yoel caspersen blog bloghoved

Carrier grade NAT: Piraterne kommer!

Vi har tidligere talt om sessionslogning og Carrier Grade NAT, også kaldet CGN. I dag skal det handle om jura og teknik, og om at finde balancen mellem flertallets ret til privatliv og hensynet til myndighedernes efterforskning.

DMCA - legal spam

Hos Kviknet modtager vi af og til automatiserede spammails fra forskellige rettighedsadvokater, de såkaldte DMCA takedown notices. Det er som regel amerikanske advokater, der tror at amerikansk lov er universelt gældende, og som regel handler det om, at en bruger på vores netværk angiveligt har delt en film, der er beskyttet af ophavsret.

Lad os slå det fast med det samme: Vi går ikke ind for piratkopiering, og personligt er jeg af den holdning, at man bør tegne et lovligt abonnement hos Netflix, HBO, TV 2 Play eller en lignende service, hvis man ønsker at se film over nettet. Det har jeg selv gjort, og jeg har opdaget,at den danske udgave af Netflix faktisk er bedre end sit rygte.

Det ændrer dog ikke på, at vi har en forpligtelse til at tage vores brugeres privatliv seriøst, og af samme grund har vi ingen logning af sessioner på vores Carrier Grade NAT-routere, der bruges af ca. 95 % af vores brugere. Når vi modtager en DMCA-mail, handler det som regel om en CGN-bruger, og da vi ikke ved hvilken bruger, der er tale om, bliver vi nødt til at ignorere den pågældende mail.

Hvordan virker CGN?

CGN startede egentlig som en teknisk begrænsning, der er forårsaget af en global mangel på IPv4-adresser, men det har vist sig at have en interessant bi-effekt - nemlig at det giver den enkelte bruger en vis grad af anonymitet.

Med CGN har hver bruger sin egen private IP-adresse, mens flere brugere deles om den samme offentlige IP-adresse - ofte vil der være tale om flere hundrede brugere, der deler en IP-adresse.

Illustration: Privatfoto

Når en bruger sender en forespørgsel til en webserver på internettet, sendes forespørgslen fra brugerens private IP-adresse og et portnummer, der er valgt af brugerens PC. Når forespørgslen routes gennem internetudbyderens NAT-router, tildeler NAT-routeren en offentlig IP-adresse og et portnummer til forespørgslen, hvorefter den sendes videre til webserveren ude på internettet.

NAT-routeren husker herefter kombinationen af offentlig IP-adresse og portnummer samt privat IP-adresse og portnummer, og når svaret kommer retur fra webserveren, ved NAT-routeren derfor, hvor den skal sende trafikken hen.

Efter et stykke tid, hvor forbindelsen til webserveren ikke har været i brug, glemmes den af NAT-routeren, hvorefter det offentlige portnummer kan genbruges af en anden session. Tildelingen af offentlige portnumre foregår dynamisk, og vi kan derfor ikke efterfølgende finde ud af, hvem der har brugt portnummeret på et givent tidspunkt, medmindre vi logger dette.

Er det lovpligtigt at logge NAT-sessioner?

Når nu vores CGN-routere ikke logger sessionerne, har vi ikke mulighed for at imødekomme DMCA takedown notices eller dommerkendelser, der pålægger os at udlevere historiske oplysninger om CGN-brugere.

Vi har selvfølgelig mulighed for at etablere en fremadrettet aflytning af en specifik bruger, hvis myndighederne indhenter en dommerkendelse, men vi har ikke mulighed for at gå tilbage i tiden og se, hvem der brugte et specifikt portnummer på et givent tidspunkt.

Er det lovligt at drive et netværk, hvor brugerne på denne måde er sikret en vis anonymitet?

Jeg er ikke jurist, men jeg har forsøgt at få dette spørgsmål besvaret hos en af landets førende eksperter i teleregulering.

Mogens Ritsholm er civilingeniør og tidligere telechef i teknisk og regulatorisk afdeling hos TDC, og han har i en lang årrække været en nøglefigur i samarbejdet mellem telebranchen og myndighederne.

Han har derfor et indgående kendskab til baggrunden for myndighedernes regulering af branchen og tolkningen af reglerne på området, der for en stor dels vedkommende udspringer af EU-lovgivning, og han har forsøgt at gøre os klogere på situationen.

Logning vs. beskyttelse af personlige oplysninger

De relevante regler for vores spørgsmål findes i logningsbekendtgørelsen, der er baseret på logningsdirektivet fra EU. I logningsdirektivet slog man fast, at det kun er oplysninger, der behandles eller genereres af udbyderen, der kan kræves opbevaret og udleveret. Denne formulering går ordret igen i den danske logningsbekendtgørelse.

Logning er defineret som en undtagelse til direktivet om behandling af personlige oplysninger og trafikdata på teleområdet, der siger, at man skal slette personlige data og trafikdata, medmindre det skal bruges til debitering eller kræves gemt med henblik på udlevering til politiet.

Men for at data kan slettes, skal det eksistere i en selvstændig form. Og hvis det undtagelsesvist ikke skal slettes som følge af logningsreglerne, skal det også findes i en selvstændig form - og det gør sessionsdata i en CGN-router ikke.

Teleloven slår i øvrigt fast, at loggede data kun må udleveres til politiet efter en specifik dommerkendelse - hvilket også understøttes af bemærkningerne til logningsbekendtgørelsen fra 2006.

Vi slipper dog ikke helt - for logningsbekendtgørelsens § 5 siger at vi skal gemme brugerens identitet:

»§ 5. En udbyder af elektroniske kommunikationsnet eller -tjenester til slutbrugere skal registrere følgende oplysninger om en brugers adgang til internettet:

  1. den tildelte brugeridentitet,
  2. den brugeridentitet og det telefonnummer, som er tildelt kommunikationer, der indgår i et offentligt elektronisk kommunikationsnet,
  3. navn og adresse på den abonnent eller registrerede bruger, til hvem en internetprotokol-adresse, en brugeridentitet eller et telefonnummer var tildelt på kommunikationstidspunktet og
  4. tidspunktet for kommunikationens start og afslutning.«

Med andre ord, vi skal holde styr på, hvilken identitet vores bruger anvender på internettet, dvs. hvilken IP-adresse, hans forespørgsler kommer fra. Det gør vi også - men reglerne tager ikke højde for, at identiteten godt kan være delt med andre brugere, og at denne logning derfor er ubrugelig i praksis.

Den korte konklusion: Loven stiller ikke krav om at vi husker brugernes portnumre, da den ikke tager højde for Carrier Grade NAT.

Bør vi logge noget som helst?

Nu hvor vi har slået fast, at vi med loven i hånd kan værne om brugernes privatliv og undlade at logge sessionerne, står det åbne spørgsmål tilbage - har vi en moralsk forpligtelse til at forsøge at hjælpe rettighedsadvokaterne eller politiet alligevel?

Hvis ja, hvordan kan vi så gøre det uden at gå på kompromis med brugernes privatliv?

Hvis nej, skal vi så blot acceptere at en lille del af vores brugere foretager sig noget ulovligt, mod at beskytte flertallets privatliv?

Giv dit besyv med i debatten.

Kommentarer (63)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Mogens Ritsholm

Supplerende bemærkninger

Generelt kræver udlevering af logningsdata, at der foreligger en dommerkendelse, og den skal igen baseres på mistanke om en forbrydelse med en strafferamme op til 6 år.

Jeg har ikke fulgt sagen om rettighedshavernes krav om udlevering. Det er muligt, at det er baseret på en domstolsafgørelse. Men i så fald har domstolen for mig at se brudt loven. For der vel næppe mistanke om forbrydelse med 6 års strafferamme på basis af et tilfældigt trafikspor

Det minder lidt om sagen med Skat, hvor de krævede logningsdata udleveret med henvisning til deres egen hjemmel. Det er det vist sat en stopper for nu.

Vi har en adskillelse af den lovgivende, dømmende og udøvende magt som noget helt fundamentalt. Og det er alvorligt, når den dømmende eller den udøvende magt tilsidesætter lovgrundlaget.

I blogindlægget henvises til bemærkninger til logningsbekendtgørelsen mht. televirksomheders omgang med logningsdata. For god ordens skyld er det bemærkningerne til teleloven i 2006, hvor kravet om logning blev indført i denne lov.

Mogens Ritsholm

Nævnte bemærkning fra lovgivers side fremgår af bemærkningerne til den vedtagne lov L63 fra 2006, hvor der står:

"De i lovforslaget indeholdte ændringer af regler om udbydernes udstyr og systemer skal alene muliggøre adgang for politiet i henhold til retsplejeloven. Ændringerne vil således ikke medføre, at det bliver lettere for andre - herunder for personer, der er ansat hos eller udfører arbejde for udbyderne - at få adgang til oplysninger, som er dem uvedkommende. "

En televirksomhed kan altså med god ret afvise ethvert krav om udlevering, hvis kravet ikke baseres på retsplejelovens bestemmelser, og hvis det ikke er til politiet.

Det gælder også, selv om kravet baseres på en domstolskendelse. For domstolene kan som sagt ikke hæve sig over loven.

Det er min vurdering indtil jeg bliver belært om noget andet.

Yoel Caspersen Blogger

Det gælder også, selv om kravet baseres på en domstolskendelse. For domstolene kan som sagt ikke hæve sig over loven.

Det er min vurdering indtil jeg bliver belært om noget andet.

Det er rigtig interessant, da vi har set, at TDC på et tidspunkt er blevet dømt til at udlevere navn og adresse på en kunde, der angiveligt havde anvendt Popcorn Time, til Opus Law - se evt. en beskrivelse af deres modus operandi, og hvordan man imødegår den, på følgende website:

http://www.antipiratgruppen.dk/

Det er i øvrigt sket i mange tilfælde før - se version2's tidligere dækning af lignende sager:

https://www.version2.dk/artikel/versions2s-laesere-spoerger-hvad-skal-je...

Det ser ud til, at domstolene generelt imødekommer sagsøgers krav, men spørgsmålet er, om sagsøgte (TDC m.f.) har kæmpet tilstrækkeligt imod, eller om de blot har lagt sig fladt ned. Hvis det er ulovligt at udlevere oplysningerne til andre end politiet, burde det jo være en smal sag at afvise Opus Law i retten.

Jens Jönsson

Som Internetudbyder er det træls at eventuel lovgivning på området ikke er klar og tydelig.
Når man spørger, dem som bør vide det, så får man et ubrugeligt svar.

Læg dertil at man som udbyder overhovedet ikke er interesseret i, hvad kunden bruger forbindelsen til.

Mogens Ritsholm

Mine tidligere bemærkninger gjaldt de tilfælde, hvor identiteten skal findes via logningsdata, dvs. via en CG-NAT log eller logning af dynamisk IP. Det gælder også de tilfælde, hvor kunden de facto har samme IP hele tiden, selv om den principielt er dynamisk.

Det forholder sig lidt anderledes med fast IP. For det er jo ikke logningsdata, men en del af udbyderens faste kundedata.

Mig bekendt regulerer teleloven ikke dette direkte. Men der kan udledes en analog via reglerne om telefonnumre.

Som udgangspunkt er der offentlige kataloger over telefonnumre. Men man kan som bekendt skjule sin identitet bag et udeladt/hemmeligt nummer.

Imidlertid sendes nummeret med signaleringen, selv om det er hemmeligt over for modtageren. Så Teleselskabet ved hvem det er. Fra gammel tid har politiet en særlig adgang til udlevering af oplysning om kunder bag et hemmeligt nummer. Både for at opspore kilden til chikaneopkald og mulighed for at kontakte en person. Det sker uden retskendelse.

Men denne ret har andre ikke. Bliver man chikaneret eller vil man kontakte en person med hemmeligt nummer, må man henvende sig til politiet.

For mig har en fast IP-adresse samme reelle status som et hemmeligt nummer. Det er personlige data underkastet den generelle telehemmelighed, som ikke må udleveres til andre end politiet.

Jeg ved ikke om reglerne er ændret i de senere år.

Men det tror jeg ikke, og derfor er det mig stadig en gåde, at dommeren på Frederiksberg har konkluderet, at personlige data kunne udleveres til tredjepart.

Er den kendelse rigtigt efterprøvet af telebranchen, eller har de bare opgivet?

Mogens Ritsholm

Nogen sendte dommen fra Frederiksberg byret til mig.

Den blev afgivet den 28 september 2015 i en sag mellem Scanbox og TDC. Den blev rejst den 25.september og ingen af parterne mødte op i retten.

Dommeren afsagde dommen uden nogen form for analyse, og han har helt tydeligt ikke forstået, at det var en principiel sag. Han har ikke været belastet af viden om regler, love og direktiver om personlige data på teleområdet, og han aner ikke hvad logning er.

Det er en principiel sag, fordi den pålægger en udbyder at udlevere personlige data for en kunde til en anden kunde. Hvor går så grænsen i andre tilfælde ved chikaneopkald, dos-angreb osv. Har vi forladt princippet om, at forbrydelser efterforskes i et samarbejde mellem politiet og teleudbyderne.

Jeg græmmes.

Og det er ikke fordi, jeg sympatiserer med brud på opretshavsrettigheder.

Jesper Lund

Hvis vi starter med det spørgsmål, så er det meget nemt at besvare: NEJ.

Det var TL;DR udgaven. Uddybning nedenfor.

Logningspligten vedr. internet fremgår af § 5, stk. 1 i logningsbekendtgørelsen (hvis adgang sker via WiFi access points, skal lokationen for disse APs også registreres).

Stk. 1. En udbyder af elektroniske kommunikationsnet eller -tjenester til slutbrugere skal endvidere registrere følgende oplysninger om en brugers adgang til internettet:
1) den tildelte brugeridentitet,
2) den brugeridentitet og det telefonnummer, som er tildelt kommunikationer, der indgår i et offentligt elektronisk kommunikationsnet,
3) navn og adresse på den abonnent eller registrerede bruger, til hvem en internetprotokol-adresse, en brugeridentitet eller et telefonnummer var tildelt på kommunikationstidspunktet og
4) tidspunktet for kommunikationens start og afslutning.

Efter Nr. 4) skal man registrere når der via DHCP eller anden protokol (PPP på mobilnet?) er tildelt en IP-adresse som giver adgang til internettet. Start og slut-tidspunkt. Gem DHCP-loggen eller lignende (nok til at det kan samkøres med abonnentidentitet).

Hvis man har navne og adresse på sine kunder, fordi man sender regninger til dem, skal disse oplysninger også registreres. Ellers er abonnent-identitet uden navn og adresse, fx en MAC adresse, uagtet at den kan være spoofet. Der er ikke nogen hjemmel til at kræve logning af oplysninger, som udbyderen ikke under alle omstændigheder ville registrere, enten i forbindelse med administrative systemer eller fremførsel af trafikken (trafikdata og lokationsdata i et mobilt net).

Nr. 2) giver vel mest mening for PSTN dial-up modemer, hvis nogen stadig bruger dem.

Så det er primært nr. 1), logning af den tildelte brugeridentitet, som er relevant. Hvis der er CG-NAT kan man diskutere, om det skal være den offentlige (WAN side) eller private IP-adresse. Hvis man er den tålmodige type, kan man spørge Justitsministeriet om det (good luck..). Men kunne også gemme dem begge, da de vil være lige uanvendelige i en CG-NAT sammenhæng.

Portnumre og sessioner, herunder NAT sessioner, er der INGEN logningspligt for, eftersom reglerne om sessionslogning er ophævet.

Der var heller ikke i det nu annullerede (ulovlige) logningsdirektiv en pligt til at registreret andet end de oplysninger, som er nævnt ovenfor.

Der er lande som har taget initiativ til at revidere deres nationale logningslov, således at der skal gemmes oplysninger om CG-NAT sessioner, hvorefter det skal være muligt at få oplyst identiteten på en abonnement, hvis man kommer med offentlig IP, source porten og et timestamp. Det kan implementeres på flere måder hos udbyderen, enten logning af samtlige CG-NAT sessioner eller ved at holde kunderne inden for forud fastlagte port ranges (som det har været diskutere tidligere på Version2).

UK har vedtaget en sådan lovgivning i 2015. I Nederlandene indgår dette element i den logningslov, som parlamentet p.t. er ved at behandle, efter at Nederlandenes oprindelige logningslov blev erklæret ugyldig i foråret 2015 af en domstol.

Dette er ikke en udtømmende liste for hele EU, kun de EU-lande hvor jeg via kontakter, eller på anden måde, har tilpas konkret kendskab til den nationale lovgivning.

Men en sådan lov eksisterer ikke i Danmark. Altså er der ingen logningspligt udover hvad der står i § 5, stk. 1, den tildelte IP-adresse.

Så, Kviknet og andre ISP'er der ikke er TDC, please lade være med at logge CG-NAT sessioner, sålænge det ikke er et lovkrav.

Rigspolitiet NC3 har godt nok den noget aparte opfattelse, at det altid skal være muligt at få oplyst brugeridentiteten på grundlag en en IP-adresse og et timestamp. De vil ikke engang komme med den source port, som er teknisk nødvendig for at en eventuel CG-NAT logning (eller tilsvarende, fx begrænsning af abonnenterne til bestemte port ranges) kan bruges til noget.

Det Rigspolitiet NC3 reelt siger er at internetudbud baseret på CG-NAT ikke skal være tilladt, eftersom udbyderen med CG-NAT generelt ikke vil kunne oplyse identiteten på abonnenten alene ud fra IP-adressen og et timestamp. Det har Rigspolitiet selvfølgelig ikke hjemmel til.

Jesper Lund

"De i lovforslaget indeholdte ændringer af regler om udbydernes udstyr og systemer skal alene muliggøre adgang for politiet i henhold til retsplejeloven. Ændringerne vil således ikke medføre, at det bliver lettere for andre - herunder for personer, der er ansat hos eller udfører arbejde for udbyderne - at få adgang til oplysninger, som er dem uvedkommende. "

Allerede i 2006 var der retspraksis for, at en editionskendelse alene gav adgang til abonnentoplysninger bag dynamisk tildelt IP-adresse og masteoplysninger for mobilselskaber. Antipiratgruppen og Johan Schlüter havde adskille sager kørende på det tidspunkt, hvor de via en editionskendelse havde fået oplyst abonnentens navn.

Med forbehold for at jeg ikke har læst L 63-bemærkningerne i deres helhed, synes jeg ikke at ovenstående citat fra bemærkningerne ("Ændringerne vil således ikke medføre, at det bliver lettere for andre..") udelukker at man kan få oplyst kundenavn bag dynamisk tildelt IP-adresse med en editionskendelse.

Editionskendelser forudsætter alene at forholdet er undergivet offentlig påtale. Der er krænkelser af ophavsretsloven.

Jesper Lund
Jesper Lund

Når vi modtager en DMCA-mail, handler det som regel om en CGN-bruger, og da vi ikke ved hvilken bruger, der er tale om, bliver vi nødt til at ignorere den pågældende mail.

DMCA er amerikansk lovgivning, som ikke er gældende i Danmark. Alle mails der indledes med "DMCA notice" eller lignende, kan en internetudbyder roligt smide i spamfilteret.

E-handelsloven § 14 fastslår, at en internetudbyder der laver ren videreformidling (router internetpakker) ikke har noget ansvar for trafikken. Tingene er lidt mere kompliceret hvis man hoster kundernes indhold ("oplagring") fx webhoteller, eller cacher internettrafik (caching er der vel stort set ingen som gør i dag?).

Det udelukker ikke at en domstol kan pålægge en internetudbyder visse ting, fx DNS-blokering, afbryde forbindelsen til en konkret kunde (FTP-server sagen fra 2006 om en TDC-kunde) og udlevere visse oplysninger efter en editionskendelse.

TL;DR Alle henvendelser om ren internettrafik der ikke kommer fra domstolene eller politiet er der IMO ingen pligt til at reagere på. Og auto-genererede emails fra DMCA bots kan man roligt arkivere i spamfolderen eller /dev/null.

Jesper Lund

Der er mange meninger om logning. Men næsten uanset hvem der mener hvad, vil der inden for den allernærmeste fremtid være behov at revidere disse opfattelser, især om internetlogning.

Det er der to grunde til (i Danmark)

1) Justitsministeren har som bekendt ønsker om en meget kraftig udvidelse af internetlogningen, tilsyneladende i form af en udvidet sessionslogning ("udvidet" i forhold det vi havde 2007-2014), men alle disse planer er meget hemmelige. Ingen kan få oplyst hvad disse ønsker går ud på. Det eneste vi ved, er at der var en meget hemmelig plan som ville koste en milliard bare i etablering plus det løse til drift, og nu arbejdes der i allerstørste hemmelighed på at gøre det billigere.

2) EU-domstolen vil i løbet af efteråret afsige dom i den såkaldte Tele2-Watson sag (de forenede sager C-203/15 og C‑698/15). Denne dom vil formentlig definere nogle rammer for nationale logningslove, som er anderledes end de nuværende rammer (især i Danmark, hvor Justitsministeriet nærmest ikke mener at der er nogle rammer, og hvor Justitsministeren angiveligt er af den opfattelse, at logning bare er registrering og at det ikke er en indskrænkning af retten til privatliv). Men det er på nuværende tidspunkt svært at spå om udfaldet. Generaladvokaten er den 19. juli kommer med en udtalelse (forslag til afgørelse), som på overskriftsniveau siger at "logning måske er tilladt", men præmisserne i denne udtalelses bevæger sig i meget forskellige, og nogle gange direkte indbyrdes modstridende, retninger.

Ivo Santos

Igennem det sidste årti har EU strammet så meget på reglerne at jeg begynder at tro at vi på et eller andet tidspunkt ender med kinesiske tilstande, så registrering af brugere af CG-Nat bliver sikkert en del af teleloven en gang i fremtiden kunne jeg forestille mig.

Steffen Schumacher

Er langt fra jurist, og kan godt være enig i at de paragraffer bloggen lister ikke tager højde for nat, og dermed er det ikke defineret hvordan cgnat skal behandles.
Dog vil jeg sige, at lovens hensigt er rimelig klar, når man ser på de cases den faktisk dækker (telefoni+internet uden NAT), så jeg ser mest jeres udeladelse af logning som et hul i lovgivningen, der sikkert vil blive lukket en gang.
Så kan man mene at man kæmper for retten til privatliv osv, men hvis nu alle de store udbydere gjorde det samme, så tror jeg hullet ville blive lukket noget hurtigere, og dermed ville i skulle rette ind. Med andre ord, så tror jeg kun i får lov at slippe afsted med undladelsen af logning, fordi i ikke er større(endnu).

Jesper Lund

Igennem det sidste årti har EU strammet så meget på reglerne at jeg begynder at tro at vi på et eller andet tidspunkt ender med kinesiske tilstande, så registrering af brugere af CG-Nat bliver sikkert en del af teleloven en gang i fremtiden kunne jeg forestille mig.

Jeg er 99% sikker på at der ikke kommer et nyt logningsdirektiv fra EU. Men blandt EU-landenes regeringer er troen på logning større end nogensinde, hvor ulogisk det end måtte lyde (når den terrortrussel man p.t. står overfor i Europa primært synes at bestå i, at lokale tosser skaffer sig en AK47 eller en lastbil og laver ravage, uden en sẗ́ørre planlægningsfase hvor gerningsmændene m/k har kommunikeret indbyrdes via telefoni eller internetkommunikation ala 9/11).

Mogens Ritsholm

Dog vil jeg sige, at lovens hensigt er rimelig klar, når man ser på de cases den faktisk dækker (telefoni+internet uden NAT), så jeg ser mest jeres udeladelse af logning som et hul i lovgivningen, der sikkert vil blive lukket en gang.

Loven bag lognings hensigt er at gemme oplysninger, der ellers skulle smides væk. Det giver spor, som kan være nyttige.

Hensigten er ikke, at alt skal kunne spores. Hvis det mål skal opfyldes, må man forbyde NAT, anonyme telekort og alle mulige andre teknikker, der nedsætter sporbarhed. Så er vi i et helt andet scenarie, hvor kun godkendte metoder må anvendes til teleproduktion.

Logning af CGNAT hjælper i øvrigt heller ikke, da sporene sjældent indeholder portnumre.

Baldur Norddahl

https://www.retsinformation.dk/forms/r0710.aspx?id=161319

§ 10. Udbydere af elektroniske kommunikationsnet eller -tjenester til slutbrugere skal uden udgift for staten sikre,
1) at det tekniske udstyr og de tekniske systemer, som udbyderen anvender, er indrettet således, at politiet kan få adgang til oplysninger om teletrafik og til at foretage indgreb i meddelelseshemmeligheden i form af historisk teleoplysning og historisk udvidet teleoplysning, fremadrettet teleoplysning og fremadrettet udvidet teleoplysning, aflytning og teleobservation, jf. retsplejelovens kapitel 71 og 74, herunder, for så vidt angår fremadrettet teleoplysning og udvidet teleoplysning, at politiet kan få adgang, umiddelbart efter at disse oplysninger registreres,

Der stilles altså krav til hvordan nettene skal indrettes rent teknisk. Spørgsmålet er om dette er begrænset til tale-tjenester eller om internettjenester også er omfattet. Bemærk at de også taler om historiske oplysninger, hvilket implicerer et logningskrav.

Jesper Lund

Der stilles altså krav til hvordan nettene skal indrettes rent teknisk. Spørgsmålet er om dette er begrænset til tale-tjenester eller om internettjenester også er omfattet. Bemærk at de også taler om historiske oplysninger, hvilket implicerer et logningskrav.

Teleloven § 10 gælder både telefoni og internet. Men du kan ikke læse et uspecificeret logningskrav ud af denne bestemmelse. Logningskrav fremgår af logningsbekendtgørelsen, jf. RPL § 786, stk. 4.

Jesper Lund

Teleloven § 10 gælder både telefoni og internet. Men du kan ikke læse et uspecificeret logningskrav ud af denne bestemmelse. Logningskrav fremgår af logningsbekendtgørelsen, jf. RPL § 786, stk. 4.

Hvis du alene er internetudbyder (ingen VoIP eller anden tele) betyder § 10, at du skal indrette sine systemer således at det er muligt at foretage en internetaflytning, dvs. at en specifik kundes internettrafik (pakke metadata og indhold) skal kunne isoleres fra de andre kunders trafik og gemmes på en harddisk.

Det sker ca 20 gange om året at politiet gør brug af denne mulighed for internetaflytning, så for en mindre internetudbyder er det ret usandsynligt at behovet skulle opstå.

Mogens Ritsholm

Der stilles altså krav til hvordan nettene skal indrettes rent teknisk. Spørgsmålet er om dette er begrænset til tale-tjenester eller om internettjenester også er omfattet. Bemærk at de også taler om historiske oplysninger, hvilket implicerer et logningskrav.

Det er nok lidt svært at forstå uden bemærkningerne.

Men meningen er alene, at udbyderen skal være i stand til at aflytte, lave teleobservation og gemme de oplysninger, der kræves logget. Og de oplysninger der kræves gemt er alene dem, som behandles eller genereres samtidigt med at de er omfattet af logningsbekendtgørelsen.

Det er ikke et krav om at indrette sit telesystem, sådan at man behandler eller genererer oplysninger, der er omfattet af logningsbekendtgørelsen.

Er det for svært at forstå den dramatiske forskel?

Gert Madsen

Yoel spørger efter moral omkring logning. Den synes jeg er meget enkel.
Man skal gå ud fra at ens kunder er hæderlige mennesker, som man ikke skal overvåge.
Når man hertil lægger at logning/overvågning udsætter kunderne for en risiko, af flere grunde.
Dels forsøger rettighedsadvokater bevisligt at afæske oplysninger, som de ikke er berettiget til. Det samme kan til en vis grad siges om politiet. Det kan selvfølgeligt undgås ved at internetleverandøren går alle krav nøje igennem, men det er nok en resourcekrævende process.
Så er der risiko for, at man får ansat en medarbejder, som er tilfals for penge eller opmærksomhed.
Endeligt kan oplysningerne blive lækket ved fysisk eller elektronisk indbrud.
Uanset hvor omhyggelig man er, så kan det ske.

Steffen Schumacher

Jeg læser paragraf 5, del 3 sådan at brugernes telefonnr/ip adresse skal logges på kommunikationstidspunktet.
Kan som sagt, meget vel tage fejl - og som Yoel nævner er det utilstrækkeligt når der benyttes cgnat. Hvis den danske stat insisterer på at kunne tilbageføre kommunikation foretaget fra Danmark (og det er hvad jeg tolker der er formålet), så vil det være nødvendigt udvide så der også tages højde for cgnat.
I praksis er det heller ikke tilstrækkeligt(hvad der allerede er nævnt i kommentarerne), men jeg tror (desværre) ikke det vil forhindre staten i at forsøge at få lovgivningen til at indhente den teknologiske virkelig.

Personligt er jeg ikke tilhænger af sessionslogning, fordi det samler alt for mange informationer om borgernes aktiviteter på nettet, der kan misbruges ikke kun af staten, men også af personale der arbejdsmæssigt har adgang til det (se og hør). Til sammenligning, vil der skulle flere kilder til, hvis man blot har en brugers IP adresse i et givent tidsrum (data er segmenteret i adskillige logs..)
Derudover vil individer der er opmærksomme på logningen alligevel kunne skjule deres aktiviteter. Min holdning er lidt sagen uvedkommende - ville bare undgå at den blev fejlfortolket..

Poul-Henning Kamp Blogger

For mig har en fast IP-adresse samme reelle status som et hemmeligt nummer.

Den holder ikke: Din IP-addresse er synlig for modtageren af "opkaldet", det er et hemmeligt nummer ikke (...medmindre du har SS7 terminering).

I telefon analogi svarer Carrier Grade NAT til at du i stedet for din egen telefonlinie har en lokaltelefon på din ISP's omstilling, så alle dine opkald ser ud til at komme fra ISP'en.

Baldur Norddahl

Det er hverken svært eller dyrt at logge en bruger identitet i form af ip+port i gængse CGN løsninger. De fleste hardware løsninger har det indbygget og på Linux kan iptables logge det til syslog. Der er også løsninger hvor man binder en port range statisk op til hver bruger, således at bruger 1 har port 1000-1999, bruger 2 har port 2000-2999 etc.

De berømte DMCA notice mails man får i bunkevis fra en robot, som den amerikanske rettighedsindustri har kørende, indeholder faktisk portnumre. De fleste webservere kan også konfigureres til at logge portnumre.

Rent teknisk og økonomisk er der ikke store knaster i vejen. Session logning i den udvidede form, som ønsket af Justitsministeriet, vil derimod være meget dyrt.

Udmeldinger fra de store mobiloperatører indikerer at de allerede logger porte på deres CGN løsninger. Det uanset at loven måske ikke stiller krav om at de skal logge porte og at det dermed muligvis faktisk er ulovligt at de logger det.

Hvis man har brug for at Justitsministeriet får et eller andet, så vil det måske være et forslag at give dem CGN port logning, som alligevel ser ud til at foregå i stor stil. Det kan være et kompromi for hvor grænsen skal gå mellem retten til privatlivets fred og politiets mulighed for at finde tilbage til en gerningsmand (hvor de så eventuelt kan få sat en egentlig aflytning op).

Mogens Ritsholm

Den holder ikke: Din IP-addresse er synlig for modtageren af "opkaldet", det er et hemmeligt nummer ikke (...medmindre du har SS7 terminering).

Tja.

Jeg vil gerne have mig frabedt, at min internetudbyder offentliggør eller videregiver min identitet og min IP-adresse. Men sådan har du det måske ikke.

Det er selvfølgelig rigtigt, at de maskiner, som jeg kontakter, kan se den. Og det kan på den måde opsnappes uden at det direkte viser min identitet. Svarer til det, man kalder udeladt nummer i telefoni, som kun politiet har adgang til.

Mogens Ritsholm

Hvis man har brug for at Justitsministeriet får et eller andet, så vil det måske være et forslag at give dem CGN port logning, som alligevel ser ud til at foregå i stor stil. Det kan være et kompromi for hvor grænsen skal gå mellem retten til privatlivets fred og politiets mulighed for at finde tilbage til en gerningsmand (hvor de så eventuelt kan få sat en egentlig aflytning op).

Hvad så med de 2-3 millioner, der sidder bag NAT i det private domæne i kommuner, institutioner (f.eks skoler), universiteter, virksomheder inkl. hjemmearbejdspladser via VPN og alle åbne WIFI-net osv.

Hvorfor skal sporet kun kunne føres tilbage til et individ, når NAT-funktionen er i teleudbyderens net?

Sagen er, at det er helt forældet tanke at komplette spor af kommunikation skal søges i selve transportnettet, når vi nu flintrer rundt med vores anvendelser på forskellige terminaler og netadgange.

Men det er så en anden historie, der er lidt langt væk fra udgangspunktet: Nemlig at en dansk domstol forpligter en udbyder til at udlevere personlige data fra en kunde til en anden "kunde", der herefter udsteder bøder uden politiets mellemkomst..

Thomas Hansen

Tjoo hvor mange fancy "våben" har rettighedshaverne efterhånden fået til at bekæmpe piraterne?

Hvor mange af de muligheder er efterfølgende blevet misbrugt på det groveste?

Min kære moder har lært mig at bare fordi andre opfører sig dumt betyder ikke at jeg må, det kunne være musik- og filmindustrien skulle lære den lektie.

Jesper Lund

I praksis er det heller ikke tilstrækkeligt(hvad der allerede er nævnt i kommentarerne), men jeg tror (desværre) ikke det vil forhindre staten i at forsøge at få lovgivningen til at indhente den teknologiske virkelig.

Det er meget muligt, og Justitsministeren synes at være ret umættelig når det kommer til masseovervågning af befolkningen, herunder logning.

Men før en ISP som Kviknet begynder at investere i det ene eller det andet tekniske setup, synes jeg at det vil være klogt at afvente hvad Justitsministerens og hans logningsinteresserede støtter rent faktisk får gennemført.

Lige nu kender vi en sessionslogning, som var en kæmpe fiasko i SYV år mens Rigspolitiet frisk og frejdigt løj over for Folketinget om at det var et uundværligt redskab. Og så har vi et ukendt forslag til en lille milliard i etableringsomkostninger plus det løse til drift og afskrivninger (100-200 millioner om året, så vidt jeg husker), som nu skal gøres billigere med hjælp fra TDC (dvs. det skal nok bliver billigere hos TDC, men ikke nødvendigvis alle TDCs konkurrenter).

Og er der i øvrigt andre end Rigspolitiet, som har sagt at dette nye stinkende dyre forslag om sessionslogning vil virke bedre end det gamle? Ikke mig bekendt, men det er jo en gratis omgang for Rigspolitiet, so why bother.

Og så er der lige jokeren i form af den kommende dom fra EU-domstolen.

Som sagt: mange, inklusive mig selv, kommer til at revurdere deres opfattelse og strategi om logning i løbet af de næste 6 måneder.

Jesper Lund

De berømte DMCA notice mails man får i bunkevis fra en robot, som den amerikanske rettighedsindustri har kørende, indeholder faktisk portnumre. De fleste webservere kan også konfigureres til at logge portnumre.

De indeholder uden tvivl portnumere, men derudover kan de være fejlbehæftede i større eller mindre grad.

En dansk ISP må ikke udlevere kundeoplysninger uden en editionskendelse.

I princippet kunne den danske ISP videresende disse DMCA spambeskeder til den kunde, som matcher oplysningerne om IP adresse, portnummer og timestamp, men hvorfor skulle en dansk ISP gøre det? Det vil givetvis generere en masse henvendelser til kundeservice fra kunder, som ikke forstår hvorfor de har fået den slags. Penge ud af vinduet og sure kunder.

Rettighedshaverne ville gerne have haft en brevordning, så ISPerne skulle sende deres advarselsbreve videre, men det kom de ikke i gennem med. Heldigvis.

I øvrigt skulle fildelingstrafikken være faldet kraftigt, så mon ikke det er de sidste krampetrækninger fra firmaer som Web Sheriff og deres DMCA spam vi ser her?

Baldur Norddahl

I princippet kunne den danske ISP videresende disse DMCA spambeskeder til den kunde, som matcher oplysningerne om IP adresse, portnummer og timestamp, men hvorfor skulle en dansk ISP gøre det?

Det gør vi faktisk - bortset fra lige præcis omtalte DMCA mails. Det skyldes at de begyndte at spamme os med abuse mails for IP serier der ikke tilhører os, og de var ikke interesseret i at rette fejlen. Så følte jeg mig nødsaget til at sende deres mail direkte i spamfilteret.

Men andre mails til abuse@gigabit.dk bliver trofast videresendt til de berørte kunder. De fleste er glade for at få at vide at de sandsynligvis er blevet smittet med et botnet. De fleste mails til vores abuse adresse indeholder port numre. Folk ved godt at det er nødvendigt med præcis information om tidspunkt, IP og port for at finde frem til kunden.

Vi sender naturligvis under ingen omstændigheder informationer om kunder til trediepart. En enkelt gang har jeg oplevet en kunde som selv bad om at blive sat i kontakt med klager, men ellers vil den slags kræve en dommerkendelse.

Yoel Caspersen Blogger

Så, Kviknet og andre ISP'er der ikke er TDC, please lade være med at logge CG-NAT sessioner, sålænge det ikke er et lovkrav.

Hvis det ikke er et lovkrav, hvilket det ikke ser ud til at være, må det pr. definition være forbudt, da sessionslogning jo netop er blevet pillet ud af logningsbekendtgørelsen.

Så hvis myndighederne vil have os til at logge sessioner, må de redegøre for hvorfor det alligevel er et lovkrav eller lave loven om. Det er muligt, at telefanterne efter pres fra myndighederne bryder loven, men det gør det ikke mere rigtigt af den grund.

Jesper Lund
Jesper Lund

Jeg er stadig ikke overbevist om at en dommer ikke kan nå frem til at IP+port er en naturlig forlængelse af kravet i loven om at kunne identificere en kunde på IP adresse. Og dermed at CGN port logning faktisk er et krav.

Det spørgsmål er ikke engang til diskussion i denne korrespondance, eftersom NC3 mener at ISP'erne skal kunne oplyse kundeidentitet alene ud fra IP adresse og timestamp, også når der bruges CG-NAT. Der er ikke i vejledningen til logningsbekendtgørelsen noget krav om at politiet skal oplyse portnummer, er NC3-juristens logik.

Baldur Norddahl

Hvis vi lige tager den igen:

Stk. 1. En udbyder af elektroniske kommunikationsnet eller -tjenester til slutbrugere skal endvidere registrere følgende oplysninger om en brugers adgang til internettet:

1) den tildelte brugeridentitet,

2) den brugeridentitet og det telefonnummer, som er tildelt kommunikationer, der indgår i et offentligt elektronisk kommunikationsnet,

3) navn og adresse på den abonnent eller registrerede bruger, til hvem en internetprotokol-adresse, en brugeridentitet eller et telefonnummer var tildelt på kommunikationstidspunktet og

4) tidspunktet for kommunikationens start og afslutning.

Det er helt klart intentionen med denne paragraf at politiet skal kunne få udleveret identitet på en kunde med oplysninger som er opsamlet udefra. Selvom det meste af logningsdirektivet er dødt, så skal man stadig logge DHCP serverens tildeling af dynamiske IP adresser, således at man kan finde frem til brugeren af en IP adresse.

Med CGN er det eneste der har ændret sig at man nu skal logge IP+PORT tildelingen, uanset hvor kortvarig eller flygtig denne måtte være i CGN serveren. Det kræver kun at man kan få en dommer med på at dette er intentionen med loven og at "internetprotokol-adresse" eller "brugeridentitet" godt kan fortolkes som IP+PORT.

Rent teknisk kan man godt argumentere for at NAT er en udvidelse af adresserummet fra 32 bits til 48 bits ved at kombinere 32 bit IP adresse med 16 bit port nummer. Det er i hvert fald et argument man hører mange gange fra folk der ikke mener at IPv6 er nødvendigt.

Michael Cederberg

Det kræver kun at man kan få en dommer med på at dette er intentionen med loven og at "internetprotokol-adresse" eller "brugeridentitet" godt kan fortolkes som IP+PORT.

I mine øjne er det netop dette der er tiltænkt - brugeridentiteten er IP+PORT. Der er ikke noget hul i loven. Loven beskriver netop ikke den tekniske løsning - blot at man skal kunne identificere brugeren.

Men set i lyset af hvor luftigt det er formuleret, så er det svært at se en dommer komme efter jer nu. Jeg kan nu sagtens se myndighederne udsende en vejledning på dette område og i så fald skal det logges. Det kan gøres indenfor loven som den er nu.

Jesper Lund

Med CGN er det eneste der har ændret sig at man nu skal logge IP+PORT tildelingen, uanset hvor kortvarig eller flygtig denne måtte være i CGN serveren. Det kræver kun at man kan få en dommer med på at dette er intentionen med loven og at "internetprotokol-adresse" eller "brugeridentitet" godt kan fortolkes som IP+PORT.

Internetudbyderens advokat vil formentlig henvise til, at der både i bekendtgørelse og tilhørende vejledning står IP-adresse og kun det (ikke noget om porte), og at bestemmelserne om sessionslogning (hvor der rent faktisk stod noget om porte) er ophævet.

Idéen om at logge lidt ekstra for at være på den sikre side i forhold til logningsbekendtgørelsen duer faktisk ikke. Udbudsbekendtgørelsen § 23 kræver at alle trafikdata slettes umiddelbart efter at transmissionen er gennemført ("når de ikke længere er nødvendige for fremføringen af kommunikationen"), medmindre oplysningerne skal bruges til fakturering eller medmindre der er et logningskrav.

Så hvis oplysningerne ikke skal bruges til fakturering, balancerer internetudbyderen faktisk på et knivsæg. Hvis der ikke logges præcist det som logningsbekendtgørelsen kræver, vil udbyderen enten overtræde logningsbekendtgørelsen (fordi der logges for lidt) eller udbudsbekendgørelsen (fordi der logges for meget).

Desuagtet vil man kunne finde mødereferater mellem Rigspolitiet og teleselskaber, hvor Rigspolitiet opfordrer temmeligt kraftigt til at logge oplysninger, som der ikke er logningskrav for. Eller sagt med andre ord: opfordringer til at overtræde udbudsbekendtgørelsen. Ooops.

Yoel Caspersen Blogger

I øvrigt interessant at 3 har brug for "postnummer" ... mon ikke de mener portnummer. :-)

Et andet kuriosum fra aktindsigten er at Telenors advokat mener, de gemmer ca. 65.000 kunder bag en enkelt IP-adresse.

Enten er der tale om en misforståelse (afledt af at der er ca. 65.000 samtidige forbindelser til rådighed, hvis der er tale om et full cone NAT), eller også er der tale om et NAT der er spændt til bristepunktet ;-)

Jesper Lund

Men set i lyset af hvor luftigt det er formuleret, så er det svært at se en dommer komme efter jer nu. Jeg kan nu sagtens se myndighederne udsende en vejledning på dette område og i så fald skal det logges. Det kan gøres indenfor loven som den er nu.

Det kan i høj grad diskuteres om CG-NAT logning falder ind under bekendtgørelsens formelle afgrænsning i § 1 ("oplysninger om teletrafik, der genereres eller behandles i udbyderens net"), på præcist samme måde som man i sin tid i høj grad kunne diskutere om sessionslogning overhovedet var mulig inden for rammerne af hjemlen i RPL § 786, stk. 4 (hvilket teleselskaberne prøvede på 2006, men Justitsministeriet afviste dem selv om der i bemærkningerne til § 786, stk. 4. meget direkte står at der ikke kan kræves registreret oplysninger om besøgte hjemmesider, chatrooms, o.lign. hvilket godt lyder betænkeligt tæt på sessionslogning..).

Ellers kan du opfinde alle mulige oplysninger, som på et eller andet niveau eksisterer ganske temporært i en router eller et system til håndtering af GSM-terminalers tilslutning, fx hvilke mobilmaster en mobiltelefon er i nærheden af uden at der genereres trafik, og som derfor ikke med rimelighed "genereres og behandles" i udbyderens net.

Jesper Lund

Uddrag af (jeg kan ikke huske hvor jeg har dokumentet fra, formentlig internettet)

Report of the 8 th meeting of the expert group, 'the Platform for Electronic Data
Retention for the Investigation, Detection and Prosecution Of Serious Crime'
Held in Brussels on 17 May 2011 at the European Commission - DG Home
Affairs, Rue du Luxembourg 46, Brussels 1000

Luc Beirens gave a presentation on the potential difficulties for investigation during the transition between Internet Protocol versions 4 and 5. Under IPv4, criminal investigators are able to identify end users using the logfile webserver which shows the private IP addresses routed through the same webserver. During the transition to IPv6, where the users use the same webserver with carrier grade network address translation (NAT), there is the same logfile webserver, because there is no source port logging by the Internet Service Providers. As the Data Retention Directive does not require logging of ‘CGNAT’ requests, investigators might not be able to identify end users during this transitional stage.

In discussion, it was confirmed that, until IPv6 was deployed globally, the use of NAT would increase and that it could degrade the user experience of new services. Bearing in mind the Expert Group's position paper (no.8) on data necessary to trace and identify the source of a communication, it seemed that many operators might not be fully prepared to respond to requests for data during the transition to IPv6.

The Commission said it would look into this issue further as part of the impact assessment on revising the EU data retention framework.

TL;DR Ingen CG-NAT logningspligt kan udledes af direkivet, og § 5, stk. 1 i nuværende logningsbekendtgørelse er identisk med direktivets krav.

Michael Cederberg

Det kan i høj grad diskuteres om CG-NAT logning falder ind under bekendtgørelsens formelle afgrænsning

"§5 stk. 2 den brugeridentitet og det telefonnummer, som er tildelt kommunikationer, der indgår i et offentligt elektronisk kommunikationsnet,"

Hvorfor logge lige præcist IP adressen? Hvorfor ikke bare de første 16 eller 24 bits af IP adressen? Fordi så er det ikke længere bruger identiteten. Hvis CGN tildeler flere den samme IP adresse, så er IP adressen i sig selv ikke længere brugerens identitet. Derfor kan myndighederne godt kræve at IP+PORT logges indenfor den eksisterende bekendgørelse.

Telefonselskaber og ISP'er er ikke sat i verden for at forsvare vores frihedsrettigheder. De er der for at tjene penge på at udbyde en service. Hvis myndighederne kommer og siger at sådan er reglerne, så vil de enten gøre som der bliver sagt eller, hvis de mener det ødelægger deres forretning, lade en domstol bestemme. Sådan at de kan tjene mest muligt. I dette tilfælde er jeg sikker på at domstolen vil dømme til fordel for myndighederne - derfor retter firmaerne ind uden brok.

Forsvar af frihedsrettigheder påhviler dig, mig og alle andre individer.

Kristian Klausen

Spekulere lidt på hvor meget tiden skal være out-of-sync på enten udbyderens udstyr eller "ofrets" udstyr før man politiet risikere at klandre en uskyldig person?

Det må Baldur eller Yoel, da næsten kunne svare på. Hvor hurtig genbruges en port igen?

Jesper Lund

Hvorfor logge lige præcist IP adressen? Hvorfor ikke bare de første 16 eller 24 bits af IP adressen? Fordi så er det ikke længere bruger identiteten. Hvis CGN tildeler flere den samme IP adresse, så er IP adressen i sig selv ikke længere brugerens identitet.

Den private IP-adresse er bruger-specifik, og formelt er det den brugeridentitet som abonnenten er tildelt. Så kan ISP'en logge den. Men når jeg foreslår IP-adressen, og ikke et subset af IP-adresse, er den mest fordi IP-adressen direkte er nævnt i nr. 3).

Din definition af brugeridentitet lider af den mangel, at en abonnent kan have flere hundrede eller tusinder brugeridentiteter på samme tid (en for hver source port som abonnenten optager i CG-NAT enheden). Definitionen af den tildelte brugeridentitet i § 5, stk. 1 synes at forudsætte at abonnenten har én brugeridentitet. DEN tildelte brugeridentitet, eksempelvis.

Hvad domstolene kunne finde på at dømme skal jeg ikke kunne sige, men før der kan være en sag for domstolene, skal Rigspolitiet somehow mene at en CG-NAT logning ala det skitserede er omfattet af § 5, stk. 1.

Og lige nu synes Rigspolitiet angiveligt at mene, at ISP'en ved hjælp af voodoo eller anden magi skal kunne udpege den mistænkte abonnent ud af de tusinder der kan have brugt den offentlige IP-adresse på det givne tidspunkt, idet Rigspolitiet som nævnt ikke mener at de er forpligtet til at komme med den ekstra information i form af et port nummer (som de oftest ikke kan komme med fordi en standard Apache webserver log ikke medtager det, eksempelvis) der vil være påkrævet for at en CG-NAT logning overhovedet giver mening.

Inden Rigspolitiet bliver enig med sig selv, er verden formentlig gået over til IPv6, som jo ville løse disse problemer set fra overvågningsmagtens synspunkt.

Yoel Caspersen Blogger

Hvor hurtig genbruges en port igen?

Worst case: Så snart den bliver ledig. Det afhænger af udstyret, der bruges, og konfigurationen af samme.

På en Linux-baseret router vil en NAT-session typisk time ud i løbet af halve og hele minutter, hvis der ikke er data på den. Hvis der oprettes mange forbindelser på NAT-routeren, vil man kunne opleve, at en port genbruges i løbet af få minutter.

Så en lille smule afvigelse i tiden i loggen vil realistisk set kunne udpege den forkerte bruger, hvis man kun logger det eksterne portnummer og den interne IP-adresse. Hvis man også logger ekstern destinationsadresse (full blown sessionslogning) vil sandsynligheden for et falsk match selvsagt være mindre.

Michael Cederberg

Den private IP-adresse er bruger-specifik, og formelt er det den brugeridentitet som abonnenten er tildelt. Så kan ISP'en logge den. Men når jeg foreslår IP-adressen, og ikke et subset af IP-adresse, er den mest fordi IP-adressen direkte er nævnt i nr. 3).

Port-nummer er nævnt i stk 1.

Og lige nu synes Rigspolitiet angiveligt at mene, at ISP'en ved hjælp af voodoo eller anden magi skal kunne udpege den mistænkte abonnent ud af de tusinder der kan have brugt den offentlige IP-adresse på det givne tidspunkt, idet Rigspolitiet som nævnt ikke mener at de er forpligtet til at komme med den ekstra information i form af et port nummer (som de oftest ikke kan komme med fordi en standard Apache webserver log ikke medtager det, eksempelvis) der vil være påkrævet for at en CG-NAT logning overhovedet giver mening.

Det er ret klart at bekendgørelsen er skrevet uden viden om CGN. Men man kan så diskutere om:

  1. CGN ikke er tilladt fordi det ikke er muligt at identificere brugeren
  2. Rigspolitiet blot skal acceptere at CGN ikke logges på en brugbar måde
  3. Ånden i loven er at udbydere af elektroniske kommunikationsnet logger både IP+PORT og at brugeren således har mange identiteter (evt. en range af porte som Bardur foreslog)

Det sker ofte at teknologien løber fra lovgivningen og såfremt det er muligt, så tolker domstolene loven for eksisterende teknologi sådan at ånden i lovgivningen er bevaret for selv ny teknologi. CGN synes passe som fod i hose - jeg kan ikke forestille mig domstolene mene andet og jeg har svært ved at se ISP'er tage denne fight.

Kampen mod logning skal tages andetsteds.

Mogens Ritsholm

Det sker ofte at teknologien løber fra lovgivningen og såfremt det er muligt, så tolker domstolene loven for eksisterende teknologi sådan at ånden i lovgivningen er bevaret for selv ny teknologi. CGN synes passe som fod i hose - jeg kan ikke forestille mig domstolene mene andet og jeg har svært ved at se ISP'er tage denne fight.

Du tager helt fejl. Logning drejer sig om bevarelse af helt specifikke oplysninger, der udpeges i logningsbekendtgørelsen. Hvis disse oplysninger ikke er udpeget, skal de slettes ifølge udbudsbekendtgørelsen og det bagvedliggende direktiv.

Der er slet ikke rum til formålsfortolkning, og når CGN ikke er udpeget i logningsbekendtgørelsen skal det slettes.

Hvis dette skal ændres, må logningsbekendtgørelsen ændres. For grænsen mellem det, der skal gemmes og det, der skal slettes, er som sagt helt skarp og sort/hvid i de to regelsæt.

Baldur Norddahl

Det må Baldur eller Yoel, da næsten kunne svare på. Hvor hurtig genbruges en port igen?

Gigabit har ikke implementeret CGN så det er ikke noget vi har direkte erfaring med.

I princippet kan en port genbruges så snart CGN ser en TCP FIN pakke. Da en hurtigt HTTP request kan overstås på en brøkdel af et sekund, så kan man i teorien have flere brugere på en port indenfor et sekund.

I praksis vil jeg tro at Linux og andre CGN systemer forsøger at bruge porte der har været ledige i længere tid i stedet for at genbruge hurtigst muligt.

Hvis der er tale om symmetrisk NAT, så kan en port være i brug til mange brugere på samme tid. Her skal man bruge alle fem nøgler for at identificere brugeren: tid, source ip, source port, destination ip, destination port. Dvs. i praksis det samme som session logning.

Men symmetrisk NAT er upopulært fordi det forhindrer NAT traversial og det kræver mere af CGN systemet.

Yoel Caspersen Blogger

Port-nummer er nævnt i stk 1.

Den fælde faldt jeg også i, da jeg læste logningsbekendtgørelsen direkte på retsinformation.dk:

https://www.retsinformation.dk/forms/r0710.aspx?id=2445

Det fremgår ikke så tydeligt derinde, men revisionen til logningsbekendtgørelsen, der kom den 19. juni 2014, er lavet som en diff og findes her:

https://www.retsinformation.dk/Forms/R0710.aspx?id=163971

Man skal derfor holde tungen lige i munden og slavisk gennemgå teksten for at se, hvad der egentlig er blevet ændret.

Portnumre og lignende, der hører til den enkelte session, er specifikt blevet fjernet fra logningsbekendtgørelsen. Det er derfor ikke op til os at vurdere, at de "nok ikke mente det alligevel".

Kampen mod logning skal tages andetsteds.

Det bliver den også - gode folk som Jesper Lund, Mogens Ritsholm og mange andre har lagt utallige timer i at påvirke beslutningstagerne og gør det stadig. Den kamp stopper ikke, fordi vi giver vores lille bidrag.

Forsvar af frihedsrettigheder påhviler dig, mig og alle andre individer.

Kviknet er som så mange andre virksomheder et resultat af et frit internet, hvor små startups kan komme i gang for rimelige penge og med tiden revolutionere markedet og skubbe til de store, gamle virksomheder. Det mindste, vi kan gøre, er at forsøge at holde vores del af internettet så frit som muligt - især når loven nu giver os mulighed for det.

Henrik Madsen

I din analogi, så hører det for cgnat med at bilisterne snupper en frisk ledig nummerplade hver gang de forlader garagen, og de samme nummerplader vil blive brugt flere gange om dagen og samtidigt - politiet ville ikke kunne bruge hverken øjenvidner eller cctv til noget - hvor længe tror du den går?

I politiets tilfælde KUNNE de jo begynde at STANDSE bilisterne for på denne måde at få dem identificeret, i stedet for blot at tage billeder af forbrydelsen og så sende regningen til ejeren af den bil forbrydelsen er foregået i.

Poul-Henning Kamp Blogger

I princippet kan en port genbruges så snart CGN ser en TCP FIN pakke. Da en hurtigt HTTP request kan overstås på en brøkdel af et sekund, så kan man i teorien have flere brugere på en port indenfor et sekund.

Det ville både være i strid med diverse RFC'er og direkte dumt.

Ikke at jeg forventer at det afholder folk fra det, i en branche hvor kvalitetssikring alt for ofte er "det virker for mig nu"

Yoel Caspersen Blogger

Det ville både være i strid med diverse RFC'er og direkte dumt.

I vores setup holder Linux-routeren forbindelsen åben i 120 sekunder i TIME_WAIT state.

For UDP er det en anden sag, da UDP som sådan er stateless - og så ikke helt alligevel. Hvis en UDP-pakke skal gennem en NAT-router, er den nødt til at betragte pakken som en del af en virtuel stream.

I vores setup er UDP stream timeout 180 sekunder.

Michael Cederberg

Det er de gamle, nu ophævede regler om sessionslogning, som nævner porte.

Det har du ret i. Min fejl.

Kviknet er som så mange andre virksomheder et resultat af et frit internet, hvor små startups kan komme i gang for rimelige penge og med tiden revolutionere markedet og skubbe til de store, gamle virksomheder. Det mindste, vi kan gøre, er at forsøge at holde vores del af internettet så frit som muligt - især når loven nu giver os mulighed for det.

Jeg siger ikke at I skal logge port-nummer. Jeg siger at sådan som jeg læser (den rigtige) bekendgørelse, så kan de komme til jer og bede om logning af port-nummer med henvisning til bekendgørelsen.

Jeg gætter på at det ikke bliver jer der tager sagen helt til højesteret eller menneskeretsdomstolen. Det er det jeg mener med at det ikke er jer der skal kæmpe kampen.

Jesper Lund

Jeg gætter på at det ikke bliver jer der tager sagen helt til højesteret eller menneskeretsdomstolen. Det er det jeg mener med at det ikke er jer der skal kæmpe kampen.

C-203/15 er havnet hos EU-domstolen, fordi Tele2 efter dommen over logningsdirektivet i 2014 mente at den svenske logningslov var i strid med EU-retten.

Hvis danske teleselskaber trues af udgifter for 1 milliard kroner til masseovervågning, som meget vel kan være direkte ulovlig, kan en lille investering til gavn for menneskerettighederne være en rigtig god forretning. Just saying..

Log ind eller Opret konto for at kommentere