Hollandsk rejsekort-hacker: Så let, at danskerne vil snyde i stor stil

Man ville kunne gå rundt med en læser- og kortskriver i tasken som læser andre kort i bussen og skriver deres informationer ned på dit eget kort..?

Det ville være lidt ærgeligt for de betalende rejsende.

Jeg har i sin tid købt en kortlæser/-skriver samt to blanke kort, for at undersøge emnet lidt. Jeg har dog ikke tid til at bruge det.
Så hvis DU vil grave lidt i mulighederne, må du gerne låne udstyret.
Jeg må dog kraftigt opfordre til at du kun undersøger af nysgerrighed, publicerer alle sårbarheder, og ikke forsøger at rejse gratis.

Jeg bor i hovedstadsområdet og er desværre ikke en del af testområderne for rejsekortet, men jeg ville rigtig gerne prøve det af hvis de prøver rejsekortet af i KBH.

Hvordan kan jeg kontakte dig hvis det bliver relevant?

Jeg bor også selv i Hovedstadsområdet. - Eller i udkanten af Storkøbenhavn..
Rejsekortet er faktisk aktivt i en del af strækningen mellem Roskilde og KBH, samt et par buslinjer i byen.

Jeg bør nok lige skrive et par forudsætninger vedr. teknikken: Det kræver at du kan arbejde med RS232 (en adaptor til USB evt..), og at du selv kan finde og bruge softwaren til det. Jeg har kun den generelle læser/skriver (uden RS232-kabel) og to tomme kort.
Delene er købt på RS-components, og kostede vel 4-500kr. Jeg udlåner dem frit, imod at jeg løbende hører hvis der opdages noget spændende.

Du kan nå mig på kontakt@lasg.dk (jeg troede man kunne sende beskeder til hinanden herinde)

Hvad er det for et argument: "Det er så nemt at en 80-årrig kan gøre det"?

Ja, en 80-årig kan også stjæle i en butik, men derfor behøver man jo ikke gøre det.

Hvad menes der lige med "i stor stil". Det lyder for som om det nærmest vil være regler end undtagelsen. Mig bekendt kan de fleste godt finde ud af at betale for det de køber. Mon ikke også det gælder togbilletter?

Men derfor skal sikkerheden selvfølgelig være så høj som mulig.

Mig bekendt kan de fleste godt finde ud af at betale for det de køber. Mon ikke også det gælder togbilletter?

Brenno de Winter citeres for at sige "Det vigtigste formål med kortene var at reducere antallet af ulovlige rejser", så problemet har åbenbart været stort nok til at man vil bruge penge på et nyt system.

Der er to relaterede problemer her. Dels er det rent faktisk muligt at snyde og det er let at gøre det. Dels er det muligt at sabotere andre personers rejsekort trådløst uden at de opdager det før det er for sent.

Personligt har jeg ingen problemer med at lade være med at snyde for jeg betaler med glæde mine billetter (var der dog bare fradrag for ubehøvlet service). Men der er også den mulighed at ens kort kan saboteres af andre hvorved man får et alvorligt problem hvor uskyldige straffes for ting de ikke har gjort. Det er faktisk der hvor de største problemer er!

God fornøjelse nu hvor I har outet jeres navn, intensioner og kontaktinformationer.

Jeg er ikke det mindste i tvivl om at der bliver slået hårdt ned på den slags for det er meget lettere at udføre grovkornet behandling af enkeltpersoner end at løse de fundamentale problemer i et meget stort IT system!

På præcist samme måde som at det er billigere at lade kommunikationsafdelingen spinne løs end at lade udviklingsafdelingen løse problemerne ordenligt.

Så tja, god fornøjelse! :o)

Jeg har skrevet til Rejsekortets pressechef og spurgt om lov for et par timer siden :)

Jeg har ingen intentioner om at udføre eksperimentet uden en skriftlig tilladelse.

Desuden synes jeg selv at det giver dem mindre grund til at gå efter mig når nu jeg åbenlyst stiller spørgsmål ved sikkerheden og tilbyder en gratis test af deres system, med mit rigtige navn. Det er der vist ingen onde intentioner i.

God stil! Jeg glæder mig til at grine med på sidelinien når Rejsekortets svagheder outes på en så tydelig måde.

Jeg ville nu ikke blive forbavset hvis det i stedet ender med at overgrebsmaskinen viser sit grimme ansigt (ransagning, retssager, offentlig tilsvining).

Klaus: Det har aldrig været intensionen at gøre dem ondt, misbruge eller udnytte systemet. Det handler om at højne sikkerheden, forhåbentlig til glæde for alle.
Jeg har mailet lidt med Andreas her, og er helt med på at eventuelle forsøg sker efter aftale med Rejsekort.

De har, desværre, netop frabedt mig at teste sikkerheden, så det var det.

Jeg vil dog sige til dem af jer der frygter misbrug af jeres kort, at man kan få fat i signal-afbrydende kortholdere. Der er sikkert nogen herinde ved v2, der ved hvor man kan få en sådan kortholder :)

Lars: Jeg tvivler ikke det mindste på jeres gode intensioner som er yderst velmodtagne herfra. Blot er min tiltro til berørte organisationers gode intensioner meget små, når det kommer til sager som denne, der kan berøre deres renome eller koste penge til fejlopretning, endsige blotlægge helt fundamentale problemer med design og sikkerhed.

Sagt med andre ord: Det handler ikke om jer men om dem! :-)

Gad vide, hvad der ligger bag sætningen: "Brenno de Winter risikerer nu at blive retsforfulgt for bedrageri."

Det ligner almindelig afdækkende journalistik og ikke bedrageri. Gad vide om de skyder budbringeren i Holland?

Naturligvis, for de vil nødig have sandheden for langt ud! ;-)

Jeg tror nu også at undersøgelser som denne bedst udføres af journalister der til en vis grænse har en bedre retslig beskyttelse når det kommer til at afdække problemer af samfundsmæsig betydning end vi andre har.

Men derfor kan man jo godt tænke ideen videre. Hvordan får man bedst budskabet ud til den brede befolkning og lagt pres på beslutningstagerne? Hvad med et TV underholdningsprogram i bedste sendetid med titlen "Rejsekorthacking for begyndere" tilsat stor teknisk kreativitet og rigelige mængder dåselatter!?

Jeg vil dog sige til dem af jer der frygter misbrug af jeres kort, at man kan få fat i signal-afbrydende kortholdere. Der er sikkert nogen herinde ved v2, der ved hvor man kan få en sådan kortholder :)

Jeg mindes dette meget gode grin:
http://www.version2.dk/artikel/rfid-trick-paa-hackerkonference-gav-polit...

Jeg vil gætte på at et metalfolieforet hylster virker til formålet.
Ligesom vi allerede har til BroBizz og pas ,-)
(Ja, det er faktisk tæt på sqlvpapirhatten)

En lidt anden teknisk vinkel jeg lige kom på; Hvor meget eller lidt kan man med den NFC-komponent der bl.a. sidder i Samsung Galaxy og tilsvarende nyere mobiler?

Det er da helt almindelig praksis at gå efter journalisterne, når de foretager kriminelle handlinger for at påviser huller i systemer.

Lige netop! Intet nyt der. Det er den klassiske konflikt mellem økonomiske interresser og undersøgende journalistik.

Hvis man ikke kan lide det der blotlægges ved det journalistiske arbejde kan man jo altid forsøge at miskreditere og straffe journalisten. Dertil kan retssystemet være yderst effektivt!

Hvis man ser en sådan retssag som en del af et spinprojekt for deres rejsekortselskab giver det god mening. Blot er det ikke særligt kønt at se på!

Netop det at det ikke er kønt at se på er journalistens bedste forsvar. For omkostningerne ved sådan en retssag kan ende med at blive endnu højere for deres rejsekortselskab end de publiseringer som journalisten allerede har foretaget.

Ja, en sølvpapirshat i lommen til dit RFID rejsekort eller en pung med faradaybur :D

Her er et færdiglavet semi-billigt eksempel på en RFID blokerende kortholder:
http://www.amazon.com/gp/aw/d/B002B39LZE

Du giver for let op!

Send forespørgsel til politiet og til Jutstitsminnisteriet om det er ulovligt at du tester udstyret.

Så længe du løser lovlig billet til alle dine rejser, tvivler jeg på de kan gøre noget. Især ikke hvis du overfor både de relevante ministerier åbent har erklæret dit forsøg. Som sikkerhed kan du også lave aftale med en avis, f.eks. Ing.dk, Weekendavisen, Information, BT eller EB så de står indefor at du opererer som freelance journalist for dem.

At være "journalist" giver ingen juridisk beskyttelse, men sikrer masser af omtale og støtte, hvis du skulle blive sigtet for nogen. Aftale med nyhedsmedier, bør fra din side bære krav om betaling af bøder og afgifter.

En overskrift på spisesedlen fra EB eller BT som siger "Nemt at snyde med Rejsekortet" vil nok vække opmærksomhed de rette steder.

I en periode opbevarede jeg mit (RFID-)rejsepas i et omslag af almindeligt sølvpapir. Det gav imidlertid negativ opmærksomhed i et par lufthavnes sikkerhedskontrol, så nu ligger passet i et til formålet indkøbt omslag.