Rejsekort-hacker 2 år efter: De har intet lært

Så længe man kan stige ind i et tog og sætte sig på toilettet uden billet, tror jeg det er ganske få, som vil bruge lang tid på at hacke et rejesekort, da der ikke rigtig er noget vundet ved det. Ud over selvfølgelig at straffen for dokumentfalsk er noget højere end den for at køre uden billet.

bumbumbum fjern aflæsning af kortne, og bytte rundt på dataen mellem kort i det folk går forbi, ja det skal systemet jo nok blive populært på, men de lader os jo intet valg til at undgå denne overvågning af vore færden.

Pointen er nok snarere, at hvis du kan forfalske (ckracke) dig til værdi på et rejsekort, som kontrollørerne ikke kan skelne fra den ægte vare, er der en minimal risiko for at du rent faktisk bliver opdaget, i forhold til at forsøge at gemme sig på togets toilet, hvor en emsig kontrollør blot vil vente tålmodigt udenfor, for at tjekke din billet.

Hvis det lykkes at manipulere med data på et rejsekort, så bliver det fanget af den efterfølge afstemning af saldoen imellem rejsekortet og backoffice systemet. Og de fleste kort er registeret på en person - så let at finde adressen på hvor man skal sende en tiltale hen til. Og anonyme kort skal man gøre en del krumspring for ikke efterlade digitale spor som det er nu. Det er bedre at betale bøden i toget end at få en plet på straffeattesten.

Som jeg har forstået det, så gemmer kontrolørernes terminal information om kortet, som så senere pares med data i backoffice systemet. Det vi således være ret simpelt at se, hvis der foregået noget mystisk. Og hvis man kan se, at der hver tirsdag mellem 8-10 er en, som snyder på en given strækning, så kan man jo sætte ind med øget kontrol dér. Kan ikke se andet, end at det må være billigere end at udskifte 100.000 rejsekort og tilhørende terminaler.
Af andre simple løsninger kan nævnes, at Rejsekort kan beslutte sig for, at de på torsdag skriver værdien 0xFE til adresse 0x4332 på kortet. Hjemmefuskeren, som ikke har været i nærheden af en officiel terminal for at checke ind, vil således let kunne afsløres.

Selvom det vel efterhånden er slået fast, at det er en dum idé at fuske med ens eget kort, hvad holder så en fra at fuske med andres?

Man kan nemt forestille sig scenariet, hvor en ondsindet går ned gennem en propfyldt 5A med en trådløs læser+skriver og ændrer folks saldo på kortene. Når en hel bus står med saldoer på 10000+, står firmaet bag rejsekortet med et problem.

I scenariet går den ondsindede selvfølgelig selv ind af en bagdør (hvilket er ok i de fleste A-busser) og undgår kameraer i bussen.

Finansier offentlig transport over skatten, og der kan spares en masse penge på alt mulig administration, kontrollører og folk der ikke betaler.

Ja, i Ikast har vi haft gratis bustransport i flere år. OG DET VIRKER. Kommunen sparer en masse penge på administration og kontanthåndtering - det er simpelthen billigere i længden.

Ja, i Ikast har vi haft gratis bustransport i flere år. OG DET VIRKER. Kommunen sparer en masse penge på administration og kontanthåndtering - det er simpelthen billigere i længden.

Som det er for nærværende har jeg stadig til gode at mit rejsekort bliver checket for tiende gang på over et halvt år, så pt. gemmer terminalen ingenting.

Faktisk er det gratis at rejse med tog på sjælland for tiden, bare man har et rejsekort...

Man sletter bare alle kort i bussen. Så får man næppe en bøde. En eller anden teenager skal nok gøre det. Selvfølgelig skal der være styr på sikkerheden, indtil da skal det fjollede system droppes.

Hvilken motivation skulle en angriber have til at lave sådan et nummer? Der er intet at vinde ved det, andet end at skabe mistillid til systemet, og genere en masse mennesker. Det kan genske enkelt ikke betale sig. (Mistilliden klarer Rejsekortet fint selv at skabe, lige som den nemt gør det PISSE besværligt at have med kortet at gøre. ;) )

Hvordan det? Ved at undlade at checke ind/ud, eller?

Et mere fundamentalt problem er at det er muligt at misbruge systemet helt uden at bedrive dokumentfalsk eller gemme sig på toilettet.

Fra rejsekortets hjemmesides FAQ:
"Hvad sker der, hvis jeg glemmer at checke ud?
Hvis du glemmer at checke ud, beholder vi det forudbetalte beløb – uanset hvor langt du har rejst. Forudbetalingen vil så som udgangspunkt være det, du kommer til at betale for din rejse. Ved manglende check ud vil den pågældende rejse desuden ikke tælle med i udregningen af dit rabattrin.
Undlader du at checke ud tre gange inden for 12 måneder, kan Rejsekort A/S spærre dit rejsekort efter to skriftlige advarsler. I så fald vil du blive opført i vores advarselsregister, hvorefter du de næste 12 måneder hverken kan købe et rejsekort personligt eller et rejsekort flex."

En misbruger kan benytte det anonyme rejsekort, checke ind ved rejsens start, men ved rejsens afslutning "glemme" at checke ud.
Den samlede pris for rejsen bliver da den prisen for længste rejsestrækning der kan dokumenteres* + gebyr for glemt check-ud.
Da misbrugeren ikke checker ud kan endepunktet for rejsen ikke dokumenteres, i stedet vil det sidste check-in punkt blive brugt som endepunkt, altså hvor der sidst blev skiftet transportmiddel eller en kontrollør checkede kortet. Hvis misbrugeren f.eks. rejser mellem København og Århus, og kontrolløren checker rejsekortet ved Odense, så betaler misbrugeren kun for strækningen København-Odense + gebyr.

Denne fremgangsmåde er helt risikofri for misbrugeren, da han under hele rejsen har gyldigt rejsehjemmel i form af et indchecket rejsekort. Misbrugeren kan altid vente til afstigning til at afgøre om det kan betale sig at snyde eller ej. Da kortet er anonymt kan der ikke fremsendes en skriftlig advarsel, og hvis kortet alligevel lukkes, køber misbrugeren bare et nyt.
Som systemet er designet kan denne type misbrug hverken forhindres eller eftervises.

*=Misbrugeren kan stadig gemme sig for kontrolløren på toilettet for at undgå at få tilføjet et via-punkt på sin rejse. Det eneste han risikerer ved at blive opdaget er at få tilføjet via-punktet alligevel.

Hvor står der noget om, at du kommer til at betale frem til et eventuelt via punkt? Det står så vidt jeg kan se, ikke i det du citere...

Men ja, man kan i princippet komme fra Gedser til Skagen, uden at betale mere end ca. 100 kr. (Forudbetalingen på et rejsekort anonym er vist 80 kr.)

Jacob Borbye

Så pendlere der de sidste 100 år har købt månedskort, og aldrig nogen sinde vist det til en kontrollør, og der med ikke har vanen med at tage kortet frem over hovedet, vil efter 3 tre dage rejsekortet skulle finde en anden transportform eller finde et andet arbejde der ligger i gå-afstand fra bopælen.

Selv er jeg pendler, og tager bus+tog hver dag. Jeg havde ikke fået fornyet månedskortet i tide lige efter nytår, så den første uge var med klippekort. Jeg husker at der skal gøres "noget" hver gang jeg stiger op i bussen. Enten stemple, eller vise kortet. Med toget har jeg ingen vane, så hver dag på vej hjem glemte jeg at stemple på perronen, men kom i tanke om det i bussen, og fik så alligevel stemplet hver dag.

Værre for min kollega. Han kører kun med tog. Ofte har han helt glemt kortet, men da han kører i myldretiden, betyder det ikke noget, for der er aldrig kontrollører. Skulle han blive antastet, så koster det kr. 100 i "bøde" da han jo har kortet, men bare glemt det. Han får det svært med rejsekortet tror jeg.

I korthed: Der er ingen fordele med rejsekortet for pendlere.

Pendlere er slet ikke målgruppen for den nuværende løsning, så det er vel ligegyldigt?

Det er jo ganske enkelt for dyrt at bruge rejsekortet hvis man pendler.

Pointen er nok snarere, at hvis du kan forfalske (ckracke) dig til værdi på et rejsekort, som kontrollørerne ikke kan skelne fra den ægte vare, er der en minimal risiko for at du rent faktisk bliver opdaget

I stedet for at putte flere penge på ens kort og så stemple ind, vil det sikkert være meget bedre at kopiere en anden tilfældig (afstigende) passagers kort og bruge det. Så rejser du i princippet på gyldig billet selv hvis den bliver checket op mod serveren i toget/bussen. Om den passager så får nogle problemer på et senere tidspunkt er vel dig ret ligegyldigt.

Chano Klinck Andersen

Du har ret. Jeg er blevet fejlinformeret. Det er stadig muligt at få periodekort i Vestsjælland (jvf.. dsb.dk). Rejsekortet har tidligere meddelt at der vil komme en løsning til pendlere senere, men jeg godt forestille mig at det måske aldrig kommer.

Det er jo ganske enkelt for dyrt at bruge rejsekortet hvis man pendler.

Det kunne sagtens være billigere hvis man ville det. Det kan blive nogle meget komplekse udregninger, der er svære at dokumentere, men lige dér er rejsekortet rent faktisk fleksibelt.

Løsningen må jo selvfølgelig være, at alle passagerer skal kropsvisiteres, inden de stiger ind i bussen. :-)

(Rejsekortansvarlige bedes venligst undgå at læse ovenstående sætning)

Ifølge en mail jeg netop har modtaget fra Rejsekort sammenholdt med information på Movias hjemmeside, ligger ens kreditkortoplysninger på rejsekortet, hvis man har automatisk optankning. Nogen der ved om det er korrekt? I så fald må det da være lidt af en sikkerhedsrisiko.

Nope!

Hvis det danske rejsekort ligner bare lidt af de øvrige implementeringer i Europa (og det gør det), så detekterer backoffice systemerne ikke engang helt oplagte tegn på muligt snyd. Se fx:

http://onlyeskimo.blogspot.com/2011/09/dutch-journalist-hacks-transit-ca...

Det gør de ikke.

Hvis ellers Hr. Panton har ret og det er MIFARE der bruges på kortet, så har diverse studerende vist at man blot kan kopiere et kort og så ellers køre rundt som man har lyst til - det er bl.a. gjort som POC i London, med Oyster kortet.

http://en.wikipedia.org/wiki/MIFARE

Der vil næppe nås en kritisk masse af misbrugere af systemet - men der vil givetvis komme et vist misbrug, som så vil blive tolereret, fordi det vil være dyrere at gøre noget ved det. For ikke at nævne at de ansvarlige ville være nødt til at acceptere at de er uduelige, hvis problemet skulle fikses.

Hvis det danske rejsekort ligner bare lidt af de øvrige implementeringer i Europa (og det gør det), så detekterer backoffice systemerne ikke engang helt oplagte tegn på muligt snyd. Se fx: http://onlyeskimo.blogspot.com/2011/09/dutch-journalist-hacks-transit-ca...

Forskellen imellem Danmark og Holland er at det danske backoffice er central, mens i Holland backoffice-systemet fordelt på flere. Og at formatet på data på kortet er forskellig. Og at Rejsekort A/S kan lærer af de hollandske erfaringer....

Ak, Ak, Folk spiller ikke nok World of Warcraft: Simple glæder, "spoiling" og "griefing" er nok motivation i sig selv til at folk både betaler rede penge og bruger mange timer på at komme op i level så de kan mobbe endnu mere effektivt ;-)

Korrekt... Jeg kender ikke de begreber, kunne du forklare kort?

"Spoiling" - Pisse i fællesbrønden, man gør ting med vilje som saboterer spillet for andre spillere. Man kan f.eks. slå en bestemt person, som har en quest eller "flyvermanden" ihjel hele tiden.

"Griefing" - Man gør sit bedste for at irritere de andre spillere, stå i vejen, irritere monstre og løbe hen til nogle ofre, tage ting andre skal bruge, slå dyr ihjel andre skal bruge o.s.v.

Det er svært at blive straffet for griefing fordi det er svært at skelne mellem griefing og inkompetence. I "WoW" kan man, f.eks., når man spotter en flok spillere, der gør klar til at dræbe en "epic" drage, som kun viser sig en gang hver anden uge og som tager et hold på 30 spillere at slå ihjel, så løber man lige ind foran dragen og "puller" den så den angriber før holdet er klar og alle dør. Det er derfor "WoW" opfandt "instances" og "klaner".