"Att manipulera Länstrafikens busskort och datasystem är enkelt – det konstaterar Mikael Nordfeldth från föreningen Umeå Hackerspace. Han har erbjudit Länstrafiken sin hjälp som svarar med att polisanmäla honom"
http://www.folkbladet.nu/244866/2011/03/08/manipulerade-busskort-for-att-visa-pa-brister-%E2%80%93-anmald
Länstrafiken Västerbotten är inte intresserad av någon hjälp med att rätta till problemen med datasystemet. Tom Westerberg jobbar som ekonomichef på Länstrafiken Västerbotten och har blivit kontaktad via mejl av Mikael Nordfeldth. – Jag kan bekräfta att han har kontaktat oss och problemet har kommit till vår kännedom. Efter det har vi polisanmält honom och det föreningen gjort".
http://www.folkbladet.nu/244868/2011/03/09/lanstrafiken-ar-inte-intresserad-av-att-fa-hjalp-med-systemet
Ser fram emot den nya generationen av samma system som man talar om i artikeln dock, kanske innehåller det systemet reskassa som Länstrafiken utlovade Hösten 2008 skulle lanseras inom någon månad.
Ja, de månaderna har passerats och blivit några år...
Biljettsystemet anges som en av orsakerna av Länstrafiken till att dom måste spara 30 miljoner i år, så hoppas man gör ett bättre köp denna gång!
Hur kan man anmälan någon som självmant kommer till en för att hjälpa till??? ???
Citat från: Z skrivet 09 mars 2011, 18:51:07 PM
Hur kan man anmälan någon som självmant kommer till en för att hjälpa till??? ???
Han anmäldes för att han de facto förfalskat korten och dessutom via Youtube lärt ut hur man går till väga. Inte för att han ville hjälpa till.
Citat från: Staffan Sävenfjord skrivet 09 mars 2011, 18:55:31 PM
Han anmäldes för att han de facto förfalskat korten och dessutom via Youtube lärt ut hur man går till väga. Inte för att han ville hjälpa till.
OK, har han "lärt ut" och visat hur man ska förfalska korten hamnar ju det hela i ett annat läge...
Citat från: RoggaBoy skrivet 09 mars 2011, 18:42:51 PM
Ser fram emot den nya generationen av samma system som man talar om i artikeln dock, kanske innehåller det systemet reskassa som Länstrafiken utlovade Hösten 2008 skulle lanseras inom någon månad.
Ja, de månaderna har passerats och blivit några år...
Biljettsystemet anges som en av orsakerna av Länstrafiken till att dom måste spara 30 miljoner i år, så hoppas man gör ett bättre köp denna gång!
Uppgraderingen av biljettsystemet har ingenting med "reskassa" eller "udda resor" att göra. Dessa funktioner hade man kunnat koppla in i början av 2001 om man velat, men man har valt att spärra dem i Västerbotten och kan mycket väl fortsätta med det i 10 år till.
Jag antar uppgraderingen av biljettsystemet innebär att korten är anpassade till det nya rikstäckande reskortets standard, som SL Access redan är, och som BIMS i Mälardalen förhoppningsvis kommer att bli. Frågan är om Västernorrland och Jämtland som har exakt samma teknik kommer att uppdatera samtidigt.
Citat från: Ersa skrivet 09 mars 2011, 19:20:07 PM
Uppgraderingen av biljettsystemet har ingenting med "reskassa" eller "udda resor" att göra. Dessa funktioner hade man kunnat koppla in i början av 2001 om man velat, men man har valt att spärra dem i Västerbotten och kan mycket väl fortsätta med det i 10 år till.
Jag antar uppgraderingen av biljettsystemet innebär att korten är anpassade till det nya rikstäckande reskortets standard, som SL Access redan är, och som BIMS i Mälardalen förhoppningsvis kommer att bli. Frågan är om Västernorrland och Jämtland som har exakt samma teknik kommer att uppdatera samtidigt.
Ja, något annat alternativ finns egentligen inte. Alla länstrafikhuvudmän är överens om att nya och uppgraderade kortsystem ska följa Resekortsstandarden.
Citat från: Ersa skrivet 09 mars 2011, 19:20:07 PM
Uppgraderingen av biljettsystemet har ingenting med "reskassa" eller "udda resor" att göra. Dessa funktioner hade man kunnat koppla in i början av 2001 om man velat, men man har valt att spärra dem i Västerbotten och kan mycket väl fortsätta med det i 10 år till.
Jag antar uppgraderingen av biljettsystemet innebär att korten är anpassade till det nya rikstäckande reskortets standard, som SL Access redan är, och som BIMS i Mälardalen förhoppningsvis kommer att bli. Frågan är om Västernorrland och Jämtland som har exakt samma teknik kommer att uppdatera samtidigt.
Nehe, inte för att det gör mig något då jag har länskort men visst kan dom fortsätta att spärra det som du säger i ett x antal år till fast man sa att "reskassa" skulle komma i slutet på 2008, eller var de kanske 2018? ;)
Skulle tro att V-norrland och Jämtland gör de med tanke på tågen också.
Citat från: Z skrivet 09 mars 2011, 19:08:58 PM
OK, har han "lärt ut" och visat hur man ska förfalska korten hamnar ju det hela i ett annat läge...
Eftersom videon lades upp på Youtube igår (8 mars) så antar jag att videon är utlagd
efter att Länstrafiken avvisat och polisanmält Nordfeldth. http://www.youtube.com/watch?v=gzBXiAxulFQ (http://www.youtube.com/watch?v=gzBXiAxulFQ)
"Bedrägeriet" har Nordfeldth begått hur som helst - videon är hans hämnd på Länstrafiken.
Här finns förresten Nordfeldths hela korrespondens med Länstrafiken, som började den 22 februari: http://blog.mmn-o.se/2011/03/07/planka-pa-bussen-i-umea/ (http://blog.mmn-o.se/2011/03/07/planka-pa-bussen-i-umea/)
I dagens VF (artikeln finns ej på nätet tyvärr) så står det att Länstrafiken inte kommer dra tillbaka polisanmälan då deras anlitade jurist anser att han gjort fel, och leverantören av systemet vill inte ha hjälp från andra utan lösa allt själv, men då kan man fråga sig varför man inte löst det tidigare då systemet köptes i Mars 2001 utan att man gjort någon riskanalys av detta system.
Nya uppgraderade versionen av biljttsystemet hoppas man skall vara klar vid nästa årsskifte. Man hade helst velat köpa ett nytt säkrare system men där säger en av ägarna, Landstinget Västerbotten nej till.
Citat från: RoggaBoy skrivet 16 mars 2011, 17:59:49 PM
I dagens VF (artikeln finns ej på nätet tyvärr) så står det att Länstrafiken inte kommer dra tillbaka polisanmälan då deras anlitade jurist anser att han gjort fel, och leverantören av systemet vill inte ha hjälp från andra utan lösa allt själv, men då kan man fråga sig varför man inte löst det tidigare då systemet köptes i Mars 2001 utan att man gjort någon riskanalys av detta system.
Jämför med sedlar, om du köper en bra kopiator och börjar kopiera 100-lappar hemma och provar att handla för sedlarna för att se om det fungerar kan du inte komma till Riksbanken och säga att du bara ville påtala ett säkerhetsproblem för att komma undan polisanmälan.
Varför utgår du från att man inte gjort någon riskanalys? Varför utgår du från att leverantören inte velat göra något åt säkerheten? Kan det inte vara så att leverantören ha varit öppen med hur det fungerat och talat om vilka risker som finns och vad man skulle kunnat göra för att säkra upp det men att beställaren tyckt att det skulle bli för dyrt? Jag vet alltså inte själv, men det är alltså inte riktigt självklart hur allt gått till.
Säkerhet i sådana här system är alltid något som måste vägas mot kostnaderna för säkerheten. Det är inte värt precis vad somhelst. Jag blir själv ganska trött på folk som klagar på de moderna resekorten och tycker att säkerheten är för dålig och tycker att det minsann minns mycket säkrare system. Det finns det ju naturligtvis, men det är sannerligen inte värt precis vad somhelst, t ex dubbelt så dyra kortläsare på alla bussar i Sverige bara för att undvika några få tänkbara bedrägerier. Jag skulle inte tycka om att mina skattepengar går till sånt istället för att utveckla kollektivtrafiken.
Det
är allvarligt att ens försöka mixtra med betalsystem. Låt bli det. Om den här killen nu tycker det är så intressant med detta kunde han ju sökt jobb hos någon av alla oss som sysslar med kortsystem i Sverige, vi behöver bra folk. Men nu har han nog desvärre bränt den chansen ganska rejält. Det går liksom inte att hota sig fram för att göra sig populär.
Citat från: RoggaBoy skrivet 16 mars 2011, 17:59:49 PM
Nya uppgraderade versionen av biljttsystemet hoppas man skall vara klar vid nästa årsskifte. Man hade helst velat köpa ett nytt säkrare system men där säger en av ägarna, Landstinget Västerbotten nej till.
Återigen, det har säkert med kostnader att göra. Landstinget i Västerbotten har säkert mycket bättre saker att lägga pengar på än att betala för utveckling av säkerhetslösningar i ett system som ändå snart ska bytas bara för att undvika några bedrägeririsker som ändå kanske inte är särskilt stora.
Jag har varken sagt att han gjort rätt eller fel, men självklart gjorde han nåt som inte var bra.
Varför utgår du från att man inte gjort någon riskanalys?
- För att Länstrafiken inte ens kan säga att man har gjort det pga att man sedan 2001 haft för mycket personalbyten i Lycksele så dom som idag jobbar där vet inte, men dom säger att dessa kort är väldigt vanliga världen över.
Varför utgår du från att leverantören inte velat göra något åt säkerheten?
- Eftersom Länstrafiken har ett underhålls- och supportavtal med leverantören så borde man väl annars på dessa 10år ha fixat säkerheten, eller? Nu väljer man istället att strunta i det i nuvarande system och inrikta sig på den nya generationen där säkerheten kommer att ses över istället.
Självklart är det en ekonomisk fråga och Länstrafiken skall nästa vecka den 23/3 i ett ägarsamråd presentera lösningen för hur man skall spara in 30 miljoner innan år 2011 är slut, och då kommer självklart ett nytt säkrare biljettsystem inte först på agendan.
Däremot har man ett intäktsbortfall på 1,5 miljoner för sms-biljetter men de är ändå långt upp till de saknade 30 miljonerna, till stor del enligt Länstrafiken själva pga att biljettsystemet inte fungerar som det skall!
Citat från: RoggaBoy skrivet 16 mars 2011, 18:45:28 PM
Varför utgår du från att leverantören inte velat göra något åt säkerheten?
- Eftersom Länstrafiken har ett underhålls- och supportavtal med leverantören så borde man väl annars på dessa 10år ha fixat säkerheten, eller? Nu väljer man istället att strunta i det i nuvarande system och inrikta sig på den nya generationen där säkerheten kommer att ses över istället.
Hur långt tycker du det är rimligt att gå för att "fixa säkerheten" då? Om man hade "fixat säkerheten" hade det naturligtvis fortfarande varit möjligt med bedrägerier, bara lite svårare, så frågan är hur långt man ska gå. Det måste givetvis vägas mot kostnaden för utvecklingen. I det systemet man köpt finns en viss nivå av säkerhet. Vill man ha högre säkerhet får man betala för utveckling av det upp till den nivå man vill ha. Hur långt är ett snöre förresten? ;)
Citat från: RoggaBoy skrivet 16 mars 2011, 18:45:28 PM
Självklart är det en ekonomisk fråga och Länstrafiken skall nästa vecka den 23/3 i ett ägarsamråd presentera lösningen för hur man skall spara in 30 miljoner innan år 2011 är slut, och då kommer självklart ett nytt säkrare biljettsystem inte först på agendan.
Däremot har man ett intäktsbortfall på 1,5 miljoner för sms-biljetter men de är ändå långt upp till de saknade 30 miljonerna, till stor del enligt Länstrafiken själva pga att biljettsystemet inte fungerar som det skall!
Jo men då har man en konkret kostnad att förhålla sig till så att beställaren kan kalkylera kring satsning på säkrare system, säkrare hantering, mer kontroller eller vad man nu behöver göra. Men att komma med hot om att man ska lägga ut instruktioner på YouTube hur man kringgår säkerheten i systemet är inget man kommer långt med. Det är svårt att verka seriös om man försöker få en beställare till sitt uppdrag genom någon form av gisslansituation.
Citat från: Olof Lagerkvist skrivet 16 mars 2011, 18:27:32 PM
Jämför med sedlar, om du köper en bra kopiator och börjar kopiera 100-lappar hemma och provar att handla för sedlarna för att se om det fungerar kan du inte komma till Riksbanken och säga att du bara ville påtala ett säkerhetsproblem för att komma undan polisanmälan.
Ja alltså om det skulle fungera vore det ju fruktansvärt ifall en kopiator kunde duplicera 100kr-sedlar. Dock är det inte så enkelt eftersom det är mycket praktiskt omständigt att kopiera pengar. Hade det fungerat med vanlig kopiator att trycka pengar är vi nog båda överens om att det vore omöjligt att hävda värde i en enda krona ö.h.t. Så därför är tyvärr ditt exempel fruktansvärt orealistiskt.
Den viktiga skillnaden med pengar som är i bruk jämte vad jag lyckades göra med busskorten är att busskorten i Västerbottens län i praktiken saknar all form av verifikation/legitimering. Ingen algoritm eller signatur av något slag, vilket t.ex. Resekortstandarden verkar ha enligt de rapporter jag tagit del av.
Citat från: Olof Lagerkvist skrivet 16 mars 2011, 18:27:32 PM[...] men det är sannerligen inte värt precis vad somhelst, t ex dubbelt så dyra kortläsare på alla bussar i Sverige bara för att undvika några få tänkbara bedrägerier. Jag skulle inte tycka om att mina skattepengar går till sånt istället för att utveckla kollektivtrafiken.
Nu råkar det ju vara så att systemet inte är särskilt svårt att laga, eller åtminstone göra det lika opraktiskt som med pengar att försöka lura. Åtminstone inte ifall man t.ex. hade fått chans att göra det. Umeå Hackerspace har t.ex. inget vinstintresse men däremot intresse av att bidra med kunskap och hjälpa till att laga systemet. Problemet här är snarare att det är omöjligt på grund av avtalspraxis (http://blog.mmn-o.se/2011/03/16/fri-mjukvara-hade-lost-busskortproblemen/).
Citat från: Olof Lagerkvist skrivet 16 mars 2011, 18:27:32 PMOm den här killen nu tycker det är så intressant med detta kunde han ju sökt jobb hos någon av alla oss som sysslar med kortsystem i Sverige, vi behöver bra folk. Men nu har han nog desvärre bränt den chansen ganska rejält. Det går liksom inte att hota sig fram för att göra sig populär.
Darnit. Nu hotade jag mig förvisso inte fram, men okej.
Citat från: Olof Lagerkvist skrivet 16 mars 2011, 19:03:28 PMMen att komma med hot om att man ska lägga ut instruktioner på YouTube hur man kringgår säkerheten i systemet är inget man kommer långt med. Det är svårt att verka seriös om man försöker få en beställare till sitt uppdrag genom någon form av gisslansituation.
Något sådant har aldrig skett. Jag förstår inte var ditt resonemang kommer från. Hela min konversation med Länstrafiken i Västerbotten finns att läsa på min blogg (http://blog.mmn-o.se/2011/03/07/planka-pa-bussen-i-umea/), var jag inte finner något spår alls av någon slags hot eller informationsgisslantagande. Endast faktumet att jag skulle publicera information om det, men det är absolut inte olagligt och endast i syfte att (http://blog.mmn-o.se/2011/03/09/syftet-med-busskort-fipplet/) göra så fler kan kräva en förändring pga sårbarheten mot _samtliga_ resenärers värdehandlingar.
Välkommen till forumet
Intressant att du ställer upp och talar om vad som kan förbättras,
Jobbade själv med varuautomater,"enarmade banditer" och lotteriautomater och dåtidens teknik att förhindra inbrott.
Varuautomatsföreningen fick det likställt med att stöld från automat skulle behandlas lagtextenligt som med stöld av person.
Modulteknik som levererade det första magnetsystemet enligt kontokortsystemet till SL jobbar hela tiden med att förhindra "kloner"
och kopior.
Med den teknikfart som Sverige håller så tror jag att de alltid behövs ögon utifrån för att påtala eventuella brister på systemen.
/Lennart
Citat från: MMN-o skrivet 29 mars 2011, 21:23:11 PM
Ja alltså om det skulle fungera vore det ju fruktansvärt ifall en kopiator kunde duplicera 100kr-sedlar. Dock är det inte så enkelt eftersom det är mycket praktiskt omständigt att kopiera pengar. Hade det fungerat med vanlig kopiator att trycka pengar är vi nog båda överens om att det vore omöjligt att hävda värde i en enda krona ö.h.t. Så därför är tyvärr ditt exempel fruktansvärt orealistiskt.
Jag ska erkänna att jag är ganska dålig på det där med jämförelser och jag kan erkänna att jag nog misslyckades med det här också. Det jag egentligen vill ha fram är att om du hittar något tekniskt förhållandevis enkelt sätt att kopiera sedlar tror jag ändå inte att det skulle uppskattas att började kopiera sedlar bara för att visa att det fungerar.
Citat från: MMN-o skrivet 29 mars 2011, 21:23:11 PM
Den viktiga skillnaden med pengar som är i bruk jämte vad jag lyckades göra med busskorten är att busskorten i Västerbottens län i praktiken saknar all form av verifikation/legitimering.
Visst är detta en brist i systemet, det håller jag naturligtvis med om. Frågan är bara hur man bör göra när man upptäcker bristen och hur man kan påverka så att det blir någon förändring. Om du gör det genom att offentliggöra bristerna eller hota med att offentliggöra bristerna riskerar du bara att göra resenärernas pengar ännu mer osäkra. Jag tror egentligen inte det är det du önskar, så det är lite tråkigt om du gör något som får den konsekvensen. Det är inget som inger förtroende varken hos den som ursprunligen beställde systemet eller ursprungligen levererade systemet.
Citat från: MMN-o skrivet 29 mars 2011, 21:23:11 PM
Ingen algoritm eller signatur av något slag, vilket t.ex. Resekortstandarden verkar ha enligt de rapporter jag tagit del av.
Just precis och Resekortsstandarden är bra på det viset att alla kollektivtrafikföretag är överens om att använda den i alla nya tillämpningar sedan några år tillbaka. Det är väl ingen imponerande säkerhet där heller egentligen, men jag tycker nog personligen att det får vara "tillräckligt bra" med tanke på kostnaderna som skulle krävas för att säkra upp det ännu mer. Men visst blev jag lite orolig för något år sedan när jag råkade snubbla över både diverse applikations-id och läsnyckel för Resekorten på nätet, men korten verkar ändå klarat sig bra från manipulering om man ser till att de ändå varit i drift i ganska många år nu.
Citat från: MMN-o skrivet 29 mars 2011, 21:23:11 PM
Nu råkar det ju vara så att systemet inte är särskilt svårt att laga, eller åtminstone göra det lika opraktiskt som med pengar att försöka lura. Åtminstone inte ifall man t.ex. hade fått chans att göra det. Umeå Hackerspace har t.ex. inget vinstintresse men däremot intresse av att bidra med kunskap och hjälpa till att laga systemet. Problemet här är snarare att det är omöjligt på grund av avtalspraxis (http://blog.mmn-o.se/2011/03/16/fri-mjukvara-hade-lost-busskortproblemen/).
Det är ett ganska normalt avtal i sådana här sammanhang och det har flera olika anledningar. Det är väldigt svårt för ett företag som utvecklar den här typen av utrustning att få tillräcklig ekonomisk säkerhet om man inte skriver avtal om hur vidareutveckling, service, support m m ska ordnas. Det ju som du själv skriver inte riktigt jämförbart med att utveckla eller beställa Office-program eller liknande. Alternativet till sådana här avtalsklausuler skulle vara betydligt högre inköpspris för systemet och för beställaren en högre risk att leverantören helt enkelt inte finns kvar efter ett tag. Har leverantören avtal som ger kontinuerliga intäkter är också risken för detta mindre för beställaren.
Det blir ju också en ansvarsfråga i sådana här lägen som kan vara svår att reda ut i efterhand om något skulle gå snett. Om ni råkar göra något fel när ni "rättar till problemen", hur skulle ansvarsfrågan mellan beställaren, er och ursprungliga leverantören redas ut på ett sätt så att beställaren känner sig trygg med avtalet? Det är ganska svårt och ofta vill beställaren försäkra sig om att det finns en enda motpart i avtalet för att inte riskera dyra juridiska processer längre fram.
Däremot kan jag hålla med om att man bör ha med klausuler i avtalen om vad som händer om leverantören exempelvis försätts i konkurs. Men det är egentligen ett specialfall och inget som påverkar principen.
Citat från: MMN-o skrivet 29 mars 2011, 21:23:11 PM
Darnit. Nu hotade jag mig förvisso inte fram, men okej.
Förstå mig rätt här nu, jag tror inte detta innebär något långsiktigt problem för dig. Men kortsystemsbranschen skulle säkert behöva nya infallsvinklar och friska ögon för att se på sakerna och därför tror jag någon med ditt sätt att se på sakerna och dina kunskaper skulle vara nyttig för branschen. Därför är det tråkigt att du gör på det här sättet istället, det bidrar inte till att du får förtroende bland de som arbetar med de här sakerna och knappast att du får förtroende från beställarhållet heller.
Det var ungefär det jag ville ha sagt. Välkommen till forumet förresten! :)
Även jag önskar välkommen till forumet. Det är alltid kul att vi får ännu fler tekniskt kunniga deltagare här, som kan bidra till intressanta diskussioner :)
Tack för alla välkomnanden! Jag vill dock varna att jag mestadels registrerade mig för att jag hittade denna tråd om vad jag och föreningen Umeå Hackerspace hade gjort med busskorten. Så jag kanske inte deltar i särskilt många andra trådar, även om jag hittade till just detta forum tidigare någon gång när jag sökte diskussioner om (http://www.omnibuss.se/forum/index.php?topic=34419.0) systemet för SMS-biljetter (http://blog.mmn-o.se/2010/12/19/en-siffra-narmare-bussarnas-kod-i-sms-biljett/) till Umeås bussar.
Citat från: Olof Lagerkvist skrivet 30 mars 2011, 08:31:37 AMDet jag egentligen vill ha fram är att om du hittar något tekniskt förhållandevis enkelt sätt att kopiera sedlar tror jag ändå inte att det skulle uppskattas att började kopiera sedlar bara för att visa att det fungerar.
För att liknelsen ska vara komplett (utöver enkelheten med busskorten jämte krånglet med sedlar) måste man även ta i beaktande att jag betalat för mina resor. Metoden brukar kallas
proof of concept när sårbarheter påvisas och ämnar endast visa _att_ det går, inte orsaka några problem för någon. Med pengaexemplet hade man i så fall efter att ha producerat en fungerande sedelkopia förstört originalet. Typ.
Citat från: Olof Lagerkvist skrivet 30 mars 2011, 08:31:37 AMOm du gör det genom att offentliggöra bristerna eller hota med att offentliggöra bristerna riskerar du bara att göra resenärernas pengar ännu mer osäkra.
Noteras bör att åtminstone inom min vän- och kommunikationskrets har det aldrig funnits stort förtroende för säkerhet i trådlösa tekniker. Slänger man ut något i etern ska man räkna med att det är osäkert. Specifikt Mifare Classic, som korttekniken i detta fall heter, så är det flertalet år sedan inhämtandet/knäckandet av nycklar blev välkänt enkelt att utföra.
Således vill jag mena att alla med den tekniska kompetensen att förstöra för systemet redan rimligen vetat om detta. Medan "ordinarie bussresenärer" inte haft någon aning. Därför vill jag meddela bussbolaget samt ordinarie bussresenärer, så att kunskapsklyftan inte utgör någon slags ovetandebubbla. Att systemet är sådär enkelt sårbart är en
fråga om ansvarsfrihet för de som beställde såväl som sålde in systemet.
Citat från: Olof Lagerkvist skrivet 30 mars 2011, 08:31:37 AMDet ju som du själv skriver inte riktigt jämförbart med att utveckla eller beställa Office-program eller liknande. Alternativet till sådana här avtalsklausuler skulle vara betydligt högre inköpspris för systemet och för beställaren en högre risk att leverantören helt enkelt inte finns kvar efter ett tag. Det blir ju också en ansvarsfråga i sådana här lägen som kan vara svår att reda ut i efterhand om något skulle gå snett. Om ni råkar göra något fel när ni "rättar till problemen" [...]
Dessa saker diskuteras hastigt i inlägget men utvecklas i kommentarsfältet. Jag vill mena att den sammanlagda utgiften för t.ex. RKF-specen hos samtliga leverantörer är tillräcklig för att man från bussbolagens sida ska kunna kräva källkod och annat systemkritiskt.
Givetvis kan t.ex. ett supportavtal upprätthållas - möjligheten att modifiera är endast ifall (vilket är otaligt många gånger visat) leverantören inte kan hålla önskade tidsramar. Det blir en bättre konkurrenssituation och den enda som förlorar på det är den som ej kan leverera en bra tjänst eller produkt. Fast denna tråd kanske är fel plats att diskutera fri mjukvara .)
Citat från: Olof Lagerkvist skrivet 30 mars 2011, 08:31:37 AMDärför är det tråkigt att du gör på det här sättet istället, det bidrar inte till att du får förtroende bland de som arbetar med de här sakerna och knappast att du får förtroende från beställarhållet heller.
Ärligt talat kanske jag inte vill ha förtroende från ett företag som säljer in en såhär erkänt sårbar produkt, eller för den delen inte uppdaterar/underhåller det när sårbarheterna påvisas. Det är ju inte direkt så det råder brist på tillfredställande sysselsättning för teknikintresserade i dessa dagar, så jag klarar mig nog. .)
Men absolut, jag förstår att "avslöjandet" kan upplevas uppkäftigt. Dock tycker jag, när jag håller i åtanke vad jag läst redan för flera år sedan, att ingen bör vara förvånad. Som jag nämnt är det tyvärr fruktansvärt enkelt (utan spärrar/vettiga krypteringsalgoritmer) att manipulera busskorten. Därför bör fler veta om det för att kunna kräva en förändring, vilket jag nämnde i P4-intervjun (http://blog.mmn-o.se/2011/03/10/sr-p4-intervju-om-busskorten/).
Citat från: MMN-o skrivet 30 mars 2011, 09:52:59 AM
Noteras bör att åtminstone inom min vän- och kommunikationskrets har det aldrig funnits stort förtroende för säkerhet i trådlösa tekniker. Slänger man ut något i etern ska man räkna med att det är osäkert. Specifikt Mifare Classic, som korttekniken i detta fall heter, så är det flertalet år sedan inhämtandet/knäckandet av nycklar blev välkänt enkelt att utföra.
Således vill jag mena att alla med den tekniska kompetensen att förstöra för systemet redan rimligen vetat om detta.
Det blir nog oftast det sättet att se på saken om man bara ser det tekniska i det hela och inte tar hänsyn till kostnader, utrustning som krävs, fördelar och nackdelar med att följa standarder m m. Som jag sagt tidigare, jag håller med om att Mifare Classic inte är det säkraste som finns på marknaden idag. Men det används väldigt frekvent vilket innebär att utrustningen är förhållandevis billig, det finns gott om utvecklingsverktyg och utvecklingskompetens och även om det för flera år sedan påvisats hur man kan manipulera korten har det inte skett i någon ohanterbar omfattning så att beställarna av systemen kunnat motiverat merkostnaden med dyrare utrustning. Så enkelt är det, allt är inte enbart teknik.
Citat från: MMN-o skrivet 30 mars 2011, 09:52:59 AM
Ärligt talat kanske jag inte vill ha förtroende från ett företag som säljer in en såhär erkänt sårbar produkt, eller för den delen inte uppdaterar/underhåller det när sårbarheterna påvisas. Det är ju inte direkt så det råder brist på tillfredställande sysselsättning för teknikintresserade i dessa dagar, så jag klarar mig nog. .)
Ja, för att förtydliga ännu mer, jag tror inte du går miste om något nämnvärt, jag tror det är kortsystemsbranschen som går minste om dig och din kunskap och dina infallsvinklar eftersom du valt att inte påverka den inifrån utan istället attackera den. Något jag bara kan beklaga.
Citat från: MMN-o skrivet 30 mars 2011, 09:52:59 AM
Men absolut, jag förstår att "avslöjandet" kan upplevas uppkäftigt. Dock tycker jag, när jag håller i åtanke vad jag läst redan för flera år sedan, att ingen bör vara förvånad. Som jag nämnt är det tyvärr fruktansvärt enkelt (utan spärrar/vettiga krypteringsalgoritmer) att manipulera busskorten. Därför bör fler veta om det för att kunna kräva en förändring, vilket jag nämnde i P4-intervjun (http://blog.mmn-o.se/2011/03/10/sr-p4-intervju-om-busskorten/).
Metoden brukar kallas proof of concept när sårbarheter påvisas och ämnar endast visa _att_ det går, inte orsaka några problem för någon. Med pengaexemplet hade man i så fall efter att ha producerat en fungerande sedelkopia förstört originalet. Typ.
Jag personligen är absolut inte förvånad eftersom jag känt till sådana här saker i många år. Tänk till exempel på hur otroligt enkelt det var att manipulera de gamla magnetkorten som var i drift i södra Sverige i runt 15 år, ändå förekom det inte i någon större omfattning, mycket eftersom människor hade förtroende för systemet och respekterade att det handlade om ekonomiska värden. Alltså inte enbart brist på kunskap om hur manipulerbart systemet var.
Jag är inte heller förvånad över bankkortsskimming och annat som pågår överallt. Det blir naturligtvis en kapplöpning i takt med den tekniska utvecklingen där nivån för vilka manipuleringar m m som blir ohanterbart omfattande står för de ekonomiska incitamenten att göra något åt problemen. Så länge vi har elektroniska betalsystem i drift i världen tror jag säkert att det kommer att fortsätta så här.
Men precis som med sedlar och mynt fungerar det så länge de allra flesta har förtroende för att det fungerar och ser värdet i det. Därför kan ett sådant här avslöjande när det gäller ekonomiska värden få till följd att du som avslöjat bristerna faktiskt blir den som orsakar att osäkerheten kring systemet blir så stor så att inte användarna längre får förtroende och litar på det ekonomiska värdet vilket leder till att det ekonomiska värdet försvinner. Detta alldeles oavsett om det rent tekniskt bara är ett "proof of concept". Det är knepigt det där med ekonomi. Det följer inte riktigt samma principer och konsekvenser som teknik, eftersom ekonomiskt värde bara skapas av människors förtroende för det.
Därför anser jag att man inte ska manipulera betalsystem, inte ens för att påvisa några tekniska brister.
Citat från: Olof Lagerkvist skrivet 30 mars 2011, 12:37:23 PM
Men precis som med sedlar och mynt fungerar det så länge de allra flesta har förtroende för att det fungerar och ser värdet i det. Därför kan ett sådant här avslöjande när det gäller ekonomiska värden få till följd att du som avslöjat bristerna faktiskt blir den som orsakar att osäkerheten kring systemet blir så stor så att inte användarna längre får förtroende och litar på det ekonomiska värdet vilket leder till att det ekonomiska värdet försvinner.
Det är väl inte allmänheten som ska ha förtroende för att biljetten inte är förfalskad? Förutom om man köper biljetten och riskerar att inte kunna åka på den sen förstås. Resenären vill väl bara vara säker på att få åka med bussen om man betalat för det?
Om Länstrafiken å sin sida övervärderat systemet är det väl bra att de fick reda på sanningen?
Citat från: Andy skrivet 30 mars 2011, 16:31:19 PM
Det är väl inte allmänheten som ska ha förtroende för att biljetten inte är förfalskad? Förutom om man köper biljetten och riskerar att inte kunna åka på den sen förstås. Resenären vill väl bara vara säker på att få åka med bussen om man betalat för det?
Jag tror det finns flera aspekter på den saken. För att alla parter ska ha förtroende för ett elektroniskt betalningssystem krävs naturligtvis att användarna som har sina pengar insatta i systemet litar på att insatta pengarna finns kvar och kan användas för betalning och systembeställaren måste kunna lita på att kunna få betalt på ett korrekt sätt av systemet och att inte pengar och betalningar i systemet går att förfalska i för stor omfattning.
Med "för stor omfattning" menar jag att känna sig trygg med att förfalskningar inte kommer att förekomma i ohanterbart stor omfattning. Man betalar för säkrare system till den gräns där säkerheten kostar mer än man skulle kunnat förlorat på eventuella bedrägerier, ungefär. I detta ligger ju också moraliska aspekter, dvs hur stor moralen att betala för produkten är i den bransch systembeställaren befinner sig. Så länge de flesta faktiskt vill göra rätt för sig och vill betala biljetterna och inser att det är brottslig förfalskning att "tillverka egna pengar" i betalsystemet kan det exempelvis finnas mindre vilja att lägga ekonomiska resurser på säkerheten i systemet.
Citat från: Andy skrivet 30 mars 2011, 16:31:19 PM
Om Länstrafiken å sin sida övervärderat systemet är det väl bra att de fick reda på sanningen?
Jag vet inte exakt hur det gått till, men som jag sagt tidigare, det kan vara så att man är medveten om bristerna men att man inte har någon rimlig möjlighet att göra något åt det av ekonomiska eller andra skäl. Det är mer den principiella problematiken med att påvisa säkerhetsbrister i betalsystem jag kommenterar här.