Gepubliceerd: Maandag 27 oktober 2008
Op internet is open-sourcesoftware verschenen om Mifare Classic-chipkaarten te klonen of onklaar te maken. De deur staat nu open voor massale fraude of sabotage.
Toon volledig artikel
Een klucht als geen ander, ik heb er geen vertrouwen in dat men stopt met de invoering. De gedachte dat het wel los zal lopen en/of op tijd gerepareerd zal worden heerst bij de OV groep en regering.
De reiziger zal wel weer de dupe zijn en het OV bedrijf blij, er wordt niet meer zwart gereden maar op andermans portemonnee, de schade is weer voor de belasting betaler, maar ja ik zal het zwart inzien, maar dat is schijnbaar altijd beter dan zwart reizen.
Let op dadelijk komt Guusje Netelroos weer en die zegt doodleuk dat ze gewoon doorgaan met de invoering en dat er niks aan de hand is.
Guusje Netelroos weer en die zegt doodleuk
Leuk, maar de OV jaarkaart is toch vooral in de portefeuille van Tineke Huizinga.
Was maar een beeldspraak. Want Tineke Huizinga is toch een pain in the ass. M.a.w. hetzelfde als netelroos.
De reiziger zal wel weer de dupe zijn..
Ze moeten terug naar het tekenbord. Dat houdt in dat er weer eens honderden miljoenen zijn verspild. En dat mogen we met zijn allen ophoesten. Ach, tis maar een druppel vergeleken de creditcrisis...
Nog even en de kosten van gratis reizen voor iedereen had goedkoper geweest, geen controles, geen poortjes, geen automaten, geen vergoeding regelingen, geen toezichthouders, geen elende, gewoon volledig gratis openbaar vervoer, dat lijkt nu ineens goedkoper.
Wat waren de geraamde kosten tot nu toe? Zo'n 2,5 miljard EUR heb ik ooit ergens gelezen (hier om precies te zijn). Laten we wel niet vergeten dat we er al zo'n 15 jaar mee bezig zijn, met die mooie OV chipkaart. De meeste kosten zijn echter pas in de laatste jaren gemaakt c.q. beraamd.
Met wat de OV chipkaart moet kosten kun je in ieder geval een miljard ritten met een gemiddelde kostprijs van EUR 2,50 betalen ;)
Veel druppels maken een overstroming.
Als ik mijn huishouden net zo zou beheren als "zij" het land...dan was ik toch allang failliet.
r*kkers zijn het. Een veel te groot eigenbelang. Struisvogel gedrag en haantjes. Mijn projectje moet doorgaan. Tsja, we zijn er nu eenmaal mee begonnen roepen "ze" al in de offerte fase.
Ik durf er geld op te zetten dat het gewoon doorgaat allemaal.
De OV-chipkaart is meer dan alleen de Mifare Classic, natuurlijk. Hadden de onderzoekers uit Nijmegen niet een ander systeem bedacht dat wel veiliger zou zijn?
Overigens lost dat de vragen omtrent de informatie die op de kaartjes staat niet op. Deze chips zijn alleen bestemd om het erg lastig te maken die informatie voor minder nobele doeleinden te gebruiken.
In London willen ze alweer van de Oystercard (hun OV Chipkaart) af. Hij systeem draait daar al sinds 2003 en is in 2010 afgeschreven. In Nederland willen ze dus iets introduceren wat in het buitenland al op zijn retour is.
Carpto1 LOL
Ik zie nog wel enkele hindernissen. Om toegangspassen te klonen moet je wel toegang hebben tot een pas.
Dus je moet nog wel iemand volgen die uit het gebouw komt en bij de lunch counter even naar ze gaan staan zodat je hun pas(sen) kunt lezen ;)
Dit zelfde kun je ook doen met OV pasjes. Door een drukke tram/bus/trein/metro met een laptop en een lezer en je hebt er zo weer een paar honderd pasjes bij.
Dus ze kunnen kloon passen wel proberen te vangen aan de poortjes "he deze pas stapt en in groningen en tegelijk in maastricht in, blokkeren" maar zie dan nog maar uit te zoeken of de politie nou in maastricht of groningen op de trein moet springen om de "boef" te pakken.
Daar kun je dan nog het "normale" gebruik en de woonplaats van de eigenaar aan plakken "deze persoon woont in maastricht en gaat altijd 's ochtends vanuit masstricht naar eindhoven, dus we moeten in groningen zijn" Daar effe een kooi om het poortje vouwen en legt u maar een uit meneer wat u met die kloon doet.
Dus er is niets aan de hand!
Iedereen even laten weten waar je woont je gebruikelijke reispatronen in leveren en als je dat niet doet wordt je direct bij het poortje opgesloten.
In Half-life 3 land geen probleem ;)
Gewoon beide passen uitschakelen. Ja daar is de echte klant ook mee gedupeert maar het gaat er om dat het klonen van passen dus geen geld gaat opleveren omdat ze niet werken. Als ze niet werken koopt ook niemand ze. Als niemand ze koopt is ook niemand slachtoffer. Relatief simpel dus. Er zal vrijwel niemand last hebben van gekloonde passen in het OV mits goed gedtecteerd en direct uitgeschakeld.
Wat denk je wat er gebeurt als er tienduizenden massaal gecopierde kaarten direct uitgeschakeld worden. Dan staan er ineens bergen mensen, terecht, kwaad voor poortjes die niet open gaan en dan stokt het hele openbaar vervoer.
En je zit dan ook met de mensen die gewoon betaald hebben en waar je als vervoerder een contract mee hebt voor te leveren diensten. Het is niet hun probleem dat de crapto zo slecht is.
Je hebt helemaal gelijk, echter zal daarnaast ook een klantvriendelijke oplossing moeten komen aan de back-office zijde. Namelijk onterecht afgeboekte bedragen van je rekening voordat je pas werd geblokkeerd. Gezien de huidige service niveau's (vooral gebrek aan) van de huidige backoffices (NS, GVB, RET, etc, etc) vrees ik hier voor het ergste. Gedupeerde gebruikers van dit gedrocht gaan ook financieel nog eens flink het schip in.
Dat is nog best duur 120,- want voor minder koop je tegenwoordig de apparatuur die nodig is om een strippenkaart te kopieren. Ik koop zelf al jaren namaak strippenkaarten en treinkaartjes bij de plaatselijke drukker. Deze vraagt er 50% voor van de werkelijke waarde. Ik hoop dus dat het nog lang gaat duren voordat ze die chipkaart gaan invoeren want dan zou ik wel weer eens gewoon moeten gaan betalen.
Ik koop zelf al jaren namaak strippenkaarten en treinkaartjes bij de plaatselijke drukker. Deze vraagt er 50% voor van de werkelijke waarde.
Als dat waar is ben je een dief en een aso. Eerlijke en sociaal bewuste mensen betalen netjes.
Eerlijke en sociaal bewuste mensen betalen netjes.
In casu strippenkaarten, sure.
Maar als het straks verplicht OV-byebye-privacy-chipkaart wordt, dan kunnen we dat argument omdraaien. "Netjes" betalen wordt dan onmogelijk, en sociaal bewuste mensen boycotten/saboteren dit systeem.
Zelfde verhaal als bijvoorbeeld DRM. Eerlijk en netjes werkt twee kanten op.
Sterker nog: ik mag dus straks 4500 euro betalen voor geblokkeerde OV jaarkaarten. Die kaart geeft me nu nog het recht om zonder problemen van A naar B te gaan, straks:
Al eerder hebben we aangegeven dat misbruik van een OV-chipkaart in de backoffice wordt gedetecteerd waarna de betreffende kaart of kaarten worden geblokkeerd
Is wel nieuw hoor. Tot nu toe heeft niemand mijn kaart kunnen misbruiken.
Straks zal de key van mijn OV-kaart gewoon vrij verkrijgbaar zijn op internet.
Nou ja, voor die tijd heb ik mijn ov-kaart opgezegd.
Dat is nog best duur 120,- want voor minder koop je tegenwoordig de apparatuur die nodig is om een strippenkaart te kopieren. Ik koop zelf al jaren namaak strippenkaarten en treinkaartjes bij de plaatselijke drukker. Deze vraagt er 50% voor van de werkelijke waarde.
Ik geloof er helemaal niets van. Je bent voorstander van de ov-chipkaart en nu verklaar je de grootste zwartrijder des lands te zijn. Ik ben tegen de ov-chipkaart maar ook tegen zwartrijden. Voornamelijk tegenstander van de ov-chipkaart omdat ik in de praktijk kan zien dat het pure PR is om draagvlak te creëren bij de consumenten. En de strippenkaart mag dan gedateerd zijn, er zitten ook beveiligingen op om simpele kopieën te kunnen onderscheiden.
Gewoon beide passen uitschakelen. Ja daar is de echte klant ook mee gedupeert maar het gaat er om dat het klonen van passen dus geen geld gaat opleveren omdat ze niet werken. Als ze niet werken koopt ook niemand ze. Als niemand ze koopt is ook niemand slachtoffer. Relatief simpel dus. Er zal vrijwel niemand last hebben van gekloonde passen in het OV mits goed gedtecteerd en direct uitgeschakeld.
Direct uitgeschakeld kan je sowieso vergeten, dat gaat om technische redenen al 24 uur duren.
Als je als consument grif geld betaald denk ik niet dat je de handen op elkaar zal krijgen als juist de klant de dupe is. Die gaat niets vermoedend s'ochtends naar het werk en staat opeens voor een onwillig poortje. Die heeft in tegenstelling tot jouw verhaal daar behoorlijk last van. Die mag eerst gaan vertellen dat het poortje niet is opengegaan en verneemt dan (mag ik hopen) dat z'n pas gekloont is. Dan volgt er ongetwijfeld een papierwinkel die zijn weerga niet kent. Wellicht zelfs een gang naar de politie want het lijkt mij diefstal. En mag de gedupeerde nog ik weet niet hoe lang op zijn nieuwe kaart wachten die deze wellicht dagelijks nodig heeft.
De fraudeur heb je niet want je hebt alleen de gebruikte kaart geblokkeerd. En omdat de kaart geblokkeerd word, zal ie een reden hebben om een volgende kaart te klonen en een volgende, volgende enz. Je toont zelf al aan dat het zwaartepunt van de zwartrijd campagne gelegd wordt bij de reiziger. Als je als klant betaald en je bent nog niet zeker van je saldo of het opengaan van de poortjes dan ondermijnt dat het systeem. Niets is zo erg als dat het vertrouwen in een systeem wegvalt bij de gewone consument.
Zelfs al is een strippenkaart te kopieëren is dat natuurlijk nog te preferen boven een systeem waarvan kopieën gemaakt kunnen worden zonder dat de gebruiker daar zelf iets van merkt in eerste instantie.
Dan wil ik ook nog even kwijt dat het zwartrijdpercentage volgens eigen metingen van de staat helemaal niet zo hoog waren ten tijde van de strippenkaart. Nu de ov_chipkaart naast de strippenkaart gebruikt wordt in Rotterdam schijnt dat behoorlijk gestegen te zijn. En dat ligt, als je de hersens even in werking zet, natuurlijk niet aan de strippenkaart.
Ik vind dat we meer belasting moeten gaan betalen zodat ZE beter onderzoek kunnen verrichten naar veiligheid voor de hele gemeenschap.... ik heb er alle vertrouwen in dat onze overheid alleen maar in goed vertrouwen en met volle inzet onze maatschapppij probeert beter te maken, zonder enig eigen belang van de betrokkenen....... euuh.. (oeps sorry, ben net terug van een verre reis naar een andere planeet, moet de JetLag zijn..)
Ze vragen er zelf om. Ik hoop dat de reiziger anmass gaat frauderen als deze kneus wordt in gevoerd en wel hierom.
De reiziger heeft niet gevraagd om een nieuwe betaalmiddel in het OV, die het OV veel duurder maakt, de privacy onderuit haalt, een totaal ondoorzichtige tariefsstructuur heeft, je eerste kaart €7,50 kost, waar megalomane grote hoeveelheden geld over de balk wordt gekieperd em waar de reiziger ook nog met een verplichte uitlog te kijken zit.
Uiteindelijk is burgerlijke ongehoorzaamheid geen alternatief voor een kreupel en onwenselijk betaal systeem. Ik hoop dat ze tot inkeer komen en de strippenkaart in tact laten en iets beters gaan bedenken, die al die nadelen NIET heeft.
Dus als we TLS goed begrijpen is hun enige verweer dat ze zelf de kans klein achten dat er misbruik zal plaatsvinden. En als het dan toch zal gebeuren, dan kunnen ze de klanten blokkeren. Pas als ze het opgedrongen krijgen zullen ze de rfid chips gaan toepassen die voorlopig niet te kraken zijn.
In andere woorden namens TLS: beste ov-gebruikers, u bent gedwongen om dit onveilige systeem te gebruiken, u doet dat vanaf heden op eigen risico en als we uw pas blokkeren en u dus plots onderweg niet meer kan reizen en een feite bekeuring krijgt voor zwartrijden moet u maar zien hoe u thuis komt en uw schade misschien terug krijgt.
Bij TLS zijn ze zot. Ze hebben daar gewoon geen zin om geld uit te geven aan een systeem dat wel veel veiliger is en komen met een slap excuus dat ook nog eens de problemen bij de klanten legt. Ik snap dat ze geld willen verdienen, maar dit is pure machtmisbruik.
en als we uw pas blokkeren en u dus plots onderweg niet meer kan reizen
Da's een goeie. De consequenties hiervan kunnen ingrijpend zijn; vergaderingen lopen in de soep, examens gemist, thuishulpen komen niet bij de klanten, enz, enz.
Als dit meer dan sporadisch gebeurt, verliest het OV volledig zijn waarde.
Vroeger kon je de NS nog aansprakelijk stellen voor de schade als de trein te vroeg wegreed (volgens de algemene vervoersvoorwaarden).
Maar hoe zit het met een geblokkeerde kaart? Waarom maken ze het mijn probleem dat hun systeem onveilig is?
Interessante discussie maar niets is onkraakbaar. We betalen dagelijks met creditcards en bankpassen die waarschijnlijk slechter beveiligd zijn. Moeten we die dan ook maar afschaffen? En hoe simpel is het om gewone treinkaartjes of strippenkaarten te vervalsen? Vergelijk dat eens met deze electronische kaart.
Het lezen van een creditcard die in een portemonnee in een broekzak zit is (bijna) onmogelijk... Het lezen van een RFID chip in een portemonnee in een broekzak is met een laptop en een paar tientjes aan extra hardware te doen. Ongemerkt voor de eigenaar/houder van de kaart. Het passief afluisteren van kaarten bij de poortjes in de stations is een andere mogelijkheid om aan voldoende informatie te komen om kaarten te clonen.
Je kunt als consument redelijke maatregelen nemen om bankpas en creditkaartfraude te beperken. Dat is bijna onmogelijk met RFID kaarten.
Kan zijn, maar toch kent iedereen wel iemand in zijn of haar omgeving waarvan de gegevens van de creditcard zijn misbruikt. Misschien is de kaart opzich veiliger, het proces erachter niet.
Een systeem van een digitale betaling in het openbaar vervoer is perfect in die zin dat het veel gemak oplevert voor de reiziger, zie de landen waar het is ingevoerd, zoals Portugal. Wat mij stoort in de discussie is dat 100% veiligheid als eis wordt gesteld, het is een illusie dat dit ooit bereikt wordt. In het business plan creditcard/ bankpas zijn de gevolgen van fraude ingecalculeerd. Doe dat ook bij de OV chipkaart, hou er rekening mee dat er fraude plaats zal vinden, maar laat dat geen reden zijn om de overige voordelen overboord te gooien. Tsja, en dan privacy. Waarom zou een OV kaart eigenlijk digitaal op naam moeten staan? De naam van de reiziger zou ook ingeperst kunnen worden. Bij een kaart waar de naam digitaal is opgenomen zal uiteindelijk ook aan de hand van legitimatie moeten worden vastgesteld of de kaart hoort bij de reiziger die hem draagt (tenzij de kaart steeds geactiveerd zou moeten worden met biometrische gegevens).
Of zet een deel van de informatie alleen in barcode o.i.d. op de kaart, dan is aflezen op afstand zinloos.
Wat mij stoort in de discussie is dat 100% veiligheid als eis wordt gesteld, het is een illusie dat dit ooit bereikt wordt.
Ten eerste riep juist TLS dat het zwartrijden een halt toegeroepen zou worden met die kaart. Dat hebben ze zichzelf opgelegd met nog veel meer eigenschappen die de ov-chipkaart zou bezitten in een heel grijs verleden, maar die momenteel absoluut niet heeft. Ik vind dat het zwartrijden in elk geval MINDER moet worden dan ten tijde van de strippenkaart. Eigenlijk zelfs behoorlijk minder gelet op de investeringen die er geweest zijn en er nog moeten komen. Ik ben eigenlijk wel heel erg benieuwd naar wat jij dan verwacht en wanneer vind jij de chipkaart geslaagd op dit punt?
dat het veel gemak oplevert voor de reiziger
In een grijs verleden beweerde men dat. Je zou er tegoed op storten en met elk openbaarvervoerstype kunnen reizen en het systeem zou aan het eind van de reis het goedkoopste tarief berekenen. We zijn inmiddels bij het feit dat een simpel retour dalijk niet meer mogelijk is en daar mogen we als reiziger dan OOK nog meer voor gaan betalen.
Vind ik niet handig.
We zitten met een borg van 4 euro die eigenlijk geen borg is want je moet als je bij het tegoed wil komen 2,75 aan administratiekosten betalen.
Vind ik niet handig en zelfs schaamteloos.
Vroeger betaalde ik 1 keer per jaar een abbo. Verder geen omkijken naar, lekker in en uitstappen en als er controle was rukte ik 'm tevoorschijn. Inmiddels mag ik 'm 2x per reis tevoorschijn halen. Dan reis ik in de spits heen EN terug, dus druk. Veel mensen, weinig poortjes want niet alle perrons zijn op zulke ruimteverslinders gebouwd. Ik voel me een stuk vee wat naar een evenement gaat elke dag weer. Dat ging er vroeger toch wel een stukje prettiger aan toe. En dan moet de grootste ellende dalijk nog komen. Namelijk dat de zones ook bij abbo's veranderen in het afstand pluktarief. Dan is het helemaal over met het gemak van de reiziger. Dan word je dus ineens een saldoreiziger die een x procent korting per reis kan bedingen. Een bijzonder onprettig idee dat ik dan ineens al die betalingen moet gaan controleren.
Interessante discussie maar niets is onkraakbaar
Goed punt!!
Maar als niets onkraakbaar is. Waarom dan een systeem wat prettiger werkt en lage onderhoudskosten heeft afschaffen ten favoure van een kaart die niet beter is en veel duurder uitvalt?
Het vergelijken van de strippenkaart met de ov-chipkaart met de conclusie dat ze beiden niet waterdicht zijn is natuurlijk belachelijk. Het eerste systeem was er al en kon dus kosteloos worden voortgezet. De chipkaart heeft ontwikkelingskosten, duurdere onderhoudskosten en vrijheidsbeperkingen voor de consument met zich meegebracht. Dan neem ik ook aan dat er ook significante verbeteringen worden geboekt ten op zichte van de vroegere situatie.
Het vervalsen van strippenkaarten valt echt niet mee. Sterker nog dat was ook niet nodig. Het is natuurlijk veel lukratiever om gewoon in te stappen en hopen dat je geen controleur tegen het lijf loopt. Dat is namelijk gratis en goedkoper dan dat kan bijna niet.Desondanks blijkt het grootste gedeelte van het land toch gewoon te betalen. Af en toe meer controleteams inzetten in probleemgebieden had volstaan en was veel goedkoper geweest dan alleen al de ontwikkelingskosten van die Fischerprice kaart. Het had nooit 0 procent geworden maar dat is ook onmogelijk, zeker in een openbare maatschappij die wij hebben (en binnenkort hadden.
Het zal ze een worst zijn hoe de burger reist. Het gaat erom waarheen en wanneer de burger reist. Met een strippenkaart kan dat niet.
Een tool voor het klonen van het e-paspoort is ook al enige tijd beschikbaar.
freeworld.thc.o.../thc-epassport/
THC/vonJeek proudly presents an ePassport emulator. This emulator applet
allows you to create a backup of your own passport chip(s).
The government plans to use ePassports at Immigration and Border
Control. The information is electronically read from the Passport
and displayed to a Border Control Officer or used by an automated
setup. THC has discovered weaknesses in the system to (by)pass the
security checks. The detection of fake passport chips does not
work. Test setups do not raise alerts when a modified chip
is used. This enables an attacker to create a Passport with an
altered Picture, Name, DoB, Nationality and other credentials.
The manipulated information is displayed without any alarms going off.
The exploitation of this loophole is trivial and can be verified using
thc-epassport.
Regardless how good the intention of the government might have been, the
facts are that tested implementations of the ePassports Inspection System
are not secure.
ePassports give us a false sense of security: We are made to believe
that they make usemore secure. I'm afraid that's not true: current
ePassport implementations don't add security at all.
freeworld.thc.o.../thc-epassport/
Plof...
Voor wat betreft de handel in gestolen ID gegevens dat doet men eenvoudig via een conferentie gesprek vanuit de plaatselijke gevangenis.....
http://www.upi.com/Top_News/2008/10/22/Ore_inmate_held_ID-theft_conference_calls/UPI-29111224691532/
Plof...
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
