Fuck Facebook – Tilbage til Bloggen

Det er ikke nogen hemmelighed at jeg har det lidt stramt med den masseovervågning vi alle pt. udsættes for, om den kommer fra den danske eller den amerikanske efterretningstjeneste, eller fra Google og Facebook som vi frivilligt giver vores data er egentlig ligegyldigt.

Mike Mikjær: Sølvpapirshat og musiker

Allerede fra de tidligere teenage-år var jeg på barrikaderne, dengang kaldte vi det for “echelon” og vi blev stemplet som paranoide sølvpapirshatte.

Idag er det ikke noget folk stiller spørgsmålstegn ved, folk ved godt at de bliver overvåget i hoved og røv – de fleste er ligegladet, de er enten hoppet på en eller anden historie med at det er bedst for os og at de skræmme bøh-manden væk – andre har indset at det ikke nytter noget at kæmpe imod – og så er vi så et par stykker der alligevel forsøger at kæmpe imod.

Jeg har dog i mange år prioriteret fleksibilitet og effektivitet over sikkerhed og privatliv, det betyder blandt andet at jeg både er indehaver af en MacBook Pro og en Apple Iphone – det betyder også at jeg både har en Facebook konto og at jeg bruger NemID og eBoks. Jeg syntes det har været svært at finde en balance for jeg vil jo heller ikke leve i stenalderen.

Det har desværre betydet at jeg er blevet doven, hvilket betyder at jeg i stigende grad har ladet tingene flyde sammen – jeg har bare brugt min MacBook fordi det var nemt – og fundet mig i Apple’s idiosynkrasier, jeg har i stigende grad postet indhold på Facebook der burde høre hjemme på mit eget website, jeg har brugt Facebook til billeder fordi … det var nemt.

Facebook har i mine øjne en berettigelse, men berettigelsen er ikke som kommunikations- eller hostingplatform. I forvejen har jeg brokket mig over Facebooks ny-puritanistiske censur hetz mod alt fra blottede kvinde-bryster til n-ordet … undskyld, vi er ikke på Facebook – det hedder _neger_ og her er der ikke forbud mod at bruge ord, det vigtige er ikke de ord vi bruger men den mening og det budskab ordene kommunikerer.

Jeg er stille og rolig gået igang med et par forskellige tiltag – jeg er f.eks. igang med at kode mit eget gallerisystem, det går ganske fint og jeg forventer at kunne offentliggøre det som opensource om et års-tid, og jeg har fundet mig et program der kan foretage masse-redigeringer på Facebook og sat det igang med at slette mine indlæg.

Dvs alle indlæg fra 2008, hvor jeg blev oprettet på Facebook, og frem til 2016 bliver nu slettet! Hvorfor så lige 2016 tænker du? Jo jeg har nemlig flottet mig og betalt i dyre domme for at få trykt en (faktisk er det 3) bog med alt aktiviteten på min Facebook væk, det er nemlig minder jeg har kært – men ikke minder jeg har lyst til fortsat at udstille frit for resten af verden.

Jeg ved ikke om jeg skal have trykt 2017 også, det finder jeg ud af om et årstid tænker jeg – men ideen er ihvertfald at Facebook fremadrettet primært bliver brugt til at dele indhold på mine egne blogs med – og måske små kommentarer hist og her, men de store spørgsmål om livet, universet og alting kommer til at foregå på mine egne præmisser!

Tilgengæld vil jeg til at skrive nogle længere forhåbentlig bedre “opdateringer” eller blogindlæg som det jo egentlig hedder – den her blog vil primært handle om mig og de ting jeg laver, måske en enkelt politisk rant eller to – men det er, som titlen på siden foreskriver, mig og mit liv det handler om.

Der er meget mere at fortælle, men indlægget her er allerede blevet for langt og jeg skal tidligt op imorgen. Så lad mig afslutte med at erklære relanceringen af min personlige blog for gennemført. Jeg håber at i vil følge med, kommentere og selvfølgelig gerne dele mine indlæg, hvis i finder det relevant, på alle de sociale medier det skal være, også Facebook!

Men har i lyst til at debattere indholdet? Så er det hér det sker 🙂

ps. Den hyppige læser vil bemærke at jeg i anledningen har lagt et nyt design på bloggen samt et flot TLS Certifikat 😀

Er dit CPR Nummer hemmeligt? Og hvor farligt er det egentlig hvis en hacker sletter CPR-Registeret?

Som bekendt blev CVR.DK hacket for et par uger siden, når vi snakker IT Sikkerhed er det oceaner af tid siden. Ikke desto mindre hørte jeg idag i radioen et indslag hvor en såkaldt “sikkerhedsekspert” fra et større dansk, også såkaldt “sikkerhedsfirma” fremsatte et par påstande der chokerede mig lidt, godt nok på en lidt anden måde end journalisten forventede.

De to udtallelser var (frit fra hukommelsen):

  1. Hvis en hacker får adgang til CPR Registret og sletter alting, går verden istå herhjemme, banken kan ikke udbetale din løn og lægen kan ikke give dig medicin.
  2. Hvis en hacker får adgang til dit, ellers fortrolige, CPR Nummer kan han ringe ned til banken og f.eks. optage et lån i dit navn.

Jeg er lidt ked af at jeg ikke kan finde citatet på skrift, det ville nemlig have være på sin plads at nævne virksomheden og personen ved navn. Men det må desværre blive ved tanken.

Er dit CPR Nummer hemmeligt? 
Nej dit CPR nummer er ikke mere hemmeligt end din adresse eller dit fulde navn, formålet med et CPR nummer er udelukkende at have en unik måde at identificere dig på. Lidt på samme måde som nummerpladen på din bil, så derfor kan du selvfølgelig ikke optage et lån i en andens navn blot ved at kende personens CPR Nummer.

Der findes fejlagtigt personer der tror dette, ligesom der findes eksempler på virksomheder der bruger kendskab til CPR Nummer til at autentificere personer … f.eks. dating sider. Det er i bedste fald en meget svag autentificering, i værste fald er det komplet ligegyldigt idet at et dating-site kan få adgang til CPR Registret så kan en hvilken som helst virksomhed med den rette økonomi også få adgang.

Jeg mener det er skadeligt at både det offentlige og samfundet generelt betragter CPR numre som noget hemmeligt, jeg har sågar hørt en receptionist på apoteket tysse på mig da jeg oplyste mit CPR nummer og jeg blev bedt om ikke at sige min pinkode højt, og i stedet vise mit sygesikringskort. Lige i situationen var jeg feberramt og havde ikke lige energi til en diskusion, så jeg stak hende mit kort og fik udleveret min penicillin.

Fun Fact. Kim Larsen udgav tibage i 1979 en plade hvor hans eget CPR Nummer udgør titlen på pladen.

Datatilsynet er hurtigt ude med riven ifht. registrering af CPR Numre, det virker som om at de også er af den opfattelse at CPR Numre kan og bør bruges som autentificerings-tokkens, og jo det ville da være rart med en sikker og officiel metode at autentificere danske statsborgere, men CPR Nummeret ér altså ikke metoden. Hvis vi for et øjeblik antager at det giver mening med et statisk tokken for at autentificere en person hvad er så problemet med at bruge CPR Nummeret til det?

  • 4 cifre det giver umiddelbart 9999 muligheder, hvoraf personnumre udstedt før 2007 endda kan indsnævres yderligere vha. bla.a. modulus 11 kontrol og hvis du kender personens alder (i år 2008 kan “07” både være en 1 år gammel baby eller en 101 år gammel pensionist) kan du ydermere helt eliminere første ciffer i løbenummeret, hvorefter vi er nede på 3 cifre. Alt i alt betyder det at for alle voksne mennesker idag er der reelt kun 540 gyldige cpr numre.
  • Dernæst skal cifferet selvfølgelig kunne skiftes i tilfælde af at kriminelle elementer får fingrene i det.
  • Dernæst skal det selvfølgelig være muligt at give autentificering til firma a uden at en personen der håndterer din autentificering får adgang til data om dig (dit cpr nummer)

Kort opsummering: Personer der tror at hele eller dele af et cpr nummer er hemmeligte, og kan bruges til autentificering er en omvandrende sikkerhedsrisiko og bør under ingen omstændigheder tituleres “sikkerhedsekspert”

Hvad sker der hvis en hacker sletter hele CPR Registeret?

Med chance for at skabe et antiklimaks i artiklen så sker der det simple at en operatør (evt. en ekstern konsulent såfremt de ikke har kompetencen inhouse) hos Det Centrale Personregisters datacenter bliver vækket, og sendt på arbejde. Han vil identificere fejlkilden, finde ud af hvordan hackeren kom ind og få lukket hackerens adgang. Derefter vil han med hjælp fra sine logfiler afgøre hvor længe hackeren har været i systemet og genskabe den seneste hacker-fri backup … og ja, så er man lige nødt til at gen-registrere de sidste par dages dødsfald og fødsler på ny.

Ovenstående er basseret på at dem som har designet systemet har gjort det med hovedet under armen, hvis det er bare nogenlunde ligevægtige systemdesignere der har bygget systemet, så logger de simpelthen bare ind på databasen og hiver transaktionsloggen ud og finder den kommando hackeren har udført for at slette alting, fjerner den og kører replay af loggen.

Med andre ord, det er langt fra katastrofalt at en hacker sletter hele CPR Registret, katastrofen indtræder først hvis han hacker det uden at blive opdaget, og efterfølgende vælger at misbruge data i systemet. F.eks. kan det blive meget svært for dig at overbevise din bank om at du ikke er død, hvis det i CPR Registret pludselig fremgår at du er afgået ved døden.

Enhver med bare en smule erfaring indenfor sikkerhedsbranchen ved at hvis du er blevet hacket og hackeren har gjort opmærksom på sig selv ved at slette alting, eller plante propaganda, eller gå i pressen med opdagelsen så har hackeren gjort dig en tjeneste, en stor tjeneste.

Folk der siger andet er en flok amatører som du er bedst tjent med at ignorere og på ingen måde involvere i beslutningsprocessen vedr. IT Sikkerheden i din organisation, og de har bestemt heller ikke fortjent at blive fremhævet i radioen som “Sikkerheds eksperter”.

IT Sikkerhed er noget der startes i designfasen og løbende vedligeholdes under hele den givne løsnings levetid, det inkluderer først og fremmest at regelsæt baseret på sund fornuft og generel mistro til alt indtil det explicit verificeres ikke at udgøre en trussel.