Rejsekort-hacker 2 år efter: De har intet lært

Illustration: Virrage Images/Bigstock
Det er stadig den samme usikre Mifare-protokol, der bliver brugt i rejsekort, selvom det i nu to år har været kendt, at sikkerheden er for dårlig.

Vil en ondsindet hacker gerne rejse gratis i hele landet, kræver det ikke store anstrengelser at få brudt koden i det nye chipbaserede billetsystem Rejsekort.

Der er nemlig ikke sket noget som helst for at hæve sikkerheden i de to år, der nu er gået, siden det blev demonstreret på tv i bedste sendetid, at rejsekortet kan hackes.

Sådan lyder det fra Christian Panton, der var manden bag advarslen for to år siden.

'Da jeg i januar 2010 stod i TV-Avisen og demonstrerede, hvor let det var at få adgang til og ændre i de data, der ligger på rejsekortet, troede jeg, at det ville gøre indtryk på selskabet bag kortet. Men her to år efter kan jeg konstatere, at rejsekortet, som i skrivende stund er ved at blive rullet ud i hovedstadsområdet, fortsat baserer sig på sikkerhedsforanstaltninger, som længe har været betragtet som usikre', skriver Christian Panton i et blogindlæg.

Det er de samme usikre krypteringsmetoder, der bliver brugt i dag, kan han konstatere, så sikkerheden er ikke blevet forbedret i de to år, der er gået.

Læs også: DIKU-studerende: Så let er Rejsekortet at hacke

Problemet er, at Mifare-teknologien, der bliver brugt på rejsekortet, stammer fra midten af 1990’erne og ikke længere regnes for sikker. Den proprietære protokol blev i 2007 pillet fra hinanden af forskere, som fandt flere sikkerhedsproblemer.

Og krypteringen af data på rejsekortet er baseret på DES-algoritmen fra 1976, der med sine 56-bit heller ikke regnes for sikker i dag.

For at gøre ondt værre bruger Rejsekort samme nøgle på alle kort.

»Signaturerne på kortet baseres stadig på en krypteringsalgoritme, som skulle være pensioneret i 1999, og hvis man kunne låne en netcafé i et par dage, ville man kunne finde nøglen og selv lægge gyldige billetter på kortet med sin mobiltelefon. Dertil eksisterer der sikkert allerede en lang række replay-angreb, som der endnu ikke er taget højde for,« skriver Christian Panton.

Den sikkerhedsteknologi, som rejsekortet er funderet på, burde være pensioneret i 1999, mener han og ærgrer sig over, at der er ’slæbt så mange børnesygdomme fra 90’erne’ med ind i det nye billetsystem.

Læs mere i Christian Pantons blogindlæg.

Læs også: Hollandsk rejsekort-hacker: Så let, at danskerne vil snyde i stor stil

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (28)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Erik Jensen

Så længe man kan stige ind i et tog og sætte sig på toilettet uden billet, tror jeg det er ganske få, som vil bruge lang tid på at hacke et rejesekort, da der ikke rigtig er noget vundet ved det. Ud over selvfølgelig at straffen for dokumentfalsk er noget højere end den for at køre uden billet.

Jacob Pind

bumbumbum fjern aflæsning af kortne, og bytte rundt på dataen mellem kort i det folk går forbi, ja det skal systemet jo nok blive populært på, men de lader os jo intet valg til at undgå denne overvågning af vore færden.

Jens Peter Jensen

Ud over selvfølgelig at straffen for dokumentfalsk er noget højere end den for at køre uden billet.

Pointen er nok snarere, at hvis du kan forfalske (ckracke) dig til værdi på et rejsekort, som kontrollørerne ikke kan skelne fra den ægte vare, er der en minimal risiko for at du rent faktisk bliver opdaget, i forhold til at forsøge at gemme sig på togets toilet, hvor en emsig kontrollør blot vil vente tålmodigt udenfor, for at tjekke din billet.

Steen Thomassen

Hvis det lykkes at manipulere med data på et rejsekort, så bliver det fanget af den efterfølge afstemning af saldoen imellem rejsekortet og backoffice systemet. Og de fleste kort er registeret på en person - så let at finde adressen på hvor man skal sende en tiltale hen til. Og anonyme kort skal man gøre en del krumspring for ikke efterlade digitale spor som det er nu. Det er bedre at betale bøden i toget end at få en plet på straffeattesten.

Erik Jensen

Pointen er nok snarere, at hvis du kan forfalske (ckracke) dig til værdi på et rejsekort, som kontrollørerne ikke kan skelne fra den ægte vare, er der en minimal risiko for at du rent faktisk bliver opdaget,

Som jeg har forstået det, så gemmer kontrolørernes terminal information om kortet, som så senere pares med data i backoffice systemet. Det vi således være ret simpelt at se, hvis der foregået noget mystisk. Og hvis man kan se, at der hver tirsdag mellem 8-10 er en, som snyder på en given strækning, så kan man jo sætte ind med øget kontrol dér. Kan ikke se andet, end at det må være billigere end at udskifte 100.000 rejsekort og tilhørende terminaler.
Af andre simple løsninger kan nævnes, at Rejsekort kan beslutte sig for, at de på torsdag skriver værdien 0xFE til adresse 0x4332 på kortet. Hjemmefuskeren, som ikke har været i nærheden af en officiel terminal for at checke ind, vil således let kunne afsløres.

Andreas Jensen

Selvom det vel efterhånden er slået fast, at det er en dum idé at fuske med ens eget kort, hvad holder så en fra at fuske med andres?

Man kan nemt forestille sig scenariet, hvor en ondsindet går ned gennem en propfyldt 5A med en trådløs læser+skriver og ændrer folks saldo på kortene. Når en hel bus står med saldoer på 10000+, står firmaet bag rejsekortet med et problem.

I scenariet går den ondsindede selvfølgelig selv ind af en bagdør (hvilket er ok i de fleste A-busser) og undgår kameraer i bussen.

Chano Klinck Andersen

Man kan nemt forestille sig scenariet, hvor en ondsindet går ned gennem en propfyldt 5A med en trådløs læser+skriver og ændrer folks saldo på kortene. Når en hel bus står med saldoer på 10000+, står firmaet bag rejsekortet med et problem.

Hvilken motivation skulle en angriber have til at lave sådan et nummer? Der er intet at vinde ved det, andet end at skabe mistillid til systemet, og genere en masse mennesker. Det kan genske enkelt ikke betale sig. (Mistilliden klarer Rejsekortet fint selv at skabe, lige som den nemt gør det PISSE besværligt at have med kortet at gøre. ;) )

Jakob Borbye

Et mere fundamentalt problem er at det er muligt at misbruge systemet helt uden at bedrive dokumentfalsk eller gemme sig på toilettet.

Fra rejsekortets hjemmesides FAQ:
"Hvad sker der, hvis jeg glemmer at checke ud?
Hvis du glemmer at checke ud, beholder vi det forudbetalte beløb – uanset hvor langt du har rejst. Forudbetalingen vil så som udgangspunkt være det, du kommer til at betale for din rejse. Ved manglende check ud vil den pågældende rejse desuden ikke tælle med i udregningen af dit rabattrin.
Undlader du at checke ud tre gange inden for 12 måneder, kan Rejsekort A/S spærre dit rejsekort efter to skriftlige advarsler. I så fald vil du blive opført i vores advarselsregister, hvorefter du de næste 12 måneder hverken kan købe et rejsekort personligt eller et rejsekort flex."

En misbruger kan benytte det anonyme rejsekort, checke ind ved rejsens start, men ved rejsens afslutning "glemme" at checke ud.
Den samlede pris for rejsen bliver da den prisen for længste rejsestrækning der kan dokumenteres* + gebyr for glemt check-ud.
Da misbrugeren ikke checker ud kan endepunktet for rejsen ikke dokumenteres, i stedet vil det sidste check-in punkt blive brugt som endepunkt, altså hvor der sidst blev skiftet transportmiddel eller en kontrollør checkede kortet. Hvis misbrugeren f.eks. rejser mellem København og Århus, og kontrolløren checker rejsekortet ved Odense, så betaler misbrugeren kun for strækningen København-Odense + gebyr.

Denne fremgangsmåde er helt risikofri for misbrugeren, da han under hele rejsen har gyldigt rejsehjemmel i form af et indchecket rejsekort. Misbrugeren kan altid vente til afstigning til at afgøre om det kan betale sig at snyde eller ej. Da kortet er anonymt kan der ikke fremsendes en skriftlig advarsel, og hvis kortet alligevel lukkes, køber misbrugeren bare et nyt.
Som systemet er designet kan denne type misbrug hverken forhindres eller eftervises.

*=Misbrugeren kan stadig gemme sig for kontrolløren på toilettet for at undgå at få tilføjet et via-punkt på sin rejse. Det eneste han risikerer ved at blive opdaget er at få tilføjet via-punktet alligevel.

Chano Klinck Andersen

Den samlede pris for rejsen bliver da den prisen for længste rejsestrækning der kan dokumenteres* + gebyr for glemt check-ud.

Hvor står der noget om, at du kommer til at betale frem til et eventuelt via punkt? Det står så vidt jeg kan se, ikke i det du citere...

Men ja, man kan i princippet komme fra Gedser til Skagen, uden at betale mere end ca. 100 kr. (Forudbetalingen på et rejsekort anonym er vist 80 kr.)

Hans Schou

Jacob Borbye

hvorefter du de næste 12 måneder hverken kan købe et rejsekort personligt eller et rejsekort flex."


Så pendlere der de sidste 100 år har købt månedskort, og aldrig nogen sinde vist det til en kontrollør, og der med ikke har vanen med at tage kortet frem over hovedet, vil efter 3 tre dage rejsekortet skulle finde en anden transportform eller finde et andet arbejde der ligger i gå-afstand fra bopælen.

Selv er jeg pendler, og tager bus+tog hver dag. Jeg havde ikke fået fornyet månedskortet i tide lige efter nytår, så den første uge var med klippekort. Jeg husker at der skal gøres "noget" hver gang jeg stiger op i bussen. Enten stemple, eller vise kortet. Med toget har jeg ingen vane, så hver dag på vej hjem glemte jeg at stemple på perronen, men kom i tanke om det i bussen, og fik så alligevel stemplet hver dag.

Værre for min kollega. Han kører kun med tog. Ofte har han helt glemt kortet, men da han kører i myldretiden, betyder det ikke noget, for der er aldrig kontrollører. Skulle han blive antastet, så koster det kr. 100 i "bøde" da han jo har kortet, men bare glemt det. Han får det svært med rejsekortet tror jeg.

I korthed: Der er ingen fordele med rejsekortet for pendlere.

Michael Jensen

Pointen er nok snarere, at hvis du kan forfalske (ckracke) dig til værdi på et rejsekort, som kontrollørerne ikke kan skelne fra den ægte vare, er der en minimal risiko for at du rent faktisk bliver opdaget

I stedet for at putte flere penge på ens kort og så stemple ind, vil det sikkert være meget bedre at kopiere en anden tilfældig (afstigende) passagers kort og bruge det. Så rejser du i princippet på gyldig billet selv hvis den bliver checket op mod serveren i toget/bussen. Om den passager så får nogle problemer på et senere tidspunkt er vel dig ret ligegyldigt.

Hans Schou

Chano Klinck Andersen

Pendlere er slet ikke målgruppen for den nuværende løsning, så det er vel ligegyldigt?


Du har ret. Jeg er blevet fejlinformeret. Det er stadig muligt at få periodekort i Vestsjælland (jvf.. dsb.dk). Rejsekortet har tidligere meddelt at der vil komme en løsning til pendlere senere, men jeg godt forestille mig at det måske aldrig kommer.

Det er jo ganske enkelt for dyrt at bruge rejsekortet hvis man pendler.

Det kunne sagtens være billigere hvis man ville det. Det kan blive nogle meget komplekse udregninger, der er svære at dokumentere, men lige dér er rejsekortet rent faktisk fleksibelt.

Henrik Mikael Kristensen

Man kan nemt forestille sig scenariet, hvor en ondsindet går ned gennem en propfyldt 5A med en trådløs læser+skriver og ændrer folks saldo på kortene. Når en hel bus står med saldoer på 10000+, står firmaet bag rejsekortet med et problem.

Løsningen må jo selvfølgelig være, at alle passagerer skal kropsvisiteres, inden de stiger ind i bussen. :-)

(Rejsekortansvarlige bedes venligst undgå at læse ovenstående sætning)

Michael Thomsen

Hvis det lykkes at manipulere med data på et rejsekort, så bliver det fanget af den efterfølge afstemning af saldoen imellem rejsekortet og backoffice systemet.

Nope!

Hvis det danske rejsekort ligner bare lidt af de øvrige implementeringer i Europa (og det gør det), så detekterer backoffice systemerne ikke engang helt oplagte tegn på muligt snyd. Se fx:

http://onlyeskimo.blogspot.com/2011/09/dutch-journalist-hacks-transit-ca...

Peter Lind

Hvis ellers Hr. Panton har ret og det er MIFARE der bruges på kortet, så har diverse studerende vist at man blot kan kopiere et kort og så ellers køre rundt som man har lyst til - det er bl.a. gjort som POC i London, med Oyster kortet.

http://en.wikipedia.org/wiki/MIFARE

Der vil næppe nås en kritisk masse af misbrugere af systemet - men der vil givetvis komme et vist misbrug, som så vil blive tolereret, fordi det vil være dyrere at gøre noget ved det. For ikke at nævne at de ansvarlige ville være nødt til at acceptere at de er uduelige, hvis problemet skulle fikses.

Steen Thomassen

Hvis det danske rejsekort ligner bare lidt af de øvrige implementeringer i Europa (og det gør det), så detekterer backoffice systemerne ikke engang helt oplagte tegn på muligt snyd. Se fx:

http://onlyeskimo.blogspot.com/2011/09/dutch-journalist-hacks-transit-ca...

Forskellen imellem Danmark og Holland er at det danske backoffice er central, mens i Holland backoffice-systemet fordelt på flere. Og at formatet på data på kortet er forskellig. Og at Rejsekort A/S kan lærer af de hollandske erfaringer....

Frithiof Andreas Jensen

"Spoiling" - Pisse i fællesbrønden, man gør ting med vilje som saboterer spillet for andre spillere. Man kan f.eks. slå en bestemt person, som har en quest eller "flyvermanden" ihjel hele tiden.

"Griefing" - Man gør sit bedste for at irritere de andre spillere, stå i vejen, irritere monstre og løbe hen til nogle ofre, tage ting andre skal bruge, slå dyr ihjel andre skal bruge o.s.v.

Det er svært at blive straffet for griefing fordi det er svært at skelne mellem griefing og inkompetence. I "WoW" kan man, f.eks., når man spotter en flok spillere, der gør klar til at dræbe en "epic" drage, som kun viser sig en gang hver anden uge og som tager et hold på 30 spillere at slå ihjel, så løber man lige ind foran dragen og "puller" den så den angriber før holdet er klar og alle dør. Det er derfor "WoW" opfandt "instances" og "klaner".

Log ind eller Opret konto for at kommentere