De nieuwe chip zou skimmen tegen moeten gaan, maar blijkt nu dus te kraken. Hoe eenvoudig dat is, is nog niet helemaal duidelijk, maar toch: de media (die overigens opdracht tot de kraakpoging hadden gegeven) staan alweer op hun achterste benen.

Wanneer houdt het nou eens op met die vergezochte morele verontwaardiging en makkelijke paniekzaaierij? De laatste tijd grijpen steeds meer media terug op de meest primaire angstreacties van het publiek om maar vooral te kunnen scoren. In het kielzog van succesvol-verontwaardigde populistische politici en het onder Paradijs hervonden succes van de Krant van Verontwaardigd Nederland wordt de ene na de andere open deur ingetrapt, waarna met een trillende vinger op de resten wordt gewezen. Mijn God – het blijkt mogelijk de koningin tot in haar achtertuin te benaderen! Je kunt zomaar een legerbasis binnenwandelen! Je kunt het publieke mailadres van een politicus kraken!

Als je echt wilt, kan er veel – heel veel. Sterker nog: niets is onmogelijk voor iemand die echt iets wil. De publieke opinie wil nog steeds dat de CIA zat te slapen toen Al Qaeda de Twin Towers binnenvloog, maar de realiteit is dat niemand bij de CIA serieus had gedacht dat iemand zo gek zou zijn. Laten we wel wezen: als je bereid bent zó ver te gaan, is alles mogelijk. De olieopslagdepots in de Amsterdamse haven opblazen? Koud kunstje. De HSL laten ontsporen? Onthutsend eenvoudig. Ik zit te wachten op het tv-programma dat met een vrachtwagen een kinderspeelplaats op rijdt en vervolgens verontwaardigd vraagt waarom de politiek dat niet heeft voorkomen. En de rechter staat het toe, in het kader van de vrijheid van de pers en het ‘algemeen belang’.

Voor de paniek rond de beveiligingschips geldt iets vergelijkbaars. Het is de magnetronmaaltijd van het nieuws: dampende oude kliekjes die worden opgediend als een ramp van de eerste orde.

In de wereld van de IT weten we dit al lang. Geen beveiligingstechniek zo geavanceerd of er is een andere techniek denkbaar om hem te kraken. Het is een illusie te denken dat we ooit een computertechniek vinden die volledig veilig is en tegelijk nog praktisch bruikbaar ook.

Het is sowieso een illusie te denken dat deze wereld ooit veilig is te maken, maar dat is helaas de ziekte van de moderne tijd: het geloof in de maakbaarheid van de wereld heeft geleid tot de rare opvatting dat pijn en lijden niet alleen vermeden kunnen, maar ook vermeden móeten worden – en dan bij voorkeur door iemand anders (de regering).

Wat betekent dit voor chipkaarten? Dat hangt er vanaf. Roof en misbruik zijn namelijk sowieso niets nieuws. Ook in vroeger tijden was het al mogelijk (en gebruikelijk) om financiële systemen te kraken. Denk aan bankovervallen, denk aan Dick Turpin en Robin Hood, maar ook aan creditcards. Om dat laatste als voorbeeld te nemen: de creditcard-maatschappijen zijn zich er volledig bewust van dat een x-percentage van hun producten wordt misbruikt. De schade die dat oplevert wordt verrekend met de klant en zo hebben we een systeem dat ondanks geregeld misbruik uitstekend functioneert. Klanten van wie de kaart wordt misbruikt, worden dan ook over het algemeen zonder morren schadeloos gesteld: die schade was immers reeds ingecalculeerd.

De truc is, met andere woorden, niet zozeer om alle vormen van misbruik te allen tijde te voorkomen, maar om het percentage misbruik op een acceptabel niveau te houden. Voor een chipkaart betekent dat: als het kraken maar moeilijk genoeg is, hoeft het verder niet zo erg te zijn.

De vraag is dan ook niet of de techniek gekraakt kan worden.

De vraag is wat er gebeurt als het zover is.

De voornaamste vraag die bijvoorbeeld aan minister Eurlings gesteld moet worden in verband met het rekeningrijden: is er, in de wetenschap dat het gewraakte kastje gekraakt kan en zal worden, een reële inschatting gemaakt van de schade die dat mogelijk oplevert? En vooral: is er, net als bij de creditcard-maatschappijen, een geen-gezeur-garantie voor de gebruikers die slachtoffer worden van misbruik? Wordt het probleem niet op hen afgewenteld, maar komt het voor rekening van de beheerder, die immers zelf voor een bepaald schadepercentage heeft getekend? Dat is de enige werkbare oplossing, omdat je ervan uit mag gaan dat dan niet alleen in aanvang voor een techniek wordt gekozen die het risico tot een acceptabel minimum beperkt, maar dat er ook direct actie zal worden ondernomen als het misbruikpercentage boven een betaalbare grens dreigt uit te komen.

En dat is voldoende. Meer moet je niet willen. Als je daar niet mee kunt leven, is er maar één oplossing: houd je verre van techniek. Graaf een gat in de grond, gooi je geld erin en ga er zelf op zitten.

Bron: Techworld