kramselund jereminsen

Tak til whistleblower Anders Kærgaard

De fleste burde kende hans navn, men hvis ikke så er Anders Kærgaard tidligere efterretningsofficer i Irak i 2004 og derefter blev han vaskeægte whistleblower.

Anders er en mand jeg ser op til, respekterer og til hver en tid gerne vil hjælpe så godt jeg kan!

Idag er nyheden så

Anders Kærgaard betalte en høj pris for at holde Forsvaret ansvarlig for overgreb i Irak, og for det modtager han i dag Menneskerettighedsprisen.

http://www.menneskeret.dk/nyheder/prisen-staa-frem-sige-sandheden-urimel...

Tillykke Anders! Fuldt fortjent, men aligevel trist at det er nødvendigt. Det burde have været Dronningen der gav en orden for ordentlig opførsel.

Når så ovenstående har lagt sig, så arbejder Anders og de andre i whistleblowerorganisationen Veron videre!

Jeg har haft fornøjelsen at være med rundt på DMJX, RUC og andre steder hvor der har været afholdt kombineret whistleblowerdag og cryptoparties for journalister. Det har været en stor succes, og et af resultaterne er Cryptoguiden - jeg købte selv 5 eksemplarer til releasefesten. Hvis du skulle blive inspireret kan du også planlægge og afholde dit eget - husk at annoncere på cryptoparty.dk.

... men der er brug for hjælp, så kom nu! Læk nu de data der viser hvor Danmark har problemer

Du der arbejder med IT i Danmark som kender problemerne, som ved hvor de personfølsomme data sjofles med, frem i lyset med det! Det er blandt andet IT-folk som ved hvor skoen trykker, og hvor der ikke er god nok sikkerhed!

Blandt andet glæder jeg mig til at vi får lækket hele CPR databasen på en pastebin/torrent - fordi den allerede ligger SÅ MANGE FUCKING STEDER at en enhver tro på at folk der oplyser et CPR nr er de rigtige er omsonst og tåbeligt.

Opfordring til mere transparens - læk informationerne

Hvilke andre ting kunne man lække?

Ja, personligt kunne jeg godt tænke mig at vide præcis hvad CSC egentlig drifter for politiet ... det lader jo til at det ser skidt ud. Vi har også henover året fået diverse rappporter fra rigsrevisionen, og andre sager vi kan nævne i flæng:

Rejsekortet - fadæsen der bliver ved med at give

http://www.version2.dk/artikel/skarp-kritik-af-rejsekort-og-trafikminist... - kunne være fint med detaljer indefra ministerier, samarbejdspartnere. Jeg tror det er langt værre med rejsekortet end vi ved!

Sikkerhed i staten

Kan vi forbedre sikkerheden ved at lække detaljer om hvor slemt det er?

http://www.version2.dk/artikel/dumpekarakter-fra-rigsrevisionen-til-erhv... - hmm sikkerheden er dårlig, men hvad blev så besluttet? Er der iværksat en effektiv strategi og plan for sikkerheden, eller kun snik-snak-jeres-sikkerhed-er-vigtig? Google fandt forøvrigt denne tilbage fra 2014 http://www.version2.dk/artikel/it-sikkerheden-hos-8-statslige-myndighede... ... business as usual ...

Sikkerhed i kommunerne

Der skæres overalt i alt med alt, færre resourcer har aldrig gjort noget godt for IT-sikkerheden. Kan vi lække information om dårlig sikkerhed, og derved tvinge en gentækning af IT-sikkerheden - og specielt om det ER NØDVENDIGT at opbevare og behandle alle de data? Hint: skær ned på data I opsamler, gemmer, lagrer i backups, skal administrere, rettighedsstyre, slette osv.

http://www.version2.dk/artikel/center-cybersikkerhed-danmarks-it-sikkerh... er kommunerne istand til at beskytte vore data? Dette er specielt interessant, når vi hele tiden efter valghandlingerne igen og igen hører "eValg, eValg, eValg"

Sikker kommunikation

Telefonselskaberne - hvilke telefonselskaber har CPR data (alle), hvilke forsikringsselskaber har god sikkerhed, hvilket telefonselskab i Danmark har hackere inde med uautoriseret adgang, ref Belgacom skandalen, tror I danske billigselskaber har bedre IT-sikkerhed end Belgacom? Når teleselskaberne allerede HAR GPS oplysningerne på os, og forsikringsselskaberne gerne vil i den retning med overvågning af kørsel - er det så ikke rimeligt med lidt transparens den anden vej?

Mon ikke også snart der kommer nyt fra Karsten Nohl med status på hacking af GSM, SS7, og telefonsystemerne globalt, det er den tid på året ;-)

Tør du give dit fingeraftryk til CSC

2015 var året hvor CSC fik mit fingeraftryk, helt officielt, fordi jeg er bloddonor ... øv, men valgte aligevel at give dem det. Er jeg tryg ved at bloddonorkorpset gemmer så følsomme oplysninger, og bruger hvad der ligner den samme Telnet applikation som det har været i hmmm +10-15 år? læk nogle data om man har overvejet at skifte! og hvorfor man ikke har forbedret sikkerheden. Når den nuværende app har levet så mange år, så burde en ny og bedre app vel kunne leve lige så længe, og derfor giver det mening at opdatere den!

NB: Jeg har stor tiltro til lægerne, sygeplejerskerne - nok til at de må stikke mig i armen - men jeg er ærlig talt bekymret når vores patientdata flyder som de gør ... og det medicinske personale kan ikke gennemskue dårlig IT-sikkerhed i sundhedsvæsenet. Bemærk også at sundhedsvæsenet er skåret ind til benet, og derfor ER der formentlig færre resourcer til IT-sikkerhed. Giver det nogle løsninger som ikke er gode nok, formentlig. Lad os få lys på det!

Full-Disclosure jeg arbejder nu selv med patientdata selv, og vi går til ekstremer for at sikre data! Vi arbejder pt. i Norge pasientsky.no - og jeg skal love for de går til stålet i Norge mht. beskyttelse af sundhedsdata - godt!

Kan ske jeg opdaterer med flere ting til "ønskelisten" :-)

Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Anne-Marie Krogsbøll

Kommentar på "Bevar tavshedspligten"'s facebookside 4. dec. 15.10, vedr. Etisk Råds udtalelse om sundhedsdata: " Vibeke E Nielsen B Noé - du forstår vist ikke helt..... (er du selv indblandet i forskning eller ikke fulgt med i dansk historie). Det handler ikke om paranioa, - det handler om ikke at ødelægge læge patient forholdet. Jeg kender flere patienter der fortæller mig at de ikke vil fortælle lægen om "dit og dat" fordi de ved en eller anden myndighed vil kunne kikke med i journalen. Jeg kender flere sager om at journalindformationerne ligger og flyder mellem pc i firmaer hvor de slet ikke bør flyde. "

https://www.facebook.com/BevarTavshedspligten/

Her bliver jeg da nysgerrig efter at få at vide, hvilke firmaer, der er tale om, men da jeg ikke i min åndelige udvikling er nået til at blive Facebook-bruger, kan jeg ikke kommentere det der.

  • 3
  • 0
#2 Peter Christiansen

Mig bekendt bruger de telnet tn3270 protokollen men det er over TLS så vidt jeg ved. Det kan godt være at det er oldschool, men det er noget hurtigere end http hvor man skal etablere en forbindelse hver gang man laver en forespørgsel.

  • 3
  • 0
#3 Frithiof Andreas Jensen

Finansiel Stabilitet A/S - Det ville väre rart med alle "investeringerne" på pastebin så man kunne få en informeret debat om det vise i ikke at lade "Markedet" löse dette problem også.

SKAT.dk - Svindelaffären med refusion af aktieudbytter er da interessant i lyset af at vi skal spare, spare & altid spare og den noget påfaldende tavshed over hele det politiske spektrum om den sag.

IC4 - Nuff. Said.

Irak Krigen - Når man nu ikke kan lave egenkontrol.

Libyen - Hvad fanden var ideen med det?

Pensionskasserne - Man kan ikke se transaktionerne på den fonds-opsparing som vi alle efterhånden tvinges til at have, når pensionsopsparerne ikke ved hvad der köbes og sälges til eller hvornår såeh ... får man nok ikke den bedste pris.

Pensionskasserne - Findes pengene, eller tabte man faktisk hele butikken på gulvet i 2008? Hvis man gjorde, forklarer det hvorfor opsparingsordningerne absolut skulle laves om til en forsikring - hvorved man skubber regningen frem i tiden (en forsikring betales jo a kunderne på det tidspunkt den udbetales, en opsparing har kun de penge den har "på kontoen").

  • 3
  • 0
#5 ab ab

Der skal også lyde en stor tak til Anders Kærgaard herfra.

Mig bekendt bruger de telnet tn3270 protokollen men det er over TLS så vidt jeg ved.

Så længe de ikke bruger NULL (eller RC4) som cipher...

Jeg sendte i øvrigt nedenstående åbne brev til Rigshospitalets Blodbank i september 2012, da de indførte obligatorisk fingeraftryks-scanning i forbindelse med bloddonation:

Jeg har haft det store privilegium at være bloddonor gennem et årti og kunne i juni aflevere min 42. portion blod. Det har været en kilde til stor glæde at vide, at jeg på denne måde har kunnet hjælpe andre og videreføre min bedstefars familietradition.

Desværre bliver jeg fra september nødt til at melde mig ud af donorkorpset, fordi min blodbank på Rigshospitalet indfører et nyt system, der kræver, at alle donorer skal lade sig registrere med fingeraftryk for at bevise, hvem de er.

Jeg ser med stor skepsis på den omsiggribende, unødvendige registrering af dybt personlige oplysninger om os i centrale registre. Faren for misbrug bliver ikke mindre i disse tider, hvor man nærmest hver dag hører om, at en database er blevet hacket og e-mails og passwords lækket. Det er nemt nok at få et nyt password, men man kan aldrig få et nyt fingeraftryk, hvis det først er blevet lækket fra Blodbankens database.

Rigshospitalets insisteren på, at man som donor skal afgive et fingeraftryk "af hensyn til patientsikkerheden" udtrykker en grundlæggende mistillid til os som donorer. Hvis det alene handlede om at undgå forveksling eller misbrug af stjålne sygesikringskort, ville det være nok at give os en hemmelig kode, som kun vi donorer kender til. Når Rigshospitalet insisterer på at kræve vores fingeraftryk, må det være fordi, de nærer mistanke om, at vi donorer kunne finde på at misbruge systemet og sende en anden person i vores sted. Det er sørgeligt, at man skal møde den mistillid fra et system, som man har været en del af i et årti.

Jeg har intet imod at afgive følsomme oplysninger til Blodbanken, når der er en rimelig grund til, at de skal bruge dem. For eksempel kender Blodbanken mine DNA- og vævsprofiler, fordi de har brug for at opbevare blod og foretage typebestemmelser. Men der er ingen rimelig grund til, at de også skal have mine fingeraftryk ud over, at de har mistanke om, at jeg vil føre dem bag lyset.

Jeg er ked af, at det skal gå ud over patienter og personale ved Blodbanken, men jeg bliver nødt til at markere med min udmelding af systemet, at Rigshospitalet bør udvise større omtanke ved beslutninger om hvilke følsomme oplysninger, de vil afkræve af deres patienter. Risikoen for misbrug af oplysningerne og den grundlæggende mistillid til donorkorpset, som beslutningen udtrykker, er for mig nok til, at jeg ikke vil være en del af systemet længere.

Tak til personalet for den gode behandling gennem årene. Jeg håber, at vi ses igen.

  • 9
  • 0
#6 Anders Lind

Marie Sandström har kopieret fingeraftryk omkring 2004: http://ing.dk/artikel/ingenior-kopierer-fingeraftryk-59310

Kriminalteknik Hun begyndte med at sikre et aftryk på samme måde som kriminalteknikere i retssager. Med et digitalt kamera tog hun et billede af aftrykket, som hun efter billedbehandling i computeren fremkaldte som et negativ.

Med UV-lys eksponerede hun billedet over på en lysfølsom kobberovertrukken printplade. Efter fremkaldelse ætsede hun dernæst kortet til en passende tykkelse, så det blev til en tynd støbeform.

Heri kom hun et fint lag gelantine. Og vupti. Et styk perfekt fingeraftryk lige til at komme på fingerspidsen.

Gelantine valgte hun, da det kan opnå næsten samme fugtighed som en rigtig finerspids, og desuden leder materialet varme og elektricitet, stort set som rigtig hud ville gøre det.

Ifølge Marie Sandström blev udstillerne temmeligt overraskede, da hun troppede op på messen med fingeraftrykkene, deres rigtige ejermænd og brød ind i deres sikkerhedssystemer:

»Men jeg blev da tilbudt et job,« siger den nybagte ingeniør.

Eksempel: https://events.ccc.de/congress/2006/Fahrplan/attachments/1210-congress06...

Maries eksamensarbejde: https://intranet.dcc.ufba.br/pastas/gaudi/biometrica/papers/id/perfilino...

  • 3
  • 0
#7 Henrik Kramselund Jereminsen Blogger

Der var workshop omkring dette emne på CCC Summer Camp i August :-) Det er ret snildt. Det er blandt andet derfor jeg ikke er så bange for at CSC har mit, og derfor jeg ikke bruger fingeraftryk andre steder.

eller printede en politikers fingeraftryk et sted ... http://arstechnica.com/security/2014/12/politicians-fingerprint-reproduc...

  • 0
  • 0
#8 Rune Jensen

Så deres krav om fingeraftryk bunder i frygt for snyd med hvem personen er?

Hvilke andre registre ryger de fingeraftryk i?

Har PET adgang til dem?

Politiet?

Hvor lang tid opbevares de registre?

Kan man selv evt. ved personlig fremmøde, få dem totalt slettet?

Og i så fald, hvad er ens egen sikkerhed for, de er blevet totalt slettet?

Nah. Der røg den tanke om at blive bloddonor. Ellers tak, du. Det må blive andre, som gør det.

  • 1
  • 0
#9 Henrik Kramselund Jereminsen Blogger

Nah. Der røg den tanke om at blive bloddonor. Ellers tak, du. Det må blive andre, som gør det.

Der er så mange andre måder at få dit fingeraftryk på, er ihvertfald mit ræsonnement, at jeg har valgt fortsat at være donor. Faktisk vil jeg kraftigt opfordre alle herinde til at overveje det.

Normalt tager det mindre end 30min at blive tappet, og man kan idag bestille tid. Så det foregår ved at man lige trækkes hen til en læge, tilbage til ventestolen, hen på briksen, tapper blodet, vupti - op igen og den bedste følelse i verden!

og mht at bruge fingeraftryk som adgangskode ... det kan sjældent anbefales, medmindre det er et sted hvor der er vagter i nærheden.

  • 2
  • 0
#10 Anne-Marie Krogsbøll

Det lyder mærkeligt, at man skulle have behov for at fingeraftryksidentificere bloddonere - jeg er lidt målløs.

Hvilke grunde skulle man have til at "snyde" med bloddonering? Jeg forstår det ikke - det er nok mangel på fantasi fra min side.

Det eneste, jeg har fantasi til, er, at det kunne være en spareforanstaltning, fordi man måske derved kan bortspare at skulle teste blodet hver gang?

Og som ekstra bonus måske anvende fingeraftrykkene til andre formål, eks. forskning? Men det kunne de vel så forklare?

Jeg kan ikke finde nogen forklaring på RH's hjemmeside, og det er da lidt mærkeligt, synes jeg. Det nævnes blot, at fingeraftrykkene tages.

Hvis det er ren identifikation, kunne man vel bede om billedlegitimation?

https://givblod.dk/bliv-donor/forste-gang/ https://givblod.dk/wp-content/uploads/2015/11/BLOD-oplysning-om-blodtapn... https://givblod.dk/wp-content/uploads/2014/03/Bloddonorer-aids-og-leverb...

  • 0
  • 0
#11 ab ab

Det eneste, jeg har fantasi til, er, at det kunne være en spareforanstaltning, fordi man måske derved kan bortspare at skulle teste blodet hver gang?

Du har ret i, at det er en besparelsesdrevet foranstaltning, som sparer den lægesekretær bort, der ellers skulle have taget imod en underskreven erklæring om, at man ikke har udvist risikobetonet adfærd siden sidste tapning.

Peter Makholm tog problemstillingen op i et blogindlæg på Version2 i oktober 2013, men undlod desværre fuldstændigt ved den lejlighed at forholde sig til muligheden for, at donorerne kunne udstyres med en pin-kode i stedet for at skulle afgive fingeraftryk: http://www.version2.dk/blog/fingeraftryk-er-identitet-54272

Blodbanken ved godt, at de er på et vildspor ved at udvise den mistillid over for donorerne, at de ikke vil give dem en pin-kode men forlanger et fingeraftryk. Derfor ser de sig nødsaget til at ledsage annonceringer af den mobile blodbanks besøg på arbejdspladser med følgende propagandatekst for fingeraftrykkets velsignelser:

Den Mobile Blodbank identificerer donorer ved hjælp af fingeraftryk. Det betyder, at man skal medbringe gyldig legitimation, når fingeraftrykket oprettes.

Fingeraftrykket handler om sikkerhed for patienterne. Fingeraftrykket kan ikke bruges af Politiet, myndighederne eller andre. Fingeraftrykket er en nem, hurtig og sikker identitetskontrol. Fingeraftrykket sikrer, at ingen anden end dig har givet blodet. Blodbanken kender dig som bloddonor, og vi ved at dit blod er egnet og livredende for patienterne. Blodbanken vil være 100 % sikker på, at blodet kommer fra dig. Fingeraftrykket rummer ingen anden information - i modsætning til en enkelt dråbe blod, der rummer hele personens arvemasse (DNA)!! Hjælp blodbanken - vær positiv, tryg og glad for fingeraftrykket - det er det bedste for patienterne!

Kilde: http://www.cbs.dk/cbs-event-da/1867/mobile-blodbank-tilbage-paa-cbs

Det tilbageværende spørgsmål, som propaganda-teksten ikke besvarer lyder således: Hvorfor kunne I ikke bare give mig som donor en pin-kode, så jeg kunne bevise, at det var mig, der dukkede op? Er det måske fordi, I heller ikke har tillid til mig som donor?

Det er karakteristisk, at fingeraftrykket kun bruges af offentlige myndigheder i en sammenhæng, hvor man har mistillid til intentionerne fra den borger, der afkræves det. Her tænker jeg eksempelvis på jobcentre, der kræver, at man som ledig møder op på jobcentret og erklærer sig aktiv ved at 'stemple ind' ved at give sit fingeraftryk og ikke kan snyde ved at lade andre 'stemple ind' for en.

  • 0
  • 0
#12 Anne-Marie Krogsbøll

Kristoffer Olsen:

Tak for uddybningen - jeg bliver mere og mere desillusioneret og bekymret. Er vi virkeligt derhenne, hvor det offentlige tillader sig at bede om fingeraftryk af bloddonorer pga. sparehensyn? Ufatteligt.

Har man nogen sinde været ude for, at bloddonorer har snydt med deres identitet i Danmark, hvor man ikke bliver betalt for at donere blod?

Jeg har ikke kunnet finde omtale af, hvordan man i øvrigt anvender disse fingeraftryk på RH. Anvender man dem KUN til identifikation, eller bruger man dem også til forskning?

Kan IBM's Dr. Watson Health som Novo netop har anskaffet, også håndtere fingeraftryk?

Og at man skal afgive fingeraftryk til jobcenteret - tænk at der ikke har været større ramaskrig. Eller er det bare gået hen over hovedet på mig?

Hvordan håndteres disse fingeraftryk rent privatlivsmæssigt? Har man indført dem på et tidspunkt, hvor der ikke for alvor var opmærksomhed på problemet med samkøring af sundhedsdata, eller har man netop tænkt dem ind i en sådan sammenhæng med fuldt overlæg?

Hvis jeg orkede det, ville jeg begynde at bore i dette - bede om aktindsigt i RH's beslutningsreferater m.m. omkring dette. Men det er jo efterhånden endeløst at forsøge at følge op på den slags. Det er kun toppen af isbjerget, der "udbores" i offentligheden.

  • 0
  • 0
Log ind eller Opret konto for at kommentere