De 21-jarige student Technische Informatica van de Hanzehogeschool in Groningen heeft de studentenvariant van de ov-chipkaart verder gekraakt om verdere fouten in het systeem bloot te leggen. De student wil voorlopig nog niet met zijn naam in de media verschijnen, zijn gegevens zijn bekend bij Webwereld.

Hij legt uit dat hij van de hogeschool een opdracht kreeg om te kijken hoe makkelijk het was om Mifare-chips te kraken die in de medewerkerskaart van de hogeschool worden gebruikt. Vervolgens werd het plan opgevat om de ov-chipkaart verder uit te kleden. "Als vanzelf zijn we meerdere soorten kaarten gaan pakken", legt de tweedejaars student uit. "En ik heb daarbij hulp gehad van beveiligingsbedrijf Online 24." Bij dat bedrijf werkt ook een student van de Hanzehogeschool, maar die is niet vanuit de school betrokken geweest bij de kraak.

Ethische hack

Het beveiligingsbedrijf stond hem bij in het onderzoek. "Er zijn wel andere mensen mee bezig, maar het is natuurlijk leuker om er zelf mee te knutselen." Vooral omdat het zo vebazingwekkend makkelijk is om een dergelijk duur systeem te kraken. "Het viel ons op dat de security van het systeem ver beneden de verwachting ligt van wat je bij een project van 3 miljard verwacht."

De student heeft veel gehad aan de samenwerking met Online 24. Volgens hem heeft dat bedrijf veel ervaring met ethische hacks. Hij benadrukt dan ook dat het om een ethische hack gaat. De actie is dus niet te vergelijken met de kraak van hacker OVKipje, die actief een softwareprogrammea verspreidde om de ov-chipkaart te kraken.

Uiteindelijk werd in samenwerking een simpel Python-tooltje in elkaar gedraaid. "Met gewone legale tools kun je een dump van je kaart afhalen, die dump kun je dan aanpassen met zo'n scriptje en vervolgens kun je hem terugzetten op je kaart", legt hij uit. Er zou erg weinig informatie aangepast hoeven worden om die zogenaamde reisproducten, zoals een week- of weekend-ov, op een anonieme ov-chipkaart te zetten.

Er is ook niet gereisd met de gehackte studenten ov-chipkaart. Wel is iedere keer bij een NS-automaat op het station getest of de hack goed gelukt was. "Dan komen er steeds meer bitjes bij elkaar en dan weet je dat het goed is."

Anonieme kaart

Voor het maken van de dump is bewust een anonieme kaart gebruikt. "Dat is sowieso iets waarmee je niet met een studentenreisproduct mee kan reizen. Maar het feit dat je een anonieme kaart waar al een week-ov van is gemaakt vervolgens om kan vormen tot weekend-ov, en de automaat ziet dat als geldig weekend-ov, dan zegt dat genoeg. Verder hoeven we niet te gaan."

Het was daarom volgens hem ook niet nodig om te bewijzen dat het daadwerkelijk met een studenten ov-chipkaart kan. Dat dit mogelijk is bewijst dat het ook met andere kaarten kan. Het bijschrijven van een weekend-ov op een studenten ov-chipkaart met week-ov is volgens hem mogelijk, net zoals het plaatsen van jaarabonnementen van de NS op een willekeurige ov-chipkaart. "Als we verder gaan in proberen, dan zitten we weer te dicht bij de kaders van de wet", vindt hij. "Het moet wel onderzoek blijven, we moeten niet alles wat we kunnen vinden omschoppen en exploiten. Het is gewoon onderzoek."

Wel is er bij een conducteur gekeken wat er uit te lezen was uit de anonieme kaart met het studentenreisproduct. "Het enige wat hij kon zien is dat het een weekendkaart was. En dat product klopte helemaal." Het enige unieke aan een ov-chipkaart is de unieke identifier van de Mifare-chip, en het enige wat aangepast wordt is het type product.

Wereld verbeteren

Ondanks dat hij niet met naam en toenaam in de media wil verschijnen, maakt de student zich niet heel erg druk over mogelijke acties van Trans Link Systems (TLS), die verantwoordelijk is voor de kaart. Hij wijst erop dat er niets gaat gebeuren met de software die nu werd ontwikkeld. De kans is groot dat het programma uiteindelijk wordt vernietigd.

"Het doel van ons is gewoon de wereld verbeteren, op klein niveau", aldus de 21-jarige ethische hacker in de dop. "Als dat betekent dat de ov-chipkaart weggaat, dan vinden wij dat goed. Als dat betekent dat er een veiliger systeem komt, dan vinden wij dat ook goed. We hebben er geen andere doelen mee. Het is gewoon zorgen dat het niet meer zo gaat als het nu gaat. Want van een systeem van 3 miljard verwachten we toch iets fatsoenlijkere security."