Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 193, views: 36.278 •
Submitter: Tim_bots

Na de Duitse hackactie met de ov-chipkaart vorige week is een informaticastudent van de Radboud Universiteit Nijmegen er in geslaagd om gratis met de Rotterdamse metro te reizen door een dagkaart met rfid-chip te klonen.

Radboud 'Ghost' OV-chipkaartkloner Eerder al werd bekend dat op het Chaos Computer Congres een methode uit de doeken was gedaan om de informatie op de rfid-chip in de ov-kaart te kopiëren. Daarmee zou een kaart kunnen worden gespooft, iets waarvan fabrikant TLS op dat moment nog zou hebben beweerd dat dit niet kon. Radboud-student Roel Verdult besloot, weliswaar met een minder goed beveiligde kaart, de proef op de som te nemen en bouwde een kloonapparaat dat onder de naam Ghost door het leven gaat en waar de student veertig euro aan spendeerde. Verdult, die op het kloonproject afstudeert, kreeg vervolgens een journalist van RTL Nieuws zo ver om een kaartje te kopen, die vervolgens op het apparaat werd gelegd en gekopieerd.

Daarop kon de Ghost als ov-chipkaart worden gebruikt: deze werd bij de metropoortjes meermaals langs de kaartjeslezer gehaald, waarbij het saldo op de kaart van de onfortuinlijke journalist al snel tot het nulpunt daalde. Verdult kon echter ongestoord verder reizen. De hack is enkel geldig voor de dagkaartjes die bij de metro te koop zijn en niet voor de abonnementen, maar Verdult verwacht dat wanneer de Duitse hackers de details van hun onderzoeksresultaten later dit jaar publiceren, ook deze chipkaarten gekopieerd kunnen worden. Bij de dagkaartjes wordt de op de chip opgeslagen informatie namelijk in plain text overgeseind, bij de abonnementen gebeurt dat versleuteld.

RTL heeft de reportage aan TLS getoond en kreeg van een zegsvrouw te horen dat het bedrijf, vanwege de lagere beveiligingsgraad van de gekopieerde kaartjes, niet verrast is door de hackactie. De VVD is wel verrast, en stelt dat het vertrouwen in het systeem, waarin al 130 miljoen euro werd gestoken, een flinke deuk heeft opgelopen. De partij stuurt aan op een hoorzitting in de Tweede Kamer naar aanleiding van de kwestie, meldt RTL Nieuws.

Gerelateerde content

Alle gerelateerde content (26)

Reacties (193)

Reactiefilter:-11930180+151+220+30
Lekker dan. Ik heb zelf zo'n abo OV-chipkaart. Elke keer als het saldo onder 5 euro is komt er 20 euro automatisch weer bij (wordt afgeboekt van mijn rekening middels een machtiging).
Als iemand dus er in slaagt om die van mijn dan te kopieren kan ik erg snel mijn saldo op m'n rekening zien dalen.
Hoop dat ze dit snel oplossen, toch maar weer terug naar de strippenkaart vrees ik...
Dit is inderdaad niet handig, wellicht moeten ze dan die abonnement versie maar afschaffen.

Daarnaast moeten we denk ik ook niet te naief zijn. Geld kan je ook namaken, dat mag ook niet. OV Chippen kan je ook namaken, dat mag ook niet. In Londen, Parijs etc hebben ze ook toegangs poortjes bij de Metro waar je een dagkaart door heen haalt. Of je daar ook abonnementen hebt weet ik niet, maar het lijkt me gek als dat niet zo is.

Het PIN systeem is ook niet 100% veilig, lees de laatste CT NL maar. Duidelijke uitleg hoe ze dat kraken... mag echter ook al niet, het blijft gewoon crimineel!
Het PIN-systeem met de magneetstrip wordt daarom ook vervangen door een chip omdat dit veiliger is...
Niet als ze op die chip ook gewoon (hoeveel was het?) ~50-bits encryptie gebruiken zoals ze bij de ov-chip doen.
De chip in bankpassen werkt op basis van public/private key pairs. De private key is er niet uit te halen. Zelfs als je het algoritme kent kun je de pas niet kopieren. De precieze keylengte ken ik niet, maar gezien de tijd die een chipknip nodig heeft om te autoriseren zal die wel >=512 bits zijn. Dat is vergelijkbaar qua sterkte met een 256 bits symetrische key (257 bits als je heel exact wil zijn). met de huidige technologie kost dat 10^17 jaar om te kraken, als de wet van Moore stand houdt ben je ca 90 jaar veilig. Dan is je pas al verlopen en hebben ze iets nieuws bedacht.

[Reactie gewijzigd door brompot758 op 15 januari 2008 10:50]

Je vergeet hier de factor 'voortschrijdend inzicht' van hackers/cryptografen. IMO is dat namelijk vaak de bepalende factor voor het kraken van een systeem.

edit: reaktie op brompot758

[Reactie gewijzigd door Yuri de Jager op 15 januari 2008 11:58]

De precieze keylengte ken ik niet, maar gezien de tijd die een chipknip nodig heeft om te autoriseren zal die wel >=512 bits zijn.
De chipknip maakt gebruik van des en een keylengte van 56-bits. Al voor de introductie van de chipknip was bekend dat het algoritme een achilleshiel had, maar het systeem is toch ingevoerd en nog steeds in gebruik.
De bank heeft dit systeem met de zelfde chip ook bekeken en maakt voor de encrypty gebruik van een externe chip. waarschijnlijk omdat de TLS encrypty in gecertificeerd kan worden anno 2008
Wat bedoel je precies? TLS betekent Transport Level Security en is vergelijkbaar met SSL qua functionaliteit. Het is een security protocol dat secure communicatie mogelijk maakt, het kan bijvoorbeeld met https gebruikt worden als wrapper in plaats van SSL.

TLS is onafhankelijk van het gebruikte encryptie algoritme (DES, Blowfish, IDEA, El-Gamal,....), tijdens een TLS sessie wordt onderhandeld over het te gebruiken algoritme. Aangezien TLS doorgaans binnen TCP/IP draait en er met chips niet over TCP/IP gesproken wordt mis ik de relevantie even.
TLS betekent in dit artikel Trans Link Systems.
Maar bij de chipknip gaat het om veel lagere bedragen. Je mag er toch van uitgaan dat de banken bij die PIN-chip strengere beveiligingseisen zullen hanteren.

Nou is het altijd goed om kritisch te kijken natuurlijk, maar vergelijking met de chip-knip is misschien een beetje voorbarig.
@YopY

Er wordt gebruikt gemaakt van TDES en RSA sleutels (waarbij op dit moment 1024 en 1152 bits gangbaar is.)

[Reactie gewijzigd door cire op 15 januari 2008 22:16]

In Londen maken ze gebruik van de Oyster card, waarmee je kunt reizen met het openbaar vervoer. Net zoals de OV-chipkaart kan de saldo automatisch worden verhoogd. Dit gebeurt vanaf £5,- (Auto top-up)
verrek ja, die was ik vergeten :P

daar hebben ze dus al een systeem, wat ze al jaren gebruiken, en wat ongewtijfeld best wel veilig is (anders zou het niet al jaren gebruikt worden)
kunnen we niet even gaan spieken?
Oh help, echt? Er bestaat dus een systeem dat zich al bewezen is, en vervolgens worden hier miljoenen euro's gespendeerd om het wiel opnieuw uit te vinden 8)7.

Dat lijkt me zo ontzettend suf, dat er haast nog wel andere subtiliteiten mee moeten spelen. Is er hier iemand de daar een logische beredenatie voor heeft?
Het heet iidd Oyster. Het bestaat al een tijdje en wordt elke dag door 100.000en mensen gebruikt. Ik gebruik het zelf ook elke dag zonder problemen. Naast geld kun je er ook een abonnement op zetten. Werkt allemaal prima.
Reizen met je Oyster card is naast makkelijker ook goedkoper. Daarom wordt het hier door bijna iedereen gebruikt. Alleen toeristen kopen nog dure losse kaartjes. }>

Ik snap daarom ook echt niet waarom dit in Nederland zo lang moet duren.
Volgens mij stonden 5 jaar geleden de eerste proefpoortjes al in Rotterdam. Nu werkt het nog steeds niet... :(
Ik heb zojuist het verhaal (57 min.) bekeken op het Chaos Computer Congres in Duitsland. Daaruit blijkt dat de Oyster card ook de Mifare technologie (en wel de basic oftewel standard versie) gebruikt. Er is ook een betere Mifare versie. In principe is Oyster dus net zo te kraken als de OV-abonnementen. De OV-dagkaart kraken zoals door Nijmeegse student schijnt nog gemakkelijker te zijn.
Het openbaar vervoersysteem is te vergelijken met het Nederlandse OV chipcard systeem.

De dure losse kaartjes die je beschrijft zijn in Nederland de ov-wegwerpkaarten. Precies het type kaartje dat door de Nijmeegse student is gekloond.

De kaartjes waar je je abonnement op kan zetten bevatten zijn vergelijkbaar met de Nederlandse OV-chipcard, danwel de anonieme kaart danwel de gepersonaliseerde kaart.

Hierbij moet worden opgemerkt dat de engelse Oyster card ook gewoon gebruik maakt van de Mifare Classic 4k of 1k kaart die onlangs door de duitsers is aangepakt. Ik schrijf aangepakt omdat die crypto nog niet gekraakt is al is het wel aannemelijk dat ze dat binnen afzienbare tijd wel zullen doen (de daadwerkelijke geheime sleutel achterhalen van een kaartje).

Interessant detail is dat er van die Mifare Classic card, die dus binnenkort gekraakt zal worden, ruim 2.000.000.000 exemplaren per jaar worden verkocht. Het is dus een ongelofelijk weidversprijd ding... Het zit echt niet alleen maar in de OV-chipcard.

De consequenties hiervan zijn echter afhankelijk van het doel dat je nastreeft met die kaart en de daadwerkelijke implementatie (welke data er op de kaart wordt gezet).
het blijft gewoon crimineel!
Inderdaad, en een controleur nog steeds het verschil kan zien tussen een echte OV chipkaart en een apparaat dat een gekloonde kaart emuleert ("mag ik uw kaartje zien? Hmm, u heeft alleen een apparaat bij u?"). Kortom: met deze hack kan je hetzelfde doen als wat nu nog "zwartrijden" heet: in het OV gaan zitten zonder geldig vervoersbewijs. Je valt alleen nog steeds door de mand als de controleur langskomt.
Het leek mij juist het voordeel van die OV-chipkaarten en poortjes dat er geen controleurs meer nodig waren, scheelt ook weer in de loonkosten voor de NS.
Het is praktisch onmogelijk om alle stations te voorzien van poortjes, in sommige gevallen is dit gewoon niet haalbaar en ook niet wenselijk (denk aan vluchtroutes in het geval van brand e.d.).

Echter conducteurs zullen er altijd zijn. Er is ook apparatuur voor de conducteur om een kaartje uit te lezen en te kijken of er een valide product op staat.

En die gekloonde kaart kan er net zo uitzien als een echte OV chipkaart hoor ;). Het enige verschil is dat je de mogelijkheid hebt om de kaart te beschrijven waar die bij de echte ov-chipcard (wegwerpkaart) niet kan.
dan zou je een voorbedrukte kaart moeten hebben die eruit ziet zoals de chip kaart van (op dit moment de RET of NS) of een verdomd goede plastic sticker

blanko kaarten zijn dus wel opvallend genoeg om een valse te merken.... :)
Nou, dat is eenvoudig. Je koopt een prepaid kaart, en die kloon je. Vervolgens, als die controleur langskomt toon je het kaartje dat je kloonde. Daar staat, als ik het allemaal goed begrijp, alleen een bedrag op en niet voor welk traject hij geldig is*, en is er dus totaal geen reden om aan te nemen dat je ook een kloonmachientje bij je hebt.

*) ik bedoel, het zou kunnen dat hij bijv de laatste transactie opslaat "kaartje gekocht voor traject x tot y; dat zou dan wel gecontroleerd kunnen worden.
dat zal waarschijnlijk niet opgaan, omdat ze ook kunnen zien of je wel of niet ingelogt bent

dat er een bedrag op staat betekent niet dat je ook ingelogt bent, zodra je neit ingelogt bent heb je officieel geen kaartje en krijg je dus alsnog een boete
Dat zou betekenen dat de conducteur een continue verbinding moet hebben met het OV-chipkaartsysteem. Gezien de onbetrouwbaarheid en traagheid van mobiel internet en het nog steeds afwezig zijn van wifi in treinen (laat staat trams, metro's ed) lijkt me dat erg sterk.
Daarnaast moeten we denk ik ook niet te naief zijn. Geld kan je ook namaken, dat mag ook niet. OV Chippen kan je ook namaken, dat mag ook niet. In Londen, Parijs etc hebben ze ook toegangs poortjes bij de Metro waar je een dagkaart door heen haalt. Of je daar ook abonnementen hebt weet ik niet, maar het lijkt me gek als dat niet zo is.
Ja in London heb je de oystercard, ook een rfid OV kaart, maar die waardeert zich niet op, maar werkt als een credit card(d8 ik, pin me er niet op vast). Eind van de maand krijg je gewoon een rekening van alle ritten.
Nee, je zet er geld op zoals met een chipknip, of je kan er een abonnement op zetten.
(en dat kan ook automatisch, bijv. iedere week of als je saldo lager is dan xx euro.

[Reactie gewijzigd door pipster op 15 januari 2008 12:19]

parijse metro heb je ook abonnementen....
en ja, dan moet je zo'n klein metro-kaartje bewaren tot je abo is afgelopen....
(1 rit, retour, dagkaart, 2dagkaart, weekkaart, maandkaart, jaarkaart)
De hack is enkel geldig voor de dagkaartjes die bij de metro te koop zijn en niet voor de abonnementen, ...
Dus nog niet voor abbo's. Die kaarten zijn beter (volgens de fabrikant) maar ook eens tuk duurder, 5 ueri vs 50 cent.
Ik spendeer liever 5 euro aan een goeie OV-chipkaart (die voor studenten) dan 50 cent voor een die eenvoudig te kopieren is.
Ook als het gaat om een kaartje wat maar 1 dag geldig is?
Tuurlijk bij abonnementen wel, maar dat is dus juist het hele punt hier.
Een kaart die 1 dag geldig is, is natuurlijk hetzelfde als 30 dagen elke dag een kaartje kopen dat 1 dag geldig is. Oftewel, 30 gekopieerde kaartjes geven hetzelfde recht als een maand abonnement, of zie ik iets over het hoofd :/
de volgorde was sowieso anders, de nederlandse studenten waren eerder, enige verschil is dat de duitsers dus WEL de abo kaarten kunnen kraken
Blijft het niet altijd een afweging maken tussen veiligheid en productiekosten? Als de fraude relatief moeilijk te plegen is zal het verlies door fraudeurs minder zijn dan de kosten voor het extra beveiligen van zo`n kaart. Lijkt me heel moeilijk om de juiste balans te vinden.
Bedenk dat dit het begin is... Ze zijn net in staat die dingen te kraken. Er komen echt wel geavanceerdere systemen die het nog makkelijker gaan maken.
Makkelijker maken om te hacken of om te beveiligen?
Die abo's moeten gewoon afgeschaft worden. Die poortjes die ons als vee door de stations loodsen zijn ook gewoon regelrecht vernederend. Hoe zijn we hier gekomen??
Makkelijke rom te hacken uiteraard. Die rfid chip kan op afstand worden uitgelezen. Even in de spits met een apparaat tegen iemand's portemonee aantikken et voila.
In andere grootsteden is het al jaaaaren zo toegepast. Als jij een andere manier weet om op een snelle manier tienduizenden reizigers te controleren op een geldig toegangsticket mag je het altijd laten weten, je kan er rijk mee worden ;)
Als jij een andere manier weet om op een snelle manier tienduizenden reizigers te controleren op een geldig toegangsticket mag je het altijd laten weten, je kan er rijk mee worden.
zo'n 'systeem' hebben we al jaren in Nederland; het heet 'controleurs' of 'conducteurs' en voldoet prima. (en het helpt 100-den mensen aan een baantje, dus goed tegen de werkeloosheid! )
;)

[Reactie gewijzigd door Pl_eX- op 15 januari 2008 14:36]

Daar heb je zeker een punt! Teveel automatisatie is ook niet altijd goed :-)
en dan gaan we daarna dus maar weer zeuren dat het OV te duur wordt
alsof IT gratis is ....
dit project kost nu 130 miljoen, daar kun je meer dan 4000 jaarsalarissen van betalen.
Daarbij zijn veel van de kaartjesknippers afkomstig uit re-integratieprojecten, dus als ze worden vervangen door automaten kan de belastingbetaler straks hun uitkering betalen.

Daarbij is het zo dat controleurs en conducteurs meer doen alleen vervoerbewijzen controleren; ze bieden ook service, enige veiligheid, ze zijn aanspreekpunt voor de reiziger, helpen bij calamiteiten, enz.. enz.. Om die zelfde service te blijven geven moeten de vervoersbedrijven nog steeds personeel in de treinen/trams laten werken. Wat ik bedoel is dat er volgens mij helemaal geen kosten-besparing te behalen is met zo'n duur systeem.

(ps. ik denk trouwens dat de werkelijke kosten trouwens veel meer zijn dan 130 miljoen.)
Inderdaad, die 130 miljoen slaat alleen op het bedrag dat de staat er tot nu toe in geïnvesteerd heeft. De OV bedrijven zelf hebben ook een flinke zak met geld voor dit systeem weggegooid. Daarnaast gaat de staat daarnaast er volgens het RTL nieuws nog eens 50 miljoen per jaar aan subsidiëren.
Vanmiddag werd op radio1 gemeld dat er door ov-bedrijven vele miljarden in is geïnvesteerd. En uiteindelijk zijn deze bedrijven toch in handen an de overheid, oftewel: het is wel (ons) belastinggeld.
Ik moet zeggen, ik was wel onder de indruk toen ik in NYC was. Daar hebben ze weleswaar poortjes, maar ten eerste met magneetstrippen (dus iemand moet m stelen voordat ie je geld kan stelen) en ten tweede met alleen met ingangscontrole. Voor 2$ ofzo kan je heel NYC (manhatten/queens/bronx/staten) door en voor 5$ een hele dag lang onbeperkt.
Kom je niet van de poortjes af, maar heb je wel een GOEDKOPE manier die ook nog es relatief veilig is om te automatiseren.
Ik weet nog hoe dat in parijs ging.... links/rechts/camera? En ik was zonder kaartje voorbij de poort. Of hele families die met een kaartje/draai erdoorging, in de drukte viel dat nieteens op. Nederlanders zijn te gierig om te betalen bij dat soort dingen.
Ja, maar zijn die paar zwartrijders nu 130 miljoen euro voor zo'n systeem waard?

*edit typo*

[Reactie gewijzigd door zzzzap op 15 januari 2008 16:39]

We hebben het over een project van 130 miljoen (belasting)euro dat a.h.w. over de balk gegooid wordt omdat het met een apparaatje van 40 euro voor elke handige harry mogelijk is de betaalconsole over te slaan en gratis te reizen. Balans is dus niet meer aan de orde.
Tuurlijk, maar wat is er nou zo ontzettend mis aan de strippenkaart? Wat is nou het uiteindelijke doel?
Om 1 vervoersbewijs te creeren, voor bus, tram, metro en trein! Niet allemaal losse kaartjes meer dus. Een eenduidig systeem.
Volgens mij kon je overal je strippenkaart gebruiken, nu is het zo dat je op sommige plaatsen, strippenkaart MOET gebruiken, daaarna OV-kaart MOET gebruiken en daarna weer strippenkaart MOET gebruiken... en dan 2 keer zo duur uit zijn qua reizen. Ik heb eens gekeken was het kostte om met OV-kaart naar mijn werk te komen (ex werkgever nu) en ik was in tegenstelling tot een strippenkaart 2 keer zo duur uit. (en dat terwijl ik het hele traject met OV-kaart kon doen)
Dat is gelijk ook de reden dat ik OV-kaart boycote, ik heb een auto en of ik nu 10 euro parkeergeld betaal of dat ik 10 euro betaal om in een smerige, stinkende metro/bus/tram te zitten....
Fijn ..... nog een excuus voor NS om de kaartjes en abbo's duurder te maken
Heel dat RFID-systeem is toch veel te veel gebruikt... Is er echt geen beter systeem? Ik kan dat moeilijk geloven. En ze willen dit dan inplanten in Britse gevangenen... haha ik zie het al voor me.

Edit @ UptownWings

Ik wil niet bashen, zo ben ik niet. Maar er is altijd wel iemand die zegt dat er gebasht wordt. Je mag geen kritiek leveren op MS of blijkbaar op de VS of je wordt uitgescholden voor basher. Het is toch gewoon een feit dat dit systeem toch al voldoende onveilig is bewezen voor systemen zoals het tracken van gevangenen. De opmerking over Amerika is gewoon ironie... ik heb het verwijderd, het was toch een vergissing.

[Reactie gewijzigd door Nille.NET op 15 januari 2008 10:14]

[sarcastisch]Ja, heb jij ook al zo'n last van al die radiogolven om je heen? Ik vind dat ze nu eens met licht moeten gaan werken..[/sarcastisch]

Het enige waar je het mee oneens kunt zijn, is dat dingen geïdentificeerd worden. Ik zou er niet blij mee zijn als de NS precies weet waar ik ben, en waar ik gereisd heb.
Moet je ook maar rondlopen met een bivakmuts oid, vanwege de camera's, en je mobiele telefoon uitzetten en/of weggooien, want ze kunnen daarmee ook nagaan waar je bent. Ohja, en sluit het internet af, ze kunnen ook precies in de gaten houden wat je daar uitvreet.
lolbroek alert!

Sceptisch zijn over wat een bedrijf van jou weet en met deze informatie doet is niet slecht!
'Sceptisch zijn over wat een bedrijf van jou weet en met deze informatie doet is niet slecht!'
mee eens, maar ik zoun er naast bedrijf nog overheid bij zetten. (en waarom je reactie weggemod is? Zal wel komen doordat veel jonge jochies hier totaal niet weten hoe dingen werken :P)
Jij bedoeld het sarcastisch, maar ik begin er idd stevig over na te denken om een hoed te beginnen dragen met grote rand (cowboyachtig iets). Al die camera's...en er is geen enkele studie die bewijst dat ze daadwerkelijk iets helpen (misdaadcijfers lager? helpt tegen terreur?).
Wat ben jij dan van plan te doen?
Als je je normaal gedraagd, zal niemand erom geven dat jij ergens loopt.
Pas als je je criminieel gedraagd worden de beelden gebruikt.

Of heb je grootheidswaanzin, dat je denkt dat de hele overheid jou speciaal 24/7 volgt?
Wat nu legaal is hoeft dat in de toekomst niet te zijn. Het probleem zit hem in het feit dat je gevolgd wordt. Veranderende inzichten in combinatie met de mogelijkheid je te traceren kunnen grote problemen opleveren. Zoals HAL 9000 zegt, zolang er geen duidelijke voordelen zijn, zorg er dan in hemelsnaam voor dat er ook geen gebruik van gemaakt wordt.

Privacy is een belangrijk goed, misschien zelfs nog belangrijker dan vrijheid van meningsuiting (al is er over het algemeen een duidelijke overeenkomst), laten we dat niet verkwisten door de invoering van allerlei - overbodige - systemen waar we door te volgen zijn.

Edit: @ mensoc

[Reactie gewijzigd door vistu op 15 januari 2008 12:14]

Het enige waar je het mee oneens kunt zijn, is dat dingen geïdentificeerd worden. Ik zou er niet blij mee zijn als de NS precies weet waar ik ben, en waar ik gereisd heb.
Hoezo is dat het enige? 't feit dat mijn rekening geplunderd kan worden vind ik erger dan dat de NS bijhoudt waar ik rondhang...los daarvan heb je ook anonieme chipkaarten, daar tel je gewoon x eurii voor neer en kun je voor zoveel geld reizen om te voorkomen dat ze je traceren...
het enige waarvoor die chips kunnen gebruikt worden (op een veilige manier) is juist om te waten wie/wat waar is.

stockbeheer met andere woorden...

ze zijn veel te maklijk uit te lezen (mja, encryptie kan hier wel wat aan doen) en maklijk kapot te krijgen om er ook maar iets anders (beveiliging?) mee te doen...
Ja dat vraag ik me nou eigelijk af.

Waar koop je zo'n anonieme meestal mee? Pinnen toch?

Als ze eenmaal je bankrekening nummertje kunnen koppelen aan je naam, weten ze het ook wel met een anonieme kaart lijkt me?
Tijd voor de Tinfoil hat? :+

[Reactie gewijzigd door Sanch op 15 januari 2008 08:41]

Wat ik dan altijd weer zo bijzonder vind is dat ongeacht het onderwerp iemand er altijd wel weer een aanleiding in ziet om even te gaan US bashen. |:(

Maar goed, ontopic : RFID is op zich een goed systeem, maar minitiaturisatie (3x woordwaarde?) maakt het ook een eng systeem. Het is zonder fysiek contact toegankelijk waardoor imho de controle op wie er toegang toe heeft nogal lastig maakt.
RFID is een prima systeem voor datgene waar het voor geschikt is, vooral voorraadbeheer en distributie ....
niet voor fraudegevoeligee en 'zekere' systemen met een hoge economische waarde...

RFID is juist erg beperkt doordat het niet meer is dat een uitgezonden ID-code zonder verdere bevestiging of beveiliging...
wil je sdat enigszins betrouwbaar beveiligen, ontkom je niet aan een vorm van externe validatie... bv door de combinatie met biometrische data (als je gaat voor snel en gemakszucht) of doordat mensen alsnog een pincode ingeven of een wachtwoord (maar bij iets als de RFID-OV-kaart dachten ze nu net te kunnen gaan voor een hele snelle en weinig intensieve uitleesactie, wat nu dus blijkbaar hét zwaktepunt is in de procedure)
Tja, Ik zou zeggen zet er een vingerafdrukscanner naast. Dus met pasje en vingerafdruk kun je reizen. Zal ook wel weer wat tegen te vinden zijn, maar maakt fraude iig weer wat moeilijker en je hoeft die 135 mln niet gelijk weg te gooien, je moet er alleen nog maar een paar mln bijstoppen :Y)

Daarnaast kost vingerafdruk scannen imho de minste tijd (je hoeft geen pincode in te type, er hoeft niks gestempeld te worden, etc. En het is alleen nodig bij het instappen.
Tot een of andere idioot even over de scanner heenkotst, er kauwgom op plakt, er snel even op roggelt... nee bedankt.

Zie je nu ook met de pinpaneeltjes van de automaten, en omdat die toetsen dieper liggen worden ze ook nog eens bar slecht schoon gemaakt soms.
Ik denk alleen wel dat dan heel tweakers.net volstaat met discussies of al onze vingerafdrukken ergens bekend mogen zijn.
Kan je al van verre aan zien komen natuurlijk.
RFID is juist erg beperkt doordat het niet meer is dat een uitgezonden ID-code zonder verdere bevestiging of beveiliging...
wil je sdat enigszins betrouwbaar beveiligen, ontkom je niet aan een vorm van externe validatie... bv door de combinatie met biometrische data (als je gaat voor snel en gemakszucht) of doordat mensen alsnog een pincode ingeven of een wachtwoord (maar bij iets als de RFID-OV-kaart dachten ze nu net te kunnen gaan voor een hele snelle en weinig intensieve uitleesactie, wat nu dus blijkbaar hét zwaktepunt is in de procedure)
Ik geloof niet dat je echt begrijpt wat RFID allemaal is en niet is. Het kan veel meer dan alleen een unieke code doorgeven. Het is echter lastig uit prijstechnische maar vooral uit overwegen van hoeveel energie er ter beschikking is om een RFID chip te voorzien van compliceerde logica. Het kán wel, maar dan wordt het bereik weer heel klein.
<offtopic>
miniaturisatie
</offtopic>

Het punt is natuurlijk wel dat er een essentieel verschil is, tussen een chip die alleen een id uitzendt, of een die daadwerkelijk metainfo bevat, en die ook remote beschrijfbaar is, zoals schijnbaar deze ov chips.

Als ze nou es alleen een uniek id erin stoppen en de rest van de info centraal op een server bijhouden, kan je misschien het kaartje wel copieren, maar dan is het na een stukje treinen alsnog afgelopen met de pret.
Het is niet de RFID technologie die "slecht" is. Het is de implementatie van de MIFARE Classic chip die beroerd is. Er is tijdens het ontwerp gekozen voor een zwakke encryptie, maar ten tijde van het ontwerp (1994) was dit niet zo zwak als men nu zou zeggen.

Daarom vind ik het ook zeer twijfelachtig dat het OV-Chipkaart project gekozen heeft voor de originele (goedkopere) Mifare chip, terwijl er een veel betere (qua encryptie en kraakbaarheid) chip beschikbaar was. Er is gekozen voor een foute manier van kostenbesparing, die nu ineens helemaal geen kostenbesparing is, maar juist heel veel geld gaat kosten. Dit werd door de hackers ook al eerder aangegeven:
"If you do rely on Mifare security for anything, start migrating"

[Reactie gewijzigd door Arnout op 15 januari 2008 09:00]

De kaart die hier gekraakt is is de OV wegwerpkaart. Die bevat geen MIFARE Classic chip. De MIFARE Classic chip zit enkel in de geanonimiseerde en de gepersonaliseerde kaarten.

Er zijn nu dus 3 type kaartjes

1. Papieren wegwerpkaartjes (deze is gekloond door de Nijmeegse student).
2. Anonieme OV Chipcard (bevat de Mifare Classic chip)
3. Gepersonaliseerde OV Chipcard (bevat ook de Mifare Classic chip).

Om het overzicht even te bewaren ;)

Oplossing voor de papieren wegwerpkaartjs is deze gewoon niet gebruiken!

Oplossing voor de OV Chipcard met de mifare classic chip is om gebruik te maken van een OV Chipcard met een Mifare Desfire chip. Deze Mifare chip bevat het 3DES algoritme wat vooralsnog veilig wordt geacht.
Britse regering bedoel je denk ik. Die wilde hun gevangenen implanteren. Maar zo'n RFID is zo makkelijk op te blazen. Dat schiet helemaal niet op.
Ik vraag me eigenlijk af hoe het nu met mijn paspoort zit. Daar zit ook een RFID chip in. Kan die nu ook eenvoudig gekopieerd worden?
Nee, dit RFID systeem werkt als volgt:

De informatie die wordt uitgelezen van de RFID chip is gecodeerd, de helft van deze code staat geprint op het paspoort. De andere helft is de master-key, en deze is geheim.

Om de informatie uit te kunnen lezen moet de reader de beschikking hebben over zowel de master key als de key die staat gedrukt op het paspoort.

Dit is redelijk veilig :)

disclaimer:
Zo heb ik het begrepen van iemand die aan de software voor de readers werkt, ik heb hier geen schriftelijke verificatie van.

[Reactie gewijzigd door psyBSD op 15 januari 2008 11:19]

Paspoort gebruikt heel andere technologie dan OV. Het probleem is een beetje dat het naampje RFID op alle 'contactless beestjes' wordt geplakt...
RFID is een heel scala aan technieken. Daarnaast hangt de veiligheid van een techniek enorm af van de implementatie van de processen en de manier waarop je de techniek gebruikt. De OV chipkaart gaat er vanuit dat het ID van dit type kaart niet te kopiëren was. Dit bleek een verkeerde aanname, maar zegt absoluut niets over andere RFID systemen.
Ik vraag me eigenlijk af ondanks dat dit al op het punt stond van gebeuren waarom overheden halstarrig blijven volhouden dat alles digitaal dient vast gelegd te worden. In de toekomst krijgen we gechipte nummerplaten, je paspoort, criminelen die gechipt worden en al deze acties zijn nog voordat ze begonnen zijn al gedoemd tot mislukken. En ondanks dat men weet welke risico´s hieraan zitten blijven de verschillende overheden toch hun plannen (die kapitalen kosten) doorzetten.
---edit---
Overigens leuke ads van Google, vrouwen met webcam verdienen topsalaris :p

[Reactie gewijzigd door n4m3l355 op 15 januari 2008 08:28]

Ik las laatst een stukje discussie tussen kamerleden over de kilometerheffing dmv GPS. Eén van de uitspraken was: "Het is het beste om de nieuwste technologie te gebruiken." Patsboem, zonder onderbouwing, en iedereen was het ermee eens.

Het probleem is dat politici gewoon te weinig technische kennis hebben om voldoende kritisch te kunnen zijn en ingepakt worden door mooie verkooppraatjes van 'high-tech'-bedrijven.
Politici reageren sowieso ontzettend zwart-wit: Zie ook dit geval, er is 130 miljoen euro gestoken in de ontwikkeling van een systeem, de politiek hoort het woord "gekraakt" en het hele project moet ineens weggegooid worden. Zelfs Tweakers zie ik ontzettend overspannen reageren, terwijl dit toch technisch onderlegde mensen zouden moeten zijn. Van hen zou ik toch verwachten dat ze dit soort hacks wel kunnen relativeren.

Vergelijk het eens met de huidige situatie: Hoe moeilijk is het om een klassiek NS-kaartje door een kleurencopier te halen? Als het systeem een beetje handig geimplementeerd wordt is het upgraden van de encryptie iets dat in een jaar uitgerold kan worden: Je schiet nieuwe software in je poortjes en gebruikt een nieuwere chip in de nieuw uitgegeven abonnementen. Binnen een jaar zijn die vanzelf allemaal vervangen.
Wanneer je een NS-kaartje of -abonnement vervalst heb je daar NS mee, niet de eigenaar van het kaartje of abonnement.
Wanneer je een OV-chipkaart van iemand anders kloont en die ander reist op saldo heb je die ander daar mee te pakken en niet NS, omdat je dan gebruik maakt van het saldo dat iemand anders op zijn kaart heeft staan en dus afgeschreven wordt op het moment dat jij een reis maakt met de gekloonde kaart.
Helemaal eng is dat je er voor kunt kiezen om het saldo automatisch op te laten waarderen wanneer het te laag is. Op die manier kan de hacker ongestoord gratis blijven reizen op jouw kosten totdat je er achter komt en je kaart laat blokkeren. En bewijs maar eens dat jij niet al die reisjes gemaakt hebt...
En bewijs maar eens dat jij niet al die reisjes gemaakt hebt...
Dit is helemaal niet moeilijk. Als er iemand vanuit Amsterdam vertrekt (en dus betaalt) en op hetzelfde moment iemand vanuit Leeuwarden vertrekt, is dat mij al genoeg bewijs.
Daar bovenop kun je vaak ook aantonen dat je op het werk ben oid.
Enerzijds moet er onderscheid worden gemaakt wie schade lijdt, indien de NS geen beveiliging toepast en vervolgens verlies loopt, of de klant lijdt verlies doordat de NS slechte beveiliging produceert. In de eerste geval is NS hier verantwoordelijk ervoor en ook diegene die schade loopt, bij de tweede is het zo dat de klant op termijn geen keuze meer heeft, je zult moeten chippen of je kunt niet meer met het openbaar vervoer, maar je stemt er tegelijk ook mee in met het risico dat iemand jou kaartje cloned.
Daarnaast mag je je afvragen in hoeverre deze dure oplossingen ooit een succes kunnen zijn. Nu kost het 130 miljoen euro (waarschijnlijk nog wel meer overigens maar dat krijgen wij nooit te horen), en nu moet er nog meer geld volgens jou erin gepompt worden alles dient vernieuwd te worden enz met het risico (die toch zeker wel aanwezig is) dat het weer gekraakt wordt? Wat is er mis met het ouderwetse strippen verhaal, die dingen zijn zo goedkoop dat het niet loont om ze te copieren, maar indien je door een simpele hack eigenlijk oneindig veel kunt reizen dan wordt het een heel ander verhaal wat de waarde van zo´n kaartje is.
Dit gaat overigens niet op alleen bij de OV kaart, maar neem bv kilometerrijden in gedachte, in Duitsland al beproeft en is al kenbaar gemaakt dat men net net quite weet te draaien (na miljarden investeringen en verliezen in het begin), en alsnog gaat men in NL dit ook invoeren. Dit soort oplossingen vraagt er toch voor om gehacked te worden? Ik bedoel.. ik ben zelf helaas niet zo creatief onderlegd, maar als ik toch meer in dit soort technieken thuis was zou ik het zowaar als een hobby zien om voor niets rond te kunnen rijden.
Wat is hier nieuw aan? Begin juli hebben twee mensen van de opleiding System & Network engineering dit al aangetoond:
Goed document. Maar is er niet een hoop veranderd aan die kaart sindsdien? Zou wel stom zijn alas dat niet het geval was.
ok, en wat kan er nu gebeuren:

a) invoer van het systeem uitstellen en systeem beter beveiligen (tegen extra kosten)
b) compleet annuleren en op de oude voet verder
c) wachten tot iedereen het vergeten is en dan zonder wijzigingen (en extra kosten) alsnog invoeren.

wat denk je nu zelf dat er gaat gebeuren? :)
En jij denkt ook echt dat 100% van de wereldbevolking dit vergeet. Hell no, wanneer deze dignen worden gebruikt zullen ze ook worden misbruikt.

Net zo als de zekerheid dat alle beveiligingen worden gekraakt.
Inderdaad. Op het moment hebben ze er zoveel in geinvesteerd, ze kunnen eigenlijk niet meer terug. Daarnaast, ik denk niet dat de NS zelf wakker gaat liggen van een fraudeur (op de 100), aangezien ze nu ook vaak genoeg zwartrijders hebben. Zolang de gemiddelde persoon de kaart niet kan kraken of een produkt zoals in het artikel beschreven kan kopen, is het OV-chipkaartsysteem 'veilig' genoeg.
Ik denk C, maar ik hoop B.
De grap is gewoon dat we het niet moeten vergeten. Die dingen blijven kopiëren en zo een duidelijk punt maken dat we niet zitten te wachten op dat onding.
Nu is het vervelend als het erg makkelijk te kraken is, maar een strippenkaart kun je eigenlijk ook reproduceren (net als papiergeld). Het echte vervelende is dat het saldo van de gekloonde kaart ook achteruit gaat dus als iemand jouw kaart kopieerd ben je de zak. Maar als je de kaart goed bij je houd is er voor de abonnementen toch niks aan de hand? Er wordt toch betaald bij het reizen en de hackers moeten als ik het zo lees wel de daadwerkelijke kaart van iemand hebben wil deze slachtoffer worden?

(of heb ik iets gemist)

Naja, ik vraag me af hoe het kan dat het saldo van de journalist achteruit ging tot 0 EN dat de kloon ongestoord verder kon reizen. Als het saldo wel bijgehouden wordt (niet op de kaart zelf) zou Verduld toch bij 0 ook gestopt worden? (En anders is de oplossing voor het probleem makkelijk?)

[Reactie gewijzigd door RwD op 15 januari 2008 08:34]

waarbij het saldo op de kaart van de onfortuinlijke journalist al snel tot het nulpunt daalde. Verdult kon echter ongestoord verder reizen
Volgens mij is de kloon in staat om het saldo gelijk te houden. Het saldo staat dus niet ergens in een database.

Ook kan ik me voorstellen dat de kaart op korte afstand gekopieerd kan worden (paar meter?)
Nope, het saldo van de orginele kaart ging dus achteruit en die van de clone ook. Het systeem haalt het saldo dus uit de database.
Daarop kon de Ghost als ov-chipkaart worden gebruikt: deze werd bij de metropoortjes meermaals langs de kaartjeslezer gehaald, waarbij het saldo op de kaart van de onfortuinlijke journalist al snel tot het nulpunt daalde. Verdult kon echter ongestoord verder reizen.
Al zou die laatste zin niet kloppen. Maar daar staat ook niks van in de bron. Ik heb de uitzendig gezien en daar bleek volgens mij dat het saldo van de kloon ook gewoon eindig was. Hij kon een aantal keer reizen voordat het saldo op was.

Waarschijnlijk een onduidelijk stuk op t.net dus. De hacker kon verder reizen omdat hij al door de poortjes was en op het laatst het saldo had opgemaakt waardoor de journalist met de orginele kaart er neit door kwam. Voor zover ik begrijp wordt de code gekopieerd (ID) en die is gekoppeld aan een Database waar het saldo wordt bijgehouden.

Edit: Blijkbaar heb ik gister een ingekorte versie gezien van RTL die liet zien dat het zaldo wel op ging :|

[Reactie gewijzigd door GENETX op 15 januari 2008 09:22]

Nee. Het saldo van de kloon bleef ongewijzigd (!) Dit zou betekenen dat voor deze kaartjes het saldo op de kaart wordt bijgehouden. En dat zou verklaren waarom deze oplossing als simpel en onveilig wordt omschreven. Sowieso is het plaintext versturen van dit soort informatie in mijn ogen al een grove fout... zelfs voor dit soort kaartjes.
Ik merk het nu zelf ook nu de verslaggever op GoT het heeft uitgelegd. Blijkbaar had RTL in RTL Nieuws gister een video die was ingekort aangezien ik veel niet heb gezien wat hij beschreef in zijn post... Lekker bezig..
een rfid kaart is op afstand uit teb lezen.
met andere woorden.
als er iemand met een goede scanner/antenne naast je komt staan kan deze een copy
maken van de kaart zonder dat je het merkt,
of dat hij/zij de kaart fysiek in handen heeft.
Onzin...

Bij dit type kaarten misschien wel, maar in het algemeen kun je niet zeggen dat je bij alle 'contactless' (RFID?) kaarten alles kunt uitlezen.
Nee volgens mij klopt dat idd wel wat je zegt. Als ik het zo lees wordt in een database je saldo bijgehouden ipv op de kaart zelf.

Punt is dat dit gewoon het begin is. Je moet bedenken dat de rfid chip nu wat in komt. Nu is het nog nodig om het kaartje fysiek nodig te hebben om in te lezen. Maar wie zegt dat men over een jaartje geen apparaatje hebt dat je in je hand houdt en gewoon even bij iemands portemonee langshaalt en de code binnen hebt? Ik weet neit hoe ver de chip komt, maar dit is een proof of concept.

Je bent zwaar de lul als er iemand van de OV staat daar want dit ding valt gewoon op. Nu het gekraakt is kan men beginen met het verbeteren van de apparatuur.
10cm is vaak genoeg. En in de spits valt het niet op dat je een paar seconde heel dicht bij iemand staat.
Maar goed, er zijn al oplossingen beschikbaar: http://www.difrwear.com/products.shtml
Punt zal zijn dat te weinig mensen deze opties om te beschermen bij zich zullen hebben... 3 keer is scheepsreisrecht zal hier wel op zijn plaats zijn helaas.
Met die dagkaart kan je oneindig reizen ten koste van niemand.
Je koopt zo'n kaart, kopieerd zijn inhoud, checkt in, checkt uit, kopieert de inhoud terug. Dit is het idee. zijn apparaatje doet dit dus automatisch.
een eerder bericht van Jelmer gaf aan dat hier eerder onderzoek naar gedaan was en dit was de manier.

Niemand lijdt eronder behalve die lijers die het bedacht hebben ;) (Sorry voor de woordspeling)
Nope, in het nieuwsbericht kon ook de hacker maar een beperkt aantal keren reizen. Verder kon men niet meer met de orginele kaart reizen. Het saldo wordt dan ook in een Databse bijgehouden. Je steelt dus ook daadwerkelijk geld van iemand.

Er staat dan ook een onwaarheid in het artikel hier (vindt het dan ook niet terug in de bron). Heb dat inmiddels ook al gemeld. Je kaart heeft een ID (dat desnoods dus kan worden gerecycled) waarbij bij aankoop een bepaald bedrag in de Database wordt gestopt op dat nummer.

Edit: Hmmz, blijkbaar blijkt mijn verhaal niet te kloppen en heb ik op RTL een ingekorte versie gezien waar werd gemeld dat het saldo wel op raakte...

[Reactie gewijzigd door GENETX op 15 januari 2008 09:23]

is het niet zo dat ze samen reisden en dat de journalist met zijn kaart door het poortje ging en die student met een kloon?
En zo gaat het straks ook met de tolpoortjes.
Ik neem aan dat de student en de journalist nu worden aangeklaagd wegens fraude?
Want? die 5 euro is toch niet 2 keer gebruikt enkel 1 keer door de gekopieeerde kaart. Daarbij vind ik het juist goed, laat de zwakke punten maar zien dan staat er ook meer druk om het op te lossen.
De journalist sowiesow niet, hij is immers in theorie het slachtoffer al werkte hij wel mee. En dus kan je je afvragen of er uberhaupt sprake is van fraude?

Als we het openbaar vervoer nou gratis maken en de "vervuilers" meer laten dokken is dit probleem ook weer opgelost... Al zie ik dat niet gebeuren:P.
Bovendien kan die journalist aanvoeren dat dit gedaan is vanwege nieuwsgaring.
Sterker nog, in het journaal werd al aangekondigd dat de mensen achter deze kaart emt de universiteit (en hackers) gaan samenwerken om het lek te dichten. Het is dan ook een proof of concept waarbij de mensen met de kennis de juiste kant kiezen ipv de slechte. Ze mogen blij zijn met deze studenten.
Het lek dichten is vrij simpel. Gebruik een andere versie Mifare chips... Deze zijn echter ook duurder.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013