Identitetstyveri for enkelt i Norge

[Peter]

Lurer på hva programmereren har gjort i dette tilfellet?

Normalt så er jo "standarden" at man opplyser bedriftene om hva som er galt og hvordan hullet kan utnyttes, så setter man en tidsfrist for å fikse det, SÅ frigir man programmet for å utnytte hullet dersom det ikke har blitt fikset innen tidsfristen.

 

Deretter oppgir bedriften en post (ofte en knowledge-post) der de sier hva som var feil, hvordan den kan rettes (dersom noe klienten må gjøre), og navnet på personen som oppdaget feilen og rapporterte den.

 

Mitt inntrykk her er at programmereren heller ville skryte litt av ferdighetene (som i dette tilfellet ikke krevde stort), enn faktisk å rette feilen. For all del, kudos for tankegangen for å påpeke at dette kan utnyttes, men ikke kudos DERSOM han ikke sa ifra til bedriftene på en skikkelig måte først.

[Bergenstidende]

Hei

 

Jeg er journalist i Bergens Tidende og ønsker å skrive en artikkel om dette. Dersom noen kjenner til at personer på Vestlandet på en eller annen måte er blitt skadelidende som følge av personnummer på avveie er jeg veldig interessert i å komme i kontakt med vedkommende. En PM med tips vil bli mottatt med takk.

 

Jeg kan sende mitt telefonnummer tilbake som PM dersom det er ønskelig, så kan vi ta praten over telefon. Jeg kan også dokumentere at jeg er journalist, men ønsker ikke å legge ut jobbmail osv. i forumet.

 

Mange takk, håper på svar.

 

Kjetil, BT

[vidarlo]

Lurer på hva programmereren har gjort i dette tilfellet?

Normalt så er jo "standarden" at man opplyser bedriftene om hva som er galt og hvordan hullet kan utnyttes, så setter man en tidsfrist for å fikse det, SÅ frigir man programmet for å utnytte hullet dersom det ikke har blitt fikset innen tidsfristen.

 

Deretter oppgir bedriften en post (ofte en knowledge-post) der de sier hva som var feil, hvordan den kan rettes (dersom noe klienten må gjøre), og navnet på personen som oppdaget feilen og rapporterte den.

 

Mitt inntrykk her er at programmereren heller ville skryte litt av ferdighetene (som i dette tilfellet ikke krevde stort), enn faktisk å rette feilen. For all del, kudos for tankegangen for å påpeke at dette kan utnyttes, men ikke kudos DERSOM han ikke sa ifra til bedriftene på en skikkelig måte først.

9176715[/snapback]

Saka har vore offentlig kjent ei stund. Viss du les litt, så finn du ut at det er over to veker sidan holet vart kjent første gang offentlig, gjennom den rapporten som blir nevnt i artikkelen på HW.no.

 

Til *TROSS* for at holet har vore offentlig kjent har altså ikkje altinn eller andre gjort noko. Når dei velger å ignorere slikt er det ofte nødvendig å gå ut med PoC-kode, for å bevise at det funker, og skape skandale. Og det har jo åpenbart fungert å gå ut: Deler av problemet er fiksa. Difor støtter eg fullt ut handlemåten i denne saka.

 

Modellen med å varsle ansvarlige for hull funker bare dersom en har en trussel: full disclosure. Les på WP om tankegangen bak Full Disclosure.

Endret 30. juli 2007 av vidarlo

[meitemark]

Det dere glemmer å tenke på er at dette sikkerhetshullet er todelt. Altinn har like stor feil i dette som i de kommersielle selskapene. Altinn gjør en generaltabbe innen datasikkerhet ved å gi en reaksjon for feil personnummer og en annen for riktig. Det er det som gjør at primærfunksjonen, nemlig det å generere og sjekke om de stemmer fungerer.

 

Selv om man generer matematisk riktige personnummer og sjekker de opp mot feks tele2 vil man måtte lete mye lengre og sjekke mye for å komme frem til noe svar, så den egentlige feilen ligger hos Altinn.

[G]

Full Disclosure, a policy in computer security

 

Full Disclosure (flere treff av forskjellig art)

[Peter]

Er folk klar over at personnummer er offentlig informasjon og at man kan ringe folkeregisteret og få oppgitt personnummeret på hvem man vil?

Problemet med altinn er at man kan gjøre det systematisk.

 

@vidarlo:

Ble koden sendt til tele2 først? Fikk de oppgitt en frist for når problemet skulle vært fikset, før koden ble frigitt?

At det påpekes sikkerhetshull betyr ikke at noen skjønner hvor kritiske de er før de utnyttes, dvs. at de må se programmet med egne øyne. Det er jo tonnevis med sikkerhetshull i alle OS som ikke blir rettet med det første, for de oppfattes ikke som kritiske.

 

Noe av poenget med å lage PoC-kode er jo å vise hvor kritisk problemet er.

[reidar76]

Er folk klar over at personnummer er offentlig informasjon og at man kan ringe folkeregisteret og få oppgitt personnummeret på hvem man vil?

Problemet med altinn er at man kan gjøre det systematisk.

 

@vidarlo:

Ble koden sendt til tele2 først? Fikk de oppgitt en frist for når problemet skulle vært fikset, før koden ble frigitt?

At det påpekes sikkerhetshull betyr ikke at noen skjønner hvor kritiske de er før de utnyttes, dvs. at de må se programmet med egne øyne. Det er jo tonnevis med sikkerhetshull i alle OS som ikke blir rettet med det første, for de oppfattes ikke som kritiske.

 

Noe av poenget med å lage PoC-kode er jo å vise hvor kritisk problemet er.

9178667[/snapback]

 

Mange glemmer nok også at nesten alle bedrifter abonnerer på folkeregisteret og får tilsendt CDer med oppdatert info. gjevnlig. Hvor mange i Norge har ikke en kontorjobb hvor de enkelt kan søke i folkeregisteret? Tenk bank, forsikring, trygdekontor, sosialkontor, ligningskontor, sykehus, politi, brann, kommune, fylkeskommune, etater og tilsyn, universiteter og høgskoler osv. m.m. Tror du at f.eks. StatoilHydro ikke har folkeregisteret? Selvfølgelig har de det og alle med administrative stillinger kan søke i registeret så mye de vil...

 

Og hvis du er fjortis så ser også dørvakten ditt personnummer (det heter forresten fødselsnummer) når du viser leg.

 

Ikke tro at opplysningene fra folkeregisteret er hemmelige!

Endret 31. juli 2007 av reidar76

[Vizla]

Men det burde så absolutt vært hemmelig. Jeg vil nok ikke tjene så mye på det før søkelyset rettes mot meg, men å ødelegge en person rent økonomisk ved hjelp av 11 er intet problem. ( Har forresten tilgang til folkeregisteret på jobben. Det er noe som trengs, men burde vært strengere regler rundt det da hvem som helst av "oss i gjengen" som egentlig ikke trenger tilgang, har tilgang. )

Endret 31. juli 2007 av Vizla

[sinnaelgen]

hva skal man bruke i stedet for personnummer når man trenger en unik id for å skille mellom personer ( spesielt viktig når det blir mange å velge mellom).

 

selve fødselsnummeret er bare på 5 siffer( 3+2)

mens personnummeret er på 11 som inneholder både fødselsnummer og fødseldato.

 

se hva jeg fant om personnummeret

Endret 31. juli 2007 av elg-elg123

[enmannen]

selve fødselsnummeret er  bare på 5 siffer( 3+2)

mens personnummeret  er på 11 som inneholder både fødselsnummer  og fødseldato.

 

9179249[/snapback]

 

 

det er omvendt

[ATWindsor]

Men det burde så absolutt vært hemmelig. Jeg vil nok ikke tjene så mye på det før søkelyset rettes mot meg, men å ødelegge en person rent økonomisk ved hjelp av 11 er intet problem. ( Har forresten tilgang til folkeregisteret på jobben. Det er noe som trengs, men burde vært strengere regler rundt det da hvem som helst av "oss i gjengen" som egentlig ikke trenger tilgang, har tilgang. )

9178948[/snapback]

 

Intet problem? Hvordan har du tenkt å "ødelegge en person økonomisk" uproblematisk, med utgangspunkt i personnummeret?

 

AtW

[Wild Berries]

Hei.

 

Hvor er så dette "berømte" program ?

 

Det er jo ikke så lenge siden Stavanger Aftenblad skrev om noe tilsvarende.

 

Link : http://web3.aftenbladet.no/lokalt/article486581.ece

 

Link : http://web3.aftenbladet.no/lokalt/article486076.ece

 

Så kan noen si noe om programmet, eller bryter det med lover og regler her inne på forumet ?

 

Om og visst, kan noen sende en PM ?

 

Takk på forhånd.

 

Vennlig Hilsen

 

W_B

 

PS: Skal kun sjekke meg selv, da jeg ikke gambler med min jobb.

 

Hvor er programmet da ?

 

Jeg er meget villig til å teste det på meg selv, men ingen kan eller vil vise vei til dette "berømte" programm.

Endret 31. juli 2007 av Wild Berries

[HoaXed]

Å si noe om programmet vil jo ikke være å bryte noen retningslinjer siden personnummeret eller fødelsnummeret er sensitiv informasjon. Hadde det vært det hadde jeg saksøkt Tele2

[HoaXed]

Uansett bør utgiveren av programmet være mer forsiktig når det gjelder dette neste gang. Etter to tasteklikk har jeg programmerenes fulle navn, e-post og telefonnummer.

 

Selv om det kanskje er et hull fra Tele2 sin side kan man fort regne dette som moralsk ukorrekte å gjøre som det er beskrevet over. Om det er ulovlig å stjele informasjon fra andre sider vet jeg ikke. Men å skaffe seg åpen tilgang til folkeregistrerert skjønner jo alle at ikke man bør gjøre.

 

EDIT: Hvilket språk er det programmert i?

Endret 31. juli 2007 av HoaXed

[nercix]

Det var programmert i C#

[kira_kun]

#include <stdio.h>
#define inrange(y,a,b) ((y>=a)&&(y<=b))

/* id representation */
typedef unsigned int id[11];

/*year range representation*/
typedef unsigned int range[2];

enum gender {MALE, FEMALE, BOTH}; 


/*find k1*/
unsigned int k1(id p) {
unsigned int k1 = 11-((3*p[0]+7*p[1]+6*p[2]+p[3]+8*p[4]+9*p[5]+4*p[6]+5*p[7]+2*p[8])%11);
if(k1!=11) return k1;
return 0;	
}

/*find k2*/
unsigned int k2(id p) {
unsigned int k2 = 11-((5*p[0]+4*p[1]+3*p[2]+2*p[3]+7*p[4]+6*p[5]+5*p[6]+4*p[7]+3*p[8]+2*p[9])%11);
if(k2!=11) return k2;
return 0;
}

/*genererate valid id's*/
void generatek1k2(id p) {
p[9]=k1(p);
p[10]=k2(p);

}


/*generate valid id's given birthdate, person number range*/
void genids(id p, unsigned int min, unsigned int max,enum gender g) {
int inc=1;

switch(g) {
 case BOTH :
 	break;

 case MALE : 
 	inc=2;
 	/*start from odd*/
 	if(!(min&1)) min++;
 	break;

 case FEMALE :
 	inc=2;
 	/*start from even*/
 	if(min&1) min++;
 	break;
}

do {

 p[6]=min%1000/100;
 p[7]=min%100/10;
 p[8]=min%10;
 generatek1k2(p);
 /* control values of 10 is truncated*/
 if(p[9]!=10&&p[10]!=10) {
 	
 	int i;
 	for(i=0;i<=10;i++) {
   printf("%u",p[i]);
   
 	}
 	printf("\n");

 }

}while((min+=inc)<=max);

}


/*      	current person numbers            */
/* 000–499 for people born in range 1900–1999.*/
/* 500–749 for people born in range 1855–1899.*/
/* 500–999 for people born in range 2000–2039.*/
/* 900–999 for people born in range 1940–1999.*/

/*generate all possible id's for a date*/
void genidfordate(unsigned int d1,
     unsigned int d2,
     unsigned int m1,
     unsigned int m2,
     unsigned int year,
     enum gender g) {

int min=0,max=0;
id i;

/*ddmmyy*/
i[0]=d1;
i[1]=d2;
i[2]=m1;
i[3]=m2;
i[4]=year%100/10;
i[5]=year%10;


if(inrange(year,1855,1899)) {
 min=500;
 max=749;
 genids(i, min, max, g); 
 
}

else if(inrange(year,1900,1999)) {
 min=1;
 max=499;
 genids(i, min, max, g); 


 if(inrange(year,1940,1999))	{
 	min=900;
 	max=999;
 	genids(i, min, max, g); 

 }

}

else if(inrange(year,2000,2039)) {
 min=500;
 max=999;
 genids(i, min, max, g); 

}
}	

int main(void) {

 	
unsigned int d1,d2,m1,m2,year;
enum gender g;
char sex;
scanf("%1u%1u.%1u%1u.%4u%c",&d1,&d2,&m1,&m2,&year,&sex);

switch(sex){
 case 'f' :
 	g=FEMALE;
 	break;
 case 'm' :
 	g=MALE;
 	break;
 default :
 g=BOTH;
}


genidfordate(d1,d2,m1,m2,year,g);


}

 

skal eg lage fint brukergrensesnitt til dere og?

idioter som ikke kan kompilere det, kan bare styre unna

Endret 31. juli 2007 av kira_kun

[HoaXed]

Gjerne Gjerne.

[Wild Berries]

[snip]

 

skal eg lage fint brukergrensesnitt til dere og?

idioter som ikke kan kompilere det, kan bare styre unna

9182117[/snapback]

 

Ja jeg er idiot. Vennligst lag noe som jeg også kan forstå.

 

Takk.

 

Vennlig Hilsen Idioten

 

W_B

 

##Er det virkelig nødvendig å sitere en meter kildekode? - enden##

Endret 31. juli 2007 av enden

[miceagol]

skal eg lage fint brukergrensesnitt til dere og?

idioter som ikke kan kompilere det, kan bare styre unna

9182117[/snapback]

 

Hehe, prøvde å kompilere og kjøre den i Linux, men det funket visst ikke helt.

[nercix]

Funka fint her...

 

Litt dårleg info om korleis programmet kjører, men det ein rask titt i kjeldekoda © avslører det. Dvs kjør program, så skriv inn dd.mm.yyyys, der s er kjønn.

 

Dette er dog ikkje programmet som er omtalt i artikkelen (for der treng ein mykje meir enn ein liten titt for å finn ut kva som foregår...)

 

Kunne vore fint om programmet tok dato/kjønn infoen som ett argument i staden for at det må lesast inn i programmet (og gi ei fin feilmelding om noke er gale).

Endret 31. juli 2007 av nercix