Gepubliceerd: Maandag 10 maart 2008
Een nieuw onderzoek toont aan dat dieven reistegoeden van de ov-chipkaarten van medepassagiers kunnen stelen. TNO wuifde het risico van zo'n aanval eerder juist weg.
Toon volledig artikel
Ik ben heel erg benieuwd naar het vervolg, dit moeten spannende tijden worden voor Tineke Huizinga die immers haar lot met het vallen of staan van dit project heeft verbonden.
Zoals gewoonlijk zal de trein wel gewoon doordenderen.
Het stoppen met dit project en gewoon een werkend systeem uit het buitenland overnemen is een betere optie.
Maar ze zullen het wel op de eigen manier willen doen, want anders kunnen ze straks, na de magische datum, de persoonlijke gegevens niet benutten voor de persoons-gerichte reclame
In landen zoals Japan en Taiwan hebben ze uitstekend functionerende systemen.
Het is dan ook treurig om te zien hoe men hier in Nederland loopt aan te beunen.
Maar een kant-en-klaar systeem kopen is natuurlijk lang niet zo stoer als een systeem zelf gaan lopen klussen.
Maar een kant-en-klaar systeem kopen is natuurlijk lang niet zo stoer als een systeem zelf gaan lopen klussen.
Wat uiteraard veel meer tijd en geld kost.
Op deze manier ga je natuurlijk alleen maar met het openbaar vervoer als het absoluut niet anders kan. Dus stap je vaker in de auto, wat weer meer files tot gevolg heeft.
Denken die stofnesten in Den Haag nooit eens verder?
Ik denk dat het project gewoon doorgaat, er zal wel gezegd worden dat er door de centrale controle misbruik niet lonend is. Dit was immers eerder ook de reden om door te gaan.
Maar erger is dus dat de privacy van de gekopieerde kaart-eigenaar niet mee gewaarborgd is, daarnaast als dus deze gegevens in een gerechtelijk onderzoek terecht komen kunnen ze vervalst zijn.
OT, slaap je wel eens Brenno?:)
Ik denk dat het project gewoon doorgaat
Gewoon doorgaan, dat past in de cultuur van de GOUDen projecten van de overheid.
Security by Obscurity. Iedereen weet dat het fout zit, maar het treintje dendert door. De overheid heeft zichzelf hier natuurlijk ook weer in een contractuele klem gezet.
Ook het verhaal met GOUD klopt van geen kanten, maar we horen hier niets meer van.
Ministerieel (De minister: ik snap er geen hout van) briefje naar de kamer, het kan echt niet op de manier die we hebben afgesproken (Heemskerk) en de kous is voorlopig even af?
Gewoon gratis OV instellen. Ben je in 1 klap van al dit soort problematiek af en er zullen denk ik veel meer mensen de auto laten staan...
Gewoon gratis OV instellen
Hoe mooi dit ook klinkt, in de praktijk levert dit veel en grote problemen op. Mensen zouden in treinen (en andere OV) kunnen "wonen". Je kan ook mensen niet weigeren, ze hebben immers geen vervoerbewijs nodig. Tevens is het OV niet opgewassen tegen de grote aantallen mensen die dan van de OV gebruik zouden gaan maken. Op sommige trajecten is nu al een capaciteitsprobleem.
Toch bestaat het op meerdere plaatsen, in België ook plaatselijk (3 Belgische gemeenten hebben het initiatief van Hasselt overgenomen), en het bevalt daar goed. Niemand gaat er in de bus wonen (daar kan de chauffeur op letten, en een extra regeltje kan daarbij helpen), en capaciteitsprobleem is er ook niet, eerder afnemend, de parkeerdruk op de binnenstad van Hasselt is afgenomen, waardoor er ruimte komt voor leuke dingen.
In Hasselt bestaat het systeem dit jaar tien jaar.
Natuurlijk is het niet echt gratis, maar het wordt dan betaald uit gemeentelijke belasting. Dat was een politieke barrière. maar nu die is genomen is iedereen er blij mee, en wil geen enkele politieke partij van het systeem af.
Ik denk dat dit in Nederland in verschillende steden ook mogelijk is. Wat nodig is, is politieke moed.
In plaats van alles of niets zou je ook vanuit de kant van op iedere plaats het beste kunnen nadenken. Ik denk dat gratis openbaar vervoer in Nederland op veel plaatsen mogelijk is.
maar het vereist politieke moed om de golf van cynisme te weerstaan, dat klopt.
Ik zie werkelijk niet in waarom een dienst zoals het OV gratis zou moeten zijn. Maak het een stuk goedkoper en gooi de OV-Chip in de prullenbak. Lekker weer de strippenkaart en het treinkaartje. Goed, eenvoudig (dus betrouwbaar!) en goedkoop.
En weer gaan ze nat. Er is geen sprake van voorzichtigheid en behoorlijk bestuur. Wederom gaat het om prestatie en niet om kwaliteit. De laatste jaren is het de gewoonte binnen de politiek om maar zo lang mogelijk vol te houden dat alles ok is en er sprake is van een klein incident. Terughoudendheid vanwege onzekere factoren wordt niet betracht. Seinen op oranje en zelfs op rood worden compleet genegeerd. Waar de overheid de bewijslast bij burgers steeds vaker omdraait en onze rechtsstaat zelfs loopt te verkrachten, moet de overheid met steeds meer middelen gecorrigeerd worden. Dit is gewoon onbehoorlijk bestuur. Punt uit. Koppen moeten rollen en niet alleen ontslag, maar gewoon eens aansprakelijk stellen. Gelijke kappen. Als de overheid de burgers steeds zwaarder afstraft en controleert, mag je op zijn minst een zelfe houding verwachten richting de overheid, ambtenaren en bestuur. Eigenlijk zelfs een zwaardere aanpak omdat de gevolgen veel groter zijn. Wel een salarisverhoging doorvoeren omdat ze zogenaamd achterlopen, maar niet de verantwoordelijkheidseisen bijstellen. Directeuren gaan tegenwoordig het gevang in en of betalen forse boetes. Ikzelf ben niet voor deze tendens, maar de ongelijkheid en onrechtvaardigheid nemen hand over hand toe. Of we gaan met zijn allen weer wat relaxter doen, waardoor m.i. er minder op het spel staat en de kwaliteit weer kan gaan tellen omdat fouten menselijk zijn (voor iedereen) of we zetten de tendens van verboten, verplichten en verlinken keihard door, maar dan ook voor iedereen inclusief ministers en ambtenaren.
De laatste jaren is het de gewoonte binnen de politiek om maar zo lang mogelijk vol te houden dat alles ok is en er sprake is van een klein incident.
De politiek zou je eens moeten vergelijken met een bak water waar je poppetjes in gooit. De zwaargewichten (met inhoud) zinken en de kurken komen boven drijven.
De kurken laten zich adviseren (iets wijsmaken) door de lobbies. Gaat er dan wat fout, dan zijn ze eigenlijk niet in staat de hele problematiek te overzien, en kunnen dus niet zo snel iets anders bedenken.
Daar komt dan bij dat ze niet zo makkelijk zullen toegeven dat ze door de lobbyisten bij de neus zijn genomen (een veelvoorkomende menselijke eigenschap)
Opnieuw blijkt: Overheid + ICT = alstublieft NEE !!
Indien de zeer bekwame en hoog geachte ;-) minister die voor dit zoveel(tig-)ste ICT debacle van de overheid verantwoordelijk is, daar nu maar eens de consequenties van zou nemen...
Maar blijkbaar worden er, vlak voor een groep politici, maakt niet uit van welke kleur (of juist kleurloosheid) zitting neemt, tubes industriele superlijm op de zittingen van ieder van die stoelen leeg geknepen.
Waarna zij vervolgens ons allemaal lekker leeg gaan knijpen. Al zijn wij geen tubetjes, maar (financieel en qua privacy) uitknijpbaar zijn wij helaas wel...
Ja, je zal daar als politicus/politica eens verantwoording nemen als het (al weer) mis gaat - en indien daarvoor politiek verantwoordelijk bevonden uit jezelf aftreden...
Vergeet dat maar, dan zouden zij, o gruwel, misschien zelfs een echte baan moeten gaan zoeken waarbij je ook echt hard moet werken. Zoals vrijwel iedereen.
Het ergste is nog wel dat wij allen er vet voor moeten betalen, voor een duidelijk onveilig f(l)ud-project dat zeker ook onze privacy zal schenden... Sorry, maar dit soort politiek maakt mij nu echt ******ziek. Kunnen wij niet heel deze politiek (of politici) >/dev/null laten gaan ?
Disclaimertje: Het kan best dat ik momenteel een beetje last heb van het beruchte maandag morgen monster -gevoel... Dat kent u allen vast wel. Al hoop ik dat die politici er ook flink last van hebben ! :D
Ben zeer benieuwd naar de voorwaarden voor het gebruik van deze kaart....
Als er in die voorwaarden iets staat van "Persoonlijke informatie zal niet worden doorgegeven aan derden" dan is er nog wat werk te doen :) :) :P
Ik kan niet wachten op rekeningrijden. Ik hoop toch zo dat de overheid dezelfde stomme fouten begaat.
Vrijheid van beweging is een grondrecht in Nederland die de afgelopen jaren door de overheid met vele belastingmaatregelen is ingeperkt. Het geld hebben ze over de balk gesmeten. Straks hacken we massaal dat systeem en rijden we weer vrij en blij rond.
Wij zijn de baas, Den Haag is voor het uitvoeren. Ja ik ben erg cynisch, maar wat wil je met zo'n overheid? Dit kabinet is Enemy of the State. Niet de burgers en ook niet de hackers.
De vind ik zoooo "Boer Koekoek" wat jij roept
De overheid is fout..... alle politieke partijen zijn fout, hoe heet ook alweer die Italiaan die de treinen op tijd liet rijden? Of die Nederlander die een hek om ons land wilde bouwen, of die Duitser die zijn volk meer ruimte om te leven wilde geven......
Als je niets zinvols te zeggen hebt, waarom doe je dan de moeite?
Ah ja, jij zou de Belastingdienst BV gaan oprichten, en daar zou dan niks fout gaan. Ik snap het. Je zoekt gewoon een opportunity.
Dit schreef je op: 29-02-2008 10:50
Ik ben er van overtuigd dat ik een Belastingdienst BV kan runnen die:
a) z'n zaakjes wel op orde heeft
b) daardoor minder kosten maakt
c) tegen de Minister van Financien zegt dat ie zoveel geld helemaal niet nodig heeft, en dus teruggegeven mag worden aan de burger.
Ah ja, jij zou de Belastingdienst BV gaan oprichten, en daar zou dan niks fout gaan.
Het is genoegzaam bekend dat de Belastingdienst afschuwelijk grote bedragen over de balk gooit aan mislukt IT-projecten. Bij CAP Gemini zijn ze nog steeds niet uitgelachen van het vorige project....
Bij CAP Gemini zijn ze nog steeds niet uitgelachen van het vorige project....
Leuke reclame voor CAP, om steeds betrokken te zijn bij mislukte projecten. Als ICT-consultancy bedrijf zou je toch je klanten moeten behoeden hiervoor, en als dat niet kan, dan zou je je moeten kiezen voor kwaliteit, niet voor de snelle winst.
Met andere woorden, achteraf lachen om een mislukt project waar je zelf bij bent betrokken geweest is nogal een dom gezicht, en blijft niet onopgemerkt, want zelfs jij weet ervan.
achteraf lachen om een mislukt project waar je zelf bij bent betrokken geweest is nogal een dom gezicht
Er was niet echt sprake van een mislukt project. Maar door gewijzigde inzichten en gewijzigde wetgeving kon het projectresultaat a 300 miljoen zo de sloot in. Ik kan me voorstellen dat je je daar als IT-leverancier moeilijk een passende houding bij kunt aanmeten. De 'lachende' houding is ook niet het officiele standpunt van CAP, neem ik aan, maar mijn kontakten bij CAP (waarschuwing: anonieme bron!) maakten zich er flink vrolijk over.
Wederom een mooi staaltje onderzoek, zowel door de heren die nu claimen de hack te kunnen doen, als door Brenno, petje af.
Wederom een stap verder naar het verkwanselen van onze gegevens, onze privacy en onze vrijheid, dat staat er dan weer tegenover.
In het huidige politieke klimaat zal het waarschijnlijk gewoon doorgaan hiermee, de oogkleppen op en verder hollen, zonder enig respect voor de realiteit, zoals die hier weer eens overduidelijk gepresenteerd wordt.
Reden te meer om toch weer aandacht te vragen voor onze privacy en mensen die daar om geven op het hart te drukken om naar Privacy Invasion te komen en zich daar aan te melden. Samen komen we zeker erachter hoe we dit tij kunnen keren.
Reden te meer om toch weer aandacht te vragen voor onze privacy en mensen die daar om geven op het hart te drukken om naar Privacy Invasion te komen en zich daar aan te melden. Samen komen we zeker erachter hoe we dit tij kunnen keren.
Prima dat je het linkje naar die site plaatst, alleen maak ik de kanttekening dat je je daar moet registreren :-)
Volgens mij weten de meeste mensen ook niet dat die chip in alle nieuwe paspoorten zit,en wat voor gegevens staan daar eigenlijk op?
Dus.... een hele knappe hacker zou een pas opgewaardeerde chip van een reiziger kunnen "kraken", en dan dat tegoed zelf gebruiken om gratis te reizen....? En als het tegoed op is, dan steelt hij toch gewoon de OV-chip van een andere reiziger? Tjongejonge, wat een geweldig risico.
Het lijkt alleen wel een beetje op de fraude-mogelijkheden die er op dit moment zijn: een slimme dief kan bijvoorbeeld de portemonnee van een andere reiziger stelen, die zojuist gevuld is.... en dan gratis reizen op het "tegoed" in die portemonnee... en als hij leeg is? Dan zoek je een andere reiziger die net zijn portemonnee opgewaardeerd heeft.
Maakt dit "fraude" nu echt zoveel gemakkelijker????
Volgens mij weten de meeste mensen ook niet dat die chip in alle nieuwe paspoorten zit,en wat voor gegevens staan daar eigenlijk op?
Dat zal in mijn geval niemand ooit nog kunnen achterhalen, want onmiddelijk nadat aan mij zo'n RFID-rotding zou zijn uitgereikt, dan gaat hij direct onder mijn speciale "RFID-exterminator" ! ;-)
Tenzij de overheid mij een (100 % Open_Source) RFID-scannertje/lees-apparaatje bijlevert.
Aangezien wij allemaal inzage recht hebben in alle gegevens die de overheden e.d. over ons verzamelen. (Behalve dan gegevens van een strafrechtelijk onderzoek ofzo, natuurlijk).
Zo heb ik mijn ID-card ook direct na uitreiking "onthaald" op mijn RFID-exterminator ! Al weet ik niet eens zeker of daar wel zo'n verdraaide RFID-chip inzat - maar nu in ieder geval heel zeker niet meer... :lol:
U kunt trouwens ook een gewone magnetron-oven gebruiken, om zo'n RFID-chip te mollen.
Dat moet dan zo: Zet een half glaasje water met de van RFID-activiteiten verdachte card er bovenop in de oven.
Stel hem in op circa 30 seconds en de RFID is dan gegarandeerd tot z'n voorouders verzameld.... Het water is om niet "en passant" ook uw (dure) oven zelf naar de bliksem te helpen - zet nooit een magnetron aan zonder dat er iets in staat dat water bevat !!
Wees wel voorzichtig, u kunt ook eerst eens met 15 seconds beginnen, omdat een deels gesmolten ID-card een nogal rare indruk maakt als u die bij (een der veelvuldige, overdreven en vooral overbodige) controles moet tonen... ;-)
Het wordt echt het gat in de markt: RFID- scanner, cracker, killer, phishing, spoofing en allerlei andere (anti-)RFID applicaties ! Wie (ook ?) een goed idee heeft, meldt het hier op WebWereld
Wat ik zelf beslist eens uit moet gaan dokteren is een klein draagbaar apparaatje dat de RFID-scanners van de overheid e.d. opspoort en die dan met een (relatief kleine maar wel heel) sterk gebundelde EMP (Electro Magnetic Puls) voorgoed naar de eeuwige RFID-jacht (lees: scan) velden helpt... Eindelijk eens een kans om hard (maar geweldloos) terug te slaan in deze Info-War. :-)
Menen die machtsbelustte politici dan serieus dat zij ICT-ers die van deze zaken mega veel meer afweten dan zijzelf zomaar te slim af zouden kunnen zijn ? En hen zomaar zouden kunnen onderwerpen tot gewillige, naieve en volgzame sheeple ?? Dach' 't niet !
Goede tip,had inderdaad begrepen dat een magnetron wonderen kan doen,maar van dat water wist ik niet.
Nou is het wel zo dat je overheids-eigendom beschadigd,wat dan weer strafbaar schijnt te zijn......
In ieder geval,belachelijk dat zo'n onveilig iets voor dit soort doeleinden wordt gebruikt,dit gaat natuurlijk een keer verschrikkellijk fout. Stel je voor:er zou ooit een tweede Hitler opstaan,het wordt hem dan wel heel makkelijk gemaakt met al die RFID,vingerafdruk-database enz.... Misschien iets te paranoïde?
Misschien iets te paranoïde?
Nee, dat bent u IMHO zeker niet.
Misschien zijn wij als burgers tegenover de overheden in 't algemeen niet eens wantrouwend genoeg !!
Of zijn wij allemaal vergeten dat in een democratie de burgers de baas zijn en de overheden de dienaren ? Wist u b.v. dat het woord "minister" eigenlijk afkomt van een Middeleeuws Nederlands woord dat "mindere" dwz. dienaar betekende ?
En, u mag zich gelukkig prijzen, want het zal u niet eens gelukken om net zo paranoide te worden als sommige machthebber(t)s, zoals b.v. bush en z'n aanhang(sels zoals o.a. bepaalde Nederlandse politici)...
Het is inderdaad geen nano-second te vroeg om NU, op dit moment te gaan beginnen om alle (democratische, burger-rechtelijke en privacy) verworvenheden die ons de laatste jaren ontnomen zijn, terug te gaan nemen !! "We, the people..."
Omdat het, zodra wij allemaal in zouden hebben gestemd met chip-inplantaties in onze hersenen "om ons (zogenaamd) tegen foute gedachtes te beschermen", een beetje te laat zal zijn...
De term "gedachte-politie" is overgens niet door mij voor 't eerst op WebWereld gebruikt, maar al door velen anderen en terecht !
Bovendien, bovenstaande gelezen hebbende zal men mij in ieder geval een stuk erger paranoide kunnen noemen dan u, dus u behoeft zich voorlopig echt geen zorgen te maken over uw geestelijke gezondheid, die zit wel goed. ;-)
Bedankt voor de geruststelling.... Was het trouwens ook niet de RFID-chip die in Engeland bij scholieren onderhuids werd ingebracht,zodat de ouders via internet konden volgen waar zoonlief/dochterlief zich bevondt? Ik kan er naast zitten,maar ik dacht zoiets ooit gelezen te hebben.
De ziekenfondsen willen dat ook gaan doen geloof ik,als vervanging van de ziekenfondspas. Zou dat dan in het standaardpakket komen,als je ziek wordt van dat plastic en metaal in je lichaam?
De ziekenfondsen willen dat ook gaan doen geloof ik,als vervanging van de ziekenfondspas. Zou dat dan in het standaardpakket komen,als je ziek wordt van dat plastic en metaal in je lichaam?
Natuurlijk komt dat dan in het standaard-pakket. Waar dan de geneesmiddelen-maffia, pardon, "industrie" weer lekker aan verdienen kan. Waardoor, u raadt het al, zij de premies van de basis-verzekering weer eens flink kunnen gaan verhogen.
Zodat wij er voor moeten betalen om ons eerst ziek te laten maken en dan nog een keer om daarvan weer (min of meer, vooral 't eerste - kwestie van "klanten-binding"), nu ja, genezen te worden...
Waarbij de machthebber(t)s ook nog eens absolute controle krijgen over ons allen, want daar gaat het gewoon om. En nergens anders om, gewoon de al zeer oude (natte) machts-droom van totale heerschappij over heel een bevolking.
Wij hebben derhalve helemaal geen nieuwe hitler of zo iemand nodig, de huidige machtswellustelingen zijn al meer dan erg genoeg, lijkt mij...!
Fijn, maar de VS kom je niet meer in. Het zou beter zijn als je eerst eens uitzocht WAT er nou precies in die RFID van je paspoort staat. Meer in het algemeen constateer ik dat de discussie hier voornamelijk wordt gevoerd door mensen die niet gehinderd worden door kennis en geen enkele moeite doen om uit te zoeken wat RFID is, maar vooral elkaar napraten.
Op de RFID van je paspoort staan alleen biometrische gegevens. Dat zijn de coordinaten van kenmerkende punten van je aangezicht. Bijvoorbeeld de positie van de pupillen van je ogen en de positie van je oren. Met die gegevens kan paspoortcontrole door middel van een computer en een eenvoudig webcametje plaats vinden. Je bent daardoor sneller door de controle en er is minder douane personeel nodig. Op je echte pasfoto tref je vele malen meer persoonlijke informatie aan dan in de bewuste RFID chip maar daar maalt niemand over.
De informatie van de RFID chip van je paspoort is niet beveiligd (je pasfoto is toch ook niet gescrambeled). Bovendien wat moet iemand met biometriesche gegevens, makkelijker is om een foto van je te maken dan kun je diezelfde gegevens daar ook uit plukken.
Het is groote onzin dat een RFID chip gelezen kan worden door een GPS-satteliet. De leesafstand is gewoonlijk beperkt tot enkele centimeters en met hele grote antennes en sterke machnetiesche energie velden kun je tot 50 cm halen maar dat zie je eigenlijk nooit buiten een laboratorium. Bovendien, een simpel metalen hoesje (b.v. aluminium-folie) maakt de kaart al onleesbaar.
Het is wel mogelijk om RFID op iets grotere afstand dan jij zegt uit te lezen, ook buiten een laboratorium. Bijvoorbeeld enkele meters, afhankelijk van de gebruikte frequentie.
Nu kun je inderdaad de RFID werking eenvoudig verstoren, maar het geeft de overheid wel een machtig wapen om na te gaan wie er bijvoorbeeld ergens is geweest.
Daar zit ook het probleem van de OV chipkaart. Privacy is een recht uit de grondwet, en als de overheid je een grondwettelijk recht wil ontnemen, dan moet dat gemotiveerd worden. Het is niet de burger die moet aangeven waarom hij het recht op privacy wil, het is de overheid die moet verklaren waarom ze in een bepaald geval dit recht wil ontnemen, en daar ontbreekt het aan. En dat is eht probleem met de OV-Chipkaart, en alle andere kaarten die middels RFID het laagdrempelig mogelijk maken om ongevraagd gegevens van mensen op te slaan
Nu kun je inderdaad de RFID werking eenvoudig verstoren, maar het geeft de overheid wel een machtig wapen om na te gaan wie er bijvoorbeeld ergens is geweest.
Dat machtige wapen hebben ze al, toiletpaper. Dat zit in je binnenzak en heet een mobiele telefoon. Het GSM-net slaat fijnmaziger informatie op over jouw whereabouts dan dat ze ooit met RFID scanners zouden kunnen realiseren.
Het is wel mogelijk om RFID op iets grotere afstand dan jij zegt uit te lezen, ook buiten een laboratorium. Bijvoorbeeld enkele meters, afhankelijk van de gebruikte frequentie.
Ja dat kan als je een magneties veld maakt van enkele megaTesla. Het probleem is dan wel dat je autosleutels uit je zak vliegen als je er dicht bij komt. Bovendien moeten er spoelen gemaakt worden van enkele meters doorsnede. Zo'n station is niet echt goedkoop.... Een niet erg praktiese oplossing dus. Als de overheid je gangen na will gaan gebruiken ze daar je GSM signaal voor. Je moet wel erg paranoide zijn als je denkt dat RFID daarvoor een geschikt middel is.
En nogmaals, in je paspoort staat werkelijks niets wat ook niet op een foto van je te vinden is. Of loop jij soms met een zak over je op Schiphol?
Het gaat erom dat RFID automatische interactie met een computer mogelijk maakt, en dus de overheid geautomatiseerd je gangen kan nagaan. Dat is tegen het grondwettelijk recht van privacy.
Een GSM draag je vrijwillig, je kan hem ook uitzetten, een paspoort of andere ID is wettelijk verplicht, een chipkaart is verplicht als je met OV wil reizen.
Hoe leuk die paper er ook uit ziet, ik ben bang dat ze toch eerst met een POC moeten komen dan alleen maar roepen dat het ze zal lukken. Er is namelijk nog geen enkel bewijs geleverd.
het zal niet uitmaken hoe vaak hij gehackt wordt, het zal ook niet uitmaken hoeveel mensen er de dupe van zullen worden.
het zal de politiek niets schelen wat het allemaal kost.
het zal de politiek een worst wezen hoeveel mensen negatief zijn over de ov-chipkaart.
privacy is een doorn in het oog van de politiek.
de politiek hebben oogkleppen op om te zoeken naar een alternatief.
het is een prestige project en daar zal alles voor wijken.
met een alternatieve kunnen ze geen gebruik maken van klantgegevens (wat geld opbrengt voor de bedrijven)
met andere worden "we are all fucked by the politicians"
Gewoon kappen met die kaart, en oprotten met die security-through-obscurity crap.
Vanaf het begin werd al geroepen dat die kaart zo lek was als een rieten mandje, en niemand in Den haag die wilde luisteren en gewoon stug doorging met deze ontspoorde trein.
Den Haag bedankt voor het verspillen van miljoenen van ONS geld!
@ Diogenes_Isher
Bedankt voor de tip. Ik heb direct m'n paspoort, rijbewijs en ID kaart in de magnetron gelegd. ^_^
Het is niet mijn schuld dat die chip niet meer gescanned kan worden, het batterijtje zal wel leeg zijn. =P
^_^
@ Ages of Love 10-03-2008 10:53
Graag gedaan, maar pas wel op met bankpasjes en andere crads met een magneet-stripje erop. Die kunnen niet op afstand worden gelezen zoals die ver***** RFID - maar of zij zo'n RFID-exterminate "behandeling" (b.v. in de magnetron) overleven, dat denk ik niet... ;-)
Leg ook niet (per ongeluk) een memory-card van een mobieltje, MP3-speler of zo iets in de magnetron-oven, omdat dit hun levensduur zal reduceren tot maar enkele seconds...
(Oops, hopelijk breng ik nu niet de makers van zeer misplaatste "grappen" op een heel erg gemeen idee...)
GrtZ. D.I.
Heeft het nieuwe rijbewijs een rfid?
Zijn er universele rfid lezers voor het uitlezen? Of is er voor elke chip een andere frequentie en of protocol?
@ tompussie 10-03-2008 12:46
Zodra IPv6 grootschalig gebruikt wordt, dan kan er in letterlijk ieder product een RFID-chip met een volstrekt unieke code worden geplaatst. Die IPv6 bied namelijk zo'n 2.8 maal 10 ^ 14 mogelijkheden (2 tot de macht 48) en dat is echt heel veel...
Die RFID-chips kosten ook al niet zo heel veel meer, kostprijs minder dan 1 (jawel EEN) € per stuk...
En dat loont dus enorm, omdat zij door allerlei persoonlijke, privacy-gevoelige info over zo ongeveer iedereen te verzamelen hier een gigantisch veelvoud van terug kunnen "verdienen".
De echte prijs van deze RFID- "ontwikkeling" is de onmogelijkheid om nog als volwaardige mensen onbespied, ongecensureerd en vrij op je eigen manier te kunnen leven... Die prijs is dus veel maar dan ook echt veel te hoog !
Dat dergelijke chips (nu al) in rijbewijzen en allerlei andere dingen zouden zitten, zonder dat wij daarvan op de hoogte zijn gebracht dat zou mij bepaald niet echt verbazen. Zo houd ik zeker voor mogelijk dat individuele privacy zelfs nu al totaal niet meer bestaat...
Een vakantie in de VS kun je nu vergeten. Ze sturen je met het eerst volgende vliegtuig terug naar huis. En dat nu de dollar zo lekker laag staat! Slime actie.....
interessant, maar ik hou meer van single malt, franse wijn, en goed eten. En daarvoor hoef ik niet zo ver te gaan.
@ toiletpaper 10-03-2008 13:55
Hee, wat leuk, u houdt (net als ik) ook van (goede) single malt whisky, Franse wijn (voor mij bij voorkeur een haut Medoc) en lekker eten !
Al is het natuurlijk persoonlijk, maar wat dat betreft heeft u volgens mij een heel goede smaak.
De Duitse onderzoekers Karsten Nohl en Henryk Plötz hebben een paper (pdf) gepubliceerd waarin een manier beschrijven...
Brenno, dank voor dit vers van de pers nieuws. Gezien het tijdstip van publicatie is bovenstaand omgevallen woordje niet zo onverwacht.
In the report, the attack is estimated to require $9,000 worth of hardware
to break secrets keys in a matter of hours. We argue that this is a gross over-estimate and present
an attack that recovers secret keys within minutes on a typical desktop PC. Our attack exploits
statistical weaknesses of the cipher.
Dat verbaast me niet. TNO is een bedrijf waarvan de expertise op dit gebied niet bepaald denderend is, en als bedrijf is het bijzonder lastig volledig onafhankelijk blijven van je klanten (de inkomsten moeten ergens vandaan komen), die meestal vooraf gebaat zijn bij een bepaalde eindconclusie.
Het lijkt mij dat om het tegoed te stelen van een opgeladen OV-chipcard eerst deze opgeladen OV-chipcard zelf gestolen moet worden.
Waarom dan nog clonen als je het orgineel kan "leegreizen"?
Update:
Uit NU.NL
Nohl zegt nu dat met een in een tas verborgen laptop in enkele minuten een ov-chipkaart van een medereiziger kan worden gekraakt en gekopieerd. Daarna kan op diens kosten worden meegereisd.
En wat dan nog? Zie jij het gebeuren dat elke passagier met een notebook op reis gaat, met als enig doel te frauderen?
Het is een economische afweging tussen beveiliging en kosten. Die kosten vallen uiteen in kosten van de kaart en de kosten van fraude. Wat hebben we aan een kaart die volkomen veilig is maar aan materiaal alleen al zo'n 10 euro per stuk kost? Dan is het beter een zekere mate van fraude te accepteren ten gunste van goedkopere technologie. Die afweging is voornamelijk een bedrijfseconomische en pas later een politieke dunk me. In dat licht moet je mifare plaatsen. Ja het is fraude gevoelig maar dat was de strippen kaart in nog veel hogere mate. Mifare is wel zeer goedkoop en laten we eerlijk zijn hoeveel procent van de passagiers gaat nu werkelijk fraude plagen? Hoeveel procent beschikt over de wil, de kennis en de apparatuur om dat te doen? Het zou me niets verbazen als de huidige technologie voorlopig gehandhaafd wordt, of althans, tot een betere technologie voor een lage(re) prijs beschikbaar komt.
En tot slot, je bent wel erg dom als je met buskaartjes gaat frauderen. Als je de kluit wil belazeren, doe het dan een keer goed, voor een paar miljoen, toch niet jaren lang voor een paar kwartjes in de week? De straffen zijn gelijk en de pakkans is veel groter.
Mifare is wel zeer goedkoop en laten we eerlijk zijn hoeveel procent van de passagiers gaat nu werkelijk fraude plagen?
Als het aantal passagiers dat fraude wil plegen zo meevalt, waarom dan überhaupt een OV chipkaart willen?
Jamaar fraude is fraude, al kost het 150 miljoen om 50.000 aan fraude te voorkomen!
(En ondertussen toch wel handig om het reisgedrag van mensen te kunnen volgen)
Nou, nee. Precies om die economische reden heeft bijvoorbeeld een Visa kaart nog steeds een magneet strip en geen smartcard. Het invoeren van een smartcard systeem kost ze veel meer dan het vergoeden van fraude met het huidige systeem. Raar maar waar.
in feite zeg je dat een smartcard veel te duur is om fraude te voorkomen, en dat een magneetstrip beter was geweest
in feite zeg je dat een smartcard veel te duur is om fraude te voorkomen, en dat een magneetstrip beter was geweest
Nee. Hij zegt dat een commercieel bedrijf altijd de kosten van de beveiliging zal afwegen tegen de fraude. Als het Visa 10 euro x 1 miljoen gebruikers kost om iedereen van een smartcard te voorzien, en de fraude is maar een fractie daarvan, dan zullen ze rustig die fraude voor lief nemen. Als het maar niet uit de klauwen gaat lopen, want uiteindelijk trekt een zwakte in een systeem steeds meer fraude aan dat het op een moment toch weer lonend wordt om de beveiliging te verbeteren.
Dit staat geheel los van het strafrechtelijke verhaal, wat er in de discussie soms doorheen speelt.
Omdat frauderen met de oude strippenkaart wel heel erg makkelijk was. Een stompje kaarsvet was alles dat je nodig had om het stempeltje er weer af te kunnen vegen. En soms deed het systeem het spontaan, als de inkt in de automaat weer eens op was. Ook kon je vrij eenvoudig het nummer veranderen met een Rothring pen.
Da's nu juist het leuke van RFID, dat gaat op afstand, je hoeft de kaart niet te stelen. Dichtbij iemand staan/zitten (juist in het openbaar vervoer het geval) is genoeg.
Oke. Ik kwam er net achter via NU.NL.
Ik dacht altijd dat je zo'n OV-kaart pas op centimeters afstand kon aflezen.
Hoe het precies met RFID zit, weet ik niet. Maar bijvoorbeeld Bluetooth blijkt met een Bluetooth Sniper Rifle op vele honderden meters (er wordt soms zelfs gesproken over een mijl!) af te luisteren te zijn. Het zou mij dus niet verbazen als een RFID chip ook op grotere afstand af te luisteren is dan dat wat er in de specs staat. Wellicht geen honderden meters, maar misschien wel op 10 of 20 meter. En ga dan voor de lol eens in de spits op een station staan en bedenk dat iedereen in een straal van 10 meter om je heen over een of enkele jaren een OV-chipkaart op zak heeft die op afstand uit te lezen is...
Ik ben benieuwd waar deze soap eindigt. Hopelijk in de prullenbak...
Hoe het precies met RFID zit, weet ik niet. Maar bijvoorbeeld Bluetooth blijkt met een Bluetooth Sniper Rifle op vele honderden meters (er wordt soms zelfs gesproken over een mijl!) af te luisteren te zijn. Het zou mij dus niet verbazen als een RFID chip ook op grotere afstand af te luisteren is dan dat wat er in de specs staat.
Er zit wel een wezenlijk verschil tussen. Bluetooth devices zenden, gevoed door een accu, zelf aktief een zendsignaal uit. Dus de zendamateurs onder ons weten dat je dat signaal in theorie met een richtantenne met hoge gain en nauwe bundel op grote afstand kunt ontvangen.
RFID devices hebben zelf geen accu. Je moet ze van voeding voorzien door een elektromagnetisch veld te creeren, en de RFID-chip pikt dat met een spoeltje op, maakt er een bruikbare voedingspanning van, en gaat zijn gegevens uitzenden, zolang hij in dat elektromagnetisch veld is. En hier zit ook de essentie. Het is niet mogelijk om dat veld zo krachtig te maken dat je op afstand van enkele meters uit kunt lezen. Of misschien kan het wel, maar dan met een gymzaal vol apparatuur.
Stopzetten die hele facade!! De verantwoorde minister ontslaan en financieel verantwoordelijk stellen. Dit kost de burger miljoenen, zo niet miljarden en evenals de betuwelijn zal het nooit gaan opleveren wat het gekost heeft. Het is toch van de zotte dat de persoonlijk eigenwijze ego's van die ministers boven het belang van de burger gaat? Het lijken wel prestigeprojecten waarvan men gewoon niet wil inzien dat het nergens heen gaat. Oh, waren er niet meer berichten waarmee aangetoond/aangegeven wordt dat de overheid miljarden verspilt met ICT-projecten die uitlopen op niets?
In het bedrijfsleven wordt je er zonder blikken of blozen uitgebonjourd. Maar het vriendjespolitiekkliekje in Den Haag niet hoor, die houden elkaar lekker de hand boven het hoofd en doen gezellig zonnetje pakken op Curacao eens per jaar!
Geen wonder dat 43% van de bevolking wil dat dit kabinet vroegtijdig valt.
Dit nog even: de reden dat ik enige vaardigheid heb in het repareren van allerlei electronica is omdat ik (in mijn jeugd) zo ongeveer ieder apparaat wat ik in handen kreeg uit elkaar heb gepeuterd. En vrij vaak, u raadt het al, helemaal heb gemold. Tot niet gering ongenoegen van de eigenaar, dat spreekt vanzelf...
Mede daarom weet ik ook een veelheid aan trucjes om electronische/computer apparaten op soms zeer originele manieren compleet te saboteren.
Dat dit nog eens zo enorm goed van pas zou kunnen komen voor de demolition van RFID-chips, nee, dat heb ik toen lang geleden echt niet kunnen voorzien ! :lol:
Kent u b.v. de truc al met het piezo-electric "vonk-mechanisme" uit een aanstekertje ? Welnu, zo'n dingetje geeft een vonkje van slechts enkele micro-ampere - maar wel circa 13000 volt - meer dan voldoende om z.g. "ongebufferde" chips e.d. mee naar de bliksem te helpen. Letterlijk, in dit geval ;-)
Er valt ook een soort van (vrij ongevaarlijk) shock-apparaatje mee te maken, maar dat laat ik aan uw eigen vindingrijkheid over...
Volgens Nohl is het nu mogelijk om kopieën te maken van de chips van bijvoorbeeld medereizigers, en daarmee het tegoed van die kaarten te stelen, zo vertelt de hacker tegen Webwereld. Het is waarschijnlijk niet mogelijk om zelf het tegoed op te waarderen, omdat de vervoersbedrijven dat eenvoudig zelf centraal kunnen controleren.
Het is onwaarschijnlijk dat kaarten eerst centraal worden gecontroleerd, dat is namelijk gezien de schaal grote onmogelijk omdat het erg traag zou zijn.
Wat ze wel kunnen doen is achteraf kaarten op een zwarte lijst zetten om dat uit transactie logs onlogische handelingen (zelfde kaart in verschillende steden rond zelfde tijdstip gebruikt) hebben plaatsgevonden.
Hen "propageren" van zwarte lijsten naar de poorten is achteraf wel mogelijk. (indien hierin is voorzien.
Ongeacht dat je procedureel zaken kunt afvangen, zoals leverancier en TNO hebben gezegd, is het probleem dat de kaart uitgever moet kunnen aantonen wie de rechtmatige gebruiker/eigenaar van een tegoed is, immers de token (iets wat je hebt) is namelijk door deze situatie niet meer uniek.
Bij abonnementen zullen ze de NAW gegevens hebben en dus de rechtmatige eigenaar een nieuwe kaart toe kunnen sturen en de oude deactiveren. Maar bij anonieme kaartjes kan dat niet.
Ik ben benieuwd hoe ze zich hieruit gaan "lullen", het meest vreemde is dat TNO kaarten afdoende beveligd vond, terwijl ze daar al zeker 10 jaar met beveiliging van smartcards bezighouden op een zeer hoog niveau. Ik vermoed dan ook dat er onder grote druk er een "veilige" standpunt is ingenomen die net aan onderbouwd kan worden.
Het geeft een valse gevoel van veiligheid indien door overheid als autoriteit beschouwde partijen (zoals TNO) zich wederom (zie ook discussie omtrent stemcomputers) zich ten onrechte positief uitlaat omtrent een beveiliging.
Dat in het bedrijfsleven er een "gezonde" spanningsveld bestaat tussen commerciele afdelingen (die iets willen), wetgever (die eisen stelt) en security afdeling (die het moet realiseren) is begrijpelijk, maar dat iets wat de maatschappij aangaat en ook nog eens door ons betaald word gebreken mag vertonen is onacceptabel.
Ik ben benieuwd hoe ze zich hieruit gaan "lullen", het meest vreemde is dat TNO kaarten afdoende beveligd vond, terwijl ze daar al zeker 10 jaar met beveiliging van smartcards bezighouden op een zeer hoog niveau. Ik vermoed dan ook dat er onder grote druk er een "veilige" standpunt is ingenomen die net aan onderbouwd kan worden.
Ik zou zeggen, lees het rapport zelf eens (link in artikel). Dan zie je dat ze duidelijk aangeven wat ze onderzocht hebben maar ook wordt heel duidelijk vermeldt wat ze NIET onderzocht hebben. De huidige aantijgingen hebben vooral te maken met die aspecten die TNO niet onderzocht heeft. Het onderzoek en het rapport is dus best integer maar erg incompleet. Dat laatste vergeet de pers gemakshalve maar even te melden en er wordt van gemaakt dat TNO het allemaal wel best vind. Dat is dus niet waar. Het onderdeel dat TNO wel onderzocht heeft is dus prima in orde maar er is nog zoveel meer dat onderzocht zou moeten worden en dat vermeldt TNO dan ook duidelijk in het rapport.
Volgens het artikel op Tweakers is wel degelijk het TNO rapport weersproken:
Daarmee spreekt hij TNO's conclusie tegen dat er voor zesduizend euro aan apparatuur nodig is om de sleutels binnen korte tijd te verkrijgen. Trans Link Systems, verantwoordelijk voor de invoering van de ov-chipkaart, stelde op basis van deze conclusie dat de invoering van het systeem gewoon kan blijven doorgaan en dat er binnen een jaar of twee een beter beveiligde rfid-chip ingevoerd gaat worden.
Zie verder:
core.tweakers.n...-te-kraken.html
Ik ben net terug uit Japan en heb daar twee systemen gebruikt. Werkt prima. Weet iemand iets van de veiligheid van die systemen? Waarom zelf het wiel uitvinden als elders misschien een werkend systeem is?
fcol wat een soap.
ov-gedoe is dood.
1. je slaagt te veel gegevens op, SPOILER: je mag je burgers niet constant tracken door het hele land
2. je gebruikt sucky crypto, en we zullen u blijvend te kakken zetten als je dat niet inziet.
3. Zo'n TNO onderzoek is niet meer wat het geweest is; Je kan je chipkaart al even goed "hormonen vrij" noemen.
Die hele ov-chipkaart is een grote volksverlakking door de OV-bedrijven en de overheid die dat geld beter hadden kunnen besteden aan veiligheidsdeuren in de metro's van R'dam en A'dam die de perrons van de sporen scheiden om ongelukken en zelfmoorden te voorkomen (bijv. Lille, Rennes, Toulouse en Turijn (VAL), London (jubileelijn extensie) en Parijs (lijn 14). Dan is het geld veel beter besteed. Huizinga en de OV-bedrijven kunnen oprotten met hun hele ov-chipkaart. Voer liever in plaats daarvan onderzoeken uit om het OV te verbeteren (zoals een VAL-metro in Eindhoven en Utrecht).
imho is de commotie om niks. De moeite die je moet doen, de investering in apparatuur, de tijd die het kost om in iemands buurt te komen en dan een tijdje in het bereik van zijn kaart te blijven om hem proberen te kraken. En dat voor een paar euro's. Het is precies wat Bor de Wolf zegt: professionele criminelen hebben wel wat beters te doen.
De grootste diefstal plegen die RFID kaarten overigens van de eigen gebruikers. Je moet namelijk 'inklokken' bij het instappen, en 'uitklokken' bij het uitstappen. Bij het inklokken wordt het maximale tarief afgeschreven en bij het uitstappen wordt de daadwerkelijk afgelegde afstand berekend en wordt het teveel afgeschrevene teruggeboekt op de kaart. Nu is bij de pilot gebleken dat het veelvuldig voorkomt dat mensen niet uitklokken. Of ze vergeten het, of ze horen een piepje van een medepassagier en veronderstellen dat het hun eigen kaart is die correct klokt. Met als gevolg dat regelmatig onterecht het maximale tarief afgeboekt wordt.
Ik kan me voorstellen dat dit effect een veelvoud is van die veronderstelde potentiele fraude. Dat het systeem qua security niet helemaal waterdicht is, is tot daar aan toe, maar dat het operationeel al niet goed werkt is naar mijn mening nog veel erger.
Om te kunnen reageren, dient u ingelogd te zijn.
Unified communications biedt vele voordelen, maar heeft ook specifieke uitdagingen en niet ieder project levert het verwachte ROI op.
Downloaden
1 jaar geleden: 26 mei 2011
2 jaar geleden: 26 mei 2010
14 jaar geleden: 26 mei 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, Jobworld, MacWorld, SHUTR fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
