Studerende hacker dansk rejsekort og får gratis rejser

28. januar 2010 kl. 09:3334
Med software fra internettet og en kortlæser til få hundrede kroner er det muligt at ændre i de data, der ligger på rejsekortet, så man kan rejse gratis.
person
Artiklen er ældre end 30 dage
person

Det elektroniske billetsystem rejsekortet, som lige nu testes på Sjælland, kan let hackes med udstyr, der kan findes på internettet. Det demonstrerede datalogistuderende Christian Panton i TV-Avisen onsdag aften.

Christian Panton demonstrerede, hvordan data fra kortet kunne læses ved hjælp af en kortlæser, som var købt på internettet for nogle få hundrede kroner.

Med hjælp fra software, han havde hentet på internettet, kunne han afkode kortets data og gå ind og ændre i oplysningerne. På den måde skulle det angiveligt være muligt hacke kortet og rejse gratis. Det til trods for, at kortet har flere lag af sikkerhed, som netop skulle forhindre misbrug.

Artiklen fortsætter efter annoncen

Det danske system benytter samme type kort, som man også indførte i Holland, men netop på grund af problemer med sikkerheden, valgte man i Holland i 2007 ifølge DR at skifte til en ny type kort.

Problemerne med sikkerheden på kortet får dog ikke selskabet bag rejsekortet til at skifte korttype.

»Det er ikke, fordi vi ikke følger området, men jeg synes, det er meget væsentligt, når vi taler meget store millioninvesteringer, at vi passer godt på pengene og løser problemet, når det er et problem,« siger direktør for Rejsekortselskabet Bjørn Wahlsten til dr.dk.

Emner
34 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
2
Thomas Alexander Frederiksen
28. januar 2010 kl. 09:43

Hvis man skal tage Bjørn Wahlsten på ordet, så må de hellere få fingeren ud og løse problemet, nu hvor det er demonstreret at det kort der kunne hackes i Holland søreme også kan hackes i Danmark (sikke en overraskelse).

  • more_vert
    • insert_linkKopier link
5
Steen Thomassen
28. januar 2010 kl. 10:02

Det er spørgmål hvor stor det er. Alle transationsdata kommer ind i det central system, hvor de tjekkes efter. Efter tjekket er kortet spæret. Og det største tab er i doffentligheden og ikke i pengepungen. I Holland har de ikke haft noget nævneværdig tab.

Ellers er den største fare mere at de samler sig mange data omkring ens rejser. Det kan bruges og misbruges!

  • more_vert
    • insert_linkKopier link
29
Christian E. Lysel
30. januar 2010 kl. 02:14

Steen Thomassen, 28. januar 2010 10:02

Det er spørgmål hvor stor det er. Alle transationsdata kommer ind i det central system, hvor de tjekkes efter. Efter tjekket er kortet spæret. Og det største tab er i doffentligheden og ikke i pengepungen. I Holland har de ikke haft noget nævneværdig tab.

Dvs. de spærrer kopien og originalen.

Hvis originalen tilhører dig og du skal rejse ... hvad så?

  • more_vert
    • insert_linkKopier link
6
Flemming Riis
28. januar 2010 kl. 10:09

at udvikle en model hvor offentelig transport bliver gratis hvis man sidder i en H&M malet bus eller ligende.

  • more_vert
    • insert_linkKopier link
7
Sidsel Jensen
28. januar 2010 kl. 10:42

Jeg så omtalte indslag i TV Avisen kl. 21 igår og det fik mig helt op af sofaen.

Tilsyneladne har man valgt et gammelt system, som alle andre har skrottet nu, men derudover har man valgt at bruge samme signatur på samtlige kort, så når et kort er hacket - er alle kort hacket - det er fandme for dumt!

Det ryger direkte i kategorien af EPIC FAILs!

Indslaget i TV Avisen kan ses her:http://www.dr.dk/tvaindslag/tvaindslag.aframe?progday=ons&progtime=2100under titlen "Elektroniske rejsekort er endnu en offentlig IT-skandale"

  • se så at få skiftet de kort ud inden det kommer til at koste det 3 dobbelte!!!!
  • more_vert
    • insert_linkKopier link
9
Morten Jacobsen
28. januar 2010 kl. 11:25

Så også det indlæg igår (ikke noget at prale af, det var der sikkert mange der gjorde ;-) men det slog mig også at han virkede temmelig tåbelig og arrogant, den kære direktør Wahlsten. Indse problemet og gør noget ved det.

@Cederstrand: tsk tsk

  • more_vert
    • insert_linkKopier link
11
Kim Bach
28. januar 2010 kl. 11:57

altså det er ikke blevet misbrugt, hvilket jo også ville have været ulovligt.

Der er mange problemer, ikke mindst at det er et "kreditkort", som jo nok er det hackingen går på, altså han har aflæst koden fra et passerende kort og lavet en kopi af kortet, det er ikke det jeg normalt kalder at hacke

Ellers har jeg da nogle ideer til hvordan man kan sikre kortet yderligere, men ved ikke nok om RFID, jeg forestiller mig f.eks. at kortet kan omkodes hvergang men checker ind og ud.

ps. har haft et kort i lommen i 6 mdr. og det er superlækkert, se nu bare at få det kort udover rampen, sikkerheden kan jo opgraderes.

Et andet problem er at kortet er beregnet til A->B rejser, altså jeg sad i bussen til endestationen og kørte tilbage uden at stige ud, skulle jeg have stemplet ud ved endestationen?

  • more_vert
    • insert_linkKopier link
13
Carsten Pedersen
28. januar 2010 kl. 12:49

Jeg er ikke sikker på, "lad os vente" strategien er så dårlig endda.

Kopiering af rejsekort er lig dokumentfalsk. Dokumentfalsk straffes MEGET hårdt her til lands, inkl. plettet straffeattest.

Et kopieret rejsekort vil typisk kunne bruges i mindre end 24 timer, før det bliver registreret at noget er galt og kortet lukket.

De få rejser du kan nå med et kopieret rejsekort inden det bliver spærret, sparer dig for udgifter for max. 1.000 kr.

Der er efterhånden kamera overvågning på alle væsentlige rejse-knudepunkter.

Med andre ord: Gevinsten ved kopiering af rejsekortet er lille, chancen for at blive fanget betydelig og straffen er meget hård.

Så jeg kan egentlig godt sætte mig ind i tankegangen om, ikke at bruge en masse ekstra penge på mere teknik.

  • more_vert
    • insert_linkKopier link
30
Christian E. Lysel
30. januar 2010 kl. 02:16

Carsten Pedersen, 28. januar 2010 12:49

Med andre ord: Gevinsten ved kopiering af rejsekortet er lille, chancen for at blive fanget betydelig og straffen er meget hård.

Jeg kopiere dit kort .... og du får en hård staf?

Eller?

  • more_vert
    • insert_linkKopier link
33
Christian E. Lysel
31. januar 2010 kl. 13:21

Jens Madsen,

så det vil kræve du fremstiller dit eget kort, for at skrive i disse felter.

Eller køber et kort der kan?

  • more_vert
    • insert_linkKopier link
35
Christian E. Lysel
31. januar 2010 kl. 21:07

Hvor? Hvis MIFARE kortene ikke kan programmeres i de pågældende felter, fordi de er lavet til at de er read-only, så bliver det nok svært at finde.

Hvad forhindre en producent i at lave et kort der i software understøtter ISO/IEC 14443?

Ala http://tinyurl.com/mqphcj (Jeg ved godt det ikke er en RFID enhed) her emuleres IEC 7816 via software.

Andre producenter påstår også de har skrivebeskyttet felter/register.

  • more_vert
    • insert_linkKopier link
37
Christian E. Lysel
1. februar 2010 kl. 16:57

Der findes flere producenter, så det er der intet der forhindrer nogen i.

Jeg håbede lidt på du ville nævne producentens patenter :)

  • more_vert
    • insert_linkKopier link
32
Anders Sørensen
31. januar 2010 kl. 04:29

hvor får folk fra at det her giver en hård straf? umiddelbart er det bare noget der bliver slynget ud. Findes der lign sager hvor straffen har været meget hård?

  • more_vert
    • insert_linkKopier link
20
Poul Ejlersen
28. januar 2010 kl. 17:02

Med andre ord: Gevinsten ved kopiering af rejsekortet er lille, chancen for at blive fanget betydelig og straffen er meget hård.</p>
<p>Så jeg kan egentlig godt sætte mig ind i tankegangen om, ikke at bruge en masse ekstra penge på mere teknik.

Der er oftest heller ikke den store gevist ved mord, chancen for at blive fanget er betydelig, og straffen er meget hård.

Det får mig stadig ikke til at gå ind for fri adgang til billige automatvåben i Netto, fremfor en restriktiv våbenlov, som vi har nu.

Det fjerner ikke ansvaret for at producere en sikker løsning. Slet ikke, når det er bevist brudt i Holland?

  • more_vert
    • insert_linkKopier link
21
Finn Petersen
28. januar 2010 kl. 17:50

Undskyld mig men er det ikke det vi har i de gule og blå kort?

Iøvrigt ville jeg gerne vide, hvor mange billetter man skal sælge før rejsekortets udgift er tjent ind?????????

  • more_vert
    • insert_linkKopier link
24
Erik Cederstrand
28. januar 2010 kl. 23:12

Undskyld mig men er det ikke det vi har i de gule og blå kort?

Bingo.

Iøvrigt ville jeg gerne vide, hvor mange billetter man skal sælge før rejsekortets udgift er tjent ind

Det ved jeg ikke, men indtil videre har udvikling af rejsekortet kostet mindst 560 mio kr (http://www.version2.dk/artikel/12614-elektronisk-rejsekort-skrider-med-en-kvart-milliard). For det beløb kan man købe 4 mio blå klippekort, eller rundt regnet gøre alle rejser med Metroen gratis i et lille års tid (http://www.dinby.dk/frederiksberg/passagerer-strommer-til-metroen).

  • more_vert
    • insert_linkKopier link
25
Finn Petersen
28. januar 2010 kl. 23:52

@Michael Mortensen. Næ! Jeg mener faktisk at mange projekter starter som en god ide, men aldrig burde startes før en grundig økonomiberegning er udført. Mange forhold dukker uventet op, men kunne måske forudses, hvis man startede med at sige: hvorfor, hvad er udbyttet for hvilken indsats og er der nogen fordele. Jeg har svært ved at se rejsekortets fordele, når vi har papmodellen. Godt nok er der sikkert adskillige højt uddannede og dermed dyre drenge, der scorer kassen, men jeg har svært ved at se hvad udbyttet er. DER KAN SÆLGES MANGE BILLETTER FØR EN MILLIARD ER OPNÅET I OVERSKUD,og så derefter kommer eventuelle fordele ved rejsekortet.

  • more_vert
    • insert_linkKopier link
27
Michael Mortensen
29. januar 2010 kl. 19:16

@Finn: Min forundring gik mere på din kommentar omkring gule og blå kort. Den kommentar, som du kommenteret på, skreg af ironi, og det var derfor jeg følte det nødvendigt med en bekræftelse fra din side.

Jeg har såmænd sympati for din udgiftsanalyse af rejsekortet :-)

  • more_vert
    • insert_linkKopier link
28
Finn Petersen
30. januar 2010 kl. 01:10

Hvorfor skal al fungerende low tech skiftes ud med avanceret udstyr indeholdende software, der altid kan hackes, og ofte fejler på grund af computerdelene ikke er stabile nok, når man ikke benytter mill spec. Samtidig med at der altid forekommer vanvittige budgetoverskridelser, som reelt aldrig kan tjene sig hjem, sammenholdt med den gode gamle low tech. Tag bare et andet eksempel med computerstyringen i biler, eller fremtidens signalsystem til banerne.

  • more_vert
    • insert_linkKopier link
26
Finn Petersen
28. januar 2010 kl. 23:58

Ja for 560Mkr kan der laves mange papbilletter og elektroniken skal jo skiftes ud inden den kommer igang fordi udstyret er forældet. Hi tech er godt rigtigt anvendt

  • more_vert
    • insert_linkKopier link
23
Michael Mortensen
28. januar 2010 kl. 22:34

@FINN PETERSEN: You are kidding, right?

  • more_vert
    • insert_linkKopier link
22
Kim Michelsen
28. januar 2010 kl. 18:26

Da alle data findes centralt og dataene på kortet kun er der i tilfælde hvor der ikke er onlineforbindelse så er mulighederne for svindel begrænsede.

  • more_vert
    • insert_linkKopier link
19
Dennis Skovborg Jørgensen
28. januar 2010 kl. 14:45

Kopiering af rejsekort er lig dokumentfalsk. Dokumentfalsk straffes MEGET hårdt her til lands, inkl. plettet straffeattest.

Så når du ikke kan komme på arbejde fordi en eller anden kopierede dit kort og fik det lukket; så gør det ikke noget, for forbryderen vil have gjort sig skyldig i dokumentfalsk.

Nej tak.

  • more_vert
    • insert_linkKopier link
17
Frithiof Andreas Jensen
28. januar 2010 kl. 14:18

Dokumentfalsk straffes MEGET hårdt her til lands, inkl. plettet straffeattest.

Men takket være politikernes tåbeligheder (f.ex. knivloven) vil den plettede straffeattest få stadigt mindre praktisk betydning efterhånden som flere og flere almindelige mennesker erhverver sig et par pletter og en plads i DNA registeret oveni!

  • more_vert
    • insert_linkKopier link
16
Jesper Lund
28. januar 2010 kl. 14:05

De få rejser du kan nå med et kopieret rejsekort inden det bliver spærret, sparer dig for udgifter for max. 1.000 kr.</p>
<p>Der er efterhånden kamera overvågning på alle væsentlige rejse-knudepunkter.</p>
<p>Med andre ord: Gevinsten ved kopiering af rejsekortet er lille, chancen for at blive fanget betydelig og straffen er meget hård.

Ja, det er typisk dansk overvågningsmentalitet.

Rejsekort laver et usikkert system fordi de er for dumme og/eller dovne til at lytte til erfaringerne fra udlandet (hvis det kan brydes i Holland, kan det nok også brydes i Danmark, surprise surprise).

Løsningen på dette problem er massiv overvågning af befolkningen, så statsmagten kan slå hårdt ned på det misbrug, som man selv har inviteret til ved at lave et usikkert system.

Hvad siger man når "epic fail" ikke er nok?

Rejsekortet er i forvejen problematisk fordi det giver staten mulighed for at registrere vores rejsemønstre, og de "anonyme" kort, som Rejsekort vil tilbyde os, ser ikke ud til at være meget værd.

Hvis et par hacker angreb kan tage livet af projektet, vil det være helt fint. Gerne inden der bliver spildt for mange af skatteydernes penge, men det er et sekundært issue i forhold til at forhindre overvågning af vores rejser med offentlige transportmidler.

  • more_vert
    • insert_linkKopier link
18
Klaus Elmquist Nielsen
28. januar 2010 kl. 14:26

Løsningen på dette problem er massiv overvågning af befolkningen, så statsmagten kan slå hårdt ned på det misbrug, som man selv har inviteret til ved at lave et usikkert system.

Mit indtryk er at overvågning indføres fordi overvågningen er interessant i sig selv. For eksempel blev lognings bekendtgørelsen begrundet med ønsket om lettere at kunne afsløre børneporno og terror. Men det er næppe hele historien!

  • more_vert
    • insert_linkKopier link
12
Jesper Poulsen
28. januar 2010 kl. 12:39

Det er i bund og grund samme kort der har været anvendt hos Sydbus (nu Sydtrafik) siden 2001. Jeg er ikke bekendt med snyd i den forbindelse.

I det sydjyske fungerer det som almindeligt klippekort på linie med papfætrene i det øvrige Danmark.

  • more_vert
    • insert_linkKopier link
10
Christian Panton
28. januar 2010 kl. 11:52

Sikkerhed på et rejsekort er utrolig svært at formulere når man får stukket en mikrofon i hovedet. Derfor fortæller DR's version ikke hele sandheden.

Mifare classic har været usikkert siden 2007 da der var nogen som rent faktisk gad at kigge på sikkerheden på et kort som benyttes verden over. Derefter har der over de sidste par år været en udvikling i analyse af kortet - der har betydet at man kan finde krypteringsnøglen på kortet kun ved at bruge et kort og en læser.

Rejsekortet benytter Mifare men har også et dataformat på selve kortet som er beskyttet med et digital signatur. Det digitale signatur er endnu ikke brudt, men det ser jeg kun som et spørgsmål om tid, da jeg antager at Rejsekortet stadig benytter DES.

Så længe man kan skrive til kortet kan man stadig lave replay og vandalisme. Og man kan læse indhold ud fra kortet, så som hvor mange penge der står på kortet.

Og det hele kan laves trådløst.

Det er lidt ærgeligt at jeg bliver brugt som bevis på at kortet er usikkert, fordi det har været usikkert lige siden at Mifare har været brudt (hvor en masse folk skal have meget mere credit end mig). Det vigtige er at det er nemmere at skifte et par tusind testkunders kort ud end når vi skal til at skifte alle rejsende i Danmarks kort ud.

  • more_vert
    • insert_linkKopier link
14
Danny Thomsen
28. januar 2010 kl. 13:27

Det jeg fik ud af at se indslaget på DR, var at man har formeget tillid til de informationer man får fra kortet?

  • more_vert
    • insert_linkKopier link
15
Klaus Elmquist Nielsen
28. januar 2010 kl. 13:52

Et hacket rejsekort kan bruges til at spare på rejseudgifterne. Fint nok for dem der har modet til at gøre noget sådant. De må jo også selv tage ansvaret for deres handlinger.

Men når det er muligt for udenforstående at gøre noget ved et rejsekort via trådløs kommunikation, må det også være muligt at sabortere andre folks rejsekort, for eksempel med udstyr i en taske eller spændt til kroppen.

En spadsertur gennem et tog med omtalte udstyr kan således gøre en stor forskel. Der er ingen der siger at alle rejsekortene skal saborteres. Blot en vis procentdel kan modificeres således at det ikke virker alt for påfaldende.

Herved er det faktisk muligt at skaffe folk bøder for mangel på betalt billet til trods for at de rent faktisk har checket ind som de skulle.

Dette problem anser jeg faktisk for at være en væsentligt større trussel end at nogle snyder, fordi en sådan hændelse vil gå ud over folk som ikke selv ønsker at snyde!

  • more_vert
    • insert_linkKopier link
8
Erik Cederstrand
28. januar 2010 kl. 11:18

Ja. Måske kunne man forestille sig et helt simpelt rejsekort i pap, som f.eks. kunne sælges i kiosker rundt omkring, og som man bare smed væk, når det var brugt. Så slap man for at bruge kontanter i bussen.

En simpel maskine i bussen kunne så klippe et stykke af kortet hver gang man brugte det, og "stemple" det med en dato og et klokkeslet. Hvert "klip" ville så give ret til at bruge offentlig transport i et afgrænset tidsrum og indenfor en bestemt rejselængde. Hvis man inddelte Hovestadsområdet i nogle enkle "zoner", så man nemt kunne se hvor meget ens rejse ville komme til at koste.

  • more_vert
    • insert_linkKopier link
4
Poul-Henning Kamp
28. januar 2010 kl. 09:58

Rejsekortet er jo blot et offentligt "smid-mio-væk-projekt" der ender med at blive skrottet fordi det ikke virker og løber 3-4 gange over budget...

Tip med hatten til Panton!

Poul-Henning

  • more_vert
    • insert_linkKopier link
3
Ove Andersen
28. januar 2010 kl. 09:56

Hvor er det bare typisk Danmark. Vi skal gerne være nogle år bagud i teknologi, fordi så kan vi samle erfaring fra andre lande. Og om vi så bruger de erfaringer? Næh, vi gør akkurart det samme og ramler ind i samme mur af problemer, som vi jo har set andre ramle ind i..

»Det er ikke, fordi vi ikke følger området, men jeg synes, det er meget væsentligt, når vi taler meget store millioninvesteringer, at vi passer godt på pengene og løser problemet, når det er et problem,« siger direktør for Rejsekortselskabet Bjørn Wahlsten til dr.dk.

Det vil altså sige, at han ikke går ind for forebyggelse men kun heling af problemer når de bliver virkeligt kritiske? Puha, tænk hvis det var sådan indenfor alle områder :S

Puuh, nogengange er det godt nok svært ikke at krumme tæer over situationen i en af verdens førende IT nationer (eller hvad er det nu Mr. Sander mener vi er?).

  • more_vert
    • insert_linkKopier link
1
Flemming Bach
28. januar 2010 kl. 09:40

"....at vi passer godt på pengene og løser problemet, når det er et problem..." Har han ikke overvejet, at det muligvis er væsentligt dyrere at skifte kortene, når systemet kører over hele landet?

Personligt har jeg bedst erfaring med at være på forkant med problemer, så man ikke spilder tonsvis af resourcer bagefter på at rydde op. Det er faktisk billigere i det lange løb.

Set fra den anden side, så er det da rart, at han lader muligheden for "rabat" til studerende være åben. :)

  • more_vert
    • insert_linkKopier link