Het open-sourceproject met de naam Crapto1 implementeert de versleuteling van de vorig jaar gekraakte Mifare Classic-chip, CRYPTO1. De maker heeft daarvoor volgens eigen zeggen gebruik gemaakt van de paper van de Radboud Universiteit om zijn code te maken.

Open-sourceproject

De programmatuur is beschikbaar als open source, zodat iedereen het kan bestuderen en verbeteringen kan bijdragen. De maker, die alleen onder de codenaam Bla bekend wil zijn, schreef de code in het kader van zijn onderzoek naar RFID. Oorspronkelijk wilde hij het voor zichzelf houden, maar op advies van derden heeft hij het openbaar gemaakt.

In een gesprek met Webwereld stelt hij onder de indruk te zijn van het wetenschappelijk onderzoek naar de versleuteling: "De cijfers in de verschillende publicaties waren behoorlijk verbazingwekkend en toen wilde ik het in de praktijk zien."

Werkende code

Het project richt zich alleen op het kraken van de versleuteling en niet op het leveren van communicatie. "Andere mensen mogen zich druk maken om de hardware en de bijbehorende firmware", zegt Bla. "Proxmark en OpenPCD hebben alle benodigde onderdelen beschikbaar." Goede hardware is al voor zo'n 120 euro beschikbaar.

Bla publiceerde de eerste versie van de code al afgelopen week, maar heeft sindsdien enkele verbeteringen doorgevoerd. Zo is er gewerkt aan de snelheid van kraken en gaat de laatste versie beter met het geheugen om. Uit analyse blijkt dat de code correct en functioneel is. Dit is bevestigd door experts die door Webwereld zijn geraadpleegd.

Ook op het RFID-forum Proxmark meldt administrator 'Roel' dat de software werkt: "Ik heb de code getest. Het lijkt te werken. Laten we bidden dat systeemintegratoren hun klanten op de hoogte hebben gesteld!"

Breed beschikbaar

Bla is niet de eerste die software schrijft om Mifare-chips te klonen, maar wel die het bruikbaar maakt voor een breed publiek. Eerder maakten onderzoekers aan de Radboud Universiteit al hard- en software voor Mifare Classic-chips, maar stelden die niet publiek beschikbaar.

In juni probeerde de RET Tweede Kamerleden en aanwezigen met pamfletten nog te overtuigen om toch vooral door te gaan met de OV-chipkaart. Daarbij redeneerden ze dat er dagelijks een voetbalstadion zwart reist, terwijl er slechts een aanval in een laboratorium was.

Lang verwacht, grote gevolgen

Er werd al langer op open-sourcesoftware gewacht om breed gebruik te maken van de mogelijk van de lekke RFID-chips. In augustus waren drie studenten van plan een presentatie te geven op de beveiligingsconferentie Defcon, waarbij ze ook software beschikbaar zouden maken. Het vervoersbedrijf van de regio Boston stak daar via de rechter een stokje voor.

Nu er hard bewijs is dat misbruik eenvoudig is geworden, wordt meteen duidelijk dat kwaadwillenden veel ellende uit kunnen halen. Zo is het nu mogelijk om toegangspassen tot overheidsgebouwen, bedrijf of zelfs militaire complexen of OV-chipkaarten te klonen, maar ook systemen plat te leggen door kaarten van anderen te verminken.

Een grotere aanval zou in het openbaar een effectieve Denial-of-Service zijn. Dat laatste risico is zo groot dat onderzoekers uit London naar de beveiliging van de OV-chipkaarten besloten deze mogelijkheid buiten hun rapport te houden. Datzelfde gold voor de goedkope printers, die bruikbaar zijn om kaarten zo te bedrukken dat ze geloofwaardig overkomen. Dankzij een WOB-procedure van Webwereld samen met Dagblad Trouw werd duidelijk dat juist die elementen wel in versie 1.0 en niet in versie 1.00 van het rapport stonden.

Gekraakte sleutels online

Overigens is het niet zo dat iedereen de software hoeft te gebruiken om te frauderen. Zodra een geheime sleutel eenmaal gekraakt is, bestaat er een risico dat mensen de informatie online delen. Wie op die manier aan de informatie komt, hoeft zelf geen kraak meer uit te voeren.

TNO meldde in februari nog bij de presentatie van hun rapport over de beveiliging van de chips in de OV-chipkaart de verwachting uitspraken dat de chip nog twee jaar mee zou kunnen. Die toen al optimistische verwachting lijkt nu definitief achterhaald.

Reactie Trans Link Systems

In een reactie laat Trans Link Systems (TLS), de uitvoerder van de OV-chipkaart, weten 'te verwachten dat dergelijke zaken online zouden komen', maar het ziet geen reden om van het gevoerde beleid af te wijken.

"Naar onze mening maakte het een aanval op de OV-chipkaart niet aantrekkelijker en verandert het niets aan het feit dat de criminele business case niet positief is en daarmee misbruik niet loont", aldus de woordvoerder van TLS.

"Al eerder hebben we aangegeven dat misbruik van een OV-chipkaart in de backoffice wordt gedetecteerd waarna de betreffende kaart of kaarten worden geblokkeerd [...] Daarnaast werken wij, in lijn met de aanbeveling van Royal Holloway, aan een migratieplan om voorbereid te zijn voor een migratie naar een andere chip indien dit aan de orde mocht zijn."