Het is jammer om te zien dat blijkbaar de regering in Nederland of in dit geval TLS dit soort onderzoeken van TNO en al eerder gelukte hackpogingen eigenlijk negeert, door te zeggen "Tja, de kans is nu zo klein dat fixen we ooit wel.".
Volgens mij was het namelijk ooit zo dat de dokter tegen je zei "Voorkomen is beter dan genezen." en persoonlijk denk ik dat dat in dit geval ook zeker zo is. Helemaal onkraakbaar maken is natuurlijk onmogelijk, maar je kunt het wel op een dermate hoog niveau beveiligen dat het al een stuk moeilijk wordt. Als een investering namelijk maar 6000 euro kost, dan is het voor een criminele organisatie best interessant om kopieën te maken van kaarten en deze weer door te verkopen.
Daarnaast vind ik dit stukje ook erg raar:
Trans Link Systems stelt echter dat het in de backend van het systeem afwijkende transacties kan signaleren en eventueel kaarten kan blokkeren. Het bedrijf zou tot nu toe nog geen pogingen tot fraude hebben gesignaleerd.
Het is fijn om een systeem te hebben wat inderdaad fraude kan detecteren, maar dit kan tot verschillende problemen leiden:
- Iemand die 'afwijkend' reist kan zijn/haar legitieme kaart geblokkeerd aantreffen.
- Wat zijn afwijkende transacties? Als je een kaart kraakt ga je er natuurlijk ook 'normaal' mee reizen en geen rare tripjes maken. Valt dit dan ook onder afwijkende transacties?
Met deze 'mogelijke problemen' in het achterhoofd kun je dan ook meteen stellen dat het systeem logischere wijs geen frauduleuze transacties kan detecteren tot op een zekere hoogte, maar dat er wel gefraudeerde kaarten gebruikt worden.
Persoonlijk denk ik dat er nog veel schort aan dit systeem en ook zeker aan de beveiliging. Daarnaast denk ik dat TLS beter kan voorkomen dan genezen voordat het zo'n landelijk dekkend systeem gaat invoeren...
Voorbeelden van afwijkende transacties:
- iemand rijst tegelijkertijd van maastricht naar amsterdam en van zwolle naar den haag (gekopieerde kaart)
- iemand heeft wel 1000 euro besteedt, maar zijn kaart nooit opgeladen
- iemand krijgt om een of andere vage reden alle reizen die hij maakt voor 1 cent
Dit zijn transacties die ze vast allemaal loggen, en met een beetje gecombineer kun je conclusies trekken. Zoals ze ook op het nieuws zeiden, soms zal het twee dagen duren, maar dan wordt je kaart geblokkeerd. Er zullen ook false-positivies zijn, maar deze mensen zullen goed worden geholpen. (dit is niet te voorkomen als iemands kaart 'gekopieerd' is).
...Er zullen ook false-positivies zijn, maar deze mensen zullen goed worden geholpen.
Jij wil op Eindhoven Beukenlaan (=onbemand station) de laatste trein naar huis pakken. maar bij de ingang meldt het poortje dat je (legitieme) kaart geblokkeerd is. Denk jij dat je je trein nog haalt?
Jij gaat op weg naar een sollicitatie en op Amsterdam centraal wordt je kaart geblokkeerd. Tuurlijk krijg je op het kantoor van de spoorwegpolitie een kop koffie en misschien zelfs nog wel een kleine vergoeding voor het ongemak, maar krijg je die baan nog als je een uur te laat komt? (en als je zegt dat de spoorwegpolitie je heeft aangehouden op verdeking van chipkaart-fraude maar dat het allemaal in orde bleek?)
En hoeveel mensen gaan er nog met de trein als er 10 mensen bij Kassa hebben gezeten omdat ze ten onrechte problemen hebben gehad?
False positives zijn absoluut uit den boze.
Jij wil op Eindhoven Beukenlaan (=onbemand station) de laatste trein naar huis pakken. maar bij de ingang meldt het poortje dat je (legitieme) kaart geblokkeerd is. Denk jij dat je je trein nog haalt?
Absoluut niet zelfs.
Twee opties:
* Je belt een taxi en krijgt de kosten vergoed
* Je omzeilt de poortjes, rijdt zwart en krijgt een eventuele boete vergoed.
Het gaat niet om het probleem van de false-positive, het gaat om de afhandeling.
Jij gaat op weg naar een sollicitatie en op Amsterdam centraal wordt je kaart geblokkeerd. Tuurlijk krijg je op het kantoor van de spoorwegpolitie een kop koffie en misschien zelfs nog wel een kleine vergoeding voor het ongemak, maar krijg je die baan nog als je een uur te laat komt?
Wel als je even belt en de situatie uitlegt. Of kun jij geen begrip opbrengen voor mensen die tegen een onverwachts probleem aanlopen?
That said, dit is niet iets dat dagelijks bij 1000 mensen voor gaat komen hoor. Ik maak me er iig compleet geen zorgen over.
Jij stelt dus dat een anonieme kaart niet anoniem is. Want door het combineren van deze gegevens is het eenvoudig persoonlijke gegevens van de gebruiker te vergaren. En dan krijg je hetzelfde als bij IP nummers: Het OV-Chipkaart nummer moet gezien worden als een persoonsgegeven en mag dus niet worden opgeslagen. Eerste wat ik zou roepen als ik aangehouden wordt is : "Inbreuk op mijn privacy" Dan krijgt de NS misschien 100 euro van mij. Maar ik krijg 10.000 van de NS.....
Daarnaast vind ik dit stukje ook erg raar:
• Trans Link Systems stelt echter dat het in de backend van het systeem afwijkende transacties kan signaleren en eventueel kaarten kan blokkeren. Het bedrijf zou tot nu toe nog geen pogingen tot fraude hebben gesignaleerd.[/list]
Misschien mis ik iets...
Enige tijd geleden hebben ze op tv laten zien dat het mogelijk is, en dan nog durven zeggen dat er "tot nu toe geen pogingen tot fraude" zijn gesignaleerd.
Wat hebben ze dan nodig om ervan overtuigd te zijn?!?!?
Als datgene wat ze hebben laten zien geen fraude is heb ik er vanaf vandaag een nieuwe hobby bij.
En die 6000 euro investering kan mij dan ook niet veel schelen.
Die heb ik dan toch binnen no-time terug verdiend.
[...] theoretische mogelijkheid [...]
* ]Byte[ denkt dat dit een uitspraak van Microsoft zou kunnen zijn...
Beveiliging baseren op onwetendheid is zoooooo
[Reactie gewijzigd door ]Byte[ op vrijdag 29 februari 2008 14:52]
Er loopt al enige tijd een proef met deze technologie. Waarschijnlijk kan je in het back-end zien dat dergelijk misbruik in de praktijk niet voorkomt. Dat een en ander mogelijk is, betekent niet dat je er in de praktijk rekening mee moet houden.
Als je achterdeur nu een slecht slot heeft, helpt het als je er een iets beter slot op zet zelfs als er aan te tonen is dat het een goede inbreker niet tegenhoudt.
![[RSS]](http://tweakimg.net/g/if/v2/icons/rss_small.png){kind=icon}
![[quick]](http://tweakimg.net/g/if/icons/world_link_cropped.png){kind=icon}
Volgens het onderzoeksrapport van TNO, dat vrijdagochtend openbaar werd gemaakt, is een investering van ongeveer zesduizend euro voldoende om de benodigde hardware aan te schaffen om de crypto01-versleuteling van de Mifare Classic 4k-chip te kunnen kraken. Opvallend genoeg stelt TNO echter dat er slechts een 'theoretische mogelijkheid is dat criminele organisaties een commercieel plan ontwikkelen met het doel de ov-chip te kraken', terwijl het instituut ook aangeeft dat de gebruikte chip op termijn geheel kan worden gekraakt.
14:58
13:56
Door 
![[show]](http://tweakimg.net/g/if/comments/button_down.png "Reactie uitklappen")
