Tag Archives: polisanmälan

Nedlagd anmälan och kommande RKF-busskort

Polisanmälan mot mig för “bedrägeri”/”urkundsförfalskning” är nedlagd, fick jag veta igår av polisen som förhörde mig. Trevligt såhär innan jul att slippa vara misstänkt för fängelsegivande brott etc. etc.

För ett par dagar sedan såg jag dessutom från Länstrafiken i Västerbotten att de överanvänder ordet “säkerhet” i nyheten om “nästa generations betalsystem” (som ändå redan hunnit bli beprövad!) för kollektivtrafiken. Tom Westerberg, ekonomichefen som uttryckligen försvarat anmälan mot mig, försäkrar läsarna att det nya systemet givetvis är mycket bättre. Man kan t.o.m. “växa i det nya systemet” (fast det är sluten och inlåst mjukvara).

Och för att säkerställa hela systemet har vi anlitat ett företag som ska analysera säkerheten i det nya betalsystemet inklusive busskortens säkerhet.

Tyvärr har ingen pratat med Umeå Hackerspace, som gärna hade hjälpt till med sin ideella kraft att analysera det nya systemet. Vi hade hoppats på att få hjälpa till, samt att de kanske från sin sida kunde visa lite ödmjukhet trots allt. Men nu övergår de enligt nyheten alltså till RKF-specifikationen för busskorten. Som t.ex. Västtrafik kört sedan 2007(?).

Men ändå – mycket trevligt. Säkra busskort som man inte kan spåra människor genom? I like it! Fast jag läste på Flashback igår, sådär huxflux, att RKF-korten hos Västtrafik ironiskt nog inte alls är särskilt säkra.

Hej Tom. Vad sade ert säkerhetsanalysföretag? Standard konsultbabbel? Oj. Surprise.

Och vad kostar de “nya” maskinerna som ska byta ut samtliga existerande bussläsare trots att de kör samma kommunikationstandard? Multum? Jag hade i alla fall inte betalat mer än 1000kr/st för hårdvaran, då det inte är mer än så det kostar för en Linuxburk, simpel fri mjukvara och valfri kortläsare. Vad har kostnaden blivit för Länstrafiken månntro? Inklusive alla konsulteranden fram och tillbaka. Slöseri med skattemedel om jag får säga det själv. Det är ju främst kommuner och landsting som betalar.

Och har man ö.h.t. analyserat sms-biljetterna? Eller ingår detta i den undanhushade RKF-specifikationen (som finns hos Internet Archive) som är för osäker för att vanliga dödliga ska få ta del av det? Till skillnad från fri mjukvara där säkerheten består av den allmänna granskningen, förstås.

Rubricering gällande hackade busskort: bedrägeri

Har nu äntligen(?) blivit kontaktad av polis, fått förordnat en advokat och är nu kallad till förhör den 12 december klockan 10.00. Rubriceringen är “bedrägeri” och det påstådda brottet gäller busskorten i Umeå/Västerbotten/Norrland som jag modifierat för att visa på säkerhetshål – samt att jag klurat ut algoritmen för sms-biljetter.

Länstrafiken i Västerbotten är huvudman, vilka här verkar representeras av VD:n Maria Höglander och ekonomichefen Tom Westerberg, och hävdar att jag åkt buss för egen vinning och till deras skada med egenmodifierade busskort. Jag förstår att de uppfattat det så, då jag ändå formulerat mig på vissa sätt i mail samt nyhetsartiklar, men så är dock inte fallet. Även om jag tycker mig ha klargjort det så konstaterar jag det ännu en gång för dokumentationens skull – inget kring busskorten har på något sätt gjorts med vinning för mig eller med konsekvens av skada för någon annan.

Ett par omedelbara frågor väcks givetvis baserat t.ex. på vad jag skrivit till Länstrafiken. I första mailet skriver jag nämligen:

Som resultat av undersökningen har jag nu under en period rest gratis vid tillfällen. Jag ämnar dock betala för mig och skall köpa den mängd resor jag åkt på ett rabattkort och sedan helt enkelt nollställa eller förstöra det.

Det är inte jag personligen som åkt dessa resor, faktum är att jag själv inte med säkerhet ens kan säga att det testats på bussar alls eftersom jag endast fått andrahandsinformation kring användandet på bussar. Faktum är att jag varit överdrivet försiktig på all slags eventuellt provokativa handlingar sedan jag tidigare erfarit fruktansvärt orättvis behandling från kommun och polisväsende. Däremot har jag värderat denna information sannolik eftersom jag tagit del av kortutskrifter från annan legitim hårdvara än på bussarna.

Jag har alltså endast läst av differensen på kortets innehåll mellan olika typer av resor, varefter detta testats i kiosken på Vasaplan i Umeå à la videon eller i deras maskin som är tillgänglig från utsidan. Jag har alltså inspekterat skillnader för att bedöma vad som är datum, antal resor, typ av resor, stationsdata etc. etc. vilket endast är inläsning och begränsad återskrivning av data och har inget som helst att göra med bedragande för egen vinning.

Vad som även ingår i anmälan är, enligt vad advokaten läste upp för mig över telefon, att jag “med teknisk utrustning” gjort saker med SMS-biljetterna. Detta finner jag nästan som ett hån gentemot mig eftersom man hävdar att jag behövt miniräknare för att räkna de simpla plus och minus som krävs. De slänger även in att jag åkt på falska sådana biljetter “för egen vinning”. Dock står jag även här fast vid att jag är en liten fegis som alltid har rest med legitim biljett tillhands – även om den sms-kontrollsumma jag visat till kontrollanter vid tillfällen varit fabricerad. Dvs, hade de ifrågasatt biljetten hade jag bara visat upp den riktiga för dem (deras kontroller är endast visuella, inget knappas in någonstans vanligtvis).

Häromdagarna på min StatusNet-instans skrev jag förövrigt följande – vilket jag ärligt talat känner begränsar min möjlighet att uttrycka mig. Det har varit norm att skämta om “haha, gratis bussresor i Norrland” inom vissa kretsar bara för att det är så in-your-face enkelt. Det vågar jag inte göra numera – så jag självcensurerar min humor pga utredningen:

Mikael “MMN-o” Nordfeldth (mmn)s status den Sunday, 20-Nov-11 15:15:24 CET

Jag känner mig censurerad av “bedrägeri”-utredningen Länstrafiken i Västerbotten initierat. Vågar inte skämta om att kopiera busskort längre

Men jag är fortfarande intresserad – och Umeå Hackerspace likaså antar jag – av att hjälpa till i utvecklingen av nästa generations säkra bussbiljetter. Säkerhet som gäller både för privatpersoner och bussföretaget, för både integritet och ekonomisk tillförlitlighet. Så Länstrafiken i Västerbotten eller vilka som nu kan vara intresserade: ring gärna på mitt publika nummer om ni vill ha säkerhetsrådgivning – fast jag rekommenderar nog egentligen mail ifall ni vill vara säkra på att jag svarar.

Planka på bussen i Umeå

Att åka gratis buss i Umeå är inga problem, varken med SMS-biljett (där man bör kunna algoritmen) eller ens med de faktiska busskorten (närmare beskrivningar kommer i veckan hoppas jag). En applikation för terminalexekvering har skrivits (samt en i Python), till skillnad från fucking-bullshit-iPhone-“appar”, och någon screenshot-genererare för iPhone-skräpprodukterna har jag hört ska finnas för lokaltrafiken i Umeå.

Följande video beskriver hur man kan ändra giltighetstiden på ett busskort, samt att det faktiskt är giltigt efteråt med modifikationens nya egenskaper:

[Youtubevideo för alla utan WebM-stöd i webläsaren]

Eftersom jag är en sådan där ärlig typ så hade jag följande mailkonversation med Länstrafiken i Västerbottens VD/ekonomichef häromveckan:

Date 22.02.2011 11:38

Hej Maria.

Det här gäller något ni rimligen redan bör vara medvetna om från Länstrafikens sida, nämligen möjligheten för vem som helst att manipulera era busskorts innehåll.

Jag har på egen hand, med mycket billig utrustning plus tillgänglig fri mjukvara, undersökt de busskort som används idag i Umeå med omnejd. Detta eftersom RFID-tekniken som kallas “Mifare Classic” varit erkänt osäker i många år och jag äntligen fick tummen ur i år att undersöka Umeås lokala användningsområden av tekniken ifråga.

Resultaten av mina undersökningar har, kortfattat, lett till upptäckten att vem som helst kan, utan nämnvärd ansträngning:

* Läsa av andra passagerares busskort (veta hur de reser)
* Skriva över andra passagerares busskort (manipulera/sabotera)
* Programmera om sitt eget kort (lägga till resor/förlänga tid)

Utförandet av ovanstående punkter förutsätter tillgång till det busskort som är inblandat. Denna tillgång är begränsad, med min billiga utrustning, till c:a 5cm avstånd (även genom kläder). Med dyrare utrustning går det i teorin att utföra samma saker med längre distans.

Omprogrammerade kort klarar förövrigt att identifiera sig korrekt mot biljettkontrollanternas maskiner.

Som resultat av undersökningen har jag nu under en period rest gratis vid tillfällen. Jag ämnar dock betala för mig och skall köpa den mängd resor jag åkt på ett rabattkort och sedan helt enkelt nollställa eller förstöra det.

…och så har vi kommit fram till poängen med mitt mail.

Eftersom detta är en så stor säkerhetsrisk, inte bara för ert kortsystems verifikat utan även för varje enskild passagerares integritet och ekonomi, anser jag att allmänheten har intresse av detta. En förening som jag är medlem i har tänkt publicera denna information med förklaringar hur man går tillväga, samt demonstrationer som visar att det faktiskt fungerar.

Jag mailar dig som VD på Länstrafiken i Västerbotten för att få veta era synpunkter och funderingar på detta, samt ifall någon annan part bör kontaktas i frågan innan informationen når allmänheten. Vilken roll spelar t.ex. Nobina i detta? (eller vilka andra som har med lokaltrafiken i Umeå samt Västerbottens regionaltrafik att göra)

Vilka köptes systemet från och kan de ställas ansvariga för den låga säkerhetsnivån i systemet? Eller menade inte upphandlingen täcka denna typ av missbruk?

Min önskan är att hjälpa er förbättra systemet. Vid redovisning av sårbarheten kommer det även att presenteras föreslagna lösningar till problemet. Om man nu ens ser på detta som ett problem, förstås

Önskas en demonstration går det givetvis att ordna.


Mikael Nordfeldth

PS, SMS-bussbiljetterna är inte särskilt svårknäckta nötter de heller: http://blog.mmn-o.se/2010/12/19/en-siffra-narmare-bussarnas-kod-i-sms-biljett/ DS.

Svaret var ruggigt kallt och intetsägande, efter att ha vidarebefordrats från VDns slutna låtsasdator som begränsas av ett företag vars största önskan verkar vara att kontrollera användarna snarare än att låta dem bruka hårdvara:

Date 23.02.2011 08:35

Hej Michael

Tack för att du uppmärksammat oss om sårbarheten för RFID-korten.

Vi är dock medvetna om problemen och detta är ett av skälen till att vi nu går över till ett nytt system.

Med vänlig hälsning

Tom Westerberg
Ekonomichef
Länstrafiken i Västerbotten AB
[…]

Från: Höglander Maria
Skickat: den 22 februari 2011 14:27
Till: Westerberg Tom
Ämne: Fwd: Sårbara RFID-busskort 

Skickat från min iPhone

Vidarebefordrat brev:

[mitt mail ovan]

Givetvis tyckte jag att det var ruskigt oförskämt att svara så kort när vi faktiskt erbjuder vår hjälp. Så jag förtydligar det lite samt frågar om ett par andra saker:

Date 23.02.2011 12:09

Tack för att du uppmärksammat oss om sårbarheten för RFID-korten.

Vi är dock medvetna om problemen och detta är ett av skälen till att vi nu går över till ett nytt system.

Halloj Tom,
detta gör mig givetvis lite nyfiken om hur länge ni vetat om problemen då jag lyckas pricka av i tiden då ni precis ska gå över till ett nytt system.

Vad innebär att ni “nu går över”. Är det faktiskt väldigt snart, har ni redan upphandlat och hur får ni detta nya system i rullning? (brukas samma kort etc. etc.)

Erbjudandet om att betrakta systemet som oberoende tredjepart består. Jag och föreningen (Umeå Hackerspace) har inget vinstsyfte utan skulle gärna göra en analys bara av intresset för problemlösning och säkerhetstänk.

Mvh,
Mikael Nordfeldth
http://blog.mmn-o.se/
070-5657637

Fortfarande har jag inte fått något svar på detta.

In other news: Nyligen skrevs det i Västerbottens Folkblad om hur fuskresandet med SMS-biljetter beräknas handla om resor som annars hade gett inkomster kring en miljon per år. Jag planerar att skriva ett inlägg gällande detta, med regelrätt kritik och fördold utskällning av de som klagar och gnäller på “biljettfuskarna”. Jag återkommer.

—-

Update 2011-03-08 17.12: Tydligen har Länstrafiken i Västerbotten polisanmält mig och/eller föreningen Umeå Hackerspace (som inte ens hunnit få sitt organisationsnummer!). Som svar på denna från media delgivna uppgift, som jag inte fått verifierad ännu (t.ex. blivit förhörd), så mailade jag Tom Westerberg igen. Som jag alltså ännu inte fått svar från gällande mina tidigare frågor:

ons 2011-02-23 klockan 08:35 +0100 skrev Westerberg Tom:

Hej Michael
>
> Tack för att du uppmärksammat oss om sårbarheten för RFID-korten.
>

Som sagt, varsågod. Och vi ställer fortfarande gärna upp från föreningens håll att utvärdera möjliga lösningar på problemet.

Vad som ger mig lite huvudbry är dock hur det kommer sig att reportern från Västerbottens Folkblad ringer och meddelar mig att du/ni lämnat in en polisanmälan med anledning av dessa undersökningar som gjorts.

Vår önskan är att kommunicera snarare än dra in rättsväsendet, som väl ändå har riktiga brott att utreda och behöver sina resurser till.

Förutsatt att vad denna reporter sagt stämmer, att jag och/eller föreningen Umeå Hackerspace är polisanmälda, så är jag fundersam kring vilken rubricering fallet har fått.

Jag har mycket svårt att se något kriminellt i de handlingar som utförts av mig som privatperson med mina personliga ägodelar – dit busskorten faktiskt räknas in. Särskilt när mina resor faktiskt har återgäldats rent ekonomiskt och därmed inte på något sätt skadat er organisation ekonomiskt.

Så – ifall nu polisanmälan faktiskt är gjord och jag inte misstar mig – vore det möjligt att få veta ärendenummer och vilket poliskontor som tar hand om detta, för att få veta mer? Jag har i alla fall ej blivit kontaktad av polis ännu i alla fall för att delges misstanke om brott.

Det vore uppskattat ifall jag kunde få lite klarhet på den här fronten, dvs ifall jag ska behöva ligga vaken på nätterna och vänta på husrannsakan eller ej.

Mvh,
Mikael Nordfeldth
http://blog.mmn-o.se/
070-5657637
mmn@hethane.se

Barnporr på SVT?

Sveriges Television har sänt den otroligt politiskt korrekta informationsfilmen “Sex på kartan”, producerad av UR och RFSU. Filmen har väckt en del uppmärksamhet. Mestadels positivt, även om t.ex. de kristna standardnationalisterna verkar tycka annat. Utöver det hoppas jag att följande nyhet får momentum: En student i Umeå har polisanmält SVT för barnpornografi, efter vad jag kan gissa beror på tidigare liknande rättsfall med tecknad “barnporr”.

Jag tycker filmen är helt okej, förklarar saker ur ett neutralt perspektiv och inte direkt utesluter någon specifik sexuell identitet etc. Givetvis kan inte allt pratas om i filmen, t.ex. de oerhört långa och subjektiva diskussionerna kring vad som är “moraliskt” och inte, utan istället lämnar de öppet för att det helt enkelt är upp till var och en att utforska själv med ömsesidig respekt.

Exempel på tidningar som klassas som barnporr om den fällande domen består. Från DN.se

Vad som är intressant och uppseendeväckande i dagens Sverige är dock lagstiftningen gällande sex och ungdomar. Barnpornografi är, liksom terrorism, ett hett ämne och en välanvänd ursäkt för att tvinga igenom censur-lagförslag och allmänt maktförfogande till polis. Avskaffandet av rättsstaten (om än omedvetet), genom att förkasta yttrande- och tryckfriheten, är även det något respektive ämne leder till vilket visas genom t.ex. fällande domar mot manga-“barnporr”.

Därför vill jag ge mitt fulla stöd, från vad jag uppfattat kring fallet hittills, till den 25-åriga student i Umeå som polisanmält Sveriges Television för att ha visat denna film på rikstäckande tv. Det är barnpornografi enligt lagens betydelse – och även samtliga individer som bara tittar på det är sedan årsskiftet 2010/2011 skyldiga till brott (om man betalar tv-licens eller för sin Internetuppkoppling i alla fall).

Polisanmälan för att hitta prylar?

Jag sitter just nu hos polisen och inväntar min tur att få lämna polisanmälan. Åklagaren är på tjänsteresa tills imorgon men det senaste jag hörde var att mina datorer väntade på teknisk utredning. Det var någon månad sedan, totalt har det passerat 8 månader sedan tillslaget.

Tanken jag har, som jag förvisso fick från en vän, var att om jag anmäler misstänkt borttappade datorer hos tekniska så måste de utreda att de finns där åtminstone. Så jag får veta att de inte tappat bort dem utan faktiskt har något slags kösystem.

Intressant var att mannen före mig sade “Då tar vi och bättrar på statistiken”… Som att det vore bra att vi hade hög statistik för polisanmälan. Hum. Ja det är ju bättre att han går till polisen än är tyst ifall det faktiskt skett ett brott, men t.ex. min anmälan kan man ju fråga sig om det ens är ett nödvändigt ont. Att anmäla polisen bör rimligen vara ett tecken på dålig organisation.

Update: Det visar sig att mina prylar fortfarande ligger i kö hos tekniska (dvs IT-forensikerna). De kan ha 1 år i kötid enligt polisen jag talade med. Mm, kanske man inte ska ha fler poliser på gatan utan snarare fler poliser som faktiskt utreder brott…

Så det blev ingen anmälan lagd i alla fall, de bekräftade ju (muntligt förvisso men jag ids inte vara rättshaverist och skitstövel nu) att mina prylar är kvar. Imorgon när åklagaren Kjell Jannesson är tillbaka har jag tänkt ringa och faktiskt kräva tillbaka mina prylar. Skadestånd ahoy.