Pind og glidebanen

Lad mig starte med at spørge, overholder Søren Pind loven

Det burde slet ikke være nødvendigt at skrive, men hæng lige på.

Ja, det må vi gå ud fra, vi må formode at justitsminister Søren Pind har tænkt sig at overholde gældende lovgivning. Altså hvis vi snakker om lovene, så er det jo ham, som laver lovene. Selvfølgelig ikke alene, og vi har et stort smidigt apparat som sættes igang og som lystigt indfører de vilde love.

Så det kræver blot lidt kriser, som Matt Blaze @mattblaze Scientist, safecracker. med egen cryptoblog http://www.crypto.com/blog/ skriver:

FBI/DoJ has effectively portrayed a minor aspect of an investigation of a months old crime as an urgent crisis. Crises create bad policies. https://twitter.com/mattblaze/status/702230956413837312

Vi har nu en skrækkelig storm som hvirvler støv, støj og argumenter rundt imellem hinanden i zombiesessionslogningens hellige navn. Desværre er det ligesom mange andre emner et område der ikke kan forklares med 140 tegn på et enkelt tweet. Bonus er der også, idet FBI og Apple er røget i totterne på hinanden offentligt, igen.

Nu skrev jeg igen, og til de nyankomne, herunder JM Søren Pind, ja - vi der har fulgt IT-sikkerhed igennem flere år, læst om cryptowars og clipper chip som studerende i 1990'erne ved - der er mere mellem linierne. Det er ikke ment afskrækkende for dem som vil være med i debatten. MEN hvis du siger Apple og FBI sagen handler om at FBI blot vil åbne een telefon, og de bare skal komme igang, og det er nemt. Så har du i den grad misforstået hvad der er på færde.

Ligeså er det beskæmmende at høre/læse "Rigspolitichef til politikerne: De kriminelle løber fra os på nettet" http://www.b.dk/nationalt/rigspolitichef-til-politikerne-de-kriminelle-l...

Vi ved fra EFF at FBI har brugt udtrykket Going Dark mindst siden 2009, se eksempelvis https://www.eff.org/deeplinks/2011/02/newly-released-documents-detail-fb... . Hvornår præcist det blev en forfattet strategi betyder måske mindre idag, men det er vigtigt at vi forstår at man som myndighed, politi, efterretningstjeneste selvfølgelig gerne vil have de bedste muligheder for at "efterforske" "alvorlig" "kriminalitet" specielt hvis det er udført af "terrorister". Politiet har også udgivet en morsom PDF om sessionslogningen igår, https://www.politi.dk/NR/rdonlyres/9BD7DDDF-731E-431C-903E-6D4C22BE483C/...

Hacker 6.6.6.6 bliver et udtryk vi kommer til at grine længe over. Mest fordi indlægget er så pinligt og med stor mangel på kvalitetssikring, blandt andet er adresserummet 6.0.0.0/12 i brug af "DNIC-AS-00768 - Navy Network Information Center (NNIC),US". Der er er også et guldeksempel om at "Logning er også et redskab til at beskytte uskyldige borgere". Det ville Gottfried Warg gerne høre mere om, hvis ikke han på utilstrækkelige beviser, men med stor ihærdighed blev dømt 3,5 år i CSC hackersagen.

BTW hvad er definitionen på en terrorist, for den med at sprede frygt sker pt. fra toppen af dansk politik!

Nå, men vi er heldigvis i Danmark, og der er mange der siger imod.

  • Jakob Willer siger fra med teleindustrien
  • Jeg siger fra som faglig IT-mand cand.scient +25 år og sikkerhedstester
  • Rasmus Theede @RTheede Formand for Rådet For Digital Sikkerhed, speaker og generel cyber ildsjæl. er aktiv i debatten
  • Jesper Lund @je5perl Formand for IT-Politisk Forening er hyperaktiv, og kender sessionslogning i Danmark
  • @MogensRitsholm der kender logningen, har været med til at drive den tidligere, er aktiv
  • Advokatsamfundet siger Debat: Sæt logningsreglerne på standby http://www.advokatsamfundet.dk/Service/Nyheder/2016/Debat%20Saet%20logni...
  • it-advokat Martin von Haller Grønbech har en kommentar til logningen http://www.version2.dk/artikel/it-advokat-om-sessionslogning-selvfoelgel...
  • Anette Høyrup @AHoyrup Seniorrådgiver/ cand.jur. Forbrugerrådet Tænk. Privacyekspert
  • 25 organisationer har skrevet åbent brev til justitsministeren Dansk Magisterforening PROSA Politik og Kommunikation, IT-Branchen DI Digital Dansk Metal Bitbureauet Teleindustrien HORESTA Forbrugerrådet Tænk Andelsboligforeningernes Fællesrepræsentation Retspolitisk Forening Dansk Erhverv Dansk Journalistforbund Dansk Energi Advokatsamfundet Danhostel DANSK IT Campingrådet Justitia IT-Politisk Forening SAMDATA\HK Amnesty Danmarks Restauranter & Cafeer Erhvervs- og Vækstudvalget, IDA KLID https://www.prosa.dk/fileadmin/user_upload/dokumenter/politik/2016-02_ju...

og det er ikke kun for at være besværlige, men fordi vi er bekymrede.

Der er mindst to grunde til at vi er bekymrede, og jeg vil fokusere på to her:

  • Risiko for misbrug logningsdata
  • Udvidelser for brug af logningen

Risiko for misbrug af logningsdata

Når vi har virksomheder der ikke kan beskytte kreditkortdata, web sites der ikke kan beskytte brugerprofiler, begge dele noget som har værdi for firmaet. Hvorfor skulle internetudbydere så kunne beskytte logningsdata effektivt.

NB: med effektivt menes, så der ikke sker indbrud og misbrug.

Vi har en del trusler imod data:

  • Hackere
  • Fremmede stater, Belgacom
  • Misbrug til kommercielle formål, vores egen Se og Hør/IBM sagen
  • Misbrug fra statens side, vi har PNR sagen hvor man guddødme når man finder ulovligheder blot straks vil tillade misbruget at fortsætte, ved at fremsætte lovforslag som gør det lovligt
  • Misbrug fra statens side, kameraer er i vælten i denne tid. Ulovlige kameraer som optager gader og stræder ulovligt er "nyttige" og skal derfor lovliggøres - uden yderligere diskussion? WTF, er det en retsstat som blot vælger at indsamle data ulovligt

Misbrug er når data indsamlet til et formål bliver brugt til et andet. Så hvis Pind ellers kunne beslutte sig til hvilken løftestang der skal bruges til sessionslogningen, så kan jeg garantere at brug af data senere udvides. Hvis det skulle vise sig at data bliver misbrugt kan vi jo bare lovliggøre det - ligesom med PNR.

Så der er grund til bekymring for misbrug af data så snart det er opsamlet, misbruget sker altså på opsamlingstidspunktet. Så det vil ikke være klogt at indføre så indgribende tiltag som der pt. er på tegnebrædtet.

Hackersager med kernedata

Nu er 2015 jo stadig tæt på, og der er mange hacks man kunne opremse, for der går sjældent mere end en uge uden at vi hører om at et 2-cifret millionantal brugeroplysninger er mistet.

Random link, http://www.wired.com/2015/12/the-years-11-biggest-hacks-from-ashley-madi... som har nogle af mine favoritter fra sidste år. (Hint: brugte Google Chrome i incognito mode til at komme omkring login)

Her gengivet forkortet, i tilfælde at artiklen forsvinder:

  • OPM—the federal Office of Personnel Management. The hackers, reportedly from China, maintained their stealth presence in OPM’s networks for more than a year before being discovered. Ca 21 millioner personer påvirket - vel og mærke med detaljerede informationer om deres liv

  • Juniper NetScreen Firewalls, mindst to bagdøre, SSH remote login og VPN kryptering " The backdoor is the kind that a nation-state intelligence agency would love to have to give it the ability to intercept and decrypt large amounts of VPN traffic. " - hvis man skal videre ind i en virksomhed, for eksempelvis at udnytte de allerede eksisterende logningsmuligheder for at lave uautoriseret aflytning kunne det være interessant

  • Ashley Madison, datingsite for dem som ønsker at være utro, eller måske blot er homoseksuelle på besøg i USA, som bliver stenet hvis det afsløres i deres arabiske hjemland (genfind selv Reddit tråden om dette specifikke emne). Antal brugere påvirket, ca. 32 millioner - plus/minus for der er nok en del robotter imellem.

  • Gemalto Nation-state hacks connected to the NSA and the British intelligence agency GCHQ were in the news again this year. This time the victim was Gemalto, a Dutch firm that is one of the leading makers of mobile phone SIM cards.

  • Kaspersky Lab er med på listen, et anti-virus firma som er specialiseret i malware - bliver hacket.
  • Hacking Team, som bygger malware til stater blev hacket, og det gav et indblik i hvordan stater gerne bruger malware til selv at hacke. Selvom HT forsøgte at fremstå med høj moral lader det til at aktivister i diverse lande har været mål for deres værktøjer.
  • CIA Director John Brennan hacking er et eksempel på at selv højtstående profiler glemmer sikkerheden
  • Experian’s T-Mobile Customers, ca. 15 millioner
  • LastPass, som gemmer password for brugere, herunder mig! Firma med fokus på sikkerhed, og heldigvis blev alle passwords ikke grundet designet offentliggjort
  • US Internal Revenue Service, skat i USA fik ca. 300.000 borger der blev påvirket af hack
  • Anthem Health insurance providers, "access to data on some 80 million current and former customers"

og dejligt hvis du stadig hænger med.

Fællestræk for ovenstående og mange andre hacks og angreb er at her er det kernedata fra virksomhederne. Data som er forsøgt beskyttet efter bedste evne. Det er også større professionelle organisationer som kender til IT-sikkerhed.

Så danske virksomheder som ligger inde med data generelt skal være opmærksomme på truslerne. Danske virksomheder, og staten bør medvirke til at kun de mest nødvendige data opsamles, behandles og gemmes.

Data som samles til bunke er et mål - punktum. Data som ligger i et hjørne som skal opbevares billigst muligt og kun er en omkostning er en høj-latent risikofaktor og vil resultere i misbrug og læks.

NB: når man bygger systemer til lawful intercept kan det ske at selvsamme systemer bliver misbrugt til at lave uautoriseret aflytninger. Det er et emne som Pind slet ikke overvejer, når han bliver ved med at gentage papegøje-agtigt, "med dommer osv osv." Det er noget vi kender eksempler på helt tilbage fra gammeldags telefoniaflytning med Sun servere som hackere brød ind i og optog føderale agenters samtaler, må være i 1990'erne et sted har ikke link ved hånden.

Udvidelser for brug af logningen

Her er vi på Søren Pinds hjemmebane.

Politiet har brug for logning af internettrafik ... til alvorlig kriminalitet forstås.

Alvorlig kriminalitet er i denne omgang

  • onlinemisbrug af børn
  • hackingsager
  • terror

Der mangler kun stoffer for at have fuld bingoplade med https://en.wikipedia.org/wiki/Four_Horsemen_of_the_Infocalypse Jeg betragter hacking som organiseret kriminalitet, idet malware idag produceres professionelt på softwarefabrikker og selv hackersager med få personer nemt fremstilles i dansk ret som målrettet, alvorlig, organiseret osv. Så vidt jeg forstår var det i starten af året her ikke terror der skulle bære det igennem, men måske årsdagen for terror blev for tillokkende, eller blev terror holdt som es i hånden til diskussionen kom igang?

Det lyder jo fint, og sjovt nok giver det en urgency, en krise, et formål der ikke må forspildes. Der er også en kommentar i Berlingske artiklen om at politiet ikke vil udtale sig om terrorangrebene i København sidste år. Hint: læs @je5perl på twitter start med https://twitter.com/je5perl/status/702203304676298753

Så selvom rigspolitichefen ikke vil udtale sig om denne sag, læs ikke vil dementere at det kunne bruges, så pusher justitsminister Pind denne sag som om den kunne være løst på bedste CSI vis med sessionslogningen. Se bl.a. http://www.politiko.dk/nyheder/pind-medier-tager-ikke-trusler-mod-danmar... eller find hans eget facebook opdatering hvor han kalder sig frihedsministeren.

Politiet siger til mig, at dette instrument kunne have ført til, at Omar El Hussein eventuelt ville være blevet pågrebet hurtigere. Jeg gad godt se den justitsminister, der i den sammenhæng ville svigte sin opgave og blankt afvise dette, skriver Søren Pind i sin status, som han til slut underskriver "Frihedsministeren".

Har han helt tabt jordforbindelsen?

Så hvis logningen indføres i den form der er lagt op til, så er det en justitsminister der blindt vil følge politiets ønsker, selvom vi har EU der var imod den forrige logning, der var MINDRE indgribende.

Så vil det være klogt at indføre logningen i en sådan grad, og give nøglerne til en frihedsminister/sherif?

  • ville man give Stalin adgang til denne logning? eller Trump, hvis man er mere moderne. Hvad med Saudi Arabien, eller Rusland

Der vil helt sikkert ske et større skred i brugen af loggen, når nu den er der, så vil det kunne bruges imod politiske modstandere og andre vi er uenige med. Lyder det som lidt søgt, så husk lige de sidste love der er kommet med hensyn til immigranter

Husk også rockerloven, den med henvisning til Tvind og krypterede diske, der tillader dansk politi at inficere din PC med malware og bagdøre. Dansk politi må allerede idag, med støtte i eksisterende lovgivning og selv i relativt almindelige skattesager inficere en mistænkts computer.

Så velkommen til et forsøg på statskrav om overvågning af os alle, arrogant og faktabenægtende hastegennemført af en løgnagtig justitsminister. Jeg tror at Pind vil overholde loven, men jeg er også ret sikker på at han vil foreslå at tilpasse den engang i fremtiden, så den passer til ...

Hvem sagde politikerlede.

PS Hvis du ikke normalt er læser af version2.dk fordi du blot fik linket til denne artikel, så læs også advokat Martin von Haller der taler om sessionslogningen her http://www.version2.dk/artikel/it-advokat-om-sessionslogning-selvfoelgel...

Henrik Kramshøjs billede
Henrik Kramshøj er internet-samurai. Han elsker netværkspakker tcpdump, wireshark, BackTrack, Metasploit og andre hackerværktøjer og blogger om sikkerhed, netværk og unix.

Kommentarer (98)

Bjarke Jørgensen

Pind er KGB i jakkesæt. Jeg vil sværge på jeg til tider kan høre russisk accent...

Sessionslogningen er, i sig selv, en kæmpe katastrofe som vi skal bekæmpe med næb og kløer. Værre bliver det, når Politiet lærer at bruge Big Data teknikker og predictive analysis - så er sessionslogningen jo et 'fantastisk redskab'. Udover den åbenlyse debat om frihedsrettigheder holdt op imod borgernes 'sikkerhed', mener jeg også der bør være en mere fundamental debat om data-etik, specielt i relation til Big Data. Finkornet personprofilering bliver (er?) en interessant ting - specielt når vi snakker om potentielt farlige mennesker. Effektiv data-crunching er præcis det efterretningstjenester har brug for - specielt når de får indført masseovervågning (sessionslogning).

God og relevant artikel.

Christian Nobel

Politiet har også udgivet en morsom PDF om sessionslogningen igår

Hold da op, hvordan er det lykkedes at få så meget vrøvl, på så få sider?

Det udstiller ikke kun på pinligste vis politiets afgrundsdybe uvidenhed, det er direkte skræmmende.

Denne her er ret underholdende:

Særligt for ikke kablet internet

Hvilket udstyr har været brugt ved kommunikationen
(IMEI, IMSI)

Hvilket mobilmaster har været brugt i forbindelse med
kommunikationen

Jamen god fornøjelse med at finde mobilmast og imei for en WiFi forbindelse - men WiFi er måske i virkeligheden kablet, vi kan bare ikke se kablet, på samme måde som der ikke er nogen ske.

Og sådan kører det slag i slag, der er faktisk ikke en side i pamfletten som ikke er ufrivillig morsom - dybt, dybt tragisk.

Anne-Marie Krogsbøll

Men ikke desto mindre vil flertallet af danskere nok finde det rimeligt og fornuftigt, medmindre nogen fortæller dem, hvordan det virkelig hænger sammen.

Du har ret, Palle Due Larsen. Jeg ville ikke have en chance for at gennemskue dette, hvis ikke jeg - drevet af min gennem de senere år hastigt voksende mistillid til vore magthavende politikere - havde vænnet mig til at tjekke, hvad sagkundskaben herinde mener om tingene. Hvis man ikke er IT-mand/kvinde, hvordan skulle man så kunne gennemskue det?

Jeg håber, at f.eks. DR følger op på sessionslogningssagen, og sørger for at kalde nogle af de kritiske sagkyndige røster ind til grundige indslag i tv-aviser, som trods alt temmelig mange ser. Ellers er det jo svært at rokke ved det spin-billede, som JM-Pind forsøger at bygge op til støtte for sessionslogning.

Eller tænk, hvis de ligefrem ofrede en "Debatten" på sagen? Måske ikke ligefrem en seer-magnet, men jeg tror alligevel, at en del politisk interesserede ser den.

Måske kunne vi ligefrem i fællesskab sende en række opfordrende mails til Clement?

Michael Weber

Jeg tror faktisk ikke, at man kan det i f.eks. Norge. Jeg mener at være blevet afkrævet legitimation og cpr. i Norge, når jeg har villet købet taletidskort der i ferier.

Sjov tanke. Find et EU-land, hvor man kan købe prepaid mobilt internet uden registrering og brug det i Danmark via roaming. Så går Politiet da helt i selvsving. International kriminalitet/terror? heh..

René Nielsen

Hej Henrik, det er et godt indlæg men jeg tror ikke at alm. danskere får læst det sidste af artiklen :-)

Til gengæld tror jeg at mange journalister fra de traditionelle medier læser V2 fordi de her kan læse om komplicerede IT emner, og dem bør du ofte lidt tid på, således at de uden for stort besvær kan tage pointerne videre.

Og selv han ikke vil indrømme det, så tror jeg faktisk også at ”Sorte Søren” læser med evt. via hans proxy (red. hans spindoktor) for der går ikke mange timer før en lille fjer posted på V2 i hans hånd er en fuld flyvedygtig fugl på Twitter:-)

Lad os f.eks. tage side 5 i politiets redegørelse som jo er helt central for politiet og ”pille den fra hinanden” således at journalister kan bringe budskabet videre - https://www.politi.dk/NR/rdonlyres/9BD7DDDF-731E-431C-903E-6D4C22BE483C/...

Politiet ønsker kort fortalt at bringe ”Logning af telefonitrafik” over på internettet således at politiet kan se hvem som taler med hvem og få det logget på samme måde som for Logning af telefonitrafik.

Vil dette formål kunne opfyldes? Det korte svar er Nej

Det (lidt) længere svar er fordi internettet teknisk virker på en anden måde end telefonnettet. Internettet udspringer af det gamle Arpanet som blev udviklet i kolde krigs allerværste periode. https://en.wikipedia.org/wiki/ARPANET

Man ville have et kommunikationsnet som fungerede selvom atommissiler slog ned overalt – det skulle virke uden centraler. Man udviklede TCP-protokollen og udviklede Per-to-Per netværk. Sagt kort og på alm. dansk blev alle enheder opløftet til at blive ”telefoncentraler”.

Det vil sige at styringen nu er flyttet væk fra centralen og over til den enhed som brugeren anvender, hvor den derfra lave end-to-end kommunikation.

Jamen kan man så ikke logge den information – jo det kan man godt, men det giver ingen mening fordi hvis jeg skyper med dig så vil man kunne se din IP adresse i min log. Men hvis der er mere end to deltagere så vil Skype vælge en server hvis IP nu vil fremgå af loggen.

Problemet er at Skype blot er en klient ud af flere hundrede løsninger til tale/video samtaler og at de fleste løsninger bruger en server – hvis IP nu vil stå i loggen. Og mange gange er det ”den bedste forbindelse” som er server. Så du kan uden at vide det være server for andre samtaler.

For et par siden virkede Skype på denne måde og det medførte at CERN måtte forbyde anvendelsen af Skype fordi CERN’s rigtige gode internetforbindelse var en af de mest centrale servere på det europæiske netværk. Personligt tror jeg at Skype vender tilbage til denne funktionsmåde – fordi mange lande har dårlige/dyre internetforbindelser som vil vinde meget ved at bruge de-centrale servere.

Men hvad er det som kendetegner ”de fire ryttere fra Apocalypsen” (Pædofile, Hacking/Internet kriminelle, Terrorister og Narko)? Det er om noget et højt IT kendskab, herunder anvendelsen af det ”sorte internet” og der eksisterer endda vejledninger i disse kredse om hvordan man sikrer sig imod aflytning/overvågning. http://www.wired.com/wp-content/uploads/2015/11/ISIS-OPSEC-Guide.pdf

F.eks. vil en fast VPN forbindelse på mobiletelefon leverer en IP og det selvom jeg søger på pædofile hjemmesider, køber narko via Silkroad eller downloader CSC serverne med Schengen registerene. Men VPN er ikke kun for ”bad guys”. VPN er en slags universal prævention imod usikker sex på internettet såsom identitets tyveri via åbne wifi-forbindelser mv. Læs selv http://overvaagningssamfundet.dk/wordpress/?p=104

Så vil sessionslogning være noget værd? Nej for dem som sådan en log vil fange, er så amatøragtige at de vil lave massevis af andre fejl som vil resulterer i sagens hurtige opklaring.

Hvad skal politiet så gøre? Bruge hovedet og få en dommerkendelse til at aflytning af internetforbindelsen. Der er noget vås at sessionslogning ville have hjulpet med GTA-tossen inde ved Krudttønden. Begge dele ville kræve en dommerkendelse – så hvor sidde og rode rundt i logs af tvivlsom værdi når man i real-time kan se hvad han skriver i de påståede Facebook updates?

Politiet har i over 10 år kunne aflytte internetforbindelserne – måske skal politiledelsen og justitsministeren blot ”opdateres om værktøjkassens indhold”!

Christian Nobel

Jeg tror faktisk ikke, at man kan det i f.eks. Norge. Jeg mener at være blevet afkrævet legitimation og cpr. i Norge, når jeg har villet købet taletidskort der i ferier.

Hvis opslaget på ComputerCity skal tages for troende, så er der forskel på taletidskort (til tale) og prepaid kun data kort.

Og det sidste ser det ikke ud til at skulle registreres - men det får sheriffen sikkert hurtigt ændret.

Anne-Marie Krogsbøll

Michael:

Jeg mangler muligvis den faglige baggrund for at forstå dette (og ejer kun en gammel Nokia 2760 uden internet). Mener du, at forvirringen i så fald vil være total, idet Politiet i så fald nemt vil komme til at konkludere, at der er tale om en fransk terrorist - ikke en dansk?

Altså endnu et eksempel på, at sessionslogning vil være meget kompliceret at bruge til noget fornuftigt?

Jens Jönsson

Jeg har sagt det før og siger det igen. Man forudsætter at man kan få noget brugbart ud at sessionslogning. Men de (kloge) kriminelle vil netop bruge sessionslogning til at pege på andre, nemlig Hr. og Fru Jensen.
Endvidere, hvad vil det bevise at én Internetforbindelse (der kan være flere hundrede enheder bag IP-adressen med f.eks. NAT), kontakter én flere servere i en mulig kommunikation, når der f.eks. kan være tale om et åbent WiFi ?

Der er så mange huller i den idé om sessionslogning, så det skriger til himlen.

Er jeg bandit og skal jeg kommunikere hemmeligt over min private Internetforbindelse, så laver jeg VPN tunnel til en server i Timbuktu, som er uden for dansk ret. Derfra Skyper jeg så ud til højre og venstre.
Hvad beviser det at jeg har kontaktet en server i Timbuktu med VPN. Man kan jo ikke se indholdet alligevel.
Beviser det i en retssal at jeg er skjuler noget. Kan det bruges til noget ?

Man kan selvfølgelig automatisere gennemgang af én log fil. Med det kræver jo så at man ved hvad man leder efter. De vigtige data vil drukne i den overflod af andre umulige informationer der vil være i loggen.

Og hvad med tidsstempel, når man skal sammenligne med en logfil fra en anden udbyder ? Hvis nu de 2 logservere hos hver sin udbyder ikke er 200% ens synkroniseret på tid ?

Michael Weber

Mener du, at forvirringen i så fald vil være total, idet Politiet i så fald nemt vil komme til at konkludere, at der er tale om en fransk terrorist - ikke en dansk?

De kan ihvertfald nok se, at det er en fransk mobil internetforbindelse, der har roamet på et dansk telenet. For en dansk kriminel/terrorist vil det nok ikke gøre noget at Politiet så laver fejlslutningen, at det er en fransk terrorist.
Så kan Politiet/teleselskaberne bruge lidt tid på den blindgyde.

(frankrig er bare brugt som eksempel. Jeg ved ikke om man kan købe prepaid internet uden registrering der. )

Altså endnu et eksempel på, at sessionslogning vil være meget kompliceret at bruge til noget fornuftigt?

Der er ihvertfald et hul, der kan udnyttes.
Hullet værende at en mobil internet-forbindelse kan erhverves anonymt i Danmark (og andre EU-lande - det er billigt at roame i EU).

Frithiof Jensen

Men ikke desto mindre vil flertallet af danskere nok finde det rimeligt og fornuftigt, medmindre ....


... det går ud over dem selv, personligt!

For flertallet af danskerne er ALT helt OK - Så länge det kun går ud over nogen JEG ikke kan lide. Dette er, desvärre, kernen i de danske kärnevärdier. Det skrämmende er at vores politikere har lugtet lunten og er parate til at give Folket alt hvad det vil have i den retning.

Anne-Marie Krogsbøll

Frithiof Jensen:
Det gælder nok for mange - men jeg tror også, at der er mange, der bare ikke rigtigt får chancen for at forstå, hvad sessionslogning er, og forstå omfanget af dette problem, og som heller ikke ved, hvad de skal gøre ved det.

Der skal på en eller anden måde nogle billeder på, som folk kan forstå i forhold til dem selv - ikke nødvendigvis fordi man kun bekymrer sig om det, når det rammer en selv, men fordi det er den nemmeste måde at forstå det på.

Det er svært....

Jesper Lund

Hvis opslaget på ComputerCity skal tages for troende, så er der forskel på taletidskort (til tale) og prepaid kun data kort.

Og det sidste ser det ikke ud til at skulle registreres - men det får sheriffen sikkert hurtigt ændret.

Hverken tale, data eller tale/data prepaid SIM kort skal registreres med navneoplysninger under de gældende regler. Som Justitsministeren muligvis vil foreslå ændret. Det må fremtiden vise.

Bjarne Nielsen

Er der ikke nogen, som kan gentegne "Eksempel 3" fra politiets slideshow (sidste side), så ondemand ikke bruger uskyldig borgers maskine som jumphost, men derimod allerede har inficeret den, så uskyldig borgers maskine først forbinder til ondemand kommandoserver, og der får instruks om at downloade de mange data til sin egen maskine og lukker forbindelsen, men venter et passende stykke tid på at effektuere ordren (f.eks. når uskyldig borger alligevel er på nettet, så den megen netaktivitet kan retfærdiggøres).

Evt. udvidet med, at uskyldig borgers inficerede maskine selv forbinder til wikileaks og uploader de mange data til dem bagefter.

Det bliver ikke sjovt at stå i byretten med den.

Jesper Lund

Sjov tanke. Find et EU-land, hvor man kan købe prepaid mobilt internet uden registrering og brug det i Danmark via roaming. Så går Politiet da helt i selvsving. International kriminalitet/terror? heh..

Der er en del EU-lande, som ikke har registreringskrav. Rumænien har forresten 15 millioner taletidskort til ca 20 mill indbyggere.

Derudover kan du komme på internettet via WiFi, fx ved at købe en cheeseburger til 10 kr hos McDonalds (coinoffer, så de tager vel kontanter). Man kan vist også bruge deres WiFi fra parkeringspladsen uden at købe noget, har jeg hørt.

Justitsministeriet har en arbejdsgruppe, der kigger på valideret brugerregistrering på alle WiFi hotspots, meeen den opgave er altså "lidt" større end registrering af taletidskort hos et begrænset antal teleselskaber. Sidste pip fra den arbejdsgruppe var i 2011, hvor planerne ikke blev vel modtaget i medierne.

Og så er der jo VPN og Tor, når der er sat CPR nr på enhver TCP/UDP pakke som forlader the Great Firewall of Denmark.

René Nielsen

Er der ikke nogen, som kan gentegne "Eksempel 3" fra politiets slideshow (sidste side), så ondemand ikke bruger uskyldig borgers maskine som jumphost, men derimod allerede har inficeret den, så uskyldig borgers maskine først forbinder til ondemand kommandoserver, og der får instruks om at downloade de mange data til sin egen maskine og lukker forbindelsen, men venter et passende stykke tid på at effektuere ordren (f.eks. når uskyldig borger alligevel er på nettet, så den megen netaktivitet kan retfærdiggøres).


Problemet med eksempel 3 er at politiet tror at logs er effektive imod hacking fordi at start-Ip’en på deres log er den fysiske startadresse og slut-IP på deres log er den fysiske slutadresse.

Men der i min optik et meget større problem med at politiets eksempel 3!

Hvordan kan politiet dog overhoved forestille sig at kunne opnå en dommerkendelse til at se den log – med eksemplerne 1 og 3?

Strafferammen for hacking kan selv under særligt skærpende omstændigheder ikke overstige 6 års fængsel. Normalt vil strafferammen for hacking være op til 2 års fængsel.

Netop det med 6 års fængsel er afgørende – fordi for at opnå en dommerkendelse skal mistankens strafferamme overstige 6 års fængsel. Og det betyder det der står.

Så enten ved politiet ikke at mistanke om hacking aldrig vil give adgang til de logs deres eksempler 1 og 3 beskriver, eller også skal ”barren” sænkes ved at kravet til dommerkendelse fjernes eller på anden vis lempes.

Er det en ”smutter” eller er politiet virkelig så tåbelige at de ikke ved at deres eksempler aldrig vil give til den sessionslog som de så gerne vil have?

Jesper Lund

Hvordan kan politiet dog overhoved forestille sig at kunne opnå en dommerkendelse til at se den log – med eksemplerne 1 og 3?

Strafferammen for hacking kan selv under særligt skærpende omstændigheder ikke overstige 6 års fængsel. Normalt vil strafferammen for hacking være op til 2 års fængsel.

Hacking efter straffelovens § 263 har en strafferamme på 6 år under skærpende omstændigheder.

Men politiet forestiller sig nok en anden strategi: "vi sigter dig for hacking, men du kan hjælpe dig selv ved at give samtykke til at vi kan indhente sessionslogning oplysninger for dig".

Den meget berømte (læs: eneste) sag om brug af sessionslogning til at "opklare" en mistanke om et netbankindbrud til hele 100K (*) er formentlig sket med samtykke fra den person, som var under mistanke.

(*) Det er klart at det giver mening at brænde 1 mia kr, OG alle danskeres ret til privatliv, af for at stoppe et netbankindbrud til hele 100K...

René Nielsen

Men politiet forestiller sig nok en anden strategi: "vi sigter dig for hacking, men du kan hjælpe dig selv ved at give samtykke til at vi kan indhente sessionslogning oplysninger for dig"


Min begrænsede viden om emnet siger mig at det må kræve at ”politiet allerede har fysisk fat i hackeren” og at hackeren har tilstået eller noget som må sidestilles dermed.

Er det ikke en urealistisk forudsætning i forhold til eksempel 1 og 3?

Jesper Lund

Min begrænsede viden om emnet siger mig at det må kræve at ”politiet allerede har fysisk fat i hackeren” og at hackeren har tilstået eller noget som må sidestilles dermed.

Nej, for politiet har en logfil, enten syslog på server eller sessionslog hos ISP, som viser at din IP adresse har hacket en FTP server på mainframe hos CSC. Og så må det jo være dig, medmindre selvfølgelig din computer også er blevet hacket og misbrugt som proxy. Derfor er det i din interesse at give samtykke til at politiet kan få adgang til din sessionslog...

René Nielsen

Nej, for politiet har en logfil, enten syslog på server eller sessionslog hos ISP, som viser at din IP adresse har hacket en FTP server på mainframe hos CSC


Jeg går ud fra at vi er enige om at en mistanke om hacking ikke kan give en dommerkendelse?

Så mit spørgsmål hvordan kan politiet få en logfil fra en ISP eller en anden tredjepart uden en dommerkendelse? Fra den forurettede part ja, hans logfiler fra FTP-serveren vil sikkert blive udleveret som en del af hans dokumentation – men det kan vil vel højest vægte som et partsindlæg når vi snakker bevisstyrken!

Den slags logfiler kan være manipuleret i en teksteditor hvorimod en tredjemand næppe vil have interesse i at rode i data som han ”hverken har lod eller del i” og det er derfor at netop disse logs er interessante pga af deres høje bevisstyrke.

Pointen med eksempel 1 og 3 er at politiet siger at sessionslogning kan hjælpe politiet. Jeg tror ikke på at sessionslogning vil hjælpe politiet nævneværdigt – for hvis politiet hver eneste gang er afhængig af ”velvilje” for at kunne anvende sessionslogningen så kunne politiet lige så godt aftale en frivillig aflytning af internetforbindelsen for på den måde at fange ”the bad guys”.

Dermed har vi ikke noget behov for sessionslogning!

Jesper Lund

Jeg går ud fra at vi er enige om at en mistanke om hacking ikke kan give en dommerkendelse?

Normalt vil der være logfiler i den virksomhed, som er blevet hacket.

Hvis det alene handler om at få oplyst hvem der var bruger af en bestemt IP adresse, som ses i logfilen i forbindelse med hackerangrebet, kan dette ske ved en editionskendelse (RPL § 804). Her er der ikke krav om en bestemt strafferamme før at oplysningerne kan udleveres.

Ingen af de tre eksempler viser et behov for sessionslogning. Det er vi helt enige om :)

Torben Jensen

Må sige at politiet i det mindste gør et stort og fint lobbyarbejde. Den PDF er i mine øjne mere vigtig end alle mulige tekniske argumenter, som politikere ikke kan overskue. Den er kort, med illustrationer og endda med "the tubes" illustration. Jeg tror politikerne hører alle jer velformulerede eksperter, men det er lidt som I taler et halvforståeligt finsk de kun forstår 2-3 ord af: internet, hacking og børneovergreb.

Er der nogen som har lavet en tilsvarende PDF som ligeså tydeligt forklarer hvorfor politiet misforstår det, hvorfor det er 100 mio kr og uendelig meget tid smidt i havet, for noget som kan omgåes (og bliver det) for håndører. Gad vide hvem mon skal betale for den ekstra omkostning når alt det skal logges og opbevares og administreres ?

I det mindste skabes der vel arbejdspladser.

Christian Nobel

Er der nogen som har lavet en tilsvarende PDF som ligeså tydeligt forklarer hvorfor politiet misforstår det,

Der var engang en parodi på en Det' Leth:

Q: Hvordan laver man en ubåd.

A: Man tager et stykke træ, lader det ligge i linolie natten over, sliber det med korn 150, og så har man en ubåd.

Politiets pamflet er i præcis samme kategori, den simplificerer det hele så grotesk meget at resultatet er totalt uanvendeligt, og decideret misvisende og manipulerende.

Problemet er bare, at man kan ikke lige lave en tilsvarende ni siders power-point præsentation, som fortæller hvor meget politiet er galt på den, da den tekniske begrundelse er væsenligt mere nuanceret end politiets logging-for-totally-ignorant-dummies prøver at fremstille den.

Og jeg håber ved gud at du manglede et </irony> efter denne passus:

I det mindste skabes der vel arbejdspladser.

Erik Trolle

Det er egentlig så uendelig let at forklare hvorfor sessionslogning er en dårlig ide. Det er fordi sessionslogning dur til total overvågning og intet andet. Man kan lave fine adfærdsmønstre på enhver borger, der befinder sig på internettet. Det er det et super værktøj til og er det man vil så skal man fortælle borgerne det. Men man finder ikke terrorister, pædofile og andet grimt den vej. Fordi netværket er dumt og du er en masse numre. Så politiet skal have et hint fra nogen andre om hvor de skal benytte deres kræfter i efterforskningen. Men det de vil koncentrer sig om vil blive promiller af indsamlede data og deres andel vil blive mindre med den stigning der sker i data på internettet som ikke kan relateres til personer, men sensorer og dumme maskiner som bliver tilsluttet til nettet. En politi case skal bygges op den modsatte vej, man finder et mistænkeligt objekt og så begynder man at samle data ind omkring det objekt. Hvor samle en masse ubrugelige data ind???

Jeg tror at alle er enige om at politiet skal have nogen redskaber til at afslører samfundets fjender, total sessionslogning er bare en forkert måde at gøre det på!

Bjarne Nielsen

Problemet er bare, at man kan ikke lige lave en tilsvarende ni siders power-point præsentation, som fortæller hvor meget politiet er galt på den ...

Ikke desto mindre bliver man nødt til det.

Det er også derfor, at jeg faldt over eksempel 3, hvor der er det helt utrolige held at alle tidspunkter passer og at sessionsstørrelserne sørme også gør, og det derfor skulle frikende borgeren (hvis det virkelig er så nemt, så vil jeg være politibetjent!).

Der bør ikke være svært at lave tilsvarende eksempler baseret på viden om faktiske angreb, hvor sessionslogningen tværtimod efterlader den uskyldige borger med et massivt forklaringsproblem (fordi at tidspunkter ikke overlapper eller sessionsstørrelserne ikke passer) - også uden at de behøver blive komplicerede (jeg prøvede med "Eksempel 3b", men mine evner som Clevin var åbenbart ikke imponerende).

...og så gør det pludselig ikke så meget, hvis diskussionen om, hvorfor eksemplerne er urealistiske, bliver teknisk. Det vigtige er, at eksemplerne ikke kun peger i en retning.

René Nielsen

Er der nogen som har lavet en tilsvarende PDF som ligeså tydeligt forklarer hvorfor politiet misforstår det, hvorfor det er 100 mio kr og uendelig meget tid smidt i havet, for noget som kan omgåes (og bliver det) for håndører.


Jeg ser ikke et behov for en PDF som den politiet har lavet - fordi sessionslogning ikke vil hjælpe politiet i nogle af de 3 eksempler.

Hvis du læser lidt baglæns kan du finde min og Jesper Lunds udveksling for argumenter. Mit hovedsynspunkt er, at når politiet alligevel ikke kan opnå en dommerkendelse som giver adgang til sessionslogningen ved hacking, så savner det mening at tale om eksemplerne 1 og 3 i politiets PDF.

For hvad er sessionslogning værd hvis adgangen til dataene altid er baseret på den mistænkes velvilje? Hvorfor nøjes med en log hvis man alligevel har mistænkes samarbejde – det er da meget bedre at få mistænktes udstyr teknisk analyseret!

Michael Cederberg

Jeg synes ikke sessionslogning i det foreslåede format er noget problem. Dog så jeg gerne at det blev gjort strafbart for teleselskaber at udlevere den loggede information uden dommerkendelse. Ydermere så jeg gerne at der blev stille krav til hvordan det loggede information skulle opbevares for at minimere muligheden for hacking.

Politiets skrivelse er ganske fin hvis man ser bort fra de mere nørdede ting (så som de valgte IP adresser). Det er ikke en specifikation, men beskrivelse af sessionslogning i pixie format. Det er fint til kommunikation til de ikke IT kyndige.

Jeg kan ikke se at sessionslogning skulle være noget stort indgreb i vores frihedsrettigheder. Det kræver alt for meget arbejde at bruge informationen og data er beskyttet af lovgivningen. Jeg er sikker på at teleselskaberne kan finde en måde at beskytte data på, sådan at det vil kræve store ressourcer at hacke (ressourcer der ikke står mål med værdien - se de tidligere threads om emnet for detaljer).

Sessionslogning er ikke nogen silverbullet. Det kan i mine øjne primært bruges til efterforskning og kun i meget ringe grad til bevisførelse. Det kan umiddelbart bruges mod idioter der tilgår systemer direkte fra en IP adresse der kan relateres til dem selv. Selv hvis disse hackere overskriver logfiler på det hackede system vil man kunne nærme sig dem.

Som alle har påpeger så kan man komme omkring sessionslogning ved blot at bruge VPN lignende teknologier. Dette kræver dog at man stoler på sin (sine) VPN udbydere (og her mener jeg VPN i meget bred forstand). Såfremt VPN udbyderne er villige til at samarbejde med politiet, så kan politiet komme uden om denne forhindring. Det er ret klart at det vil være ret arbejdskrævende for politiet at skulle have fat i VPN udbydere i udlandet (og såmænd også indenlands idet det vil kræve en dommerkendelse) – derfor vil der kun være ressourcer til at bruge denne mulighed såfremt det står mål med grovheden af kriminaliteten.

Af samme grund har jeg ikke fantasi til at forestille mig dette blive brugt til andet end terrorsager og økonomisk kriminalitet i milliardklassen. Hvorvidt sessionslogning kan bruges til at efterforske disse sager står og falder med hvorvidt man kan få VPN udbyderene til at spille med. Hvis jeg var terrorist ville jeg ikke stole på nogen VPN udbydere som ikke var blåstemplet af ISIL/Al-qaeda/whatever. Blot brug af sådan en udbyder vil flagge til myndigheder at her er en der er værd at efterforske. Perfekt efter min mening. Andre kriminelle må nødvendigvis finde en VPN udbyder de stoler på … for hvem ved … måske er de fleste VPN udbydere og Tor nodes drevet af NSA, GCHQ, …

Almindelige danskere – selv dem som har tænkt sig at downloade en film eller to over nettet – kan såmænd med fordel vælge et par VPN udbydere rundt omkring i verden og så gemme sig bag familiens NAT. Så er der ingen der vil spilde krudt på at komme efter dem.

PS: Paranoia får jeg over Snowdens afsløringer om at NSA rørte ca. 2% af alt internettraffik. Det må betyde at NSA reelt kunne logge hvert eneste udenlandske URL (o.lign.) min browser nogensinde har rørt. Og de vil kunne gemme det i 100 år. Hvis man også tænker over at de sandsynligvis har kunne følge med i HTTPS forbindelser, så kan vil de reelt kunne skabe et ret tæt billede af hvem jeg er (også tilbage i tiden) og hvem jeg har kommunikeret med gennem tiden. Se det er værd at beskæftige sig med. Ikke sessionslogning der reguleres af dansk lovgivning og hvor vi som borgere altid kan vælge nogle andre politikere der kan lave det om hvis det løber løbsk.

Jesper Lund

Af samme grund har jeg ikke fantasi til at forestille mig dette blive brugt til andet end terrorsager og økonomisk kriminalitet i milliardklassen.

Well.. Rigspolitiet havde fantasi til at bruge sessionslogning i en sag om et netbankindbrud til 100K. Intet blev opklaret. Eneste sag, som Justitsministeriet kunne pege på i deres selvevaluering fra december 2012.

Michael Cederberg

Well.. Rigspolitiet havde fantasi til at bruge sessionslogning i en sag om et netbankindbrud til 100K. Intet blev opklaret. Eneste sag, som Justitsministeriet kunne pege på i deres selvevaluering fra december 2012.

Rent faktisk blev det brugt til at sandsynliggøre at manden ikke selv havde svindlet, så her hjalp det til at "frikende" borgeren. Men som sagt, jeg har ikke fantasi til at forestille mig politiet kan bruge disse data til andet end virkelig seriøs kriminalitet. 100K er småpenge …

Ulrich Østergaard

Henrik. Nu kender jeg dig heldigvis som en dygtig og særdeles kompetent it- og sikkerhedsekspert, så jeg skal ikke betvivle din ærlige bekymring over udsigten til en ny lovgivning om sessionslogning.

Lad mig starte med at rose dig for ikke konsekvent at kalde dette for overvågning, som mange debatører hastigt griber til. For dette er logning, og intet andet, stort set på linje med den logning der udføres på omtrent samtlige servere og netværkskomponenter i større eller mindre grad. Det vedbliver at være log data lige indtil der, forhåbentlig med en dommerkendelse i hånden, bliver brug for oplysningerne.
Og så smutter den alligevel for dig i næstsidste afsnit, hvor du ophøjer sessionslogning til overvågning. I min verden bliver det tidligst til overvågning når man, rekvirerer data og forsøger at udlede en eller flere personers adfærd ved at data mine på de indsamlede data.
Længere oppe i artiklen går det igen galt med termerne når du skriver:

NB: når man bygger systemer til lawful intercept kan det ske at selvsamme systemer bliver misbrugt til at lave uautoriseret aflytninger.

Så er der altså nogle af os der krummer tæerne lidt og trækker lidt på smilebåndet, for logning og Lawful intercept er igen to vidt forskellige ting, men lad os nu bare forliges med, at du lige som politiet skal nå ud til et lidt bredere og ikke helt så teknisk publikum, og blander lidt rundt i det for forståelsens skyld (-:

Når du i artiklen bruger så meget tid på:

Risiko for misbrug af logningsdata.

Så synes jeg du skylder at give læserne et rigtigt godt eksempel på, hvad et sådant misbrug skulle indebære, udover måske at afpresse den ISP som har mistet noget data. I forhold til de hacks du nævner, hvor der rent faktisk er umiddelbart brugbare oplysninger, eller ”kerne data” som du udtrykker det, så forekommer det mig at være den lange vej at gå, hvis man skulle udnytte sessionsdata til noget kriminelt eller blot irritere nogle.

Du skriver:

Data som samles til bunke er et mål - punktum. Data som ligger i et hjørne som skal opbevares billigst muligt og kun er en omkostning er en høj-latent risikofaktor og vil resultere i misbrug og læks.

Man kunne også resonere på følgende måde:
Vi taler om data som typisk indsamles af passive prober via optiske taps. God fornøjelse med at komme denne vej ind! Data som lagres i et separat storagemiljø, som der ikke er nogen rimelig god grund til, at man skal kunne tilgå andet end i de få tilfælde hvor politiet efterspørger dem.
Skulle man så alligevel få dem fisket ud, så skal man lige have dem dekrypteret, og dekomprimeret, og finde de interessante data frem mellem et antal milliarder records.
Derefter skal man sandsynligvis have fingrene i en NAT tabel, en DHCP log eller RADIUS/DIAMETER/GTP-C eller lignende for at komme frem til et MAC nummer eller IMSI. Skulle det også lykkedes, ja så henstår der egentlig kun at hacke CRM systemet, så har man fat i sit offer. Derefter kan man så starte øvelsen i den anden ende af kommunikationen.
Umiddelbart skulle jeg mene at der findes væsentlige mere lavthængende frugter for en hacker, som du jo også selv påpeger.

Når vi har virksomheder der ikke kan beskytte kreditkortdata, web sites der ikke kan beskytte brugerprofiler, begge dele noget som har værdi for firmaet.

Du skriver:

Der er er også et guldeksempel om at "Logning er også et redskab til at beskytte uskyldige borgere".

Man kunne fristes til at spørge: Kan du komme op med et bedre værktøj til at identificere source og mitigere et større hackerangreb? Jeg synes ikke jeg har set mange gode strategier på dette område! Det virker heller ikke som om, hverken firmaerne selv eller CFCS formår at spænde nettet ud.

Du skriver:

Så danske virksomheder som ligger inde med data generelt skal være opmærksomme på truslerne. Danske virksomheder, og staten bør medvirke til at kun de mest nødvendige data opsamles, behandles og gemmes.

Her ved jeg heldigvis, at du udtrykker dig mod bedrevidende, for som sikkerhedsekspert ved du ganske givet, at man aldrig på forhånd kan forudse hvilke data man i virkeligheden skulle have logget, al a CSC og Rigspolitiet selv!

Er følgende scenarie virkeligt at foretrække? Lad os tænke at en boligforenings netværk sættes i forbindelse med udveksling af børne pornografisk materiale. Politiet kan nu vælge at massivt aflytte al kommunikation ud og ind af boligforeningen indtil synderen måske dummer sig igen, eller indsamle samtlige computere og telefoner. Personligt ville jeg foretrække, at de kunne bede om loggen og så koncentrere indsatsen.

Endeligt, så mangler jeg blot at forstå hvorfor jeg skal være hellig når jeg surfer på internettet, men ikke når jeg bruger min telefon som den oprindeligt var designet til. Hvorfor jeg betaler en revisor hvert år, blot fordi der er nogle stykker, der ikke kan finde ud af at betale skat. Hvorfor skal der egentligt være nummerplader på min bil? Kunne det ikke alt sammen løses med tilstrækkelig mange betjente på gaden, og en PET mand i serverrummet?

Andreas Krüger

Ulrich,

Bør du ikke tilføje en forholdsvis væsentlig disclaimer - i hvert fald for dette indlæg , at du arbejder ejer Unispeed, der sælger Mass Surveillance produkter til regeringer og andre onde feer ;) Du har jo en ret stor økonomisk interesse i denne lovpakke som frihedsministeren prøver at tvinge ned over os.

http://bluecabinet.info/wiki/UNISPEED
http://www.unispeed.com/en/
https://www.linkedin.com/in/ulrich-%C3%B8stergaard-92948b7

Gert Madsen

For dette er logning, og intet andet, stort set på linje med den logning der udføres på omtrent samtlige servere og netværkskomponenter i større eller mindre grad. Det vedbliver at være log data lige indtil der, forhåbentlig med en dommerkendelse i hånden, bliver brug for oplysningerne.


Nå, ja. Og de kameraer, som filmer udenfor bankerne, er ikke overvågning ?
Det er jo ikke sikkert at nogen gider se filmen igennem.

En access-log på en server er sågu da også overvågning.
Her står overvågningsniveau, og formål bare i et fornuftigt forhold til hinanden.
Det gør det ikke i tilfældet sessionslogning.

Dennis Christiansen

Det er så hermed gjort, og netop derfor kan jeg også få øje på alternativerne til denne lovgivning, som trods alt har nogle sikkerhedsmekanismer ifht. misbrug.

Hvis de sikkerhedsmekanismer du hentyder til er kravet om dommerkendelse for udlevering af logs, må jeg indrømme at jeg nærer meget lidt tiltro til den danske domstolskontrol i denne her slags spørgsmål.

Derudover er det jo en kendsgerning at CFCS skal have fri adgang til teleudbyderne, så i den forbindelse skal der vidst ikke ret meget fantasi til at forestille sig at de kunne finde på at dræne disse sessionslogs for at lave profilering af store segmenter af befolkningen (selvfølgeligt udelukkende for at fange terrorister, og andre afvigere...)!

Jesper Lund

Lad mig starte med at rose dig for ikke konsekvent at kalde dette for overvågning, som mange debatører hastigt griber til.

EU-domstolen har slået fast at logning hos et teleselskab er overvågning. EU-domstolen forholder sig endda til en logning, som er langt mindre indgribende i vores privatliv end sessionslogning.

Du må gerne have din private mening om logning er overvågning, og om cykeltyveri er tyveri, men for så vist angår det første siger europæisk retspraksis meget klart, at det er overvågning og mere formelt at logning er et indgreb i vores ret til privatliv og persondatabeskyttelse som er meget vidtrækkende og må anses for at være af særligt alvorlig karakter. Præmis 37 i logningsdommen fra EU-domstolen. Igen: domstolen vurderer almindelig logning, ikke sessionslogning.

En samlet profilering af din internet- eller teletrafik (aka logning hos teleudbyder) kan på ingen måde sammenlignes med en masse spredte logfiler rundt omkring. Men i øvrigt er der også en igangværende sag hos EU-domstolen om lokale logfiler og vores ret til privatliv og persondatabeskyttelse. Stay tuned..

Anne-Marie Krogsbøll

Netop nu diskuteres Irak-papirerne i folketingssalen. Endnu engang vil regeringen ikke følge et folketingsflertal:
http://www.dr.dk/nyheder/politik/pind-naegter-udlevere-krigsdokumenter-j...

http://www.ft.dk/webtv/video/20151/salen/58.aspx

Set i lyset af de signaler regeringen ved flere anledninger har sendt på det seneste mht. at respektere et demokratisk flertal, er der så ikke ved at være grund til at frygte, at de farligste fjender af demokratiet ikke kommer ude fra, men indefra - fra regering og omegn?

Og set i det lys, hvilken tillid kan vi så have til, at denne udemokratisk tænkende regering ikke ender med også at mene at have ret til at bruge diverse overvågningsdata til egne - udemokratiske - formål, maskeret som hensyn til "statens sikkerhed"?

Christian Nobel

Og set i det lys, hvilken tillid kan vi så have til, at denne udemokratisk tænkende regering ikke ender med også at mene at have ret til at bruge diverse overvågningsdata til egne - udemokratiske - formål, maskeret som hensyn til "statens sikkerhed"?

Man føler mere og mere at Folketinget (husk den forrige regering var heller ikke specielt god, især Corydon-Bødskov,-Sass syndikatet) er ved at opsætte Jan Guillous "Fjenden i os selv" som absurd reality teater.

Specielt må man efterhånden konstatere at de medicinske diagnoser der skal stilles nok mere skal rettes mod Pind, for det bliver da mere og mere klart at han fuldstændig har misforstået hvad et demokrati drejer sig om - måske han overvejer at slå sig sammen med Henri og kræve en kongetitel.

Kenn Nielsen

Lad mig starte med at rose dig for ikke konsekvent at kalde dette for overvågning, som mange debatører hastigt griber til. For dette er logning, og intet andet

Vrøvl !

Overvågning er 'bare' realtids-logning.

Omvendt er logning umonitoreret overvågning.

Man kunne sige det er Censor's to-do-list.
Men Censor kommer aldrig i bund på sin to-do liste, så han er nødt til at prioritere..

Derfor kaster Censor sig over hvad hens (m/k) chef (m/k) siger er vigtigt.

Censor's chef har interesse i at 'nogen' bliver dømt, og kan bede Censor lede efter inkriminerende indicier.

'Nogen's advokat kan ikke bede Censor lede efter indicier for frifindelse.
Men 'nogen's advokat kan godt få lov at se de inkriminerende indicier.
- For Censor er jo defineret upartisk, og stiller derfor ikke spørgsmål ved en specificeret opgave....

suk..

K

Christian Nobel

'Nogen's advokat kan ikke bede Censor lede efter indicier for frifindelse.
Men 'nogen's advokat kan godt få lov at se de inkriminerende indicier.

Faktisk viste Warg sagen hvor skræmmende systemet virker.

Anklager kunne fremlægge "beviser" som forsvaret kun havde ganske kort tid til at gennemlæse, og endvidere er det helt op til anklagemyndigheden hvilket materiale der skal tilgå forsvaret.

Endvidere er det ikke tilladt for forsvaret selv at foretage aktiv efterforskning - det må kun politiet, dvs. efterforskningen ligger fuldt på en side..

Dvs. vi har et helt skævt system, hvor det eneste forsvaret har at gøre godt med er at prøve at underkende/underminere anklagemyndighedens påstande, men samtidig ingen reelle værktøjer har at gøre godt med.

Imo er det faktisk ensbetydende med at en fair rettergang er en illusion.

Christian Nobel

Og lige nu kæmper Trine Bramsen på socialdemokraternes vegne imod, at der skal kigges på Mørklægningsloven (se link til debatten ovenfor).

Hun er så dum at man får ondt i tænderne.

Hun prøver at bruge Irak dokumenterne til partipolitisk fnidder fnadder:
https://twitter.com/Trinebramsen/status/703149726816808960

men samtidig vil hun ikke pille ved hele forudsætningen for hvorfor det kan gå så galt, og når emnet kommer ind på logning og overvågning, så bliver blikket endnu mere tomt.

Ulrich Østergaard

Jesper - jeg mener ordlyden er:

It also said Europeans are likely to feel “their private lives are the subject of constant surveillance” if the bill is left intact.
Det er ikke helt det samme. Jeg mener stadig at der er en hårdfin grænse mellem at pålægge en tredjepart at registrere noget data til mulig senere brug, og så desideret overvågning.
Jeg kan jo f.eks sætte en server til at "overvåge" mine logfiler. Det ville ikke give mening at overvåge en overvågning.
På samme måde ville jeg give dig medhold hvis et data retention system overvågede log data og alarmerede hvis et bestemt mønster blev identificeret.

Anne-Marie Krogsbøll

Christian Nobel:

Nu repræsenterer Trine Bramsen jo desværre nok bare socialdemokratiets holdninger. Men dem kan jeg da også godt få næsten ondt i tænderne af ind imellem.

Jeg var til John Foleys konference om IT-sikkerhed i går - rigtigt spændende. Men at dømme efter den IT-politiske repræsentant, som socialdemokratiet stillede med, Karin Gaardsted, så skal vi nok ikke håbe på megen hjælp derfra, hverken mht. datasikkerhed eller privatliv.

"Det, jeg hørte hende sige" - var noget i retning af, at vi godt kan holde op med at protestere mod overvågning, for det vil der komme mere af - det er uundgåeligt. Vi skal heller ikke være så bange for Big Data, for det kan der blive en rigtigt god eksportvare ud af (især sundhedsdata). Til gengæld skal vi være rigtigt bange for terror - for det er jo baggrunden for endnu mere overvågning i fremtiden.

Der var ikke megen egentlig lydhørhed overfor de bekymrede stemmer fra fagfolk i salen - vi fik en rigtig politiker-oppefra og ned-tale. Det er selvfølgelig min ikke-ordrette udlægning af, hvad hun sagde. Måske for hårdt trukket op, men sådan lød det altså for mig. Andre kan have hørt det på en anden måde.

Så ligesom en del andre partier tæt på magtens centrum, så lød socialdemokraternes IT-holdning som den sædvanlige kræmmermentalitet: "Kan man få penge ud af det? Så skal vi ikke opfinde en masse tekniske handelshindringer som privatliv, IT-sikkerhed og den slags luftigt pjat. Og meget mere overvågning er uundgåeligt, hvis vi vil beskytte os mod terror og fremmende magter. " Ud over denne programerklæring frit efter Karin Gaardsted, så kom der ikke egentlige argumenter, ud over typen "fordi jeg siger det".

Det var ret forstemmende.

René Nielsen

Set i lyset af de signaler regeringen ved flere anledninger har sendt på det seneste mht. at respektere et demokratisk flertal, er der så ikke ved at være grund til at frygte, at de farligste fjender af demokratiet ikke kommer ude fra, men indefra - fra regering og omegn?


Jeg synes at oppositionen får sig ”en gratis omgang” når de kritiser regeringen i denne sag - for hvis det betyder noget med de papirer, så var der jo ingen grund til at lukke kommissionen.

Det som til gengæld ryster mig er den ligegyldighed som politikerne udviser overfor sessionslogning. Det som skræmmer mig er at CFCS jo har adgang til alle telefondata, så de skal nok få ”snablen ind der” og få profileret den danske befolkning.

Så bliver det sammenkørt i et BigData scenarie med el-måler oplysninger, ANPG, Rejsekort mv. så vi kan se hvornår folk står op og går i seng mv. Via disse metadata kan vi relativt hurtigt finde ud af hvem du omgås, hvordan dit liv. I realiteten vil politiet blive i stand til at ”skrive sine egne dommerkendelser” fordi real-time overvågningen nu er så tæt, at man f.eks. via mastedata fra telefoner kan måle om du kører for stærkt, om du ”boller udenom”.

Men jeg ville med de oplysninger hurtigt blive en meget rig mand ved hjælp af børsen. Der ville ikke gå 5 år før jeg var Danmarks rigeste og langt foran Mærsk familien. Jeg spøger ikke, de oplysninger er så meget værd og så vil politiet bruge dem til at fange en GTA-tosse? Alle vil være jagt efter disse oplysninger.

Anne-Marie Krogsbøll

Rene Nielsen:

Jeg er ikke helt med på, hvad du mener mht. Irak-papirerne, men ellers er jeg enig. Der er store pengeinteresser på spil i indsamlingen af BigData. Argumentationen komme sikkert til at ligne den, som blev fremført med DAMD: At når nu de var indsamlet, så var det da for ærgerligt ikke også at bruge dem til forskning (læs: sælge dem til medicinalindustrien).

Jesper Lund

Jesper - jeg mener ordlyden er:

Den fulde ordlyd af præmis 37

Det må fastslås, at det indgreb i de grundlæggende rettigheder, der er fastslået i chartrets artikel 7 og 8, som direktiv 2006/24 indebærer, således som generaladvokaten også har anført i navnlig punkt 77 og 80 i forslaget til afgørelse, er meget vidtrækkende og må anses for at være af særligt alvorlig karakter. Den omstændighed, at lagringen af data og den efterfølgende anvendelse af dem finder sted, uden at abonnenten eller den registrerede bruger oplyses herom, er desuden, som generaladvokaten har anført i punkt 52 og 72 i forslaget til afgørelse, egnet til at skabe en følelse hos de berørte personer af, at deres privatliv er genstand for konstant overvågning.

Spørgsmålet, om indgrebet i de rettigheder, som er sikret ved chartrets artikel 7 og 8, er begrundet

Min fremhævelse med boldface. Link til dommen
http://curia.europa.eu/juris/document/document.jsf?text=&docid=150642&pa...

Modsat hvad rigspolitichefen påstår, er der dokumentation for at folk ændrer adfærd, når de føler at de er under konstant overvågning. Jeg kan på stående fod citere to studier.

Præmis 37 udelukker ikke logning, jf. den sidste sætning i præmissen. Præmis 39 i dommen siger at logning af indholdet af kommunikationen krænker det væsentligste indhold af den grundlæggende ret til privatliv. Væsentligste indhold er det som ikke kan røres under nogle omstændigheder, dvs. præmis 39 betyder at generel logning af indhold ikke kan være proportionalt under nogle omstændigheder (samme præmis indgår i Schrems-dommen om Safe Harbor i form af præmis 94, nu formuleret som "generel adgang til indholdet af elektronisk kommunikation"). I forhold til sessionslogning kunne man diskutere, om logning af besøgte websites vil fortælle så meget om indholdet af kommunikationen, at vi nærmer os det væsentligste indhold af den grundlæggende ret? Det kommende høringssvaret fra IT-Politisk Forening vil komme ind på dette punkt, kan jeg godt love.

Men i forhold til logning af trafikdata er det ifølge EU-dommen op til en proportionalitetsvurdering, om der kan logges, og logningen skal under alle omstændigheder være begrænset til det, som er strengt nødvendigt. Det er ikke nok, som Rigspolitiet og Justitsministeriet typisk gør, at argumentere for at logning kan være "nyttig".

Hvis man skal være fair overfor alle parter er der nu to mulige fortolkninger af dommen i forhold til proportionalitetsvurderingen:

1) EU-domstolen siger at en logning som omfatter alle personer ikke er proportional, jf. præmis 58-59 i dommen.

2) EU-domstolen siger, at en logning som omfatter alle personer, og hvor der ikke er nogen begrænsninger på og kriterier for hvem der kan få adgang til de loggede oplysninger (præmis 60-62), ikke er proportional.

(denne to-punkt beskrivelse er lidt forenklet, fordi dommen opererer med et tredje sæt af kriterier vedrørende lagringsperioden, men essensen af striden er adgangen til oplysningerne).

Det er ikke fuldstændigt klart ud fra dommen. Umiddelbart efter dommen kom der en masse uafhængige juridiske analyser, som stort set alle valgte fortolkning #1, altså at EU-dommen udelukker logning af en hel befolkning. Men regeringsjurister i EU-landene, herunder det danske justitsministerium, valgte fortolkning #2, pudsigt nok.

Den kommende dom i den svenske sag (Tele2 sag) og den britiske sag (Davis-Watson sagen) kan måske bringe klarhed på dette punkt. Time will show. Alternativt måske en senere dom ved enten EU-domstolen eller den Europæiske Menneskerettighedsdomstol. Kampen mod logning stopper ikke før der er fuldstændig klarhed over hvad der er tilladt.

Beklager at dette blev lidt langt, men min pointe er at fremhæve, at en logning af hele befolkningen som minimum bevæger sig på kanten af hvad der er tilladt i forhold til borgernes ret til privatliv og persondatabeskyttelse, hvis det altså overhovedet er lovligt (hvilket endnu ikke er afgjort).

Derfor er det altså fuldstændigt ude i hampen, når Justitsministeren og rigspolitichefen siger at logning ikke er overvågning, men blot et spørgsmål om at teleselskaberne skal gemme et par oplysninger om vores trafik. Begge personer er uddannet jurister, og de burde vide bedre. Det er ikke så meget brugen af ordet "overvågning", der alligevel ikke har en præcis juridisk betydning modsat at indgrebet i retten til privatliv og persondatabeskyttelse er meget vidtrækkende og af særlig alvorlig karakter, men den måde hvorpå de to herrer prøver at nedtone hvad logning og især sessionslogning handler om ("det skal I slet ikke tænke på, kære borgere, det er alene lidt opbevaring af oplysninger for at hjælpe politiet").

At deres udtalelser handler om sessionslogning gør det hele endnu værre, fordi sessionslogning ud fra eksempelvis præmis 37 må siges at være mere indgribende i borgernes private liv end eksempelvis opkaldslister for telefoni.

Michael Cederberg

"Det, jeg hørte hende sige" - var noget i retning af, at vi godt kan holde op med at protestere mod overvågning, for det vil der komme mere af - det er uundgåeligt.

Og det er ikke så underligt at det går sådan når alle diskussioner blandt folk der ved noget om det her ender i namecalling, opgivenhed overfor demokratisk institutioner, ligegyldigheder, etc. Hvis jeg troede på konspirationsteorier ville jeg tro at halvdelen af deltagerne her blot havde til formål at forplumre diskussionen ved at bringe alle mulige andre sager ind.

For blot at summere et par:

  • Regeringen sidder på trods af Irak-papirerne fordi ingen har synes sagen er vigtig nok til at vælte regeringen på. Endnu. Helt efter spillereglerne.
  • Eve Kjer Hansen røg ud da LLR indså at et flertal ville vælte hende. Helt efter spillereglerne.
  • Vi har en borgerlig regering fordi det var det vælgerne stemte på. Helt efter spillereglerne.
  • At parti ”X” ikke har nok at skulle have sagt – selvom Y synes deres meninger er meget bedre end dem der bestemmer – skyldes at X (og Y) ikke har fået overbevist befolkningen om det samme. Helt efter spillereglerne.

Demokrati er ikke altid smukt. Men i Danmark fungerer det fint og de spillereglerne bliver overholdt.

Når vi diskuterer hvordan lovgivning kan indrettes så bliver vi nødt til at regne med at lovgivning i det store hele overholdes. Ellers giver det ingen mening. Dermed ikke sagt at der ikke kan være enkeltpersoner eller institutioner der overtræder lovgivningen. Derfor er lovgivning i mange tilfælde indrettet sådan at der flere institutioner indblandet i handlinger.

I denne sag vil der være tre parter der kender til sagen:

  • Myndigheden der ønsker at efterforske (Politi, Skat, etc.)
  • Domstole der skal vurdere efterforskningsønsker
  • Teleselskaber der skal udlevere oplysninger

Hvis man indretter lovgivningen fornuftigt, så kan man sikre at alle tre skal være med før der sker noget. En måde kunne fx være at kriminalisere udlevering af logdata uden dommerkendelse. På samme måde kunne man stille krav sådan at data er sværere at hacke.

Jeg kan faktisk godt forstå privacy puritanere. Jeg var selv der engang og synes stadigvæk det er en vigtig diskussion. Men information bliver logget i dag og vi er meget langt fra 100% privacy. Dvs. at allerede der hvor vi er i dag er der taget en masse trade-offs. Det er opgaven i fremtiden at holde behov for privacy op mod opgaven med at få samfundet til at fungere. Og ja, her er kommer terror, pædofile, hackere, narko, smuglere, momskarruseller, skattesnydere, pirater, bilister med fart på, cyklister uden lys, butikstyve, etc. ind. For vi vil bekæmpe kriminalitet og har alle dage krævet at vi bringer nogle ofre i form af mistede rettigheder.

Når diskussionerne ender med at køre af sporet et af de få steder hvor der er viden, så er der ingen til at bringe viden ind i debatten. Vi så det med diskussionen om nummerplade logning – som i mine øjne er langt langt værre – her rullede Pind lovgivningen ud uden at nogen rigtigt protesterede.

Suk, suk, suk!

René Nielsen

Jeg var ved kløjes i morgenkaffen da jeg læste denne artikel http://www.information.dk/563188 . Artiklen går kort fortalt hvordan mener at sessionslogning vha. bl.a. Maste-sug kunne have hjulpet med hurtigere at fange GTA-tossen Omar el-Hussein

”Chefpolitiinspektør Jørgen Bergen Skov fra Københavns Politi siger, at politiet benytter sig af regulære regneark i forbindelse med denne metode. Politiet kan dog tage egentlige databaser i brug ved store mængder data, men det er endnu aldrig sket, oplyser chefpolitiinspektøren.”

Ser vi på tiden fra første skud er afgivet til GTA-tossen ligger død går der ca. 12 timer. Men når man designer store systemer som Retail eller Telecommunications så operer man med en 24 timers cyklus fordi en telefonmast ikke bare er en telefonmast, som der for øvrigt kan være tusindvis af fordelt over hele landet.

Da jeg for et par år siden arbejdede med debitordelen i en TelCo virksomhed havde vi 23 debitorrelaterede interfaces relateret til masteoplysninger. Når du f.eks. sender overtakseret SMS så skal pengene hæves fra din konto og indsættes på en andens konto minus et handling fee. Har du et forudbetalt SIM-kort så skal dit løbende forbrug beregnes og tages af den hensættelse din forudbetaling skabte ved købet og sådan kan jeg blive ved med business cases.

Disse data afleveres typisk en gang i døgnet til en interface server som holder styr på om ”alt er afleveret korrekt fra masterne” og derpå igen holder styr om ”alt bliver korrekt afleveret” fra fagsystem til f.eks. regningssystem. Derfor har hver mast en fast cyklus i hvilken den skal aflevere sine data da ikke alle master på en gang kan ”komme til” samtidig.

Problemet med den kære chefpolitiinspektør er at han tror at logning sker i real-time som altid ligger klar til øjeblikkelig regnearksanalyse. At han udstiller sin uvidenhed ved at ville kigge hundredtusindvis ja måske millionvis af linjer i et regneark uden brug af et geobaseret analyseværktøj taler sit tydelige sprog. Christian Panton har under den sidste sessionslogning påvist at TDC indsamlende op til 15.000 entries på hans mobiltelefon om dagen og blot det at besøge TV2 hjemmeside udløste 50 entries i loggen.

Man kunne nok godt ”suge oplysningerne” ud af enkelte master, men det er jo ikke det sessionslogning går ud på – det går ud på at politiet vil have et overblik over hvem som taler med hvem og det kan man ikke få uden at suge samtlige master i et område og på tværs af udbydere – for du ved jo ikke hvilken telefon du leder efter. Telefonen blev jo fundet efter GTA-tossen var skudt.

Og hvad med dommerkendelsen, skal man ikke lige først have sådan en? Mon ikke der går et par timer før man er klar til at gå i dommervagten og så skal ISP’en jo også have lidt tid. Jeg tror hurtigt der går 6-8 timer fra første skud til alle ISP’ere kan afleverer logs.

Så nej – sessionslogning ville ikke kunne have hjulpet politiet til at opklare denne sag hurtigere. Og når man først har telefonen så har man vel ikke brug for logs, så er det jo blot at kigge i telefonens historik.

Hvis hele TelCo sektoren skal laves om til real-time logs, så er jeg sikker at en ekstra regning på en milliard - slet ikke er nok. Hvor meget ved jeg ikke, men når man medregner konsulentydelser og ændringer i infrastrukturen for at alt TelCo overgår til real-time logs - så tror jeg mere på 10 milliarder end 1 milliard i ekstraregning.

Og det for at en chefpolitiinspektør i bedste Olsenbanden stil muligvis mener at et regneark kunne have hjulpet - jesussss!

Mogens Ritsholm

Problemet med den kære chefpolitiinspektør er at han tror at logning sker i real-time som altid ligger klar til øjeblikkelig regnearksanalyse. At han udstiller sin uvidenhed ved at ville kigge hundredtusindvis ja måske millionvis af linjer i et regneark uden brug af et geobaseret analyseværktøj taler sit tydelige sprog. Christian Panton har under den sidste sessionslogning påvist at TDC indsamlende op til 15.000 entries på hans mobiltelefon om dagen og blot det at besøge TV2 hjemmeside udløste 50 entries i loggen.

Ja, se også min kommentar til http://www.information.dk/563188

Og man vidste ikke hvilket selskab Omar brugte. Så man skulle have udvidet teleoplysning fra alle selskaber.

Man ville lede efter et data-only abonnement. Men abonnementstypen fremgår jo ikke af loggede trafikdata. Så man ville finde dem, der ikke havde SMS eller telefoniopkald i perioden. Det er nok mange.

Og så vidste man for resten først efterfølgende, at det var et data-only abonnement.

Jeg fik ikke krydderen galt i halsen ved denne historie.

For jeg er vant til at myndighederne konsekvent lyver, når de skal motivere sessionslogning.

Mange diskuterer spørgsmål om overvågning, retssikkerhed og mulige anvendelser uden helt at forstå omfanget af sessionslogning. Når du går ind på JP.dk er der 500 sessioner til forskellige IP-adresser.

Så glem alle andre aspekter. Sessionslogning er simpelthen så utroligt dumt, og det er en inkompetent ledelse hos politiet, der har ladet nogle fantaster få frit slag.

Christian Nobel

Hvor er det egentlig skræmmende at en af de vigtigste ministerposter beklædes af en mand som kun kan sige følgende:

»Jeg kan konstatere, at politiet vurderer, at logget internettrafik potentielt kunne have hjulpet politiet med at spore gerningsmanden under terrorangrebet. Det taler vist for sig selv,« udtaler Søren Pind.

Ville det være for meget forlangt at man i den position forholdt sig bare et minimum kritisk?

Men i det hele taget er den retorik Hr. Pind fører for dagen i sine tweets direkte ubehagelig.

Bjarne Nielsen

Jeg var ved kløjes i morgenkaffen da jeg læste denne artikel http://www.information.dk/563188 . Artiklen går kort fortalt hvordan mener at sessionslogning vha. bl.a. Maste-sug kunne have hjulpet med hurtigere at fange GTA-tossen Omar el-Hussein

Og nu hvor der er blevet reklameret så grundigt for metoden af både Hr. Pind og ledende personer hos Politiet i betydelige nationale medier, så er den mulighed så ødelagt. Dem man efter pålydende ønsker at gå efter kan nu tage deres forholdsregler. Og nu har man også ødelagt en evt. efterforskning, når man efterfølgende måtte ønske at forstå, hvad der egentlig skete.

Det tyder på, at Hr. Pind og ledende personer hos Politiet enten er inkompetente, eller at man er temmeligt ligeglade med den anvendelsesmulighed, og hele tiden har haft noget helt i tankerne. Jeg ved ikke, hvad der er mest skræmmende.

Ironisk er det, at det igen og igen er begivenhederne fra Krudttønden, som bliver hevet frem. På mig virker det som om, at fjolset ikke havde en plan B for, hvad der skulle ske, hvis ikke han kunne komme ind i lokalet. Hvis det eneste man kan bruge det her til måske, muligvis at stoppe en forvirret person uden en plan, så er det temmelig sørgeligt.

Og tænk hvis man havde taget de indberetninger alvorligt, som man fik i god tid før Krudttønden - så kunne man måske, muligvis have forhindret alle skudepisoderne. Måske man skulle starte der?

Jesper Lund

Når diskussionerne ender med at køre af sporet et af de få steder hvor der er viden, så er der ingen til at bringe viden ind i debatten. Vi så det med diskussionen om nummerplade logning – som i mine øjne er langt langt værre – her rullede Pind lovgivningen ud uden at nogen rigtigt protesterede.

Når ingen (*) protesterede mod ANPG var det bl.a. fordi denne masseovervågning ikke er gennemført ved lov. Justitsministeren satte den bare i gang, uden at spørge nogen. Udover Rigspolitiet.

(*) Nogle protesterede dog
https://itpol.dk/hoeringssvar/anpg-bekendtgoerelse
og vi er i IT-Politisk Forening ikke færdige med denne sag, men lige nu er sessionslogning højere proriteret.

Lars Skovlund

CPR-loven foreskriver, at der skal være mulighed for at destruere CPR i tilfælde af krig el. lign. Denne mulighed er efterhånden udvandet, da andre registre - lige så skadelige i fjendehænder - er kommet til siden. Hvis sessionslogning gøres til lov, kommer der så en tilsvarende paragraf i lovværket herfor? Jeg tvivler...

René Nielsen

At en del af problemet er, at vi ikke mere stoler på vore politikere og institutioner (med god grund)


Et andet problem er at politikkere uanset partifarve tror man kan lovgive sig ud af alt! Bare det står på papir, så gør alle som der er sagt.

Jeg tror nok at det var den franske filosof ”Pascal” som i 1600-tallet udtalte ”at uden magt er loven impotent”. Men man kunne omforme denne udtalelse til ”at hvis ikke man opdager overtrædelsen fordi man bevist vælger at lukker øjne/ører er loven impotent”

På mig virker det ikke som om at rocker og gangster miljøer med lange synderegistre har problemer med at skaffe kraftige og ulovlige våben. Eller at imamer som i danske moskeer underviser i stening og pisk og burde vide at den slags er dybt ulovligt i Danmark eller kombinationen af begge ekstremer => GTA-tossen Omar el-Hussein.

Men som borger er jeg dybt rystet over at politi/efterretningstjenesten i den grad ”pisser på mig” fordi der var allerede talrige indberetninger fra andre borgere om GTA-tossen herunder radikaliserings rapporter fra fængselsvæsenet. Hvad skal vi med mere overvågning af ikke-mistænkte - når dem som burde få alle alarmer til ringe kan gå frit rundt og købe stormgeværer?

Det er muligt at den chefpolitiinspektør er dygtig med fartmåleren og indenfor parkeringreglerne i København, men indenfor IT burde han holde sin mund!

René Nielsen

For den interesse det må have, så har dommer James Orenstein for et par timer siden i New York netop afvist FBI's krav i en sag som er helt identisk med San Bernardino sagen http://www.wired.com/2016/02/judge-says-apple-doesnt-have-to-unlock-ipho...

Husk også at FBI sidste år også lagde sag an efter AWA imod en bilproducent (som de tabte). FBI ville bruge bilens nødsystem til at aflytte de samtaler som som blev ført i bilen via bilens udstyr.

Anne-Marie Krogsbøll

Telenor og CBB slagter taletidskortene af økonomiske grunde. I følge artikel på BT udtaler man, at det ikke har med de kommende krav om sessionslogning at gøre:
"»Nej, logningsspørgsmålet har ikke haft indflydelse på beslutningen om at stoppe med taletidskort. Det er noget, som vi har diskuteret gennem længere tid,« siger Jesper Hansen."
http://www.bt.dk/digital/mobilselskaber-smider-bombe-200.000-kunder-mist...

Kan nogen gennemskue, om der er en sammenhæng?

Mogens Ritsholm

Kan nogen gennemskue, om der er en sammenhæng?


Jeg ser ingen sammenhæng med forslaget om sessionslogning.

Fra en gang i 2017 skal mobilkunder kunne bruge deres telefon i andre europæiske lande uden roamingafgifter. Dermed falder efterspørgslen efter anonyme telekort, der købes i en kiosk.

I 2006 besluttede Folketinget, at anonyme telekort skulle fjernes, og JMIN og VTU blev bedt om at udforme et oplæg. Det er aldrig sket. Men sagen spøger stadig.

I Norge blev anonyme telekort fjernet i 2005. Og det gav et stort tab af kunder, der skulle registrere sig inden en vis dato. Ellers blev deres telefon lukket.

Så det er nok i hvert fald 2 af motiverne.

Sessionslogning er ligegyldigt. For denne logning er uafhængig af abonnementsform, som er helt ukendt for logningssystemet.

Frithiof Jensen

Tjah - Hvis politiet & Co var lidt smartere så satte de nogle micro-celler op i fängslerne og lod de indsatte plapre lös (Hvis "vi" var lidt smartere, så satte "vi" nogen op omkring slotsholmen)

Marc Munk

Jeg har læst et sted, jeg kan desværre ikke huske hvor, at nogle af de telefoner der bliver brugt i fængslerne er plantet af politiet selv som led i en efterforskningen. Jeg kan ikke afvise at der er findes en vis grad af inkompetance hos kriminalforsognet men det er så åbenbart ikke den fulde forklaring.

Bent Jensen

Ja det siger der også som begrundelser for at stoppe salg. At der er ikke er mer salg når man ikke kender kunden, også kan man ikke tjenepenge på salg af tjenester som musik og telefoner. De mener nok ikke så mange penge. Og viser måske at sammenskudsabo. med det hele, stadigt er alt dyr.

Knud Larsen

Det gjorde de allerede i 2007. Det var helt tragikomisk. jeg fik med det samme et cpr nr men kunne ikke få et taletidskort til at virke.
Forklaring cpr nummeret var et 'dummenummer' eller 'danskernummer' kun til skatteformål, det kan sandelig prioriteres højt.
Jeg fik at vide at det samme gjaldt for nordmænd, der kom til Danmark!

Anne-Marie Krogsbøll

I denne uges "Aflyttet" anvises en "sessionslogningssimulator", hvor man i Google Chrome på egen krop kan erfare, hvordan det føles at have Pind med på en kigger :-)

Det er i øvrigt en fantastisk god og uhyggelig udsendelse om, hvor langt hele denne overvågningsudvikling allerede er i EU-regi - f.eks. pakket ind i TTIP-forhandlinger - og hvor helt utroligt udemokratisk processen er.

Vi er reducerede til undersåtter/råstof for storkapitalen, og for mig at høre er demokratiet mere eller mindre lagt i graven allerede, når man hører EU's langsigtede strategier for teknologiudvikling.

Hvordan er det kommet så vidt, uden at vi har fået noget at vide om, at vore politikere er ved at afskaffe/sælge demokratiet til højestbydende?

Anne-Marie Krogsbøll
Anne-Marie Krogsbøll

I forbindelse med flygtninge- og udlændigedebatten vil jeg kraftigt opfordre dem, der har mulighed for det, at se statsministerens spørgetime netop nu (se fra starten): http://www.ft.dk/webtv/video/20151/salen/63.aspx

Jeg er ved at blive skræmt fra vid og sans - det lyder som om, statsministeren vil misbruge islam-debatten til at lægge op til kraftige indskrænkninger i vores grundlovsfæstede frihedsrettigheder.

Jeg frygter, at statsministeren er i gang med at bruge Grimhøj-sagen som rambuk for at få sessionslogningsaftalen igennem.

Anne-Marie Krogsbøll

http://www.ft.dk/search.aspx?q=sessionslogning&sf=&msf=&SortBy=SortDate&...

"Spørgsmålets ordlyd:
Vil ministeren, på baggrund af at justitsministeren ved flere lejligheder har ytret, at sessionslogning som efterforskningsværktøj i fremtiden vil være i stand til at forhindre et lignende scenarie, som Danmark var vidne til under terrorangrebet ved Krudttønden og Den Jødiske Synagoge, oversende en udførlig og teknisk redegørelse af, hvorledes sessionslogning ville have været i stand til at pågribe Omar El-Hussein hurtigere end tilfældet var efter 14. februar 2015?"

Mogens Ritsholm

Desværre rykker spørgsmål sjældent ved noget.

Det var en lang sej kamp at få det kaldt sessionslogning, fordi justitsministeriet hele tiden gemte den særlige danske sessionslogning bag det noget bredere internetlogning.

Og det var ikke til at få vredet tal ud af dem, fordi de kun efter direktivet skulle indberette den internetlogning, der skal gennemføres efter direktivet - og altså ikke det, vi nu kalder sessionslogning.

Justitsministeriet blev så spurgt, om de kendte andre lande, hvor man havde indført eller overvejede at indføre sessionslogning. For det er der jo ikke.

Men på det skriftlige spørgsmål svarede Justitsministeriet, at ministeriet kendte noget til forholdene i andre lande.

Så forvent ikke ærlige belysende svar fra den kant.

Anne-Marie Krogsbøll

Mogens Ritsholm:

Det har du bestemt ret i - der er nok ikke så meget andet at gøre end at blive ved med at forsøge at holde gryden i kog i håb om bedre tider - eller håbe på en eller anden form for "rygende pistol", der afslører hykleriet.

I spørgetimen i dag trak Løkke et forslag frem om, at det skulle være et krav, at man forkynder på dansk - for "så vi har en mulighed for at vide, hvad der bliver sagt".

Det er jo et eksempel på den uærlighed, der gennemsyrer hele denne overvågnings- og sikkerhedsdebat.

For det første giver forslaget kun mening, hvis man faktisk har mulighed for overhovedet at høre, hvad der bliver sagt - Indebærer det så, at der skal være en eller anden form for overvågning i moskeerne, så PET kan følge med?

For det andet så kræver det jo ikke, at der kun prædikes på dansk, hvis vi skal vide, hvad der foregår. Hvis det virkeligt er tilstrækkeligt vigtigt, mon så ikke der var råd til at ofre en tolk på sagen? Eller spørge en af de mere moderate muslimer, om de vil oversætte?

LA's spørgsmål ovenfor om sessionslogning ift. Omar El Hussain lyder tilstrækkeligt detaljeret til, at der er håb om, at det bliver tydeliggjort, at Pind snakker udenom (hvis han - som forventeligt - da gør det i samrådet).

Men det er opad bakke - Løkkes indledende tale i spørgetimen i dag lød som et opgør med grundlov og frihedsrettigheder, som vi kender dem. Jeg er spændt på, om det var "smøring" for at få sessionslogningen til at glide lettere ned.

Det er meget en skræmmende udvikling at høre en dansk statsminister udtale sig på den måde.

Mogens Ritsholm

Det har du bestemt ret i - der er nok ikke så meget andet at gøre end at blive ved med at forsøge at holde gryden i kog i håb om bedre tider - eller håbe på en eller anden form for "rygende pistol", der afslører hykleriet.

Ja bare bliv ved. Når lovforslaget kommer bliver der nogle rigtigt interessante spørgsmål om hjemmelsgrundlaget, der skal bores i, hvis sessionslogning genindføres.

Hvis regeringen virkelig gennemfører det, fordi departementet insisterer, vil det efter al sandsynlighed blive ophævet igen. Måske efter en sag ved domstolen. Og så er Søren Pind måske på vej mod en rigsretssag, hvor hver en sten vil blive vendt forinden.

Så det gælder om at logge alle spor i sagen om sessionslogning.

Her er i øvrigt det spørgsmål, jeg nævnte. Der har været en eller anden ind over og forvirre spørgsmålet med indholdet af parenteserne, der er helt overflødige og forvirrende.

Bemærk hvordan man i svaret kommer ind på opbevaringstiden, der slet ikke er nævnt i spørgsmålet. Denne teknik skal gøre et lidt for iøjnefaldende kort svar lidt mere uskyldigt.

http://www.ft.dk/samling/20111/lovforslag/l53/spm/37/svar/888586/1127536...

Det var i øvrigt først efter L53, at det gik op for Folketinget, at sessionslogning ikke var krævet i direktivet, og at Danmark stod helt alene med dette krav til logning. Det var begyndelsen til enden for sessionslogning - i første omgang.

Anne-Marie Krogsbøll

Tak for linket Mogens Ritsholm - der har Mørkelygten vist ganske rigtigt været i sving.

Jeg håber i øvrigt, at man på samrådet vil bruge samme procedure, som man anvendte for et par dage siden på et andet samråd (husker ikke hvilket), hvor man mod sædvane ikke slog 3-4 spørgsmål sammen. For det er for mig at se endnu en af de måder, man forsøger at "hjælpe" en minister - det er meget lettere at snakke uden om spørgsmålet, når man slår 3 spørgsmål sammen.

Log ind eller opret en konto for at skrive kommentarer