mboost-dp1

Folketinget
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Hack the world!!!!
Det virker ærlig talt som nogen rimelige straffe. Det er noget lort de har lavet men da de "bare" valgte at offentligegøre informationen og ikke misbruge den yderligere, synes jeg straffen er meget passende.
Det virker ærlig talt som nogen rimelige straffe. Det er noget lort de har lavet men da de "bare" valgte at offentligegøre informationen og ikke misbruge den yderligere, synes jeg straffen er meget passende.
Felan (2) skrev:Det gør dem til medskyldige i hvad andre bruger data til, i en hvis grad.
Du siger det jo selv. "I en hvis grad"
Hvis de "bare" havde hacket informationerne, for at vise de kunne, og gjort intet med informationerne, ville jeg mene straffen var for stram.
I det at de offentliggøre dem, synes jeg straffen er passende. Hvis de havde misbrugt informationerne yderligere, skulle straffen naturligvis også afspejle det.
@Felan:
At CPR nr kan misbruges i det hele taget viser at der offentlige stadig lever i 60erne.
Dit CPR nr er ikke hemmeligt og det er umuligt for dig som person at holde det hemmeligt.
Specielt når man tænker på hvor skødesløst CPR numre behandles i offentlig regi.
Man burde for mange år siden have indført en lov som gør det strafbart at verificere en persons identitet udfra CPR plus man burde
sørge for at diverse firmaer inklusiv de skumle låne selskaber som kviklån m.fl. SELV hæfter hvis de ikke stopper med at lade lån blive optaget og aftaler mv. indgået udelukkende på baggrund af CPR.
CPR er kun et nr...
Et nr der identificerer dig som person på linje med dit navn og din adresse.
At CPR nr kan misbruges i det hele taget viser at der offentlige stadig lever i 60erne.
Dit CPR nr er ikke hemmeligt og det er umuligt for dig som person at holde det hemmeligt.
Specielt når man tænker på hvor skødesløst CPR numre behandles i offentlig regi.
Man burde for mange år siden have indført en lov som gør det strafbart at verificere en persons identitet udfra CPR plus man burde
sørge for at diverse firmaer inklusiv de skumle låne selskaber som kviklån m.fl. SELV hæfter hvis de ikke stopper med at lade lån blive optaget og aftaler mv. indgået udelukkende på baggrund af CPR.
CPR er kun et nr...
Et nr der identificerer dig som person på linje med dit navn og din adresse.
CBM (5) skrev:@Felan:
At CPR nr kan misbruges i det hele taget viser at der offentlige stadig lever i 60erne.
Dit CPR nr er ikke hemmeligt og det er umuligt for dig som person at holde det hemmeligt.
Helt enig CPR burde for længe siden have skiftet status til at være offentlig kendt.
Selv hvis der ikke havde været de gigant brølere, vi har set, er der ingen sikkerhed i det tal.
CBM (5) skrev:Dit CPR nr er ikke hemmeligt og det er umuligt for dig som person at holde det hemmeligt.
Sæt i gang! Når du har fundet mit CPR (og navn, adresse samt telefon nummer) så send lige en anmodning om 50 kr på mobilepay ...
- held og lykke siger jeg bare
@TB: har du fx kørekort så er de data nok allerede til salg på nettet pga alle cpr nr på dem der har kørekort blev lækket.
Jeg vil ikke forsøge at finde dit CPR da det er ulovligt.
Udover det så har jeg ikke nok viden om præcis hvor den slags data kan erhverves.
Kunne jeg finde det ville jeg ikke offentliggøre det da det kan misbruges og det er ulovligt
Desværre viser nyheden at andre har den viden
Jeg vil ikke forsøge at finde dit CPR da det er ulovligt.
Udover det så har jeg ikke nok viden om præcis hvor den slags data kan erhverves.
Kunne jeg finde det ville jeg ikke offentliggøre det da det kan misbruges og det er ulovligt
Desværre viser nyheden at andre har den viden
CBM (5) skrev:At CPR nr kan misbruges i det hele taget viser at der offentlige stadig lever i 60erne.
Det er vist ikke kun i det offentlige.
CBM (5) skrev:Specielt når man tænker på hvor skødesløst CPR numre behandles i offentlig regi.
Det er vist ikke kun i det offentlige.
CBM (5) skrev:CPR er kun et nr...
Et nr der identificerer dig som person på linje med dit navn og din adresse.
Et nr der identificerer dig som person i modsætning til dit navn og din adresse.
#straffens størrelse
Straffen er vel lidt på den lave side sammenlignet med CSC hacking sagen.
Stjæle *og* offentliggøre nogle få CPR numre => 3 måneder ubetinget + betinget + samfundstjeneste
Stjæle millioner af CPR og kørekort numre *uden* at offentliggøre dem => 3.5 år ubetinget
Men den har sikkert ikke fået for lidt med "unge mennesker", "gode personlige forhold" etc..
Straffen er vel lidt på den lave side sammenlignet med CSC hacking sagen.
Stjæle *og* offentliggøre nogle få CPR numre => 3 måneder ubetinget + betinget + samfundstjeneste
Stjæle millioner af CPR og kørekort numre *uden* at offentliggøre dem => 3.5 år ubetinget
Men den har sikkert ikke fået for lidt med "unge mennesker", "gode personlige forhold" etc..
Mht. CPR numre:
I Sverige er de offentlige, og bruges primært til at hente din adresse information. Ligeledes er folks adresser også offentlige.
Altså alt den information der blev lækket efter hacket i Danmark, er offenligt information i Sverige :P
Food for thought
I Sverige er de offentlige, og bruges primært til at hente din adresse information. Ligeledes er folks adresser også offentlige.
Altså alt den information der blev lækket efter hacket i Danmark, er offenligt information i Sverige :P
Food for thought
#12: på visse områder er de smarte nok i sverige. Dog er det lidt langt ude med deres "hen" efter min mening.
http://www.slate.com/articles/double_x/doublex/201...
https://duckduckgo.com/?q=Sverige+hen&t=h_&...
http://www.slate.com/articles/double_x/doublex/201...
https://duckduckgo.com/?q=Sverige+hen&t=h_&...
Og bare for at folk ikke skal tro at jeg er blevet mild på mine gamle dage.
:-)
Jeg synes at en passende straf ville have været:
hacking af flere systemer - 2 år ubetinget
forsøg på initimidering af folketinget - 5 år ubetinget
incitament til ikke at gentage - 10 års betinget med 25 års prøvetid
:-)
Jeg synes at en passende straf ville have været:
hacking af flere systemer - 2 år ubetinget
forsøg på initimidering af folketinget - 5 år ubetinget
incitament til ikke at gentage - 10 års betinget med 25 års prøvetid
Der er der nok. Men medmindre du sidder i riksdagen, tror jeg ikke det er særlig normalt.arne_v (14) skrev:Claus Jørgensen (12) skrev:
Ligeledes er folks adresser også offentlige.
Er der ikke nogen med adresse beskyttelse?
I Estland er personnummer også offentlig data. Med den kan man hente mine oplysninger samt public key fra mit personlige key-pair så folk kan verificere dokumenter underskrevet af mig samt kryptere dokumenter som kun kan åbnes af mig.
Verificering ligger i form af min private key som befinder sig på chippen i mit ID-kort.
Gid det var sådan i Danmark.
Verificering ligger i form af min private key som befinder sig på chippen i mit ID-kort.
Gid det var sådan i Danmark.
arne_v (19) skrev:#18
Jeg formoder at der skal bruges kodeord for at komme til den private key ellers vil tyveri af id kort være et stort problem.
Og hvad gør man ved tyveri af id kort?
Der er kode på, ja. Faktisk er der to koder, så vidt jeg forstår så er den ene til identifikation og den anden til signering.
Du modtager kortet med en tilfældig kode og bliver derefter bedt om at skifte koden. Hvis du mister kortet, så er der flere instanser du kan kontakte og de vil fjerne gyldigheden af dit kort centralt hos den estiske stat og dermed vil produkter af dit kort give fejl når de tjekkes centralt.
Samtidig, så er biblioteker, filformater osv. på Github som OSS og du kan finde diverse arkitektur informationer på Github.
https://github.com/open-eid/libdigidocpp
#20: pudsigt at et land som Estland kan være så langt foran Danmark.
Det er jo faktisk pinligt da Danmark skulle forestille at være fremme i skoene hvad angår det offentliges brug af IT.
Men det er hvad der sker når langt de fleste danske politikere er så store IT analfabeter at de knapt nok kan tænde en smartphone eller en computer uden teknisk assistance.
Der er alt for få politikere som aner noget som helst omkring IT.
Den kære Søren "Jeg fatter ikke en" Pind er et rigtig godt eksempel.
HVORFOR?! kan den slags politikere ikke bare lære at snakke med en person der har viden om IT og lade denne person hjælpe dem med at vurdere forslaget, inden de gør sig selv til grin ved at fremstille latterlige lov forslag omkring IT?
Det er jo faktisk pinligt da Danmark skulle forestille at være fremme i skoene hvad angår det offentliges brug af IT.
Men det er hvad der sker når langt de fleste danske politikere er så store IT analfabeter at de knapt nok kan tænde en smartphone eller en computer uden teknisk assistance.
Der er alt for få politikere som aner noget som helst omkring IT.
Den kære Søren "Jeg fatter ikke en" Pind er et rigtig godt eksempel.
HVORFOR?! kan den slags politikere ikke bare lære at snakke med en person der har viden om IT og lade denne person hjælpe dem med at vurdere forslaget, inden de gør sig selv til grin ved at fremstille latterlige lov forslag omkring IT?
CBM (8) skrev:@TB: har du fx kørekort så er de data nok allerede til salg på nettet pga alle cpr nr på dem der har kørekort blev lækket.
Jeg vil ikke forsøge at finde dit CPR da det er ulovligt.
Udover det så har jeg ikke nok viden om præcis hvor den slags data kan erhverves.
Kunne jeg finde det ville jeg ikke offentliggøre det da det kan misbruges og det er ulovligt
Desværre viser nyheden at andre har den viden
Ej, kom da ind i kampen ;)
Sidst vi prøvede noget lignende på Newz fandt folk mit brors navn og lignende på et par minutter.
I dare you ;)
PHP-Ekspert Thoroughbreed (7) skrev:CBM (5) skrev:Dit CPR nr er ikke hemmeligt og det er umuligt for dig som person at holde det hemmeligt.
Sæt i gang! Når du har fundet mit CPR (og navn, adresse samt telefon nummer) så send lige en anmodning om 50 kr på mobilepay ...
- held og lykke siger jeg bare
Well uden at bryde loven kommer man ikke langt kun ud fra "HP-Ekspert Thoroughbreed" :)
Med med din fødselsdag + år er der typisk kun 540 mulige CPR kombinationer, så det ville selv være overkommeligt af prøve manuelt, men det er mod loven.
IT-ekspert Yvossen (20) skrev:Hvis du mister kortet, så er der flere instanser du kan kontakte og de vil fjerne gyldigheden af dit kort centralt hos den estiske stat og dermed vil produkter af dit kort give fejl når de tjekkes centralt.
Hvordan verificerer disse instanser den som melder kortet mistet?
Det virker umiddelbart som et meget svagt led i kæden.
Hvis Hr. Hansen ser sig sur på Hr. Jensen, så bliver Hr. Jensens idkort måske meldt mistet ret ofte...
Wispher (24) skrev:IT-ekspert Yvossen (20) skrev:Hvis du mister kortet, så er der flere instanser du kan kontakte og de vil fjerne gyldigheden af dit kort centralt hos den estiske stat og dermed vil produkter af dit kort give fejl når de tjekkes centralt.
Hvordan verificerer disse instanser den som melder kortet mistet?
Det virker umiddelbart som et meget svagt led i kæden.
Hvis Hr. Hansen ser sig sur på Hr. Jensen, så bliver Hr. Jensens idkort måske meldt mistet ret ofte...
Certifikater, det samme kan SSL gøre på dit HTTPS med revocations. :)
arne_v (19) skrev:Og hvad gør man ved tyveri af id kort?
Glemte selvfølgelig du har, 3 forsøg til PIN, ellers skal du bruge PUK koden til at låse den op - og igen, begrænset antal forsøg der.
CBM (21) skrev:#20: pudsigt at et land som Estland kan være så langt foran Danmark.
Det er jo faktisk pinligt da Danmark skulle forestille at være fremme i skoene hvad angår det offentliges brug af IT.
Estland har den fordel at det er en relativ ung selvstændig nation. De havde ikke så meget legacy government i start 00'erne og de hoppede de på IT vognen.
T_A (23) skrev:Well uden at bryde loven kommer man ikke langt kun ud fra "HP-Ekspert Thoroughbreed" :)
Med med din fødselsdag + år er der typisk kun 540 mulige CPR kombinationer, så det ville selv være overkommeligt af prøve manuelt, men det er mod loven.
Man kan starte meget nemt ved at få Google til at trawle Newz efter mit brugernavn og keywords.
Når du så har fundet mit navn, adresse og eventuel telefonnummer, så er det jo ikke svært at lede efter tinglyste dokumenter - dernæst, ja så mangler du kun 4 cifre.
Når alt det så er sagt, så tror jeg faktisk mit teleselskab (og Google) er bedre til at skjule mit 8-cifrede telefonnummer end staten kan skjule de 4 i mit CPR nummer.
- dog vil jeg stadig gerne give en dusør til den første der finder det.
IT-ekspert Yvossen (25) skrev:Wispher (24) skrev:IT-ekspert Yvossen (20) skrev:Hvis du mister kortet, så er der flere instanser du kan kontakte og de vil fjerne gyldigheden af dit kort centralt hos den estiske stat og dermed vil produkter af dit kort give fejl når de tjekkes centralt.
Hvordan verificerer disse instanser den som melder kortet mistet?
Det virker umiddelbart som et meget svagt led i kæden.
Hvis Hr. Hansen ser sig sur på Hr. Jensen, så bliver Hr. Jensens idkort måske meldt mistet ret ofte...
Certifikater, det samme kan SSL gøre på dit HTTPS med revocations. :)
Jeg tror ikke helt du fangede min pointe, så jeg prøver lige at illustrere det anderledes.
Lad os sige at du og jeg er estiske statsborgere, og jeg ringer til en af de førnævnte instanser og udgiver mig for at være dig, og påstår at jeg har mistet mit id-kort. Hvordan verificerer de så at jeg er dig? Kan de andet end at tage mit ord for gode vare, og lade tvivlen komme dig til "gode", og spærre dit kort?
I så fald vil du blive rimelig træt af hvis jeg er ond nok, og gør det en gang om ugen på ubestemt tid.
Wispher (27) skrev:Jeg tror ikke helt du fangede min pointe, så jeg prøver lige at illustrere det anderledes.
Lad os sige at du og jeg er estiske statsborgere, og jeg ringer til en af de førnævnte instanser og udgiver mig for at være dig, og påstår at jeg har mistet mit id-kort. Hvordan verificerer de så at jeg er dig? Kan de andet end at tage mit ord for gode vare, og lade tvivlen komme dig til "gode", og spærre dit kort?
I så fald vil du blive rimelig træt af hvis jeg er ond nok, og gør det en gang om ugen på ubestemt tid.
Jeg kan desværre ikke gøre mere end at henvise til hvad de skriver online for den del: https://www.politsei.ee/en/nouanded/isikut-toendav...
Jeg har aldrig selv været i situationen og har ej heller mødt nogen som har.
@TB: de sidste 4 cifre mere end halveres også da du (forventer jeg) er en mand samt at de skal "passe sammen" med resten af dine cifre
Men det er også uhyggeligt nemt at generere et random gyldigt CPR ved at følge reglerne for CPR numres opbygning.
Men det er også uhyggeligt nemt at generere et random gyldigt CPR ved at følge reglerne for CPR numres opbygning.
IT-ekspert Yvossen (28) skrev:Jeg kan desværre ikke gøre mere end at henvise til hvad de skriver online for den del: https://www.politsei.ee/en/nouanded/isikut-toendav...
Jeg har aldrig selv været i situationen og har ej heller mødt nogen som har.
Det er skam også rigeligt, fordi den side bekræfter min mistanke:
If your ID card/residence card/Digi-ID is lost or stolen:
Please make a prompt call to the help-line phone number 1777 (from abroad +372 677 3377). Upon your request, the certificates of the card shall be suspended and thereafter it is not possible to use the card electronically (e.g. for digital signing) any more.
if you find the card, then you can reactivate the suspended certificates. For that purpose you should, in person, turn to a bank Office providing additional services or to a Service Office of the Police and Border Guard Board. After identification, the suspension of the certificates will be reactivated and the card can be used electronically again.
Altså kan jeg ved at ringe til et nummer, låse dit kort fra elektronisk brug, indtil du møder fysisk op ved et af de nævnte steder.
Og nej jeg påstår ikke at det er en ofte set situation, det aner jeg intet om, jeg påpegede bare et muligt svagt led i kæden, som potentielt kan udnyttes ondsindet.
Wispher (30) skrev:
Altså kan jeg ved at ringe til et nummer, låse dit kort fra elektronisk brug, indtil du møder fysisk op ved et af de nævnte steder.
Og nej jeg påstår ikke at det er en ofte set situation, det aner jeg intet om, jeg påpegede bare et muligt svagt led i kæden, som potentielt kan udnyttes ondsindet.
Det kan du have ret i, men det er mere chikane end misbrug af sikkerheden og det er svært at udnytte til noget på stor skala. Du kan ikke bruge det til at udgive dig for at være en anden via ID-kortet.
#30+#31: jeg ville til enhver tid foretrække at mulighed for chikane øges hvis det samtidig betød at mulighed for misbrug faldt betragteligt.
Chikane ift spærret kort er intet ift de problemer som identitets tyveri kan give.
Men de systemer vi har i Danmark så undrer det mig at vi ikke ser et minimum af 50% af befolkningens identiteter som værende i en tilstand af at være hugget/kompromitteret.
På den anden side så flyder samtlige cpr numre på folk med kørekort rundt på nettet så det kan jo være at diverse kriminelle er i gang med systematisk at misbruge disse CPR numre.
Det er vel ikke anderledes end hvis man beder om at få sit nøglekort spærret?
Dog tænker jeg på om de med sikkerhed kan verificere en person der ønsker at reaktivere et kort? (Kunne jo være en tilfældig som går ind og aktiverer et fundet kort)
Chikane ift spærret kort er intet ift de problemer som identitets tyveri kan give.
Men de systemer vi har i Danmark så undrer det mig at vi ikke ser et minimum af 50% af befolkningens identiteter som værende i en tilstand af at være hugget/kompromitteret.
På den anden side så flyder samtlige cpr numre på folk med kørekort rundt på nettet så det kan jo være at diverse kriminelle er i gang med systematisk at misbruge disse CPR numre.
Det er vel ikke anderledes end hvis man beder om at få sit nøglekort spærret?
Dog tænker jeg på om de med sikkerhed kan verificere en person der ønsker at reaktivere et kort? (Kunne jo være en tilfældig som går ind og aktiverer et fundet kort)
Jeg er helt enig i at det ikke påvirker sikkerheden i systemet med kortet.
Det er ganske fint så længe du er i besiddelse af dit kort.
Der skal jo bare være noget at falde tilbage på. Som #32 også er inde på, hvis du så går ind og bestiller et nyt kort fordi du har mistet det - hvordan finder de så ud af hvem du er?
Det er ganske fint så længe du er i besiddelse af dit kort.
Der skal jo bare være noget at falde tilbage på. Som #32 også er inde på, hvis du så går ind og bestiller et nyt kort fordi du har mistet det - hvordan finder de så ud af hvem du er?
CBM (32) skrev:Dog tænker jeg på om de med sikkerhed kan verificere en person der ønsker at reaktivere et kort? (Kunne jo være en tilfældig som går ind og aktiverer et fundet kort)
Der er billede på kortet, det er vel en start. :-)
Wispher (33) skrev:[..]hvordan finder de så ud af hvem du er?
Billedet har de også i systemerne. Jeg ligner en kriminel - som altid.
Ud over det - tingen jeg ikke er SÅ glad for - så har de også fingeraftryk på alle der har et ID-kort. Heldigvis kan den del ikke bruges til masseovervågning.
Alternativt, så har de også telefonnummer og e-mail på dig som man skal bruge kortet for at ændre. Kortets chip vil stadig virke med koden - sådan helt på kort niveau, det er centralt certifikatet er deaktiveret.
En kombination af billedet der passer, fingeraftryk er OK, du kan modtage en SMS med en kode osv. - så tror jeg det går.
Samtidig, så har de også stadig pas herovre.
Kan forresten se at de bruger OCSP* til revocation af certifikater.
* https://en.wikipedia.org/wiki/Online_Certificate_S...
* https://en.wikipedia.org/wiki/Online_Certificate_S...
#34: den model ser jeg også gerne i Danmark tak :-)
+ evt iris scan mm.
Selv om en sådan database også vil blive kompromitteret da det jo vil være en offentlig database. .. så kræver det alligevel lidt mere hvis man skal fake både
- iris scanning?
- finger aftryk?
- udseende
- måske stemme?
- måske underskrift
- mobil
- email
- DNA?
Evt mm.
+ evt iris scan mm.
Selv om en sådan database også vil blive kompromitteret da det jo vil være en offentlig database. .. så kræver det alligevel lidt mere hvis man skal fake både
- iris scanning?
- finger aftryk?
- udseende
- måske stemme?
- måske underskrift
- mobil
- DNA?
Evt mm.
https://1drv.ms/u/s!AqNMJrOuU-fOiMpm-zJABc_6biVLxw
Eksempel på underskrevet og krypteret dokument hvis der skulle være nogen nysgerrige.
BDOC-filen er en XAdES/ASiC-E container (W3C struktur https://www.w3.org/TR/XAdES/) - åben standard og ikke specifik til Estland. Filen kan åbnes rå med et program der kan åbne ZIP og indeholder signatur og filen.
Filen inde i BDOC containeren er CDOC formatet. CDOC er den krypterede filtype og kan åbnes rå med f.eks. Notepad - det er en W3C XML struktur. https://www.w3.org/TR/2002/REC-xmlenc-core-2002121...
Det kræver dog et værktøj at læse det ukrypterede indhold. Min public key er brugt til krypteringen og kan derfor kun læses af mig.
Skulle f.eks. en dag købe et .ee domæne (TLD for Estland) og de krævede en underskrift på et dokument ved køb. Hent PDF, åben deres utility, underskriv via kort og PIN, upload underskrevet fil. På webstedet kunne de let og hurtigt validere underskiften (automatisk) og lade mig komme videre.
Eksempel på underskrevet og krypteret dokument hvis der skulle være nogen nysgerrige.
BDOC-filen er en XAdES/ASiC-E container (W3C struktur https://www.w3.org/TR/XAdES/) - åben standard og ikke specifik til Estland. Filen kan åbnes rå med et program der kan åbne ZIP og indeholder signatur og filen.
Filen inde i BDOC containeren er CDOC formatet. CDOC er den krypterede filtype og kan åbnes rå med f.eks. Notepad - det er en W3C XML struktur. https://www.w3.org/TR/2002/REC-xmlenc-core-2002121...
Det kræver dog et værktøj at læse det ukrypterede indhold. Min public key er brugt til krypteringen og kan derfor kun læses af mig.
Skulle f.eks. en dag købe et .ee domæne (TLD for Estland) og de krævede en underskrift på et dokument ved køb. Hent PDF, åben deres utility, underskriv via kort og PIN, upload underskrevet fil. På webstedet kunne de let og hurtigt validere underskiften (automatisk) og lade mig komme videre.
CBM (21) skrev:Det er jo faktisk pinligt da Danmark skulle forestille at være fremme i skoene hvad angår det offentliges brug af IT.
Det er kun inde i politikernes hoveder at Danmark er førende til IT. I realiteten bliver vi spist af med halvfærdige, tvungne selvbetjeningsløsninger, offentlig skalten og valten med vores data, inkompetente IT-ordførere og skandaleprojekter til milliarder.
Ikke meget fremme i skoene over det.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.