SF freder omstridt sessionslogning

Et opgør med den omstridte internetovervågning af danskerne - sessionslogning - kan ikke ske med SF-stemmer nu, for partiet er stadig bundet af aftale fra regeringstiden.

Der bliver ikke ændret på den danske internetovervågning lige foreløbigt, for selvom Venstre har meldt sig som modstander af sessionslogning og har støtte fra blandt andet Enhedslisten, er der ikke flertal i Folketinget.

Læs også: Venstre: Dansk telelogning er gået for vidt

Hos SF er man nemlig bundet af en aftale, der blev indgået, da SF stadig sad i regering. Det fortæller Karina Lorentzen, retsordfører for SF. Med aftalen vedtog man at udskyde en evaluering af reglerne, så den vil komme i løbet af 2014.

»Vi er en del af aftalen om at udskyde revisionen fra vores tid i regering. Men når den udskydelse udløber, må vi smøge ærmerne op. Så mener jeg ikke, vi kan vente længere,« siger Karina Lorentzen til Version2.

Læs også: Grønt lys for fortsat netovervågning

Læs også: Politisk flertal for at slække logningskrav - måske

Sessionslogning er en del af den samlede danske telelogning, hvor teleselskaberne er forpligtet til at gemme en lang række data om kundernes brug af telefon og internet. Hvor telelogningen tit bliver brugt af politiet til en række forskellige kriminalsager, har den langt mere omfattende sessionslogning stort set ikke været brugt. Kun ét eksempel, i forbindelse med et netbank-indbrud, har Justitsministeriet været fremme med.

Og derfor vil SF gerne se nærmere på sessionslogning, når det endelig bliver tid til den revision, som er blevet udskudt flere gange.

»Det er ikke sandsynliggjort specielt godt, at politiet har brugt sessionslogning fornuftigt. Så vi må spørge os selv, om det virkelig er nødvendigt at opretholde et så stort system for så få sager. Og om det ikke er muligt at knække disse få sager på andre måder, som ikke har dette skær af overvågning,« siger Karina Lorentzen.

En af begrundelserne, regeringen har brugt for at udskyde en revision af logningsbekendtgørelsen fra 2007, er hensynet til EU’s fælles regler om telelogning. Alle EU-lande skal i et vist omfang registrere borgernes brug af telefon og sms, men i Danmark gik man et skridt videre med sessionlogning.

Målet med sessionslogning var at kunne spotte for eksempel terrorister in spe ud fra deres internetbrug. Reglerne kræver, at teleselskaberne gemmer metadata - afsender og modtager - for hver 500. pakke i en internetsession. Men selvom disse registreringer udgør omkring 90 procent af de langt over én billion årlige lognings-registreringer, bliver de altså nærmest ikke brugt.

Tidligere skyldtes det tekniske problemer, så politiet i årevis slet ikke kunne læse formatet, men de er sidenhen blevet løst.

Og netop forskellen på de danske regler og EU’s regler vil SF gerne kigge på.

»Meget tyder på, at vi er gået for langt i Danmark, i forhold til hvad man kræver på EU-plan,« siger Karina Lorentzen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (21)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Morten Brørup

Faktisk skal start- og slut-tidspunkt samt IP-adresser og portnumre på hvert flow logges.

Logningsbekendtgørelsen indeholder en undtagelse, som tillader, at internetudbyderen kun logger informationerne for hver 500. pakke, hvis det ikke kan lade sig gøre at logge rigtigt.

Normale web-flows består af langt under 500 pakker, og de fleste web-flows kan derfor kan passere forbi uden at blive logget, når internetudbyderen benytter sig af undtagelsen.

Med denne gummiparagraf i bekendtgørelsen er det er ikke et mirakel, at datakvaliteten er så lav, at data nærmest kan betegnes som ubrugelige.

Se evt. www.logningsdirektivet.dk, hvor både Logningsbekendtgørelsen, EU-direktivet og andre relevante informationer er samlet.

mvh
Morten Brørup
CTO, SmartShare Systems

Thomas Løcke

Jeg undrer mig over hvad det er man forestiller sig at vinde ved sessionslogning. Det er jo ikke ligefrem vildt besværligt at anonymisere sig udenom, hvis man ikke ønsker at blive logget. Jeg forestiller mig at dem man gerne vil "fange" med det her er "smarte" nok til at vide hvordan man undgår den slags tiltag.

Ubrugeligt koncept + ubrugelig data = spild af penge.

Det er som om at der ikke er noget loft for hvor tåbeligt Christiansborg kan té sig.

Mogens Ritsholm

Normale web-flows består af langt under 500 pakker, og de fleste web-flows kan derfor kan passere forbi uden at blive logget, når internetudbyderen benytter sig af undtagelsen.

Med denne gummiparagraf i bekendtgørelsen er det er ikke et mirakel, at datakvaliteten er så lav, at data nærmest kan betegnes som ubrugelige.

Nu er det hver 500 pakke på kanten til andre net, hvilket vil sige andre AS.

Også kortvarige sessioner med få pakker vil blive omfattet. Men selvfølgelig ikke hver gang. Og mon ikke den interessante IP-adresse kommer med blandt de udvalgte, når en gennemsnitlig bruger genererer 500-1000 poster om dagen.

Det er rigtigt, at logning af første og sidste pakke i de såkaldte sessioner giver endnu flere logninger. Faktisk mange flere.

Men bliver det så mere brugbart af det?

I øvrigt kan logning med metoden første og sidste pakke helt undgås, hvis man ikke bruger TCP.

Fejlen ved sessionslogning er ikke, at man ikke logger nok dataposter.

Fejlen er, at de direkte IP-adresser, som du har været i kontakt med, ikke giver nogle brugbare spor.

Det gør det ikke, da man jo sjældent kommunikerer direkte med en anden bruger, men med en tjeneste, en sky, et VPN osv., som så sørger for den videre formidling.

Og så kan IP-adressen ikke bruges til noget.

Jesper Lund

Fejlen ved sessionslogning er ikke, at man ikke logger nok dataposter.

Meget enig (var lige med at skrive noget andet, da jeg overså den dobbelte brug af ikke..).

Der er mange fejl ved sessionslogningen. Først og fremmest er det et voldsomt indgreb i retten til privatliv (EMRK artikel 8), og det er meget svært se at kravene til nødvendighed og proportionalitet (jf. retspraksis ved menneskerettighedsdomstolen) skulle være bare i nærheden af at være opfyldt.

Hvis vi glemmer menneskerettighederne for en stund, og alene fokuserer på det overvågningstekniske (eller efterforskningstekniske, hvis nogle synes det ord er mere passende), så har Justitsministeriet aldrig leveret en reel "use case" for sessionslogningen. Udover nogle bigdata drømme om profilering af borgernes adfærd online, henstår det simpelthen i det uvisse hvad de vil med sessionslogningen.

Mogens Ritsholm

Udover nogle bigdata drømme om profilering af borgernes adfærd online, henstår det simpelthen i det uvisse hvad de vil med sessionslogningen

Det historiske svar kan let gives.

Politiet var vant til, at teleoplysninger for telefonopkald ofte er nyttigt.

Så de ville simpelthen have det samme for internet.

Derfor sagde det første udkast til bekendtgørelsen (2004), at internetudbyderen skulle logge alle, som du havde været i kontakt med via internet.

Det måtte man så trække tilbage, da man forstod, at internet virker anderledes end telefonnettet.

Men ambitionen forblev, selv om det var i strid med lovgrundlaget.

Telefonnettet bruger telefonnumre og internet bruger IP-adresser. Ergo måtte man logge IP-adresser ligesom man logger telefonnumre.

Det er jo helt vanvittigt. Men selv en stor pædagogisk indsats og påpegning af lovgrundlaget hjalp ikke over for den magtfuldkommenhed, der herskede omkring PET.

Så det endte med sessionslogningen, der jo stadig bærer kendetegnene fra den oprindelige ambition.

Og politikerne stolede i deres terrorangst på alt fra PET. Så det var ikke til at standse.

Så indtil 2007 er sagen opklaret.

Det som kan undre er så, hvorfor man ikke efter 7 år har fundet anledning til at rette fejlen. Ingen andre lande logger internettrafik. Og NSA har også for længst opgivet det. Målrettet logning og logning hos tjenesteudbydere er langt mere effektivt og brugbart.

Men måske er svaret, at ingen i systemet tænker dybere over det. Og det letteste er jo bare at fortsætte og dermed give aben videre til kommende justitsministre. Det koster jo ikke staten noget.

Det burde oppositionen - herunder SF - tænke lidt mere over. For der er jo ikke længe til fredningsperioden for en revision udløber.

Før eller siden revner ballonen.

Morten Brørup

Nu er det hver 500 pakke på kanten til andre net, hvilket vil sige andre AS.

Der står ikke noget i Logningsbekendtgørelsens §5 stk. 5 om, at logningen kun skal ske ved overgangen mellem udbyderens eget og andre udbyderes net.

Men udbyderne har tilsyneladende valgt at opfatte de net, der er bag deres kunders firewalls, som en del af udbydernes egne net. Dermed behøver de jo ikke at logge ved kanten til deres kunders net.

Også kortvarige sessioner med få pakker vil blive omfattet. Men selvfølgelig ikke hver gang. Og mon ikke den interessante IP-adresse kommer med blandt de udvalgte, når en gennemsnitlig bruger genererer 500-1000 poster om dagen.

Det er sandsynlighedsregning. Den interessante IP-adresse kommer kun med, hvis brugeren har tilstrækkelig meget kommunikation med den. Hvis et web-flow fx består af 20 pakker (hvilket normalt er størrelsesordenen), skal brugeren kommunikere med serveren 25 gange for sandsynligt at blive fanget af sampling-metoden.

Det er rigtigt, at logning af første og sidste pakke i de såkaldte sessioner giver endnu flere logninger. Faktisk mange flere.

Men bliver det så mere brugbart af det?

Jeg har hørt politiet efterspørge informationer, hvor brugeren kun havde 2 flows til den pågældende server den pågældende dag. Det var sandsynligvis ikke blevet logget ved sampling af hver 500. pakke. Så ja, det bliver (sandsynligvis) mere brugbart af det.

I øvrigt kan logning med metoden første og sidste pakke helt undgås, hvis man ikke bruger TCP.

Hvor har du det fra? Hvis sessionslogningen var begrænset til TCP, ville Logningsbekendtgørelsens §5 stk. 1 punkt 3 næppe eksplicit specificere, at man skal logge transportprotokollen. Jeg kan ikke se noget sted, at fx UDP-, ICMP- og GRE-flows ikke skal logges. Og TCP er heller ikke nævnt eksplicit.

Fejlen ved sessionslogning er ikke, at man ikke logger nok dataposter.

Fejlen er, at de direkte IP-adresser, som du har været i kontakt med, ikke giver nogle brugbare spor.

Det gør det ikke, da man jo sjældent kommunikerer direkte med en anden bruger, men med en tjeneste, en sky, et VPN osv., som så sørger for den videre formidling.

Og så kan IP-adressen ikke bruges til noget.

Her har du fuldstændig ret. Og i takt med at serverne flytter i skyen hos Amazon, Azure osv., og indholdet bliver leveret via content delivery networks som Akamai osv., bliver servernes IP-adresser endnu mere irrelevante.

Idag findes stadig masser af servere (eller hvad abonnenterne ellers kommunikerer med), der har faste IP-adresser.

Men jeg er fuldstændig enig med dig i, at trenden går i retning mod skyen, hvor servernes IP-adresser er irrelevante.

Desuden er det meget let at omgås logningen som internetbruger, hvis man ønsker. Det er alle teknikere enige om.

Bemærk: Jeg forsøger at bidrage til debatten med fakta. Min private holdning til balancen mellem effektiv politiefterforskning og overvågningsamfund er irrelevant.

mvh
Morten Brørup
CTO, SmartShare Systems

Mogens Ritsholm

Bemærk: Jeg forsøger at bidrage til debatten med fakta. Min private holdning til balancen mellem effektiv politiefterforskning og overvågningsamfund er irrelevant.

Det er udmærket, at du bidrager. Men du begår nogle væsentlige fejl, som jeg må kommentere.

At det er hver 500. pakke på kanten til andre net står højt og tydeligt i paragraf 5 stk.5. Det står også i vejledningen - endog med en tegning. Og det blev afklaret i ekspertgruppen med justitsministeriet, som accepterede, at man dermed ikke får netintern trafik logget. Det var ikke af stor betydning i forhold til den type forbrydelser (terror), som man primært interesserede sig for. Derfor accepterede justitsministeriet metoden.

Det man kalder en "session" i logningsbekendtgørelsen er en connectionorienteret TCP-forbindelse. Og åbning af "session" er etablering af TCP-forbindelsen, mens lukning er terminering af transportforbindelsen.

Metoden er beskrevet i et notat, som justitsministeriet fremlagde i ekspertgruppen, hvor jeg var medlem.

Det betyder, at UDP slet ikke logges efter metoden. Og heller ikke anden kommunikation, der ikke bruger TCP.

Men det kommer med ved hver 500. pakke, hvor man jo bare skovler hver 500. pakke ned i rusen på IP-niveau.

Morten Brørup

At det er hver 500. pakke på kanten til andre net står højt og tydeligt i paragraf 5 stk.5. Det står også i vejledningen - endog med en tegning. Og det blev afklaret i ekspertgruppen med justitsministeriet, som accepterede, at man dermed ikke får netintern trafik logget. Det var ikke af stor betydning i forhold til den type forbrydelser (terror), som man primært interesserede sig for. Derfor accepterede justitsministeriet metoden.

Desværre har jeg kun læst de almindeligt tilgængelige informationer (dvs. selve Logningsbekendtgørelsen og vejledningen), og her nævnes ikke, at netintern trafik ikke skal logges - §5 stk. 5 nævner andre net (ikke andre udbyderes net eller lignende) og vejledningens tegning bærer kommentaren: ... skal registreres af udbyderen, hvis kommunikationen forlader udbyderens net.

Som fagmand vil jeg mene, at en internetabonnents kommunikation forlader internetudbyderens net, når den går videre til et net, der tilhører en anden af internetudbyderens abonnenter, som fx kan have en server stående. Jeg tror ikke, at vores internetudbyder synes, at netværket på indersiden af vores firewall er en del af deres net, og dermed deres ansvar at få til at fungere. Der står ikke i vejledningen, at trafik til andre abonnenter skal fortolkes som netintern trafik, og ikke skal logges. Med armen vredet om på ryggen kan jeg godt tolke tegningen som du beskriver, idet dette punkt ikke indgår i tegningen. Så det kunne de godt have præciseret, hvis det er intentionen.

Det man kalder en "session" i logningsbekendtgørelsen er en connectionorienteret TCP-forbindelse. Og åbning af "session" er etablering af TCP-forbindelsen, mens lukning er terminering af transportforbindelsen.

Metoden er beskrevet i et notat, som justitsministeriet fremlagde i ekspertgruppen, hvor jeg var medlem.

Det betyder, at UDP slet ikke logges efter metoden. Og heller ikke anden kommunikation, der ikke bruger TCP.

Men det kommer med ved hver 500. pakke, hvor man jo bare skovler hver 500. pakke ned i rusen på IP-niveau.

Så fatter jeg ikke, at §5 stk. 1 (logning af flows) kræver logning af transportprotokollen, når transportprotokollen kun skal logges efter stk. 4 (sampling-metoden). Men det er lovtekst, og der er nok nogle jura-tekniske årsager, som en jurist har meget bedre argumenter for, end en ingeniør som mig har argumenter imod.

Er nogle af de notater, du refererer til, tilgængelige for offentligheden? De lemper jo fortolkningen en hel del i forhold til den offentliggjorte bekendtgørelse og vejledning, og kan derfor være relevant information for de internetudbydere, der ikke havde folk med i ekspertgruppen.

PS: Jeg overværede for nogle år siden dit særdeles interessante foredrag i IDA om historien bag Logningbekendtgørelsen, og jeg er glad for, at du fortsat bidrager til debatten med din insiderviden, så vi kan få rettet nogle misforståelser - inkl. mine egne.

mvh
Morten Brørup
CTO, SmartShare Systems

Mogens Ritsholm

Er nogle af de notater, du refererer til, tilgængelige for offentligheden? De lemper jo fortolkningen en hel del i forhold til den offentliggjorte bekendtgørelse og vejledning, og kan derfor være relevant information for de internetudbydere, der ikke havde folk med i ekspertgruppen.

Hej Morten

Justitsministeriets forslag til sessionslogning er beskrevet i en notits, som version2 tidligere har vedlagt en artikel.

http://www.version2.dk/artikel/her-er-brevet-der-advarede-minister-mod-l...

Du skal scrolle helt ned i vinduet.

Af notitsen kan du se, at en session i deres verden er en TCP connection, dens start og dens afslutning.

Læg i øvrigt også mærke til de IP-adresser, der er anvendt i eksemplet.

Med hensyn til opfattelsen af "grænsefladen til andre net" er jeg på sikker grund. For det blev diskuteret og der blev regnet på det mv. i forarbejderne.

En net-til-net grænseflade er i internetverdenen grænsen til et andet domæne i internet og ikke en grænseflade til en server, som med netbriller er et kundedomæne.

Jeg kan godt se, at det er irriterende, at man ikke ud af selve "lovteksten" kan læse den rette fortolkning.

Men sådan er det ofte.

I de fleste tilfælde må man ned i forarbejder og evt. retspraksis for at fortolke det retvisende.

Det er lovgivers - og ikke mit - ansvar, at det ikke er kommet tydeligt frem.

Ulrik Suhr

Efter hvad jeg forstår er det en udgift det offentlige har lagt på brugerne af nettet. Så politiet kan få en resurse til opklaring af "terror".
Jeg ved ikke hvor omkostningstung hele jubel idioti'et er, men vil politiet ikke være bedre tjent med flere menneskelige-IT resurser i stedet?

Er det ikke bare endnu en "oplyst" beslutning/lovgivning af IT-analfabeter? Er SF et seriøst parti som holder aftaler?

Jens Jönsson
Johannes Aagaard

Det er som sædvanlig en interessant debat, der pågår her på version2 om dette emne. Men skal man forvente, at politikerne - og formentlig også en nogle i justitsministeriet forstår dette ikke helt enkle regelsæt - og de faktiske begrænsninger, der ligger i den nuværende lovgivning, så er det nok vigtigt, at man virkelig gør sig umage med at forklare tingene på måde, så det ikke kun er det teknisk mindede, der forstår, hvad det her handler om.

Den tekniske side af sessionslogning og det gældende regelsæt, er der mange der har langt mere forstand på end jeg, så derfor har jeg som lægmand et par bemærkninger og spørgsmål (ud fra devisen om, at når jeg har behov for en uddybning, så er der sikkert også andre, der har det behov):

Læser man vejledningen til bl.a. sessionslogningen, fremgår det "Forpligtelsen til at registrere oplysninger om en internet-sessions initierende og afsluttende pakke gælder ikke for udbydere, hvis en sådan registrering ikke er teknisk mulig i udbydernes system.", hvorefter man skal følge "500.-pakkereglen". Nu kunne det jo så være interessant at høre, hvor mange udbydere, der følger regelsættet med registrering af en internet-sessions initierende og afsluttende pakke og hvor mange der følger undtagelsesreglen. (Jeg har ikke kunnet finde frem til nogle beskrivelse af dette forhold.)

Som Mogens Ritsholm påpeger tidligere også i denne debattråd, så kan man ganske rigtigt ikke sidestille traditionel telefoni og IP-kommunikation i forhold til logning, og herunder er det naturligvis også korrekt, at kommunikerer en given bruger over internettet, vil resultatet af en sessionslog typisk give en IP-adresse, der peger på Hotmail, Google eller f.eks. Skype og bl.a. et portnummer, m.v. Klart er det, at dette ikke giver oplysninger om, hvem brugeren faktisk kommunikerede med, men det er dog en ledetråd, da politimyndigheden herefter vil kunne kontakte tjenesteudbyderen Microsoft eller Google, og med angivelse af bl.a. brugerens IP-adresse og et dato-tidsstempel m.v. vil den pågældende tjenesteudbyder utvivlsomt kunne finde frem til, hvem der kommunikerede med hvem. Det er sikkert omstændeligt, men det er sandsynligvis muligt.

Det er endvidere sandsynligt, at en tjenesteudbyder som f.eks. Google i forbindelse med en given session (f.eks. afsendelse af en e-mail mellem to brugere) vil være i besiddelse af geolokaliseringsdata (f.eks. via installerede apps), evt. IMEI-/IMSI-nummer, MAC-adresse, oprettelses-/registreringsoplysninger, IP-historik m.v. - altså egentlige kommunikations- og kontaktspor. Hvor mange af disse spor, der - ud over forpligtelsen til sessionslogning - faktisk er tilgængelige også hos teleudbyderne, afhænger sikkert så af, i hvilken dybde teleudbyderen moniterer trafikken. Helt så håbløst ser det formentlig så ikke ud til at være.

Ydermere kunne man jo fra EU's side forlange af tjenesteudbydere, at vil de servicere det europæiske marked med deres tjenester, så skal de data, som genereres i EU være tilgængelig for europæiske politimyndigheder og rent fysisk opbevares inden for EU's jurisdiktion.

Omkring diskussionen om sessionsreglerne og TCP-UDP registrering, bemærker jeg, at der i vejledningen til sessionslogningen udtrykkelig står anført, at "Ved oplysninger om transportprotokol forstås oplysninger om, hvilken protokol der har været anvendt til at transportere de pakker, der indgår i en internet-session. Det kan f.eks. være TCP, UDP eller lignende." Ud fra denne formulering i vejledningen gælder logningen således både for TCP og UDP forsendelsesprotokollerne, vil jeg mene.

Helt overordnet er det er naturligvis helt berettiget - og ekstremt væsentligt - at diskutere såvel rimelighed som nytteværdi af den gældende sessionslogning eller sessionslogning generelt af folks færden på internettet, og når vi i Danmark har en et regelsæt om sessionslogning, så må man selvfølgelig også i forhold til proportionaliteten forholde sig til, hvor ofte en given lovgivning bliver anvendt. Ligeledes er det relevant at skele til, hvorledes lande, som vi normalt sammenligner os med, håndterer disse udfordringer eller problemstillinger.

Skuffende er det under alle omstændigheder, at der fra lovgiverside er skabt så stor uklarhed om lige præcis dette område, for uklarheden alene vil potentielt kunne forringe mulighederne fremover for at få lavet en fornuftig og balanceret lovgivning, der både sikrer almindelige borgere mod unødig overvågning, men som også sikrer, at politiet fanger de forbrydere, som vi som samfund også forventer bliver draget til ansvar.

Jesper Lund

Som Mogens Ritsholm påpeger tidligere også i denne debattråd, så kan man ganske rigtigt ikke sidestille traditionel telefoni og IP-kommunikation i forhold til logning, og herunder er det naturligvis også korrekt, at kommunikerer en given bruger over internettet, vil resultatet af en sessionslog typisk give en IP-adresse, der peger på Hotmail, Google eller f.eks. Skype og bl.a. et portnummer, m.v. Klart er det, at dette ikke giver oplysninger om, hvem brugeren faktisk kommunikerede med, men det er dog en ledetråd, da politimyndigheden herefter vil kunne kontakte tjenesteudbyderen Microsoft eller Google, og med angivelse af bl.a. brugerens IP-adresse og et dato-tidsstempel m.v. vil den pågældende tjenesteudbyder utvivlsomt kunne finde frem til, hvem der kommunikerede med hvem. Det er sikkert omstændeligt, men det er sandsynligvis muligt.

Jeg synes ikke at sessionslogningen bidrager med ret meget i forhold til at fastlægge hvem en mistænkt har kommunikere med via Gmail eller Skype. Det som betyder noget her er de (frivillige) registreringer som Google og Skype/Microsoft laver. Dem er der rigtigt mange af, hvilket uden tvivl glæder politiet (at de kriminelle bliver ved med at benytte disse overregistrerede tjenester virker noget uforklarligt, men det skal jeg ikke gøre mig klog på).

Hvis dansk politi henvender sig til Google, kan de uden videre få oplyst non-content metadata for en bruger, for eksempel hvem brugeren har kommunikeret med og hvilke IP adresser der er benyttet til login. Det kræver ikke dommerkendelse i USA (warrant), kun en subpoena (en officiel henvendelse fra myndighed)
http://www.google.com/transparencyreport/userdatarequests/legalprocess/

Sessionslogningen vil selvfølgelig fortælle politiet at den mistænkte har brugt Skype eller Gmail, men der er andre måder til at undersøge dette. For eksempel spor på den mistænktes computer. Der er kun adgang til sessionslogningen for en konkret mistænkt, ikke data-mining muligheder ala "hvem har benyttet Skype fredag eftermiddag fra IP adresser i Holbæk."

Politiet kan også få udleveret de IP adresser som en mistænkt har benyttet (logning efter 5.2). Da services som Skype, Gmail og Hotmail er meget populære, kunne man sagtens forestille sig at politiet rutinemæssigt spørger Google og Microsoft om der har været login fra disse IP adresser. Det er non-content metadata, som uden videre kan udleveres (subpoena niveau).

I mange tilfælde vil efterforskningssporet formentlig gå den anden vej. I stedet for at starte med en mistænkt person (som ovenfor), vil et Gmail/Skype/Hotmail username dukke op i efterforskningen, og politiet spørger Google/Microsoft hvem der "ejer" denne konto. Der er næppe et korrekt (valideret) navn og adresse, men der vil være nogle IP adresser fra login. Dem kan politiet spørge på hos internetudbyderne og få information om abonnent.

Vi behøver ikke en totalregistrering af borgernes internettrafik, for eksempel hvilke politiske partiers hjemmesider som borgerne interesserer sig for, for at politiet kan lave den type efterforskning af kommunikation via Gmail og Skype.

Mogens Ritsholm

Omkring diskussionen om sessionsreglerne og TCP-UDP registrering, bemærker jeg, at der i vejledningen til sessionslogningen udtrykkelig står anført, at "Ved oplysninger om transportprotokol forstås oplysninger om, hvilken protokol der har været anvendt til at transportere de pakker, der indgår i en internet-session. Det kan f.eks. være TCP, UDP eller lignende." Ud fra denne formulering i vejledningen gælder logningen således både for TCP og UDP forsendelsesprotokollerne, vil jeg mene.

Meget enig med tonen i dit indlæg.

Men til forståelse af UDP/TCP connection spørgsmålet vil jeg blot anføre, at metoden i 5.1 siger, at man skal registre første og sidste pakke. Og ved UDP er der ikke nogen første og sidste pakke. Derfor registreres UDP slet ikke.

Så triggeren for registrering efter 5.1 er en connectionorienteret TCP forbindelse og alt andet passerer uregistreret.

Det vil du også kunne se i den notits fra justitsministeriet, som var bilagt en tidligere artikel her på version2 ( jeg linkede til den tidligere i denne tråd).

Derimod får man spor af alle typer kommunikation ved hver 500. pakke.

Du kan ikke vide det. Men årsagen til, at jeg borer i dette er, at justitsministeriet i seneste redegørelse har antydet, at muligheden for metoden med hver 500 pakke burde fjernes, så alt skulle sessionslogges efter 5.1.

Det vil give endnu større mængder logningsdata, samtidigt med, at det vil give sikre "huller" i logningen. Huller, som man kun kan lappe, hvis man virkelig begynder at analysere al trafikindhold i nettet. Og det er uoverkommeligt.

Håber du ser, at der således i detaljen også ligger vigtige elementer af den mere overordnede problemstilling, som jeg er helt enig med dig i.

Logningsfilosofien er, at teleselskaber skal gemme data, som de "genererer eller behandler" under trafikafvikling i stedet for at smide dem væk.

Filosofien er ikke, at Teleselskaberne skal være overvågningsvirksomheder gennem aktiv analyse af kundernes trafik - alene med det formål at overvåge.

For så er de pludselig statens overvågningsvirksomhed i stedet for kundernes televirksomhed.

Udtrykket "genererer eller behandler" stammer fra direktivet og det står i § 1 af logningsbekendtgørelsen.

Det gør det netop for at sætte grænsen til overvågningsvirksomhed.

Men justitsministeriet har ikke selv vist forståelse for dette ved udmøntningen, hvor sessionslogning kan siges at være en overtrædelse. For nettet har jo slet ikke et operativt behov for at snage i IP-pakkernes indhold - herunder TCP eller andre protokoller.

Man skulle ellers tro, at den vigtige grænse mellem tele- og overvågningsvirksomhed netop var en juridisk kernekompetence.

Jesper Lund

Du kan ikke vide det. Men årsagen til, at jeg borer i dette er, at justitsministeriet i seneste redegørelse har antydet, at muligheden for metoden med hver 500 pakke burde fjernes, så alt skulle sessionslogges efter 5.1.

Hvis der skal sessionslogges efter 5.1, skal internetudbyderen vel holde styr på alle kundernes TCP forbindelser, svarende til at internetudbyderen kørte med CG-NAT? TCP forbindelser kan leve i dage eller uger, f.eks. SSH.

Mogens Ritsholm

Hvis der skal sessionslogges efter 5.1, skal internetudbyderen vel holde styr på alle kundernes TCP forbindelser, svarende til at internetudbyderen kørte med CG-NAT? TCP forbindelser kan leve i dage eller uger, f.eks. SSH.

Ikke helt forstået.

Nat er vel på IP-niveau, mens logning efter 5.1 er trigget på TCP niveau (initierende og afsluttende pakke).

Men det er rigtigt, at fuld logning af NAT giver en sværm af logninger som i mængde kan minde om logning efter 5.1, da der er mange kortvarige TCP forbindelser ved normalt brug.

Men det er to helt forskellige ting.

Spørgsmålet om fælles anvendelse af globale IP-adresser via NAT er ikke behandlet i logningsbekendtgørelsen. Og det vil ikke være særlig anvendeligt, da tjenester ude i verdenen normalt ikke logger portnummeret.

Så selv med fuld logning af NAT kan et spor ikke føres tilbage til brugeren.

Jesper Lund

Nat er vel på IP-niveau, mens logning efter 5.1 er trigget på TCP niveau (initierende og afsluttende pakke).

Det jeg mente er at routeren skal holde styr på abonnentens igangværende åbne TCP sessioner, for at kunne afgøre om det er sidste pakke. Eller benyttes der andre metoder til at bestemme hvad der er første og sidste pakke?

Det har selvfølgelig intet med NAT at gøre, udover at en NAT router skal holde styr på igangværende sessioner. Mest forsøg på analogi for min egen forståelse.

Morten Brørup

Mogens Ritsholm skrev:

Af notitsen kan du se, at en session i deres verden er en TCP connection, dens start og dens afslutning.

I notitsen står: På OSI-modellens lag 4 findes "header-oplysningerne" for den anvendte transportprotokol, herunder oplysninger om portnumre for TCP og UDP (de to hyppigst anvendte transportprotokoller).

Det læser jeg som, at UDP (og alle andre transportprotokoller) også er omfattet.

Men til forståelse af UDP/TCP connection spørgsmålet vil jeg blot anføre, at metoden i 5.1 siger, at man skal registre første og sidste pakke. Og ved UDP er der ikke nogen første og sidste pakke. Derfor registreres UDP slet ikke.

Selvom et UDP-flow er en såkaldt "connectionless" forbindelse, er det stadig en form for forbindelse. Fx er en IP-telefonsamtale baseret på et UDP-flow mellem to IP-telefoner - og her er da for alvor tale om noget, som Logningsbekendtgørelsens sessions-begreb må omfatte.

Jesper Lund skrev:

Det jeg mente er at routeren skal holde styr på abonnentens igangværende åbne TCP sessioner, for at kunne afgøre om det er sidste pakke. Eller benyttes der andre metoder til at bestemme hvad der er første og sidste pakke?

NAT-routeren skal holde styr på både TCP- og UDP- (og andre flows) for at kunne oversætte IP-adresserne og portnumrene korrekt. (De fleste NAT-routere udfører i virkeligheden NAPT - Network Address and Port Translation.)

For TCP-flows benytter man SYN- og FIN-bits i pakkerne for at afgøre start og slut på et flow. For andre protokoller benytter man timeout, fx hvis der kommer UDP-pakker med afsender IP-adresse 10.1.2.3 port 45678 og modtager IP-adresse 8.8.8.8 port 53, som NAT-routeren oversætter til fx afsender 212.56.170.123 port 56789 og modtager 8.8.8.8 port 53, er det et UDP-flow. Flowet bliver oprettet i NAT-routerens flow-tabel ved første pakke, og nedlagt igen, når der ikke har været pakker i det flow i et stykke tid, fx 2 minutter.

mvh
Morten Brørup
CTO, SmartShare Systems

Log ind eller Opret konto for at kommentere