Rejsekort truet: Elektroniske togbilletter kan kopieres

Det tre år forsinkede, danske rejsekort, som skal erstatte bus- og togbilletter i Danmark, risikerer at blive kopieret af svindlere, som vil sørge for, at det kan lade sig gøre at køre gratis, uden at det kan opdages.

Forskere fra Radboud Universitet i den hollandske by Nijmegen har udnyttet en kendt metode til at kopiere kortene. Først var det adgangskort til offentlige bygninger i Holland. Det fik den hollandske regering til at kommandere bevæbnede vagter til at patruljere foran nogle af bygningerne.

Dernæst sendte hollænderne nogle af deres studerende til London, hvor de klonede Oyster-kortet, som millioner af pendlere benytter til at betale for deres metro- og busbilletter. De studerende kørte rundt en dag med London Underground på kopi-kortet uden at blive opdaget.

Oyster Card fra London, som hollandske studerende kopierede, så de kunne køre gratis rundt i byens Underground. (Foto: Wikimedia) Illustration: *version-3-point-1 (A. Maningas)

Samme kort som i Danmark

Både de hollandske adgangskort og Londons billetter benytter et RFID-kort fra selskabet NXP Semiconductor, der udspringer af Philips. Det har leveret flere milliarder kort, og det danske selskab Rejsekort A/S står også på kundelisten.

De hollandske forskere benyttede ifølge flere medier en helt almindelig bærbar pc til at kopiere kortene, ligesom de kunne bryde ind i dem og sætte flere penge ind på dem. Det blev gjort med metoden 'reverse engineering'. Metoden blev allerede beskrevet sidste år.

Ifølge Bart Jacobs fra Radboud Universitet er særligt elektroniske adgangskort udsat.

»De kan klones blot ved at støde ind i personen med kortet, mens man bærer på en transportabel kortlæser. Den person, hvis identitet bliver stjålet, aner ikke, at der er sket noget. Der er ingen tekniske modtræk,« siger han til den britiske avis The Times.

Efter de seneste sikkerhedsproblemer besluttede Holland, ifølge flere medier, at sætte sine elektroniske billetter i bero, indtil der er fundet en løsning, så kortene ikke kan kopieres.

Rejsekort A/S: Det vil være alvorligt

Det stemmer dog ikke overens med de oplysninger, som systemchef Peter Gildbak fra Rejsekort A/S har. Han oplyser, at et sikkerhedsfirma skulle analysere det hollandske kort, og at analysens væsentligste pointer ikke er offentligt tilgængelige.

Peter Gildbak havde ikke hørt om det kopierede kort fra London, før Ingeniøren kontakter ham.

»Vi føler os overbevist om, at vores sikkerhedsmekanismer er tilstrækkelige. Jeg kan dog ikke afvise, at kopieringen også vil kunne finde sted i Danmark, men jeg vil gerne se dokumentation,« siger han.

»Det vil være alvorligt, hvis kortet kan kopieres,« udtaler systemchefen.

Han tilføjer, at alle transportselskaber bygger sikkerhedsmekanismer oven på, hvad NXP leverer med selve kortet, og han kender ikke detaljerne i Londons system.

Britiske forskere: Skrot kortet

Peter Gildbak får sin dokumentation senest til oktober, når forskerne, ifølge en talsmand fra Radbourg Universitet, offentliggør en videnskabelig artikel om emnet, skriver ZDNet.

Indtil da er reaktionerne yderst blandede. Flere britiske sikkerhedseksperter opfordrer regeringen til at skrotte Philips-kortene.

»En stor procentdel af kortene er sårbare over for angreb. Derfor skal de udskiftes. Kryptografien er ganske enkelt ikke egnet til formålet. Den vil blive hacket snart, hvis det ikke allerede er sket,« siger sikkerhedsforskeren Adam Laurie således til The Times.

NXP Semiconductor oplyser, at selskabet tager sikkerhedsbristerne alvorligt og arbejder sammen med forskerne fra Nijmegen.

»Vi har bedt alle vores systemintegratorer om at vurdere deres systemer, og vi har identificeret modtræk,« siger en unavngiven talsmand til The Times.

Højst et døgns fribillet

Transport for London, som står bag Oyster-kortet, ser dog intet alvorligt i hollændernes kopi.

»Vi kører daglige test for at finde klonede kort, og de vil blive stoppet inden for 24 timer. Derfor kan man højst opnå et døgns gratis rejser,« skriver en ligeledes unavngiven talsperson for trafikselskabet til ZDNet.

De første testkunder skal efter den reviderede tidsplan begynde at benytte Danmarks Rejsekort på en teststrækning mellem Høje-Taastrup og Holbæk i begyndelsen af næste år. I 2011 skal systemet været rullet ud i hele landet.

Prisen for rejsekortet er ikke offentliggjort.

Dokumentation

Artiklen fra The Times

sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først

Hvad mener journalisten med at prisen ikke er offentliggjort. Han har jo lige fortalt at kortene er gratis :o)

  • 0
  • 0

Back-office testen for klonede kort er jo det kendte modtræk til dette problem. Det er en rimelig metode, da det enten kun giver omkring en dags gratis rejser, hvis man vælger at spærre detekterede klonede kort. Man kan også se om der knytter sig et givet rejsemønster til klonede kort og så skride ind på baggrund af det. Forseelsen ved at gøre det er jo ret alvorlig, så det skal holdes op mod glæden ved at kortvarigt at køre gratis i bus og tog.

På samme måde har man jo også valgt ikke at bruge pinkode når man betaler med kreditkort på broerne – nogle kan måske snyde på den baggrund, men glæden ved at gøre det er jo begrænset.

  • 0
  • 0

Forseelsen ved at gøre det er jo ret alvorlig, så det skal holdes op mod glæden ved at kortvarigt at køre gratis i bus og tog.

Det er relativt nemt at se, hvis et kort bruges samtidigt to steder. Stemples både ind og ud, er det mest sikkert - så skal udstempling passe til indstemplingen, og der må ikke være indsat indstemplinger eller udstemplinger i mellemtiden. Derved kan spæres automatisk. Dertil kommer en mulighed for manuel spæring.

Sammenlignes med ekstraprisen på kort, der har større sikkerhed, og at et kopieret kort, højst kan bruges indtil det spæres manuelt eller automatisk (typisk højst en dag), så er ikke sikkert, at det betaler sig at give ekstra for sikrer kort.

Desuden er risiko for en person tages, når et kopieret kort bruges. Så snart det detekteres, kan kontrolørere sendes til den pågældende bus eller tog, så hurtigt som muligt, med henblik på at undersøge kort. Hvis kortet har navn, vil være nemt at tjekke om brugeren af kortet, også er den korrekte indehaver, eller om kortet er stjålden.

Risiko, og den begrænsede tid et stjålden kort fungerer, samt at kun et begrænset antal har adgang til kopieringsenheder for kort, gør at tyveriet sandsynligvis vil være langt mindre end svindel med nuværende biletter.

Hvis systemet automatisk spærer kort, på baggrund af rejsemønsteret, og indrapporteret spæring, så er ikke grund til at frygte den dårlige sikkerhed.

Desuden, går det ikke ud over kunderne, og er alene en kalkulation som rejsekort, dsb, og busselskaber må overveje, udfra udgiften ved tab på en billet, sandsynligheden for kopiering, og risikoen for at svindlen opdages. Hvis svindlen med kopierede kort overvåges, er altid muligt, at sætte ind, f.eks. med kontrol når det sker, hvis at svindlen bliver for stor.

Risikoen ved dankort, danid, osv. er langt større - for her går det ikke udover udbyderen, men over borgeren.

Dog er vigtigt, at Rejsekort forstår risikoen, og står inde for, at betale det, at rejsekortet er brugt til, den pågældende dag. Det bør måske også gælde ved tab af kort (tyveri).

  • 0
  • 0

andet end bøvl ud af det centralvarmeanlæg" - eller rejsekort.

Kan det virkelig betale sig at bruge så mange ressourcer på at udvikle et sådant rejsekort? Og hvor meget koster det bagefter i administration osv.? Er der lavet nogen undersøgelser af, hvor meget det ville koste at gøre offentlig transport gratis? En undersøgelse, der naturligvis skal inkludere den glæde (som er svær at prissætte) vi alle må få af at holde mindre i kø og dermed udsættes for færre partikler. Og dermed også færre følgesygdomme, som staten i sidste ende skal betale for at helbrede igen.

Da jeg gik i ca. 5. klasse fandt man ud af i kommunen, at det ikke kunne betale sig rent økonomisk (pga. administrationsudgifter) at opkræve penge i skolebusserne - så blev billetmaskinen hevet ud af alle skolebusserne i kommunen, og det blev pludselig nemmere for chaufførerne at overholde køreplanen. Det kan naturligvis ikke overføres direkte til al offentlig transport, hverken på Københavnsk eller nationalt plan, men det er da en interessant tanke, jeg gerne så en opfølgning på fra politikernes side.

Men jeg er bange for, at politikere til højre for SF går i baglås bare de hører ordet "gratis"...

  • 0
  • 0

Hvis man gjorde offentlig transport gratis ville man spare på bl.a administration (herunder bødeudskrivning etc), kontrol af billetter, vedligehold af billetautomater (hærværk etc), psykologhjælp til kontrolører/chauffører. Det ville frigive kontrollørpersonale til at køre flere busser, det generelle arbejdsklima vil sikkert være bedre uden alle de tosser der opfører sig dumt når de ikke har betalt, flere ville tage offentlig transport og arbejdsstyrken vil blive mere mobil. Det vil gøre Danmark både mere attraktiv at starte virksomhed i, men også at være turist i. Busser (og måske tog) ville lettere kunne overholde køreplanen. Der ville være mindre slid på veje og på miljø.

Alt i alt i det mindste noget man burde undersøge...

Man kunne som i fx. Ikast-brande-området gøre det ved fra kommunens side at lave en kontrakt med busselskabet, der specificerer betingelser og pris. Så ved kommunen fra starten af året hvor store udgifter den får til transport.

  • 0
  • 0

Vi kan ikke bare gøre offentlig transport gratis - det ejes jo ikke af staten, men af private virksomheder. Det eneste man kan, er at give tilskud. Men, at give tilskud til private virksomheder, er jo normalt ikke velset.

Skulle det offentlige betale - skal de så bare betale det, som de private busselskaber forlanger? Skal de betale et politisk bestemt beløb, ligesom for DR? Skal vi have mulighed for at kunne afmelde os offentlig transport? Og kræves, at vi er tilmeldt offentlig transport, trods vi vælger et transportselskab der ikke får tilskud, og som kræver betaling?

  • 0
  • 0

Vi kan ikke bare gøre offentlig transport gratis - det ejes jo ikke af staten, men af private virksomheder.

Det fungerer allerede i Ikast-Brande kommune - så jo det kan man. Man sender det i udbud som jeg også skrev. Det offentlige betaler i forvejen tilskud til transport (selv privatbilisterne får jo tilskud). Hvis man har ondt i røven over gratis offentlig transport burde man også have noget imod kørselsfradrag...

  • 0
  • 0

[quote] Vi kan ikke bare gøre offentlig transport gratis - det ejes jo ikke af staten, men af private virksomheder.

Det fungerer allerede i Ikast-Brande kommune - så jo det kan man. Man sender det i udbud som jeg også skrev. Det offentlige betaler i forvejen tilskud til transport ..snip...[/quote]

Ja det rejsekortprojekt kunne ændres til en nem sag i stedet for nuværende spagetti - spild af samfundes penge.

I stedet for betaling, kan kortet anvendes til at planlægning - opsamle transportbehovet og frekvenshyppighed etc.

På Fyn (Odense) konstaterede man også nogle få år tilbage, at det ikke var nogen forretning at opkræve betaling. Udgifterne + drift til betalingssystemet var ikke overskudsgivende, selvom der bruges et kortsystem med kontakt til central server...

  • 0
  • 0

Vi kan ikke bare gøre offentlig transport gratis - det ejes jo ikke af staten, men af private virksomheder. Det eneste man kan, er at give tilskud. Men, at give tilskud til private virksomheder, er jo normalt ikke velset.

Tilskud til private.. Jens det foregår jo faktisk - staten giver kommune X et tilskud, kommune X laver en kontrakt med transportør, kommune X giver pengene fra staten til den, der fik kontrakten.. at påstå andet er en illusion.

  • 0
  • 0

Rejsekortet minder mig om Kanal 2 dekodere anno 1984: Kanal 2 blev tvunget til at skifte dekodere fordi deres første dekodere var for nemme at hacke. Der er nul sikkerhed i rejsekortet, det er hacket allerede før det er kommet i brug, skrot det og find et mere sikkert rejsekort.

  • 0
  • 0
Bidrag med din viden – log ind og deltag i debatten