Tag Archives: passersystem

Bostaden inför lättloggat passersystem

Bostaden, det kommunala bostadsbolaget i Umeå, håller på att gå över till RFID-passersystem på en massa håll verkar det som. Ursprungligen hörde jag endast talas om detta för studentkorridorer (Bostadens tidning september 2008 sida 18) pga nyckelkostnader etc, men tydligen gäller det även övriga typer av hyresrätter och byggnader.

En bekant till mig har fått information att deras nycklar blir oanvändbara för att ta sig in i hyreshuset. Inom loppet av 10 dagar måste man ha hämtat ut RFID-taggar (utan pin-kod), annars är man utelåst från sitt bostadshus. Dygnet runt. Följande “information” får man om systemet ifråga – utan att Bostaden påpekar varken att det är trådlös, enkelt avlyssningsbar teknik, kontaktlösa och osäkra kort, förmodligen loggat och absolut inte lika säkert som fysiska nycklar:

Vad innebär det nya systemet för mig?

Du måste hämta ut taggar som hör till din lägenhet och som du alltid måste ha med dig för att komma in i entrédörrarna. Dessa kommer att vara låsta dygnet runt. Till varje lägenhet ingår tre taggar. Behöver du fler taggar kan köpa för 150kr styck.

Informationsbladet är alltså mycket fattigt på fakta och jag själv har ett par extra funderingar – med egenförfattade svar. Citerat delvis från IRC:

> Kan ni se när jag går in och ut ur mitt hem?
– Nej, vi ser endast när du kommer in i huset. Inte när du lämnar det.

> Ifall jag vill ha fler taggar men inte betala 150kr/st, går det att lösa?
– Ja, systemet är så osäkert att du kan kopiera dina egna taggar med väldigt billig utrustning.

> Ifall jag stannar hemma sjuk, men går på promenad till butiken för att kylskåpet är tomt, loggas min passering och eventuellt finns tillgänglig för arbetsgivaren att kolla upp detta för att därefter göra en felaktig slutsats om falsk sjukanmälan och således avskeda mig?
– Haha, nä det skulle ju aldrig ske. Men det är klart att polis och myndigheter får titta på loggarna om de hittar på en lösryckt anledning att göra det.

Även ifall systemet ej loggas så är det ett relevant argument mot. för hur ska du veta att det inte bokförs? Systemet som Bostaden köpt in är förmodligen lika slutet och otransparent som t.ex. busskorten. Alla typer av säkerhetssystem skulle må bra av öppen granskning av källkod. implementering och dylikt, förutsatt att leverantör och köpare har intentionen att använda den bästa och i slutänden billigaste lösningen. Eller för den delen vill förmedla trygghet till sina användare.

Notera även att detta är samma typ av passersystem som implementerats på många andra ställen i Umeå kommun. Inom kommunal verksamhet. Ett av dessa ställen är Hamnmagasinet, dit jag personligen har RFID-tagg (+kod) istället för tidigare då det bara gällde PIN-kod. Det är inte bara en gång som systemet på Hamnmagasinet trilskats på diverse sätt, vilket förvisso säkert bara går att vifta bort som barnsjukdomar.

Notera särskilt att detta system (antar jag) använder sig av lättknäckt och enkelt kopierbar teknologi. Ungefär som busskorten. Så ifall dörrloggarna säger att du kommit in genom dörren strax innan ett lägenhetsinbrott – ja då kan du och din egen tagg lika gärna ha varit i Thailand och semestrat med ladyboys.

Så what the shit? Läser man informationsbladet ser man även att det handlar om att “öka tryggheten”. Frågan är vems trygghet som ökar när man riskerar grov övervakning och digital förföljelse. Vilken politiker eller tjänsteman är det som behöver få ett mail och/eller telefonsamtal? Följande mail skickade jag i alla fall till de som informationsbladet ansåg att man bör ställa sina frågor till, projektansvarige Kurth Edman och kvartersvärden Lars Lind vid Bostaden:

Halloj.

Jag har sett info-lappen om bytet av låssystem i entrédörrarna där ni effektivt tar bort möjligheten att använda sin lägenhetsnyckel för att ta sig in i trapphuset. Istället används ett digitalt system med RFID-taggar som måste användas dygnet runt för att ta sig in.

En omedelbar fråga som dyker upp när nu entrén direktkopplas mot en centralt styrd databas är huruvida detta loggas. Kommer entréer gjorda med dessa RFID-kort att sparas någonstans – i så fall hur länge, av vilken orsak och åtkomligt för vem?

Sedan undrar jag ifall detta är “dumma” RFID-taggar, de på 125kHz, eller “smarta” s.k. Mifare Classic-kort på 13.56MHz. Eller används någon annan slags kontaktlös lösning?

Till syverne och sist undrar jag vems “trygghet som ökar”, vilket informationsbladet inleds med. Vad menar Bostaden ens med trygghet i det här fallet? Riskerna med ett kontaktlöst system där ens tagg-identitet mycket enkelt kan kopieras gör inget annat än gör mig personligen otrygg och osäker.

Svaret dyker nog upp i veckan som kommer… Då uppdaterar jag inlägget. Eller skriver ett nytt ifall svaret faktiskt är intressant nog.

—-

Update 2011-04-11 14.37: Ett svar kom från kvartersvärden Lars Lind om att Kurth Edman inte vill svara förrän han vet var jag bor. Följande svarade jag – och jag misstänker att framtida respons förtjänar nya inlägg på bloggen:

På vilken adress bor du, det finns ingen Mikael Nordfeldth vårat
kontraktsystem.

Hej, jag bor inte på Löftets Gränd, men är kund hos Bostaden på annan
adress i Umeå. Min oro ligger i att detta system kan riskera att sprida
sig till andra Bostaden-hus, vilket vore mycket olyckligt och besvärande
för mig som hyresgäst.

Eftersom jag tidigare har gjort undersökningar kring kontaktlösa och
trådlösa systems säkerhet är jag högst orolig för dess säkerhet.
Särskilt ifall det är någon av de tekniker jag nämnde i mitt tidigare
mail till er båda (dvs RFID/Mifare classic). Det är därför jag är
intresserad av att veta vad som eventuellt komma skall till min bostad.

Projekt ansvarige Kurth Edman önskar svar på detta innan han uttalar sig.

Det här är enligt mig en konstig inställning. Bostaden är ett kommunalt
bolag och åtminstone min åsikt är att man då som tjänsteman bör jobba
med största möjliga öppenhet, transparens och insyn. Särskilt när det
gäller säkerhetsrelaterade system som påverkar människors vardag och
trygghet. Ännu mer särskilt ifall projektet ifråga hävdar sig “öka
tryggheten” men snarare implementerar teknik med erkända
säkerhetsbrister.

Jag svarar med CC till Kurth så får även han läsa min syn på insyn i
denna typen av projekt.

Av vilken anledning är den projektansvariga Kurth Edman intresserad av att veta var jag bor? Att jag inte är residensförd på Löftets Gränd gör väl inte mig mer eller mindre berättigad att veta vad som försiggår där? Särskilt när det är ett kommunalt bolag – där jag rentav är kund – det handlar om.