Den nye logningsbekendtgørelse

Brok, Teknik

Så er den nye logningsbekendtgørelse tæt på at træde i kraft. Den oprindelige tanke bag bekendtgørelsen var vistnok at give politiet/PET et slagkraftigt værktøj til brug i kampen mod terror. Det er dog ikke alle der er lige begejstrede, det ser specielt ud til at der er der en del IT fagfolk der ryster lidt på hovedet over resultatet.
Og hvad er der så galt ? Sådan kort fortalt er der vel egentlig først og fremmest det galt at man logger en frygtelig masse data uden egentlig at logge noget der er specielt brugbart, ja jeg ved godt det lyder helt tåbeligt men det er så vidt jeg har forstået rent faktisk hvad man er endt op med.
Lad os snakke Internet, i bekendtgørelsen står der blandt andet:

§ 5. En udbyder af elektroniske kommunikationsnet eller -tjenester til slutbrugere skal registrere følgende oplysninger om en internet-sessions initierende og afsluttende pakke:

  1. afsendende internetprotokol-adresse,
  2. modtagende internetprotokol-adresse,
  3. transportprotokol,
  4. afsendende portnummer,
  5. modtagende portnummer og
  6. tidspunktet for kommunikationens start og afslutning.

Det er jo en del der skal logges, men bare ikke rigtig nok til at det er interessant, der logges jo ikke noget indhold. Lad os sige min internetudbyder logger at jeg kommunikerer intensivt med ipadressen 145.97.39.155 på port 80 gentagne gange i løbet af en uge, det ville f.eks. ske hvis jeg gik igang med at læse om Jitterbug Sugar Push dansetrin på denne adresse : http://en.wikibooks.org/wiki/Swing_Dancing/Sugar_push . Præcis samme logning ville imidlertid ske hvis jeg gik i gang med at læse om detaljerne i fremstilling af TATP på denne adresse: http://en.wikibooks.org/wiki/Chemical_synthesis/Acetone_peroxide , TATP er det der satans farlige ustabile sprængstof, terrorister er så vilde med at fremstille.
Så er reglerne iøvrigt også strikket sådan sammen, at de større internetudbydere kan nøjes med at logge hver 500 pakke.
Og som om reglerne ikke allerede nu var hullede nok så gælder de i øvrigt også kun for trafik der bevæger sig ind/ud af udbyderens net, dvs trafik fra en Telia kunde til en anden Telia kunde skal IKKE logges.

Lad os se på email, i bekendtgørelsen står :

§ 6. Udover de i § 5 nævnte oplysninger skal en udbyder af elektroniske kommunikationsnet eller -tjenester til slutbrugere registrere følgende oplysninger om egne e-mail-tjenester:

  1. afsendende e-mail-adresse og
  2. modtagende e-mail-adresse.

Ja hvad skal man sige, få en Gmail konto, brug HTTPS udgaven, og så kan du også emaile i fred for logningsbekendtgørelsen.

Og sådan kan man blive ved med at sidde og finde huller og genveje i logningsbekendtgørelsen, den er nok nogenlunde ligeså effektiv som et hjemmehæklet kondom. Skulle jeg finde et eller andet positivt at sige, så må det være at den øger beskæftigelsen, der skal altså nogle folk til at administrere alle de her data 🙂

Læs selv hele Logningsbekendtgørelsen