Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 46 reacties

Onderzoekers hebben een betaalsysteem gekraakt dat in veel Duitse universiteiten wordt gebruikt. Ze hackten de notoir onveilige chip in de kaart, die ook in de Nederlandse ov-chipkaart zat. Er bleek geen enkele controle op frauduleuze transacties te zijn.

Timo Kasper, lid van het onderzoeksteam aan de Ruhr-universiteit dat de kaart onder de loep nam, presenteerde de bevindingen tijdens de CCC-beveiligingsconferentie in Hamburg. De kaart die de onderzoekers onder de loep namen, met de naam MensaCard, wordt vooral gebruikt om te betalen in kantines van universiteiten. "Ze worden ook gebruikt in kantines van bedrijven, maar sowieso in alle universiteiten", aldus Kasper tegen Tweakers. Er zouden een miljoen van de kaarten in omloop zijn.

Wat het onderzoek vergemakkelijkte, is dat de kaart een Mifare Classic 1K-chip van NXP bevat. Die chip werd ook gebruikt in de Nederlandse ov-chipkaart, maar is inmiddels omgeruild voor een veiligere chip, hoewel er nog veel onveilige kaarten in omloop zijn. De onderzoekers noemen de implementatie van de chip in de MensaCard het 'slechtste betaalsysteem ooit', onder meer omdat alle kaarten dezelfde private key bevatten. Dat maakte misbruik extra makkelijk. Ook was de geldbalans op de kaarten opgeslagen als platte tekst, wat het makkelijk maakte om het saldo te manipuleren.

Daarnaast vond er op transacties geen controle plaats. De onderzoekers waren in staat om zelf frauduleuze kaarten uit te geven en daarmee te betalen; het systeem controleerde niet of de gebruikte kaart überhaupt bestond. "Er was geen enkele controle in de back-end" aldus Kasper. Daarnaast wisten ze de kaart te emuleren op telefoons met near field communication. Daarbij schreven ze software die bij elke transactie een nieuwe kaart emuleerde. "Dat maakt het een stuk moeilijker om fraude te detecteren", stelt Kasper.

De onderzoekers konden niet alleen gratis afrekenen in kantines, maar wisten het saldo op de kaarten ook om te zetten in 'echt' geld. Daartoe kochten ze een anonieme MensaCard van tien euro, waarna ze de kaarten hackten en er het maximumbedrag van 150 euro op zetten. Vervolgens leverden ze de kaart in bij de universiteit, waarna ze het saldo op de kaart in briefgeld terugkregen.

Het team presenteerde daarnaast een kleine rfid-kaartlezer waarmee kaarten met een aantal chips van NXP, waaronder de Classic en de DESfire EV1, kunnen worden getest. Eerder kraakten de onderzoekers een toegangssysteem van Siemens dat werd gebruikt om ruimten en liften te beveiligen; ze konden met een gemanipuleerde kaart elke ruimte betreden. Ook manipuleerden ze een bepaald type autoslot dat op afstand kan worden geopend.

Reacties (46)

Reactiefilter:-146043+118+25+30
Moderatie-faq Wijzig weergave
Dus als ik in een aantal jaar tijd een mooi bedrijf opbouw, en voor goed geld verkoop, mag ik van jou wel arm worden, omdat ik er niet voor gewerkt heb?

Ik ken genoeg vermogende mensen, die allemaal knetterhard werken, zelfs als ze dat eigelijk allang niet meer zouden hoeven doen.
Sorry, begreep je reactie verkeerd! Je hebt je eerste zin aangepast, of ik heb ontzettend fout gelezen !

Chipknip is een Belgisch concept he (Proton heet(te) het daar), vergeet dat niet. Ik weet niet of er een vergelijkbaar systeem in Duitsland bestaat.

Maar dit heeft inderdaad met transactie kosten te maken lijkt mij. Ik heb ooit ergens gelezen dat een Chipknip transactie rond de 5 cent (excl BTW) kost. Dat is nu, met de gedaalde kosten van een PIN transactie, duurder.

Nogmaals, ik zou het niet precies weten. misschien iemand anders?
Presentatie van Timo Kasper op 29C3 (29e editie van CCC): http://www.youtube.com/watch?v=Y1o2ST03O8I
Ik heb de naam van die IQ club altijd juist "ironish" gevonden. Wie noemt zo'n club nou "tafel"?
Een kaart waarop je zelf het saldo kan aanpassen en de transacties niet gecontroleerd worden. Hoe gaat iemand daar ooit achterkomen?
Hij moet helemaal niets omkeren. Het is gewoon een vaststelling van het verschil tussen ook de chipknip en pinpas.

Het voordeel is dat je geen directe verbinding naar de database nodig hebt (en dus veel sneller+goedkoper in gebruik). Nadeel is dat het wat onveiliger kan zijn, maar als je het gewoon goed beveiligt valt dat reuze mee.
En die zijn juist bekend om hun technologische kennis. Maar ach, alles uit Azië is een pot nat he? Net als Afrika, daar is het een grote savanne met hyena's. Wat is nu het verschil tussen Egypte, Kongo en Zuid-Afrika? Of tussen Nederlanders, lui uit de VS en Brazilianen? Alle sarcasme op een stokje: wat in de reactie hierboven gebeurt is toch wel het toppunt van over een kam scheren zeg.
Offtopic, maar je weet dat er maar een sushi land bestaat, en dat is Japan? En laat nu juist dit land de reputatie hebben toch behoorlijk wat kennis van zeer moderne, als niet futuristische, technologie te bezitten.
Op Nederlandse universiteiten wordt met de Mensa ook het (studenten)restaurant bedoeld.
De naam van de kaart is dus volkomen logisch, zelfs hier.
Als niet student kan je er ook eten, maar niet tegen studentenprijsjes, maar ook dan kan je een x gangen-maaltijd voor relatief weinig krijgen (soepie-hoofdgerecht vis/vlees/vegetarisch-toetje-drankje-zelf halen/afruimen)

Ik mis inderdaad wat er ironisch aan is.

[Reactie gewijzigd door Teijgetje op 30 december 2012 22:56]

ik was onderwijsassistent kan alles gratis doen :D
zonder enig risico!
Implementatie vn de chip
mijn vraag was volgens mij anders dan waar jij antwoord op geeft: waarom gebruikt de universiteit niet een chipknip systeem? Daar gaat het juist ook om kleine transacties. Waarom zelf moeilijk doen als er al een prima werkend systeem is? Dat zal ook wel iets met kosten en baten zijn, maar ik weet nog niet waar hem dan die extra kosten in zitten.
dit heeft helemaal niets met de ov chipkaart te maken (andere software, andere chip). Het gaat niet alleen over het feit dat ze de chip gekraakt hebben ( dat is oud nieuws), maar ook de software die erop staat is niet goed ontworpen.
Is gewoon studenrestaurant in het duits en betekent tafel in het Latijn. Niet zo ver gezocht imo.
http://nl.wikipedia.org/wiki/Mensa_%28eetgelegenheid%29
Wat iedereen voor het gemak altijd vergeet is dat ambtenaren te graag technologie gebruiken waar dat niet mogelijk is, terwijl elke chip altijd actief gekraakt wordt door inlichtingendiensten. Die besteden daar soms heel veel geld aan, want hun eigen NSA moet dat toch doen.

Dan op gegeven moment testen ze 't keertje uit. Per toeval komt jaren later een nerd achter een soortgelijke zwakte, dan denkt zo'n buitenlandse pipo die zijn NSA technologie heeft ook: "goh nu kunnen we 't te gelde maken" en hij stapt naar de lokale mafiabaas die zijn criminelen het systeem laat uitbaten.

Moraal van het verhaal: alles wordt altijd gekraakt en de mafia hoeft de kosten van het kraken nooit te dragen, dus je redenatie slaat kant noch wal.
Bedoel je dan een usb <> lpt kabel of een usb a <> usb b kabel?
Wij hadden een privé printer en pc's in de klas staan en zelf naar het einde van het schooljaar toe de nieuwe algemene printer van de school, onze leerkracht en klas titularis (zelfde persoon) was de it man van de school, dus alles kwam eerst in onze klas langs, wel handig. Haj de opleiding was Meet & regeltechniek (veel meet en regel heb ik niet gezien).

Op dit item kan niet meer gereageerd worden.



Microsoft Windows 10 Home NL Apple iPhone 6s Star Wars: Battlefront (2015) Samsung Galaxy S6 Edge Apple Watch Project CARS Nest Learning Thermostat Games

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True