Johannes Aagaard

Google husker hvor du var i går ... i sidste uge og for flere år siden

@ Jesper Lund,

Citatet, som du bringer, er såmænd ikke hos mig møntet på en forestilling om, at logning har en synderlig præventiv effekt på f.eks. gerningsmænd til f.eks. uprovokerede voldelige overfald eller overfaldsvoldtægter. Det drejer sig alene om, at man med en vis sandsynlighed kan holde også voldelige (og typisk) vanekriminelle væk fra gaden. (Ingen illusioner dér.)

M.h.t. effektiviteten af logning i forhold til at opklare forbrydelser, så har logning af den type data, som vi her taler om, en helt uvurderlig (men isoleret set naturligvis stadig indikativ) betydning for opklaring sager. Det forholder sig jo desuden ikke sådan, at politiet "nøjes" med at indhente tele-logningsdata i en given sag; allerede i dag anvender politiet hele paletten med allehånde sporsøgninger og -sikringer, forhøringer og 360-graders analyser af anvendte modi, m.v. Derfor tager jeg i min argumentation bestemt også højde for, at logningsdata som udgangspunkt kun kan være indikationer på skyld eller uskyld.

Man mister derfor i realiteten et effektivt værktøj, hvis den 'generelle og udifferentierede' logning forsvinder, præcis som hvis en håndværker mister et værktøj i sit sortiment, som han ellers benytter dagligt. I en sag af netop den type, som Schou fremdrager tidligere, sætter politiet med garanti ikke deres lid til kun at forholde sig til loggede teledata; alt bliver undersøgt - alt. Og tiden og fremdriften i efterforskningen er i afgørende vigtig

Jeg påstår derfor heller ikke, at politiet i de lande, som du anfører ikke har en logning som hos os, er magtesløse i deres opklaringsarbejde, men deres efterforskning i alle andre henseender er ikke væsensforskellig fra metoderne anvendt af dansk politi, så jeg mener, at de med sikkerhed må mangle et værktøj i værktøjskassen. Dansk politis opklaringsprocenter for alvorlige forbrydelser er allerede ganske høj.

Tele2-dommen udelukker i sin videste konsekvens præcis, som du siger, logning af alle personer uden nogen hensyntagen til, om de 'vil' blive involveret i alvorlig kriminalitet. Netop ordet 'vil' indebærer i så fald, at eksempelvis teledata kun kan hentes fremadrettet, fra det tidspunkt, hvor en forbrydelse bliver begået og erkendt af politiet. Historikken på pigen EM's telefon vil være væk, historikken på telemasterne før, under og efter forbrydelsen vil være væk frem til det tidspunkt, hvor politiet står med kendelsen (evt. på øjemedet). Gerningsmænds færden før overfaldet eller ved et hjemmerøveri eller et drab vil ikke være tilgængelige, og de vil heller ikke være tilgængelige, førend politiet måtte have indkredset gerningsmændene på anden måde og har overbevist en dommer om nødvendigheden af, fremadrettet at logge helt bestemte personers data. Dét vil være en katastrofe.

Egentlig mener jeg, at der mangler en vis stringens i argumentationen, når du derefter anfører, at så kan politiet blot satse på, at teleudbyderne i varierende grad måske alligevel logger nogle data eller data som hidtil. Forretningsmæssige forhold for service- og tjenesteudbydere m.v. flytter sig jo efter markedet, og afviser forbrugerne teleudbyder X eller Android fra i morgen, fordi forbrugerne mener, at privacy'en halter, så skifter udbyder X og Android med garanti strategi og retter ind efter forbrugernes ønsker. I mine øjne skal lovgivning om bekæmpelse af kriminalitet ikke afhænge af sådanne kommercielle markedsvilkår. Ydermere har de danske teleudbydere jo bestemt heller ikke frit spil m.h.t., hvad de egentlig må bruge kundernes data til (men det er jeg helt sikker på, at ved du naturligvis alt om).

I mine øjne er EU Domstolens afgørelse alt, alt for detailregulerende og tangerer klart grænsen til det direkte (EU-)politiserende og (EU-)elitære. (Og hvor er dén debat i øvrigt blevet af?)

Samrådet i Folketingets retsudvalg på torsdag om logning og dommen i Tele2-Watson sagen risikerer at blive en meget speget og tam affære, der nok mest af alt kommer til at ligne endnu en taktisk overlevelsesmanøvre for regeringen. Om som sædvanlig vil vi allerhøjest se en eller to solide oppositionspolitikere, der har fanget, hvad dette handler om. (Og de vil sandsynligvis tale mere eller mindre for døve øren.)

Jeg frygter virkelig, at vi efter EU-dommen risikerer at svigte de mest udsatte i vores samfund, hvis dommen tages til følge 1:1, og at vi får en ringere retssikkerhed for alle. Absolut frihed for de stærkeste af os er ikke ensbetydende med sikkerhed for de svageste af os - oftest tværtimod. Dette mener jeg, at flere af jer glemmer - eller vælger at se stort på.

27. februar 2017 kl. 23:25
Google husker hvor du var i går ... i sidste uge og for flere år siden

@ Peter Hansen,

Jeg er ikke enig i din (i grunden ret elitære) præmis om, at vi her ikke må tage afsæt i virkelige hændelser med virkelige mennesker, og jeg formoder, at du er i stand til at forholde dig til de principielle betragtninger, som jeg bruger det meste af min tid på at fremføre.

Jeg er heller ikke enig i, at mine betragtninger er "ufunderede", således heller ikke, som du påstår, at det ville være lige så validt at "argumentere for tvangsregistrering af hele befolkningens seksuelle præferencer" (selv om det faktisk i noget omfang finder sted i dag både i offentlig regi, og hvis Google ud fra dine Android-baserede lokaliseringer korrelerer disse med besøg i f.eks. særlige klubber hver torsdag kl. 2000).

Det paradoksale er, at følger Danmark eksempelvis blindt EU Domstolens Tele2-dom, så vil det medføre, at vi både som samfund - og især for den enkelte - pinedød vil være tvunget til at sætte andre modforanstaltninger ind for at kompensere for de manglende efterforskningsmuligheder. Det kunne tænkeligt betyde, at man ville indføre en kameramasseovervågning som det britiske CCTV, og det er jeg ikke tilhænger af.

I mine øjne overser du alle nuancerne.

26. februar 2017 kl. 18:22
Google husker hvor du var i går ... i sidste uge og for flere år siden

@ Anne-Marie Krogsbøll,

Jamen, jeg er bestemt helt bevidst om, at alle valg har konsekvenser. Hvis vi i Danmark f.eks. blindt følger EU Domstolens Tele2-dom - og eksempelvis undlader at pålægge udbyderne logning af f.eks. mobiltelefoner (kaldsdata og lokationer), så vil politiet naturligvis miste nogle meget væsentlige efterforskningsmuligheder (f.eks. i forbindelse med hjemmerøverier, gaderøverier, overfaldsvoldtægter, grov vold og drab, samt muligheder for at lokalisere bortgåede, forulykkede etc.).

Jeg fremdrager ikke enkeltsagen ovenfor som et "es", men som et af adskillige eksempler på potentielt meget væsentlig nytteværdi for opklaringen. (Et andet eksempel så vi desværre her forleden, hvor et voldtægtsoffer var efterladt på en mark og ikke anede, hvor hun var. Politiet var i stand til at indhente det historiske lokationsspor og derved stedfæste offerets færden og anholde gerningsmændene bag bortførelsen og voldtægten.)

Hvis ikke vi skal blive klogere af virkelige hændelser i den virkelige verden, hvad så? (Ideologier og religioner har det altid med at overtrumfe hensynet til mennesker, og de skarpeste fortalere af dem udlever netop ofte deres principper på de svagestes bekostning.)

Du fremdrager selv sagen fra Herlev, hvor en gravid kvinde blev slået ihjel i en park under en spadseretur, og du anfører, at dine "generelle friheds- og menneskerettigheder stadig [er] vigtigere", selv om det går ud over opklaringen af sagen. Men jeg er ikke enig, for jeg mener over hovedet ikke, at kalds- og mastelogning af mobiltelefoni i den konkrete sag på nogen måde bringer generelle friheds- og menneskerettigheder i fare eller at sådanne oplysninger på nogen måde ville kunne krænke mit privatliv. (Desuden bør man tænke på, at de selv samme oplysninger også kan tjene som indikationer til frifindelser for forbrydelser, som man ikke har begået.)

Havde jeg i den konkrete sag befundet mig i nærheden ville jeg potentielt kunne have gjort iagttagelser af gerningsmanden før eller efter forbrydelsen og dermed levere et væsentligt vidneudsagn. Men opvejet mod hensynet til ofret og den generelle tryghed, ville dette bestemt på ingen måde krænke mine rettigheder, hvis politiet kontaktede mig.

Dit scanarie med en chip i nakken er bestemt skrækindjagende, men jeg mener heller ikke, at vi som samfund blot tilnærmelsesvis er dér endnu. Jeg mig bestemt heller ikke "krænket" af din frygt for det, men ser den blot ikke på nogen måde logisk understøttet.

Jeg er såmænd ikke uenig i de fleste af dine pointer og ønsker med hensyn til et trygt og sikkert samfund, hvor politiet er tilgængeligt. Men selv om jeg har rent mel i posen (sådan relativt set), så føler jeg ikke nødvendigvis mere tryghed ved mere synligt politi i gadebilledet, omend jeg anerkender, at nogle sikkert gør det.

Og jo, jeg mener bestemt, at der er grænser for overvågning, og en af de grænser er blandt andet fortsat ubetinget domstolskontrol i forhold til de indgreb, der i dag er omfattet af meddelelseshemmeligheden, ransagningsreglerne, m.fl. Det står over hovedet ikke til diskussion. SKAT og andre forvaltningsmyndigheder burde ikke på nogen måde kunne omgå dette. M.h.t. ANPG-nummerpladesystemet, mener jeg, at der burde være et kendeleskrav, hvis politiet ønsker at søge ned i data. Det er der ikke i dag. Politiets anvendelse af materiale fra offentlige kameraovervågninger burde være omfattet af en kendelseskrav; det er der ikke i dag. Brug af eksempelvis passageroplysninger om flyrejsende mener jeg bør være omfattet af et kendelseskrav. Indhentning af f.eks. skatteoplysninger og hospitalsoplysninger bør ligeledes være omfattet af et kendeleskrav.

Så jo, der ér bestemt grænser, som jeg mener allerede i dag er overskredet, og flere ser ud til at være på vej, hvis vi ikke alle er vågne (et andet eksempel kunne være FE Loven, hvor stort set kun IT-Politisk Forening har sat sig ordentligt ind i tingene - og evaluering af lovgivning sker i realiteten kun yderst sjældent). Briternes internetovervågning og deres massive kameraovervågning er jeg heller ikke tilhænger af (selv om især sidstnævnte nok er en konsekvens af, at de f.eks. ikke har et CPR-system som vores.)

Helt overordnet mener jeg, at de regler, som i dag tillader ret fri udveksling af personfølsomme data mellem forvaltningsmyndigheder, er alt for generelle og omsiggribende, og dér burde virkelig finde en revision sted, der i høj grad inkluderede domstolskontrol.

Jeg er helt enige om, at vi skal værne om sikkerheden også for uskyldige borgere, og jeg mener, at masseovervågning skal tæmmes i en sådan grad, at data ikke frit flyder til eller mellem myndighederne, således at masseovervågningen af alle bliver 24-7-365. Dérfor også en ubetinget domstolskontrol for de data, der allerede er der.

Jeg håber, at dette var svar på dine spørgsmål.

26. februar 2017 kl. 18:04
Google husker hvor du var i går ... i sidste uge og for flere år siden

Hvis nu Googles logningsdata kunne bruges til at opklare mordet på Emilie Meng, ville det så være i orden?

Jeg forstår sagtens generelle betænkeligheder ved en alt omsiggribende logning hos såvel private som offentlige aktører - og jeg tilslutter mig bestemt en del af disse betænkeligheder, men de 17 læsere, der ved "afstemningen" svarer nej til Hans Schou's spørgsmål (og vælger at kommentere på det), svarer ganske enkelt ikke ordentligt og anstændigt. Og ærligt talt, så havde jeg forventet mig lidt mere seriøsitet fra de forstandige debattører herinde, end dette.

Naturligvis ville sådanne data (hos Google m.fl.) kunne have ekstrem stor værdi for opklaringen af denne (og ligeartede) forbrydelse(r). Såvel offerets telefon som gerningsmændenes telefoner ville potentielt have efterladt sig blandt andet et lokationsspor fra overfaldstidspunktet og frem til gerningsstedet/findestedet.

Ydermere ville eksempelvis historiske lokationsdata i den konkrete sag hørende til gerningsmænds telefoner fra før overfaldstidspunktet ligeledes kunne tegne et lokationsspor og dermed afdække, hvor gerningsmændene har opholdt sig og hvor de har færdes (og f.eks. er blevet optaget på overvågningskameraer); med andre ord ville også det historiske lokationsspor kunne være medvirkende til at identificere, hvem gerningsmændene til drabet er, hvor de opholder sig p.t., og at de bliver pågrebet.

Disse forhold er helt faktuelle, og så er det netop, at man skal tale om proportionalitet, samtidig med, at man stiller Hans Schous spørgsmål igen. Jeg er ikke i tvivl.

Mit valg af Android og konfigurationen af denne type telefon er frit, og jeg er 100 procent klar over, at så længe Google leverer styresystemet gratis, så er jeg en del af produktet. Det accepterer jeg. Uanset alle de scenarier( og skræk-ditto) man helt legitimt kan forestille sig herefter, så har jeg foretaget en afvejning: i dette tilfælde accepterer jeg situationen, for både tilbyder Googles logning af f.eks. lokationssporet mig nogle nyttige funktioner, dels vejer hensynet offeret i denne tragiske sag og til opklaringen af forbrydelsen i mine øjne langt tungere, end hensynet til mit privatliv.

Hvordan ville logningen efter EU Domstolens Tele2-dom så se ud hos de danske teleudbydere? (Dét spørgsmål er naturligvis ikke blot relevant at forholde sig til, det er pinedød nødvendigt.) Logningen må ikke længere være "generel og ikke-diskriminerende", hvilket vil sige, at der i den omhandlede sag (og ligeartede sager) ikke ville være et lokationsspor at følge på offerets telefon - og formentlig heller ikke på gerningsmændenes telefoner. Politiet vil altså efter Tele2-dommens fulde implementering i danske lovgivning ikke på nogen måde kunne afdække, hvem der var i det område, hvor den unge kvinde blev overfaldet og bortført, hvorhen hun blev transporteret eller hvor hun blev efterladt døende og død.

Bliver dét situationen i fremtiden, så må vi sandelig da håbe, at eksempelvis Google har nogle data, som politiet (naturligvis med alle de nødvendige kendelser på plads) kan indhente, når EU Domstolen nu har besluttet, at de logningsdata, som teleudbyderne hidtil har skullet opbevare under kontrollerede former og under kendelseskrav førend udlevering til politiet. Men det vil naturligvis resultere i en markant forsinkelse i indhentningen af data for politiet og dermed resultere i vanskeligere forhold for opklaringengen af grove forbrydelser. Færre gerningsmænd til grov kriminalitet vil blive pågrebet end i dag, og det bliver endnu mere usikkert for blandt andre unge kvinder at gå alene på gaden. Det er der næppe heller nogen tvivl om.

Som sagt deler jeg bestemt nogle principielle betænkeligheder ved massiv logning og risici for glidebaner, men især i tragiske sager som den, Hans Schou omtaler, så skal disse betænkeligheder vejes op i mod, om jeg i virkeligheden udlever mine principper på andres bekostning ved at sige 'Nej' til al logning. Det mener jeg, at man gør.

I dette spørgsmål er jeg over hovedet ikke i tvivl om, at hensynet til opklaring af grove forbrydelser vejer tungest i afvejningen om proportionalitet og retten til privatliv (med absolut domstolskontrol). Jeg mener, at vi decideret svigter ofrene for grov kriminalitet, hvis vi blindt følger Tele2-dommens præmisser, og det er simpelthen tragisk, at vi nu risikerer at skulle sige farvel til data, som opbevares under langt mere kontrollerede forhold hos teleudbyderne, mens i reglen langt mere præcise data hos f.eks. Google er helt uden for vores rækkevidde - og hvor muligheden for legalitetskontrol med data endvidere er langt ringere. (Det mest groteske er, at myndighederne potentielt med editionskendelse ville kunne indhente de data, som i dag kræver en kendelse om indgreb i meddelelseshemmeligheden.)

Stod det til mig, skulle blandt andre Google, Apple, MS, Facebook for over hovedet at kunne operere i Danmark (og gerne i hele EU) være pålagt et krav om, at deres lagring af data skulle ske inden for det enkelte lands territorium (evt. inden for EU) - og ikke som i dag, hvor USA stort set enerådigt bestemmer over disse data, som vi danskere og europæere leverer.

"En dag med mit liv i Google" risikerer efter EU Domstolens Tele2-dom at blive mere sand og mere enerådende end nogensinde før. For andre muligheder bliver der ikke. Så sagt med andre ord i f.t. Hans Schous spørgsmål: Et flertal blandt læserne på V2 mener ikke, at mordet på Emilie Meng berettiger en logning, der potentielt ville være det bedste - og måske eneste - middel til en opklaring.

Tillad mig at erklære mig uenig i den afvejning.

25. februar 2017 kl. 19:52
EU vil udstyre alle offentlige områder med gratis wifi

Mon ikke, at man vil anvende en model som f.eks. i N.Y. - https://www.link.nyc

18. september 2016 kl. 21:47
Forbrugerrådet Tænk: Man skal være godt tosset for ikke at købe billige Windows-licenser på Amazon

Og hvor siger Birgitte Federspiel noget om det?

@ Gert Madsen, .... Hvorfor skulle Forbrugerrådet ellers blande - eller blot udtale - sig så bastant, som Federspiel gør? Citat: "De er nu gjort opmærksom på det, så det er bare at svare på, hvad det drejer sig om. " Hvortil svaret er, at dette her ikke kommer Federspiel & Co. ved.

17. august 2016 kl. 17:36
Forbrugerrådet Tænk: Man skal være godt tosset for ikke at købe billige Windows-licenser på Amazon

Feks. fordi en journalist spørger

@ Gert Madsen,

Se venligst mit svar ovenfor. Også når man er chefkonsulent i Forbrugerrådet, så ér der faktisk tilfælde, hvor man slet ikke behøver at tage stilling - i stedet for per rygmarvsrefleks at se et eller andet diffust behov for at regulere.

16. august 2016 kl. 23:00
Forbrugerrådet Tænk: Man skal være godt tosset for ikke at købe billige Windows-licenser på Amazon

Det er faktisk tilladt at læse

@ Svend Skipper Andersen,

Lad venligst være med at tale ned til folk, for naturligvis har jeg læst artiklen. Nu ér det faktisk også tilladt at tænke lidt ud af posen her, og når jeg stiller mit spørgsmål, så er det selvfølgelig fordi, at jeg mener, at dette simpelthen ikke er et emne, som Forbrugerrådet bør beskæftige sig med. Federspiel burde helt have afholdt sig fra at kommentere dette - og det burde have været svaret til V2.

At man kan købe eksempelvis software billigere over nettet - og i særdeleshed fra udenlandske leverandører - er jo et helt selvfølgeligt markedsvilkår. Og har man blot et minimalt kendskab til, hvorledes MS distribuerer deres Windows, så ér det her en helt naturlig konsekvens; til gavn for den tænkende forbruger.

16. august 2016 kl. 22:55
Forbrugerrådet Tænk: Man skal være godt tosset for ikke at købe billige Windows-licenser på Amazon

Er der nogen, der kan fortælle mig, hvorfor en chefkonsulent i Forbrugerrådet over hovedet skal beskæftige sig med dette fænomen, der jo har eksisteret de sidste mange år? Så længe licenserne virker og der intet umiddelbart ulovligt er ved muligheden, hvor MS jo tillige verificerer installationerne, så kan jeg virkelig ikke se problemet - eller behovet for, at Forbrugerrådet involverer sig.

16. august 2016 kl. 16:03
Hvem kæmper Apple for?

Vælger man for et øjeblik at skrælle al retorikken af, f.eks. om at myndighederne i USA selv er kraftigt medskyldige i at have skabt en situation, hvor man aktivt og uden retskendelser søger i massedata og derfor selv har skabt et marked eller et behov for øget sikkerhed og privacy, så er der i den konkrete sag egentlig kun et spørgsmål at forholde sig til: Det er, om hensynet til efterforskningen af terrorisme og mulighederne for at afdække og modvirke mulige terrorrelaterede netværk, som de omhandlede Farook og Malik tænkeligt kan have haft kontakt til forud for deres terrordrab, vejer tungere end Apples ret til fri markedsføring af sikkerhedsløsninger og kundernes ret til ultimativ sikring af deres privatliv, men som gør det umuligt for myndighederne at trænge ind på en given Apple smartphone.

Man skal være klar over, at kunne FBI have fået adgang til indholdet på den nævnte Apple smartphone, og sås indholdet ved en undersøgelse ikke at indikere inden- eller udenlandske kontakter af en terrorrelateret karakter, så vil alene dette forhold ikke bare kunne frigøre FBI's ressourcer til mere væsentlige forhold (noget, som de fleste amerikanere sikkert ville bifalde), men det vil også kunne medvirke til, at folk, som FBI måske i øjeblikket mistænker for at have haft terror-relaterede kontakter med parret Farook og Malik, ikke vil være mistænkt længere. I sig selv er dette vel også et spørgsmål om retssikkerhed for borgerne.

Man skal også være klar over, at indeholder den nævnte Apple smartphone data, som relaterer sig til andre terrorceller i f.eks. USA, så kan det meget tænkeligt have en konsekvens for andre borgeres sikkerhed, at FBI ikke kan afdække denne trussel og modvirke den.

Man kan naturligvis mene, at Apple's (øjensynlige) kamp mod myndighederne her er agtværdig, men man må nødvendigvis stille spørgsmål til, om det nu også er taktisk klogt. For spørgsmålet er, om Apple selv agter at køre linen ud og drage fulde konsekvens af deres udmeldte ret ultimative holdning, hvis USA's domstole vælger at anvende All Writs Act fra 1789 og tvinger Apple til "at rette ind". Og den yderste konsekvens må da være, at Apple simpelthen flytter forretningen eller de nødvendige dele af den ud af USA.

I Apples "A Message to Our Customers" skal man desuden nok hæfte sig ved, at det kun lige præcis er FBI's angiveligt foreslåede løsninger om generelt at slække på sikkerheden for brugerne eller at tillade særligt udviklet software til anvendelse i ganske særlige situationer, som Apple protesterer imod. Men jeg ser intetsteds, at Apple synes ufravigelige om - på myndighedernes krav - at ville implementere en anden type løsning, der ville tilgodese også FBI's krav (mod en retskendelse) og samtidig sikre brugerne mest muligt.

Hvad der ikke står i Cook's brev er måske det mest interessante fra et brugersynspunkt.

18. februar 2016 kl. 16:21
Pind har alligevel ret: Sessionslogning afslører Skype- og Facebook-kommunikation

Det er i øvrigt dybt tragisk

Enig - ANPG-data burde kun kunne anvendes af politiet ud fra en editions-kendelse. Særlig problematisk er følgende dele af bestemmelsen om deling af data med andre myndigheder:

§ 16. Rigspolitiet kan i fornødent omfang videregive personoplysninger fra ANPG til anden offentlig myndighed, herunder udenlandsk myndighed, samt international organisation, når ... 2) videregivelsen sker til varetagelse af private eller offentlige interesser, der klart overstiger hensynet til de interesser, der begrunder hemmeligholdelse, herunder hensynet til den oplysningerne angår.https://www.retsinformation.dk/Forms/R0710.aspx?id=176415

11. februar 2016 kl. 20:23
Pind har alligevel ret: Sessionslogning afslører Skype- og Facebook-kommunikation

Når kritikerne som et af hovedargumenterne har anvendt den påstand, at sessionslogning ingen som helst bevismæssig værdi har, er det sandt for dyden da væsentligt, når dette argument ikke holder i forhold til meget udbredt kommunikations-applikation. Men nej, så fraviger man naturligvis bare sit tidligere standpunkt og tillægger slet ikke argumentet værdi længere.

@ Jesper Louis Andersen,

Der er altså ikke korrekt, at selv om sessionslogs kan være meget større i omfang end en given telelog (der nu ikke er helt så enkel, som du beskriver), så betyder det i praksis intet som helst bearbejdnings mæssigt, om en log er på 1000 linjers data eller 100.000 linjers data - snarere tværtimod. Brugen af TOR har iøvrigt ud fra et sikkerheds mæssigt aspekt klare sårbarheder, med mindre du som almindelig bruger er særdeles bevidst om, hvad du foretager sig.

Tak til Version2 og Jakob Møllerhøj for en glimrende artikel. Det drejer sig om at træffe oplyste valg - heldigvis for de fleste af os.

11. februar 2016 kl. 20:17
Søren Pind får hug for dårligt sessionslognings-eksempel

Du har misforstået logningsreglerne. Man logger skam dynamiske IP-adresser.

@ Mogens Ritsholm,

Jeg har da aldrig hævdet, at man ikke logger dynamiske IP-adresser (?) (Mit svar var stilet til Jesper Lund, der specifik fremfører, at IP-adressers knytning til en bruger/abonnent/adresse ikke var ligetil at afdække.) Hvilket raflebæger benyttede du til den fejlkonklusion (hvis vi endelig skal tale ned til hinanden på den underlødige facon)?

Når du anfører, at "man" sjældent har (eller logger) portnummer i disse spor, så er jeg enig i, at dette hos nogle udbydere er tilfældet - hos andre ikke. Men det er jo netop også det tekniske setup, som jeg fortaler skal modsvare lovgivningen og ikke nødvendigvis altid omvendt. (Også her har JM og politiet svigtet og har sluppet tøjlerne, og det er derfor vi nu sidder i denne suppedas.)

Jeg ser så, at du indtager det mærkværdige standpunkt, at det, at jeg forholder mig til andres holdninger og argumenter og loyalt gengiver dem, er en svaghed. Jeg er ikke enig. Synes du med din fortid i telebranchen og funktion som rådgivende i ministerier m.v. har haft succes med det udgangspunkt, den debatstil eller retorik, når vi ser på udkommet af f.eks. den hidtidige sessionslogning eller logningsreglerne generelt? Synes du, at den stil har vist sig at være den rigtige (som rådgivende) i forhold til tilblivelsen af det alt for upræcis EU-direktiv på området? Målt på resultaterne er svaret nej.

Det er for nemt og forkert som ekspert på et område blot at stille sig fornærmet op i en krog og vrisse ad andre, og hævde, at de har misforstået dette eller hint. I en debat som her tjener det alene til defamation, og den slags burde du med din fortid i branchen være hævet over.

Ønsker du at have indflydelse og formidle din store viden på området (som vi alle kan være interesseret i), så er dette ikke den rigtige vej.

10. februar 2016 kl. 17:10
Søren Pind får hug for dårligt sessionslognings-eksempel

@ Jesper Lund,

At alene den anvendte teknik åbner op for, at IP-trafik genererer langt flere "opkald" (eller sessioner) end telefoni, er jo systembetinget (3G/4G har jo tilsvarende også øget antallet af masteceller markant). Men du hár bestemt ret i, at den datamængde og antallet af "opkald" vokser markant, hvis vi taler sessionslogning, sammenlignet med telefonien. Og en voksende kvantitet er altså ikke noget analytisk problem - snarere tværtimod, hvis man ser har kvalitet og entydighed som fokus.

Når du nu sammenligner 118-opslag med IP-adresser, så havde jeg da gerne set, at de dynamiske IP-adresser lovmæssigt blev sidestillet med de statiske i forhold til at "knække" dem til en bestemt bruger på et bestemt tidspunkt. (De fleste erkender, at dette var en lapsus i lovgivningen, for en dynamisk IP-adresse knyttet til et bestemt tidspunkt, er jo (i udgangspunktet) lige så entydig knyttet til f.eks. en given adresse, som en statisk IP-adresse.) Skal man "knække" en IP-forekomst, der er knyttet til dato/tid tre måneder tilbage, er vejen således en anmodning til retten om om edition, og får man kendelsen, er resten nærmest rutine. (Har IP-blokken skiftet ejer/udbyder siden da, er dette i realiteten intet problem m.h.p. en sikker identificering af en bruger/brugere/adresse/abonnent).

Med hensyn til NAT-problematikken erkender jeg, at en logning for visse udbydere naturligvis vil være en udfordring, men med Ipv6 behøver man alt andet lige ikke NAT. Jeg mener dog, at TDC handlede helt i tråd med lovgivningen og dens ånd, da de sørgede for, at kunder også på IP kan identificeres i trafikken, og jeg mener, at de udbydere, der (umiddelbart) ikke gør tilsvarende, handlede bevidst forkert.

Jeg er helt enig i din opfattelse af, at NAT-problematikken, selv om den var en væsentlig forhindring for identificering af brugere hos visse udbydere, ikke udgør hele forklaringen på, hvorfor politiet stort set ikke har anvendt sessionslog-data i den forgangne periode. Som jeg også tidligere har anført, så kan politiet virkelig klandres for, at de ikke har benyttet og ikke har evalueret sessionslogningen i tide og meldt ud til JM m.fl. Det er dybt kritisabelt, at man både registrerer mere end nødvendigt og at man derudover pålægger udbyderne unødvendige omkostninger (som naturligvis falder ned på brugerne).

Hos store dele af politiet har man i en del år ladet som om, at internettet nærmest ikke eksisterede, og det rammer fuldt fortjent og naturligvis hårdt nu. Jeg giver desuden intet for JM's eller politiets aktuelle undskyldning om, at de angiveligt ikke har haft de rigtige analyseværktøjer til at håndtere sessionslognings-data. Der kan have være et uddannelsesmæssige, ressource- eller prioriteringsmæssige årsager, men er man en habil excel-bruger (med f.eks. NodeXL). At man så i JM glider af på kritik på denne måde, ser jeg som et i nogen grad symptomatisk problem (lex Mørklægningslov, f.eks.), og det skaber generelle problemer med tilliden - også dem, der egentlig ikke er begrundede. Men på den baggrund at hævde, at når den hidtidige sessionslogning ikke har "virket", så virker den nok heller ikke fremover, er decideret forkert - empirien holder simpelthen ikke.

Som vi også har være inde på, ér meget hændt de seneste syv år i forhold til brugernes adfærd for kommunikation, og sådan for alvor er udbredelsen af de mange kommunkations-apps vel egentlig først for alvor slået igennem de seneste par år. Denne udvikling er ikke sket glidende, men nærmest i ret pludselige (men også helt forventelige) ryk. Den situation indebærer i mine øjne, at en sessionslog bliver ufravigelig.

Jeg er helt med på, at der findes metoder og muligheder for at undsnige sig sessionslogningens kløer, men dette har i realiteten også været muligt med alt fra mobiltelefoni til brevpost. Jeg mener dog ikke, at disse muligheder (endnu) er så udbredte (og anvendte), at de udgør et større problem, selv om mastelokationen naturligvis mangler (snarere kan anvendelsen i sig selv være et lead og åbne op for en del andre efterforskningsmuligheder). Rigtigt er det naturligvis også, at wifi-hotspots og lignende wifi-baserede tjenester i det offentlige rum vil kunne udgøre en udfordring, selv om logningskrav også kan være gældende dér. Og som du selv anfører, så gøres der også betragtninger om anvendelsen af netop wifi-hotspots.

Brugen af offentlige wifi/hotspots vil desuden også på anden måde kunne eksponere en mistænkt gerningsmand (både historisk og fremadrettet), og alle kender vel risikoen for ukritisk at hoppe på ethvert åbent hotspot. I mine øjne ændrer det således ikke på afgørende vis ved den langt overvejende del af kommunikationen. En del wifi-forbindelser skal man desuden positivt tilmelde sig. En vis stagnation i folks forbrug af mobildata, mener nogle så netop kan skyldes udbredelsen af netop denne type wifi-tjenester; så enig, der er bestemt udfordringer, men p.t. ikke nogle, som jeg mener i nævneværdig grad vil mindske en fremtidig nytteværdi ved en sessionslogning.

Alle børnenes teenagervenner interesserer hverken politiet eller PET en døjt. Og hvem, der måtte have anvendt ens (naturligvis beskyttede) wifi derhjemme, udgør altså ikke noget større problem.

Jeg er en varm tilhænger af det oplyste valg, og jeg anerkender bestemt, at dette valg om sessionslogning også omfatter en overordnet politisk stillingtagen (der bestemt ikke er sort/hvid). Ethvert valg indebærer selvfølgelig også fravalg, og det er ud fra den nødvendige vished om dette, at også jeg deltager her.

Det er ekstremt vigtigt, at både JM og Rigspolitiet nu kommer på banen, for den manglende åbenhed er alene et udtryk for frygten for nærgående spørgsmål og debat, og den tilgang til befolkningen er hverken tidssvarende eller rimelig.

10. februar 2016 kl. 15:41
Søren Pind får hug for dårligt sessionslognings-eksempel

Ok, så lad os tage den, så vi kan få lukket den.

@ Christian Nobel,

Præmissen for anvendelse af sessionlog ændrer jeg ikke ved, da retsplejelovens materielle krav med bl.a. seks år i strafferammen også omfatter røveri. Men er det for "banal" en type kriminalitet, så kan man sagtens erstatte forbrydelsen med voldtægt, drabsforsøg eller drab.

At gennemse en sessionslog for et givet tidspunkt eller tidsrum for spor er slet ikke sammenlignelig med at lede efter en nål i en høstak. For et trænet øje er sessionsloggen og lignende logs faktisk ikke synderligt meget mere vanskeligt end at forholde sig til historiske kaldsdata.

Havde man beslaglagt den enhed (device), som den mistænkte havde haft rådighed over og formodes at have bemyttet, så kan situationen være en markant anden, da man muligt så kan ransage enheden for indhold (og for visse applikationers vedkommende vil man kunne hente data ud, der svarer nogenlunde til endemålet med at fremskaffe en sessionslog). I de tilfælde, hvor den mistænktes enhed ikke er tilstede, er sessionsloggen et nødvendigt skridt på en længere vej.

Når jeg i parentes bemærkede, at man i den konkrete situation tænkeligt også ville betjene sig af fremadrettede indgreb eller tiltag, så var den alene fordi, at et par af kritikerne her fejlagtigt har påstået, at netop fremadrettede tiltag er alt rigeligt for at kunne opklare allerede begået kriminalitet.

Når jeg endvidere anførte, at en løsning på NAT-problematikken naturligvis skal være på plads, så er det fordi, at det i mine øjne fra dag ét burde have været helt selvfølgeligt for udbyderne at sørge for også at logge i NAT gateway'en, således (som senest Jesper Lund så korrekt anfører), at de loggede pakker kan associeres med de enkelte kunder. Da kun enkelte af udbyderne allerede kunne understøtte dette krav, burde man fra myndighedernes og om nødvendigt lovgivernes side havde grebet ind forlængst. Løsningen ér enkel, men koster naturligvis penge.

Når jeg anfører, at politiet herefter om nødvendigt via retten vil få udfærdiget en international retsanmodning i f.t. andet lands tjenesteudbyder, så er det ikke et udtryk for at "løfte sagen op på internationalt plan". Det er en helt rutinemæssig procedure, og ofte vil den iøvrigt slet ikke være nødvendig, da politiet kan rette direkte henvendelse til også tjenesteudbydere i andre lande og således indhente de nødvendige oplysninger direkte.

Når jeg endelig (pkt. 5) kommer ind på mulige andre typer efterforskningsskridt (spidsfindige metoder for eksempelvis at komme ind i f.eks. Skype-kommunikation), så vil jeg sådan set nøjes med at henvise til retsplejelovens kapitel 71 om tvangsindgreb og i særdeleshed § 791 b om dataaflæsning:

§ 791 b. Aflæsning af ikke offentligt tilgængelige oplysninger i et informationssystem ved hjælp af programmer eller andet udstyr (dataaflæsning) kan foretages, såfremt ...

(Så jo, min viden om datakommunikation rækker således faktisk så langt, at jeg også kan sætte den i kontekst i forhold til gældende lovgivning.)

Jeg har skam (et par gange) læst dit eksempel med de tænkte tre scenarier om Hans, Jens og Hassan, og hvor de to sidstnævnte anvender den samme "forbandede proxy i Langtbortistan". Men ud over en udmærket underholdningsværdi ved historien, så ligger der altså en ret stor undervurdering af de efterforskere og teknikere, som vil kigge på disse data, når du påstår, at de hovedkulds ville kaste sig over Jens, blot fordi han over tid havde benyttet samme proxy som Hassan IzNoGood.

Ud fra beretningen kan du således ikke med nogen kausal eller adækvat rimelighed konkludere, at "sessionslogning [er] en ren loose-loose situation".

10. februar 2016 kl. 05:58
Søren Pind får hug for dårligt sessionslognings-eksempel

Jeg synes, at du kræver langt mere af dine opponenter, end du selv er parat til at yde.

@ Anne-Marie Krogsbøll,

M.h.t. at opveje fordele og risici, har jeg særdeles tydeligt fremført de skarpe afgrænsninger for opbevaring og adgang til/udnyttelse af sessionsdata, som jeg mener skal finde sted. Lige præcis disse moderationer er præcis mine svar på de bekymringer, som jeg også kan have m.h.t. denne type dataindsamlinger; de skal kontrolleres. Den moderation glimrer ved sit nærmest totale fravær hos "kritikerne" her.

Jeg har desuden endnu ikke set én eneste her - dig inklusive, der åbent og nøgternt har forholdt sig det meget virkelighedsnære fem-punkts scenario, som jeg giver som eksempel ovenfor for anvendelsen af sessionslogs. I mine øjne er det udtryk for åndelig dovenskab og fornægtelse ikke at ville forholde sig til det konkrete og virkelighedsnære men i stedet henfalde til skrækscenarier med påstande om totalovervågning og totalitære kræfter i vort samfund.

9. februar 2016 kl. 17:09
Søren Pind får hug for dårligt sessionslognings-eksempel

</p>
<ul><li>vi er bare nogen, der mener

@ Anne-Marie Krogsbøll,

Jeg er ikke enig i, at vi taler forbi hinanden (underforstået fordi vi ikke skulle forstå hinandens synspunkter). Jeg ser, at den ene part totalt undlader at forhold sig til argumenter.

Jeg er selv en kritiker af også sessionslogningsreglerne, som de hidtil har fundet sted, og derfor vil jeg også underkaste en ny sessionslovgivning en markant mere indgribende kontrol end hidtil.

Og jo, jeg oplever i høj grad, at "kritikerne" her på tråden på alle måder forsøger at vride sig ud af det faktum (f.eks. illustreret ved mit eksempel ovenfor), at en sessionslogning bestemt vil kunne have effekt i f.t. begået kriminalitet.

Jeg accepterer naturligvis det standpunkt, at der "bare [er] nogen, der mener, at dette ikke kan begrunde så indgribende tiltag. Ever!" Men på en fortrinvis fagligt forum som her, forventer jeg simpelthen, at der følger ordentlig og redelig argumentation med. Jeg efterlyser blot en rimelig grad af et fornuftsmæssigt forhold til sine følelser, fordi det omvendte synes at være tilfældet. Det er derfor jeg taler om, at man iklæder sine standpunkter falske gevandter i en debat på et fagligt orienteret forum, når man undlader at argumentere. Den relativisme, som du fortaler, hvor vi blot skal nøjes med anerkende vore uenigheder, og "det er så det" rækker ikke her.

Jeg efterlyser argumenter for "kritikernes" standpunkter, og jeg anerkender simpelthen ikke, at man med en sessionslogning kan befrygte at samfundet udvikler sig totalitært. Det er irrationelt og virkelig et udtryk for proportionsforvrængning. (Vær ikke i tvivl om, at udvikler samfundet sig totalitært, så kommer jeg til at stå ved din side i første geled for at bekæmpe det.) At fortalerne for sessionslogning samtidig skal påvise en garanti for, at samfundet ikke alligevel udvikler sig totalitært, kan jeg ganske enkelt ikke tage seriøst. (Skulle vi altid modvise risici for ugrundede skrækscenarier, når vi skal revidere eller tilpasse en lovgivning eller allehånde andre tiltag, så flytter vi os ikke som samfund eller forholder os ansvarligt til udfordringerne i det.)

I min dagligdag - og i de flestes andres dagligdag, som jeg hører den beskrevet, er det kriminaliteten, der er markant mest utryghedesskabende, og som i øjeblikket betyder, at f.eks. unge kvinder simpelthen er utrygge for at færdes ude alene om aftenen - med rette. Tag venligst derfor mit helt enkle (men desværre alt for virkelige eksempel/scenario) ovenfor (Mandag, 8. februar 2016 - 15:18) og forhold dig argumenterne punkt for punkt. Og meld tilbage, om du er enig eller om du stadig frygter det totalitære samfund mere. Fastholder du det sidste, er en af konsekvenserne, at du fratager politiet et potentielt væsentlig redskab til kriminalitetsbekæmpelse. Og så skal du bare stå ved det.

Jeg foretrækker den proportionalitet, der gavner mennesker - og ikke den, der ud fra en diffus mavefornemmelse mere frygter uvirkelige skrækscenarier. Intet er irreversibelt, og skulle det vise sig, at en ny og revideret sessionslogning ikke har den ønskede effekt, så afskaffer vi den (og da skal jeg nok være den første til at kræve det.)

9. februar 2016 kl. 14:06
Søren Pind får hug for dårligt sessionslognings-eksempel

Det er jo rent nonsens, bla

@ Christian Nobel,

Jeg har tidligere udtrykkeligt tilkendegivet, at NAT problematikken kan gøre tingene mere vanskelige omkring sessionslogning, men det skyldes i så fald alene det tekniske setup på udbyderside (og det er ikke alle udbydere, for hvem dette er et problem i forhold til at understøtte en sessionslogning). Dertil kommer fastnetinternettet, hvor denne problemstilling ikke er relevant.

Dernæst har jeg da aldrig hævdet, at der ikke fra brugerens side kan iværksættes modforholdsregler som f.eks. at anvende proxy (selv om din kontrol med en sådan kan være yderst begrænset). Man kunne også nævne VPN's eller såmænd wifi, hotspots, m.v., men megen af den grove kriminalitet begås ikke nødvendigvis af folk, der har den store tekniske indsigt, og brugen af disse teknikker er ofte bøvlet og bestemt ikke fejlfrie (i særdeleshed ikke på de mobile platforme). Selv brugen af PGP indebærer i mange heenseender faldgrupper, som man som bruger i en del tilfælde end ikke opdager, og for flere krypterede kommunikationstjenesters vedkommende er metadadelen slet ikke krypteret.

Så jo, som i enhver anden henseende er der da mere eller mindre effektive smutveje for at undsnige sig myndigheders indsigt om, hvad man foretager sig. Det er der da intet nyt i.

Endelig er det efterhånden lidt trættende, Christian Nobel, at høre på dine negative og lidet konstruktive karakteristikker af opfattelser anderledes end dine. Den disrespekt kan jeg ærligt talt godt være foruden, for den virker på ingen måde befordrende på en fornuftig debat, men minder faktisk som et forsøg på defamation og at lukke munden på folk.

Jeg må indrømme, at jeg mere og mere tvivler på, at flertallet her på tråden egentlig vil debatten. Man fremsætter den ene mere bastante proklamationen efter den anden, man undlader stort set konsekvent at forholde sig til andres argumenter (hvis de strider i mod ens egne) eller man stempler rask væk meningsmodstanderes argumenter som faktuelt forkerte, dog uden at man gør sig den ulejlighed blot at slå op i eksempelvis en simpel lovtekst, der ville vise, at man selv tog fejl. Hvorefter man bare flakker videre, kører ud ad en tangent og skyder til højre og venstre - og under alle omstændigheder fastholder man naturligvis sit oprindelige og ufravigelige standpunkt.

Det her er simpelthen ikke seriøst nok, mine Herrer.

9. februar 2016 kl. 01:54
Søren Pind får hug for dårligt sessionslognings-eksempel

@ Mogens Hansen,

Hvis man (som i mit tænkte eksempel) kan tidsfæste en given ukendt kommunikation, vil det i realiteten være ret enkelt ud fra alene IP-adresser (afsender/modtager, samt evt. med porte, protokol og volumental) at udpege kommunikation/udveksling af data knyttet til en bestemt tjenesteudbyder. Apps, der "bare" står og "snakker" med en server kan man udvælge eller frasortere. (Men ingen siger, at det nødvendigvis skal være let.)

En bestemt profil kan naturligvis være knyttet til én bestemt beskedtjeneste, men den kan (f.eks.) m.h.t. Googles tjenester også anvendes på flere besked og beskedlignende tjenester.

Sessionslog vil, som jeg har nævnt tidligere, ikke være et udgangspunkt for en efterforskning og heller ikke et udgøre endeligt bevis.

Jeg kan ikke udtale mig mere specifikt om særlige godkendelser i f.t. visse af teleudbydernes ansatte.

8. februar 2016 kl. 21:06
Søren Pind får hug for dårligt sessionslognings-eksempel

Fordi det er det de siger - også afspejlet i Søren Pinds udtalelse i denne artikel.

@ Mogens Ritsholm,

Jeg mener ikke at have forsvaret JM eller ministeren, og jeg er enig i, at deres forvaltning af krav til teleområdet har været utilfredsstillende. Forhåbentlig læser de med her.

8. februar 2016 kl. 19:38