• 18:00 öppnar vi dörrarna och folk kan komma
• ~18:30 låter vi Codemill presentera sig som värdar
• 18:30 presenterar Umeå Hackerspace generella begrepp kring säkerhet
• ~18:45 berättar Thomas Kvist om Umeå kommuns öppna data (vilket öppnar för grävande datajournalistik!)
• 19:00 Umeås lokaltrafik – “Är de nya busskorten faktiskt säkrare?”

C:a 19:30 sprider vi ut oss på stationer:

• GPG (kryptering och signering av mail, data, kommunikation)
• Tails (starta datorn till säker miljö utan att någon märker!)
• Hackerspacestuff (här kan man prata med oss om allt från internet till bitcoins, aluminiumgjutning, busskort och budgetmekano)

Små variationer kan säkert uppstå – men sådant är livet. Vi ska göra
vårt bästa för att hålla tiderna och hoppas att vi kan erbjuda ny
kunskap och information som alla kan ha nytta av i ett övervakat samhälle.

Fem kilo likadana träspjälor ledde till diverse byggen med och utan fästmaterial, samt initierade svällexperiment (resultat lär hittas senare).

Vidare har hackerspacets laddning av solceller nu anlänt, vilka diskuterades och testades på olika mer eller mindre destruktiva sätt. Enligt preliminära resultat verkar de uppfylla de krav vi har, men exakt hur vi ska lyckas få tillräckligt hög spänning över en liten yta är fortfarande lite oklart. Det är inte omöjligt att dela upp cellena på mindre bitar, vilka sedan kan kopplas i serie, men att få till fina och exakta brott är svårare. Inte omöjligt, men svårt. Vidare experiment kommer följa.

Meshprojektet rör sig framåt också, med några DIR-300 som distribuerats till andra medlemmar. Lödning och omflashning lär följa. Vidare kommer vi att ha ett möte med Föreningen Allt åt Alla inom kort, för eventuellt samarbete om Ålidhemsmesh.

I mekrummet har det slaktats hårddiskar, gjutits aluminium och experimenterats med gammal elektroterapeutisk teknik.

De som vill komma får gärna anmäla sitt intresse, om än ej obligatoriskt. Det kan även vara en idé att läsa förra årets inlägg “Cryptoparty-upptakt” av pettter som uppvärmning för säkerhetstänk.

Pressmeddelande 2013-04-12 [GPG-signerad .txt]

Umeå Hackerspace, en ideell förening med bas i Umeå, arrangerar på torsdag 18/4 2013 ett “Cryptoparty” för journalister, privatpersoner och övriga intresserade av digital säkerhet och trygghet. Det börjar 18:00 och håller på åtminstone ett par timmar. Vi bjuder på tilltugg och det är gratis inträde! Fotografering undanbedes utan att fråga de inblandade i förväg.

Mer info nedan och länk till frivillig (men önskad) anmälan är här: https://cryptoparty.umeahackerspace.se/

Detta blir det andra cryptopartyt som arrangeras – denna gång är huvudföreläsningen:

• Umeås lokaltrafik – är de nya busskorten faktiskt säkrare?

Övriga ämnen som kan/kommer tas upp är:

• Bitcoin – en decentraliserad valuta
• Kryptering för aktivister, journalister och privatpersoner
• Surfa anonymt med TOR
• Decentraliserade trådlösa nätverk (projektet “Umesh”)

Som alltid har vi även stationer för att signera varandras GPG-nycklar och man kan fråga andra, kunniga deltagare hur man surfar säkert, anonymt och t.ex. hur man bäst skyddar sina källor och sin privata data.

Cryptopartyt arrangeras i samarbete med det lokala IT-företaget Codemill AB, vars lokaler cryptopartyt håller till i på Riddaregatan 8 (Haga).

I samband med arrangemanget delar vi även ut tryckta skrifter från Stiftelsen för Internetinfrastruktur (.SE) som nyligen släppte sin bok “Digitalt källskydd”, med inriktning mot journalistisk verksamhet och redaktioner, som tar upp viktig information i hur man kan garantera trygghet för sina källor i en digital värld.

Så hur bra har det gått med uppgraderingen av systemet sedan den 11 mars, knappt en månad sedan, då betalsystemet i Umeås lokaltrafik byttes ut? Tekniken är mycket densamma, men de kontaktlösa kort som används numera fylls alltså med annan data än tidigare. Kortfattat bygger deras nya system på Resekortsföreningens standard (RKF-specifikationen), som är tänkt att täcka kollektivtrafik i hela Norden. Hur det ser ut på annat håll i landet med detta system rapporterade Dagens Nyheter om idag från Stockholm.

Först och främst äldre kort osäkra på grund av användandet av dålig slumpgenerator i Mifare-korten (numera heter de Mifare Classic). Problemet var främst att slumptalen var likadana varje gång man startade chipet, vilket gjorde att en matematisk kryptoanalys kan nyttja en okänd konstant istället för slumpmässighet. Denna sårbarhet minskade den nödvändiga “samplingsmängden” av kortkommunikation med en enorm faktor och innebar dessutom att den enda utrustning som behövdes var ens egen Mifare-läsare och det kort man önskade attackera (darkside-attacken genom mfcuk).

Vidare innebär detta att givet hur länge chippet varit igång (antal klock-ticks), med kunskap om algoritmen Crypto1 som publicerades 2008, kan man även förutsäga hur nya slumpsiffror kommer att se ut. Känner man då t.ex. till en nyckel som inhämtats med mfcuk ovan så kan man applicera “nested authentication”-attacken för att etablera en krypterad session, varpå man redan är halvvägs in och slipper gissningsleken.

De moderna korten är fortfarande “Mifare Classic”-kompatibla, som t.ex. “Mifare Plus” i kompatibilitetsläge. Sårbarheten med slumpgeneratorn är lagad, så det är inte lika snabbt och smidigt att återskapa nycklarna utan mer sofistikerade metoder. Eftersom krypteringen dock fortfarande görs med Crypto1 är algoritmen i sig fortfarande dålig, i kombination med en kort nyckel (48 bits). Denna kommunikation kan avlyssnas pålitligt inom 2 meter från källan och sedan knäckas inom rimlig tid med en vanlig persondator. RKF-specifikationen kräver specifikt dessa kryptologiska verktyg eftersom alla operatörer måste kunna tyda index-data i varandras kort.

Väldigt många kortoperatörer använder alltså samma krypteringsnycklar och protokoll över hela Norden. Det är dock inte riktigt så dumt som det låter, eftersom detta bara gäller ett korts “produktindex” – operatörerna har utöver detta egna sektorer på kortet med eget systemspecifikt data och krypteringsnycklar. Alltså kan inte t.ex. Västtrafik radera Västerbotten-data. Och exempelvis kan någon som knäckt Luleå lokaltrafiks resekort inte helt radera eller manipulera data från Umeå lokaltrafiks resekort.

Ovannämnda egenskaper har dock konsekvensen att säkerheten på korten inte uppfyller en säkerhet för resenärer att deras kortanvändning och -historik är konfidentiell. Dessutom hotas integriteten av datat på korten när krypteringsnycklarna för systemkritiska sektorer är identiska inom samtliga resesystem.

Kryptering är inte enkelt och det finns inga spontana, smidiga lösningar för hur heltäckande resekortsystem skulle kunna fungera utan att många behöver dela hemligheter med varandra. Ibland kan förstås symtomen lösas genom att avskaffa problemkällan – exempelvis införa nolltaxa eller helt enkelt bara inte använda kontaktlösa kort. Att lösa de kryptologiska bekymren som RKF-specifikationen innebär och som drabbar samtliga implementatörer kommer att diskuteras mer framöver på bloggen efter djupare analyser.

Proxmark3, generally used for wireless snooping of NFC/Mifare communication

After clumsily bricking the Proxmark3 bootrom (i.e. the device’s bootloader for the AT91SAM7S256 ARM cpu), I was looking for a way to recover the device. The documented procedure in the firmware compilation guide assumed the user to have a Segger J-link and their J-Flash ARM utilities (which in total cost about 10,000 SEK – or 1,500 USD).

That’s two months of rent for the hackerspace – I figured I can do better than that. So I made a trip to the internets and researched JTAG programmers, of which there are loads that can handle faster or slower communication with the protocol. In some cases maybe speed is good, such as when debugging or doing things more frequently – but this was a one-time flash occasion – and proprietary JTAG programmer felt far too restricted and expensive.

Sure, there are cheap, hackable alternatives that connect to the parallell port, but that interface is unfortunately of a pretty bygone era. So given that I did not have access to a true parallell port at the time, I had to keep looking for alternatives. Essentially anything that worked with the flashing and debugging utility OpenOCD would be good, and something I could find nearby would be even better! And the OpenOCD list of  supported interfaces contained among many others the Bus Pirate, a handy open hardware design that helps hackers with serial communication of just about any kind.

So I managed to find a Bus Pirate in a large pile of electronics. This neat tool has a USB interface and gives you a pin header that can be connected to whatever interface you want, be it UART, SPI, I²C/SMBUS, 1-wire, bit banging… you name it! This includes of course JTAG – and it all basically runs out of the box.

Well, kind of out of the box. I did have to do some research on how to properly communicate specifically with the proxmark3, but essentially all was covered in the OpenOCD at91sam7s512-buspirate.cfg from the proxmark3-lcd project. They have also documented the proper command sequence in OpenOCD telnet control, which can be neat to have in handy:
> halt
> flash erase_sector 0 0 15
> flash erase_sector 1 0 15
> flash write_image ../armsrc/obj/fullimage.elf
> flash write_image ../bootrom/obj/bootrom.elf

All of this works great together, of course assuming one has built OpenOCD with buspirate support and successfully compiled your proxmark3 code (together with an ARM toolchain) to get the ELF binaries. Nevertheless, those are no real issues as it’s all quality, open source software. The only downside in this mix is that the Bus Pirate isn’t quite as quick as, say the Segger J-link, but when we’re talking about flashing a couple of hundred kibibytes at the most… Who cares? Just wait a second more – and voilà, a working Proxmark3 again!

If you’re not sure how to connect the Bus Pirate to the proxmark3 JTAG interface, have no fear. That was a piece of cake as well. The following image shows the 20-pin JTAG header of the Proxmark3. Pin number 1 is in the corner of the circuit board (pin 20 being closest to the center):

The following is the Bus Pirate pinout together with which JTAG pin you should connect to. I connected GND and the 4 labeled connections on the top: TDO, TMS, TDI, TCK (leaving out VCC, as I powered the Proxmark3 from USB):

With these connections made, starting up OpenOCD -f at91sam7s512-buspirate.cfg and running telnet localhost 4444 will get you an OpenOCD prompt where you can perform the erase and flash commands listed previously in this post. If something doesn’t go as it should, look either to the respective software support channels for help, or perhaps (though it’s not as likely) we can help you in the comments below.

Så fram med lödstationen och en raspberry pi. Via serieportel erhålls root-access. Och efter lite detektivarbete om vad som finns i den och vad som behöver ordnas lyckas jag boota openwrt från ram.

Ett litet felsteg med offset och så rycker bootloadern. Fram med löstationen igen och koppla fler kablar till raspberry pi. Flashen är en spi flash på 4 MB.

Cyberdo trixade ut en komplett flashdump och sedan löddes den tillbaka. Och bootade igen! Tyvärr var lödkompetensen inte hög nog och efter lite trixande så föll ett ben bort.

Fram med en ny router och ny serierport och efter ett tag så är openwrt permanent i flashen. Här står den på display i hackerspacet.

Mot meshen!

Openwrt patch: https://dev.openwrt.org/ticket/13213

http://wiki.umeahackerspace.se/w/index.php?title=Meshn%C3%A4tverk

“Nu införs ett nytt och säkrare betalsystem på våra bussar.”

Umeå kommun och andra kommuner i Västerbotten har i dagarna (sedan 11 mars 2013) ett nytt tekniskt system för busskort och betalningar inom kollektivtrafiken. Detta system lovar Länstrafiken i Västerbotten att det ska vara säkrare än det tidigare. I tisdags under vår vanliga öppet hus-kväll, 12 mars 2013, så spekulerade vi i hur säkert kortsystemet var. Här är vår rapport.

Umeå Hackerspace arrangerade 2012 sitt första cryptoparty, inför vilket det sammanfattades ett kort svar på frågan “vad är säkerhet?”. Så om det nya kortsystemet är säkrare än det tidigare behöver vi läsa det i kontexten av vad säkerhet är. Bland annat ska resenären känna sig säker att kortets integritet är bevarad (förlorad data kan vara förlorad resa), samt att autenticiteten i systemet är pålitlig så att tredjepart inte kan manipulera busskortens innehåll.

Den lösning Länstrafiken i Västerbotten har försökt sig på med sitt nya kortsystem har så gott som till 100% baserats på förtroende till externa leverantörer. Från protokollet för resekortets kommunikation med bussens läsare, till hårdvara och mjukvara som används för att integrera allt till samma betalsystem. De tekniker som används i betalsystemet är i stor utsträckning baserade på slutenhet och hemlighet, en generellt sett dålig strategi för god säkerhet. Detta gör att inte ens beställaren själv har möjlighet att granska och korrigera funktionalitet och säkerhet, vilket skapar ett ohälsosamt – och dyrt – leverantörsberoende.

Strukturmässigt är det nya betalsystemet alltså mycket likt det tidigare. Lite eller ingen insyn, dåliga affärsförhållanden och tekniska lösningar som man saknar kontroll över. Så hur ser det ut på den tekniska fronten? Är funktionen säkrare idag än tidigare och kan resenärerna lita på integriteten och autenticiteten? Med ett par busskort tillhands så slog vi våra kloka huvuden ihop och började analysera den tekniska karaktären:

• Det används fortfarande kontaktlösa kort (publik utsändning av transaktioner).
• Plingkort är vad det verkar fortfarande av typen Mifare Classic eller mer sannolikt Mifare Plus. (det senare stöder AES-128bit istället för Crypto1)
• Plingkort är ej direkt sårbara för “dark side”-attacken med mfcuk. Troligen pga bättre slumpgenerator, samt kombinerat med mindre avslöjande paritetskontroll.
• Periodkort är ännu oanalyserade, men de är nog identiska med plingkorten.
• Enkelkort är Mifare Ultralight (verkar vara EV1?). Ingen krypteringsnyckel används i alla fall. Kortets lagringsyta för “OTP-bytes” (one-time-programmable bytes) nyttjas ej märkbart. Lockbytes för viktiga data-pages aktiveras ej vid resande.
• Det verkar inte finnas en central kontrollinstans för transaktioner, vilket gör att klonade kort kan användas (detta behöver i dagsläget verifieras).

Så. TL;DR?

• Plingkorten är en snäppet svårare nöt att knäcka än föregående generations. Viss konfidentialitet och autenticitet verkar finnas.
• Enkelkorten är läs- och skrivbara helt utan krypteringsnycklar, vilket gör tredjeparts-manipulering (autenticiteten) löjligt ickeexisterande.
• Avsaknaden av både kryptering och någon slags central auktoritet för transaktioner gör ett betalsystem mycket opålitligt – särskilt när de två egenskaperna kombineras.
• Vi rekommenderar att systemdesignern ser över okrypterade kort samt biljettens verifiering vid resande för resenärernas bästa.

Umeå Hackerspace är fortfarande intresserat av att hjälpa till att skapa ett pålitligt, integritetssäkert och Bra™ system för kollektivtrafiken i Västerbottens län. Så all säkerhetsrelaterad information vi klurar ut eller på annat sätt tar del av analyserar vi gärna för att fundera på hur man bäst motverkar.

Det är mycket viktigt att resenärerna kan ha förtroende i sin interaktion med betalsystemet utan risk för att ex. förlora resor eller riskera att identifieras/spåras som resultat av låg säkerhet.

Vi bjuder på pizza till varje deltagare som redan använder eller under kvällen börjar använda en federerad social plattform (eller flera)! Buggrapporter samlas in och en lista skapas över funktionalitet som bör fixas inför framtida versioner.

Välkommen! Vi kör alltså nu på måndag, 17 december, klockan 19.00 och håller på åtminstone ett par timmar (en hack-eftermiddag). Eventuell uppföljning sker på tisdagen 18 december och detaljer kring detta bestäms under kvällen.

(Anonymiserade) bilder/ljud/media dyker upp lite senare, men i korthet: Runt 30 deltagare, prat av mig, stationer om hårddiskkryptering, GPG och Tails/TOR, mycket prat om allt möjligt, och flera nya gpg-användare och signeringar.

Och chips och dricka.

Tack igen!

/En trött men nöjd Petter