Tak til kyllingehackeren

Der har været guf, grin og grumhed i sommerens mange historier, hvor IT spiller en rolle. Her kommer et kik på tre af dem: Michael Rasmussens hackede mail. Politiets molboagtige ageren ved cykeltyverier. Og Odense kommune, der sandsynligvis har ladet sig besnære af en smart KMD-konsulent.

Tegning: Jens Hage Fold sammen
Læs mere
"Var hans password mon EPO", lød det med et fnis i røret, da jeg for et par dage siden drøftede de sikkerhedsmæssige aspekter ved det hackerindbrud, der angiveligt er sket i cykelrytteren Michael Rasmussens mailboks.

Jeg var ude efter få testet min fornemmelse af, at denne historie har potentiale til at gøre langt flere mennesker klogere på passwords og mailpolitik end nogen som helst kampagne.

Det er jo et klassisk problem, at folk vælger passwords, som er lette at huske, men derfor desværre også lette at hacke, hvis man har lidt kendskab til personen. Måske har Rasmussen valgt Cariza –hustruens navn. Måske er det navnet på hans cykelbutik ved Gardasøen, der spiller ind, måske noget helt tredje, som falder ham let ind, såsom det Riis»ke ”aldrigtestetpositiv”.

Men der findes altså teknikker, der gør det muligt at huske selv mere komplicerede passwords (tjek min blog it-bizzen.blogspot.com mandag).

Hvad der dog undrer mig i sagen er, at Rasmussen vist skulle have en og samme Yahoo-adresse til privat og arbejdsmæssige mail. Hackeren, der ville sælge sine fund til B.T., påstod at han havde fyringsbrevet fra Rabobank, som man ellers ville tro kørte med egne mailadresser til holdet, og ikke blot brugte gratistjenester som Yahoo. Er Yahoo-adressen måske blot en slags illustration fra mediesiden? Er hackeren måske blot en tidligere betroet medarbejder, der tømte e-postkassen for Rasmussen?

I øvrigt drysses mailadresser jo efterhånden ud med lige så rund hånd som telefonnumre og visitkort. Bruger man offentligt tilgængelige mailtjenester såsom Yahoo, Gmail og Hotmail så har dermed også udleveret brugernavnet, for det er mailadressen. Hackerne smides i øvrigt heller ikke af mailtjenesterne efter tre forgæves forsøg på at gætte et password.

Endnu en lære af denne og andre sager er derfor også: Hold din arbejdsmail og din privatmail adskilt på to forskellige mailadresser. Så skal der to ”sugerør” til. Der er desuden retssager, der viser, at man gør klogt i at holde det private væk fra arbejdsmail’en.

Idiotarbejde hos politiet
Næste sag er en molbohistorie, berettet af Politiken i sidste uge (link er på min blog).

Vi har heldigvis nu mulighed for selv at indberette cykeltyverier via internettet, så vi ikke længere skal ned på stationen og fortælle, mens den stakkels politimand møjsommeligt finder de rette taster.

Men politimanden indtaster alligevel møjsommeligt nøjagtig de samme oplysninger. Anmeldelsen foretaget via nettet printes nemlig ud og disse data skrives ind i et andet system.

Der er ingen forbindelse mellem de to systemer, hvilket kan skyldes hensynet til it-sikkerheden. Der er jo desværre en tendens til, at programmer ikke laves indbrudssikre nok. I værste fald kunne webprogrammet måske dermed blive brækjernet, der bruges til at begå indbrud i de allerhelligste registre hos politiet, hvor forbryderen så kunne slette alskens efterforskning om Hells Angells samt parkeringsbøden fra i mandags.

Men at lave et bette separat program, der trak de originale data om anmeldelserne ud, ville vel tage en halv time. Ligeledes at lave en andet separat program, der kunne opdatere registret i de hellige haller med udtrækket.

En klog mand fortæller mig imidlertid, at at it-serviceselskabet, som politiet bruger, nok først ville kræve et par hundrede tusinde kroner for en dybtgående foranalyse, inden problemet ordnes med et snuptag.

Men lad os sige, at det alligevel er o.k. med udprintning og inddatering, så der absolut ikke kan misbruges noget. Så kunne man vel printe anmeldelsen ud i en optisk læsbar skrift eller suppleret med printede stregkoder. Derefter kunne papiret blot scannes.

Hvor mange hundrede millioner var det egentlig, at politiet fik til ny og bedre IT?

Hovmodigt byråd
Til slut en juli-historie fra TV2 Fyn. Odense Kommune vil spare ved ikke længere at trykke og udsende lønsedler til de 17.000 ansatte. Uberørt at menneskehånd føres de i stedet i en elektronisk postkasse hos e-boks.

"Nu kan de ansatte se deres lønsedler lige meget hvor i verden de er, bare de har adgang til en computer med internetadgang," jubler en af de involverede på arbejdsgiverside.

Problemet er bare, at nogle faktisk skal ud i ”verden”, såsom hen på nærmeste bibliotek, da de ikke har en PC derhjemme. Dagplejerne, der jo netop arbejder hjemme, har protesteret, da det rammer flere af dem. Nogle bruger slet ikke en PC.

Byrådets beslutning på enten rust i hjernevindingerne eller hovmod. IT-teknisk vil det blot udgøre en krølle på programmet at tillade den enkelte ansatte et valg, i hvert fald i en overgangsperiode, og der er jo også mulighed for et udskriftsgebyr.

Noget tyder på, at Kommunen har haft for smarte konsulenter fra it-centralen KMD på besøg. KMD er jo medejer af e-Boks, som gerne vil have flere kunder i butikken, inden staten åbner sin konkurrent på borger.dk. Skat har faktisk allerede droppet e-Boks, som ellers scorede en halv million kroner årligt fra den kunde.