mboost-dp1
www.politi.dk
Avatar1301 (1) skrev:Håber godt nok snart staten tager sig sammen og skifter CSC ud
fejlen var angiveligt på IMB´s side.
Det er ikke oplyst specifikt hvor mange filer, der er berørt, men blot at der er tale om et "stort antal".
Tilsynelande alle, der har et kørekort, siger Blandt andet er alle danskere med kørekort omfattet af angrebet
#4 Der gik tydeligvis Karl Marx i serveren (og/eller Indre Missions Bibelskole) ;-)
#Topic
Jeg har en tendens til at tro, at der aldrig vil kunne udvikles 100% sikre systemer. Enten skal data være tilgængelige for 5 mio danskere med mere eller mindre sikkert login-system, eller også skal dataene være 100% sikre. Enten eller. Hvis Hr. Hansen kan få adgang til sine data, så kan en dygtig hacker også regne en måde ud enten at knække systemet, eller lokke adgangskode osv ud af Hr. Hansen.
Måske skal man gentænke hele systemet, så man deler data i følsomme og semi-følsomme data, og de følsomme er ikke direkte tilgængelige fra internettet.
Hvorfor skal ens CPR-nummer være skrevet på stort set al kommunikation, man har med Skat f.eks. (jeg tænker breve, udskrifter, mv)? Så er CPR-numre jo ikke en følsom data, hvis man bare smider om sig med den på den måde.
#Topic
Jeg har en tendens til at tro, at der aldrig vil kunne udvikles 100% sikre systemer. Enten skal data være tilgængelige for 5 mio danskere med mere eller mindre sikkert login-system, eller også skal dataene være 100% sikre. Enten eller. Hvis Hr. Hansen kan få adgang til sine data, så kan en dygtig hacker også regne en måde ud enten at knække systemet, eller lokke adgangskode osv ud af Hr. Hansen.
Måske skal man gentænke hele systemet, så man deler data i følsomme og semi-følsomme data, og de følsomme er ikke direkte tilgængelige fra internettet.
Hvorfor skal ens CPR-nummer være skrevet på stort set al kommunikation, man har med Skat f.eks. (jeg tænker breve, udskrifter, mv)? Så er CPR-numre jo ikke en følsom data, hvis man bare smider om sig med den på den måde.
syska (7) skrev:Åhhh nej, de har mit CPR nummer ...
Hvem fanden kan ikke lige hurtigt skaffe 10 stk på arbejdet. tsk tsk.
Problemet er at mange virksomheder, herunder også de mere lyssky banker, kobler identitet op på et CPR nummer.
Du kan altså optage lån, bestille abbonementer osv. bare du har personens CPR nummer.
Regningen og besværet hviler på CPR indehaveren og det er ikke muligt at skifte CPR nummer.
#5
Staten har aldrig været enig med sig selv om, hvorvidt cpr-numre er personfølsomme oplysninger. På den ene side er det blot et nummer, vi får tildelt, da navne ikke er unikke. Så kan man kende forskel på to Daniel Nielsen. På den anden side er det blevet brugt til at verificere ens identitet af staten, banker og firmaer, og så bliver det pludselig personfølsomt. What #6 says. Also what #8 says.
Staten har aldrig været enig med sig selv om, hvorvidt cpr-numre er personfølsomme oplysninger. På den ene side er det blot et nummer, vi får tildelt, da navne ikke er unikke. Så kan man kende forskel på to Daniel Nielsen. På den anden side er det blevet brugt til at verificere ens identitet af staten, banker og firmaer, og så bliver det pludselig personfølsomt. What #6 says. Also what #8 says.
arne_v (6) skrev:#0
Måske skulle staten bare oprette en offentlig web side med samtlige danskeres CPR numre.
CPR er for unik identifikation ikke for autenticering.
Sådan burde det være ja, men sådan er det ikke i praksis. Hvis jeg har dit CPR nummer så er der intet der hindrer mig i at købe en telefon hos fx Oister - der skal man kun opgive adresse og CPR. Så henter jeg den i en postboks og smutter. Når så ingen reagerer på regningerne så banker det en dag på din dør :)
Det er en skandale og alt det der, men det er mere skandaløst at det er lovligt at bruge CPR på den måde, imo...
Hængerøven (2) skrev:fejlen var angiveligt på IMB´s side.
Så vidt vides er det en fejl i IBM software der er blevet udnyttet.
Men jeg har svært ved at se at det frikender driftsfirmaet (CSC).
Systemer som disse bør have mange lag af sikkerhed, så et hul i et lag ikke kan udnyttes eksternt.
Og det lyder som at de har været ret langsomme til at opdage det og finde ud af hvad der er sket.
arne_v (14) skrev:Så vidt vides er det en fejl i IBM software der er blevet udnyttet.
Men jeg har svært ved at se at det frikender driftsfirmaet (CSC).
Systemer som disse bør have mange lag af sikkerhed, så et hul i et lag ikke kan udnyttes eksternt.
Og det lyder som at de har været ret langsomme til at opdage det og finde ud af hvad der er sket.
Denne artikel er også interessant må man sige..
http://www.version2.dk/blog/csc-naa-hvem-vandt-vae...
"Er det f.eks nu, vi skal tage en alvorssnak om anvendelsen af FTP-servere til at flytte kopier af CPR-registeret ?
Eller skal vi hellere tale om medarbejderen, der sidder og giver hostname, login og default password til samme FTP-server i telefon, på vej imod Jylland i et propfyldt IC3-tog ?
"
arne_v (13) skrev:Jeg nægter at betale. Og da CPR numrene nu er offentlige, så har de ikke skyggen af en chance for at gøre krav gældende overfor mig.
Sjovt at der så er mange der er kommet i RKI af netop den grund.
Til C++:
Ovenstående kode er i stand til at teste om et CPR-nummer er gyldigt eller ej. Hvilken programmør har ikke lavet noget lignende?
#include <iostream>
#include <cmath>
#include <string>
#define NUMBER_OF_DIGITS 10
using namespace std;
int main()
{
string str_cpr;
int arr_validateInts[] = {4, 3, 2, 7, 6, 5, 4, 3, 2, 1};
int arr_cpr[NUMBER_OF_DIGITS];
int sum_cpr = 0;
cout << "Please enter CPR number to be validated: ";
cin >> str_cpr;
int j = 0;
for(int i = 0; i < str_cpr.length(); i++)
{
if (str_cpr.at(i) != '-')
{
arr_cpr[j] = str_cpr.at(i) - '0';
cout << arr_cpr[j];
j++;
}
}
cout << "\n";
for(int i = 0; i < NUMBER_OF_DIGITS; i++)
{
sum_cpr += arr_cpr[i] * arr_validateInts[i];
}
cout << "sum_cpr: " << sum_cpr << endl;
if(sum_cpr%11 == 0)
{
cout << "CPR number is valid" << endl;
}
else
{
cout << "CPR number is NOT valid" << endl;
}
cout << "\n\nProgram is done. ";
system("pause");
return 0;
}
Ovenstående kode er i stand til at teste om et CPR-nummer er gyldigt eller ej. Hvilken programmør har ikke lavet noget lignende?
Jakob Jakobsen (17) skrev:arne_v (13) skrev:Jeg nægter at betale. Og da CPR numrene nu er offentlige, så har de ikke skyggen af en chance for at gøre krav gældende overfor mig.
Sjovt at der så er mange der er kommet i RKI af netop den grund.
Det er nok typen der bare smider regningen i skuffen og tror det hjælper at ignorer dem (Hvilket nogen også opfordre folk til -.-)
Så snart du får en henvendelse om et produkt du ikke selv har bestilt, skal du gøre indsigelse. Hvis du gør indsigelse, skal de tage dig i retten inden de må tilmelde dig RKI
gramps (18) skrev:Ovenstående kode er i stand til at teste om et CPR-nummer er gyldigt eller ej. Hvilken programmør har ikke lavet noget lignende?
Jeg forstår ikke helt pointen. Men ikke alle nye CPR-numre efter 2007 overholder modulus 11 checket.
http://www.cpr.dk/cpr/site.aspx?p=174&t=visart...
Jakob Jakobsen (17) skrev:Sjovt at der så er mange der er kommet i RKI af netop den grund.
Hvor mange er endt i RKI efter at have nægtet at betale efter at staten har offentliggjort alle CPR numre på en web side?
Jeg er ret sikker på at tallet er nul, da den offentliggørelse mig bekendt ikke er sket.
gramps (18) skrev:
Ovenstående kode er i stand til at teste om et CPR-nummer er gyldigt eller ej. Hvilken programmør har ikke lavet noget lignende?
Sikkert mange.
Forhåbentligt er mange af dem blevet klogere siden.
Den kode vil både afvise gyldige CPR numre og godkende ugyldige.
arne_v (24) skrev:Jeg er ret sikker på at tallet er nul, da den offentliggørelse mig bekendt ikke er sket.
Der har været et par sager om skoler der har udleveret CPR nr på deres klasse lister, samt politiet har vist mistet nogle ringbind engang, med sagspapir i, som indeholdte CPR nr. De sidste nævnte ringbind blev vidst fundet efterladt i en hæk, gud ved hvem har kigget der i
#26
Ja. Og jeg mener da klart at folk som kom i RKI idag p.g.a. dette bør kontakte en advokat og tage slagsmålet.
Men pointen var ligesom at hvis staten officielt offentliggjorde alle CPR numre, så ville det næppe være nødvendigt med noget slagsmål, da det ville være åbenlyst at CPR nummer ikke beviser noget som helst.
Ja. Og jeg mener da klart at folk som kom i RKI idag p.g.a. dette bør kontakte en advokat og tage slagsmålet.
Men pointen var ligesom at hvis staten officielt offentliggjorde alle CPR numre, så ville det næppe være nødvendigt med noget slagsmål, da det ville være åbenlyst at CPR nummer ikke beviser noget som helst.
Spild af arbejdstid - når kommunerne alligevel ikke tager ordentlige forholdsregler mht. til basal internetbrug så behøver man da slet ikke at hacke for at få folks CPR numre. Man skal bare lige forbi det lokale jobcenter og finde en PC hvor passwords bliver gemt i IE...
arne_v (14) skrev:Og det lyder som at de har været ret langsomme til at opdage det og finde ud af hvad der er sket.
#0 skrev:
I en pressemeddelelse offentliggjort af Rigspolitiet er det kommet frem, at CSC i en periode i fra april til august 2012 havde uvedkommende besøg i deres mainframe-systemer.
http://www.version2.dk/artikel/csc-hacking-million...
Det var først, da svensk politi i januar stødte på en dansk ip-adresse i en anden sag, at det danske politi kom på sporet af den sag, hvor nu både en svensk og en dansk statsborger er anholdt for hacking af CSC's og Rigspolitiets it-systemer.
#30
Kan du uddybe hvori fejlen består? Algoritmen følger, så vidt jeg kan se, den beregning som er mulig at udføre, så alle personnumre med kontrolciffer godkendes mens personnumre uden kontrolciffer afvises. Om personnumret er i brug eller ej er svært at tage hensyn for uden at have adgang til registret.
Algoritmen skulle i øvrigt aldrig bruges som en måde at verificere personnumre med, den tjente blot som et eksempel på hvad man kunne med programmering.
Kan du uddybe hvori fejlen består? Algoritmen følger, så vidt jeg kan se, den beregning som er mulig at udføre, så alle personnumre med kontrolciffer godkendes mens personnumre uden kontrolciffer afvises. Om personnumret er i brug eller ej er svært at tage hensyn for uden at have adgang til registret.
Algoritmen skulle i øvrigt aldrig bruges som en måde at verificere personnumre med, den tjente blot som et eksempel på hvad man kunne med programmering.
#35
Men det er ikke muligt at tjekke for om et personnummer er udstedt med eller uden modulus 11. Algoritmen følger fremgangsmåden i både Personnummeret i CPR-systemet (1. juli 2008) samt Fremtidig tildeling af personnumre i CPR-systemet (1. oktober 2001).
At finde ca. 540 CPR-numre pr. kalenderdag må også være rigeligt til at kunne låne penge og indgå abonnementer. Også selvom det ikke er alle numre som er i brug.
Men det er ikke muligt at tjekke for om et personnummer er udstedt med eller uden modulus 11. Algoritmen følger fremgangsmåden i både Personnummeret i CPR-systemet (1. juli 2008) samt Fremtidig tildeling af personnumre i CPR-systemet (1. oktober 2001).
At finde ca. 540 CPR-numre pr. kalenderdag må også være rigeligt til at kunne låne penge og indgå abonnementer. Også selvom det ikke er alle numre som er i brug.
http://www.version2.dk/artikel/faa-overblikket-pol...
har en del fakta:
har en del fakta:
Hackerne fik adgang til registre, som CSC driver for politiet, nemlig databasen over danske kørekort samt et fælles EU-system til efterlyste personer og ID-papirer, Schengen Information System. Hackerne downloadede store mængder data fra systemerne, hvilket sandsynligvis betyder, at CPR-numre på millioner af danskere er blevet stjålet. Desuden blev brugernavne og passwords til 10.000 e-mail-konti stjålet.
Sigtelsen mod den danske anholdte rummer også en anklage om ændringer i konfigurationsfiler, som skulle have givet store forstyrrelser i informationssystemer hos det danske politi. Det tyder på, at hackerne har haft adgang til også at ændre data.
Men der er tilsyneladende mange lighedspunkter mellem anklageskriftet mod Gottfrid Svartholm Warg i Sverige og den danske sag, og i Sverige har Logica/CGI måttet fremlægge en 537-siders lang rapport om hackerangrebet. Her fremgår det blandt andet, at sikkerheden i adgangsmodulet RACF i IBM’s z/OS-system til mainframes var lav, og at Logicas ansatte sløsede med passwordsikkerheden.
Hackerangrebet begyndte ifølge politiet den 7. april 2012 og sluttede den 27. august samme år. Til sammenligning varede angrebet mod Nordea og Logica i Sverige flere år og sluttede i marts 2012, da hackerne blev opdaget og låst ude af systemet. Det tyder på, at de derefter fandt nye jagtmarker i Danmark.
Dansk politi og CSC opdagede først, at der var noget galt, da svensk politi i januar 2013 tippede dem om en dansk udløber af deres sag mod Gottfrid Svartholm Warg. Der var nemlig fundet danske IP-adresser i det omfattende materiale, som blev fundet på den hovedmistænktes computer.
Siden januar 2013 har politiet i Danmark så arbejdet på sagen, som førte til en anholdelse i Danmark den 5. juni, og først derefter ville politiet fortælle om sagen offentligt. Ellers risikerede man, at alle spor blev slettet, forklarede justitsministeren.
Da nye CPR-numre stadigvæk overholder modulus-11 testen hvis det er muligt, er det da ganske fornuftigt at benytte den test hvis man gerne vil fremstille et falsk gyldigt CPR-nummer.
Nu er det jo ikke "bare" CPR-numre der er blevet hacket, i.flg. TV2 News, så gælder det også efterlyste personer i Schengen-aftalen.
Da disse personnumre _tilsyneladende_ ikke er blevet brugt (endnu), og da hackerne har haft mulighed for at ændre i data, så kan man vel forestille sig, at det er en eller flere efterlyste personer der er kommet i forbindelse med folk der var dygtige nok til at komme ind i systemer, hvor de ikke burde.
For at skjule, at der er ændret data i en eller flere efterlysninger, så har man valgt at downloade alle disse CPR-numre med den bagtanke, at folk ville næsten kun lægge mærke til "CPRnr" delen af forbrydelsen, mens næsten ingen lægger mærke til de efterlysninger der er blevet rettet i.
Nu ved jeg ikke hvilken crime man skal have begået for at komme på denne efterlysningsliste, men det er garanteret mere end butikstyveri.
Da disse personnumre _tilsyneladende_ ikke er blevet brugt (endnu), og da hackerne har haft mulighed for at ændre i data, så kan man vel forestille sig, at det er en eller flere efterlyste personer der er kommet i forbindelse med folk der var dygtige nok til at komme ind i systemer, hvor de ikke burde.
For at skjule, at der er ændret data i en eller flere efterlysninger, så har man valgt at downloade alle disse CPR-numre med den bagtanke, at folk ville næsten kun lægge mærke til "CPRnr" delen af forbrydelsen, mens næsten ingen lægger mærke til de efterlysninger der er blevet rettet i.
Nu ved jeg ikke hvilken crime man skal have begået for at komme på denne efterlysningsliste, men det er garanteret mere end butikstyveri.
@ #10
Hvis det kan lade sig gøre, så er det udelukkende pga. dårlige fremgangsmåder fra Oisters side. Standard praksis i den type sager, er altid at sende vare samt SIM-kort, til den registrede folkeregisteradresse..
Hvis du får muligheden for at vælge en anden adresse end den registrede, så er det firmaet der fucker op i det. Og så skal de meldes til datatilsynet promte...!
Det er det så hellere ikke.. (Jeg har arbejdet med det, både som kundekonsulent. Som konsulent for kundekonsulenterne, som konsulent for butikkerne samt som ansvarlig for den daglige drift.)
@ #11
Hvis de der har set det, sidder i et job hvor de til daglig har med den slags oplysninger at gøre. Har de som udgangspunkt underskrevet en ret heftig tavshedspligt (krav fra statens side)...
@ #11
Har du tænkt dig først at tage en farmaceutuddannelse først? Eller har du bare tænkt dig at stille dig klods op ad folk og aflæse deres sygesikringsbevis når de aflevere det til farmaceuten?
@ #17
Du kan ikke komme i RKI, med mindre du vedkender dig regningen det omhandler..
(Se også #19)
@ #29
Men hvad vil du bruge et CPR-nummer til, hvis du ikke har dertilhørende navn, og evt. adresse?
Hvis jeg har dit CPR nummer så er der intet der hindrer mig i at købe en telefon hos fx Oister - der skal man kun opgive adresse og CPR. Så henter jeg den i en postboks og smutter.
Hvis det kan lade sig gøre, så er det udelukkende pga. dårlige fremgangsmåder fra Oisters side. Standard praksis i den type sager, er altid at sende vare samt SIM-kort, til den registrede folkeregisteradresse..
Hvis du får muligheden for at vælge en anden adresse end den registrede, så er det firmaet der fucker op i det. Og så skal de meldes til datatilsynet promte...!
Det er en skandale og alt det der, men det er mere skandaløst at det er lovligt at bruge CPR på den måde, imo...
Det er det så hellere ikke.. (Jeg har arbejdet med det, både som kundekonsulent. Som konsulent for kundekonsulenterne, som konsulent for butikkerne samt som ansvarlig for den daglige drift.)
@ #11
Det kunne være interessant at få et tal på hvor mange hundreder til tusinder, der i tidens løb har set mit CPR-nummer og navn sammmen. Ufatteligt at nogen kan se det som en relativt sikker identifikation.
Hvis de der har set det, sidder i et job hvor de til daglig har med den slags oplysninger at gøre. Har de som udgangspunkt underskrevet en ret heftig tavshedspligt (krav fra statens side)...
@ #11
Heh, nemlig. Man kan jo bare stille sig på et apotek, så vil der rulle cpr-numre og navne.
Har du tænkt dig først at tage en farmaceutuddannelse først? Eller har du bare tænkt dig at stille dig klods op ad folk og aflæse deres sygesikringsbevis når de aflevere det til farmaceuten?
@ #17
Sjovt at der så er mange der er kommet i RKI af netop den grund.
Du kan ikke komme i RKI, med mindre du vedkender dig regningen det omhandler..
(Se også #19)
@ #29
#22
Pointen var, at det er enormt nemt at fremskaffe CPR-numre.
Men hvad vil du bruge et CPR-nummer til, hvis du ikke har dertilhørende navn, og evt. adresse?
Chewy (44) skrev:Hvis de der har set det, sidder i et job hvor de til daglig har med den slags oplysninger at gøre. Har de som udgangspunkt underskrevet en ret heftig tavshedspligt (krav fra statens side)
ooh wake up and smell the coffee. Jeg har været ansat ved 4 butikker som bruger CPR numre som kundenumre. Jeg har aldrig skrevet under på noget som helst omkring behandling af følsomme data og jeg stod for at sætte kartotekskort med CPR navn og adresse i orden.
Gå ind i en hvilken som helst optikerbutik og der er stor sandsynlighed for at du kan se journalkort ligge på disken mens du lige bestiller en synsprøve.
CPR sikkerheden er fuldstændigt til grin.
Ja præcis!!
Find bare en i din vennekreds der er ansat i IT afdelingen i en kommune eler lignende og du vil opdage at vedkommende har adgang til uanede mængder CPR data.
Jeg arbejder selv for at firma som udvikler A-kasse software og jeg kan da trække flere hundredetusinde cpr-numre med tlihørende stamdata.
Cpr er og har altid været offentlige data for dem der har ønsket det stærkt nok, det er på tide at det bliver slået fast så alle kan forstå det.
Find bare en i din vennekreds der er ansat i IT afdelingen i en kommune eler lignende og du vil opdage at vedkommende har adgang til uanede mængder CPR data.
Jeg arbejder selv for at firma som udvikler A-kasse software og jeg kan da trække flere hundredetusinde cpr-numre med tlihørende stamdata.
Cpr er og har altid været offentlige data for dem der har ønsket det stærkt nok, det er på tide at det bliver slået fast så alle kan forstå det.
Her er der til gengæld en artikel som på trods af overskriften er stort set fri for information:
http://www.version2.dk/artikel/saadan-blev-cscs-ma...
http://www.version2.dk/artikel/saadan-blev-cscs-ma...
#48
Så er det da bare at lave en "DF reklame" med CPR-numre og navn på alle i folketinget og offentliggøre den.
Så kunne de måske se at få fingeren ud.
Så er det da bare at lave en "DF reklame" med CPR-numre og navn på alle i folketinget og offentliggøre den.
Så kunne de måske se at få fingeren ud.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund