Bostaden inför lättloggat passersystem

Bostaden, det kommunala bostadsbolaget i Umeå, håller på att gå över till RFID-passersystem på en massa håll verkar det som. Ursprungligen hörde jag endast talas om detta för studentkorridorer (Bostadens tidning september 2008 sida 18) pga nyckelkostnader etc, men tydligen gäller det även övriga typer av hyresrätter och byggnader.

En bekant till mig har fått information att deras nycklar blir oanvändbara för att ta sig in i hyreshuset. Inom loppet av 10 dagar måste man ha hämtat ut RFID-taggar (utan pin-kod), annars är man utelåst från sitt bostadshus. Dygnet runt. Följande “information” får man om systemet ifråga – utan att Bostaden påpekar varken att det är trådlös, enkelt avlyssningsbar teknik, kontaktlösa och osäkra kort, förmodligen loggat och absolut inte lika säkert som fysiska nycklar:

Vad innebär det nya systemet för mig?

Du måste hämta ut taggar som hör till din lägenhet och som du alltid måste ha med dig för att komma in i entrédörrarna. Dessa kommer att vara låsta dygnet runt. Till varje lägenhet ingår tre taggar. Behöver du fler taggar kan köpa för 150kr styck.

Informationsbladet är alltså mycket fattigt på fakta och jag själv har ett par extra funderingar – med egenförfattade svar. Citerat delvis från IRC:

> Kan ni se när jag går in och ut ur mitt hem?
– Nej, vi ser endast när du kommer in i huset. Inte när du lämnar det.

> Ifall jag vill ha fler taggar men inte betala 150kr/st, går det att lösa?
– Ja, systemet är så osäkert att du kan kopiera dina egna taggar med väldigt billig utrustning.

> Ifall jag stannar hemma sjuk, men går på promenad till butiken för att kylskåpet är tomt, loggas min passering och eventuellt finns tillgänglig för arbetsgivaren att kolla upp detta för att därefter göra en felaktig slutsats om falsk sjukanmälan och således avskeda mig?
– Haha, nä det skulle ju aldrig ske. Men det är klart att polis och myndigheter får titta på loggarna om de hittar på en lösryckt anledning att göra det.

Även ifall systemet ej loggas så är det ett relevant argument mot. för hur ska du veta att det inte bokförs? Systemet som Bostaden köpt in är förmodligen lika slutet och otransparent som t.ex. busskorten. Alla typer av säkerhetssystem skulle må bra av öppen granskning av källkod. implementering och dylikt, förutsatt att leverantör och köpare har intentionen att använda den bästa och i slutänden billigaste lösningen. Eller för den delen vill förmedla trygghet till sina användare.

Notera även att detta är samma typ av passersystem som implementerats på många andra ställen i Umeå kommun. Inom kommunal verksamhet. Ett av dessa ställen är Hamnmagasinet, dit jag personligen har RFID-tagg (+kod) istället för tidigare då det bara gällde PIN-kod. Det är inte bara en gång som systemet på Hamnmagasinet trilskats på diverse sätt, vilket förvisso säkert bara går att vifta bort som barnsjukdomar.

Notera särskilt att detta system (antar jag) använder sig av lättknäckt och enkelt kopierbar teknologi. Ungefär som busskorten. Så ifall dörrloggarna säger att du kommit in genom dörren strax innan ett lägenhetsinbrott – ja då kan du och din egen tagg lika gärna ha varit i Thailand och semestrat med ladyboys.

Så what the shit? Läser man informationsbladet ser man även att det handlar om att “öka tryggheten”. Frågan är vems trygghet som ökar när man riskerar grov övervakning och digital förföljelse. Vilken politiker eller tjänsteman är det som behöver få ett mail och/eller telefonsamtal? Följande mail skickade jag i alla fall till de som informationsbladet ansåg att man bör ställa sina frågor till, projektansvarige Kurth Edman och kvartersvärden Lars Lind vid Bostaden:

Halloj.

Jag har sett info-lappen om bytet av låssystem i entrédörrarna där ni effektivt tar bort möjligheten att använda sin lägenhetsnyckel för att ta sig in i trapphuset. Istället används ett digitalt system med RFID-taggar som måste användas dygnet runt för att ta sig in.

En omedelbar fråga som dyker upp när nu entrén direktkopplas mot en centralt styrd databas är huruvida detta loggas. Kommer entréer gjorda med dessa RFID-kort att sparas någonstans – i så fall hur länge, av vilken orsak och åtkomligt för vem?

Sedan undrar jag ifall detta är “dumma” RFID-taggar, de på 125kHz, eller “smarta” s.k. Mifare Classic-kort på 13.56MHz. Eller används någon annan slags kontaktlös lösning?

Till syverne och sist undrar jag vems “trygghet som ökar”, vilket informationsbladet inleds med. Vad menar Bostaden ens med trygghet i det här fallet? Riskerna med ett kontaktlöst system där ens tagg-identitet mycket enkelt kan kopieras gör inget annat än gör mig personligen otrygg och osäker.

Svaret dyker nog upp i veckan som kommer… Då uppdaterar jag inlägget. Eller skriver ett nytt ifall svaret faktiskt är intressant nog.

—-

Update 2011-04-11 14.37: Ett svar kom från kvartersvärden Lars Lind om att Kurth Edman inte vill svara förrän han vet var jag bor. Följande svarade jag – och jag misstänker att framtida respons förtjänar nya inlägg på bloggen:

På vilken adress bor du, det finns ingen Mikael Nordfeldth vårat
kontraktsystem.

Hej, jag bor inte på Löftets Gränd, men är kund hos Bostaden på annan
adress i Umeå. Min oro ligger i att detta system kan riskera att sprida
sig till andra Bostaden-hus, vilket vore mycket olyckligt och besvärande
för mig som hyresgäst.

Eftersom jag tidigare har gjort undersökningar kring kontaktlösa och
trådlösa systems säkerhet är jag högst orolig för dess säkerhet.
Särskilt ifall det är någon av de tekniker jag nämnde i mitt tidigare
mail till er båda (dvs RFID/Mifare classic). Det är därför jag är
intresserad av att veta vad som eventuellt komma skall till min bostad.

Projekt ansvarige Kurth Edman önskar svar på detta innan han uttalar sig.

Det här är enligt mig en konstig inställning. Bostaden är ett kommunalt
bolag och åtminstone min åsikt är att man då som tjänsteman bör jobba
med största möjliga öppenhet, transparens och insyn. Särskilt när det
gäller säkerhetsrelaterade system som påverkar människors vardag och
trygghet. Ännu mer särskilt ifall projektet ifråga hävdar sig “öka
tryggheten” men snarare implementerar teknik med erkända
säkerhetsbrister.

Jag svarar med CC till Kurth så får även han läsa min syn på insyn i
denna typen av projekt.

Av vilken anledning är den projektansvariga Kurth Edman intresserad av att veta var jag bor? Att jag inte är residensförd på Löftets Gränd gör väl inte mig mer eller mindre berättigad att veta vad som försiggår där? Särskilt när det är ett kommunalt bolag – där jag rentav är kund – det handlar om.

8 thoughts on “Bostaden inför lättloggat passersystem”

    1. Mnja, de har bara inte samma kritiska syn på enkelt övervakningsbara system som åtminstone jag har. Min förhoppning är att lära ut och att lära av dem – även om jag personligen tror att min koll i detta läge är ett par steg djupare in i den samhällsrelaterade konsekvensanalysen än deras (förmodar jag) kostnadstabeller.

  1. Vi har sedan ett drygt år haft samma system här där jag bor. Lite barnsjukdomar i början men inget farligt.

    Systemet har hjälpt vid utredningen av ett inbrott i ett källarföråd samt minskat “rännandet” av obehöriga personer. Det hela började nämligen med att portarna skulle låsas dygnet runt och då behövdes en porttelefon och denna gick att få med taggar. Taggarna används även till källarutrymmen, garage, soprum samt en planerad ombyggnad av tvättstugor med taggstyrt boknings-system. Vid införandet hade vi en period då både nyckel och tagg fungerade. Trots mycket info så var det några som lyckades låsa sig ute första veckan efter att låsen plockades bort. :)

    Men vi är en bostadsrättsförening och då tillhör ev. register av inpasseringar också föreningen och i förlängningen medlemmarna. Beslutet att införa taggarna är taget av en vald styrelse och bifölls av medlemmarna på stämman. (Vi är en teknikvänlig förening med egen Facebook-sida bl.a..) Det lilla motståndet mot införandet kom från ett par äldre personer med motiveringen “Vi vet inte hur det funkar och därför är det inte bra.” (Sen finns det alltid dom som aldrig kommer på mötena och därför klagar i efterhand. Vi har en gubbe som klagar på det nya sopsorteringssystemet med att det står en politisk konspiration bakom det faktum att sopnedkasten inte går att använda längre.)

    Personen som frågar om registret kan användas av hans arbetsgivare har tydligen inte tänkt på att taggarna tillhör lägenheten och inte personen. T.ex. så har min mor och syster nyckel samt tagg till min lägenhet och om jag ligger sjuk kan dom använda dessa till att besöka mig.

    Det jag vill komma fram till är att det är inte införandet av systemet som jag reagerar emot, utan att användarna inte har insyn eller tillgång till registret.

    Ber om ursäkt om jag svamlar, ska lägga mig nu.

    1. Hanse: Uppfattade du min kritik till hur enkelt att manipulera och avlyssna systemet det är? Trådlösa/kontaktlösa kort identifierar sig – hör och häpna – trådlöst. Det innebär att någon med en antenn och intresse att avlyssna kan göra det. Inget som sker över etern bör betraktas som säker kommunikation.

      Att bara veta när, någon går in genom entrédörren t.ex. är ointressant förstås. Betänk då att efter att ha lyssnat av denna information så kan man (och det är här jag refererar till busskorten som troligen är samma teknik) ofta imitera identiteten. Klona taggen alltså.

      Min kritik är att den utredning du nämnde kring inbrottet i ett källarförråd stjälps fatalt av möjligheten att enkelt kopiera någon annans identitet. Vare sig det är kopplat till person eller lägenhet så har det ingen betydelse om i princip vem som helst kan utge sig för att ha just denna tagg. Med billig utrustning.

      Men absolut. Att användarna inte har insyn eller tillgång är nog det största problemet. Min argumentation är ju dock att ifall användarna haft det så skulle man inte vilja implementera systemet ifråga. Förslagsvis på grund av anledningarna ovan.

      1. Utredningen angående inbrottet stryrdes inte av tagg-systemet utan underlättades. Inbrottet gjordes på natten och registret användes till att ta reda på vilka lägenheter som hade besökt källaren under denna tid. Sedan tillfrågades dessa lägenheter om de hade sett eller hört något ovanligt, vilket ledde till att tonårssonen i en av lägenheterna kunde misstänkas för brottet som han sedan erkände. Han sitter nu i fängelse bl.a. för misshandel.

        Vad gäller att kopiera taggen så är jag lite tveksam. Vårt system kräver praktiskt taget att man rör vid “låset” med taggen för att få effekt så det ska nog mer till än att gå förbi en antenn för att göra en kopia. Jag är inte helt insatt i det tekniska men vad jag har förstått så har företaget som sålde systemet lämnat ganska så kraftiga garantier på dess säkerhet.

        Sedan så räcker det inte med endast tagg. En klonad tagg kommer in i trapphus och källare men för att komma in i lägenhet eller föråd så behövs fortfarande nyckel.

        Kunde ha förklarat mer i förra inlägget men det var sent och jag ville inte skriva en roman. :-)

        1. Jag hade nog kollat upp närmare huruvida systemet är supersäkert. Säljare är inte att lita på. Särskilt inte när de vill sälja något.

          Anledningen till att du behöver hålla taggen nära är för att den behöver ström från ett elektromagnetiskt fält – dessa görs ganska små eftersom det är onödigt att göra dem stora. När sedan kommunikationen ifråga sker mellan läsare och tagg – då kan man sitta långt bort med en antenn.

          Ett exempel är (återigen) bussarna i Umeå kommun, som alltså använder Mifare Classic (den absolut vanligaste implementationen av programmerbara, kontaktlösa taggar). Man måste “praktiskt taget trycka på läsaren” i en buss, men själva överföringen kan snappas upp även längst bak i bussen om man lyssnar på rätt frekvens…

          Gäller det inte Mifare Classic utan, som i tvättstugor, så är överföringen troligen i 125 kHz istället för 13.56MHz – och således mycket lättare att emulera med ännu billigare utrustning. Och att avlyssna, förstås. Kolla gärna upp vad ni använder för något.

  2. Även Akelius bygger ut med RFID-taggar i Umeå för passage och tvättstugesystem. Vid samtal med en av installatörerna av systemet (Swesafe) loggas all passage, och detta görs centralt. Systemet är så vitt jag vet inte fullt i bruk ännu på de adresser jag känner till, så kan inte ge några kommentarer kring hur det verkar fungera. På de flesta portar sitter rifd-läsare med knappsats, men på vissa enbart rfid-läsare.

Leave a Reply to Dewp Cancel reply

Your email address will not be published. Required fields are marked *