Martin Nielsen

Aktivister havde tre muligheder for at validere cpr-numre via Tinglysningen

Det undre mig, at der ikke er captcha efter første fejl.

Captcha er selvfølgelig ikke 100% fejlfrit og det vil fortsat være nemt for et menneske at fortsætte søgningen på et CPR. Men det ville lukke for den licensfinancerede "Find CPR" (http://findcpr.radio24syv.dk) og lignende scripts der udnytter Tinglysningen.

Dernæst burde der være en "låseperiode", hvor det efter et vist antal fejl, vil blive låst for søgninger på fødselsdatoen fra IP-adressen. Dette vil kunne ramme tilfældige, eks. hvis man deler IP-adresse med mange andre, men da Tinglysningen ikke er et system vi ofte skår op i, burde det ikke blive et problem.

16. juli 2014 kl. 13:52
18-årig afslører gymnasieelevers CPR-numre

Jeg ved ikke hvor du har det fra...
Jeg bruger ikke mit CPR nummer når jeg bruger NemID.
Du kan nemlig sætte et SELVVALGT brugernavn.

Jeg er klar over at man selv kan bestemme sit brugernavn, men som udgangspunkt er det ens CPR-nummer. Man skal altså selv gå ind og aktivt ændre det til noget andet.

Jeg skal ikke kunne sige om proceduren er ændret siden jeg oprettede NemID og om man bliver bedt om at lave et brugernavn. I så fald burde der være en regel der sikre, at det ikke er folks CPR-nummer.

8. juli 2014 kl. 09:31
18-årig afslører gymnasieelevers CPR-numre

Med NemID har staten vist vejen. Folk skal bruge deres CPR-nummer som brugernavn.

Det undre mig derfor ikke, at andre også bruger CPR-numre som brugernavn.

Men det er sjovt som alle vasker hænder, når korthuset begynder at vælte. Der er snart ikke den politiker, der ikke har været ude og kritisere måden som CPR-nummeret bruges på - men deres egen løsning viser ikke vejen til god it-politik.

7. juli 2014 kl. 14:29
Webscanner skal sikre mod kommunale læk af cpr-numre

.. fanger jo heller ikke nødvendigvis alle sider.</p>
<p>Eksempelvis kan sider være aktivt genereret ud fra brugeraktion - og hvis det er sådan en side der returner noget "hemmeligt", så vil det stadig kunne ske.

Det er også min tanke.

Et sytem der skal opfange CPR-numre, skal kunne tilgå dokumenter på serverne (bagom web-interfaced) og skal kunne genkende tekst. Hvis systemet kun ser på overfladen, vil det ikke opdage mere end de mennesker der bruger hjemmesiden.

Der er faktisk lidt rystende, at de tror at dette er nok. Men der går nok 6 måneder til 7 år, før evt. huller bliver offentligt kendte - i den tid har smarte folk haft længe til at udnytte evt. huller i systemerne.

23. juni 2014 kl. 04:52
Version2 ramt af spam-bølge

Nu skal jeg indrømme, at jeg ikke driver et medie med flere tusinde besøgende.

Min eget anti-spam system er helt simpelt. Jeg har lagt nogle fælder ud, som robotterne ofte leder efter. Fælderne kan være /phpMyAdmin/ eller /wp-admin/ og andre kendte adresse, på systemer jeg ikke bruger. Hvis man går ind på en af de adresser, bliver ens IP-adresse blokeret med det samme og man vil ikke kunne se andet på domænenavnet, i 24 timer. På den måde undgår man at robotterne snuser videre på ens hjemmeside.

Da jeg en overgang drev et forum med nogle hundrede brugere, havde jeg en positiv-liste på admin-området og hvis man havde en anden IP-adresse, blev man blokeret med det samme. Det stoppede for spam på forummet - også den spam, hvor der er mennesker bag, som opretter indlæg.

Min egen vurdering er, at disse spammere så godt som altid sender robotter i forvejen. Nogle gange kan robotterne klarer spammen og andre gange er det rigtige mennesker som opretter profiler og indlæg. Og det som robotterne har til fælles er, at de leder efter systemer - og det er her man skal udelukke dem.

Man kan lave et sikkert system, men hvis der sendes mennesker ind, kan de godt regne systemet ud. Derfor skal man undgå at blive opdaget af robotterne i første omgang.

16. juni 2014 kl. 23:50
Mere konkurrence på Yousees kabel-tv er på vej

Ja, vi taler et filter til ganske små penge - og da en teknikker ofte skal ud på adressen for at åbne, vil det ikke ændre på synderligt prisen. Mit gæt vil være at det ville kunne koste 250 kr. i gebyr. En teknikker ville i gennemsnit kunne nå to husstande i timen og dermed tjene 500 kr. i timen, som der så skal betales moms af, så er der 400 kr. tilbage, hvor de 300 sikkert går til hans løn og de sidste 100 kr. til administration og to nye filtre.

28. maj 2014 kl. 17:30
Borgmester downloadede 3,2 gigabyte mobildata i Tyrkiet og godkendte amok-regning

Jeg tror der er meget mere i denne sag. Hvis vi holder os til hovedsagen, har Odense Kommune lagt sag an, for at få 9,5 millioner tilbage fra TDC, som TDC angiveligt har overtakseret i henhold til aftalerne. Her formoder jeg at der er tale om en SKI-aftale.

Når man regler på tallene, tyder det på at Odense Kommune er blevet opkrævet ca. 90 kr. pr. MB data. Derfor tror jeg at der mangler rabat i henhold til SKI-aftalen.

Det skulle derfor ikke undre mig, om beløbet vil blive sat betydeligt ned, når sagen bliver afgjort.

For mig virker det også en smule Se og Hør agtigt at gå efter en enkeltperson (eller hoppe med på bølgen af medier, der går Se og Hør vejen). Som jeg forstår det, er denne regning en del af det krav som Odense har sat mod TDC, derfor vil jeg formode at regningen er højere end den burde være. Dermed ikke sagt at forbruget ikke er 3,20 GB data, men nærmere at de måske kun skulle betale eks. 20 kr. pr. MB data.

Jeg har ingen ide om hvad roamingprisen er ifølge SKI-aftalen. Den burde dog på ingen måde være i nærheden af samme pris som privatkunder. Da jeg sidste år var på Grønland, var der en større erhvervskunde med på rejsen, han betalte kun 5 kr. pr. MB data, hvor prisen for andre TDC kunder er 20 kr. pr. MB data. Derfor tvivler jeg meget på, at SKI aftalen skulle være så dårlig, at de skal betale 90 kr. pr. MB data i Tyrkiet.

21. maj 2014 kl. 22:54
Dansk EU-parlamentsmedlem vil have slettet falsk kønsskiftehistorie fra Google

Er Britta Thomsen utilfreds med at Google foreslår "britta thomsen er en mand"? Eller er hun utilfreds med de danske medier, som har bragt en sjov historie på baggrund af en tv-værts udtagelser?

Så vidt jeg ved tilbyder alle danske medier at få fjernet artikler fra søgemaskiner. Man skal blot kontakte dem, med en god grund og så vil de straks blokere søgemaskinerne for at indeksere siden via meta-tags.

Ved at kontakte medierne vil man blive udelukket fra alle søgemaskiner og ikke blot Google. Det vil derfor være effektivt frem i tiden, også når der kommer nye søgemaskiner.

Alt andet lige, vil det være nemmere at finde artikler via Google, end et vil være at finde nye søgemaskiner, som fortsat vil have resultaterne.

... ikke mindst set i lyset af at Britta Thomsen, skal finde alle adresser og anmelde dem til Google. Hvorfor så ikke anmelde direkte til medierne og på den måde håndtere problemet.

Var det udenlandske medier ville historien være en anden, da det kan være svært at komme i kontakt med nogle medier. Men når jeg Googler ser det kun ud til at være et problem på dansk - og så ville det være nemmere at bede de danske medier om at udelukke artiklerne.

I programmet "Selvoptaget" på DR3, kunne det lade sig gøre for en semikendt, at få fjernet sexscener fra Paradise Hotel, blot ved at kontakte Ekstra Bladet og bede dem om at fjerne det. Ekstra Bladet ville ikke slette artiklen, men valgte i stedet at udelukke den fra søgemaskinerne. Så det skulle undre mig meget, hvis det samme ikke ville være muligt for Britta Thomsen.

Mit eget gæt er at hun er utilfreds med det første... og blot ikke har fuldt med i debatten, hvor det for længe siden er slået fast af en tysk domsstol, at Google ikke uhæmmet må give søgeforslag videre.

16. maj 2014 kl. 03:12
Nets advaret om sikkerhedsbrist i 2007

Måske var det meget godt for sælgerne, at de kom af med skuden inden nogen udefra opdagede, at den var fuld af huller.

Salget er ikke gennemført endnu, men forventes afsluttet inden udgangen af dette kvartal.

14. maj 2014 kl. 14:24
Se og Hørs tys-tys-kilde havde adgang til NemID-database

Problemet i denne konkrete sag er vel, at en sådan log normal kun vil logge når der tilgås data via APIer (f.eks. fra en callcenter), og vil normalt ikke være knyttet direkte til database loggen, som jo muligvis vil være den eneste log et direkte database kald vil være gemt i.

Men når man bruger NemID koden, vil det blive logget ;)

Øh måske forstår jeg ikke hvad du spørger om, men der er en meget fin facilitet inde på nemid.nu de kalder Hæøndelseslog, hvor du kan se alt hvad der er sket hvis du bruger det detaljerede view.

Ja, det var noget i den stil jeg ønskede. Den kunne dog godt være mere detaljeret - men det er et godt skridt på vejen. IP-adressen er lidt utilregnelig, da den kan skifte - derfor vil det være godt med browserinformation og så videre, da man selv har styr på hvornår den ændre sig.

Og hvis jeg hos Google logger på fra en anden lokation, indenfor en tidsramme hvor jeg ikke kan nå at rejse den distance, så går Google "amok" og låser mig ude. Gør NemID også det?

12. maj 2014 kl. 13:44
Se og Hørs tys-tys-kilde havde adgang til NemID-database

Kommercielle tjenester som Gmail tilbyder en log, så man nemt kan se om der er sket misbrug. Man skal blot logge ind på Gmail og klikke "Detaljer" (nederst til højre). Så man kan se detaljer om hvilke måder tjenesten er blevet brugt på. Jeg kan både se IP adresser samt klienter, der har tilgået Gmail data. På den måde er det nemt at se om det kun er mig selv der logger ind - eller om der skulle være nogle, der brugte mit log ind til at snuse i mine data.

Jeg har længe undret mig over, hvor jeg finder noget lignende for NemID - så jeg kan se om andre har brugt mine koder.

12. maj 2014 kl. 11:09
Tror du på julemanden .. og din backup?

Selv bruger jeg Jottacloud til live-backup, så filer løbende bliver gemt på en ekstern server. Her er der også backup af filer, som jeg ikke tager backup af lokalt, da de ikke er vigtige. Eks. tager jeg backup af mit media center (tv-optagelser og musik).

Med jævne mellemrum, ca. en gang om ugen, gemmer jeg så en lokal kopi på en harddisk. Denne backup er af min bærbare computer og indeholde de vigtigste filer.

Til dato har jeg blot brugt min online backup, til at genskabe filerne, da det er nemmere end at bruge harddisken.

Efter IBM/Nets-skandalen er jeg dog begyndt at overveje om online backup er sikkert nok. Men indtil videre har jeg valgt at stole på at Jottacloud er sikkert og troværdigt.

12. maj 2014 kl. 06:23
Myndighed irettesætter Snapchat: Kan ikke garantere privatliv

Snapchats bliver i et væk lækket på Instagram og Tumblr. Og det handler ikke så meget om at kompromitere sikkerheden, da den ikke findes. Havde der været sikkerhed i form af kryptering, havde historien være en anden. Men sikkerheden er så lav, at alt kan lade sig gøre.

10. maj 2014 kl. 09:10
Venstre: Datatilsynet skal stressteste it-leverandørers beskyttelse af personfølsomme data

Hvorfor ikke vende det hele på hovedet og give borgerne adgang til at se en log, der viser hvem der har kigget i ens data.

  • Hver gang man logger ind med sit NemID, vil det blive logget
  • Hver gang der kigges i ens patientjournal, vil det blive logget
  • Hver gang der bliver kigget i ens data hos Nets, vil det blive logget
  • Hver gang der bliver kigget i ens skattemappe, vil det blive logget
  • Hver gang der bliver kigget på ens straffeattest, vil det blive logget
  • Og så videre

Ganske simpelt vil det være en log for borgerne, hvor de kan se hvem og hvornår der bliver kigget i ens data. Hvis borgerne havde haft indsigt, ville kendte og andre hurtigt kunne se, når der var lige lovligt meget aktivitet på deres profiler i det offentlige og hos udvalgte private virksomheder.

Jeg er klar over at det aldrig ville have afsløret IBM-manden, men det vil afslører nysgerrige ansatte, der snuser i private personers data.

Og jeg kan ikke se, at de skulle have noget at skjule. Ringer jeg til Nets for at melde mit kreditkort stjålet og taler med Louise, så kan jeg efterfølgende se i loggen, at jeg har talt med "Louise (0956)". Men har jeg ikke haft ringet til Nets og har "Louise (0956)" været inde på min profil, så må det skyldes noget andet - og det skal jeg have mulighed for at reagere på. Så kan jeg starte med at tage kontakt til Nets, for at få en forklaring. Og var jeg kendt og kunne se at "Louise (0956)" kiggede i mine data med jævne mellemrum, ja, så var der med garanti noget galt.

Sammen med logningen, bør der også indgå data om de virksomheder der abonnerer på mine CPR data samt præcist hvilken type abonnement de har (altså hvad de har adgang til) samt en løbende log, der fortæller hvor ofte de henter nye data. Her kunne jeg også forestille mig at hver virksomhed skulle give en kort og præcis beskrivelse af, hvad de bruger abonnementet til.

Som udgangspunkt vil alle ærlige virksomheder, både private eller offentlige, ikke kunne have noget problem med at give borgerne indsigt i brugen af deres data. Tværtimod vil det blot gøre os mere trygge, når vi kan se at vores data ikke bliver tilgået i tide og utide - uden grund. Og skulle man være så uheldig at falde i kløerne på medier der bruger lyssky metoder, vil man selv have chancen for at opdage, at alt for mange kigger på ens data.

8. maj 2014 kl. 05:18
Ukrypteret kommunikation til trafiklys giver hackere frit spil

Når det påstås at det kan skabe trafikuheld, er det så bevist at et "hacket" lyskryds kan vise grønt fra flere sider? Jeg tænker at der nok er en computer bag, som blot reagere på meldinger. Denne computer vil have nogle kombinationer af hvordan lyskrydset kan vise hhv. rødt og grønt. Eller sagt på en anden måde, mon ikke der er en regel der forbyder computeren at skifte til grønt, så længe der er gult eller grønt lys fra en anden side.

5. maj 2014 kl. 03:55
Man får hvad man betaler for

Det system som medarbejderen har brugt til at tracke kendte, er højst tænkeligt bestilt og betalt af staten.

SKAT har længe brugt tracking af Dankort til at bedømme om udlandsdanskere er for mange dage i Danmark. Jeg mener at dette også burde blive en debat om tracking af borgerne, ikke mindst når det viser sig, at det er muligt at misbruge statens tracking til andre formål end at bekæmpe lovbrud.

I øvrigt tak for et godt indlæg - vil håbe at politikerne læser det.

1. maj 2014 kl. 02:53
Telia beskytter kun VIP-kunders data fuldt ud

Jeg finder det meget relevant, da det fjerner alle kundens muligheder for at bevise noget. I dag kan man få udleveret information om hvem der har snuset til ens data i visse sager. Men har man på fornemmelsen at en Se og Hør journalist har købt sig adgang til Telia, skal man have tilføjet VIP-status - og det skulle man vel og mærke have inden der blev snuset i ens data.

1. maj 2014 kl. 01:31
Naboens signalforstærker giver dig dårlig dækning - og er pivulovlig

Det er forsøgt og politikerne presser også på igen.

Telia forsøgte sig med femtocell teknologi for år tilbage, men droppede det igen. Efter hvad jeg har hørt, skaber femtocell samme problem, hvis routeren/hjemmemasten, er for tæt på naboen.

Vores problem er, at der sjældent er særligt langt til naboen. Eks. har min bror ikke mobildækning, men han har syv nabohuse indenfor 100 meters afstand. Uanset hvilket løsning man får, vil det nemt kunne give forstyrrelser hos naboerne, hvis det er sat op på en uhensigtsmæssig måde. I USA, hvor femtocell er relativt stort, er det anderledes da de ofte har langt til naboer - eller i hvert fald længere end vores små parcelhusgrunde.

Hvis det skal løses, skal der stilles frekvenser til rådighed, som frit må benyttes - i stil med Wi-Fi. På den måde ville det blive tilladt at opsætte egen repeater eller femtocell boks. Her ville det smarteste helt klart være at vælge nogle nye frekvenser til formålet, evt. nogle høje frekvenser, med dårlig rækkevidde. Da det ikke skal dække hele nabolandet, som ens Wi-Fi ofte gør, vil det være fint nok med den halve dækning i forhold til Wi-Fi og så er der rigeligt med ledig plads på frekvensbåndet. Men dette vil kræve en fælles international aftale, da ingen vil understøtte frekvenserne for vores skyld alene.

23. april 2014 kl. 01:12
Heartbleed giver falske hjemmesider og langsommere internet

Apps, herunder de mange Facebook-apps (https://www.facebook.com/settings?tab=applications) har all adgang til ens data via tokens. Disse bliver ikke ændret ved, at man ændre sin adgangskode.

Det er sjældent at ens adgangskode bliver udvekslet, derimod bliver tokens konstant udvekslet. Derfor er der større odds for at onde personer har opsnappet ens tokens samt appens tokens. Men disse tokens er ikke blevet udskiftet og jeg tror faktisk ikke, at særligt mange systemer er designet til at udskifte dem.

16. april 2014 kl. 23:32
Nu er det bekræftet: Ewire er gået konkurs

Kan vi stole på Dankortet, og Penge udsted af den Danske regering.</p>
<p>Et Betalingssystem, baseret på et Lands udstedelse af elektroniske papirlapper, og manglede kontrol med dette system kan man ikke stole på.

Og hvem lukker en bitcoin udbyder, hvis de ikke har likviditet? Det er vel godt for alle, når en "dårlig" udbyder bliver lukket? Bitcoin er umiddelbart en lille valuta, men det virker som om at dårlige udbydere har kostet mange bitcoins - nok til at det samme beløb i et nationalt sammenhæng ville koste lande livet, hvis deres valuta var baseret på bitcoins.

15. april 2014 kl. 09:31