Søren Pind: Sessionslogning er for dyrt - vi skal finde en billigere model

Det er en lille sejr, men spillet er tydeligvis ikke slut endnu. Hvad kommer den "billigere model" mon til at omfatte?

Så faldt sessionslogning endeligt. Men alene på et økonomisk argument, der forekommer mig lidt overdrevent.

Men sessionslogning er først og fremmest et utroligt dumt forslag, når man kender bare lidt til internettet.

Derfor er det også med en vis bekymring, at vi nu skal afvente nye forslag.

Justitsministeriet må simpelthen sætte nye folk på sagen, inddrage telesektoren og sikre et åbent forløb i den fortsatte proces.

Mon ikke de hurtigt finder på nye giftigheder?

Hvor meget rigtig sikkerhed kan vi mon købe for en milliard, hvis man investerer den fornuftigt.. Altså en milliard om året!!

At det falder på et økonomisk aspekt, fremfor aspektet omkring respekten for borgernes privatliv er beskæmmende og viser desværre kun tydeligt, hvilke ringe personligheder, vi har siddende i folketinget og omgivende netværk.

Heldigvis er der mange muligheder for at forhindre overvågning hvis man er lidt teknisk kyndig. Og sessions-logning er jo som de fleste professionelle ved: 110% ineffektiv.. udover at de kriminelle bruger anonyme VPN uden logning osv, så er alene datamængden så stor at det får Politiet ALDRIG styr på.

altså udover at: en masseovervågning som denne er så forkastelig som noget kan være.. DDR go home.. Dk er meget længere!

Hvem andre kunne skrive en artikel leet'o'clock 13:37!

Det kan også bare være eneste offentlige argument, der tillader Søren Pind blive klogere skifte mening uden at tabe ansigt.

Jeg er ikke ligeglad med prisen, men jeg er ikke begejstret for, at (total-)overvågning/ikke-overvågning skal afgøres ud fra økonomiske hensyn. Det burde være et politisk/moralsk/juridisk spørgsmål. Skal vi så forvente, at det går glat igennem, når prisen er faldet?

Det var pænt sagt.

Har netop hørt Pind beklage sig fornærmet på samrådet over, at et endnu ikke fremsat lovforslag er lækket, med helt forkerte oplysninger om indholdet, og med megen unødig palaver til følge. Pind bruger dette som argument for at bibeholde Mørklægningsloven, fordi der er brug for at kunne arbejde med den slags i fred.

Men har Pind ikke tidligere udtalt, at der forelå et konkret forslag, og at forslaget forventedes vedtaget i slutningen af marts? Jeg husker ikke lige hvor jeg hørte det - kan andre huske det?

Hvis jeg husker dette rigtigt, så virker det noget søgt at blive fornærmet over, at andre også gerne vil vide hvad der foregår, inden det er for sent.

For mig at se er sagen netop et eksempel på, at Mørklægningsloven bør afskaffes, så der ikke bliver så meget plads til en masse spekulationer pga. manglende informationer om, hvad der foregår.

Der er mange tekniske aspekter som vil gøre at de data man får ud af en sådan log er værdiløse i efterforskningssammenhæng, så hvorfor er politiet så forhippet på at få sessionslogning?

Hvorfor siger ledende politifolk at sessionslogning vil hjælpe deres efterforskning når alle deres eksempler på nær eksemplet med terrorisme ikke giver adgang til sessionsloggen?

Det giver ikke mening – medmindre at dataene fra sessionsloggen skal bruges til noget andet, som f.eks. at indgå i grundlaget for datamining.

Kort sagt noget som minder om realtime samkørsel af ”hele lortet” med ANPG, telefon metadata, kreditkort clearing, Rejsekortet og lignende. Uden sessionsdata mangler glasuren på kagen.

I vil se at justitsministeriet vil ”opdage” at det ikke er overvågning fordi man ikke tilgår oplysninger som identificerer brugeren uden en dommerkendelse.

Sessionsloggen kommer med samme logningskrav som før – men nu skal IPS’ere kun gemme 48 timers data før ”de skal dagligt skal afleveres til dataminen”.

http://www.version2.dk/artikel/politiet-implementerer-hemmeligt-system-d...

Så myndighedernes penge igen spildt, næste gang må vi bede dem om selv at betale af egen lomme, indtil pengene er fundet og loven gennemført.

Det ligner at gennemsnitslønnen for en politibetjent med under 12 års erfaring ligger på 25-27k. Hvis vi antager højeste sats, så er det ca. 3000 betjentes årsløn. Så mon ikke man kunne få 2000 betjente + biler + uniformer + udrustning for det beløb, sådan i hele træskolængder?

Alternativt ca. 1000 virkeligt dygtige IT-folk til at lave politiets systemer in-house og understøtte efterforskningerne?

Ja. Det er lige lovlig groft i lyset af hans egne tidligere udtalelser, meldinger fra rigspolitidirektøren og flere andre i politiet.

Men det værste er, at Pind stadig ikke forstår forskellen på en teletjeneste og en IT-tjeneste.

Hans argument er, at man skal have en log af en besked uanset om den er sendt som SMS eller via en IT-tjeneste. Han brugte Iphone som eksempel.

Han har slet ikke forstået, at teleselskaberne aldrig kan levere end-to-end spor for beskeder via en IT-tjeneste.

Den ambition kræver noget helt andet end telelogning, som også Europol har forstået.

@anne-marie

dårlig vits:

Hvad havde du ventet af sPind?

Mogens: Ja, jeg er åbenbart erfaringsresistent på det punkt :-)

Justitsministeren har købt sig mere tid og udskyder blot beslutningen om øget overvågning indtil en billigere løsning er fundet. Problemets egentlige kerne drøftes ikke, kun økonomiske argumenter tæller. Det er set før og det vil ske igen.
TDC's frasalg af Danmarks vigtigste og mest kritiske infrastruktur til Huawei var også begrundet i økonomien og ikke i samfundets sikkerhed og befolkningens interesser. Politikerne trækkes rundt i manegen af både embedsværket, interessegrupper og usaglige argumenter. Der er ikke stemmer nok i It- og cybersikkerhedspolitik og derfor prioriteres området lavt. Ikke engang et It- og cybersikkerhedsudvalg kan politikerne mande sig op til at etablere. Når politikerne ikke kan tage sig sammen må andre gøre det for dem.

2.000 er nok lige i overkanten. I det offentlige hører jeg tit, at tommelfingerregelen er, at en ansat koster det dobbelte af årslønnen (pension, sociale omkostninger, kontorhold, nødvendigt udstyr osv.). Og det er for overenskomstansatte. Tjenestemænd koster næppe mindre.

Men jo, der kan blive råd til rigtig mange politibetjente for 1 milliard kroner.

Der er så bare lige den lille detalje, at den milliard der skulle spildes på dette vanvidsprojekt ikke var politiets men ISP'ernes.

At bruge andres penge er jo nemmere end selv at gribe til pungen.

Flere af partierne efterlyser de økonomiske beregninger, som ligger bag Pinds tilbagetog. Mon det lykkes, eller har Mørkelygten mon taget dem?
http://jyllands-posten.dk/politik/ECE8520030/partier-kraever-indsigt-i-a...

Hvad med alle ISP'er og teleselskaber forpligtes til at have et (evt. fælles) ad-hoc lognings-beredskab, som politiet/PET kan anmode om 24/7/365.

MEN:

1. Logningen skal foregå linje/telefonnummer/IP/IMEI/MAC/SSID/email-specifikt og efter proportionalitetsprincippet.

2. De loggede data SKAL krypteres fra ISP/teleselskabets side og nøglen udleveres KUN til retten.

3. Politiet/PET kan der efter fremlægge deres beviser for retten, som afsiger dommerkendelsen og frigiver (de-)krypteringsnøglen samtidigt.

Billig løsning, simpel at implementere, uskyldige borgere bliver ikke overvåget unødigt, politiet/PET kan starte logningen straks ved begrundet mistanke, men indhente adgang til bevismaterialet senere og Danmark bliver ved med at være en retsstat.

Opnår politiet/PET ikke en dommerkendelse er privatlivets fred stadig vel bevaret, de loggede data kan ikke misbruges og dukker heller ikke lige pludseligt op på 4chan, Wikileaks eller en eller anden database i Moskva eller Beijing.

Refunderer staten alle ISP'ernes omkostninger i denne forbindelse, er der stadig ca. kr. 999 millioner tilbage til nye uniformer.

Hvor svært kan det være..?

Det kan de allerede idag - når politiet får en dommerkendelse kan de lave en fuld aflytning.

Det kan de allerede idag - når politiet får en dommerkendelse kan de lave en fuld aflytning.

Og det er netop derfor det ikke var mit løsningsforslag. Politiet/PET har jo ikke brug for mere af det samme som de allerede har i forvejen, og vi som borgere har heller ikke brug for masseovervågningens klamme hånd:

De loggede data SKAL krypteres fra ISP/teleselskabets side og nøglen udleveres KUN til retten.

PKI kan faktisk danne grundlag for en simpel løsning der er i alles interesser.

Hvis min ISP loggede og gemte al min månedlige datatrafik, for der efter at kryptere den med AES-256-CBC, så brænder jeg gerne selv hele skidtet ned på 4-5 Blu Ray discs, cykler ind til Slotsholmen en gang om måneden og afleverer dem personligt på Søren Pinds kontor.

Private-key'en nægter jeg dog at udlevere til andre end en repræsentant for den dømmende magt i samfundet.

...men med den begrænsning af effekten, som kryptering giver i dag.

En simpel VPN til Mullvad (5 € / måned) + en kraftig router med DD-WRT (pris 850 kr) og så er hele internet-delen vanskelig/umulig at overvåge - og myndighedernes angreb på de enkelte maskiner på netværket bliver opad bakke - da de skal angribes igennem mullvad / vpn'en. De kan selvfølgelig bryde ind fysisk og placere lytte-udstyr, men med en anelse snilde og systematisk tilgang kan man sikre sig at det bliver opdaget.

Telefon-delen er vanskeligere at sikre, men kan stadig imødegås med burner-phones, signal (red phone) og/eller en blackphone. Det kan godt være man stadig som myndighed kan aflytte og bryde ind i udstyret, men det bliver løbende mere besværligt. Der er ikke så lang tid til at det hele går sort.

Jeg er stor tilhænger af overvågning - men ikke masseovervågning. Det er fint at kriminelle kan spores, overvåges og dømmes. En retsstat er trods alt drevet af ret og effektuering af samme. At man så kan blive træt helt ind i sjælen over alle de tåbelige love og alle de millioner af regler osv, det er en anden sag. Men med masse-overvågningen har staterne krydset den usynlige grænse, og dermed fået dygtige lovlydige mennesker til at byde ind med løsninger på hvordan man kan fjerne eller umuliggøre myndighedernes overvågning. Myndighedernes iver for at overvåge alting har på sigt umuliggjort alt overvågning af lyssky aktivitet på nettet. Når Openbazar bliver hærdet over de næste år, så er det formentlig game-over for myndighederne, at holde kontrol med den slags. Så kan man ved agentvirksomhed og grænsekontrol forsøge at gøre noget ved det, men systematisk overvågning af de kriminelle bliver svært - rigtig svært.

Du mener til kun 1 milliard kr årligt? Dit forslag er jo mere vidtgående en Søren Pinds og mindst ligeså dyrt.

Det er ikke harddisken til at opbevare det loggede der koster. Det er det at kunne det i det hele taget.

I dag findes dommervagten der kan give politi den nødvendige dommerkendelse til at starte en aflytning 24 timer i døgnet. Hvad tilføjer din idé?

Det de vil ha er aflytning tilbage i tiden. Det kræver logning af alle danskere døgnet rundt.

> men med den begrænsning af effekten, som kryptering giver i dag.

Lige præcis, du har jo fuldstændig ret... Lige nu er logning et værktøj som politi- og efterretningstjenesterne anvender på lånt tid og det samme gælder snart XKeyscore-agtige sammenkædning af metadata.

Derfor har kæmpe-investeringer i masseovervågning, det DJØFerne kalder en: "meget begrænset teknisk økonomisk levetid" og "dårlig samfundsmæssig return on investment".

Vil Søren Pind eller Trine Bramsen forbyde matematik og gøre primtal og elliptiske kurver ulovlige?

Godt politiarbejde og simple løsninger - ja tak!

Investering i komplicerede big-data masseovervågningsløsninger - nej tak!

Det de vil ha er aflytning tilbage i tiden. Det kræver logning af alle danskere døgnet rundt.

Det er jo netop det det ikke gør, og det er her det gode politiarbejde kommer ind i billedet.

Ingen normale mennesker vågner op en tilfældig morgen og beslutter sig for at afpresse deres medborgere, begå berigelseskriminalitet, handle narko eller skyde tilfælde mennesker på gaden for at promovere en politisk ideologi. Det er en årsag til udtrykket: "kriminel løbebane" findes i det danske sprog.

Den veluddannede og erfarne kriminalbetjent kender da udmærket generaliebladet og hvor problembørnene gemmer sig i hans/hendes distrikt.

PET og kommunerne bliver åbenbart overrendt med henvendelser fra borgere omkring radikaliserede unge og jihadister på vej ud/ind af landet. Henvendelser der inkluderer både navn adresse og CPR-nummer.

Politiets indsatshold mod rocker- og bandekriminalitet ved da også godt hvem og hvor der normalt sker ulovlige ting i det miljø.

SØK har da helt sikkert også utallige gengangere i sigtelserne for kursmanipulation, insiderhandel , bestikkelse, bedrageri, etc. som er deres bord.

Osv...

At kaste skattekroner efter masseovervågning er bare den dovne og populistiske politikers technoficerede løsning på et kompliceret socialt og menneskeligt problem - der til ikke sagt at målrettet logning og overvågning er værktøj politiet bør holde sig fra.

1. Politiet kan få retroaktiv adgang til data, også hvis dommeren beder politiet vende tilbage med bedre beviser og det lykkedes for dem at gøre det.

2. Forkaster retten politiets anmodning om en dommerkendelse, har politiet ikke krænket privatlivets fred, selv om de er i besiddelse af den loggede data.

3. Når en uvildig tredjepart krypterer den loggede data, garanterer det integriteten og oprindelsen af data, hvilket styrker retssikkerheden.

4. Den nødvendige hardware og menneskelige ekspertise der skal til at udføre ovenstående logning, målrettet og ud fra proportionalitetsprincippet, koster peanuts i forhold til Søren Pind og Trine Bramsens våde drømme om at masseovervåge hele den danske befolkning.

Pind har udtrykt utilfredshed med, at borgerne diskuterer aktuelle politiske problemstillinger, uden at der er fremsat et konkret lovforslag.

Et lækket lovforslag repræsenterer måske ikke regeringens officielle holdning, men det er næppe milevidt fra regeringens holdning. En eller anden embedsmand har skrevet det og fundet det fornuftigt nok til at sende videre i systemet. Så selvfølgelig reagerer folk da på det.

Det er sket mere end én gang, at skiftende regeringer har hastet komplicerede love gennem Folketinget med meget korte høringsfrister. Hvis man vil flytte nogle holdninger, er man simpelthen nødt til at tage diskussionen længe før, lovforslaget bliver fremsat.

Nogle politikere vil givetvis finde det bekvemt, hvis befolkningen forholder sig i ro, indtil lovforslaget er tredjebehandlet. Men der er heldigvis også nogen, der lytter til kritiske borgere og bliver klogere.

Pinds kritik til trods må man dog give ham, at han faktisk har deltaget i en del dialog om emnet bl.a. på Twitter (der dog ikke er en særlig velegnet diskussionsplatform, når partnerne ser meget forskelligt på ting).

Gode kommentarer Christian Schmidt. Det er allerede for sent når et lovforslag rammer og tvinges igennem ved hastebehandling i Folketinget. Længe før skal den åbne og demokratiske debat gennemføres. Ikke mindst set i lyset af Mørklægningsloven og de talrige fejlskud, fra både rød og blå blok, der er gennemført i løbet af de sidste par år, hvor samfundets sikkerhed og befolkningens krav på privatlivets fred i praksis og gradvist er sat ud af spil.
Derfor er mere end nogensinde et behov for at få oprettet et national og uafhængigt cybersikkerhedsråd på strategisk niveau, bestående af repræsentanter fra både det offentlige og private samt forskningsverdenen, som det allerede er sket i mange andre lande vi normalt sammenligner os med. Dermed undgås mange fejlskud som f.eks. sessionslogningen, der aldrig skulle være kommet ud over tegnebrætstadiet hos embedsværket, herunder Rigspolitiet og PET.
I næste uge mødes en gruppe indflydelsesrige personer, der deltog i cybersik-kerhedskonferencen på Christianborg den 22. februar, for at sætte handling bag ordene. Der er desværre hidtil sagt alt for meget og gjort alt for lidt. Der må handling til her og nu.

Der er ikke noget lovforslag som er lækket. Justitsministeriet har selv udleveret disse plancher, der skitserer det nye forslag til sessionslogning
http://www.teleindu.dk/wp-content/uploads/2016/01/Nye-logningsregler.pdf

Kritikken er helt utrolig. Når Søren Pind torsdag var nødt til at trække i land, og sige at 1 millard er for mange penge, er det fordi Rigspolitiet og Justitsministeriet helt egenhændigt, uden at konsultere nogen der ved bare lidt om televirksomhed, har udarbejdet et forslag om ny sessionslogning.

Dette nye forslag om sessionslogning skal angiveligt "løse" de problemer, som der var med den gamle sessionslogning. Disse problemer er forresten alene identificeret af Rigspolitiet i en analyse, som ikke har været underkastet nogen uafhængig vurdering. Hvorfor? Fordi Justitsministeriet holder alt vedrørende sessionslogning hemmeligt og afviser alle aktindsigter, som kan afvises.

Nå ja.. vi taler om samme Rigspoliti som for et års tid siden via Justitsministeriet leverede dette vrøvlesvar om VPN og Tor i forhold til sessionslogning til Folketinget
http://www.version2.dk/artikel/vroevlesvar-fra-justitsministeriet-om-vpn...

Hvis Justitsministeren mener at mere lukkethed er vejen frem, vil jeg ønske ham held og lykke.

John Foley:

Hvor lyder det godt, at du har fået noget konkret ud af alt dit arbejde med konferencen. Som du selv siger - det er tiltrængt at organisere modstanden.

Mon det er et modsvar til denne gruppe, at en ny tænketank, "Ret & Sikkerhed", som omtales i dagens Information, har set dagens lys?
(se evt. min kommentar om dette, http://www.version2.dk/artikel/pind-om-skrottet-lognings-lov-vi-er-ikke-...)

Justitsminister er for dyr - Vi skal finde en billigere model.

ændres ens perspektisans, og borgerne opfattes pludseligt som en grå masse, der skal styres og makke ret. Og gerne uden for mange omkostninger.
Moral og etik kommer først ind i billedet, når valgdagen nærmer sig - og da kun som et temporært fænomen.

Branchen vurderede selv 1 mia. i investering og 100-200 mio om året.

Søren Pinds senere skøn er 1 mia. om året, hvilket er mindst 5 gange højere. Og så i Søren Pinds skøn må der være en betydelig engangsinvestering. Er det så 5 mia ?

Det ser mildt sagt mærkeligt ud.

Men der kan være en forklaring.

Logning kræves kun af kommercielle udbydere af tele. Et universitet, en virksomhed eller en kommune skal ikke logge. Der sker selvfølgelig en logning i de net, som nævnte private net er tilsluttet, men spor kan ikke føres tilbage til den enkelte bruger.

Jo mere man forlanger af de kommercielle udbydere, des større problem bliver dette "hul".

Så måske indeholdt Søren Pinds forslag også en logningspligt til private net, selv om det rejser en helt masse andre problemer.

Det kan i hvert fald forklare det meget højere skøn.

Men ved en sådan udvidelse af logningspligten til private net, vil offentlige institutioner som kommuner, universiteter osv. også blive ramt af nye omkostninger.

Og det er nok ikke lige sagen at give dem nye udgifter, der straks vil udløse nye krav til staten.

Så var det i virkeligheden denne effekt, der fik Søren Pind til at trække i nødbremsen.

Han siger det blev for dyrt. Men for hvem mener han det blev for dyrt?.

Hvordan med Folketingets net - hvor det på John Foleys konference kom frem (fortalt af en White-hat-hacker fra FE - eller var det PET?) , at Folketingets wifi - til de tilstedeværende folketingsrepræsentanters tydelige forskrækkelse - står piv-åbent?

Måske har man ikke så meget lyst til at skulle logge alt, der går ind og ud af regeringskontorerne?