Har sett ganske mange innlegg i debatten omkring datalagringsdirektivet hvor forfatteren tydelig mangler forståelse for hva som logges og hvordan disse loggene faktisk brukes. Vil derfor si litt om akkurat dette i denne delen.
Hva logges?
Normalt vil det logges hvilken IP du fikk, og når du fikk den. Alle web-servere logger hvilken IP som besøkte hvilken URL, og når det skjedde. Mailservere logger informasjon om hvem som har sent mail til hvem, fra hvilken IP og når.
Mange bedrifter bruker også noe vi kaller en proxy-server, som i praksis er en mellommann mellom brukeren og enkelte tjenester på nett. De lagrer også informasjon om hvem som besøkte hvilke tjenester, og når det skjedde. Enkelte organisasjoner logger i også informasjon om all kommunikasjon på nett (hvem har pratet med hvem).
Ikke noe av denne loggingen er pålagt, og jeg kan heller ikke se at det er noe ulovlig ved den.
Hvorfor logges dette?
"The trustworthiness of a digital asset is limited by the owner's capability to detect incidents compromising the integrity of that asset." --Richard Bejtlich
Det er to hovedgrunner til at denne informasjonen lagres. For det første brukes den for å finne og løse driftstekniske problemer. Når noe "ikke virker" så er loggene en veldig nyttig kilde for å finne ut hvorfor noe ikke fungerer.
For min egen del så er sikkerhetsaspektet veldig viktig. Når man mottar informasjon om infiserte klienter, så må den informasjonen flyte tilbake til eieren av maskinen. Når man mottar informasjon om servere som sprer ondsinnet kode, må man være i stand til å sjekke om noen av ens egne maskiner har oppsøkt disse ("egne" kan her være maskinene til en bedrift, ISP eller et land).
Oppdager man en kompromittering av interne maskiner vil man undersøke hva den ondsinnede koden kommuniserer med eksternt. Deretter vil man bruke egne logger for å sjekke om andre maskiner i nettet kan være kompromittert av samme kode. Igjen, det handler om muligheten til å sikkre eget nett og spore kompromitterte maskiner.
Man kan snu litt på flisa: Hvordan vil bankens evne til å oppdage og håndtere kompromitteringer påvirke din tillitt til deres tjenester? Eventuelt kan man bytte ut "banken" med andre tjenester man er avhengig av på nett.
En liten sideopplysning her: Bare de siste 24 timene har Arbor Networks registrert 71 servere i Sverige som fungerer som kommandosentre for infiserte klienter.
Reguleringer?
Hvordan er bruken av loggdataene regulert? Hvem har hvilken tilgang? Kan man uten videre krysskoble de forskjellige loggene? Personlig mener jeg at det er her man bør legge innsatsen, i stedet for å slåss mot selve loggingen.
Ingen kommentarer:
Legg inn en kommentar