Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 46, views: 26.049 •

Onderzoekers hebben een betaalsysteem gekraakt dat in veel Duitse universiteiten wordt gebruikt. Ze hackten de notoir onveilige chip in de kaart, die ook in de Nederlandse ov-chipkaart zat. Er bleek geen enkele controle op frauduleuze transacties te zijn.

Timo Kasper, lid van het onderzoeksteam aan de Ruhr-universiteit dat de kaart onder de loep nam, presenteerde de bevindingen tijdens de CCC-beveiligingsconferentie in Hamburg. De kaart die de onderzoekers onder de loep namen, met de naam MensaCard, wordt vooral gebruikt om te betalen in kantines van universiteiten. "Ze worden ook gebruikt in kantines van bedrijven, maar sowieso in alle universiteiten", aldus Kasper tegen Tweakers. Er zouden een miljoen van de kaarten in omloop zijn.

Wat het onderzoek vergemakkelijkte, is dat de kaart een Mifare Classic 1K-chip van NXP bevat. Die chip werd ook gebruikt in de Nederlandse ov-chipkaart, maar is inmiddels omgeruild voor een veiligere chip, hoewel er nog veel onveilige kaarten in omloop zijn. De onderzoekers noemen de implementatie van de chip in de MensaCard het 'slechtste betaalsysteem ooit', onder meer omdat alle kaarten dezelfde private key bevatten. Dat maakte misbruik extra makkelijk. Ook was de geldbalans op de kaarten opgeslagen als platte tekst, wat het makkelijk maakte om het saldo te manipuleren.

Daarnaast vond er op transacties geen controle plaats. De onderzoekers waren in staat om zelf frauduleuze kaarten uit te geven en daarmee te betalen; het systeem controleerde niet of de gebruikte kaart überhaupt bestond. "Er was geen enkele controle in de back-end" aldus Kasper. Daarnaast wisten ze de kaart te emuleren op telefoons met near field communication. Daarbij schreven ze software die bij elke transactie een nieuwe kaart emuleerde. "Dat maakt het een stuk moeilijker om fraude te detecteren", stelt Kasper.

De onderzoekers konden niet alleen gratis afrekenen in kantines, maar wisten het saldo op de kaarten ook om te zetten in 'echt' geld. Daartoe kochten ze een anonieme MensaCard van tien euro, waarna ze de kaarten hackten en er het maximumbedrag van 150 euro op zetten. Vervolgens leverden ze de kaart in bij de universiteit, waarna ze het saldo op de kaart in briefgeld terugkregen.

Het team presenteerde daarnaast een kleine rfid-kaartlezer waarmee kaarten met een aantal chips van NXP, waaronder de Classic en de DESfire EV1, kunnen worden getest. Eerder kraakten de onderzoekers een toegangssysteem van Siemens dat werd gebruikt om ruimten en liften te beveiligen; ze konden met een gemanipuleerde kaart elke ruimte betreden. Ook manipuleerden ze een bepaald type autoslot dat op afstand kan worden geopend.

Reacties (46)

Presentatie van Timo Kasper op 29C3 (29e editie van CCC): http://www.youtube.com/watch?v=Y1o2ST03O8I
Dus als ik in een aantal jaar tijd een mooi bedrijf opbouw, en voor goed geld verkoop, mag ik van jou wel arm worden, omdat ik er niet voor gewerkt heb?

Ik ken genoeg vermogende mensen, die allemaal knetterhard werken, zelfs als ze dat eigelijk allang niet meer zouden hoeven doen.
ik was onderwijsassistent kan alles gratis doen :D
zonder enig risico!
Implementatie vn de chip
dit heeft helemaal niets met de ov chipkaart te maken (andere software, andere chip). Het gaat niet alleen over het feit dat ze de chip gekraakt hebben ( dat is oud nieuws), maar ook de software die erop staat is niet goed ontworpen.
Maar Kasper zit nu wel achter tralies wegens diefstal neem ik aan?

Of mag je bij wijze van experiment wel inene 150 euro witwassen + voer uit de kantine halen?
Natuurlijk mag het niet, maar als je er een groter maatschappelijk probleem mee aan het licht brengt wordt je er over het algemeen niet voor vervolgd. Om die reden is Brenno de Winter niet gestraft voor het gratis reizen met een gehackte ov-chipkaart en hoeft Alberto Stegeman niet de nor in voor het inbreken op Schiphol en een legerbasis. Ze hebben aandacht gevestigd op een misstand, en dat kan soms alleen maar door iets te doen wat niet is toegestaan.
Ik lees vaak mee op Tweakers en vind de reacties op vele artikelen gegrond. Maar als het maar even over hacken/cracken gaat zie ik veel reacties die nergens op slaan, zo ook in dit bericht.
Als ik een product ontwikkel, en het moet in het nieuws komen en daar heb ik een paar ton negatief voor over, dan laat ik me tegenwoordig hacken. Er is een gegarandeerd succes!
Laat je niet meeslepen in de media g..lheid die er nu is rond deze hype. In het nieuws komen, ook al is het negatief, geeft nou eenmaal naamsbekendheid. En denk je nou heus dat er mensen een akkevietje van een jaar geleden nog hebben onthouden, nee dus, naam is belangrijker.
En ja, Google en de meeste zoekgiganten werken hier prima aan mee, je kan namelijk bepaalde content laten blokken/niet snel laten verschijnen.
Ben ik de enige die de naam van deze kaarten/het systeem ironisch vind ?
Ik heb de naam van die IQ club altijd juist "ironish" gevonden. Wie noemt zo'n club nou "tafel"?
Op Nederlandse universiteiten wordt met de Mensa ook het (studenten)restaurant bedoeld.
De naam van de kaart is dus volkomen logisch, zelfs hier.
Als niet student kan je er ook eten, maar niet tegen studentenprijsjes, maar ook dan kan je een x gangen-maaltijd voor relatief weinig krijgen (soepie-hoofdgerecht vis/vlees/vegetarisch-toetje-drankje-zelf halen/afruimen)

Ik mis inderdaad wat er ironisch aan is.

[Reactie gewijzigd door Teijgetje op 30 december 2012 22:56]

Is gewoon studenrestaurant in het duits en betekent tafel in het Latijn. Niet zo ver gezocht imo.
http://nl.wikipedia.org/wiki/Mensa_%28eetgelegenheid%29
Ah, ik vind de naam van de conferentie dan weer ironisch ... :)
Dat je zo'n kaarten kan kraken met weinig tot geen kennis van IT is toch al lang geweten.
Wij deden dit 10 jaar geleden ook al op school. Alleen was het toen de truk om het huidige saldo van een kaart te gebruiken bij een herlading van een tweede kaart.
Fameus "onderzoek" hoor.

De oplossing is simpel.
1/ Geen anonieme kaarten.
2/ Op het einde van het jaar de boekhouding het saldo laten maken van de uitgaven en de fysieke herladingen. (worden alle 2 bijgehouden en deze zijn niet via de kaarten te manipuleren)
De kosten voor extra beveiliging loopt hoger op dan het bedrag dat je eventueel bij fraude moet vergoeden. Zeker bij deze toepassing, zal het systeem niet uitgebuit worden door criminele bendes die hiermee miljoenen buiten kunnen maken. Sterker nog: niemand gaat dit systeem uitbuiten voor enkele euro's wanneer de kans bestaat dat je onslagen wordt of van de universiteit wordt gegooid als het ontdekt wordt. Dus puur vanuit het management standpunt, begrijp ik deze beslissing.

[Reactie gewijzigd door biglia op 29 december 2012 22:38]

Een kaart waarop je zelf het saldo kan aanpassen en de transacties niet gecontroleerd worden. Hoe gaat iemand daar ooit achterkomen?
Ik vraag me in zulke gevallen af: wat is er mis met de chipknip gebruiken? Zijn de kosten per transactie zoveel hoger dan als je helemaal zelf een systeem moet regelen?

edit: (oeps, verkeerd niveau... irritant vanaf mobiel ;))

[Reactie gewijzigd door Bokkiej op 29 december 2012 23:33]

Onveiligheid. Met je Chipknip ga je geen auto kopen en daarom is ook het saldo gelimiteerd.

De kosten per transactie zijn niet perse veel hoger, maar als jij je pinpas met 5euro Chipknip tegoed kwijtraakt kan ik met jou gevonden pas de 5 euro betalen voor mijn kratje bier, maar aan jou betaalrekening kan ik niet aankomen.

5euro kwijt, jammer dan, maar geen ramp. Zo is hetzelfde met die betaalpasjes. Hier draai je geen miljoenen verlies op. Kosten/Baten is uiteindelijk waar ALLES in de wereld om draait (Zelfs liefde..)
mijn vraag was volgens mij anders dan waar jij antwoord op geeft: waarom gebruikt de universiteit niet een chipknip systeem? Daar gaat het juist ook om kleine transacties. Waarom zelf moeilijk doen als er al een prima werkend systeem is? Dat zal ook wel iets met kosten en baten zijn, maar ik weet nog niet waar hem dan die extra kosten in zitten.
Sorry, begreep je reactie verkeerd! Je hebt je eerste zin aangepast, of ik heb ontzettend fout gelezen !

Chipknip is een Belgisch concept he (Proton heet(te) het daar), vergeet dat niet. Ik weet niet of er een vergelijkbaar systeem in Duitsland bestaat.

Maar dit heeft inderdaad met transactie kosten te maken lijkt mij. Ik heb ooit ergens gelezen dat een Chipknip transactie rond de 5 cent (excl BTW) kost. Dat is nu, met de gedaalde kosten van een PIN transactie, duurder.

Nogmaals, ik zou het niet precies weten. misschien iemand anders?

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6DestinyAssassin's Creed UnityFIFA 15Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox OneTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013