---

Er der andre som har tænkt over, hvad den kommende logføringspligt hos
udbyderne kan komme til at betyde, hvis de logførte oplysninger skulle blive
et mål i sig selv at få fat på, og udnyttet til økonomisk kriminalitet?

Som jeg forstår det, bliver det pligtigt at logføre al aktivitet, hvilket
også vil indbefatte oplysninger under sikre transaktioner, hvor
betalingskort bliver anvendt. Disse transaktioner vil jo både blive logført
via brugerens ISP og bankens, hvilket fordobler chancen for at 3. person kan
tiltvinge sig adgang hvis sikkerheden ikke er i orden.

Jeg har personligt ikke noget at skjule, og kan udmærket forstå incitamentet
og nødvendigheden af logføringspligt, set i lyset af vores samfund, men jeg
finder det bekymrende at disse logs måske ikke kan beskyttes tilstrækkeligt
hos ISP'ere som ikke kan eller måske vil afsætte de nødvendige resurser, så
det bliver umuligt at få adgang til dem for uvedkommende.

Anyone?

Hans

---

On Tue, 1 Feb 2005 01:32:55 +0100, "Hans" <email@kvik.org.invalid>
wrote:

>Som jeg forstår det, bliver det pligtigt at logføre al aktivitet, hvilket
>også vil indbefatte oplysninger under sikre transaktioner, hvor
>betalingskort bliver anvendt.

Hvis du indgår en krypteret forbindelse med en webserver (fx en
betalings-service eller en netbank), er forbindelsen krypteret *fra*
din browser/din computer *til* webserveren. Man anmoder ikke udbyderen
om at hente en bestemt hjemmeside - man forbinder selv til hjemmesiden
og sender og modtager data (der fx handler om at modtage en hjemmeside
eller sende nogle data) direkte med serveren. Udbyderen er blot et
transport-led i den forbindelse.

Når forbindelsen er krypteret, kan udbyderen ikke se andet end mængden
af data, du sender til en bestemt IP-adresse. De kan ikke se hvilken
URL, du beder fra webserveren i den anden ende, og de kan heller ikke
se den data, du sender af sted (fx kreditkort-informationer,
cpr-nummer, etc).

Det samme gælder, hvis du modtager en krypteret mail. Udbyderen kan
blot se, at du er modtageren, mens alt indholdet vil være krypteret.

>Disse transaktioner vil jo både blive logført
>via brugerens ISP og bankens, hvilket fordobler chancen for at 3. person kan
>tiltvinge sig adgang hvis sikkerheden ikke er i orden.

ISP'en vil sandsynligvis ikke logge andet end diverse URLs - og ved
krypterede websider vil de heller ikke kunne se den præcise adresse.

--
- Peter Brodersen

---

Peter Brodersen wrote:
>
> ISP'en vil sandsynligvis ikke logge andet end diverse URLs - og ved
> krypterede websider vil de heller ikke kunne se den præcise adresse.

Jeg håber da du har ret, da det i værste fald kan tænkes at den færdige lov
kommer til at skyde over målet, hvor man tvinges til at logføre følsomme
oplysninger.

Hans

---

On Tue, 1 Feb 2005 02:13:52 +0100, "Hans" <email@kvik.org.invalid>
wrote:

>> ISP'en vil sandsynligvis ikke logge andet end diverse URLs - og ved
>> krypterede websider vil de heller ikke kunne se den præcise adresse.
>Jeg håber da du har ret, da det i værste fald kan tænkes at den færdige lov
>kommer til at skyde over målet, hvor man tvinges til at logføre følsomme
>oplysninger.

Det vil kræve urealistiske oceaner af datakapacitet, hvis udbyderne
skal logge al trafik.

Men angående krypterede websider, så er det let selv at efterprøve med
forskellige netværks-sniffer-værktøjer, der kan vise, hvad der helt
præcist bliver sendt ud og ind af ens egen computer. Alternativt kan
man bruge lidt tid på at bladre de tekniske standarder igennem
(hvilket selvfølgelig kræver en vis forståelse og indsigt i
internet-protokoller og kryptering).

--
- Peter Brodersen

---

Peter Brodersen wrote:
>
> Det vil kræve urealistiske oceaner af datakapacitet, hvis udbyderne
> skal logge al trafik.

Lige præcis, og specielt med de båndbredder vi kommer til at opleve indenfor
en kort årrække.

> Men angående krypterede websider, så er det let selv at efterprøve med
> forskellige netværks-sniffer-værktøjer, der kan vise, hvad der helt
> præcist bliver sendt ud og ind af ens egen computer. Alternativt kan
> man bruge lidt tid på at bladre de tekniske standarder igennem
> (hvilket selvfølgelig kræver en vis forståelse og indsigt i
> internet-protokoller og kryptering).

Du har helt ret. Jeg søgte lidt om emnet på Google, og fik modstridende
oplysninger, så det var såmænd grunden til at jeg stillede spørgsmålet her i
gruppen.

Hans

---

Peter Brodersen ytrede sig i <ctmjdm$dfd$1@news.klen.dk> med dette:

[snip]
>ISP'en vil sandsynligvis ikke logge andet end diverse URLs - og ved
>krypterede websider vil de heller ikke kunne se den præcise adresse.

En logning af URLs er ret formålsløst hvis det står alene og der er da
også tale om at langt mere skal logges:

Email-headers (evt. hele emails) og alle forespørgsler.

Det er derfor forslaget er så vanvittigt, da det alene selv i
komprimeret tilstand, udgør en meget stor mængde data.
--
Mvh
Allan Stig Kiilerich Frederiksen

---

ASKF wrote:
> Peter Brodersen ytrede sig i <ctmjdm$dfd$1@news.klen.dk> med dette:
>
> [snip]
>> ISP'en vil sandsynligvis ikke logge andet end diverse URLs - og ved
>> krypterede websider vil de heller ikke kunne se den præcise adresse.
>
> En logning af URLs er ret formålsløst hvis det står alene og der er da
> også tale om at langt mere skal logges:
>
> Email-headers (evt. hele emails) og alle forespørgsler.
>
> Det er derfor forslaget er så vanvittigt, da det alene selv i
> komprimeret tilstand, udgør en meget stor mængde data.

Email-headers er nok realistisk, men at lovgive omkring logføring af
indholdet vil svare til at bede Postdanmark om at åbne alle breve og scanne
indholdet. Det vil nok være politisk selvmord at røre ved den personlige
frihed på det punkt.

Hans

---

Den Tue, 01 Feb 2005 01:44:29 +0100 skrev Peter Brodersen:
> On Tue, 1 Feb 2005 01:32:55 +0100, "Hans" <email@kvik.org.invalid>
> wrote:
>
>>Som jeg forstår det, bliver det pligtigt at logføre al aktivitet, hvilket
>>også vil indbefatte oplysninger under sikre transaktioner, hvor
>>betalingskort bliver anvendt.
>
> [cut]
>
> Når forbindelsen er krypteret, kan udbyderen ikke se andet end mængden
> af data, du sender til en bestemt IP-adresse. De kan ikke se hvilken
> URL, du beder fra webserveren i den anden ende, og de kan heller ikke
> se den data, du sender af sted (fx kreditkort-informationer,
> cpr-nummer, etc).

Har ordet "umuligt" nogensinde været en hindring for uvidende
politikere?

Og den dag det går op for dem, kan vi vel forvente et forbud mod
kryptering - eller pligt til at aflevere dekrypteringsnøglerne sammen
med forbud om at fortælle at man har gjort det, som i visse
overvågnings-samfund.

Mvh
Kent
--
Help test this great MMORPG game - http://www.eternal-lands.com/

---

On 01 Feb 2005 16:24:14 GMT skrev Kent Friis <nospam@nospam.invalid> .

>
>Og den dag det går op for dem, kan vi vel forvente et forbud mod
>kryptering - eller pligt til at aflevere dekrypteringsnøglerne sammen
>med forbud om at fortælle at man har gjort det, som i visse
>overvågnings-samfund.

Og med det kommende valg....1984 ligger lige til venstrefoden....eller hvad ?

Martin

---

On Tue, 01 Feb 2005 at 00:32 GMT, Hans <email@kvik.org.invalid> wrote:
> Er der andre som har tænkt over, hvad den kommende logføringspligt hos
> udbyderne kan komme til at betyde, hvis de logførte oplysninger skulle blive
> et mål i sig selv at få fat på, og udnyttet til økonomisk kriminalitet?

Og hvor de skal få kapaciteten fra? Dels kraften til at lave real-time
logning af al trafik, og derefter plads til at gemme de indsamlede data i
5 år.

En lille sjov historie fra Kevin Poulsen, der i prøvetiden ikke måtte
benytte internet:

Eighteen months after my release, with one year of probation remaining, my
probation officer was ready to let me loose on the Net. But the proposal came
with a caveat: I had to find an Internet service provider that would agree to
monitor my actions and give my PO access to the traffic reports on demand.

Yes! I was in. I now knew enough about the Net from the mainstream media to
suppose that it was as rife with surveillance and snooping as with hardcore
porn and illegal gambling. I thought it would be a breeze.

I hit the phones, starting with a small ISP in Los Angeles.

"You want us to what?"

I explained my situation, and a dubious technician said he'd ask around. Two
days later he called back: "We just don't have the facilities to monitor you.
Sorry."

I moved up to the big ones: AOL, MSN, Prodigy, CompuServe. The poor service
reps on the other end of the phone didn't quite know what to make of my request
- they seemed to think it was a trick of some sort.

"You want us to monitor you? We don't do that, sir. We respect our customers'
privacy."

There was a glimmer of hope when I called EarthLink, where Dan Farmer, a well-
known hacker and author of the famous Unix-cracking tool Satan, runs the
security department. If anyone could keep tabs on me, it was him. Dan thought
about it, clicked through the possibilities in his mind, and gave up after a
few seconds. "I really couldn't set up anything that you couldn't get around,"
he said. I think it was meant as a compliment.


--
Anders Vind Ebbesen
Sony Music har ingen humor:
http://sony.webbesen.dk

---

Anders Vind Ebbesen <usenet@ebbesen.org> writes:
>Og hvor de skal få kapaciteten fra? Dels kraften til at lave real-time
>logning af al trafik, og derefter plads til at gemme de indsamlede data i
>5 år.

Ja, i praksis bliver det vel bare flows - hvis det overhovedet
bliver så meget. Det vil ikke fylde nævneværdigt. Heller ikke for
de større ISP'er. Til gengæld er det ret ubrugeligt, medmindre man
finder en IP, der huser terroristaktiviteter og kun det. Så kan
det måske være interessant, hvem der har kommunikeret med den IP.

Det lyder bare lidt far-fetched. Det gør det med mail-headerne også.
Jeg tror ikke, terrorister skriver "Subject: Vi mødes kl. X på sted
Y for at nakke hamder Z". De bruger nok PGP og skriver "Køb bananer
her hos mig" i subject.

Den information kan nok også være interessant efterretningstjenester.
Men det vil kræve, at de får en snabel ned i alverdens maillogs. Nej,
vel? Endvidere vil de ikke få fat i private mailservere, så medmindre
man i hele verden lovgiver om brug af smarthosts, får man stadig kun
en minimal brøkdel af alverdens post med i loggen.

Der, hvor problemet nok bliver størst, er hos indholdstjenesterne.
Hvis et lille site med 500 brugere pludselig skal til at sikre sig,
at de kender (net)identiteten på alle i f.eks. et forum, og at de
under strafansvar skal gemme de data i 5 år, bliver det nok en del
dyrere at drive.

Mvh.
   Klaus.

---

Den 18-02-05 18.09 skrev Klaus Ellegaard følgende:

> Det lyder bare lidt far-fetched. Det gør det med mail-headerne også.
> Jeg tror ikke, terrorister skriver "Subject: Vi mødes kl. X på sted
> Y for at nakke hamder Z". De bruger nok PGP og skriver "Køb bananer
> her hos mig" i subject.

Mon ikke også politiet/efterretningstjenesten hovedsagelig vil bruge
log-filerne til at følge med i, hvem mistænkte/overvågede personer
kommunikerer med?

Men loven er nok ubrugelig til andet end at fange idioterne. Der er så
mange huller, at man ikke ligefrem skal være et geni for at undgå øjnene
i nakken.

--
Mvh. Kim Ludvigsen
Nemmere, hurtigere og mere sikkert internet med Firefox
http://kimludvigsen.dk