Umeå: "Manipulerade busskort för att påvisa brister – polisanmäld"

[Olof Lagerkvist]

Ja alltså om det skulle fungera vore det ju fruktansvärt ifall en kopiator kunde duplicera 100kr-sedlar. Dock är det inte så enkelt eftersom det är mycket praktiskt omständigt att kopiera pengar. Hade det fungerat med vanlig kopiator att trycka pengar är vi nog båda överens om att det vore omöjligt att hävda värde i en enda krona ö.h.t. Så därför är tyvärr ditt exempel fruktansvärt orealistiskt.

Jag ska erkänna att jag är ganska dålig på det där med jämförelser och jag kan erkänna att jag nog misslyckades med det här också. Det jag egentligen vill ha fram är att om du hittar något tekniskt förhållandevis enkelt sätt att kopiera sedlar tror jag ändå inte att det skulle uppskattas att började kopiera sedlar bara för att visa att det fungerar.

Den viktiga skillnaden med pengar som är i bruk jämte vad jag lyckades göra med busskorten är att busskorten i Västerbottens län i praktiken saknar all form av verifikation/legitimering.

Visst är detta en brist i systemet, det håller jag naturligtvis med om. Frågan är bara hur man bör göra när man upptäcker bristen och hur man kan påverka så att det blir någon förändring. Om du gör det genom att offentliggöra bristerna eller hota med att offentliggöra bristerna riskerar du bara att göra resenärernas pengar ännu mer osäkra. Jag tror egentligen inte det är det du önskar, så det är lite tråkigt om du gör något som får den konsekvensen. Det är inget som inger förtroende varken hos den som ursprunligen beställde systemet eller ursprungligen levererade systemet.

Ingen algoritm eller signatur av något slag, vilket t.ex. Resekortstandarden verkar ha enligt de rapporter jag tagit del av.

Just precis och Resekortsstandarden är bra på det viset att alla kollektivtrafikföretag är överens om att använda den i alla nya tillämpningar sedan några år tillbaka. Det är väl ingen imponerande säkerhet där heller egentligen, men jag tycker nog personligen att det får vara "tillräckligt bra" med tanke på kostnaderna som skulle krävas för att säkra upp det ännu mer. Men visst blev jag lite orolig för något år sedan när jag råkade snubbla över både diverse applikations-id och läsnyckel för Resekorten på nätet, men korten verkar ändå klarat sig bra från manipulering om man ser till att de ändå varit i drift i ganska många år nu.

Nu råkar det ju vara så att systemet inte är särskilt svårt att laga, eller åtminstone göra det lika opraktiskt som med pengar att försöka lura. Åtminstone inte ifall man t.ex. hade fått chans att göra det. Umeå Hackerspace har t.ex. inget vinstintresse men däremot intresse av att bidra med kunskap och hjälpa till att laga systemet. Problemet här är snarare att det är omöjligt på grund av avtalspraxis.

Det är ett ganska normalt avtal i sådana här sammanhang och det har flera olika anledningar. Det är väldigt svårt för ett företag som utvecklar den här typen av utrustning att få tillräcklig ekonomisk säkerhet om man inte skriver avtal om hur vidareutveckling, service, support m m ska ordnas. Det ju som du själv skriver inte riktigt jämförbart med att utveckla eller beställa Office-program eller liknande. Alternativet till sådana här avtalsklausuler skulle vara betydligt högre inköpspris för systemet och för beställaren en högre risk att leverantören helt enkelt inte finns kvar efter ett tag. Har leverantören avtal som ger kontinuerliga intäkter är också risken för detta mindre för beställaren.

Det blir ju också en ansvarsfråga i sådana här lägen som kan vara svår att reda ut i efterhand om något skulle gå snett. Om ni råkar göra något fel när ni "rättar till problemen", hur skulle ansvarsfrågan mellan beställaren, er och ursprungliga leverantören redas ut på ett sätt så att beställaren känner sig trygg med avtalet? Det är ganska svårt och ofta vill beställaren försäkra sig om att det finns en enda motpart i avtalet för att inte riskera dyra juridiska processer längre fram.

Däremot kan jag hålla med om att man bör ha med klausuler i avtalen om vad som händer om leverantören exempelvis försätts i konkurs. Men det är egentligen ett specialfall och inget som påverkar principen.

Darnit. Nu hotade jag mig förvisso inte fram, men okej.

Förstå mig rätt här nu, jag tror inte detta innebär något långsiktigt problem för dig. Men kortsystemsbranschen skulle säkert behöva nya infallsvinklar och friska ögon för att se på sakerna och därför tror jag någon med ditt sätt att se på sakerna och dina kunskaper skulle vara nyttig för branschen. Därför är det tråkigt att du gör på det här sättet istället, det bidrar inte till att du får förtroende bland de som arbetar med de här sakerna och knappast att du får förtroende från beställarhållet heller.

Det var ungefär det jag ville ha sagt. Välkommen till forumet förresten!

[Ersa]

Även jag önskar välkommen till forumet. Det är alltid kul att vi får ännu fler tekniskt kunniga deltagare här, som kan bidra till intressanta diskussioner

[MMN-o]

Tack för alla välkomnanden! Jag vill dock varna att jag mestadels registrerade mig för att jag hittade denna tråd om vad jag och föreningen Umeå Hackerspace hade gjort med busskorten. Så jag kanske inte deltar i särskilt många andra trådar, även om jag hittade till just detta forum tidigare någon gång när jag sökte diskussioner om systemet för SMS-biljetter till Umeås bussar.

Det jag egentligen vill ha fram är att om du hittar något tekniskt förhållandevis enkelt sätt att kopiera sedlar tror jag ändå inte att det skulle uppskattas att började kopiera sedlar bara för att visa att det fungerar.

För att liknelsen ska vara komplett (utöver enkelheten med busskorten jämte krånglet med sedlar) måste man även ta i beaktande att jag betalat för mina resor. Metoden brukar kallas proof of concept när sårbarheter påvisas och ämnar endast visa _att_ det går, inte orsaka några problem för någon. Med pengaexemplet hade man i så fall efter att ha producerat en fungerande sedelkopia förstört originalet. Typ.

Om du gör det genom att offentliggöra bristerna eller hota med att offentliggöra bristerna riskerar du bara att göra resenärernas pengar ännu mer osäkra.

Noteras bör att åtminstone inom min vän- och kommunikationskrets har det aldrig funnits stort förtroende för säkerhet i trådlösa tekniker. Slänger man ut något i etern ska man räkna med att det är osäkert. Specifikt Mifare Classic, som korttekniken i detta fall heter, så är det flertalet år sedan inhämtandet/knäckandet av nycklar blev välkänt enkelt att utföra.

Således vill jag mena att alla med den tekniska kompetensen att förstöra för systemet redan rimligen vetat om detta. Medan "ordinarie bussresenärer" inte haft någon aning. Därför vill jag meddela bussbolaget samt ordinarie bussresenärer, så att kunskapsklyftan inte utgör någon slags ovetandebubbla. Att systemet är sådär enkelt sårbart är en fråga om ansvarsfrihet för de som beställde såväl som sålde in systemet.

Det ju som du själv skriver inte riktigt jämförbart med att utveckla eller beställa Office-program eller liknande. Alternativet till sådana här avtalsklausuler skulle vara betydligt högre inköpspris för systemet och för beställaren en högre risk att leverantören helt enkelt inte finns kvar efter ett tag. Det blir ju också en ansvarsfråga i sådana här lägen som kan vara svår att reda ut i efterhand om något skulle gå snett. Om ni råkar göra något fel när ni "rättar till problemen" [...]

Dessa saker diskuteras hastigt i inlägget men utvecklas i kommentarsfältet. Jag vill mena att den sammanlagda utgiften för t.ex. RKF-specen hos samtliga leverantörer är tillräcklig för att man från bussbolagens sida ska kunna kräva källkod och annat systemkritiskt.

Givetvis kan t.ex. ett supportavtal upprätthållas - möjligheten att modifiera är endast ifall (vilket är otaligt många gånger visat) leverantören inte kan hålla önskade tidsramar. Det blir en bättre konkurrenssituation och den enda som förlorar på det är den som ej kan leverera en bra tjänst eller produkt. Fast denna tråd kanske är fel plats att diskutera fri mjukvara .)

Därför är det tråkigt att du gör på det här sättet istället, det bidrar inte till att du får förtroende bland de som arbetar med de här sakerna och knappast att du får förtroende från beställarhållet heller.

Ärligt talat kanske jag inte vill ha förtroende från ett företag som säljer in en såhär erkänt sårbar produkt, eller för den delen inte uppdaterar/underhåller det när sårbarheterna påvisas. Det är ju inte direkt så det råder brist på tillfredställande sysselsättning för teknikintresserade i dessa dagar, så jag klarar mig nog. .)

Men absolut, jag förstår att "avslöjandet" kan upplevas uppkäftigt. Dock tycker jag, när jag håller i åtanke vad jag läst redan för flera år sedan, att ingen bör vara förvånad. Som jag nämnt är det tyvärr fruktansvärt enkelt (utan spärrar/vettiga krypteringsalgoritmer) att manipulera busskorten. Därför bör fler veta om det för att kunna kräva en förändring, vilket jag nämnde i P4-intervjun.

[Olof Lagerkvist]

Noteras bör att åtminstone inom min vän- och kommunikationskrets har det aldrig funnits stort förtroende för säkerhet i trådlösa tekniker. Slänger man ut något i etern ska man räkna med att det är osäkert. Specifikt Mifare Classic, som korttekniken i detta fall heter, så är det flertalet år sedan inhämtandet/knäckandet av nycklar blev välkänt enkelt att utföra.
Således vill jag mena att alla med den tekniska kompetensen att förstöra för systemet redan rimligen vetat om detta.

Det blir nog oftast det sättet att se på saken om man bara ser det tekniska i det hela och inte tar hänsyn till kostnader, utrustning som krävs, fördelar och nackdelar med att följa standarder m m. Som jag sagt tidigare, jag håller med om att Mifare Classic inte är det säkraste som finns på marknaden idag. Men det används väldigt frekvent vilket innebär att utrustningen är förhållandevis billig, det finns gott om utvecklingsverktyg och utvecklingskompetens och även om det för flera år sedan påvisats hur man kan manipulera korten har det inte skett i någon ohanterbar omfattning så att beställarna av systemen kunnat motiverat merkostnaden med dyrare utrustning. Så enkelt är det, allt är inte enbart teknik.

Ärligt talat kanske jag inte vill ha förtroende från ett företag som säljer in en såhär erkänt sårbar produkt, eller för den delen inte uppdaterar/underhåller det när sårbarheterna påvisas. Det är ju inte direkt så det råder brist på tillfredställande sysselsättning för teknikintresserade i dessa dagar, så jag klarar mig nog. .)

Ja, för att förtydliga ännu mer, jag tror inte du går miste om något nämnvärt, jag tror det är kortsystemsbranschen som går minste om dig och din kunskap och dina infallsvinklar eftersom du valt att inte påverka den inifrån utan istället attackera den. Något jag bara kan beklaga.

Men absolut, jag förstår att "avslöjandet" kan upplevas uppkäftigt. Dock tycker jag, när jag håller i åtanke vad jag läst redan för flera år sedan, att ingen bör vara förvånad. Som jag nämnt är det tyvärr fruktansvärt enkelt (utan spärrar/vettiga krypteringsalgoritmer) att manipulera busskorten. Därför bör fler veta om det för att kunna kräva en förändring, vilket jag nämnde i P4-intervjun.

Metoden brukar kallas proof of concept när sårbarheter påvisas och ämnar endast visa _att_ det går, inte orsaka några problem för någon. Med pengaexemplet hade man i så fall efter att ha producerat en fungerande sedelkopia förstört originalet. Typ.

Jag personligen är absolut inte förvånad eftersom jag känt till sådana här saker i många år. Tänk till exempel på hur otroligt enkelt det var att manipulera de gamla magnetkorten som var i drift i södra Sverige i runt 15 år, ändå förekom det inte i någon större omfattning, mycket eftersom människor hade förtroende för systemet och respekterade att det handlade om ekonomiska värden. Alltså inte enbart brist på kunskap om hur manipulerbart systemet var.

Jag är inte heller förvånad över bankkortsskimming och annat som pågår överallt. Det blir naturligtvis en kapplöpning i takt med den tekniska utvecklingen där nivån för vilka manipuleringar m m som blir ohanterbart omfattande står för de ekonomiska incitamenten att göra något åt problemen. Så länge vi har elektroniska betalsystem i drift i världen tror jag säkert att det kommer att fortsätta så här.

Men precis som med sedlar och mynt fungerar det så länge de allra flesta har förtroende för att det fungerar och ser värdet i det. Därför kan ett sådant här avslöjande när det gäller ekonomiska värden få till följd att du som avslöjat bristerna faktiskt blir den som orsakar att osäkerheten kring systemet blir så stor så att inte användarna längre får förtroende och litar på det ekonomiska värdet vilket leder till att det ekonomiska värdet försvinner. Detta alldeles oavsett om det rent tekniskt bara är ett "proof of concept". Det är knepigt det där med ekonomi. Det följer inte riktigt samma principer och konsekvenser som teknik, eftersom ekonomiskt värde bara skapas av människors förtroende för det.

Därför anser jag att man inte ska manipulera betalsystem, inte ens för att påvisa några tekniska brister.

[Andy]

Men precis som med sedlar och mynt fungerar det så länge de allra flesta har förtroende för att det fungerar och ser värdet i det. Därför kan ett sådant här avslöjande när det gäller ekonomiska värden få till följd att du som avslöjat bristerna faktiskt blir den som orsakar att osäkerheten kring systemet blir så stor så att inte användarna längre får förtroende och litar på det ekonomiska värdet vilket leder till att det ekonomiska värdet försvinner.

Det är väl inte allmänheten som ska ha förtroende för att biljetten inte är förfalskad? Förutom om man köper biljetten och riskerar att inte kunna åka på den sen förstås. Resenären vill väl bara vara säker på att få åka med bussen om man betalat för det?

Om Länstrafiken å sin sida övervärderat systemet är det väl bra att de fick reda på sanningen?

[Olof Lagerkvist]

Det är väl inte allmänheten som ska ha förtroende för att biljetten inte är förfalskad? Förutom om man köper biljetten och riskerar att inte kunna åka på den sen förstås. Resenären vill väl bara vara säker på att få åka med bussen om man betalat för det?

Jag tror det finns flera aspekter på den saken. För att alla parter ska ha förtroende för ett elektroniskt betalningssystem krävs naturligtvis att användarna som har sina pengar insatta i systemet litar på att insatta pengarna finns kvar och kan användas för betalning och systembeställaren måste kunna lita på att kunna få betalt på ett korrekt sätt av systemet och att inte pengar och betalningar i systemet går att förfalska i för stor omfattning.

Med "för stor omfattning" menar jag att känna sig trygg med att förfalskningar inte kommer att förekomma i ohanterbart stor omfattning. Man betalar för säkrare system till den gräns där säkerheten kostar mer än man skulle kunnat förlorat på eventuella bedrägerier, ungefär. I detta ligger ju också moraliska aspekter, dvs hur stor moralen att betala för produkten är i den bransch systembeställaren befinner sig. Så länge de flesta faktiskt vill göra rätt för sig och vill betala biljetterna och inser att det är brottslig förfalskning att "tillverka egna pengar" i betalsystemet kan det exempelvis finnas mindre vilja att lägga ekonomiska resurser på säkerheten i systemet.

Om Länstrafiken å sin sida övervärderat systemet är det väl bra att de fick reda på sanningen?

Jag vet inte exakt hur det gått till, men som jag sagt tidigare, det kan vara så att man är medveten om bristerna men att man inte har någon rimlig möjlighet att göra något åt det av ekonomiska eller andra skäl. Det är mer den principiella problematiken med att påvisa säkerhetsbrister i betalsystem jag kommenterar här.