onsdag 11. november 2009

Datalagringsdirektivet, del 4

Nytteverdi. Veldig mange som argumenterer for datalagringsdirektivet (DLD), trekker frem terrorisme og pedofili som eksempler på hva som skal bekjempes. Jeg ønsker å trekke frem et annet område hvor logdata er til stor hjelp, også for å bedre sikkerheten til den enkelte.

IT Sikkerhet. Veldig mye av det operative arbeidet med IT Sikkerhet foregår ved å analysere logger. Dette kan være logger fra webservere, proxy løsninger, brannmurer, mailservere og mye mye mer. Når man oppdager at en maskin på nettverket er infisert med en ondsinnet kode, brukes loggene både til å spore hvordan hendelsen oppsto og for å se om andre kan være infisert av det samme.

Hva er ondsinnet kode? Uttrykket er en oversettelse av det engelske ordet "malware", som igjen er sammensatt av ordene "Malicious Software". Betegnelsen brukes om programkode som er utviklet med ond hensikt, som f.eks. til å stjele informasjon eller penger. Informasjon samles også inn i så store mengder i dag, at de kriminelle selger uvasket informasjon fordi de selv ikke har nok ressurser til å gjennomgå alt. En av egenskapene som er ønskelig av de som utvikler den, er at de som er infisert ikke skal merke noe. Brukere som oppdager at de er infisert, foretar seg gjerne noe for å renske opp på maskinen.

Relevans til DLD? Her må jeg nesten konstruere en historie, men som er så tett opp til dagens virkelighet at de fleste som jobber med operativ IT sikkerhet vil kjenne seg igjen:
I forbindelse med en etterforskning, tar politiet i Langvekkistan beslag i en server som kriminelle har brukt som kommando og kontroll server for sitt bot-nettverk. Dette nettverket ble brukt til å samle inn alle typer informasjon som kunne brukes til økonomisk svindel; både brukernavn/passord, kredittkortinformasjon, bankkontonummer, bruk av nettbank, med mer. Ofrene, det vil si de som blir frastjålet informasjonen, befinner seg over hele verden.

Når politiet er ferdig med sin etterforskning, videresender de overskuddsinformasjonen til politiet i de landene som ofrene befinner seg. I denne saken var Norge lite berørt og mottok informasjon om litt over tusen infiserte brukere. Alt politiet vet så langt er hvilken IP adresse ofrene hadde på et gitt tidspunkt. De har heller ikke tid til selv å varsle sluttbrukeren, så de deler opp informasjonen, bassert på IP adressene, og sender den videre til de aktuelle Internett-leverandørene.

Fremdeles er ikke IP knyttet mot person. Denne knyttingen gjøres av Internett-leverandørens abuse avdeling. De finner ut av hvilken kunde som hadde den aktuelle IP adressen på det gitte tidspunktet, for så å gi de beskjed om at maskinen deres har vært infisert og at de bør re-installere den.
Ønsker vi dette? Historien er ikke fri fantasi. Den typen informasjon jeg brukte som eksempel, blir allerede i dag utvekslet mellom land, men ikke alltid mellom politi. I tillegg tjener historien kun som eksempel på en type bruk, en av mange flere bruksområder som er til fordel for hver enkelt av oss. Og det er de relevante bruksområdene vi må bruke som eksempler i debatten, ikke de ekstreme som mest sansynlig ikke kommer til å skje.

Eller ikke? Av erfaring vet jeg at det er mye personsensitiv informasjon i dataene fra ondsinnet kode som er laget for å stjele nettopp informasjon fra offeret. Offeret og den informasjonen som er stjålet befinner seg sjelden i samme land. Ønsker man at offeret skal varsles når man oppdager hendelser som dette? Eller skal vi sørge for å slette data så tidlig at det blir umulig å finne offeret ut i fra IP adressen? Merk at vi muligheten til å varsle ofte oppstår flere måneder etter at informasjonen er stjålet...

Mitt poeng. Det eksisterer flere områder hvor den typen informasjon som DLD krever lagret har en verdi også for sluttbrukeren. Når man kun trekker frem ekstremeksemplene som pedofili og total overvåkning, bringer man debatten ut på et villspor hvor meninger ikke lengre er relatert til virkeligheten, og derfor er poengløse. Vi er nødt til å fokusere på faktisk bruk og faktisk risiko.

10 kommentarer:

SondreB sa...

Det er ikke statens (politiets) oppgave å sikre datamaskinene til norske borgere. Like lite som det ikke burde være ulovlig å ikke bruke setebelte når man kjører bil. Det er ikke politiets oppgave å være barnevakter. Staten har nok innsikt og styring på lovlydige borgers liv som det er, la oss absolutt ikke gi dem enda mer kontroll.

Mike sa...

Om målet hadde vært å sikkre den enkeltes maskin, så er jeg helt enig. Men dette er kun bi-effekter av andre typer sikkerhetsarbeid (kall det en dugnad blant de som jobber med IT sikkerhet). Jeg brukte politiet kun for å eksemplifisere et poeng.

For å gi et bedre bilde av hvor slik informasjon kan komme fra, ta en titt på disse linkene og prøv å forstå hva de driver med (og tenk deling av data):

http://honeynet.org/
http://www.shadowserver.org/
http://www.terena.org/activities/tf-csirt/
http://www.egc-group.org/
http://www.first.org/

SondreB sa...

Det faktum at datainnbrudd og lekkasjer av opplysninger alltid finner sted burde være en viktig indikator hvor farlig det er å lagre informasjon unødvendig. Derfor har vi en såpass streng lovgivning i Norge. Personopplysningsloven og forskriften er veldig klar på hva som er lovlig lagring eller ikke. Lagring av personopplysninger utover opprinnelig formål og utover tiden den har utført sitt formål er ikke lovlig.

Hvis man mener individets rett til personvern og beskyttelse fra misbruk ikke har en plass i dagens samfunn, kan vi heller ikke lengre kalle oss et fritt og demokratisk land, men et totalitært regime hvor målet er å styre og kontrollere de fleste mulige aspekter av befolkningens liv.

La oss ta et konkret eksempel fra Honeynet.org siden, som rapporterer om at Citibank UK har blitt utsatt for "lawnmower man" angrep, slik jeg forstår det er det at man bruker en tjeneste til å iverksette automatisk oppringing til hvem det måtte være.

TrygVesta har en tjeneste på websiden hvor det er mulig å fylle ut sitt telefonnummer for å bli oppringt, fullstendig uten noen form for CAPTCHA. Til og med din blogg har slik beskyttelse, men ikke en kommersiell stor aktør? Det krever ikke mye programmeringskunnskap enn at man kan automatisk hamre TrygVesta sin tjeneste med telefonnummer til alle i Norge.

Anyhow, det var på en måte en liten digresjon.

Nettleverandørene bør og kan gjøre "live" og tilnærmet "live" overvåkning av sine nettverk for å beskytte seg mot potensielle angrep o.l.. Beskytte sine kunder og partnere. Hvis det oppstår tilfeller hvor det er mistanke om kriminell aktivitet på nettverket til f.eks. Telenor, da kan Telenor rapportere dette til politiet som kan ta saken videre.

Loggføring over lengre tid i den hensikt av å kunne spore tilbake tidligere kriminelle handlinger er problematisk av en rekke årsaker. Disse loggen er i seg selv intet bevis, dem kan kun være en indikator på hvilken bygning og/eller hus individets trafikk har opprinnelse fra. Jeg er ytterst skeptisk til at en IP adresse og logg fra en server er nok grunnlag for å gjøre ransakelse av et hjem eller bedrift.

Mike sa...

Eksemplet jeg brukte i hovedinnlegget var for å vise hvordan loggene kunne brukes for å spore opp de som hadde vært ofre for en kriminell handling.

Ditt siste svar her tar som utgangspunkt at det er de kriminelle som blir sporet opp av loggene.

Håper du ser hvordan den lille detaljen endrer forutsetningene for diskusjonen?

Ha også i bakhodet at det er mange typer data og forskjellige årsaker til at de utveksles. Jeg trakk frem en spesifikk type og årsak for å vise nettopp hvordan logging pålagt av DLD kan være til fordel for den enkelte -- og bidrar til deres personvern.

De som bedriver IT-kriminalitet benytter teknikker som i veldig liten grad blir påvirket av DLD. Og om det kun var for å ta kriminelle man skulle logge, så hadde jeg hoppet over og signert listen til StoppDLD. Men jeg ser positive bruksområder utover det...

SondreB sa...

"Men jeg ser positive bruksområder utover det..."

Når man bor i et fritt samfunn har man også et stort ansvar for å følge lover og regeler i samfunnet. Man har et ansvar ovenfor sin egen eiendom (bolig, bil, kropp) og må beskytte denne og behandle verdiene på en rasjonell måte.

Hvis man ikke behandler sine verdier på en rasjonell måte, da kommer man fort opp i problemer. F.eks. rusavhengighet og problemer, gambling og spilling av alle pengene man har, utføre risikabel seksuelle omganger med flere partner, leve på kun hvite bakevarer og cola, osv.

Det offentlige ser veldig godt disse problemene på et samfunnsmessig nivå og ikke på hvert enkeltindivid. De finner opp reguleringer som skal forbedre situasjonen for de som har det vanskelig, de har stort sett positive hensikter.

Statens oppgaver er primært å beskytte individets rettigheter i samfunnet. Det viktigste en stat kan gjøre er å holde seg unna så mye som mulig og la borgerene være i fred. Det å leve i fred er praktisk talt det å respektere andres rett til samme frihet og respektere den fysiske eiendomsretten, ingen skal initiere tvang ovenfor andre. Hvis noen bryter med disse prinsippene, er staten der for å hjelpe oss mot overgripere.

Men det er som kjent vanlige mennesker som sitter i det offentlige og disse har samme medmenneskelige følelser og meninger som de fleste andre. Vi ønsker at alle skal ha det greit i samfunnet, vi gir gjerne penger til innsamlinger og støtte for de som ikke har det like bra som oss selv. Dette er greit så lenge vi gjør det frivillig som individer, problemene oppstår når staten som en representant på vegne av borgerene ser sin mulighet til å utøve mer rolle og tilegne seg mer makt enn de rettmessig bør ha.

Reguleringer fører skjeldent til kun positive resultater, det er ikke mulig å innføre reguleringer uten negative konsekvenser. Når politikere kommer til makt, har de ofte en personlig overbevisning og agenda om å forme samfunnet etter sin egen personlig moral. Det gjennomføres stadig nye reguleringer på bakgrunn av enkelt individers moralske overbevisning, ofte med den beste hensikten i øyemed.

Kan virke som flere politikere har et syn på oss borgere at vi ikke vet hvordan vi skal styre våre egne liv eller hvordan vi skal oppføre oss i samfunnet, derfor kommer de opp med alle mulige reguleringer som et forsøk på å kontrollere livene våre. Dette fører oss mot et totalitært regime, det er ingen annen måte å beskrive utviklingen på.

La meg gi noen konkrete eksempel:

1. Påbud om bruk av bilbelte: Dette er et veldig konkret eksempel på hvordan staten tvinger reguleringer på borgerene som absolutt ikke har noen plass i et fritt samfunn hvor hver borger er ansvarlig for sitt eget liv. Politiet burde ikke kaste bort ressurser og penger på å overvåke at noen bruker bilbelte.

Hensikten bak denne reguleringen er sannsynligvis å "redde" flere liv i trafikken, men er det virkelig statens oppgave å beskytte oss fra oss selv?


2. Norge har veldig restriktiv lovgivning når det gjelder naturstoffer og medisin, alle nyttige og effektive vitaminer og mineraler er underlagt strenge restriksjoner og blir klassifisert som legemiddel. Kosttilskudd i Norge er langt mindre effektive enn i andre land, som f.eks. USA og til dels Sverige. Det er f.eks. ulovlig å kjøpe vitamintilskudd fra USA, da disse inneholder stoffer som har BEVIST positiv effekter og dermed blir klassifisert som legemiddel i Norge. Kosttilskudd du får kjøpt i Norge er så og si harmløse. Den norske lovgivningen på dette området burde følge internasjonale praksis som et minimum, hvorfor skal borgere i USA få lov til å kjøpe og bruke effektive kosttilskudd men i Norge skal man ikke få lov?


Jeg kjører aldri en meter uten bilbelte (det er absolutt ikke i frykt for politiet) og jeg tar "overdose" av kosttilskudd i enkelte periode, tilpasset etter mitt behov.

(fortsettelse følger...)

SondreB sa...

Med disse tankene (fra forrige kommentar) i bakhodet kan vi se på dine argumenter:

- Du ønsker at politiet skal ha mulighet til å lettere finne offerene for kriminelle handlinger i den digitale verden, slik at de eventuelt kan banke på døren og advare folk.

- Personvern handler ikke om oppklaring av kriminelle handlinger, datalagringsdirektivet bidrar i utgangspunktet ingenting til personvern. Det er mulig å argumentere for at det blir enklere å ta kriminelle som bryter personopplysningsloven og krenker ditt personvern, men dette er ikke relevant for styrking av personvernet, men forenkling av etterforskning av kriminalitet.


Min respons til dette er et motspørsmål: Hvor skal grensen gå for hva politiet skal få lov til å benytte denne informasjonen til? Hvis noen forsøker å angripe min PC gjennom et direkte brannmurangrep, skal politiet kommer på døren min da? Hvis noen forsøker å installere spyware på min PC, er dette noe politiet skal håndtere? Skal politiet overvåke min nettverksruter hjemme for å identifisere uvedkommende på mitt hjemmenettverk? Hva med overvåking av døren til boligen til folk, burde ikke disse vært overvåket slik at politiet kan varsle hvis noen forsøker å åpne døren?

Dette er banale eksempler, men hvem skal bestemme hvor grensen går? Tror vi har etablert at politikere absolutt ikke kan stoles på når det gjelder reguleringer som er til samfunnets eller individets beste.


Vi har en personopplysningslov og forskrift som beskytter personvernet, den beste måten å faktisk styrke personvernet i Norge er å gjøre aktører i privat og offentlig sektor opplyste om brudd på den eksisterende loven. Dette skjer i flere offentlige etater og mange private bedrifter.

Situasjonen med informasjonslagringen som skjer på nettet i dag begynner å bli uholdbar når man ser hvor mange som opererer i direkte brudd på personopplysningsloven. Vi burde gi mer ressurser til Datatilsynet og gi dem større mandat til å faktisk gjøre en forskjell i samfunnet.

Vi har en patentlov som gjør det mulig for enkeltindivider og bedrifter å tvinge andre til å ikke utøve innovasjon og produksjon, mens Datatilsynet har lite å stille opp med når bedrifter bryter personopplysningsloven og tramper på personvernet til flere hundre (totalt sett nesten alle) norske borgere.

Si nei til Datalagringsdirektivet og gi oss et styrket Datatilsyn.

Mike sa...

Du kommer med veldig mange punkter her, også mye som jeg er enig med deg i, under de forutsetningene de presenteres.

I flere punkter trekker du inn politiet som brukere av loggene. Det var kanskje en tabbe av meg å bruke de i eksemplet mitt også, men om du leser over det en gang til så er det Internett-leverandøren som er brukeren. Og dette er ett av kjernepunktene: Det er flere andre brukere av loggene enn politiet, og flere bruksområder enn oppklaring av kriminalitet.

Ditt motspørsmål: "Hvor skal grensen gå for hva politiet skal få lov til å benytte denne informasjonen til?" Min personlige mening her er at DLD ikke bør gi politiet noen flere rettigheter til datalogger enn de har i dag. Punktum. Men jeg håper og tror også du allerede har lagt til merke at jeg forsøker å trekke inn andre områder enn politiet, og andre bruksområder enn oppklaring av kriminelle handlinger, inn i denne debatten? For jeg er overbevist om at motstanderene av DLD har helt rett når de tar for seg oppklaringsprosenten med/uten DLD.

Siden jeg mistenker at du sitter på den nødvendige tekniske kunnskapen til å svare, er jeg fristet til å stille følgende spørsmål: Hvor mange brudd på personopplysningsloven gjør en bedrift ved å bruke en standard Exchange installasjon (med standard logging)? Jeg må innrømme at jeg ikke vet svaret på det.

SondreB sa...

Du beskriver det veldig mange er redde for: at private aktører får tilgang på DLD loggene. Det er akkurat det vi har sett i nyere tid med advokatfirmaet Simonsen som fikk tilgang på loggene.

Teleoperatørene har pr idag flere mekanismer for å stoppe angrep o.l., jeg kjenner ikke nok til dagens situasjon til å vite om de har behov for mer informasjon og verktøy.

Teleoperatørene er kun ansvarlig for å sikre sine egne løsninger og integriteten i tjenesten de leverer. De har absolutt ingen rettigheter til å drive etterforskning, overvåkning og "leke politi".

Angående Microsoft Exchange Server har jeg ikke noe svar, men det største problemet jeg ofte ser er lagring av passord i klartekst i store databaser og mangel på datavask av opplysninger i test og utviklingsmiljøer. Mange datasystemer som benyttes i norske bedrifter har mangel på tilgangskontroll, i mange tilfeller har alle ansatte i en bedrift tilgang på all informasjon om alle kunder.

Tror jeg forstår hvor du forsøker å ta diskusjonen, men jeg tror ikke det eksisterer nok behov og tror heller ikke det er grunnlag nok i forhold til tramp på personvern o.l..

Mike sa...

Hæ? Unnskyld Sondre, det er private aktører som logger, både med og uten DLD. Og frykter du at de har tilgang til egne logger?

Situasjonen med advokatfirmaet var at de fikk tilgang til andres logger. Og der tror jeg nok vi vil være ganske enige i at det er en uting. Kun Politi bør ha rett til å kreve tilgang til andres logger. Vi andre kan kun sende informasjon om situasjoner, som systemeier må sjekke opp i sine egne logger. Så er det systemeier som avgjør hva som skal skje videre. Som i dag. Ingen aktører uten politimyndighet bør kunne stille krav om utlevering av data fra logger -- men det er ikke det samme som at private ikke har nytte av de! Håper du ser den viktige nyansen her?

T. sa...

Hei Mike. Fin Blogg du har.

Det virker som om du har litt peiling på det tekniske aspektet ved datalagringsdiretivet. Kunne du ta deg bryet med å forklare meg hva som egentlig logges i tilknytning til internett-pålogging? Jeg tror jeg skjønner tegninga når det gjelder e-mail, mobil og telefon. Men jeg er særlig interessert i å forstå hva slag info man kan få ut av påloggigen av internett. Det jeg særlig ønsker å finne ut av er hvorvidt man indirekte eller på noe annet finurlig vis vil kunne finne ut hvilke nettsteder du besøker ved hjelp av den lagrede informasjonen?

Takk for eventuelt svar

Mvh T.