Tag Archives: busskort

Bussig info kring kontaktlösa kort i kollektivtrafiken

Länstrafiken i Västerbotten har, som invånarna i byarna här i norr lär ha märkt, bytt system för kollektivtrafiken (bussar och tåg). Efter att ursprungligen ha köpt ett rejält osäkert system, samt haft en svängom med olaglig direktupphandling verkar Länstrafiken i Västerbotten hänga kvar på leverantören FARA Sweden AB av någon anledning.

Som intresserad av säkerhet, kryptologi och implementationer av dessa i verkligheten betraktar jag absolut detta system som en utmaning att förstå, kommunicera med och kort sagt sätta mig in i! Som engagerad i Umeå Hackerspace så har jag märkt att det finns samma intresse från fler än mig, och vi har redan alla arbetat under rätt lång tid med NFC-säkerhetsanalyser som del av redaktionsarbetet på mmn-o.se. Nu börjar datamängderna kulminera i och med att Länstrafiken i Västerbottens nya system redan fått sprutt.

Som ytterligare informationsbit är det tydligt att Västerbotten inte är ensamma i spelet utan relationerna är knutna till “Resekortsföreningen” (f.d?) och den s.k. RKF-standarden de utvecklade och idag förvaltas i bolagen Resekortet i Norden AB samt Resekortet i Sverige AB (för de svenska kollektivtrafikbolagen). Hela standarden bygger i dagsläget på “Mifare Classic”-kort (samma kontaktlösa typ som Västerbotten använt tidigare), men implementationerna har numera antagit de snäppet säkrare “Mifare Plus”-varianterna. Skillnaden ligger på hårdvarunivå och fokuseras huvudsakligen kring kretsarna som sköter slumptalsgenerering.

För närvarande hanterar dock redaktionen för mmn-o.se polisiära insatser som slagit till mot verksamheten och vi försöker återfå hårdvara och data som beslagtagits. Det finns tyvärr inte mycket juridik som stöder säkerhetsanalytiker och skyddar mot polisen, men vi hoppas att utgivningsbeviset åtminstone ska låta oss bevara våra källor anonyma.

Nedlagd anmälan och kommande RKF-busskort

Polisanmälan mot mig för “bedrägeri”/”urkundsförfalskning” är nedlagd, fick jag veta igår av polisen som förhörde mig. Trevligt såhär innan jul att slippa vara misstänkt för fängelsegivande brott etc. etc.

För ett par dagar sedan såg jag dessutom från Länstrafiken i Västerbotten att de överanvänder ordet “säkerhet” i nyheten om “nästa generations betalsystem” (som ändå redan hunnit bli beprövad!) för kollektivtrafiken. Tom Westerberg, ekonomichefen som uttryckligen försvarat anmälan mot mig, försäkrar läsarna att det nya systemet givetvis är mycket bättre. Man kan t.o.m. “växa i det nya systemet” (fast det är sluten och inlåst mjukvara).

Och för att säkerställa hela systemet har vi anlitat ett företag som ska analysera säkerheten i det nya betalsystemet inklusive busskortens säkerhet.

Tyvärr har ingen pratat med Umeå Hackerspace, som gärna hade hjälpt till med sin ideella kraft att analysera det nya systemet. Vi hade hoppats på att få hjälpa till, samt att de kanske från sin sida kunde visa lite ödmjukhet trots allt. Men nu övergår de enligt nyheten alltså till RKF-specifikationen för busskorten. Som t.ex. Västtrafik kört sedan 2007(?).

Men ändå – mycket trevligt. Säkra busskort som man inte kan spåra människor genom? I like it! Fast jag läste på Flashback igår, sådär huxflux, att RKF-korten hos Västtrafik ironiskt nog inte alls är särskilt säkra.

Hej Tom. Vad sade ert säkerhetsanalysföretag? Standard konsultbabbel? Oj. Surprise.

Och vad kostar de “nya” maskinerna som ska byta ut samtliga existerande bussläsare trots att de kör samma kommunikationstandard? Multum? Jag hade i alla fall inte betalat mer än 1000kr/st för hårdvaran, då det inte är mer än så det kostar för en Linuxburk, simpel fri mjukvara och valfri kortläsare. Vad har kostnaden blivit för Länstrafiken månntro? Inklusive alla konsulteranden fram och tillbaka. Slöseri med skattemedel om jag får säga det själv. Det är ju främst kommuner och landsting som betalar.

Och har man ö.h.t. analyserat sms-biljetterna? Eller ingår detta i den undanhushade RKF-specifikationen (som finns hos Internet Archive) som är för osäker för att vanliga dödliga ska få ta del av det? Till skillnad från fri mjukvara där säkerheten består av den allmänna granskningen, förstås.

VK skriver om bedrägeri-utredningen

Nu har Sven Björkland skrivit en artikel i Västerbottens Kuriren om de rättsliga turerna kring Mifare-korten som SMS-biljetterna till bussarna i Umeå/Västerbotten/Norrland. SVT rapporterade också [01:55] om detta på morgonen. “Otack är världens lön” tror jag stämmer rätt ofta, à la SR P4 Västerbotten.

Det bästa jag kan göra i detta tillfälle är att länka min debattartikel som jag inte tror publicerades när jag skrev den i våras: Fri mjukvara hade löst busskortproblemen.

Vad jag lärt mig sedan dess är att Sverige numera har ett ramavtal för öppna programvaror som åtminstone samtliga landsting och Umeå kommun kan nyttja. Eftersom de som äger Länstrafiken i Västerbotten är Västerbottens landsting samt kommunerna i länet kan detta lämpa sig ganska väl.

Sedan är frågan hur mycket de lagt ut för själva utrustningen – själv har jag hört groteska summor. Jag kan dock personligen konstatera att c:a 1000kr/buss är det absolut maximala jag hade lagt ut för hårdvaran. Om det på något udda vänster kostat mer än så per buss är det inget mer än att kasta skattemedel i sjön.

Den bästa lösningen för kommun och landsting är den utan dyra konsulter, extrem administration, sjukliga kontrollbehov etc. etc. Ung Pirat kommer sannolikt att föreslå nolltaxa i kollektivtrafiken och väva in detta i sitt politiska arbete efter den politiska kongressen i Norrköping 3-4 december.

Rubricering gällande hackade busskort: bedrägeri

Har nu äntligen(?) blivit kontaktad av polis, fått förordnat en advokat och är nu kallad till förhör den 12 december klockan 10.00. Rubriceringen är “bedrägeri” och det påstådda brottet gäller busskorten i Umeå/Västerbotten/Norrland som jag modifierat för att visa på säkerhetshål – samt att jag klurat ut algoritmen för sms-biljetter.

Länstrafiken i Västerbotten är huvudman, vilka här verkar representeras av VD:n Maria Höglander och ekonomichefen Tom Westerberg, och hävdar att jag åkt buss för egen vinning och till deras skada med egenmodifierade busskort. Jag förstår att de uppfattat det så, då jag ändå formulerat mig på vissa sätt i mail samt nyhetsartiklar, men så är dock inte fallet. Även om jag tycker mig ha klargjort det så konstaterar jag det ännu en gång för dokumentationens skull – inget kring busskorten har på något sätt gjorts med vinning för mig eller med konsekvens av skada för någon annan.

Ett par omedelbara frågor väcks givetvis baserat t.ex. på vad jag skrivit till Länstrafiken. I första mailet skriver jag nämligen:

Som resultat av undersökningen har jag nu under en period rest gratis vid tillfällen. Jag ämnar dock betala för mig och skall köpa den mängd resor jag åkt på ett rabattkort och sedan helt enkelt nollställa eller förstöra det.

Det är inte jag personligen som åkt dessa resor, faktum är att jag själv inte med säkerhet ens kan säga att det testats på bussar alls eftersom jag endast fått andrahandsinformation kring användandet på bussar. Faktum är att jag varit överdrivet försiktig på all slags eventuellt provokativa handlingar sedan jag tidigare erfarit fruktansvärt orättvis behandling från kommun och polisväsende. Däremot har jag värderat denna information sannolik eftersom jag tagit del av kortutskrifter från annan legitim hårdvara än på bussarna.

Jag har alltså endast läst av differensen på kortets innehåll mellan olika typer av resor, varefter detta testats i kiosken på Vasaplan i Umeå à la videon eller i deras maskin som är tillgänglig från utsidan. Jag har alltså inspekterat skillnader för att bedöma vad som är datum, antal resor, typ av resor, stationsdata etc. etc. vilket endast är inläsning och begränsad återskrivning av data och har inget som helst att göra med bedragande för egen vinning.

Vad som även ingår i anmälan är, enligt vad advokaten läste upp för mig över telefon, att jag “med teknisk utrustning” gjort saker med SMS-biljetterna. Detta finner jag nästan som ett hån gentemot mig eftersom man hävdar att jag behövt miniräknare för att räkna de simpla plus och minus som krävs. De slänger även in att jag åkt på falska sådana biljetter “för egen vinning”. Dock står jag även här fast vid att jag är en liten fegis som alltid har rest med legitim biljett tillhands – även om den sms-kontrollsumma jag visat till kontrollanter vid tillfällen varit fabricerad. Dvs, hade de ifrågasatt biljetten hade jag bara visat upp den riktiga för dem (deras kontroller är endast visuella, inget knappas in någonstans vanligtvis).

Häromdagarna på min StatusNet-instans skrev jag förövrigt följande – vilket jag ärligt talat känner begränsar min möjlighet att uttrycka mig. Det har varit norm att skämta om “haha, gratis bussresor i Norrland” inom vissa kretsar bara för att det är så in-your-face enkelt. Det vågar jag inte göra numera – så jag självcensurerar min humor pga utredningen:

Mikael “MMN-o” Nordfeldth (mmn)s status den Sunday, 20-Nov-11 15:15:24 CET

Jag känner mig censurerad av “bedrägeri”-utredningen Länstrafiken i Västerbotten initierat. Vågar inte skämta om att kopiera busskort längre

Men jag är fortfarande intresserad – och Umeå Hackerspace likaså antar jag – av att hjälpa till i utvecklingen av nästa generations säkra bussbiljetter. Säkerhet som gäller både för privatpersoner och bussföretaget, för både integritet och ekonomisk tillförlitlighet. Så Länstrafiken i Västerbotten eller vilka som nu kan vara intresserade: ring gärna på mitt publika nummer om ni vill ha säkerhetsrådgivning – fast jag rekommenderar nog egentligen mail ifall ni vill vara säkra på att jag svarar.

Ny sms-kod för bussresor i Umeå?

Jag har själv knappt åkt buss sedan i våras någon gång, när mitt experimenterande med att kopiera busskort var över dvs. Så jag har inte hållit mig uppdaterad personligen. Däremot fick jag nyss veta över irc att de tidigare knäckta “koderna” i sms-biljetterna har bytt skepnad.

Tidigare var systemet alltså dödsenkelt att imitera – algoritmen är vida publicerad. Nu märkte någon dock att en beställd biljett differentierade från systemet och kikade närmare på det. Ändringarna verkar vara minimala…

Så länge varade den systemskillnaden… Även om jag själv som sagt inte inspekterat detta noggrannare då jag inte tänkt finansiera ett bolag som polisanmäler mig för att hjälpa till mer än nödvändigt.

Uppdatering 2011-11-16: Jag kände ändå för att åka buss igår, ironiskt nog för att hämta ett brev om kallelse till förhör gällande polisanmälan, och fick då denna biljett. Jag ser ingen skillnad:

723 22
Enkelbiljett
Umeå tätort
Tid 2011-11-15 12:06
Giltig till 2011-11-15 13:36
19,00 sek
Ungdom
Till tel 46704618744
Kod 444215632

SL Access, går det att hacka?

Jag tycker jag har sett alldeles för lite diskussion och information kring RFID, sårbarheterna i systemet och vad man kan tänkas kunna göra med SL Access-korten. I Umeå har vi ju oerhörda sårbarheter, vilket i och för sig innebär de facto gratis kollektivtrafik, såväl genom algoritmer för SMS-biljetter som manipulering av busskort.

SL Access-kortet verkar ju även det vara RFID, ISO14443A närmare bestämt, och således manipulerbart. Frågan är om systemet i grunden är genomtänkt dock, med förutsättningen att resenärer kan manipulera biljetterna – eller att det skulle vara “säkert”. Stockholms Länstrafik har dock lite mer på spel, samt förmodligen fler leverantörer, så de har rimligen erfarenhet/kompetens att välja ett mer utstuderat system.

För närvarande har jag i vart fall införskaffat ett SL Access-kort och hade tänkt kika närmare på det. Jag bör ju åtminstone kunna klämma fram nycklarna om det, som Länstrafiken i Västerbottens kort, är Mifare Classic. Ifall det är Mifare Plus (AES istället för crypto1 för kommunikatinen) fungerar förmodligen inte samma metod. Beroende på om det är lätt att läsa/skriva korten så vore det intressant att ragga Stockholmare som bidrar med resedata efter respektive typ av resa etc.

Jag misstänker förstås, pessimist som jag är, att anledningen till varför få skrivit om SL Access och sårbarhet är för att det inte fungerar helt enkelt. Stockholms Länstrafik kanske har centraliserad resedatabas, eller så utnyttjas UID-sektorn på korten. Genom sådana metoder är manipuleringen mycket jobbigare och/eller praktiskt omöjlig, med bekostnad på en eller annan administrativ krånglighet.

För de lata, dryga Stockholmarna som bara är ute efter gratis kollektivtrafik så kommer ju väl SMS-biljetter gå att fejka ganska länge framöver. Det är som omöjligt att kräva av SLs anställda att vara lika bryska som väktare – och maskinavläsning är alldeles för opraktiskt så länge folk har olika telefonmodeller. Jag som kör en Nokia N900 kanske inte vill ha ett superflashigt retard-gränssnitt för folk med tjocka fingrar och synfel som en 80-åring – vilket är svårare att läsa av än random smarterthantheuserphone.

Jag är nästan rentav (om det inte vore för fördelningspolitiskt) en förespråkare av att Piratpartiet bör ta kollektivtrafikens frågor till hjärtat (som partiledaren Anna Troberggärna skriver om) och åtminstone möjliggöra dessa resekommunikationer lika för alla. Precis som med datakommunikation.

Bostaden inför lättloggat passersystem

Bostaden, det kommunala bostadsbolaget i Umeå, håller på att gå över till RFID-passersystem på en massa håll verkar det som. Ursprungligen hörde jag endast talas om detta för studentkorridorer (Bostadens tidning september 2008 sida 18) pga nyckelkostnader etc, men tydligen gäller det även övriga typer av hyresrätter och byggnader.

En bekant till mig har fått information att deras nycklar blir oanvändbara för att ta sig in i hyreshuset. Inom loppet av 10 dagar måste man ha hämtat ut RFID-taggar (utan pin-kod), annars är man utelåst från sitt bostadshus. Dygnet runt. Följande “information” får man om systemet ifråga – utan att Bostaden påpekar varken att det är trådlös, enkelt avlyssningsbar teknik, kontaktlösa och osäkra kort, förmodligen loggat och absolut inte lika säkert som fysiska nycklar:

Vad innebär det nya systemet för mig?

Du måste hämta ut taggar som hör till din lägenhet och som du alltid måste ha med dig för att komma in i entrédörrarna. Dessa kommer att vara låsta dygnet runt. Till varje lägenhet ingår tre taggar. Behöver du fler taggar kan köpa för 150kr styck.

Informationsbladet är alltså mycket fattigt på fakta och jag själv har ett par extra funderingar – med egenförfattade svar. Citerat delvis från IRC:

> Kan ni se när jag går in och ut ur mitt hem?
– Nej, vi ser endast när du kommer in i huset. Inte när du lämnar det.

> Ifall jag vill ha fler taggar men inte betala 150kr/st, går det att lösa?
– Ja, systemet är så osäkert att du kan kopiera dina egna taggar med väldigt billig utrustning.

> Ifall jag stannar hemma sjuk, men går på promenad till butiken för att kylskåpet är tomt, loggas min passering och eventuellt finns tillgänglig för arbetsgivaren att kolla upp detta för att därefter göra en felaktig slutsats om falsk sjukanmälan och således avskeda mig?
– Haha, nä det skulle ju aldrig ske. Men det är klart att polis och myndigheter får titta på loggarna om de hittar på en lösryckt anledning att göra det.

Även ifall systemet ej loggas så är det ett relevant argument mot. för hur ska du veta att det inte bokförs? Systemet som Bostaden köpt in är förmodligen lika slutet och otransparent som t.ex. busskorten. Alla typer av säkerhetssystem skulle må bra av öppen granskning av källkod. implementering och dylikt, förutsatt att leverantör och köpare har intentionen att använda den bästa och i slutänden billigaste lösningen. Eller för den delen vill förmedla trygghet till sina användare.

Notera även att detta är samma typ av passersystem som implementerats på många andra ställen i Umeå kommun. Inom kommunal verksamhet. Ett av dessa ställen är Hamnmagasinet, dit jag personligen har RFID-tagg (+kod) istället för tidigare då det bara gällde PIN-kod. Det är inte bara en gång som systemet på Hamnmagasinet trilskats på diverse sätt, vilket förvisso säkert bara går att vifta bort som barnsjukdomar.

Notera särskilt att detta system (antar jag) använder sig av lättknäckt och enkelt kopierbar teknologi. Ungefär som busskorten. Så ifall dörrloggarna säger att du kommit in genom dörren strax innan ett lägenhetsinbrott – ja då kan du och din egen tagg lika gärna ha varit i Thailand och semestrat med ladyboys.

Så what the shit? Läser man informationsbladet ser man även att det handlar om att “öka tryggheten”. Frågan är vems trygghet som ökar när man riskerar grov övervakning och digital förföljelse. Vilken politiker eller tjänsteman är det som behöver få ett mail och/eller telefonsamtal? Följande mail skickade jag i alla fall till de som informationsbladet ansåg att man bör ställa sina frågor till, projektansvarige Kurth Edman och kvartersvärden Lars Lind vid Bostaden:

Halloj.

Jag har sett info-lappen om bytet av låssystem i entrédörrarna där ni effektivt tar bort möjligheten att använda sin lägenhetsnyckel för att ta sig in i trapphuset. Istället används ett digitalt system med RFID-taggar som måste användas dygnet runt för att ta sig in.

En omedelbar fråga som dyker upp när nu entrén direktkopplas mot en centralt styrd databas är huruvida detta loggas. Kommer entréer gjorda med dessa RFID-kort att sparas någonstans – i så fall hur länge, av vilken orsak och åtkomligt för vem?

Sedan undrar jag ifall detta är “dumma” RFID-taggar, de på 125kHz, eller “smarta” s.k. Mifare Classic-kort på 13.56MHz. Eller används någon annan slags kontaktlös lösning?

Till syverne och sist undrar jag vems “trygghet som ökar”, vilket informationsbladet inleds med. Vad menar Bostaden ens med trygghet i det här fallet? Riskerna med ett kontaktlöst system där ens tagg-identitet mycket enkelt kan kopieras gör inget annat än gör mig personligen otrygg och osäker.

Svaret dyker nog upp i veckan som kommer… Då uppdaterar jag inlägget. Eller skriver ett nytt ifall svaret faktiskt är intressant nog.

—-

Update 2011-04-11 14.37: Ett svar kom från kvartersvärden Lars Lind om att Kurth Edman inte vill svara förrän han vet var jag bor. Följande svarade jag – och jag misstänker att framtida respons förtjänar nya inlägg på bloggen:

På vilken adress bor du, det finns ingen Mikael Nordfeldth vårat
kontraktsystem.

Hej, jag bor inte på Löftets Gränd, men är kund hos Bostaden på annan
adress i Umeå. Min oro ligger i att detta system kan riskera att sprida
sig till andra Bostaden-hus, vilket vore mycket olyckligt och besvärande
för mig som hyresgäst.

Eftersom jag tidigare har gjort undersökningar kring kontaktlösa och
trådlösa systems säkerhet är jag högst orolig för dess säkerhet.
Särskilt ifall det är någon av de tekniker jag nämnde i mitt tidigare
mail till er båda (dvs RFID/Mifare classic). Det är därför jag är
intresserad av att veta vad som eventuellt komma skall till min bostad.

Projekt ansvarige Kurth Edman önskar svar på detta innan han uttalar sig.

Det här är enligt mig en konstig inställning. Bostaden är ett kommunalt
bolag och åtminstone min åsikt är att man då som tjänsteman bör jobba
med största möjliga öppenhet, transparens och insyn. Särskilt när det
gäller säkerhetsrelaterade system som påverkar människors vardag och
trygghet. Ännu mer särskilt ifall projektet ifråga hävdar sig “öka
tryggheten” men snarare implementerar teknik med erkända
säkerhetsbrister.

Jag svarar med CC till Kurth så får även han läsa min syn på insyn i
denna typen av projekt.

Av vilken anledning är den projektansvariga Kurth Edman intresserad av att veta var jag bor? Att jag inte är residensförd på Löftets Gränd gör väl inte mig mer eller mindre berättigad att veta vad som försiggår där? Särskilt när det är ett kommunalt bolag – där jag rentav är kund – det handlar om.

Fri mjukvara hade löst busskortproblemen

Följande har även skrivits om och skickats som insändare till Västerbottens Folkblad.

Onsdag 16 mars publicerade Västerbottens Folkblad en artikel som, om än inte uttryckligen, sätter pricken över i:et på problemen i många av dagens “köpta” system. Problemet är just att man oftast upphandlar slutna system, där man inte alls äger själva produkten, vilket effektivt omöjliggör för rätten att modifiera systemets mjuk- och hårdvara.

Lösningen är givetvis inte, även om idén faktiskt är lockande, s.k. “in house”-utveckling. Kommuner, företag som Länstrafiken i Västerbotten och dylikt är inte IT-företag och har således inget syfte att besitta den specialkunskapen. Istället köps de tjänsterna rätteligen in vid behov, såsom utveckling av busskortsystemet. Vid dessa upphandlingar görs dock det fatala misstaget att inte kräva rätten att själva vidareutveckla produkten – åtminstone internt.

Det är idag väl känt att fri mjukvara sparar pengar, såsom vid licenskostnader. Ett exempel som Umeå kommun själva räknat fram är att man skulle spara 600,000kr om året i licenskostnader vid övergång från Microsoft Office till Open/Libre Officebara på gymnasieskolan. Resonemanget fungerar mycket väl vid allt från kontorsmjukvara till operativsystem, vilket dessutom inte påverkar någon funktionalitet negativt om övergången planeras någorlunda väl.

Sämre fungerar resonemanget vid specialskrivna eller annars skräddarsydda system som t.ex. busskortläsarna. Där är beställningen ofta bunden till specifik hårdvara och det saknas fri mjukvara på marknaden som kan implementeras utan vidare. För att fri mjukvara skulle fungera som investeringsargument här skulle nog större delen av Sveriges kollektivtrafik behöva komma överens om att beställa en standardiserad, öppen specifikation för att användas i resesystemen. RKF-specifikationen t.ex. är ej särskilt öppen, vilket jag inte hävdar att den är förrän specifikationerna är släppta fritt och det inte finns licenskostnader på implementering (vilket känns rimligt för ett samhällsnyttigt bolags syften).

– Även om vi velat släppa in honom kan vi inte. Systemleverantören tillåter det inte, säger Tom Westerberg, ekonomichef på Länstrafiken i Västerbotten.

Västerbottens Folkblad 2011-03-16

Det här lamslår min tankeverksamhet temporärt. Vadå att systemleverantören inte tillåter det? Bör inte den som använder och äger utrustningen ha all rätt i världen att själva gå in och förändra detaljer i systemet? Tyvärr är dock verkligheten så att deras inköp inte verkar ha förutsatt att något ska vara fel eller problematiskt med det man betalar för. I mina ögon kan det tyckas självklart att ifall t.ex. företaget går i konkurs måste man själv kunna uppdatera. Tydligen inte i Länstrafikens dock – och noteras bör här att Tom Westerberg inte verkar vara den ansvariga för inköpet (artikeln nämner “många personalbyten”).

Så hur ska man undvika denna slags inlåsning där man behöver köpa ett helt nytt system för att laga problemen, eller för den delen behöva vänta på leverantören? En fullgod lösning föreslogs av det största IT-förespråkande partiet i Sverige förra valrörelsen – nämligen att ifall ett system tas i bruk inom en organisation bör denna organisation även se till att ha rätt att:

  • Granska källkoden – för att undvika säkerhetshål såväl som kunna verifiera att program och hårdvara utför rätt uppgifter (se/hitta buggar).
  • Modifiera källkoden – rätten att själv anställa konsulter att laga ett system måste finnas. Att lita på leverantören har visat sig problematiskt många gånger.
  • Distribuera ändringar – varför uppfinna hjulet flera gånger? Om ett system är i bruk i Västerbotten, och samma är det i t.ex. Göteborg, varför utföra dubbla jobbet?

Absolut bäst lösning vore om Sveriges skattefinansierade organisationer hade som standard och princip att endast upphandla öppna – gärna helt fritt licensierade – datorsystem och dylikt. Transparens är oerhört viktigt i den digitala världen. Att när det gäller offentliga medel i första hand välja fri mjukvara – open source – förespråkade Piratpartiet i såväl riksdags- som landstings- och kommunval 2010.

Förhoppningsvis kopierar andra partier våra idéer och anpassar offentlig sektors upphandlingar.

SR P4-intervju om busskorten

Jag medverkade idag i en intervju på Sveriges Radio P4 Västerbotten i programmet “Västerbotten Direkt” med programledare Gerhard Stenlund gällande busskorten och dess sårbarheter (arkiverat hos SR). Inslaget varade c:a 15:40-15:50 idag 2011-03-10:

Inslaget går givetvis att ladda hem i ett fritt format (Ogg/Vorbis).

Jag är som bekant polisanmäld för detta, med en högst oklar rubricering. Media har nämnt “bedrägeri”, men det låter ju faktiskt helgalet. Då måste det vad jag förstår innebära att gärningsmannen går (åtminstone försöker gå) med vinning samt rimligen orsakar skada för annan. Andra stycket här nedan är nog vad Länstrafikens advokat syftar till ska vara mitt brott:

Brottsbalken 9 kap. Om bedrägeri och annan oredlighet

1 § Den som medelst vilseledande förmår någon till handling eller underlåtenhet, som innebär vinning för gärningsmannen och skada för den vilseledde eller någon i vars ställe denne är, dömes för bedrägeri till fängelse i högst två år.

För bedrägeri döms också den som genom att lämna oriktig eller ofullständig uppgift, genom att ändra i program eller upptagning eller på annat sätt olovligen påverkar resultatet av en automatisk informationsbehandling eller någon annan liknande automatisk process, så att det innebär vinning för gärningsmannen och skada för någon annan. Lag (1986:123).

Jag menar att detta absolut inte gjorts så att det innebär vinning för mig eller skada för någon annan. Det har jag dessutom tydliggjort för Länstrafiken redan vid min första kommunikation. Samtliga bussresor jag gjort har betalats för genom att köpa busskort och nollställa dem eller bara inte använda korten. Det handlar om totalt sett ett 70-tal resor vilka har inhandlats kontant under den tid som mitt undersökande pågått, allteftersom jag kommit på fler potentiella modifikationer och detaljer kring informationen.

I övrigt tycker jag att intervjun gick bra men tar givetvis gärna emot kritik om någon har något att säga. Släng iväg en kommentar nedan bara. Berätta gärna vad ni tycker om såväl agerandet från mig och Umeå Hackerspace såväl som Länstrafiken i Västerbotten.