onsdag den 24. februar 2016

Omar, PowerPoint og sessionslogningen

De seneste par dage har Rigspolitiet været på charmeoffensiv. Det lugter af at forslaget om sessionslogning snart sendes i høring, for der er i den grad skruet op for intensiteten i argumentationen.

I de seneste par dage har politiet oplyst, at de mente at sessionslogning kunne have hjulpet med at pågribe Omar El Hussein tidligere under den såkaldte manhunt og så har politiet offentliggjort en PowerPoint-præsentation med argumentation for hvorfor de vil have sessionslogning. Herunder vil jeg gerne knytte et par kommentarer disse nye oplysinger.

Omar

Da embedsmændene i Justitsministeriet den 29. januar 2016 overbragte os nyheden om at sessionslogningen var på vej retur, nævnte de ikke ordet terror en eneste gang. Nu er tonen en anden, og terrorhandlingerne i København sidste år bringes nu ind i debatten.

Til Ritzau siger chefpolitiinspektør Jørgen Bergen Skov fra Københavns Politi om Omar El-Hussein:

Vi ved, at han havde en mobiltelefon med datasimkort på sig, og at han opdaterede sin Facebookprofil inden angrebet. [...] Men i jagten på gerningsmanden var vi forhindret i at klarlægge, om han søgte på en given adresse, om han var i gang med at bestille en taxa, eller om han kommunikerede med andre.

Hvilket gentages, ganske alarmistisk, på Søren Pinds Facebook-side:

Kære medier! Truslen mod Danmark er alvorlig. Vil I ikke nok også tage den så alvorligt, at I i det mindste prøver at forstå, hvad der sker. [...] Politiet siger til mig, at dette instrument kunne have ført til, at Omar El Hussein evt. ville være blevet pågrebet hurtigere.

Rigspolitichef Jens Henrik Højbjerg ikke vil udtale sig om den specifikke sag til TV 2:

Fordi sagen stadigt er verserende, ønsker rigspolitichefen ikke at sige klart, om sessionslogning ville kunne være anvendt i timerne efter terrorangrebene i København sidste år.

– Men jeg vil sige, at man i en tilsvarende sag ville kunne bruge det her både i forhold til et »manhunt-scenarie« og i efterforskning.

Men der er desværre en lang række logiske og faktuelle problemer i den udlægning af sagen.

For det første skal politiet kende til telefonens eksistens og de skal have en måde at identificere den på (fx telefonnummer). I Rigspolitiets egen redegørelse i sagen, står det helt klart at myndighederne ikke var bekendt med Omars internet-mobil, før efter den var blevet sikret efter Omar var blevet skudt.

Efterforskningen har vist, at gerningsmanden havde taget en ny telefon i brug med et nyt, uregistreret taletidskort den 14. februar 2015 om eftermiddagen ca. 2 timer før skudattentatet mod Krudttønden. [...]

Aflytningen gav imidlertid intet resultat, idet nummeret ikke blev anvendt efter aflytningens iværksættelse, ligesom de historiske oplysninger ikke gav resultat, da der var tale om en helt ny telefon. [...]

Derudover har efterforskningen vist, at gerningsmanden medbragte yderligere en mobiltelefon, som var isat et data SIM-kort.

(Min fremhævning)

Politiet var således bekendt med nummeret på hans almindelige mobil, da han havde ringet efter en taxa, og man via taxa-selskabet kunne finde frem til nummeret. Men man kender slet ikke til internet-mobilen på det tidspunkt, hvor man søger efter Omar i Københavns gader. Derfor ville man ikke kunne bruge sessionslogningen til at finde Omar med.

Det kan jo ske at politiet var bekendt med nummeret alligevel (måske har Klausdalsbrovej eller Skydebanevej bedt om at denne oplysning ikke kom med i redegørelsen).

I det tilfælde har politiet en lang række andre værktøjer i retsplejeloven, som giver langt bedre oplysninger om Omars færden og i langt højere kvalitet, end sessionslogning. Nogle af mulighederne brugte politiet allerede på taxa-mobilen: aflytning (det kan man også på internetforbindelser) og teleobservation (overvågning af hvilke master en mobil forbinder til i realtid).

I efterforskningsøjemed kan man tillige foretage dataudlæsning af mobilen, når politiet står med den i hånden. Det skete også med alle Omars mobiler (fra redegørelsen):

Kl. 05.11 anmodede KSN AKS og efterforskningspersonalet om at visitere gerningsmanden for våben, id og mobiltelefoner. Mobiltelefoner skulle hurtigst muligt køres til Teglholmen for udlæsning med henblik på at identificere evt. medgerningsmænd.

Dette giver i visse tilfælde også langt mere information, fx browserhistorik, som ikke kan opnås ved hjælp af sessionslogning.

PowerPoint

Den 22. februar 2016 offentliggjorde Rigspolitiet ni PowerPoint slides om behovet for sessionslogning. Tilsyneladende er det i enheder af ni PowerPoint slides, at sessionslogning skal præsenteres.

På slide 5 sidestilles sessionslogning med telelogning:

Grundlæggende er der tale om samme type af oplysninger. Logning af telefonitrafik adskiller sig teknisk fra logning af internettrafik.

Det kan næppe være en mere forkert sammenligning. Man kan ikke sidestille sessionslogning med telelogning. Slet ikke sige, at det er same type af oplysninger som registreres:

  • Loggede teleoplysninger information om personer der har snakket sammen, og for sessionslogning er det maskiner der har kommunikeret.

  • Sessionslogning indeholder oplysninger om alle aktiviteter på internettet, ikke kun kommunikation, men også oplysninger om besøg på fx hjemmesider. Langt flere oplysninger registreres end blot telefonopringninger og sms-beskeder.

  • Sessionslogninger kan ikke nødvendigvis henføres til en unik hjemmeside, person eller tjeneste.

  • Sessionslogninger kan finde sted uden aktiv brug af telefonen eller udenfor brugerens kontrol, fx aktiekurser opdateres eller reklamer vises på hjemmesider.

Derudover kommer Rigspolitiet med tre eksempler på sessionslogning:

  1. En slags udviddet service til virksomheder, der ikke selv benytter sig af logfiler på services der vender mod internettet.

  2. Logning af en Skype-samtale og lokationslogning på mobil-data. Dette er i høj grad App-specifikt. En iMessage-besked eller besked via Facebook messenger, ville ikke afsløre modtager, eller at der overhovedet var kommunikeret over den tjeneste.

  3. Bevis for uskyld, eneste kendte eksempel på sessionslogning.

Der er ikke meget kød på eksemplerne. Men det er også utroligt svært at kommunikere så komplekse emner via PowerPoint.

Jeg håber at høringsmaterialet har lidt højere lixtal end de 2 x 9 slides vi har set ind til videre.