Gepubliceerd: Maandag 10 maart 2008
Trans Link Systems laat TNO extra onderzoek doen naar aanleiding van de 'definitieve kraak' van de ov-chipkaart. De SP verklaart de chipkaart inmiddels failliet.
Toon volledig artikel
Ov-vhipkaart definitief gekraakt
Dit linkje bespaart u (en mij) de moeite om opnieuw te gaan schrijven wat er al op de andere topic over dit onderwerp staat.
Ik denk dat mijn standpunt over deze OV-chipkaart inderdaad ook wel duidelijk is inmiddels.
Heb ik alleen nog toe te voegen, dat TNO hierbij flink in zijn hemd is gezet. En ze mogen daar bij TNO zeker even bij zichzelf te raden gaan hoe ze dit in het vervolg gaan voorkomen. Zeker gezien dat zwakke argument dat ze geen toegang gehad zouden hebben tot de blauwdrukken van de beveiligingschip.
Ik bedoel, wat hebben ze dán getest?
Deze hackers hadden zelf immers ook geen toegang tot de blauwdrukken van deze chip, en hebben het toch ook gekraakt.
Toch weer een soap aan het worden, ik denk dat er (mede dankzij deze hack) er anders gekeken wordt naar Chip kaarten en mogelijk ook naar Rfid. Het bewijst in ieder geval dat "hacken" in sommige situaties toch onontbeerlijk is, had het niet gebeurd op deze manier, warenn criminelen er toch een poos mee weg gekomen.
@ pol528 10-03-2008 13:17
Inderdaad, groot gelijk, vooral dat u zeer terecht stelt dat ethisch verantwoorde "hacking" onmisbaar is om ICT-zaken veilig te maken en te houden.
Waarmee, mede door u, ook nog even het bewijs is geleverd dat Hackers vrijwel nooit misdadigers, maar meestal heel gewetensvolle, zeer nuttige mensen zijn.
De ontdekkers van de onveiligheden van die waardeloze OV-RFID-kaart hadden immers ook die info geheim kunnen houden, of voor veel geld aan de georganiseerde misdaad kunnen verkopen.
Al begin ik mij nu toch een beetje af te vragen wat de ergste is: de georganiseerde misdaad - of ONgeorganiseerde overheid... ;-)
Uit de OV soap wordt wel bewezen dat de, ON-georganiseerde milieubewusteloze, bestuurders de tot zichzelf aangetrokken macht snel kunnen verliezen.
Het blijkt steeds meer en meer dat de werkelijke besturing bij de grootgeld bezitters vandaan komt. Zij bepalen de prijs van de olie, winnen gemakkelijk rechtszaken en kopen bewindslieden.
@ pol528 10-03-2008 13:44
Inderdaad, dat klopt precies en dit fenomeen heeft ook een naam: totale corruptie... Wat, in het verleden, al heel vaak grootmachten ten val heeft gebracht... Wat ook precies was wat die verdienden !!
Daarom - al zullen sommigen mij nu wel een "communist" of zoiets gaan noemen - vind ik dat er behalve een minimum-inkomen ook een maximum aan inkomen en aan bezit zou moeten worden gesteld.
Het is toch eigenlijk te zot voor woorden dat 1 mens vele miljarden € als prive-inkomen/prive-bezit kan en mag hebben - dit onvermijdelijk ten kostte van vele 100-den miljoenen mensen die daardoor juist veel te weinig geld hebben, zelfs voor gewone, primaire levens-behoeften...
Waarbij dan alles wat iemand meer dan dat wettelijke maximum zou krijgen/bezitten bij voorbeeld en voorkeur gebruikt moet gaan worden om effectieve maatregelen te nemen tegen o.a. de opwarming van de Aarde, de ontzettende ONgelijkheid qua inkomen (=oorzaak nr.1 van burger-oorlogen) e.d.
Al is er een heel zwakke plek in mijn idee, namelijk: wie zou op de uitvoering toezicht moeten gaan houden ? En hoe kan je ervoor zorgen dat diegenen zelf niet corrupt worden (gemaakt) ?
Ik weet wel iets: namelijk alle maar dan ook echt alle inkomsten/bezittingen van iedereen openbaar maken op de WWWeb. Waarbij alle on-gepubliceerde inkomsten/bezittingen gewoon geen rechtsgeldig eigendom zijn en automatisch aan de staat (= wij allemaal) vervallen.
Waardoor ook de belasting voor gewone mensen enorm omlaag zou kunnen, zonder dat er te weinig geld zou zijn voor echt belangrijke dingen zoals (b.v. in Nederland) goede zee-weringen, onderwijs, gezondheidszorg, sociale/oude-dags voorzieningen, openbaar vervoer, enz.
Zo hebben mijn compagnon en ik al een heel systeem uitgedacht waarbij ambtenaren (dus ook politici) relatief weinig geld krijgen - maar wel buitengewoon goede secundaire arbeids-voozieningen zoals alle nuts-voorzieningen, zorg, onderwijs, openbaar vervoer, enz. helemaal gratis !
Men kan dan kiezen om voor het algemene welzijn te werken: weinig geld maar een zeer comfortabel en relatief heel onbezorgd leven - maar zonder ooit echt rijk te worden.
Of: kiezen slechts voor zichzelf te werken, waarbij men dan absoluut voor alles stevig moet betalen, al heeft men natuurlijk wel de mogelijkheid om rijk te worden. Tot aan het maximum toegestane inkomen/bezit wel te verstaan.
Dit zou wat mij betreft een goed evenwicht kunnen zijn van open democratie en een menswaardige vorm van socialisme. Aangenomen dat zoiets echt gerealiseerd zou kunnen worden...
Wie weet, de echte mogelijkheden van de WWWeb ten aanzien van de realisatie van een echte eerlijke open sociale democratie zijn nog onverkend en dus onbekend...
En waardoor wij een soort van Wereld Wijde (Web) sociale-democratie/ecologie/economie zouden kunnen krijgen die niet door een handjevol zakkenvullers gedicteerd wordt.
Het is in ieder geval hoog tijd om de onverzadigbare geld- en machts- wellust van de huidige heersers te stoppen, voordat het te laat is. Als het dat al niet is, gezien de klimaat-veranderingen.
Al denk ik dat ik nu misschien een beetje zit te dagdromen... Helaas !
TLS schrijft nu dat het eerdere TNO-onderzoek beperkt was omdat TNO geen toegang had tot de vertrouwelijke beveiligingsalgoritme van de chip, dat in handen is van chipfabrikant NXP.
Dus niet alleen het failliet van de OV chipkaart, maar ook van Security by Obscurity.
Wat heb je aan een TNO die braaf achter de leverancier aanloopt en verder ook braaf blijft. Bij TNO mogen ze over zichzelf gaan nadenken.
TLS schrijft nu dat het eerdere TNO-onderzoek beperkt was omdat TNO geen toegang had tot de vertrouwelijke beveiligingsalgoritme van de chip, dat in handen is van chipfabrikant NXP.
Een zwak argument van TLS, Nohl had immers ook geen toegang tot het vertrouwelijke beveiligingsalgoritme en had dat ook niet nodig om de kaart toch te kunnen kraken.
Erik
TNO doet precies wat ze gevraagd wordt.
Niets minder maar vooral niets meer. En daar zijn ze goed in. ;)
Het is meer een lachertje dat een leverancier zich achter zo'n constructie verschuilt "he TNO onderzoek dit (en niet meer)" en nu op z'n bek gaat omdat er mensen zijn die wel meer doen.
Go H4ck3rs
De overheid geeft TNO regelmatig opdrachten om onderzoek te doen naar de veiligheid van systemen. TNO komt daarna met conclusies over die systemen die voor de opdrachtgever begrijpelijk moeten zijn. TNO blijkt gewoon heel vaak de plank mis te slaan. Denk daarbij aan de veiligheid van stemcomputers en hun laatste rapport over de OV chipkaart. Geen enkele echte expert zou zinnen als in het TNO rapport [quote]Neither the claims of the CCC presenters nor the findings from this investigation were verified against the formal specifications of the CRYPTO1 algorithm. These specifications are kept secret by chip manufacturer NXP and were therefore notavailable to TNO in any form.[/quote] om tot de volgende conclusie te komen. [quote][On economic grounds, a conceivable approach would be toenhance existing measures and adopt supplementary remedies to such an extent that the degree of residual risk is acceptable from a business perspective./quote] De volgende onderzoeken zouden uitgevoerd moeten worden door een instituut met kennis van zaken, en niet door TNO dat onder politieke druk kennelijk bereid is alles te concluderen waar de opdrachtgever wil zien.
en niet door TNO dat onder politieke druk kennelijk bereid is alles te concluderen waar de opdrachtgever wil zien
Ook dat is mijn ervaring met TNO, een verkokerde organisatie, waarin mensen als zogenaamde expert bij een thema worden gesleept. Maar goed, ik heb maar een klein stukje van TNo gezien. helaas heb ik in dat andere stuk (bijv. OV Chipkaart, Stemcomputers) niets vernomen wat mijn ervaring uit dat kleine stukje deed relativeren
TNO moet gewoon bij mechanisch technische componenten blijven, baby zitjes en speelgoed lukt wel. Maar als er Chips in zitten die niet van O'Lacy komen lukt het niet echt meer.
Wel grappig: met STARTTLS kun je soms de verbinding naar versleutelde mode omzetten (zoals smtp en pop3 verbindingen). Wat SP nu effectief zegt is STOPTLS :-P
En ja, als je met een naam als TLS niet eens de beveiliging goed verzorgd hebt, kun je beter stoppen...
Het lijkt erop dat TNO en hun conclusies tegenwoordig staat voor: "Totaal Niet Onderbouwd" of "Techniek Niet Onderzocht", in plaats van "Toegepast Natuurwetenschappelijk Onderzoek"...
(Er bestaat ook nog een instituut gemaand ZWO, dat betekent: "Zuiver Natuurwetenschappelijk Onderzoek", maar van die club hoort men zelden of nooit iets. En geen nieuws is vrij vaak goed nieuws).
Hoe dan ook, naar mijn mening zijn de "conclusies" van TNO ten aanzien van de OV-chip-card van net zoveel waarde als de reclame-uitingen van de firma die TNO betaald heeft voor het betreffende onderzoek. En die evident vooraf bepaald heeft wat de conclusies van dat "onderzoek" zullen gaan zijn...
Het is diep treurig, dat er in Nederland blijkbaar geen enkel werkelijk onafhankelijk technisch/natuurwetenschappelijk onderzoeks-instituut meer bestaat, maar alles geheel is overgenomen door de commercie. Wat met echt serieus wetenschappelijk onderzoek verrichten natuurlijk absoluut niets te maken heeft !
Wetenschap behoort in de 1-ste plaats waarheid-vinding te zijn - en de waarheid is (of behoort) nooit ofte nimmer ondergeschikt te worden gemaakt aan het snel zo veel mogelijk grof geld graaien !
Dat (grote) firma's al jarenlang (met succes, helaas...) proberen om zoveel mogelijk geld te graaien, dat is wel degelijk een waarheid als een olifant (een koe is in dit geval veel te klein)...
Of, nog erger, die dmv. bepaalde technieken (namelijk RFID) de bewegings-vrijheid/privacy van vrijwel alle burgers op een totaal on-(Grond)wettige manier, zelfs in strijd met het Europese Verdrag v.d. Mensen-rechten, zeer ernstig proberen te schenden !
Waarvoor geen enkele (juridische) onderbouwing kan bestaan, de verhalen van "onveiligheid", "terrorisme", enz. daar trapt geen (wel-ingelichte) burger nog in.
Afgezien dat de door bepaalde politici uitgeroepen (zogenaamde) "ONveiligheid" geen enkele reden kan en mag zijn om onze Grondwettelijke rechten zomaar buiten werking te stellen. Tenzij wij (al) in een totalitaire staat "leven" wat ik wel degelijk voor mogelijk houd, helaas...
Dat TNO zich leent voor deze facade die slechts ten doel heeft de macht/inkomsten van politici/firma's nog veel verder te vergroten ten koste van heel de bevolking is een wel heel erg betreurenswaardige zaak.
Zeker is dat mijn vrienden/collegae/relaties en ik, als die onzalige OV-RFID-card toch doorgaat, alleen nog met de auto zullen gaan reizen en het openbaar vervoer zullen mijden als een Ebola-Zaire virus... Wat slecht zal zijn aangaande de CO2-uitstoot, maar wel veel beter voor onze privacy, hopen wij...
Mijn conclusie: de overheid jaagt met die OV-RFID-card de mensen juist het openbaar vervoer uit - in plaats van erin . Dat dit ongelooflijk dom is van die bewindslieden, daar in geen onderzoek voor nodig, dat lijkt mij wel duidelijk.
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
