onsdag 18. november 2009

Hvordan nøytralisere datalagringsdirektivet.


Når datalagringdirektivet, dld, blir startet vil all trafikk til og fra din PC bli lagret av myndighetene i 6 mnd. De sier at det kun er fra og til-adresser de skal ta vare på, ikke selve innholdet. Så hvem din pc kontakter vet de, men hva du gjør vet de ikke.

En typisk periode fra en bruker vil være:

  • var vg.no 4 ganger, og 8 reklameservere som hadde reklamer på vg.
  • Sjekket e-posten. Antallet post sees av antall postinger som lastes ned.
  • Gikk til facebook, og klikket rundt der i 8 min.
  • Var på yr.no i40 sek, sjekket posten igjen.

osv.



All tekst som ble lest av deg er ikke lagret, men stort sett alt annet. Hvordan kan du som enkeltperson gjøre noe som helst mot dld? Det viser seg at det er forbausende enkelt.


Du må gjøre som østblokken gjorde i 70-årene, sende ut støy med din egen støysender.


Når man ikke kan forhindre at informasjon man ikke vil dele blir delt kan man utnytte dette med å dele alt for mye informasjon. En typisk bredbåndbruker har ca 2 Mbit inn og 200 k/sek ut i båndbredde. De færreste bruker dette, de bruker maks 1 - 2 % av det dersom det sees på over lengre tidsrom. (Dette gjelder naturligvis ikke de mest aktive fildelerene) Men dersom vi skulle bruke hele båndbredden, som vi jo betaler for, til å skjule vår egen aktivitet i, blir resultatet imponerende.



Dld sier at trafikken skal lagres, så vi bruker da et program som er skreddersydd til å lage denne typen trafikk. La oss kalle programmet dlddød. (Det finnes ikke i skrivende stund, men det er fort gjort å lage det) Programmets eneste funksjon er å sende ut og motta trafikk på nettet som ser ut som det er en vanlig bruker som genererer, men i så høyt volum som mulig. Hele tiden. Det trenger ikke å lese til eller skrive til disken din, og vil bruke minimalt med datakraft. Du vil aldri ha behov for å se det, det kan kjøre i bakgrunnen.



dlddød kan være en blanding av en nettleser og en p2p-klient, som kobler seg opp mot andre dlddød-klienter, andre p2p-klienter og all verdens nett-tjenester. Målet er å generere et kakofoni av nettverksforbindelser uten mål og mening, i alle retninger fullstendig uten mønster.

dlddød vil føre til at 99.999% av all trafikk til enhver pc er støy og spam, og fullstendig verdiløst. Det å finne ut hva som faktisk har blitt gjort av en person på pc'en , og hva dlddød har gjort blir en enorm datamining-operasjon. For å finne ut hva som har blitt gjort må først all støy fjernes fra loggen i dld. For der en vanlig pc uten dlddød genererer maks 1 mb data/døgn kan en pc med dlddød generere 1,7TB i døgnet. Og alt er bare støy. I løpet av 6 mndr blir dette over 300 TB pr bruker. Av disse 300 TB data er da minst 99.99999% støy og søppel.



Jeg vet ikke hvor mye dld koster å implementere, men jeg vet at dersom det skal investeres i hardware for å lagre 300 TB pr. pc som er på nett i norge blir det fryktelig dyrt. Og alle pengene går med på å lagre noe alle hvet er verdiløst. Det morsomste er at hele dld vil kollapse, for det vil da være umulig å benytte dataen som lagres til noe fornuftig.


Med en dlddød-løsninge kjørende på en pc vil det å finne ut bruker-historikken som ble skissert over å sammenlikne med et lite SETI-prosjekt. SETI har holdt på i snart 30 år og enda ikke funnet noe som helst..


Løsningen kan være så enkel som å si et så rungende ja til datalagring at ingen tør svare deg.

Og da er vi kanskje mer anonyme enn det vi er i dag?

14 kommentarer:

  1. Hvor står det at TIL-adressen skal lagres? Så langt jeg har lest er det bare MIN ip-adresse som lagres, ikke IP-adressen til webservere jeg besøker.

    SvarSlett
  2. Fra den listen du har skrevet, er det kun IP-adressen du bruker under økten, når den ble tildelt deg fra DHCP, og eventuelt når du koblet deg fra som skal lagres. Hvis du brukte e-post knyttet til en operatør (f.eks. Telenor), vil det kun lagres tidspunktet du koblet deg opp mot e-posttjeneren.

    Dvs. at hele problemstillingen din baserer seg på en misforståelse av hva DLD krever lagret...

    SvarSlett
  3. Direktivet sier:"
    I direktivet er ”data” definert som både trafikkdata, lokaliseringsdata og abonnements- og brukerdata i tilknytning til disse. Forslaget presiserer hvilke kategorier data som skal lagres: Data som er nødvendig for å spore og identifisere kilder til kommunikasjon, data nødvendig for å spore og identifisere destinasjon, data nødvendig for å identifisere dato, tid og varighet for kommunikasjonen, data nødvendig for å identifisere type kommunikasjon, data nødvendig for å identifisere brukers kommunikasjonsutstyr og data nødvendig for å identifisere lokalisering av mobilt utstyr. Også data knyttet til mislykket oppringning skal lagres (unsuccessful call attempt). Med bruker menes enhver privatperson eller virksomhet. Innholdet i den overførte kommunikasjonen er unntatt fra direktivet. "

    Dersom man definerer en nettleser som en "Kommunikasjonsutstyr" tror jeg ikke at jeg har bommet så mye. Du tror vel ikke at de som trekker DLD ned over hodene våre virkelig er opptatt av personvern og tolker alt i vår beste mening?

    SvarSlett
  4. Det skal faktisk også lagres f.eks. hvem du sender epost til. Enkelte land har også implementert dette så begynnelsen og slutten på enhver sesjon logges (dvs. i praksis det som beskrives i bloggen her).

    Og ideen som beskrives er jo slett ikke ny, eller særlig komplisert, men kan være effektiv i noen tilfeller.

    Et mer effektivt middel for å være anonym er å benytte seg av Tor:

    https://www.torproject.org/

    Dermed vil det for "alle andre" på internett se ut som du surfer (eller hva du måtte drive med) fra en helt annen IP-adresse enn din egen.

    Det finnes greie plugins til f.eks. Firefox som lar deg surfe gjennom Tor når du vil det, og utenom når du ikke ønsker det (f.eks. til nettbanken, intranettet på jobben eller andre steder man ikke vil være anonym.

    SvarSlett
  5. @bordsenius Vel, men da står det altså IKKE at det skal lagres hvilken IP-adresse jeg kobler meg opp MOT - bare hvilken IP-adresse jeg HAR.
    At det kan komme krav om lagring av til-adresse med andre lover senere, kan vel godt hende, men det er i så fall irrelevant i forhold til DLD.

    SvarSlett
  6. @ola_thoresen
    Jeg påberoper meg ikke noen ny ide, det var ikke meningen å påstå noe slikt. Men det er en morsom ide som gir masse problemer til overvåkerene, og ikke til de overvåkede.

    Dersom man benytter seg av Tor vil man (som visse amerikasnke akademikere allerede har oppdaget) bli oppfattet som unormal og ikke bare litt kranglete. Og Tor gir ikke overvåkerene noen reelle problemer. En datalogg som er 10.000 ganger for stor og full av støy og vås er et faktisk hinder for "The Man"

    SvarSlett
  7. @vidar

    "Data som er nødvendig for å spore og identifisere kilder til kommunikasjon, data nødvendig for å spore og identifisere destinasjon, "

    Kilde og destinasjon, det er deg og de du kommuniserer mot. Fra - til.

    Husk at de som skal implementere dette ikke tolker ting så pent som du og jeg gjør, leses dette litt optimistisk er det nærmest en "carte blanche" til overvåking.

    SvarSlett
  8. @bordsenius "Data som er nødvendig for å spore og identifisere kilder til kommunikasjon, data nødvendig for å spore og identifisere destinasjon, "
    Jeg antar du siterer en oversettelse herfra: http://tinyurl.com/yzwk3p9, side 15, hvor det ganske riktig står "data necessary to identify the destination of a communication" når det gjelder telefonsamtaler og eposter, men INGENTING om IP-adresser til webservere jeg besøker. Eksemplene i blogg-innlegget ditt er dermed ugyldige.

    Kan du være så snill å lese DLD grundig før du blogger om det?

    SvarSlett
  9. @vidar

    Fra EØS-notatet:
    "Formålet med direktivet er å harmonisere de enkelte EU-medlemslands lovgivning knyttet til lagring av nærmere definerte data fremkommet ved bruk av elektronisk kommunikasjon. "

    "I direktivet er ”data” definert som både trafikkdata, lokaliseringsdata og abonnements- og brukerdata i tilknytning til disse. Forslaget presiserer hvilke kategorier data som skal lagres: Data som er nødvendig for å spore og identifisere kilder til kommunikasjon, data nødvendig for å spore og identifisere destinasjon, data nødvendig for å identifisere dato, tid og varighet for kommunikasjonen, data nødvendig for å identifisere type kommunikasjon, data nødvendig for å identifisere brukers kommunikasjonsutstyr og data nødvendig for å identifisere lokalisering av mobilt utstyr. Også data knyttet til mislykket oppringning skal lagres (unsuccessful call attempt). Med bruker menes enhver privatperson eller virksomhet. Innholdet i den overførte kommunikasjonen er unntatt fra direktivet. "

    Der du snakker om telefon og e-post snakker de som alle former av elektronisk kommunikasjon. ip-telefoni, nettlesere, all kommunikasjon. ALT!


    Jeg avslutter vår diskusjon her, din siste kommentar fravristet meg med ett min videre skrivelyst.

    SvarSlett
  10. ... og hvis du leser noen sider videre, så kommer du til avsnittet hvor det spesifiseres nøyaktig HVA som skal lagres.
    Enig at diskusjonen er lite fruktbar, når du åpenbart bevisst lar være å lese dokumentet du siterer fra.

    Det som er værre, er at sånne blogginnlegg ødelegger for de LEGITIME argumentene mot DLD - som også jeg stiller meg bak.

    SvarSlett
  11. Dette her blir for dumt, Bordsenius. Alt i direktivet er nøye definert, og det er på ingen måte mulig å tolke en nettleser som "kommunikasjonsutstyr" ut fra dets definisjoner.

    Det står blant annet at dette gjelder tilbydere av offentlig tilgjengelig kommunikasjonssystemer, og dette defineres også veldig nøye.

    IKT-Norge, Gisle Hannemyr, og en rekke andre som feilaktig trodde på dette før har allerede innrømmet at de tok feil om det.

    §5 i direktivet definerer høyst nøyaktig akkurat hva som skal lagres for hvilken type kommunikasjon, noe du har tatt ut av sammenheng og presentert som en tvetydig suppe.

    But entertain me: pek til tekst fra DLD som underbygger premisset du har i innlegget. Det vil du ikke klare, fordi det er ingenting som står der som går ut på å lagre hvilke nettsider du har vært inne på.

    SvarSlett
  12. Jeg sliter litt med å se hvordan det skal skilles mellom e-post (som skal lagres) og web-mail (som dere mener er noe helt annet). Og mellom telefon og skype. Og ip-telefon.

    Men poenget med mitt innlegg var ikke å flisespikke om detaljer og tolkninger i DLD, jeg ville få frem at det er mer enn en måte å flå en katt, eller stoppe et direktiv om man vil det.

    SvarSlett
  13. Det er kun operatørbasert e-post som er rammet av DLD, fordi det er en tjeneste levert av leverandører av offentlige tilgjengelig kommunikasjonssystemer, à la Telenor.

    Fra direktivet:

    "providers of publicly available
    electronic communications services or of public communications
    networks"

    Definisjonen på dette er nedfelt i et tidligere EU-direktiv:

    "‘electronic communications service’ means a service
    normally provided for remuneration which consists wholly
    or mainly in the conveyance of signals on electronic
    communications networks, including telecommunications
    services and transmission services in networks used for
    broadcasting, but exclude services providing, or exercising
    editorial control over, content transmitted using electronic
    communications networks and services; it does not include
    information society services, as defined in Article 1 of
    Directive 98/34/EC, which do not consist wholly or mainly
    in the conveyance of signals on electronic communications
    networks;"

    Read:
    https://www.centr.org/main/4019-CTR/version/4/part/12/data?branch=main&language=default

    Så, nei, det er ikke dårlig definert hva, hvem, og når. Det er veldig nøye definert, hvis man bare tar seg bryet med å lese definisjonene og teksten nøye nok.

    SvarSlett
  14. @bordsenius Og dermed burde vel diskusjonen være avklart: http://www.digi.no/829069/eu-direktivet-kartlegger-ikke-surfevaner

    SvarSlett