Student ontdekt kwetsbaarheid in protocol ov-chipkaart

Een student van de Radboud Universiteit heeft een nieuwe kwetsbaarheid in de ov-chipkaart gevonden. Daardoor zijn zowel de oude als de 'nieuwe' ov-chipkaart getroffen. De kwetsbaarheid is niet op te lossen zonder kaarten te vervangen.

OV-chipkaartDoor de kwetsbaarheid kan de versleuteling van een ov-chipkaart nu in luttele minuten worden gekraakt, waar dat normaliter enkele weken zou duren, schrijft Nu.nl. Daardoor zou een aanvaller bijvoorbeeld het saldo op de kaart kunnen wijzigen, al is het wel een kwestie van tijd voordat dat wordt ontdekt en de desbetreffende kaart wordt geblokkeerd.

Zowel de 'oude' ov-chipkaart, waarvan de Mifare Classic-chip van het Nederlandse NXP al eerder werd gekraakt, als de nieuwe ov-chipkaart is getroffen. Dat komt doordat de nieuwe kaart, die juist is ingevoerd om de kwetsbaarheden van de oude kaart op te lossen, nog wel hetzelfde communicatieprotocol als de oude Mifare Classic-kaarten gebruikt. Overigens werd eerder al een onschuldiger kwetsbaarheid in de Infineon SLE-66-chip gevonden.

"De kwetsbaarheid bevindt zich op de chip, en is niet op te lossen", bevestigt Anita Hilhorst van Trans Link Systems tegenover Tweakers. Dat is de organisatie achter de ov-chipkaart. Om het probleem volledig te verhelpen, zouden alle ov-chipkaarten moeten worden omgewisseld, maar dat is TLS voorlopig niet van plan. "Fraude is nu onder controle, er gebeurt nog niks", aldus Hilhorst.

Dat verandert mogelijk: op deze zomer presenteert de student die het probleem ontdekte, Carlo Meijer, zijn werk. Het is onbekend hoeveel hij over de werking van de hack naar buiten zal brengen; de begeleider van zijn onderzoeksgroep, Bart Jacobs, was niet bereikbaar. Het is echter gebruikelijk dat onderzoekers kwetsbaarheden na een bepaalde periode naar buiten brengen, nadat ze de betrokken bedrijven de kans hebben gegeven om het probleem op te lossen.

TLS zegt de komende tijd in de gaten te zullen houden 'hoe de fraude zich ontwikkelt'. Volgens woordvoerster Hilhorst is het aan de vervoerders om te bepalen of het de moeite waard is om de kaarten te vervangen, of dat de fraude die wordt gepleegd daarvoor niet genoeg financiële schade veroorzaakt. Hilhorst stelt dat het waarschijnlijker is dat de kaarten door natuurlijk verloop zullen worden vervangen.

Overigens zijn ook andere kaarten die het Mifare Classic-protocol gebruiken kwetsbaar voor de aanval. Daarbij gaat het onder meer om toegangspasjes voor hotels en bedrijfsgebouwen. Daarbij moet worden aangetekend dat de oorspronkelijke Mifare Classic-chip al was gekraakt.

Door Joost Schellevis

Redacteur

02-04-2015 • 15:40

185 Linkedin

Reacties (185)

185
179
115
4
0
0
Wijzig sortering
Misschien lees ik erover heen, maar voor zover ik kan zien gaat het artikel op nu.nl over de mifare classic, en niet de sle66 in de huidige chipkaarten. De sle66 is een compleet andere chip, die wel mifare spreekt, maar totaal anders werkt. Volgens nu is dan ook NXP ingelicht, en niet infineon.

Waar heeft tweakers vandaan dat de sle66 ook kwetsbaar is?

[Reactie gewijzigd door tinzarian op 2 april 2015 18:16]

De aanval gepresenteerd in het onderzoek misbruik alleen design flaws in het mifare classic protocol. Dat is het "nieuwe" ervan. Het onderzoek uit 2009 misbruikte implementatie issues zoals een zwakke random nummer generator en versleutelde authenticatie error codes. Het gevolg is dus dat alles wat mifare classic compatibel nu dus kraakbaar is in minuten. Dus ook de sle66. Als je hier iets tegen wil doen moet je backwards compatibility breken, wat grote infrastructurele aanpassingen vergt.

[Reactie gewijzigd door CARLiCiOUS op 2 april 2015 21:26]

Het is niet reëel om te verwachten dat er snel iets aan gedaan wordt ook nadat de hack naar buiten komt.
Ik denk toch dat ze het snel moeten fixen. In alle posts kijken jullie naar (bijna) gratis reizen.
Maar je kan ook goedkoper reizen ipv gratis en kost het de NS nog geld.
Als je weet wat je reis kost, koop je voor 7.50 een anonieme kaart. Als je van A naar B en weer terug reist en dat kost 50,- dan zet je er dus 50,- op en morgen doe je hetzelfde met een nieuwe kaart. Dan reis je dus voor 7.50 over een traject wat normaal 50,- kost.
Dat blijft fraude en dus niet doen, maar zo kan het NS wel geld kosten (50 - 7.50).
Daarom lijkt het mij dat de synchronisatie van 24u te lang is. Als je dit verkort naar bijvoorbeeld 15/30 min en dan meteen de kaart blokt is de kans kleiner dat men de kaart zo gebruikt. Want wie blijft er nou korter dan 15/30min op zn locatie. Okay, een drugs dealer misschien :)
En dan voorkom je het trouwens nog niet helemaal, want iemand kan een 2e kaart gebruiken voor de terug reis. Kost het hem alleen 15,- totaal ipv 7.50.
Dus NS moet hier toch wel wat aan doen lijkt mij.. Dat geld wat ze mislopen kunnen ze beter investeren in wissels met verwarming zodat de wissels niet bevriezen in de winter..

[Reactie gewijzigd door MurdahG op 3 april 2015 08:48]

Als 1 iemand dat doet, dan denk de translink (NS is hier eigenlijk geen partij) Meh. 50 euro komen ze hun bed niet voor uit.

Als je dat als journalist doet, dan weet translink je naam, en kunnen ze meteen een vervelende rechtszaak aanspannen. (is reeds gebeurd).

Als je dagelijks reist, heb je een bepaalde routine. En aangezien de anonieme kaart helemaal niet anoniem is, staat na 3 weken de (spoorweg) politie bij het poortje waar je elk dag om 17:43 inchecked. met een extra handscanner. En geeft translink prompt een persbericht uit dat ze je te pakken hebben.

/* leuk_he is tot 4 miljoen euro helemaal te vertrouwen */

[Reactie gewijzigd door leuk_he op 3 april 2015 09:57]

Uit de reacties begreep ik dat de anonieme kaart ook cash of zelfs bij supermarkten etc gekocht kon worden. Vandaar mijn beredenering.
Maar wat er idd niet anoniem is zijn de camera beelden als die er eventueel zijn en als er dan politie staat met een foto van de fraudeur in hun handen, dan is hij/zij de pineut.
Dus bij vaste routine is de pakkans groter. Bij af en toe een verre treinreis kleiner en dus is het systeem nog niet waterdicht, maar ook niet anoniem.
Niet doen dus en gewoon betalen :)
In het artikel staat "al is het wel een kwestie van tijd voordat dat wordt ontdekt en de desbetreffende kaart wordt geblokkeerd", en volgens mij is het zo dat de systemen iedere nacht om 00:00 uur geloof ik, gesynchroniseerd worden, daarbij wordt er gekeken of het bedrag op de server overeenkomt met het bedrag op de kaart, zoiets was het. Als dit niet overeenkomt is de kaart geblokkeerd. Dit werd ingevoerd, de vorige keer dat de chipkaart gehackt was. Daarom kun je dus maximaal 24 uur reizen, ik weet niet wat tegenwoordig een (wegwerp) OV-chipkaart kost, maar als dit lek uitkomt kun je dus voor (bijvoorbeeld) 10 euro, onbeperkt door Nederland reizen.
Een anonieme OV kaartje kostte volgens mij 17,50.
Dus als je hier gebruik van wilt maken moet je minimaal 17,51 gebruiken met deze hack in een dag, wat trouwens op zich wel te doen is, als je met de trein reist.

De vraag wordt dan wanneer de nieuwe kaartjes worden gemaakt. Als je constant een anonieme kaartje moet kopen, dan krijg je dus binnenkort een nieuwere versie die deze hack verhelpt. Dan mag je alsnog alleen maar legaal reizen
Zou je eens uit kunnen leggen waarom je minimaal 17,51 zou moeten gebruiken?

Lege MiFARE (4K) kaarten kosten hooguit enkele dubbeltjes (afhankelijk hoeveel je er tegelijk koopt en dan hebben we het nog niet over een papieren versie). Je pakt een blanco kaart, vervolgens haal je deze door een kaartpinter om deze het uiterlijk te geven van een OV-chipkaart, vervolgens zet hier een willekeurig bedrag op en gaat een dag reizen. Aan het eind van de dag gooi je de kaart weg en morgen maak je weer een nieuwe kaart.

In mijn optiek zou je dan minimaal voor 1 euro moeten reizen om dit systeem lonend te maken. Of mis ik iets ?
Zou je eens uit kunnen leggen waarom je minimaal 17,51 zou moeten gebruiken?

Lege MiFARE (4K) kaarten kosten hooguit enkele dubbeltjes (afhankelijk hoeveel je er tegelijk koopt en dan hebben we het nog niet over een papieren versie). Je pakt een blanco kaart, vervolgens haal je deze door een kaartpinter om deze het uiterlijk te geven van een OV-chipkaart, vervolgens zet hier een willekeurig bedrag op en gaat een dag reizen. Aan het eind van de dag gooi je de kaart weg en morgen maak je weer een nieuwe kaart.

In mijn optiek zou je dan minimaal voor 1 euro moeten reizen om dit systeem lonend te maken. Of mis ik iets ?
Dat is nog niet zomaar zo te doen. Zover ik weet kunnen we alleen bestaande kaarten aanpassen (als we de crypto-key achterhaald hebben), maar kunnen we geen nieuwe kaarten fabriceren omdat we niet weten hoe die crypto key gemaakt wordt. Die is per kaart anders namelijk.

Overigens: de meerwaarde van 'door een kaartprinter halen' is nul. Een conducteur kijkt daar zo doorheen, en voor een poortje is 't niet nodig. Als je dan een conducteur tegenkomt kun je beter zeggen dat je geen kaartje hebt, want dan heb je alleen een boete voor zwartrijden te pakken. Als jij echter met een vervalste kaart aankomt heb je meer problemen. Dit hele verhaal is dus alleen nuttig als je een échte kaart aanpast zodat een conducteur ook niet kan zien dat 't niet helemaal kuis is.

[Reactie gewijzigd door CyBeR op 2 april 2015 17:50]

Op mifare classic kaarten kan je zelf de keys instellen, mits je de huidige keys weet :)
Ja, maar je weet dus niet welke je moet hebben. Wat er nu gebeurt is dat TLS een kaart maakt met een key en dat wij die key achterhalen door fouten in de chips. Maar gegeven een UID (zonder chip waar de key al in staat met dat UID) weten we niet welke key daar bij hoort.

[Reactie gewijzigd door CyBeR op 2 april 2015 18:14]

In theorie dan allemaal. Ik zou niet weten waarom je stiekem gratis met de trein zou willen reizen - NS biedt service en iemand moet daarvoor betalen. Zitten we nou interessante theoretische hacks te bespreken of bevindt deze discussie, over hoe je het beste illegaal NS-cards kunt hacken, zich in een schemergebied?
https://www.ov-chipkaart.nl/aanvragen/
Ik dacht dat het 17,50 was, maar blijkt dus dat zo'n kaart 7,50 kost.
Maar een bak lege kopen werkt ook als je weet wat je op de chip moet schrijven
Touchotag RFID reader/writer, kost 30 euro volgens mij. Ik beschikzelf over een apparaat van omnikey, met de juiste hulpmiddelen heb in enkele uurtjes het voor elkaar om dit te leren en vervolgens is het schrijven van een elke nieuwe kaart enkele minuten werk.

Overigens vindt ik 7,50 een belachelijk hoogbedrag van een MIFARE 4K kaart. Ik betaalde zelf enkele jaren geleden 75 cent per kaart. Heb 50 of 100 tal aangeschaft om leuke experimenten mee te doen ;)

[Reactie gewijzigd door herbalx op 2 april 2015 16:56]

of, als je het dan toch gehackt hebt, je verandert het bedrag weer zodat het weer klopt na het reizen
Je begrijpt het volgens mij niet helemaal.
Stel, je koopt een anonieme kaart met een saldo van 7,50. Die hack je en je zet er 150 euro op. Dan ga je een dag lang reizen. Om middernacht controleert de server je verbruik en je saldo en die ziet dat je 7,50 had en (bijvoorbeeld) 40 euro verbruikt hebt. Dan wordt je kaart dus direct geblokkeerd. Het doet er dus niet echt toe welk saldo je op de kaart hebt staan aan het einde van de dag.
Okay. Maar waarom gaan ze dan niet zorgen dat dit real time wordt ipv middennacht? Dan hoeft er helemaal geen saldo op de kaart zelf te staan, maar is de kaart alleen nog een login/logout kaart en wordt de afrekening op servers gedaan. Zijn ze van een hoop ellende af.

Het zal vast een investering vergen, maar die heb je er dan snel uit. Plus het scheelt de klant een hoop gezeur met opladen. Dat kan je dan gewoon via een site met iDeal doen, je hebt dan namelijk geen interactie met de kaart zelf nodig, maar alleen een code in te geven.
Als je wil dat alles real-time gecheckt wordt dan moeten alle terminals 24/7 in verbinding staan met een centrale server. Iedere trein, tram, bus, metro, handheld van de conducteur, paal op het station etc. etc. Ligt die verbinding er even uit dan ligt meteen een terminal er uit. Rijd een trein een tunnel of een witte vlek in dan kan een conducteur even geen kaartjes controleren. Gaat er centraal eventjes iets mis dan kan er in het hele land even niet afgerekend worden.

Niet alleen zou het erg storingsgevoelig zijn, het zou een absoluut godsvermogen kosten om aan te leggen. En als het systeem er een uurtje uit ligt dan kost dat al meer dan alle fraude in een heel jaar.

Zolang de fraude op een acceptabel laag niveau ligt is het verreweg het makkelijkst en het goedkoopst om te accepteren dat 0,0000001% van de reizen frauduleus is.
Als de verbindingen er even uitligegn dan onthouden de terminals de checkins en checkouts. De reiziger kan verder. Als de verbinding weer up is geven de terminals het weer door. Iemand kan dan even een schuld opbouwen, maar die wordt dan automatisch verrekend. Niet fraudegevoeliger dan nu en veel minder problemen.

Er moet investeringen gedaan worden maar zo lastig is het niet via 2G/3G/4G bij bussen de checkin/chouckout door te geven.
Maar dat is dus niet real-time. Dan trek je alleen regelmatig de gegevens tussen een terminal en de centrale server gelijk. Als het real-time was dan moest de centrale server voor iedere transactie toestemming verlenen.

Er wordt nu al regelmatig gesynct. Sommige systemen misschien wel elke seconde, andere systemen misschien eens per dag als het apparaat terug is in de garage/standplaats/remise. Zo lang een fraude actie nooit langer dan 24 uur kan duren is het probleem is betrekkelijk beperkt.

Zo lang de fraude een fractie kost van de oplossing heeft het geen zin om het op te lossen. Tenzij je doel is enorme hoeveelheden geld over de balk te smijten maar daar zullen de klanten van TransLink niet op zitten te wachten.
Niet realtime, maar as near-as. In ieder geval een stuk vaker dan eens per etmaal, en daarmee volkomen niet-nuttig meer om de kaart te hacken.
Zo lang de fraude een fractie kost van de oplossing heeft het geen zin om het op te lossen. Tenzij je doel is enorme hoeveelheden geld over de balk te smijten
Beetje off topic maar ik moest meteen aan de entertainment industrie en TPB denken 8)7
Ooit gedacht aan een storing? Zou een beetje raar zijn als je een paar uur niet kan afrekenen omdat TLS op z'n gat ligt. Wellicht een extreem voorbeeld: Stroomstoring van vorige week, heel Noord-Holland/Zuid-Holland geen stroom. Bussen rijden wel gewoon, maar had in jou geval niemand kunnen afrekenen met TLS

Binnenkort maar weer even proberen met een anonieme OV-kaart! Het leukste van de verhalen die ik tot nu toe heb gelezen is dat het verschil met de vorige hack was dat nu alles opnieuw beschreven kan worden op de kaart. Bij de vorige gekraakte chip ging dit puur om een aantal waarden die je kon overschrijven. Mocht je nu dus je gehele kaart kunnen aanpassen dan kan je dus weldegelijk jou kaart naar ''nieuwe'' OV-kaart terugbrengen en filtert TLS jou kaart er NIET uit rond 0:00.

[Reactie gewijzigd door Prinzie op 2 april 2015 18:00]

Ooit gedacht aan een storing? Zou een beetje raar zijn als je een paar uur niet kan afrekenen omdat TLS op z'n gat ligt. Wellicht een extreem voorbeeld: Stroomstoring van vorige week, heel Noord-Holland/Zuid-Holland geen stroom. Bussen rijden wel gewoon, maar had in jou geval niemand kunnen afrekenen met TLS
Dat is te letterlijk denken. Je kan het huidige systeem gewoon als 2e / fall-back stap laten bestaan waardoor als de real-time verbinding niet lukt je de huidige methodiek gebruikt. Met een terugkoppeling naar de centrale als er wel weer verbinding is.
Dan heb je in 99% van de gevallen zo goed als nul kans op fraude en de 1% die wordt dan alsnog sneller dan de huidige 24u opgepakt (of je moet 24u geen verbinding kunnen opbouwen maar dan heb je dat probleem ook met de huidige systematiek)
Is nu met pinbetalingen ook zo. Als er niet te controleren of je genoeg geld hebt krijg je het niet gratis mee, hoe vervelend het soms ook is. Ookal heb je een ton op de bank. Dan moet je dus contant betalen. Iets wat dan is de bus dus ook als fallback zou moeten kunnen. Of inderdaad dan op de 'gecachte' manier op de kaart zoals hierboven aangegeven. Dan kunnen ze er alleen misbruik van maken als er een storing is.
En dan valt het netwerk even uit ...
Het zal niet simpel zijn (zoals in en uit de bus) maar dat is allemaal op te vangen, met buffering e.d.
Is niet eens nodig om het zo fine-grained te doen.
Die terminals synchroniseren nu waarschijnlijk in de remise.
Laat ze ook syncen bij elke eind-halte en je bent er al bijna.
Anoniem: 366402
@arsimo2 april 2015 17:56
Middernacht kan ook real-time zijn. Verkeerde term. Je bedoelt denk ik constant, of direct.

Real-time betekent niets anders dan dat je computer-tijd kunt relateren aan echte tijd, dus dat io-waits en sleeps geen roet in het eten gooien. Als ik met 100% zekerheid kan zeggen dat een routine over een uur klaar is, dan is dit real-time.
real time heeft vele betekenissen. Een daarvan (een veel gebruikte) is de real-time processing die de tegenhanger is van batch-processing en die wel degelijk de connotatie heeft van 'vrijwel direct verwerkt' (meestal in de orde van milliseconden tot max enkele seconden).
Er wordt nu heel 'spastisch' gedaan over de moeilijkheden van realtime bijwerken maar hoe denken jullie dat bijvoorbeeld mobiele pinautomaten werken? Er is een reden dat je saldo niet op je pas maar bij de bank staat en geverifieerd wordt voor de transactie goed wordt gekeurd. Dat kan ook prima in de bus of trein. En ja, dat kost een hoop dataverkeer maar ik denk dat de besparing door minder fraude een hoop dataverkeer op kan vangen... En al zou het netwerk uitvallen, dan zou er dus in de bus met contant geld betaald moeten kunnen worden, net als bij de winkel. Als daar de pin niet werkt en je hebt geen contant geld bij: dan niets kopen...

En zo duur hoeft het niet te zijn om dit te implementeren, de meeste bussen/treinen/etc staan volgens mij momenteel al constant in verbinding met de centrale om positie en snelheid etc terug te koppelen... zie op tv tenminste soms wel een NOC voorbijkomen waar treinen realtime op het traject ingetekend worden.

[Reactie gewijzigd door P-e-t-j-e op 2 april 2015 17:41]

... maar hoe denken jullie dat bijvoorbeeld mobiele pinautomaten werken?
Mobiele pinautomaten ? Staan daar ook elk kwartier tientallen mensen te wachten om te betalen ? Bij mij op het station wel, in de spits.

Maar die discussie is al talloze malen gevoerd hier.
? Met een mobiele pinautomaat bedoel ik dus een pinapparaat dat niet met een kabeltje aan de telefoon is verbonden maar draadloos de transactie verwerkt middels een dataverbinding via simkaart. Voor hij de transactie goedkeurt is er contact met de bank of je genoeg saldo hebt en zo ja dan klaar. Zo kunnen de ov-kaartlezers ook werken.... Duurt maar een paar seconden, zeker als je een Always-on verbinding hebt net als je mobiele telefoon met 4g.
Voor hij de transactie goedkeurt is er contact met de bank of je genoeg saldo hebt en zo ja dan klaar... Duurt maar een paar seconden,
een paar seconden.. dat is dus te lang als er tientallen mensen in een rij staan om een trein of bus te enteren. Het moet net zo snel gaan als het piepje bij het verlaten van het vervoermiddel. En juist op dat moment moet er nog bepaald worden wat je rit kostte en verrekend met je saldo. Daar ga ik niet op wachten.
Als er misbruik van gemaakt wordt en er is een betere verificatie nodig die iets langer neemt (kan ook in 2 seconden gedaan zijn, net als de poortjes bij de metro in engeland, en daar gaan miljoenen mensen per dag doorheen) dan lijkt mij dat voor de leverancier zeker opwegen tegen de vertraging die jij 'onacceptabel' vindt. In mijn ogen wel acceptabel. Weet je nog hoe hit ging met de kaartjes? Dat was minuten! Dus of het nou 1 of 3 seconden is... ook dat went wel weer... En voor jou heeft het voordelen omdat de kosten door minder misbruik omlaag kunnen, als dat tenminste door de leverancier door wordt gezet naar de klanten natuurlijk.... Vraag me af hoe je er over zou denken als jij de leverancier was en mensen op die schaal misbruik kunnen maken door een lek in het huidige systeem en het enige verschil met een 'veilig' systeem is een paar seconden bij het inchecken....
Vraag me af hoe je er over zou denken als jij de leverancier was en mensen op die schaal misbruik kunnen maken door een lek in het huidige systeem en het enige verschil met een 'veilig' systeem is een paar seconden bij het inchecken....
Ik ben de leverancier niet, maar de klant. En met dertig mensen voor me a 3 seconden per persoon vind ik in en uitchecken te lang duren. Al was het gratis.
Iedereen mag een mening hebben, vraag is wat algemeen acceptabel is en niet persoonlijk :) Maar ik snap je punt wel hoor.
Het is natuurlijk van de zotte dat deze informatie nog steeds client-side wordt bijgehouden.
Ik dacht eigenlijk dat dit al opgelost was, omdat ik anders niet zou kunnen verklaren waarom er zoveel in-/uitcheck paaltjes met storingen kampen (connectie problemen?).
Het saldo bijhouden op elke bus is toch nog veel moeilijker?

Is het niet het voordeligst om gewoon wat fraude te accepteren?
Precies. Hoeveel zou je hiermee kunnen verdienen? Voor jezelf zet het geen zoden aan de dijk, zelfs niet als het je jaarkaart vervangt. Dat weegt niet op tegen het risico van een strafblad. Dus je moet erin gaan handelen, honderden kaarten manipuleren en verkopen. Dat zal misschien gebeuren, maar qua omzet is dat een druppel op een gloeiende plaat.
http://www.nu.nl/internet...jkt-eenvoudig-kraken.html
Eenmaal gekraakt kan de chip niet alleen worden uitgelezen, maar ook worden beschreven. Aanvallers kunnen dan bijvoorbeeld het saldo op een ov-chipkaart aanpassen, de locaties waarop is ingecheckt wijzigen, of de toegangscodes van een deurpasje kopiëren en zo zonder toestemming binnenkomen.
Als je dan echt alles kan aanpassen kan je de kaart weer naar 'als nieuw' terug brengen.
De kaart kun je terugbrengen naar de oude staat (nieuw zoals jij zegt). Stel je checkt in, dan wordt er geld afgeboekt op het ID van die kaart. Als later blijkt dat de kaart weer op het oude saldo staat, dan kan de kaart wel weer "nieuw" zijn, maar de server weet dat er iets is gebeurd. Enige optie hier zou zijn dat ook het ID van de kaart overschreven wordt - als dat ook mogelijk is. Als je een goede reeks van ID's hebt, dan wordt het pas interessant denk ik.
Zou je het saldo niet gewoon op -32,50 kunnen zetten en zo de controle omzeilen? :P
Dan heb je nog steeds meer afgerekend met de kaart dan je ooit op de kaart gestort hebt, daar gaat het op, niet om de saldo.
Hieronder meld iemand dat je ook het id van de kaart kan aanpassen. Dan wordt volgens mij dan toch de verkeerde kaart geblokkeerd?
Dan wordt volgens mij dan toch de verkeerde kaart geblokkeerd?
Voor de fraudeur is dat in het geheel geen probleem, hoor. ;)
:Y) Of je kunt met je mobiele telefoon met NFC de kaart van een mede reiziger aanpassen of de kaart clonen.
ohja tuurlijk, het gaat niet alleen om wat er op staat, maar ook om het verbruik, had daar niet bij stilgestaan 8)7
Er is vast een check die als volgt gaat.

Huidige saldo op de kaart: €50
Reis heen: - €12,50
Reis terug: - €12,50
Eind saldo van de dag: €25

Dus wanneer je hem dan weer gaat opwaarderen naar €50 klopt het nog niet, mits het zo werkt uiteraard.
en dan komt pas echt de aap uit de mouw: rekening nr NL55abna 0213345321 die altijd heeft opgewaardeerd ..... etc etc , makkelijk traceerbaar
Als ze een rekening nummer al opslaan, is het natuurlijk nog vrij lastig (zonder tussenkomst van politie) om te achterhalen wie de eigenaar van het gebruikte rekeningnummer is lijkt me.
Als je online betaalt krijg je niet alleen het iban nummer terug maar ook de naam op de rekening. Dat zal met pin niet veel anders zijn. Het lijkt me dat ze dat soort informatie wel opslaan. De overheid is tegenwoordig massaal data aan het verzamelen over van alles en iedereen.
Waarom zou het zonder tussenkomst van de politie moeten? Als blijkt dat iemand regelmatig fraudeert dan is dat gewoon een strafbaar feit waarvan Translink aangifte van kan doen.

Het hoeft allemaal niet zo ingewikkeld, het aantal fraude gevallen zal erg klein zijn. Je regelt als Translink dat je één contactpersoon bij de politie hebt. Een keer per maand overhandig je de rekeningnummers van de fraudeurs. De personen die bij die rekening horen kunnen een brief verwachten waarin ze gevraagd wordt zich op het politiebureau te melden.
Het tegoed wordt er op gehackt. Dat gaat dan niet via de bankrekening.
Om een anonieme OV Chipkaart kopen heb je volgens mij wel een bankpas nodig...
ik heb contant betaald bij de kassa, maar dat is wel wat jaren geleden, dus dat kan verandert zijn.
Je hebt volkomen gelijk! Ik had eentje via zo'n NS apparaat bij het station gekocht, maar blijkbaar kun je die dingen ook krijgen via de (lokale) supermarkt, Bruna en tabakspeciaalzaken. Misschien moet ik toch maar eens gaan investeren in dit systeem...
Anoniem: 310408
@TallyO2 april 2015 17:45
Je hebt volkomen gelijk! Ik had eentje via zo'n NS apparaat bij het station gekocht, maar blijkbaar kun je die dingen ook krijgen via de (lokale) supermarkt, Bruna en tabakspeciaalzaken. Misschien moet ik toch maar eens gaan investeren in dit systeem...
Vind je het openbaar vervoer in Nederland zo slecht dat je er niet voor betalen wil? Het is niet brilliant maar geloof me, het kan een stuk slechter en veel duurder.

Het blijft me verbazen dat mensen hier zo makkelijk roeptoeteren dat ze fraude gaan plegen.

[Reactie gewijzigd door Anoniem: 310408 op 2 april 2015 17:46]

Contant kan nog altijd. Maar er hangen wel overal camera's op. Big Brother!
Contant kan nog altijd. Maar er hangen wel overal camera's op. Big Brother!
Op de kaart worden geen gegevens bijgehouden over waar je hem gekocht hebt. Laat staan dat er dan ooit toegang wordt verleend tot de camerabeelden voor zo'n onbenullig vergrijp.
Misschien dat de verspreiding van de kaarten over alle verkooppunten wel wordt geregistreerd a.d.h.v. batch-nummers ofzo. Zodat ze weten welke kaarten in welke winkel(s) verkocht zijn. Maar camerabeelden opvragen in een supermarkt ofzo lijkt me wat vergezocht ja.
Dat bedoel ik ook niet. Je checkt in op het station, daar zijn beelden van. Tijd en locatie van transactie zijn exact bekend. Ga er maar vanuit dat die beelden gebruikt worden als zoiets regelmatig gebeurt. Het is fraude, en ze weten dat ze dit niet kunnen laten lopen, hoe kleinschalig ook.
Een anonieme kaart uit de NS automaat kost 7,50.
Ik weet niet exact hoe dit automaat van de NS werkt maar het lijkt me sterk dat je daar contact geld in kunt doen en dus zal je met de Pin moeten betalen.... volgens mij is het dan geen anonieme kaart meer ......
Je kan gewoon overal een OV kaart (anoniem) halen voor €7,50.

Ik reis altijd met een anonieme kaart, en waardeer altijd op bij loketten met contant geld. (Kan loket van NS zijn maar ook van elk willekeurig ander vervoerder)
Met alle camera's bij de loketten is dat ook niet zo anoniem.
Ik neem aan dat je bedoelt dat ze die camerabeelden van dat loket dan gaan combineren met alle camera-beelden van alle pin-automaten in NL etc zodat ze van een onbekend gezicht naar een pin-transactie kunnen gaan en vandaaruit weer naar de persoonsgegevens.

Ja, technisch zal het vast kunnen maar als ik naar de gemiddelde opsporing verzocht aflevering kijk dan doen ze dit toch niet zo vaak...

En anders laat je die net gekochte kaart een week in de kast liggen zodat de camerabeelden gewist zijn (want er is geen verdachte transactie oftewel reden om de beelden te bewaren)
In theorie heb je gelijk, maar ik heb zelf het vermoeden dat ze dit nou niet echt in de praktijk doen.
Je loopt voorbij aan het feit dat de pintransactie gegevens niet perse gekoppelt zijn aan de identiteit van die OV kaart. Mogelijk kan (via een verzoek via een rechter) eea gekoppeld worden, maar volgens mij schrijft de domme NS terminal niet realtime je naam en bankrekeningnummer op die OV kaart. Ik weet niet eens of die kaart nummers van uitgegeven OV kaarten ergens worden bewaard of dat hij gewoon de eerst volgende kaart uitspuugt als je ervoor betaalt. Mogelijk is dat dan te koppelen (om 17:45 pintractie van meneer A de Boer en kaart 4567-45657-4546 uitgegeven) maar dat is niet perse vanzelfsprekend.
Gelijk heb je. Misschien moeten ze het woord 'anoniem' laten vallen en kiezen voor 'universeel'.

[Reactie gewijzigd door TallyO op 2 april 2015 17:11]

Hij heeft helemaal geen gelijk. De NS-automaten die OV-Chipkaarten verkopen zijn ook allemaal voorzien van een muntinworp.
Klopt, in der tijd waren er mensen die dozen anonieme ov-chipkaarten gekocht hebben (wat natuurlijk slim is als je vaak met de trein reist)
Je kunt natuurlijk prima het saldo verbruiken voordat je begint met de hack, en de hack pas toepassen op een oude, lege kaart.
Dan mag je alsnog alleen maar legaal reizen
Dan pas? Nee hoor, nu al mag je alleen maar legaal reizen! ;)
Dan pas? Nee hoor, nu al mag je alleen maar legaal reizen! ;)
Dus er reizen geen mensen illegaal van, naar en door Nederland ?
Zalige gedachte.
Is dat een serieuze reactie??? Dat zei ik namelijk niet, ik zeg dat je alleen maar legaal mag reizen. Dat staat los van wat er daadwerkelijk gebeurt.
Is dat een serieuze reactie??? Dat zei ik namelijk niet, ik zeg dat je alleen maar legaal mag reizen.
Een dooddoener dus. Alles is legaal, mits je je aan de eisen en voorwaardes houdt.
Zijn de systemen van de trein en metro niet online? Volgens mij kan je daar dan sneller gepakt worden
De poortjes van NS zijn niet 'online' (dwz, real-time) zozeer, maar verwerken transactiegevens wel heel snel.

[Reactie gewijzigd door CyBeR op 2 april 2015 17:51]

en volgens mij is het zo dat de systemen iedere nacht om 00:00 uur geloof ik, gesynchroniseerd worden
Dat was oorspronkelijk wel zo, naar aanleiding van de vorige hacks is die frequentie verhoogd naar vier keer per dag, als ik het me goed herinner. Detectie aanscherpen is makkelijker/goedkoper dan in een klap al die kaartjes vervangen.

[Reactie gewijzigd door Rafe op 2 april 2015 16:39]

Je kan gewoon een ander ID aan je gehackte kaart hangen hoor, dus bouw een klein oplaad stationnetje met een Pi ofzo waar je je kaart iedere ochtend even in prikt, klaar ;)

(En nee, ik betaal gewoon braaf een maand abbo, maar heb het wel eens geprobeerd, die eerste hack waar je specifieke hardware voor nodig had, die werkt vandaag de dag nog steeds, en waarschijnlijk is dat ook wat de persoon in het artikel heeft gebruikt)
Ja dat is wat tls zei je word binnen no time geblokkeerd. Ken toch echt een iemand die meer dan een jaar met dezelfde zelf opgeladen pas heeft gereisd en zelfs toen was ie niet geblokkeerd.
Of het verstandig is is een tweede. Maar tls houd er meer een bang maak tactiek op na dan dat ze echt iets doen. Er is wel geteld 1 persoon gepakt voor ov fraude. Ik geloof echt niet dat er zo weinig mensen waren die hier gebruik van maakten.
Ik ben benieuwd wat er allemaal mogelijk is met deze "hack". Als je het saldo kan wijzigen en ook reizen kan aanpassen/verwijderen, zou je dan misschien ook de synchronisatie om 00:00u toch kunnen laten "kloppen"?
Is hierboven ook al uitgelegd.

Je kaartsaldo kun je kennelijk aanpassen, maar het saldo wat translink heeft opgeslagen van jouw kaart is dus nog steeds het oude saldo. Als je vervolgens voor 100 euro reist, terwijl het laatst bekende saldo van jouw kaart bij Translink slechts 10 euro was, dan heb je een groot verschil en wordt je kaart geblokkeerd.
Dit is een groot nadeel van niet realtime checken van je kaartsaldo. Het saldo staat letterlijk op je kaart en die informatie wordt gebruikt om je treinkaartje te kunnen kopen.
Is hierboven ook al uitgelegd.

Je kaartsaldo kun je kennelijk aanpassen, maar het saldo wat translink heeft opgeslagen van jouw kaart is dus nog steeds het oude saldo. Als je vervolgens voor 100 euro reist, terwijl het laatst bekende saldo van jouw kaart bij Translink slechts 10 euro was, dan heb je een groot verschil en wordt je kaart geblokkeerd
Je kan ook een jaarabonnement op je kaart zetten, dan hoef je niet eens in te checken, en kan er niet getraceerd worden waar je precies gereisd hebt.
[...]


Je kan ook een jaarabonnement op je kaart zetten, dan hoef je niet eens in te checken, en kan er niet getraceerd worden waar je precies gereisd hebt.
Je moet altijd inchecken tegenwoordig.
Je moet altijd inchecken tegenwoordig.
Neen. Als ik weet dat ik geen poortjes tegenkom doe ik het niet bij een treinreis. Verder is het niet van belang want het is al betaald, het is een ov-jaarkaart. Zelfs al ik ergens wel een poortje moet openen is in ieder geval de administratie gefrustreerd.
Ah, inderdaad de OV-Jaarkaart is zo ongeveer de enige uitzondering nog.

[Reactie gewijzigd door CyBeR op 2 april 2015 19:45]

Dit is een groot nadeel van niet realtime checken van je kaartsaldo. Het saldo staat letterlijk op je kaart en die informatie wordt gebruikt om je treinkaartje te kunnen kopen.
De kaart IS je treinkaartje. Pas na het einde van de reis wordt er bepaald wat het kostte en later dus afgeschreven. Maar de in- en uitpiepapparaten geven wel meteen de kosten en het overgebleven saldo in beeld aan de gebruiker. Op dat moment weet TL nog niks.
Je had volgens de server €5 op je kaart staan. Jij past de hack toe en zet er €50 op. Je neemt de trein heen en weer die dag en dat kost je dan €30. De portalen registreren netjes dat je kaart €50 had, er €30 is afgegaan en nu dus nog €20 over schiet.

's nachts komt de synchro met de server en ziet men dat de €20 niet overeenkomt met de €5 die zie hadden opgeslagen. Hoe ga jij dat doen kloppen.
Ik weet niet precies wat hij vergelijkt en het zal ook veel te simpel gedacht zijn! 8)7
Had in gedachten dat je dan de kaart weer op €5 euro kon zetten, de reis verwijderen en klaar.
Het systeem bij TLS houdt een schaduwboekhouding van alle kaarten bij. Die gegevens moeten overeen komen, of er is een probleem. Als jij dus 2x reist en een daarvan van jouw kaart verwijdert, staat er nog steeds 2x een reis in het systeem bij TLS.
Ik snap ook niet dat een bedrijf zoals TLS de overweging maakt de fraude eerst aan te zien, in plaats van het zoeken naar een oplossing die fraude in de eerste instantie tegen moet gaan.

Zoiets kan jaarlijks enorm veel geld kosten, als bepaalde vormen van fraude niet tegenop getreden wordt. En wie betaald dat? De reiziger en belastingbetaler. Immers zit de staff en bedenkers van dit systeem op een gegoten ondergrond van salaris met uitstekende voorwaarden.
Iets met kosten/baten?
Ik snap ook niet dat by design daar al niet rekening mee wordt gehouden. Stel een budget in in waarmee je gaat testen of de chip / oplossing die je gebruiken wil daadwerkelijk fraudegevoelig is ofniet. Scheelt achteraf een hele hoop gedoe en gezeik.

Die fraude kan jaarlijks oplopen tot in de miljoenen, en mischien zelfs een paar jaar lang aanhouden. Mooie verliespost zo!

[Reactie gewijzigd door Jism op 2 april 2015 16:09]

Die oude strippenkaart was ook makkelijk na te drukken. Ook waren er trucjes waarmee je de stempel er weer af kon vegen.
M.a.w. geen enkel systeem is waterdicht. Zolang ze de omvang van de fraude kunnen monitoren (en dan schijnen ze te kunnen) kunnen ze dus ook eenvoudig een kosten/baten analyse doen.
Jaja, labello op je datumloze treinkaartje smeren en dan langs de stempelautomaat. Aan het einde van de rit was het er zo weer af te vegen. Inclusief die van de conducteur, en weer opnieuw beginnen.

Dus de oude kaartjes waren inderdaad ook niet 100% storingsvrij, denk dat we er nu meer op vooruit zijn gegaan. Nu die poortjes nog sluiten
Dus de oude kaartjes waren inderdaad ook niet 100% storingsvrij, denk dat we er nu meer op vooruit zijn gegaan.
Aan het geknipte gaatje in mij treinkaartjes heb ik nooit veel kunnen veranderen.. ;) Daarna werd alles makkelijker.
Toen het openbaar vervoer nog niet geprivatiseerd was werd er nauwelijks gecontroleerd op vervoerbewijzen. Je kon gewoon achter instappen.
Daar wordt ook echt wel rekening mee gehouden. Alleen wat doe je als je budget op is? Er komt een punt dat de kosten exponentieel toenemen en de kwaliteit (=veiligheid in dit geval) amper toeneemt. Dit neemt je voorlief en zie je in elk product terug.
De oplossing zal sowieso niet beginnen onder de miljoen. Zo lang de fraude een fractie kost van de oplossing is het een absurde kostenpost om perse een volledig fraudebestendig systeem te ontwerpen.

Het is geen kernwapenlanceerinstallatie, het is een afrekensysteem voor OV-bedrijven. Zo lang de fraude binnen de perken blijft is het voor hen een non-probleem.
Je geeft het zelf al aan.......het (fraude) kan jaarlijks veel geld kosten.

Tot die tijd is het even inventariseren, afwachten dus of er in zodanige mate gefraudeerd wordt dat dure veranderingen gerechtvaardigd/noodzakelijk zijn.
Het is gewoon een kostenafweging.
Is het fraudebedrag groter dan de kosten van een oplossing.

De staff en bedenkers liggen er snel uit als ze bij elke mogelijkheid, die achteraf niet (grootschalig) misbruikt worden, miljoenen uitgeven om dit (dus onnodig) te verhelpen.

Of geef jij wel 1000 euro uit om 1 euro/j aan fraude te voorkomen?
Of laat je dat maar (1000 jaar) gaan, en ga je er van uit dat er vóór die termijn afloopt een beter fraudebestendiger systeem is?
Als er vijf jaar later (geldigheidsduur anonieme OV kaart) een beter systeem is ingevoerd "verdien" je dus, ondanks de fraude van 5 euro, 995 euro netto..... (die de reiziger en belastingbetaler hadden moeten betalen.) ;)

[Reactie gewijzigd door Teijgetje op 2 april 2015 16:19]

Ik snap ook niet dat een bedrijf zoals TLS de overweging maakt de fraude eerst aan te zien, in plaats van het zoeken naar een oplossing die fraude in de eerste instantie tegen moet gaan.

Zoiets kan jaarlijks enorm veel geld kosten, als bepaalde vormen van fraude niet tegenop getreden wordt. En wie betaald dat? De reiziger en belastingbetaler. Immers zit de staff en bedenkers van dit systeem op een gegoten ondergrond van salaris met uitstekende voorwaarden.
Ik snap dat wel. Die aanpassingen doen is namelijk al snel duurder dan de fraude.

Dat is dezelfde reden als waarom banken nog steeds met viercijferige pincodes werken, en in veel landen nog met magneetstrips: de fraude daarmee is goedkoper dan dat systeem aanpassen.

Vergeet ook niet: OV-Chipkaartfraude kost de vervoerders helemaal niet zo veel; ze lopen alleen inkomsten mis. Die trein rijdt toch wel, of de fraudeur er nou in zit of niet.

[Reactie gewijzigd door CyBeR op 2 april 2015 17:55]

Kunnen ze die fraude tegenwoordig opsporen? Het is alweer een tijdje geleden dat ik me ermee bezig heb gehouden (wordt tijd de lezer weer eens uit de schuur te snuffelen) maar wat ik me kan herinneren stonden de apparaatjes van de conducteurs in de trein niet in verbinding met TLS.

De conducteur moet er dus op vertrouwen dat wat op de kaart staat 'juist' is. Enkel als je via een poortje incheckt wordt die data uiteindelijk (ergens 's nachts) met TLS gesynchroniseerd, wordt er een afwijking gesignaleerd en zal de kaart bij de volgende keer aan de paal worden geblokkeerd.

Deze "beveiliging" was toen zeer eenvoudig te omzeilen door gewoon nooit langs de paal te gaan: Je update de kaart gewoon zo dat deze beweert ingecheckt te zijn op Station X. Als de conducteur dit checkt zal zijn apparaatje zeggen dat alles OK is. Is dat inmiddels verandert? Worden de gegevens van de conducteurs op een of andere manier nu gescynchroniseerd met de TLS database?
Dat is nog steeds zo en met deze manier weer mogelijk.
Worden die handcomputers van de conducteurs niet een aantal keer per week/maand aan het internet gehangen om te synchroniseren dan?
Ja maar ze willen binnenkort alle stations gaan dichttimmeren.
Dan mogen ze nog wel eens opschieten met poortjes plaatsen.
Deze hack is echt interessant nu er ook blanco kaarten te koop zijn waarmee je zelf het UID van de kaart kunt aanpassen. Je hoeft nu dus alleen nog maar het UID van andere OV-chipkaartgebruikers te achterhalen en de chaos die je kunt creëren is compleet. Dan blokkeren ze straks onschuldige gebruikers. Ze zullen dus heel snel met een oplossing moeten komen.
En jij denkt dat een controleur daar intrapt, in je blanco beschrijfbare nepkaartje. :D

"Uw vervoersbewijs alstublieft"
- "Hier meneer, hier is mijn blanco OV-chipkaart"
"Ah, eens zien. *bliep* Da's dik in orde. Fijne reis verder"
- "Dank u wel, meneer de conducteur"

:X
Een opdruk is zo gemaakt. Daarna de kaart achter het transparante venstertje van je portemonnee stoppen en die overhandigen aan meneer/mevrouw de conducteur. Die gaan je kaart toch niet uit je portemonnee halen tenzij de kaartlezer moeilijk leest.

En met de bus/tram kijkt er helemaal niemand naar je kaart. ;)
Dat varieert, ik ben wel eens een controleuze tegen gekomen die zelfs de pasfoto wilde controleren. Maar dat speelt eigenlijk alleen bij een abonnement een rol.
Je hebt wel gelijk voor wat betreft de standaard controles.
Ze kunnen nog altijd een 2de systeem achter de OV zetten die een saldo bevestiging zou moeten doen obv ingecheckte ritjes en saldo-toevoegingen.

Zijn er nu ook gewoon nog 'anonieme' kaartjes die je voor enkel ritje kan kopen? Als deze te kraken zijn kan je bv enkele (eerste halte verder nemen) en vervolgens intercity andere kant van het land pakken.
Volgens mij niet. Je hebt wel vervangers van het klassieke treinkaartje met daarin een chip, maar die zijn voor zover ik weet ook gewoon bedrukt, dus de conducteur zal geen moeite hebben de fraude te herkennen.
Natuurlijk kun je ook de opdruk waarschijnlijk wel wijzigen, maar ik vraag me af wie die moeite gaat nemen.
Dat geldt ook voor deze hack: hoeveel mensen zullen hem in de praktijk gaan toepassen en hoeveel reizen die? Zolang het bij hobbyisten blijft, zal TLS echt geen actie ondernemen.
Het wordt wat anders als de 'georganiseerde misdaad' dit gaat doen op industriële schaal en deze kaarten grootschalig gaat afzetten.
Volgens mij niet. Je hebt wel vervangers van het klassieke treinkaartje met daarin een chip, maar die zijn voor zover ik weet ook gewoon bedrukt, dus de conducteur zal geen moeite hebben de fraude te herkennen.
In de Amsterdamse parkeergarages geven ze nog papieren wegwerpkaartjes uit waarmee je een hele dag met de tram kan.
Heel leuk dat ze de kaarten eventueel willen gaan vervangen, maar houden ze dan ook rekening dat niemand hierop zit te wachten? Heb het idee dat ze niet weten hoe het wisselen naar een nieuwe kaart in het praktijk er aan toe gaat (of het interesseert ze niet, dat kan ook).

Als je een nieuwe kaart krijgt mag je minimaal 2 weken als studenten zijnde wachten. Als je kaart (wat ook enkele werkdagen kost) moet je hem opnieuw koppelen en daar gaat ook weer wat tijd overheen. In de tussentijd moet je je reiskosten zelf bekostigen. Op dit moment studeer in Utrecht en als ik iedere dag zo'n rit zelf moet gaan betalen, dan kan dit flink oplopen.

Dit is al de zoveelste keer dat er weer een hack/bug gevonden wordt in de ov chipkaart en de enige die er onder lijdt zijn de ov-reizigers.

[Reactie gewijzigd door vali op 2 april 2015 16:10]

De enige die hier onder lijden zijn de klanten van TLS. De vervoersbedrijven dus. Als reiziger merk je er niets van.

Ik had tot een paar weken geleden een kaart met zo'n MiFare Classic chip die kwetsbaar was. Heb ik daar ooit last van gehad? Natuurlijk niet. Een paar weken geleden was mijn oude kaart (na vijf jaar?) verlopen en moest ik hem even laten vervangen door een nieuwe. Was in vijf minuten gepiept. Merk ik er iets van dat er nu een modernere chip in mijn kaart zit? Natuurlijk niet.

Voor reizigers maakt het niet uit. Voor de klanten van TLS (de OV bedrijven) wél en die zullen dus wel in overleg zijn. Zo lang de fraude een fractie is van de kosten van een oplossing zullen de klanten niet willen dat TLS het oplost.
Een paar weken geleden was mijn oude kaart (na vijf jaar?) verlopen en moest ik hem even laten vervangen door een nieuwe. Was in vijf minuten gepiept. Merk ik er iets van dat er nu een modernere chip in mijn kaart zit? Natuurlijk niet.
Blijkbaar ging het bij jou sneller, maar voor mij als student (en klasgenoten) ging het niet in vijf minuten. Ik moest hier twee weken op wachten.

Dat de OV bedrijven geld mislopen heb ik, hoe vervelend het voor hen kan klinken, totaal geen medelijden mee. Er is lang geleden een ovchipkaart doorgedrukt waarvan al bekend was dat het een lek bevatte (in Duitsland was in een PoC naar voren gekomen) en als het nu blijkt dat het weer lek is, dan is het echt hun eigen schuld. Ze testen gewoon niet goed genoeg en drukken iets veels te snel door.

[Reactie gewijzigd door vali op 3 april 2015 10:31]

Hoe doen ze dit in andere landen? Dit is toch geen nieuw systeem?
In London bijvoorbeeld hebben ze een prima systeem.. zowel qua techniek als gebruiksgemak.
Geen statiegeld of uitcheck oplichterij, werkt ook gewoon met papieren wegwerp kaartjes, werkt veilig, anoniem!

Maar de Nederlandse aanbesteder had er blijkbaar belang bij om dat niet zo te doen. $_$ :Y)
Hebben ze dus zelf iets gemaakt, maar het is niet beter. Liever had ik het nog gezien zoals in Japan, maar dat hier nog wat te ver gegrepen misschien.

Ik had in NL geen uitcheck gijzeling verwacht, en toch minstens naast een plastiek crediet pas (zonder statiegeld) ook een wegwerp ding verwacht dat je thuis afdrukt, dan een trip lotje afscheuren en inchecken. Als ze het hebben over mislukte ICT projecten in NL, dan denk ik aan het OV.
Het Londonse systeem lijkt qua techniek redelijk op het Nederlandse. Ze hebben dan ook hetzelfde probleem gehad met die MiFare Classic chip. Overigens, hier in London moet je ook gewoon vijf pond statiegeld betalen voor gewone Oyster cards (mogelijk niet voor die meerdere-dagen passen voor toeristen).

Er zijn een aantal verschillen, in London hoef je bijvoorbeeld niet uit te checken bij bus of tram. Elke rit kost een vast bedrag, of je nou één halte of 35 haltes reist. Dat had in Nederland natuurlijk ook gekund maar dan had iedereen op z'n achterste benen gestaan dat bejaarden voor twee haltes naar de bingo drie euro moeten betalen dus hebben we dat niet.

Ik weet niet waar dat broodje aap verhaal vandaan komt dat Nederland perse een eigen systeem wilde ontwikkelen. Zo anders is het niet. Het OV-Chipcard systeem bestaat uit allemaal off-the-shelf onderdelen en systemen die je ook in andere landen tegen komt, van London tot Hong Kong. Alleen zijn er wat aanpassingen gedaan om het laten aan te sluiten op hoe OV in Nederland geregeld is.
In Londen kan je zelfs met je NFC bankpas reizen.
Statiegeld op Oyster cards? Ah dat heb ik niet gezien, ik laadde er mijn anonieme Oyster kaart op en hield geen statiegeld over. Dat was voor mij vaak goedkoper dan een meerdagen pas.

Dat uitcheccken is inderdaad zo'n ontwerpkeuze, en ik vind het jammer dat ze in Nederland die kans niet aangegrepen hebben. Maar ach, misschien hebben ze straks de data verzameld om aan te tonen hoe dat wel kan.. wie weet.

Dat van een eigen systeem .. natuurlijk zijn het plankproducten, maar dat het OV platform in NL zo uniek was vanwege de vele vervoersbedrijven daar was ik me niet bewust van.
In London bijvoorbeeld hebben ze een prima systeem.. zowel qua techniek als gebruiksgemak.
Londen is geen land. Als ze daar ook 'dertig' soorten vervoer met tarieven en eisen hadden werkte het ook niet.
Nou, zeg dat niet te hard hoor!

London heeft ergens in de orde van 20 miljoen reizigers per dag. Dat is meer dan in Nederland, en London heeft een enorme variatie aan soorten vervoer en verschillende bedrijven die daar weer achter zitten, en dus moesten aansluiten bij het systeem.

Het is zeker niet te vergelijken met b.v. het GVB in Amsterdam dat de metro, trams en bussen beheerd.
Het is zeker niet te vergelijken met b.v. het GVB in Amsterdam dat de metro, trams en bussen beheerd.
Amsterdam is geen Nederland. Vergelijk het maar met het nieuwe voorstel: de ov-toeristenpas. Hoeveel moet die kosten en wat krijgt de vervoerder ervan die in Drente vervoert. Of de maatschappij die slechts beperkt regiovervoer doet met kleine spoorlijntjes in Limburg..

Misschien dat er in Londen eenheid is in afspraken, in Nederland in elk geval niet.
Amsterdam is geen Nederland.
Dat zeg ik toch juist?

In A'dam is alles redelijk in handen van 1 organisatie, in tegenstelling tot London en Nederland waar het een grote verscheidenheid van organisaties betreft, die dan wel meedoen aan 1 systeem.
Hoeveel moet die kosten en wat krijgt de vervoerder ervan die in Drente vervoert.
Gewoon het bedrag wat voor die ene verdwaalde toerist in Drente reist?

Ik snap je vraag niet helemaal. Als iemand in het achterland van Drente een ritje maakt voor 5 euro, dan krijgt de vervoerder die dat ritje uitvoert 5 euro?

Mis ik iets?

Overigens vindt ik toeristenpas wat apart altijd. Krijgen we ook een forensenpas, en een provincialenpas en een huisvaderspas?

Voer gewoon een dag kaart, 3 dagen kaart en week kaart in, en wat maakt het uit wie die koopt?
Voer gewoon een dag kaart, 3 dagen kaart en week kaart in, en wat maakt het uit wie die koopt?
Het is mijn probleem ook niet echt. Maar kennelijk hebben alle vervoerders eigen tarieven en wil de uitgever van de pas niet het gezanik over al die verschillende eisen en bedragen. Maar de situatie is nog wel zo.

Men kan dus niet zeggen dat we maar een voorbeeld aan Hong Kong of Londen moeten nemen. Want een kilometer in Londen is anders dan een kilometer in Birmingham. En vermoedelijk kan ik met mijn dagkaart Londen niet in Wales gaan reizen. Dat zouden de mensen moeten beseffen die die domme vergelijkingen altijd maar melden als het hier over een landelijke kaart gaat.

--
Maar het onderwerp was frauderen, tja..
Het is mijn probleem ook niet echt. Maar kennelijk hebben alle vervoerders eigen tarieven en wil de uitgever van de pas niet het gezanik over al die verschillende eisen en bedragen.
Eigen tarieven valt behoorlijk mee, en hoe kan de toerist weten dat vervoerder A 0.01 cent per X M rekent en vervoerder B 0.011 cent?

Die checked in, reist, checked out en krijgt oftewel een bedrag te zien bij een kaart met saldo of tewel geen bedrag bij een vrij reizen dagkaart.

[quote]En vermoedelijk kan ik met mijn dagkaart Londen niet in Wales gaan reizen. [/quote[

Maar wel in Bromley, en in Enfield, en in Havering. Uiteraard afhankelijk van het type kaart.

Dat zou in NL ook kunnen, eventueel. Een vrij reizen kaart voor alleen Amsterdam (ok, die heb je al), dan een iets duurdere kaart voor een ring om Amsterdam heen zodat je Haarlem, en de Zaanse Schans en schiphol er bij hebt, en dan nog een kaart voor heel NL met het oh zo gevreesde Drente waar misschien een enkele verdwaalde toerist eens zou kunnen opdagen.
Dat zouden de mensen moeten beseffen die die domme vergelijkingen altijd maar melden als het hier over een landelijke kaart gaat.
Denken dat land en stad heel andere dingen zijn gaat wel mank als ze ongeveer dezelfde aantal reizigers hebben en ongeveer een zelfde hoeveelheid vervoerders.

Vergeet niet dat NL echt een absurd klein land is. Pak de trein van Den Helder naar Nijmegen en je bent in 2:45 diagonaal zo'n 2/3 van Nederland duur. West-Oost is slechts een 1:00/1:30 of zo.

In diverse van de grotere steden haal je dat amper in die tijd.

En neem 10 miljoen reizgers heel Nederland t.o.v. 20 miljoen reizigers in London.

Dus je kunt de vergelijking niet zomaar afwimpelen met te zeggen dat de ene een land is de andere een stad.
Dus je kunt de vergelijking niet zomaar afwimpelen met te zeggen dat de ene een land is de andere een stad.
Blijkbaar is het wel een probleem hier. Vervoer in de regio Amsterdam zou onder het GVB kunnen vallen. Maar kennelijk is er niet klakkeloos een landelijk overkoepelend systeem mogelijk dankzij alle verzuiling aan regiogebonden vervoerders met hun eisen.

Het genoemde frauderen kan in ieder geval wel landelijk. ;)
Inderdaad goed punt, net als de andere reacties.
Ik reis dagelijks met meerdere vervoerders in meerdere vormen van openbaar vervoer en ik vind de ov chipkaart een enorme vooruitgang ten opzichte van 'vroeger'. Geen gedoe meer met papieren kaartjes, geen gezeik met het tellen van strippen etc.

M'n ov chipkaart laadt automagisch op, werkt altijd en met in- of uitchecken heb ik werkelijk nog nooit een probleem gehad.

Eigenlijk weet ik dus niet zo goed welke vreselijke ervaringen jij hebt om het mislukt te noemen. :)
Maar de Nederlandse aanbesteder had er blijkbaar belang bij om dat niet zo te doen. $_$ :Y)
Hebben ze dus zelf iets gemaakt, maar het is niet beter.
Het OV Chip systeem is niet geheel zelf gemaakt. De basis is een beproefd systeem van een franse leverancier (Thales) wat ook in Hong Kong draait (Octopus card) en in Denemarken bv (Rejsekort).

Een van de grotere problemen in Nederland is dat de verschillende vervoerders ieder een veel te ingewikkelde eigen schil over het systeem heeft gelegd zonder dit in overleg met elkaar te doen. Om dit toch weer enigszins aan elkaar te breien, is een hoop kunst en vlieg werk nodig.
Je maakt hier wel een kleine denkfout. In Nederland wil men zoveel mogelijk vervoerders koppelen aan de Ov-chipkaart. Dat gebeurd bijna nergens anders over de hele wereld, met als gevolg dat men concessies moest doen op gebruikte technieken omdat elke vervoerder een ander systeem gebruikt. De keuze is simpel: of één Ov-chipkaart voor alles, of voor iedere vervoerder een aparte kaart.

En statiegeld op een Ov-chipkaart is puur om er voor te zorgen dat men geen fraude pleegt op anonieme kaarten, daarnaast werken de papieren wegwerp kaartjes van NS ook prima.

Al met al niet echt een mislukt project maar gewoon een grote uitdaging omdat het nergens anders als "standaard" product klaar lag om gekocht te worden. Het is niet voor niks dat buitenlandse bedrijven nu een kijkje nemen bij Translink om te zien hoe zij dit aangepakt hebben ;)
Hebben ze dus zelf iets gemaakt, maar het is niet beter.
Weet je dat 'ze' dat gedaan hebben, of denk je dat alleen maar en papegaai je dat hier omdat het zo lekker populistisch klinkt?

Hoe groot gedeelte van de software denk je dat zelf gemaakt is? Denk je dat ze volledig van scratch elke regel code geschreven hebben? Of is dit 90%? Of 70%? 50%?

En welk gedeelte van de hardware is zelf ontwikkeld en/of zelf gefabriceerd? Denk je dat alle verschillende OV chip terminals (poortjes, paaltjes, readers in bus, etc) volledig van de grond af aan ontworpen zijn door Nederlanders in Nederland? Of betreft dit 90%? 70%? 50%?

Ben heel erg benieuwd naar je antwoord.
Percentages? Daar deed/doe ik geen uitspraak over, ik bedoel wat ik zeg. En met zelf gemaakt bedoel ik natuurlijk niet vanaf scratch :P .. ik heb het over het gehele ontwerp, niet de implementatie of technieken.
Was ook wel te verwachten dit antwoord.

Je hebt natuurlijk geen enkel idee hoeveel er wel/niet hier ontworpen is. Het gehele ontwerp komt namelijk helemaal niet uit Nederland. Het is de Octopus software uit onder andere Hong Kong en Denemarken, met daarop aanpassingen (customizations) voor Nederland.

Het wordt hier gecombineerd met andere hardware en andere kaarten dan in Hong Kong. Hong Kong gebruikt kaarten gebaseerd op Sony techniek, wij hier gebruiken NXP kaarten. Het zijn overigens de exact zelfde kaarten als London ook gebruikt voor het Oyster systeem.

De poortjes zelf en de readers zijn ook veelal niet zelf ontworpen hier. Veel zijn gewoon vrij standaard en vindt je in nagenoeg exact dezelfde vorm ook elders.

Dus van het gehele ontwerp is eigenlijk niet zo veel sprake van. Het is alsof je een bestaand Linux systeem neemt, en die customized voor een bepaalde toepassing. Je kunt niet stellen dat je dan heel Linux zelf ontworpen hebt. Natuurlijk gaan er in de aanpassingen nog wel veel tijd en geld zitten, maar van een core ontwerp zelf maken is absoluut geen sprake dus.

[Reactie gewijzigd door flowerp op 3 april 2015 21:41]

Geen enkel systeem is fraudebestendig. Bijvoorbeeld bij de tokens die in New York werden gebruikt:
There were issues with the tokens, however. It was a common scam to circumvent the payment of fares by jamming the token slot in an entrance gate with paper. A passenger would insert a token into the turnstile, be frustrated when it did not open the gate, and have to spend another token to enter at another gate. A token thief would then suck the token from the jammed slot with their mouth. This could be repeated many times as long as no police officers spotted the activity. Some token booth attendants sprinkled chili powder in the slots to discourage "token sucking".[91] Token sucking (also known as stuff 'n' suck) was charged under theft of services, criminal tampering and criminal mischief.
Er bestaat ook zoiets als creditcard fraude. 100% fraude vrij krijg je een systeem nooit.
Creditcard fraude is vooral zonder dat je de kaart met pincode gebruikt.
Je geeft kaartnummer op online met code op de achterkant en bestellen maar.
Gezien de hoge commissies die men krijgt kan de fraude ook gewoon betaald worden en neemt men het voor lief zo lang het niet te veel is.
Jawel, elk land vind het nodig om zijn eigen systeem te ontwerpen. Net zoals elke stad zijn eigen trams en elk land zijn eigen treinen heeft. Volgens mij veel goedkoper en handiger om kennis te delen. Had ook al een hele Fyra affaire gescheeld.
Pariis en Londen hadden al chipkaarten. Het bedrijf achter de OV chipkaart heeft het verkloot. Aanbestedingen en de polder cultuur.
Dan kunnen we binnenkort ook eindelijk third-party apps tegemoet zien waardoor je met de (NFC-enabled) smartphone kunt zien of je netjes ingechekt bent, en zo?
(Elk nadeel hep se voordeel...)
Nee helaas niet, want de meeste (vooral recente) smartspones ondersteunen geen Mifare Classic ;(
en ik d8t nog wel met mijn mijn Samsung Galaxy S3 LTE een vooruitstrevende aankoop gedaan te hebben destijds :'(
... maar deze oldskool phone leest tenminste WEL Mifare Classic (net gestest met NFC TagInfo app) :)

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee