Studerende hacker dansk rejsekort og får gratis rejser

"....at vi passer godt på pengene og løser problemet, når det er et problem..."
Har han ikke overvejet, at det muligvis er væsentligt dyrere at skifte kortene, når systemet kører over hele landet?

Personligt har jeg bedst erfaring med at være på forkant med problemer, så man ikke spilder tonsvis af resourcer bagefter på at rydde op.
Det er faktisk billigere i det lange løb.

Set fra den anden side, så er det da rart, at han lader muligheden for "rabat" til studerende være åben. :)

Hvis man skal tage Bjørn Wahlsten på ordet, så må de hellere få fingeren ud og løse problemet, nu hvor det er demonstreret at det kort der kunne hackes i Holland søreme også kan hackes i Danmark (sikke en overraskelse).

Hvor er det bare typisk Danmark. Vi skal gerne være nogle år bagud i teknologi, fordi så kan vi samle erfaring fra andre lande. Og om vi så bruger de erfaringer? Næh, vi gør akkurart det samme og ramler ind i samme mur af problemer, som vi jo har set andre ramle ind i..

»Det er ikke, fordi vi ikke følger området, men jeg synes, det er meget væsentligt, når vi taler meget store millioninvesteringer, at vi passer godt på pengene og løser problemet, når det er et problem,« siger direktør for Rejsekortselskabet Bjørn Wahlsten til dr.dk.

Det vil altså sige, at han ikke går ind for forebyggelse men kun heling af problemer når de bliver virkeligt kritiske? Puha, tænk hvis det var sådan indenfor alle områder :S

Puuh, nogengange er det godt nok svært ikke at krumme tæer over situationen i en af verdens førende IT nationer (eller hvad er det nu Mr. Sander mener vi er?).

Rejsekortet er jo blot et offentligt "smid-mio-væk-projekt" der ender med at blive skrottet fordi det ikke virker og løber 3-4 gange over budget...

Tip med hatten til Panton!

Poul-Henning

Det er spørgmål hvor stor det er. Alle transationsdata kommer ind i det central system, hvor de tjekkes efter. Efter tjekket er kortet spæret. Og det største tab er i doffentligheden og ikke i pengepungen. I Holland har de ikke haft noget nævneværdig tab.

Ellers er den største fare mere at de samler sig mange data omkring ens rejser. Det kan bruges og misbruges!

at udvikle en model hvor offentelig transport bliver gratis hvis man sidder i en H&M malet bus eller ligende.

Jeg så omtalte indslag i TV Avisen kl. 21 igår og det fik mig helt op af sofaen.

Tilsyneladne har man valgt et gammelt system, som alle andre har skrottet nu, men derudover har man valgt at bruge samme signatur på samtlige kort, så når et kort er hacket - er alle kort hacket - det er fandme for dumt!

Det ryger direkte i kategorien af EPIC FAILs!

Indslaget i TV Avisen kan ses her:
http://www.dr.dk/tvaindslag/tvaindslag.aframe?progday=ons&progtime=2100
under titlen "Elektroniske rejsekort er endnu en offentlig IT-skandale"

• se så at få skiftet de kort ud inden det kommer til at koste det 3 dobbelte!!!!

Ja. Måske kunne man forestille sig et helt simpelt rejsekort i pap, som f.eks. kunne sælges i kiosker rundt omkring, og som man bare smed væk, når det var brugt. Så slap man for at bruge kontanter i bussen.

En simpel maskine i bussen kunne så klippe et stykke af kortet hver gang man brugte det, og "stemple" det med en dato og et klokkeslet. Hvert "klip" ville så give ret til at bruge offentlig transport i et afgrænset tidsrum og indenfor en bestemt rejselængde. Hvis man inddelte Hovestadsområdet i nogle enkle "zoner", så man nemt kunne se hvor meget ens rejse ville komme til at koste.

Så også det indlæg igår (ikke noget at prale af, det var der sikkert mange der gjorde ;-) men det slog mig også at han virkede temmelig tåbelig og arrogant, den kære direktør Wahlsten. Indse problemet og gør noget ved det.

@Cederstrand: tsk tsk

Sikkerhed på et rejsekort er utrolig svært at formulere når man får stukket en mikrofon i hovedet. Derfor fortæller DR's version ikke hele sandheden.

Mifare classic har været usikkert siden 2007 da der var nogen som rent faktisk gad at kigge på sikkerheden på et kort som benyttes verden over. Derefter har der over de sidste par år været en udvikling i analyse af kortet - der har betydet at man kan finde krypteringsnøglen på kortet kun ved at bruge et kort og en læser.

Rejsekortet benytter Mifare men har også et dataformat på selve kortet som er beskyttet med et digital signatur. Det digitale signatur er endnu ikke brudt, men det ser jeg kun som et spørgsmål om tid, da jeg antager at Rejsekortet stadig benytter DES.

Så længe man kan skrive til kortet kan man stadig lave replay og vandalisme. Og man kan læse indhold ud fra kortet, så som hvor mange penge der står på kortet.

Og det hele kan laves trådløst.

Det er lidt ærgeligt at jeg bliver brugt som bevis på at kortet er usikkert, fordi det har været usikkert lige siden at Mifare har været brudt (hvor en masse folk skal have meget mere credit end mig).
Det vigtige er at det er nemmere at skifte et par tusind testkunders kort ud end når vi skal til at skifte alle rejsende i Danmarks kort ud.

altså det er ikke blevet misbrugt, hvilket jo også ville have været ulovligt.

Der er mange problemer, ikke mindst at det er et "kreditkort", som jo nok er det hackingen går på, altså han har aflæst koden fra et passerende kort og lavet en kopi af kortet, det er ikke det jeg normalt kalder at hacke

Ellers har jeg da nogle ideer til hvordan man kan sikre kortet yderligere, men ved ikke nok om RFID, jeg forestiller mig f.eks. at kortet kan omkodes hvergang men checker ind og ud.

ps. har haft et kort i lommen i 6 mdr. og det er superlækkert, se nu bare at få det kort udover rampen, sikkerheden kan jo opgraderes.

Et andet problem er at kortet er beregnet til A->B rejser, altså jeg sad i bussen til endestationen og kørte tilbage uden at stige ud, skulle jeg have stemplet ud ved endestationen?

Det er i bund og grund samme kort der har været anvendt hos Sydbus (nu Sydtrafik) siden 2001. Jeg er ikke bekendt med snyd i den forbindelse.

I det sydjyske fungerer det som almindeligt klippekort på linie med papfætrene i det øvrige Danmark.

Jeg er ikke sikker på, "lad os vente" strategien er så dårlig endda.

Kopiering af rejsekort er lig dokumentfalsk. Dokumentfalsk straffes MEGET hårdt her til lands, inkl. plettet straffeattest.

Et kopieret rejsekort vil typisk kunne bruges i mindre end 24 timer, før det bliver registreret at noget er galt og kortet lukket.

De få rejser du kan nå med et kopieret rejsekort inden det bliver spærret, sparer dig for udgifter for max. 1.000 kr.

Der er efterhånden kamera overvågning på alle væsentlige rejse-knudepunkter.

Med andre ord: Gevinsten ved kopiering af rejsekortet er lille, chancen for at blive fanget betydelig og straffen er meget hård.

Så jeg kan egentlig godt sætte mig ind i tankegangen om, ikke at bruge en masse ekstra penge på mere teknik.

Det jeg fik ud af at se indslaget på DR, var at man har formeget tillid til de informationer man får fra kortet?

Et hacket rejsekort kan bruges til at spare på rejseudgifterne. Fint nok for dem der har modet til at gøre noget sådant. De må jo også selv tage ansvaret for deres handlinger.

Men når det er muligt for udenforstående at gøre noget ved et rejsekort via trådløs kommunikation, må det også være muligt at sabortere andre folks rejsekort, for eksempel med udstyr i en taske eller spændt til kroppen.

En spadsertur gennem et tog med omtalte udstyr kan således gøre en stor forskel. Der er ingen der siger at alle rejsekortene skal saborteres. Blot en vis procentdel kan modificeres således at det ikke virker alt for påfaldende.

Herved er det faktisk muligt at skaffe folk bøder for mangel på betalt billet til trods for at de rent faktisk har checket ind som de skulle.

Dette problem anser jeg faktisk for at være en væsentligt større trussel end at nogle snyder, fordi en sådan hændelse vil gå ud over folk som ikke selv ønsker at snyde!

De få rejser du kan nå med et kopieret rejsekort inden det bliver spærret, sparer dig for udgifter for max. 1.000 kr. Der er efterhånden kamera overvågning på alle væsentlige rejse-knudepunkter. Med andre ord: Gevinsten ved kopiering af rejsekortet er lille, chancen for at blive fanget betydelig og straffen er meget hård.

Ja, det er typisk dansk overvågningsmentalitet.

Rejsekort laver et usikkert system fordi de er for dumme og/eller dovne til at lytte til erfaringerne fra udlandet (hvis det kan brydes i Holland, kan det nok også brydes i Danmark, surprise surprise).

Løsningen på dette problem er massiv overvågning af befolkningen, så statsmagten kan slå hårdt ned på det misbrug, som man selv har inviteret til ved at lave et usikkert system.

Hvad siger man når "epic fail" ikke er nok?

Rejsekortet er i forvejen problematisk fordi det giver staten mulighed for at registrere vores rejsemønstre, og de "anonyme" kort, som Rejsekort vil tilbyde os, ser ikke ud til at være meget værd.

Hvis et par hacker angreb kan tage livet af projektet, vil det være helt fint. Gerne inden der bliver spildt for mange af skatteydernes penge, men det er et sekundært issue i forhold til at forhindre overvågning af vores rejser med offentlige transportmidler.

<i>Dokumentfalsk straffes MEGET hårdt her til lands, inkl. plettet straffeattest.</i>

Men takket være politikernes tåbeligheder (f.ex. knivloven) vil den plettede straffeattest få stadigt mindre praktisk betydning efterhånden som flere og flere almindelige mennesker erhverver sig et par pletter og en plads i DNA registeret oveni!

Løsningen på dette problem er massiv overvågning af befolkningen, så statsmagten kan slå hårdt ned på det misbrug, som man selv har inviteret til ved at lave et usikkert system.

Mit indtryk er at overvågning indføres fordi overvågningen er interessant i sig selv. For eksempel blev lognings bekendtgørelsen begrundet med ønsket om lettere at kunne afsløre børneporno og terror. Men det er næppe hele historien!

Kopiering af rejsekort er lig dokumentfalsk. Dokumentfalsk straffes MEGET hårdt her til lands, inkl. plettet straffeattest.

Så når du ikke kan komme på arbejde fordi en eller anden kopierede dit kort og fik det lukket; så gør det ikke noget, for forbryderen vil have gjort sig skyldig i dokumentfalsk.

Nej tak.

Med andre ord: Gevinsten ved kopiering af rejsekortet er lille, chancen for at blive fanget betydelig og straffen er meget hård. Så jeg kan egentlig godt sætte mig ind i tankegangen om, ikke at bruge en masse ekstra penge på mere teknik.

Der er oftest heller ikke den store gevist ved mord, chancen for at blive fanget er betydelig, og straffen er meget hård.

Det får mig stadig ikke til at gå ind for fri adgang til billige automatvåben i Netto, fremfor en restriktiv våbenlov, som vi har nu.

Det fjerner ikke ansvaret for at producere en sikker løsning.
Slet ikke, når det er bevist brudt i Holland?

Undskyld mig men er det ikke det vi har i de gule og blå kort?

Iøvrigt ville jeg gerne vide, hvor mange billetter man skal sælge før rejsekortets udgift er tjent ind?????????

Da alle data findes centralt og dataene på kortet kun er der i tilfælde hvor der ikke er onlineforbindelse så er mulighederne for svindel begrænsede.

@FINN PETERSEN: You are kidding, right?

Undskyld mig men er det ikke det vi har i de gule og blå kort?

Bingo.

Iøvrigt ville jeg gerne vide, hvor mange billetter man skal sælge før rejsekortets udgift er tjent ind

Det ved jeg ikke, men indtil videre har udvikling af rejsekortet kostet mindst 560 mio kr (http://www.version2.dk/artikel/12614-elektronisk-rejsekort-skrider-med-e...). For det beløb kan man købe 4 mio blå klippekort, eller rundt regnet gøre alle rejser med Metroen gratis i et lille års tid (http://www.dinby.dk/frederiksberg/passagerer-strommer-til-metroen).

@Michael Mortensen. Næ!
Jeg mener faktisk at mange projekter starter som en god ide, men aldrig burde startes før en grundig økonomiberegning er udført. Mange forhold dukker uventet op, men kunne måske forudses, hvis man startede med at sige: hvorfor, hvad er udbyttet for hvilken indsats og er der nogen fordele. Jeg har svært ved at se rejsekortets fordele, når vi har papmodellen. Godt nok er der sikkert adskillige højt uddannede og dermed dyre drenge, der scorer kassen, men jeg har svært ved at se hvad udbyttet er. DER KAN SÆLGES MANGE BILLETTER FØR EN MILLIARD ER OPNÅET I OVERSKUD,og så derefter kommer eventuelle fordele ved rejsekortet.

Ja for 560Mkr kan der laves mange papbilletter og elektroniken skal jo skiftes ud inden den kommer igang fordi udstyret er forældet.
Hi tech er godt rigtigt anvendt

@Finn: Min forundring gik mere på din kommentar omkring gule og blå kort. Den kommentar, som du kommenteret på, skreg af ironi, og det var derfor jeg følte det nødvendigt med en bekræftelse fra din side.

Jeg har såmænd sympati for din udgiftsanalyse af rejsekortet :-)

Hvorfor skal al fungerende low tech skiftes ud med avanceret udstyr indeholdende software, der altid kan hackes, og ofte fejler på grund af computerdelene ikke er stabile nok, når man ikke benytter mill spec. Samtidig med at der altid forekommer vanvittige budgetoverskridelser, som reelt aldrig kan tjene sig hjem, sammenholdt med den gode gamle low tech. Tag bare et andet eksempel med computerstyringen i biler, eller fremtidens signalsystem til banerne.

Steen Thomassen, 28. januar 2010 10:02

Det er spørgmål hvor stor det er. Alle transationsdata kommer ind i det central system, hvor de tjekkes efter. Efter tjekket er kortet spæret. Og det største tab er i doffentligheden og ikke i pengepungen. I Holland har de ikke haft noget nævneværdig tab.

Dvs. de spærrer kopien og originalen.

Hvis originalen tilhører dig og du skal rejse ... hvad så?

Carsten Pedersen, 28. januar 2010 12:49

Med andre ord: Gevinsten ved kopiering af rejsekortet er lille, chancen for at blive fanget betydelig og straffen er meget hård.

Jeg kopiere dit kort .... og du får en hård staf?

Eller?

Jeg kopiere dit kort .... og du får en hård staf?

Du kan ikke kopiere kortet. En kopi vil aldrig være identisk. Visse felter på kortet tillader ikke skrivning, så det vil kræve du fremstiller dit eget kort, for at skrive i disse felter. EEPROM'en giver mulighed for brug, hvis en automat er offline. Det kan nemt ske kortvarigt i f.eks. en bus, og her skal automaten alligevel "klippe". Data gemmes så på kortet, og i bussens automat, hvor det dog først kan opdatere den centrale datamat senere. Det er muligt at snyde, hvis du kan disable hele det centrale netværk, og bruger kortet hurtigt inden det centrale netværk kommer online. Så snart det centrale netværk er online, står politiet dog klar, til at tage dig og dit kort, og give dig en stor bøde. Fordi kortet ikke kan kopieres, på grund af dets read-only felter, er det simpelt at afsløre.

hvor får folk fra at det her giver en hård straf? umiddelbart er det bare noget der bliver slynget ud. Findes der lign sager hvor straffen har været meget hård?

Jens Madsen,

så det vil kræve du fremstiller dit eget kort, for at skrive i disse felter.

Eller køber et kort der kan?

Eller køber et kort der kan?

Hvor? Hvis MIFARE kortene ikke kan programmeres i de pågældende felter, fordi de er lavet til at de er read-only, så bliver det nok svært at finde. Du skal finde nogen med samme kommandosæt, og som er lavet til de pågældende felter er skrivebare. Det findes næppe. Hvis en stat eller efterretningstjeneste ønsker at klone rejsekortet skal jeg ikke udelukke muligheden. Men de vil blive afsløret.

Hvor? Hvis MIFARE kortene ikke kan programmeres i de pågældende felter, fordi de er lavet til at de er read-only, så bliver det nok svært at finde.

Hvad forhindre en producent i at lave et kort der i software understøtter ISO/IEC 14443?

Ala http://tinyurl.com/mqphcj (Jeg ved godt det ikke er en RFID enhed) her emuleres IEC 7816 via software.

Andre producenter påstår også de har skrivebeskyttet felter/register.

Hvad forhindre en producent i at lave et kort der i software understøtter ISO/IEC 14443?

Der findes flere producenter, så det er der intet der forhindrer nogen i.

Men så er det ikke mere et rejsekort, og du skal have præget rejsekort mønster ind. Stadigt, vil snyden opdages - og værste tilfælde, er at DSB må udbetale samme beløb, til de to med samme rejsekort. Hvis du kender de RFID kort typer der er på markedet, har de næsten alle en måde man kan indentificere dem, så du skal ikke være sikker på, at du ikke opdages.

Ses på sikkerheden, må vi indrømme den er langt over nuværende nivau.

Der findes flere producenter, så det er der intet der forhindrer nogen i.

Jeg håbede lidt på du ville nævne producentens patenter :)