Minister: vanaf eind 2011 beter beveiligde ov-chipkaart

Een beter beveiligde ov-chipkaart kan vanaf eind 2011 geproduceerd worden en de invoering kan enkele jaren duren. Dat kwam naar voren tijdens het politieke debat over de ov-chipkaart, dat donderdagmiddag werd gehouden in de Tweede Kamer.

De nieuwe chipkaart wordt niet uitgerust met een Mifare-chip, die nu makkelijk kan worden gekraakt, maar met een SmartMX-chip. De SmartMX-chip heeft in tegenstelling tot de huidige kaart een eigen microprocessor aan boord, die in staat is om complexere cryptografische berekeningen uit te voeren. Daardoor kan deze chip veel beter worden beveiligd. Er kunnen verschillende besturingssystemen op de SmartMX worden gedraaid, waaronder Java Card. De kaart is echter ook duurder.

Minister Melanie Schultz van Infrastructuur en Milieu erkende dat ook de nieuwe kaart niet volledig bestand is tegen kraken. "Hij is veiliger, maar je houdt altijd risico op kraak. Mensen zullen het altijd proberen te kraken." Schultz laat het tempo van de invoering van de nieuwe kaart afhangen van de omvang van de fraude. Ze erkende dat Trans Link Systems, het bedrijf dat ov-chipkaart beheert, machteloos staat tegenover de nieuwste hack, waarbij gebruikers thuis kunnen inchecken. "TLS moet gaan zorgen dat deze hack onmogelijk wordt. Dit is een tijdelijke voorsprong in deze rat race. Ik baal van al deze lekken."

Het debat werd aangevraagd door SP en PvdA, nadat deze week diverse media over het kraken van de ov-chipkaart publiceerden. Waar het ophogen van het saldo eerst nog kennis van Linux vereiste, is er nu ook een Windows-versie van de benodigde software. Wel is uiteraard nog steeds een rfid-lezer nodig, die op het internet voor rond 30 euro te krijgen is. Ook bleek het mogelijk om in te checken zonder langs een poortje of incheckpaal te gaan. Daardoor kan onbeperkt gratis worden gereisd, zonder dat TLS het merkt.

De ov-chipkaart is in de afgelopen jaren ingevoerd, terwijl in 2008 duidelijk werd dat de Mifare-chip in de kaart gekraakt kon worden. Inmiddels is de kaart in delen van Nederland al in gebruik, terwijl in steeds meer gebieden strippenkaarten en andere vormen van betalen voor ov worden afgeschaft.

De kaartlezers die nodig zijn voor de hack zouden volgens de Kamerleden al uitverkocht zijn. Ook werd gerefereerd aan het feit dat de torrent van de software al in de top 100 zou staan van meest gedownloade software bij The Pirate Bay. "We moeten voorkomen dat het een sport wordt om dit te doen. Het is een strafbaar feit, waarvoor je straf kunt krijgen", aldus de minister.

IT-banen

Reacties (262)

262

253

116

Wijzig sortering

beerse 27 januari 2011 16:25

Wonderbaarlijk dat de politiek zich op zo'n detail vast zet. Kunnen ze niet, net zoals bij de banken, zeggen: TransLink, je bent net zo verantwoordelijk als de banken en creditcard-bedrijven: geld in, geld uit. Zorg er maar voor dat het goed werkt en veilig is, elk misbruik is je eigen geld en niet zeuren over misbruik.

Bij banken hebben we al jaren een goed werkend pasjes systeem. Met magneetstrip-pinnen, met chipknip en de laatste tijd met chip-pinnen. Daar hoor je veel minder klachten.

De politiek kan zich dan misschien (Europees breed) met het gebruikte protocol en de politiek bemoeien maar laat de bedrijven de chips maar ontwerpen en bakken. Nu is het 1 leverancier met een monopolie en dat willen we niet.

MSalters

Politiek en recht
Nederland

@beerse • 27 januari 2011 16:39

Wonderbaarlijk dat de politiek zich op zo'n detail vast zet. Kunnen ze niet, net zoals bij de banken, zeggen: TransLink, je bent net zo verantwoordelijk als de banken en creditcard-bedrijven: geld in, geld uit. Zorg er maar voor dat het goed werkt en veilig is, elk misbruik is je eigen geld en niet zeuren over misbruik.

Dat is al zo. TLS draait nu op voor de schade, niet de overheid. Dat houdt de politici die toch al anti-chip waren niet tegen. Die zullen elk excuus gebruiken.

MikeN @MSalters • 27 januari 2011 18:05

Dat is al zo. TLS draait nu op voor de schade, niet de overheid.

En wie betaalt TLS precies? Juist, de reiziger en de overheid.

Uiteindelijk is het gewoon zo dat hier veel geld in een prestigeproject wordt gestampt, waar veel reizigers niet eens vrolijk van worden, wat bergen beveiligings- en privacyproblemen kent en eigenlijk bizar weinig voordelen.

cire @MikeN • 27 januari 2011 21:09

De reiziger betaalt uiteindelijk ja. Maar dat is altijd zo mij misdaad (zoals frauderen). Uiteindelijk 'betaalt' iemand anders. Hetzelfde geld voor fraude bij bankpasjes, of je auto die wordt gestolen.

Bounc3 @MSalters • 27 januari 2011 19:22

Volgens het laatste nieuws is het nu ook mogelijk om vanuit huis 'in te checken' door aan te geven op welk station je 'opstapt' en 'hoe laat'. Zo hoef je dus nooit meer in en uit te checken en ziet TLS nóóit dat je fraudeert. De oplossing is een controlleur met een 3G verbinding in z'n kastje, zodat dat direct gedetecteert kan worden. Maar dan moet TLS wel met de ingeving komen dat zo'n middel uiterst noodzakelijk is, en het op korte termijn beschikbaar stellen voor alle conducteurs. Dat verhelpt nog niet het probleem in bus tram en metro in bijv. Amsterdam, aangezien ook die paaltjes en kastjes offline werken. Daarbij zie ik zelden controlleurs...

trab_78

@beerse • 27 januari 2011 16:45

Hm. Zit wat in. Aan de andere kant: ook met de betaalpasjes van banken zijn problemen. Denk aan skimming bijvoorbeeld. Alleen proberen de banken dat zoveel mogelijk uit de media te houden, wat ze blijkbaar beter lukt dan TransLink.

johnbetonschaar @beerse • 27 januari 2011 16:52

Wonderbaarlijk dat de politiek zich op zo'n detail vast zet. Kunnen ze niet, net zoals bij de banken, zeggen: TransLink, je bent net zo verantwoordelijk als de banken en creditcard-bedrijven: geld in, geld uit. Zorg er maar voor dat het goed werkt en veilig is, elk misbruik is je eigen geld en niet zeuren over misbruik.

Was het maar zo makkelijk. De verantwoordelijke ministers hebben al die jaren dat dit systeem al in ontwikkeling was gedaan of hun neus bloedde, en alle kanttekeningen van experts naast zich neergelegd. Het was allemaal maar theoretisch, alleen in een lab kon je de kaart hacken, fraude kon makkelijk gedecteerd worden, de kaart zou allemaal kosten voordelen hebben voor de reiziger, enzovoorts.

Het is gewoon een politiek prestige project, elke minister en staatssecretaris die hier mee bezig is geweest wilde de OV chipkaart dolgraag in zijn/haar ambtstermijn invoeren, want dat staat zo mooi op de CV. Nu TransLink verantwoordelijk stellen zou een politieke nederlaag zijn, want dat suggereert dat de verantwoordelijke bewindslieden zich te makkelijk hebben laten inpakken door de beloftes van een commercieel bedrijf, en te weinig zorgvuldig zijn geweest bij het beoordelen van kritiek van 'de buitenwereld'. Ik geloof dat bijna alle politieke partijen inclusief de VVD de OV-chipkaart hebben gesteund in de 2e kamer, dus ook de huidige VVD minister kan nu niet rechtuit zeggen dat het een slecht doordacht project is geweest dat door de politiek is doorgedramd, want dat zou de eigen partij ook verweten kunnen worden.

Nu is er al iets van 2 miljard aan poortjes en systemen en alles uitgegeven en kan alles straks weer opnieuw. Dat kost belastinggeld. Daar komt nog bij dat er door zwartrijden inkomsten worden misgelopen door vervoersbedrijven, en dat wordt op de klant berekend, dus duurder OV en minder geld voor verbetering van de dienstverlening. Dan nog de kans op identiteitsfraude door het kopieren van geldige kaarten van abbonnementshouders, daarvan was ook beloofd dat het geen probleem zou worden.

Het is gewoon een grote miskleun die er willens en wetens doorheen gejast is met mooie praatjes hoe makkelijk en voordelig het voor zowel reizigers als vervoerbedrijven zou zijn

Deurges @beerse • 28 januari 2011 09:55

Hou me op over dat pin-chippen. Onnozel iets. Duurt me veel te lang. Nu moet ik wachten tot alle boodschappen gescanned zijn en dan kan ik pas pinnen. Er waren nog supermarkten waarbij ik mijn pincode al kon intoetsen terwijl de kassamiep bezig was scannen. Scheelde toch weer tijd.

Ferdi Nando 28 januari 2011 01:37

Wat ik mij afvraag, wat is er mis met een Chipknip? Ik las dat dit periodiek wordt afgestort door bedrijven, dan moet dit toch ook kunnen in een bus of tram? Iedereen in en uitchecken, bij inchecken wordt nummer onthouden en beginsaldo afgehaald en bij uitchecken wordt de betaling voltooid oid. en zodra de bus in de remise is alles uploaden. Een pasje om overal te betalen, lijkt me ideaal. Er is toch niks mis met de beveiliging van de chipknip?

[Reactie gewijzigd door Ferdi Nando op 22 juli 2024 23:56]

tweaker2010 @Ferdi Nando • 28 januari 2011 10:16

Ja idd. In de Zuid-Koreaanse hoofdstad Seoul wordt de chipknip met succes gebruikt als betaalsysteem voor het openbaar vervoer dus waarom hier niet?

Verwijderd @Ferdi Nando • 28 januari 2011 11:49

Er zijn zat betere alternatieven op te noemen maar dat station zijn we blijkbaar al voorbij (pun intended).
Het gaat hier om een aantal partijen die al flink geïnvesteerd hebben en ook nog eens bang zijn om terug te krabbelen.

Dit is gewoon zo'n typisch IT project wat doorgedrukt wordt omdat een paar pipo's het heel erg belangrijk vinden en daarom alles maar recht proberen te lullen wat krom is.
Maar wat mij vooral tegenvalt is dat het ministerie V&W te laf is om fatsoenlijk in te grijpen.

Geekess @Ferdi Nando • 28 januari 2011 11:52

Heel simpel: De vervoersbedrijven willen niet alleen geld, maar ook gedetailleerd inzicht in je verplaatsingsgegevens. Die gegevens kunnen ze a) doorverkopen (dat mag volgens hun algemene voorwaarden) en b) het vervoer op aanpassen.
Gaat het betalingsverkeer in eerste instantie via de banken, dan beschikken ze niet, om moeizamer over die locatiegegevens.
Nu verloopt het betalingsverkeer door de "tussenpersoon" TLS, die hierin gespecialiseerd is, de kennis al in huis had (aldus TLS he, de praktijk blijkt anders te zijn).

Chipknip gebruiken was een veel te makkelijke, logische oplossing geweest waar veel te weinig geld bij over de balk gesmeten zou worden, en daar doen we in Nederland niet aan.

Verwijderd 27 januari 2011 16:21

En dan worden we dus weer op kosten gejaagd, want die nieuwe kaart zal wel verplicht gesteld worden. Dus moet je een nieuwe kopen, a raison van een tientje of meer.
Kunnen we niet gewoon de strippenkaart houden? En daarmee onze privacy en de lagere prijzen?

RazorBlade72nd @Verwijderd • 27 januari 2011 16:29

Voor een toerist die een kaartje voor 1 dag nodig heeft, wordt dit wel een erg duur ritje.

MSalters

Politiek en recht
Nederland

@RazorBlade72nd • 27 januari 2011 16:35

Valt wel mee. Dat soort kaarten hoeft niet herschrijfbaar te zijn (tenslotte maar 1 dag geldig) en dus zijn ze niet vatbaar voor dit soort hacks.

PrinsEdje80 @MSalters • 27 januari 2011 17:47

Het probleem is dat je dus niet een ééndagskaartje kan kopen. Je moet zo'n chipkaart kopen en daar saldo opzetten. Het saldo wat je er te veel op hebt staan kan je daarna ook niet meer terug krijgen. Beetje sneu.

OT: Ik denk dat de poll op de Frontpage het al genoeg aangeeft dat dit voorlopig nog niet stopt. Waarschijnlijk totdat het een dag kost voordat Jan en alleman hun kaart kan kraken. Dan ziet men niet meer het nut er van in. Dit had TLS op hun klompen aan kunnen komen voelen. Hup, nieuwe kaart.

Er zijn plekken waar het beter gaat. Persoonlijk vind ik Boston met hun Charlie Card erg goed werken. Het enige jammere is dat je niet een kort busritje gelijk kunt trekken met een lange treinreis qua prijs (zie de site). Anders kon Nederland het zo perfect doen. (Wat trouwens nog meer geweldig is, is dat ze daar nog steeds een papieren alternatief naast de RFID kaart hebben, echter kost die ietsje meer... Prima voor toeristen en zo. Nog een leuk feitje: de RFID kaart daar is gratis.)

T-men @PrinsEdje80 • 27 januari 2011 17:58

Of we maken heel het openbaar vervoer gratis.

Het dure geld dat we anders kwijt zijn aan de chipkaart:

kaarten
lees apparatuur
onderzoek naar betere versies
administratie
fraude onderzoek
direkteur-salarissen
kosten rechtzaken zwartrijders
politieke debatten over de OV-kaart
enz.
enz.

dat kunnen we ons dan allemaal besparen en als subsidie aanwenden om dit gratis OV te financieren.
Daar komt nog eens bij er meer gebruik wordt gemaakt van OV, waardoor niet alleen de files zullen verkorten, maar het wordt er ook rendabeler door om ook de kleine dorpen goed aan te sluiten.

Win-win situatie.

Maar-ja, ik zal wel weer op een roze wolk zitten...

johnbetonschaar @T-men • 27 januari 2011 18:20

Zo'n gek idee is het niet eens en op kleine schaal ook al met succes ingevoerd in bepaalde steden. Probleem is helaas dat de vervoersbedrijven gedenationaliseerd zijn en het vrij onhaalbaar is om ze weer te nationaliseren.

Mijn pa zei het al jaren geleden: openbaar vervoer is precies een van die taken die goed als publieke functie gezien zou kunnen worden en dus best een overheidstaak zou mogen blijven. Hij was dan ook fervent tegenstander van het denationaliseren van de NS, en het lijkt er met bijvoorbeeld alle ellende op het spoor en met de OV chipkaart op dat hij steeds meer gelijk begint te krijgen. Al die verhaaltjes over marktwerking en dat dat goed voor de reiziger is zijn lulkoek, uiteindelijk leidt het alleen maar tot hogere prijzen en schralere dienstverlening, en daar komen nu dus nog mooi alle extra kosten en gedorven inkomsten bij door het doordrammen van een slecht doordacht chipkaart systeem.

Gesubsidieerd OV is helemaal niet zo'n heel erg raar idee, ik kan slechtere doeleinden verzinnen waar miljarden overheidsgeld aan besteed worden.

fevenhuis @T-men • 27 januari 2011 18:53

Ho ho ho niet meteen de banen van ambtenaren ongedaan maken hé, want de overheid is er nou eenmaal om mensen bezig te houden.

Inderdaad kunnen er grote sommen geld en instanties bespaard worden met gratis vervoer en basis medische hulp, het tegenargument is dus dat de overheid al deze mensen aan het werk houd.

Indy-Jones @fevenhuis • 27 januari 2011 19:10

Wellicht is het mogelijk die mensen allemaal alsnog aan het werk te houden. Want als het OV gratis is, gaat men het hoe dan ook meer gebruiken! Dat betekent dat er meer treinstellen nodig zijn = meer conducteurs, meer monteurs, meer schoonmaak, etc.

Ook zullen er meer treinen op het spoornet rondrijden = meer controleurs en mensen die de boel in de gaten houden.

En daarnaast komen er met meer mensen ook automatisch meer rotte appels tussen (zeker als het gratis is, dan is de trein zelfs beter dan een gestolen fiets), dus er is ook weer meer werk voor beveiligers.

_JGC_ @Indy-Jones • 27 januari 2011 19:31

Mja, Prorail heeft nu al problemen met het huidige spoor en het aantal treinen wat erop rijdt, daar ga je echt niet veel meer treinen op krijgen zonder gigantische vertragingen.

Ik zou er op zich best honderd euro per jaar voor over hebben aan belastingen om het OV volledig gratis te maken, of ik het nou gebruik of niet, maar als ik kijk naar de prijs van een zorgverzekering denk ik eerder dat het honderd euro per maand gaat worden, en dat gaat iedereen betalen, niet alleen de mensen die het gratis OV nemen.

Stoney3K

Politiek en recht
Nederland

@_JGC_ • 27 januari 2011 19:51

Mja, Prorail heeft nu al problemen met het huidige spoor en het aantal treinen wat erop rijdt, daar ga je echt niet veel meer treinen op krijgen zonder gigantische vertragingen.

Laat ze dan maar eens dat spoor in orde krijgen. Leggen ze een mooie Hogesnelheidslijn aan van Amsterdam naar Antwerpen, is het net zo nuttig als een normale spoorlijn. De treinstellen zijn er nog niet, en de beveiliging wordt ook weer eens compleet opnieuw uitgevonden, in plaats van gewoon aan Frankrijk te vragen of we een paar TGV's en wat kilometers van dat spoor mogen hebben.

Verwijderd @Stoney3K • 27 januari 2011 20:14

Alleen beetje jammer dat er geen HSL ligt in België, dus snelle trein of niet, in België rijd je net zo makkelijk weer 160 ipv 290km/h. Paar minuten vertraging in de Thalys en je rijdt zelfs stapvoets Brussel binnen door de spoornet beveiliging in Belgë.

Leuk idee die HSL, maar zolang België zonder een regering zit die internationaal aangesloten wil zijn door er zelf voor te betalen, kan geen trein met maximum snelheid door België.

_JGC_ @Verwijderd • 27 januari 2011 20:45

Ach, die belgen lachen zich gewoon helemaal kapot om die domme hollanders. Die domme hollanders leggen voor miljarden een spoor naar Belgie wat heel snel moet gaan rijden, maar zodra het over de grens is, heb je er niks meer aan. Belgie wacht gewoon net zolang tot Nederland het zat is en alsnog geld schuift om die lijn meer nut te geven

mbb @_JGC_ • 27 januari 2011 22:01

En ze hadden ook al een alternatief voor de betuwelijn!

stresstak @fevenhuis • 28 januari 2011 17:23

Inderdaad kunnen er grote sommen geld en instanties bespaard worden met gratis vervoer en basis medische hulp, het tegenargument is dus dat de overheid al deze mensen aan het werk houd.

U wordt bedankt. Bij gratis kan iedereen de hele dag in de trein of metro. Ook tuig dat nu geweerd wordt. Er is al te weinig treinmaterieel en daarvan wordt dan eenextra deel in beslag genomen door hanggroepen en randfiguren. Lekker warm, hier ga ik eens de hele dag zitten.

Luno @T-men • 27 januari 2011 19:31

Helaas is er dan ook geen controle meer en worden alle banken beklad, bekrast etc.

Ik was er vroeger ook voor, maar 't werkt niet zonder conducteurs, controleurs etc.

Verwijderd @Luno • 27 januari 2011 22:04

Gratis OV betekent niet dat er geen handhaving meer door de trein hoeft te wandelen toch? De taak voor conducteurs zal alleen veranderen.

arjankoole

Beveiliging

@Verwijderd • 28 januari 2011 20:03

Jij wil echt niet weten wat voor tuig dan de hele dag in die metro's rondhangt.

Inclusief dat ze het gebruiken als toillet. Zo krijg je mensen prima de auto in. viva de file

MikeN @PrinsEdje80 • 27 januari 2011 17:55

Tsjah, alleen is de Charlie Card ook gewoon Mifare gebaseerd, en dus net zo hard lek als de OV chipkaart.

Verwijderd @MikeN • 27 januari 2011 19:12

Ik krijg toch langzaam de indruk dat die oude papieren vervoersbewijzen veel veiliger waren.... Die Digitale OV pas kan nu door de gemiddelde bejaarde gehackt worden.

Voorsprong door techniek, dat wel, middels een stuk plastic van marktplaats en wat software van de piratenbaai.

Rijden op een mooie fiets voor de kosten van een betonschaar noem ik dit.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 23:56]

Verwijderd @Verwijderd • 27 januari 2011 19:53

Waar baseer je dit op? Op de hoeveelheid nieuwsberichten die je langs heb zien komen over frauduleuze praktijken over de afgelopen jaren mbt de strippenkaart of op daadwerkelijke cijfers?

Dit soort onzin was er ook toen de strippenkaart er kwam en was zelfs grotere weerstand dan de weerstand tegen de OV chipkaart. De geschiedenis verteld ons dat het gewoon kwestie van tijd is dat het allemaal gemeengoed is en dat we het allemaal wel best zullen vinden. Met de strippenkaart waren er enorme bezwaren en nu is het precies hetzelfde met de OV chipkaart.

Ché Mig @Verwijderd • 27 januari 2011 21:13

Precies de vinger op de zere plek: het is allemaal de schuld van die bejaarden altijd overal...

Heintjepek @Ché Mig • 28 januari 2011 13:43

laat mij er buiten ;-)

Japs @PrinsEdje80 • 28 januari 2011 10:00

@PrinsEdje80

Wegwerp (single use) kaartjes zijn er wel gewoon, misschien nog niet overal ingevoerd (NS nog niet bijvoorbeeld)

http://www.ov-chipkaart.n...artpastbiju/kaartsoorten/
Zie "De Wegwerpchipkaart"

http://www.gvb.nl/reizige...roductenOV-chipkaart.aspx
Zie in kolom "W-kaart"

Verwijderd @Verwijderd • 27 januari 2011 16:25

De huidige kaarten zijn ook maar 5 jaar geldig, die laten ze volgens TLS gewoon verlopen.

antiekeradio @Verwijderd • 27 januari 2011 19:35

De enige manier om deze fraude te bestrijden is de unieke ID van iedere door de conducteur gescande kaart te vergelijken met de gegevens van in- en uitcheck punten.

Dit vergt waarschijnlijk een kleine aanpassing aan de uitlees apparatuur van de conducteurs, en een behoorlijke IT operatie op de achtergrond, maar het is mogelijk.

dus als een kaart 2 of 3 keer door een conducteur gescand is terwijl ie binnen een logisch tijdvak niet in-of uitgecheckt is via de palen, wordt ie geblokkeerd wegens fraude.

controle door conducteurs wordt dan dus weer net zo belangrijk als het vroeger was met de papieren kaartjes.

volgende stap is dan weer om de unieke ID van de kaart te gaan spoofen, maar de vraag is of dat zo maar kan. zo'n ding is ook niet eindeloos programmeerbaar/manipuleerbaar.

Stoney3K

Politiek en recht
Nederland

@antiekeradio • 27 januari 2011 19:49

De enige manier om deze fraude te bestrijden is de unieke ID van iedere door de conducteur gescande kaart te vergelijken met de gegevens van in- en uitcheck punten.

Dit vergt waarschijnlijk een kleine aanpassing aan de uitlees apparatuur van de conducteurs, en een behoorlijke IT operatie op de achtergrond, maar het is mogelijk.

Dit kan dus niet: De Railpockets van de conducteurs staan namelijk NIET in verbinding met de servers van Trans Link Systems. Zo is het systeem ontworpen, want als de uplink zou falen kunnen conducteurs anders niet controleren.

ktf @Stoney3K • 27 januari 2011 20:01

Het hoeft ook niet per direct: als de scanner alle gescande nummers onthoudt en upload aan het eind van de dag kan het systeem de kaart blokkeren. Bij de volgende keer in- of uitchecken bij poortjes, kun je er dan niet meer in. Dat werkt inderdaad niet als je alleen met de bus of de trein reist, of elk leesapparaat moet een database met geblokkeerde IDs bij zich hebben.

[Reactie gewijzigd door ktf op 22 juli 2024 23:56]

Stoney3K

Politiek en recht
Nederland

@ktf • 27 januari 2011 22:53

Het hoeft ook niet per direct: als de scanner alle gescande nummers onthoudt en upload aan het eind van de dag kan het systeem de kaart blokkeren. Bij de volgende keer in- of uitchecken bij poortjes, kun je er dan niet meer in. Dat werkt inderdaad niet als je alleen met de bus of de trein reist, of elk leesapparaat moet een database met geblokkeerde IDs bij zich hebben.

Dat is precies wat nu al gebeurt. Kaarten die een gehackt saldo hebben worden de volgende dag geblacklist.

Tegen het bogus inchecken kan TLS helaas niks doen zonder met alle lezers real-time te communiceren.

Verwijderd @Stoney3K • 28 januari 2011 08:38

Het zou wel kunnen als alle door de conducteur gescande kaarten worden vergeleken met de lijst met ingecheckte kaarten. Iedere kaart in de trein die niet is ingecheckt in het systeem is illegaal.

tormentor1985 @Verwijderd • 28 januari 2011 09:04

Dit kan dus niet. Al is je kaart geblokkeerd en staat er geen saldo op dan nog kan je hem met deze hack inchecken en zal de conducteur hier niets van merken.

Het blok waarop staat opgeslagen of je kaart geblokkeerd is of niet word namelijk overschreven door de hack.

Hier valt gewoon niets aan te doen. Als die scanners wel in verbinding stonden met de server van TLS dan had je een waterdicht systeem kunnen hebben. Aangezien de hardware van die scanners hier niet toe in staat is zal een oplossing als deze er nooit komen.

Helaas verdwijnt deze kaart niet omdat ook met strippenkaarten en treinkaartjes gefraudeerd werd en deze hack minder fraude gevoelig schijnt te zijn dan een kopie van een vervoersmiddel. Ik vraag dit mij maar af aangezien de torrent al zo dusdanig vaak gedownload is dat er vandaag waarschijnlijk een hoop mensen gratis aan het reizen zijn.

Ik hoop dan ook maar dat genoeg mensen deze hack gebruiken om gratis te reizen. Dit is strafbaar en de straf is ook erg hoog. Maar als de NS dit zal voelen in zijn maandomzet hoop ik dat niet de tweede kamer maar de NS zelf die besluit dit vervoersmiddel te verbannen.

bamboe @Stoney3K • 28 januari 2011 00:38

Yep, maar waarschijnlijk zullen er controles komen met apparatuur die dat wel kan,
zo moeilijk is dat niet, je kan ook met je mobieltje internetten in de trein en zoveel informatie staat er niet op een kaart dat het te veel is om over te sturen, ze kunnen dan ook een lezer connectie met een server laten maken om zodoende de kaart te controleren. Ik zeg niet dat elke conducteur dit zal doen, in de metro en trams heb je normaal ook aparte teams die op zwartrijders controleren, dat kan ook gewoon in de trein met verbeterde apparatuur.

Als de beveiliging, straffen en pakkans omhoog gaan zullen mensen niet meer frauderen.

tormentor1985 @bamboe • 28 januari 2011 09:13

Als de beveiliging, straffen en pakkans omhoog gaan zullen mensen niet meer frauderen.

De beveiliging kan niet verbeterd worden en dit wisten ze al in 2008. Als de straffen omhoog gaan zie ik de fraude dan ook niet verminderen aangezien de pakkans 0% is. Mensen die met 0% pakkans een bank kunnen overvallen zullen dit ook doen ook al is de straf erg hoog.

Deze opmerking lijkt wel een beetje op die van financieel directeur Gerben Nelemans. Hij vertelde de media 'Het is verboden dus waarom zou iemand het doen?'. Ja te hard rijden is ook verboden maar dat doet ook iedereen. Banken en casino's overvallen is ook verboden en waarom zouden mensen dat nou toch doen?

Het grote deel van leidend Nederland moet eens ontwaken uit het idealistische en denkbeeldige sprookjeswereldje zoals zij de wereld zien. En daarnaast moeten ze eens stoppen met het opslaan van gegevens op gegevens dragers die daar eigenlijk niet voor ontworpen zijn. Voor we het weten worden onze persoonlijke gegevens en vingerafdrukken ook door een hacker uit onze id gestolen en wordt er met onze identiteit een aantal criminele handelingen verricht die wij niet gedaan hebben.

We komen een beetje in een Amerikaanse rechtstaat op die manier waarop wij onze onschuld moeten bewijzen i.p.v. andersom. Want uw vingerafdruk staat toch op het moordwapen? Bewijs u maar dat u op het desbetreffende moment niet op de moordlocatie aanwezig was. En onthoud goed als je eenmaal een kruisje in het systeem van justitie hebt staan is het heel moeilijk om weer van dat kruisje af te komen met alle gevolgen van dien.

[Reactie gewijzigd door tormentor1985 op 22 juli 2024 23:56]

Shadowhawk00 @bamboe • 28 januari 2011 11:11

En als ze je pakken kan je altijd nog aanvoeren dat het uitlokking was. Namelijk een auto met draaiende motor onbeheert achterlaten is strafbaar als uitlokking.
Een betaalmiddel uitgeven waarvan je weet dat deze niet beveiligt is en dus doodsimpel nagemaakt kan worden is dan ook strafbaar.
Je verleid mensen die het anders niet zouden doen tot een strafbaar feit.

En aangezien het voor de invoering al algemeen bekend was dat het ding niet beveiligt was kunnen ze zich niet verbergen achter dat wisten we niet. Want dat wist heel nederland.

Verwijderd @antiekeradio • 28 januari 2011 10:10

controle door conducteurs wordt dan dus weer net zo belangrijk als het vroeger was met de papieren kaartjes.

Daarmee vervalt een belangrijk deel van de meerwaarde van zo'n kaart voor een vervoersbedrijf dunkt me, drukken van personeelskosten.

bbob

Privacy
Nederland
Politiek en recht

@Verwijderd • 27 januari 2011 17:16

Natuurlijk gaat het de burger geld kosten, uiteindelijk betaald de burger altijd de zooi die de politiek achterlaat. Iedere 4 jaar kunnen het zooitje dan wegsturen om er een ander zooitje voor terug te krijgen.

Jelle E @bbob • 27 januari 2011 17:53

Het leuke is dat dit zooitje feitelijk maar weinig invloed heeft op het daadwerkelijke beleid. Voor een minister een voorstel eenmaal in handen krijgt is er al aardig wat gebeurd.

Misschien zou je eens "Je hebt het niet van mij, maar..." van Joris Luyendijk moeten lezen.

3DDude @Verwijderd • 27 januari 2011 17:40

Ik zou gewoon zo'n ding nemen --> zie : ov-stripkaart

Sjah @3DDude • 27 januari 2011 18:07

LOL

anubis_offline

@3DDude • 28 januari 2011 00:35

schaamteloos copy pasta...leuk voor op t' werk ( busbedrijf niet nader te noemen).

Nefiorim @Verwijderd • 27 januari 2011 17:47

Je kunt het ook zo zien: Tot eind 2011 kun je veel geld besparen door gratis te reizen... Geld wat je daarmee bespaart (zolang je niet gepakt wordt) gaat dan richting de nieuwe kaart

bartvb

27 januari 2011 16:23

Nu hopen dat de politiek ook aan gaat dringen op 'privacy by design' als ze het systeem toch aan moeten passen voor de SmartMX versie.

Dat er fraude mogelijk is is vervelend maar dat was met het oude systeem (strippenkaart e.d.) ook al zo. Vervelender is dat je 0,0 privacy hebt met de OV chipcard als je een abonnement gebruikt, iets dat technisch gezien helemaal niet zo hoeft te zijn.

TheNephilim

@bartvb • 27 januari 2011 17:36

Dikke care dat ze zien waar ik met de trein heen ga... Al ga ik zeer zelden met de trein trouwens.

Ze hadden het van te voren veel beter moeten bekijken met die mifare chip! Echt weer een project van de overheid. Zo moeilijk is het toch niet om gewoon echte experts erbij te halen. Schrijf desnoods een wedstrijd uit voor het kraken van het ding. Lukt dat niet binnen 3 maanden, dan pas invoeren!

Verwijderd @TheNephilim • 27 januari 2011 19:55

Die cryptograaf van de TUe wist al meteen in het begin te vertellen dat deze beveiliging niet deugde. Dat vond ik eerlijk gezegd vrij schokkend, je zou toch mogen verwachten als er zo'n landelijk belangrijk project wordt gestart dat je dan met de beste experts die het land heeft overlegt. Dat we dat openbaar vervoer hier niet op poten krijgen is bijzonder vervelend, als je kijkt hoe goed het openbaar vervoer in grote steden in Italië werkt is het hier echt kwalitatief te slecht en veel te duur. Daar kan je voor 3 euro 24 uur lang overal naar toe. En voor 17 euro per maand. Daar kan ik hier niet eens een retourtje Maastricht voor krijgen...

cire @Verwijderd • 27 januari 2011 21:05

Er zijn altijd mensen die achteraf weten te vertellen dat het 'nooit' zou werken... Ik bedoel: nadat er 2 phd studenten hadden aangetoond dat de chip niet veilig zou zijn, wisten alle 'experts' het ineens ook. De Mifare chip werd toen al 10 jaar gebruikt, maar toen lieten de 'experts' nooit van zich horen.

elmuerte @cire • 27 januari 2011 21:51

Voordat die 2 PhD studenten een proof of concept hadden gemaakt was al door verschillende experts aangegeven dat Mifare Classic niet veilig was. Daarom heet het ook Mifare Classic. Er waren al verschillende crypologisch aanvallen gepubliceerd voor de Mifare Classic. Maar toen nog niet in de vorm van de OV-chipkaart, dat hebben die PhD student toen gedaan (wat dus ook triviaal bleek te zijn).

MueR Admin Discord @Verwijderd • 27 januari 2011 21:42

Die 3 euro hebben ze hier in de bussen in Noord-Brabant ook (hele dag reizen). Ze hadden ook een abonnement voor 27 euro. Helaas is de provincie gestopt met de subsidie, want "het bood geen voordeel". Nu kost een abonnement ineens weer vrolijk 70 euro. Gelukkig hebben de busmaatschappijen in Brabant het dagkaartje wel behouden. Dan wel na 9 uur in de ochtend, maar #care.

Het probleem is dat onze overheid in al haar wijsheid *kuch* heeft besloten het openbaar vervoer te privatiseren, zoals ze dat met ene hoop dingen hebben menen te moeten doen. Daarmee is het stukken moeilijker om fatsoenlijke afspraken te maken, omdat alle losse bedrijven het eens moeten worden. Dat men nog steeds doorgaat met het privatiseren/liberaliseren van vitale sectoren snap ik werkelijk niet, het wordt er niet beter op namelijk (zie de post, de zorg, het OV..)

Aham brahmasmi @TheNephilim • 27 januari 2011 18:49

Ze hadden het van te voren veel beter moeten bekijken met die mifare chip! Echt weer een project van de overheid. Zo moeilijk is het toch niet om gewoon echte experts erbij te halen.

Blijkbaar wel. Iemand die hier ervaring mee had heeft eens bij een soortgelijke discussie opgemerkt dat als er bij zulke overheidsprojecten iets fout gaat (budgetoverschreidingen e.d.), de fout al heel snel op de uitvoerders afgeschoven wordt, waardoor het misschien voor de "echte" experts minder aantrekkelijk is om met de overheid zaken te doen.

poktor @TheNephilim • 27 januari 2011 20:17

Je weet toch hoe dat gaat bij de overheid... Dit wordt aanbesteed: bedrijven mogen bieden en de laagste bieder krijgt de job. De overheid stelt verder geen vragen en dus krijg je rotzooi geleverd.
"If you pay peanuts, you get monkeys"

Rexel @bartvb • 27 januari 2011 16:44

Heb jij ooit een anoniem abonnement gehad dan?
Bij ieder abonnement heb je last van dat privacy verlies.. Maarja jij zult het natuurlijk niet erg vinden dat jou telefoon aanbieder elk gesprek wat jij voert lekker vast legt? dan is het misschien wel niet het gesprek zelf maar wel naar wie en voor hoe lang en wanneer...

Ik heb liever dat ze mijn reis gegevens vast leggen dan dat ze mijn telefoon geschiedenis bijhouden..

Plus ze kunnen niks in rekening brengen als ze niet weten tussen welke trajecten je hebt gereist, dus ze moeten wel informatie vast leggen voor administratieve doeleinde.

My-life @Rexel • 27 januari 2011 16:53

Er zijn echt wel privacy vriendelijke oplossingen voor hetgeen je hierboven stelt.

MueR Admin Discord @Rexel • 27 januari 2011 21:37

Wat een onzin. Mijn busabonnementen hebben nooit enige vorm van registratie op reisgedrag gehad. Ja, ze wisten vast dat ik een abonnement op zone X had staan, met daarbij Y sterren. Wanneer ik met de bus ging, waar ik in- of uitstap, en met welke regelmaat wist niemand behalve ikzelf.

Plus ze kunnen niks in rekening brengen als ze niet weten tussen welke trajecten je hebt gereist, dus ze moeten wel informatie vast leggen voor administratieve doeleinde.

Waarom moet dat 7 jaar bewaard blijven, op naam ook nog?

Ethelind @bartvb • 27 januari 2011 16:42

privacy heb je sowieso niet in het ov, heb je wel eens gezien hoeveel camera's er staan op elk station? ze volgen je echt wel als ze het nodig vinden...
Zelfs met een anonieme kaart ze vinden je toch wel... of je moet zo slim zijn om een groep van 1000 man op 1 en de zelfde dump te laten rijzen

My-life @Ethelind • 27 januari 2011 16:52

Het is heel wat meer werk om alle camera beelden van alle stations e.d. in NL na te kijken om te zien of je langs bent gekomen.
Software om dit te doen wordt volgens mij, laten we het hopen, niet gebruikt.

Ethelind @My-life • 27 januari 2011 17:07

MacOSX en Alienware heeft al (third party) programmas met gezichts herkennings software om de pc te 'unlocken' zonder wachtwoord in te typen...
eventjes om bouwen en je hebt zo een manier hoe je het kan gebruiken voor dat soort doeleinden... ik denk dat ze slim genoeg zijn om zoiets te maken en dat ze dat al gemaakt hebben... who knows... ik denk dat er al wel gebruik van gemaakt word. misschien niet door de NS, maar wel door het OM om zo mensen te screenen met anonieme chipkaart fraude. anders hadden ze de eerste chipkaart fraudeur niet kunnen pakken denk ik.

merethan @Ethelind • 27 januari 2011 17:26

Die barriere voor gezichtsherkenning is inderdaad te slechten. Echter is die een heel stuk hoger dan alle data by design kant en klaar aangeleverd krijgen.

robvanwijk

Beveiliging
Politiek en recht
Privacy

@Ethelind • 27 januari 2011 19:30

MacOSX en Alienware heeft al (third party) programmas met gezichts herkennings software om de pc te 'unlocken' zonder wachtwoord in te typen...

Die software maakt eerst een referentiescan van elk gezicht dat herkend moet worden (uitgaande van worst-case paranoia: die kun je uit de paspoort-database halen), en kan je vervolgens alleen herkennen als je netjes recht voor de camera zit. Da's net even iets anders dan onder een hoek, op grote afstand een zee van gezichten herkennen. Bovendien is herkennen tegen een database van drie of vier gezichten net even iets anders dan tegen een database van miljoenen gezichten.

Van de andere kant, er is ook veel betere software beschikbaar die ook onder dat soort moeilijke omstandigheden redelijk gezichten kan herkennen. Maar je gezicht is (als je persé wilt) een stuk makkelijker te camoufleren dan het id-nummer van je kaart. En bovendien eist zo'n database van gezichtherkenningen een idiote hoeveelheid processorkracht (als je het landelijk invoert) en is het veel lastiger betrouwbaar te queryen (door false-positives). Bovendien bestaat die (waarschijnlijk?) nog niet en de log van reisgegevens bestaat wel.

Verwijderd @robvanwijk • 30 januari 2011 11:56

Point is, dat als ze jou willen vinden, dat het ze lukt.

Ik vrees niet voor mijn privacy als ik in een pool van 16 miljoen andere "nummertjes" zit, pas als mensen mijn "nummertje" aan mij kunnen linken en zo bij alle informatie kunnen.

Die "idiote hoeveelheid processorkracht" zal geen probleem zijn; iedere 1.5 jaar verdubbelt het toch, dus binnen 3 a 4 jaar zou het wel te doen moeten zijn, en over 6 tot 10 jaar kan je het op je iPhone32 12G doen.

En ookal zal de NS het nu nog niet doen, er zijn andere instanties die er vrolijk voor uitkomen dat ze hiermee bezig zijn, en zoveel mogelijk data scannen om aan personen te linken.

Privacy is dus al lang weg, dat de NS weet waar jouw kaartje en ce moment is, is slechts een kleine stap in de richting die we de afgelopen jaren allemaal hebben gelopen.

sumac @bartvb • 27 januari 2011 16:42

Ik gebruik een maand-trajectkaart, ook gekoppeld aan mijn OV-chipkaart. Die kaart wordt echter zelden gescand (eigenlijk alleen als ik een gewoon kaartje koop voor een ander traject). Meestal is het tonen van m'n abonnementskaartje voldoende. Met die privacy valt het in de praktijk dus nog wel mee. Los van het feit dat ze natuurlijk nog steeds relatief aanvoudig bankgegevens zouden kunnen koppelen aan kaartjes.

Verwijderd @bartvb • 27 januari 2011 16:33

Je zegt het al; 0,0 ALS je een abonnement gebruikt.

Mocht je het echt zo vervelend vinden, neem dan gewoon geen abonnement!

(of wissel gewoon van kaart met vrienden, dan krijgt de NS nog steeds best onbruikbare info)

Laten we het maar even niet hebben over wat technisch mogelijk is... Het was namelijk ook technisch mogelijk om veilige chips te gebruiken, en dat is d'r ook niet van gekomen.

bartvb

@Verwijderd • 27 januari 2011 16:43

Als student heb je die keuze niet. Als je een OV jaarkaart hebt moet je wel ongeloofelijk privacy bewust zijn om dan maar meer dan 30 euro te betalen voor b.v. Amsterdam-Eindhoven. Zelfde met mensen die een NS jaarkaart via het werk hebben.

Kaarten wisselen met vrienden is ook niet mogelijk (of iig niet toegestaan) met een abonnement. Ook vrij riskant aangezien jij dan ineens je reisbewegingen mag verklaren als een vriend in een onderzoek terecht komt als hij jouw kaart bij zich heeft.

foppe-jan @bartvb • 27 januari 2011 17:14

Wat voor vrienden heb jij dat hun handelingen geregeld door de politie onderzocht worden dan? Dat gebeurt mij toch bar weinig...
Anders gezegd: je vrees lijkt me nogal 'theoretisch'....

[Reactie gewijzigd door foppe-jan op 22 juli 2024 23:56]

timleferink @foppe-jan • 27 januari 2011 17:41

Met de studenten OV chipkaart is het helemaal niet nodig om in/uit te checken...
Schijnbaar zien ze dat je vrij reizen hebt op dat moment.

Ruut88 @timleferink • 27 januari 2011 17:55

een conducteur vertelde mij vandaag dat je binnenkort wel verplicht wordt om in en ui te checken omdat DUO het reisgedrag van de studenten wil inzien om zo over een paar jaar een traject-ov in te kunnen voeren. Dus alleen nog van school naar huis en andersom.

robvanwijk

Beveiliging
Politiek en recht
Privacy

@Ruut88 • 27 januari 2011 19:24

1) Waarom hebben ze daar reisgegevens voor nodig? Om te controleren hoeveel die kaart voor andere reizen wordt gebruikt (lees: om in te kunnen schatten hoeveel gezeik ze ermee krijgen)?
2) Zodra je eenmaal ergens collegegeld betaalt kun je je gratis (neven)inschrijven bij alle andere opleidingen in Nederland die hetzelfde of een lager collegegeld vragen. Gewoon even een zooitje "bewijs betaling collegeld"-formulieren ophalen bij je "echte" instelling en rondsturen naar alle instellingen waar je een neveninschrijving hebt. (Nee, ik denk niet dat we straks opeens studenten hebben die tien inschrijvingen hebben. Maar een neveninschrijving bij de universiteit of hogeschool vlakbij je vriendin / familieleden waar je vaak op bezoek gaat / je bijbaantje zie ik best gebeuren.)

kmf @Ruut88 • 28 januari 2011 00:43

En een conducteur is natuurlijk helemaal op de hoogte van wat de grote bazen hebben verzonnen. Daarom zijn ze ook conducteurs....

Remus @bartvb • 27 januari 2011 20:07

Als NS jaarkaart gebruiker hoef je helemaal niet in- en uit te checken, vooralsnog hoef je hem alleen maar aan de conducteur te laten zien.

stresstak @Remus • 28 januari 2011 17:36

Als OV-jaarkaarthouder dien je hem in Amsterdam bijv, wel te laten piepen, hetgeen ik consequent niet doe. De eerste chauffeur die er over valt moet ik nog tegen komen. Dat is maar beter ook, want dat is het uitgelezenmoment om eens uitgebreid met hem of haar in discussie te gaan. Wat weer tot oponthoud leidt en daar houden ze niet van.

ATS @Verwijderd • 27 januari 2011 17:42

Privacy bewustzijn wordt zo wel een dure hobby...

xxtremexx 27 januari 2011 16:32

Probleem ligt niet alleen bij de kaartjes, het hele concept is slecht doordacht. Waarom moet de kaart bijvoorbeeld zelf belangrijke data bevatten en daarnaast er mist zo verschrikkelijk veel functionaliteit. Geen nieuwe kaart, maar een compleet nieuw systeem en de verantwoordelijke baasjes bij de overheid en translink heel hard aanpakken.

Verwijderd @xxtremexx • 27 januari 2011 16:36

Waarom moet de kaart bijvoorbeeld zelf belangrijke data bevatten

Omdat men de verbindingen niet zo vertrouwt, zeker bij bussen niet. Anders zou een defecte internetkabel betekenen dat er niemand meer kan reizen vanaf dat station of met die bus, of dat ze iedereen gratis moeten laten opstappen.

C0rnelis @Verwijderd • 27 januari 2011 18:05

Veel bussen (in ieder geval degene waar ik in rij) hebben tegenwoordig allemaal zelfs een prima 3G verbinding voor bijvoorbeeld routes, dan kan een simpele check ook wel over ditzelfde netwerk gedaan worden.

Stoney3K

Politiek en recht
Nederland

@C0rnelis • 27 januari 2011 19:31

Veel bussen (in ieder geval degene waar ik in rij) hebben tegenwoordig allemaal zelfs een prima 3G verbinding voor bijvoorbeeld routes, dan kan een simpele check ook wel over ditzelfde netwerk gedaan worden.

Met het grote verschil dat een 3G verbinding geen 100% uptime garandeert, en dat voor route-informatie ook niet nodig is. Daarom wordt bijvoorbeeld ook afgeraden om alarmnummers te bellen over VOIP.

Als zo'n route-scherm eruit klapt en meldt 'er is geen reisinformatie beschikbaar', dan zal het de vervoerder worst wezen, want mensen stappen toch al in. Maar als de chip-lezers in de bus plotseling buiten dienst gaan moeten ze iedereen gratis meenemen en kost ze dat handenvol geld.

Nog afgezien van het feit dat het systeem veel te makkelijk te dwarsbomen is. Een GPS-jammer in je tas en alle automaten in de bus in kwestie springen gelijk op een rood lampje. En als dat geen effect heeft kun je de 3G net zo makkelijk de nek omdraaien.

pasz @C0rnelis • 28 januari 2011 11:01

Dan woon je zeker midden in de randstad. Moet je eens in de 'buitengebieden' proberen.

Buiten dit, storen bussen ook nog, en hebben ze last van aan en uitzetten van de spanning.

[Reactie gewijzigd door pasz op 22 juli 2024 23:56]

C0rnelis @pasz • 28 januari 2011 19:13

Zie mijn profiel

Bussen zijn van Qbuzz

[Reactie gewijzigd door C0rnelis op 22 juli 2024 23:56]

xxtremexx @Verwijderd • 27 januari 2011 16:49

Op vaste plekken zoals stations kan ik mij voorstellen dat je prima kan werken met wireless failover systemen als het vaste netwerk eruit ligt. Rijdende controlepunten kan je prima voorzien van twee draadloze zender/ontvangers, werkt dat niet dan gratis mee en bus daarna naar de garage voor herstel.

De businesscase is gewoon extreem slecht uitgewerkt net zoals bijna alles dat door de overheid wordt uitgezet.

De readers/writers zijn overigens gewoon online te bestellen : http://store.touchatag.com/index.html

ari

@xxtremexx • 27 januari 2011 18:19

Jij wil alle in- en uitcheckpunten, alle verkooppunten, alle voertuigen en alle handscanners 100% uptime geven door heel Nederland? Dat is dus gewoon niet haalbaar voor een redelijke prijs.

Zaken dubbel uitvoeren kost extreem veel geld. Als er een storing plaatsvindt kan er niets meer gebeuren. Je maakt jezelf afhankelijk, zeker voor de punten in het land waar net geen betrouwbare dekking is. Vergelijk de gevolgen van het uitvallen van dit systeem met het uitvallen van het pin-systeem: alles staat vast. Met hier als vervelend effect dat je niet contant kunt betalen.

Daarnaast heb je ook het probleem dat de data opgehaald moet worden. Dat kost tijd. Als je bedenkt dat sommige controle-apparatuur van ik meen RET er al 7 seconden over doet om überhaupt de kaart te lezen, dan wil ik niet weten hoe lang het gaan duren als dat ook nog even naar de server doorgepiept moet worden.

Ik ben het met je eens dat het wel wenselijk zou zijn als het gebeurt, al dan niet vertraagd.

NESFreak @xxtremexx • 28 januari 2011 01:20

Met het huidige concept is het zelfs toegestaan om via Groningen-centraal naar Haren te reizen via Valkenburg. Niet alleen de beveiliging is zo brak als t maar kan. Het hele ontwerp is compleet loos.

Trenchdog 27 januari 2011 16:24

Nu lijkt men blijkbaar te kiezen voor de SmartMX-chip. Als leek op dit gebied vraag ik mij af in hoeverre deze chip beschouwd kan worden als state of the art. Of misschien nog erger: is het invoeren van een dergelijke kaart symptoombestrijding in plaats van een oplossing voor een structureel beveligingsprobleem in de gekozen infrastructuur?

arnem_ @Trenchdog • 27 januari 2011 16:42

Waarschijnlijk dat laatste. Het is toch raar dat de conducteur niet bij 'het systeem' kan controleren of iemand daadwerkelijk ingelogd is of niet en dat blijkbaar alleen van de kaart kan uitlezen. Dat wat er op de kaart staat is leidend. Dit zal ook de reden zijn dat een echte Chipknip wel contact met de bank zoekt volgens mij, anders was die chipknip vast inmiddels ook wel gekraakt.

Maar goed... ik ben al zo vaak dat poortje voorbij gelopen zonder uit te checken, daar kunnen ze inmiddels volgens mij wel een veilig systeem van financieren. Dus niet huilen, aan de slag en de ingenieur meer betalen dan de manager, want daar begint toch eigenlijk elke probleem in NL mee! Of het nu om Prorail, de NS, banken of TransLink gaat, de verkeerde mensen hebben het voor het zeggen.

[Reactie gewijzigd door arnem_ op 22 juli 2024 23:56]

Foamy @arnem_ • 27 januari 2011 17:14

Dat wat er op de kaart staat is leidend. Dit zal ook de reden zijn dat een echte Chipknip wel contact met de bank zoekt volgens mij, anders was die chipknip vast inmiddels ook wel gekraakt.

Niet helemaal. Dat contact tussen jouw chip-knip en de bank is er enkel tijdens de oplaad-momenten

Het zogenaamde 'afstorten' door de winkeliers gebeurt slechts periodiek, en niet direct.

Stoney3K

Politiek en recht
Nederland

@Trenchdog • 27 januari 2011 19:20

Ik denk dat het nog leuker gaat worden, hoe willen we in één klap om van de Mifare-chipkaart naar die prachtige SmartMX? Moeten dan alle poortjes weer vervangen worden? Worden alle Mifare-kaarten dan per 1 december 2011 ongeldig? Wat gebeurt er met het saldo op die kaarten?

Nee, ik heb het vermoeden dat er voor de mooie 'gulden middenweg' gekozen wordt en de poortjes voor een aardige periode nog toegankelijk blijven voor Mifare-gebruikers. Wat dus betekent dat ze de hele hack nooit uit het systeem krijgen.

stresstak @Stoney3K • 28 januari 2011 17:44

Wat gebeurt er met het saldo op die kaarten?

Het saldo ben je uiteraard kwijt. Met dank voor de donatie.

Verwijderd 27 januari 2011 16:29

En houd dat dan ook in dat we weer allemaal nieuwe OV kaarten moeten gaan kopen? En het tegoed (voor de anonieme kaarten) dan gewoonweg kwijt bent?

Ik ben een groot voorstander van één systeem waarmee ik kan reizen met het OV, maar waarom moet het altijd zo moeilijk in Nederland. In elk ander land waar er een OV systeem is ingevoerd werkt het wel.

MSalters

Politiek en recht
Nederland

@Verwijderd • 27 januari 2011 16:40

Ja, dat is vermoedelijk het nadeel. Je kunt bij een anonieme kaart nu niet bewijzen dat het saldo legaal verkregen is.

ari

@MSalters • 27 januari 2011 18:09

Je kunt wel degelijk 'bewijzen' dat je saldo legaal is. Alle transacties worden namelijk doorgestuurd naar de centrale server van TLS. Dus saldo opladen en je reisbewegingen. Het is een kwestie van het saldo uit die transacties berekenen en vergelijken met wat er op de kaart staat. Als dat gelijk is, is het saldo legaal.

edit:
De kaart staat weliswaar niet op je naam, maar heeft wel een unieke 16-cijferige code. Daarmee ben je ook te traceren, maar pas vanaf het moment dat je jezelf kenbaar maakt door bijvoorbeeld de kaart te tonen. Degene die de fysieke kaart heeft is immers de eigenaar.

[Reactie gewijzigd door ari op 22 juli 2024 23:56]

Verwijderd @ari • 27 januari 2011 19:06

De kaart staat weliswaar niet op je naam...

Eigenlijk wel. Tenzij je jezelf in nogal een grote bocht gewrongen hebt door met cash op te laden in een van de weinige plekken waar dat kan. Voor de rest is je banknummer er door het opladen al aan gekoppeld, echter zonder automatisch opladen.
Hij is dus niet echt anoniem, maar alleen bruikbaar door meerdere personen.

Pepperoni @MSalters • 27 januari 2011 17:06

Daar zal het wel weer op neer gaan komen ja. Eerlijk is het echter niet, want ze kunnen ook niet bewijzen dat het NIET legaal erop is gezet. Ben geen jurist ofzo, maar het klinkt toch als omgedraaide bewijslast, en als op die manier m'n geld afhandig gemaakt wordt zou ik er toch tegenin gaan. (of het zin heeft is een tweede)

Ben in ieder geval blij dat voor die enkele keer dat ik met het OV ga ik heb vastgehouden aan de oude, vertrouwde en veilige papieren kaartjes.

nehal3m 27 januari 2011 16:25

Mijns inziens maakt het niet uit hoe goed je de kaart beveiligt zoals minister Schultz terecht zegt. Veel belangrijker lijkt mij het mechanisme om de kaart uit te lezen en te manipuleren: Als je daar een complex apparaat voor nodig hebt van (ik roep maar wat) 150 euro dan doen mensen het niet zo gauw. Zo'n RFID reader van 3 tientjes, daar kun je geen bult op vallen.

MSalters

Politiek en recht
Nederland

@nehal3m • 27 januari 2011 16:37

Een apparaat om die kaarten te manipuleren mag zelfs een miljoen kosten, zolang het maar goedkope losse terminals heeft. Dan hang je dat dure apparaat aan een centrale server, en heb je er maar een paar van nodig. (Eentje is wat weinig, je wil redundancy)

RobertMe @MSalters • 27 januari 2011 17:44

zolang het maar goedkope losse terminals heeft

Die terminals in de bussen, treinen, trams etc etc moeten ook het kaartje kunnen manipuleren, dus die kosten dan ook de miljoenen. Er zijn maar 2 goede oplossingen, alle terminals moeten continue "online" zijn en alles driedubbel kunnen checken op het backend, of er moeten geen "geheugenkaartjes" gebruikt worden.

De Mifare chips zijn immers maar geheugenkaartjes, alleen doe je hem niet in een kaartlezer maar houd je hem voor een scanner. Het protocol gebruikt voor de communicatie is bekend (is een standaard). Met het kraken van de kaart waren er dan ook maar 2 problemen, welke "encryptie" key word er gebruikt (is volgensmij maar 48 bits lang, dus te brute forcen, en door lekken in het protocol makkelijk te achterhalen), en hoe staat de data op de kaart (dus welke bytes stellen het saldo voor etc). Nummertje 1 valt al langer te kraken, omdat Mifare al langere tijd in gebruik is en dus bekend is hoe de key te achterhalen, het enige probleem was dus nummertje 2, waar staat de data, en is die misschien wel "encrypted" (waarbij de terminals de data encrypten en dan encrypted op de kaart plaatsen, het weer encrypted van de kaart naar de terminal gaat en de terminal het decrypt)

Stoney3K

Politiek en recht
Nederland

@RobertMe • 27 januari 2011 19:22

[...]

Die terminals in de bussen, treinen, trams etc etc moeten ook het kaartje kunnen manipuleren, dus die kosten dan ook de miljoenen. Er zijn maar 2 goede oplossingen, alle terminals moeten continue "online" zijn en alles driedubbel kunnen checken op het backend, of er moeten geen "geheugenkaartjes" gebruikt worden.

En mag je mij vertellen hoe je dat kan garanderen in een rijdend voertuig? Verbindingen via UMTS of 3G zijn ook niet 100% betrouwbaar, dus je zal nog meer last krijgen van incheckpaaltjes met een mooie melding 'Buiten Dienst'.

LooneyTunes @Stoney3K • 27 januari 2011 23:15

En mag je mij vertellen hoe je dat kan garanderen in een rijdend voertuig? Verbindingen via UMTS of 3G zijn ook niet 100% betrouwbaar, dus je zal nog meer last krijgen van incheckpaaltjes met een mooie melding 'Buiten Dienst'.

Gewoon bijpassende infrastructuur.
Om de zoveel KM een zendpaal langs de busroute.
Bij treinen kan je het afdoen met palen bij stations.

Het kán dus wel.. Maar ja... €€€€

pasz @RobertMe • 28 januari 2011 10:57

Even een voorbeeld van de snelheid van de infrastructuur van TLS.

In januari 2010 moesten 600.000 hun OV product ophalen. Gevolg : Een grote doffe ellende omdat de interface van TLS verstopt zat.

M.a.w. het continue online zijn is met de huidige implementatie zeker niet mogelijk.

indigo79 27 januari 2011 16:29

Mij verwondert vooral dat zo lang de hack alleen met Linux uitvoerbaar was precies niemand dat een probleem vond. Tien jaar geleden was dat inderdaad een behoorlijke drempel, maar tegenwoordig is dat niet meer echt het geval. Ik ben ervan overtuigd dat als er geld mee te verdienen valt (en voor een regelmatige OC gebruiker best wel veel geld), Jan met de pet er ook wel in slaagt om Linux met de nodige tools aan de praat te krijgen.

Deem @indigo79 • 27 januari 2011 16:42

Jan met de pet heeft nog nooit linux van dicht bij gezien, maar weet wel pressies hoe die muziekjes en films moet downloaden. Nu het een kwestie is van: Programma downloaden, Saldo invoeren, is het nu voor hert grote publiek beschikbaar.

mrlammers 27 januari 2011 18:01

Wat dacht je van... afschaffen die kaart? Want veel geld uitgeven aan de MX kaart met superieure cryptografie lost het probleem niet op!

RFID technologie kan gemakkelijk worden gekraakt; het was nog nooit zo makkelijk als nu. En waarom? Omdat alle basics over beveiliging die we op school geleerd hebben met voeten worden getreden!

Als je je houdt aan:

identificatie,
authentificatie,
authorisatie en
verificatie

..dan heb je een systeem dat redelijk veilig gebruikt kan worden. Maarja, dat is weer niet 'handig', want dan moet je het combineren met een pincode, of retinascan, en dat is lastig voor de gebruiker, want die wil vooral snel door het poortje kunnen lopen. Er moet contact gemaakt worden met een bank, of database, dat is lastig want dan moet er realtime gecommuniceerd worden. De transactie moet gevalideerd worden, etc. etc. Moeilijk, moeilijk.

Maar wat nou moeilijk?? Willen we nou veilig of niet?!?

EvilWhiteDragon @mrlammers • 27 januari 2011 18:39

Dat snap ik nou ook niet, waarom doen we nog zo moeilijk over realtime communicatie? Neem een dual GSM module, een kaart die een ID bevat en fysiek contact moet maken met een lezer en klaar is kees niet?
Dan pleur je zaken als saldo en in/uitchecken in een database en klaar. Met wat geknutsel heb je een test opstelling voor onder een 1000 euro incl. alle onderdelen en pc/server.
Natuurlijk heb je dan 24/7 een verbinding in de bus nodig, maar dat moet toch mogelijk zijn met dual GSM. Een op het KPN netwerk en een andere op het Vodafone netwerk en je hebt volgens mij zo goed als overal bereik in NL.
Met bovenstaand systeem kun je zelfs de privacy goed waarborgen door OV-bedrijven alleen ID's en reizen te laten uitlezen, dus geen klant NAW e.d. Dat zou genoeg moetne zijn voor het verbeteren van het OV, zonder dat het privacy gevoelig is.

Verwijderd @EvilWhiteDragon • 27 januari 2011 23:33

Maar..

Dan ben je een reiziger uit het buitenland.
Of je reist eens per 10 jaar met het OV.

Moet ik dan ook zo een kaart hebben?

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (262)

Sorteer op:

Weergave: