Søren Louv

Dansk softwareudvikler afslører: Sådan kan du spore dine Facebook-venners søvnvaner

Hvem helvede gør det?

Nu har jeg jo lidt data til at bakke mig op, så til det kan jeg sige: Nej, det er ikke noget alle gør - men nogen gør det :)

Ud fra hvad jeg indtil nu har set, er ca. 30-40% af mine Facebook venner online få minutter efter de er stået op, og kort før sengetid. Det gør det uhyre nemt at afkode deres døgnrytme.

De resterende 60% tjekker Facebook mindre regelmæssigt, men mange i denne gruppe bruger også til tider Facebook kort før/efter sengetid. Det betyder, at over længere tid, kan man stadig udlede deres døgnrytme.

Som sagt er jeg ikke blot ude på at overvåge, men mener dette er en meget effektiv måde at vise folk der ikke er så "tech-savvy", at de sætter spor de end ikke er klar over.

26. februar 2016 kl. 10:36
Dansk softwareudvikler afslører: Sådan kan du spore dine Facebook-venners søvnvaner

Ja, præcis. Eftersom scraperen bruger mine credentials, står jeg altid som online. Det gør det lidt sværere for Facebook at fortolke mine adfærdsmønstre :)

26. februar 2016 kl. 10:24
Tidligere betjent udlover bitcoin-dusør for forsvarsministerens CPR-nummer

Et CPR-nummer kan begynde med 0, 1, 2, 3, 4 eller 9*. Der bliver dog sjældent født så mange børn på en dag, at der bliver brug for 4, og slet ikke 9, så dem har jeg fjernet. Det kan dog teoretisk være sket, men jeg er endnu ikke stødt ind i det. Min fremgangsmåde er rimelig pseudo-videnskabelig, og udelukkende baseret på empiri, så der kan sagtens være edge-cases jeg har misset.

*Gælder ikke personer født efter modulus 11 blev fjernet fra CPR-nummeret i 2007

14. juni 2014 kl. 00:50
Tidligere betjent udlover bitcoin-dusør for forsvarsministerens CPR-nummer

Jeg lavede følgende service sidste år, men fik den aldrig offentliggjort:http://cprcalculator.gopagoda.com/

Open source på Github:https://github.com/sqren/cpr-calculator

14. juni 2014 kl. 00:11
Nyt lovforslag: Få nyt CPR-nummer, hvis det gamle bliver misbrugt

Hvordan gik det iøvrigt med retsmødet d. 13. Januar?

Tak fordi du spørger :) Retsmødet er blevet udsat til d. 3. februar, så det er lige om hjørnet. Jeg har fået en meget erfaren IT advokat på sagen, og føler mig fint forberedt, så nu ser jeg frem til at få det overstået.

Jeg vil prøve at melde sagens udfald ud, så hurtigt som muligt efter domsafsigelsen.

23. januar 2014 kl. 14:24
Nyt lovforslag: Få nyt CPR-nummer, hvis det gamle bliver misbrugt

Ja, det skal da kun ses som en lappeløsning, der kan indføres hurtigt

Så længe vi kan blive enige om, at det er en dårlig løsning, der ikke på nogen måde vil dæmme op for identitetstyverier (blot bremse dem efter de er sket), så synes jeg da bare det skal føres ud i livet, så vi hurtigst muligt kan udarbejde den egentlige løsning.

Kender du en løsning, der kan gennemføres hurtigt?

Den rigtige løsning kan ikke nødvendigvis udarbejdes hurtigt, men det bekymrer mig, at politikerne omtaler "skift at CPR-nummer" som selve løsningen, og slet ikke at gået igang med at omtale seriøse reformer af CPR-systemet.

21. januar 2014 kl. 11:51
Nyt lovforslag: Få nyt CPR-nummer, hvis det gamle bliver misbrugt

Det er en elendig lappeløsning, at give folk lov til at skifte CPR nummer. CPR-nummeret bør netop ikke betragtes som noget hemmeligt der kan misbruges (og derfor bør skiftes). CPR nummeret er blot dit digitale navn (tænk ID i en database), som alle kan slå op, og bruge til at IDENTIFICERE dig. CPR-nummeret må derimod aldrig stå alene som VERIFIKATION. Der skal vi have en sekundær sikkerhed indover (lad os for nemhedens skyld bare sige en adgangskode).

Problemet i dag er, at CPR nummeret både bliver brugt som dit brugernavn ("Hej doktor, mit CPR nummer er"), og som adgangskode: "Jeg vil gerne købe på afbetaling, her er mit CPR-nummer".

Mange steder i det offentlige stoler de blindt på, at du er den du siger, hvis blot du over telefonen kan oplyse navn og CPR-nummer på dit offer. Dét er problemet.

Hvis vi fortsat betragter CPR-nummeret som hemmeligt vil folk fortsat blive udsat for identitetstyverier, og når de ændrer CPR-nummer er skaden sket.

21. januar 2014 kl. 11:32
Prisen for at afsløre brist i personnumre: CPR-Søren får bøde på 10.000 kroner

Det er sindsyg fedt at høre, at der er så mange der støtter sagen. Jeg overvejede i et svagt øjeblik i afmagt, bare at sluge kamelen og betale bøden. Efter at have set de mange støtteerklæringer har jeg fået en advokat til at kigge på sagen. Det bliver ikke billigt - advokatregningen bliver langt større end selve bøden. Men det er en principsag, og jeg håber på, at vi med god forberedelse kan vi vinde den.

Målet er selvfølgelig, at andre i fremtiden kan ytre kritik af det offentlige, uden at frygte repressalier.

Jeg er overvældet over jeres tilbud om økonomisk støtte, og vil sætte gang i en donations runde, så snart jeg har vendt sagen med Skat.

Til de interesserede vil jeg prøve at holde jer opdateret med sagen her (work in progress!):http://cprsoren.konscript.com/

14. november 2013 kl. 09:12
It-studerende risikerer bøde på 25.000 kroner for CPR-happening

Hej Rasmus, Jeg kan godt se din pointe, og tror at mange har den samme opfattelse som dig. Jeg er dog ikke enig i din analogi, og tror du blander to sager lidt sammen.

Den ene sag omhandler, hvordan jeg har tilegnet mig disse CPR-numre. Det har jeg gjort på lovlig (kreativ) vis, gennem diverse teleselskaber. Jeg har siden slut 2011 påvist hvordan, og har fået juristers ord på, at det ikke er i strid med lovgivningen. Det er værd at bemærke, at Datatilsynet heller ikke er ude efter mig på denne front.

Den anden sag omhandler CPR Lotteriet. Der er nogen der mener, at jeg har offentliggjort CPR-numre. Det er jeg faktisk uenig med dem i. Et CPR-nummer, er et delvist tilfældigt tal, valgt ud fra en foruddefineret liste af 270 tal. Denne liste på 270 tal kan, som mange påpeger, udregnes rent matematisk - uden hax eller opslag i registre.

Der er altså tale om ren sandsynlighedsregning for, om man kan gætte hvilket CPR-nummer, en person har. Det har jeg blot tydeligtgjort med CPR Lotteriet.

14. juni 2013 kl. 12:17
It-studerende risikerer bøde på 25.000 kroner for CPR-happening

Bødens størrelse vil jeg ikke diskuttere med dig. Men når du siger, at hullerne på teleselskabernes hjemmesider blev lukket efter få timer, tager du fuldstændig fejl.

Jeg fandt "hullerne" på samtlige større teleselskabers hjemmesider. Efter jeg gjorde opmærksom på det første gang fik de fleste lappet hullet efter et par måneder. Nu, over halvandet år efter, finder jeg stadig teleselskaber, der ikke har rettet det. I skrivende stund har jeg fuld adgang til alle cpr-numre i DK. Det er ikke blevet rettet.

(Sidenote: Jeg mener i øvrigt ikke det er teleselskabernes skyld. Fejlen er, at CPR-nummeret bliver brugt som verifikation.)

14. juni 2013 kl. 10:59
It-studerende risikerer bøde på 25.000 kroner for CPR-happening

Mange tak for det generøse initiativ. Det er virkelig fedt at høre, at ikke alle synes jeg er en selvttægtstosse, der gør det her for min egen skyld. På nuværende tidspunkt har jeg jo ikke fået nogen bøde, og jeg forventer selvfølgelig at vinde en eventuel sag :) Så det bliver forhåbentligt ikke aktuelt.

14. juni 2013 kl. 10:44
Så let finder du et hvilket som helst CPR-nummer

Jeg har offentliggjort noget af koden, jeg har brugt til at fremskaffe CPR-numre:https://github.com/sqren/cpr-calculator

(Det er blot udregning af potentielle CPR-numre, til en given fødselsdag.)

11. juni 2013 kl. 15:09
Så let finder du et hvilket som helst CPR-nummer

Hej Version2-læsere,

Jeg har fået semi-mundkurv på af Datatilsynet, og skal nedtage CPR Lotteriet - men det løser jo ikke det oprindelige problem: at CPR numre er utrolig nemme af finde, og Datatilsynet stadig behandler dem som personfølsomme.

Det ville hjælpe mig UTROLIGT meget, hvis I (som Thomas Johansen ovenfor) kan komme på eksempler, hvor man skal indtaste navn og CPR-nummer, og hvor den validerer det "live" i browseren.

På den måde kan jeg fortsætte med at gøre opmærksom på problemet. Mit mål er, at CPR-registeret i sidste ende blive åbnet op, og vi får en ny måde at verificere identiteter på.

Med venlig hilsen Søren Louv-Jansen

11. juni 2013 kl. 11:24
Dansk hjemmeside har adgang til alle CPR-numre: Her er Thornings CPR-nummer
  1. Nej, jeg har ikke nogen "database" med CPR-numre. Men jeg kan finde et cpr-nummer til en given person, ved at benytte teleselskabernes adgang til CPR-registeret.

  2. Ja, der er altid ét rigtigt svar til hvert spørgsmål. Flot klaret med 5 rigtige! :)

10. juni 2013 kl. 14:20
Borger.dk fravalgte sladrehanken Google Analytics

Uden at kommentere på hvorvidt Urchin er bedre eller værre end Google Analytics, må man konstatere, at Borger.dk snart må finde sig en ny løsning. Google oplyser selv at de sender Urchin i graven:

"Urchin WebAnalytics Software is discontinued. Sales will end on March 28th, 2012 (...) We are encouraging Urchin users to migrate to Google Analytics"

14. december 2012 kl. 13:08
Nu kan du downloade Mac OS X 10.8 Mountain Lion

Faktisk ligner det mere et teknisk problem:

Det betyder jo blot, at udover at være designet til at være besværgeligt, er det også stødt på uventede problemer. Det virker meget halvhjertet i udførelse.

30. juli 2012 kl. 15:29
Nu kan du downloade Mac OS X 10.8 Mountain Lion

Nem?! Man skal vist være mere end almindelig Apple fanatiker for at kalde opdateringen via Up To Data programmet nemt.

Til dem der ikke ved det: Up To Date Programmet er gratis opdatering til dem der har købt en computer med det tidligere OS indenfor de sidste 2 måneder (ca).

Lad os starte med hvordan opdateringen burde foregå: Da jeg købte min Macbook oprettede jeg et Apple ID. Opdateringen er knyttet til mit Apple ID, og jeg kan blot åbne App Store og hente den.

Sådan forløber opdateringen rent faktisk: Man skal udfylde en 3 siders formular for at kunne ansøge om en gratis opdatering. Herefter går der over et døgn før jeg modtager feedback - Apple gennemgår tilsyneladende ansøgningerne manuelt.

I den første mail modtager jeg et password. I den anden mail modtager jeg en fil.

Passwordet fra første mail skal bruges til at åbne filen fra anden mail. I denne fil findes en App Store kode.

I App Store indtaster man koden og herefter begynder opdateringen.

Nemt?

30. juli 2012 kl. 00:33
Sådan slipper HTML5 content fri

og har absolut intet som helst med programmeringssprog at gøre

Det er der heller ikke andre end dig der kalder det. HTML er et markup language, så at kalde det et sprog er ikke helt hen i vejret.

20. juni 2012 kl. 14:57
Skift også dit Last.fm-password

Du spørger hvordan man gør det bedre end LinkedIn og Last.fm: ved IKKE at opbevare hashes usaltede. Der er tusindvis af andre sikkerhed-meassures som ingen mening giver at liste op her. Jeg har ingen anelse om, hvordan hackerne har fået adgang til password dumpet. Sql-injections; social engineering; insiders; zero day exploits eller tusind andre muligheder.

De fleste frameworks vil tilføje en salt til passwords inden de bliver hashet, og derved give en basal sikkerhed, som store virksomheder tilsyneladende mangler.

8. juni 2012 kl. 15:40
Skift også dit Last.fm-password

hvis vi antager at jeg gemmer usaltede, ikke itererede MD5-kombinationer i en database

Et kort svar: don't do it. Det er fuldstændig no go at opbevare usaltede hashes.

Hvis du ønsker en nem, sikker løsning, og du ikke selv har den fornødne erfaring, bør du benytte et framework, der håndterer sikkerheden for dig. Det er ikke en bulletproof løsning, men en god start.

8. juni 2012 kl. 15:38