Gymnasieelev anmeldte CPR-hul i skolesystem til Datatilsynet - nu får han en advarsel af skolen

Rune Jensen:

Hvorfor mener du, at bankerne bør sætte standarden? Fordi de har flere penge, eller fordi de passer på andre folks penge?

Egentlig synes jeg, at følsomme persondata af typen "mere private data end blot økonomi" (eks. karakterer, fravær, sundhedsproblemer etc.), må kræve at blive taget mindst lige så alvorligt som økonomiske persondata.

Og hvis man sætter kravene efter virksomhedens økonomi (hvis det er det, du mener), så åbner man vel for, at mere skumle typer blot opretter et lille fattigt firma, finder en måde at hente data på, og så lader disse "lække" (mod betaling, selvfølgelig), med den undskyldning, at man ikke har råd til ordentlig sikkerhed?

Nej, jeg synes ikke, der bør være huller i sikkerheden omkring persondata - for når først de er lækket, så er der jo ingen måde at fange dem ind igen på.

For at citere Steen Christensens indlæg fra i fredags - vedr.

"Det er godt nok stygt. Så kan man f.eks. se hvornår en navngiven lærer ikke er hjemme. Det giver fred hvis man vil lave et rask lille indbrud."

Direkte adspurgt om man da ikke - set i lyset af skoleskyderier, samt Utöya hændelsen - ønsker at begrænse uvedkommende personers adgang til skema-data - svarer Lectio systemets indehaver MACOM :

Sendt: 14. marts 2012 15:24 Til: Mogens Winther Emne: RE: Svar fra Christine Antorini

Kære Mogens,

Tak for din henvendelse. Lectio skemaer har været åben og bygget på den åbne netadgang siden starten for 9 år siden. Det er ikke noget vi har i sinde at ændre på og det er ikke noget den enkelte skole har mulighed for at ændre i deres opsætning. Derimod er der meget data, der ligger beskyttet af adgangs login.

Med Venlig Hilsen

Camilla Feldvoss

MaCom A/S Vesterbrogade 48, 1. 1620 København V Telefon: 33 79 79 00 Telefax: 33 79 79 84 Web: www.macom.dk

firmaet er med andre ord TOTALT ligeglad med elevernes og de ansattes sikkerhed

I Tyskland er den type sløset adfærd med skoleskemaer, navnelister og lignende forbudt - Ifølge https://www.datenschutzzentrum.de/faq/schule2.htm#iv9 hedder det : ”Darüber hinaus ist zu bedenken, dass durch die Veröffentlichung von Vertretungsplänen auf der Schulhomepage nicht nur der eingeschränkte Adressatenkreis der Schulöffentlichkeit Zugang zu diesen Informationen hat, sondern jeder Nutzer des Internet weltweit. Wegen der fehlenden Erforderlichkeit und des unbestimmten Adressatenkreises ist eine Veröffentlichung von Namen oder Namenskürzeln der Lehrkräfte daher unzulässig.”

heh, jeg troede lige et sekund at elev-id var CPR.. Ellers god info..!

banken nok bør sætte den allerhøjeste sikkerhedsstandard, og alle andre bør forsøge art opnå det samme

Ingen sikkerhed: 0 kr. Sikkerhed: tusinder af kroner. Ulemper ved ingen sikkerhed: Mildt ubehag, ingen bøder, ingen fængsel. Risiko: Minimal.

Det er altså svært at se, hvordan det skal blive bedre med den nuværende lovgivning.

Skolen har vel pligt til at garantere for elevernes persondatasikkerhed?

Alle der håndtere personfølsomme oplysninger har pligt til at opbevare disse sikkert i forhold til loven.

Jeg kan godt se, hvad du mener, men jeg mener egentlig stadig, at der bør være højere sikkerhed i en bank end i et skolenetværk. Eller mere korrekt dansk, at banken nok bør sætte den allerhøjeste sikkerhedsstandard, og alle andre bør forsøge art opnå det samme, men... man får også hvad man betaler for. Og altså, tror du skolerne har råd til at holde audits på samme måde som bankerne? Ville da være dejligt, hvis de kunne, men det koster altså penge, og jeg tror bare det blvier hammer svært. Så dér hvor jeg ville fokusere var i stedet netop på at tage henvendelser som den fra eleven seriøst, så man kunne få noget gratis sikkerhedshjælp i stedet.

Skolen garanterer ikke for nogen sikkerhed

Skolen har vel pligt til at garantere for elevernes persondatasikkerhed?

Vel forskellen til Valus-sagen er, at det var en bank som havde ganske simple SQL injection huller. Alt andet lige, når du - offentligt - praler med at kunne tage vare på folks penge, så er det nødvendigt du også har absolut kendskab til sikkerheden bag. Og ja, SQL injection var måske forholdsvist nyt (selvom parameterized queries var implementeret helt tilbage i nogle af de første versioner af ASP, så så nyt var det heller ikke), men der er ingen undskyldning for lige netop en bank for ikke at være fuldstændigt på forkant med sikkerheden. Ingen.

Det fritager selvfølgelig ikke skolen for et ansvar. Og ja, de har efter min mening ganske givet overreageret, og her ligner sagen da lidt Valus, da de anklager budbringeren for at flytte fokus fra egne fejl. Eleven har sådan set handlet etisk korrekt, jeg kan ikke se, hvordan han ellers skulle have reageret. Men de to situationer er ikke ens. Skolen garanterer ikke for nogen sikkerhed. Banken gør, ellers er det ikke en bank. Der er iøvrigt også særlige standarder for bank.sikkerhed, ved ikke om der er for skole web, men tror det ikke.

No further comments.

samt Rådet for Digital Sikkerhed

Den kendte jeg ikke. Tak for link.

Jeg har som Jonas, selv kontaktet danske firmaer som TDC, TV2, Elevplan med dvs. huller og STIL's reaktionen er ikke ualmindelig. Typisk vil store virksomheder enten ignorere henvendelsen, da den ofte ender hos en eller anden inkompetent kundeservicemedarbejder, eller spørge hvorfor fanden man leger med deres system; ofte efterfulgt af en trussel om politianmeldelse og erstatningskrav. Altså giver man virksomheden information, der potentielt set kan spare dem mange millioner, og modtager til gengæld en ubehagelig besked om, at man risikerer at blive straffet. Sikke et incitament det skaber! Derfor kan jeg kun anbefale personer i Jonas' situation, til at levere sådanne oplysninger anonymt.

Danske virksomheder har tilsynladende ikke fattet hvor alvorligt IT-sikkerhed er. Gør det strafbart at ignorere sådanne henvendelser, og gør det lovligt at oplyse om dem.

Mvh. Rasmus C.

authentication (ups - jeg ved ikke lige hvad det hedder på dansk

Se Wikipedia - Autenticitet

Fastlæggelse af autenticitet kaldes autentifikation.

"Man går ind med sin smartphone på www.lectio.dk – og vælger et passende gymnasie – eksempelvis ”Nordsjællands Grundskole og Gymnasium”"

Det er godt nok stygt. Så kan man f.eks. se hvornår en navngiven lærer ikke er hjemme. Det giver fred hvis man vil lave et rask lille indbrud.

I øvrigt forbløffende så specielle navnene er. Er der slet ikke nogen mere i Danmark der hedder noget så traditionelt simpelt som Jens Hansen ?

"Teknisk set svarer det jo til at man trykker et håndtag ned for at se om døren så kan åbnes. Dermed har man jo til hensigt at opnå en adgang man ikke har opnået tilladelse til."

Nej. Det svarer til at han bladrer i en bog han har fået udleveret af skolen, hvor der er nogen sider i bogen der ikke skulle have været udleveret til eleverne.

Hvis man gør et website tilgængeligt for nogle brugere af et netværk, må man også regne med at alle sider der er publiceret på dette site vil blive læst af brugere på dette netværk. Det nytter ikke noget at sige at det er uatoriseret adfærd.

Autorisation til adgang skal kontroleres af identification og authentication (ups - jeg ved ikke lige hvad det hedder på dansk - har ikke arbejdet med emnet i danmark)

Mvh. Steen Christensen Information Risk Manager CISSP, CRISC, CISA

Havde Jonas handlet forsvarligt, havde han indgivet politianmeldelse af skolen for at eksponere personfølsomme oplysninger.

Se i øvrigt https://www.version2.dk/artikel/gymnasieelev-fik-adgang-til-cpr-database-ved-fjerne-secure-fra-url-384555#comment-316106

Det er trist at historien om Valushackeren er blevet skrubbet

Et simpelt google opslag -https://www.computerworld.dk/art/26013/mild-dom-til-valus-hacker-to-frifundetsiger den ikke er.

Men ja, den og dens dom er meget relevante for nærværende situation, da den også omhandler URL ændring.

Den oprindelige opdager bliver frikendt for at have hacket, medens 3 personer som efterfølgende har anvendt den offentliggjorte information bliver dømt for hærværk (URLen fik hjemmesiden til at gå ned).

Så nej, det at "kigge ind af vinduerne" ved at skifte URLen, er ikke hacking i lovens forstand.

Så vidt jeg kan se ud fra de to artikler i version2, er en advarsel til Jonas Boserup helt berettiget, omend med en anden begrundelse end den, der har forårsaget den givne advarsel.</p>
<p>Havde Jonas handlet forsvarligt, havde han indgivet politianmeldelse af skolen for at eksponere personfølsomme oplysninger.

advarsel = ond, dum, skurk, nej elev = god, klog, helt, ja

Tydeligvis gælder det i denne tråd kun om at kæmpe om hvem der kan overgå hvem i at bekræfte hinanden i at mene at skolen er ond og dum og eleven en uskyldig helt. Den reflekterende person burde indse at verden ikke er så sort/hvid.

Men jeg forudser såmænd også at dette indlæg vil blive stemt ned, da det bryder med flertallet af de i denne debat deltagendes virkelighedsopfattelse.

Så vidt jeg kan se ud fra de to artikler i version2, er en advarsel til Jonas Boserup helt berettiget, omend med en anden begrundelse end den, der har forårsaget den givne advarsel.

Havde Jonas handlet forsvarligt, havde han indgivet politianmeldelse af skolen for at eksponere personfølsomme oplysninger.

OT, men jo - det tænkte og forsøgte Snowden på: https://www.ibtimes.com/nsa-admits-retaining-snowden-emails-despite-claiming-he-never-raised-surveillance-issues-1625508

Easy-P er ikke skolens system, men STILs. Skolen har kun noget med netværket at gøre, systemet/hjemmesiden har heletiden været hos STIL.

Er der nogen med kendskab til CPR der kan vurdere om der også var adgang til adresse information for personer med beskyttet adresse? Forskellen mellem stor fejltagelse og katastrofe...

Kan det ikke tænkes at systemkonstruktøren har lært sit fag hos CSC?

Hvis Jonas har "hacket systemet" og snaget i hemmelige filer, så har skolen vel en audit log, der kan fortælle om den slags? Jeg mener: Hvis man har et system med følsomme oplysninger, så er det jo ikke blot vigtigt at beskytte oplysningerne, men også at kunne dokumentere, hvem der har haft adgang til hvad og hvornår.

Hvem er det, som har programmeret det lort - hvor man bare kan redigere lidt i URL'en? Den person burde fyres - og sortlistes, så han fremover ikke kan ansættes i et IT relateret erhverv i det offentlige.

Er det moralsk i orden at dele en funden sikkerhedsrisiko til medier og andre, inden man orienterer systemejeren og giver denne mulighed for at lukke hullet?

Hvis man ikke kan acceptere realiteterne som de er: At man har leveret, h.h.v. indköbt, noget pinligt dårligt skrammel og det er så pinligt dårligt at at disse forhold er synlige direkte "på kommando-linien" (d.v.s. at man ikke testede / er ligeglad) for sådan cirka ... Internettet ... så er den bedste, mest humane, lösning for alle parter at klovnerne går konkurs / fyres og eventuelt finder sig en anden beskäftigelse med mindre fuck-up potentiale end Offentligt IT.

Det kunne väre rigtigt sjovt at nogen andre, for eksempel Datatilsynet, lavede en rigtig PEN-test på systemet. En 3-4 konsulent-timer er formodentligt rigeligt til at bedömme kvaliteten.

Gør han det, så er han golden, og så kan han gå til diverse medier alt det han vil. Så bør han gøre det, men ALDRIG ALDRIG før. Det er svinsk og hjælper egentligt kun til, at flere mennesker kommer til at kende et potentielt farligt sikkerhedshul.

Henrik Petersen må kende skolen og dens folk personligt, siden han så sikkert kan skrive at hvis Jonas havde håndteret det anderledes, så havde han været "golden". Ellers er det jo noget af en antagelse og svare til den jeg selv laver i dette indlæg....... ;)

Ingen af os ved vel egentlig hvad forløbet havde været hvis han var gået direkte til skolen først.

Det svarer jo til at rende rundt og kontrollere om døre og vinduer skulle være låst hos andre mennesker..

Hvis du begyndte at "teste" en url som denne:

https://www.example.com/books?id=23

Med:https://www.example.com/books?id=23 union select userid,password from userTable

For at snyde et dårligt system til at udlevere bruger databasen, kunne man sandsynligvis godt fornemme at du kunne være i ond tro, ELLER du kunne være i godt tro og melde fejlen før andre misbrugte data.

Derfor mener jeg at det er system udviklerens hele og fulde ansvar, det er ikke så svært at sikre sig nogenlunde. De fejl vi ser rapporteret her på version2, er som regel de fejl det tager 10 minutter at finde, hvilket igen siger noget om udvikler uvidenhed / ignorance i bred forstand.

Tak for beroligelsen, Peter.

Jeg er så i princippet hacker, men altså i god tro - det er bedre end ingenting :-)

Hej Anne-Marie, ja det er klassikeren at ændre en url f.eks som du siger ved at ændre årstallet, så man f.eks kan se artikler fra andre år som det muligvis ikke er links til på sitet man besøger.

Det skal du ikke være bange for, du har højst sandsynligt handlet i god tro og kan ikke klandres for det. En ændring i url'en i den stil vil jeg ikke kalde hacking, men et simpelt opslag eller afprøvning af en adresse.

NB. jeg ville skrive noget mere for at give nogle opklarende eksempler, men jeg fik hele tiden en fejlmeddelelse når jeg postede et længere svar.

Er det moralsk i orden at dele en funden sikkerhedsrisiko til medier og andre, inden man orienterer systemejeren og giver denne mulighed for at lukke hullet?

Jeg 'blander mig lige'....

Ja, det er moralsk i orden at opdrage systemejeren til at tage sikkerhed alvorligt.

Ja, det er moralsk i orden at opdrage systemejeren som har data om dig til at tage sikkerhed alvorligt.

Ja, det er moralsk i orden at opdrage systemejeren til at tage sikkerhed alvorligt, ved at dele en funden sikkerhedsrisiko med relevante tilsyn, inden man orienterer systemejeren og giver denne mulighed for at lukke hullet.

Ja, det er - i særdeleshed - moralsk i orden at opdrage systemejeren til at tage sikkerhed alvorligt, ved at dele en funden sikkerhedsrisiko med relevante tilsyn, og lade tilsynet om at orientere systemejeren og derved give denne mulighed for at lukke hullet.

Især når det kan forventes at ledelsen bliver agressiv fordi du har rokket med abeburet, er den sidste mulighed det eneste ansvarlige alternativ til ligegyldighed.

K

Nej, de bør IKKE ansætte en medievant talsperson.
Der er ikke behov for at omskrive ledelsens vrid i elevens kønskirtler.
Det bliver ikke kønnere af at blive pakket ind.

Fair enough. Det har du ret i, Kenn. Det er ikke kun deres holdning udadtil der er gal, men deres politik (som lader til at være formuleret on the fly af direktøren). Det ville ikke koste dem en øre at have været mere imødekommende og løsningsorienterede, snarere end at blive børneformærmede.

Peter Jensen:

I mine øjne - Ja! Jeg ville selv vælge den løsning, fordi jeg er meget beymret over udviklingen på persondataområdet, og mener, at det er vigtigt med et centralt overblik over omfanget af den slags problemer i samfundet. Som jeg ser det, har skolen overtrådt loven ved ikke at sikre data ordentligt, og den slags melder man til Datatilsynet.

Det er jo sikkert utilsigtet fra skolens side, nøjagtigt som Jonas utilsigtet blev klar over dette hul - ikke i den hensigt at hacke. Men vi har ikke fået at vide, hvorfor det tog over 14 dage at lukke hullet? Hvor i systemet kiksede dette?

Ved at gå til Datatilsynet bliver det registreret, således at man har dokumentation, såfremt det skulle vise sig, at der har fundet misbrug sted. Har man overhovedet fulgt op på, om der HAR fundet misbrug sted, inden hullet blev opdaget? Har man tjekket logs for at se, om der har været uatoriseret adgang? Det står hen i det uvisse.

Sådan som både offentlige og private sjusker med datasikkerheden, så er der efter min mening kun en vej frem - meld det hver gang! Der skal ikke være nogen smutveje til, at den slags hændelser "gemmes" rundt omkring.

Om Jonas så OGSÅ kunne have orienteret skolen - måske. Jeg ved ikke, hvad grunden var til, at han ikke gjorde det. Men han fik jo lovning fra Datatilsynet på, at DE gik videre til skole og STIL, så hvorfor skulle han egentligt også selv gøre det?

Nej, i mine øjne er det interessante i denne historie ikke, om Jonas kunne have meldt på den ene eller den anden måde. Det interessante er, at der stadig er den slags åbenbart begynderfejl i offentlige systemer (og i private), og at responstiden på udbedring er så lang. Det tyder på, at man ikke tager sikkerheden alvorligt nok.

og de skulle helt klart have håndteret sagen helt anderledes (som i, Novra! De burde ansætte en medievant talsperson)

Nej, de bør IKKE ansætte en medievant talsperson. Der er ikke behov for at omskrive ledelsens vrid i elevens kønskirtler. Det bliver ikke kønnere af at blive pakket ind.

Ligegyldigt hvordan - eller hvor flot - du pakker en l*rt ind, så er det stadigt ildelugtende og kan eksplodere når du ikke ønsker det.

Skolen bør have en ledelse med 'fingerspitzgefühl'. En ledelse som opfører sig ordentligt, istedet for at 'tryne' eleverne.(som skolen jo skal vejlede og uddanne)

Ikke en spindoktor til at pakke ledelsens gorillaopførsel ind.

K

@Anne-Marie,

Er det moralsk i orden at dele en funden sikkerhedsrisiko til medier og andre, inden man orienterer systemejeren og giver denne mulighed for at lukke hullet?

Vi taler om lovens bogstav her, ikke om hvad ens gut-feeling er.

Jeg ved ikke hvad andre arbejder med her på forummet, men selv er jeg system administrator og hvis nogle kom og fortalte mig "hey just FYI, i har et problem her og her". Så vil jeg sige tak og tag en dialog med vedkommet for en løsning, i stedet for at finde nummeret til min advokat.

Når vi snakker sikkerhed og hacking, så vil det være sundt med en dialog omkring emnet. For skal vi være en nation af personer der ikke kan teste sikkerheden og blindt tro på hvad industrien giver os? Fanme nej, og grundlaget for det er at alt for mange gange har de fejlet på samtlige områder af industrien.

Og vi skal da heller ikke straffe personer som Jonas for at sætte fokus på det her. I sidste ende kan det være en elev det går ud over da vi i DK har meget svært ved at få et nyt CPR nummer så frem vores nuværende skulle falde i de forkerte hænder. Er det fair for den elev det går ud over fordi skolen ikke tager sit ansvar seriøst?

Og har Jonas overhoved gjort noget forkert?? Han havde et wifi det stod åbent for alle som gav ham offentlig adgang til en skole-hjemmeside der godt nok havde en skoleID form for at komme videre. Men Jonas går jo på skolen, og stod der "kun adgang for x og x eller lærer"?

Helt skråt, hvis ikke siden indikere at siden er privat i en eller anden sammenhæng så må man vel anse den som offentlig, især da netværket den ligger på et offentligt netværk.

I USA er der en gammel sag at nogle universitets elever fik adgang til en router igennem ssh. Her var motd "welcome". Eleverne fik adgang ved at gætte eller bruteforce (i honestly dont know) login sekvensen og herefter tiltalt for "lovbrud". Men frikendt fordi der stod "welcome". Så hvad er lovens bogstav på denne front i DK?

Peter Christiansen:

Tak for en masse input, men jeg vil jo netop helst IKKE ufrivilligt komme til at teste noget som helst - vil bare gerne være advaret om de værste faldgruber, når jeg surfer. Men det er måske også det, du mener?

Men har du et svar på mit tidligere spørgsmål - om man kan komme ind på forbudt område ved at ændre på årstal i url, f.eks. i forbindelse med biblioteker med referater?

Jeg synes det er utroligt at alle er enten på Jonas' side og mener at skolen bærer hele skylden fordi de er lemfældige i deres omgang med sikkerheden, eller på skolens side og mener at Jonas begik en forbrydelse ved at hacke systemet.

Det må da være indlysende at den ene ikke udelukker den anden!? "The test of a first-rate intelligence is the ability to hold two opposed ideas in mind at the same time and still retain the ability to function". - F. Scott Fitzgerald

Skolen skulle helt klart have bedre styr på sikkerheden, og de skulle helt klart have håndteret sagen helt anderledes (som i, Novra! De burde ansætte en medievant talsperson), men det kan heller ikke nægtes at Jonas har overtrådt nogle regler ved at forsøge at få adgang til oplysninger han ikke burde kunne se. Det faktum at det var for nemt for ham at finde, har da ingen indflydelse på om han har lov til at lede efter dem. Vi taler om lovens bogstav her, ikke om hvad ens gut-feeling er. Hvis en cykel står ulåst er det stadig ulovligt at stjæle den. Længere er den ikke.

Personligt synes jeg da også at Jonas har gjort det helt rigtige ved at kontakte Datatilsynet, og først langt senere er gået til medierne (selv om jeg nok ville mene at han også burde have skrevet til skolen undervejs inden da), men min personlige mening betyder nu engang ikke noget særligt i forhold til lovgivningen.

Hvis man skulle tage det for 'gode varer' at korsfæste budbringeren, er her et foreslag til et system á lá politiets nye 'kasse-vogne':

1. Staten (den kære formynder) lovgiver at alle ikke-oprettede .dk-domains skal pege på ca-tjing.jm.dk
2. Ender du på denne adresse er det fordi du har tastet en URL som ikke eksisterer, og dermed har udført hacking, hvilket takseres til en administrativ bøde på kr.500,-

Systemet har den fordel at det kan drives af embedsmænd uden faglig indsigt. Embedsmændene kan endda få bonus efter måltal.

Snart vil alle offentlige hjemmesider erstatte 404-siden med en redirect til ca-tjing.jm.dk.

Når hr og fru Danmark bliver bedre til at undgå dummebøderne, og bonus'erne er i fare, vil vi begynde at erfare hvad 'dynamiske hjemmesider' virkeligt betyder.

K

Så fandt Ekstrabladet historien.

https://ekstrabladet.dk/nyheder/samfund/direktoer-straffer-elev-som-opdagede-hul-i-skoles-datasikkerhed/5759304

Man går ind med sin smartphone på www.lectio.dk – og vælger et passende gymnasie – eksempelvis ”Nordsjællands Grundskole og Gymnasium” : https://www.lectio.dk/lectio/63/default.aspx?lecafdeling=4733693144

Herefter er det blot at klikke på ”Elev” – og derefter vælter det frem med navne, der måske kan have interesse for personer med kriminelle hensigter. https://www.lectio.dk/lectio/63/FindSkema.aspx?type=elev

Klikker man på den enkelte elev, ser man omgående hvor på skolen eleven måtte befinde sig – et tilfældigt eksempel : https://www.lectio.dk/lectio/63/SkemaNy.aspx?type=elev&elevid=1520779371

Øvrige planer – f.eks. om ekskursioner, lærernes navne, etc – lader sig også afsløre ved at klikke på f.eks. de enkelte dele af skemaet.

Endvidere kan alle og enhver følge personalets sygedage, etc – jvf https://gymnasieskolen.dk/kritik-af-lectios-%C3%A5benhed – hvilket for os at se burde være en sag udelukkende mellem den enkelte lærer og skolen.

For os at se udgør Lectio-s totale åbenhed en alvorlig sikkerhedsrisiko – velhavende borgere har hidtil trygt kunnet sende deres børn i gymnasiet – men den tryghed ved at lade sit barn søge beskyttelse i mængden af elever er for mig at se borte.

/MW

Hvis man virkeligt kan blive hacker blot ved at taste forbudte tegn i url, så vil jeg da opfordre til, at nogen med styr på den slags udgiver en "What not to do in an URL - for dummies", så amatører ikke uforvarende havner bag tremmer (vel vidende, at en sådan "manual" jo kan bruges med omvendt fortegn ;-) ).

99,9% af alle exploits bliver foretaget fordi programmøren ikke checker input til hans web-vendte kode og al input fra brugeren over http foregår vha url'en (GET), eller i http data (POST), eller i form af cookies (http headeren).

For det meste kan man teste url's af for at se om nogle af parametrene /getStuff?id=23 direkte bliver brugt ved database opslag og derefter udnytte dette til at foretage et andet opslag, end det der var tilsigtet, evt opslag i bruger databasen etc.

Så jo exploits af webapps foregår også via url'en, hvilket er de fejl man finder hurtigst, hvis systemudvikleren ikke har en fis forstand på hvordan tingene virker.

Den fejl Jonas har fundet er endnu værre og endnu mere bekymrende at system udvikler ikke har fundet. Som udvikler undrer det mig at en sådan fejl overhovedet er at finde i et professionelt system.

Apropos manual til hvad man kan gøre i en url, skal du læse lidt op på stoffet, du kan ikke bare forvente at få en liste over ting du kan gøre for at teste for sql injections, null byte exploits, cookie stealing, buffer overflows (sjældent nu i webapps), directory traversal etc.

Læs lidt op på stoffet, du kan evt. hygge dig her:https://www.hackthissite.org/

Mon ikke den gode direktør for Selandia mener: "Vi foretrækker helt generelt, at eleverne IKKE...". ;-
Per

Hvis det er hacking at skrive en URL forkert, så er der satme mange ondsindede hackere derude.

Det er trist at historien om Valushackeren er blevet skrubbet fra internettet. Den var ellers illustrativ.

Hvordan kan elever på åbne wifi, eller bare skolens lukkede wifi, adgang til at slå op i administrationsnetværket? Hvorfor er de ikke på forskellige VLAN?

Hvorfor kan den skoledirektør der sidde og sige sådan? Lyder som en sur primadonna.

Det er muligt - det skal jeg ikke udtale mig om. Men jeg kunne altså selv være kommet til at gøre noget lignende, HELT uden at ane, at jeg var på vej ind på en "privat" side.

Og der er altså et par skridt fra, at man begynder at undre sig og tænke "hov, hvad er det her for noget", til at man bliver sikker på, at man måske er på vej ind på forbudt område. Man undersøger jo lige sagen lidt først, inden man konkluderer, at her må man vist hellere stoppe. Det, synes jeg, er helt menneskeligt. Ellers kunne man jo lige så godt ende med at gå glip af helt lovligt indhold.

Hvis man virkeligt kan blive hacker blot ved at taste forbudte tegn i url, så vil jeg da opfordre til, at nogen med styr på den slags udgiver en "What not to do in an URL - for dummies", så amatører ikke uforvarende havner bag tremmer (vel vidende, at en sådan "manual" jo kan bruges med omvendt fortegn ;-) ).

Nej, det er ikke vejen frem at kriminalisere sådanne tilfældige fund. Fokus må være på, at det er systemerne, der skal være hævet over den slags sårbarheder.

"Selvfølgelig skal han have en advarsel, egentligt burde han være blevet meldt til Politiet for hacking - det er det han har gjort."

Hvis det er hacking at skrive en URL forkert, så er der satme mange ondsindede hackere derude.

Man skal vist være rimeligt blåøjet for at tro, at han ikke havde en ide om hvad det var han havde gang i, Anne-Marie.

SÅ moralen er, at når du næste gang opdager noget, du tolker som ulovligt på din arbejdsplads/uddannelsesinstitution/... så skal du først melde det til ledelsen - og siden kan du gå til myndigheder og offentlighed? Det tænkte Snowden heller ikke på

Mailadresser her: https://www.sceu.dk/organisation

Så hvis jeg i min grænseløse uvidenhed kommer til at taste en url, som går ind bag en sikkerhedslås, som jeg slet ikke vidste, skulle være der, så er jeg pr. definition hacker?

Internettet er altså ikke helt så indlysende at gennemskue som fremmede mennesker døre.

Hvis du vil penteste noget, så må du bede om lov først. Længere er den sgu ikke.

Og hvis man ved et tilfælde opdager et sikkerhedsproblem, så har man pligt til at give systemejeren besked som den første.

Det svarer jo til at rende rundt og kontrollere om døre og vinduer skulle være låst hos andre mennesker... Det er i hvert fald en "service", jeg gerne ville have mig frabedt uopfordret. Hvad nu hvis skolen havde opdaget det inden han havde nået at kontakte Datatilsynet? Skulle han slippe for forsøg på hacking blot på en forklaring om at "han jo havde tænkt sig at ringe til Datatilsynet lige om lidt"? Så er det sgu for nemt...

Hvis du vil penteste noget, så må du bede om lov først. Længere er den sgu ikke.

Efter min opfattelse er det ikke det samme, for det kræver en teknisk viden at gennemskue, at man risikerer at komme ind på en "forbudt" side, ved at ændre i url.

Som jeg tidligere har skrevet, så ville jeg have forventet, at hvis jeg fjerner "_secure" fra en url, så kommer jeg til en del af hjemmesiden, som IKKE kræver særlige rettigheder. Eks.: "/deltagerliste" ser for mig uskyldigt ud - men det er det jo åbenbart ikke nødvendigvis, hvis der burde have stået "/deltagerliste/_secure" (eller hvordan den slags nu ser ud).

Om så Jonas har været klar over, at der kunne være et problem, det ved jeg så ikke. Men selv hvis han har vidst det, så er det for mig at se både menneskeligt og fornuftigt, at han undersøger problemet, så længe han melder det til rette instanser uden at misbruge det.

Så fremgangsmåden for dette hack var at skolen stillede et åbent wifi netværk til rådighed hvor man kan tilgå en side for at skrive et skoleID. Her afprøvede Jonas så nogle forskellige heltal og fik yderligere adgang til en menu som skulle forestille at have beskyttede menu punkter der holdte CPR numre. Ved at fjerne '_security' fra menu URL'en fik han så adgang til elevers CPR numre i praktikforløb?

Yderligere var der en menu der tillod indtastning af tilfældige CPR numre, og hvis dette resultere i en "true" så skrev den navnet på holderen af CPR nummeret?

Jeg syntes det er interessant og tankevækkende at Jonas har fået en advarsel fra skolen. Men hvornår er det at virksomheder, uddannelses institutioner mm. Får bøder og fængsels straf for at sjofle med danskernes data?

Skolens ledelse vil bare ikke udstilles som inkompetent! Hvis jeg havde et IT firma, ville jeg hyre ham med det samme!

Teknisk set svarer det jo til at man trykker et håndtag ned for at se om døren så kan åbnes. Dermed har man jo til hensigt at opnå en adgang man ikke har opnået tilladelse til.

Men jeg kan sagtens se det urimelige i at blive straffet for at kontrollere sikkerheden ved en 3. parts dør hvor ens egne private skulle ligge beskyttet bag.

"Vi foretrækker helt generelt ikke, at elever går ind i hverken vores lukkede systemer,..." Hvis de var lukkede, så var der vel ikke noget problem?

Ja, Jonas har "hacket" - og det i den gode sags tjeneste. Hvordan havde nogen forestillet sig at teste sikkerheden, hvis ikke det netop er ved at forsøge at omgå den??

Jonas bør efter min mening belønnes af skolen og have en undskyldning for deres første reaktion. Han gik jo netop til "myndighederne" med sin opdagelse for at få det/de problem(er) han havde opdaget løst. Og det lader til, at han gjorde det med god grund...!! Jeg sidder i hvert fald med en grim fornemmelse af, at var han gået til skoleledelsen, havde han fået en advarsel for hacking og "verden" havde aldrig hørt om det og problemet ikke løst !!

Helt ærligt, så bør skolebestyrelsen for pågældende skole ind i sagen og sætte deres ledere på plads.

GODT GÅET JONAS !!! Keep Up the Good Work !!

Det kan vel anbefales at droppe artiklen til en af de store aviser. Det vil være fint at få dem på banen, og ikke kun i Version2's lukkede kreds. Sagen udstiller institutioners inkompetence, samt manglende fornuft i det skitserede reaktionsmønsteret. Det er naturligvis ikke ulovligt at gå til datatilsynet med en sådan sag. Det eleven måske-- måske-- kan kritiseres lidt for er, at den pågældende ikke har kopieret skolen på anmeldelsen. Man skal naturligvis ikke først gå til skolen, hvis man har den mindste mistanke om, at kunne blive forfulgt eller at institutionen helt vælger ignorerer henvendelsen, da den er direkte kompromitterende for deres IT funktion og den ansvarlige. Den burde han / hun selv ha' set.

Jeg er helt enig i, at man bør se på kompetencerne i disse institutioner. Der sidder givet nogle, som ikke burde ha' det ansvar de i realiteten har.