Gepubliceerd: Dinsdag 15 januari 2008
Een student uit Nijmegen heeft opnieuw de ov-chipkaart voor enkeltjes gekraakt, waardoor gratis reizen mogelijk is. Ook abonnementskaarten liggen weer onder vuur.
Toon volledig artikel
Of deze chipkaart moet verdwijnen of er wordt een nieuwe zware codering toegepast.
Het is toch te bezopen voor worden dat er zoveel geld in dit project is gestopt, om er vervolgens achter te komen dat er met zwaar verouderde technieken is gewerkt. En dat voor een systeem dat wel 10 jaar mee moet gaan.
Er gaan wel meer ICT-projecten op de schop bij onze regering. Jaarlijks gaan er op deze manier honderden miljoenen zo de sloot in.
Volgens mij moeten ze het gewoon bij de ouderwetse kaartjes houden. Sterker nog, bijna elk land werkt met stationspoortjes, alwaar je alleen met een geldig kaartje doorheen kan. Het Hollandsch systeem van kaartcontrole in de trein/tram/metro/bus is een zwaar verouderd systeem. Dat we hieraan vasthouden is niets meer of minder dan baanbehoud voor een aantal mensen.
Baanbehoud is het volgens mij niet. Als je kijkt in bijvoorbeeld Engeland staat bij elk poortje wel een mannetje wat de deur moet open doen als het kaartje weer eens niet werkt of voor rolstoellers etc. Een kaartje in de Tram kopen moet nog steeds kunnen.
Daarbij krijg je een grote onderhoudsploeg die de apparaten moet onderhouden.
Zou mij niets verbazen als er netto neer mensen nodig zijn.
Ik las vanochtend in de krant dat dit een "ethische hack" genoemd werd en dat de dader(s) nog altijd gepakt kunnen worden voor zwart rijden...
Heet dit niet symptoombestrijding? Het is toch de bedoeling dat er door deze OV kaart minder gecontroleerd moet worden?
De reactie van de OV chip organisatie was sowieso bijzonder slecht, namelijk:
a) ze kunnen worden gepakt bij controles
b) er zijn maar 10.000 van dit soort kaarten in omloop, de miljoenen andere zijn veilig.
Maar:
a) Inderdaad zouden controles juist niet/veel minder nodig moeten zijn met de OV chip.
b) Het maakt niet uit of er maar 10.000 van in omloop zijn, gratis reizen is gratis reizen.
Ik denk dat die organisatie hun producten maar eens goed moet laten doorlichten door externe experts. Voor zover ik weet is dat niet gebeurt en vertrouwen ze eerder, zoals ook die stemcomputer leverancier bijvoorbeeld, op security by obscurity. En met chip kaarten die op grote schaal gebruikt gaan worden, weet je dat die beveiligingsmethode niet lang houdbaar is.
Dat van die 'maar 10.000' snap en geloof ik ook niet. De wegwerp kaart is toch de kaart die toeristen en incidentele OV gebruikers straks gebruiken? Of moet elke toerist eerst ergens een kaartje met pasfoto laten maken?
Dat van die 'maar 10.000' snap en geloof ik ook niet.
Misschien bedoelen ze dat er op enig moment zo'n 10.000 geldige chipkaarten van dat type in omloop kunnen zijn (waarbij de reeds opgebruikte dus niet meer worden meegeteld). Dat zal overeenkomen met een bescheiden deel van het aantal mensen dat er per dag een treinreis maakt.
Zoals ik het rapportje lees is in dit specifieke geval niet de cryptografiosche content gekraakt maar is er simpelweg een copie gemaakt van de transmissie data. Dat is net zoiets als het fotocopieeren van de oude strippenkaart. In beide gevallen is dat dus, net als het namaken van geld strafbaar. Om dit kunstje uit te halen moet je nog al wat electronica kennis in huis hebben.
Zoals bij al dit soort systemen is er een afwegeing gemaakt tussen beveiliging en de kosten. Zolang de verliezen door valsspelers lager zijn dan de kosten van een beter systeem is het economisch gezien beter te leren leven met een paar promille valse kaartjes. Dat is ook precies de reden waarom de grote creditcard maatschappijen nog steeds geen smartcards gebruiken.
Het is slechts een gevalletje van een journalsit die niet gehinderd wordt door enige kennis van zaken en het niet in het juiste perspectief weet te plaatsen. Niets aan de hand dus.
Denk jij niet dat de benodigde trucjes zich niet razendsnel zal verspreiden?
En zoals gebruikelijk zijn er altijd mensen die dit commercieel gaan verkopen aan mensen die niet de nodige kennis hebben om het zelf te doen.
Denk jij dat criminelen die pin-kaart magneetstrips kopiëren begrijpen hoe dat werkt? Ze hebben gewoon een trucje geleerd, dat is alles.
Even een kastje in elkaar zetten en dan te koop aanbieden op e-bay of een andere online marktplaats.
Voor zover ik weet is het is verboden om een kaart te vervalsen maar niet om de middelen daarvoor te maken of in huis te hebben.
40 euro uitgeven om een kaartje van 0,75 euro te vervalsen? En die onderdelen moet je dan ook nog eerst zelf in elkaar solderen. Ik denk niet dat dit op grote schaal zal gaan gebeuren. Echt waterdichte systemen zijn gewoonweg te duur voor dit soort wegwerpkaartjes.
Mag ik er vanuit gaan dat je, net als ik, dagelijks met RFID, smartcards en security bezig bent?
Een waterdicht systeem is best mogelijk maar veel te duur. De kosten van zo'n infrastructuur zijn vele malen hoger dan het verlies dat momenteel door fraude geleden wordt. En dat is het perspectief waarin je e.e.a. moet plaatsen. Ja Mifare is niet erg goed beveiligd maar het kost ook niet veel. En dat is belangrijk voor een wegwerpproduct waarvan er jaarlijks vele miljoenen gemaakt moeten worden.
Vergelijk het eens met de voordeur van je woning. Die is absoluut niet inbraakveilig, je zou hem eigenlijk moeten vervangen door een bankkluisdeur om echt inbraakveilig te zijn. Of vind je dat de huidige deur voldoet zolang een bankkluisdeur nog ettelijke tienduizenden euro's kost?
En er is ook geen 130 miljoen aan het Mifare kaartje uitgegeven, dat bedrag is uitgegeven aan het totale innovatie project waarvan het kaartje, waar hier sprake van is, slechts een heel klein deeltje is. Maar dat is niet wat de sensatie beluste reporter wil horen, dat verkoopt geen kranten.
Begrijp me goed, ik ben geen fan van Mifare maar er wordt momenteel wel heel veel ongenuanceerde nonsense geuit, en dat stuit me tegen de borst. We doen ons best een mooi systeem te ontwikkelen en een of ander studentje uit Nijmegen schrijft een zeer onvolledig rapportje zonder zich druk te maken over de achtergronden van het systeemt en de argumenten om dit systeem te kiezen. Dat het systeem niet waterdicht is was allang bekend en is in de overwegingen mee genomen. Bedenk ook dat het centre of competence op het gebied van security niet in Nijmegen zit.
Met die -eenmalige- uitgave van 40 euro, kan je eindeloos gebruik maken, niet slechts voor 0,75 euro. En dit is nog maar het eerste systeem. je geeft zelf later al aan dat het center of competency van security niet in Nijmegen zit. Als die dan zelfs al de beveiliging kunnen omzeilen, staat er vast nog meer te wachten...
De in Nijmegen gekraakte kaart is een eenvoudige uitvoering voor één of enkele reizen. Daarvan was bekend dat de beveiliging heel zwak was. Bij alle ophef moeten we niet vergeten dat de chipkaart controle niet overbodig maakt. Bij abonnementen zal gecontroleerd moeten worden of de reiziger ook echt de abonnementhouder is etc. Bij een dergelijke controle zullen veel valse kaarten door de mand vallen.
De Duitse kraak toonde aan dat de beveiliging van die kaart veel lager was dan door de fabrikant gesuggereerd, een veel voorkomend euvel bij beveiliging door een geheim ontwerp. Dergelijke fouten leiden meestal tot grote problemen. Je kunt het vergelijken met normale sloten die achteraf kinderlijk eenvoudig te openen zijn.
Bij alle ophef moeten we niet vergeten dat de chipkaart controle niet overbodig maakt.
Tja, maar iemand met zo'n namaak-ov-chipkaart laat die natuurlijk niet zien, maar zoekt omstandig al zijn zakken af en zegt dan dat hij zijn eenmalige chipkaart moet zijn verloren.
Hoe hoog moet de boete voor het niet kunnen tonen van de chipkaart wel niet zijn voordat het gratis reizen met een gekraakte kaart niet meer uit kan?
En wat zullen eerlijke reizigers, die hun chipkaart werkelijk zijn verloren, er dan wel van vinden als ze daarvoor zo'n hoge boete moeten betalen?
TransLink komt zo onprofessioneel over. Steeds proberen de indruk te wekken dat het wel meevalt. Dat moet je niet doen. Les 1 in crisiscommunicatie is dat je open moet zijn. Daarnaast hebben ze ook geen respect voor de privacy wetgeving. Het komt al met al over als een stelletje amateurs.
Waarom kijken we niet wat het beste systeem is dat in het buitenland succesvol wordt toegepast? Gewoon dat systeem kopen. Kan nooit duurder zijn dan zelf een wiel uit te vinden met een paar flinke slagen er in.
Wie herinnert zich de paspoort affaire nog?
iemand met zo'n namaak-ov-chipkaart laat die natuurlijk niet zien
Als ik het bericht goed begrijp, kopiëert de gegevens gewoon terug op de originele kaart?
Voor de reis kopieert de reiziger de gegevens van de chipkaart. Nadat er tegoed is afgeschreven overschrijft hij de gewijzigde gegevens waardoor het kaartje opnieuw recht geeft op twee reizen
Of hij gebruikt een blanco chipkaart, welke eenvoudig te drukken is naar het orinigeel.
Ik vraag me af of het wel nodig is om de encryptie te kraken, als je (net als met cd's) de ruwe data kan copiëren naar een image, en deze op dezelfde manier weg kan schrijven op chip-kaarten, kan je altijd je "volle saldo image" terug zetten.
Als ik het bericht goed begrijp, kopiëert de gegevens gewoon terug op de originele kaart?
Nee, zo'n chipkaart (de Mifare Ultralight denk ik dat het om gaat) heeft een write-once functie, waarbij bits alleen van een 0 in een 1 zijn te veranderen en niet andersom. Zo kun je ervoor zorgen dat het aantal reizen alleen verlaagd kan worden en niet verhoogd of teruggezet.
De namaak-ov-chipkaart is een apparaatje dat uit een aantal losse onderdelen is samengesteld die samen de werking van de ov-chipkaart emuleren. In zo'n zelf ontwikkeld apparaat kun je de gegevens programmeren die je wilt. Het is echter vrijwel onmogelijk om het apparaat zo compact te maken dat het door kan gaan voor een gewone ov-chipkaart (de investering om een chip te ontwikkelen is zo hoog dat het alleen uit kan voor enorme productieaantallen).
Of hij gebruikt een blanco chipkaart, welke eenvoudig te drukken is naar het orinigeel.
Het lijkt me van niet. In iedere chipkaart wordt door de fabriek een uniek serienummer geprogrammeerd, dat je naderhand niet meer kunt veranderen. De ov-chipkaarten zullen in grote aantallen worden ingekocht, zodat de serienummers ervan binnen een beperkt aantal reeksen vallen. Dat is daardoor vrij eenvoudig voor een poortje te controleren. En als jij dus ergens blanco Mifare-kaarten koopt, hebben die dus een serienummer dat als ongeldig kan worden herkend.
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
