Ik sluit me helemaal aan bij Parasietje, van dit soort opmerkingen zakt bij mij de broek een beetje af....
@vgroenewold
Jij leeft in de illusie dat georganiseerde misdaad en kwaadwillende hackers dit soort zaken niet kunnen/zullen kraken? Bij mij komen de volgende zaken uit de recente geschiedenis to mind:
- Roemeense bendes die pinautomaten skimmen
- Autodieven die autoalarmen kraken
- Internetbankier-websites die gephised worden of emailtjes waarin tan-codes gevraagd worden
- Grootschalig illegaal schotel gebruik door consumenten
Om er maar een paar te noemen.... Zeker als een systeem steeds meer onder de aandacht komt (zoals bij de mifare het geval was) wordt het een gemakkelijk doelwit en zul je echt kritisch moeten kijken wat de risico's zijn.
Overigens vind ik het wel knap dat jij een publicatie gezien hebt van de Radboud Universiteit! Deze is er namelijk nog niet... Ik heb het van dichtbij gevolgd:
- Eerst is overheid ingelicht
- Er is contact geweest met een speciale eenheid van de AIVD om de resultaten te onderzoeken
- De AIVD heeft andere inlichtingendiensten ingelicht over de kraak
- De minister (ter Horst, binnenlandse zaken) heeft de tijd gekregen om de problemen te begrijpen en oplossingen te verzinnen
- Pas NA de bekendmaking van de problematiek door het ministerie, heeft de RU een persconferentie gehouden met daarbij een demonstratie van de kraak
En sindsdien is er nog niets gepubliceerd... De technische details zijn dus nog geheim! Waarom? Omdat de RU zijn maarschappelijke verantwoordelijkheid snapt en bedrijven/overheden de tijd geeft om te reageren. Volgens mij is dit een schoolvoorbeeld voor hoe je wil dat whitehat hackers zich bemoeien met security-issues met maatschappelijk belang!
[Reactie gewijzigd door albert_gerritsen]
Dit is niet te vergelijken met een bankpas-gebeuren. Overigens, ook dat valt dus te kraken en er zijn wereldwijd voldoende gevallen bekend van mensen wiens rekening geplundert is. Oftewel, het is wat vreemd dat over deze, vrij eenvoudige, chipkaart nu zo'n heisa wordt gemaakt. Alles is te kraken, je moet juist niet de illusie hebben dat het met een betere chip, waar nog veel meer geld in gaat zitten, het plots veilig is. Schijnveiligheid noem ik dat dus. Een goede tweaker kijkt dus nog even wat verder...
Ik heb nergens geschreven dat ik onderzoek onder ogen heb gehad, ik heb dit gewoon vernomen via de media. Dit had absoluut geen probleem hoeven te vormen, het is een afweging tussen verlies aan geld voor het OV en het merendeel aan reizigers waardoor gewoon geld in het laatje komt...deze chip is lastiger te kraken dan het namaken van een strippenkaart oid en dus komt er meer geld in het laatje tov van eventuele verliezen middels hacking. En het maakt mij niets uit dat de RU dit eerst aan instanties heeft laten weten, dat was nog ok geweest, maar de media opzoeken is een fout geweest in mijn ogen. Nu breng je juist nog meer mensen op het idee om zo'n chip te kraken, waar dat eerst alleen de altijd aanwezige hackers waren geweest. Wie houden we nu voor de gek? Jullie zijn dus blij met weer een miljoentje of wat erbij van jullie belastinggeld, voor schijnveiligheid? Een sterkere sleutel zou een goede zijn ja, maar wie zegt mij dat hackers dan niet met wat soldeer-werk per ongeluk de beveiliging omzeilen (ik noem maar wat, want het gebeurt)...weer opnieuw beginnen?
Het gaat er in dit geval om dat de gewone consumenten de chip moeilijk tot niet kunnen kraken en meer is niet nodig. What's the point als je het nog moeilijker maakt, dat hackers er een jaartje langer over doen? De echte goede georganiseerde misdaad kan in theorie zelfs een moeilijke sleutel kraken, middels een bod-net oid.
ps. ik ben het er wel mee eens dat men een beter traject had kunnen belopen en mocht het bijv. zo zijn dat je een automatische incasso krijgt door het tgebruik van de ov-kaart (ik heb geen idee) dan wordt het een ander verhaal. Echter, ook dan, met dezelfde risico's.
[Reactie gewijzigd door vgroenewold]
@vgroenewold
mocht het bijv. zo zijn dat je een automatische incasso krijgt door het tgebruik van de ov-kaart (ik heb geen idee) dan wordt het een ander verhaal
Ja dus (zie deze
link over automatisch opladen)...
Kreten als "schijnveiligheid" en uitspraken als "alles is te kraken" zijn te simpel. Je kan kwantificeren wat de risico's zijn, nadenken over de betrouwbaarheid van technieken, er zijn vele mensen met verstand van zaken daarover maar die doe jij nu af als mensen die er alleen op uit zijn om belastingcenten op te strijken. Geloof me als deze mensen uit zijn op veel geld binnen halen kunnen ze beter uit de academische wereld stappen en het bedrijfsleven in, daar is veel meer te halen....
Overigens:
- Als ik een peer-reviewd en open crypto algoritme gebruik is het niet waarschijnlijk dat iemand met een beetje solderen het gemakkelijk kraakt
- Gewone consumenten kunnen dit niet kraken volgens jou? Het een kwestie van readertje kopen, software downloaden en frauderen maar. Vergelijkbare situatie met satalietontvangers een aantal jaar geleden, consumenten maakten hier veel misbruik van
- Niet de media opzoeken? Hoe verwacht je dan de publieke opinie te beinvloeden? Mensen bewust te maken van de risico's? Zelf mét deze berichtgeving steken beleidsmakers hun kop in het zand. Bovendien zijn vele bedrijven/overheden nationaal en internationaal hierdoor getroffen (toegangspassen e.d.), hoe denk je deze te bereiken?
[Reactie gewijzigd door albert_gerritsen]
Ik begrijp je punten zeker, ook op het gebied van verdiensten in de academische wereld.
Dat deze kaart opnieuw bekeken moet worden snap ik ook, alleen vraag ik mij af of je dan het systeem uberhaupt nog moet invoeren. Stel nu, men maakt de kaart precies zo als jij wilt, peer-reviewed en al. Gebruik je het dan wel met alle gerustheid van de wereld? Zoals je aangaf, er blijven risico's aanwezig, is de technologie dan wel bruikbaar voor deze mate van integratie van systemen mbv 1 kaart?
Ik vind de media altijd veel te suggestief om gebruikt te worden voor het beinvloeden van de publieke opinie. Dat valt al snel onder bang makerij, als er nu slachtoffers ontstaan van deze chipkaart dan verwacht ik zoiets zeker.
[Reactie gewijzigd door vgroenewold]
@vgroenewold:
Risico's zijn er altijd, thats life... Je moet alleen de risico's binnen de perken houden door verstandige beslissingen te nemen. Zodra ik vertrouwen in een systeem heb gebruik ik het inderdaad met een gerust hart (ook al weet ik met mijn achtergrond, dat er altijd gevaren zijn).
Media zijn misschien af en toe suggestief maar er is rond dit onderwerp best wel goede berichtgevinge geweest (over het algemeen) dus doe niet op voorhand iets van de hand als bangmakerij, soms is het beeld dat geschetst wordt ook de werkelijkheid....
@Reloon
ik volg het niet alleen van dichtbij ik ken de studenten die hiermee bezig zijn geweest persoonlijk. Ik zou ook buitengewoon geinterreseerd zijn in de URL met de publicatie met de technische details. Ik zou zeggen post maar hier, ik denk dat meer tweakers het interessant zouden vinden.
![[RSS]](http://tweakimg.net/g/if/v2/icons/rss_small.gif){kind=icon}
In een brief aan de Tweede Kamer geeft Huizinga aan dat zij de ov-chipkaart nog steeds wil invoeren, maar niet langer landelijk per 1 januari 2009. Zowel de staatssecretaris als de vervoersbedrijven sturen nu aan op een gefaseerde uitrol van de chipkaart. Na een onderzoek door de Universiteit van Londen hebben de ov-bedrijven en de regering nog steeds vertrouwen in de chipkaart, al kan het zijn dat er wel een beter beveiligde chip in de kaart moet komen. Het bedrijf Trans Link Systems, dat namens de ov-bedrijven het chipkaartproject uitvoert, is al bezig een plan op te stellen voor de migratie naar een andere chip. Als dit plan klaar is, zal Huizinga het laten beoordelen door het onderzoeksteam van de Londense universiteit.
Exacte data voor de invoering van de ov-chipkaart geeft de staatssecretaris niet. Als eerste zullen de stadsregio's aan de beurt zijn, te beginnen met Rotterdam, waar nu al een proef met de chipkaart loopt. Naar verwachting van Huizinga zal de chipkaart in het streekvervoer in de stadsregio's in de tweede helft van 2009 operationeel zijn. Hierna begint de uitrol in de provincies, die niet langer dan één jaar zal moeten duren. De acceptatieplicht van de strippenkaart zal de staatssecretaris pas afschaffen wanneer de chipkaart een "goed, veilig en betrouwbaar alternatief" is gebleken.
11:48
20:08
![[show]](http://tweakimg.net/g/if/comments/button_down.gif "Reactie uitklappen")
Door 
Maar wat veel vervelender is dat alles wat Mifare is op de straat ligt dus ook de Mifare DES fire kaarten die dus wel gebruik maken van een openbaar peer reviewed cryptoalgoritme. En de reden hiervan is dat de 256 bit encryptie ook weer niet volledig is benut, slechts 40 bit is voor encriptie.....
.