pantons blahg

Kamera Spotter API

Mon, 02 Apr 2012 21:24:00 +0200

Der er flere som har spurgt til API bag Kamera Spotter-projektet. Hermed dokumentation derpå.

Der er to grundlæggende funktioner: list og submit. List er en liste over alle kameraer og submit er funktionen der gør det muligt at uploade nye billeder af kameraer. API’et er baseret på HTTP requests til kameraspotter.information.dk eller ks.epilog.dk som fallback-domæne. Der findes også mulighed for KML og GeoJSON adgang.

Hvis du vil bruge submit funktionaliteten, anbefales at du bruger sandkassen på ks-sandkasse.epilog.dk.

LIST

Send en GET request til: /api/list
Resultatet er en liste over kameraer i JSON format.

Følgende keys er udfyldt:
uid: et unik id for kameraet.
message: tekst indtastet af bruger
latitude: breddegrad for kameraet
longitude: længdegrad for kameraet
accuracy: nøjagtighed i meter for kameraets placering

Et billede for kameraet kan dannes ud fra uid: /image/<uid>

SUBMIT

Send en POST request til /api/submit
Body på request er af typen multipart/form-upload.

Følgende keys skal udfyldes:
message: tekst indtastet af bruger
latitude: breddegrad for kameraet
longitude: længdegrad for kameraet
accuracy: nøjagtighed i meter for kameraets placering
signed: om kameraet er skiltet, udfyldes med: yes, no eller unknown
client: navn på din klient
file: billedet af kameraet

Happy hacking.

Don’t worry, the internet is here - A sign from the ACTA...

Sat, 25 Feb 2012 19:50:57 +0100

Don’t worry, the internet is here - A sign from the ACTA demonstration in front of the Danish parliament. Licence: CC-BY.

Photo

Fri, 17 Feb 2012 10:55:17 +0100

Rejsekortet: Sikkerhed som vi pensionerede i 90'erne.

Wed, 25 Jan 2012 10:43:36 +0100

Da jeg i januar 2010 stod i TV-Avisen og demonstrerede, hvor let det var at få adgang til og ændre i de data, der ligger på Rejsekortet, troede jeg, at det ville gøre indtryk på selskabet bag kortet.

Men her to år efter kan jeg konstatere, at Rejsekortet, som i skrivende stund er ved at blive rullet ud i hovedstadsområdet, fortsat baserer sig på sikkerhedsforanstaltninger, som længe har været betragtet som usikre.
Ligesom for to år siden er min holdning, at det er en helt klar fejl at blive ved med at bruge Mifare som platform.

For 17 år siden, i 1995, indledte en gruppe trafikselskaber arbejdet med at erstatte de allerede dengang aldrende klippekort-automater med et moderne elektronisk rejsekort. Året før var det nye RFID-baserede hukommelseskort Mifare blevet introduceret og var på det tidspunkt, hvor trafikselskaberne begyndte deres arbejde, på vej til at blive grundlaget for et nyt elektronisk rejsekort introduceret i Seoul, Korea.

Mifare-kortet vandt stor udbredelse som elektronisk rejsekort kloden rundt, blandt andet i London, Beijing og Taipei. Mifare var således et populært produkt i branchen og blev derfor også brugt som grundlag til en specifikation af et fælles nordisk rejsekort, der blev udviklet i samarbejde med danske trafikselskaber omkring årtusindskiftet. Den store vision var, at kortet skulle virke på tværs af operatører, på tværs af landegrænser.

Sikkerhed fra 90’erne

Mifare-kortets hukommelse er beskyttet af hemmelige 40 bits-nøgler, og kommunikation imellem kortet og kortlæser er krypteret. Kortet blev ligefrem markedsført på dets brug af en hemmelig proprietær krypteringsteknologi. Det fik i 2007 et hold forskere til at kaste sig over den krypteringsalgoritme, der blev benyttet. Efter et stykke enestående detektivarbejde, hvor Mifare-chippen blev kortlagt med mikroskop og billedgenkendelse af de logiske kredsløb, lykkedes det at finde den algoritme, der blev benyttet.

Det viste, at krypteringsalgoritmen havde store svagheder, især fordi den aldrig var blevet set efter i sømmene af uafhængige forskere. Efter at resultaterne blev fremlagt i 2007, har forskere fundet yderligere problemer i måden, hvorpå krypteringen er implementeret. Dette ledte til, at man i 2009 kunne bryde nøglerne på kortet blot ved brug af en computer og en billig usb-kortlæser.

Fejl i sikkerhedssystemer og svagheder i krypteringsalgoritmer har en karakteristisk failure-mode, som i høj grad minder om dæmninger. Når først der er kommet et lille hul, går der ikke længe, før dæmningen bryder sammen. I en lidt mere sejlivet version findes en krypteringsalgoritime fra 70’erne kaldet Data Encryption Standard, DES. I et forsøg på at gøre opmærksom på DES’ aldrende eksistens viste den amerikanske borgerrettighedsorganisation EFF i 1999, at den med en anskaffelse af specialdesignet hardware til en kvart million dollar, kaldet deep-crack, kunne bryde DES’ kryptering på 4½ dag i gennemsnit. En tilsvarende øvelse i dag ville kunne gennemføres ved brug af grafikkortene i en håndfuld spillecomputere.

Hul på Rejsekortet

Da det gik op mig, at Rejsekortet var baseret på Mifare, skyndte jeg mig til Høje Taastrup Station og bestilte et sådant, således at jeg kunne blive test-pilot på en strækning på Vestsjælland. Efter lidt tid lykkedes det da også at få dumpet hukommelsen ned i en fil på min computer. Det stod imidlertid klart, at det ikke var umiddelbart til at tyde, hvad de forskellige dele af hukommelsen repræsenterede. Til mit held viste det sig dog, at specifikationen til en tidligere version af Rejsekortet var blevet offentliggjort år tidligere, men nyere versioner blev ikke længere offentliggjort efter opdagelsen af sikkerhedsproblemerne med plastikkortet. Efter timers interessant læsning stod følgende klart:

For at spare på pladsen på kortet og minimere transaktionstiden er alle dataformater ikke nødvendigvis byte-aligned og kan have ulige antal bits, således at de ikke optager mere plads end nødvendigt. Alle de vigtige dele af kortet er beskyttet af en kryptografisk signatur. Denne signatur bliver dannet ved hjælp af DES. Og til genereringen af denne signatur samt til krypteringen af kommunikationen med kortet anvendes det samme sæt nøgler til alle brugere.

Dette betyder, at bryder man nøglerne på blot ét kort, vil disse være gyldige for alle Rejsekort. Derfor skal der forholdsvist lidt til, før Rejsekort A/S mister monopolet på at udstede billetter. Særligt fordi nye smartphones i dag leveres med indbygget Mifare-kortlæser, således at snydetampe ikke skal ud og investere i kompliceret udstyr.

Security through obscurity

Auguste Kerckhoff formulerede allerede i 1883, at design af sikkerhedssystemer ikke bør hemmeligholdes, på nær nøglerne til systemet. Dette princip betyder ofte, at man ikke kan sikre sine systemer udelukkende på baggrund af hemmeligholdelse af dets funktion. Tværtimod viste det sig, da der blev kigget nærmere på Mifare, at der var store kryptografiske, og mindst lige så store implementationsmæssige, problemer i kortets design.

Tilsvarende er det stadig min påstand, at Rejsekortet lider af de samme problemer. Det bliver ikke bedre af, at specikationerne til dataformaterne hemmeligholdes, således at det ikke er muligt for tredjeparter som mig at undersøge, hvordan det faktisk står til. I hvert fald er det værd at bemærke, at samtidigt med at specifikationerne til kortet blev udformet, og hele verden stod på den anden ende for at gennemteste og eliminere eventuelle Y2K-bugs, lykkedes det i iver over at spare bits på kortet at klemme et hhv. år 2021-, 2031- og 2041-problem ind i specifikationen.

Signaturene på kortet baseres stadig på en krypteringsalgoritme, som skulle være pensioneret i 1999, og hvis man kunne låne en netcafé i et par dage, ville man kunne finde nøglen og selv lægge gyldige billetter på kortet med sin mobiltelefon. Dertil eksisterer der sikkert allerede en lang række replay-angreb, som der endnu ikke er taget højde for.

Nu er jeg stor tilhænger af offentlig transport, og jeg håber ikke, at folk vil spilde en masse CO2 på at finde disse nøgler. Men det ærgrer mig, at det, allerede inden kortet for alvor er i landsdækkende drift, har så slæbt så mange børnesygdomme fra 90’erne med sig, som softwareverdenen for længst har opbygget resistens over for.

Foto: Kim Bach CC-SA

Og så stoppede det med at være sjovt

Thu, 25 Aug 2011 16:26:00 +0200

larsoghelle skriver:

Jeg har netop modtaget dette fine brev fra DR, som ikke har albuerum nok til lidt politisk satire.

Det er vist på tide at os som betaler licens må bruge DR’s indhold som vi har lyst til.

Og så er det meget mystisk at DR.dk synes at #larsoghelle er så morsomme at de selv skriver om det.

Overspringshanding 2 (istedet for at forberede specialeforsvar)

Wed, 24 Aug 2011 13:45:00 +0200

Overspringshanding 2 (istedet for at forberede specialeforsvar)

Overspringshandling 1 (istedet for at forberede specialeforsvar)

Wed, 24 Aug 2011 13:42:28 +0200

Overspringshandling 1 (istedet for at forberede specialeforsvar)

Photo

Mon, 27 Jun 2011 16:36:00 +0200

"Skønt hensigten har været tilforladelig, betyder det, at en simpel feature, som en hurtig GPS..."

Mon, 30 May 2011 15:40:32 +0200

“Skønt hensigten har været tilforladelig, betyder det, at en simpel feature, som en hurtig GPS bestemmelse, har været medvirkende til, at man kan følge en persons liv – minut for minut – igennem de år de har ejet en mobiltelefon.”

-
Jeg blogger nu hos Bitbureauet - blandt andet om sladderhanke i lommen.

Theodore Vail spøger stadig hos AT&T

Mon, 21 Mar 2011 20:46:00 +0100

Med det seneste opkøb af T-Mobile er det amerikanske telefonselskab AT&T endnu et skridt tættere på fordums storhed. Nu er der kun fire nationale mobilselskaber tilbage i USA. Verizon og AT&T udgør nu tilsammen 70% af markedsandelen.

Det er bekymrende at netop disse to selskaber står bag denne konsolidering af markedet. Verizon og AT&T er skabt fra det gamle Bell Systems ribben efter at selskabet blev opbrudt af finansmyndighederne i 1984.

Jeg er netop blevet færdig med at læse Tim Wu’s The Master Switch, og kan varmt anbefale den. Det er baggrundshistorien til, hvorfor det lader til, at denne type konsolideringer nærmest synes uundgåelige.

Aktivisterne fra kontorstolen

Thu, 09 Dec 2010 09:26:00 +0100

PayPal, MasterCard, Visa og den schweiziske bank PostFinance har været utilgængelige på internettet i kortere eller længere perioder over det sidste døgs tid. Værst er det gået ud over kunderne i PostFinance, som ikke kunne bruge deres internetbank og for MasterCard, som ikke kunne godkende online betalinger. Alt sammen på grund af disse finansielle institutioner har lukket for midler til WikiLeaks.

Den gruppe af mennesker som har stået bag angrebene på de ovennævnte institutioner, kan næppe betegnes som hackere, men snarere er deres metoder mere lig gammelkendte metoder om at lænke sig til porten af en virksomhed. Angrebene er af typen DDoS (Distributed Denial of Service) og bygger på at en stor gruppe mennesker, i frivillighed, bruger værktøjer som bombarderer en hjemmeside med forespørgsler. Det kan svare til at du trykker opdater et par tusind gange i sekundet. Værktøjerne er tilgængelige for alle, der kræves ingen færdigheder (som man ville forvente en hacker måtte have) for at benytte disse værktøjer. Som knapperne hedder i DDoS værktøjet LOIC: Aim, lock, fire!

Derfor vil jeg hellere kalde den form for aktivisme for civil ulydighed. Folk som står bag har politiske eller moralske motiver, men er ikke nødvendigvis særligt teknologisk overlegne.

Phrack (via) er lidt hårdere i mælet:

Social networking sites are making it increasingly easy to inspire angry mobs of ordinary computer users to take part in a DDoS by clicking a link […] we’re not on dialup anymore, and there’s not a lot you need to get your own “human-net” started — just a persuasive cause and a handful of idiot-proof programs. LOIC is popular for this, as are websites that send GET requests in iframes over and over and over. Next thing you know, there’s thousands upon thousands of stupid tweeters, staggering forth like something out of Resident Evil. […] Throw that into the mix and Twitter becomes some kind of pluralistic middle-class pseudo-political force to be reckoned with.

Desværre er jeg ret sikker på, at disse handlinger betyder, at der vil komme ny lovgivning som yderligere indskrænker friheden på internettet. In other news…

How side channels cost me DKK 160. I buy a lot of stuff from...

Thu, 08 Apr 2010 17:55:00 +0200

For once, you really earned your DKK160

Front, HKD45.- is DKK 37.-

Back

How side channels cost me DKK 160.

I buy a lot of stuff from dealextreme.com. Usually I try to keep it under DKK 80, as this means that I would not get fined DKK 160 by the Danish Postal service.

According to them, this balances out the costs of having to charge you the VAT and occasionally import duties. I didn’t believe them, and I would get pissed and call them every time I had to pay this fine, just to get something out of my money.

Usually this would end up with another person being equally pissed at me for wasting their time. In my mind, the process would look a little like this:

Parcel going by a customs officer, who deems me worthy of a fine.
Customs officer scans the barcode - which has every information needed to preform a customs declaration.
A printer spits out a letter for me with the fine included
I hand in the letter of indulgence and pay in return for my goods.

This entire process in my mind would cost around DKK 30, given that it might take a maximum of 5 minutes of their time to preform. Therefore if I try to avoid paying import duties, it is only due to the Danish Postal Service being complete jerks.

This brings me back to todays experiences. After a package from DealExteme had floated around in the Danish Postal Service for 21 days (getting to Denmark from Hong Kong took less than 3 days), I went down to the Post Office to try to sort these things out. After an initial confusion, they managed to find my package and almost handed it over without any fines. But I was not so lucky. From the back of the Post Office, “Remember to charge the import duties”, an elderly lady screamed.

DKK 40 in VAT, 160 in fines.

I didn’t want to complain this time. Fearing they would send it into the postal gyre again, I paid up. To my amazement they had, without having to contact me, figured out the price of my goods.

Nothing was revealed on the front side. Not even DealExtreme was mentioned. The customs declaration was conveniently lying about price. HKD 45 is nowhere near the USD 29.88 I bought it for.

But somehow they found out. From my receipt, they knew it was from DealExtreme.

I was curios wether they just had estimated the price or how they came up with that number. I checked my invoice: USD 29.88.

I turned the package around. 3 small numbers was the only thing. I entered the numbers into the search box dealextreme.com, there it was.

For once, they earned their DKK 160. Tomorrow I will send them their diploma.

The Ecological Impact of Flash Advertisements

Tue, 01 Dec 2009 00:51:00 +0100

One website in particular has begun to get on my nerves recently. The newspaper recently revamped themselves and put up a new faster loading website. Except that the new design made room for even more annoying advertisements. Especially the kind that will play at random if you use a non-Windows platform. Full volume movie trailer with explosions.

The website might be loading faster, but in return, it manages to use about 50% of my CPU. This really pisses me off. Using an ad-blocker, the CPU usage is less than 1%. I guess this is really my point, but climate stories are big this season.

In a set of measurements of questionable scientific standard, I used a power-meter I had checked out at the local library to measure how much power my computers used, viewing politiken.dk with and without an ad-blocker.

Ubuntu 9.10 (+30W / 25%)
Without ads: 120W
With ads: 150W

Windows 7 (+15W / 11%)
Without ads: 122W
With ads: 147W

Mac OS X 10.5 (+9W / 13%) (Laptop and x5 the number of open instances)
Without ads: 14W
With ads: 23W

Say you have a web browser open for 3 hours every day and your computer uses 12W more with Flash ads, then you emit around 7 kg CO₂ each year.