Softwareudvikler er tiltalt for hacking og hærværk mod it-system i søns børnehave

En bekymret far, der valgte at tage sagen i egen hånd og fandt sårbarheder i en børnehaves it-system, er nu blevet tiltalt for på ulovlig vis at have tiltvunget sig adgang til systemet. Retssagen kan danne præcedens ifølge professor.

Er man kriminel hacker, hvis man undersøger sikkerheden i et udbredt it-system og finder et hul?

Det spørgsmål, vil en hacker-tiltalt softwareudvikler snart få svar på.

Hvad der startede som en bekymring over manglende sikkerhed i it-systemet i sønnens børnehave er nu endt med en straffesag.

Softwareudvikleren Henrik Høyer er netop blevet tiltalt af politiet for både at have hacket og udøvet hærværk mod it-systemet i sin søns børnehave i Køge den 17. december 2014. Han skal nu forsvare sin sag i byretten i Roskilde.

»Jeg er uskyldig,« siger Henrik Høyer, der selv påpeger, at han bare forsøgte at gøre opmærksom på en række sikkerhedshuller i systemet:

»Jeg er irriteret over, at de skyder på budbringeren. Jeg har ikke hacket systemet - jeg har blot konstateret, at det kunne hackes.«

Læs også: Forældre fandt banale sikkerhedshuller i udbredt it-system til børnehaver

Sagen, som tidligere har været omtalt på Version2, startede med, at børnehaven Frændehus havde fået et nyt it-system fra leverandøren Infoba, som blandt andet fungerer som en digital udgave af opslagstavlen mellem forældre og pædagoger i børnehaven.

Systemet gemmer blandt andet på informationer om børnenes fravær samt mere følsomme personoplysninger omkring børnenes allergier og sygdomme.

Det var på den baggrund, at Henrik Høyer blev bekymret for it-sikkerheden i systemet, når han skulle indtaste disse oplysninger om sin søn.

Derfor valgte han at teste, om systemet nu også var sikkert - hvilket han kunne konstatere ikke var tilfældet.

Han mener selv at have fundet en 2-3 sikkerhedshuller, som han efterfølgende gjorde it-leverandøren opmærksom på via email. Dette modstrider med Infobas forklaring, der går på, at Henrik Høyer i mailen kun havde gjort opmærksom på, at løsningen ikke benyttede sig af den nyeste type af krypterede SSL-forbindelse, TLS.

Hærværk eller uskyldig pop-up?

Omkring en times tid efter, at Henrik Høyer efter eget udsagn havde informeret Infoba om sikkerhedshullerne via email, valgte han at udnytte et af dem til at advare forældre og pædagoger i sønnens børnehave om systemets sårbarhed.

Selve beskedsystemet var nemlig programmeret således, at det ikke rensede de forskellige indlæg for eventuelle script-koder. Henrik Høyer kunne derfor bruge script injection-metoden til at skrive en besked i systemet med et javascript, der fik en popup til at komme frem hos brugerne.

I beskeden stod der: »Ring til Infoba og sig, at jeres nye intranet-løsning er blevet hacket«.

Derefter valgte Infoba at politianmelde softwareudvikleren.

»Jeg bliver nødt til som it-ansvarlig at tage det seriøst, når vores system bliver hacket,« sagde Infobas produktchef, Torben Væring, til Version2 i juni 2015.

»Han fik kun sat en Javascript-besked op, selvom han har forsøgt på rigtig meget mere,« uddybede han.

I anklageskriftet står Henrik Høyer ikke bare tiltalt for at have systemet. På grund af javascript-finten, står han også tiltalt for hærværk, eftersom popup-beskeden i børnehaven ifølge politiet »ødelagde eller beskadigede data tilhørende Infoba«.

At sådan en pop-up ligefrem kan kategoriseres som hærværk er dog tvivlsomt ifølge juraprofessor Lars Bo Langsted fra forskningscentret i cyberkriminalitet ved Aalborg Universitet.

»Det er diskussionen med at ødelægge eller beskadige data. Der har det været retspraksis, at hvis man lægger bagdøre ind i et system, så er det hærværk eller ødelæggelse,« siger han og henviser til blandt andet CSC-hackersagen.

Henrik Høyers popup var dog ikke en bagdør, men en simpel tekst-besked, som brugeren kunne klikke væk og som ikke gjorde yderligere ifølge tiltalte.

»Det er lidt tvivlsomt i den her sag om data er beskadiget eller ødelagt. Jeg ved ikke, hvor langt man kan komme ud i det abstraktionsniveau,« siger Lars Bo Langsted.

»Jeg opfatter det ikke som hærværk,« siger Henrik Høyer.

Professor: Første retssag af sin slags

Ikke desto mindre er Henrik Høyers javascript-finte med til at stille ham i et uheldigt lys ifølge Lars Bo Langsted.

Forælderen har selv erklæret sig uskyldig i hacking og udtrykt villighed til at hjælpe med at få lukket sikkerhedshullerne i systemet. Men der taler hans handling imod ordene ifølge professoren:

»Hvis du siger, at du vil hjælpe, så vil du normalt ikke gå ind og ændre i systemet. Men nu har han været inde og ændre beskederne, fordi han er sur over ikke at få svar. Så begynder hans forsvar at smuldre lidt,« siger Lars Bo Langsted og erkender, at han ikke har kendskab til tidligere domme af denne type, hvor en person bliver anklaget for at hacke, selvom vedkommende selv kun påstår at gøre opmærksom på en række it-sårbarheder.

Sagen mod Henrik Høyer kan derfor meget vel være den første af sin slags i strafferetligt regi.

Problemstillingen er dog velkendt. Blandt andet fik en erhvervsskoleelev tidligere på året en advarsel fra sin skole, efter at det kom frem, at han havde fundet et sikkerhedshul i et udbredt administrationssystem til skolerne. Eleven valgte at gå direkte til Datatilsynet med opdagelsen, hvilket faldt skoledirektøren for brystet.

Læs også: Gymnasieelev anmeldte CPR-hul i skolesystem til Datatilsynet - nu får han en advarsel af skolen

Den nuværende straffesag mod Henrik Høyer kan således danne præcedens på et område, der er fyldt med usikkerhed og mangel på tidligere retslige afgørelser.

»Man må håbe, at den kommer til Højesteret, så vi kan få nogle klare signaler, vi kan bruge til noget,« siger Lars Bo Langsted.

Den tiltalte har erklæret sig klar til at tage sagen hele vejen igennem retssystemet op til Højesteret om nødvendigt.

Indtil videre lydere anbefalingen fra juraprofessoren, at man aldrig forsøger at undersøge it-systemer for sikkerhedshuller uden at spørge leverandøren om lov først.

»Siger de nej, skal man holde sig væk. Det er strafbart uretmæssigt at skaffe sig adgang,« siger han.

Tiltalte: Jeg hackede ikke

Centralt i sagen står anklagen om, at Henrik Høyer havde skaffet sig uberettiget adgang til it-systemet og dermed brudt den såkaldte hacker-paragraf i straffeloven.

I anklageskriftet står der, at han tiltales for at bryde loven, i det han »udarbejdede et script, som han kørte mod Infobas server, hvorved han fik adgang til serveren, ligesom han samtidig ændrede, tilføjede eller slettede i Infobas data.«

Det er dog forkert ifølge Henrik Høyer.

»Jeg har ikke lavet et script, der kører på serveren. Jeg har lavet en html-kode, som kører på infoskærmen på den enkelte institution,« siger han.

Samtidig kunne han efter eget udsagn konstatere, at et sikkerhedshul, som en anden forælder tidligere havde opdaget, stadig eksisterede.

Sikkerhedshullet bestod i, at man på simpel vis kunne ændre i et id-nummer i adresselinjen i browseren og dermed få adgang til personlige oplysninger på børn i systemet, der bruges i samtlige offentlige daginstitutioner i 11 danske kommuner. Blot krævede det, at man var logget ind som forælder.

Henrik Høyer påstår selv, at han aldrig ændrede id-nummeret og dermed fik adgang til andre børns profiler.

»Jeg skrev ‘ping’ i stedet, og så at der kom en fejl fra SQL-serveren. Så kunne jeg se, at hullet stadig kunne udnyttes,« siger han.

»Hvornår hacker man, og hvornår tager man fat i en lukket dør for at se, om den er låst eller ej? Jeg vil mene, at man godt må tage fat i håndtaget,« afslutter han.

It-leverandøren Infoba har afvist at kommentere på den verserende straffesag.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (72)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jens Holm

Jeg forstår ikke at det ikke er strafbart at levere usikre It systemer med henblik på at håndtere personfølsomme oplysninger. Jeg tænker at Infoba burde straffes for lemfældig omgang med personfølsomme oplysninger

  • 85
  • 2
Michael Nielsen

Hvis du mener det - og jeg er slet ikke uenig - så skal det meldes til Politiet så vi kan få en straf retslig undersøgelse af om det rent faktisk er strafbart. Hvis det viser sig at der ikke er nogen love og paragraffer der kan bruges så må vi påvirke folketinget til at lave de nødvendige love.

Men helt enig - det burde være strafbart.

  • 48
  • 0
Jakob Juul

Jeg vil også mene, at da der er tale om personfølsomme oplysninger, så burde Infoba også stå til en straf for at leverer et så usikkert system.

Jeg mener dog også, at Henrik skulle have holdt sig fra JavaScript-finten. Som nævnt i artiklen, så stiller den ham i et ret dårligt lys.

  • 37
  • 0
Bjarke Jørgensen

Jeg tror ikke der er nogen tvivl om at det Henrik Høyer har gjort, er ulovligt. Han har hacket systemet (kan man ikke godt med god overbevisning betegne sql-injection som et hack?). Så vidt jeg kan regne ud, udfra ovenstående tekst, har han ikke beskadiget eller ødelagt data og så kan der ikke være tale om hærværk.

Desværre påtager han sig martyr-rollen og udøver selvtægt, og det kan faktisk være med til at fordreje opmærksomheden på problemet - det ville have været bedre om han havde taget kontakt til Datatilsynet eller Version2.dk - så ville han have haft en 'uinteresseret' instans at falde tilbage på.

Det betyder ikke at jeg ikke forstår ham - langt fra. Et sådant hul MÅ ikke (som i det burde være strafbart) eksistere, og denne sag er endnu et eksempel på at der må være nogen der simpelthen ikke forstår personfølsomme data's relation til den virkelige verden. For hvis de gjorde det, havde de satangalemig godt nok lavet det ordentligt.

  • 20
  • 5
Jørn Wildt

Nu ligner det en javascript injection (siden han kan lave en popup). Det tyder på at tegn som større-end og mindre-end ikke escapes. Det betyder også at man som almindelig bruger ikke kan anvende disse tegn - er det så "hacking" at komme til at skrive "xxx < yyy" i en besked? Næppe. Eller hvad hvis man bare skrev "xxx <b>FED</b> yyy" for at skrive fed skrift? Næppe. Okay, så det er åbenbart tilladt skrive HTML i sit input (stod der at det var forbudt nogen steder?).

Hvis jeg må skrive fed skrift for at fremhæve noget, så kan jeg vel ligeså godt lave en popup for at fremhæve noget - eller hvad? Hvor går stregen?

Det er sgu' godt nok svært at se det skulle være "hærværk" - det kunne ligeså godt have været en besked til alle forældre uden selvsamme popup, bare med ASCII **** for at fremhæve sin pointe ... selvom jeg også ser det som lidt dumt at påtage sig "martyr rollen" som Bjarke påpeger.

  • 27
  • 0
ab ab

Jeg tror ikke der er nogen tvivl om at det Henrik Høyer har gjort, er ulovligt. Han har hacket systemet (kan man ikke godt med god overbevisning betegne sql-injection som et hack?).


Enig med Jørn Wildt i, at det ret tydeligt af artiklen fremgår, at der ikke var tale om SQL-injection men derimod en 'udnyttelse' af det forhold, at systemet var implementeret så uhensigtsmæssigt, at det ikke rensede brugerinput for HTML- og script-tags.

Efter min mening er det klart overkill at påstå som i anklageskriftet, at popup-beskeden alene »ødelagde eller beskadigede data tilhørende Infoba«, men hvis den ansvarlige ophavsmand bag Infoba har ret i, at der blev "forsøgt på rigtig meget mere", så er det ikke til at sige, om noget af dette kan karakteriseres som værende strafbart.

Man kan i øvrigt læse Infobas politik for datasikkerhed på denne side:
https://infoba.dk/materiale/datapolitik.pdf

Det er måske et relevant perspektiv på historien, at der med den nye EU-forordning for persondata indføres sanktionsmuligheder over for databehandlere og ikke som nu kun over for dataansvarlige.

  • 14
  • 0
ab ab

Indtil videre lydere anbefalingen fra juraprofessoren, at man aldrig forsøger at undersøge it-systemer for sikkerhedshuller uden at spørge leverandøren om lov først.

»Siger de nej, skal man holde sig væk.

Tænk hvis dette havde været den gældende retstilstand på markedet for operativsystemer og browserløsninger. Så var vi godt nok ikke kommet langt i bestræbelserne på at give almindelige brugere et højere niveau af datasikkerhed. Man skal ikke undervurdere betydningen af, at uvildige tredjeparter får adgang til at gennemføre sikkerhedstjek af leverandørers produkter uden deres samtykke, men jeg medgiver, at tilgangen bør nuanceres afhængig af, om der er tale om et standardprodukt, der kan afprøves i testerens regi uden at påvirke andres samtidige brug af systemet eller om der er tale om en hosted platform, der bruges af flere samtidige brugere.

  • 13
  • 0
Peter Christiansen

Der er jo ingen der ved sine fulde fem gider oplyse nogen
dansk virksomhed eller institution om sikkerhedshuller efter
denne farce.

Den slags huller der er i de fleste web apps, er nogle man finder
efter 10-15 minutter, det er altid det samme lort XSS eller sql
injection. Fordi udviklere i 99% af tilfældende ikke fatter en
meter af den teknologi de arbejder med.

Fordi man kan lave noget der kan oversættes i php,asp,perl,
python etc. er det ikke ensbetydende med at det er forsvarlig
kode.

Det burde være fuldt lovligt at skrive hvilken som helst input
i hvilken som helst formular, url etc. uden at blive retsforfulgt,
det er udviklerens opgave at sikre input til hans system og ingen
andres.

Det manden har gjort er bare at udfylde en formular på et
usikkert message board med en variation af:
<img src=x onerror=alert('Jeres site er usikkert');>

Det er en harmløs spøg, hvis manden havde brugt sårbarheden
til noget er det en anden sag.

  • 32
  • 0
Claus Bobjerg Juul

Så har infoba, vel gjort noget ulovligt, for de har efterladt en bagdør, i og med at de ikke har sikret at der kunne indtastets Javascript kode i inputfelterne.

Kære Henrik (hvis du læser dette)
Hvis jeg har forstået problemet korrekt, så bør du/i nok fastholde at du har indtastet tekst i et inputfelt, og at infoba også mener at det er valid tekst, for ellers ville de havde sikret sig at brugeren kun kunne indtaste valid tekst.

Skulle de være uenige kan du/i spørge om (i retsagen) om de har fået sikkerhedstestet systemet, som enhver fornuftig leverandør ville gøre, når nu et system er designet til at skulle være eksponeret på internettet

  • 19
  • 0
René Nielsen

Lad os lige historien oppe fra. Henrik Høyer finder alvorlige sikkerhedsbrister på et niveau som ligger langt fra den sikkerhedsmæssige kvalitet man med rette kan forvente af, et sådan system i dagens Danmark.

Han indberetter fejlen men samtidig udnytter han fejlen til at kommunikerer til slutbrugere uden af rette i data. Det sidste var ikke særligt smart.

Hvis man har lavet noget lort og det er der ikke tvivl om at Infobas har ved at lave et så pivringe produkt, så vil det være ”god spin” at fordreje historien til hacking, fordi man hermed flytter fokus væk fra ringe kvalitet over til strafbare handlinger.

Hermed kommer Infobas til fejlagtigt at fremstå som offer og ikke som gerningsmand. Ganske smart fordi man hermed kan forklare kunderne (kommunerne) at man i virkeligheden er offer for kriminalitet. For det er vel de færreste af kunderne som stiller spørgsmålet om hvorfor Infobas ikke fra starten leverede et sikkert produkt og dermed ville have undgået den påståede ”hacking”.

Formentlig har Infobas følt sig truet på livet og derfor gået ”i panik”, men det udstiller også Henrik Høyer som en klovn for nu at sige det på godt dansk fordi han ikke tidligere tog fat i en IT advokat som kunne yde modvægt imod Infobas advokat.

Vurderet på Infobas regnskabstal så kan Infobas ikke tåle i længden at miste blot 2 kunder (ud af 11) og nye kunder har sikkert lige ville vente og se situationen an.

Jeg gætter på at Henrik Høyer slet ikke har set Infobas situation i det lys for så ville han blot have politianmeldt infobas og ladet være med at ”pille i systemet”.

  • 19
  • 0
Jørn Wildt

Den analogi kan hurtigt udvikle sig:

1) Jeg ringer på hos en butik og ingenting sker. Jeg tager i håndtaget - den er åben. Må jeg gå ind?

2) Døren viser sig at være låst, nu går jeg ind i baggården og checker bagdøren. Den er åben. Må jeg gå ind?

3) Bagdøren er også låst. Jeg checker et vindue. Det er åbent. Må jeg kravle ind?

4) Jeg kravler ind ad vinduet - bare for en god ordens skyld, det kunne jo være at butikken havde pengene liggende fremme, så nogen kunne stjæle dem. Er det ok?

5) Jeg ser at pengekassen er åben og at der er fri adgang til kontanterne og regnskabet. Nu forlader jeg butikken igen og farer frem med bål og brande i de åbne medier: den butik er sindsyg! De har et uåbnet vindue i baggården, og man kan gå lige ind i butikken og stjæle både penge og personlige oplysninger på alle kunderne.

Nogen gange kan folks velmente forsøg på at "teste sikkerheden" på et website meget vel minde om (5) ...

  • 12
  • 13
Jakub Nielsen

Der kommer med jævne mellem artikler om, at person X vil af årsag Y lige afprøve sikkerheden i system Z. Efterfølgende kan X og folk med harme over at systemer har dårlig sikkerhed selvom de behandler personhenførbare informationer, ikke forstå hvorfor han/hun ikke hyldes som en helt.

Det er en kriminel handling med mindre, at man har en tilladelse af systemejeren.

  • 3
  • 12
Bjarke Jørgensen

(kan nu se der ikke var tale om sql-injection, så om det overhovedet kan kaldes hacking er vist et åbent spørgsmål... jf. Hr. Wildt)

Det kunne være ganske interessant at få et interview med Henrik Høyer selv, og høre hvorfor han ikke gik til f.eks. Datatilsynet med problemet istedet for at råbe forældrene op.

Jeg kan se to mulige svar: systemet er for langsomt/ueffektivt og derfor kunne han ligeså godt tage sagen i egne hænder eller: han blev simpelthen pissehamrende vred over at de kunne være så skødesløse med personfølsomme oplysninger...

  • 9
  • 0
Ulrik Suhr

At give 1 times advarsel før man tager sagen i egen hånd er lidt øv.
Vi har kbhforældre hos os og der er godt nok mange lavt hængende frugter som jeg ved udviklerne er klar over.
Dog håber jeg de retter sikkerheds udfordringerne først.

Dette og mange andre ligende sager stemmer meget overens med min egen holdning til offentlig IT.
Der må komme noget mere opensource på banen så sådanne fejl ikke optræder så tit som det er udtryk i pressen.

  • 1
  • 0
Peter Christiansen

Du har ret i at Henriks spøg med at advare de andre brugere
af systemet nok kan ses som værende lidt grov, men set i lyset
af hvad der ellers kunne være sket hvis Henrik ikke var hurtigt
ude at advare.

Som i sagen med CPR hullet i gynasiet, er den her sag håndteret
totalt forkert pr. mæssig, den kunne være lukket med et interview med
version2 hvor direktøren priser Henriks information om sikkerheds
huller i systemet og i øvrigt opfordrer andre der oplever problemer til
ikke at være blege for at rapportere det.

Men i stedet går infoba i offensiven og spiller tøsefornærmet og tager
den i retten, hvilket ender med at infobas troværdighed går helt i
hegnet.

Når du bliver hacket, vær udmyg og taknemmelig når der er nogen
der ude der gider fortælle dig det, de hører til sjældenhederne.

  • 20
  • 0
Mikkel AB

Problemet med den holdning er at, det efterhånden viser sig at man ikke kan stole på at systemejer tager sit ansvar alvorligt hvis ikke at der er en risiko for at blive afsløret.
Sikkerhed er altid et kompromis mellem udgifter og risici og hvis det er muligt for et firma at ignorere risici, så er det irrationelt for dem ikke at høste den økonomiske gevinst.

I virkelighedens verden er der er også en klar forskel på at teste sikkerhed og lave angreb der reelt skader et site, for ikke at nævne at retsloven og domfældelse også tager formålet ved en handling til overvejelse.

I denne konkrete sag lyder det umiddelbart heller ikke som reel indbrud, men snarere at udviklerne har haft lidt for travlt og dermed ikke få escapet input fra textbokse (som vitterligt er så enormt rudimentært at man krummer tær når man hører at der er tale om et system med personfølsomme oplysninger.)

  • 7
  • 0
Jacob Pind

Det kunne være ganske interessant at få et interview med Henrik Høyer selv, og høre hvorfor han ikke gik til f.eks. Datatilsynet med problemet istedet for at råbe forældrene op.

Dem af os som har prøvet at gå den vej med kontakt til Datatilsynet, og oplevet hvor utilstræklige forståelsen omkring enme er hos dem man får kontakt med der, spilder ikke tiden en anden gang hvis at forsøge at inddrage dem.

De kan først fortag sig noget når person bunden data ligger frit tilgængeligt, ikke blot ved at et system er usikkert så man kan få adgang til den data, de kommer først når lorten står i flammer ikke før.

  • 18
  • 0
Peter Christiansen

så om det overhovedet kan kaldes hacking er vist et åbent spørgsmål

Det er hacking,
men det er den slags problemer med manglende sanitering af input,
man finder på de første 5-10 minutter, inden man dykker længer ned
og finder de mere eksotiske huller.

Man kan bruge XSS til andet end at komme med javascript alert popups,
for eksempel kan man udvide det til at høste brugernes login / kodeord
eller stjæle deres login/auth cookie og derved få adgang til deres konto.

  • 1
  • 3
Dan Storm

Jeg er muligvis lidt fordomsfuld, men jeg har generelt heller ikke meget tillid til det offentliges forståelse af it løsninger eller problematikker.

Hvis Henrik dømmes skyldig i sagen, har vi fået en principiel afgørelse som betyder at virksomheder kan udvikle løsninger til både det offentlige og til private som kan være fyldt med sikkerhedshuller og sårbarheder som de ikke vil blive gjort opmærksom på, udover når et reelt angreb sker og ikke bare en nysgerrig person der faktisk gør opmærksom på et problem.

Som jeg ser det, vil det jo implicit betyde at dansk it sikkerhed vil forværres. Hvis Henrik dømmes skyldig vil jeg i hvert fald ikke turde at prøve lignende af, selvom det måske ville højne det generelle sikkerhedsniveau hvis virksomheden bag blev gjort opmærksom på problematikkerne.

Som borger føler jeg også at min retsbevidsthed bliver krænket, for det vil også implicit betyde at virksomhederne kan overtræde Persondataloven uden at blive opdaget (før det er for sent i hvert fald). Ikke fordi det lader til generelt at have nogle konsekvenser at overtræde Persondataloven, men konceptuelt forekommer det mig problematisk.

Alt i alt, synes jeg ikke det virker lovende for et samfund som bevæger sig tættere og tættere på fuld digitalisering.

  • 13
  • 0
Peter Makholm

Jeg er overbevist om at Henrik Høyer er velmenende og kun har til hensigt at skabe de sikreste rammer for børnene. Men vi bliver altså nød til at snakke lidt om etik, fra selvbestaltede sikkerheds-"konsulenters" side.

For det første betragter jeg på ingen måde 1 time som en realistisk advarsel. Så lad os sige det som det er: Henrik Høyer har udnyttet et sikkerhedshul uden en relevant advarsel. Efter min mening er dette ikke i orden, var der gået et par dage kunne man overveje en proportional eskalering af sagen.

For det andet er der teksten: "jeres nye intranet-løsning er blevet hacket". Det svare lidt til at stå i sikkerhedskontrollen i lufthavnen og mene at det er sjovt at råbe "bombe". Man får måske en god historie ud af det, men man skal forvente at folk tager advarslen seriøst.

Derfor mener jeg at Henrik Høyer muligvis ikke har handlet kriminelt, men ihvertfald ansvarspådragende i forhold til de direkte omkostninger som Inforba og myndighederne har haft på at undersøge påstanden om hacking. Jeg ved ikke lige om der er retspraksis for det, men jeg synes sagtens det kan sidestilles med falsk anklage (find selv en passende paragraf i Straffelovens kapitel 17).

Intet af dette er et forsvar for noget der lader til at være en inkompetent softwareleverandør, men hvis vi ønsker at kunne diskutere fejl åbent og ærligt kræver det at begge sider af diskussionen påtager sig et ansvar for at handle forsvarligt.

  • 30
  • 1
Peter Christiansen

Hej Mikkel,
du får udvikleren til at lyde helt fantastisk kompetent og at
han med vilje har tilladt html tags i input.

Det har han måske, men jeg vil vove at påstå at han ikke har tænkt
alle de komplikationer igennem det kan have, for han har også
åbnet døren for indlejret javascript, var det også tilsigtet?
I think not :D

Men det er hacking, som i at fidle med et system for at få det til
at gøre noget som ikke var tilsigtet fra starten.
(jeg tror at du vil give mig ret i at det ikke var tilsigtet af man kan
få fat på alle brugernes konto oplysninger, ved simpel xss/javascript
injection).

At udviklerne er kriminelt inkompetente er den anden side af sagen.

  • 2
  • 2
Bent Jensen

Men som Infobas reagere, så er der nok også huller når de træder i kraft, også slipper de ikke med et lille rap over fingrene. Har datatilsynes eller andre myndigheder været inde og undersøge Infobas påstande, er de smidt ud eller fravalgt som leverandører ?
Til nu har de små amatør firmaer, som har fået snabelen i de offentlige kasser haft frit spil, men lad os håbe at de nye love samt bøder får ændret på det.

  • 4
  • 1
Torben Jensen

Flere her har skrevet at HTML er direkte tilladt i forms.

Kunne det evt være med vilje (eller delvis med vilje) for at undgå at børnehavepædagoger ringer til support "det jeg paster fra Word ser mærkeligt ud, Wordart og min røde overskrift med kursiv virker ikke, og der kommer bare en masse koder"

Eller noget i den stil.

Er ellers enig i at den burde have været klaret med en flaske vin efter de har set at der reelt ikke er sket noget. Den her slags sager får KUN brugere til at smide fejl på pastebin anonymt i stedet for at rapportere relevante steder.

Håber forskellige IT-chefer som ved lidt om emner stiller passende kritiske spørgsmål til InfoBa

  • 4
  • 0
Bjarke Jørgensen

Tak for dit indspark Jacob

Det du siger her er utrolig vigtigt. For hvis vi ikke har en offentlig, uafhængig instans der tager IT-sikkerhedstrusler alvorligt er vi på spanden. Kan du uddybe lidt med din erfaring med Datatilsynet og kender du andre der har prøvet det? Jeg havde nemlig på fornemmelsen at de tog enhver sikkerhedsrisiko meget alvorligt...

  • 3
  • 0
Mikkel AB

Om noget er hacking er altid en svær diskussion, men det skam ikke uhørt at det kan være kriminelt at være inkompetent i så mange andre brancher.
Hvilket det måske også er i dette tilfælde, men det må vi jo lade retten undersøge.

  • 0
  • 0
Kim Bjørn Tiedemann Blogger

At udnytte et XSS cross site scripting sårbarhed på en webløsning. Men det er nu ret dumt, at gøre det så kort tid efter, at man har anmeldt sikkerhedshullet. En politianmeldelse er dog langt over målet.

I mit barns børnehave har de også Infoba og det er smæk fyldt med fejl - så sikkerhedsfejl er med stor sandsynlighed også en del af løsningen.

Blandt andet returneres yellow screen of death inklusiv stack traces af server side kode, når http requestet ikke er "lovligt" eller ikke kan parses. Det er pæn dårlig stil.

  • 13
  • 0
Simon Justesen

»Hvornår hacker man, og hvornår tager man fat i en lukket dør for at se, om den er låst eller ej? Jeg vil mene, at man godt må tage fat i håndtaget,« afslutter han.

Nej - for at blive i billedsproget:

Han har taget et sæt nøgler, og testet dem af i hoveddøren for at se om han kunne få låsen op. Det lykkedes ham, og han har åbnet døren. Da han så ikke har kunnet finde husejeren i huset, så har han råbt op til alle naboerne om, at døren er åben, og bedt dem give beskeden videre til ejeren af huset.

Selvom modtagerne af beskeden (måske) ikke er ondsindede hackere, så udvider det risikoen for angreb betydeligt, selvom han ikke fortæller direkte, hvor sikkerhedshullet er...

Jeg synes whitehat-hackere er fantastiske, når de gider beskæftige sig frivilligt med test af systemer, men de er sgu nødt til at have tilladelserne på plads - også selvom systemejeren er ærekær og ikke reagerer - der er for meget Vilde Vesten over det andet der...

  • 6
  • 0
Mikkel AB

Ja helt enig, lidt besindighed og tålmodighed ville have klædt ham ganske godt.

Dog skal man heller ikke glemme at han selv har børn i institutionen, hvilket gør at jeg godt kan forstå at han er blevet forskrækket over en så rudimentær fejl (som måske kun er tippen af isbjerget) og nok derfor har handlet overilet.

  • 6
  • 0
Martin Larsen

Som bruger af et system er det vel lidt svært at gennemskue hvad der har været tilsigtet fra starten. Hvis han havde lavet en tekst bold ved at wrappe det i et par html tags, var det så tilsigtet at han skulle kunne gøre det? Og er han hacker? Hvad hvis han havde brugt javascript til at lave teksten bold? Hvad hvis han havde brugt javascript til at indsætte et billede af sin datter/søn? Hvordan kan man gennemskue om det er tilsigtet fra starten? Det er formentligt utallige af systemer hvor det er tilsigtet at du må indtaste HTML/javascript. I hvert fald i et eller andet omfang - så måske er det tilsigtet at man må indsætte en popup? Hvad hvis jeg på twitter skriver en lang tekst og en udvikler har lavet en fejl i valideringen så jeg sår lov til det - er jeg så en hacker når nu twitter har tilsigtet at der kun må laves korte tekster?

Synes Infoba er nogle tåber ikke bare at tage pænt imod den feedback der kommer - selv om den måske er gjort en smule dumt.

  • 6
  • 0
Simon Justesen

Absolut enig, jeg synes dog også, at det er tåbeligt, at sagen overhovedet er endt i retten, det gør mere skade end gavn for systemleverandøren, tror jeg. Ligesom de nok helst ville være foruden eksponeringen her.

  • 4
  • 0
Mikael Ibsen

"Indtil videre lyder anbefalingen fra juraprofessoren, at man aldrig forsøger at undersøge it-systemer for sikkerhedshuller uden at spørge leverandøren om lov først."

Jeg ville gerne se det IT-firma, som sagde "Ja tak" til det.

Den reaktion, man stort set altid ser i den type sager, er - bortset fra passiv fornægtelse - en ordentlig omgang tøsefornærmelse over, at nogen vover at sætte spørgsmålstegn ved IT-firmaets fremragende produkter, kombineret med et frontalangreb på den formastelige, der bilder sig ind at være klogere end firmaets brain-guruer.
Og den slags skal straffes.

Tanken om egen sjusk og ansvarsforflygtigelse ligger i denne fase meget langt væk - indtil fejl og mangler ikke længere kan afvises som ikke-eksisterende.

Så i næste fase er øvelsen så at fjerne fokus fra selve skandalen effektivt, og påpege skader og tab af mastodontiske dimensioner, som man selv har lidt, i håb om at en eller anden juridisk finte vil kriminalisere den slemme opdager af ufuldkommenhederne - samt alle andre end een selv.

Det værste er, at den fatale mangel på IT-viden hos domstolene, der er fremherskende, gør denne strategi realistisk.

At der er behov for en lovgivning, der tydeligt gør sjusk og dårlig beskyttelse af andre menneskers data ansvarspådragende, er vist ikke nogen urimelig konstatering...

  • 14
  • 0
Robert Larsen

Imho burde det være lovligt at teste de systemer, som skal håndtere ens personlige oplysninger (eller ens families), når bare man gør det på en ordentlig måde, og det mener jeg ikke, at Henrik Høyer har gjort i dette tilfælde.

Men softwareleverandørens garantier er sjældent noget værd og de oplyser aldrig, hvilke eksterne sikkerhedseksperter, som har kigget deres skidt efter for fejl, så man må jo gå ud fra, at det ikke er sket.

En leverandør med god stil ville opsætte et testsystem, som folk både kunne bruge til at se, hvordan systemet fungerer, og som man kunne angribe og efterfølgende indrapportere fejl på. Gør man ikke det, bliver man jo nødt til at teste på systemer i produktion.

  • 4
  • 0
Ulrik Suhr

Kommer EU faktisk ikke danske borgere til undsætning på dette punkt?
Jeg læste det lidt ala. hvis i(software leverandør) behandler data skal i fremover sikre at i overholder nogle sikkerheds standarder.
eller kommer EU...

Så tror man skal droppe de danske tilsyn/myndigheder og gå direkte til EU....

  • 2
  • 0
Jacob Pind

jo de tager brud på regler alvorligt, men deres mandat rækker kun til at de kan træde i aktion hvis cpr nr, eller anden følsom data ligger frit tilgænligt, får du kun adgang til data som tlf nr, navn, alder kan de ikke gør noget, eller hvis du skal "hacke" for at få adgang til ting, aka ret i url, pille ved hidden form felt, cookies og den slags "stærk kriminel ting" .

Problemet opstår fordi vi forventer datatilsynet er meget mere end det snævre mandat de er udstyret med, mange har vel den forventning at de kigger på ting som datasparsomhed, om der er tilgængelig data som kunne bruges til phising osv.

Det tættest du kommer på det er misfosted centre for cybersecurity, deres mandat er sikkere staten og dens interesser, den alm borgers intersser rager dem , hvilket selvf er evident med den placering som har givet det under efterretnings tjensten

  • 0
  • 0
Frithiof Andreas Jensen

At der er behov for en lovgivning, der tydeligt gør sjusk og dårlig beskyttelse af andre menneskers data ansvarspådragende, er vist ikke nogen urimelig konstatering...


Så er det jo godt at EU er fremkommet med en sådan. For de leverandører der hidtil har overlevet på værste datatilsynet kan gøre i form af repressalier er et brev med bold+caps kommer en bøde på 4% af omsætningen forhåbentligt som en overraskelse.

Indtil loven træder i kraft må man jo bare i stilhed lække eventuelle 'Sploits på 4chan og Pastebin.

Det er nok også en god ide ikke at opgive noget personfølsomt ud over hvad loven direkte kræver. Det kunne være værd at spørge børnehaven om lovgrundlaget for en eventuel registrering af eens barn i børnehaven, for eksempel.

  • 2
  • 1
Jørn Wildt

Indtil loven træder i kraft må man jo bare i stilhed lække eventuelle 'Sploits på 4chan og Pastebin.

Undskyld, men hvad sørensen skulle det gavne sagen? Vil det på nogen måde gavne dem som er normale brugere af websitet (næh)? Vil det forhindre at sitet bliver hacket (næppe, tværtimod)? Vil det gøre leverandøren opmærksom på problemet (næppe, for hvordan skulle de får det at vide)? Vil det gavne dialogen (næppe)? Vil det forbedre IT-udviklernes image, som nogen der gerne vil hjælpe (næppe)? Så ... hvorfor?

  • 5
  • 0
Povl H. Pedersen

Med den nye EU persondataforordning, så bliver det strafbart at lække persondata. Mener bødesatsen er max 140 mio kr for en kommune. Så der kommer nok snart nogle klausuler i kontrakterne.
Spørgsmålet er så, hvornår bøden falder. Om det som, tidligere bliver sådan, at hvis man skal rette et nummer i URL'en for at tilgå andre data, så anses det som hacking, som man ikke kan forvente at leverandøren kan tage højde for er en anden sag.

  • 3
  • 0
Bjarke Jørgensen

Jeg må indrømme at jeg ikke lige på stående fod kender deres beføjelser, men jeg havde i hvert tilfælde forventet at det var mere end det du giver udtryk for... I en ideel verden ville beføjelserne fra CFCS og Datatilsynet så være byttet om.

Så bekymrede vi os mere for at nogle i et land langt borte kunne kigge med på babycams, snuse i vores mails, lemlæste vores kreditkort osv. istedet for at bruge alle vores sparepenge på et stats-overvågende center der skider i bukserne, over at en med forkert hudfarve smider knaldperler eller råber noget bestemt.

Ang. EU-forordningen: hvis nogle her på Version2.dk er interesserede har jeg en idé til en forretning.

"Vi tilbyder hacking af din konkurrents hjemmesider/databaser, og finder huller. Så indberetter vi dem, og pludselig har de ikke så mange penge. Så kan i komme foran i kapløbet. Det koster kun et par millioner..."

  • 2
  • 0
Henrik Pedersen

Jeg glemmer aldrig dengang jeg som 15 årig fortalte at jeg havde fundet et hul i <offentligt IT system> her inde i en kommentar, og jeg 5 dage efter blev kaldt til samtale på rektors kontor efter et personligt opkald til min mor.

De havde konsulteret "en ven fra politiets IT afdeling", og tjekket op på det hul jeg havde fundet, og de var lettere irriterede over jeg kun var 15 år, kunne jeg godt høre. De var dog interesserede i at høre mere om hvordan jeg fandt det, og det endte med de gerne ville have mig til at lede videre for dem, sagde de i telefonen... 1,5 døgn efter fik jeg en e-mail hvor i der stod at jeg havde indvilliget i aldrig at have set, hørt eller gjort noget, og at jeg skulle holde fingrene væk for altid, for ellers ville der falde brænde ned (oversat fra Jura sprog).

(<offentligt IT system> er i øvrigt ASP og det var en SQL injection, som jeg kun beviste, ikke udnyttede).

Anyway, hvad betyder det så fremover? For ganske nyligt prøvede jeg for sjov at skrive "'" i password feltet til administrationssiden i et meget almindeligt offentligt IT system, som har med CPR og andre personfølsomme oplysninger at gøre.
Det viste sig at siden var sårbar over for SQL injections, på selve loginsiden, som jeg må antage fører ind til det underliggende administrationspanel.
Jeg kiggede lidt videre rundt på siden, på en måde så jeg var sikker på jeg aldrig kunne hives i retten, netop ved at kigge på strukturen af filerne i det system man som bruger anvender (offentligt), og bekræfte at der IKKE bruges eksternt javascript eller iframes, og at tingene er hosted på den her server.

Ved at kigge videre og slå deres DNS server op, fandt jeg deres hostingudbyder, og ved at læse på hostingudbyderens hjemmeside kunne jeg konkludere at det panel der var sårbart, var et login panel til filadministration og database adgang. Ergo må jeg, uden at have overtrådt nogen lov, kunne konkludere at jeg med 99,95% sandsynligt kan få adgang til databasen som indeholder personfølsomme oplysninger, og adgang (og måske ændre i?) kilekoden i det underliggende system. Hvordan personfølsomme oplysninger kan ende hos en så inkompetent host, som i øvrigt må kunne betegnes som "Surftown i en dyrere udgave for folk der ikke ved bedre og kræver rigtige business løsninger af lorte kvalitet", det aner jeg vitterligt ikke, men det er ikke det værste jeg har set i IT branchen, så ok da..

Vi snakker i øvrigt CPR og andre stærkt personfølsomme oplysninger her.

Hvad har jeg tænkt mig at gøre ved den her fejl? Omskrive den så uspecifikt som muligt, og skrive den i den her kommentar så I alle kan upvote mig og grine af det (og nu downvoter I fordi jeg nævnte upvotes haha), og så ellers bare holde kæft, for jeg har godt nok ikke tid til det offentliges, leverandørens eller politiets dumheder om "hacking". De fortjener simpelthen ikke at få fejlen serveret på et sølvfad, for de vil bare skyde budbringeren, og det har jeg ærligt talt hverken tid eller lyst til - jeg er 20 år gammel, arbejder med mit eget IT firma og har et IT startup ved siden af - Det sidste jeg har brug for er en hackersag, defamering i medierne, og et evt. forbud mod at anvende computere. Gud hvor jeg håber de bliver slagtet på det her en dag, men det sker jo aldrig her i Danmark...

  • 25
  • 0
Bjarke Jørgensen

Spændende historie. Kunne være man skulle udveksle information, så det ikke er dig der kommer til at stå i skudlinjen - og samtidig gøre opmærksom på at man ikke selv er ophavsmanden men at vedkommende vil være anonym, netop fordi det offentlige Danmarks tilgang til datasikkerhed er så heksejagt-agtig... Kan sagtens forstå du ikke vil løbe risikoen - og det er det tragiske - at der overhovedet er en risiko ved at råbe "HALLO DIN DØR STÅR ÅBEN". Så får man tæsk fordi de tror man vil stjæle??? Så havde man sku nok ikke sagt noget i første omgang men bare gjort det i stilhed...

Mon man kan blive smidt ud af UNI hvis man havner i sådan en "VI ANMELDER DIG"-sag?

P.s. Ville ønske man kunne upvote flere gange.

  • 4
  • 0
Kenn Nielsen

Til nu har de små amatør firmaer, som har fået snabelen i de offentlige kasser haft frit spil, men lad os håbe at de nye love samt bøder får ændret på det.

Set fra sidelinien virker det ikke som om de store "professionelle"/multinationale amatørfirmaer med deres (større) snabler i de offentlige kasser, er et hak bedre.

For ikke at aflive de små amatørfirmaer, - og derved hjælpe de store amatørfirmaer - bør det være lovligt , og anerkendelsesværdigt, at melde fundne sårbarheder til enten amatørfirmaet og/eller Datatilsynet.

K

  • 1
  • 0
Lars Jensen

Engang for ca. 10 år siden opstod der et behov for at udføre micro-betalinger på internettet. Et af disse firmaer hed Valus. Deres system var så dårligt opsat, at man kunne lægge det ned ved at klikke på et link (med noget inject-kode).

Dengang blev en elektriker dømt for hacking, "bare for at klikke på linket", http://www.computerworld.dk/art/26013/mild-dom-til-valus-hacker-to-frifu... og http://dk.edb.sikkerhed.narkive.com/rcF2AUs2/valus-update7

Jeg ser intet nyt i dagens historie. Ved du noget, så brug det ikke til noget; glem det igen.

Hilsen Lars

  • 5
  • 0
Brian Hansen

Slør dine spor, advar ejeren af systemet og giv dem lidt tid til at fikse det.
Derefter poster du exploitet på reddit / pastebin, og læner dig tilbage.
Det er jo tydeligvis sådan de vil have det :)

Fix jeres slamkode eller se det brænde op!

(ovennævnte er selvfølgelig ikke en opfordring, bare hvad jeg, muligvis, ville have gjort)

  • 7
  • 0
René Nielsen

Som sagen ligger oplyst, så vil det være direkte dumt at henvende systemejeren. Der er jo ikke tale om enkeltstående eksempler på folk som bliver truet med alt muligt, selvom de blot gør opmærksom på fejl i sikkerheden som systemejeren har ansvaret for.

Problemet med advokatløsningen at ”man brænder alt af”, når man først en gang har ”brugt det kort”. Derfor er det sikre valg er at poste exploitet direkte på reddit / pastebin UDEN forudgående advarsel til systemejeren.

Så vil systemejeren før eller siden blive kontaktet af advokater .... præcis som han ønskede det :-)

  • 7
  • 0
Frithiof Andreas Jensen

Så ... hvorfor?


Fordi enhver "rimelighed" vil lede til politianmeldelse, konfiskation af IT-udstyr, muligvis retssag, muligvis personlig konkurs samt muligvis fængsel. Alt sammen over noget som egentligt kun er eens eget problem* og uden nogen chance for selv to flasker rødvin som belønning fordi ingen er interesseret i nogens hjælp og der er ingen dialog.

Hvis man vil være effektiv, må man se verden som den faktisk er, ikke som man ønsker den er og agere derefter.

*) Det er helt 100% sikkert at alle, selv konen og vennerne vil sige: "Jamen, det er jo en website for en børnehave; du er sgu også altid så rethaverisk."

  • 0
  • 0
Peter Jensen

Læren er vel at man skal offentliggøre det uden advarsel.

Folk som ham skal for gud skyld ikke stoppe men slette deres spor og sørger for at det kommer i hænderne på folk der vil udnytte hullet.

Det er vist eneste mulighed for at sikre sig selv og andre imod det.

  • 4
  • 0
Carsten Berggreen

... og havde opdaget disse sikkerhedsbrister som burde være ABC for alle professionelle webudviklere... (du laver ikke SQL opslag med parametre for brugeren, uden at validere en brugers session osv. For h.... vi skriver snart 2016... SUK)

... men var det min søns børnehave eller kommunens intranet, og jeg ikke havde fået svar indenfor f.eks. et døgn eller en uge.. afhængig af hvor kritisk jeg fandt hullet, så ville jeg måske også have smidt en lignende popup ind.

Dog havde jeg valgt en anden ordlyd som f.eks:

"Advarsel: Dette system er piv åbent for hacker. Denne besked er et bevis jeg har indsat for at få leverandøren til at vågne op straks! Hjælp mig med at få dem i tale ved at ringe til Infoba på xxxxxxx og fortæl dem at deres system er usikkert. Undskyld ulejligheden fra en bekymret far."

eller tilsvarende... for at få de andre til at lægge pres på dem. Men jeg ville ALDRIG hævde at jeg havde "hacket systemet" og derved gøre folk utrygge. Det er for martyr agtigt for mig.

  • 0
  • 0
Mikkel Bock

Den dør han tjekker er jo en dør der indeholder hans barns personfølsomme oplysninger, det er vel okay at tjekke om ens bankboks er låst inden man efterlader sine værdier der inden, og hvis man finder ud af ens bank bare lader ens boks stå piv åben, så andre kan komme og tage ens værdier, så har man vel pligt til informerer de andre kunder (bruger) om problemet??

  • 1
  • 1
Henrik Høyer

Der er (imho) en række faktuelle fejl i Infoba's beskrivelse af forløbet, og dermed også mediernes gengivelse.

Jeg er 100% klar over hvad jeg har gjort og hvad jeg IKKE har gjort, og ser derfor frem til at Infoba dokumenterer deres påstande. Denne documentation vil nemlig vise at jeg ikke har hacket systemet, ikke har haft adgang til deres servere eller data og ikke har ændret i noget som helst.

Den famøse eftermiddag i december 2015 så ca. således ud:

Jeg skulle indtaste data om mit barn i Infoma løsningen, og fik en fejl som tydeligt viser at deres system har et sikkerhedshul

Jeg googler mig frem til at andre tidligere har infomeret dem om sikkerhedshuller

Jeg bruger 5-10 minutter på lige at se hvem Infoba er, og om de har styr på de mest basale ting - det har de ikke.

Jeg sender to mails til infoba vedr problemer som ikke allerede er rapporteret af andre

Jeg googler lidt videre på "de grå sider af nettet" og ser at nogen skriver at de har haft adgang til andres data grundet manglende sikkerhed i systemet.

Jeg googler lidt på hvem der har valgt infoba og hvem der er ansvarlige - finder ikke noget klart svar da dette ikke har registreret dette hos datatilsynet (som det ellers skal være).

Jeg bruger Infobas system til at informere børnehaven om at systemet er blevet hacket (som jeg jo kunne konstatere ovenfor).

Har jeg opført mig som en velmenende klovn, tjae jeg har ihvertfald ikke opført mig som en "professional white-hat penetration tester", men jeg har absolut heller ikke opført mig som en hacker eller forsøgt at sabrotere eller ødelægge noget. Jeg har informeret databehandler (Infoma) og dataansvarlige (institutionen).

Skulle jeg have formuleret min besked til institutionen anderledes - ja det skulle jeg helt sikkert - men jeg tænkte "jeg skriver en kort besked, så ringer de helt sikker til mig imorgen tidligt, og så kan jeg forklare"

  • 5
  • 1
Henrik Høyer

men det udstiller også Henrik Høyer som en klovn for nu at sige det på godt dansk fordi han ikke tidligere tog fat i en IT advokat som kunne yde modvægt imod Infobas advokat.


Tjae igen er jo nok bare en naiv borger som sænker at jeg vel lige skal modtage en eller anden form for officiel sigtelse og/eller anklageskrift før jeg begynder at blande advokater ind i sagen...

Men hvis du kender en advokat der gerne vil bruge tid og kræfter på sagen, så er hun velkommen til at ringe. For min skyld kan denne sag sagtens blive principiel og køre videre til højesteret (som Lars Bo Langsted håber) - men jeg orker ikke at trække læsset.

  • 6
  • 0
Hans Schou

Jeg skrev ‘ping’ i stedet, og så at der kom en fejl fra SQL-serveren

Nu kan man hedde alting i USA, men hvis det var så simpelt, at barnet hed Thomas O'Malley og var født i N'Djamena (hovedstaden i Chad), og boede på Christian II's Allé, men for tiden boede på Hotel D’Angleterre, så er man mere kriminel end Roberts mor.

  • 1
  • 0
Rune Jensen

Hvis ' er eneste kriterie for at være kriminel, så bør det vel være leverandøren af softwaren, som er det, fordi han ikke har XMLencoded på output.

Der må ligge noget andet og mere bag end bare at skrive et tegn i en box og så trykke retur, hvis man skal anklage brugeren af softwaren for cracking.

Man kan godt argumentere med intention. Dvs at intentionen fra brugeren er at cracke en side. Det er på sin vis en fair argumentation, hvis man kan se i loggen, at det er tilfældet.
Men den intention kan vel ligesåvel lægges udfra, at leverandøren af softwaren har villet lave noget i en fart og så har sprunget over nødvendige grundlæggende sikkerhedsforskrifter, som alle kender, for at gøre det hurtigere og billigere.

Jeg synes det er svært at forsvare en anklage om "indbrud" i ens software, når softwaren nu er noget lort sikkerhedsmæssigt. Begge burde dømmes så.

  • 0
  • 2
Dan Riis

Måske er det på tider at der bliver kigget på loven om data.
Jeg arbejder i et fritidscenter, og vi er heldigvis sluppet udenom det omtalte system. Det blev vraget fordi det er så mangelfuldt, og fyldt med fejl at vi fik lov til at forestætte med det vi brugte i forvejen.

Men jeg kan ikke lade være med at tænke på dataloven som vi i den grad lider under i det kommunale regi.

Fx må vi ikke fysisk have personfølsomme data liggende på vores arbejdsmaskiner mere end en måned. Så skal de slettes. Ikke engang på kommunens egne server (vores fællesreol) må vi gemme disse data. Nej de skal sgu printes ud - sættes i en mappe og i et aflåst skab (et Ikea skab med lås er fint).
Gunden er at Aalborgs kommunens servere kunne blive hacket! Nej så hellere have det HELE printet ud så der er fri adgang.
Skulle jeg hugge personfølsomt data ville jeg grine så jeg kastede op. Valg: Bryde ind i et kommunalt IT system, eller bryde en dør og og et skab?

Heldigvis har vi så fundet ud af at vores system som vi bruger i stedet for det omtalte her har mulighed for at uploade filer og er godkendt til at opbevare det så vi ikke får problemer, men kommunens egen IT system må vi ikke. Jeg ved ikke med jer, men jeg ville sgu nok være noget mere tryg ved at det lå på en kommunal server fremfor en privat server som bliver kørt af et privat firma.

Det her med at man skyder budbringeren istedet for at klynge firmaet op og give dem ansvar er typisk Danmark. Manden skulle have en flaske rødvin og tak. Istedet får han en retsag på nakken. Det er jo netop pga mennesker som ham at vi kan gøre systemerne mere sikre mod de rigtige banditter.

  • 6
  • 1
Kjeld Flarup Christensen
  • 1
  • 0
Leif Neland

I tilfælde af dataindbrud påtager leverandøren det fulde ansvar.
Leverandøren må ikke politianmelde indtrængende, det skal overlades til en uvildig trediepart at afgøre om indtrængningen skyldes utilstrækkelig sikring/skødesløshed fra leverandørens side, der dermed kan anklages for lemfældig omgang med persondata.

  • 1
  • 1
Ditlev Petersen

Som velmenende borger, der afprøver sikkerheden i et edbsystem, står man altid i en dårlig stilling. Man udfører hacking eller forsøg på hacking. Sker det, fordi man er en velmenende borger, eller under dække af at man er en velmenende borger? Den angrebne systemejer kan formentlig næsten altid vinde sådan en sag, næsten uanset hvor sjusket sikkerheden er lavet. Så det bør man holde sig fra.
Men der burde findes en offentlig myndighed med ret og pligt til løbende at undersøge sikkerheden i livsvigte systemer og systemer med følsomme data. Og med både mandskab og evner inden for alle slags grimme trick. De skal afteste systemer helt udefra og som om de var en almindelig bruger bag de første forsvarsværker. For man kan ikke uden videre gå ud fra, at "onde mennesker" befinder sig i Teheran eller Stockholm. Denne bande/myndighed skal kunne påtale svaghederne over for de ansvarlige, følge op på rettelserne og om nødvendigt køre det videre over for Datatilsynet og domstolene. De skal også rapportere over for Folketinget (offentligt). Og de skal ikke være en del af nogen efterretningstjeneste, der har "en lidt anden dagsorden".
De kunne også være udstyret med en ret og pligt til at hemmeligholde tip fra bekymrede it-folk og "borgere".

Indtil da er der frit slag for De Åbne Ladeportes systemer.

  • 2
  • 0
Pilu Kasper Bech

Evt. i stedt for en dyr og lidt mærkelige offentligt institution der ville havde ressource problemer. Kunne man lave en mindre offentligt vedligehold database hvor folk frivilligt kunne tilmelde sig navn/adresse og alle deres 'test af sikkerhed'. Hvor der skulle være en beskrives med værktøj(er) og tid og mål forud for evt. sikrehed tjek. Samt en beskrivelse af hvem man vil frem sender resultatet til hos ens mål.

Og alle i 'test' denne database ville så være lovlige sikreheds tjek indtil andet var bevist. Mens 'test' uden for denne database... Ja de per definition ville være ulovlige tests.

Alle med danske it-systemer kunne så tjekke denne database i og se om de har modtaget noget information fra dem der angiver dem som mål. Og ville jo så også gøre arbejdet nemt for politiet hvis der er noget fishy omkring deres 'test' af sikkerheden da personen ansvarlig for testen ville stå i databasen.

Evt. en udelukkelse metode af bruger hvis ikke de opfører sig som gode tester af sikkerhed.

  • 0
  • 0
Michael Christensen

Det er rystende, jeg gentager lige, at applikationer kan komme i søen uden at være testet for OWASP top 10 fejl. Det er ganske enkelt uprofessionelt, at et system, der håndterer data om børn, på vegne af en offentlig myndighed ikke er testet. De fejl er ikke rocket science at finde. SQLi og XSS er nogle af de mest banale fejl, og de burde ikke eksistere i en professionelt udviklet applikation. Alligevel, så er det sådanne fejl, der går igen, og igen i hackmageddon.com - siden hvor notable hacks offentliggøres.

  • 0
  • 0
Pilu Kasper Bech

Re: Ditlev Petersen

Jo fordi hvis ikke den har penge, er der ikke nogen der vil gøre sig umage. Da den aldrig vil komme til at teste alle systemer hvis ikke den har penge til dette. Og folk der laver offentlige IT-systemer vil glemme den eksister.

Og du kan være helt sikker på en sådan sikkerheds organisation vil blive fuldstendigt udsultet for midler da der vil være 'stor' politisk interesser for at udsulte denne således at dårlige IT-projekter ikke får problemer.

  • 0
  • 0
Kenn Nielsen

Dette er ikke en opfordring til at begå ulovligheder, men blot en click-bait overskrift, for at perspektivere 'nogens' definition af hacking.

I forlængelse af denne definition,vil jeg blot gøre opmærksom på at EB i dag opfordrer til at hacke Netflix

I den artikel er det jo ikke hacking, men blot en "hemmelig kode"....

K

  • 0
  • 0
Michael Fosgerau

Ifølge infoba's egen hjemmeside har de max styr på sikkerheden;
https://www.infoba.dk/public/pageContent.aspx?id=76

"De fleste af vores webløsninger behandler i større eller mindre omfang personhenførbare data. Ifølge lov om behandling af personoplysninger, er INFOBA databehandler og behandler pr. instruks persondata på vegne af den dataansvarlige. Den dataansvarlige skal sikre sig, at databehandlingen sker i overensstemmelse med den givne instruks og dermed også Sikkerhedsbekendtgørelsen."

Så at man kan indsætte HTML kode i beskeder må være godkendt og sikkerhedstestet meget grundigt.

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize