De reacties volgen nadat Webwereld eerder vandaag bekend maakte dat open source software genaamd Crapto1 op internet is verschenen, die het achterhalen van geheime sleutels van de Mifare Classic eenvoudig maakt.

Vragenuur

"Het was eigenlijk een beetje wachten op het moment", vertelt Tweede Kamerlid Emile Roemer van de SP tegenover Webwereld. "Iedere keer kregen we als politici te horen dat het vooral aanvallen in laboratoria betrof. Nu komt het iedere keer dichter bij misbruik in de dagelijkse en als ik het zo lees dan is het al zover."

Voor Roemer is dit dan ook reden om staatssecretaris Tineke Huizinga aan de tand te voelen over de gevolgen voor de OV-chipkaart. Van Minister Guusje ter Horst wil hij graag weten wat de huidige stand is met de deurpasjes en wat de gevolgen voor het bedrijfsleven zijn.

Schneier: snel migreren

De gerenommeerde beveiligingsexpert Bruce Schneier zegt in een reactie tegenover Webwereld blij te zijn dat er nu eindelijk broncode is. "Het is goed dat het nu in het openbaar is. Het wordt maar weer eens duidelijk: je kunt geen geheim bewaren als basis voor de technologie."

Voor hem maakt het nu duidelijk dat bedrijven gevaar lopen als ze de techniek gebruiken voor hun toegang. "Zij moeten nu echt naar iets anders overstappen. Dit is een groot risico."

Schade in OV wellicht beperkt

Voor de OV-chipkaart is het milder. "Hier kun je misschien nog veel schade beperken door zeer intensief op misbruik te gaan letten en ook daadwerkelijk fraudeurs op te pakken", aldus Schneier. Hij erkent dat het lastig kan zijn om goed nagemaakte kaarten te herkennen, maar benadrukt dat het niet onmogelijk is.

Of Trans Link Systems met de gewraakte MiFare Classic-chip moet doorgaan is voor hem een vraag die lastig te beantwoorden is. "Dat blijft een economische afweging. De hoeveelheid fraude zou nog wel eens acceptabel kunnen zijn", betoogt Schneier. "Ik weet ook niet of dit veel zal gaan gebeuren. Het is net als mensen die wel eens over poortjes heen springen."

Doe-het-zelf-kit

Voor Ronald Prins, directeur bij Fox-IT, is het duidelijk dat er een nieuw tijdperk aanbreekt om actief misbruik van de chips te maken. "Het omzetten van de paper in source code is weer een stap dichterbij de doe-het-zelf-kloon-een-mifare-1-kit", betoogt hij. "Nu hoef je alleen nog maar de hardware te kopen op EBay."

Hij wijst erop dat een kale reader 30 dollar kost, terwijl een versie met een mooi kastje zo'n 56 dollar kost, waarbij de Mifare-kaartjes ook voor rond de euro verkrijgbaar zijn. "Een beetje stoere hacker gebruikt natuurlijk een Mifare-horloge", zegt Prins. "Mocht iemand je dan ooit in een gebouw aantreffen komen ze er nooit achter hoe je nu eigenlijk binnen bent gekomen."

Prins wijst ook op andere gevaren van het gebruik van de chips. Zo is het mogelijk om met de juiste sleutels te achterhalen wie er bijvoorbeeld een badge van een ministerie of de politie heeft, waardoor de soms noodzakelijke anonimiteit te doorbreken is.