Archive for July, 2010

KKIK har dårlig sikkerhed

Monday, July 26th, 2010

UPDATE: Problemet er løst, se bunden.

Jeg sad og kiggede på kollegieværelser på Kollegiernes Kontor i Københavns hjemmeside (KKIK), hvor jeg skal til at oprette mig som bruger. Man skal udfylde en masse personlig information, både navn, bopæl og CPR-nummer. Jeg ligger dog mærke til at  siden hvor man udfylder CPR-nummer ikke er krypteret, og begynder at undersøge det nærmere.

Jeg undersøgte siden, kastede tilmeldingssiden igennem Wireshark på en virtuel maskine, og bekræftede min frygt: DE SENDER AL DATA I KLAR TEKST (OGSÅ PERSONFØLSOMME FELTER!)

Dette er i modstrid med lovgivningen, og man må ikke sende eller opbevare CPR-numre ukrypteret. Det gør det muligt for ondsindede personer at lave et såkaldt Man-in-the-middle (MITM) angreb, og få fat i personfølsom data meget nemt.

Her er hvad jeg gjorde for at bekræfte at dataen bliver sendt ukrypteret over nettet:

1. Jeg gik ind på deres tilmeldingsside, og forsøgte at oprette en bruger med følgende falske oplysninger:

kkik3

2. Jeg installerede og åbnede Wireshark, trykkede på “Record” for at optage pakker, og trykkede send på KKIK’s hjemmeside. Og kiggede så pakkerne igennem for data. Jeg fandt meget hurtigt hvad jeg ledte efter:

datastream

Snak med datatilsynet

Jeg ringede så efterfølgende til Datatilsynet, og fik fat i en derinde. Jeg fortalte hende historien, og så spurgte hun om det var en offentlig enhed eller et privat firma (Betyder dette noget? Det er personfølsom data der er ukrypteret!).

Efterfølgende mente hun så at jeg ikke kunne se om det var krypteret eller ej, da nogen hjemmesider ikke viser at man benytter HTTPS. Jeg spurgte om hun kunne uddybe dette, det kunne hun ikke. Hun sagde så at jeg skulle tage kontakt til KKIK, og gøre dem opmærksom på problemet.

Snak med KKIK

Jeg snakkede kort med KKIK, og de mener at man bare kan lade være med at udfylde feltet, det er nemlig ikke krævet at du udfylder feltet. Problemet er at når du først har trykket på feltet, ændrer de input-feltets style, og man kan ikke længere se om feltet er krævet eller ej.

Men det er meget klart: Vil man modtage CPR-numre (krævet eller ej) så skal det ske over HTTPS.

Betyder det at de omgår loven ved ikke at kræve feltet udfyldt? Og er det så iorden at sende CPR-numre i klar tekst over internettet?

Eftersom de ikke ville anerkende at de gjorde noget forkert, og jeg godt kunne se at jeg kom til at være kontakt person mellem KKIK og Datatilsynet tog jeg kontakt til journalisterne på Version2.

UPDATE: Dagen efter firmaet bag blev opmærksom på problemet var det fikset, og hele siden var krypteret. Det virker ikke som om KKIK anede hvad de talte om, og bare prøvede at spise mig af med en undskyldning.

Posted in Sikkerhed | Tags: , , , , , , , ,  | No Comments »

Sommerferie projekter, og et 10-tal!

Wednesday, July 7th, 2010

Jeg har fået afsluttet mit tredje semester på Datamatiker-studiet. Vi har lavet et projekt i samarbejde med de andre grupper på årgangen. Vi stod for backend-delen af systemet, og så var der to andre grupper som stod for front-end delen.

Jeg blev syg til den oprindelige eksamen, så måtte til syge-eksamen, og jeg fik 10! God måde at starte sin sommerferie på :)

Her er en række projekter min sommerferie kommer til at gå med:

Pitch a game concept and win

Vi har i UngeSpiludviklere fået sponsoreret et par Xbox’e og HTC HD2 telefoner af Microsoft. Og vi har sammen med fagforeningen PROSA og spil-foreningen IGDA, fået stablet et arrangement på benene.

Konceptet går på at vi samler en masse danske spiludviklere, og får dem til at pitche idéer for hinanden, dem der har den bedste idé, får en Xbox eller en mobil til at lave deres spil på.

Roskilde-festival

Vi har igen i år et festivals projekt i Ungdommens Naturvidenskabelige Forening (UNF). Jeg har været koordinator og styret hele projektet. Vi laver en energivenlig netcafé, og oplade station på festivallen.

Vemod

Nu kommer vi til softwareprojekterne, det her er skrevet i C#.

Hvor tit sidder man ikke og savner muligheden for at søge efter et billede i et billede?

Jeg er ved at bygge noget software som muliggører at søge efter billeder i billeder. Den er dog ikke helt effektiv endnu, men jeg har et par tricks i ærmet. En test jeg kører lige nu giver følgende resultater:

bigpicTid for at at søge efter billederne i det store billedet:
2xchart 3,809 sekunder
3xcheckbox 2,135 sekunder
1xdownloads 14,997 sekunder

:)

Posted in Forening, Generelt, programmering, Projekter | Tags: , , , , , , , , ,  | 4 Comments »