Op internet is er programmatuur, de OV Saldo Read Writer, verschenen waarmee fors sneller kan worden gehackt. De gebruiker hoeft alleen nog maar zijn kaart op een kaartlezer te leggen, op een knop voor uitlezen te drukken, het bedrag aan te passen en vervolgens schrijft de applicatie dit saldo in seconden op de kaart.

Gedeeltelijke kraak

De snelheidswinst heeft onder andere te maken met de nieuwe aanpak van de maker. In plaats van het kraken van een hele OV-chipkaart, wordt alleen de cryptografie van het onderdeel dat het saldo beheert achterhaald.

Een ander gedeelte van de tijdswinst komt doordat bij het implementeren van de OV-chipkaart meer fouten zijn gemaakt. Bij goede implementatie is er voor het lezen van gegevens een A-sleutel en het schrijven gebeurt via een B-sleutel. Door de fout volstaat het achterhalen van alleen de B-sleutel voor het saldo.

Supersnel

Effectief is het daardoor mogelijk een kaart ongeveer 40 maal sneller aan te passen. Afhankelijk van de kaartlezer duurt het aanpassen van het saldo op een onbekende kaart een halve minuut tot ongeveer 2 minuten. Momenteel wordt er door hackers gewerkt aan het verder optimaliseren van de kraak.

De nieuwe applicatie lijkt te demonstreren dat het aanpassen van het saldo nu zo eenvoudig is geworden dat mensen niet langer veel energie in de kraak hoeven te steken. In het verleden waarschuwde professor informatiebeveiliging Bart Jacobs bij herhaling voor dit gevaar en hij wees er bij herhaling op dat met de juiste programmatuur winkels mensen zouden gaan ‘helpen’ met het opwaarderen van saldo. Zijn kritiek werd vooral in het parlement beantwoord met hoongelach.

Extra saldo

Overigens zijn er met deze nieuwe applicatie meer zwakheden blootgelegd. Zo blijkt het niet langer noodzakelijk om het saldo onder de 150 euro te houden, zoals volgens de regels van het OV-chipsysteem wel zou moeten. Een proef met 170 euro leverde voor het reizen en de controle geen probleem op.

Bij het verhogen van saldo was fraude voor controleurs detecteerbaar, omdat de gebruikte kaart wel een groot saldo had maar niet de bijbehorende transacties om het saldo op te laden.

Zelf inchecken

Overigens is er meer vooruitgang geboekt. In reactie op het debat van afgelopen week is een nieuwe hack gemaakt. Diverse politici wezen erop dat zelf inchecken effectief alleen mogelijk is voor de trein, omdat bus en tram specifiekere informatie nodig hebben.

Inmiddels is de niet-publiek beschikbare OV-stations.exe uitgebreid en blijkt ook inchecken in bus en tram probleemloos mogelijk. We hebben het uitgeprobeerd, en met een audiobestand op de mobiele telefoon kan het incheck-geluid worden nagebootst. Ook bij controles werd het niet opgemerkt.

Het Ministerie van Infrastructuur en Milieu kan niet reageren. Eerder gaf de minister al aan met een onderzoek te komen en binnen een maand met een onderzoek te komen. Momenteel wordt ook gewerkt aan een applicatie voor Android-telefoons, waardoor het zelf-inchecken in het openbaar vervoer subtieler wordt.