OV-chipkaart nu door iedereen te kraken

Om de cryptografische sleutels van de OV-chipkaart te kraken en de informatie op de kaart te lezen blijkt niet veel nodig te zijn. Je hoeft alleen een RFID-kaartlezer van ongeveer 30 euro te kopen en wat open-sourceprogrammatuur op Linux te installeren. Wie een beetje technisch inzicht heeft, is vervolgens in staat om de kaart te kraken. Vervolgens is het mogelijk de gegevens uit te lezen.

Beschrijving

Er zijn op internet al langer beschrijvingen te vinden voor de hack, maar die stonden te boek als complex en alleen voor zeer technische mensen. De website OV-chipkaart.org logenstraft dat door duidelijk te maken hoe een breed publiek met standaard hulpmiddelen de eigen kaart kan kraken.

Het maandblad PC Active heeft de proef op de som genomen en diverse kaarten gekraakt. In een artikel van uw verslaggever wordt uitgelegd hoe mensen zelf hun eigen kaart kunnen uitlezen en hoe toegankelijk de aanval is geworden. Het is zelfs mogelijk om kaarten te beschrijven. Maar daar wordt in het blad niet op ingegaan, omdat dit mensen duidelijk zou maken hoe ze kunnen frauderen.

Uit het laboratorium

Tot nu toe werd door het voormalige Ministerie van Verkeer en Waterstaat altijd verkondigd dat het kraken van kaarten een theoretische exercitie was en dat het daarom niet voor een breed publiek toegankelijk is. Ook nadat in 2008 de software beschikbaar kwam waarmee zwakheden in de RFID-chip benut kunnen worden, bleef het ministerie ontkennen dat er een bruikbare applicatie bestond.

Toch komt de programmatuur die nu is vrijgegeven niet helemaal als donderslag bij heldere hemel. Al in februari 2008 voorspelde TNO dat het zo'n twee jaar zou duren voordat er een serieuze hack zou worden ontwikkend.

Overigens heeft de maker van de site OV-chipkaart na een brief de beschrijving kort verwijderd. Inmiddels is er een Nederlandse versie van de uitleg online gekomen nadat de maker tot de conclusie was gekomen dat met het maken van een beschrijving niet illegaal is.