drageide.com/blog

Digital Image Frame

For en stund siden, nærmere bestemt i fjor sommer fant jeg ut at den gamle Compaq Presarioen til Kjersti ikke var brukbar til noe som helst, så jeg bestemte meg for å lage en sånn digital bilderamme av den.
Som pappa så må man jo ha noen prosjekter som man kan ta med seg i boden og jobbe med når det hele blir for mye :)

Etter å ha vært på Clasen for å kjøpe skruejern som passet, Compaq måtte jo selvsagt bruke sære skruer, så gikk jeg til angrep og fjernet “unødvendig” hardware. Så om noen trenger et 56.6K modem til en gammel presario så gi en lyd :)

Til å begynne med så startet jeg med å installere Damn Small Linux som var meget egnet til oppgaven som operativsystem på en slik maskin. Oppstarten gikk fort og det var relativt enkelt å få til det meste. Men etter en liten stund så begynte harddisken å streike.
Etter å ha anskaffet en billig brukt harddisk ( som jeg fortsatt skylder penger for.. ) så hoppet jeg over til Xubuntu da jeg hadde fått noen flere gode tanker om ting jeg også kunne dytte inn i rammen. ( mer om det kommer sikkert ved en senere anledning )

Etter to kvelder med litt fiksing og triksing fikk jeg alt opp å snurre omtrent akkurat slik som jeg ville ha det. Så nå har jeg vært flink og lagt ut noe her for første gang på flere måneder.

Sitter med noen vage planer om andre morsome ting jeg kan gjøre med denne, men de kommer etter hvert.

It wasn’t me

Noen har vist lest bloggen min :)

Etter at “Lars 16″ laget programmet som tappet Tele2 sine nettsider for personnummer og tilhørende personinformasjon så gikk Tele2 relativt raskt ut og fikset hullet i nettsidene og sendte ett, etter min mening, heller dårlig informasjonsbrev til de som var berørt av dette. Det viser seg imidlertid at noen fant ut at Combitel, gjennom GoBergen kampanjen, også hadde en tilsvarende elendig nettløsning og at noen laget ett nytt program, eller skrev om Lars sitt og tappet også denne maskinen for personnummer.

Dette kom derimot ikke frem i media og Combitel lot hendig nok være å informere noen om dette. Min mening er at Combitel har ett personlig annsvar og en moralsk forpliktelse til å informere alle disse kundene om hva som har skjedd. Men siden dette nok ville ført til at Combitel kom i ett dårlig lys valgte de å la være. Som firma så mener jeg at Combitel ikke trenger å fortelle offentligheten om inbrudd i datasystemer o.l. Men jeg mener at de som en bedrift med tilgang til å gjøre oppslag i folkeregisteret burde være forpliktet til å melde fra dersom de mister personinformasjon som følge av inbrudd eller egen dummhet.
Jeg liker tanken til Bruce Schneier om at firma som lar denne typen informasjon lekke bør være annsvarlige for eventuelle tap som blir påført andre f.eks ved ID-tyveri.

Menmen, nå må jeg gå og vekke Jr. som ligger på sofaen og har feber stakkar.
Det skal dog sies at legen på barneklinikken gav han verdens beste medisin i går og at jeg mener at denne formen for medisinering burde vært brukt mer utstrakt i min barndom. “Gi han gjerne Lollipopis, saft eller andre drikker som inneholder sukker og andre næringsstoffer. Det viktigste er at han får i seg nok væske.”

Combitels elendige personvernholdning

Alle som kjenner meg over middels godt veit at eg er interessert i personvern og datasikkerhet.
Eg vart derfor svært skuffa då eg tidlegare denne helga kom over nettsidene til Combitel sin GoBergen kampanje.
Dersom ein ynskjer å bestille breiband via Combitel får ein presentert ei flott side der allt ein treng å gjere er å fylle inn personnummeret sitt, så har dei ordna det til slik at kundane slepp å fylle inn sitt eige namn og addresse. Veldig kundevenleg og greitt.

Det er imidlertid fleire alvorlege problem ved denne sida.
Det første er at sida ikkje benytter SSL for å sikre kommunikasjonen mellom tjenermaskina og kunden som ynskjer å bestille abbonemang. Dette gjer det mulig for andre å få tak i personnummeret til eventuelle kunder som besøker sida.
Men sidan ein ikkje akkurat treng å vere heksedoktor for å generere gyldige personnummer, så kan ein kanskje sei at dersom ein person er i stand til å snappe opp denne trafikken så kan ein like godt generere gyldige personnummer sjølv.

Dette tek meg videre til problem nummer to med denne sida.
Eit personnummer er bygd opp på følgjnde måte:
d₁d₂m₁m₂y₁y₂ i₁ i ₂ i₃ c₁ c₂
Dei seks første er fødselsdag, månad og år. Dei tre neste siffera utgjer eit individnummer som blir og dei to siste er to kontrollnummer som kan reknast ut frå dei andre. For meir om personnummer kan ein sjå på wikipedia.

Poenget mitt er at sidan personnummera følgjer eit slikt bestemt system er det enkelt å generere alle mulige potensielle personnummer for ein bestemt dato. Men man kan ikke vite om dette er personnummer som brukes av noen eller ikke.
Men slike nettsider som den overnevnte kan man da bruke som en kilde til “data-mining” hvor man bruker de genererte personnummerene som input og så bruker man svaret fra nettsiden til å forkaste nummeret eller til å lagre data om personen nummeret tilhører.

For eksempel kan man vha personnummer og postnummeret som er registrert i folkeregisteret lett flytte posten til nokon via posten sine nettsider.
Eller ein kan benytte personnummera ein sit att med til eit distibuert anngrep mot nettbanker som ein finn beskrevet i fleire artiklar, mellom anna på nowires.org.

Det var altså litt om kva muligheter ein har når slik informasjon vert tilgjengelig via internett.
Men det som er ekstra trist er at ein enkelt kunne ha redusert risikoen for denne typen ondsinnet bruk av nettsidene.
For det første så er det ikkje nødvendig å ha eit slik oppslag på personnummer i det heile, men dersom ein absoulutt ynskjer å ha det så kunne ein også bedt om at brukaren oppgav det folkeregistrerte postnummeret sitt også og så sjekka at det stemte overens med dei registrerte opplysningane før ein lista opplysningane om personen.