Gymnasieelev anmeldte CPR-hul i skolesystem til Datatilsynet - nu får han en advarsel af skolen

Den elev, der opdagede og anmeldte et sikkerhedshul i et udbredt administrationssystem til erhvervsskolerne, har nu fået en advarsel.

Efter at have gjort opmærksom på et sikkerhedshul i et udbredt system til studieadministration har Jonas Boserup nu modtaget en mundtlig advarsel fra Selandia-skolen i Slagelse, hvor han til daglig læser på Teknisk Gymnasium.

»Jeg fik at vide, at jeg har gjort noget, jeg ikke måtte, og at jeg skulle have kontaktet skolen. Det var det, der lå til grund for advarslen, men jeg fik ikke en præcis definition på, hvad det (problemet, red.) var,« siger Jonas Boserup.

Som Version2 i går kunne fortælle, har Jonas Boserup opdaget, at han kunne få adgang til eksempelvis CPR-numre i det studieadministrative system Easy-P, som Selandia anvender - blandt andet et åbent wifi-net. Det viste sig også, at det var muligt at omgå det, der skulle forestille at være en login-beskyttet del af systemet ved at fjerne '_security' fra en URL.

Læs også: Gymnasieelev fik adgang til CPR-database ved at fjerne ‘_secure’ fra URL

Jonas Boserup gik med sin viden til Datatilsynet, som sidenhen rettede henvendelse til Styrelsen for IT og Læring (STIL), der nu har lukket hullet. Efter Version2's omtale af sagen, har Jonas Boserup nu modtaget en advarsel, der betyder, at han bliver smidt ud af sin uddannelse, hvis han gør noget lignende en anden gang.

Version2 har spurgt direktør for Selandia Michael Kaas-Andersen om, hvorfor uddannelsesinstitutionen har givet Jonas Boserup en advarsel.

»Det har vi, fordi det ikke er lovligt at gå ind og rode i de systemer, hvor vi har vores personnumre og vores aktiviteter at styre efter.«

Når en elev, der gør opmærksom på en it-sikkerhedsbrist i jeres it-systemer, bliver mødt med en advarsel, risikerer I så ikke, at ingen vil gøre opmærksom på lignende sikkerhedshuller i fremtiden?

»Nu gjorde han jo ikke opmærksom på det, han meldte det til Datatilsynet. Han kontaktede ikke skolen eller vores it-afdeling, så havde vi nok reageret anderledes, fordi så havde han haft en interesse i, at vi fik det lukket. Men han sagde ikke en dyt til nogen af os på skolen.«

Så advarslen er, fordi han ikke sagde noget til jer?

»Advarslen er, fordi han uden vores vidende har siddet og hacket ind bag vores administrative systemer.«

Hullet er jo lukket nu. Ville I have foretrukket, at han ingenting havde gjort, og at det stadig stod åben?

»Nej, vi havde foretrukket, han havde henvendt sig til os. Vi foretrækker helt generelt ikke, at elever går ind i hverken vores lukkede systemer, Skats lukkede systemer eller andres lukkede systemer. Det er ikke måden at finde huller på. Det er ikke ved at prøve at hacke forskellige systemer og hjemmesider,« siger Michael Kaas-Andersen og fortsætter:

»Så kan man søge arbejde, få en opgave og sige, man gerne vil hjælpe med at gøre det sikkert, det er noget andet. Det her, det er sket bag om ryggen på skolen, og det er ikke lovligt,« siger Michael Kaas-Andersen.

Vil være mere forsigtig fremover

I fremtiden har Jonas Boserup nu tænkt sig at være mere varsom med, hvilke it-systemer han kigger på.

»Selvfølgelig har jeg da tænkt mig fortsat at holde øje med, hvad der sker. Men jeg kan godt se, at jeg måske skal styre lidt uden om ting, der har noget at gøre med STIL,« siger Jonas Boserup.

I forhold til, hvorfor Jonas Boserup i første omgang kontaktede Datatilsynet i stedet for de relevante personer på Selandia, siger han:

»Datatilsynet har reelt ressourcer til at kunne føre det her. Hvis jeg i stedet havde kontaktet skolen, var det måske kun skolens adgang, der var blevet begrænset. Men det lukker jo stadigvæk ikke hullet,« siger Jonas Boserup og henviser til den daværende mulighed for at fjerne _secure fra URL'en og derved omgå login.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (98)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Andreas Korsgaard

Når en elev, der gør opmærksom på en it-sikkerhedsbrist i jeres it-systemer bliver mødt med en advarsel, risikerer I så ikke, at ingen vil gøre opmærksom på lignende sikkerhedshuller i fremtiden?

»Nu gjorde han jo ikke opmærksom på det, han meldte det til Datatilsynet.

At melde det til Datatilsynet er vel også at gøre opmærksom på det. Han var nok bare nervøs for at nogen på skolen ville komme efter ham....

Michael Kaas-Andersen er nok bare muggen over at hans skole blev hevet frem i søgelyset, og at han blev sprunget over i hierarkiet, da knægten gik til Datatilsynet.

  • 67
  • 0
Emil Stahl

Mon ikke Jonas havde fået samme advarsel selvom han havde kontaktet skolen, de mener jo stadig at det er "hacking af lukkede systemer"?…

Hvis han havde kontaktet skolen, så var hullet hos STIL nok heller ikke blevet lukket.

Michael mener åbenbart heller ikke at det at Jonas kontaktede Datatilsynet viser at han ville have hullet lukket. wtf?

  • 48
  • 0
Ivo Santos

Stod det til mig burde Direktør Michael K, samt den it ansvarlige sparkes ud af døren for inkompetence, for det er vel der er det egentlig problem, i øvrigt lyder det som om at dem der har designet hjemmesides heller ikke ligefrem ved hvad det er de har gang i.

Det kan da godt være at han burde have gået til ledelsen med det pågældende problem. men uanset hvad, så havde han vel alligevel fået en advarsel, så det at han gik til datatilsynet var sikkert også en god ting.

  • 50
  • 0
Henrik Petersen

Selvfølgelig skal han have en advarsel, egentligt burde han være blevet meldt til Politiet for hacking - det er det han har gjort.

Jonas Boserup gik til medierne FØR han gik til systemejer iht. den tidligere artikel. Version2 blev nødt til at kontakte systemejer førend hullet blev lukket. Måske havde de på nuværende tidspunkt ikke fået kendskab til det? Måske havde de, deres problem.

Essensen er at Jonas Boserup har misbrugt sin viden og viderebragt den til uvedkommende førend systemejer er orienteret.

Det er super godt, at han anmelder det til Datatilsynet, det skal han gøre. Han kan sende dem en fælles mail, hvor systemejer er BCC, så de bliver orienteret sammen med Datatilsynet. Når han har modtaget en bekræftelse (ikke autosvar), så kan han gå til et medie og beskrive forløbet.

Jeg har flere gange "hacket" mange sjove offentlige systemer, også hvor jeg fik adgang til CPR-opslag. Jeg har ALDRIG fortalt andre end systemejer hvordan og hvor hullet ligger, førend de har fået lov til at kigge på det.

Jonas Boserup HAR hacket og så endda været så svinsk at delagtiggøre andre i hvordan de kan udnytte sårbarheden, før det er lukket. Advarsel? Selvfølgelig.

  • 6
  • 72
Henrik Petersen

Selvfølgelig skal han have advarslen.

Ved at inddrage Version2 og Datatilsynet først kommer der sgu unægteligt noget mere vægt bag advarslen :-)

Så har du jo slet ikke læst hvad jeg har skrevet, og kommer egentligt bare med endnu en meningsdannelse, endnu en der "bekræfter" Jonas i, at DU synes, at det han gør er godt.

Han kan sende dem en fælles mail, hvor systemejer er BCC, så de bliver orienteret sammen med Datatilsynet. Når han har modtaget en bekræftelse (ikke autosvar), så kan han gå til et medie og beskrive forløbet.

Gør han det, så er han golden, og så kan han gå til diverse medier alt det han vil. Så bør han gøre det, men ALDRIG ALDRIG før. Det er svinsk og hjælper egentligt kun til, at flere mennesker kommer til at kende et potentielt farligt sikkerhedshul.

Det er selvsagt, at systemejer bliver sure, når de ikke får det at vide, så de kan fikse fejlen INDEN medierne står og banker på døren og spørger hvorfor den fejl stadigvæk eksisterer. De er jo ikke informeret omkring fejlen og kan derfor ikke rette den før de ved det.

  • 4
  • 46
Finn Aarup Nielsen

Som jeg ser det er det udmærket at gå til Datatilsynet eller DK-Cert med sådanne informationer. Man må gå ud fra at sådanne institutioner er i stand til at holde information fortrolig indtil hullet er lukket. Central rapportering kan hjælpe myndighederne med at få et overblik over danske it-huller.

Nogle it-sikkerhedsfolk lever af at få anerkendelse for identificering af it-huller. De kan bruge det på deres CV. Efter et hul er lukket skal finderen anerkendes. Central rapportering som i CVE kan hjælpe med det.

  • 34
  • 0
Emil Stahl

Det er selvsagt, at systemejer bliver sure, når de ikke får det at vide, så de kan fikse fejlen INDEN medierne står og banker på døren og spørger hvorfor den fejl stadigvæk eksisterer. De er jo ikke informeret omkring fejlen og kan derfor ikke rette den før de ved det.


Jeg tror du har misforstået noget. STIL (som står bag systemet Easy-P) havde fået et fint brev fra Datatilsynet, med en frist. Version2 kontaktede STIL efter denne frist.

Fra den første artikel:

Datatilsynet giver STIL en frist på tre uger til at svare på henvendelsen, der er dateret 7. september.

Den 23. september var der stadig ifølge Jonas Boserup stadig fri adgang til CPR-numre i STIL.

Først efter at Version2 rettede henvendelse til STIL, ligeledes 23. september, meddelte vicedirektør i STIL Aino Olsen i slutningen af sidste uge, at hullet nu er lukket.

  • 53
  • 1
Henrik Petersen

Du misforstår da selv. De har ikke bekræftet, at de har set det, så derfor kan de ikke reagere. Eller også har de, men det er ikke op til Jonas og gå til medierne før de har haft mulighed for at følge op på det eller det er bekræftet, at de kigger på sikkerhedshullet.

Hvis han føler, at sagen skal frem, så kan han tage kontakt til Datatilsynet, med henblik på, at få en bekræftelse på, at STIL har været i kontakt med Datatilsynet.

Han har stadigvæk sent et ÅBENT sikkerhedshul videre til medier, og derfor er der ingen tvivl om, at han beriger sig selv. Advarslen er uden tvivl helt fortjent.

  • 2
  • 52
Anne-Marie Krogsbøll

Jeg synes, du er MEGET hård ved en gymnasieelev, der trods alt ikke er gået til EB, som andre måske kunne have fundet på.

Han har forsøgt at gøre det rigtige, venter 14 dage, og ser så, at hullet stadig er åbent, og så kontakter han Version2, som han vel anser for et medie, man kan have tillid til i den sammenhæng.

At du så, som voksent menneske, der tydeligtvis ved noget om den slags, har andre løsningsforslag, berettiger dig efter min opfattelse til at kalde det for "svinsk", hvad han har gjort.

Jonas kan tage dine løsningsforslag til sig til en anden gang, men resten af dit fordømmendee indlæg kan han efter min mening roligt se bort fra.

  • 54
  • 1
Claus Bobjerg Juul

1) vi har ytringsfrihed her i landet, hvem Jonas vælger at kontakte eller ej er sagen uvedkommende, sålænge det ikke føre til mere kriminalitet.
2) hvis der har samfundsmæssig karakter er det helt legitimt at kontakte pressen først

Som Andreas i den først kommentar skriver er det sikkert bare en skoleleder som føler sig truffet over at han ikke var den først som Jonas gik til.

  • 23
  • 0
Benjamin Kristensen

Det er det samme der sker HVER gang der bliver fundet et hul hos en skole...
Jeg sad faktisk bare og ventede på at han ville få en advarsel, og det i sig selv er sørgeligt...

<BitterRant>

Jeg har selv været igennem det, flere af mine venner har været igennem det, og jeg har læst mere end en artikkel her på version2 om elever der finder huller og er ansvarlige med deres information, kontakter systemejer eller producent som så kvitterer med advarsler, politianmeldelser eller bortvisning.
De stakkels elever har jo bare fundet noget der ikke virker som det bør, som kan gå ud over dem selv eller deres venner, og så melder de det ind med forventningen om at de gør det rigtige så det kan blive løst...

Gad vide om man også bliver straffet hvis man opdager at skolen ikke bliver låst om natten og melder det ind til pedellen/skolens ledelse?

Moralen er at i stedet for at fortælle om fejlene skal man sælge oplysningerne til russiske hackere, de sætter i det mindste pris på oplysningen, og så har du også lidt ekstra lommepenge...

</BitterRant>

Ej hvor kan jeg blive sur over at blive behandlet på den måde når man bare prøver at hjælpe efter bedste evne. For slet ikke at nævne den hjerneblødning af en udtalelse om at "Nøøøøjjjj det er ikke et sikkerhedsproblem... fordi... fordi.. fordi - man kan kun komme ind hvis man prøver og det må du ikke!"

  • 31
  • 0
Anne-Marie Krogsbøll

Når man hører denne historie om sløseri og lang reaktionstid, når man bliver advaret (hvorfor har Datatilsynet ikke selv fulgt op på, om hullet straks blev lukket?), så kan man more sig over følgende passus i aktstykke om igangsættelse af sundhedsdataprogrammet:

"På tværs af alle programmets projekter er der et særskilt fokus på datasikkerhed. Et helt centralt element i Sundhedsdataprogrammets arbejde er således, at indsamling, opbevaring og videreformidling af data om borgernes sundhed sker med de fornødne datasikkerhedsmæssige foranstaltninger og i overensstemmelse med borgernes datarettigheder i persondataloven og sundhedsloven." http://www.ft.dk/samling/20142/aktstykke/Aktstk.162/1544720.pdf

Hvordan vil man sikre dette? Er der noget som helst, der tyder på, at man I VIRKELIGHEDEN prioriterer sikkerhed for persondata i det offentlige system i Danmark?

Man har lige skåret et par procent i Datatilsynets i forvejen utilstrækkelige ressourcer. Jeg håber meget, at det er gymnasieelever af Jonas' type, der finder hullerne i disse meget følsomme sundhedsdatabaser, inden mere ondsindede væsener opdager dem.

  • 27
  • 0
Mikkel Malther

Som Systemudvikler i finansbranchen er en simpel sikring som '_secure' i urlen, desideret pinlig. Det der bekymre mig mest er at det nok ikke er det eneste offentlige system med en så ringe sikring... Det kræver en ganske lille ændring på serveren der hoster og så er det endog meget svært at komme ind uden tilladelse....

  • 25
  • 0
Tine Andersen

Sikke noget, men det har Jonas så for sin nysgerrighed og hjælpsomhed.

Jeg vil lige repetere, at der fra skolens eget åbne WIFI, også var adgang- hvorfor?
Burde administratibe systemer- ikke være for folk, der decideret har brug for dem?

De burde vel ikke være halvåbne/halvlukkede af kodeord som en (godt nok smart) gymnasieelevet kan regne ud.

Adgang til systemer skal ske på en måde, så de der skal have adgang, har det- og ingen andre. Det er måske upraktisk, men det kan løses. Jeg regner med at sekretæren, allerede har fået drejet sit bord, en ny skærm, der kun kan kigges på ligefra- får hun nok næppe.

Og herfra: Min nørdemand kontakter jævnligt folk, der har problemer med sikkerheden på især deres mailsystemer. Det sker der ikke ret meget ved- og det tager lang lang tid, hvis der gør. Som mailudbyder, er det hans problem, når mailkunder godt kan sende men ikke modtage og vice versa.

Thumb up til Jonas!

"Lukkede systemer" eh?!

Mvh
Tine

  • 17
  • 0
Benny Lyne Amorsen

Man skal gå direkte til Ekstra Bladet anonymt fra starten. De er gode til kildebeskyttelse. Lad være med at blande myndighederne ind i sagen, overlad det til de professionelle, nemlig journalisterne.

Det andet er ALT for farligt, og det skal alligevel i avisen før der sker noget

  • 22
  • 0
Poul-Henning Kamp Blogger

Denne sag understreger hvorfor det er vigtigt at Datatilsynet hurtigst muligt får oprettet en kompetent og sikker whistleblower-ordning.

Til Jonas:

Du gjorde det helt rigtige i situationen.

Du skal ikke tage dig af at direktøren på Selandia er pige-fornærmet: Han er kun i dit liv nogle få korte år, mens du skal leve med din egen samvittighed hele livet.

Poul-Henning

(Lige henne om hjørnet i Slagelse)

  • 50
  • 0
Jakob H. Heidelberg

Det er elever med det mindset, Jonas tydeligvis er i besiddelse af, som Danmark skal have flere af. Uddannelsesinstitutioner skal bakke op om deres udvikling, ikke forsøge at standse den med bureaukrati. Kunne vi ikke få en undervisningsminister ind og overrule den Selandia beslutning? Giv knægten en flidsmedalje også.

  • 27
  • 0
Ebbe Hansen

den der med at henvende mig til systemejer først. Flere gange.
Men altid uden andet resultat end at der "skam ikke er noget i vejen med deres sikkerhed".
Datatilsynet (som nu bliver yderligere stækket af de blå) er sommetider lidt lang tid om at komme op i omdrejninger, men desværre er det den eneste vej, der virker. Med mindre historien kan sælges til ekstrabladet - eller version2.

  • 13
  • 0
Nicholas Colding

Ham Michael Kaas-Andersen er vist en værre politimand, med særregler og eget domsystem.
Tænk at true en elev til samtykke, ved at true ham på hans fremtid… Havde eleven fortalt skolen om problemet, så havde de givet ham en advarsel alligevel.

Jeg finder det bekymrende, at Michael Maas-Andersens ledelsesevner ikke er større, end at fiske en udsmidning op af lommen. Måske burde skolens ledelse tage fat i fyren?

Hurra for dygtige studerende, der gør deres pligt og underretter myndighederne, når nogle sjusker med andres intim-data!

  • 21
  • 0
Claus Bobjerg Juul

Rigsrevisionen er opmærksomme på historien og STIL skal nok forvente at blive revideret på deres sikkerhed.

Det kunne være sjovt at bede om aktindsigt i korrespondancen mellem skolen og STIL vedr. sagen, for at se om der måske har været nogen korrespondance og hvad den har været.

  • 13
  • 0
Mikkel Høgenhaug

Sagen minder om en nylig sag fra Texas, hvor 14-årige Ahmed Muhamed havde lavet sit eget ur og taget det med i skole. Læreren troede, det var en bombe, tilkaldte politiet, der førte ham væk i håndjern, hvorefter skolen bortviste ham. Indtil Obama inviterede drengen til Det Hvide Hus og roste ham for sin opfindsomhed og forklarede til offentligheden, at Amerika har brug for den slags initiativ.

Jonas bidrager til fællesskabet ved at påvise et sikkerhedshul, som han ikke misbruger. Det er en skændsel for skolen, at de giver ham en advarsel og ikke en belønning. En skole bør netop gå forrest og efterleve en kultur, hvor fejl er tilladt (også egne) og bruge dem til at lære og forbedre sig.

  • 17
  • 0
Peter Christiansen

Jonas Boserup HAR hacket og så endda været så svinsk at delagtiggøre andre i hvordan de kan udnytte sårbarheden, før det er lukket. Advarsel? Selvfølgelig.

Han har fiflet lidt med nogle url'er og det har grundet kriminel inkompetence hos system leverandøren medført at han har fået adgang til noget data der SKULLE HAVE VÆRET BESKYTTET, men var offentligt tilgængeligt.

Der er lidt for meget fokus på Jonas i denne sag og jeg synes at både skolen og system leverandøren gemmer sig lidt for meget bag juraen i stedet for at stå frem og takke Jonas for at have fundet fejl i deres system, give ham en check og 6 flasker god vin.

Lur mig om der ikke er flere fejl i systemet og næste gang det bliver hacket, gider ophavsmanden jo ikke melde det til nogen som helst, udover måske at sende en pastebin med data til medierne.

Er system leverandøren blevet meldt til politiet?

  • 14
  • 0
Morten Grøftehauge

Det er jo Jonas Boserups persondata som ikke var beskyttede. Det er ikke fordi han har kigget rundt i systemer der ikke var relaterede til ham.

"Først prøvede Jonas Boserup at taste sit eget CPR-nummer ind i feltet - herefter returnerede systemet hans navn. Dernæst prøvede han efter aftale med en ven at indtaste vennens CPR-nummer. Her fik han navnet på vennen returneret. Jonas Boserup fortæller, at vennen slet ikke er tilknyttet en uddannelse."

Og når man tænker på hvor meget malware og crap der er på nogle af de laptops folk slæber med på deres uddannelse så synes jeg ikke at security-through-obscurity er en acceptabel strategi.

  • 23
  • 0
Lars Arendt

Hvor er det ærgerligt at en dygtig ung mand som Jonas skal have smadret sin nysgerrighed og kreativitet af "systemet". Beløn dog knægten!

Google, Microsoft, Facebook ... tilbyder penge for den slags han har opdaget omend det nok er på et lidt højere teknisk niveau end at fjerne en parameter fra en URL. (http://www.forbes.com/sites/andygreenberg/2013/06/19/microsoft-finally-o...)

  • 14
  • 0
Tom Paamand

Jeg bemærkede engang, at et fagforeningslogin havde den nærmest sædvanlige fejl, at medlemsnummeret frit kunne ændres i URL af nysgerrige, og så var der fri adgang til andres data. Over et års tid skrev jeg til diverse ansvarlige, og supplerede til sidst henvendelsen med udtræk af deres egne personlige oplysninger fra hullet. Alligevel tog det to år før systemet blev ændret.

For mig er det lige så logisk at kikke i URL efter søgemulighed, som at bruge Google. Fx er det ofte muligt at afkorte link, så de bedre passer i andre sammenhænge. Eller at få en oversigt over et helt bibliotek. Logiske småting, som man da bør oplære unge mennesker til at bruge, i stedet for at skræmme dem bort.

  • 15
  • 1
Anne-Marie Krogsbøll

Ja, dine eksempler er netop af den type, som jeg også kan finde på at bruge.

Et andet eksempel kunne være, at jeg via Google finder et interessant referat omhandlende et af mine interesseområder, oftest pdf. Når jeg finder det via Google, går jeg ud fra, at det er lovligt?

Den slags ligger ofte sorteret via årstal, der ligger i url. Hvis jeg så er tilstrækkeligt nysgerrig, kan jeg finde på at se, om jeg kan få flere referater frem ved simpelthen at ændre det pågældende årstal i url, hvilket da jævnligt lykkes. Kan jeg på denne måde risikere uforvarende at komme ind på "hemmelige" sider?

Det kunne jeg faktisk rigtigt godt tænke mig at få et svar på, i lyset af ovenstående.

  • 12
  • 0
Peter Christiansen

Sagen minder om en nylig sag fra Texas, hvor 14-årige Ahmed Muhamed havde lavet sit eget ur og taget det med i skole. Læreren troede, det var en bombe, tilkaldte politiet, der førte ham væk i håndjern, hvorefter skolen bortviste ham. Indtil Obama inviterede drengen til Det Hvide Hus og roste ham for sin opfindsomhed og forklarede til offentligheden, at Amerika har brug for den slags initiativ.

Der er lidt mere til historien end som så,
for det første har han ikke lavet sit eget ur, det var et bord ur som han har skilt ad og lagt delene ned i en lille kuffert.

For det andet viste han det i 5 forskellige fag og uret begyndte at ringe midt i en time hvorfor engelsklæreren blev forskrækket og så kassen med ledninger stikkende ud og derefter ringede til politiet.

http://www.dhs.gov/see-something-say-something

Granted de er lidt paranoide i USA, men med skoleskyderier mv. er der ikke plads til at tøve hvis man ser noget suspekt.

Jeg synes ikke helt man kan sammenligne det med denne sag, Jonas har ikke udvist truende adfærd udover at kontakte Datatilsynet dog har han udvist lidt mere opfindsomhed end at skille en clock radio ad og ligge den i en kuffert, så måske bliver han inviteret ind til Lars?

American exceptionalism får et helt andet ring når præsidenten vælger at fremhæve en dreng for at have skilt et ur ad og lagt det i en kuffert. Men ok, det er een måde at få en bombe ind i det hvide hus ;)

  • 1
  • 1
Per Larsen

Det kan vel anbefales at droppe artiklen til en af de store aviser. Det vil være fint at få dem på banen, og ikke kun i Version2's lukkede kreds.
Sagen udstiller institutioners inkompetence, samt manglende fornuft i det skitserede reaktionsmønsteret. Det er naturligvis ikke ulovligt at gå til datatilsynet med en sådan sag. Det eleven måske-- måske-- kan kritiseres lidt for er, at den pågældende ikke har kopieret skolen på anmeldelsen. Man skal naturligvis ikke først gå til skolen, hvis man har den mindste mistanke om, at kunne blive forfulgt eller at institutionen helt vælger ignorerer henvendelsen, da den er direkte kompromitterende for deres IT funktion og den ansvarlige. Den burde han / hun selv ha' set.

Jeg er helt enig i, at man bør se på kompetencerne i disse institutioner. Der sidder givet nogle, som ikke burde ha' det ansvar de i realiteten har.

  • 8
  • 0
Dorthe Frøstrup

Ja, Jonas har "hacket" - og det i den gode sags tjeneste. Hvordan havde nogen forestillet sig at teste sikkerheden, hvis ikke det netop er ved at forsøge at omgå den??

Jonas bør efter min mening belønnes af skolen og have en undskyldning for deres første reaktion. Han gik jo netop til "myndighederne" med sin opdagelse for at få det/de problem(er) han havde opdaget løst. Og det lader til, at han gjorde det med god grund...!! Jeg sidder i hvert fald med en grim fornemmelse af, at var han gået til skoleledelsen, havde han fået en advarsel for hacking og "verden" havde aldrig hørt om det og problemet ikke løst !!

Helt ærligt, så bør skolebestyrelsen for pågældende skole ind i sagen og sætte deres ledere på plads.

GODT GÅET JONAS !!! Keep Up the Good Work !!

  • 16
  • 0
Peter Jensen

Teknisk set svarer det jo til at man trykker et håndtag ned for at se om døren så kan åbnes. Dermed har man jo til hensigt at opnå en adgang man ikke har opnået tilladelse til.

Men jeg kan sagtens se det urimelige i at blive straffet for at kontrollere sikkerheden ved en 3. parts dør hvor ens egne private skulle ligge beskyttet bag.

  • 3
  • 6
Cristian Ambæk

Så fremgangsmåden for dette hack var at skolen stillede et åbent wifi netværk til rådighed hvor man kan tilgå en side for at skrive et skoleID. Her afprøvede Jonas så nogle forskellige heltal og fik yderligere adgang til en menu som skulle forestille at have beskyttede menu punkter der holdte CPR numre. Ved at fjerne '_security' fra menu URL'en fik han så adgang til elevers CPR numre i praktikforløb?

Yderligere var der en menu der tillod indtastning af tilfældige CPR numre, og hvis dette resultere i en "true" så skrev den navnet på holderen af CPR nummeret?

Jeg syntes det er interessant og tankevækkende at Jonas har fået en advarsel fra skolen. Men hvornår er det at virksomheder, uddannelses institutioner mm. Får bøder og fængsels straf for at sjofle med danskernes data?

  • 13
  • 0
Anne-Marie Krogsbøll

Efter min opfattelse er det ikke det samme, for det kræver en teknisk viden at gennemskue, at man risikerer at komme ind på en "forbudt" side, ved at ændre i url.

Som jeg tidligere har skrevet, så ville jeg have forventet, at hvis jeg fjerner "_secure" fra en url, så kommer jeg til en del af hjemmesiden, som IKKE kræver særlige rettigheder. Eks.: "/deltagerliste" ser for mig uskyldigt ud - men det er det jo åbenbart ikke nødvendigvis, hvis der burde have stået "/deltagerliste/_secure" (eller hvordan den slags nu ser ud).

Om så Jonas har været klar over, at der kunne være et problem, det ved jeg så ikke. Men selv hvis han har vidst det, så er det for mig at se både menneskeligt og fornuftigt, at han undersøger problemet, så længe han melder det til rette instanser uden at misbruge det.

  • 8
  • 1
Anders Bloch Sørensen

Det svarer jo til at rende rundt og kontrollere om døre og vinduer skulle være låst hos andre mennesker... Det er i hvert fald en "service", jeg gerne ville have mig frabedt uopfordret. Hvad nu hvis skolen havde opdaget det inden han havde nået at kontakte Datatilsynet? Skulle han slippe for forsøg på hacking blot på en forklaring om at "han jo havde tænkt sig at ringe til Datatilsynet lige om lidt"? Så er det sgu for nemt...

Hvis du vil penteste noget, så må du bede om lov først. Længere er den sgu ikke.

  • 1
  • 15
Anne-Marie Krogsbøll

Så hvis jeg i min grænseløse uvidenhed kommer til at taste en url, som går ind bag en sikkerhedslås, som jeg slet ikke vidste, skulle være der, så er jeg pr. definition hacker?

Internettet er altså ikke helt så indlysende at gennemskue som fremmede mennesker døre.

  • 14
  • 0
Anne-Marie Krogsbøll

Det er muligt - det skal jeg ikke udtale mig om. Men jeg kunne altså selv være kommet til at gøre noget lignende, HELT uden at ane, at jeg var på vej ind på en "privat" side.

Og der er altså et par skridt fra, at man begynder at undre sig og tænke "hov, hvad er det her for noget", til at man bliver sikker på, at man måske er på vej ind på forbudt område. Man undersøger jo lige sagen lidt først, inden man konkluderer, at her må man vist hellere stoppe. Det, synes jeg, er helt menneskeligt. Ellers kunne man jo lige så godt ende med at gå glip af helt lovligt indhold.

Hvis man virkeligt kan blive hacker blot ved at taste forbudte tegn i url, så vil jeg da opfordre til, at nogen med styr på den slags udgiver en "What not to do in an URL - for dummies", så amatører ikke uforvarende havner bag tremmer (vel vidende, at en sådan "manual" jo kan bruges med omvendt fortegn ;-) ).

Nej, det er ikke vejen frem at kriminalisere sådanne tilfældige fund. Fokus må være på, at det er systemerne, der skal være hævet over den slags sårbarheder.

  • 9
  • 0
Peter Christiansen

Hvis man virkeligt kan blive hacker blot ved at taste forbudte tegn i url, så vil jeg da opfordre til, at nogen med styr på den slags udgiver en "What not to do in an URL - for dummies", så amatører ikke uforvarende havner bag tremmer (vel vidende, at en sådan "manual" jo kan bruges med omvendt fortegn ;-) ).

99,9% af alle exploits bliver foretaget fordi programmøren ikke checker input til hans web-vendte kode og al input fra brugeren over http foregår vha url'en (GET), eller i http data (POST), eller i form af cookies (http headeren).

For det meste kan man teste url's af for at se om nogle af parametrene /getStuff?id=23
direkte bliver brugt ved database opslag og derefter udnytte dette til at foretage et andet
opslag, end det der var tilsigtet, evt opslag i bruger databasen etc.

Så jo exploits af webapps foregår også via url'en, hvilket er de fejl man finder hurtigst,
hvis systemudvikleren ikke har en fis forstand på hvordan tingene virker.

Den fejl Jonas har fundet er endnu værre og endnu mere bekymrende at system
udvikler ikke har fundet. Som udvikler undrer det mig at en sådan fejl overhovedet
er at finde i et professionelt system.

Apropos manual til hvad man kan gøre i en url, skal du læse lidt op på stoffet,
du kan ikke bare forvente at få en liste over ting du kan gøre for at teste for sql injections,
null byte exploits, cookie stealing, buffer overflows (sjældent nu i webapps),
directory traversal etc.

Læs lidt op på stoffet, du kan evt. hygge dig her:
https://www.hackthissite.org/

  • 6
  • 0
Mogens Winther

Man går ind med sin smartphone på www.lectio.dk – og vælger et passende gymnasie – eksempelvis ”Nordsjællands Grundskole og Gymnasium” : http://www.lectio.dk/lectio/63/default.aspx?lecafdeling=4733693144

Herefter er det blot at klikke på ”Elev” – og derefter vælter det frem med navne, der måske kan have interesse for personer med kriminelle hensigter. http://www.lectio.dk/lectio/63/FindSkema.aspx?type=elev

Klikker man på den enkelte elev, ser man omgående hvor på skolen eleven måtte befinde sig – et tilfældigt eksempel : http://www.lectio.dk/lectio/63/SkemaNy.aspx?type=elev&elevid=1520779371

Øvrige planer – f.eks. om ekskursioner, lærernes navne, etc – lader sig også afsløre ved at klikke på f.eks. de enkelte dele af skemaet.

Endvidere kan alle og enhver følge personalets sygedage, etc – jvf http://gymnasieskolen.dk/kritik-af-lectios-%C3%A5benhed – hvilket for os at se burde være en sag udelukkende mellem den enkelte lærer og skolen.

For os at se udgør Lectio-s totale åbenhed en alvorlig sikkerhedsrisiko – velhavende borgere har hidtil trygt kunnet sende deres børn i gymnasiet – men den tryghed ved at lade sit barn søge beskyttelse i mængden af elever er for mig at se borte.

/MW

  • 11
  • 0
Kenn Nielsen

Hvis man skulle tage det for 'gode varer' at korsfæste budbringeren, er her et foreslag til et system á lá politiets nye 'kasse-vogne':

  1. Staten (den kære formynder) lovgiver at alle ikke-oprettede .dk-domains skal pege på ca-tjing.jm.dk
  2. Ender du på denne adresse er det fordi du har tastet en URL som ikke eksisterer, og dermed har udført hacking, hvilket takseres til en administrativ bøde på kr.500,-

Systemet har den fordel at det kan drives af embedsmænd uden faglig indsigt.
Embedsmændene kan endda få bonus efter måltal.

Snart vil alle offentlige hjemmesider erstatte 404-siden med en redirect til ca-tjing.jm.dk.

Når hr og fru Danmark bliver bedre til at undgå dummebøderne, og bonus'erne er i fare, vil vi begynde at erfare hvad 'dynamiske hjemmesider' virkeligt betyder.

K

  • 9
  • 0
Martin Hoffmann

Jeg synes det er utroligt at alle er enten på Jonas' side og mener at skolen bærer hele skylden fordi de er lemfældige i deres omgang med sikkerheden, eller på skolens side og mener at Jonas begik en forbrydelse ved at hacke systemet.

Det må da være indlysende at den ene ikke udelukker den anden!?
"The test of a first-rate intelligence is the ability to hold two opposed ideas in mind at the same time and still retain the ability to function". - F. Scott Fitzgerald

Skolen skulle helt klart have bedre styr på sikkerheden, og de skulle helt klart have håndteret sagen helt anderledes (som i, Novra! De burde ansætte en medievant talsperson), men det kan heller ikke nægtes at Jonas har overtrådt nogle regler ved at forsøge at få adgang til oplysninger han ikke burde kunne se. Det faktum at det var for nemt for ham at finde, har da ingen indflydelse på om han har lov til at lede efter dem. Vi taler om lovens bogstav her, ikke om hvad ens gut-feeling er.
Hvis en cykel står ulåst er det stadig ulovligt at stjæle den. Længere er den ikke.

Personligt synes jeg da også at Jonas har gjort det helt rigtige ved at kontakte Datatilsynet, og først langt senere er gået til medierne (selv om jeg nok ville mene at han også burde have skrevet til skolen undervejs inden da), men min personlige mening betyder nu engang ikke noget særligt i forhold til lovgivningen.

  • 1
  • 4
Anne-Marie Krogsbøll

Peter Christiansen:

Tak for en masse input, men jeg vil jo netop helst IKKE ufrivilligt komme til at teste noget som helst - vil bare gerne være advaret om de værste faldgruber, når jeg surfer. Men det er måske også det, du mener?

Men har du et svar på mit tidligere spørgsmål - om man kan komme ind på forbudt område ved at ændre på årstal i url, f.eks. i forbindelse med biblioteker med referater?

  • 4
  • 0
Cristian Ambæk

Vi taler om lovens bogstav her, ikke om hvad ens gut-feeling er.

Jeg ved ikke hvad andre arbejder med her på forummet, men selv er jeg system administrator og hvis nogle kom og fortalte mig "hey just FYI, i har et problem her og her". Så vil jeg sige tak og tag en dialog med vedkommet for en løsning, i stedet for at finde nummeret til min advokat.

Når vi snakker sikkerhed og hacking, så vil det være sundt med en dialog omkring emnet. For skal vi være en nation af personer der ikke kan teste sikkerheden og blindt tro på hvad industrien giver os? Fanme nej, og grundlaget for det er at alt for mange gange har de fejlet på samtlige områder af industrien.

Og vi skal da heller ikke straffe personer som Jonas for at sætte fokus på det her. I sidste ende kan det være en elev det går ud over da vi i DK har meget svært ved at få et nyt CPR nummer så frem vores nuværende skulle falde i de forkerte hænder. Er det fair for den elev det går ud over fordi skolen ikke tager sit ansvar seriøst?

Og har Jonas overhoved gjort noget forkert?? Han havde et wifi det stod åbent for alle som gav ham offentlig adgang til en skole-hjemmeside der godt nok havde en skoleID form for at komme videre. Men Jonas går jo på skolen, og stod der "kun adgang for x og x eller lærer"?

Helt skråt, hvis ikke siden indikere at siden er privat i en eller anden sammenhæng så må man vel anse den som offentlig, især da netværket den ligger på et offentligt netværk.

I USA er der en gammel sag at nogle universitets elever fik adgang til en router igennem ssh. Her var motd "welcome". Eleverne fik adgang ved at gætte eller bruteforce (i honestly dont know) login sekvensen og herefter tiltalt for "lovbrud". Men frikendt fordi der stod "welcome". Så hvad er lovens bogstav på denne front i DK?

  • 10
  • 0
Kenn Nielsen

og de skulle helt klart have håndteret sagen helt anderledes (som i, Novra! De burde ansætte en medievant talsperson)

Nej, de bør IKKE ansætte en medievant talsperson.
Der er ikke behov for at omskrive ledelsens vrid i elevens kønskirtler.
Det bliver ikke kønnere af at blive pakket ind.

Ligegyldigt hvordan - eller hvor flot - du pakker en l*rt ind, så er det stadigt ildelugtende og kan eksplodere når du ikke ønsker det.

Skolen bør have en ledelse med 'fingerspitzgefühl'.
En ledelse som opfører sig ordentligt, istedet for at 'tryne' eleverne.(som skolen jo skal vejlede og uddanne)

Ikke en spindoktor til at pakke ledelsens gorillaopførsel ind.

K

  • 7
  • 0
Anne-Marie Krogsbøll

Peter Jensen:

I mine øjne - Ja! Jeg ville selv vælge den løsning, fordi jeg er meget beymret over udviklingen på persondataområdet, og mener, at det er vigtigt med et centralt overblik over omfanget af den slags problemer i samfundet. Som jeg ser det, har skolen overtrådt loven ved ikke at sikre data ordentligt, og den slags melder man til Datatilsynet.

Det er jo sikkert utilsigtet fra skolens side, nøjagtigt som Jonas utilsigtet blev klar over dette hul - ikke i den hensigt at hacke. Men vi har ikke fået at vide, hvorfor det tog over 14 dage at lukke hullet? Hvor i systemet kiksede dette?

Ved at gå til Datatilsynet bliver det registreret, således at man har dokumentation, såfremt det skulle vise sig, at der har fundet misbrug sted. Har man overhovedet fulgt op på, om der HAR fundet misbrug sted, inden hullet blev opdaget? Har man tjekket logs for at se, om der har været uatoriseret adgang? Det står hen i det uvisse.

Sådan som både offentlige og private sjusker med datasikkerheden, så er der efter min mening kun en vej frem - meld det hver gang! Der skal ikke være nogen smutveje til, at den slags hændelser "gemmes" rundt omkring.

Om Jonas så OGSÅ kunne have orienteret skolen - måske. Jeg ved ikke, hvad grunden var til, at han ikke gjorde det. Men han fik jo lovning fra Datatilsynet på, at DE gik videre til skole og STIL, så hvorfor skulle han egentligt også selv gøre det?

Nej, i mine øjne er det interessante i denne historie ikke, om Jonas kunne have meldt på den ene eller den anden måde. Det interessante er, at der stadig er den slags åbenbart begynderfejl i offentlige systemer (og i private), og at responstiden på udbedring er så lang. Det tyder på, at man ikke tager sikkerheden alvorligt nok.

  • 10
  • 1
Martin Hoffmann

Nej, de bør IKKE ansætte en medievant talsperson.
Der er ikke behov for at omskrive ledelsens vrid i elevens kønskirtler.
Det bliver ikke kønnere af at blive pakket ind.

Fair enough. Det har du ret i, Kenn.
Det er ikke kun deres holdning udadtil der er gal, men deres politik (som lader til at være formuleret on the fly af direktøren).
Det ville ikke koste dem en øre at have været mere imødekommende og løsningsorienterede, snarere end at blive børneformærmede.

  • 4
  • 0
Kenn Nielsen

Er det moralsk i orden at dele en funden sikkerhedsrisiko til medier og andre, inden man orienterer systemejeren og giver denne mulighed for at lukke hullet?

Jeg 'blander mig lige'....

Ja, det er moralsk i orden at opdrage systemejeren til at tage sikkerhed alvorligt.

Ja, det er moralsk i orden at opdrage systemejeren som har data om dig til at tage sikkerhed alvorligt.

Ja, det er moralsk i orden at opdrage systemejeren til at tage sikkerhed alvorligt, ved at dele en funden sikkerhedsrisiko med relevante tilsyn, inden man orienterer systemejeren og giver denne mulighed for at lukke hullet.

Ja, det er - i særdeleshed - moralsk i orden at opdrage systemejeren til at tage sikkerhed alvorligt, ved at dele en funden sikkerhedsrisiko med relevante tilsyn, og lade tilsynet om at orientere systemejeren og derved give denne mulighed for at lukke hullet.

Især når det kan forventes at ledelsen bliver agressiv fordi du har rokket med abeburet, er den sidste mulighed det eneste ansvarlige alternativ til ligegyldighed.

K

  • 10
  • 1
Peter Christiansen

Hej Anne-Marie,
ja det er klassikeren at ændre en url f.eks som du siger ved at ændre årstallet, så man f.eks kan se artikler fra andre år som det muligvis ikke er links til på sitet man besøger.

Det skal du ikke være bange for, du har højst sandsynligt handlet i god tro og kan ikke klandres for det. En ændring i url'en i den stil vil jeg ikke kalde hacking, men et simpelt opslag eller afprøvning af en adresse.

NB. jeg ville skrive noget mere for at give nogle opklarende eksempler,
men jeg fik hele tiden en fejlmeddelelse når jeg postede et længere svar.

  • 4
  • 0
Peter Christiansen

Hvis du begyndte at "teste" en url som denne:

http://www.example.com/books?id=23

Med:
http://www.example.com/books?id=23 union select userid,password from userTable

For at snyde et dårligt system til at udlevere bruger databasen,
kunne man sandsynligvis godt fornemme at du kunne være i ond tro,
ELLER du kunne være i godt tro og melde fejlen før andre misbrugte data.

Derfor mener jeg at det er system udviklerens hele og fulde ansvar,
det er ikke så svært at sikre sig nogenlunde. De fejl vi ser rapporteret her på version2,
er som regel de fejl det tager 10 minutter at finde, hvilket igen
siger noget om udvikler uvidenhed / ignorance i bred forstand.

  • 9
  • 0
Rolf C. Torp

Gør han det, så er han golden, og så kan han gå til diverse medier alt det han vil. Så bør han gøre det, men ALDRIG ALDRIG før. Det er svinsk og hjælper egentligt kun til, at flere mennesker kommer til at kende et potentielt farligt sikkerhedshul.

Henrik Petersen må kende skolen og dens folk personligt, siden han så sikkert kan skrive at hvis Jonas havde håndteret det anderledes, så havde han været "golden".
Ellers er det jo noget af en antagelse og svare til den jeg selv laver i dette indlæg....... ;)

Ingen af os ved vel egentlig hvad forløbet havde været hvis han var gået direkte til skolen først.

  • 10
  • 1
Frithiof Andreas Jensen

Er det moralsk i orden at dele en funden sikkerhedsrisiko til medier og andre, inden man orienterer systemejeren og giver denne mulighed for at lukke hullet?


Jada - Der skal åbenbart doseres en hel del klor til andedammen för vi får bugt med disse sammenspiste, anvarslöse, "systemejere" og deres skod-leverandörer.

Hvis man ikke kan acceptere realiteterne som de er: At man har leveret, h.h.v. indköbt, noget pinligt dårligt skrammel og det er så pinligt dårligt at at disse forhold er synlige direkte "på kommando-linien" (d.v.s. at man ikke testede / er ligeglad) for sådan cirka ... Internettet ... så er den bedste, mest humane, lösning for alle parter at klovnerne går konkurs / fyres og eventuelt finder sig en anden beskäftigelse med mindre fuck-up potentiale end Offentligt IT.

Det kunne väre rigtigt sjovt at nogen andre, for eksempel Datatilsynet, lavede en rigtig PEN-test på systemet. En 3-4 konsulent-timer er formodentligt rigeligt til at bedömme kvaliteten.

  • 5
  • 0
Povl Kvols

Hvis Jonas har "hacket systemet" og snaget i hemmelige filer, så har skolen vel en audit log, der kan fortælle om den slags? Jeg mener: Hvis man har et system med følsomme oplysninger, så er det jo ikke blot vigtigt at beskytte oplysningerne, men også at kunne dokumentere, hvem der har haft adgang til hvad og hvornår.

  • 13
  • 0
Albert Nielsen

Så vidt jeg kan se ud fra de to artikler i version2, er en advarsel til Jonas Boserup helt berettiget, omend med en anden begrundelse end den, der har forårsaget den givne advarsel.

Havde Jonas handlet forsvarligt, havde han indgivet politianmeldelse af skolen for at eksponere personfølsomme oplysninger.

  • 2
  • 12
Peter Jensen

Så vidt jeg kan se ud fra de to artikler i version2, er en advarsel til Jonas Boserup helt berettiget, omend med en anden begrundelse end den, der har forårsaget den givne advarsel.

Havde Jonas handlet forsvarligt, havde han indgivet politianmeldelse af skolen for at eksponere personfølsomme oplysninger.


Det er morsomt at se hvor lidt segmentet her forstår af indholdet i de skrevne indlæg. De stemmer din kommentar ned fordi de kun læser overskriften (og højest første linie), hvorefter deres flok-instinkt reagerer på dette. I deres sorte/hvide verden gælder følgende:

advarsel = ond, dum, skurk, nej
elev = god, klog, helt, ja

Tydeligvis gælder det i denne tråd kun om at kæmpe om hvem der kan overgå hvem i at bekræfte hinanden i at mene at skolen er ond og dum og eleven en uskyldig helt. Den reflekterende person burde indse at verden ikke er så sort/hvid.

Men jeg forudser såmænd også at dette indlæg vil blive stemt ned, da det bryder med flertallet af de i denne debat deltagendes virkelighedsopfattelse.

  • 5
  • 5
Jan Nøhr Pedersen

Det er trist at historien om Valushackeren er blevet skrubbet

Et simpelt google opslag -
http://www.computerworld.dk/art/26013/mild-dom-til-valus-hacker-to-frifu...
siger den ikke er.

Men ja, den og dens dom er meget relevante for nærværende situation, da den også omhandler URL ændring.

Den oprindelige opdager bliver frikendt for at have hacket, medens 3 personer som efterfølgende har anvendt den offentliggjorte information bliver dømt for hærværk (URLen fik hjemmesiden til at gå ned).

Så nej, det at "kigge ind af vinduerne" ved at skifte URLen, er ikke hacking i lovens forstand.

  • 6
  • 0
Steen Christensen

"Teknisk set svarer det jo til at man trykker et håndtag ned for at se om døren så kan åbnes. Dermed har man jo til hensigt at opnå en adgang man ikke har opnået tilladelse til."

Nej. Det svarer til at han bladrer i en bog han har fået udleveret af skolen, hvor der er nogen sider i bogen der ikke skulle have været udleveret til eleverne.

Hvis man gør et website tilgængeligt for nogle brugere af et netværk, må man også regne med at alle sider der er publiceret på dette site vil blive læst af brugere på dette netværk. Det nytter ikke noget at sige at det er uatoriseret adfærd.

Autorisation til adgang skal kontroleres af identification og authentication (ups - jeg ved ikke lige hvad det hedder på dansk - har ikke arbejdet med emnet i danmark)

Mvh.
Steen Christensen
Information Risk Manager
CISSP, CRISC, CISA

  • 8
  • 0
Steen Christensen

"Man går ind med sin smartphone på www.lectio.dk – og vælger et passende gymnasie – eksempelvis ”Nordsjællands Grundskole og Gymnasium”"

Det er godt nok stygt. Så kan man f.eks. se hvornår en navngiven lærer ikke er hjemme. Det giver fred hvis man vil lave et rask lille indbrud.

I øvrigt forbløffende så specielle navnene er. Er der slet ikke nogen mere i Danmark der hedder noget så traditionelt simpelt som Jens Hansen ?

  • 4
  • 0
Rasmus nix

Jeg har som Jonas, selv kontaktet danske firmaer som TDC, TV2, Elevplan med dvs. huller og STIL's reaktionen er ikke ualmindelig. Typisk vil store virksomheder enten ignorere henvendelsen, da den ofte ender hos en eller anden inkompetent kundeservicemedarbejder, eller spørge hvorfor fanden man leger med deres system; ofte efterfulgt af en trussel om politianmeldelse og erstatningskrav.
Altså giver man virksomheden information, der potentielt set kan spare dem mange millioner, og modtager til gengæld en ubehagelig besked om, at man risikerer at blive straffet. Sikke et incitament det skaber! Derfor kan jeg kun anbefale personer i Jonas' situation, til at levere sådanne oplysninger anonymt.

Danske virksomheder har tilsynladende ikke fattet hvor alvorligt IT-sikkerhed er.
Gør det strafbart at ignorere sådanne henvendelser, og gør det lovligt at oplyse om dem.

Mvh. Rasmus C.

  • 5
  • 0
Rune Jensen

Vel forskellen til Valus-sagen er, at det var en bank som havde ganske simple SQL injection huller. Alt andet lige, når du - offentligt - praler med at kunne tage vare på folks penge, så er det nødvendigt du også har absolut kendskab til sikkerheden bag. Og ja, SQL injection var måske forholdsvist nyt (selvom parameterized queries var implementeret helt tilbage i nogle af de første versioner af ASP, så så nyt var det heller ikke), men der er ingen undskyldning for lige netop en bank for ikke at være fuldstændigt på forkant med sikkerheden. Ingen.

Det fritager selvfølgelig ikke skolen for et ansvar. Og ja, de har efter min mening ganske givet overreageret, og her ligner sagen da lidt Valus, da de anklager budbringeren for at flytte fokus fra egne fejl. Eleven har sådan set handlet etisk korrekt, jeg kan ikke se, hvordan han ellers skulle have reageret. Men de to situationer er ikke ens. Skolen garanterer ikke for nogen sikkerhed. Banken gør, ellers er det ikke en bank. Der er iøvrigt også særlige standarder for bank.sikkerhed, ved ikke om der er for skole web, men tror det ikke.

  • 1
  • 0
Rune Jensen

Jeg kan godt se, hvad du mener, men jeg mener egentlig stadig, at der bør være højere sikkerhed i en bank end i et skolenetværk. Eller mere korrekt dansk, at banken nok bør sætte den allerhøjeste sikkerhedsstandard, og alle andre bør forsøge art opnå det samme, men... man får også hvad man betaler for. Og altså, tror du skolerne har råd til at holde audits på samme måde som bankerne? Ville da være dejligt, hvis de kunne, men det koster altså penge, og jeg tror bare det blvier hammer svært. Så dér hvor jeg ville fokusere var i stedet netop på at tage henvendelser som den fra eleven seriøst, så man kunne få noget gratis sikkerhedshjælp i stedet.

  • 0
  • 0
Gert Madsen

banken nok bør sætte den allerhøjeste sikkerhedsstandard, og alle andre bør forsøge art opnå det samme


Dette er jo et eksempel på, at man ikke en gang gider at gøre forsøget.
Den økonomiske beregning er meget enkel:

Ingen sikkerhed: 0 kr.
Sikkerhed: tusinder af kroner.
Ulemper ved ingen sikkerhed: Mildt ubehag, ingen bøder, ingen fængsel.
Risiko: Minimal.

Det er altså svært at se, hvordan det skal blive bedre med den nuværende lovgivning.

  • 5
  • 0
Mogens Winther

For at citere Steen Christensens indlæg fra i fredags - vedr.

"Det er godt nok stygt. Så kan man f.eks. se hvornår en navngiven lærer ikke er hjemme. Det giver fred hvis man vil lave et rask lille indbrud."

Direkte adspurgt om man da ikke - set i lyset af skoleskyderier, samt Utöya hændelsen - ønsker at begrænse uvedkommende personers adgang til skema-data - svarer Lectio systemets indehaver MACOM :

Sendt: 14. marts 2012 15:24
Til: Mogens Winther
Emne: RE: Svar fra Christine Antorini

Kære Mogens,

Tak for din henvendelse. Lectio skemaer har været åben og bygget på den åbne netadgang siden starten for 9 år siden. Det er ikke noget vi har i sinde at ændre på og det er ikke noget den enkelte skole har mulighed for at ændre i deres opsætning. Derimod er der meget data, der ligger beskyttet af adgangs login.

Med Venlig Hilsen

Camilla Feldvoss

MaCom A/S
Vesterbrogade 48, 1.
1620 København V
Telefon: 33 79 79 00
Telefax: 33 79 79 84
Web: www.macom.dk

firmaet er med andre ord TOTALT ligeglad med elevernes og de ansattes sikkerhed

I Tyskland er den type sløset adfærd med skoleskemaer, navnelister og lignende forbudt - Ifølge https://www.datenschutzzentrum.de/faq/schule2.htm#iv9 hedder det :
”Darüber hinaus ist zu bedenken, dass durch die Veröffentlichung von Vertretungsplänen auf der Schulhomepage nicht nur der eingeschränkte Adressatenkreis der Schulöffentlichkeit Zugang zu diesen Informationen hat, sondern jeder Nutzer des Internet weltweit. Wegen der fehlenden Erforderlichkeit und des unbestimmten Adressatenkreises ist eine Veröffentlichung von Namen oder Namenskürzeln der Lehrkräfte daher unzulässig.”

  • 2
  • 1
Anne-Marie Krogsbøll

Rune Jensen:

Hvorfor mener du, at bankerne bør sætte standarden? Fordi de har flere penge, eller fordi de passer på andre folks penge?

Egentlig synes jeg, at følsomme persondata af typen "mere private data end blot økonomi" (eks. karakterer, fravær, sundhedsproblemer etc.), må kræve at blive taget mindst lige så alvorligt som økonomiske persondata.

Og hvis man sætter kravene efter virksomhedens økonomi (hvis det er det, du mener), så åbner man vel for, at mere skumle typer blot opretter et lille fattigt firma, finder en måde at hente data på, og så lader disse "lække" (mod betaling, selvfølgelig), med den undskyldning, at man ikke har råd til ordentlig sikkerhed?

Nej, jeg synes ikke, der bør være huller i sikkerheden omkring persondata - for når først de er lækket, så er der jo ingen måde at fange dem ind igen på.

  • 3
  • 0
Log ind eller Opret konto for at kommentere