Tag Archives: Mifare Plus

Bussig info kring kontaktlösa kort i kollektivtrafiken

Länstrafiken i Västerbotten har, som invånarna i byarna här i norr lär ha märkt, bytt system för kollektivtrafiken (bussar och tåg). Efter att ursprungligen ha köpt ett rejält osäkert system, samt haft en svängom med olaglig direktupphandling verkar Länstrafiken i Västerbotten hänga kvar på leverantören FARA Sweden AB av någon anledning.

Som intresserad av säkerhet, kryptologi och implementationer av dessa i verkligheten betraktar jag absolut detta system som en utmaning att förstå, kommunicera med och kort sagt sätta mig in i! Som engagerad i Umeå Hackerspace så har jag märkt att det finns samma intresse från fler än mig, och vi har redan alla arbetat under rätt lång tid med NFC-säkerhetsanalyser som del av redaktionsarbetet på mmn-o.se. Nu börjar datamängderna kulminera i och med att Länstrafiken i Västerbottens nya system redan fått sprutt.

Som ytterligare informationsbit är det tydligt att Västerbotten inte är ensamma i spelet utan relationerna är knutna till “Resekortsföreningen” (f.d?) och den s.k. RKF-standarden de utvecklade och idag förvaltas i bolagen Resekortet i Norden AB samt Resekortet i Sverige AB (för de svenska kollektivtrafikbolagen). Hela standarden bygger i dagsläget på “Mifare Classic”-kort (samma kontaktlösa typ som Västerbotten använt tidigare), men implementationerna har numera antagit de snäppet säkrare “Mifare Plus”-varianterna. Skillnaden ligger på hårdvarunivå och fokuseras huvudsakligen kring kretsarna som sköter slumptalsgenerering.

För närvarande hanterar dock redaktionen för mmn-o.se polisiära insatser som slagit till mot verksamheten och vi försöker återfå hårdvara och data som beslagtagits. Det finns tyvärr inte mycket juridik som stöder säkerhetsanalytiker och skyddar mot polisen, men vi hoppas att utgivningsbeviset åtminstone ska låta oss bevara våra källor anonyma.