Eks-telechef: Stop nu nytteløs sessionslogning

Den omdiskuterede logning af hver 500. pakke af danskernes internettrafik har været en dårlig idé fra starten, siger TDC’s tidligere telechef, som var med til at indføre sessionslogning. Nu skal politikerne beslutte, om sessionslogning skal væk.

I snart seks år har danske teleselskaber skullet registrere alle danskernes internettrafik mere finkornet end i noget andet EU-land, nemlig gennem den såkaldte sessionslogning, hvor data om hver 500. pakke i internettrafikken skal gemmes i et år.

Men reglerne var forfejlede, allerede da de blev indført i 2007, og i dag giver de endnu mindre mening, lyder det fra Mogens Ritsholm, som var telechef i TDC frem til 2009 og dermed med ved forhandlingerne, dengang reglerne blev lavet.

I dag er han pensionist, men har engageret sig i diskussionen om sessionslogning, fordi han mener, det er et frygteligt spild af ressourcer - samtidig med at reglerne gør det svært for mindre konkurrenter at udfordre de store teleselskaber.

»Det generer mig ad helvede til, at jeg har været med til at indføre reglerne dengang. Men jeg var omringet af jurister, som ikke fattede noget, og jeg kunne ikke gøre noget ved det. Det var en forfejlet idé fra starten af, men det stod ikke til at ændre dengang,« siger han til Version2.

Nu vil han gøre sit for at få stoppet den omfattende registrering, som har vist sig ikke at blive brugt i praksis.

»Samfundet bruger 50-100 millioner kroner hvert år på sessionslogning. Og efter snart seks år med det, kan Justitsministeriet og politiet kun komme med ét eksempel på, at de har haft brug for det. Samtidig vokser mængderne af registreringer, fordi trafikken på internettet vokser,« siger Mogens Ritsholm.

Ville logge al dansk internettrafik

Logningsbekendtgørelsen, som trådte i kraft i september 2007, pålægger teleselskaberne at registrere telefonaktivitet, inklusive en mobiltelefons position, når den bliver brugt. På samme måde bliver en mobiltelefon, som forbinder til netværket for at hente data, registreret med position. Det giver politiet et fintmasket billede af, hvor en telefon har været på et bestemt tidspunkt, og disse data bliver tit brugt i kriminalsager.

Men ud over den ’klassiske’ telelogning indførte man også den såkaldte sessionslogning, som skulle give politi og efterretningsvæsen et billede af, hvad en person brugte internettet til. For eksempel om en mistænkt havde besøgt hjemmesider med bombeopskrifter eller terroropfordringer.

Ifølge reglerne skal teleselskaberne gemme IP-adresser og portnumre for den første og sidste pakke i hver session på nettet, men kan også vælge at registrere hver 500. pakke, hvilket de fleste valgte at gøre i stedet, blandt andet fordi det var svært at definere, hvornår en internetsession er slut.

»Reglerne blev diskuteret lige efter bomberne i London. Man var forskrækket over udsigten til terror, og politikerne ville hjælpe politiet mest muligt. Man ville have samme slags registrering for internet som for telefoni, men forstod ikke, at det fungerer helt anderledes på internettet,« forklarer Mogens Ritsholm.

Faktisk ville Justitsministeriet oprindelig have al trafik på internettet registreret, men endte med kompromiset om første og sidste pakke, samt at teleselskaberne kun skulle registrere trafik ud af deres netværk til andre udbydere, altså ikke intern trafik mellem egne kunder.

»Vi kunne påvise, at hvis man i et stort net som hos TDC eller andre store teleselskaber skulle registrere alt det om alle kunder, ville det kræve en mur omkring kunderne, som nemt ville blive en milliardudgift. Så vi fik et kompromis, så det ikke blev helt uoverstigeligt dyrt,« siger Mogens Ritsholm.

Denne skelnen betød, at det i mange år i praksis kun var de mindre internetudbydere, som viste præcist, hvilke pakker der hørte til hvilke kunder - alle andre samlede pakker ind i én stor pærevælling.

Giver mindre og mindre mening

Men selv efter de værste tekniske problemer er blevet overvundet - nogle steder - er sessionslogningen stadig værdiløs, mener den tidligere telechef.

»Man registrerer nogle spor af, hvilke IP-adresser, du har været i direkte kontakt med. Men det er jo ikke særligt interessant i dag. Når du sender en e-mail, sker det jo via en e-mail-tjeneste, så det siger intet om selve den e-mail. Og jo mere, man bruger skyen, jo mindre interessant bliver det. Så kan du bare se, at du har brugt en tjeneste i skyen, ikke hvad du har gjort der,« siger han.

IP-adresser er heller ikke en statisk størrelse, så det kræver i princippet en historisk oversigt over alle IP-adresser, hvis man vil bruge de loggede data til noget seriøst, pointerer han. Og med Virtual Network Operator (VNO), hvor al trafikken går til et bestemt netværk, før den sendes videre, vil sessionslogningen overhovedet ikke kunne vise noget om en persons internettrafik.

Problemet i den politiske debat har været en sammenblanding af de forskellige former for logning. Når Justitsministeriet skriver i redegørelsen om logningsreglerne fra december 2012. om, hvordan sessionslogning blev brugt til at identificere en gerningsmand til et røveri, er det en misforståelse.

Der er nemlig ingen geografiske data gemt i sessionsloggen - kun i den almindelige internetovervågning - hvilket Justitsministeriet også måtte bekræfte i et svar til Pernille Skipper fra Enhedslisten, der kom torsdag den 16. maj.

Læs også: Justitsministeriet modsiger sig selv: Sessionslogning viser ikke folks position

»Justitsministeriet kan ikke sætte foden rigtigt, når de skal beskrive reglerne. De kender det ikke godt nok, for de bruger jo ikke selv sessionslogning til noget. Konklusionen bliver hver gang, at man hellere må lade være med at ændre på noget,« siger Mogens Ritsholm.

Logningsbekendtgørelsen skulle oprindeligt have været igennem en evaluering i 2009, men den er blevet udskudt flere gange. Nu vil regeringen udskyde denne evaluering igen, til om to år, med lovforslag 142, der er på vej igennem Folketinget. En betænkning om at få stoppet sessionslogningen fandt flertal hos oppositionen, inklusive Enhedslisten, men så skiftede Dansk Folkeparti mening og vil nu ikke stemme for betænkningen.

»Dansk Folkeparti sprang fra med en begrundelse om, at det var vigtigt for dem, at man kunne følge en mobil rundt. Men det har intet med sessionslogning at gøre,« siger den tidligere telechef.

Samtidig er der ikke meget lyst til at tage emnet op i regeringskontorerne, fordi hele konceptet har været en fejl fra starten, mener Mogens Ritsholm.

»Justitsministeren prøver at feje det ind under gulvtæppet, for hvis man stopper sessionslogning nu, har man brugt mange hundrede millioner kroner på det hos teleselskaberne, uden at det kunne bruges til noget. Det er en skandale, men den bliver kun større, hvis man ikke stopper det nu,« siger han.

I 2009 var der samlet 400 milliarder registreringer sammen om danskernes internetfærden - som altså ikke rigtigt er blevet brugt. I dag vurderer Mogens Ritsholm, at tallet er mindst 2.000 milliarder registreringer.

»Det er en belastning for hele telebranchen, for det er dyrt at indføre, det skal tænkes med i hver eneste opgradering, og det betyder, at der er nogle systemvalg, du ikke kan tage. Og så kan det afskrække mindre firmaer fra at gå ind på telemarkedet og dermed gå ud over konkurrencen,« siger han.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (44)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Mogens Ritsholm

Min egen fornemmelse er desværre, at det specielt er TDC og måske de øvrige store, der tegner holdningen i brancheforeningen TI.

Alle i branchen er nok enige om at det er nytteløst at sessionslogge og de foreslår da også afvikling. Men de kæmper ikke for det.

Men samtidigt er det et krav, der rammer de mindre udbydere hårdere end de store. Og så rammer de danske særkrav nye spillere, der vil ind på markedet, mens de eksisterende jo har lavet noget (sunk cost).

Så det er lidt ligesom dengang, hvor der skulle en vis mængde sukker i syltetøjet eller en vis mægde fløde i isen.

Det er med udviklingen uden mening, men det begustiger komparativt nogen.

  • 7
  • 0
Christian Nobel

Nu er det altså ikke kun teleselskaberne sessionslogningen går ud over, men også større boligforeninger, hoteller mv.

Fsva. hotellerne, så er Horestas uofficielle mening, at det vil de s.... på, men det ændrer ikke på det faktum, at man også der pålægges en masse unødigt bøvl.

Desværre har hverken hoteller eller boligforeninger ret meget magt i et rent Kafkask system som det danske, derfor er det endt i resignation - det samme er vel også mere eller mindre tilfældet for teleselskaberne, nemlig at de vælger deres kampe efter hvad der nu er mest realistisk at kunne vinde.

  • 2
  • 0
Jesper Lund

Hvorfor er der ingen af teleselskaberne der råber højt ?
Det er jo dem det går ud over.

Jeg synes at det er meget mere skuffende at den danske befolkning ikke råber højt. Det er den danske befolning som dette vanvid går ud over.

Der bliver registreret detaljerede oplysninger om vores internettrafik, og nu viser det sig efter fem år at dette er sket til ingen verdens grund, og at Rigspolitiet åbenbart aldrig har haft en bare nogenlunde funktionel plan for hvordan oplysninger fra sessionslogningen skulle bruges. Det skyldes sandsynligvis at oplysningerne ikke kan bruges til noget fornuftigt inden for rammerne af den eksisterende lovgivning, men det blev Justitsministeriet advaret om allerede i 2006.

Vi taler om registreringer som blandt andet viser hvor den enkelte borger læser nyheder online (Land og Folk eller Jyllands-Posten?), og hvilke politiske partiers hjemmesider som den enkelte borger besøger.

Det er ikke sundt for demokratiet at staten kan indhente disse oplysninger om hver eneste borger.

  • 6
  • 0
Jesper Lund

Washington Post havde denne interessante historie mandag
http://www.washingtonpost.com/world/national-security/chinese-hackers-wh...

Kina har åbenbart skaffet sig adgang til oplysninger som Google og Microsoft indsamlede til staten.

I en verden hvor stort set alle servere er forbundet med hinanden via internettet, er det en illusion at tro at logningsdata kan beskyttes så kun staten får adgang.

  • 3
  • 0
North Anderson

Jeg tænkte lige, at dette er rygklappernes kommentarer ... Så jeg ville komme med en anden vinkel.

Jeg er med på, at hvis man er imod sessionslogning af holdningsmæssige årsager, så er der nok ikke noget der kan rokke den mening. Personligt har jeg ikke nogen mening, men arbejder med resultat af lovgivningen.

Men der ER en anden side. Jeg er efterforsker i politiet og har selv fået editions kendelse på indhentning af session logs og indhentet disse. Senest for 2 måneder siden, hvor jeg fik kendelse på og indhentede 11 forskellige session logs fra forskellige udbydere (selvfølgelig i forbindelse med en aktuel efterforskning).

Da jeg fik session logs tilbage var det i SÅ mange forskellig formater, txt, xls, doc, pdf, html og flere andre. Nu der det ikke mig der skal analysere disse logs, det er NITES (det gamle NITEC, som ikke længere må hedde center, men skal hedde sektion ;-)) og jeg ved ikke hvad de har til analyse.

Det leder mig til mit spørgsmål. Hvis der skal være en mulighed for at benytte session logs i politiets efterforskning, så burde man måske ’give det en chance’!! Jeg er enig med mange af den gamle TDC chefs kommentarer. Men hvis det skal bruges, så burde han måske ikke være så generet ad helvede til over at han var med til at indføre reglerne dengang. Måske skulle han være mere generet af, at han som IT ekspert ikke var med til at indføre nogle regler og procedurer, som gjorde at session logs kunne bruges til efterforskning.

Der bliver nævnt at ”man registrerer nogle spor af, hvilke IP adresser, du har været i direkte kontakt med, men det er jo ikke særligt interessant i dag” Det er jo korrekt, men netop dette faktum er et argument for session logs, for i den kan vi ikke bare finde ud af hvem den IP adresse var i kontakt med, men også hvem der var i forbindelse med den IP adresse.

Der er flere forskellige eksempler, jeg vil give et enkelt. Ved indbrud i fx netbank, benyttes ofte ’man in the middle’ og springer PC’ere (PC’ere inficerede med backdoors, som giver andre adgang til at benytte PC’en). Banken registrere den opkoblede IP adresse (springer PC’en, som oftest er uskyldige menneskers computere, som dem uvidende bliver benyttet som springer PC). Session logs fra PCen hvor der sidder ’man in the middle’ og springer PCen vil ofte kunne fortælle hvilken IP adresse som var koblet op mod begge disse PC’ere på samme tid. Den oplysning kan ikke fås på andre måder.

Politiet må så arbejde videre derfra. Men hvis vi ikke kom dertil … ja, så stopper efterforskningen der. Jo jeg har MANGE gange forsøgt at følge pengene, men de forsvinder altid fra konti, hvor ejeren opgav falsk ID, hvilket først bliver opdaget ved min henvendelse, da banken jo ikke har nogen grund til at undersøge noget, de har en kunde som fik nogle penge og hævede dem … intet galt i det.

Så hvis der skal en anden vinkel på debatten, så er det måske et forsøg værd at gøre session logs brugbare til efterforskning. Måske uddanne nogle efterforskere til at bruge dem. Nu nævnes der, at der fra december 2012 kun blev nævnt en session log sag. Jeg ved ikke hvor de får deres statistikker fra, men der er ikke mig bekendt nogen indberetning omkring det i politiet. Men der ER flere sager, i februar 2013 rekvirerede jeg 1 og i marts 2013 11. Jeg har også rekvireret årene forinden.

Jeg tror der er meget at hente efterforskningsmæssigt i session logs, ikke mindst da mange af de andre ting ikke længere kan bruges, som nævnt i artiklen. Måske skulle man i en årrække gøre session logs brugbare og undervise efterforskerne i, hvordan de skal bruges … Det var bare lige den tanke, hvis man ikke bare af holdningsmæssige årsager er imod, men måske også er bekymret for at Internettet for de kriminelle er blevet et fristed, hvor politiet er forment efterforskning.

  • 0
  • 1
Jacob Pind

@North Anderson
er fint du kommenter på det, men nu er det sådan at Danmark har implementer langt mere end hvad vi skulle, ikke blot sessions logging men også x2 længter lagering af dataen end vi var forpligtede det, længer lagerings tid giver ikke bedre muligheder for opklaring i det netbanks tilfælde du skilter der.

Og netbank det er vel en sag mellem to privat personer og som sådan skulle det ikke være politiet som render og spilder tid på det, bank kunden er sikkert og eftersom I ikke ved hvem der skulel havde gjort det, men derimod kun kan få adgang til offers data i dette tilfælde, må man sige det er mistænkliggørese af offeret.

sessions logging er en general mistænkligøres af alle, som ikke står mål med udbyttede

  • 0
  • 0
Jesper Lund

Der bliver nævnt at ”man registrerer nogle spor af, hvilke IP adresser, du har været i direkte kontakt med, men det er jo ikke særligt interessant i dag” Det er jo korrekt, men netop dette faktum er et argument for session logs, for i den kan vi ikke bare finde ud af hvem den IP adresse var i kontakt med, men også hvem der var i forbindelse med den IP adresse.

Der er flere forskellige eksempler, jeg vil give et enkelt. Ved indbrud i fx netbank, benyttes ofte ’man in the middle’ og springer PC’ere (PC’ere inficerede med backdoors, som giver andre adgang til at benytte PC’en). Banken registrere den opkoblede IP adresse (springer PC’en, som oftest er uskyldige menneskers computere, som dem uvidende bliver benyttet som springer PC). Session logs fra PCen hvor der sidder ’man in the middle’ og springer PCen vil ofte kunne fortælle hvilken IP adresse som var koblet op mod begge disse PC’ere på samme tid. Den oplysning kan ikke fås på andre måder.

Det er korrekt at sessionslogning måske kan hjælpe lidt i lige præcis den beskrevne situation, hvor en computer bliver fjernstyret til et man-in-the-browser netbank angreb.

Der er et sådant eksempel i Justitsministeriets redegørelse fra december 2012, afsnit 5.4.3. Det eneste eksempel på brug af sessionslogningen, når man skræller misforståelserne i afsnit 5.4.2 væk.

Ved denne type angreb er der tale om relativt få pakker, da timingen skal passe med netbank misbruget. Hos de store ISP'er vil man blive ramt af begræsningen ved at der logges hver 500. pakke (sampling). Eksemplet i 5.4.3 er så vidt jeg husker en mindre ISP, som logger første/sidste pakke i en session efter § 5 stk. 1.

Næste spørgsmål er hvilke efterforskningsmuligheder som disse IP-adresse spor reelt giver politiet? Afsnit 5.4.3 antyder at det er en IP adresse i udlandet. Det kunne være fra en anden hacket computer eller skjult bag proxy. De kriminelle ved formentlig godt at nogle af de "inficerede" computere er honeypots for politiet, så de skjuler sig bag proxies.

Så er der, ikke mindst, spørgsmålet om proportionalitet. Sessionslogningen er en ganske voldsom og indgribende registrering af danskernes internettrafik. Skal vi virkelig gøre dette for at opklare et par netbank indbrud?

Så vidt jeg husker var det ikke frygten for netbankindbrud, som i 2002 fik Folketinget til at vedtage RPL § 786 stk. 4 (som logningsbekendtgørelsen er udstedt efter).

Bankerne har selv oplyst, at de havde tab for ca. 6 mill. kr på netbank tyverier i 2012. Det er altså ikke jordens største problem (cykeltyverier er langt større problem!!), og hvis bankerne ville reducere tabet, kunne de bruge noget lidt mere sikkert end NemID. Men med tab på 6 mill. kr. er ting som ChipTAN formentlig en dårlig business case for bankerne.

Det er bankernes valg (sikkerhedsniveau), men vi skal ikke sætte himmel og jord i bevægelse (sessionslogning) fordi bankerne har valgt et sikkerhedsniveau hvor de må acceptere et antal MiTM netbank angreb.

  • 3
  • 0
Mogens Ritsholm

Men der ER en anden side. Jeg er efterforsker i politiet og har selv fået editions kendelse på indhentning af session logs og indhentet disse. Senest for 2 måneder siden, hvor jeg fik kendelse på og indhentede 11 forskellige session logs fra forskellige udbydere (selvfølgelig i forbindelse med en aktuel efterforskning).


Jeg vil skam gerne blive klogere.

Det ville have været rart at høre, hvad du forventede at kunne finde/bevise via de sessionsdata, som du indhentede fra 11 forskellige udbydere. Det må man overordnet kunne forklare uden at afsløre den konkrete sag. Det lyder meget besynderligt, da man jo ikke bare kan gå på fiskeri og bede om data fra mange udbydere. Det er netop ikke tilladt med logningsdata.

Hvis det virkelig er en værdig brug af sessionsdata, burde det have været brugt i eksemplerne i Justitsministeriets redegørelse eller i efterfølgende materiale fra justitsministeriet i forbindelse med lovbehandlingen, hvor der reelt kun resterer et netbankindbrud som eksempel. Hvis man virkelig skal hente sessionsdata fra 11 udbydere må det være en sag i en helt anden klasse, som du taler om.

I øvrigt skal man ikke have editionskendelse, men en dommerkendelse efter retsplejelovens særlige bestemmelser om udlevering af loggede teleoplysninger for at indhente sessionsdata.

En editionskendelse skal man bruge, hvis man f. eks. skal have data fra en informationstjenestes opbevaring af dataspor, f. eks. en chattjeneste, idet sådanne tjenester ikke er underlagt de særlige logningsregler.

Er du helt sikker på, at det var sessionsdata efter logningsbekendtgørelsen, som du taler om ? De angivne formater lyder også mærkelige. XLS og PDF ? Sessionslog efter telereglerne er meget maskinelt indsamlede data, og posterne er yderst enkle kopier af headerindhold i pakker - men der er mange. Så jeg ville forvente mere maskinelt orienterede formater.

Jeg er i øvrigt helt enig i, at vi ikke skal lade os lede af holdninger, men af fakta, i vurderingen af de særlige danske krav om logning af TCP/IP headerindhold - også kaldet sessionslogning.

  • 2
  • 0
Baldur Norddahl

Der er flere forskellige eksempler, jeg vil give et enkelt. Ved indbrud i fx netbank, benyttes ofte ’man in the middle’ og springer PC’ere (PC’ere inficerede med backdoors, som giver andre adgang til at benytte PC’en). Banken registrere den opkoblede IP adresse (springer PC’en, som oftest er uskyldige menneskers computere, som dem uvidende bliver benyttet som springer PC). Session logs fra PCen hvor der sidder ’man in the middle’ og springer PCen vil ofte kunne fortælle hvilken IP adresse som var koblet op mod begge disse PC’ere på samme tid. Den oplysning kan ikke fås på andre måder.

Men det fører bare til endnu en hacket computer. Og en som sandsynligvis ikke er placeret i Danmark. Dermed ender sporet der. Og din forudsætning for overhovedet at være kommet så langt, er at der blev brugt en dansk "springer PC". Hvorfor skulle de vælge en dansk springer PC, når der er en milliard internet opkoblede PC'ere at vælge imellem?

Jeg tvivler på at i fanger så meget som en eneste kriminel på den måde. Men selv hvis det lykkes, så lærer de jo. Så næste gang ved de at de skal bruge en computer i udlandet. En særlig dansk logning kan aldrig komme til at dække det internationale internet. End ikke en EU-logning vil hjælpe meget på det.

Der er ingen fornuft i at bruge milliarder af kroner, foruden alle argumenterne omkring hensyn befolkningens ret til ikke altid at være overvåget, blot for håbet at kunne lukke nogle enkelte småsager før at de kriminelle har tilpasset sig.

Så virker det mere fornuftigt at bruge penge og ressourcer på noget der faktisk har en chance for at virke.

  • 3
  • 0
Mogens Ritsholm

I øvrigt skal man ikke have editionskendelse, men en dommerkendelse efter retsplejelovens særlige bestemmelser om udlevering af loggede teleoplysninger for at indhente sessionsdata.


Udlevering af logningsdata sker efter kapitel 71 i retsplejeloven, mens beslaglæggelse og edition sker efter kapitel 74.

Jeg ser, at wikipidia har skrevet forkert under "teledata", som de har troet var edition.

Det er meget vigtigt at forstå, at logningsdata er personlige data, og politiet kan kun efter dommerkendelse få adgang til logninger for en bestemt persons internetforbrug, når dette kan identificeres med en IP-adresse.

Så kan man bede den mistænktes udbyder om logninger for en bestemt periode med den pågældende IP-adresse.

Man kan sagtens forestille sig interessante undersøgelser af alle loggede data, hvor man kan se hvem, der bruger hvad og indhenter loggede data fra flere udbydere for at finde interessante mønstre og dermed udpege mulige mistænkte.

Men det er helt uden for den vedtagne anvendelse af logningsdata, og det er for de fleste temmelig skræmmende.

  • 1
  • 0
North Anderson

men også x2 længter lagering af dataen end vi var forpligtede det, længer lagerings tid giver ikke bedre muligheder for opklaring i det netbanks tilfælde du skilter der.

Nu var mit budskab jo, at der måske ikke er noget i vejen med at logge, men at det måske blev gjort og brugt på en forkert måde.

At vi logger længere en forpligtiget til kan jo udlægges som man vil, alt efter hvilken side af hegnet man står på. Står mam på den ene side, så er all logning pr. definition skidt (argument underordnet), står man på den anden side, så kunne man argumentere for, at selvom de andre har valgt den laveste fællesnævner, kunne vi jo stå for en bedre mulighed.

Nu var netbanken bare et enkelt eksempel. Jeg har efterforsket flere andre typer sager, hvoraf blandt andet et endte i Holland, da processen for at få tilladelse til at indhente data var længere end de gemte data, var der ikke flere efterforsknings muligheder.

Og netbank det er vel en sag mellem to privat personer og som sådan skulle det ikke være politiet som render og spilder tid på det


Mit udgangs punkt var sessions logning efter gældende regler. En debat om hvad politiet skal efterforske er i mine øjne en helt anden debat … om end meget spændende!

sessions logging er en general mistænkligøres af alle, som ikke står mål med udbyttede

Igen afhængig af på hvilken side af hegnet man står er man nok ganske stålsat på sin holdning

  • 0
  • 0
North Anderson

Ved denne type angreb er der tale om relativt få pakker, da timingen skal passe med netbank misbruget. Hos de store ISP'er vil man blive ramt af begræsningen ved at der logges hver 500. pakke (sampling). Eksemplet i 5.4.3 er så vidt jeg husker en mindre ISP, som logger første/sidste pakke i en session efter § 5 stk. 1.

Logningsbekendtgørelsen siger at som udgangspunkt skal hele sessionen logges. Det er udgangspunktet. På tidspunkt for lovens vedtagelse var det ikke muligt for alle udbydere, hvorfor der blev indført en undtagelse, hvis udgangspunktet ikke kunne opfyldes. Den initierende og afsluttende pakke skal logges, samt hver 500’ende pakke FOR HVER KUNDE.

Næste spørgsmål er hvilke efterforskningsmuligheder som disse IP-adresse spor reelt giver politiet? Afsnit 5.4.3 antyder at det er en IP adresse i udlandet. Det kunne være fra en anden hacket computer eller skjult bag proxy. De kriminelle ved formentlig godt at nogle af de "inficerede" computere er honeypots for politiet, så de skjuler sig bag proxies.

Ja, sådant er det jo med al efterforskning, ikke mindst IT efterforskning. Jeg har brugt argumentet overfor min chef ’det nytter ikke noget alligevel’, så vi opgiver på forhånd. Vi har henlagt sager med den begrundelse. Enkelte har klaget og fået medhold af statsadvokaten, som så sender det retur, hvor det igen havner på mit bord med besked om ’gør noget’.

Jeg kan ikke (læs: må) sidde sådan en ’opfordring’ overhørig og ’finder på noget at gøre’. Det har nu ikke givet noget i de tilfælde.

Men ja jeg taber meget meget mere end jeg vinder i IT efterforskning. Men i de sager hvor det er lykkedes, der er det små fejl hos dem jeg efterforsker, der har gjort det er lykkedes. Ofte fejl af at de har gjort det så ofte uden ’at de er blevet taget’, at de bliver sjuskede og fejler … Havde jeg i de tilfælde brugt argumentet med at det ikke nytter noget, så havde jeg heller ikke haft succes der (og man kan så undre sig over, om jeg ville have haft succes i de sager der blev henlagt på den generelle begrundelse uden reel efterforskning, måske var der en fejl i nogen af dem også)

  • 0
  • 0
North Anderson

Det ville have været rart at høre, hvad du forventede at kunne finde/bevise via de sessionsdata, som du indhentede fra 11 forskellige udbydere. Det må man overordnet kunne forklare uden at afsløre den konkrete sag. Det lyder meget besynderligt, da man jo ikke bare kan gå på fiskeri og bede om data fra mange udbydere. Det er netop ikke tilladt med logningsdata.

Jeg kan ikke komme ind på det beklager. Men nej, du har fuldstændig ret, jeg kan ikke bare gå på fiskeri, derfor er min anmodning for indhentning af data velbegrunde og fremlagt for en dommer, som er enig i begrundelse og det forventede udbytte.

Hvis det virkelig er en værdig brug af sessionsdata, burde det have været brugt i eksemplerne i Justitsministeriets redegørelse eller i efterfølgende materiale fra justitsministeriet i forbindelse med lovbehandlingen, hvor der reelt kun resterer et netbankindbrud som eksempel. Hvis man virkelig skal hente sessionsdata fra 11 udbydere må det være en sag i en helt anden klasse, som du taler om

Som tidligere sagt. Jeg ved faktisk ikke hvor de får deres data fra. Det kan godt være gået mig forbi, men jeg er ikke løbet ind i nogen regler om, at jeg skal indberette om brugen af session logs. Nu er mit eksempel jo en igangværende efterforskning, hvor data er til analyse hos NITES. De kan formentlig ikke bruges før sagen enten fører til retsag/dom eller henlægges.

Sidste år hentede jeg også session logs, men de er også i en igangværende efterforskning. Men de blev ikke hentet på kendelse men på samtykke erklæring.

I øvrigt er det som påpeget af andre overvejende sandsynligt at jeg løber ind i et resultat af IP adresser som ikke kan bruges til noget. Men det er ikke en undskyldning for ikke at prøve (siger statsadvokaten).

Er du helt sikker på, at det var sessionsdata efter logningsbekendtgørelsen, som du taler om ? De angivne formater lyder også mærkelige. XLS og PDF ? Sessionslog efter telereglerne er meget maskinelt indsamlede data, og posterne er yderst enkle kopier af headerindhold i pakker - men der er mange. Så jeg ville forvente mere maskinelt orienterede formater.

Ja jeg er sikker på det er sessionsdata. Jeg er glad for du er overrasket over de mange formater inkl. PDF (som jeg i øvrigt også har fået fra Facebook). Men der findes ikke regler for at det skal leveres i noget format, jeg HAR spurgt juristerne om man ikke kan bede/forlange en ensretning i det vi modtager, men det er der ikke lovhjemmel til det ’take it or leave it’.

Dette er en del af mit oprindelige indlæg … måske benyttes session logs ikke fordi der er ingen der rigtig kender til dem (jeg har benyttet det hos mindre foreninger og udbydere tidligere, men blev først for lidt over 1 år siden opmærksom at de store udbydere også har dem … og det ER skræmmende, jeg har efterforsket IT i flere år, men der er ingen undervisning ’man famler sig frem’)

Det kan godt være at det er enkelte poster jf. logningsbekendtgørelse, men det vidt forskelligt hvor meget der logges og hvordan der logges af den enkelte udbyder.

  • 0
  • 0
North Anderson

Udlevering af logningsdata sker efter kapitel 71 i retsplejeloven, mens beslaglæggelse og edition sker efter kapitel 74.

Ja Baldur sagde jo det samme. Nu er det ikke mit bord, jeg skiver anmodningen, men politiets advokatur og dommeren ordner det juridiske.

Men jeg læste begge jeres indlæg. Jeg læste så min anmodning, som er skrevet i henhold til kapitel 74 edition. Men jeg kan se af kendelsen, at den ER udstedt efter kapitel 71. (der er åbenbart en grund til jeg er efterforsker og ikke jurist ;-))

Det er meget vigtigt at forstå, at logningsdata er personlige data, og politiet kan kun efter dommerkendelse få adgang til logninger for en bestemt persons internetforbrug, når dette kan identificeres med en IP-adresse.

Så kan man bede den mistænktes udbyder om logninger for en bestemt periode med den pågældende IP-adresse.

Nu udstedes kendelsen lidt anderledes, da de fleste har dynamiske IP adresser hos deres udbyder, så lyder kendelsen på at få oplyst hvilke IP adresser den pågældende havde i den pågældende periode. Derefter at oplyse om session logs for disse IP adresser for den periode, som jeg har kendelse / samtykke til.

Men det er helt uden for den vedtagne anvendelse af logningsdata, og det er for de fleste temmelig skræmmende.

Session logs er ikke undergivet efterforskning efter en bestemt paragraf i en eller anden lov, men undergivet de generelle regler i retsplejeloven.

Om det er skræmmende … jeg tror igen, det kommer an på, hvilken side af hegnet man står på.

Af de 11 session logs jeg indhentede var ca. halvdelen på samtykke erklæringer. Der er 7 MiTM computere … alle 7 gav samtykke erklæring og efter min bedste overbevisning med glæde over, at ’der måske kunne gøres noget”. At der så ikke er 7 logs på samtykke erklæring har noget med at der ikke skal logges intern session hos den enkelte udbyder, hvorfor der for nogens vedkommende ikke var session logs.

Tak for indlæg … det er jo spændende at se tingene lidt fra den ene og fra den anden side. Jeg syntes dog debatten var blevet lidt for meget fra den ene side af hegnet, så derfor ’den anden vinkel’

  • 1
  • 0
Jesper Lund

Logningsbekendtgørelsen siger at som udgangspunkt skal hele sessionen logges. Det er udgangspunktet. På tidspunkt for lovens vedtagelse var det ikke muligt for alle udbydere, hvorfor der blev indført en undtagelse, hvis udgangspunktet ikke kunne opfyldes. Den initierende og afsluttende pakke skal logges, samt hver 500’ende pakke FOR HVER KUNDE.

Nej, udgangspunktet i 5.1 er at første og sidste pakke i en session skal logges (her ser man tydeligt at Justitsministeriet tænker på internet som en telefonsamtale).

Hvis det ikke er muligt at logge første og sidste pakke, hvad det typisk ikke er, kan udbyderen logge oplysninger hver 500. pakke efter 5.4.

Dette skal ske på kanten til andre net, så det er hver 500. pakke som passerer en given kantrouter. Da den enkelte kundes trafik typisk tager forskellige ruter afhængig af destination, vil det ikke være præcist hver 500. pakke for den enkelte kunde.

  • 0
  • 0
Jesper Lund

Af de 11 session logs jeg indhentede var ca. halvdelen på samtykke erklæringer. Der er 7 MiTM computere … alle 7 gav samtykke erklæring og efter min bedste overbevisning med glæde over, at ’der måske kunne gøres noget”. At der så ikke er 7 logs på samtykke erklæring har noget med at der ikke skal logges intern session hos den enkelte udbyder, hvorfor der for nogens vedkommende ikke var session logs.

Det lyder som om at netbank sagen i redegørelsens afsnit 5.4.3 ikke er en enlig svale. Men det bringer os tilbage til spørgsmålet om proportionalitet.

Skal vi have sessionslogning fordi oplysningerne nogle gange kan hjælpe politiet lidt i efterforskningen af netbankindbrud?

Vi er temmelig langt fra den "intelligence-led" efterforskning via sessionslogningen, som Justitsministeriet typisk har brugt som begrundelse i de sidste par år.

  • 0
  • 0
Mogens Ritsholm

Ja jeg er sikker på det er sessionsdata. Jeg er glad for du er overrasket over de mange formater inkl. PDF (som jeg i øvrigt også har fået fra Facebook). Men der findes ikke regler for at det skal leveres i noget format, jeg HAR spurgt juristerne om man ikke kan bede/forlange en ensretning i det vi modtager, men det er der ikke lovhjemmel til det ’take it or leave it’.

Jeg er optaget af andet og kan derfor ikke rigtigt følge op i debatten.

Men lige en enkelt kommentar til spørgsmålet om formater.

Teleselskaberne søger at overgå til internationale standarder for dataoverførslen, men det er selvsagt umuligt at kræve brugen af disse standarder af alle udbydere.

Derfor er den almindelige forretningsgang, at data overføres til politiets telecenter i formater, der er aftalt med den enkelte udbyder. Politiets telecenter var allerede i 2007 i dialog med selskaberne herom.

Det er ikke meningen, at data skal leveres direkte og brugbare fra teleselskaberne til den enkelte efterforsker. Det er også umuligt, da der skal laves et stykke IT-arbejde hos politiet for at gøre data anvendelige. F. eks. skal koder for master parres med historiske data for masternes placering. Telefonnumre skal knækkes med historiske katalogdata, der viser hvem der havde numrene osv.

Så data bør altid bearbejdes i politiets telecenter eller hvad det nu hedder.

Det bør derfor slet ikke forekomme, at en efterforsker får sessionsdata i forskellige formater direkte fra teleselskaberne.

Netop sessionsdata er meget simple oplysninger, og det bør ikke være noget som helst problem for politiets centrale enhed at læse disse i næsten ethvert format og konvertere dem til et fælles format.

Jeg ved, at nogle efterforskere efter politireformen rekvirerede data direkte. En sådan fremgangsmåde vil altid give problemer, da data derved ikke bliver behandlet og gjort anvendelige af politiets telecenter.

Så konstruktionen i Danmark forudsætter et velfungerende telecenter hos politiet, et løbende samarbejde med televirksomhederne og ikke mindst at efterforskerne så bruger telecenteret.

  • 0
  • 0
North Anderson

Derfor er den almindelige forretningsgang, at data overføres til politiets telecenter i formater, der er aftalt med den enkelte udbyder. Politiets telecenter var allerede i 2007 i dialog med selskaberne herom.

Fuldstændigt korrekt for data fra mobiltelefoner (og det fungerer ganske fortræffeligt). I øvrigt får vi både det standardiserede format, men også det originale format i en excel fil.

Der er ikke og har mig bekendt ikke været tale som det samme for session logs fra internetudbydere!! hvilket NETOP er min pointe med mit indslag om en anden vinkel. Teledata fungere ganske fortræffeligt ... men session logs fra ISP'ere gør IKKE. og min pointe er, at det måske er derfor at det ikke 'giver resultater' og bliver brugt.

Pointen er, måske skulle man gøre det brugbart og så se om det virker!!

  • 0
  • 0
Christian Nobel

Pointen er, måske skulle man gøre det brugbart og så se om det virker!!

Det er da en underlig bagvendt logik.

Husk på at hele dette uvæsen har sit udspring i såkaldt terror, så måske det var smartere at starte med at overveje om der overhovedet er nogen mening med at lave en så voldsom BB løsning, og i lyset af det fokusere på om denne massive mistænkeliggørelse af alle landets borgere på nogen måde har haft nogen indflydelse på afværgelse af terrorhandlinger, eller opklaring af ditto.

Justitsministeriet har vist selv givet svaret.

  • 1
  • 0
North Anderson

Skal vi have sessionslogning fordi oplysningerne nogle gange kan hjælpe politiet lidt i efterforskningen af netbankindbrud?

Det er jo et synspunkt ... et relevant synspunkt!

Om vi skal eller som vi ikke skal afgøres af de folkevalgte.

Men igen ... min pointe er at det har ikke fået en chance, så måske skulle det have en chance og så lad os se om det kan bruges.

I øvrigt gav jeg et eksempel. Og jeg pointerede det var et eksempel. Føler det er lidt unfair at stille spørgsmålet "Skal vi have sessionslogning fordi oplysningerne nogle gange kan hjælpe politiet lidt i efterforskningen af netbankindbrud", hvor du antyder det kun er til netbankindbrud. Jeg har brugt det i flere andre kategorier af efterforskning. Mit indslag var ... ja et indslag, ikke en fuldstændig redegørelse.

  • 0
  • 0
North Anderson

Det er da en underlig bagvendt logik.

Husk på at hele dette uvæsen har sit udspring i såkaldt terror,

Jamen du skjuler heldigvis ikke på hvilken side af hegnet du står og det er da reelt og til at tage og føle på. Uanset hvad, så er det 'et uvæsen'.

Der var så nogle der ikke skønnede at det var et uvæsen og indførte reglerne, det er måske mere til dem jeg henvender mig.

Det er klart at argumentationen, når man så klart står på den side af hegnet du står, virker 'omvendt', men hvis du står på den anden side af hegnet og syntes at det kunne have været en god ide, men også realistisk ser på, at det måske er for dyrt i forhold til hvad det bliver brugt til, de vil næppe på samme måde syntes at det er 'omvendt', men måske se og forstå at noget der ikke har fået en chance for at virke, måske skulle havde den chance og det så viser sig 'at det var en god ide'.

Jeg er med på, at der kommer du nok aldrig til ... og det er fair nok.

  • 0
  • 0
North Anderson

Nej, udgangspunktet i 5.1 er at første og sidste pakke i en session skal logges (her ser man tydeligt at Justitsministeriet tænker på internet som en telefonsamtale).

Hvis det ikke er muligt at logge første og sidste pakke, hvad det typisk ikke er, kan udbyderen logge oplysninger hver 500. pakke efter 5.4.

Ja Jesper når jeg læser loven lige nu, så har du ret.

Jeg vil dog lige se på de kommentarer til loven, som jeg har liggende på mit tjenestested, der står noget supplerende i dem, som jeg mener jeg fik ovenstående indtryk af.

Det er lidt ligesom lov om ændring af lov om konkurrence- og forbrugerforhold på telemarkedet ....

§ 15 c. Udbydere af elektroniske kommunikationsnet eller -tjenester til slutbrugere som nævnt i
§ 6, stk. 1, skal på begæring af politiet udlevere oplysninger, der identificerer en slutbrugers adgang
til kommunikationsnet og -tjenester.«

Hvis man bare læser den, så er det jo lige ud ad landevejen, politiet anmoder og ISP oplyser ... Men så er der lige kommentarerne, hvoraf man kan udlede, at det kan overvejes om det ved dynamiske IP adresser skal anvendes reglerne om "kan ikke huske udtrykket", det er så overvejet og i praktis blevet til, at der anmodes om editionskendelse, hvis det er en dynamisk IP adresse.

Kommentaren har lige gjort at det der stod så klart at læse i §15c, pludselig kun gælder for de 5% faste IP adresser, som en stor ISP fortalte mig var forholdet for nogle år siden.

Ja, der er nok en grund til jeg blev efterforsker og ikke jurist :-)

  • 0
  • 0
North Anderson

Om hvorvidt det så er for hver kunde eller ej giver ingen mening hvis der er tale om NAT eller lignende.

Hvis der bag nat er over 100 kunder, så gælder logningsbekendtgørelsen også for dem og der skal laves en log (og de gange jeg har haft brug for det har de også haft det), nogen gange er det 'foreningen' bag NAT der selv har session log andre gange er det ISP der også sørger for den (hvilket er i overensstemmelse med bekendtgørelsen bare den ene eller den anden)

Om det sker for hver kunde eller ej er efterforskningsmæssigt BESTEMT ikke underordnet.

  • 0
  • 0
Christian Nobel

Jamen du skjuler heldigvis ikke på hvilken side af hegnet du står og det er da reelt og til at tage og føle på. Uanset hvad, så er det 'et uvæsen'.

Jeg kan ikke rigtig gennemskue om du prøver at skyde mig noget i skoene, eller implicit insinuerer et eller andet.

Og med din holdning om din og min side, så støder du faktisk den retsbevisthed jeg har som en absolut lovlydig borger!

Der var så nogle der ikke skønnede at det var et uvæsen og indførte reglerne, det er måske mere til dem jeg henvender mig.

Hvad er din holdning i dette spil - drejer det sig om levebrød, eller drejer det sig om at gøre vores land til et bedre og sikrere sted at bo?

Det er klart at argumentationen, når man så klart står på den side af hegnet du står, virker 'omvendt', men hvis du står på den anden side af hegnet og syntes at det kunne have været en god ide, men også realistisk ser på, at det måske er for dyrt i forhold til hvad det bliver brugt til, de vil næppe på samme måde syntes at det er 'omvendt', men måske se og forstå at noget der ikke har fået en chance for at virke, måske skulle havde den chance og det så viser sig 'at det var en god ide'.

Det virkede temmelig tåget, men mener du i ramme alvor at alle landets internetudbydere skal pålægges udgifter i mange, mange millioners klassen, for du eventuelt kan efterforske om der er blevet ranet nogle få hundrede tusinde fra en bank, måske endda fordi de har sløset med sikkerheden.

Og der samtidig er ansat en større skare politifolk for at udføre dette arbejde.

For så er der ikke blevet udvist rettidig omhu, og der er blevet prioriteret helt forkert.

Jeg er med på, at der kommer du nok aldrig til ... og det er fair nok.

Igen ligger der noget implicit i dette udsagn - vær venlig at tone rent flag.

  • 0
  • 0
Christian Nobel

Hvis der bag nat er over 100 kunder, så gælder logningsbekendtgørelsen også for dem og der skal laves en log (og de gange jeg har haft brug for det har de også haft det), nogen gange er det 'foreningen' bag NAT der selv har session log andre gange er det ISP der også sørger for den (hvilket er i overensstemmelse med bekendtgørelsen bare den ene eller den anden)

Aha, så nu siger du altså at du har haft behov for at kikke på data fra en mindre ISP (boligforening/hotel etc), til trods for at justitsministeriet ikke har meldt ud om det.

Har du så været medvirkende til at fange nogle terrorister på denne konto?

Hvad drejer det her sig egentlig om - du kan sidde her og hævde noget, men den fulde sandhed skal mørklægges?

Om det sker for hver kunde eller ej er efterforskningsmæssigt BESTEMT ikke underordnet.

Jamen i det ideelle Big Brother samfund kan alt efterforskes i det uendelige, og vi kan måske også i bedste Minority Report stil begynde at udvikle pre-crime-pattern teknologier, men er det virkelig det samfund du godt kunne tænke dig at leve i?

  • 0
  • 0
Mogens Ritsholm

Fuldstændigt korrekt for data fra mobiltelefoner (og det fungerer ganske fortræffeligt). I øvrigt får vi både det standardiserede format, men også det originale format i en excel fil.

Der er ikke og har mig bekendt ikke været tale som det samme for session logs fra internetudbydere!! hvilket NETOP er min pointe med mit indslag om en anden vinkel. Teledata fungere ganske fortræffeligt ... men session logs fra ISP'ere gør IKKE. og min pointe er, at det måske er derfor at det ikke 'giver resultater' og bliver brugt.

Pointen er, måske skulle man gøre det brugbart og så se om det virker!!

Jeg har som sagt ikke tid. Men du provokerer mig i den grad. Så jeg må snige mig ud og svare.

Det glæder mig virkeligt, at det du kalder ”teledata” , f.eks. for mobiltelefoner, fungerer. For 5 år siden var mobilselskabernes data helt forskellige, og jeg forstod til fulde det problem, som politiets telecenter havde. Men på den anden side var mobilselskabernes systemer forskellige. Og de var jo ikke sat i verden som overvågningsenheder. Så det var bare de realiteter, som politiet måtte indse.

Nu har ensartede krav i EU-lande og en målrettet indsats med standardisering (også de facto standarder fra leveranører) åbenbart forbedret situationen.

Men i Danmark er 95 % af alle logningsposter sessionslogninger, som ikke bruges i andre EU-lande. Og her har man efter dit udsagn ikke gjort fremskridt, selv om det egentlig er en langt simplere opgave. Man har end ikke hos politiets telecenter formået at omsætte rekvirerede data til et fælles format for efterforskere.

Forklaringen er nok den enkle, at der ikke er nogen større interesse blandt efterforskere af alvorlige forbrydelser, herunder efterforskning af terrorvirksomhed. PET har i JMINs redegørelse klart frameldt deres interesse, selv om det var i dette miljø forslaget om sessionslogning fødtes.

Tilbage er så f. eks. efterforskning af tilfælde, hvor der er påstand om, at andre kan have brugt din maskine til netbankindbrud. Ifølge dagens nyheder er denne form for misbrug i øvrigt stærkt aftagende. Men der kan også være andre tilfælde, hvor sessionslogning kan gøre nytte. Men det er helt absurd uinteressant i forhold til det faktum, at sessionslogning er 95 % af posterne.

Skal det så have en chance til?

I mere end 5 år har hverken PET eller det almindelige politi fundet, at sessionslogning var af samme betydning som øvrige teledata – altså de 5 %. De 5 % er åbenbart klart vigtigere end de 95 %. Det har politiet og PET jo selv illustreret til fulde. Og de har ikke kunnet fremlægge en eneste alvorlig forbrydelse, hvor sessionslogning har medvirket til opklaringen. Eksemplet med netbankindbrud er jo ikke en opklaring, men en relation til anden opklaring.

Skal vi så give de 95 % en chance til, når vi ved, at vi er helt alene om det i en stadig mere international televerden?

Jeg synes snarere man skal spørge:

Skal det virkelig have endnu en chance med alle de beviser, der ligger på bordet ?

Er der overhovedet nogen chance for, at sagen om sessionslogning kan ende godt?

Ligner det ikke i betænkelig grad stænklapsagen fra 1964?

(Og her tænker jeg ikke på det mærkværdige personsammenfald, der er mellem de to sager.)

Tidligere i denne tråd spurgte en debattør, om man da ikke kunne gøre noget. Noget der kunne ligne de stænklapper, der blev sendt til Hans Hækkerup i 1964.

Og det kan man måske.

For Datatilsynet har i deres visdom besluttet, at telekunder selv kan rekvirere loggede data for et beskedent beløb.

For sessionslogninger drejer det sig let om 0,5-1 mill. Logninger for et normalt forbrug på et år. Så det kan man jo bare bede om. Så får vi se, om det udleveres i XLS eller PDF-format.

  • 0
  • 0
Jesper Lund

Hvis der bag nat er over 100 kunder, så gælder logningsbekendtgørelsen også for dem og der skal laves en log (og de gange jeg har haft brug for det har de også haft det), nogen gange er det 'foreningen' bag NAT der selv har session log andre gange er det ISP der også sørger for den (hvilket er i overensstemmelse med bekendtgørelsen bare den ene eller den anden)

Nu er du i gang med at overfortolke logningsbekendtgørelsen. Der er ikke særskilte krav til ISP'er med NAT, hverken i bekendtgørelsens ordlyd eller vejledningen.

Når det er sagt, så er det klart at NAT skaber nogle problemer med at skelne mellem kunderne, som du reelt ikke kan løse (alene) med logning. Forklaring til sidst i dette indlæg.

Sessionslogningen skal foretages på kanten til andre net jf. 5.5 (det er skrevet som et krav, ikke en valgmulighed), og det vil generelt udelukke registrering af NAT identiteter i sessionslogningen. Medmindre det er så lille en ISP, at brugernes NAT gateway samtidig udgør kanten til andre net. Hvis der ikke er dette sammenfald, vil kantrouteren kun modtage pakker med den offentlige IP adresse for NAT gateway, og denne offentlige IP adresse deles af et antal kunder.

Og nu forklaringen på at NAT begrænsningerne ikke kan løses med logning.

Hvis du læser Justitsministeriets redegørelse er der i 5.5.1.2 en beskrivelse af de problemer som NAT skaber. Det handler ikke om sessionslogningen, men om at identificere en brugers adgang til internettet efter 5.2.

Lad os sige at NN har skrevet noget grimt/truende på forum XYZ eller prøvet at hacke webserveren, og der indgives en politianmeldelse. Politiet får logfilen, hvor der optræder en IP adresse for NN. Desværre bruger NN's ISP NAT, så IP adresse kan være brugt af 100 kunder, og vi ved ikke hvem. Politiet får næppe lov til at sparke 100 døre ind (eller har lyst til at gøre det... "velkommen til forsiden på EB").

I redegørelsen afsnit 5.5.1.2 står der videre at en enkelt ISP (TDC Mobil) har valgt at lave noget ekstra logning i deres NAT gateway, så kombinationen af IP adresse, port og timestamp kan identificere en kunde. Problemet er bare at det ikke rigtigt hjælper noget i praksis. Det skyldes at de eksterne logfiler for den typiske webserver ikke registrerer source porten, og source porten var jo netop nødvendig for at komme videre.

Det "lykkes" selvfølgelig Justitsministeriet at få blandet sessionslogningen ind i dette. Men det er ikke sessionslogning vi taler om her. Sessionslogning skal laves i kantroutere, men her taler vi om en logning af NAT identiteter som kun kan ske i NAT gateway.

  • 0
  • 0
Christian Nobel

I øvrigt gav jeg et eksempel. Og jeg pointerede det var et eksempel. Føler det er lidt unfair at stille spørgsmålet "Skal vi have sessionslogning fordi oplysningerne nogle gange kan hjælpe politiet lidt i efterforskningen af netbankindbrud", hvor du antyder det kun er til netbankindbrud. Jeg har brugt det i flere andre kategorier af efterforskning. Mit indslag var ... ja et indslag, ikke en fuldstændig redegørelse.

Unfair?

Så du mener det er unfair at stille et så absolut relevant spørgsmål, som du så affejer med at det kun var "et eksempel" - er det fair?

Hvis det her skal give nogen mening, så nytter det ikke noget at du fremkommer med dunkle, skjult for offentligheden, "eksempler" - det er i hvert fald ikke befordrende for retssikkerheden, og man kunne også frygte at der måske laves efterforskning på et ulovligt grundlag.

Det er sådan lidt, jeg må gøre fuldstændig som det behager mig, og I har bare at rette ind.

I øvrigt undrer jeg mig lidt over dit "navn", er det så også et pseudonym?

  • 0
  • 0
Jesper Lund

Men igen ... min pointe er at det har ikke fået en chance, så måske skulle det have en chance og så lad os se om det kan bruges.

Lad os lige slå fast

1) Vi har haft sessionslogning i mere end 5 år

2) Det kan ikke komme bag på politiet at sessionslogningen, sammen med den øvrige logning, skulle evalueres på et tidspunkt. Derfor må man gå ud fra at de har registreret brugen af sessionslogningen. For den almindelige logning efter direktivet skal EU (DG HOME) hvert år have en statistik over brugen af logningsdata.

Justitsministeriet og Rigspolitiet har lavet en redegørelse over hvad sessionslogningen er blevet brugt til. Når vi skræller diverse misforståelser væk, er det... efterforskning af netbankindbrud (afsnit 5.4.3).

Hvis du siger "måske skulle vi give sessionslogningen en chance", så siger du reelt at dine chefer en 15-16 led højere oppe i hierarkiet har sovet gevaldigt i timen.

Sessionslogningen har haft sin chance.

  • 0
  • 0
Johannes Aagaard

Over hovedet at fremføre, at denne debat mest af alt drejer sig om, hvilken side af "hegnet" man står på, er et udtryk for en technoid begrebsverden og inviterer virkelig til en glidebaneargumentation, hvor en given teoretisk nytteværdi for politiet altid overtrumfer både proportionalitet og - viser det sig - virkeligheden.

Ser vi bort fra dette lovsjuskeri omkring hele tilblivelsen og udmøntningen af sessionsreglerne, ser vi bort fra justitsministeriets og politiets ynkelige sløring af fraværet af nytteværdi ved sessionslogningen, og ser vi endelig bort fra politiets manglende formåen i forbindelse med implementering af reglerne om sessionslogning i deres efterforskninger, så står én ting lysende klart tilbage: det totale fravær af proportionalitet.

Når en lovgivning om sessionslogning selv efter fem år ikke viser sig at have en reel nytteværdi i sin nuværende udformning, så indikerer det et helt utilstedeligt sjuskeri fra justitsministeriets og politiets side. Og benægtelserne og bortforklaringerne vidner om en stivnakkethed og totalt misforstået "system-loyalitet", der i dén grad vækker mistillid.

Set i lyset af justitsministeriets og politiets stædige fastholdelse af berettigelsen af sessionslogning, så burde den logiske konsekvens af fiaskoen med sessionslogningen være - set i den optik, at man ønsker, at al trafik (headers) logges for alle danskere. Og mon ikke at problematikken med proportionaliteten så bliver en smule mere synlig for selv system-apparatchikkerne?

I dette spørgsmål sidder man i justitsministeriet med garanti på sine hænder i øjeblikket og aner ikke sit levende råd om, hvordan kommer ud af denne selvskabte catch 22 situation.

  • 3
  • 0
North Anderson

Og med din holdning om din og min side, så støder du faktisk den retsbevisthed jeg har som en absolut lovlydig borger!

Jeg beklager hvis du opfattede det som noget med lovlydig. det var BESTEMT ikke meningen.

Det jeg mente med, på den ene eller anden side af hegnet i denne forbindelse er udelukkende med hensyn til session logs ja/nej. Om man har den ene eller den anden holdning i den retning har INTET med lovlydig at gøre og var på ingen måde tænkt eller insinueret fra min side.

UYNDSKYLD

  • 0
  • 0
North Anderson

I mere end 5 år har hverken PET eller det almindelige politi fundet, at sessionslogning var af samme betydning som øvrige teledata – altså de 5 %. De 5 % er åbenbart klart vigtigere end de 95 %.

Mogens … også overfor dig beklager jeg!! Jeg må have været utrolig dårlig til at formulere og forklare mig.

De 5% og 95 % har ikke noget med session logs at gøre. Det var et eksempel på at man læser loven og ikke den medfølgende betænkning:

§ 15 c. Udbydere af elektroniske kommunikationsnet eller -tjenester til slutbrugere som nævnt i
§ 6, stk. 1, skal på begæring af politiet udlevere oplysninger, der identificerer en slutbrugers adgang til kommunikationsnet og –tjenester

Når man læser denne lov, så kunne man jo misforstå det sådant, at på politiets begæring skal ISP’erne udlevere oplysninger der identificere en slutbrugers adgang …..

Det er oplysninger om hvem der på et bestemt tidspunkt var bruger af en bestemt IP adresse.

Men når man så læser betænkningen så er der ting i den der gør, at det tolkes således at §15c kun gælder på statiske IP adresser og ikke for dynamiske IP adresser.

Det jeg så fik oplyst var, at af alle IP adresser er 95% dynamiske og 5% statiske.

Så det jeg sagde var at selvom loven umiddelbart siger at på politiets begæring skal disse oplysninger udleveres for IP adresser, så er det i praksis sådant at det kun gælder for de 5% statiske IP adresser og jf. en fortolkning af betænkningen ikke for 95% dynamiske IP adresser.

Det havde noget med forståelsen af lovene at gøre og IKKE nogen statistik omkring session logs.

Beklager misforståelsen.

I øvrigt tak for indlæg, mine indlæg er ikke endelige holdninger, men bare indskud da jeg efterforskningsmæssigt kan se fordelen ved brug af session logs. Jeg arbejder med det på den ene side og kommer med nogle erfaringer derfra.

  • 2
  • 0
North Anderson

Det er sådan lidt, jeg må gøre fuldstændig som det behager mig, og I har bare at rette ind.

I øvrigt undrer jeg mig lidt over dit "navn", er det så også et pseudonym?

Hvis jeg har givet dig indtryk af ’jeg må gøre fuldstændigt som det behager mig …’, så beklager jeg. NEJ jeg må ikke gøre som det behager mig og som politimand gør jeg heller ikke det. Jeg følger loven. Jeg påpegede bare at der er flere eksempler på at session logs kan bruges.

Jeg er med på at om det var det ene der blev brugt eller om det er 4 er i den forbindelse ikke så vigtigt det er IKKE mange. Jeg påpeger at der stort set ikke er nogen efterforskere udenfor NITES (med hensyn til PET har jeg ingen anelse om hvad de gør, ved eller bruger) der kender til eksistensen af session logs. Jeg gav så nogle eksempler på at de kunne bruges, jeg påpegede at årsagen til de få eksempler måske er, at ingen kender til eksistensen.

Mit navn er et pseudonym … det beklager jeg. Men de folk jeg afhører er temmelig gode til det med Internettet, flere af mine kollegaer har oplevet at få folk til afhøring, som bemærker, du ligner dig selv på Facebook, dejlige pige du har, tænk at hun går i xxx skole. Så jeg har holdt mig fra Facebook og andre sociale medier af samme årsag (kikker så fruen over skulderen). Så ja, jeg har valgt at skrive under pseudonym (men version2 kan af min registrering se hvem er er.

Jeg har selv overvejet om det er fair … men så valgt jeg at gøre det og det er ikke nødvendigvis den rigtige beslutning.

  • 2
  • 0
Mogens Ritsholm

Det jeg så fik oplyst var, at af alle IP adresser er 95% dynamiske og 5% statiske

Når jeg omtaler 5% g 95% er det mængden af sessionslogs (95%) og mængden af alle øvrige logs (5%).

DEt har ikke noget at gøre med statiske og dynamiske IP-adresser ellere logningen af aktivitetsperioder. Det giver slet ikke de store mængder, med mindre man NAT-logger. Ogdet er der næppe mange, der gør.,.

  • 0
  • 0
Christian Nobel

Undskyldning accepteret.

Men når nu du ikke kan være mere konkret, kan du så i det mindste løfte sløret for om hvorvidt der overhovedet er proportionalitet i dette her?

Har denne kikken i logs afværget nogen terrorangreb, fanget nogle terrorister, eller hvis vi går et step ned (da man lige fik lusket noget bande relateret ind i loven senere), afværget bandekrigen i København, fanget nogle grove narkoforbrydere etc?

Eller har det afværget nogen mord og drab, eller fanget nogle drabsforbrydere?

Eller fanget nogle Stein Baggere eller tilsvarende?

Og et niveau længere nede, har det gjort noget for at afværge den bølge af tricktyverier ældre udsættes for, eller gjort noget ved at S-tog stationerne systematisk bliver ribbet for cykler, selv i de aflåste parkeringer?

Etc, etc.

Eller har disse mange, mange millioner af spildte kroner gennem de sidste 5-6 år kun resulteret i at man har opklaret et par enkelte småforbrydelser (læs resultatet af bankernes skødesløshed og opfordren til MiM angreb) til nogle få 100KKr, eller opklaret at nogle teenagere har lavet lidt piratkopier af ligegyldig popmusik, eller opklaret nogle andre teenageres DDOS angreb på hin og denne fagforening.

Og hvor mange ressourcer har politiet puttet i det, i stedet for at udvise rettidig omhu, så almindelige borgere ikke bare føler sig ladt i stikken?

  • 0
  • 0
North Anderson

for politiet altid overtrumfer både proportionalitet og

Bare for at skære det ud i pap.

Jeg er IKKE politiet!!!!

Jeg er en person med en mening om det der debateres. Jeg har nogen personlig erfaring omkring det og syntes det var relevant i debatten.

Men alle synspunker er mine egen og IKKE et udtryk for politiets holdning.

Jeg er privatperson, der som privatperson deltager i debatten, jeg er også ansat i Politiet, men jeg repræsentere ikke politiet i offentlige debatter.

  • 1
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize