Gå til innhold

Identitetstyveri for enkelt i Norge

abene

Anbefalte innlegg

Peter

Peter

Skrevet
Skrevet

Lurer på hva programmereren har gjort i dette tilfellet?

Normalt så er jo "standarden" at man opplyser bedriftene om hva som er galt og hvordan hullet kan utnyttes, så setter man en tidsfrist for å fikse det, SÅ frigir man programmet for å utnytte hullet dersom det ikke har blitt fikset innen tidsfristen.

 

Deretter oppgir bedriften en post (ofte en knowledge-post) der de sier hva som var feil, hvordan den kan rettes (dersom noe klienten må gjøre), og navnet på personen som oppdaget feilen og rapporterte den.

 

Mitt inntrykk her er at programmereren heller ville skryte litt av ferdighetene (som i dette tilfellet ikke krevde stort), enn faktisk å rette feilen. For all del, kudos for tankegangen for å påpeke at dette kan utnyttes, men ikke kudos DERSOM han ikke sa ifra til bedriftene på en skikkelig måte først.

Lenke til kommentar

Videoannonse

Videoannonse
Annonse
Bergenstidende

Bergenstidende

Skrevet
Skrevet

Hei

 

Jeg er journalist i Bergens Tidende og ønsker å skrive en artikkel om dette. Dersom noen kjenner til at personer på Vestlandet på en eller annen måte er blitt skadelidende som følge av personnummer på avveie er jeg veldig interessert i å komme i kontakt med vedkommende. En PM med tips vil bli mottatt med takk.

 

Jeg kan sende mitt telefonnummer tilbake som PM dersom det er ønskelig, så kan vi ta praten over telefon. Jeg kan også dokumentere at jeg er journalist, men ønsker ikke å legge ut jobbmail osv. i forumet.

 

Mange takk, håper på svar.

 

Kjetil, BT

Lenke til kommentar
vidarlo

vidarlo

Skrevet
Skrevet (endret)
Lurer på hva programmereren har gjort i dette tilfellet?

Normalt så er jo "standarden" at man opplyser bedriftene om hva som er galt og hvordan hullet kan utnyttes, så setter man en tidsfrist for å fikse det, SÅ frigir man programmet for å utnytte hullet dersom det ikke har blitt fikset innen tidsfristen.

 

Deretter oppgir bedriften en post (ofte en knowledge-post) der de sier hva som var feil, hvordan den kan rettes (dersom noe klienten må gjøre), og navnet på personen som oppdaget feilen og rapporterte den.

 

Mitt inntrykk her er at programmereren heller ville skryte litt av ferdighetene (som i dette tilfellet ikke krevde stort), enn faktisk å rette feilen. For all del, kudos for tankegangen for å påpeke at dette kan utnyttes, men ikke kudos DERSOM han ikke sa ifra til bedriftene på en skikkelig måte først.

9176715[/snapback]

Saka har vore offentlig kjent ei stund. Viss du les litt, så finn du ut at det er over to veker sidan holet vart kjent første gang offentlig, gjennom den rapporten som blir nevnt i artikkelen på HW.no.

 

Til *TROSS* for at holet har vore offentlig kjent har altså ikkje altinn eller andre gjort noko. Når dei velger å ignorere slikt er det ofte nødvendig å gå ut med PoC-kode, for å bevise at det funker, og skape skandale. Og det har jo åpenbart fungert å gå ut: Deler av problemet er fiksa. Difor støtter eg fullt ut handlemåten i denne saka.

 

Modellen med å varsle ansvarlige for hull funker bare dersom en har en trussel: full disclosure. Les på WP om tankegangen bak Full Disclosure.

Endret av vidarlo
Lenke til kommentar
meitemark

meitemark

Skrevet
Skrevet

Det dere glemmer å tenke på er at dette sikkerhetshullet er todelt. Altinn har like stor feil i dette som i de kommersielle selskapene. Altinn gjør en generaltabbe innen datasikkerhet ved å gi en reaksjon for feil personnummer og en annen for riktig. Det er det som gjør at primærfunksjonen, nemlig det å generere og sjekke om de stemmer fungerer.

 

Selv om man generer matematisk riktige personnummer og sjekker de opp mot feks tele2 vil man måtte lete mye lengre og sjekke mye for å komme frem til noe svar, så den egentlige feilen ligger hos Altinn.

Lenke til kommentar
Peter

Peter

Skrevet
Skrevet

Er folk klar over at personnummer er offentlig informasjon og at man kan ringe folkeregisteret og få oppgitt personnummeret på hvem man vil?

Problemet med altinn er at man kan gjøre det systematisk.

 

@vidarlo:

Ble koden sendt til tele2 først? Fikk de oppgitt en frist for når problemet skulle vært fikset, før koden ble frigitt?

At det påpekes sikkerhetshull betyr ikke at noen skjønner hvor kritiske de er før de utnyttes, dvs. at de må se programmet med egne øyne. Det er jo tonnevis med sikkerhetshull i alle OS som ikke blir rettet med det første, for de oppfattes ikke som kritiske.

 

Noe av poenget med å lage PoC-kode er jo å vise hvor kritisk problemet er.

Lenke til kommentar
reidar76

reidar76

Skrevet
Skrevet (endret)
Er folk klar over at personnummer er offentlig informasjon og at man kan ringe folkeregisteret og få oppgitt personnummeret på hvem man vil?

Problemet med altinn er at man kan gjøre det systematisk.

 

@vidarlo:

Ble koden sendt til tele2 først? Fikk de oppgitt en frist for når problemet skulle vært fikset, før koden ble frigitt?

At det påpekes sikkerhetshull betyr ikke at noen skjønner hvor kritiske de er før de utnyttes, dvs. at de må se programmet med egne øyne. Det er jo tonnevis med sikkerhetshull i alle OS som ikke blir rettet med det første, for de oppfattes ikke som kritiske.

 

Noe av poenget med å lage PoC-kode er jo å vise hvor kritisk problemet er.

9178667[/snapback]

 

Mange glemmer nok også at nesten alle bedrifter abonnerer på folkeregisteret og får tilsendt CDer med oppdatert info. gjevnlig. Hvor mange i Norge har ikke en kontorjobb hvor de enkelt kan søke i folkeregisteret? Tenk bank, forsikring, trygdekontor, sosialkontor, ligningskontor, sykehus, politi, brann, kommune, fylkeskommune, etater og tilsyn, universiteter og høgskoler osv. m.m. Tror du at f.eks. StatoilHydro ikke har folkeregisteret? Selvfølgelig har de det og alle med administrative stillinger kan søke i registeret så mye de vil...

 

Og hvis du er fjortis så ser også dørvakten ditt personnummer (det heter forresten fødselsnummer) når du viser leg.

 

Ikke tro at opplysningene fra folkeregisteret er hemmelige!

Endret av reidar76
Lenke til kommentar
Vizla

Vizla

Skrevet
Skrevet (endret)

Men det burde så absolutt vært hemmelig. Jeg vil nok ikke tjene så mye på det før søkelyset rettes mot meg, men å ødelegge en person rent økonomisk ved hjelp av 11 er intet problem. ( Har forresten tilgang til folkeregisteret på jobben. Det er noe som trengs, men burde vært strengere regler rundt det da hvem som helst av "oss i gjengen" som egentlig ikke trenger tilgang, har tilgang. )

Endret av Vizla
Lenke til kommentar
ATWindsor

ATWindsor

Skrevet
Skrevet
Men det burde så absolutt vært hemmelig. Jeg vil nok ikke tjene så mye på det før søkelyset rettes mot meg, men å ødelegge en person rent økonomisk ved hjelp av 11 er intet problem. ( Har forresten tilgang til folkeregisteret på jobben. Det er noe som trengs, men burde vært strengere regler rundt det da hvem som helst av "oss i gjengen" som egentlig ikke trenger tilgang, har tilgang. )

9178948[/snapback]

 

Intet problem? Hvordan har du tenkt å "ødelegge en person økonomisk" uproblematisk, med utgangspunkt i personnummeret?

 

AtW

Lenke til kommentar
Wild Berries

Wild Berries

Skrevet
Skrevet (endret)

Hei.

 

Hvor er så dette "berømte" program ?

 

Det er jo ikke så lenge siden Stavanger Aftenblad skrev om noe tilsvarende.

 

Link : http://web3.aftenbladet.no/lokalt/article486581.ece

 

Link : http://web3.aftenbladet.no/lokalt/article486076.ece

 

Så kan noen si noe om programmet, eller bryter det med lover og regler her inne på forumet ?

 

Om og visst, kan noen sende en PM ?

 

Takk på forhånd.

 

Vennlig Hilsen

 

W_B

 

PS: Skal kun sjekke meg selv, da jeg ikke gambler med min jobb.

 

Hvor er programmet da ?

 

Jeg er meget villig til å teste det på meg selv, men ingen kan eller vil vise vei til dette "berømte" programm. :roll:

Endret av Wild Berries
Lenke til kommentar
HoaXed

HoaXed

Skrevet
Skrevet (endret)

Uansett bør utgiveren av programmet være mer forsiktig når det gjelder dette neste gang. Etter to tasteklikk har jeg programmerenes fulle navn, e-post og telefonnummer.

 

Selv om det kanskje er et hull fra Tele2 sin side kan man fort regne dette som moralsk ukorrekte å gjøre som det er beskrevet over. Om det er ulovlig å stjele informasjon fra andre sider vet jeg ikke. Men å skaffe seg åpen tilgang til folkeregistrerert skjønner jo alle at ikke man bør gjøre.

 

EDIT: Hvilket språk er det programmert i?

Endret av HoaXed
Lenke til kommentar
kira_kun

kira_kun

Skrevet
Skrevet (endret) 

#include <stdio.h>
#define inrange(y,a,b) ((y>=a)&&(y<=b))

/* id representation */
typedef unsigned int id[11];

/*year range representation*/
typedef unsigned int range[2];

enum gender {MALE, FEMALE, BOTH}; 


/*find k1*/
unsigned int k1(id p) {
unsigned int k1 = 11-((3*p[0]+7*p[1]+6*p[2]+p[3]+8*p[4]+9*p[5]+4*p[6]+5*p[7]+2*p[8])%11);
if(k1!=11) return k1;
return 0;	
}

/*find k2*/
unsigned int k2(id p) {
unsigned int k2 = 11-((5*p[0]+4*p[1]+3*p[2]+2*p[3]+7*p[4]+6*p[5]+5*p[6]+4*p[7]+3*p[8]+2*p[9])%11);
if(k2!=11) return k2;
return 0;
}

/*genererate valid id's*/
void generatek1k2(id p) {
p[9]=k1(p);
p[10]=k2(p);

}


/*generate valid id's given birthdate, person number range*/
void genids(id p, unsigned int min, unsigned int max,enum gender g) {
int inc=1;

switch(g) {
 case BOTH :
 	break;

 case MALE : 
 	inc=2;
 	/*start from odd*/
 	if(!(min&1)) min++;
 	break;

 case FEMALE :
 	inc=2;
 	/*start from even*/
 	if(min&1) min++;
 	break;
}

do {

 p[6]=min%1000/100;
 p[7]=min%100/10;
 p[8]=min%10;
 generatek1k2(p);
 /* control values of 10 is truncated*/
 if(p[9]!=10&&p[10]!=10) {
 	
 	int i;
 	for(i=0;i<=10;i++) {
   printf("%u",p[i]);
   
 	}
 	printf("\n");

 }

}while((min+=inc)<=max);

}


/*      	current person numbers            */
/* 000–499 for people born in range 1900–1999.*/
/* 500–749 for people born in range 1855–1899.*/
/* 500–999 for people born in range 2000–2039.*/
/* 900–999 for people born in range 1940–1999.*/

/*generate all possible id's for a date*/
void genidfordate(unsigned int d1,
     unsigned int d2,
     unsigned int m1,
     unsigned int m2,
     unsigned int year,
     enum gender g) {

int min=0,max=0;
id i;

/*ddmmyy*/
i[0]=d1;
i[1]=d2;
i[2]=m1;
i[3]=m2;
i[4]=year%100/10;
i[5]=year%10;


if(inrange(year,1855,1899)) {
 min=500;
 max=749;
 genids(i, min, max, g); 
 
}

else if(inrange(year,1900,1999)) {
 min=1;
 max=499;
 genids(i, min, max, g); 


 if(inrange(year,1940,1999))	{
 	min=900;
 	max=999;
 	genids(i, min, max, g); 

 }

}

else if(inrange(year,2000,2039)) {
 min=500;
 max=999;
 genids(i, min, max, g); 

}
}	

int main(void) {

 	
unsigned int d1,d2,m1,m2,year;
enum gender g;
char sex;
scanf("%1u%1u.%1u%1u.%4u%c",&d1,&d2,&m1,&m2,&year,&sex);

switch(sex){
 case 'f' :
 	g=FEMALE;
 	break;
 case 'm' :
 	g=MALE;
 	break;
 default :
 g=BOTH;
}


genidfordate(d1,d2,m1,m2,year,g);


}

 

skal eg lage fint brukergrensesnitt til dere og?

idioter som ikke kan kompilere det, kan bare styre unna

Endret av kira_kun
Lenke til kommentar
Wild Berries

Wild Berries

Skrevet
Skrevet (endret)
[snip]

 

skal eg lage fint brukergrensesnitt til dere og?

idioter som ikke kan kompilere det, kan bare styre unna

9182117[/snapback]

 

Ja jeg er idiot. Vennligst lag noe som jeg også kan forstå.

 

Takk.

 

Vennlig Hilsen Idioten

 

W_B

 

##Er det virkelig nødvendig å sitere en meter kildekode? - enden##

Endret av enden
Lenke til kommentar
nercix

nercix

Skrevet
Skrevet (endret)

Funka fint her...

 

Litt dårleg info om korleis programmet kjører, men det ein rask titt i kjeldekoda © avslører det. Dvs kjør program, så skriv inn dd.mm.yyyys, der s er kjønn.

 

Dette er dog ikkje programmet som er omtalt i artikkelen (for der treng ein mykje meir enn ein liten titt for å finn ut kva som foregår...)

 

Kunne vore fint om programmet tok dato/kjønn infoen som ett argument i staden for at det må lesast inn i programmet (og gi ei fin feilmelding om noke er gale).

Endret av nercix
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...