Umeå: "Manipulerade busskort för att påvisa brister – polisanmäld"

[Ersa]

"Att manipulera Länstrafikens busskort och datasystem är enkelt – det konstaterar Mikael Nordfeldth från föreningen Umeå Hackerspace. Han har erbjudit Länstrafiken sin hjälp som svarar med att polisanmäla honom"
http://www.folkbladet.nu/244866/2011/03/08/manipulerade-busskort-for-att-visa-pa-brister-%E2%80%93-anmald

Länstrafiken Västerbotten är inte intresserad av någon hjälp med att rätta till problemen med datasystemet. Tom Westerberg jobbar som ekonomichef på Länstrafiken Västerbotten och har blivit kontaktad via mejl av Mikael Nordfeldth. – Jag kan bekräfta att han har kontaktat oss och problemet har kommit till vår kännedom. Efter det har vi polisanmält honom och det föreningen gjort".
http://www.folkbladet.nu/244868/2011/03/09/lanstrafiken-ar-inte-intresserad-av-att-fa-hjalp-med-systemet

[RoggaBoy]

Ser fram emot den nya generationen av samma system som man talar om i artikeln dock, kanske innehåller det systemet reskassa som Länstrafiken utlovade Hösten 2008 skulle lanseras inom någon månad.

Ja, de månaderna har passerats och blivit några år...

Biljettsystemet anges som en av orsakerna av Länstrafiken till att dom måste spara 30 miljoner i år, så hoppas man gör ett bättre köp denna gång!

[Jonas]

Hur kan man anmälan någon som självmant kommer till en för att hjälpa till??? 

[Staffan Sävenfjord]

Hur kan man anmälan någon som självmant kommer till en för att hjälpa till??? 

Han anmäldes för att han de facto förfalskat korten och dessutom via Youtube lärt ut hur man går till väga. Inte för att han ville hjälpa till.

[Jonas]

Han anmäldes för att han de facto förfalskat korten och dessutom via Youtube lärt ut hur man går till väga. Inte för att han ville hjälpa till.

OK, har han "lärt ut" och visat hur man ska förfalska korten hamnar ju det hela i ett annat läge...

[Ersa]

Ser fram emot den nya generationen av samma system som man talar om i artikeln dock, kanske innehåller det systemet reskassa som Länstrafiken utlovade Hösten 2008 skulle lanseras inom någon månad.

Ja, de månaderna har passerats och blivit några år...

Biljettsystemet anges som en av orsakerna av Länstrafiken till att dom måste spara 30 miljoner i år, så hoppas man gör ett bättre köp denna gång!

Uppgraderingen av biljettsystemet har ingenting med "reskassa" eller "udda resor" att göra. Dessa funktioner hade man kunnat koppla in i början av 2001 om man velat, men man har valt att spärra dem i Västerbotten och kan mycket väl fortsätta med det i 10 år till.
Jag antar uppgraderingen av biljettsystemet innebär att korten är anpassade till det nya rikstäckande reskortets standard, som SL Access redan är, och som BIMS i Mälardalen förhoppningsvis kommer att bli. Frågan är om Västernorrland och Jämtland som har exakt samma teknik kommer att uppdatera samtidigt.

[Olof Lagerkvist]

Uppgraderingen av biljettsystemet har ingenting med "reskassa" eller "udda resor" att göra. Dessa funktioner hade man kunnat koppla in i början av 2001 om man velat, men man har valt att spärra dem i Västerbotten och kan mycket väl fortsätta med det i 10 år till.
Jag antar uppgraderingen av biljettsystemet innebär att korten är anpassade till det nya rikstäckande reskortets standard, som SL Access redan är, och som BIMS i Mälardalen förhoppningsvis kommer att bli. Frågan är om Västernorrland och Jämtland som har exakt samma teknik kommer att uppdatera samtidigt.

Ja, något annat alternativ finns egentligen inte. Alla länstrafikhuvudmän är överens om att nya och uppgraderade kortsystem ska följa Resekortsstandarden.

[RoggaBoy]

Uppgraderingen av biljettsystemet har ingenting med "reskassa" eller "udda resor" att göra. Dessa funktioner hade man kunnat koppla in i början av 2001 om man velat, men man har valt att spärra dem i Västerbotten och kan mycket väl fortsätta med det i 10 år till.
Jag antar uppgraderingen av biljettsystemet innebär att korten är anpassade till det nya rikstäckande reskortets standard, som SL Access redan är, och som BIMS i Mälardalen förhoppningsvis kommer att bli. Frågan är om Västernorrland och Jämtland som har exakt samma teknik kommer att uppdatera samtidigt.

Nehe, inte för att det gör mig något då jag har länskort men visst kan dom fortsätta att spärra det som du säger i ett x antal år till fast man sa att "reskassa" skulle komma i slutet på 2008, eller var de kanske 2018?  

Skulle tro att V-norrland och Jämtland gör de med tanke på tågen också.

[Anders Noren]

OK, har han "lärt ut" och visat hur man ska förfalska korten hamnar ju det hela i ett annat läge...

Eftersom videon lades upp på Youtube igår (8 mars) så antar jag att videon är utlagd efter att Länstrafiken avvisat och polisanmält Nordfeldth. http://www.youtube.com/watch?v=gzBXiAxulFQ

"Bedrägeriet" har Nordfeldth begått hur som helst - videon är hans hämnd på Länstrafiken.

Här finns förresten Nordfeldths hela korrespondens med Länstrafiken, som började den 22 februari: http://blog.mmn-o.se/2011/03/07/planka-pa-bussen-i-umea/

[RoggaBoy]

I dagens VF (artikeln finns ej på nätet tyvärr) så står det att Länstrafiken inte kommer dra tillbaka polisanmälan då deras anlitade jurist anser att han gjort fel, och leverantören av systemet vill inte ha hjälp från andra utan lösa allt själv, men då kan man fråga sig varför man inte löst det tidigare då systemet köptes i Mars 2001 utan att man gjort någon riskanalys av detta system.

Nya uppgraderade versionen av biljttsystemet hoppas man skall vara klar vid nästa årsskifte. Man hade helst velat köpa ett nytt säkrare system men där säger en av ägarna, Landstinget Västerbotten nej till.

[Olof Lagerkvist]

I dagens VF (artikeln finns ej på nätet tyvärr) så står det att Länstrafiken inte kommer dra tillbaka polisanmälan då deras anlitade jurist anser att han gjort fel, och leverantören av systemet vill inte ha hjälp från andra utan lösa allt själv, men då kan man fråga sig varför man inte löst det tidigare då systemet köptes i Mars 2001 utan att man gjort någon riskanalys av detta system.

Jämför med sedlar, om du köper en bra kopiator och börjar kopiera 100-lappar hemma och provar att handla för sedlarna för att se om det fungerar kan du inte komma till Riksbanken och säga att du bara ville påtala ett säkerhetsproblem för att komma undan polisanmälan.

Varför utgår du från att man inte gjort någon riskanalys? Varför utgår du från att leverantören inte velat göra något åt säkerheten? Kan det inte vara så att leverantören ha varit öppen med hur det fungerat och talat om vilka risker som finns och vad man skulle kunnat göra för att säkra upp det men att beställaren tyckt att det skulle bli för dyrt? Jag vet alltså inte själv, men det är alltså inte riktigt självklart hur allt gått till.

Säkerhet i sådana här system är alltid något som måste vägas mot kostnaderna för säkerheten. Det är inte värt precis vad somhelst. Jag blir själv ganska trött på folk som klagar på de moderna resekorten och tycker att säkerheten är för dålig och tycker att det minsann minns mycket säkrare system. Det finns det ju naturligtvis, men det är sannerligen inte värt precis vad somhelst, t ex dubbelt så dyra kortläsare på alla bussar i Sverige bara för att undvika några få tänkbara bedrägerier. Jag skulle inte tycka om att mina skattepengar går till sånt istället för att utveckla kollektivtrafiken.

Det är allvarligt att ens försöka mixtra med betalsystem. Låt bli det. Om den här killen nu tycker det är så intressant med detta kunde han ju sökt jobb hos någon av alla oss som sysslar med kortsystem i Sverige, vi behöver bra folk. Men nu har han nog desvärre bränt den chansen ganska rejält. Det går liksom inte att hota sig fram för att göra sig populär.

Nya uppgraderade versionen av biljttsystemet hoppas man skall vara klar vid nästa årsskifte. Man hade helst velat köpa ett nytt säkrare system men där säger en av ägarna, Landstinget Västerbotten nej till.

Återigen, det har säkert med kostnader att göra. Landstinget i Västerbotten har säkert mycket bättre saker att lägga pengar på än att betala för utveckling av säkerhetslösningar i ett system som ändå snart ska bytas bara för att undvika några bedrägeririsker som ändå kanske inte är särskilt stora.

[RoggaBoy]

Jag har varken sagt att han gjort rätt eller fel, men självklart gjorde han nåt som inte var bra.

Varför utgår du från att man inte gjort någon riskanalys?
- För att Länstrafiken inte ens kan säga att man har gjort det pga att man sedan 2001 haft för mycket personalbyten i Lycksele så dom som idag jobbar där vet inte, men dom säger att dessa kort är väldigt vanliga världen över.

Varför utgår du från att leverantören inte velat göra något åt säkerheten?
- Eftersom Länstrafiken har ett underhålls- och supportavtal med leverantören så borde man väl annars på dessa 10år ha fixat säkerheten, eller? Nu väljer man istället att strunta i det i nuvarande system och inrikta sig på den nya generationen där säkerheten kommer att ses över istället.

Självklart är det en ekonomisk fråga och Länstrafiken skall nästa vecka den 23/3 i ett ägarsamråd presentera lösningen för hur man skall spara in 30 miljoner innan år 2011 är slut, och då kommer självklart ett nytt säkrare biljettsystem inte först på agendan.

Däremot har man ett intäktsbortfall på 1,5 miljoner för sms-biljetter men de är ändå långt upp till de saknade 30 miljonerna, till stor del enligt Länstrafiken själva pga att biljettsystemet inte fungerar som det skall!

[Olof Lagerkvist]

Varför utgår du från att leverantören inte velat göra något åt säkerheten?
- Eftersom Länstrafiken har ett underhålls- och supportavtal med leverantören så borde man väl annars på dessa 10år ha fixat säkerheten, eller? Nu väljer man istället att strunta i det i nuvarande system och inrikta sig på den nya generationen där säkerheten kommer att ses över istället.

Hur långt tycker du det är rimligt att gå för att "fixa säkerheten" då? Om man hade "fixat säkerheten" hade det naturligtvis fortfarande varit möjligt med bedrägerier, bara lite svårare, så frågan är hur långt man ska gå. Det måste givetvis vägas mot kostnaden för utvecklingen. I det systemet man köpt finns en viss nivå av säkerhet. Vill man ha högre säkerhet får man betala för utveckling av det upp till den nivå man vill ha. Hur långt är ett snöre förresten?

Självklart är det en ekonomisk fråga och Länstrafiken skall nästa vecka den 23/3 i ett ägarsamråd presentera lösningen för hur man skall spara in 30 miljoner innan år 2011 är slut, och då kommer självklart ett nytt säkrare biljettsystem inte först på agendan.

Däremot har man ett intäktsbortfall på 1,5 miljoner för sms-biljetter men de är ändå långt upp till de saknade 30 miljonerna, till stor del enligt Länstrafiken själva pga att biljettsystemet inte fungerar som det skall!

Jo men då har man en konkret kostnad att förhålla sig till så att beställaren kan kalkylera kring satsning på säkrare system, säkrare hantering, mer kontroller eller vad man nu behöver göra. Men att komma med hot om att man ska lägga ut instruktioner på YouTube hur man kringgår säkerheten i systemet är inget man kommer långt med. Det är svårt att verka seriös om man försöker få en beställare till sitt uppdrag genom någon form av gisslansituation.

[MMN-o]

Jämför med sedlar, om du köper en bra kopiator och börjar kopiera 100-lappar hemma och provar att handla för sedlarna för att se om det fungerar kan du inte komma till Riksbanken och säga att du bara ville påtala ett säkerhetsproblem för att komma undan polisanmälan.

Ja alltså om det skulle fungera vore det ju fruktansvärt ifall en kopiator kunde duplicera 100kr-sedlar. Dock är det inte så enkelt eftersom det är mycket praktiskt omständigt att kopiera pengar. Hade det fungerat med vanlig kopiator att trycka pengar är vi nog båda överens om att det vore omöjligt att hävda värde i en enda krona ö.h.t. Så därför är tyvärr ditt exempel fruktansvärt orealistiskt.

Den viktiga skillnaden med pengar som är i bruk jämte vad jag lyckades göra med busskorten är att busskorten i Västerbottens län i praktiken saknar all form av verifikation/legitimering. Ingen algoritm eller signatur av något slag, vilket t.ex. Resekortstandarden verkar ha enligt de rapporter jag tagit del av.

[...] men det är sannerligen inte värt precis vad somhelst, t ex dubbelt så dyra kortläsare på alla bussar i Sverige bara för att undvika några få tänkbara bedrägerier. Jag skulle inte tycka om att mina skattepengar går till sånt istället för att utveckla kollektivtrafiken.

Nu råkar det ju vara så att systemet inte är särskilt svårt att laga, eller åtminstone göra det lika opraktiskt som med pengar att försöka lura. Åtminstone inte ifall man t.ex. hade fått chans att göra det. Umeå Hackerspace har t.ex. inget vinstintresse men däremot intresse av att bidra med kunskap och hjälpa till att laga systemet. Problemet här är snarare att det är omöjligt på grund av avtalspraxis.

Om den här killen nu tycker det är så intressant med detta kunde han ju sökt jobb hos någon av alla oss som sysslar med kortsystem i Sverige, vi behöver bra folk. Men nu har han nog desvärre bränt den chansen ganska rejält. Det går liksom inte att hota sig fram för att göra sig populär.

Darnit. Nu hotade jag mig förvisso inte fram, men okej.

Men att komma med hot om att man ska lägga ut instruktioner på YouTube hur man kringgår säkerheten i systemet är inget man kommer långt med. Det är svårt att verka seriös om man försöker få en beställare till sitt uppdrag genom någon form av gisslansituation.

Något sådant har aldrig skett. Jag förstår inte var ditt resonemang kommer från. Hela min konversation med Länstrafiken i Västerbotten finns att läsa på min blogg, var jag inte finner något spår alls av någon slags hot eller informationsgisslantagande. Endast faktumet att jag skulle publicera information om det, men det är absolut inte olagligt och endast i syfte att göra så fler kan kräva en förändring pga sårbarheten mot _samtliga_ resenärers värdehandlingar.

[groenis]

Välkommen till forumet

Intressant att du ställer upp och talar om vad som kan förbättras,
Jobbade själv med varuautomater,"enarmade banditer" och lotteriautomater och dåtidens teknik att förhindra inbrott.
Varuautomatsföreningen fick det likställt med att stöld från automat skulle behandlas lagtextenligt som med stöld av person.

Modulteknik som levererade det första magnetsystemet enligt kontokortsystemet till SL jobbar hela tiden med att förhindra "kloner"
och kopior.

Med den teknikfart som Sverige håller så tror jag att de alltid behövs ögon utifrån för att påtala eventuella brister på systemen.

/Lennart