Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 95, views: 32.197 •
Submitter: Carfanatic

Twee studenten van NHL Hogeschool in Leeuwarden hebben de betaalpas van hun opleiding gekraakt en zijn erin geslaagd om er zelf saldo op te zetten. De betaalpas bevat dezelfde technologie als de ov-chipkaart, die al langer is gekraakt.

NHL-pasDe twee studenten, Sander Akkerman en Ferry Naaijer, kraakten de pas en konden deze zelf opladen. Nadat ze er eerst broodjes mee hadden betaald, besloten ze naar de schoolleiding te stappen, meldt de Leeuwarder Courant.

Woordvoerder Frank Oor van NHL Hogeschool erkent dat de pas is gekraakt. "In theorie kunnen mensen nu zelf geld op hun kaart zetten", aldus Oor. "Maar je zou wel heel dom zijn als je dat doet; het is strafbaar en de kaart is aan een persoon gekoppeld. Je bent te traceren." Het is niet bekend of de school daadwerkelijk stappen gaat ondernemen tegen frauderende studenten en of deze bijvoorbeeld van school worden gestuurd.

Dat gebeurt in ieder geval niet met de studenten die de falende beveiliging van de kaart aan het licht brachten; de hogeschool reageert juist positief op hun ontdekking. "We vinden het leuk dat onze studenten dit hebben uitgevonden", aldus woordvoerder Oor. "En we zijn blij dat ze het bij ons hebben gemeld." Het is onduidelijk wat de hogeschool gaat doen om fraude te voorkomen.

Volgens directeur Michiel Wanninkhof van Magna Carta, dat de NHL-pas levert, zit er een Mifare Classic-chip in de pas. Dat deze lek is, is al enige tijd bekend. Het is de chip die ook in de al lang gekraakte ov-chipkaart zit. "We weten al enige tijd dat deze kaart kwetsbaar is", aldus Wanninkhof.  Volgens hem levert zijn bedrijf de kaart daarom niet meer aan nieuwe klanten, al wordt deze op de website van Magna Carta wel nog aangeprezen als 'één chipkaart voor al uw toepassingen'.

Update, 10:21: Ferry Naaijer, een van de studenten die de kaart heeft gekraakt, zegt tegenover Tweakers.net dat de codering van de kaart wel verschilt ten opzichte van de ov-chipkaart. "We hebben de kaart eerst geprobeerd te kraken met de software die wordt gebruikt voor de chipkaart", aldus Naaijer. "Maar we hebben uiteindelijk zelf software moeten samenstellen."

Reacties (95)

Een betere reactie op de kraak dan Trans Link Systems doet en gedaan heeft.

Hoeveel meer bedrijven en scholen zullen problemen gaan krijgen met deze chip?
Een betere reactie op de kraak dan Trans Link Systems doet en gedaan heeft.
Duh. Waarom zou TLS het op prijs stellen dat mensen de kaart kraken? Het is een bedrijf dat er geld mee wil verdienen. Echt compleet anders dan op de hogeschool, waar educatief onderzoek natuurljik wordt gestimuleerd. Het betreffende cateringbedrijf zal er ook wel anders tegenaan kijken dan de schoolleiding.

Ik ben het wel met je eens dat TLS dan ook weer wat onhandig heeftt gereageerd, maar een pluimpje zoals de schoolleiding dat doet is weer heel wat anders.

[Reactie gewijzigd door .oisyn op 11 maart 2011 10:34]

Het gaat om mensen die TLS laten zien hoe hun kaart gekraakt is/wordt.
TLS zou blij moeten zijn met die informatie. Zij kunnen dan tegenmaatregelen nemen.
Inderdaad, om deze opmerking wat verder uit te lichten:

Natuurlijk is TLS er niet blij mee dat hun kaart gekraakt word, omdat ze geld willen verdienen. Maar besef je wel, dat door het kraken van de kaart, ze nog veel meer geld anders zullen mislopen. TLS zou juist dankbaar mogen zijn, dat ze gewaarschuwd worden voor een lek, op deze manier kunnen ze de schade dan weer inperken.

Maar goed, al ruime tijd geleden kwam een en ander aan het licht door een (of meerdere?) studenten van de Radboud Universtiteit te Nijmegen. Hij had een heel project geweid aan de onveiligheid van de O.V. chipkaart, het antwoord daarop (bleek recentelijk, een maand terug ong.) dat in de loop van 5 jaar, kaarten vervangen worden.

Maar vergeet niet dat er meerdere kaarten in omloop zijn, die van de NS zijn wezenlijk anders dan die van TLS bijv. weer. kijk, dat ze zich op willen laten lichten (want ze zijn van mening dat de fraude niet bepaald een hot item zal worden), vind ik verder prima. Waar ik wel moeite mee heb, is dat gegevens/saldo van anderen aangepast kan worden.

Je zal maar iemand hebben, met minder goede bedoelingen en van een batch kaarten het saldo op nul zet. Daar zit je dan in de trein voor een onbetaalde rit van Maastricht naar Groningen, tijdens een controle.

Maarja, tegen de tijd dat de nieuwe kaart er is (kaart met een eigen microprocessor meende ik), zal daar ook wel weer een antwoord op zijn. De reactie van de vervoers bedrijven zal dan wel weer zijn om een nieuwe kaart over de loop van 5 jaar uit te brengen, waar tegen die tijd ook weer een hack voor bestaat, enz. Zo blijf je natuurlijk lekker bezig.

Eerst geld willen ze zien, daarna kijken we wel of het goed is voor de burger.
De reactie komt eigenlijk ongeveer op hetzelfde neer. 'Ja, we weten dat het ding lek is, niemand maakt er misbruik van want dat is strafbaar, we doen er dus niets/heel weinig aan'.

Ik neem overigens aan dat het systeem niet meteen met de backend checked wat het saldo van een persoon is, anders kan je geen extra saldo 'op de kaart ' zetten. Als dat zo is dan lijkt het me ook niet heel ingewikkeld om een kaart te maken met een willekeurig/niet bestaand studenten ID. Op die manier wordt traceren al een heel stuk moeilijker, of ja, dan heb je een heterdaad nodig.
Dan wordt het tijd om een camera op te hangen bij de kassa, zodat je de onbekende kaart kunt koppelen aan een gezicht. Of je dat wil is een ander verhaal...
Bij de HvA doen ze dat dacht ik wel zo, daar is het niet mogelijk om er extra saldo op te zetten omdat het serverside gecontroleerd wordt. Wel is het mogelijk om je zelf de rol van docent te geven, dat betekent dat bepaalde deuren geopend kunnen worden en dat je gratis koffie kan halen (250 bekers per maand uit m'n hoofd). Alleen de programma's die hiervoor gebruikt zijn zijn helaas niet vrij gegeven waardoor je alsnog zelf er achterna moet gaan.
Misbruik van een studentenID is zeer moeilijk aan te tonen. Dat er oneigenlijk gebruik gemaakt is van een kaart met een zeker studentenID, wil niet zeggen dat de persoon die gewoonlijk gekoppeld is aan dat studentenID ook die daad gepleegd heeft. Die conclusie is uitsluitend gerechtvaardigd als dat studentenID niet te manipuleren zou zijn.
De reactie komt eigenlijk ongeveer op hetzelfde neer. 'Ja, we weten dat het ding lek is, niemand maakt er misbruik van want dat is strafbaar, we doen er dus niets/heel weinig aan'.
Je huis niet op slot doen, omdat inbreken toch wel verboden is :X
Op de HAN in Arnhem hebben we een soort chipknip systeem. Het werkt op een andere manier, je moet immers je pas een gleuf steken, en niet ergens langs een sensor halen. Op deze kaart zal vast wel je saldo geschreven staan, maar het zal ook wel server-side bijgehouden worden.
Waarschijnlijk zit daar nog een extra challange op, dus via een interface. Dat is al vele malen moeilijker te kraken, omdat je daar geen plain-text dump van kunt maken.
OT: ik vind het wel makkelijk gedacht van deze school. Deze studenten komen ervoor uit, wie weet zijn er andere studenten die al maanden/jaren op deze manier hun pas opladen. Jaren terug is er al eens een school in (ik meen) Eindhoven voor tonnen het schip in gegaan omdat studenten daar ook hun readers en lesmateriaal via die pas konden betalen. Mooi middel tegen de bezuinigingen :).
Dat zal natuurlijk gebeuren. De vraag is of de afwijkingen gedetecteerd worden.

Op mijn middelbare school hadden we ook het kopieersysteem 'gekraakt'. De kraak bestond uit het knopje 'annuleren' indrukken bij de bevestiging van het toevoegen van het saldo. Bij bedragen tot 100 euro werd het geld niet afgeschreven, maar wel bijgeschreven op de kaart.

Pas toen het halve leerjaar bedragen van meer dan 100 euro op die pas had staan ging er ergens een belletje rinkelen. Er zat namelijk geen 5000 euro in de automaat. Met als resultaat een hoop gezeik voor de leerlinge die het per ongeluk had gedaan en gemeld had. Daarna hebben ze de interface omgegooid maar de bug niet verwijderd (maar die bug werkte vervolgens wel alleen voor bedragen tot 2 euro i.p.v. 100 euro). Tja, hoe gemotiveerd ben je dan om het te gaan melden als je weet dat het niet gezien wordt en je een hoop gezeik krijgt...
.

[Reactie gewijzigd door Rick2910 op 11 maart 2011 19:17]

Je zou haast wel denken dat het geld inderdaad op je pas staat.
Want zodra je je pas in de printer steekt wordt er eerst een borg afgehaald. (voor het geval je de kaart eruit haalt tijdens het printen?) Maar waarom zou je deze borg nodig hebben als alles server-side wordt geregeld, want dan zou je altijd nog het benodigde bedrag kunnen afschrijven?

Ik heb wel eens wat informatie proberen te zoeken over de pas die er gebruikt wordt, maar ik kon er vrijwel niks over vinden.
Hulde voor de jongens om dit te melden aan de school.

Ik weet van mijn oude school dat ze veel dingen in eigen beheer doen. Dus dit zou een mooie opdracht kunnen opleveren voor de Informatica opleiding. Maak maar eens software voor de chip wat niet zo makkelijk te kraken is :)
De enige manier om het tegen te gaan is door alles aan elkaar te koppelen, zodat je ook weet of het saldo kan kloppen met wat erop is gezet binnen het eigen systeem.
De toegang tot die database lijkt me wat makkelijker beveiligd te houden dan die kaartjes.
Je moet de kaart dus eigenlijk ook alleen maar gebruiken als unieke identifier en er per transactie ook iets op wegschrijven zodat gekloonde kaartjes ook snel opvallen.

Je mag input van de gebruiker nooit vertrouwen, maar dat schijnt men maar niet te willen leren bij dergelijke systemen.
Dit was 6 jaar geleden in mijn eerste jaar op de Fontys ook al gebeurd. Eerste project op de Informatica opleiding...werken met een cardreader. Toen was het misbruik toch wel wat massaler en zijn er een aantal studenten van de opleiding afgetrapt.

Uiteindelijk komen ze er toch wel achter aangezien betalingsgegevens overeen moeten komen met het opgeladen saldo.
[quote]Toen was het misbruik toch wel wat massaler/quote]
Er wordt gesteld dat deze studenten het als eerste ontdekt hebben. Dat kan natuurlijk het geval zijn, maar elke 'nerd' (in positieve zin bedoeld) op deze opleiding kan dit natuurlijk al vele jaren eerder ontdekt hebben; en wellicht denkt een deel van de studenten nu: Oops. Da's balen.
Er is redelijk uitgebreid over bericht destijds geloof ik hoor, en het was vrij uitgebreid bekend dat het kon. Dus tja...

Zolang er aan beide kanten een log wordt bijgehouden, is de dader altijd op te sporen en kan deze ook beboet worden. Overigens kunnen dat flinke boetes zijn volgens mij omdat dit toch wel een redelijk ernstige vorm van fraude is.
In het geval van een hogeschool lijkt me dit toch wel wat veiliger te kunnen. Alle oplaadpunten kun je koppelen aan ťťn centraal systeem binnen de school waardoor je het saldo centraal bij kunt gaan houden. Het zou niet eens meer op de chipkaart zelf hoeven staan in die situatie; je kaart is dan niets meer dan een middel om je te identificeren aan de apparatuur.

Dit is bij de ov-chipkaart natuurlijk veel lastiger te implementeren omdat die oplaadpunten door het hele land zitten, de betaalautomaten gedeeltelijk mobiel zijn en je zelfs vanuit huis zou moeten kunnen opladen. Veel complexer.

Complimenten voor het melden aan de school ja. Als ze het daadwerkelijk niet misbruikt hebben vind ik dat ze wel een pluimpje verdiend hebben!

offtopic:
Ej jobo ;) Die kaartjes hebben wel heel wat lekkere lunch voor ons verzorgd :9

[Reactie gewijzigd door Cloud op 11 maart 2011 10:25]

Klopt, op Campzone gebruiken ze bijvoorbeeld een vergelijkbaar systeem met wat jij voorstelt. Je pas bevat niets meer dan een streepjescode, en hoeveel jij op je account hebt staan staat opgeslagen in een centrale database.
En niet alleen onze kaartjes, maar ook de kaartjes van de mensen die al van school af waren. Die bleven gewoon werken :P.

Maar de lunch was altijd goed daar! broodje gezond met hamburger, hmmmm! :Y)
"Het is niet bekend of de school daadwerkelijk stappen gaat ondernemen tegen frauderende studenten en of deze bijvoorbeeld van school worden gestuurd."

Nou ik neem aan dat ze geen maatregelen nemen tegen deze studenten. Ze melden immers netjes dat het mogelijk is de pas zelf op te laden. Die 2 broodjes om te testen of het echt werkt lijken mij geen probleem.
Even verder lezen in het artikel:
Dat gebeurt in ieder geval niet met de studenten die de falende beveiliging van de kaart aan het licht brachten
Staat gewoon in het artikel:
Dat gebeurt in ieder geval niet met de studenten die de falende beveiliging van de kaart aan het licht brachten; de hogeschool reageert juist positief op hun ontdekking. "We vinden het leuk dat onze studenten dit hebben uitgevonden", aldus woordvoerder Oor. "En we zijn blij dat ze het bij ons hebben gemeld."
EDIT: Spuit elf...

[Reactie gewijzigd door deltaVsquared op 11 maart 2011 10:18]

Juridisch bestaat er geen verschil tussen kraken om misbruik te maken en kraken en het vervolgens melden.

Daarbij staat in het bericht al, dat deze studenten niet in de problemen gaan komen hiermee.

Een volgens mij goede reactie, waarmee je je beveiliging kunt aanscherpen.
Ik vind dit niet alleen vanuit dat oogpunt slim van de school, maar ook vanuit een oogpunt van reclame/positieve naamsbekendheid is dit volgens mij de best denkbare reactie.

Iedereen heeft sympathie voor de studentjes die zo'n systeem kraken en de school vervolgens informeren.
Daar zit wel degelijk verschil tussen want kraken en melden kan worden geŽxcuseerd als zijnde vrije nieuwsgaring. Zie mijn artikel Ethisch en legaal hacken voor meer daarover. En nee, dit geldt niet alleen als je journalist bij Tweakers bent.
Staat er toch ook?
Er staat dan ook in het artikel dat ze tegen hen geen actie ondernemen, dat ze het zelfs leuk vinden dat hebben uitgevonden. Dat is puur omdat ze het gemeld hebben, anders lagen ze wel buiten veronderstel ik.
Oei genaaid door 'Ferry Naaijer' :P
Hij is lame, maar Ferry doet zijn naam wel eer aan....de Naaijer...classic!
Lijkt me niet moeilijk om dit te traceren. Voor elke transactie word een log bijgehouden (neem ik aan), en het moet eenvoudig zijn om een overzicht te krijgen van passen die een verschil hebben in opladen en betalen.

Maar wie weet kunnen ze ook wel het ID van een pas wijzigen zodat hij aan een ander persoon gekoppeld wordt.
Zover ik weet word de Mifare Classic chip ook in de pas van de Hogeschool Rotterdam gebruikt. Althans, hij kan gelezen worden door de portals van de RET.
Alleen is het geen betaalmiddel, bij ons op de HRO word er gewoon per chipknip betaald.

Het zou mij niet verbazen als het voor de meeste andere scholen word gebruikt.

Ik ga thuis even een blik werpen op de kaart. Misschien dat er wel iets leuks opstaat.
Zover ik weet word de Mifare Classic chip ook in de pas van de Hogeschool Rotterdam gebruikt. Althans, hij kan gelezen worden door de portals van de RET.
De Mifare classic gebruikt dezelfde standaard frequenties als een heleboel andere RFID chips. Dus "gelezen worden" is nog niet voldoende om te bewijzen dat het daadwerkelijk om een Mifare gaat.
Ik vraag me af.. Wie heeft het verzonnen om de informatie op de kaart te zetten en niet in een centrale database?

Door alles op de kaart te zetten en niet centraal te beheren maak je het kwaadwillenden wel heel erg makkelijk kwaad te doen.
Iets met privacy en het bewaken van de vertrouwelijkheid van informatie in zo'n database denk ik.
Het is qua infrastructuur een stuk goedkoper om de informatie op de kaart te zetten.
En je wilt in geval van netwerkstoring uiteraard wel kunnen betalen, want dat kon ook met gewoon geld.
En daarmee heb je gelijk al het zwakke punt te pakken van dergelijke betaalsystemen.
Of je kunt er zo af en toe helemaal niets mee, of je introduceert een geweldig beveiligingsrisico door een beetje betaalgemak toe te staan.
Omdat bij iedere transactie te moeten communiceren met een centrale database ook nadelen heeft. Je creŽert een single point of failure: als die database plat ligt (of gekraakt c.q. geDDOS'd wordt) is je complete systeem onbruikbaar ipv. enkel enkele passen van kwaadwillenden. Of als er even een kabeltje of connector uitligt van een kassa, dan kun je die totaal niet meer gebruiken (erger wanneer de database zelf, of groepen van kassa's, onbereikbaar worden).

Voor een relatief klein netwerk, of een systeem waarbij beveiliging echt cruciaal is (bv. PIN), is centraal wel de oplossing, en zal om de nadelen heen moeten worden gewerkt (failovers, noodprocedures), maar zodra je over een campus gaat werken, of zelfs landelijk, dan groeit het dataverkeer zodanig dat een centrale oplossing met fatsoenlijke failovers erg complex en duur wordt, duurder dan een decentraal systeem zelfs met kosten van misbruik ingecalculeerd...

In de praktijk zal een afweging worden gemaakt aan de hand van een risicoanalyse en lijst met prioriteiten, en vaak (niet altijd) blijkt dat de voordelen van decentraal opwegen tegen de verminderde veiligheid. Dat kun je dan weer enigszins compenseren door alle transacties te loggen en eens in de zoveel tijd verbinding te maken om de oplaad- en transactielogs te vergelijken of bepaalde passen/personen zich hebben misdragen.

[Reactie gewijzigd door johnwoo op 11 maart 2011 10:37]

Die Sander Akkerman heet vanaf nu "Sander Hakkerman".

Anyway, waarom gebruiken ze bij de NHL niet de Chip Card die iedereen in zijn bankpasje heeft en moeten ze weer een eigen betaalpas systeem hebben ?
Omdat een chipsysteem minder handig is bij de parkeerplaats. Nu is het gewoon een kwestie van:
ingang: kaart in de lezer, eruithalen en gaan
uitgang: kaart voor de scanner houden, klaar.

Bij een chipsysteem zou er sowieso nog op knopjes moeten worden gedrukt, wat niet handig is voor een slagboom ;).

[Reactie gewijzigd door GAIAjohan op 11 maart 2011 12:09]

Omdat ze geen vreemden op hun netwerk willen?
Om met chipkaart te kunnen afrekenen moet je Interpay op je netwerk toelaten, en dat willen velen niet. Mijn werkgever (Defensie) om de een of andere reden ook niet.
haha bij ons op school is dit ook mogelijk alleen weet de school leiding er op het moment nog vrij weinig van. het grappige is ook dat je er netjes je kantine voedsel ermee kunt betalen. aangezien de pasjes bij ons op school niet op naam staan wordt het bij ons wel makkelijk gemaaktr

eerlijk gezegt denk ik dat het wel meer voorkomt op scholen, alleen dat er geen onderzoek naar uitgedaan wordt omdat er niet heel veel leerlingen het risico willen lopen.
en het dus niet heel erg opvalt

[Reactie gewijzigd door Erikdekoe op 11 maart 2011 10:21]

Zoals aangegeven is het makkelijk te traceren (tenzij er net als bij de OV-chip ook anonieme passen beschikbaar zijn). Dus misbruik is gewoon dom en zinloos..
Tijdens mijn opleiding deden we dit ook al, we hadden zelfs "onbeperkt" saldo voor bv kopieermachines en we konden zelf het saldo verhogen voor de kantine.

En omdat de kaarten niet direct gekoppeld waren aan de gebruikers (stond wel een naam op de kaart zelf, maar niet op de chip) konden we dit zonder problemen doen.
Zelfs onze leraren gebruikte "gekraakte" kaarten ;)

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013