- ID-tyveri er for enkelt

18 minutter og 10 sekunder tok det stipendiat André N. Klingsheim å finne personnummeret til journalist Lars Holger Ursin. Bevæpnet med et lite program han har skrevet selv, trenger han bare å vite navnet og fødselsdagen din for å finne personnummeret ditt, og derfra skape store problemer for deg.

Denne artikkelen er over ti år gammel og kan inneholde utdatert informasjon.

Programmet til Klingsheim bruker omadresseringstjenesten til Posten for å sjekke om et personnummer er gyldig. Der trenger du nemlig bare navn og fødselsdato. Programmet genererer alle mulige personnumre, og tester dem systematisk - på ett nummer vil Posten ikke gi feilmelding - og da har du personnummeret.

Skjuler IP-adressen

Klingsheim selv hevder han kunne klart det på få sekunder, men har programmert verktøyet sitt slik at det benytter en anonymiseringstjeneste. Slik kan ikke Posten Norge, som var den ufrivillige kilden til akkurat dette ID-tyveriet, spore ham opp igjen.

- Uten en slik tjeneste kunne jeg antakelig fått ned langt flere personnumre før noen hadde merket hva som skjedde, men jeg hadde vært enkel å spore opp, forklarer han.

Ved hjelp av en slik anonymiseringstjeneste blir imidlertid Klingsheims IP-adresse skjult.

- Vanskelig å gardere seg mot

- Og dersom noen gjør et slikt rettet angrep, der de vet fødselsdagen og navnet til en person, vil de sannsynligvis ta seg tid til å gjemme seg bak en slik tjeneste. Kanskje de også tar flere maskiner i bruk, og søker mer effektivt, forklarer Klingsheims veileder, professor Kjell Jørgen Hole. Han viser til at det ikke er vanskelig å finne navn og fødselsdato til for eksempel kjente personer i Norge. Slikt står å lese i avisene.

- Rettede angrep er nok det som er vanskeligst å gardere seg mot. Men vi trenger ikke gjøre det så lett som det er i dag, sier han.

"André N. Klingsheim. Foto: Lars Holger Ursin."

Nå etterlyser IT-ekspertene ved UiB strengere tiltak fra staten. De mener det er for enkelt å bedrive ID-tyveri i Norge. Vet du når noen er født, er det nemlig ingen heksekunst å finne personnummeret deres. Og tilfellet Posten er blant de minst alvorlige Klingsheim har avdekket.

Kopi av Folkeregisteret

Det skapte for eksempel overskrifter tidligere i sommer, da de to hadde publisert en forskningsartikkel på Internett som viste at nettportalene til flere teleselskaper, sammen med offentlige tjenester, var velegnet til å gjennomføre ID-tyverier.

Forskerne benyttet gyldige fødselsnumre hos enkelte mobiltelefonselskaper, og lot som de ville bestille varer og tjenester. For å gjøre prosessen enklere for kunden, har de nemlig gjort det slik at man bare trenger å taste inn et personnummeret. Deretter henter de resten av personalia fra Folkeregisteret, og viser det på skjermen.

- I teorien kan en kriminell med den metoden skaffe seg en kopi av Folkeregisteret, hevder Klingsheim.

Han og veilederen stilte siden opp i intervjuer i pressen der de forklarte prinsippene bak, og navnga blant annet Tele 2 som et av selskapene som syndet mot datasikkerheten.

Tenåring bak ID-tyveriprogram

En datakyndig tenåring, «Lars» på 16 år, leste imidlertid artikkelen, og testet metoden med et program, som han senere la ut på Internettet. Noen lastet snart ned programmet, og brukte det til å stjele 50.000-60.000 norske identiteter. Blant dem var, ironisk nok, direktør for Datatilsynet, Georg Apenes. Programmet ble snart fjernet fra serveren, men da var altså skaden allerede skjedd.

- Jeg lastet ned kildekoden. Programmet var langt fra avansert, men det fungerte som bare det, sier Klingsheim.

Tele 2 rettet umiddelbart opp i feilen, og beklaget ID-tyveriet. Under arbeidet med forskningsartikkelen tok Klingsheim en runde til flere teleselskaper, for å se etter tilsvarende sikkerhetshull. Han oppga personnummeret, og så om selskapene foretok en kredittsjekk på ham før de hentet inn personalia. I så fall ville han fått beskjed - det han var på jakt etter, var et selskap som oppga hans personalia før en eventuell kredittsjekk. Og det fant han.

- Et bransjeproblem

- Jeg kunne da hente ut fullt navn og adresse til personer, uten at de fikk brev i posten om at de var kredittsjekket, sier han.

"Utsnitt av skjermbilde etter kjøring av Klingsheims program."

- Teleselskapene innrømmer at dette er et bransjeproblem, men de har vært trege med å rette opp i det. Statlige tilsyn har sanksjonsmuligheter som ville svidd, dersom de hadde tatt dem i bruk, men terskelen har foreløpig vært svært høy, hevder professor Hole. Han mener tilsynene må bli flinkere til å bruke de sanksjonsmulighetene de har, for at bransjen skal fatte alvoret. Han vil imidlertid ikke skissere noen teknisk løsning.

- Slikt er farlig å lovfeste. Man bør heller legge seg på et visst sikkerhetsnivå. Så fort som utviklingen går, vil tekniske løsninger som er sikre i dag, være usikre om kort tid. Derfor må det være bedriftene som yter tjenestene som kan utnyttes ulovlig, som må ta byrden med å utvikle systemer som er sikre nok, sier Hole. Han hevder imidlertid at det er en jobb som bedriftene tar for lett på i dag.

- For liten bevissthet

- Jeg tror ikke selskapene forsøker å løpe fra ansvaret sitt, men bevissthetsnivået er for lavt. De er opptatte av å gjøre det enkelt for brukeren - og det er enklere for oss med slike løsninger. Men de glemmer samtidig å foreta en grundig nok risikoanalyse, sier Hole.

I tillegg er det ofte slik at det ikke er mulig å kun utnytte én tjeneste, men kombinasjonen av flere.

- Vi blir som forskere ofte konfrontert med at sårbarhetene vi skisserer, bare er «akademiske angrep». Men det som skjedde tidligere i år, viser at disse sårbarhetene er i høyeste grad relevante, sier Hole.

Slik gjorde de det

For å kjøre programmet, trenger Klingsheim navn og fødselsdato. Fødselsdatoen gir deg nemlig de seks første sifrene i personnummeret. For de siste fem sifrene er det ikke mange kombinasjoner som er gyldige.

- Det er kun de tre første sifrene som er variable, og det tredje sifferet er alltid partall for kvinner, og oddetall for menn. I tillegg er aldri tallet høyere enn 499, dersom du er født på 1900-tallet - de begynte nemlig på 499 og talte nedover, forklarer Klingsheim.

De to siste sifrene er såkalte kontrollsifre, som er beregnet ut fra fødselsdatoene pluss de tre variable sifrene. Det betyr at det normalt bare blir noen få hundre mulige personnumre for en gitt fødselsdato, og vet du kjønnet, er det bare rundt halvparten, i dette tilfellet: 205.

Programmet beregner alle mulige personnumre, og kjører en enkel, men effektiv test mot Postens omadresseringstjeneste - den starter på det høyeste mulige sifferet, og går nedover i kolonnen til Postens program slutter å gi feilmeldinger på personnummeret.

- Gjennom anonymiseringstjenesten, tar det noen få sekunder per nummer. Uten å bruke tjenesten, går det flere personnummer i sekundet, forklarer Klingsheim.

Powered by Labrador CMS