Radboud wil ov-chiprapport publiceren ondanks kort geding
De Radboud Universiteit Nijmegen wil het rapport over de gebreken van de Mifare Classic-chip publiceren, ondanks bezwaren van de fabrikant. Die is het hier niet mee eens en heeft een kort geding aangespannen om publicatie te voorkomen.
Nadat de veiligheid van de chip, die onder andere wordt gebruikt in de ov-chipkaart, ter discussie was komen te staan, hebben onderzoekers van de Radboud Universiteit deze nader onder de loep genomen. Een team onderzoekers, onder leiding van professor Bart Jacobs, wist het systeem op vrij simpele wijze te kraken en toonde aan dat de beveiliging ernstig tekort schoot. Het onderzoek vond plaats in maart van dit jaar en de universiteit heeft fabrikant NXP en de overheid meteen op de hoogte gesteld van de bevindingen, zodat ze zo nodig maatregelen konden nemen.
De universiteit is van plan om het onderzoek in oktober op een congres in Spanje openbaar te maken, maar NXP heeft daar bezwaar tegen gemaakt. Omdat overleg tussen de universiteit en de fabrikant niets opleverde, heeft NXP besloten een kort geding aan te spannen om publicatie te voorkomen. Volgens de universiteit probeert NXP hiermee de vrijheid van onderzoek en publicatie op een ontoelaatbare manier aan te tasten. De onderzoekers hebben dan ook alle vertrouwen dat zij de zaak zullen winnen.
Reacties (57)
Tuurlijk, als niemand weet hoe die het moet kraken, komt er ook niemand achter hoe die hem moet kraken. *zucht*
ja want al die geeks denken allemaal te moeilijk, - maar scriptkiddies daarintegen???
met andere woorden, je kunt maar beter zorgen dat je zoń chip kraakt - met een false naam etc - want als je je ECHTE (bank?) gegevens aan zo'n kaart toevertrouwd ben je m.i. gewoon knetter gestoord
met andere woorden, je kunt maar beter zorgen dat je zoń chip kraakt - met een false naam etc - want als je je ECHTE (bank?) gegevens aan zo'n kaart toevertrouwd ben je m.i. gewoon knetter gestoord
NXP, is dat nou dezelfde NXP als van Philips halfgeleiders?
En verder heb ik eigenlijk geen idee hoe het met dit soort zaken zit. Er zijn vast in het verleden wel meer van dit soort zaken geweest, waarbij een universiteit een onderzoek heeft gedaan naar bijv. beveiligingen en dit naar buiten wilde brengen. Een soort van precedent in het verleden moet er toch wel zijn? Of is dit weer een unieke soort actie van een universiteit?
En verder heb ik eigenlijk geen idee hoe het met dit soort zaken zit. Er zijn vast in het verleden wel meer van dit soort zaken geweest, waarbij een universiteit een onderzoek heeft gedaan naar bijv. beveiligingen en dit naar buiten wilde brengen. Een soort van precedent in het verleden moet er toch wel zijn? Of is dit weer een unieke soort actie van een universiteit?
Ik kan het helaas niet zo snel vinden op /. maar ik herinner me dat er een Defcon presentatie is geweest van soortgelijke aard waar een groepje blackhatters ook het een en ander tegen de zin van een bedrijf informatie vrijgaven en dat bedrijf poogde op dezelfde wijze dit te voorkomen.
Ergens kan ik het wel begrijpen als er de mogelijkheid bestaat om achteraf deze flaw te corrigeren echter bij de mifare gaat dit niet op en is de enigste oplossing simpelweg vervangen. Dit maakt het eigenlijk des te gevaarlijker om deze informatie te verspreiden aangezien systemen van deze aard niet zo snel te vervangen zijn, enerzijds dien je nieuwe hardware te implementeren maar ook dien je de gebruikers te voorzien van nieuwe mifare chips. Tevens brengt dit een gigantische kostenpost mee waar zowel de consument als het bedrijfsleven niet op zitten te wachten. Het is dan ook te begrijpen dat ze deze publicatie willen voorkomen gezien de gevolgen.
Tevens vraag ik me af of Radbout voor het onderzoek niet een NDA heeft getekend om aan de nodige informatie van NXP te komen wat het allemaal wel wat vreemd maakt.
Ergens kan ik het wel begrijpen als er de mogelijkheid bestaat om achteraf deze flaw te corrigeren echter bij de mifare gaat dit niet op en is de enigste oplossing simpelweg vervangen. Dit maakt het eigenlijk des te gevaarlijker om deze informatie te verspreiden aangezien systemen van deze aard niet zo snel te vervangen zijn, enerzijds dien je nieuwe hardware te implementeren maar ook dien je de gebruikers te voorzien van nieuwe mifare chips. Tevens brengt dit een gigantische kostenpost mee waar zowel de consument als het bedrijfsleven niet op zitten te wachten. Het is dan ook te begrijpen dat ze deze publicatie willen voorkomen gezien de gevolgen.
Tevens vraag ik me af of Radbout voor het onderzoek niet een NDA heeft getekend om aan de nodige informatie van NXP te komen wat het allemaal wel wat vreemd maakt.
Juist omdat de onveiligheid van deze chips zulke maatschappelijke implicaties heeft moet de universiteit dit imho aan de kaak stellen. Beter vooraf dan achteraf. Als je als chipbakker crap verkoopt moet je op de blaren zitten. NXP denkt vooral aan de eigen business en heeft geen behoefte aan negatieve exposure.
Aangezien de chip op simpele wijze gekraakt is denk ik niet dat de RU een NDA heeft getekend, maar gewoon aan de slag is gegaan met iemands OV chipkaart.
Aangezien de chip op simpele wijze gekraakt is denk ik niet dat de RU een NDA heeft getekend, maar gewoon aan de slag is gegaan met iemands OV chipkaart.
Bijkomend is dat anderen ook zonder het rapport die chip wel kunnen kraken. Door het openbaar te maken moet men actie ondernemen om systemen weer betrouwbaar te maken. Zonder publicatie is die druk veel minder en zitten consumenten met een systeem opgescheept waarin hun gegevens gewoon niet veilig zijn.
Dus, we weten dat het systeem niet voldoet... dat is meerdere malen onderzocht, en bewezen. En TOCH voeren we het in, en laten we de informatie die er voor kan zorgen dat de publieke opinie tegen de invoering is verdwijnen.
Nee, dat is een goede aanpak. Die informatie hoort gewoon op straat te liggen, dit is waarom er persvrijheid bestaat. Niet omdat men zo nodig wil weten hoe André van Duin zijn zondag-middag doorkomt.
Als de fabrikant in het gelijk wordt gesteld is dit nogmaals een bevestiging dat wij in een discutabel 'vrije' maatschappij leven.
Nee, dat is een goede aanpak. Die informatie hoort gewoon op straat te liggen, dit is waarom er persvrijheid bestaat. Niet omdat men zo nodig wil weten hoe André van Duin zijn zondag-middag doorkomt.
Als de fabrikant in het gelijk wordt gesteld is dit nogmaals een bevestiging dat wij in een discutabel 'vrije' maatschappij leven.
Het systeem en de kaart worden helaas nog wel is door elkaar gehaald.
Het systeem 'faalt' momenteel alleen omdat er nog geen procedures waren om met spoed een nieuwe kaart in te voeren. Het systeem is dan ook pas in de testfase. Het systeem is er echter op voorbereid dat dit kon gebeuren. Sterker nog, er is vanuitgegaan dat kaarten (en zeker de mifare classic) niet onveilbaar zijn. Daarom is het systeem zo opgezet dat er van kaart gewisseld kan worden zonder (al te veel) hardware te hoeven wisselen. (Firmware updates FTW)
De snelheid waarmee alles is gebeurd rond de mifare classic is inderdaad een probleem geweest voor het systeem gedurende de testfase. Maar om het daarom een failure te noemen...
Het systeem 'faalt' momenteel alleen omdat er nog geen procedures waren om met spoed een nieuwe kaart in te voeren. Het systeem is dan ook pas in de testfase. Het systeem is er echter op voorbereid dat dit kon gebeuren. Sterker nog, er is vanuitgegaan dat kaarten (en zeker de mifare classic) niet onveilbaar zijn. Daarom is het systeem zo opgezet dat er van kaart gewisseld kan worden zonder (al te veel) hardware te hoeven wisselen. (Firmware updates FTW)
De snelheid waarmee alles is gebeurd rond de mifare classic is inderdaad een probleem geweest voor het systeem gedurende de testfase. Maar om het daarom een failure te noemen...
[Reactie gewijzigd door Nijn op dinsdag 8 juli 2008 09:48]
Het feit dat mijn persoonsgegevens gekoppeld zijn aan mijn reisgegevens noem ik een failure. Maar dat is hier off-topic. 
[Reactie gewijzigd door psyBSD op dinsdag 8 juli 2008 10:19]
Dat is een keuze, geen verplichting. De annonieme kaart is overal te krijgen in de gebieden waar de OV chipkaart is ingevoerd of wordt getest. Ik heb er, als Amsterdammer, zelf ook een. Gebruik van deze kaart kost hetzelfde als een persoonlijke chipkaart en vergt geen persoonsgegevens.
De persoonlijke chipkaart heeft echter als voordeel dat je automatisch kunt opwaarderen. Je zult begrijpen dat hiervoor een koppeling naar een bankrekening en dus naar een persoon noodzakelijk is.
De persoonlijke chipkaart heeft echter als voordeel dat je automatisch kunt opwaarderen. Je zult begrijpen dat hiervoor een koppeling naar een bankrekening en dus naar een persoon noodzakelijk is.
[Reactie gewijzigd door Nijn op dinsdag 8 juli 2008 10:26]
Volgens mij is er geen anonieme chipkaart te krijgen icm een NS kortingkaart. Zo'n kortingskaart is voor de niet autobezitter/frequente treinreiziger niet echt een keuze, dus daar ga je al.
De anonieme kaart verloopt ook na een aantal maanden. Dan moet je weer een nieuwe kopen. Nee, je moet door allerlei hoepels springen om onbezorgd te kunnen reizen.
Ik bepaal waar ik heen reis, en hoe ik dat doe. Straks kun je alleen nog maar lopend van A naar B omdat dit de enige manier is waarop jouw reis-gegevens enkel aan jou toebehoren.
Ik bepaal waar ik heen reis, en hoe ik dat doe. Straks kun je alleen nog maar lopend van A naar B omdat dit de enige manier is waarop jouw reis-gegevens enkel aan jou toebehoren.
5 jaar. Vorig jaar gekocht, geldig tot 01-01-2012.
Deze houding levert ons alleen schijnveiligheid.
De chip is al vrij lang doelwit van verschillende hackers/onderzoekers en er is al vrij veel over bekend. Zoals hier te lezen is zijn er al 3 onderzoeksgroepen met aanvallen op de mifare classic. En dan heb ik het over de onderzoekswereld, de mensen met idealen en die samenwerken om de beveiliging beter te maken. Wat te denken van alle mensen die niet zo netjes te werk gaan, of misschien zelfs kwade bedoelingen hebben.
En deze problemen zijn al vrij lange tijd bekend (denk jaren), desondanks heeft NXP ervoor gekozen de kaart toch te blijven verkopen de afgelopen jaren. NXP heeft hiermee aangetoont niet de verantwoordelijkheid te kunnen dragen voor het fabriceren van veilige systemen, daarbij hoort namelijk dat je paranoide bent over misbruik, je producten aanpast en klanten op de hoogte stelt van problemen. Daarmee is voor mij bewezen dat er nu, voor eens en voor altijd, duidelijkeheid moet komen met een wetenschappelijke publicatie en de daarbijhorende vorming van de publieke opinie.
Ik ben het met je eens dat het best een impact heeft en schade op zal leveren. Maar dit is niet de schuld van de RU maar (volgens mij) van NXP. Niet publiceren maakt het echt niet veiliger maar maakt alleen dat we op dezelfde manier doorsukkelen.
Overigens de RU heeft helemaal zonder hulp van NXP deze bevindingen gedaan, van een NDA is dus geen sprake.
De chip is al vrij lang doelwit van verschillende hackers/onderzoekers en er is al vrij veel over bekend. Zoals hier te lezen is zijn er al 3 onderzoeksgroepen met aanvallen op de mifare classic. En dan heb ik het over de onderzoekswereld, de mensen met idealen en die samenwerken om de beveiliging beter te maken. Wat te denken van alle mensen die niet zo netjes te werk gaan, of misschien zelfs kwade bedoelingen hebben.
En deze problemen zijn al vrij lange tijd bekend (denk jaren), desondanks heeft NXP ervoor gekozen de kaart toch te blijven verkopen de afgelopen jaren. NXP heeft hiermee aangetoont niet de verantwoordelijkheid te kunnen dragen voor het fabriceren van veilige systemen, daarbij hoort namelijk dat je paranoide bent over misbruik, je producten aanpast en klanten op de hoogte stelt van problemen. Daarmee is voor mij bewezen dat er nu, voor eens en voor altijd, duidelijkeheid moet komen met een wetenschappelijke publicatie en de daarbijhorende vorming van de publieke opinie.
Ik ben het met je eens dat het best een impact heeft en schade op zal leveren. Maar dit is niet de schuld van de RU maar (volgens mij) van NXP. Niet publiceren maakt het echt niet veiliger maar maakt alleen dat we op dezelfde manier doorsukkelen.
Overigens de RU heeft helemaal zonder hulp van NXP deze bevindingen gedaan, van een NDA is dus geen sprake.
[Reactie gewijzigd door albert_gerritsen op dinsdag 8 juli 2008 20:32]
Precies. Als wordt aangetoond dat de veiligheid van een product niet goed is en de onderzoekers hun bevindingen met je willen delen moet je daar onmiddelijk op ingaan. Als je vervolgens weigert de onderzoekers je te laten helpen rest er niets anders dan publicatie.Even voor de beeldvorming:
- In China worden al jaren verbeterde en compatibele mifare kaarten geproduceerd zonder licentie van NXP. Dus de kaarten waren al gereverse engineered en de gevoeligheden lagen al op straat.
- Carsten Nohl heeft al best wel veel details over de gevoeligheden de wereld in geholpen.
- NXP heeft de bugs verwijderd in opvolgers van de kaart, die al jaren bestaan...
NXP heeft ondanks het bovenstaande ervoor gekozen de kaart toch te blijven verkopen de afgelopen jaren. NXP heeft hiermee aangetoond niet de verantwoordelijkheid te kunnen dragen voor het fabriceren van veilige systemen, daarbij hoort namelijk dat je paranoide bent over misbruik, je producten aanpast en klanten op de hoogte stelt van problemen. Daarmee is voor mij bewezen dat er nu, voor eens en voor altijd, duidelijkeheid moet komen met een wetenschappelijke publicatie en de daarbijhorende vorming van de publieke opinie.
Het is een manier om dit soort fabrikanten uit hun luie stoelen te trekken.
Tja, god behoed dat dit raport een prestige project, van ons overheidsdepartement in de weg staat én daarbij NXP zijn naam schaad. Die hele OV chipkaart is ondertussen alweer een verspilling van ons belasting geld geweest en waarvan volgens mij NXP een aardige cent heeft mee gepikt. Dus natuurlijk zijn die niet blij dat iemand hun chippie weet te kraken.
Vraag me overigens ook af waarom het onderzoek pas in oktober openbaar gemaakt word. Hoewel, Spanje in oktober verslaat het pauper weer hier in Nederland easy dus eigenlijk snap ik het ook weer wel. Snoepreisje van ons belasting geld naar Spanje.
Vraag me overigens ook af waarom het onderzoek pas in oktober openbaar gemaakt word. Hoewel, Spanje in oktober verslaat het pauper weer hier in Nederland easy dus eigenlijk snap ik het ook weer wel. Snoepreisje van ons belasting geld naar Spanje.
Euhmm Als het zo simple is.. Dan zullen de gene die het willen wel die kaart kunnen kraken. Als een steletje oude proffessors dat ding kunne kraken, denk eens na wat new age hackers niet kunnen.
Ik weet niet hoe je aan zo'n lage dunk van professoren komt maar die mensen hebben een onnoemelijke hoeveelheid aan kennis en zijn echt wel in staat om allerlei uitdagende mathematische problemen die bij het kraken van zo'n chip komen kijken op te lossen. Of die new age hackers van jou dat beter kunnen durf ik echt te betwijfelen.Als een steletje oude proffessors dat ding kunne kraken, denk eens na wat new age hackers niet kunnen.
Nu moet je die kennis ook weer niet overschatten hoor, men is vaak heel goed in 1 ding, ook qua kennis. Maar goed, dit riekt een beetje naar bestaansrecht creeeren voor de onderzoekers. Wat is nu het punt om dit te publiceren als het doel was om aan te tonen dat deze chip onveilig was, natuurlijk leuk om dit tijdens een congres aan collega's te laten zien, maar andere belangen worden daarmee enigzins over het hoofd gezien.
Dat "aan collega's laten zien" is essentieel voor universitair onderzoek. Dat maakt het onderzoek controleerbaar door anderen.
Hierboven wordt nog gesuggereerd dat de universiteit een NDA getekend zou hebben. Dat lijkt mij zeer onwaarschijnlijk omdat je dan geen onafhankelijk onderzoek kunnen doen.
Natuurlijk willen ze ook goede sier maken. Dat hoort net zo goed bij hun werk.
Als je ziet wat voor een bagger er op beveiligingsgebied op de markt komt en wat voor een ideeën de overheid heeft die de privacy schenden, dan mogen we blij zijn met een universiteit die doet waarvoor ze bestaan: onafhankelijk onderzoek en in dit geval ook nog eens maatschappelijk relevant.
Hierboven wordt nog gesuggereerd dat de universiteit een NDA getekend zou hebben. Dat lijkt mij zeer onwaarschijnlijk omdat je dan geen onafhankelijk onderzoek kunnen doen.
Natuurlijk willen ze ook goede sier maken. Dat hoort net zo goed bij hun werk.
Als je ziet wat voor een bagger er op beveiligingsgebied op de markt komt en wat voor een ideeën de overheid heeft die de privacy schenden, dan mogen we blij zijn met een universiteit die doet waarvoor ze bestaan: onafhankelijk onderzoek en in dit geval ook nog eens maatschappelijk relevant.
Uiteraard is dat een basis van goed onderzoek, maar men heeft als Universiteit zelf de media opgezocht, iedereen weet er nu vanaf waardoor de veiligheid zowiezo minder is geworden en dan ook nog de gehele procedure uit de doeken doen. Normaal gesproken weet bijna niemand, behalve onderzoekers in het vak, over wat er op congressen naar voren wordt gebracht...nu des te meer en dat vind het net even het verschil. Dat men onderling elkaar controleert is helemaal prima, maar in dit speficieke geval vind ik dat de Universiteit iets te ver is gegaan, de maatschappelijke gevolgen van het continue opzoeken van de media zijn namelijk vrij groot. Ook de belabberde beveiliging die inderdaad bestaat, is lang niet zo onveilig wanneer niemand vantevoren weet hoe dit gekraakt moet worden. Professionals zullen dit zowiezo kunnen, nu kunnen veel meer mensen dit en via de media is daar ook nog eens flink wat meer belangstelling voor. Het wordt nu een sport het nieuwe systeem te kraken.
Neemt niet weg dat de beveiliging zowiezo beter had gemoeten, maar dat vind ik een ander punt.
Neemt niet weg dat de beveiliging zowiezo beter had gemoeten, maar dat vind ik een ander punt.
[Reactie gewijzigd door vgroenewold op dinsdag 8 juli 2008 10:13]
Zoals ik hierboven aangaf, de beveiliging is al jaren een probleem bij deze kaart. We wanen ons alleen in de illusie dat het veilig is en maken onszelf steeds meer afhankelijk van deze onveilige technologie. Iemand met verstand van zaken had je voor deze berichtgeving al kunnen vertellen dat het niet slim was met de mifare classic aan de slag te gaan, toch is het gebeurt.
Geen media opzoeken? Hoe zou jij deze cirkel dan doorbreken? Hoe zou jij ervoor zorgen dat overheden en bedrijven geen producten hierop baseren? NXP neemt deze verantwoordelijkheid duidelijk niet...
Bovendien is het niet zo dat de RU een mediahype aan het voeden is (wat jij een beetje suggereerd), je moet beseffen dat dit een high profile zaak is en de media duikt daar zelf wel bovenop. En de RU doet er verstandig aan op een open manier te handelen om de berichtgeving zo helder en correct mogelijk te houden.
Geen media opzoeken? Hoe zou jij deze cirkel dan doorbreken? Hoe zou jij ervoor zorgen dat overheden en bedrijven geen producten hierop baseren? NXP neemt deze verantwoordelijkheid duidelijk niet...
Bovendien is het niet zo dat de RU een mediahype aan het voeden is (wat jij een beetje suggereerd), je moet beseffen dat dit een high profile zaak is en de media duikt daar zelf wel bovenop. En de RU doet er verstandig aan op een open manier te handelen om de berichtgeving zo helder en correct mogelijk te houden.
Mja mja, ik geef je op veel punten gelijk, ik kan mij alleen dat negatieve gevoel niet afschudden. Niet echt een goede onderbouwing, ik weet het, maar het punt wat ik slecht vindt is het creeeren van een bovengemiddelde interesse voor het kraken van OV-systemen. Het is een bijwerking van het open zijn en via de media de slechte beveiliging doorbreken (wat ik in hele specifieke gevallen als deze nog ok vind), mijn negatieve gevoel zit 'em dus in de afweging wat een uiteindelijk veiliger product zou opleveren. Als bijna niemand van de onveiligheid van deze chip had afgeweten, zou deze dan massaal zijn misbruikt? Er gaat ontzettend veel gemeenschaps-geld mee gemoeid en daar wringt mij den schoen. Men zou een systeem moeten hebben waarbij onafhankelijke wetenschappers een bepaalde macht hebben in het laten herzien van een project, zonder media-gebeuren en met de mogelijkheid tot het voor een sterk gereduceerd bedrag laten overdoen van de chip door het bedrijf. Een flinke groep wijzen.
Nou, in dit geval heeft de Nederlandse regering een eerder negatief rapport 'bijgeschaafd' vooraleer het in de kamer(s) besproken werd. Ze weten dus dat dit systeem (zeer) makkelijk te kraken valt, zeker voor de enkelingen die reeds over een internetverbinding beschikken. Toch beslissen ze om hun kop in het zand te steken en het in te voeren.
Vind jij dan dat ze hun resultaten niet zouden mogen publiceren 'omdat het mensen op ideeën zou brengen'? Als blijkt dat jouw bankrekening door iedereen leeg te halen is, zou jij dan ook willen dat ze je het niet vertellen?
Vind jij dan dat ze hun resultaten niet zouden mogen publiceren 'omdat het mensen op ideeën zou brengen'? Als blijkt dat jouw bankrekening door iedereen leeg te halen is, zou jij dan ook willen dat ze je het niet vertellen?
Door de huidige manier van evalueren van wetenschappelijk onderzoek is het essentieel dat ze dit onderzoek publiceren. Immers wordt het aantal publicaties van een onderzoeker maar al te vaak als maatstaf gehanteerd.
Daarenboven is het ook essentieel voor de vooruitgang van het wetenschappelijk onderzoek (en breder gezien, de maatschappij) dat de rest van de wetenschappelijke wereld de kennis toebedeeld krijgt van hoe deze beveiligingen fout waren en wat de mogelijke verbeteringen zijn. En die kennis wordt nu eenmaal traditioneel gedeeld via een publicatie en/of een voordracht op een wetenschappelijk congres.
Daarenboven is het ook essentieel voor de vooruitgang van het wetenschappelijk onderzoek (en breder gezien, de maatschappij) dat de rest van de wetenschappelijke wereld de kennis toebedeeld krijgt van hoe deze beveiligingen fout waren en wat de mogelijke verbeteringen zijn. En die kennis wordt nu eenmaal traditioneel gedeeld via een publicatie en/of een voordracht op een wetenschappelijk congres.
Sterker nog, het feit dat ze erin geslaagd zijn de Mifare-chip te kraken - een chip die door de overheid en het bedrijfsleven als veilig genoeg werd gezien - bewijst wellicht al dat "dat stelletje oude professors" de new age hackers zííjn waar jij zo lyrisch over lijkt?
Of dacht je dat professoren op een Uni nog steeds 70-jarige mannetjes met een witte jas en een brilletje zijn die de hele dag als een seniele bejaarde met een ouderwetse vulpen wat notities in een boekje zit te krabbelen?
Of dacht je dat professoren op een Uni nog steeds 70-jarige mannetjes met een witte jas en een brilletje zijn die de hele dag als een seniele bejaarde met een ouderwetse vulpen wat notities in een boekje zit te krabbelen?
denk eens na wat new age hackers niet kunnen. <-- dat ding als 2de kraken misschien ?
It's all about being 1.0
It's all about being 1.0
dit is idd pal tegen het basisprincipe van onderzoek doen. Bijvoorbeeld hoe veel medicijnen zijn er wel niet onderzocht van fabrikanten om aan te tonen dat ze minder goed werken dan aanvankelijk werd gedacht en werd dit ook gewoon gepubliceerd (met ongenoegen van de fabrikant natuurlijk). Dit is gewoon eerlijk omdat de 'normale' mens, (c.q. de eindgebruiker van bvb. de OV-chip of in mijn voorbeeld het medicijn) hier anders nooit over had gehoord. Ik ga er dus ook sterk van uit dat NXP dit gewoon keihard gaat verliezen. Want laten we eerlijk zijn, als ze zo hard gefaald hebben iets goeds te ontwikkelen hebben zo ook niet beter verdiend...
EDIT: @ hierboven, vroeger was dit idd het geval dat er onderzoeken achter gehouden werden, maar vandaag de dag moeten alle onderzoeksresultaten gepubliceerd worden en kan iedereen de negatieve dingen zo van de EMEA of FDA website halen. Volgens mij kan je gewoon niet de publicatie van dit soort dingen tegenhouden, omdat we gelukkig vrijheid van meningsuiting hebben...
@squindahr: dit wordt door patentbescherming tegengegaan, je kunt niet een medicijn namaken en verkopen, ook al heb je de ingrediënten en recept op een bordje gekregen, totdat de patentstermijn is verstreken. Het patent kun je sowieso zelf bekijken en mede daarom kunnen 'generics' de tijd tot het einde van de patentstermijn gebruiken om het medicijn na te maken en te testen zodat ze hun generiek op dezelfde datum van afloop de markt op kunnen gooien.
EDIT: @ hierboven, vroeger was dit idd het geval dat er onderzoeken achter gehouden werden, maar vandaag de dag moeten alle onderzoeksresultaten gepubliceerd worden en kan iedereen de negatieve dingen zo van de EMEA of FDA website halen. Volgens mij kan je gewoon niet de publicatie van dit soort dingen tegenhouden, omdat we gelukkig vrijheid van meningsuiting hebben...
@squindahr: dit wordt door patentbescherming tegengegaan, je kunt niet een medicijn namaken en verkopen, ook al heb je de ingrediënten en recept op een bordje gekregen, totdat de patentstermijn is verstreken. Het patent kun je sowieso zelf bekijken en mede daarom kunnen 'generics' de tijd tot het einde van de patentstermijn gebruiken om het medicijn na te maken en te testen zodat ze hun generiek op dezelfde datum van afloop de markt op kunnen gooien.
[Reactie gewijzigd door les_paulde op dinsdag 8 juli 2008 09:33]
Medicijnen is een slecht voorbeeld hier, gebeurt met enige regelmaat dat negatieve rapporten worden tegengehouden. Of dat onderzoek gefinancierd wordt maar het wel de bedoeling is dat het resultaat positief is. In meta-onderzoeken (onderzoeken die de resultaten van andere onderzoeken bundelen) wordt deze factor zelfs meegenomen. Werdt nog aangehaald onlangs bij het 'anti-depressiva werken niet' onderzoek. Niettemin zou het wel zo moeten werken als jij illustreert en hoop ik dat dat kort geding wordt afgeschoten.
Ik vrees dat jou vergelijking niet klopt. Je moet er aan denken dat je een nieuw medicijn op de markt brengt als bedrijf en dat er een paar maand later een paar onderzoekers de ingrediëntenlijst en exacte bereiding van jouw medicijn publiekelijk gaan lopen te verkopen.
Verder denk ik dat het Radbout op deze mannier gewoon media aandacht zoekt en dat vindt ik eerlijk gezegd een beetje zielig. NXP wist dat deze chip makkelijker te kraken was dan de duurdere, maar de overheid wou de goedkope chip, dus kregen ze die. Verder denk ik dat de veiligheid waar we ons nu een druk over maken een beetje schijn is. Heb je wel eens geprobeerd een automatische incasso te doen, heb jij een credit card?? Bij dat soort dingen dingen is het gebruik ook volledig gebaseerd op vertrouwen. Ik denk dat we dat hier misschien ook wel nodig hebben (ik bedoel geen blind vertrouwen, maar we moeten ook niet extreem paranoia zijn en de dingen meteen kapot maken), anders kon het wel eens heel erg moeilijk worden om wat vooruitgang te gaan boeken.
Verder denk ik dat het Radbout op deze mannier gewoon media aandacht zoekt en dat vindt ik eerlijk gezegd een beetje zielig. NXP wist dat deze chip makkelijker te kraken was dan de duurdere, maar de overheid wou de goedkope chip, dus kregen ze die. Verder denk ik dat de veiligheid waar we ons nu een druk over maken een beetje schijn is. Heb je wel eens geprobeerd een automatische incasso te doen, heb jij een credit card?? Bij dat soort dingen dingen is het gebruik ook volledig gebaseerd op vertrouwen. Ik denk dat we dat hier misschien ook wel nodig hebben (ik bedoel geen blind vertrouwen, maar we moeten ook niet extreem paranoia zijn en de dingen meteen kapot maken), anders kon het wel eens heel erg moeilijk worden om wat vooruitgang te gaan boeken.
ho ! Je hebt een medicijn waarvan jij claimt dat het een bepaalde ziekte tegengaat. Wat onderzoekers ontdekken dat dat helemaal niet zo is, willen met je praten erover, jij wil niet echt praten en zij publiceren dan maar de hele zooi.
De Mifare Plus chip is ook al door de universiteit van Londen gekraakt. Verder is het Guusje ter Horst welke de onderzoeken publiekelijk heeft gemaakt.
De Radboud universiteit wil het onderzoek publiceren voor de academische wereld. En ja, dat zal inderdaad voor Mifare betekenen dat ze op korte termijn een groot probleem hebben. Alle passen welke hun chip gebruiken kunnen dan op eenvoudige wijze gekraakt worden. Daaronder bevinden zich ook toegangs passen voor enkele ministeries.
De chipzelf bevat gewoon teveel informatie waarvoor encryptie nodig. En encryptie kan gewoon gekraakt worden. Hadden ze de informatie beperkt tot een readonly ID dan valt er geen kaart te kraken. Dan moeten de hackers het centrale informatie systeem proberen te hacken en zo'n systeem is een stuk beter te beveiligen. Dat betekend inderdaad dat alle OV voertuigen (bussen,trams,toegansgpoorten) een verbinding nodig hebben met de database.
Zo'n systeem kan dan ook 'zien' dat je overstapt op een ander OV voertuig zonder dat je bent uitgechecked. Iets wat je momenteel in Rotterdam 4,50 kost.
De publicatie van de gekraakte chip is dus van groot maatschappelijk belang.
De Radboud universiteit wil het onderzoek publiceren voor de academische wereld. En ja, dat zal inderdaad voor Mifare betekenen dat ze op korte termijn een groot probleem hebben. Alle passen welke hun chip gebruiken kunnen dan op eenvoudige wijze gekraakt worden. Daaronder bevinden zich ook toegangs passen voor enkele ministeries.
De chipzelf bevat gewoon teveel informatie waarvoor encryptie nodig. En encryptie kan gewoon gekraakt worden. Hadden ze de informatie beperkt tot een readonly ID dan valt er geen kaart te kraken. Dan moeten de hackers het centrale informatie systeem proberen te hacken en zo'n systeem is een stuk beter te beveiligen. Dat betekend inderdaad dat alle OV voertuigen (bussen,trams,toegansgpoorten) een verbinding nodig hebben met de database.
Zo'n systeem kan dan ook 'zien' dat je overstapt op een ander OV voertuig zonder dat je bent uitgechecked. Iets wat je momenteel in Rotterdam 4,50 kost.
De publicatie van de gekraakte chip is dus van groot maatschappelijk belang.
Ik denk dat die exacte lijst van ingredienten en bereiden een eerste voorwaarde is om uberhaupt toegelaten te worden op de nederlands, europese of amerikaans marktIk vrees dat jou vergelijking niet klopt. Je moet er aan denken dat je een nieuw medicijn op de markt brengt als bedrijf en dat er een paar maand later een paar onderzoekers de ingrediëntenlijst en exacte bereiding van jouw medicijn publiekelijk gaan lopen te verkopen.
. En daarna nog een berg aan trials voordat je verder kunt als fabrikant.Ik denk dat het eigenlijk, eindelijk, eens tijd wordt om die heel gevaarlijke op niets anders dan vertrouwen gebaseerde manier van werken achter ons te laten. We kunnen het nu op een betere manier doen en het is nog redelijk betaalbaar ook.
Ja een zeer groot deel van de financieele wereld is op niets anders dan gloof mij nu maar en ik weet het beter dan jij dus je kunt op mij vertrouwen gebaseerd dat is dus ook waarom er nog steeds zo gemakelijk geld van je rekening gestolen kan worden en waarom het ook zo vaak nog gebeurt.
Recent was er een EU advies comissie die voorstelde om mensen gewoon af te sluiten als het lijkt als of men een virus/trojan/open relay/phishing site op hun computer heeft staan. Dat houd dus in dat dankzij dit vertrouwen in grote bedrijven wij nu gewoon afgesloten kunnen worden van het internet om die zelfde grote bedrijven te beschremen tegen aanvallen opgezet via fouten in software van andre grote bedrijven die we dus ook maar moeten blijven vertrouwen.
De overheid wilde zo als altijd voor een dubeltje op de eerste rij zitten, en dat kan nu eenmaal niet. Maar als je een ambtenaar vraagt om te oordelen over welke chip gebruikt moet worden en zijn goede vriend uit eindhoven verteld dat het verschil maar een paar bits is en dat de goedkoope oplossing in ongeveer 2Miljoen kaartjes in Nederland al gebruikt wordt, ja dan is de keuze simpel...
Als je een timmerman vraagt welke processor het best werkt voor een bepaalde toepassing dan kan hij, ondanks het feit dat het een hele goede timmerman is, ook niet een wel overwogen antwoord geven, en zal hij zich baseren op het beste verkoop praatje.
We moeten af van het idee dat een ambtenaar alles maar weet en we moeten helemaal stopen met het idee dat we gewoon maar vertrouwen moeten hebben in de grote bedrijven alleen omdat dat wel zo makelijk is voor hun bedrijfs model.
Oke, oke even on topic dan.
De universiteit moet het gewoon uitgeven als ik als onderzoeker een vinding doe dan moet ik vij zijn deze te publiceeren helemaal als deze vinding zo als al eerder vermeld betrekking heeft op miljoenen mensen.
Dat NXP wil dat de universiteit hun mond houden is niets anders dan proberen hun bedrijf draaiende te houden. Natuurlijk zullen er veel bedrijven zijn die die kaart niet meer willen of om legal redenen niet meer kunnen gebruiken als blijkt dat het kaartje echt binnen een paar minuten te kraken is. Aan de andere kant had NXP natuurlijk zelf ook kunnen inschaten dat als er echt onderzoek gedaan zou worden naar de werking van deze kaart de beveiliging snel door de mand zou vallen. Ze hebben niet voor niets een betere oplossing beschikbaar.
Het tegen houden van een publicatie op basis van het feit dat je klanten dan inzicht krijgen in hoe goed dan wel slecht het product overeen komt met de verwachtingen die je als bedrijf bij de klant geschapen hebt is natuurlijk helemaal verkeerd en voor mij weer een extra rede om geen zaken te willen doen met een bedrijf dat er deze praktijken op na houd.
Ja een zeer groot deel van de financieele wereld is op niets anders dan gloof mij nu maar en ik weet het beter dan jij dus je kunt op mij vertrouwen gebaseerd dat is dus ook waarom er nog steeds zo gemakelijk geld van je rekening gestolen kan worden en waarom het ook zo vaak nog gebeurt.
Recent was er een EU advies comissie die voorstelde om mensen gewoon af te sluiten als het lijkt als of men een virus/trojan/open relay/phishing site op hun computer heeft staan. Dat houd dus in dat dankzij dit vertrouwen in grote bedrijven wij nu gewoon afgesloten kunnen worden van het internet om die zelfde grote bedrijven te beschremen tegen aanvallen opgezet via fouten in software van andre grote bedrijven die we dus ook maar moeten blijven vertrouwen.
De overheid wilde zo als altijd voor een dubeltje op de eerste rij zitten, en dat kan nu eenmaal niet. Maar als je een ambtenaar vraagt om te oordelen over welke chip gebruikt moet worden en zijn goede vriend uit eindhoven verteld dat het verschil maar een paar bits is en dat de goedkoope oplossing in ongeveer 2Miljoen kaartjes in Nederland al gebruikt wordt, ja dan is de keuze simpel...
Als je een timmerman vraagt welke processor het best werkt voor een bepaalde toepassing dan kan hij, ondanks het feit dat het een hele goede timmerman is, ook niet een wel overwogen antwoord geven, en zal hij zich baseren op het beste verkoop praatje.
We moeten af van het idee dat een ambtenaar alles maar weet en we moeten helemaal stopen met het idee dat we gewoon maar vertrouwen moeten hebben in de grote bedrijven alleen omdat dat wel zo makelijk is voor hun bedrijfs model.
Oke, oke even on topic dan.
De universiteit moet het gewoon uitgeven als ik als onderzoeker een vinding doe dan moet ik vij zijn deze te publiceeren helemaal als deze vinding zo als al eerder vermeld betrekking heeft op miljoenen mensen.
Dat NXP wil dat de universiteit hun mond houden is niets anders dan proberen hun bedrijf draaiende te houden. Natuurlijk zullen er veel bedrijven zijn die die kaart niet meer willen of om legal redenen niet meer kunnen gebruiken als blijkt dat het kaartje echt binnen een paar minuten te kraken is. Aan de andere kant had NXP natuurlijk zelf ook kunnen inschaten dat als er echt onderzoek gedaan zou worden naar de werking van deze kaart de beveiliging snel door de mand zou vallen. Ze hebben niet voor niets een betere oplossing beschikbaar.
Het tegen houden van een publicatie op basis van het feit dat je klanten dan inzicht krijgen in hoe goed dan wel slecht het product overeen komt met de verwachtingen die je als bedrijf bij de klant geschapen hebt is natuurlijk helemaal verkeerd en voor mij weer een extra rede om geen zaken te willen doen met een bedrijf dat er deze praktijken op na houd.
Goed dat het Radboud die verantwoordelijkheid opzich neemt, als het kabinet weer eens de boel probeert te verdoezelen/manipuleren. Gaarne ook de passages die geschrapt zijn uit het "definitieve" rapport die de minister zogenaamd niet te zien kreeg dan alsjeblieft, hierin opnemen. En wat mij betreft is dit een geweldige "klokkenluider" voorbeeld functie. De vraag is dan wel weer of het wel zo verstandig is dat de universiteit dit doet, voor eigen reputatie en andere consequenties financieel e.d.
Ik kan me er ontzettend over ergeren dat ondanks meerdere malen aangetoond is geworden dat de ov-chip kraakgevoelig is, dit toch doorgezet wordt.
Ik kan me er ontzettend over ergeren dat ondanks meerdere malen aangetoond is geworden dat de ov-chip kraakgevoelig is, dit toch doorgezet wordt.
En ik maar denken dat het Radboud een door de overheid gefinancierde instelling is en NXP een commercieel bedrijf dat een gammel product heeft en hier geen details over op straat wil.
De klokke(n)luidersfunctie van onderzoeksinstituten moet te allen tijde gerespecteerd worden. Hoed u voor laster en dubbele agenda's maar dit kan niet genegeerd worden.
Te kraken en dus zijn de privacy of de mogelijkheid (kans wordt groter als kraakbeveiliging slecht, en na een rapport nog groter - maar dan ben je gewaarschuwd) van een economisch delict in het geding.
Dit mag de burger natuurlijk weer niet weten, slaapt u gerust verder. De bedrijven die verantwoordelijk zijn houden de wacht... al zal (zullen) de verantwoordelijke manager(s) voor het ontstaan van zo'n situatie wel weer de dans ontspringen.
Te kraken en dus zijn de privacy of de mogelijkheid (kans wordt groter als kraakbeveiliging slecht, en na een rapport nog groter - maar dan ben je gewaarschuwd) van een economisch delict in het geding.
Dit mag de burger natuurlijk weer niet weten, slaapt u gerust verder. De bedrijven die verantwoordelijk zijn houden de wacht... al zal (zullen) de verantwoordelijke manager(s) voor het ontstaan van zo'n situatie wel weer de dans ontspringen.
[Reactie gewijzigd door Ramzzz op dinsdag 8 juli 2008 09:46]
Mwa, kunnen ze dan niet de publicatie tegengaan door simpel te stellen dat ze geen recht hebben op het gebruik van de geregistreerde namen? onderzoek of geen onderzoek, je mag niet zonder toestemming zomaar een merknaam gebruiken...
Je mag merknamen echt wel noemen hoor. En anders noemen ze die chip in hun publicatie " een bekende chip van een bedrijf uit het oosten van Nederland". Dan weet ook iedereen wat ze bedoelen en is de merknaam niet genoemd.
Dat mag je volgens mij wel zo lang je geen dingen beweert die niet waar zijn.
Natuurlijk mag je wel merknamen noemen. Wat niet mag is laster, maar dat is onwaarheden verkondigen. Objectief vertellen dat de chip zwakheden bevat, is geen laster en dus prima toegestaan.
Ik zie dus ook niet in welk juridische argumenten NXP en OV-chip gaan gebruiken om publicatie tegen te houden.
Ik zie dus ook niet in welk juridische argumenten NXP en OV-chip gaan gebruiken om publicatie tegen te houden.
Ze hopen waarschijnlijk dat de rechter de maatschappelijke gevolgen te groot vindt en daarom de boel verbied. Verder zullen ze nog proberen aan te voeren dat die dingen uit het onderzoek al langer bekend waren en dat ze hierdoor onnodig gezichtverlies lijden.
Ze kunnen beter nu meteen publiceren op internet, in de vorm van een enkele, simpel te downloaden en verspreiden pdf of zo. Dan is dat hele kortgeding nutteloos geworden want bijna iedereen die de gegevens wil inzien heeft ze dan al gezien, en de rest zoekt het document wel op p2p netwerken op.
Het gaat ze er niet om dat ze het niet kunnen, dat is inderdaad nauwelijks tegen te halen. Het gaat ze ook om het fundamentele recht om onderzoeksgegevens te publiceren.
Een beetje tweakert zoekt zelf en vind... http://events.ccc.de/cong...rplan/events/2378.en.html
En dan maar ook de fingerprint hack erbij.. http://www.stdot.com/pub/ffs/hack3.html
En dan maar ook de fingerprint hack erbij.. http://www.stdot.com/pub/ffs/hack3.html
[Reactie gewijzigd door regmaster op dinsdag 8 juli 2008 10:23]
Security die afhankelijk is van obscurity is per definitie onbetrouwbaar.
Op dit item kan niet meer gereageerd worden.
Populair: Tablets Samsung Websites en communities Mobiele telefoons Google Sony Games Microsoft Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
