Tre ingeniørstuderende fra MIT (Massachusetts Institute of Technology), Zack Anderson, Alessandro Chiesa og R. J. Ryan, har i den forløbne uge gjort sig bemærket i verdenspressen med en demonstration af, at rejsekortet til Bostons undergrundstog kan hackes og klones, både papirbilletterne og de kreditkortlignende månedskort.

Der er tale om et system, der er baseret på Mifare Classic-kortet, som også benyttes i Londons Underground, og som skal bruges i det danske Rejsekort, der er på nippet til at blive indført her i landet.

Om det var et ægte forsøg på at hjælpe Bostons transportmyndighed MBTA (Massachusetts Bay Transportation Authority) til at forbedre sikkerheden, eller om det var for at blive berømt i hackerkredse, står hen i det uvisse.

De tre unge henvendte sig i hvert fald først til MBTA med deres forsøgsresultater, men planen var også at offentliggøre deres præsentation på den berømte og berygtede hackerkonference Defcon i Las Vegas.

Et faktum er, at MBTA med en dommerkendelse fik held med at forhindre de studerende i at præsentere resultaterne på Defcon, som netop er løbet af stabelen.

Dommeren ville imidlertid ikke gå med til MBTA's oprindelige krav - et forbud mod, at de tre studerende overhovedet omtalte sikkerhedsproblemets eksistens. Det ville have været et dybt indgreb i ytringsfriheden. Men dommeren forbød dem at offentliggøre materiale, der kunne hjælpe andre til at omgå billetsystemet.

Advokaten dummede sig
Men de slap ud på en anden, uforudset måde, skriver internetmediet Openmediaboston. For transportmyndigheden MBTA fik materialet af de studerende. Og MBTA's advokat registrerede materialet som et offentligt fremlagt dokument i forbindelse med dommerkendelsen.

Dermed blev præsentationen tilgængelig for alle. Den kan også stadig hentes fra MIT's hjemmesider, og senest er den blevet tilgængelig på fildelingssitet Piratebay.

Præsentationen viser imidlertid kun, hvor systemernes svagheder er. Et hjemmestrikket pyton-program, som snuser informationer fra rejsekortet, er ikke med i materialet.

Sikkerhedseksperter i forbøn for de studerende
En gruppe på 11 professionelle sikkerhedseksperter har nu skrevet til dommeren, George O´toole, for at bede ham ophæve sin kendelse igen.

»Sikkerhedsproblemer forsvinder ikke ved at forbyde omtale af dem - faktisk kan de forværre dem, fordi mange mennesker og institutioner bliver afhængige af den illusoriske beskyttelsesmekanisme. Alligevel vil ejerne af sådanne teknologier gerne forhindre en sandfærdig debat om eventuelle produktfejl, og de vil oftest nægte adgang til forskere, der vil afprøve sikkerheden,« skriver eksperterne ifølge Openmediaboston:

De gør opmærksom på, at tilsvarende, ansvarlig hacking har tidligere gjort det muligt at forbedre banksikkerheden og forhindre et angreb på Det Hvide Hus' webserver.

Rejsekort A/S er sikret mod kortkloning
Det har ikke været muligt at komme i forbindelse med direktøren for det danske Rejsekort A/S, Bjørn Wahlsteen, for at få en kommentar til den amerikanske sag.

Rejsekorts systemchef, Palle Gildbak, understreger, at klonede rejsekort ikke kan benyttes i det nye, danske rejsekortsystem, fordi en fælles database løbende overvåger hvert eneste kort, der bruges. Så hvis der dukker en klon op i netværket samtidig med et originalt kort, vil både klonen og originalen blive spærret hurtigt.

»Jeg kan ikke udtale mig om, hvorvidt vi i givet fald vil samarbejde med danske forskere og ingeniører, som kunne få lyst til at afprøve vores sikkerhedssystemer. Måske vil det være mere rimeligt at indlede et samarbejde med vores systemleverandør,« siger han.