yoel caspersen blog bloghoved

Sessionslogning og Carrier Grade NAT

Version2 har i dag bragt en artikel, der beskriver hvordan telelogningen mister sin værdi i takt med at Carrier Grade NAT indføres.

Det er korrekt spottet, og det kræver en uddybende forklaring.

Carrier Grade NAT gør, at mange brugere deles om den samme IP-adresse på ydersiden af NAT-routeren, mens brugerne har deres egne IP-adresser på indersiden.

Hvis en brugers browser henter en side fra en webserver, vil webserverens logfil som udgangspunkt vise den delte, offentlige IP-adresse.

Lad os nu antage, at vi er Det Hemmelige Politi, DHP, som har ubegrænsede dommerkendelser og skal finde den venstreorienterede ballademager, der i et øjebliks kådhed postede en tvetydig dødstrussel mod statsministeren på Venstres website.

Politbureauet udleverer logfilen fra webserveren, og vi må til vores skuffelse konstatere, at den ligner en helt almindelig Apache-logfil:

185.107.13.54 - - [05/May/2016:08:52:42 +0200] "GET / HTTP/1.1" 200 7277 "-" 
"Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2726.0 Safari/537.36"

Aha - IP-adressen er 185.107.13.54. Vi sparker døren ind hos den ansvarlige systemadministrator, der med søvndrukne øjne tager imod og byder på en kop kaffe.

Han forklarer os, at det er en IP-adresse, der anvendes til Carrier Grade NAT.

Da vores logfil ikke indeholder source port, er det virkelig op ad bakke at finde ud af, hvem det var, som postede dødstruslen på websitet. Hvis vi havde haft source port med, kunne man i teorien have fundet den ansvarlige bruger, hvis ellers NAT-routeren havde været sat op til altid at anvende de samme port-numre for en bestemt bruger.

Nu er vi i stedet nødt til at kigge i sessionsloggen på NAT-routeren - og her kan vi være heldig at finde ud af, at kun en enkelt bruger har været i forbindelse med Venstres webserver i det givne tidsrum.

"Men", forklarer vores sysadmin, mens han sukker tungt. "For det første er sessionslogning afskaffet, og for det andet er det slet ikke sikkert det havde virket. Hvad nu hvis tiden på Venstres webserver havde været en smule ude af sync med NAT-routeren - så ville vi måske ikke kunne finde ud af, hvem der havde posted dødstruslen."

Han klør sig i nakken, før han pludselig stirrer intenst på vores efterforsker.

"I allerværste fald havde denne afvigelse gjort, at vi havde udpeget den forkerte bruger. Hvad nu, hvis en anden bruger havde været inde på Venstres website et minut senere - så ville vi begå et justitsmord!"

Carrier Grade NAT - et fristed?

Som situationen er i dag, er der en god sandsynlighed for, at man er anonym, hvis ens internetudbyder anvender CGN.

Der findes umiddelbart kun en enkelt, entydig måde at identificere en bruger bag Carrier Grade NAT. Den metode indebærer følgende:

  • Webserveren logger source port
  • NAT-routeren anvender altid samme source port range for en given bruger

For det første er det ikke almindeligt at logge klientens source port på en webserver. Muligheden er der, men det er først i de senere år, man er blevet opmærksom på behovet, så der vil gå noget tid før det er slået igennem overalt.

For det andet, så er det en teknisk begrænsning. Hvis vi skal have fx 300 brugere bag en enkelt IP-adresse, har vi pludselig kun lidt over 200 porte til rådighed pr. bruger, hvis vi skal allokere portene statisk.

Rettighedsindustrien klapper i hænderne, for det vil sandsynligvis gå hårdt ud over fildelingsklienter, der typisk har mange forbindelser åbne samtidig.

Hvis man derimod genindfører sessionslogning, og denne gang sætter den på NAT-routeren, kan man i teorien få et fuldt overblik over trafikken, men det kræver, at man logger samtlige pakker.

Ellers risikerer man at hænge uskyldige ud, eller at de vitale informationer simpelthen bare mangler - og det kræver samtidig tæt på 100 % synkronisering med tiden på de servere, man skal korrelere logggen med.

Wollt ihr die totale Überwachung?

Det spørgsmål, vi som samfund skal stille os selv, er, om det altid skal være muligt at opklare forbrydelser i retrospekt.

Det er et provokerende spørgsmål, for de fleste vil nok anse det som værende nødvendigt i et retssamfund.

Men tænk engang over konsekvenserne - hvis det altid skal være muligt, er der ingen vej uden om den totale overvågning.

Den totale, radikale og nødvendige overvågning, som vi knapt nok kan forestille os.

Personligt er jeg ikke i tvivl: Det ville ikke være et rart samfund at være i, og selv om man i teorien ikke behøver frygte overvågningen, hvis man opfører sig pænt, kan det ikke undgå at påvirke den måde, vi opfører os på.

I dag er der ting, jeg selv undlader at søge på - ikke fordi det er ulovligt, men fordi jeg gør op med mig selv, at risikoen for at blive "flagged" og de dertil hørende besværligheder gør, at det ikke står mål med den nysgerrighed, jeg måtte have.

Jeg er sikker på, mange andre har det på samme måde - og ellers får de det, når retssamfundets grænser bliver nedbrudt, og de pludselig kommer på en "no-fly"-liste, fordi de har været lidt for interesseret i en eller anden konflikt et sted i verden.

Hvordan opklarer vi så forbrydelser, hvis vi ikke kan overvåge alt og alle konstant?

Well, det er et rigtig godt spørgsmål, og jeg er sikker på, jeg ikke har et komplet svar på dette.

Men jeg har til gengæld tillid til, at politiet, hvis de ellers får tilført de nødvendige ressourcer, kan finde andre måder at efterforske på, som ikke medfører totalovervågning af hele befolkningen.

Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Lars Jensen

Hvordan opklarer vi så forbrydelser, hvis vi ikke kan overvåge alt og alle konstant?

Hmm, det er jo en svær en. Er det gode spørgsmål i virkeligheden:

Står beskyttelsen af de mange(!) uskyldige (og den måske skyldige) over den "sikre" domfældelse af den skyldige?

Og mit umiddelbare svar på dit spørgsmål: Det gør vi nødvendigvis ikke altid.

  • 1
  • 1
#2 Yoel Caspersen Blogger

Står beskyttelsen af de mange(!) uskyldige (og den måske skyldige) over den "sikre" domfældelse af den skyldige?

Med fare for at trække Godwin-kortet endnu engang, mener jeg at det er her, vi ser forskellen på en retsstat og et fascistisk diktatur: Om udgangspunktet er, at alle er uskyldige, indtil det modsatte er bevist, eller at alle er skyldige.

Danmark bliver ikke et fascistisk diktatur i et hug ved at man indfører sessionslogning, men det er endnu et lille skridt på vejen.

Jeg forstår vitterligt godt politikernes dilemma - terrortruslen mod Danmark er reel og allestedsnærværende, og det der skete i Paris ad flere omgange kunne lige så vel være sket i København.

Det sker sandsynligvis en dag, og så vil samtlige medier pege fingre af politiet og justitsministeriet, der ikke formåede at opspore terroristerne i tide - uagtet at der faktisk har været adskillige sager, hvor PET har opsporet et terrorangreb under opsejling.

Men det er vigtigt, at politikerne holder hovedet koldt og ikke skyller vores åbne, frie samfund ud med badevandet i processen.

  • 13
  • 0
#4 Michael T. Jensen

Jeg kan godt forstå dine overvejelser ud fra et "leverandørsynspunkt", og som udgangspunkt er jeg enig med dig, for dem, som har noget at skjule og som ikke er så dumme at de er på helpension, kan sagtens sørge for at undgå at blive overvåget. Hvis man vil fange de intelligente er man nok nødt til selv at have en IK over smertegrænsen, hvilken dog lader til at være en mangelvare blandt de politikere, vi i vores visdom har valgt ind.

Rent politisk er forslaget en katastrofe, for det giver større legitimitet til regimer med "anden styreform end dansk" til at indføre lignende tiltag. Forestil dig Kristian de-rigtige-holdninger Jensen forsøge at kritisere Putin eller Assad for at indføre samme tiltag... De bliver svært at kaste med sten, når man er omgivet af glashus til alle sider.

  • 9
  • 0
#5 Tajs Brandt

Jeg forstår vitterligt godt politikernes dilemma - terrortruslen mod Danmark er reel og allestedsnærværende, og det der skete i Paris ad flere omgange kunne lige så vel være sket i København.

Nu er min hukommelse ikke perfekt, men jeg kan ikke komme på bare et terrorangreb i den vestlige verden siden 11. september, hvor terroristerne IKKE på forhånd har været kendt af politiet/systemet. Så ingen grund til mere overvågning af alle, men derimod mere grund til udvidet overvågning af de få. Eller sagt på en anden måde: Ingen grund til at gøre høstakken større, men giv politiet bedre muligheder for at finde nålene i den høstak de allerede har.

  • 8
  • 0
#6 Christian Nobel

Nu er min hukommelse ikke perfekt, men jeg kan ikke komme på bare et terrorangreb i den vestlige verden siden 11. september, hvor terroristerne IKKE på forhånd har været kendt af politiet/systemet.

Fuldstændig korrekt, øget overvågning vil intet ændre, al den stund politiet og/eller PET allerede har et hav af røde lamper tændt.

Selv helt tilbage til Blekingegadebanden var det kendt, men da ordenspolitiet ikke kan holde ud at være i stue med PET, så faldt det hele mellem to stole.

Der er ingen grund til at civilbefolkningen skal terroriseres fordi politiet er inkompetent - og hvis de skal bruge endnu mere tid med at sidde og lumre foran en computerskærm, så bliver der bare brugt endnu mindre tid på reel efterforskning.

  • 5
  • 0
#7 Mogens Ritsholm

Og som andre har påpeget har man i langt de fleste tilfælde et mistankegrundlag. Især for terror har PET efter al sandsynlighed de fleste trusler "på radaren", som de siger.

I diskussionen om logning glemmer man, at der også stilles mere effektive redskaber til rådighed, hvis der er en konkret mistanke. Politiet kan aflytte konkrete mistænktes internetadgang, de kan rumaflytte og bede om teleobservation for mobile enheder.

Metoder, der alle giver mere information end telelogningen af alle kunder.

Men Politiet magter tilsyneladende ikke internetaflytning. Der har ifølge rigsadvokatens statistik været under 20 af disse aflytninger årligt, mens der er flere tusinde gammeldags telefonaflytninger årligt.

Hvis internet er så vigtigt for efterforskningen, hvorfor er der så så få aflytninger?

Og nu vil jeg så provokere lidt.

Rigspolitiet og Søren Pind mener, at det er en katastrofe, hvis politiet ikke har adgang til historiske data, der afslører enhver danskers kommunikationsparter.

Er det nu også rigtigt. Især i lyset af, at man oftest har konkrete mistanker og mulighed for at bruge nævnte målrettede redskaber.

Hvor kommer den ide fra, at al kommunikation skal efterlade spor?

Frem til 1982 var alle telefoncentraler analoge. Og først i 1998 blev den sidste analoge telefoncentral nedlagt.

For kunder under analoge telefoncentraler anede man ikke, hvem kunden havde ringet til. Der var ingen spor bortset fra en samlet tæller, der alene angav det samlede telefonforbrug månedsvist.

Dengang var man således henvist til alene at bruge konkrete midler som aflytning eller et registreringsudstyr, der kunne kobles på kundens linje.

Hvordan kunne samfundet og politiet leve med det ?

For vi har jo også tidligere haft urolige tider med terror og alvorlig kriminalitet.

Teknologiens udvikling giver til tider nye muligheder. Men den kan også fratage dem igen.

Sådan er det bare, med mindre man vil sætte udviklingen helt i stå. Og det kan man ikke.

Sådan er de faktiske forhold i jernindustrien, og så må politiet til enhver tid få det bedste ud af de redskaber, som de faktisk har. Og lære at bruge dem i stedet for at kræve og kræve.

  • 13
  • 0
#8 Yoel Caspersen Blogger

Rigspolitiet og Søren Pind mener, at det er en katastrofe, hvis politiet ikke har adgang til historiske data, der afslører enhver danskers kommunikationsparter.

Er det nu også rigtigt. Især i lyset af, at man oftest har konkrete mistanker og mulighed for at bruge nævnte målrettede redskaber.

Hvor kommer den ide fra, at al kommunikation skal efterlade spor?

Frem til 1982 var alle telefoncentraler analoge. Og først i 1998 blev den sidste analoge telefoncentral nedlagt.

Jeg har opfordret Version2 til at undersøge, om Post Danmark gennem mange år har gennemført en logning af breve, der modsvarer sessionslogningen på internettet. Alle konvolutter bliver maskinelt scannet med henblik på automatisk sortering, og postetatens besvær med logningen er således minimalt.

Hvis en sådan logning har fundet sted uden det fornødne lovgrundlag, er der sandsynligvis tale om en overtrædelse af grundlovens paragraffer om brevhemmelighed - da man kan argumentere for, at metadata i organiseret form i en vis udstrækning afslører indholdet, præcis som ved sessionslogning.

Hvis en sådan logning IKKE har fundet sted, er det oplagte spørgsmål: Hvorfor i alverden er det så nødvendigt at indføre en tilsvarende logning på nettet?

  • 11
  • 0
#9 Jesper Lund

Hvor kommer den ide fra, at al kommunikation skal efterlade spor?

Frem til 1982 var alle telefoncentraler analoge. Og først i 1998 blev den sidste analoge telefoncentral nedlagt.

For kunder under analoge telefoncentraler anede man ikke, hvem kunden havde ringet til. Der var ingen spor bortset fra en samlet tæller, der alene angav det samlede telefonforbrug månedsvist.

Dengang var man således henvist til alene at bruge konkrete midler som aflytning eller et registreringsudstyr, der kunne kobles på kundens linje.

I Brydensholt betænkningen fra 1999 står de dette om historiske teleoplysninger

Området for teleoplysninger, der tidligere blev registreret i forbindelse med teleselskabernes kontrol eller i forbindelse med efterforskning, har ændret sig væsentligt gennem de senere år. Der sker i dag automatisk en omfattende registrering, og kunder kan vælge at få alle samtaler specificeret (i hvilket tilfælde oplysningerne vil kunne findes ved en ransagning). Der er således i vidt omfang ikke tale om, at teleoplysninger indhentes i specielt øjemed, men alene om almindelig adgang til data, teleselskabet allerede besidder.

Det fremgår af Justitsministeriets strafferetsplejeudvalgs betænkning nr. 1023/1984 om politiets indgreb i meddelelseshemmeligheden og anvendelse af agenter, s. 62, jfr. s. 254 ff., at udgangspunktet var, at teleoplysninger forudsatte, at der blev etableret en fastholdeanordning. Teleoplysninger havde således en anden karakter, end tilfældet er i dag, idet oplysningerne som udgangspunkt ikke forelå, men kunne tilvejebringes ved særlige tekniske indgreb. I modsætning til i dag kunne alle derfor forvente, at teleoplysninger ikke fandtes, medmindre der blev foretaget et særligt indgreb, mens det i dag er almindelig viden, at oplysningerne altid registreres hos teleselskabet.

Det antyder, at vi skal frem til tiden omkring 1995 før politiet almindeligvis har mulighed for at få adgang til historiske teleoplysninger fra før en mistanke mod den pågældende abonnent er opstået.

  • 4
  • 0
#10 Mogens Ritsholm

Det antyder, at vi skal frem til tiden omkring 1995 før politiet almindeligvis har mulighed for at få adgang til historiske teleoplysninger fra før en mistanke mod den pågældende abonnent er opstået.

Ja som sagt blev alle fastnetcentraler først digitale i 1998.

På analoge centraler sluttede man en såkaldt abonnak på den kundelinie, hvor man ville registrere afgående opkald (men ikke aflytte dem). Ankommende opkald blev ikke registreret og det blev de sådan set heller ikke i de digitale centraler. Først med logningskravene blev ankommende opkald gemt.

Abonnak blev brugt ved tvistigheder om regninger efter aftale med kunden og på anmodning fra politiet.

  • 5
  • 0
#11 Mogens Ritsholm

Det antyder, at vi skal frem til tiden omkring 1995 før politiet almindeligvis har mulighed for at få adgang til historiske teleoplysninger fra før en mistanke mod den pågældende abonnent er opstået.

Det tror jeg er nogenlunde rigtigt. For mobil havde man CDR i både NMT og GSM1. Men vi skal frem til 1994, før abonnenttallet for alvor voksede væk fra ca. 100-200.000. TDC satte digitaliseringen af telefoncentraler i stå i begyndelsen af 90'erne, og det kom først rigtigt i gang igen i 1996.

Så det er nok rigtigt, at politiets brug af teleoplysninger først rigtigt kom i gang ca. 1995.

Et lille kuriosum.

Da GSM blev udliciteret i 1991 havde Telestyrelsen glemt at stille krav om, at mobilselskaberne skulle kunne aflytte brugere for politiet. Så det kunne de ikke.

Det endte med, at staten måtte betale et vistnok 3-cifret millionbeløb for at få aflytningsmuligheden etableret hos TDC mobil og Sonofon ca 1996-97. Det har nok også medvirket til brug af teleoplysninger for GSM frem til 1997 - når man nu ikke kunne aflytte. I forbryderkredse vidste man godt, at de ikke kunne aflyttes på GSM1.

Ifølge rigsadvokatens statistik er der i øvrigt stadig flere aflytninger end udlevering af teleoplysninger. Her er det for 2013:

http://www.anklagemyndigheden.dk/Documents/statistik-indgreb-i-%20meddel...

Det undrer mig. Måske har de ikke taget udlevering efter edition med i statistikken.

Det under mig i givet fald også. Især efter ministerens svar på spm. 8 i 2006:

http://www.ft.dk/samling/20061/lovforslag/l63/spm/9/svar/297291/331819/i...

For her siger ministeren jo, at kravene til udlevering efter edition reelt er de samme som udlevering efter indgreb i meddelelseshemmeligheden. Og så burde editionskendelser vel også være med i statistikken, når valget mellem edition og indgreb meddelelseshemmeligheden alene er et procedurespørgsmål.

  • 2
  • 0
Log ind eller Opret konto for at kommentere