Dorte Toft
Medforfatter af "Bedrag" om Stein Bagger-sagen, hvor Bizzen-bloggen spiller en væsentlig rolle. Har modtaget eJour-prisen, IT-prisen, FUJ-prisen og Publicistprisen for sin journalistik. Desuden nomineret til Cavling-prisen i 2009.
Lykkelig i nørdland. Hvem bygger fremtiden? Gyldendal, 256 s., kr. 249,95.
Læs mere hos Boghuset eller download bogen gratis her.
I eftermiddag, Las Vegas-tid, ville tre studerende offentliggøre, hvorledes man hacker Boston-områdets elektroniske rejsekort, Charlie Card og Charlie Ticket, men de har fået mundkurv på. Staten Massachusetts trafikmyndighed har fået en dommer til at nedlægge forbud mod offentliggørelsen, der skulle finde sted på den årlige konference om it-sikkerhed og hackere, Defcon i Las Vegas.
Der er tale om studerende ved det berømte Massachussets Institute of Technology, og de ville ifølge nyhedstjenesten Cnet også lancere softwaren, der kan knække den sikkerhed, der ligger i rejsekortets indbyggede RFID-chip (Radio Frequency Identification) og magnetstribe.
Ifølge dommen måtte de ikke en gang udbrede et resumé af deres præsentation, men det er ifølge Cnet umuligt at forhindre:
Every one of the thousands of people here who registered for Defcon received a CD with the students’ 87-page presentation titled “Anatomy of a Subway Hack.” It recounts, in detail, how they wrote code to generate fake magcards. Also, it describes how they were able to use software they developed and $990 worth of hardware to read and clone the RFID-based CharlieCards.
Det danske rejsekortprojekt, der benytter lignende teknologi, er også præget af hackbar-teknologi og er desuden overmåde forsinket, hvilket har kostet chefen for Rejsekort A/S, fortæller Computerworld i en række artikler. Dette rejsekort skal kunne bruges over hele landet, men problemerne skyldes blandt andet klarlægningen af takster på kryds og tværs af strækninger og transportmidler.
I USA overvejer organisationen EFF (Electronic Frontier Foundation) af appellere dommen, der kaldes et brud med ytringsfriheden – med First Amendment Rights. Ifølge EFF’s dækning af sagen ville de tre studerende tilbageholde en helt afgørende information, så koden ikke ville kunne bruges til at knække rejsekortsystemet.
Sagen rejser den evige diskussion: Gør de mennesker, der påpeger en svaghed i et system, samfundet en så stor tjeneste, at det overstiger den tjeneste, de pågældende måske samtidig gør de kriminelle. For eksempel kan det jo blive en ganske indbringende forretning af sælge forfalskede rejsekort – som vi også har set herhjemme med de gammeldags klippekort. Hvad er din holdning?
Jeg selv er i “ved ikke rigtig”-kategorien. Jeg har set lidt for mange spektakulære afsløringer fra folk, der higer efter berømmelse – og af folk, der ved at puste til ilden forsøger at trække nye kunder til egen sikkerhedsbutik. Jeg har set afsløringer, der fordrer ret så usandsynlige sammenfald af omstændigheder. Der er jo også det faktum, at “alt hvad mennesker opfinder, kan mennesker bryde”, så det udvikle sig en en nærmest olympisk kampsport, når de, der bryder, får så meget mere opmærksomhed end de, der opfinder.
Umiddelbart vil jeg foretrække, at den, der hacker et vigtigt aktiv, går til den, der har ansvaret for svagheden. Reageres der ikke med at udbedre svagheden inden for en rimelig periode, og er balancen risiko og konsekvens af brud virkelig alvorlig, så bør offentliggørelse komme på tale.
Men altså – hvad mener du?
11. august 2008 kl. 13:18
siden CCC kongressen i December i tyskland er det fakta at man kan kopiere NXS Maifair RFID chipkort. Så dommen i USA er bare udtryk af en forkert opfattelse af sikkerheds mechanismer.
Det hvad forskeren Karsten Nohl har presentæret er ikke bar en hack, det er en solid sikkerheds arbejde som har opdækket vor sløs Phillips har håndteret sikkerheden omkring sin RDIF produkt.
Så efter min mening kom domment alt for sent. Alle som bruger NXS kort (Rejsekort i DK; Oysterkort i London, de hollændiske projekt og andre burde komme nu hurtig i gang med at opbygge større sikkerheld i deres systemer.
11. august 2008 kl. 21:00
Som udgangspunkt: Al snyderi og forfalskning er amoralsk og i øvrigt ulovligt, lige meget om det er elektronisk eller gammeldags. Hvis du falder over placeringen af og koden til alarmen i banken, har du heller ikke nogen heroisk pligt til at straks at offentliggøre din opdagelse.
Når det er sagt, synes jeg, at debatten om sikkerheden ved rejsekort er ude af proportioner.
For det første må der være en begrænset glæde ved en gratis tur med bus og tog – især set i forhold til den ulovlighed man begår, ved en overlagt (elektronisk) forfalskning. I øvrigt har man jo også besluttet ikke at bruge pinkode ved betaling med kreditkort på Storebæltsbroen og Øresundsbron, fordi hensynet til smidig afvikling af trafikken overgår tabet ved, at nogen snyder sig til en gratis passage.
For det andet er der ved elektronisk billettering en ekstra mulighed for at opdage og enten stoppe eller opklare svindel. Selvom sikkerheden på selve kortet brydes foretages der en central opsamling af brug af kortene, hvor der findes en række muligheder for i praksis med dags varsel at opdage misbrug.