söndag, maj 03, 2009

Om de navelskådande fildelarna kunde lyfta blicken en liten smula...

Som jag påpekat tidigare är Internet reglerat. Självreglerat. Det finns ett grupptryck på de som tillhandahåller konnektivitet åt andra (universitet, företag, internetoperatörer och andra aktörer) att hålla ordning på sina användare.

Den användare som spammar, som har en virussmittad dator som angriper andra eller ägnar sig åt annan skadlig verksamhet behöver få hjälp eller bli åthutad - vad som nu kan vara tillämpligt. En användare som konsekvent vägrar uppföra sig kan i värsta fall få sin Internetanslutning avstängd. Den här självregleringen är en nödvändig mekanism för att Internet överhuvudtaget ska kunna fungera.

När det blir tillräckligt allvarligt handlar det inte längre bara om att man bryter mot sin nätleverantörs användningsregler, utan det blir ett fall för polisen. Blocket-bedrägerier, kortbedrägerier, dataintrång, olaga hot - den Internetrelaterade brottsligheten växer minst lika snabbt som Internetanvändningen i stort.

Men för att självregleringen och brottsbekämpningen ska fungera krävs en grundläggande sak: spårbarhet.

När Karl Sigfrid tycker att internetoperatörerna ska sluta logga tilldelningen av IP-adresser saknar han tillräcklig kunskap och eftertanke för att inse följderna av det. Det är en väldigt kortsynt och oansvarig hållning.

Och nånting som få verkar ha tänkt på: Om operatörerna förhindrar bekämpningen av allvarliga Internetbrott genom att radera sina loggar, hur in i hela friden ska vi kunna stoppa datalagringsdirektivet? Att visa upp den här sortens oansvarighet ger bara motståndarsidan gratis ammunition.

12 kommentarer:

Anonym sa...

Om det nu ändå ska införas datalagring, så är det bästa isperna kan göra att vara så oförberedda som möjligt. Staten ska plocka upp notan och ta fram detaljerna i hur det tekniska ska lösas.

xor sa...

Det går ju att motverka spam och att folk bryter sig in i folks datorer utan att hålla koll på vilka IP-nummer kunderna har. Med koll på vilka IP-nummer de har menas sannolikt att spara uppgifterna längre än vad DHCP-servern behöver.

Med programmet snort går det ju att upptäcka folk som attackerar andra på internet. Min ISP (ett studentnät) använder snort, exempelvis. De har flera tusen kunder och en hel del trafik, så det är ju en fungerande lösning.

Om inte en attack upptäcks samtidigt som den sker, hur sannolikt är det att uppgifterna om vilka IP-nummer folk har kommer att hjälpa i framtiden? Om attacken inte upptäcks, så finns det ju ingen anledning att spara deras IP-nummer mer än nödvändigt. Om attacken däremot upptäcks går det att blocka kundens port, och då behövs inte kunskap om hans IP-nummer. (802.1X & radius går att använda för att realisera det här, exempelvis.)

Det finns ingen anledning att hålla koll på vilka kunder som har haft vilka IP-nummer när. Det är ju bara ren och skär övervakningshysteri att hålla koll på alla hela tiden.

Du får gärna ge motargument.

xor sa...

Hmm. Missade ju hälften av debatten ;)

Vad gäller rena bedrägeribrott, som inte är uppenbart kriminella (de upptäcks ju knappast med snort) så blir det ju enklare att hitta fulingarna om man vet vilka IP-nummer som kunderna har använt vid alla tidpunkter. Å andra sidan, om man plannerar bedrägeribrott kanske man väljer att använda någon annans dator, eller någon form av proxy. Kanske TOR rent av.

Uppoffringarna att spara allas IP-nummer under en lång tid tycker jag överstiger de vinster som fås inom brottsbekämpning. För att alls lyckas bra med att bekämpa brott måste ju också väldigt, väldigt mycket övervakas. Annars kan man ju ganska enkelt hitta obevakade nät. Det är väl det som är tanken med datalagringsdirektivet, även om det nog ändå inte skyddar mot att folk tar sig in i WLAN och säljer bilar på blocket.


I slutändan blir det ISPerna själva som bestämmer. Nu finns det ju en lag som säger att de måste radera tele-informationen om sina kunder omedelbart när den inte längre behövs. Datalagringsdirektivet kommer ju att vända det upp och ner och plötsligt tvinga alla teleoperatörer att göra precis tvärt om.

Leif Nixon sa...

xor: Så om det kommer ett snort-larm halv tre natten till lördag, vad ska hända? Låt oss för enkelhetens skull säga att det för en gångs skull är ett larm som med hundraprocentig tillförlitlighet indikerar ett intrångsförsök (så är det sällan i verkligheten).

Du skriver "Om inte en attack upptäcks samtidigt som den sker, hur sannolikt är det att uppgifterna om vilka IP-nummer folk har kommer att hjälpa i framtiden?".

Det är sällan man upptäcker en attack samtidigt som den sker. Jag har däremot tappat räkningen på hur många gånger jag genom årens lopp har kontaktat en annan site och sagt "Du, det ser ut som om er maskin X är knäckt" och fått svaret "Ja, jäsiken, titta. Det gjordes ett intrång på den för tre veckor sedan." eller skickat ut en varning "Ni bör nog kolla i era loggar efter lyckade inloggningar från maskin Y - den verkar vara ond", och någon svarar "Ajfan, vi hade en inloggning från den förra veckan". Det här låter kanske inkompetent, men det är en väldigt svår uppgift att hitta en liten illvillig nål i en stor höstack av godartad trafik.

Och visst händer det att brottslingarna använder Tor eller någon annans abonnemang för att dölja sina spår, men långt från alltid - brottslingar är nästan per definition inte de skarpaste knivarna i lådan. Och även de som försöker dölja sig gör ofta misstag som gör dem spårbara.

xor, du vet ju vad jag tycker i integritetsfrågor, och jag tror inte att du på allvar kan beskylla mig för övervakningshysteri.

Att operatörerna i några veckor sparar loggarna över vem som hade vilken IP-adress är långt mindre integritetskränkande än, låt oss säga, tvånget på att alla bilar ska ha ett registreringsnummer som i ett offentligt register kopplar dem till deras ägare.

Avsaknaden av den informationen skulle å andra sidan göra det i princip omöjligt att utreda många grova brott.

Anonym sa...

xor: Ditt studentnät vet mycket väl om vem de delat ut ditt IP-nummer till då de använder statisk tilldelning (även om jag inte vet säkert huruvida de distribueras via DHCP eller inte). Att de då har flera tusen kunder och en hel del trafik bidrar inte nämnvärt till problematiken längre.

xor sa...

Leif: Oj, vår diskussion känns som början av ett flamewar. Det var inte alls vad jag ville uppnå med mina två kommentarer.

Neh, shit. Jag kan formulera mig på tusen olika sätt här, men det enklaste är nog faktiskt att säga att du har rätt. Det hjälper såklart att spara uppgifterna. Folk är rädda för IPRED och breven man kan få hemskickade, plötsligt finns det en till aspekt som väger in i hur länge loggarna ska sparas.

Leif Nixon sa...

xor: Flamewar pysslar jag inte med. Hårda diskussioner, däremot. 8^)

redlib sa...

Tycker du har fundamentalt fel. spårbarhet är inte normaltillståndet och ska inte vara. Jag behöver inte än legitimera mig, motivera mig och registrera mig när jag ska till grannbyn. Jag hoppas jag slipper i framtiden med, samma sak gäller nätet.

Säkerhet på nätet kan inte byggas på att ip-nr är spårbara - det måste bygga på att tjänster är autentifierade och krypterade. För övrigt bör de ses som anonyma. Det är viktigt att det går att vara anonym om man vill, det är en rättighet att kunna vara anonym om man vill.

Att spara IP tillfälligt, och bara använda dom till teknisk övervakning är en sak. Varje nätaktör har rätt och ansvar att stävja missbruk. De flesta kunder vill vara spårbara på det sättet också - för att få hjälp vid attacker. Det är väl OK om ev sådana uppgifter kan användas även vid grova brott - som inte är direkt tekniskt missbruk utan bruk av teknik i onda syften.

Men att försöka spara allt, att försöka tränga bort möjligheten att vara anonym om man vill, att se spårbarhet som en nödvändighet och något obligatoriskt, det är jag inte med på alls.

Men naturligtvis är det bra när det finns tillgängligt. Ofta är det ju burkar med fast IP och då är spårbarheten inte svår :-) om än inte nödvändigtvis pålitlig.

Det går ju ochså att tillfälligt öka loggning om och när det visar sig att någon dator på ett visst DHCP nät spammar, deltar i DoS attacker eller nått liknande.

Mikael Nilsson sa...

Just vad gäller datalagringen så har ju ett av politikernas starkaste argument varit att "de sparar ju redan, vi reglerar bara så de sparar lika länge". En harmoniseringsfråga alltså.

Nu visar sig det argumentet vara nys, och det är bra för debatten - nu måste politikerna skärpa sig och göra en mer ordentlig avvägning om verkligen såpass mycket MER lagring är så himla bra.

Inte för att det kommer påverka beslutet i riksdan, det är ju redan i praktiken taget (iom att alliansen är överens), men i den allmäna debatten blir datalagringens fula tryne mer uppenbart.

Smart av Bahnhof alltså.

Karlung menar att detta INTE påverkar deras förmåga att motverka attacker och spåra grova brott. Så här står ord mot ord.

Leif Nixon sa...

redlib: Du skriver "Säkerhet på nätet kan inte byggas på att ip-nr är spårbara - det måste bygga på att tjänster är autentifierade och krypterade."

Problemet är att vi talar om saker som dataintrång. Vad gör man när det görs intrång med stulna inloggningsuppgifter?

Och notera att det här inte handlar om att övervaka folk eller kartlägga deras beteende - det här är inte mer integritetskränkande än telefonkatalogen.

Leif Nixon sa...

Mikael: Visst säger förespråkarna så, att "operatörerna sparar redan datat". Men det är ju inte sant. Du vet och jag vet att datalagringsdirektivet är betydligt mer långtgående - operatörerna åläggs att spara data om kommunikationsmönster som de inte sparar idag.

Det korrekta motargumentet är "Polisen har redan god nytta av de data de kan begära ut idag. De kan nöja sig med det." Om nu operatörerna inte go limp on us och därigenom framtvingar en reglering.

Jon Karlung säger ofta kloka saker, men när han säger att loggradering inte påverkar deras möjligheter att hjälpa till vid brottsutredningar har han marknadsföringshatten på sig. Det är nys.

redlib sa...

Byter inloggningsuppgifter.

Undersöker skadan, vilken information har läckt, vilken information kan ha ändrats, kan skadlig kod blivit installerad, kan ytterligare inlogningsuppgifter ha skaffats.

Undersöker rutiner, hur har inlogningsupgifterna läckt? Kan det ge ledtrådar vem som är skyldig? Hur kan det undvikas framöver?

Naturligtvis kollar man sina loggar i den mån man har och försöker spåra intrånget.

Ibland har man tur, ibland inte. Ibland får man skyldig dator, ibland får man 'eskilstuna', ibland får man inget alls.

Så ska det vara. Att utreda brott ska vara ett pussel, knacka dörr, följa varje spår. Ofta är det bra nog, ibland inte.

Men alternativet - att det alltid går att spåra med en knapptryckning är värre. Visst blir det lättare att spåra brottslingar - men det blir också lättare att spåra läckor och tippsare.

Det *ska* vara svårt... Det ska kräva ett visst arbete, det ska helst synas (i alla fall får några) att det efterforskas - det ska inte bara kunna ske i total tysthet.

Annars kommer det att sluta med att man spårar oppositionella.

 
MediaCreeper Creeper