt anklageren var enig, blev anmodningen fremsat i byretten foran en dommer, der blev udpeget en forsvarer for ’personen bag det her’, som var forsvarer i sagen. Anklageren fremlagde og begrundede ønsket om at få udleveret sessionsloggen, forsvareren havde mulighed for at gøre indsigelser, der kunne være lidt debat frem og tilbage og til sidst tog dommeren så sin beslutning. Denne beslutning kunne ankes af forsvareren, hvis han mente det det var forkert, hvorefter den ville blive behandlet i landsretten.

Det er min personlige opfattelse at både anklager, forsvarer og dommer tog disse ting meget alvorligt, flere gange blev jeg spurgt til, hvorfor jeg havde ønsket netop den tidsperiode, som jeg havde angivet, var det nødvendigt?

Det har været påpeget, at sessionsloggen ikke har været brugbar for politiet. Det er ikke helt korrekt, jeg har efterforsket flere sager, hvor det er min vurdering, at uden sessionsloggen havde jeg ikke fundet gerningsmændene.

Det er ikke sådant, at jeg som efterforsker ’sidder og keder mig’, så jeg syntes lige jeg vil gennemgå fru Nielsens sessionslog for at se om jeg kan finde noget ulovligt. Jeg ville (heldigvis) aldrig få den en dommer til at give kendelse på at få den udleveret, jeg ville heller ikke kun ’overtale’ teleselskabet.

Her i debatten syntes jeg at det er forkert at kalde sessionslogning ’overvågning’. Politiet scanning af biler er overvågning, idet nummerplader bliver scannet, derefter sendt igennem et automatiseret system for at se om de giver ’hits’. Hvis sessionslogning skulle beskrives som overvågning, så opfatter jeg det sådant, at data skulle sendes igennem et filter og alle dem fra besøger fx IP adresse x.x.x.x bliver send til PET (eller andre) for nærmere gennemsyn. Det skete ikke og er ikke en del af politiets ønsker til en ny implementering af sessionsloggen.

Sessionslogning logger oplysninger og såfremt der ikke er nogen grund jf. retsplejeloven til at tilgå dem, så slettes de efter x antal måneder som loven angiver.

Jeg har aldrig fået udleveret sessionslogs uden en specifik grund, ved uretmæssig adgang til bankkonto, blev det konstateret, at en bestemt IP adresse var inde, denne IP adresse var tildelt et uregistreret taletidskort, retten skønnede at sessionsloggen for dette uregistrerede taletidskort var vigtig for efterforskningen (mit skøn er at uden den havde jeg ikke fanget gerningsmændene). Piger bliver via chat lokket til at flashe nøgne, efterfølgende bliver de truet med, at det bliver lagt på facebook. Chat udbyderen i USA svarede aldrig på henvendelser. Men en udlevering af sessionsloggen på samtykke fra forurettedes forældre viste hvem der var logget op mod forurettede på gerningstidspunktet, gerningsmanden udfundet, søgte hjælp og er blevet dømt.

Det er en vurdering hvor meget sessionslogningen blev brugt under den gamle model. Men det kunne bruges og blev brugt til efterforskning. Så kan man vurdere om ’det er prisen værd’ med sessionslogning for at opklare de forbrydelser … Der ser jeg, at der her er mange meninger om det og heldigvis for, at vi alle må udtrykke vores mening også i den retning.

P.S. jeg har erfaring indenfor politiet. Jeg kan ikke udtale mig på politiets vegne, det skrevne indlæg er fra mig personligt, krydret med mine erfaringer.

Men en udlevering af sessionsloggen på samtykke fra forurettedes forældre viste hvem der var logget op mod forurettede på gerningstidspunktet, gerningsmanden udfundet, søgte hjælp og er blevet dømt.

Så du kunne via en sessionslog i Danmark for forurettede udpege chatmodparten via en chattjeneste i USA uden den amerikanske chatudbyders medvirken.

Det tror jeg lige du må forklare for det mere teknisk kyndige publikum her på version2.

Ja, jeg var så heldig, at chatudbyderen ikke ville forestå formidlingen af Video, men formidlede en p2p forbindelse mellem de to parter, når de overgik fra chat til video.

Nogen som har et link til selve lovforslaget, så man kan få det læst igennem?

Hvis nu den nævnte liste over objekter i artiklen bliver det som man logger, hvad kan det så i praksis bruges til?

Jeg kan ikke umiddelbart se hvilket objekt som skulle sige noget om indholdet. Og hvis indholdet ikke logges, så er det vel helt ubrugeligt?

Ja, jeg var så heldig, at chatudbyderen ikke ville forestå formidlingen af Video, men formidlede en p2p forbindelse mellem de to parter, når de overgik fra chat til video.

Du var mere end heldig, da forulemperen åbenbart brugte en IP-adgang, der kunne identificeres. Det er jo lidt dumt.

Du har tidligere her på version2 optrådt under falsk navn med fantastiske historier om dine opklaringer med sessionslogning.

Men ingen af dine eksempler er blevet anvendt i JMs redegørelse for brugen af sessionslogning.

Som du selv sagde tidligere, ville du i mit sted også være overordentlig skeptisk.

Kan du i øvrigt optræde under falsk navn og samtidigt påstå, at du repræsenterer politiet.

Hvis dine historier er rigtige, ser jeg ikke noget problem i at træde frem. Det gør Søren Pind formentlig heller ikke.

@Tobias,

Jeg kender en der har brugt CitizenVPN og han fortalte mig at der blev brugt 1024-bit asymmetriske RSA-nøgler. Er det korrekt at du stadig bruger dem?

I så fald er krypteringen 100% usikker for brugerne. En skummel organisation med rette midler kan fx dumpe netværkstrafikken til og fra brugeren for efterfølgende at dekryptere hele brugerens datastrøm. Game over!

Vil man bare sikre sine brugere en håndfuld år, eller to, ud i fremtiden, så er 4096-bit nøgler et absolut must.

Hej Mogens,

Med hensyn til min identitet, så er intet ændret http://www.version2.dk/comment/297370#comment-297370

Jeg er ked af, hvis jeg ikke har udtrykt mig klart nok JEG REPRÆSENTERE IKKE POLITIET, jeg er en privatperson, der som privatperson deltager i en offentlig debat, men har tilfældigvis efterforskningsmæssig erfaring ... Men intet jeg har skrevet nu eller tidligere repræsentere politiet, det er udelukkende min egen personlige ord og meninger.

Hvis det er fordi der i overskriften står "Politiet Uddyber...", så er det indlæget fra Anne Marie med samme titel som jeg besvarer og det er IKKE ET UDTRYK for at jeg er politiet og uddyber :-)

Når du nævner JM's redegørelse så er det korrekt de ikke er med der. Politiet har ikke en selvstændig registrering af fortagne efterforsknings skridt og dermed heller ikke sessionslogning, hvorfor det var svært at finde eksempler for Rigspolitiet, som leverede materiale til redegørelsen. Rigspolitiet foretager jo ikke efterforskning, det foretages i de enkelte politikredse, hvorfor Rigspolitiet kun kender sagerne i det omfang de har været anmodet om assistance eller 'tilfældigvis' har hørt om sagerne.

Om man vil tro på mig er jo en individuel vurdering.

Men for dem der ønsker at se tingene fra den side der brugte sessionslogningen, kan overveje om det lyder 'rigtigt' og overveje om de fantastiske historier kunne dække over reelt politiarbejde.

@ Tobias,

Jeg ser du faktisk selv skriver det på din hjemmeside under punktet "Hvordan kan jeg stole på det er krypteret og kan i aflytte mine data?" at du bruger 1024-bit RSA-nøgler til OpenVPN:

Control Channel: TLSv1, cipher TLSv1/SSLv3 DHE-RSA-AES256-SHA, 1024 bit RSA

Jeg vil advare mod at man forlader sig på en kryptering der benytter så svage nøgler.

Leder man efter en VPN-udbyder bør man kræve 4096-bit Diffie-Hellman nøgler for at være sikker på at ens datastrøm til og fra VPN-serveren ikke kan dekrypteres inden for den nære fremtid.

Mr. Anderson....

Når jeg læser dit indlæg, så får jeg dette billede af politiet på nethinden.

her er mange meninger om det og heldigvis for, at vi alle må udtrykke vores mening også i den retning.

Ih, hvor dejligt, hvem kan jeg mon takke for det? Hmmm... hvem kan du mon referere til? Jeg kan ikke gætte det.... hjælp mig..?

Grunden til at man kan udtrykke en afvigende mening er ikke "ytringsfrihed", men simpelthen fordi: vi udgør ikke en trussel mod staten, da ingen lytter til vores mening. Vi er fuldstændig ligegyldige i den sammenhæng.

Her i debatten syntes jeg at det er forkert at kalde sessionslogning ’overvågning’. Politiet scanning af biler er overvågning, idet nummerplader bliver scannet, derefter sendt igennem et automatiseret system for at se om de giver ’hits’. Hvis sessionslogning skulle beskrives som overvågning, så opfatter jeg det sådant, at data skulle sendes igennem et filter og alle dem fra besøger fx IP adresse x.x.x.x bliver send til PET (eller andre) for nærmere gennemsyn. Det skete ikke og er ikke en del af politiets ønsker til en ny implementering af sessionsloggen.

At kalde det noget somhelst andet end overvågning er forrygt, der er tale om man sætter hele befolkning under generalmistanke.

Desvære er det jo sådan at med centre for cyber securty . at de har hånd og hals ret over internet udbyderne, så om den data som udbyderne blievr forpligtet til at gemme kun kan udleves til poliet ud fra de begrænsning som loven sætter op, eller den data bliver "delt" ufriviligt med efterretnings tjerne er jo et åbent spørgsmål.

I øvrigt Mogens ....

Ja, det var heldigt, at han brugte en IP adresse der kunne identificeres, jeg ved ikke hvad chancen er for det, men vi prøvede.

Men heldet var mest for de to piger, hvis forældre kunne fortælle dem, at politiet nu vidste hvem manden var og at han formentlig ikke ville kontakte dem igen, at politiet ikke kunne finde spor af optaget video, så der var minimal risiko for, at de om nogle år så sig selv 'optræde' på nettet, i det hele taget fortalte forældrene mig, at de var så glade for afklaringen, både på egne og pigernes vegne.

Mig, jo jeg nyder Jagten, jeg taber mere end jeg vinder, men skulle jeg ikke have fundet noget i ovenstående 'fantastiske sag', så havde jeg nok overlevet.

Mr. Anderson,

Hvis sessionslogning skulle beskrives som overvågning, så opfatter jeg det sådant, at data skulle sendes igennem et filter og alle dem fra besøger fx IP adresse x.x.x.x bliver send til PET (eller andre) for nærmere gennemsyn. Det skete ikke og er ikke en del af politiets ønsker til en ny implementering af sessionsloggen.

Kan du venligst uddybe? Jeg må gå ud fra at du har lavet din efterforskning i lokal politikreds, da JM nu ikke har hørt om dine bedrifter Så mit spørgsmål er, hvordan kan du så med så stor selvsikkerhed påstå at "Det skete ikke og er ikke en del af politiets ønsker"? Eller mener du bare at du ikke "så noget videre" i den politikreds du opererede fra?

Hej Gordon,

Du har selvfølgelig ret, så jeg må hellere præcisere, jeg har aldrig set det ske eller hørt om at det sker ... Jeg har jo kun min egen lokale erfaring og kan ikke og skal ikke udtale mig om andet end det jeg VED.

P.S. jeg har erfaring indenfor politiet. Jeg kan ikke udtale mig på politiets vegne, det skrevne indlæg er fra mig personligt, krydret med mine erfaringer.

Men hvor er det dog umådeligt sølle at en repræsentant for voldsmagten, uagtet han udtaler sig som privatperson eller ej, som ingen skrupler har i at snage i befolkningens (under)liv, er så luset at han kun tør gemme sig bag et pseudonym.

Akkeja, akkeja.

Når du nævner JM's redegørelse så er det korrekt de ikke er med der. Politiet har ikke en selvstændig registrering af fortagne efterforsknings skridt og dermed heller ikke sessionslogning, hvorfor det var svært at finde eksempler for Rigspolitiet, som leverede materiale til redegørelsen. Rigspolitiet foretager jo ikke efterforskning, det foretages i de enkelte politikredse, hvorfor Rigspolitiet kun kender sagerne i det omfang de har været anmodet om assistance eller 'tilfældigvis' har hørt om sagerne.

Det kan ikke være sværere end at tjekke med domstolene. Du skriver at der i hvert tilfælde forelå en retskendelse.

Hi Baldur.

Jeg ved faktisk ikke hvordan domstolene registrere det.

I de tilfælde hvor der skulle kendelse til er der udstedt en kendelse. I 9 sager som jeg på stående fod husker er sessionsloggen for forurettede udleveret med forurettedes eget samtykke. Underskrevet samtykke erklæring udleveret til teleselskab og vedlagt sagen. I do tilfælde ved domstolene ikke noget om det.

Hvad gør de ISP som har deres kunder bag en NAT.

Nok den eneste fordel ved NAT jeg kan se.

Mr. Anderson.

Jeg har jo kun min egen lokale erfaring og kan ikke og skal ikke udtale mig om andet end det jeg VED

Det lyder jo umidellbart meget tillidsvækkende, men hvor meget VED du så egentlig? Hvad var din sikkerhedsgodkendelse klassificeret til? Hvilken lokal politikreds opererede du i?

Jeg er nok en af de danske efterforskere der har benyttet sessionslogning mest

Findes der et dokument med sådanne en opgørelse, siden du kan sige det?

Med hensyn til min identitet, så er intet ændret

Jeg kan godt li' dit svar, for det er et fantastisk ikke-svar, du hverken bekræfter eller afkræfter tvivlen omkring din identitet, men blot at den er den samme.

Hej Gordon

                        Findes der et dokument med sådanne en opgørelse, siden du kan sige   
                        det?

Ikke mig bekendt.

Men netop på baggrund af den JM redegørelse som Mogens nævnte, blev der i forbindelse med beslutningstagningen i 2014 omkring sessionslogning lavet endnu en runde. I den runde var jeg og andre der selv havde angivet at have benyttet sessionslogning indkaldt til møde hos Rigspolitiet, hvor vi gav en redegørelse for vores brug af den.

I den forbindelse indså jeg, at jeg nok blandt dem havde brugt sessionslogning mest. Det er nu ikke nogen garanti for at jeg ikke bare praler eller at der er andre i landet, som ikke deltog, der har brug det mere. Men jeg er ret sikker på, at jeg hører til i den ende der har brugt den mest. Men det er en personlig vurdering.

Mr. Anderson

Men det er en personlig vurdering

Så der er altså ren spekulation fra din side.

Din historie hænger ikke sammen, hvis du bare var en lokal kriminalassistent der lå på lur efter blottere, så er du ikke den autoritet på sessionslogning som du hævder at være.

Jeg læste lige din gamle kommentar, jeg blev næsten rørt til tårer, og alligevel ikke.

Men rent arbejdsmæssigt så er mit klientel ganske dygtige ud i It og Internet verden og flere af mine kollegarer der har sigtet folk har fået en 'venlig' bemærkning med på vejen om at han da ligner sig selv på billedet på Facebook og de da også kender en der går på samme skole som hans piger .....

Her taler du om dine arbejdsmæssige forhold i nutid, men i denne indeværende tråd er du pensioneret, har jeg noteret.

Og hvad er du egenlig bange for? Du har altså ikke personligt fået nogle venlige bemærkninger. Er du virkelig bange for at en blotter skriver en mail til dig med store bogstaver, understregninger og udråbstegn? Kom nu bare ud af busken.

Hvis jeg havde en krone for hver dødstrussel jeg har modtaget, så ville jeg måske nok ikke være millionær, men i hvert fald ganske velhavende.

Jeg betaler pt. 6 kr. per måned i logningsgebyr til min internetudbyder. Hvis der ingen regulering er, betyder det bare at logningen får internetabonnementet til at stige med hvor meget ? Kan det ikke siges at være konkurrenceforvridende, da der vist ikke er ens regler for alle ?

Helt ærlig :D Kan I ikke se at det er en der nyder at holde jer for nar ved at lade som om han er efterforsker hos politiet? Alt hvad han skriver er forhold som der allerede har været skrevet i aviserne i forskellige atikler krydret med lidt fantasi. Der er nogen der får et kick af den slags rollespil.

Hvad gør de ISP som har deres kunder bag en NAT.

Nok den eneste fordel ved NAT jeg kan se

NAT er ingen fordel.

De logger i så fald bare din assignede RFC 1918 eller RFC 6598 IP-adresse sammen med resten. Så kan du forbindes til den offentligte CGN IP-adresse.

Internetlogning, lokationer og dig

--snip-- Søren Pind @sorenpind ​ På sociale medier mm diskuteres et forslag jeg ikke har fremsat eller drøftet m V-gruppe endnu. Jeg tar min sølvpapirshat på. Go'nat #dkpol

Original Tweet: https://twitter.com/sorenpind/status/693205177457885184 --snap--

Så har de hvis bare "glemt" at fjerne det, der er hvis ingen logning nu ?

"De logger i så fald bare din assignede RFC 1918 eller RFC 6598 IP-adresse sammen med resten. Så kan du forbindes til den offentligte CGN IP-adresse."

Den forstod jeg ikke, har ikke haft hænder i det tekniske i nogle år. Men åbenbart noget mere data, som også er med ud af huset, når man sidder bag en NAT ?

Troede det var den lokale FW som stod for at holde styr på hvem som er hvem. Men hvis det er 10-20 PC som besøger et sted, så skal modtagerne vel også gemme noget ?

Prøver med en sag. Hvis 20 mennesker bag en NAT henter filer ned fra sammested, hvordan kan man så se hvem som hentet en ulovlige fil, hvis de 19 er lovlige og har samme størrelse.Især hvis afsender af filen ikke har en LOG ?

Helt ærlig :D Kan I ikke se at det er en der nyder at holde jer for nar ved at lade som om han er efterforsker hos politiet? Alt hvad han skriver er forhold som der allerede har været skrevet i aviserne i forskellige atikler krydret med lidt fantasi. Der er nogen der får et kick af den slags rollespil.

Det er også min opfattelse. Der er store afslørende huller i hans viden.

F.eks.

Han er tilsyneladende ikke klar over, at kontakten til teleselskaberne går gennem politiets telecenter, der har IT-systemerne til overførslen fra teleselskaberne, behandling af data og efterforskernes sagsbehandlingssystem samt afregningen med teleselskaberne.

Derfor havde politiet selvfølgelig et fuldt overblik over brugen af sessionslogning, og det kan ikke forekomme, at en lokal efterforsker kender til anvendelser, der ikke kendes centralt i politiet.

Politiet kan da ikke bruge IP adresser til noget, det har de vel bevist når de ikke kan hente en Iphone, hvor man kan se IP adressen, så skriver de jo at den er for usikker at bruge. En lille krølle V2 lader ikke en logge på igennem TOR netværk

Det er også min opfattelse. Der er store afslørende huller i hans viden.

Uanset om han er ægte eller ej, så har han en valid pointe: der er helt sikkert positive eksempler; oplysningerne vil under heldige omstændigheder kunne bruges til at finde småkriminelle teenagere og andre amatører. Men som andre har påpeget, så er der dog en del stjerner, som skal stå rigtigt, for at det virker.

Så modsvaret er, at ja, nok der kan findes positive eksempler, men det skal holdes op imod:

• at det ikke er særligt effektivt (og særdeleshed ikke overfor tung kriminalitet)
• at det er et betydeligt indgreb som rammer alle
• at der er betydelige uhelds- og misbrugsscenarier
• at "business-casen" kun virker ved at vælte omkostninger over på nogle andre

Så samlet set er det en dum ide.

Prøver med en sag. Hvis 20 mennesker bag en NAT henter filer ned fra sammested, hvordan kan man så se hvem som hentet en ulovlige fil, hvis de 19 er lovlige og har samme størrelse.Især hvis afsender af filen ikke har en LOG ?

Ofte har tjenesteudbydere en log, men det er sjældent, at de logger portnummer. Derfor kan IP sporet ved sessionslogning alligevel ikke følges tilbage, selv om der logges sammenhængende identiteter i NAT-funktionen. Sådan har jeg forstået det.

Nok den eneste fordel ved NAT jeg kan se.

Der er faktisk flere fordele, selvom jeg som teknisk kyndig synes NAT er noget skidt. Fordelen ved CG NAT er at Hr. og Fru Jensen er bag et yderligere lag beskyttelse. Det fanger en hel del, som de ellers ville være udsat for. F.eks. huller i hjemmeroutere der ikke holdes firmware opdateret. F.eks. stopper vi også mange udgående SPAM e-mails fra inficerede systemer internt i nettet. Mails som ellers ville udgøre en fare for den ukyndige modtager. Vi har også haft lukket for inficerede computere og oplyst kunden om at deres systemer var inficeret.

CG NAT er for den teknisk kyndige noget skrammel. Men for Hr. og Fru Jensen er det en ekstra sikkerhed, de ikke er klar over at de har. De kan i øvrigt heller ikke mærke forskel. Dem der har behovet for offentlig IP-adresse henvender sig og får én mod betaling. Så det er et problem man gør størrere end det er....

Det var lige et sidespring. Tilbage til sessionslogningsdebatten...

Ofte har tjenesteudbydere en log, men det er sjældent, at de logger portnummer. Derfor kan IP sporet ved sessionslogning alligevel ikke følges tilbage, selv om der logges sammenhængende identiteter i NAT-funktionen. Sådan har jeg forstået det.

Der skal ihvertfald noget detektiv arbejde i gang for at kæde informationerne korrekt sammen, og det er jo så dermed en mulighed for mange fejl....

Men jeg vil bare leje en VPS ved Digital Ocean eller OVH og så sætte OpenVPN op, det kan gøres billigere end hvad stort set alle VPN udbydere på markedet kan tilbyde. Dansk politi får næppe OVH eller DO til at logge noget for dem.

Men hvis de får adgang til den, så kan de måske få held til at installere noget malware på den, som logger direkte til dem selv....

Politiet kan da ikke bruge IP adresser til noget, det har de vel bevist når de ikke kan hente en Iphone, hvor man kan se IP adressen

Når de ikke engang kan se en tændt mobiltelefon inden for et fængsels mure, så bliver man stærkt i tvivl om deres åndelige habitus.

Der skal ihvertfald noget detektiv arbejde i gang for at kæde informationerne korrekt sammen, og det er jo så dermed en mulighed for mange fejl....

Med andre ord Kling og Klang skal prøve at korrelere to tabeller - det skal nok gå godt.

Ifølge Teleindustrien var den gamle sessionslogning oppe på 3,5 billioner poster pr. år, da den lukkede.

Det dækkede over, at store udbydere tog hver 500 pakke på kanten til andre net, mens mindre udbydere typisk tog logning af alle sessioner. Det sidste gav relativt de største mængder, da der er mange korte sessioner, og med hver 500 pakke fik man jo heller ikke den interne trafik.

Omregnet gav den gamle logning ca. 1000 poster pr. dansker pr. dag.

Trafikken er steget, og det nye forslag er, at alle sessioner skal logges for alle udbydere - også for netintern trafik. Til gengæld er streaming nu mere dominerende.

Så et slag på tasten giver 5000-10000 poster pr. dansker pr. dag.

Men jeg har før taget fejl. Da logning blev vedtaget i 2005 skønnede jeg 40 mia poster pr. år. Men allerede det første år efter iværksættelsen september 2007 nåede TDC op på en rate på 200 mia. pr. år .

Er mængden ligegyldig?

Det synes jeg ikke. Værdien bliver også udvandet, jf. udtrykket drukner i mængden.

Sessionslogningen var delvist inspireret af NSA, der dengang hyldede princippet "keep it all".

Men det gik de væk fra i 2010, og de er nu nede på markant mindre - med mere udsøgte mængder.

Uden at man i øvrigt skal sammenligne NSA og logning for meget.

Dansk sessionslogning kan alligevel ikke bruges til noget, så længe myndigheder kun får udvalgte data efter retskendelse. For data for den enkelte mistænkte siger sjældent noget konkret, bortset fra at det siger noget om personen i al almindelighed.

Men hvem kan garantere, at et forvirret Folketing ikke en dag beslutter udlevering af det hele til f.eks. FE, som så kan foretage en profilering af hele befolkningen.

Det er min bekymring.

Hi Gordon,

” Så der er altså ren spekulation fra din side.”

I bund og grund ja!! Men jeg har så givet en begrundelse for hvorfor jeg mener det.

” Din historie hænger ikke sammen, hvis du bare var en lokal kriminalassistent der lå på lur efter blottere, så er du ikke den autoritet på sessionslogning som du hævder at være.”

Hvis jeg har hævdet at være en autoritet på sessionslogning så beklager jeg virkelig meget. Jeg har sagt at jeg har benyttet sessionslogning i min efterforskning, at jeg har haft sager, som jf. min egen vurdering (og ja … det må jo så også være ren spekulation fra min side) ikke var opklaret uden, at jeg selv skønnede at jeg var blandt dem som havde benyttet sessionslogning mest i min efterforskning (ren spekulation). Jeg har givet et par eksempler, og jeg har fortalt at jeg også har været til møde med Rigspolitiet om sessionslogning.

” Her taler du om dine arbejdsmæssige forhold i nutid, men i denne indeværende tråd er du pensioneret, har jeg noteret.”

Så er det din konklusion. Det er korrekt, at jeg ikke længere arbejder med de konkrete sager, men jeg er ikke (desværre) gået på pension, sidder bare i en anden stilling. Kommer dog stadig fra tid til anden i forbindelse med samme klientel.

Jeg er glad på dine vegne over at du håndterer dine trusler så godt, jeg skal undlade at sige ”jeg er næsten rørt til tårer”, men bare konstatere vi har forskellige tilgang til den ting 

vil ikke diskutere med fake personer. Det er i øvrigt heller ikke tilladt efter debatreglerne.

Hi Mogens,

” Det er også min opfattelse. Der er store afslørende huller i hans viden.”

JA!! Deri har du fuldstændig ret. Jeg er ikke uddannet IT på nogen måde, jeg er ansat som politimand, og foruden at skulle kunne regler om sessionslogning, skal jeg kunne regler om udrykningskørsel, skydereglementet, afhøring af mindreårige …. Og jeg kunne blive ved.

Jeg har ikke fotohukommelse og kan ikke huske det hele … desværre.

” Han er tilsyneladende ikke klar over, at kontakten til teleselskaberne går gennem politiets telecenter”

Nogle ting gør andre gør ikke. Med hensyn til mobil telefoni var der en ganske konkret tilgang via Politiets Telecenter (men indtil for nyligt ikke fra den enkelte politimand, men via kredsenes IT- Koordinatorer). Det vi oftest kontaktede politigrupperne med hos de forskellige IPS’ere var kendelser på at få udleveret abonnents oplysninger på bestemte IP adresser, det har aldrig gået gennem Politiets Telecenter. Vi fik en kendelse, som vi scannede ind og sendte direkte og fik svar direkte. Regningen blev faktisk så sendt til direkte til politikredsen, som fremsendte den til mig, hvor jeg skulle skrive under på at jeg havde modtaget ydelsen. Og da jeg så begyndte at bruge sessionslogning i efterforskningen, så gjorde jeg det faktisk bare på samme måde. Det kan godt være det er teknisk forkert, men det er faktuelt det der skete og jeg fik svar direkte.

” Derfor havde politiet selvfølgelig et fuldt overblik over brugen af sessionslogning, og det kan ikke forekomme, at en lokal efterforsker kender til anvendelser, der ikke kendes centralt i politiet.”

Det er lidt af et postulat at politiet overfor JM ikke kunne redegøre for brugen af sessionslogning, selvom de havde fuldt overblik. Den anden sætning viser at du ikke helt forstår hvordan efterforskning foregår i politiet. Det er den enkelte efterforsker der sidder med sagerne, han referer til sin holdleder, som i det omfang han føler det er nødvendigt orienterer videre i systemet. Ikke bare i forbindelse med brug af sessionslogning men helt generelt. Rigspolitiet efterforsker ikke selv, men står til rådighed hvis kredsen beder om det. Hvis de ikke beder om det, så ved Rigspolitiet ikke hvilke efterforskningskridt der tages i de enkelte politikredse.

Du kommer efterfølgende med dette udsagn:

” Dansk sessionslogning kan alligevel ikke bruges til noget, så længe myndigheder kun får udvalgte data efter retskendelse. For data for den enkelte mistænkte siger sjældent noget konkret, bortset fra at det siger noget om personen i al almindelighed.”

Jamen så har du åbenbart gjort dig nogle tanker om hvad det kan bruges til. Øjensynligt med en IT hjerne og ikke en efterforskers hjerne. Det er ikke nødvendigt at overvåge datastrømemne (hvilket vil være overvågning), det er faktisk brugbart at logge trafikken og så udelukkende få udleveret data efter retskendelse og bruge det i almindelig politimæssig efterforskning … OG det er det eneste jeg kender til. Jeg er ikke bekendt med brugen i andre sammenhæng.

Jeg vil komme med følgende udsagn

Dansk sessionslogning kunne bruges til noget også selvom det udelukkende var udvalgte data efter retskendelse, idet data for den enkelte mistænkte ofte siger noget konkret om hvordan den videre efterforskning skal foretages.

Der er mange mange andre overvejelser, personlig frihed, mængden, prisen og så videre, dem har jeg på ingen måde styr på, så det kan jeg ikke kommentere, men er i øvrigt enig i, at det er relevant i debatten.

P.S. så lige du forlader debatten da du ikke vil diskutere med fake personer, fair nok. Tak for debatten og udveksling af synspunkter og mulighed for hver især at kunne udstille vores 'huller i vores viden' :-)

Til Moderator.

Mogens nævnte at jeg bryder reglerne. Jeg går ud fra, at I kontakter mig, hvis det er tilfældet. Jeg stopper selvfølgelig øjeblikkeligt hvis I beder mig om det (bort set fra at I jo kunne lukke profilen).

Jeg må ærligt erkende jeg har ikke læst reglerne. De få steder jeg deltager forsøger jeg at tale pænt, både om og med de øvrige debattører og håber det er nok.

I min registrering hos Version2 har jeg opgivet mit rigtige navn. For nogle år siden ringede de så til politiets omstilling og bad om personen med det navn (der er kun mig med det navn i politiets registre) og vi havde en lille snak.

Sessionslogningen var delvist inspireret af NSA, der dengang hyldede princippet "keep it all".

Men det gik de væk fra i 2010, og de er nu nede på markant mindre - med mere udsøgte mængder.

Uden at man i øvrigt skal sammenligne NSA og logning for meget.

http://www.version2.dk/artikel/forsker-politiet-hader-det-men-efterretni... Her er et godt eksempel på hvorfor......

Med hensyn til min identitet, så er intet ændret http://www.version2.dk/comment/297370#comment-297370

Jeg er ked af, hvis jeg ikke har udtrykt mig klart nok JEG REPRÆSENTERE IKKE POLITIET, jeg er en privatperson, der som privatperson deltager i en offentlig debat, men har tilfældigvis efterforskningsmæssig erfaring ... Men intet jeg har skrevet nu eller tidligere repræsentere politiet, det er udelukkende min egen personlige ord og meninger.

Når nu emnet er et vidtrækkende anslag mod danskernes ret til et privatliv, så er det paradoksalt at du vælger at optræde anonymt i debatten.

Muligheden for at debattere online anonymt er jo netop det der forsøges indskrænket for almindelige mennesker med disse masseovervågninger.

Er du så selv modstander af logningsbekendtgørelsen? Den vil jo bl.a. gøre det svært for dig selv at optræde anonymt på version2?

Hvad gør de ISP som har deres kunder bag en NAT.

Nok den eneste fordel ved NAT jeg kan se.

Vi placerer vores log på den billigste, ældste disk vi kan finde, og hvis der en dag bliver brug for den, må vi se om der er nogen brugbare data tilbage i den.

Masseovervågning i denne her skala hører ingen steder hjemme i en retsstat.

Søren Pinds argument for udvidet sessionslogning er, at vi lever i "nye tider". Hans forståelse for "nye tider" er åbenbart DDR i 1980.

Jeg er glad på dine vegne over at du håndterer dine trusler så godt, jeg skal undlade at sige ”jeg er næsten rørt til tårer”

Nu fik du jo sagt det alligevel.

men bare konstatere vi har forskellige tilgang til den ting

Ja. jeg tænker også at du er i den forkerte branche.

Søren Pinds argument for udvidet sessionslogning er, at vi lever i "nye tider". Hans forståelse for "nye tider" er åbenbart DDR i 1980.

Sjovt ;-)

Når de ikke engang kan se en tændt mobiltelefon inden for et fængsels mure, så bliver man stærkt i tvivl om deres åndelige habitus.

Du afslører her, at du ikke lytter til P1. Politiet synes at det er meget sjovere at aflytte de mobiltelefoner, der er i fængslet, end at få dem konfiskeret. Det hjælper med efterforskningen, afslører forsøg på at påvirke vidner til at afgive falsk forklaring osv. Hvis de indsatte havde adgang krypterede samtaler, ville de næppe have deres telefon i lang tid.

"Vi placerer vores log på den billigste, ældste disk vi kan finde, og hvis der en dag bliver brug for den, må vi se om der er nogen brugbare data tilbage i den."

I kan købe en USB nøgle på 200000000000 Tb ved mig for 100,- kr. Den kan i bare fylde på. Men pas på med ikke at læse for hurtigt på den, eller tage den ud, røre ved den eller andet. Så kan der måske kun tilgås 2 Mb.

Her i debatten syntes jeg at det er forkert at kalde sessionslogning ’overvågning’.

Nej, det er helt på sin plads. Bare fordi en address står uden på pakken betyder det ikke at du må registere den.

Post Danmark kunne jo også registere addresser på både modtager og afsender af alt post i Danmark (man kan fake in ip afsender, som man kan fake en post afsender).

Vi kunne også beder samtlige aviser om at indrapportere deres faste læsere.

der var intet ’selvfølgeligt’ over at få lov til at få udleveret en sessionslog for at efterforske en forbrydelse.

Der skal nok være mange lovlydige efterforskere som dig. Men man skal ikke google længe for at finde historier om ulovlige PET registre af uskyldige fly passager, eller politiske aktive individer.

Bred overvågning er en reel trussel mod demokratiet. Langt mere bekymrende end få "informations forbrydere" vi kan fange med det her...

Digitalt bank indbrud er altså en bagatel, som banker kan beskytte sig imod med matematik (crypto). Hvorimod fysisk bank røveri er en lidt mere alvorlig forbrydelse, der også er sværere at beskytte sig imod.

Dansk sessionslogning kunne bruges til noget også selvom det udelukkende var udvalgte data efter retskendelse, idet data for den enkelte mistænkte ofte siger noget konkret om hvordan den videre efterforskning skal foretages.

Nej, hvis det kunne bruges til noget, hvorfor var der så ikke flere eksempler for brug og hvorfor kan f.eks. Christian Panton, påvise fejl ? https://twitter.com/christianpanton/status/693426460695076864

Her i debatten syntes jeg at det er forkert at kalde sessionslogning ’overvågning’.

Det viser så bare hvor lidt du egentligt ved om sessionslogning. For det er netop 'overvågning' og intet som helst andet.....

Her i debatten syntes jeg at det er forkert at kalde sessionslogning ’overvågning’.

EUs højeste domstol er uenig med dig. Logning er overvågning

Det må fastslås, at det indgreb i de grundlæggende rettigheder, der er fastslået i chartrets artikel 7 og 8, som direktiv 2006/24 indebærer, således som generaladvokaten også har anført i navnlig punkt 77 og 80 i forslaget til afgørelse, er meget vidtrækkende og må anses for at være af særligt alvorlig karakter. Den omstændighed, at lagringen af data og den efterfølgende anvendelse af dem finder sted, uden at abonnenten eller den registrerede bruger oplyses herom, er desuden, som generaladvokaten har anført i punkt 52 og 72 i forslaget til afgørelse, egnet til at skabe en følelse hos de berørte personer af, at deres privatliv er genstand for konstant overvågning.

Min fremhævning med boldface.

Det er præmis 37 i dommen om logningsdirektivet http://curia.europa.eu/juris/document/document.jsf?text=&docid=150642&pa...

EU-dommen tager ikke stilling til sessionslogning, som er meget mere indgribende i den grundlæggende ret til privatliv og persondatabeskyttelse end den almindelige logning (det ulovlige direktiv, som stort set svarer til logningsbekendtgørelsen i dag).

Hej North Anderseon.

Tak for dit meget grundige svar. Har ikke været hjemme, og har først set det nu - så måske er tråden død. Og jeg har heller ikke "orket" at læse de resterende indlæg lige nu, så måske gentager jeg nogle argumenter.

Det er bestemt beroligende, at du fortæller, at man tager det med retssikkerhed og dommerkendelse meget alvorligt. Men det er jo, som tingene ser ud lige nu!

Der sker mange ting i verden og i Danmark i øjeblikket, som gør, at det stadig er meget betænkeligt med den udvidede logning - som jo altså hurtigt kan omdannes til egentlig totalovervågning! Det er for mig at se bare en strid om ord.

Det kræver bare et enkelt forketingsvalg, hvor det viser sig, at "sejrherren" i sit stille sind mener, at det kan være berettiget at modvirke oppossitionen med alle midler - noget som måske først bliver åbenbrt efter valget! Så er det for sent at blive betænkelig.

Se bare, hvad der sker i Polen i øjeblikket! Mig bekendt en demokratisk valgt regering - men bestemt ikke demokratisk tænkende!

I Information.dk i går var der fokus på dette emne. http://www.information.dk/559975 http://www.information.dk/559067 http://www.information.dk/telegram/560018 http://www.information.dk/telegram/560014 http://www.information.dk/telegram/559900 http://www.information.dk/telegram/559889

Jeg kan ikke lige huske, hvor jeg læste det, men som jeg har forstået det, er ønsket, at man skal logge langt flere oplysninger end tidligere.

Som sagt er jeg glad for at høre, at man indtil nu har taget dette meget alvorligt, men der har jo for nylig i andre sammenhænge været tale om at springe dommerkendelser over i f.eks. terrorefterforskning (det er muligvis allerede gennemført?).

Og der er jo netop sket et kæmpeskred i holdningen til disse ting i forhold til, hvad man for bare 10-15 årsiden uden tøven ville have kasseret som fuldstændigt utænkelige tanker mht. overvågning og indtrængen i privatliv. Vi er simpelthen ved at blive "fartblinde" på det punkt, fordi udviklingen går så hurtigt, at vi ikke mentalt kan følge med.

Så dine forsikringer om, at man tager dette meget alvorligt, kan sagtens være korrekte lige nu - men ikke om 5 år.

Derfor er der noget principielt helt galt i denne udvikling. For der skal ikke ret meget til, før disse ting kan blive brugt til omfattende kontrol med politiske modstandere og andre lyssky formål - det kræver bare, at de forkerte personer pludseligt (ved en fejl) har fået magten. Der er jo en grund til, at lovgivningen indtil for få år siden var meget skrap på det punkt - det var jo baseret på dårlige erfaringer!

Det krænker mig simpelthen grundlæggende, at man logger hele befolkningens private færden på nettet og på gaden, tvangshøster deres gener og sælger dem videre til pengemænd, tyvlytter til besøg hos lægen osv.. osv. Der er allerede tale om misbrug og privatlivskrænkelser i stor stil, selv om man altid kan finde rationelle argumenter for at gå et skridt videre.

Det skal vi bare ikke gøre, for vi ender et sted, hvor vi ikke ønsker at være!!!!!!

Derfor er jeg nødt til at fastholde min modstand mod disse forslag - kriminalitetsopklaring kan købes for dyrt - vi ender med et samfundssystem, som efter min opfattelse i sig selv er kriminelt!

I SmartShare Systems tilbyder vi sessionslogning som en optionel feature i nogle af vores båndbreddeoptimeringsprodukter. Nogle kunder vælger at logge inernetsessioner, fordi de er forpligtede til det, andre fordi de ønsker øget sporbarhed vedr. deres brugeres/elevers/ansattes internettrafik i forbindelse med efterforskning af personalesager eller kriminalitet (fx piratkopiering, børnemisbrug eller industrispionage).

Jeg har et par gange assisteret kunder/forhandlere med at finde informationer i deres loggede data, og har herfra en lille smule førstehåndserfaring med den praktiske anvendelse heraf. Fx kan jeg nævne kreditkortsvindel som et område, hvor sessionslogning er et godt værktøj til efterforskning. Kriminelle er heldigvis ikke altid særlig gode til at sløre deres spor, heller ikke deres fodaftryk på internettet.

Jeg kan bekræfte, at det afsendende portnummer sjældent er registreret på den webserver eller lignende, som efterforskningssporet kommer fra. Ditto vedrørende de informationer, der er vedhæftet i brevene fra de amerikanske firmaer, der overvåger ulovlig fildeling af fx film. I disse tilfælde må man identificere NAT-brugeren ud fra serverens IP-adresse og port samt tidspunket for hændelsen, da man ikke har de fulde eksterne sessionsinformationer (den afsendende port mangler) til at identificere den interne IP-adresse. (NAT-sessioner logges med både interne og eksterne afsendende IP-adresse og port-nummer.)

Fra et møde med politiets centrale it-enhed (for en hel del år siden) kan jeg også bekræfte, at det var op til den enkelte politimand at benytte adgangen til sessionslogningen på samme måde som andre efterforskningsmetoder. Jeg fik derfor også indtryk af, at det blev brugt uden central registrering eller lignende. Så det overrasker ikke mig, at det er svært at skaffe statistik om brugen.

Sessionslogning kan altså være et udmærket værktøj til efterforskning. Men vi er også alle enige om, at vi ikke ønsker et DDR-lignende overvågningssamfund. Så det må være op til politikerne, EU-domstolen og lignende at forholde sig til fordele og ulemper ved det (proportionalitetsprincippet).

Med venlig hilsen

Morten Brørup CTO, SmartShare Systems

Når du nævner JM's redegørelse så er det korrekt de ikke er med der. Politiet har ikke en selvstændig registrering af fortagne efterforsknings skridt og dermed heller ikke sessionslogning, hvorfor det var svært at finde eksempler for Rigspolitiet, som leverede materiale til redegørelsen.

Hvis det virkeligt er rigtigt, så var det da et sted at starte med at registrere, for det er da om noget nødvendigt for at holde styr på dette område. Hvis ikke engang politiet registrerer deres egen færden (det har vi jo før i forbindelse med klagesager set, at det har knebet gevaldigt med), hvordan så have tillid til, at de kan administrere registrering af hele befolkningens færden forsvarligt?

Jeg er faktisk noget rystet over den bemærkning, og jeg vælger at hoppe på vognen med, at du er en "fake", for ellers har politiet da i den ene bemærkning mistet al troværdighed på dette felt.

Morten Brørup:

Sessionslogning kan altså være et udmærket værktøj til efterforskning. Men vi er også alle enige om, at vi ikke ønsker et DDR-lignende overvågningssamfund. Så det må være op til politikerne, EU-domstolen og lignende at forholde sig til fordele og ulemper ved det (proportionalitetsprincippet).

Nej, bestemt ikke! Hvis vi overlader det til dem, så ved vi godt, hvor vi ender. Man skal aldrig spørge magthavere, om de vil have mere magt - det går ikke godt.

Det er os andre, der må tage stilling, og så forsøge at påvirke udviklingen, inden det er for sent. Og det er altså vores privatliv, der gribes ind i - ikke EU-domstolens eller magthavende politikeres.

Fra et møde med politiets centrale it-enhed (for en hel del år siden) kan jeg også bekræfte, at det var op til den enkelte politimand at benytte adgangen til sessionslogningen på samme måde som andre efterforskningsmetoder. Jeg fik derfor også indtryk af, at det blev brugt uden central registrering eller lignende. Så det overrasker ikke mig, at det er svært at skaffe statistik om brugen.

Du har måske ikke fået det fulde billede. Det er rigtigt, at den enkelte efterforsker selv skal tolke data, men da jeg var involveret for 6-7 år siden skete selve den fysiske overførsel og procedureforløbet til politiets telecenter, delvist med automatiserede metoder, når dommerkendelsen foreligger. Jeg kan ikke forestille mig, at dette er ændret, selv om der var enkelte direkte henvendelser efter politireformen.

Data skal jo i mange tilfælde korreleres inden de kan anvendes. Det gælder f. eks. cellekoder med historiske masteplaceringer osv. Hvis den enkelte efterforsker selv sidder med dette, er det mildt sagt ineffektivt med store muligheder for fejl.

Også aflytning af tale og data går via centeret, hvor man har modtageudstyr og IT-kapacitet til opbevaring og tilgang til den streamede aflytning.

Så billedet af, at den enkelte efterforsker selv kontakter teleselskaberne er næppe rigtigt, selv om der kan være undtagelser.

For sessionslogning planlagde politiet og PET at opbygge en database over historiske IP-adresser til brug for tolkningen. Også det vil kræve en central kørsel. Men det er måske ikke blevet til noget.

..... tilbyder vi sessionslogning som en optionel feature i nogle af vores båndbreddeoptimeringsprodukter.

Kan teknikeren komme med nogen som helst bud på, hvad logningen koster ? Som tidligere nævnt, tørrer politiet/samfundet en efterforsknings-udgift af på internetudbyderne og derfor senere på internet-forbrugerne. Står den udgift i forhold til et meget begrænset udbytte?

Kan teknikeren komme med nogen som helst bud på, hvad logningen koster ?

Et kompliceret spørgsmål. For det er ofte let i et lille net, hvor en del af en central routers kapacitet kan afsættes til logningen.

Det er helt anderledes i et stort net med mere distribueret rutning.

Det er også baggrunden for, at sessionslogningen kunne gennemføres med 2 metoder. Hver 500 pakke på kanten eller fuld sessionslogning.

Kriminelle er heldigvis ikke altid særlig gode til at sløre deres spor, heller ikke deres fodaftryk på internettet.

Nej, heldigvis er de fleste kriminelle ikke de skarpeste knive i skuffen. Men der findes bestemt også dem der er. Det er som regel dem der >ikke< fanges, da de slører deres spor... Og selv de sløveste knive kan blive skarpere, hvis lokumment brænder. Så man skal passe på med at hvile på laurbærene....

I SmartShare Systems tilbyder vi sessionslogning som en optionel feature i nogle af vores båndbreddeoptimeringsprodukter. Nogle kunder vælger at logge inernetsessioner, fordi de er forpligtede til det, andre fordi de ønsker øget sporbarhed vedr. deres brugeres/elevers/ansattes internettrafik i forbindelse med efterforskning af personalesager eller kriminalitet (fx piratkopiering, børnemisbrug eller industrispionage).

Hvem er disse kunder? (brancher, selvfølgelig ikke navne).

Eftersom sessionslogning p.t. ikke er et lovkrav (og aldrig har været det for fx offentlige uddannelsesinstitutioner) skal der været et retsligt grundlag i persondataloven for at generere og lagre (begge dele: behandle) disse personoplysninger om internetsessioner. Det kunne (muligvis) være informeret samtykke, og muligvis i helt specielle situationer en berettiget interesse for den dataansvarlige, som overstiger internetbrugerens (datasubjektets) interesse.

Begge muligheder skal holdes op mod at sessionslogning er meget indgribende i den enkelt brugers privatliv.

Datatilsynet har tidligere udtalt at man ikke inden for persondatalovens rammer kan gemme data alene fordi politiet kunne finde på at spørge efter dem http://www.datatilsynet.dk/afgoerelser/afgoerelsen/artikel/lagring-af-ch...

Eftersom sessionslogning p.t. ikke er et lovkrav (og aldrig har været det for fx offentlige uddannelsesinstitutioner) skal der været et retsligt grundlag i persondataloven for at generere og lagre (begge dele: behandle) disse personoplysninger om internetsessioner.

Tak for fokus på dette, Jesper Lund. Jeg sad og tænkte noget i samme retning, da jeg læste indlægget, men var i tvivl om, om jeg måske tog fejl - om en instituion måske har lov til at logge indenfor egne "rammer". Rart at høre, at det nok ikke nødvendigvis er tilfældet.

Hej Anne-Marie,

Jeg skal ikke tage så meget tid, hvis du alligevel ikke tror på mig ;-)

Men at du ikke tror på, at tingene ikke bliver registreret på brug af efterforskningsmetoder, det være sig fingeraftryk, analyse af hår prøver, analyse af skrift og ja også IT relateret, som indhentning af abonnents oplysninger på IP adresse, udlæsning af en router og ja sessionslogs … undre mig dog lidt.

Politiets system er fra midten af 90’erne, det ligner stadig et DOS system når det åbnes. I noget der ligner 10 år har man udviklet på et nyt system, som skulle erstatter det gamle, i den tid fik vi at vide, ingen ændringer (og der blev næsten ingen ændringer), pengene skulle bruges på det nye system. Da det så ikke blev til noget har man sidenhen tilføjet nogle få funktioner. Jeg kender ikke dem alle. Men det er blevet lettere at registrere IT-kriminalitet, før blev det bare registreret under politiets journal nr. for fx hærværk ved virusangreb. Når man så ville undersøge hvor mange der havde anmeldt virusangreb var det umuligt ’automatisk’ at se hvad der var almindelig hærværk og hvad der var virusangreb. Det skulle gennemgås manuelt. Nu har man indbygget nogle søgenøgler, så man kan pille de forskellige hærværks typer ud (hvis søgenøglerne bliver angivet korrekt). Det er en stor fremgang. Men der er stadig ikke nogen registrering af efterforsknings skridt benyttet i den enkelte efterforskning.

Oplysningerne er ikke væk. Og du nævner fx klagesager. Hvis man klager, klager man over en bestemt sag. Alle oplysningerne er i sagen, retskendelsen til sessionsloggen, selve den udleverede sessionslog, mine rapporter om gennemgang af hele sagen inkl. Sessionsloggen, samt de konklusioner jeg drog ud fra min efterforskning. Det bliver ikke gemt væk, men det er ikke søgbart.

På baggrund af ovenstående har Rigspolitiet fået udviklet nogle redskaber til at søge i polsas på måder som jeg som efterforsker ikke har adgang til. Det er forholdsvis nyt og var ikke eksisterende dengang den JM redegørelse der bliver nævnt her i tråden blev lavet. Men om det ville have fanget de sager dengang, det ved jeg ikke.

I øvrigt hvis du er bange for overvågningen, så undre det mig lidt at det er sessionsloggen du går efter som kun er logning, den er, som jeg ser det, ganske uskyldig i forhold til, at alle IPS’ere jf. retsplejeloven skal være i stand til at assistere politiet med live dataaflæsning. Dette sker også på retskendelser (som jeg mener, er tidsbegrænsede og skal fornyes af en dommer, hvis det kan argumenteres at aflytningen skal fortsætte). Dette apparat kunne misbruges meget mere af ’en kommende polsk regering’.

Der har været utrykt bekymring for misbrug, lige i forbindelse med sessionslogning, så er jeg ikke så bange, det skal igennem mange led før det udleveres, efterforsker, anklager, forsvarer og dommer. Når det skal udleveres sker det gennem den enkelte ISP, hvor der sidder en ’tilfældig’ teknikker og udlæser data. Jeg tror nogen i kæden siger noget, hvis der sker noget ulovligt, inklusive undertegnede.

Men det er nu også derfor jeg egentlig læser med her (blander mig sjældent og skal være forberedt på virtuelle blå mærker når jeg gør ;-)). Men jeg er også bekymret for overvågning og misbrug og vil også følge med i hvad der rører sig omkring det.

Mr. Anderson,

Hvis vi ser bort fra tvivlen omkring hvorvidt du er en PET provokatør eller ej. Så har du faktisk ramt hoved på sømmet, jeg giver dig derfor en tommelfinger op ad.

Jeg tror nogen i kæden siger noget, hvis der sker noget ulovligt, inklusive undertegnede

"Ulovligt" er kodeordet her, jeg er slet ikke et sekund i tvivl om at du ville sige noget hvis du så noget "ulovligt". Og det ville resten af pøblen sikkert også.

Men nu bliver det, blandt mange andre ting, "lovligt".

Kan du begynde at se problematikken? Så har du vel heller ikke noget problem med at konfiskere smykker fra flygtninge? Eller dræbe folk med et "ulovligt" synspunkt?

Det er jo det der er problemet med teknokratiske demokrater, deres blinde tiltro til systemet og lovgivningen.

Hvor er kærligheden og den menneskelige moral? Den er død, for den kan ikke kvantificeres og kommes i kasser som teknokratiske demokrater kan føle sig trygge ved.

Jeg kendte en gang en anden idiot, han sagde i fuld alvor "Selvfølgelig har vi moral, vi har bare ophøjet den til lov", hvor kvalmende...

Mit motto er "Lev og lad leve" - du skulle ta' og prøve det.

Hej North.

Tak for svaret.

Jeg vælger at håbe, at du ikke har ret, fordi alternativet - at du har ret - er meget værre.

Man er i gang med at forsøge at indføre meget vidtrækkende foranstaltninger, som efter manges opfattelse griber langt ind i privatsfæren, tenderer det totalitære, og som vist endda er dømt ulovligt ved EU-domstolen.

I den situation synes jeg, at det er rystende, hvis man har så lidt faktiske oplysninger at bygge sine ønsker på, som det, du beskriver (hvis jeg forstår dig rigtigt).

Jeg har meget lidt teknisk indsigt, og når jeg skriver "registrerer", så mener jeg ikke nødvendigtvis elektronisk registrering (jeg er klar over, at politiet har haft en del udfordringer mht. IT). Ting kan også registreres manuelt, og når man bruger tiltag af denne art, så bør man efter min mening sørge for at holde styr på det og foretage en form for "registrering" og erfaringsopsamling.

For hvis det er rigtigt, at der intet centralt overblik er over dette, hvordan kan man så tillade sig at argumentnere for, at det er nødvendigt at indføre så vidtrækkende tiltag?

Og hvis der ikke er nogen form for registrering/logning (evt. manuelt), når man har brugt disse metoder, hvordan skal vi så stole på, at der kan bevares et overblik over, om der sker misbrug i nogle tilfælde? Blind tillid?

Så det er muligt, at du taler sandt - så synes jeg bare ikke, at det er særligt rart, at politiet overhovedet kan finde på at bede om disse "redskaber" på så løst et grundlag. Det giver i hvert fald ikke tillid.

Mht. klagesager så hentydede jeg til sager som Tibet-sagen, fodboldstadion-sagen og flere andre sager, hvor der er blevet klaget over politiet, og hvor det, set udefra, har virket meget mærkeligt, at man ikke engang f.eks. kan genkende sine egne betjente på gode fotos. Der er desværre en hel del af den slags ekspempler.

Der er mange gode betjente, som gør et kæmpe og meget svært arbejde, som de skal have tak og respekt for. Men der er også brådne kar, og hvis man tager så lemfældigt på bruge at disse vidtrækkende tiltag, som jeg synes, du beskriver det, at man ikke engang fører en form for kontrol med brugen, (ud over at der skal dommerkendelse til) så har man ikke fortjent at få dem.

Det er godt, at du også er betænkelig ved udviklingen - bliv ved med at være det :-)

Der har været utrykt bekymring for misbrug, lige i forbindelse med sessionslogning, så er jeg ikke så bange, det skal igennem mange led før det udleveres, efterforsker, anklager, forsvarer og dommer.

Til gengæld ligger det i halve eller flere år hos ISP'en. Hvor mange led skal det igennem der, før det kan misbruges (mon alle allerede har glemt tys-tys-kilden) ?

Men jeg vil bare leje en VPS ved Digital Ocean eller OVH og så sætte OpenVPN op,

Mener du i fuldt alvor, at en VPN-løsning på en amerikansk (DigitalOcean) eller engelsk (OVH) server på nogen måde er sikker i forhold til logning? Oven i købet en OpenSource løsning, som enhver efterretningstjeneste vil kunne fifle med uden at du ville have de store muligheder for at beskytte dig mod det.

Udmærket oversigt hvis man vil sammenligne VPN-løsninger:

That One Privacy Guy's VPN Comparison Chart https://docs.google.com/spreadsheets/d/1FJTvWT5RHFSYuEoFVpAeQjuQPU4BVzbO...

Hej Anne Marie,

Jeg vil skyde på, at debatten blandt andet her, JM redegørelsen med videre gør, at hvis der kommer en form for sessionslogning, vil der fremadrettet formentlig blive lavet en registrering på brugen af det. Så hvis sessionslogningen bliver genindført i en eller anden form, så har debatten nok haft en indflydelse på registeringen.

og til Gordon ... Nej jeg ved det ikke, det ER ren spekulation.

Kan teknikeren komme med nogen som helst bud på, hvad logningen koster ? Som tidligere nævnt, tørrer politiet/samfundet en efterforsknings-udgift af på internetudbyderne og derfor senere på internet-forbrugerne. Står den udgift i forhold til et meget begrænset udbytte?

Jeg skal da i hvert fald ud for at investere i nogen kraftigere routere. For de nuværende er gode til at flytte pakker, hurtigt. Ikke til at logge... Læg dertil servere, software og arbejdstimer. For en mindre ISP er det dybt problematisk. Det hænger ikke sammen.

Det er også problematisk at jeg skal overvåge mine kunder. Hvorfor skal det være min opgave ? Jeg vil ikke ligge inde med de oplysninger, de kan netop bruges forkert. Jeg vil ikke være årsag til at de kommer i forkerte hænder og bliver misbrugt af de forkerte.

En ting er at Politiet måske skal have en dommerkendelse for at de må få fat i Dem. Men hvad hvis jeg bliver hacket og de bliver stjålet ? Der kan sagtens være interessante ting i for kriminelle, hvorfor de også er i fare for at blive manipuleret. Det er som sagt nemt at skjule elektroniske spor.

Jeg har et forslag: eftersom der nu er kommet digital vælgererklæring må det være forholdsvist overskueligt at oprette et politisk parti hvis eneste formål er at bekæmpe tiltag der forringer danskernes frihed. Vi kan kalde det "Fripartiet"

Jeg tror, ærlig talt, at den eneste måde at komme de her vanvittige overgreb på de mest fundamentale menneskerettigheder til livs, er politisk indflydelse. Det er efterhånden klart at gode argumenter, der ikke kan negligeres, er formålsløse overfor de store politikere.

Siden 9/11 har der hersket konstant og massivt stigende 'fear mongering' i alle dele af vesten - dog er statslige kontrolorganers magt blevet væsentligt forøget inden for de sidste 5 år. Det er nået et niveau der er blevet slet og ret uacceptabelt - umenneskeligt og uværdigt.

Man skal passe allerhelvedes meget på ikke at blivet lullet i søvn af deres skraldespandsretorik om børneporno, narko og fanden og hans pompestok. Selv om man kan være nok så kritisk indstillet overfor tiltag som det her, og stadig have sin sunde fornuft sker der alligevel skred i vores værdier når tingene først er vedtaget. Så har vi tendens til at stille det i forhold til tidligere tiltag der allerede er forrykte. NÅR vi får skudt en chip i de nyfødte synes det her tiltag nærmest pro-humanistisk... NÅR, ikke hvis.

Medmindre vi fucking gør noget.

Vi må og skal ikke glemme hvad det vil sige at være et frit individ. Det er sgu det eneste uigendrivelige retfærdighedsprincip vi overhovedet har.

// Man ved det står slemt til, når man hellere vil bo i en bananrepublik end sit fædreland.

Jeg vil skyde på, at debatten blandt andet her, JM redegørelsen med videre gør, at hvis der kommer en form for sessionslogning, vil der fremadrettet formentlig blive lavet en registrering på brugen af det.

Tak for svaret, North. Men du skrev tidligere:

Når du nævner JM's redegørelse så er det korrekt de ikke er med der. Politiet har ikke en selvstændig registrering af fortagne efterforsknings skridt og dermed heller ikke sessionslogning, hvorfor det var svært at finde eksempler for Rigspolitiet, som leverede materiale til redegørelsen. Rigspolitiet foretager jo ikke efterforskning, det foretages i de enkelte politikredse, hvorfor Rigspolitiet kun kender sagerne i det omfang de har været anmodet om assistance eller 'tilfældigvis' har hørt om sagerne.

Her er det, at jeg finder det tæt på skandaløst, hvis man ikke har foretaget nogen form for erfaringsopsamling og registrering af, hvor tit og hvor effektivt dette skridt har være brugt i den tid, det har været i anvendelse -hvis jeg har forstået dig rigtigt.

Alligevel går man så nu ud og forsøger at få et meget vidtrækkende og indgribende lovforslag igennem - åbenbart uden nogen form for underliggende research eller dokumentation for, at det er nødvendigt - eller i hvert meget mangelfuld dokumentation.

Som jeg har kunnet forstå det på nogle af reaktionerne fra fagfolk herinde, er det ikke sandsynligt, at man ikke ville kunne finde frem til denne dokumentation ad omveje, selv om man ikke oprindeligt har registreret brugen af disse skridt centralt (eller lokalt). Så for mig at se er det enten sjusk, eller fordi dokumentationen ikke passer til det ønske om lovændring, som man har fremsat. Det forhindrer Mørklægningsloven jo nok effektivt, at vi kan få oplyst, går jeg ud fra.

Så det beroliger mig ikke ret meget, at du mener, at debatten nok vil smitte af på udformingen af lovforslaget. Det er ikke godt nok, hvis man har fremsat det på så løst og sjusket grundlag - det lyder som om, man dybest set bare synes, at det kan da være meget rart at have det redskab også - koste hvad det koste vil for demokratiet og retssikkerheden. For efter min mening tager retssikkerheden og demokratiet allerede skade i det øjeblik, denne lov bliver vedtaget.

Når jeg bliver allermest pessimistisk, strejfer tanken mig: Har vi allerede magthavende politikere, som dybest set ikke tænker demokratisk - hvis man kunne kigge ind i deres sjæl?

http://www.information.dk/560079 https://zombies.dk/

Hjælp ønskes: Når jeg forsøger at skrive under, får jeg en bekræftelsesmail, som udløser advarsel om "scam" i min Thunderbird" mail, og svarlinket ser ud til at pege til "mandrilapp.com".

Ved nogen, om det er en lovlig tjeneste, som skrivunder.net benytter, eller om man bør blive bekymret?

Som hovedregel skal der være 6 år i strafferammen for at få udleveret en sessionslog

Her kommer du så ind på en reel svaghed ved måden domstolene agerer på - sandsynligvis pga. den fraværende uafhængighed mellem politi, anklager og domstole. Der er en voldsom forskel på antallet af tilfælde, hvor der bevilges feks. overvågning, og så antallet af domme, hvor forbryderen rent faktisk dømmes 6 års fængsel eller mere.

Misforstå mig ikke. Jeg mener at der skal kræves domstolsgodkendelse. Det skal være besværligt at overvåge andre mennesker. Men jeg mener at domstolene er for rundhåndede.

Man skal aldrig spørge magthavere, om de vil have mere magt - det går ikke godt.

Det er os andre, der må tage stilling, og så forsøge at påvirke udviklingen, inden det er for sent. Og det er altså vores privatliv, der gribes ind i - ikke EU-domstolens eller magthavende politikeres.

Derfor er det vigtigt at deltage i de demokratiske valg, der bliver afholdt!

Og desværre mangler vi i Danmark en forfatningsdomstol til at forhindre Folketingets hæmningsløse udvanding af begrebet "en særegen undtagelse" i Grundlovens § 72 om privatlivets fred. Så i mangel af bedre har vi foreløbig haft glæde af EU-domstolens kendelse om logningens manglende proportionalitet.

Hvem er disse kunder? (brancher, selvfølgelig ikke navne).

Blandt de slutkunder, der har valgt vores ATL-feature, findes: - Logningspligtige boligforeninger/netværkslaug og internetudbydere (lige fra helt små cafeer til mellemstore almindelige internetudbydere). Vi overlader det til juristerne hos de respektive forhandlere og slutkunder at rådgive om en kundes netværk er logningspligtigt eller ej. Vi yder ikke juridisk assistance af den art. - Virksomheder (fx revisionsselskaber) og undervisningsinstitutioner, der frivilligt logger deres ansattes/elevers/gæsters internettrafik for at have sporbarhed. Også her overlader vi det til juristerne hos slutkunderne og forhandlerne at rådgive om lovligheden af logningen og kravene om information herom til de ansatte/eleverne/gæsterne.

Mogens Ritsholms svar om prisen er korrekt: Det kan gøres relativt billigt, hvis alle brugernes trafik flyder igennem udstyr med en sessionslogingsfeature centralt eller på POP'en, og ikke routes lokalt i internetudbyderens eget netværk. Fx koster vores logningsfeature under 10.000 kr. (excl. en FTP-server til at opbevare logfilerne) - men det forudsætter naturligvis, at man allerede benytter vores produkter.

Jeg betaler pt. 6 kr. per måned i logningsgebyr til min internetudbyder.

Så ja, regningen bliver tørt af på internetudbyderne i form af en regulatorisk udgift. Og internetudbyderne kan ikke gøre andet end at overvælte udgiften på forbrugerne, enten som et separat gebyr, eller som en del af den samlede abonnementspris.

Med venlig hilsen

Morten Brørup CTO, SmartShare Systems

Blandt de slutkunder, der har valgt vores ATL-feature, findes: - Logningspligtige boligforeninger/netværkslaug og internetudbydere (lige fra helt små cafeer til mellemstore almindelige internetudbydere). Vi overlader det til juristerne hos de respektive forhandlere og slutkunder at rådgive om en kundes netværk er logningspligtigt eller ej. Vi yder ikke juridisk assistance af den art.

Logningspligtig kan p.t. ikke inkludere sessionslogning, som jeres ATL-feature er designet til (hvis jeg forstår dig ret?).

Logningspligtig kan p.t. ikke inkludere sessionslogning, som jeres ATL-feature er designet til (hvis jeg forstår dig ret?).

Det er korrekt. Internetsessionslogning blev afskaffet ved seneste revision af Logningsbekendtgørelsen, så logningpligten omfatter p.t. kun brugerlogning. Vores ATL-feature kan logge både internetsessionerne (tidl. §5 stk. 1) og brugerne (tidl. § 5 stk. 2, nuværende § 5), og det er konfigurerbart, om internetsessionerne skal logges eller ej.

Til de økonomisk interesserede kan jeg oplyse, at logningen af brugernes adgang til internettet (den nuværende § 5 i Logningsbekendtgørelsen) kan implementeres på mange forskellige måder. I modsætning til internetsessionslogning stiller brugerlogning nemlig ingen særlige krav til netværkets dataplan, og derfor kan det i visse tilfælde (fx i store netværk med intern routning) implementeres billigere end internetsessionslogning, fordi det kun stiller krav til de centrale brugerdatabasesystemer, hvorimod internetsessionslogning stiller krav til det netværksudstyr, som håndterer brugernes internettrafik.

Med venlig hilsen

Morten Brørup CTO, SmartShare Systems

Martin Brørup:

Derfor er det vigtigt at deltage i de demokratiske valg, der bliver afholdt!

Enig, meget enig. Men du er forhåbentlig også enig i, at det ikke er nok at sætte sit kryds hvert fjerde år? Når politikerne, efter at de har fået magten, pludseligt løber løbsk i udemokratiske og farlige tiltag, så er man nødt til at råbe vagt i gevær inden næste valg. Det er ligeså demokratisk at deltage i sådanne debatter, som det er at stemme hvert fjerde år.

Ellers er vi jo samme sted, som den nye polske regering, der er igang med at afmontere de frie medier, fordi de mener, at nu er de valgt, og derfor har de krav på arbejdsro, uforstyrret af besværlig opposition og kritiske røster.

Jeg skal da i hvert fald ud for at investere i nogen kraftigere routere. For de nuværende er gode til at flytte pakker, hurtigt. Ikke til at logge...

Det er vel ikke ligefrem et problem at "syslogd" dropper et par (tusind) pakker undervejs?

"Session" kan teknisk set betyde et eller andet imellem "Alt" til "Ingenting" og takket väre juristernes generelle uvidenhed om IT og det generelle lovsjusk som folketinget står for, så står der faktisk ikke i loven hvad en "session" betyder.

"Session" kan teknisk set betyde et eller andet imellem "Alt" til "Ingenting" og takket väre juristernes generelle uvidenhed om IT og det generelle lovsjusk som folketinget står for, så står der faktisk ikke i loven hvad en "session" betyder.

Jamen det viser jo også hvor håbløst det hele er - for hvordan definerer man en "session" hvis vi f.eks. taler UDP.

Og hvordan skal man holde rede på hvilke "sessioner" der hænger sammen med hvilke "sessioner" uden at lave et kæmpe datamining arbejde.

Ville det så ikke bare være mere smart at spejle samtlige data direkte til krigsministeriet med det samme, så kunne de drukne i porno og andre ligegyldigheder.

Det mest tragiske er, at de rigtig banditter er da fløjtende ligeglade - bliver internettet for "usikkert" for dem, så lader de jo alligevel bare være med at bruge det. Tilbage bliver en civilbefolkning der kan få lov til at føle sig usikker på hvad ministeriet for sandheds næste tiltag nu kan være.

Jamen det viser jo også hvor håbløst det hele er - for hvordan definerer man en "session" hvis vi f.eks. taler UDP.

Et bud kunne være: en periode hvor der transmitteres UDP pakker mellem source IP:port og destination IP:port. Hvis der i en arbitrær fastsat periode ikke transmitteres pakker, er sessionen afsluttet.

Og når man har implementeret det, vil metoden formentlig også blive brugt på TCP, selv om der her er et mere præcist sessionsbegreb. Alle TCP sessioner bliver åbnet på den angivne måde, men der er formentlig en del som aldrig får en korrekt afslutning, fx på af arbitrær NAT-tabel timeout i en plasticrouter i den ene ende.

Og hvordan skal man holde rede på hvilke "sessioner" der hænger sammen med hvilke "sessioner" uden at lave et kæmpe datamining arbejde.

En kæææmpe tabel med alle aktive sessioner, som enhver pakke checkes op mod inden den routes videre?

... hvordan definerer man en "session" hvis vi f.eks. taler UDP.

Det findes der veletablerede industristandarder for, fx RFC 4787, der er fra år 2007.

Dit spørgsmål viser også, at kravene ville være mere klare og entydige, hvis Logningsbekendtgørelsen henviste til veldefinerede begreber og industristandarder, frem for at juristerne forsøgte at beskrive dem selv. Fx manglede den gamle logningsbekendtgørelse beskrivelse af VPN- og ICMP-sessioner (der ikke har port-numre, men benytter andre sessionsidentifikationsnøgler).

Og hvordan skal man holde rede på hvilke "sessioner" der hænger sammen med hvilke "sessioner" uden at lave et kæmpe datamining arbejde.

En kæææmpe tabel med alle aktive sessioner, som enhver pakke checkes op mod inden den routes videre?

Ja. Det er sådan, NAT-routere, båndbreddeoptimeringsudstyr m.m. fungerer. Fx har vores StraightShaper 8000 en tabel med kapacitet til 2 mio. åbne sessioner. Husk på, at tabellen ligger i RAM, så med en passende hash-funktion går det lynhurtigt at slå op i den. Se evt. Wikipedias artikel om Hash table.

Med venlig hilsen

Morten Brørup CTO, SmartShare Systems

Ja sessionsudtrykket er lidt misvisende i logningsbekendtgørelsen.

Det overordnede formål er at få IP-adresser for sender og modtager af datagrammerne registreret. Men det giver jo en helt vild mængde.

Derfor foreslog JMIN i 2005, at man i stedet loggede korresponderende IP-adresser i forbindelse med en connectionorienteret TCP-forbindelse, hvor IP-adresserne jo er de samme under hele forløbet. Og det kaldte man så en session.

Det betyder så, at UDP slet ikke bliver registreret.

Da den fulde logning af alle en kundes "sessioner" er en vanskelig og dyr opgave i et stort net med distribueret rutning (logiske forbindelser frem til rutere på højere nivau, som virkelig skal bestille noget osv), kunne man alternativt logge hver 500 datagrams(pakkes) IP-adresser på kanten til andre net. Så får man ikke netintern trafik med. Men man får også UDP-pakker med.

Men som sagt. Det overordnede mål var registrering af alle korresponderende IP-adresser, og sessionslogningen var en tilgang til dette. I politiets øjne ligesom man får korresponderende telefonnumre ved logning i telefonnettet.

Det førte jo så alligevel til 3,5 billioner poster pr. år i 2014.

Og det kan som sagt mange gange ikke rigtigt bruges til noget, da det kun viser forbindelsen til andre "maskiner", og intet om den service i form af mail, chat, hjemmesider osv., som du bruger. Men i enkelte tilfælde kan en IP-adresse i det mindste identificere at du har været på Google, i danske bank osv. Men der er ikke altid entydighed mellem IP-adresse og service. Faktisk går udviklingen i modsat retning med outsourcing, skyen, brug af hosts osv.

Jeg henviser i øvrigt til mine kommentarer her:

http://www.computerworld.dk/art/236190/ekspert-om-sessionslogning-forske...

Det er den egentlige baggrund for, at man ønsker sessionslogning genindført. Og som I ser, har den dybere årsag egentlig ikke noget med sessionslogning at gøre.

Fortræffelig baggrundsinformation, Mogens. Tak for det!

Men der er ikke altid entydighed mellem IP-adresse og service. Faktisk går udviklingen i modsat retning med outsourcing, skyen, brug af hosts osv.

Vores egen løbende forskning bekræfter dette.

Fx leveres Google-søgemaskinen, YouTube og andre Google-tjenester fra de samme IP-adresser.

Hvis man vil skelne mellem de forskellige tjenester leveret af fx Google eller fra servere i Amazons public cloud, bliver man ikke klogere af at kigge på serverens IP-adresse. Så er man nødt til at kigge ind i selve indholdet af pakkerne for at kunne identificere tjenesten ud fra fx Host-headeren i HTTP-forbindelser eller SNI-optionen i TLS-forbindelser (fx HTTPS). Og udstyr, der kan kigge ind i pakkernes indhold, koster væsentligt mere end simpelt udstyr, der kun behandler pakkernes IP-adresser og portnumre.

Og naturligvis arbejder privacy-eksperter også på at eliminere muligheden for at identificere tjenesten ved at kigge i pakkernes indhold - fx er det lykkedes med nyere versioner af Googles eksperimentielle QUIC-protokol.

Med venlig hilsen

Morten Brørup CTO, SmartShare Systems

Hvis man vil skelne mellem de forskellige tjenester leveret af fx Google eller fra servere i Amazons public cloud, bliver man ikke klogere af at kigge på serverens IP-adresse. Så er man nødt til at kigge ind i selve indholdet af pakkerne for at kunne identificere tjenesten ud fra fx Host-headeren i HTTP-forbindelser eller SNI-optionen i TLS-forbindelser (fx HTTPS). Og udstyr, der kan kigge ind i pakkernes indhold, koster væsentligt mere end simpelt udstyr, der kun behandler pakkernes IP-adresser og portnumre.

Jeg er sikker på at Justitsministeriet kan finde mange "gode" forslag til et langsommere, dyrere og mere overvåget internet i denne tråd.. :(

Logning hos teleudbydere er begrænset af, at man kun kan kræve logning af oplysninger, der genereres eller behandles i udbydernes net.

Hvis der er tale om oplysninger, der blot flyder gennem nettet, kan man altså ikke kræve, at teleudbyderen skal udbygge med funktioner, der opsnapper det.

For så er det indhold set med nettes øjne, selv om det set med brugerens øjne er end-to-end protokoller.

Denne begrænsning af logning står i logningsbekendtgørelsens § 1. Den er udtryk for, at teleselskaber ikke kan forpligtes til overvågning alene for overvågningens skyld. De kan kun forpligtes til logning af data, som de alligevel har i hånden.

Man kan stille spørgsmålstegn ved, om sessionslogning overholder dette. For nettet har jo ikke behov for at hav TCP og portnummer "i hånden". Og det betyder jo, at det ikke er oplysninger, der i udgangspunktet genereres eller behandles af nettet.

Forudsætningen gælder også de oplysninger, der efter bekendtgørelsen skal logges. Hvis de ikke genereres eller behandles i nettet, skal de alligevel ikke logges.

Mit indtryk er, at denne forudsætning ofte overses af teleudbyderne selv, og af dem, der foreslår yderligere logning, der reelt kræver deep packet inspection.

Jeg er sikker på at Justitsministeriet kan finde mange "gode" forslag ...

Jeg er sikker på, at Justitsministeriet forlængst har "blokeret" for de små-paranoide sølvpapirshatte på v2 debatten :-).

Inden jeg evt får en kommentar herom, kan det tilføjes, at der ikke er nogen pligt til at indrette sit net, så man genererer eller behandler logningspligtige oplysninger. Man kan bygge sit net som man vil, og først herefter kan der tages stilling til hvilke oplysninger, der genereres eller behandles ( som man har i hånden)

De af dem, som er listet i logningsbekendtgørelsen, skal så gemmes.

Logning hos teleudbydere er begrænset af, at man kun kan kræve logning af oplysninger, der genereres eller behandles i udbydernes net.

Hvis der er tale om oplysninger, der blot flyder gennem nettet, kan man altså ikke kræve, at teleudbyderen skal udbygge med funktioner, der opsnapper det.

Stadig er det enormt tåget hvem der betragtes som udbyder.

Eksempelvis er en boligforening med flere end 100 tilsluttede "enheder" en udbyder - der kan jo hurtigt medføre at en andelsforening med 34-40 lejligheder skal i gang med en meget kostbar process.

Endvidere siges der i forklaringen til bekendtgørelsen:

"Stiller et hotel for eksempel et gratis hotspot op i lobbyen eller stiller internet/telefoni til rådighed på værelserne, vil hotellet som udgangspunkt blive anset for udbyder, fordi udbuddet af forbindelsen vil ske som led i markedsføringen af hotellet og dermed med det - indirekte - formål at opnå en fortjeneste for hotellet."

Dvs. at et hotel der har ET hotspot i lobbyen skal logge - det giver ingen mening.

Og hvad værre er, faktisk kræver det at hotellet, fordi det skal logge, skal stille en PET godkendt kontaktperson til rådighed 24/7/365 - det giver så slet, slet ingen mening.

Stadig er det enormt tåget hvem der betragtes som udbyder.

Hvis man er i tvivl skal man spørge energistyrelsen og ikke justitsministeriet. For det er dem, der har kompetencen til at afgøre om man er teleudbyder eller ej.

Men inden man gør det, skal man tænke lidt over hvordan man tilrettelægger adgangen til at bruge tele.

For eksempelvis en betalingstelefon er ikke et teleudbud. Det er udtryk for, at det at stille adgang til tele til rådighed ikke i sig selv falder under teleloven og dermed ikke logningsreglerne. Du skal jo heller ikke logge, når du låner din telefon ud for nu at sætte det på spidsen.

Eksempelvis kan du i DI få adgang til tele via WIFI, som et frit gode, når du besøger dem. Det er ikke logningspligtigt hos DI, selv om den bagvedliggende teleudbyder selvfølgelig skal logge på den samlede forbindelse fra DI. DIs tilbud er ikke et teleudbud, men udtryk for godt værtskab.

PÅ samme måde vil jeg mene, at et hotel, der ikke kun tilbyder WIFI til betalende gæster, ikke er logningspligtig.

Men spørg dog energistyrelsen, så en praksis kan etableres uden modstridende signaler fra rådgiverkredsen, der måske endog har en interesse i en for vidtgående fortolkning.

I andre lande er logningskrav begrænset til offentlige udbydere, og dermed er hele hotelsektoren f.eks. undtaget. Det er noget af det, som der bør ses på ved en revision af logningsreglerne..

PÅ samme måde vil jeg mene, at et hotel, der ikke kun tilbyder WIFI til betalende gæster, ikke er logningspligtig.

Det citat jeg har taget ovenfor fra bekendtgørelsen er da ellers ret klart i mælet, og så dog..

Men spørg dog energistyrelsen, så en praksis kan etableres uden modstridende signaler fra rådgiverkredsen, der måske endog har en interesse i en for vidtgående fortolkning.

Er det ikke et stort problem at vi har bekendtgørelser, som ikke er så klare at de kan bruges til noget, og man skal forfalde sig på hvad en tilfældig styrelse siger den ene eller den anden dag?

Og er det ikke ret irrationelt at alle hoteller så skal komme rendende for at spørge om hvordan de køber aflad for deres handling, i stedet for at en entydig lov dannede et brugbart retsgrundlag?

Med mindre man mener at frygt og usikkerhed skal danne basis for vores "demokrati"?

Så i går udsendelse om momssvindel for mange milliarder med mulig forbindelse til terrororganisationer. Det var angiveligt nærmest umuligt at komme til livs.

Umuligt? Som i "umuligt" eller som i "svært" eller "ressourcekrævende"?

Og ville sessionslogning være en hjælp i denne sammenhæng, eller hvor er det det "umulige" befinder sig (spørgsmål fra IT-idiot)?

Jeg ville stadig ikke gå ind for sessionslogning, selv hvis det var en hjælp i disse sammenhænge. Men hvis det "umulige" ligger et helt andet sted end i den manglende sessionslogning - var det så ikke et meget mere nærliggende sted at fokusere ressourcerne, at man virkeligt satsede mange ressourcer på at opklare momssvindel, som tilfører terrorbevægelser mange milliarder, i stedet for at forsøge at overvåge hele befolkningen?

Follow the Money - det motto bliver aldrig forældet. Men kræver det sessionslogning at gøre det?

Og ville sessionslogning være en hjælp i denne sammenhæng, eller hvor er det det "umulige" befinder sig (spørgsmål fra IT-idiot)?

Jeg aner ikke, om IT-adgang er brugt til svindelen, og jeg så ikke udsendelsen.

Men jeg vil mene, at sessionslogning ikke er nyttig til eftersporing af en sådan svindel. Det er derimod logning af adgangen til Skats IT-systemer. Hvis man her kan knytte en IP-adresse til en svindlers adgang, kan denne søges eftersporet via den logning/oversigt af IP-adresser, der sker i det land, hvorfra det er foregået.

Her kan det lokale politi så beslaglægge udstyr, der har yderligere spor af transaktionen, hvorved egentlige beviser måske kan findes.

Men det har intet med sessionslogning at gøre. Jeg svarer, for måske at imødegå, at forvirrede politikere fremdrager dette eksempel. Men det bliver nok ikke Karsten Lauritzen, der tidligere har været kritisk over for sessionslogning.

Men hvis det "umulige" ligger et helt andet sted end i den manglende sessionslogning

Nu så jeg ikke udsendelsen, men jeg har undret mig meget over de momssager man har læst om.

Som jeg ser det er der et kæmpe (kulturmæssigt) problem i Skat, nemlig at man sover Tornerosesøvn, og simpelthen ikke reagerer om der så blev tændt en 500MW rød lampe 15 cm fra øjnene.

For Skat burde reagere hvis et helt nystartet firma, uden nogen omsætning, beder om at få et stort beløb tilbage i moms!

Og alt mulig snak om at Skat har for få ressourcer er et rent tågeslør - Skat har et mega problem med at gebærde sig og virke til samfundets gavn.

Eksempelvis er Skats reaktion på at have taget fejl ikke at rette fejlen (forkerte ejendomsvurderinger), men i stedet begynde at hyle op om at de skal have endnu flere ansat til at prøve at finde en måde man kan undgå at rette op på det der grundliggende er problemet - eller de kan bruge ufattelige ressourcer på at snage i flylister for at se om der er en formastelig synder der har snydt 72 kr på diæten.

Tak for svaret, Mogens Ritsholm.

Som jeg forstod forklaringerne i udsendelsen, så var det noget med mange tusinde handler med CO2-kvoter i lukkede kredsløb, hvor hver "runde" i kredsløbet snød en lille smule med momsen - og min amatør-forståelse var også, at det måtte have noget at gøre med de udskældte IT-systemer hos Skat at gøre.

Det er derfor, jeg undrer mig over, at det ikke er der, man vælger at forsøge at fange terrorister, i stedet for via sessionslogning. Man havde oven i købet en del kraftigt mistænkte i kikkerten - danskere oven i købet. Alligevel mente man ikke at kunne "knalde" dem, på trods af, at det er milliarder (over 40 af den slags, faktisk), der angiveligt forsvinder til terrorrist-finansiering, og på trods af, at sporene lød ret påfaldende.

Jeg fatter det ikke....hvis det virkeligt er en konsekvens af digitaliseringen af SKAT, at det er blevet umuligt at forfølge den slags - så burde vi måske gå tilbage til gamle, manuelle system, hvor det ikke er muligt at gennemføre tusindvis af fiktive handler med CO2-kvoter (eller værdipairer), uden at man kan hænge nogen op på det.

Igen - jeg fatter det ikke - nogen et eller andet sted i "systemet" må have personlige (økonomiske?) interesser i at opretholde en så idiotisk status quo. Ønsker man virkeligt at fange og stoppe disse terrorrister?

Kom i tanker om, at det var på DR1, og det kan ses på nettet: https://www.dr.dk/tv/se/dr1-dokumentaren/dr1-dokumentaren-sadan-svindles... http://www.dr.dk/nyheder/penge/korrespondent-dansk-momssvindel-kan-vaere... http://www.dr.dk/nyheder/penge/interaktiv-grafik-se-hvordan-dansk-firma-... http://www.dr.dk/nyheder/indland/stort-antal-co2-svindelsager-har-forbin...

Man havde oven i købet en del kraftigt mistænkte i kikkerten

Og det er jo præcis det samme man havde med diverse kendte terrorangreb, og terrorlignende (italesatte til) angreb.

I Paris var der tale om gamle kendinge som var i søgelyset.

Alle lamper omkring Omar El-Hussein lyste rødt.

PET havde mistanke til Blekingegade banden, men kommunikationen med resten af politiet svigtede fælt.

Osv, osv.

Så der er ingen rationel grund, men alligevel skal befolkningen undgælde for politiets og efterretningsvæsnets inkompetence og ærekærhed.

.. til at undgå at dette bliver indført ligger desværre hos kom-og-tag-mig Trine.

Så er der ikke en eller anden ugift behjertet nørd der vil ofre sig, tage nogle flotte stribede Mads Christensen sokker på, og give hende hvad hun så inderligt higer efter.

Samtidig kunne han jo så prøve at banke lidt fornuft ind i hovedet på hende også.

"http://jyllands-posten.dk/politik/ECE8414829/sejrssikre-kritikere-vi-faa...

Jeg håber, at det bliver med tilbagevirkende kraft, så vi kan se, hvem det er, der har trukket i trådende i denne logningssag, og om Pind er i god tro....(det har man nu sikkert ikke logget..)

Men lad os nu se, hvordan en evt. NY mørklægningslov bliver skruet sammen. Man kan sikkert finde på nye krumspring.

.. som den gamle, eller værre, så kommer det til at koste samfundet rigtig mange penge.

Eksempelvis kravende til telenet- og teletjenesteudbyderes praktiske bistand til politiet i forbindelse med indgreb i meddelelseshemmeligheden:

§ 1. Udbydere af elektroniske kommunikationsnet eller -tjenester til slutbrugere skal etablere et døgnbetjent kontaktpunkt, der til enhver tid kan bistå politiet i forbindelse med iværksættelsen af indgreb i meddelelseshemmeligheden, jf. lov om rettens pleje kapitel 71. Oplysninger om det døgnbetjente kontaktpunkt skal meddeles Rigspolitiets Telecenter.

Stk. 2. I stedet for at etablere et døgnbetjent kontaktpunkt vil Rigspolitiet efter ansøgning kunne give mindre udbydere tilladelse til at etablere en vagtordning, hvor politiet har adgang til at rette henvendelse til bestemte medarbejdere eller repræsentanter for udbyderen, der kan sørge for det videre fornødne i forbindelse med iværksættelsen af indgreb i meddelelseshemmeligheden. Oplysninger om vagtordningen skal meddeles Rigspolitiets Telecenter.

§ 2. Etablering af et døgnbetjent kontaktpunkt eller vagtordning kan efter aftale med udbyderen af elektroniske kommunikationsnet eller -tjenester til slutbrugere på dennes vegne foretages af en anden udbyder eller af en tredjemand.

Herudover er der også krav til sikkerhedsgodkendelse af kontaktpersonale:

§ 1. Udbydere af elektroniske kommunikationsnet eller -tjenester til slutbrugere skal sikre, at medarbejdere eller repræsentanter for udbyderen, der forestår kontakten til politiet i forbindelse med indgreb i meddelelseshemmeligheden, jf. lov om rettens pleje kapitel 71, sikkerhedsgodkendes af Rigspolitiet til at håndtere klassificerede oplysninger.

Stk. 2. De sikkerhedsgodkendte medarbejdere eller repræsentanter for udbyderen skal overholde Rigspolitiets angivelser vedrørende sikkerhedsforskrifter om behandling, opbevaring eller destruktion af klassificerede oplysninger.

Det er jo fuldstændigt ude i hampen at man vil stille den slags krav til eksempelvis et hotel eller en restaurant, bare fordi de tilbyder gratis WiFi.

Tiden må være moden til enten høtyve og fakler, eller i det mindste at give Pind&Skaarup en stor finger i form af civil ulydighed.