Zombiesessionslogning og straksmisbrug

Denne uge har haft mange emner, men et af dem er den nye sessionslogning, logning af internettraffik. Justitsministeriet havde indkaldt til møde, og det gik ikke stille for sig.

Selv nød jeg at følge en masse livetweets fra Jakob Willer, Christian Panton m.fl. og der kommer flere og flere stemmer der råber vagt i gevær.

Eksempelvis denne som opsummerer problemet i en nøddeskal. http://m.b.dk/?redirect=www.b.dk/nationalt/di-nu-gaar-soeren-pind-for-vi...;

Det er »et helt ekstremt skridt at overvåge alle danskeres internettrafik,« mener Dansk Industri, efter at regeringen vil hastegenindføre og udvide den overvågning, som EU-Domstolen for halvandet år siden erklærede ulovlig.

Ja, lad mig lige skære det helt ud i pap

regeringen vil hastegenindføre

og udvide den overvågning

som EU-Domstolen for halvandet år siden erklærede ulovlig.

WOT! Det er jo tåbeligt at vores justitsminister, ministeriet og regeringen vil indføre noget som er ulovligt - igen! Derfor har logningen nu også fået et fortjent øgenavn fra Bitbureauet, Zombiesessionslogning, for det er åbenbart en zombie der ikke er til at slå ihjel..

Sidebemærkning, er det virkelig politik som politik skal være, at man blot gentager og gentager noget dumt til det en dag bliver vedtaget?

Lad os lige opsummere:

Logningen er ulovlig, EU siger NEJ, JM og regeringen vil sikkert så tvivl om dette, yada yada yada. Mere vigtigt, Logningen er ikke brugbar, var det ikke tidligere og vil heller ikke være det nu. Der er flere eksempler på dette, og flere politikere ved det faktisk godt.

Logningen står ikke mål med overgrebet, langt størstedelen af dem som dermed overvåges er helt almindelige danskere, dvs gående mod 100% alt efter hvad kategori af kriminalitet vi taler om, er uskyldige danskere.

Samtidig ved vi at logningen er ekstremt dyr - specielt for udbydere, men omkostningen kommer til at ramme os allesammen. Selve indsamlingen koster kassen, store millionbeløb og har været gennemgået og beskrevet i mange år!

Der kommer også andre uhensigtsmæssigheder ind, som at direkte forbindelser mellem to udbydere, som giver god teknisk mening, måske ikke vil kunne logges - og må derfor droppes, eller fordyres. Det giver også høje krav til at starte mindre netværk, som vi ellers kan have glæde af til borgere langt fra byer osv. Svagere konkurrence og mindre frihed til selv at starte initiativer er sjældent godt for forbrugere.

Straksmisbrug

Jeg bliver også særligt bekymret hvis dette hastes igennem uden behørig evaluering og tankevirksomhed. Årsagen til denne bekymring er det misbrug af data vi ser igen og igen, med alle de nuværende løsninger og digitaliseringen i Danmark.

Sådan hårdt konkluderet har vi nu gentagne gange set at data som indsamles med et formål ender med at blive misbrugt til andre formål - som ikke overhovedet relateret til det oprindelige.

Misbrug er således her defineret som, brugt til andre formål end det oprindelige. Faktisk kan man vel også tale om misbrug af love, for visse love bliver OGSÅ allerede misbrugt - endda af det offentlige danmark. Her tænker jeg eksempelvis på begrebet totalkontroller hvor politi laver en såkaldt totalkontrol i samarbejde med SKAT, eller hvor politi tilfældigvis går med Skat ind - på områder hvor politiet ikke selv alene må gå ind.

NB: når vi taler misbrug, og jeg specielt nævner politi og skat er det ikke tilfældigt. Der er brådne kar overalt, men at vi fra ministre, regering, og myndigheder oplever ulovligheder og misbrug - ja, så er jeg FANDME ikke meget for at udvide deres beføjelser!

Et andet eksempel, som jeg vil mene er parallelt til sessionslogning er, Skat indsamling af informationer om flypassagerer og ulovlig overdragelse af disse til PET. Sagen rullede her i slutningen af 2015, men havde været i drift i mindst ni år.

Jeg gentager, PET har ulovligt opsamlet data i ni år! Er det en myndighed vi stoler på? HVIS det efter måske 1 år viste sig at være super duper, så BURDE man kunne argumentere for at det værktøj skal under kontrol, for beviserne for virkning er der vel ... eller

Jeg fandt en rimeligt tilfældig artikel om emnet frem, og guddødme om ikke vores allesammens sheriff at nottingham, Søren Pind er nævnt, med:

Justitsminister Søren Pind (V) fremlagde i oktober et lovforslag i Folketinget, der skal give PET lovlig og automatisk adgang til booking- og passageroplysninger.

Kilde: https://politiken.dk/indland/ECE2921026/pet-og-skat-havde-ulovligt-samar...

Det er her jeg så vælger at trække begrebet straksmisbrug frem, for hvis holdningen hos vores justitisminister ved opdagelse af ulovligheder er straks at lovliggøre det uden yderligere overvejelser - så er det en ekstremt farlig situation.

Jeg ville have foretrukket Søren Pind sige, "Vi har stoppet denne ulovlige indsamling, og iværksat en undersøgelse og evaluering om dette værktøj er proportionalt og skal indføres."

Ligeledes hører vi nu med Zombielogningen partiet DF være i medierne og kræve at Pind straks tænder for logningen igen. Vel og mærke det DF som vi kender som knaldskaller der formentlig gerne ville misbruge en hel masse data, og som er varme fortalere for DNA register. Det vil være nemmere at fange og smide de brune og sorte undermennesker ud, forstås det mellem linierne i det racerene DF.

Jeg ved en del ikke er glade for at jeg her fremhæver DF, trækker politik ind over. Det jeg således vil bede jer allesammen om er at overveje at give jeres sessionslog til jeres værste modstander ... og det er for mig DF der står som de VÆRSTE at give hånds- og halsret over vores internet sessionslog!

Jeg kunne også have brugt Socialdemokratiet, som er virkeligt slemme til automatisk at stole KUN på politi, og ikke rigtigt tage tid til at evaluere om noget er proportionalt.

Så hvordan der overhovedet kan overvejes så drastiske indgreb i vores brevhemmelighed er mig en gåde. Hvordan kan man overveje at indføre noget så problematisk - og haste det igennem?

Bemærk: Justitsministeriet lægger op til at opsamle meta-data, afsender, modtager osv. Det er formentlig ikke omfattet af brevhemmeligheden, fordi denne omhandler indholdet. Jeg mener dog at vi med den foreslåede opsamling, registrering, og behandling af meta-data i så høj grad får et detaljeret og tydeligt billede af kommmunikationen at vi bør genoverveje brevhemmeligheden.

Opsamling af alle sessioner med internetkommunikation vil i mange tilfælde være mindst lige så indgribene som at opsamle indholdet af kommunikationen. Case in point, droneangreb hvor folk myrdes er i høj grad udelukkende baseret på meta-data.

Faren ved meta-data

En anden fare ved meta-data er misidentifikation, altså at den forkerte borger mistænkes for ulovligheder. Det er noget vi kender til i mange sager omhandlende ophavsretslige sager, piratkopiering.

Problemet opstår specielt når der kommer NAT (Network Address Translation) ind i billedet. NAT benyttes på så godt som alle de netværk vi som almindelige borgere benytter. Det betyder at vores laptop, tablet, telefon får en intern IP-adresse (192.168.1.123) som når vi sender ud på internet bliver til en ekstern IP adresse som 185.129.62.62.

Så opsamlingen af sessioner med logningen vil opsamle den eksterne IP adresse, og de andre informationer, altså 185.129.62.62. Men der er ingen 1 til 1 relation mellem den eksterne adresse og de personer som har benyttet netværket bagved.

Min største frygt er at politiet/PET grundet tidspres, få resourcer og for stor tiltro til logningen - "det ER jo dig som har den IP" - vil anklage de forkerte. Lyder det utroligt, er du sikker på at politiet KUN vil anklage og fængsle de skyldige, altså der hvor det kan bevises. HA! Så behøver vi kun snakke om CSC-hackersagen, hvor den danske JT blev dømt 6 mdr og fik plet på straffeattesten og Warg fik 3,5år!

Politiet vil med logningen få et redskab der vil virke dårligere end fokuseret indsats! Det emne er sådan set hele omdrejningspunktet af filmen A Good American, hvor William Binney forklarer at det ikke hjælper blot man gøre høstakken større.

https://da.wikipedia.org/wiki/William_Binney

Sidebemærkning, NAT som vi kender det fra hjemmet er også ved at komme som CGNAT Carrier Grade NAT, hvor der er måske flere tusinde kunder bagved en NAT boks hos udbyderen. Det gør sådan set blot problemet værre, men lad den nu ligge - det er ikke sååå udbredt endnu.

Konstruktive råd

Nu er det jo ofte sådan at man kritiserer noget, og glemmer at være konstruktiv. Samtidig vil politikere jo gerne være handlekraftige, selvom de så ofte igen og igen blot gør problemerne værre ved at handle forkert.

Så mit råd til JM og Søren Pind er at de i denne sag lytter OG evaluerer. Det betyder i første omgang at de STRAKS kaster tidsplanen for denne logning i skraldespanden - det er useriøst ikke at lytte i lang tid og så haste det igennem.

Dernæst så tænk på hvad målet med logningen ville være?

OG tænk så lige med en sort hat på, bare lige i fucking fem minutter! Hvor kan forbrydere undgå denne logning, hvordan kan den misbruges - kan man lave et alibi med logningen?, hvordan kan kriminelle hos udbydere (ansatte EL hackere) misbruge data - sælge dem som i Se&Hør/IBM sagen.

Eksempel, hvis biblioteker er undtaget, og det står i loven, og folk ved det, og folk kan agere på det, hvorfor fanden tror I så ikke at forbrydere kan agere på dette?

Så JM bør tage kritikken alvorligt og ikke bare buldre derudafmed100kmitimen. Det er afpresning, og bringer minder om Østtyskland i fortiden hvor man opsamlede test-ark fra skrivemaskiner og dufte på glas! Danmark skal ikke være en politistat!

PS og nu vil jeg så vende min opmærksomhed tilbage til FOSDEM, som varmt kan anbefales.

Henrik Kramshøjs billede
Henrik Kramshøj er internet-samurai. Han elsker netværkspakker tcpdump, wireshark, BackTrack, Metasploit og andre hackerværktøjer og blogger om sikkerhed, netværk og unix.

Kommentarer (41)

Mogens Hansen

...og det kan jeg godt forstå! Et rigtig godt indlæg. Jeg håber, du finder tid til at rette det lidt til, pille lidt af vreden ud, og så sende det til en avis eller andet forum hvor alm danskere også følger med.
Når det så er sagt, så tror jeg det er en STOR misforståelse at tro på, at ministeren for et givet område på nogen som helst måde er folkets repræsentant. Han er styrets repræsentant, og vil som sådan altid kæmpe for, at styret får de bedste værktøjer.
Det er Folketinget vi skal henvende os til - det er dem, der skal repræsentere os. Så hermed en opfordring til at fatte pennen og skrive til retsordførerene, it/tele ordførerne, eller hvad de nu ellers hedder i de enkelte partier.

Yoel Caspersen Blogger

Det er utroligt, at man fra politisk side kan finde på at dumme sig endnu engang, når man allerede har brændt nallerne på den her sag.

Det ser ud som om nogen i politbureauet har fået en våd drøm om et system a'la det, de har hos NSA, men har ramt muren i Finansministeriet, der ikke ser nogen grund til at spilde penge på et totalovervågningssystem, når man bare kan ringe til vennerne overseas og få lidt hjælp, hvis det skulle være nødvendigt.

En kreativ sjæl har så foreslået, at man kunne lade internetudbyderne og i sidste ende kunderne betale for overvågningen.

Hvis lovgivningen bliver tvunget igennem, og det er jeg desværre bange for, den gør, er der en enkelt trøst: Ligesom det ikke er kriminelt at være inkompetent som embedsmand og politiker, er det heller ikke kriminelt at være inkompetent som sysadmin eller internetudbyder.

Hos Kviknet er det i hvert fald sikkert, at vi ikke har tænkt os at sætte vores bedste folk på opgaven, og hvis vi kan finde nogle smuthuller i lovgivningen, der reducerer eller eliminerer problemet, bliver de selvfølgelig brugt.

Jens Jönsson

Hos Kviknet er det i hvert fald sikkert, at vi ikke har tænkt os at sætte vores bedste folk på opgaven, og hvis vi kan finde nogle smuthuller i lovgivningen, der reducerer eller eliminerer problemet, bliver de selvfølgelig brugt.

Fakta er jo at samtlige udbydere i Danmark, hvis logningen bliver genindført, burde være ulydige og nægte at indføre logningen.
Kun ved at stå sammen kan man stoppe vanviddet.....

Men enig, det bliver nok ikke den skarpeste IT kniv i skuffen der bliver taget i brug for at opsætte det sessionlognings system.....

Når og hvis man som udbyder skal levere data til politiet, så kunne man jo også komme til at give dem forkert data, altså forpurre processen, så den tager længere tid....

Yoel Caspersen Blogger

Fakta er jo at samtlige udbydere i Danmark, hvis logningen bliver genindført, burde være ulydige og nægte at indføre logningen.
Kun ved at stå sammen kan man stoppe vanviddet.....

Der vil de gøre det samme som i ophavsrets-sagerne: Plukke en enkelt ud, sandsynligvis en af de mindre, der har færre penge til advokater, vinde sagen med henvisning til den absurde lovgivning, og så vil resten makke ret med udsigt til en dyr retssag, de med sikkerhed taber.

Derfor får du heller ikke nogen udbydere til offentligt at stille sig frem og sige, at de nægter at logge data, eller at de nægter at blokere spillesider og udenlandske online-apoteker, der ikke vil betale dummebøder til Skat.

Men heldigvis er det svært at dømme nogen for at være mindre gode til deres arbejde og tunge i opfattelsen, og selv om vi kun har dygtige folk ansat i dag, er der ingen garanti for at det forbliver sådan i fremtiden, hvis loven bliver vedtaget. ;-)

Chresten Christensen

Hvor kommer det fra, denne ide om overvågning som et middel til bekæmpelse af kriminalitet, der er ingen der er blevet dømt ved hjælp af overvågning. Der er blevet ulovlig indsamlet data fra session logningen gennem længer tid, uden det har ført til nogen anholdelser, af kriminelle. Så man spørger sig selv, hvem er det der er interesseret i denne overvågning.
så.
1) Er det muligt at finde ud af hvem der er fortaler for et sådan overvågnings samfund?
2) Er det muligt at finde de virkelige bagmænd ?
3) Er det muligt at få dem dømt ?
4) Må man offentlig gør deres navne ?

Henrik Kramshøj Blogger

Jeg tvivler på mit temperament vil kunne holde til det, blodtrykket stiger jo voldsomt når jeg støder på dumheder.

Dernæst er IT-politik jo ikke en skid interessant for politikerne, eller befolkningen - det fylder ikke nok. Desværre.

Anne-Marie Krogsbøll

En kreativ sjæl har så foreslået, at man kunne lade internetudbyderne og i sidste ende kunderne betale for overvågningen

Man kan også frygte, at det på længere sigt skal være selvfinancierende, således at staten - i lighed med udviklingen indenfor sundhedsvæsnet - finder på, at disse opsamlede data også lige kan sælges til BigData-industrien - en ny eksportvare. Der er sikkert en del i, som kan bruges til markedsføringsformål.

Peter Christiansen

Yoel,
det kunne være interessant at høre fra een i branchen,
hvor stor en post det er at foretage sessions logning al a
den udvidede model.

Du behøver ikke sætte et kroner/øre beløb på, men bare
give et praj så folk udenfor har een ide.

Yoel Caspersen Blogger

Yoel,
det kunne være interessant at høre fra een i branchen,
hvor stor en post det er at foretage sessions logning al a
den udvidede model.

Du behøver ikke sætte et kroner/øre beløb på, men bare
give et praj så folk udenfor har een ide.

Det er et godt spørgsmål - jeg har ikke selv læst den endelige tekst, men jeg har fundet en beskrivelse her:

http://www.version2.dk/artikel/saadan-ser-politiets-oenskeseddel-ud-til-...

For kablet internet ser det ud til, at Komiteen for Statssikkerhed vil have os til at logge hver 500 eller hver 1000 datapakke pr. abonnent, samt oplysninger om start og slut på sessionen.

Det er selvsagt elastik i metermål, men hvis vi blot kigger på hvad det koster at logge hver 1000 datapakke, så ser regnestykket således ud:

1 Kviknet-bruger har i gennemsnit et forbrug på ca. 5,76 GB (gigabytes) i døgnet. Hvis vi skal logge en tusindedel af dette, skal vi logge 5,76 MB pr. døgn, eller 2,1 GB pr. år. Logningen af sessionernes start og slut fylder nok i gennemsnit det samme, og så er vi oppe på mellem 4 og 5 GB pr. år pr. bruger.

Det er ikke fordi selve det at gemme disse data på disk er voldsomt dyrt, men det virker nytteløst, og der skal bruges meget tid på at sætte et system op, der sikrer at brugerne ikke pludselig får blæst hele deres sessionslog ud på nettet fordi udbyderen er blevet hacket. Og så er der hele det retssikkerhedsmæssige aspekt i det også.

Det er ikke fordi, vi er modstandere af at samarbejde med myndighederne i de tilfælde, hvor en dommer har vurderet at der er en god grund til at holde ekstra godt øje med folk. Men det virker urimeligt og i strid med proportionalitetsprincippet i retssikkerhedslovens §2 at totalovervåge alle borgere i landet, "bare for en sikkerheds skyld". Fortalere for sessionslogning burde spørge sig selv, om de havde lyst til at få optaget samtlige samtaler hjemme i stuen til senere brug "hvis det skulle blive nødvendigt".

Mogens Ritsholm

Hvis lovgivningen bliver tvunget igennem, og det er jeg desværre bange for, den gør, er der en enkelt trøst: Ligesom det ikke er kriminelt at være inkompetent som embedsmand og politiker, er det heller ikke kriminelt at være inkompetent som sysadmin eller internetudbyder.

Der er måske en enkel mulighed for at afvise sessionslogning. For der er en indre modstrid i reglerne.

Logning kræves kun for oplysninger, der behandles eller genereres i nettet. Det er en overordnet forudsætning i bekendtgørelsens §1. Det betyder, at oplysninger, der kræves logget efter bekendtgørelsen, alligevel ikke skal opsøges, hvis de i udgangspunktet ikke behandles og genereres i tjenesten.

Man er ikke pligtig til at indrette sit net, så oplysningerne falder ind under det behandlede. Intet er forbudt og man kan f.eks. godt udbyde en tjeneste med anonyme kunder, selv om bekendtgørelsen kræver kundeoplysninger gemt.

Tilbage til sessionslogning.

Jeg ser ingen grund til, at nettet skal aflæse og "behandle" TCP-header, for rutningen sker jo alene på IP-adresser.

Ergo er en TCP-baseret logning ikke et krav.

Baldur Norddahl

Jeg er ikke jurist, men jeg tvivler stærkt på at du får en dommer med på en så snæver fortolkning af §1. Det er rigtigt at protokol og port numre ikke indgår i routing beslutninger i vores net. Men oplysningerne er umiddelbart tilgængelige og kan eksempelvis bruges til at indsætte ACL regler - og bliver det også (vi blokkere UDP port 1900 fordi det tilsyneladende kun bruges til at lave angreb med).

Jeg mener ikke at §1 kan bruges til at undlade at logge oplysninger som du rent faktisk er i besiddelse af, men som du blot ikke lige i øjeblikket anvender aktivt.

§1 betyder til gengæld at du ikke behøver bøje dig baglæns for at indhente oplysninger, som du ikke ellers har. Du er f.eks. ikke forpligtet til at implementere en "captive portal" der udspørger om navn og adresse, før at der gives adgang til et åbent trådløst netværk. Ligeledes er det lovligt at en boligforening eller kollegie kører et simpelt netværk bestående af en stak switche, en fælles router og en DHCP server, således at de ikke rigtigt har styr på hvem der er hvem. Altså lige bortset fra at simple switche ikke kan logge trafik, så hvis der er mere end 100 lejligheder, så er modellen ulovlig af den årsag. Trafikken skal nemlig stadig logges, selvom du ikke ved hvem der har en given IP-adresse.

Loven stiller rent faktisk temmelig heftige og dyre krav til hvordan en internetudbyder indretter sit net. I modsætning til den gamle lov, så er det nye forslag at alle sessions skal logges og at der også skal logges trafik mellem egne kunder. Førhen kunne man nøjes med at indrette logning på udbyder kant routerne. Nu skal der logning helt ud i access netværk, alternativt skal nettet indrettes så at alt trafik sendes ind centralt for at vende, så at det kan logges.

For at kunne logge alle sessions så skal udstyret i praksis kunne udføre NetFlow. Det kan ældre og billigere access routere ikke. Hos nogle hardware leverandører er NetFlow derudover en licens feature der kræver betydelig betaling for at få aktiveret.

Mogens Ritsholm

Jeg mener ikke at §1 kan bruges til at undlade at logge oplysninger som du rent faktisk er i besiddelse af, men som du blot ikke lige i øjeblikket anvender aktivt.

§1 i logningsbekendtgørelsen stammer fra artikel 1 i logningsdirektivet, som var den mest diskuterede artikel under direktivets udvikling.

For det drejer sig om den principielle afgrænsning af logningspligten. Og afgrænsningen blev, at logningen alene kan vedrøre oplysninger, som behandles eller genereres af teleudbyderen.

Mange tror, at logning kan vedrøre alt andet end indhold set fra et brugerperspektiv. Men den valgte afgrænsning betyder jo, at også f.eks. end-to-end protokoller som TCP er undtaget, da internetudbyderen ikke behandler eller genererer disse oplysninger. De er for internetudbyderen indhold på linje med øvrigt indhold, der blot fremføres transparent.

Man kan også sige, at bestemmelsen i §1 og art. 1 sætter grænsen mellem televirksomhed og overvågningsfunktioner, der alene udføres for overvågningens skyld. Og bestemmelsen sikrer, at televirksomheder ikke forpligtes til rene overvågningsfunktioner. De skal alene gemme oplysninger, som de som udgangspunkt genererer eller behandler til deres trafikafvikling..

Alt dette er også belyst i forhandlingsprotokollerne i forbindelse med direktivet.

Hvorfor nægtede teleselskaberne så ikke bare at sessionslogge?

Der var to årsager hertil.

For det første skulle de efter bekendtgørelsen logge hver 500 pakke på kanten til andre net, hvis logning på sessionsniveau ikke var "teknisk mulig", som det var udtrykt.

Så hvis man afviste sessionslogning pr. session, fordi oplysningerne ikke blev genereret eller behandlet, skulle man i stedet fange hver 500. pakke på datagram-niveau. Og her kan man jo ikke hævde, at nettet ikke behandler disses IP-adresser, selvom TCP-header og portnummer falder uden for det, som nettet ser.

For det andet var der dengang den risiko, at man ville lovgive mere konkret om det og dermed overskride den vigtige afgrænsning mellem televirksomhed og overvågningsvirksomhed direkte i lovgivningen, hvis sagen blev tilbagevist til Folketinget..

Det er så det Søren Pind lægger op til nu. Han vil med kravet om at sessionslogge alt overskride den vigtige grænse, og dermed må han også sløjfe afgrænsningen i bekendtgørelsens §1.

Det bliver han nød til at skrive i lovforslaget. Altså at vi går fra televirksomheders pligt til at opbevare data til en pligt til at overvåge data, som de ikke genererer eller behandler. Og staten bestemmer omfanget heraf.

Hvor skal den principielle grænse så sættes?

Hvad en dansk domstol vil sige, ved jeg ikke. Det afhænger vel også af, hvordan sagen bliver fremlagt.

Jeg tror godt at en dommer kan forstå det. Men i første omgang er det nok en sag for Folketingets ombudsmand, ad regler jo udstedes af ministeren efter bemyndigelse af Folketinget gennem loven.

Baldur Norddahl

UHA. Intet teleudbud er ulovligt på grund af logningskrav. Men nogle konstruktioner kan ikke logge det, der ønskes, fordi oplysningerne ikke "genereres eller behandles" af udbyderen.

Den holder ikke helt. En layer 2 switch bruger MAC adresser til at afgøre hvilke porte pakker skal sendes ud til. Men en unmanaged switch kan ikke logge MAC adresserne. At noget "behandles" af udstyret medfører ikke automatisk at udstyret også kan "logge" det samme. Men eftersom at det er et krav i lovgivningen, så er der pludselig en masse udstyr der ikke er lovligt at benytte.

Tilsvarende er der mange layer 3 switche der kan route baseret på IP adresser, men de kan ikke "logge".

Eftersom at man taler om at kravet er at alle sessions skal logge, så stiller det et implicit krav om at pakkerne skal forbi en switch eller router der har NetFlow eller tilsvarende funktionalitet. NetFlow kan godt logge uden at tage protokol og porte med i betragtning (selvom jeg ikke tror på at din fortolkning her holder en millimeter), men ikke desto mindre har du brug for NetFlow for at kunne logge i det hele taget.

Set fra vores synsvinkel er der ikke meget sparet ved kun at bruge (src IP; dst IP) som logging key i forhold til (src IP; src port; dest IP; dest port; proto). Det sparer givetvis nogle bytes på en harddisk men stiller ellers det samme krav til udstyret og måden nettet er indrettet på. Og jeg er ret sikker på at juristerne nok skal få rettet "buggen" hvis du har ret. Der er nul chance for at jeg gider betale for en retssag der ikke kan vindes. Politikerne ønsker en logging med de 5 værdier, så det får de. Det er naturligvis stadig ubrugeligt, men det skal ikke på finansloven, så politikerne er ligeglade.

Mogens Ritsholm

Det direktiv er blevet underkendt af EU domstolen, så de nye regler har ikke baggrund i et EU direktiv. Det er rendyrket national lovgivning og folketinget kan vedtage hvad det passer dem her.

Selv om direktivet er ophævet, er artikel 1 og drøftelserne herom stadig baggrund og fortolkningsgrundlag for de danske regler. Det falder jo ikke væk fordi direktivet ophæves.

Det er rigtigt, at ordet "behandlet" kan diskuteres, og her må man tilbage til forhandlingsprotokollerne fra EU-drøftelserne. Ud fra en ligefrem forståelse, kan man jo godt sige, at alt kommunikeret er behandlet, da det jo flyder gennem udbyderens elektronik. Det er klart, at det ikke er det, der menes med behandlet. Det betyder, at udbyderen har haft oplysningen i "hånden" og står med et valg mellem at opbevare det eller smide det væk.

Jeg kan godt forstå, at du som en praktisk udbyder har vanskeligt ved at forstå de ting, jeg siger.

Men det er noget, jeg er sikker på de forstår i Justitsministeriet. For det drejer sig jo om helt basale og principielle grænser for de logningspligter, der kan stilles til udbydere.

De forstår nok ikke så meget af internets virkemåde. Men det her, det forstår de.

Christian Nobel

Det direktiv er blevet underkendt af EU domstolen, så de nye regler har ikke baggrund i et EU direktiv. Det er rendyrket national lovgivning og folketinget kan vedtage hvad det passer dem her.

Men hvordan kan politikerne overhovedet barsle med en ny sessionslogning, når den gamle blev dømt ulovlig af EU domstolen?

Jeg er godt klar over at man opfandt en anden årsag til at stoppe den, så man ikke tabte alt for meget ansigt, men alligevel, hvilken hjemmel har Søren & Søren til at prøve at luske det samme igennem, bare endnu værre?

Jesper Lund

Det bliver han nød til at skrive i lovforslaget. Altså at vi går fra televirksomheders pligt til at opbevare data til en pligt til at overvåge data, som de ikke genererer eller behandler. Og staten bestemmer omfanget heraf.

En Facebook-model, hvor kunderne er en del af det masseovervågningsprodukt som staten har eksproprieret sig adgang til uden betaling. Dog med den forskel i forhold til Facebook, at vi betaler hele gildet med vores egne penge foruden vores data.

Nej tak.

Jesper Lund

Det bliver han nød til at skrive i lovforslaget. Altså at vi går fra televirksomheders pligt til at opbevare data til en pligt til at overvåge data, som de ikke genererer eller behandler. Og staten bestemmer omfanget heraf.

Hvor skal den principielle grænse så sættes?

Artikel 15, stk. 1 i e-Privacy direktivet? Især denne sætning

Med henblik herpå kan medlemsstaterne bl.a. vedtage retsforskrifter om lagring af data i en begrænset periode, som kan begrundes i et af de hensyn, der er nævnt i dette stykke.

Man kunne argumentere for at et lovforslag, som tvinger internetudbyderne til at generere data som reelt ikke eksisterer, og som forudsætter at nettet indrettes på en bestemt måde (centrale knudepunkter for al trafik for at kunne generere sessioner), går længere end hvad artikel 15(1) tillader.

Jesper Lund
Mogens Ritsholm

Men hvordan kan politikerne overhovedet barsle med en ny sessionslogning, når den gamle blev dømt ulovlig af EU domstolen?


til flere

Direktivet forpligtede medlemsstaterne til at indføre logning på direktivets vilkår inden bestemte datoer. Udleveringsbetingelser var dog et nationalt anliggende, da fællesskabet jo ikke ensretter disse retsprincipper.

Med dommen bortfaldt dette krav til medlemsstaterne.

Men det forhindrer jo ikke, at medlemsstaterne efter egne afvejninger opretholder logningskrav nationalt, selv om præmisserne i dommen selvfølgelig må vurderes.

Som jeg husker det opretholdt de fleste lande da også deres logningskrav efter en kort tænkepause. F. eks Sverige, som vi jo tit sammenligner os med.

Logning i Danmark skal betragtes efter danske regler og lovgrundlaget fra 2002. Og som sagt også de principper i udmøntningen, der blev lånt fra direktivet. De eksisterer jo stadig som dansk udmøntningsgrundlag, selv om direktivet er ophævet.

Sessionslogning har altid været en dansk enegang. Det var ikke i direktivet, hvor al logning af internetrafik var fravalgt.

Hvis man tror, at det kan stoppes ud fra EU-dommen, kommer man til at vente længe.

Det skal standses på det danske lovgrundlag, påpegning af ændrede principper og så proportionalitet, hvor EU-dommen selvfølgelig kan bruges.

Mogens Ritsholm

For aflytning er der en direkte pligt til at indrette sit system, så man kan hjælpe politiet med aflytning. Men der står ikke hvordan. Pligten fremgår af teleloven.

Men for logning er der kun pligt til at kunne opsamle oplysningerne i det omfang de genereres eller behandles i nettet. Der er ikke en pligt til at indrette sin tjeneste, så de ønskede oplysninger genereres eller behandles i nettet og dermed bliver logningspligtige.

Jesper Lund

nu er tavse SMS ikke logning men teleobservation. Vi nægtede også at sende dem. Det må politiet selv gøre, hvorefter posten automatisk dannes i nettet.

Enig, men det skitseforslag som JM har fremlagt omkring udvidet registrering af masteoplysninger svarer stort set til at sætte hele befolkningen under aktiv teleobservation. Og den udvidede lokationsregistrering vil være tilgængelig for politiet med en simpel editionskendelse uden nogen krav til strafbarhed for den forbrydelse, som personen er mistænkt for.

Jesper Lund

Hvis man tror, at det kan stoppes ud fra EU-dommen, kommer man til at vente længe.

EU-domstolen får meget snart en chance for at fortælle os hvad den mener om nationale logningslove.

Den 12. april 2016 er der mundtlig forhandling ved EU-domstolen i de forbundne sager C-203/15 (Tele2 sagen fra Sverige) og C-698/15 (Davis/Watson appelsagen fra UK).

Præjudicielle spørgsmål i Tele2 sagen
http://curia.europa.eu/juris/document/document.jsf?text=&docid=165124&pa...

Præjudicielle spørgsmål i Davis/Watson sagen (nederst)
http://eulawradar.com/case-c-69815-davis-did-the-cjeu-in-digital-rights-...

Mogens Ritsholm

Enig, men det skitseforslag som JM har fremlagt omkring udvidet registrering af masteoplysninger svarer stort set til at sætte hele befolkningen under aktiv teleobservation. Og den udvidede lokationsregistrering vil være tilgængelig for politiet med en simpel editionskendelse uden nogen krav til strafbarhed for den forbrydelse, som personen er mistænkt for.

enig. Og specielt det med mildere krav til udlevering er vigtigt. Skridtet er ikke så langt til udlevering til andre myndigheder ifb. med f..eks social svindel. Tænk bare på skat-sagen om udlevering af oplysninger.

Vil vi det?

Det er en glidebane, hvor ingen rigtigt holder fast i principperne.

Baldur Norddahl

Mogens, forsøger du ikke lidt at stoppe op på et mærkeligt punkt når du siger at vi som udbyder ikke behandler TCP? Efter den definition behandler vi slet ikke trafikken. Vi har i dag ingen registrering af individuelle netpakker, ingen del af pakkerne, hverken MAC-adresser, IP-adresser eller noget andet fra indholdet af pakken. Eneste mulige undtagelse er størrelse af pakkerne og antallet af pakker, som bliver gemt i aggregeret form som interface countere.

Problemet med den fortolkning er at jurister (herunder dommere) bliver dybt fornærmede når man påpeger at deres lov slet ikke gælder på grund af en fodfejl. De vil derfor i stedet nå frem til den alternative konklusion, som er at at vi behandler alt som bliver transmitteret. Oplysningerne har eksisteret i nettet, også selvom det kun var i en router buffer og i nogle få millisekunder.

For at undgå den slutning, så vil du at vi siger, ok vi behandler IP adressen da den trods alt indgår i routerens valg af udgående interface. Problemet med det er at vi faktisk har aktive ACL'er som virker på protokol og port numre, og dermed indgår disse felter også i routerens beslutning om hvad der skal ske med pakken. Routeren "behandler" i det hele taget en masse felter, herunder laver den CRC af pakken, den opdaterer TTL, den tjekker source IP for at sikre imod spoofing, den tjekker samtlige øvrige felter op imod listen af ACL'er, den tjekker diverse felter for at afgøre hvilken QoS klassificering pakken skal have og så videre. Og ja, min router kan også flytte trafik til TCP port 25 over på et særligt VRF, hvis det var ønskeligt (*). Intet af det her overlever mere end nogle få mikrosekunder før det er glemt igen og erstattet af processering af den næste netpakke.

Endnu værre, så er vores net uheldigvis allerede indrettet så at den udvidede logningslov faktisk kan gennemføres. Vi har allerede mulighed for at lave NetFlow på rub og stub. Det har vi, for det er nødvendigt at have indsigt i din trafik hvis du skal kunne bekæmpe misbrug og angreb. Ellers aner du ikke hvad dit net fejler og hvem der har gang i hvad. Det er ikke noget vi kører kontinuerligt og på den måde politikerne ønsker det, men giv mig et kæmpe SAN til at gemme disse data, så kan jeg have det kørende på en time. Set fra et økonomisk perspektiv, og med mit net som special case, så ville det bedste være hvis politiet bare gav mig en IP adresse med deres NetFlow collector, så kunne de få et live feed direkte ind (uhyggeligt du!).

Jeg ser et kæmpe problem i at mindre udbydere skal tvinges til at indrette deres net på en bestemt måde, uagtet at vi allerede har indrettet os sådan af andre årsager. Og jeg ser et kæmpe problem hvis det omvendt skal være sådan, at man forhindres i at indrette sig på "vores måde" fordi man så må se frem til store udgifter til SAN og at kunderne flygter til virksomheder, som har indrettet sig anderledes.

(*) jeg overvejer det faktisk. Vi kunne sende alt SMTP via en Linux server, som så kan lukke ned automatisk hvis den detekterer trafikmønstre der antyder at der er tale om misbrug (spam). Den slags er desværre nødvendigt hvis man vil undgå at IP serien bliver sortlistet på grund af misbrug fra bots.

Henrik Kramshøj Blogger

Det er virkeligt dejligt at se kommentarer herinde.

Mht. behandling så har der jo også i dansk ret været sagt at udbydere laver en kopi af ophavsretsligt beskyttet materiale - mens det kopierer forbi i hukommelsen på routeren! Uanset hvor åndsvagt vi ellers betragter et sådant udsagn.

Mht. Netflow licenser, så er det ikke umuligt at en Netflow sampling er med, men en 1:1 en-til-en af alle sessions koster mere end 100.000 pr core router der skal udføre denne funktion. Dernæst er spørgsmål om kapacitet til at gøre dette, mens vi i forvejen kæmper med DDoS osv. Skal vi eksempelvis partout opdele vores netværk i to lag, et som kan beskyttet mod DDoS udefra, og et som indefra kan logge alt?

Mogens Ritsholm

Jeg ser et kæmpe problem i at mindre udbydere skal tvinges til at indrette deres net på en bestemt måde, uagtet at vi allerede har indrettet os sådan af andre årsager. Og jeg ser et kæmpe problem hvis det omvendt skal være sådan, at man forhindres i at indrette sig på "vores måde" fordi man så må se frem til store udgifter til SAN og at kunderne flygter til virksomheder, som har indrettet sig anderledes.

Det er jeg enig i. Men derfor skal man fortolke reglerne som de er, og ikke frivilligt gå for langt. Så starter spiralen til at stille nye krav. Det er faktisk det, der er sket med TDC-mobil, som startede med en log for cgnat til udpegning af identitet og endte med fuld sessiosnlogning inkl. celle-id. Det vil vi også have fra alle andre, siger politiet så. For det kan jo lade sig gøre, når TDC mobil gør det. De tænker ikke på skalerbarhed for fastnet osv.

Så please fortolk reglerne indskrænkende. Det er man i sin gode ret til. Og mig bekendt er der ikke rejst sag mod en eneste udbyder, selv om mange slet ikke sessionsloggede.

Og nu skal jeg rigtig tirre dig.

På kanten til andre net fortolkede vi i TI som mellem AS.

Der er samtidig en regel om, at ting ikke skal logges 2 gange.

Jeg formoder, at mange af de mindre net ikke er egne AS. Hvis de så er tilsluttet f.eks. TDCs net, vil deres trafik blive logget på kanten til andre AS. Ergo er det logget en gang efter bekendtgørelsen, og det lille net slipper.

Hvad så med cgNAT hos den lille udbyder vil du sige.

Ja det er bare ærgerligt, at reglerne ikke tager højde NAT. Sådan er det.

Det er sympatisk at tilstræbe brugbarhed. Men den vej fører til, at I bygger overvågningsnet i stedet for telenet.

Mogens Ritsholm

og i øvrigt.

Det forhold at man med netview eller lignende kan slå analyse til er jo ikke en begrundelse for, at man konstant skal have det aktivt på en bestemt måde. Det er redskaber til trafikanalyse og ikke en blivende del af trafikmaskinen.

Igen er i alt for imødekommende.

Baldur Norddahl

Igen er i alt for imødekommende.

Jeg er på ingen måde imødekommende, men vi er nødt til at tale om tingene i stedet for at lade som om de tekniske muligheder ikke eksisterer. Fakta er at der rent faktisk eksisterer nogle teknologier som kan give politiet og efterretningstjenester real time indblik i trafikken. Det er der de vil hen, de tør bare ikke sige det.

Fordi man ikke tør stå ved at man vil have real time overvågning af befolkningen, så har man indført at internetudbyderen skal være gateway keeper for politiet. Teknikere med sikkerhedsgodkendelser skal tjekke at politiet også har de rigtige dommerkendelser, før at man udleverer data. Samme sikkerhedsgodkendelser gør at disse teknikere end ikke må fortælle deres egen arbejdsgiver at de har udført overvågning eller i hvilket omfang.

Jeg forudser dog at i sidste ende er det for besværligt. Det de vil have er real time NetFlow data og det magten vil have, det får de også.

Det er derfor ultra vigtigt at vi sætter alle sejl ind på at stoppe det i opløbet.

Mogens Ritsholm

Jeg tro vi skal slutte. Det siger min kone i hvert fald, at jeg skal.

Jeg er ligeglad med tekniske muligheder for at indbygge overvågning i telenet.

Faktum er, at du må bygge dit net som du vil. Der er ikke noget udstyr, der er forbudt.

Myndighederne skal i givet fald påvise, at du overtræder reglerne. Og det kræver, at de kan bevise, at du med dit udstyr har undladt at gemme logningspligtige oplysninger, som du med dit udstyr havde mulighed for at gemme. Det eneste direkte krav er, at du skal have den nødvendige lagringskapacitet hertil.

Jeg har tit oplevet, at folk blev chokeret over, at det er sådan reglerne er. Jeg husker en advokat, der ville lave forretning på rådgivning om logning.

På et møde hos Horesta sagde han: Jamen hvis det er sådan det er, er det jo ikke indgribende.

Men det er jo præcis det, som hele tiden har været melodien helt fra Brydensholtudvalgets rapport, som dansk lov er baseret på. Det indgribende var lagringen og ikke datafangsten. For den er man kun forpligtet til, hvis muligheden foreligger.

Morten Christensen

så ville det bedste være hvis politiet bare gav mig en IP adresse med deres NetFlow collector, så kunne de få et live feed direkte ind (uhyggeligt du!).

Jeg er enig i tanken om, at statsmagten ikke skal vide alt om os, men i teorien burde politiet vel være uddannet og organiseret til at håndtere fortroligt materiale (ok.. langt fra teori til praksis).
Jeg synes faktisk det er lige så uhyggeligt, at det istedet skal lagres i 6 måneder hos en internetudbyder, hvor vi ikke ved hvilken studentermedhjælper eller kontrakt-ansat, som kan sidde og misbruge data.

Eller internetudbyderens mulighed for at lave (og sælge) statistik på materialet.

Baldur Norddahl

Du synes ikke at det er lidt tæt på hvad de laver i Kina og Iran? Det næste bliver så at staten kræver at vi implementerer FlowSpec, som er en protokol der gør det muligt for dem at indføre real time blokkeringer af IP adresser. Beregnet til at bekæmpe DDoS og lignende, men også perfekt til at indføre en national firewall hvor kun styret ved hvad der bliver blokkeret og hvorfor.

Anne-Marie Krogsbøll

Nå, så blev "Dobbeltdrabet i Tusindårsskoven" demonteret som eksempel på nødvendigheden af sessionslogning: http://www.information.dk/560896

Ved Pind ikke, hvad han taler om, når han propaganderer for sin øgede overvågning? Eller ved han det, men vælger at udtale sig "upræcist" (som det nok kommer til hedde i hans kommentarer til dette)?

Hvilke af de to muligheder (kan nogen se andre muligheder) er værst?

Log ind eller opret en konto for at skrive kommentarer