Tag Archives: kommunikation

Planka på bussen i Umeå

Att åka gratis buss i Umeå är inga problem, varken med SMS-biljett (där man bör kunna algoritmen) eller ens med de faktiska busskorten (närmare beskrivningar kommer i veckan hoppas jag). En applikation för terminalexekvering har skrivits (samt en i Python), till skillnad från fucking-bullshit-iPhone-“appar”, och någon screenshot-genererare för iPhone-skräpprodukterna har jag hört ska finnas för lokaltrafiken i Umeå.

Följande video beskriver hur man kan ändra giltighetstiden på ett busskort, samt att det faktiskt är giltigt efteråt med modifikationens nya egenskaper:

[Youtubevideo för alla utan WebM-stöd i webläsaren]

Eftersom jag är en sådan där ärlig typ så hade jag följande mailkonversation med Länstrafiken i Västerbottens VD/ekonomichef häromveckan:

Date 22.02.2011 11:38

Hej Maria.

Det här gäller något ni rimligen redan bör vara medvetna om från Länstrafikens sida, nämligen möjligheten för vem som helst att manipulera era busskorts innehåll.

Jag har på egen hand, med mycket billig utrustning plus tillgänglig fri mjukvara, undersökt de busskort som används idag i Umeå med omnejd. Detta eftersom RFID-tekniken som kallas “Mifare Classic” varit erkänt osäker i många år och jag äntligen fick tummen ur i år att undersöka Umeås lokala användningsområden av tekniken ifråga.

Resultaten av mina undersökningar har, kortfattat, lett till upptäckten att vem som helst kan, utan nämnvärd ansträngning:

* Läsa av andra passagerares busskort (veta hur de reser)
* Skriva över andra passagerares busskort (manipulera/sabotera)
* Programmera om sitt eget kort (lägga till resor/förlänga tid)

Utförandet av ovanstående punkter förutsätter tillgång till det busskort som är inblandat. Denna tillgång är begränsad, med min billiga utrustning, till c:a 5cm avstånd (även genom kläder). Med dyrare utrustning går det i teorin att utföra samma saker med längre distans.

Omprogrammerade kort klarar förövrigt att identifiera sig korrekt mot biljettkontrollanternas maskiner.

Som resultat av undersökningen har jag nu under en period rest gratis vid tillfällen. Jag ämnar dock betala för mig och skall köpa den mängd resor jag åkt på ett rabattkort och sedan helt enkelt nollställa eller förstöra det.

…och så har vi kommit fram till poängen med mitt mail.

Eftersom detta är en så stor säkerhetsrisk, inte bara för ert kortsystems verifikat utan även för varje enskild passagerares integritet och ekonomi, anser jag att allmänheten har intresse av detta. En förening som jag är medlem i har tänkt publicera denna information med förklaringar hur man går tillväga, samt demonstrationer som visar att det faktiskt fungerar.

Jag mailar dig som VD på Länstrafiken i Västerbotten för att få veta era synpunkter och funderingar på detta, samt ifall någon annan part bör kontaktas i frågan innan informationen når allmänheten. Vilken roll spelar t.ex. Nobina i detta? (eller vilka andra som har med lokaltrafiken i Umeå samt Västerbottens regionaltrafik att göra)

Vilka köptes systemet från och kan de ställas ansvariga för den låga säkerhetsnivån i systemet? Eller menade inte upphandlingen täcka denna typ av missbruk?

Min önskan är att hjälpa er förbättra systemet. Vid redovisning av sårbarheten kommer det även att presenteras föreslagna lösningar till problemet. Om man nu ens ser på detta som ett problem, förstås

Önskas en demonstration går det givetvis att ordna.


Mikael Nordfeldth

PS, SMS-bussbiljetterna är inte särskilt svårknäckta nötter de heller: http://blog.mmn-o.se/2010/12/19/en-siffra-narmare-bussarnas-kod-i-sms-biljett/ DS.

Svaret var ruggigt kallt och intetsägande, efter att ha vidarebefordrats från VDns slutna låtsasdator som begränsas av ett företag vars största önskan verkar vara att kontrollera användarna snarare än att låta dem bruka hårdvara:

Date 23.02.2011 08:35

Hej Michael

Tack för att du uppmärksammat oss om sårbarheten för RFID-korten.

Vi är dock medvetna om problemen och detta är ett av skälen till att vi nu går över till ett nytt system.

Med vänlig hälsning

Tom Westerberg
Ekonomichef
Länstrafiken i Västerbotten AB
[…]

Från: Höglander Maria
Skickat: den 22 februari 2011 14:27
Till: Westerberg Tom
Ämne: Fwd: Sårbara RFID-busskort 

Skickat från min iPhone

Vidarebefordrat brev:

[mitt mail ovan]

Givetvis tyckte jag att det var ruskigt oförskämt att svara så kort när vi faktiskt erbjuder vår hjälp. Så jag förtydligar det lite samt frågar om ett par andra saker:

Date 23.02.2011 12:09

Tack för att du uppmärksammat oss om sårbarheten för RFID-korten.

Vi är dock medvetna om problemen och detta är ett av skälen till att vi nu går över till ett nytt system.

Halloj Tom,
detta gör mig givetvis lite nyfiken om hur länge ni vetat om problemen då jag lyckas pricka av i tiden då ni precis ska gå över till ett nytt system.

Vad innebär att ni “nu går över”. Är det faktiskt väldigt snart, har ni redan upphandlat och hur får ni detta nya system i rullning? (brukas samma kort etc. etc.)

Erbjudandet om att betrakta systemet som oberoende tredjepart består. Jag och föreningen (Umeå Hackerspace) har inget vinstsyfte utan skulle gärna göra en analys bara av intresset för problemlösning och säkerhetstänk.

Mvh,
Mikael Nordfeldth
http://blog.mmn-o.se/
070-5657637

Fortfarande har jag inte fått något svar på detta.

In other news: Nyligen skrevs det i Västerbottens Folkblad om hur fuskresandet med SMS-biljetter beräknas handla om resor som annars hade gett inkomster kring en miljon per år. Jag planerar att skriva ett inlägg gällande detta, med regelrätt kritik och fördold utskällning av de som klagar och gnäller på “biljettfuskarna”. Jag återkommer.

—-

Update 2011-03-08 17.12: Tydligen har Länstrafiken i Västerbotten polisanmält mig och/eller föreningen Umeå Hackerspace (som inte ens hunnit få sitt organisationsnummer!). Som svar på denna från media delgivna uppgift, som jag inte fått verifierad ännu (t.ex. blivit förhörd), så mailade jag Tom Westerberg igen. Som jag alltså ännu inte fått svar från gällande mina tidigare frågor:

ons 2011-02-23 klockan 08:35 +0100 skrev Westerberg Tom:

Hej Michael
>
> Tack för att du uppmärksammat oss om sårbarheten för RFID-korten.
>

Som sagt, varsågod. Och vi ställer fortfarande gärna upp från föreningens håll att utvärdera möjliga lösningar på problemet.

Vad som ger mig lite huvudbry är dock hur det kommer sig att reportern från Västerbottens Folkblad ringer och meddelar mig att du/ni lämnat in en polisanmälan med anledning av dessa undersökningar som gjorts.

Vår önskan är att kommunicera snarare än dra in rättsväsendet, som väl ändå har riktiga brott att utreda och behöver sina resurser till.

Förutsatt att vad denna reporter sagt stämmer, att jag och/eller föreningen Umeå Hackerspace är polisanmälda, så är jag fundersam kring vilken rubricering fallet har fått.

Jag har mycket svårt att se något kriminellt i de handlingar som utförts av mig som privatperson med mina personliga ägodelar – dit busskorten faktiskt räknas in. Särskilt när mina resor faktiskt har återgäldats rent ekonomiskt och därmed inte på något sätt skadat er organisation ekonomiskt.

Så – ifall nu polisanmälan faktiskt är gjord och jag inte misstar mig – vore det möjligt att få veta ärendenummer och vilket poliskontor som tar hand om detta, för att få veta mer? Jag har i alla fall ej blivit kontaktad av polis ännu i alla fall för att delges misstanke om brott.

Det vore uppskattat ifall jag kunde få lite klarhet på den här fronten, dvs ifall jag ska behöva ligga vaken på nätterna och vänta på husrannsakan eller ej.

Mvh,
Mikael Nordfeldth
http://blog.mmn-o.se/
070-5657637
mmn@hethane.se

Skolarbeten blockeras av Umeå kommun

Umeå kommun stoltserade tisdag 24 augusti med att “digitalt lärande” i Umeå kommun är en självklarhet. Från och med denna höst har alla lärare och elever en personlig bärbar dator under skolåret. Däremot verkar det finnas policyrestriktioner som begränsar användbarheten av detta teknologiska hjälpmedel. Redan samma dag upptäckte en elev att hon inte kunde göra en skoluppgift på grund av detta.

Umeå kommun censurerar nämligen internetanslutningen i kommunens arbetsmiljöer inklusive skolan. Detta påverkar bland annat elever som ska arbeta med sina skolprojekt, exempelvis när man använder sig av en blogg som plattform för dokumentation. Umeå kommun blockerar nämligen selektivt åtkomsten till ordinarie, icke-kontroversiella bloggsidor. I vissa fall är dessa delar av och ibland nödvändiga för skolarbeten.

Filtreringen sker huvudsakligen efter en lista på sidor med pornografiskt eller annars olämpligt eller olagligt innehåll. Listan har levererats med lösningen “Websense” som används inom kommunen varpå det i viss mån byggts ut av administratörer vid Umeå kommun. Tanken är dessutom att varje skola för sig ska ha egen bestämmanderätt på vad som blockeras och ej.

Vid skolstarten konstaterade en elev vid Östra gymnasiet i Umeå att denne ej kan utföra sitt skolarbete på grund av filtreringen. Uppgiften går ut på att loggföra aktiviteter i form av eget arbete, vilket alltså inte går att utföra genom den valda bloggportalen.

Filtreringen av internet är en nödvändighet för att den tekniska administrationen inte ska bli ohanterlig. Många sidor, såsom pornografiska, blockeras helt och hållet till skillnad från exempelvis ovannämnda blogg som erbjuds en tidsbegränsad upplåsning på 1 timme ifall man omedelbart behöver ansluta. Eleven själv anser sig inte vara direkt utsatt:

Jag förstår blockeringen, och kan tänka mig att den är effektiv i många fall. [Det är inte alla som] använder bloggar i skolarbetet.

Eftersom det inte finns några regler på vilka böcker man får läsa eller musik man får lyssna på, i sina egna hörlurar åtminstone, bör det konsekventiellt innebära att övrig informationskonsumtion samt kommunikation ska tillåts för privat bruk i skolan under förutsättning att det inte stör skolarbetet. Ett vanligt återkommande problem med censur- och filterfrågor är att oskyldig och ibland nyttig information blockeras, medan de oönskade uppgifterna går att komma åt ändå med enkla, tekniska hjälpmedel.

Frågan man behöver ställa sig är ifall det är okej med filtrering av kommunikation i utbildningsmiljöer och för privat bruk eller om systemadministratörer bör begränsa snarare än tillåta i syfte att säkra drift och tillgänglighet i nätet.

Efter att ha läst “Med eller utan filter”

Den färdlektyr jag tog med till Vaasa var fascinerande och härlig. Redan 1999 skrevs “Med eller utan filter” av Stig Roland Rask och gavs ut 2000 av KK-stiftelsen (där den kan laddas ner). Det var alltså tio år sedan. Trots det är skriften överlägsen det mesta som uttrycks om ämnet IT och samhälle idag. Om inte annat så är vad som uttrycks idag bara redundant information i en sämre formulerad form.

“Med eller utan filter” är skriven utifrån ett perspektiv där man försöker baka in skolan, skolans roll och vad för ansvar denna institution behöver ta i ett informations- respektive kunskapssamhälle. Det blir lite svårtolkat vilket ansvar övriga samhällsdelar har, däribland arbetsliv, myndigheter samt förstås förmyndare. Mycket som konstateras i skriften stämmer överens med mina tankar om den sänkta ålder för vilken “vuxeninformation” är tillgänglig. Min frågeställning utifrån detta har varit hur man bemöter detta fenomen som samhälle.

Nya företeelser kan vara skrämmande. Det man inte känner till är skrämmande. Fast som nyfiken individ som tycker problemlösning är kul så ser jag helst till nya företeelser som något man borde förstå. Eller lösa för den delen om det visar sig vara något problematiskt. Därför överensstämmer jag med häftet. Dessa nya, galet responsiva, kommunikationsvägar informationstekniken givit oss kan ses antingen “som ett hot eller som en möjlighet”. Hotet skulle vara att informationsflödet blir okontrollerbart – sociala strukturer hotas. När boktryckarna kom in på banan raserades kyrkans kunskapsmonopol i västvärlden – sett från en ungdoms ögon är det idag vuxnas auktoritet som suddas ut och blir mindre tydlig.

I uppväxten behöver man något att sikta på. Något att se upp till. Folk brukar hävda att film och spel kan ge dåliga förebilder och att ungdomar kommer att växa upp med dåliga ideal. Är man rädd för detta kanske man bör fråga sig varför. Hur kommer det sig att man – standard trotsighet åsido – riskerar “följa fel ideal”? Är det för att Steve McQueen ser så förbannat cool ut med sin cigarr, att Barbie har oproportionerlig anatomi eller att man kan misshandla negerpensionärer i Grand Theft Auto för att sedan brutalt mörda någon med en spade och urinera på deras lik i random annat spel?

Nej. Det handlar om att vuxenporträtteringen inte är tillgänglig på samma sätt idag som för 10, 30, 50 år sedan. Tydligheten i vad som är eftersträvansvärt, från en humanoid källa som ligger nära till hands, sinar alltmer. Huruvida detta handlar om stress, okunskap, ouppfostrade föräldragenerationer eller en mer alert och upplyst ungdom går utanför ramarna för detta inlägg.

“Som jag ser det är det fyra faktorer som måste till för att rättskänsla generositet, tolerans och ansvarstagande skall kunna förmedlas. Nämligen rättskänsla, generositet, tolerans och ansvarstagande.”

Stig Roland Rask, “Med eller utan filter” p. 11, ISSN 1403-3224

Ungdomsrebellen som åldersfenomen finns kvar sedan de gamla grekerna. På 50 generationer har det mänskliga släktets genetiska uppsättning inte ändrats nämnvärt. Kom ihåg det. För det enda som skiljer är sociala förhållanden, skriftligt nedärvd kunskap och teknik. Formandet av individen – uppväxt och uppfostran – har fortfarande exakt samma metodiska grunder som alltid gällt under civilisationens framväxt.

“Mejlbedragarna” är inte farliga

Alla vi som använder internet är väl medvetna om att man kan registrera sig i vems som helsts namn på hemsidor? Data som data, det är bara att skriva på tangentbordet. Nu verkar tidningar få panik över “mejlbedragare” och identitetstjuvar.

– E-postsystemen utvecklades under 80-talet när internet var litet och vänligt. Det kommer förmodligen inte att hända att världens alla e-postservrar får en ny standard.

E-mail är ju suveränt! Jag tycker att SMTP är en helt underbar standard. Alla servrar litar på varandra, precis som de ska. Data ska inte hindras. Önskar en användare, administratör eller whatever verifiera identiteten så finns det fria implementationer i överflöd som alla följer öppna standarder. Mailsystemet som det är idag, sedan 80-talet, är en backend, inte helhet.

Mailsystemet, som grundar sig på SMTP, bryr sig inte om vad som skickas hit och dit. Precis som det ska vara. Precis som att Posten inte kräver ID för ett brev.

GPG kan verifiera identitet. TLS kan verifiera servrar och kryptera trafiken. Internet bryr sig inte om vad du gör. Det ska det heller inte.

Och vad fan. Använder man en avbruten kvist som nyckel till sin lägenhet är det väl klart att folk kommer att bryta sig in? Skaffa bra lösenord, folk.

Mejlbedrägeri är inte ett problem precis lika mycket som att utbilda den stora, grå massan i sunt förnuft inte är ett problem… Eller, now wait a minute…

Umeå IT-kommun censurerar igen

Jag tror att Tomas Ward vid Umeå (“IT-kommun” 2007-08) snart börjar ogilla mig… Nu senast har jag skickat förfrågan om avcensurering efter att ha läst Carl Johan Rehbinders inlägg där han nämner att hans blogg förmodligen är filtrerad lite här och var. Det visade sig att Umeå kommuns webfilter blockerade sidan på grund av “sex”. Okej att han är medlem i Piratpartiet och är rätt sexualliberal, men det betyder inte att det är okej. Inte ens om man använder Websense.

Intressant har tidigare även varit Fredrik Holmbom, även han piratpartist, vars blogg var censurerad i Luleå kommun. Fast han verkar klara sig undan Umeås motsvarande bakvända censursystem där man skjuter först och hoppas att någon orkar rapportera felaktigheter. Och Luleå har nu skärpt sig för denna gång.

Följande skickade jag till Tomas Ward, som administrerar filtret, om Rehbinders blogg i alla fall:

Subject: Ännu en blockerad sida

Halloj, ännu en blockerad sida jag skulle önska fick bli borttagen från
Websenses moralpanikdatabas:

http://tantrikblog.wordpress.com/

Tydligen är det en massa sådant där ohemuligt såsom diskussioner och
information kring icke-fortplantningsrelaterade intima relationer.
Jag hade nämligen tänkt att degenerera framtida generationer med denna
hemska, anti-puritanska propaganda.

Jag börjar bli skeptisk på om jag ö.h.t. vågar använda uttrycket “sex” när
jag kommunicerar med kommunanställda. Hint, hint.

…men nu börjar jag i alla fall få ännu mer pepp att snacka med t.ex. Jan
Långström om detta. Samt fila på medborgarförslag att bygga censurfilter
från _rätt_ håll. Inte bara huxflux låsa ner halva internet baserat på
något dumt standardfilter från ett uppenbarligen kasst företag – vilket
sedan orsakar ett behova av administration pga alla grava misstag som
Websense verkar lyckas med…

Tack för att du stått ut med mig och alla mina förfrågningar än så länge i
alla fall! Vad är jag uppe i, 3-4 sidor eller så?


Mikael Nordfeldth
mmn@hethane.se
070-5657637

Senast var det Johanna Sjödins blogg, och innan dess Piratbyråns hemsida. Jag har rapporterat något fler fall av helt felaktig och missriktad censur också, fast jag tror jag dissat frapedia.se än så länge. Jag vill minnas att jag resonerat lite kring övervakningen också.

Vad jag inte förstår är varför man inte faktiskt censurerar sidor som orsakar problem utan istället – som jag skriver i mailet – råkar “huxflux låsa ner halva internet baserat på något dumt standardfilter från ett uppenbarligen kasst företag”. Det innebär ju bara helt onödig administration och helt missriktad censur på ordinarie kommunikation mellan människor.

Piratpartiet och Skype

Inte nog med att Skype är ett stängt protokoll där den enda officiella klienten har usel funktionalitet och ett horribelt användargränssnitt. Inom Piratpartiet används detta som de-facto standard för direktkommunikativa möten mellan personer på ledningspositioner.

Men nej. Man använder det förstås inte som Skype kan användas, med sin ytterst begränsat utökade funktionalitet jämfört med random XMPP-klienter, dvs lågkvalitets röst-/videokommunikation. Det används endast för textkommunikation.

Så ikväll hade jag tänkt ta mig in i ledningsgruppens möte för en gångs skull, eftersom jag sitter som vice distriktsledare i PP Norra.

Men yeah, då var det ju dags att ta sig in i Skypekanalen för att faktiskt kunna delta i mötet ikväll. Folk som är vana med vettiga kommunikationsprotokoll vet att man kan gå in i kanaler bara man vet namnet på dem. I värsta fall behöver man ett lösenord – men det kan man ju få levererat på olika vis.

I detta fall behöver jag dock bli inbjuden till kanalen från någon annan som befinner sig i den. Så jag måste hitta någon som är där inne – som jag dessutom har på min kontaktlista. Men det är ju no problem. Så det är bara att skicka iväg en förfrågan till någon som är online och fråga efter inbjudan.

Skype suger.
Notera även att tidsstämpeln låst sig i min Skypeklient…

Som tur var kom IRC och räddade världen…

<MMN-o> Bjorn_Odlund: Får du mitt meddelande på Skype?
<MMN-o> Bjorn_Odlund: Jag spammar dig tills du svarar.
<MMN-o> Varför kan man inte skicka meddelanden till folk över Skype?
<MMN-o> Jag trodde poängen var att man skulle kunna kommunicera.
<MMN-o> Om än omständigt.
<Bjorn_Odlund> MMN-o: ping
<Bjorn_Odlund> jag var afk
<MMN-o> Är inte poängen med serverunderstödda kommunikationsprotokoll att jag ska kunna skicka meddelanden till dig även om du är afk?
<Bjorn_Odlund> jo
<MMN-o> Särskilt om du lyser grönt som i online
<Bjorn_Odlund> men jag tror du försökte med voice-samtal
<Bjorn_Odlund> ja, altså, jag var/är ånlajn, men var i köket och därmed inte vid tangeterna
<Bjorn_Odlund> MMN-o: men vi kanske kan prata på det här protokollet istället? :)
<MMN-o> Bjorn_Odlund: Nej, det var bara för att jag dubbelklickade på dig – vilket gjorde att jag ringde upp dig
<MMN-o> Bjorn_Odlund: Jag försökte nyss skriva till dig igen över Skype, men det blev en varningstriangel där med
<MMN-o> MEN
<MMN-o> “Har du koll på närvarhur (skypekanal) ledningsgruppsmötetjofset 20:00 ikväll hålls? Och kan jag passa på att bli inbjuden om jag inte redan sitter där? (som vice DL i norra distriktet)”

Aids i hjärnan.

<MMN-o> Min skypeklient hävdar att jag är online
<MMN-o> Bjorn_Odlund: Och HUR GÅR JAG IN I KANALER?
<MMN-o> Det finns ingen kanal någonstans som heter något sådant
<Bjorn_Odlund> skrev i den nu… bör komma upp i recent chats
<Bjorn_Odlund> men du är fortfarande offline som jag ser det…
<Bjorn_Odlund> det här funkar<tm> ju bra<tm>
<Bjorn_Odlund> sitter du bakom nån proxy eller så, har för mig att skype är retarded med sådant
<MMN-o> HAHAHA
<MMN-o> WHAT THE SHIT
<MMN-o> Ja, det var proxy aktiverat i konfigurationen
<MMN-o> MEN JAG LYCKADES JU ANSLUTA + FÅ MEDDELANDEN

<MMN-o> Kommunicerade med folk ett tag t.o.m.

Får vi inte ändring på detta snart blir jag frustrerad. Jag närvarar i alla fall inte (kan knappt ens ta del av loggar) på några möten över Skype eftersom att det är för krångligt, problematiskt och bara allmänt jävla värdelöst. Det är hemskt och horribelt och jag kommer efter kvällens möte att totalvägra all kommunikation där jag behöver köra proprietär mjukvara eller åtminstone använda stängda protokoll.

Bjorn_Odlund> MMN-o: ping
Bjorn_Odlund> jag var afk
MMN-o> Är inte poängen med serverunderstödda kommunikationsprotokoll att jag ska kunna skicka meddelanden till dig även om du är afk?
Bjorn_Odlund> jo
MMN-o> Särskilt om du lyser grönt som i online
Bjorn_Odlund> men jag tror du försökte med voice-samtal
Bjorn_Odlund> ja, altså, jag var/är ånlajn, men var i köket och därmed inte vid tangeterna
Bjorn_Odlund> MMN-o: men vi kanske kan prata på det här protokollet istället? :)
MMN-o> Bjorn_Odlund: Nej, det var bara för att jag dubbelklickade på dig – vilket gjorde att jag ringde upp dig
MMN-o> Bjorn_Odlund: Jag försökte nyss skriva till dig igen över Skype, men det blev en varningstriangel där med
MMN-o> MEN
MMN-o> “Har du koll på närvarhur (skypekanal) ledningsgruppsmötetjofset 20:00 ikväll hålls? Och kan jag passa på att bli inbjuden om jag inte redan sitter där? (som vice DL i norra
distriktet)”