drageide.com/blog

It wasn’t me

Noen har vist lest bloggen min :)

Etter at “Lars 16″ laget programmet som tappet Tele2 sine nettsider for personnummer og tilhørende personinformasjon så gikk Tele2 relativt raskt ut og fikset hullet i nettsidene og sendte ett, etter min mening, heller dårlig informasjonsbrev til de som var berørt av dette. Det viser seg imidlertid at noen fant ut at Combitel, gjennom GoBergen kampanjen, også hadde en tilsvarende elendig nettløsning og at noen laget ett nytt program, eller skrev om Lars sitt og tappet også denne maskinen for personnummer.

Dette kom derimot ikke frem i media og Combitel lot hendig nok være å informere noen om dette. Min mening er at Combitel har ett personlig annsvar og en moralsk forpliktelse til å informere alle disse kundene om hva som har skjedd. Men siden dette nok ville ført til at Combitel kom i ett dårlig lys valgte de å la være. Som firma så mener jeg at Combitel ikke trenger å fortelle offentligheten om inbrudd i datasystemer o.l. Men jeg mener at de som en bedrift med tilgang til å gjøre oppslag i folkeregisteret burde være forpliktet til å melde fra dersom de mister personinformasjon som følge av inbrudd eller egen dummhet.
Jeg liker tanken til Bruce Schneier om at firma som lar denne typen informasjon lekke bør være annsvarlige for eventuelle tap som blir påført andre f.eks ved ID-tyveri.

Menmen, nå må jeg gå og vekke Jr. som ligger på sofaen og har feber stakkar.
Det skal dog sies at legen på barneklinikken gav han verdens beste medisin i går og at jeg mener at denne formen for medisinering burde vært brukt mer utstrakt i min barndom. “Gi han gjerne Lollipopis, saft eller andre drikker som inneholder sukker og andre næringsstoffer. Det viktigste er at han får i seg nok væske.”

Combitels elendige personvernholdning

Alle som kjenner meg over middels godt veit at eg er interessert i personvern og datasikkerhet.
Eg vart derfor svært skuffa då eg tidlegare denne helga kom over nettsidene til Combitel sin GoBergen kampanje.
Dersom ein ynskjer å bestille breiband via Combitel får ein presentert ei flott side der allt ein treng å gjere er å fylle inn personnummeret sitt, så har dei ordna det til slik at kundane slepp å fylle inn sitt eige namn og addresse. Veldig kundevenleg og greitt.

Det er imidlertid fleire alvorlege problem ved denne sida.
Det første er at sida ikkje benytter SSL for å sikre kommunikasjonen mellom tjenermaskina og kunden som ynskjer å bestille abbonemang. Dette gjer det mulig for andre å få tak i personnummeret til eventuelle kunder som besøker sida.
Men sidan ein ikkje akkurat treng å vere heksedoktor for å generere gyldige personnummer, så kan ein kanskje sei at dersom ein person er i stand til å snappe opp denne trafikken så kan ein like godt generere gyldige personnummer sjølv.

Dette tek meg videre til problem nummer to med denne sida.
Eit personnummer er bygd opp på følgjnde måte:
d₁d₂m₁m₂y₁y₂ i₁ i ₂ i₃ c₁ c₂
Dei seks første er fødselsdag, månad og år. Dei tre neste siffera utgjer eit individnummer som blir og dei to siste er to kontrollnummer som kan reknast ut frå dei andre. For meir om personnummer kan ein sjå på wikipedia.

Poenget mitt er at sidan personnummera følgjer eit slikt bestemt system er det enkelt å generere alle mulige potensielle personnummer for ein bestemt dato. Men man kan ikke vite om dette er personnummer som brukes av noen eller ikke.
Men slike nettsider som den overnevnte kan man da bruke som en kilde til “data-mining” hvor man bruker de genererte personnummerene som input og så bruker man svaret fra nettsiden til å forkaste nummeret eller til å lagre data om personen nummeret tilhører.

For eksempel kan man vha personnummer og postnummeret som er registrert i folkeregisteret lett flytte posten til nokon via posten sine nettsider.
Eller ein kan benytte personnummera ein sit att med til eit distibuert anngrep mot nettbanker som ein finn beskrevet i fleire artiklar, mellom anna på nowires.org.

Det var altså litt om kva muligheter ein har når slik informasjon vert tilgjengelig via internett.
Men det som er ekstra trist er at ein enkelt kunne ha redusert risikoen for denne typen ondsinnet bruk av nettsidene.
For det første så er det ikkje nødvendig å ha eit slik oppslag på personnummer i det heile, men dersom ein absoulutt ynskjer å ha det så kunne ein også bedt om at brukaren oppgav det folkeregistrerte postnummeret sitt også og så sjekka at det stemte overens med dei registrerte opplysningane før ein lista opplysningane om personen.

Om fair trade og slikt ( Kaffe for deg som ikke liker slaver)

Etter å ha studert informatikk i snart tre år har jeg etter hvert lært meg til å drikke kaffe. Den siste tids reduksjon i antall timer søvn pr natt har ikke gjort noe for å redusere kaffeinntaket mitt. Med dette som bakgrunn oppdaget jeg tidligere denne måneden av kaffeautomaten i BIO-blokken har fått nye priser.
En kopp kaffe har steget fra to til tre kroner, skandale.. Men etter å ha lett litt rundt og lest på de ulike lappene på maskinen oppdaget jeg at dette i grunn ikke var så ille. De som har annsvar for automaten har nemlig bestemt seg for å gå over fra vanlig Friele kaffe til Max Havelaar kaffe, også kjent som “fair trade coffe”. Det som er spesielt med denne kaffeen er at den er kjøpt fra kaffebønder som er garantert en minstepris for varene sine.
Oki, i grunn et greit konsept, siden man ikke utnytter fattige kaffebønder fra Guatemala. Men når jeg tenker meg om så er jo i grunn det Friele sier her at “Ja vi utnytter kaffebønder rundt i verden og gir dem elendig betalt for kaffebønnene sine. Vi har egentlig heller ikke noe problem med å gjøre dette, men dersom du føler at kaffen din smaker litt dårlig samvittighet, ja da kan du kjøpe deg god samvittighet her.” Er det bare jeg som synest dette blir litt merkelig eller?