1 + 1 = 2 ?: Telenor og Netcom lagrer nettsurfing?

4. januar sto følgende i Aftenposten

Mistenker at Telenor og Netcom lagrer hva du mobilsurfer på.
I desember ble det avslørt at Network Norway(*1) lagrer hva du surfer på. Nå vil Datatilsynet også undersøke de andre leverandørene
...

De andre operatørene: - Vi lagrer ikke

Aftenposten.no har vært i kontakt med Ice, Telenor og Netcom. Samtlige avkrefter at de lagrer noe som helst av nettlogger.

- Telenor lagrer ikke URL-er (nettadresser) fra kundenes surfing, er svaret fra Telenors informasjonssjef Anders Krokan.

- Netcom lagrer ting av fakturahensyn eller feilrettingshensyn, men å lagre nettadresser har vi ingen interesse av. Derfor har vi som standard i våre systemer å slette slik informasjon, sier kommunikasjonssjeef Øyvind Vederhus i Netcom.

- Ice lagrer ingenting av innhold. Vi lagrer bare hvor stort forbruket er, svarer daglig leder av Ice, Eivind Helgaker.

Jeg merket meg den noe spesielle utformingen av svarene:

Telenor indikerer at mye muligens logges:
Ved å si at de ikke lagrer URL'er, så åpner de for et nytt spørsmål de ved denne formuleringen unngikk: Lagres nettadressene, dvs. domenenavn eller destinasjones IPadresse?

Nettcom indikerer tilsvarende.
Ved å indikere at de lagrer "ting" ... mens de har standard for å slette slik informasjon. Trenger en sletterutiner for noe en i utgangspunktet sier en ikke lagrer?

Ice "lagrer ikke innhold" - men det er åpent hva de mener med "innhold".
En link til innhold (via domenenavn eller IPadresse) gir nettopp innholdet, og kanskje mente de oppriktig at de ikke lagrer hverken URL'er, domenenavn eller IPadresser (som alle 3 representerer linker til innhold).

Etter at Datatilsynet har sjekket
.... så kan vi lese i dag:

Telenor og Netcom lagrer likevel kunders nettsurfing

Telenor og Netcom selskapene har innrømmet at de lagrer hvilke nettsider kunder som bruker WAP surfer på.

Dette betyr at samtlige mobilbrukere med telefoner som nytter WAP får overvåket innholddata. Og at også de resterende mobilbrukerne har blitt overvåket tidligere.

For smarttelefoner så lagrer Telenor og Netcom "destinasjons-IPer" til sine kunder.

Hva Aftenposten skriver her "Dette viser ikke hvilke nettsider kundene har besøkt"
er en tvilsom sannhet med minst 2 svært viktige korreksjoner:

En god del nettsteder har et 1:1 forhold mellom domenenavn og IPadresse.
Dette betyr at om en vet IPnummeret kan en slå opp domenenavnet.
Eksempelvis kan en aksessere VG's nettavis ved bare å nytte IPnummeret (http://195.88.55.16).
Det samme er tilfelle for noen politiske partier, organisasjoner og en rekke andre nettsteder.
Og der er verktøy for å transformere fra IPadresse til domenenavn, som "Whois", men også mange andre som gir rimelig mye detaljert informasjon om en IPadresse.

Andre nettsteder deler samme IPadresse. Altså at forhold mellom domenenavn og IPadresse er n:1. Dette er tilfelle for Aftenposten.no, men hvis "Whois" informasjon = Schibsted ASA med adresse Aftenposten.

Da web-protokollen (http/1.0) ble spesifisert antok en at forholder mellom domenenavn og IPadresse var 1:1. I ettertid ble dette endret for å simplifisere webhoteller, dvs. at flere domenenavn kan dele IP-adresse
(RFC 2616 beskriver http/1.1 og multihomed webservere).
Når en bruker (via sin nettleser) sender en forspørsel til et nettsted, så sendes en "http request header". Denne inneholder også et "host" element ved siden av brukerens IPadresse, hvor "host" identifiserer den tjenesten en søker, som i realiteten er domenenavnet.

Sagt med andre ord, om en logger http request header så får en med seg også hvilke tjeneste/domenenavn avsender søker etter -uten at en trenger URL'en (linken).

URL trenger en kun for å finne (i tilfellet ovenfor) den eksakte artikkelen som ble lest.

Det er altså uklart hva "destinasjons-IPer" betyr. Er dette "metadata" (?) som er et passe ullent begrep egnet for å tilsløre realiteter.
Kanskje er dette "metadataene" eller "nettflow" som kan dekkes bak en uklare DLD (norsk) spesifikasjon:

....sier også at Telenor tidligere har lagret informasjon om kunders surfing med mobildata, og selskapet skriver i brevet at de kan finne det nødvendig å lagre slik data i fremtiden

En kan ikke dekke dette bak at det er data for faktureringsgrunnlag.

Det har ingen relevans for fakturaen hvilke IPadresser brukeren har besøkt.
Lagringstiden er oppgitt fra få dager til maks 30 dager, og skal da, om dette er riktig, være slettet når faktureringen skjer. (Kundene klager eventuelt i etterkant av fakturaen, og da er dataene slettet. Eller?)

Men det kan nyttes til datamining og profiling, noe som Telenor omtaler slik
(Netcom refererer kun til TeliaSonera's policy som har et "interessant" paragraf om "infringements")

Personprofiler er en sammenstilling av opplysninger vi har fått fra deg som for eksempel navn, adresse, andre opplysninger du har oppgitt, hvilke tjenester du bruker og trafikkopplysninger. Vi bruker slike profiler for å tilpasse våre tilbud til den enkelte kunde og som underlag når vi utvikler nye produkter.

Jeg vet ikke om noen har erfart noensinne at overvåking av ens vaner og personlige sfære noensinne har ført til "bedre tjenester" eller "bedre produkter"....

Det er også problematisk å nytte slike mobiltjenester profesjonelt, noe jeg har nevnt tidligere (se *1). En teleoperatør eller nettleverandør skal ikke overvåke bedrifters kontaktnett og interesseområder - det kan lede til industrispionasje, noe som er dokumentert fra "Echelon".

Etter å ha lest den tvilsomme formuleringen fra Telenor og Netcom
kontaktet jeg sistnevnte 5.januar.....
og har også mottatt svar på ting jeg ikke har spurt om, men som tilsynelatende kan virke "greie" .... mot å forebygge for flere spørsmål:

fra Netcom 6.januar:

NetCom loggfører ikke IP-adresser til (web/mail) servere som du kobler meg mot. Dette gjelder også webmail.
NetCom loggfører ikke vertsnavn til server (reverse DNS).
NetCom loggfører ikke URL fra http request.
NetCom loggfører ikke portnummer. Vi har imidlertid ut fra eksisterende og planlagte tjenester klassifisert datatrafikk med internett eller epost, noe som nå vises på din faktura. På vår gateway blir all trafikk som går over port 143 (IMAP), port 110 (POP3) og port 25 (SMTP) gruppert i kategorien epost og all annet trafikk kategorisert som internett.
NetCom loggfører ikke innkommende forbindelser.
Vi bruker ikke proxy.

fra Netcom 15.januar:

Vi lagrer ikke noen http requester, men teller opp volumet i MB på pakker med feks port 25, 143 og 110 på oppkoblingen som er.
Det blir så laget en data record som forteller antall MB på de email portene, men ikke hvilke IP-adresser, eller noe som kan fortelle om destinasjonsadresse.

Jeg har fått et løfte om at jeg skal få svar (men venter fortsatt).

Mine spørsmål er relatert å forstå hvordan og hvorfor Netcom filtrerer trafikken og hva de registrerer for hvilke formål.

Punkt 1 (fra 6.januar) er ikke entydig nok til å forstå om noe logges (eksempelvis hvordan kan de skille ut web/mail fra annen trafikk uten å filtrere ut http...).
Punkt 2 indikerer at noe blir logget (det er ellers ikke relevant å nevne reverse DNS, dvs. å finne domenenavn fra en gitt IPadresse)
Punkt 3 indikerer også at noe logges (URL er bare en av de tingene som kan logges, ref. hva jeg skrev ovenfor.)
Punkt 1 til 3 blir delvis forklart med dagens mediaoppslag (tvilen kom ikke Netcom tilgode, for å si det slik).

Punkt 4 vekker mistanke om at mail sorteres ut for et spesifikk formål. Slik det står skrevet fra Netcom så vil de sjekke (filtrere) mail også om denne ikke er til/fra Netcoms egne mailservere (Dvs. også om brukeren nytter eksempelvis en annen mailtjeneste som ikke er Netcoms).
Punkt 5 føyer seg inn i rekken av å svare på ting jeg ikke spurte om - og understøtter mistanken om at svarene er generert før spørsmålene ble stilt, eventuelt for å forebygge at spørsmål stilles.

Punkt 6 bekrefter at de kan eksempelvis nytte DPI (deep packet inspection)

Punktene fra 15.januar trenger en utdypende forklaring (ref. punkt 4).

Dette venter jeg svar på:

Q1. hvorvidt http-request logges overhode (Dette ble svart "Ja" på iflg. dagens media oppslag)

Q2. hvorvidt det brukes deep packet inspection - DPI. Bekrefte/avkrefte.

Q3. Hvordan filtreres "all trafikk som går over port 143 (IMAP), port 110 (POP3) og port 25 (SMTP) i kategorien epost"?
Q4.En bruker kan kommunisere over disse portnummer, uten at dette er til (eller fra) en server (eller tjenester) hos Netcom.

Skal det forstås slik at dere også "teller" mail mellom bruker og en server utenfor Netcom's domene?
Q5.Hva med trafikk over port 143 (IMAP), port 110 (POP3) og port 25 (SMTP) som er til/fra server som ikke tilhører Netcom (Hvorfor skal Netcom overvåke mail som ikke går via deres tjenester)?
Q6. Hva med SIP/VoIP, sorterer dere også ut denne trafikken?

Avhengig av svarene kan det bli flere spørsmål....

Etter medias oppslag, har jeg ytterlig nye spørsmål (en de som nevnes ovenfor)...

PS: DPI er ikke i seg selv kritikkverdig, avhengig av anvendelse og formål.
Funksjonaliteten ligger i en del operativsystemer og er også hva en brannmur (firewall) gjør.
DPI brukt for å skille ut trafikk for overvåking, skille ut tjenester for blokking (VoIP, SIP), trottling av nettet eller for å konfigurere ikke-nøytrale nett ...er en helt annen sak...
DPI nyttet for å sjekke brukers nettvaner er... vel, noe i overkant intrusivt.

27.februar:
Netcom har svart på noen spørsmål.
Blandt annet at Netcom nytter Deep Packet Inspection (DPI).
Men har frastått å svare på ang. filtrering av SMTP/POP/IMAP (internet e-mail).

14.mars : Fortsatt ikke svar.

25.mars : Netcom svarer ikke på spørsmål som kan avklare bl.a. hvorfor de filtrerer ut mail som ikke er til eller fra mailboks levert av Netcom. (Dvs. mail som er i transitt hos Netcom, og som de ikke har lov å logge eller lagre).

Oppdatering pr. 27.mars:

Fra tidligere mail til Netcom:

"Jeg antar dere har noen som kjenner internet mail (og som vil forstå spørsmålet) - men dette betyr eksempelvis:
1) POP/IMAP Jeg kan være kunde av Netcom, men bruker min mail-client (fra PC hjemme eller mobil) for å lese mail fra for eksempel min arbeidsgiver. Jeg konfigurerer mailklienten for å bruke POP eller IMAP for dette.
2) Jeg sender mail fra min egen mailserver (hjemme eller på jobben), hvor smtp (fra min mailserver) går direkte til destinasjonen (utenfor Netcom)

I begge disse tilfellene så er mailtrafikken ren datatrafikk hos Netcom (trafikk i transitt), men du skrev av all IMAP/POP/SMTP blir filtrert ut av Netcom.
Om så er riktig, så filtrerer dere også ut mail som verken er til eller fra en Netcom mailtjeneste."

Svar fra Netcom:

"Det er riktig, vi klassifiserer datavolumet i punkt 1 og 2 også som mail. Dette som følge av at en del har inkludert datatrafikk som er generert mail protokoller, dvs si betaler ikke for datatrafikken.
I denne klassifiseringen som vi gjør vil jeg presisere at vi ikke har mulighet å se hvem mailen er til eller hvem den er sendt fra eller noe av innholdet i mailen. Vi kan kun summere opp datavolumet på denne trafikken."

Oppsummert:
(Netcom har fått kopi av dette, med forespørsel om de har noe å tilføye eller innvende)
Svaret er en diffus omskriving av at det registreres informasjon (om mengden mailtrafikk) som ikke er relatert fakturering.

Netcom nytter Deep Packet Inspection (DPI) for å registrer hva bruker nytter internet til, også om denne tjenesten ikke er levert fra Netcom, og kaller dette "å klassifisere" brukerdata, noe som strengt tatt ikke vedgår Netcom.
Der er ingen behov relatert fakturering e.l. for mailutveksling som ikke nytter Netcom's egne mailtjenester.
Likevel filtrerer Netcom ut mail i transitt og registrerer mail-data utenfor Netcom's egen mailtjeneste, dvs. mail (SMTP/IMAP/POP) direkte til/fra gmail, hotmail, arbeidsgiver og enhver annen 3je.part hvor Netcom's egen mailtjeneste ikke er involvert.

Analogien til dette er at postbudet teller ordene i private brev i transitt mellom 2 destinasjoner.
Eller at parkeringsvakten utenfor butikken teller opp varene du har kjøpt, for å "klassifisere" innholdet.

Mail i transitt er ikke relevant for DLD, og der er heller ingen logisk eller teknisk grunn til at en nettleverandør skal logge hvor mye mail brukeren sender/mottar utenfor nettleverandørens egen (mail)tjeneste.
For mail via nettleverandørs egen mailtjeneste (som eventuelt vil blir underlagt DLD i fremtiden) er der ikke behov for DPI da slike data kan tas direkte fra tjenestens egen logg.

Tilleggsinformasjon

Netcom eies av TeliaSonera.

Svenske SVT "Uppdrag granskning" har laget dokumentaren "de svarta lådorna".

Programmet anbefales å se - det er tilgjengelig t.o.m. 29.juni 2012: (se link).

Teliasonera samarbetar i hemlighet med säkerhetstjänster i några av världens hårdaste diktaturer. Via mobiloperatörerna kontrollerar regimerna sina egna medborgare – och tystar de kritiska röster som kan spåras.

Ref. Teliasonera i hemligt samarbete med diktaturer