Deze hack is deze week bekendgemaakt op de Duitse beveiligingsconferentie Chaos Communication Congress in Berlijn. De chip is geanalyseerd en gekraakt door security-onderzoekers Karsten Nohl en Henryk Plötz. Zij wisten eerder ook al de Mifare Classic Chip te ontmantelen. Die technologie doet dienst in de Nederlandse OV-chipkaart en in deurpasjes voor de beveiliging van gebouwen, waaronder die van ministeries.

Breed ingezet, snel te kraken

De Legic-chip werkt op vergelijkbare wijze als de Mifare Classic, maar blijkt veel kwetsbaarder. Deze technologie, gemaakt door een Zwitsers bedrijf, is vooral in Duitstalige landen populair. De RFID-chip wordt gebruikt voor toegangssystemen, bedrijfskantines, kopieermachines, elektronische tickets, openbaar vervoer en vaste klantenkaarten.

Volgens fabrikant Legic is de eigen techniek goed beveiligd en geschikt voor bijvoorbeeld betaalsystemen. Maar waar het kraken van de Mifare Classic een ingewikkelde klus bleek, was het hier relatief eenvoudig.

Zo ontdekten de onderzoekers al snel dat er geen versleuteling wordt gebruikt voor het lezen van de informatie op de kaart. Het simpelweg aanmaken van een klein tabelletje met alle controlegetallen gaf al snel aan dat informatie van de kaart kan worden gelezen.

Geen versleuteling

Wie de kaart kan lezen, kan snel bij de opgeslagen informatie. Er blijkt slechts een beperkt aantal sleutelcombinaties te zijn om bij de gegevens te komen. Dat maakt het ontcijferen eenvoudig.

“Ze gebruiken geen sleutels”, legt Plötz uit. “Ik wil dan ook niet over versleuteling spreken, maar over geheimhouding. Versleuteling wekt de suggesties dat er met sleutels wordt gewerkt en dat is niet zo.”

Nu terugkijkend beseffen de onderzoekers dat het prima mogelijk was de informatie te achterhalen zonder ingewikkelde trucs. “Toch hebben we besloten om opnieuw een chip te ontmantelen met zuren en de werking ervan onder een microscoop te analyseren”, vertelt Nohl.

Twee jaar eerder werkte die methodiek om de versleuteling van de Mifare Classic te kraken. “Het kan ook anders, maar het is toch ook wel heel leuk.”

Kaarten uitgeven

De Legic-kraak is niet beperkt tot alleen het lezen van de daarop gebaseerde RFID-passen. Ook het beschrijven van kaarten, of het met hardware emuleren (klonen) van een kaart, lukt de onderzoekers. In principe is daarmee een systeem op basis van Legic eenvoudig te misbruiken.

Opmerkelijker is de uitkomst van het onderzoek naar de aansturingssoftware. Daarmee zijn Legic-kaarten aan te maken en te administreren. De onderzoekers kunnen een kaart maken met hoge authorisatie en verkrijgen daarmee 'toestemming' om zelf weer kaarten uit te geven.

“Daarmee kunnen we eigenlijk alles”, vertelt Plötz aan Webwereld. Tijdens zijn lezing op CCC gaf hij nog aan dat er met zoveel bijgeleverde controlesoftware het maken van hack-tools nauwelijks nodig is: “Ik heb geen mooie software hoeven te schrijven. Die wordt met de kaarten al meegeleverd en draait op Windows.”

Zwitserse gatenkaas

“Het Zwitserse broertje heeft meer gaten in de kaas dan het Mifare Classic-broertje”, verzucht Roel Verdult, onderzoek aan de Radboud Universiteit. Hij onderzocht zelf de Mifare Classic Chip en ontving voor zijn onderzoek naar de OV-chipkaart meerdere onderscheidingen. “Zo zie je weer opnieuw dat beveiliging op basis van geheime algoritmen totaal niet helpt.”

Hij benadrukt dat het prima mogelijk is RFID veilig in te zetten, maar dat er dan gekozen moet worden voor andere oplossingen. Zo moeten versleutelingsalgoritmen toch echt openbaar zijn. Ook zullen RFID-chips dan meer geld kosten. “Wie veilig wil zijn, kan niet voor een dubbeltje op de eerste rang zitten."