Gepubliceerd: Zaterdag 12 april 2008
Onderzoekers kunnen de hele OV-chipkaart in seconden uitlezen. Het Ministerie van Verkeer en Waterstaat zegt al langer van het risico op de hoogte te zijn.
Toon volledig artikel
Ook benadrukt ze dat het skimmen oftewel kopieren van kaarten een frauduleuze handeling betreft, en dus strafbaar is.
Een zwak argument. De truuk met kaarsvet op de strippenkaart zodat je later de stempel kan wegvegen is ook een frauduleuze handeling, is ook strafbaar maar gebeurt toch omdat de pakkans klein is. Valsemunten is ook frauduleus en gebeurt ook.
Het strafbaar stellen van een handeling is geen excuus om met de pet naar de beveiliging te gooien.
Erik
Sommige mensen zijn kennelijk echt wereldvreemd. Het skimmen van een bankpas is helemaal niet interessanter want om de bankpas te kunnen gebruiken is een pincode nodig.
Alle(!) kraakmogelijkheden die betrekking hebben op het ongewenst uitlezen in een openbare ruimte zijn met beproefde en beschikbare elektromagnetische afschermtechnieken en producten afdoende te voorkomen.
Daartoe dient zowel de pas als de leesunit tegen elektromagnetische straling afgeschermd te worden. De eerste producten hiervoor zijn al beschikbaar (www.chipsafe.eu). Ook de leesunit kan eenvoudig worden afgeschermd zonder dat de reiziger daar veel onnodige hinder van ondervindt.
Blijft over het risico van kraken van een verloren, gestolen of een gekochte kaart. Dit is een totaal ander verhaal en niet besproken in dit specifieke onderzoek.
Daartoe dient zowel de pas als de leesunit tegen elektromagnetische straling afgeschermd te worden. De eerste producten hiervoor zijn al beschikbaar (www.chipsafe.eu). Ook de leesunit kan eenvoudig worden afgeschermd zonder dat de reiziger daar veel onnodige hinder van ondervindt.
Dus de OV-klant moet investeren in een nieuw soort portemonnee, voor een systeem waarmee de klant maar moet hopen dat er niet teveel van zijn tegoed afgeschreven wordt door storingen in de apparatuur van de OV-bedrijven. (Hoe kan de reiziger controleren dat de apparatuur hem correct in- en uitcheckt; hoe kan een reiziger onterecht inchecken detecteren in een omgeving met teveel OV-paaltjes?)
Welke aanpassingen aan RFID lezere worden voorgesteld? Zijn die effectief? Hoe beinvloedt dit het gebruik door minder validen? Wat zijn de gevolgen voor de doorstroming? Als ik naar de NS kaartautomaten kijn zijn die totaal niet voorbereid op afscherming van de RFID communicatie.
Hoeveel mensen, denk jij, gaan er zo'n Chipsafe pashouder kopen?
Ik kan je zeggen, die hoeveelheid is nihil.
De meeste mensen weten niet eens dat die OV-chippas al gekraakt is, laat staan dat het zo eenvoudig is om te kraken.
En daarnaast is het niet onze taak om deze fouten van de regering op te lossen, nog voordat het landelijk wordt ingevoerd.
Deze chippas is failliet, en als de staat doorgaat met deze mislukking, dan roepen ze een hoop ergernis over zich af, mogelijk gaat het de staat ook veel geld kosten, om al die mensen wiens identiteit is gestolen te vergoeden.
RFID is vanaf een afstand te lezen, en zelfs MET zo'n chipsafe pashouder is zo'n chipkaart af te lezen, je moet immers die houder toch openen om hem over de reader te halen. Plaats in de buurt van die reader een skimmer en je hebt binnen een dag enkele duizenden passen in je bezit. Dat maakt het heel aantrekkelijk voor criminelen om dit uit te voeren. De pakkans is laag en de opbrengst is enorm.
je heb 200% gelijk, maar luisteren doen ze toch niet, ze hebben hun "experts" en daar luisteren ze naar.
economische belangen voor het bedrijfsleven en de regering (en natuurlijk de privacy gegevens die gebruikt kunnen worden door het bedrijfsleven en de regering), gaan boven het belang van de burger en consument.
dat jij, ik ,wij er schade door op kunnen lopen (economische en privacy), wordt telkens weer als een "non isseu" beschouwd.
een brief schrijven of een mail sturen naar één van de partijen zal toch op niets uit lopen.
(alhoewel, groenlinks geef altijd wel een reactie, en ik spreek uit ervaring)
maar jij ben geen expert dus of ze naar jouw luisteren, eh nee dus.
Als het moet, kunnen we kaarten blokkeren",
En wie wordt daar dan mee gedupeerd?
Ook benadrukt ze dat het skimmen oftewel kopieren van kaarten een frauduleuze handeling betreft, en dus strafbaar is.
Sjonge, wat een naieve m*ts zeg.
In bovenstaande quotes lijkt het er op dat de rechtmatige eigenaar van de kaart de schuld heeft van deze problemen terwijl deze juist helemaal géén partij is in deze soap. Hij is alleen slachtoffer!
Geef mij maar een gewone strippenkaart. Die kunnen ze ook niet 'blokkeren'
[quote][/Volgens TransLink Systems, het bedrijf achter de OV-chipkaart, valt dat risico van de nieuwste kraak wel mee. "We controleren in het backoffice op frauduleuze transacties. Als het moet, kunnen we kaarten blokkeren", zegt voorlichtster Jannemieke Zandee.quote]
Dat blokkeren van chipkaarten is het werk van een hele wakkere backoffice. Ongetwijfeld zijn die in staat enige tienduizenden kaarten gelijktijdig te blokkeren wanneer het is gelukt om op een centraal gelegen station alle reizigers uit te lezen. En dan nog maar te zwijgen van het geval wanneer zoiets op meerdere stations zal gebeuren....
Als het moet, kunnen we kaarten blokkeren",
oke mooi, leuk voor de vevoersbedrijven.
MAAR
kaart geblokkeerd vanwege een skimming, en je komt er pas achter op het moment dat je in wil checken.
sta je daar mooi
kaartjes kopen bij de controleur is straks niet meer mogelijk volgens mij. en een nieuwe kaart kopen kan alleen bij stations (want tabak zaken en kleine supermarkten, mogen deze alleen onder voorwaarden verkopen)
hoe moet je dan verder ???
enkele minuten te kraken ... met een methode die zo'n 15 minuten kostte
Klopt dat wel?
Hoedanook, dit is natuurlijk weer mooi, de burger word de dupe van dit soort praktijken...
Oh, dus jij helpt je opa/oma/zusje niet om ook gratis te reizen? Klinkt beetje egoistisch ;-)
Volgens mij zou het met alle uitstel, extra kosten, nieuwe ontwikkelingen enzovoort, nog helemaal niet zo'n slecht idee zijn om iedereen gratis te laten reizen. Wees eens eerlijk, hoeveel mensen moeten door die poortjes om de investeringen terug te verdienen? Hoe lang gaan die poortjes mee voordat er een nieuwe systeem moet komen, wat dan natuurlijk ook weer vele miljarden aan investeringen kost?
You do the math..
Stuur die hele OV-chipkaarttroep maar naar de vuilverbranding.
Er liggen, afgezien van de beveiligingsproblemen, nog meer problemen in het verschiet.
Zo is er geen 100% uniformiteit in de kaart, iedere vervoerder heeft een eigen systeem in zijn kaart.
Het enige uniforme aan de kaart is het oplaad- en afboeksysteem.
Met al die verschillende kaarten wordt dat ding een negenkoppige draak.
Onderzoekers kunnen de hele OV-chipkaart in seconden uitlezen. Het Ministerie van Verkeer en Waterstaat zegt al langer van het risico op de hoogte te zijn.
Lijkt me ernstig als dit juist is. Het kan dan niet anders of dit gaat consequenties hebben voor de staatssecretaris of andere direct betrokkenen.
"We controleren in het backoffice op frauduleuze
transacties. Als het moet, kunnen we kaarten blokkeren,"
Ah, komop man, wat een goedkope opmerking. Dat werkt met
bankpassen op het moment toch ook zo en creditcards net zo,
daarbij kunnen zie kaarten ook blokkeren. Betekent niet dat
er niks mee gebeuren kan. En leuk, dat je geen transacties
meer kan doen op die kaart, maar je gegevens hebben ze al.
Als je een beetje interesseert in de beveiliging, dan ga je
daar wat aan doen, ipv het probleem te bagatelliseren.
Krijgen jullie onderhand ook diarrhee van al die bij voorbaat kansloze, honderden miljoenen verslindende, 'prestigieuze' ICT projecten van de overheid, die ondanks de vele, vaak bij aanvang al bekende, risico's en technische en financiële problemen en tegen de wens van veel mensen, altijd maar er doorheen gedrukt worden?
Waarbij zelfs de grootste problemen als onbelangrijk worden afgedaan of gewoon worden ontkend?
Waarbij de verantwoordelijken nooit hun verantwoordelijkheid nemen voor de door hun incompetentie en arrogantie veroorzaakte mislukkingen?
Waarbij de uitvoerende bedrijven die hun opdrachten niet naar behoren uitvoeren niet op het matje worden geroepen en verantwoordelijk en aansprakelijk worden gesteld voor de door hun verooraakte miljoenenschade?
Bah, wat ik heb ik een hekel aan die incompetentie en arrogantie binnen 'onze' overheid.
ja en net op teletekst lees ik dat "onze" regering vertrouwen blijft houden in het huidige systeem.
en wordt nogmaals benadrukt dat fraude strafbaar is
wat een stelletje rand debielen.
weer miljoenen extra belasting centjes over de balk (en wel onze centjes)
ik hoorde ook op de televisie, dat volgens één of ander figuur de opmerking gaf dat andere systemen "niet voldoet aan onze eisen en wensen van gebruik voor het vervoerssysteem"
wat een stelletje ....................
We zouden onze overheid erop moeten wijzen dat door dit kraken alle reisdata ineens ook waardeloos is geworden. Immers, het systeem kan geen onderscheid maken tussen kopie en origineel, dus alle reizen van de 'kopie' worden opgeslagen als zijnde van de originele eigenaar van de kaart. Zelfs de AIVD zou moeten kunnen bedenken dat hun 'klanten' vanaf nu alleen nog maar met gekopieerde kaarten reizigen ;-) Zodra dit besef (dat hun database hiermee waardeloos wordt) doordringt valt er waarschijnlijk heel wat steun voor de invoering weg .
Als de overheid verstandig is, zetten ze dit project onmiddelijk on-hold en gaan ze energie/geld stoppen in het zoeken naar kwalitatieve alternatieven. Dat de Mifare Classic zo lek als een mandje is, was na de presentatie tijdens het Chaos Computer Camp in Berlijn wel duidelijk geworden.
Wellicht kan men als alternatief de (duurdere) Mifare varianten inzetten en een groot deel van de ontwikkelde infrastructuur herbruiken. Wel moet men realiseren dat een dergelijke wijzing wellicht door aanbestedingsregels niet zondermeer kan worden doorgevoerd. Een ding is zeker, doorgaan met Mifare Classic is geld over de balk gooien.
Overigens vind ik ook dat er te vaak en te makkelijk rapporten van TNO als de waarheid worden gezien.
Als er maar één optie is om gebruik te maken van het openbaar vervoer, middels een RFID, is het dan strafbaar dat juist het kenmerk van die mogelijkheid het ontvangen is van gegevens? Er is geen alternatief dan het kiezen voor uitzenden van privégegevens. En dus is de enige optie ook het ontvangen ervan. Datzelfde is toch ook met de mobiele telefoon het geval? Je kiest voor een mobiel en daarmee kies je voor het ontvangen en versturen van gegevens (locatie, afgelegde weg, telefoonnummer, enz.). De OV RFID verstuurt dus continu, zij het zwak, een signaal. Het ontvangen van dat signaal is dus inherent hieraan.
Het kraken van de beveiliging kan dan illegaal zijn, maar het ontvangen van een signaal dat afgegeven wordt (ongevraagd) kan toch absoluut niet illegaal zijn? Dat zou hetzelfde zijn als een radiosignaal uitzenden en vervolgens alle ontvangers ervan betichten van een misdaad...
Vreemd.
Dat zou hetzelfde zijn als een radiosignaal uitzenden en vervolgens alle ontvangers ervan betichten van een misdaad...
het gaat om de INTENTIE.
en daarmee is gelijkde moeilijkheid om vast te stellen WAT de intentie is...
en OF deze intentie dan ook strafbaar is bij onze technisch onbekwame rechters. Misschien moeten we maar eens rechters aanwijzen die WEL enige technische achthergrond hebben?
Of loop ik nu teveel op dingen vooruit?
Nou laat ik dan ook maar een cent in het zakje doen. Er wordt toch al zoveel geld verspilt. Alle opmerkingen hierboven zijn zinnig, wat ik graag wil weten, zijn er ook beleids mensen van de overheid die hier wel eens kijken, en dus lezen, wat er speelt?
Misschien is het een idee, om het commentaar hier gegeven, door de redactie van WebWereld naar de kamer te laten sturen? Of om in iedergeval een aantal mensen die nog iets kunnen betekenen in deze te attenderen op wat hier gezegd wordt? Ik voor mij heb geen idee wat RFID precies inhoudt, maar ik wil absoluut niet dat er op mijn kosten door een eenvoudige handeling, gebruikt kan worden gemaakt van mijn OV kaart, of van mijn ID verkregen uit mijn paspoort bijvoorbeeld. Straks krijgen we ook nog RFID om rekeningrijden mogelijk te maken of om weet ik veel wat te doen, het probleem is dat het niet waterdicht is, en ik wil niet graag vergelijken met wat er in het verleden gebeurd is, maar de duitsers konden in Nederland heel veel Joden pakken, omdat onze (de nederlandse) administratie van de bevolking zo goed was. Stel je nu voor dat dat met RFID ook kan, dan ik kan zien waar iemand zich bevind, of in welke trein hij zit. Op zich niets verkeerd mee, maar nu wil ik fout, dus ik kan zo onze premier in de trein, of zijn auto vinden, klein bommetje en klaar is kees. Of hoeft hij uit veiligheids overwegingen geen gebruik te maken van zo een RFID kaartje? Dat zou dan weer inhouden dat er verschil gemaakt wordt tuseen mensen, en dus waarom zou een RFID dan voor mij wel verplicht zijn.
Waarmee ik maar wil zeggen, laten we alsjeblieft, onze bestuurders, in regering, provincie, gemeente, maar ook onze werkgevers, wijzen op de risico's en op de niet werkbare situatie die dreigt te ontstaan.
mooi gezegd, maar aan dovemans oren gericht, jouw reactie zal door belanghebbende partijen gelijk in de vuilnisbak gegooid worden (oftewel doofpot)
en dat is het probleem, jij geef een gemotiveerde reactie op je denkwijze, waar geen speld is tussen te krijgen.
hoe denk dat de reactie van den haag hierop zal zijn?
"wat weet hij er nou van"
een andere reactie was "lees onze regering webwereld wel eens ???"
natuurlijk wel maar ze hebben het er gewoon niet over, wat men niet weet geeft ook geen storm.
een andere reactie was "lees onze regering webwereld wel eens ???"
...waarmee u zomaar aanneemt dat "onze regering" echt kan (en wil) lezen...
En daar, beste karach , heb ik gezien dit zoveel-tigste overheids-ICT-debacle toch zo mijn twijfels over...
Volgens mij gaat het, net als (off-topic) bij die verd***** stemcomputertjes (/off-topic), helemaal niet om een systeem in gebruik te nemen dat voor ons , burgers, enig voordeel oplevert, maar slechts van begin af aan bedoeld is geweest om ons allemaal 24 uur per dag, 7 dagen per week 365 dagen per jaar in de gaten en dus onder controle te kunnen houden.
Afgezien natuurlijk van het verkopen van persoonlijke gegevens van de reizigers aan wie er maar grof geld voor over heeft... Met alle respect voor wie er anders over denkt, maar andere echt goed te onderbouwen redenen kan ik onmogelijk bedenken, voor het op vrijwel de gehele bevolking gaan toepassen van die RFID-ellende-dingen...
Is dat overgens niet zo ongeveer de definitie van een dictatuur: een regering die altijd overal in alles heel de bevolking controleert ? En manipuleert, censureert en uiteindelijk de "ongewenste elementen" elimineert ?? Zeg niet te snel dat dit niet kan gebeuren, zie b.v. de USA... (Nee, geen Godwin dit keer... Of misschien juist wel ? ;-) )
En is niet de definitie (OK, 1 van de definities) van een democratie dat de bevolking de regering is alle belangrijke beslissingen kan, mag en ook echt zal controleren ?
Waarbij, als die regering er een te erg zooitje van heeft gemaakt, deze door de meerderheid van de bevolking weggeschopt kan worden ?? Wanneer is dat voor 't laatst gebeurd ??? Dat kan zelfs ik als "senior" mij niet herinneren - terwijl ik toch echt een olifantastisch goed geheugen heb alsmede sinds mijn kinderjaren groot belang stel in politiek...
Wat betreft TNO (Technisch/Totaal Niet Onderbouwd), die corrupte PR-club is in mijn opvatting al zo enorm ver beneden het nul-punt gedaald, dat ik mij niet eens meer verwaardig er meer woorden dan dit ene zinnetje aan vuil te maken...
Daarom: RFID - weg ermee ! (He, dat rijmt zelfs :lol:) Dit nog: aan dit soort van onmerkbaar op afstand uitleesbare/fraudeerbare/Mensenrechten-schendende RFID-"oormerken" heb ik absoluut geen behoefte, ik ben verdorie toch geen (kritiekloos volgzaam) slacht-vee !!!
Waarbij de machthebber(t)s dan "wel eens even" heel uw (en mijn) privacy en individualiteit op zullen gaan vreten, wie denken zij nu helemaal dat zij zijn ? God ??
De snelle kraak is een volgende pijnlijke nederlaag voor TNO, dat eerder dit jaar de beveiligingsrisico's nog afwimpelde.
TNO doet tot nu toe zijn werk uitstekend. Je geeft ze de opdracht om de stemcomputers te controleren. Controlespecs e.d. zijn geheim, ze mogen alleen zeggen of de uitslag goed is of niet.
En inderdaad conform de specs, als je op het knopje drukt gaat het lampje aan. Dus de uitslag is "TNO GOED GEKEURD". Dat zag je ook in alle reclame en voorlichting over de controle van TNO: "Gekeurd door TNO, dus veilig!".
Het zal mij niks verbazen dat ook bij dit onderzoek de parameters geheim waren.
Dat TNO zich hier voor andermans karretje laat spannen is gewoon zielig. Je zou toch verwachten dat ze hun imago niet zo af willen laten breken.
TNO doet tot nu toe zijn werk uitstekend.
Ok, nu heb ik het publieke gedeelte van het rapport gelezen.
En ik kom tot inkeer. Dit is de meest waardeloze rommel die je kan publiceren zeg.
Het is duidelijk wie er voor betaald heeft, en wat het antwoord moest zijn, want anders kan je zulke onzin echt niet opschrijven.
Ze hadden *5* weken de tijd gehad (stond in het rapport), ze hebben duidelijk afgebakend wat de uitgangspunten waren en dan komen ze nog met zulke poep.
Een veilige OV chipkaart gaat hier nooit werken: er valt altijd wel weer iets te hacken. In het gebied wat o.a. als voorbeeld diende, HongKong, hebben mensen het veel te druk om hun maaltje bijelkaar te scharrelen en houden zich echt niet bezig met het onderuithalen van het OV chipkaart systeem; rijden hoogstens zwart. Hier ligt dat echter anders, we hebben alle tijd en techniek om zo'n chipkaart onderuit te halen. Daarom werkt het hier dus niet.
Wat is er tegen een strippenkaart? Je kunt een tijdje vooruit, er valt nauwelijks te knoeien- behalve met wat haarlak- en de zaak blijft overzichtelijk.
De OV chipkaart schiet, althans in onze maatschappij, haar doel voorbij. En wat kostte het tot nu toe, zonder enig resultaat? Daar hadden we met z'n allen een aardig reisje van kunnen maken!
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
