Rejsekort truet: Elektroniske togbilletter kan kopieres
Elektroniske rejsekort af samme type, som dem der skal erstatte papirbilletter i tog og bus, kan kopieres, så rejserne bliver gratis. Det har hollandske forskere bevist ved at give studerende fribilletter til London Underground. Rejsekort A/S føler overbevist om, at sikkerheden er i orden, og vil se dokumentation.
Oyster Card fra London, som hollandske studerende kopierede, så de kunne køre gratis rundt i byens Underground. (Foto: Wikimedia) (Foto: *version-3-point-1 (A. Maningas))
Læs også
-
Direktør for forsinkede elektroniske billetter smidt på porten
-
Tre år forsinket: Leverandør fejlvurderede dansk rejsekort totalt
Læs mere om
Dokumentation
Det tre år forsinkede, danske rejsekort, som skal erstatte bus- og togbilletter i Danmark, risikerer at blive kopieret af svindlere, som vil sørge for, at det kan lade sig gøre at køre gratis, uden at det kan opdages.
Forskere fra Radboud Universitet i den hollandske by Nijmegen har udnyttet en kendt metode til at kopiere kortene. Først var det adgangskort til offentlige bygninger i Holland. Det fik den hollandske regering til at kommandere bevæbnede vagter til at patruljere foran nogle af bygningerne.
Dernæst sendte hollænderne nogle af deres studerende til London, hvor de klonede Oyster-kortet, som millioner af pendlere benytter til at betale for deres metro- og busbilletter. De studerende kørte rundt en dag med London Underground på kopi-kortet uden at blive opdaget.
Samme kort som i Danmark
Både de hollandske adgangskort og Londons billetter benytter et RFID-kort fra selskabet NXP Semiconductor, der udspringer af Philips. Det har leveret flere milliarder kort, og det danske selskab Rejsekort A/S står også på kundelisten.
De hollandske forskere benyttede ifølge flere medier en helt almindelig bærbar pc til at kopiere kortene, ligesom de kunne bryde ind i dem og sætte flere penge ind på dem. Det blev gjort med metoden 'reverse engineering'. Metoden blev allerede beskrevet sidste år.
Ifølge Bart Jacobs fra Radboud Universitet er særligt elektroniske adgangskort udsat.
»De kan klones blot ved at støde ind i personen med kortet, mens man bærer på en transportabel kortlæser. Den person, hvis identitet bliver stjålet, aner ikke, at der er sket noget. Der er ingen tekniske modtræk,« siger han til den britiske avis The Times.
Efter de seneste sikkerhedsproblemer besluttede Holland, ifølge flere medier, at sætte sine elektroniske billetter i bero, indtil der er fundet en løsning, så kortene ikke kan kopieres.
Rejsekort A/S: Det vil være alvorligt
Det stemmer dog ikke overens med de oplysninger, som systemchef Peter Gildbak fra Rejsekort A/S har. Han oplyser, at et sikkerhedsfirma skulle analysere det hollandske kort, og at analysens væsentligste pointer ikke er offentligt tilgængelige.
Peter Gildbak havde ikke hørt om det kopierede kort fra London, før Ingeniøren kontakter ham.
»Vi føler os overbevist om, at vores sikkerhedsmekanismer er tilstrækkelige. Jeg kan dog ikke afvise, at kopieringen også vil kunne finde sted i Danmark, men jeg vil gerne se dokumentation,« siger han.
»Det vil være alvorligt, hvis kortet kan kopieres,« udtaler systemchefen.
Han tilføjer, at alle transportselskaber bygger sikkerhedsmekanismer oven på, hvad NXP leverer med selve kortet, og han kender ikke detaljerne i Londons system.
Britiske forskere: Skrot kortet
Peter Gildbak får sin dokumentation senest til oktober, når forskerne, ifølge en talsmand fra Radbourg Universitet, offentliggør en videnskabelig artikel om emnet, skriver ZDNet.
Indtil da er reaktionerne yderst blandede. Flere britiske sikkerhedseksperter opfordrer regeringen til at skrotte Philips-kortene.
»En stor procentdel af kortene er sårbare over for angreb. Derfor skal de udskiftes. Kryptografien er ganske enkelt ikke egnet til formålet. Den vil blive hacket snart, hvis det ikke allerede er sket,« siger sikkerhedsforskeren Adam Laurie således til The Times.
NXP Semiconductor oplyser, at selskabet tager sikkerhedsbristerne alvorligt og arbejder sammen med forskerne fra Nijmegen.
»Vi har bedt alle vores systemintegratorer om at vurdere deres systemer, og vi har identificeret modtræk,« siger en unavngiven talsmand til The Times.
Højst et døgns fribillet
Transport for London, som står bag Oyster-kortet, ser dog intet alvorligt i hollændernes kopi.
»Vi kører daglige test for at finde klonede kort, og de vil blive stoppet inden for 24 timer. Derfor kan man højst opnå et døgns gratis rejser,« skriver en ligeledes unavngiven talsperson for trafikselskabet til ZDNet.
De første testkunder skal efter den reviderede tidsplan begynde at benytte Danmarks Rejsekort på en teststrækning mellem Høje-Taastrup og Holbæk i begyndelsen af næste år. I 2011 skal systemet været rullet ud i hele landet.
Prisen for rejsekortet er ikke offentliggjort.
