Student ontdekt kwetsbaarheid in protocol ov-chipkaart

Een student van de Radboud Universiteit heeft een nieuwe kwetsbaarheid in de ov-chipkaart gevonden. Daardoor zijn zowel de oude als de 'nieuwe' ov-chipkaart getroffen. De kwetsbaarheid is niet op te lossen zonder kaarten te vervangen.

Door de kwetsbaarheid kan de versleuteling van een ov-chipkaart nu in luttele minuten worden gekraakt, waar dat normaliter enkele weken zou duren, schrijft Nu.nl. Daardoor zou een aanvaller bijvoorbeeld het saldo op de kaart kunnen wijzigen, al is het wel een kwestie van tijd voordat dat wordt ontdekt en de desbetreffende kaart wordt geblokkeerd.

Zowel de 'oude' ov-chipkaart, waarvan de Mifare Classic-chip van het Nederlandse NXP al eerder werd gekraakt, als de nieuwe ov-chipkaart is getroffen. Dat komt doordat de nieuwe kaart, die juist is ingevoerd om de kwetsbaarheden van de oude kaart op te lossen, nog wel hetzelfde communicatieprotocol als de oude Mifare Classic-kaarten gebruikt. Overigens werd eerder al een onschuldiger kwetsbaarheid in de Infineon SLE-66-chip gevonden.

"De kwetsbaarheid bevindt zich op de chip, en is niet op te lossen", bevestigt Anita Hilhorst van Trans Link Systems tegenover Tweakers. Dat is de organisatie achter de ov-chipkaart. Om het probleem volledig te verhelpen, zouden alle ov-chipkaarten moeten worden omgewisseld, maar dat is TLS voorlopig niet van plan. "Fraude is nu onder controle, er gebeurt nog niks", aldus Hilhorst.

Dat verandert mogelijk: op deze zomer presenteert de student die het probleem ontdekte, Carlo Meijer, zijn werk. Het is onbekend hoeveel hij over de werking van de hack naar buiten zal brengen; de begeleider van zijn onderzoeksgroep, Bart Jacobs, was niet bereikbaar. Het is echter gebruikelijk dat onderzoekers kwetsbaarheden na een bepaalde periode naar buiten brengen, nadat ze de betrokken bedrijven de kans hebben gegeven om het probleem op te lossen.

TLS zegt de komende tijd in de gaten te zullen houden 'hoe de fraude zich ontwikkelt'. Volgens woordvoerster Hilhorst is het aan de vervoerders om te bepalen of het de moeite waard is om de kaarten te vervangen, of dat de fraude die wordt gepleegd daarvoor niet genoeg financiële schade veroorzaakt. Hilhorst stelt dat het waarschijnlijker is dat de kaarten door natuurlijk verloop zullen worden vervangen.

Overigens zijn ook andere kaarten die het Mifare Classic-protocol gebruiken kwetsbaar voor de aanval. Daarbij gaat het onder meer om toegangspasjes voor hotels en bedrijfsgebouwen. Daarbij moet worden aangetekend dat de oorspronkelijke Mifare Classic-chip al was gekraakt.

IT-banen

Reacties (185)

tinzarian 2 april 2015 18:15

Misschien lees ik erover heen, maar voor zover ik kan zien gaat het artikel op nu.nl over de mifare classic, en niet de sle66 in de huidige chipkaarten. De sle66 is een compleet andere chip, die wel mifare spreekt, maar totaal anders werkt. Volgens nu is dan ook NXP ingelicht, en niet infineon.

Waar heeft tweakers vandaan dat de sle66 ook kwetsbaar is?

[Reactie gewijzigd door tinzarian op 26 juli 2024 15:38]

CARLiCiOUS @tinzarian • 2 april 2015 20:12

De aanval gepresenteerd in het onderzoek misbruik alleen design flaws in het mifare classic protocol. Dat is het "nieuwe" ervan. Het onderzoek uit 2009 misbruikte implementatie issues zoals een zwakke random nummer generator en versleutelde authenticatie error codes. Het gevolg is dus dat alles wat mifare classic compatibel nu dus kraakbaar is in minuten. Dus ook de sle66. Als je hier iets tegen wil doen moet je backwards compatibility breken, wat grote infrastructurele aanpassingen vergt.

[Reactie gewijzigd door CARLiCiOUS op 26 juli 2024 15:38]

RoffaboyS @CARLiCiOUS • 2 april 2015 23:42

Het is niet reëel om te verwachten dat er snel iets aan gedaan wordt ook nadat de hack naar buiten komt.

Anoniem: 187609 3 april 2015 08:45

Ik denk toch dat ze het snel moeten fixen. In alle posts kijken jullie naar (bijna) gratis reizen.
Maar je kan ook goedkoper reizen ipv gratis en kost het de NS nog geld.
Als je weet wat je reis kost, koop je voor 7.50 een anonieme kaart. Als je van A naar B en weer terug reist en dat kost 50,- dan zet je er dus 50,- op en morgen doe je hetzelfde met een nieuwe kaart. Dan reis je dus voor 7.50 over een traject wat normaal 50,- kost.
Dat blijft fraude en dus niet doen, maar zo kan het NS wel geld kosten (50 - 7.50).
Daarom lijkt het mij dat de synchronisatie van 24u te lang is. Als je dit verkort naar bijvoorbeeld 15/30 min en dan meteen de kaart blokt is de kans kleiner dat men de kaart zo gebruikt. Want wie blijft er nou korter dan 15/30min op zn locatie. Okay, een drugs dealer misschien

En dan voorkom je het trouwens nog niet helemaal, want iemand kan een 2e kaart gebruiken voor de terug reis. Kost het hem alleen 15,- totaal ipv 7.50.
Dus NS moet hier toch wel wat aan doen lijkt mij.. Dat geld wat ze mislopen kunnen ze beter investeren in wissels met verwarming zodat de wissels niet bevriezen in de winter..

[Reactie gewijzigd door Anoniem: 187609 op 26 juli 2024 15:38]

leuk_he @Anoniem: 187609 • 3 april 2015 09:56

Als 1 iemand dat doet, dan denk de translink (NS is hier eigenlijk geen partij) Meh. 50 euro komen ze hun bed niet voor uit.

Als je dat als journalist doet, dan weet translink je naam, en kunnen ze meteen een vervelende rechtszaak aanspannen. (is reeds gebeurd).

Als je dagelijks reist, heb je een bepaalde routine. En aangezien de anonieme kaart helemaal niet anoniem is, staat na 3 weken de (spoorweg) politie bij het poortje waar je elk dag om 17:43 inchecked. met een extra handscanner. En geeft translink prompt een persbericht uit dat ze je te pakken hebben.

/* leuk_he is tot 4 miljoen euro helemaal te vertrouwen */

[Reactie gewijzigd door leuk_he op 26 juli 2024 15:38]

Anoniem: 187609 @leuk_he • 3 april 2015 10:13

Uit de reacties begreep ik dat de anonieme kaart ook cash of zelfs bij supermarkten etc gekocht kon worden. Vandaar mijn beredenering.
Maar wat er idd niet anoniem is zijn de camera beelden als die er eventueel zijn en als er dan politie staat met een foto van de fraudeur in hun handen, dan is hij/zij de pineut.
Dus bij vaste routine is de pakkans groter. Bij af en toe een verre treinreis kleiner en dus is het systeem nog niet waterdicht, maar ook niet anoniem.
Niet doen dus en gewoon betalen

miicker 2 april 2015 15:43

In het artikel staat "al is het wel een kwestie van tijd voordat dat wordt ontdekt en de desbetreffende kaart wordt geblokkeerd", en volgens mij is het zo dat de systemen iedere nacht om 00:00 uur geloof ik, gesynchroniseerd worden, daarbij wordt er gekeken of het bedrag op de server overeenkomt met het bedrag op de kaart, zoiets was het. Als dit niet overeenkomt is de kaart geblokkeerd. Dit werd ingevoerd, de vorige keer dat de chipkaart gehackt was. Daarom kun je dus maximaal 24 uur reizen, ik weet niet wat tegenwoordig een (wegwerp) OV-chipkaart kost, maar als dit lek uitkomt kun je dus voor (bijvoorbeeld) 10 euro, onbeperkt door Nederland reizen.

looc @miicker • 2 april 2015 15:48

Een anonieme OV kaartje kostte volgens mij 17,50.
Dus als je hier gebruik van wilt maken moet je minimaal 17,51 gebruiken met deze hack in een dag, wat trouwens op zich wel te doen is, als je met de trein reist.

De vraag wordt dan wanneer de nieuwe kaartjes worden gemaakt. Als je constant een anonieme kaartje moet kopen, dan krijg je dus binnenkort een nieuwere versie die deze hack verhelpt. Dan mag je alsnog alleen maar legaal reizen

herbalx @looc • 2 april 2015 16:37

Zou je eens uit kunnen leggen waarom je minimaal 17,51 zou moeten gebruiken?

Lege MiFARE (4K) kaarten kosten hooguit enkele dubbeltjes (afhankelijk hoeveel je er tegelijk koopt en dan hebben we het nog niet over een papieren versie). Je pakt een blanco kaart, vervolgens haal je deze door een kaartpinter om deze het uiterlijk te geven van een OV-chipkaart, vervolgens zet hier een willekeurig bedrag op en gaat een dag reizen. Aan het eind van de dag gooi je de kaart weg en morgen maak je weer een nieuwe kaart.

In mijn optiek zou je dan minimaal voor 1 euro moeten reizen om dit systeem lonend te maken. Of mis ik iets ?

CyBeR @herbalx • 2 april 2015 17:48

Zou je eens uit kunnen leggen waarom je minimaal 17,51 zou moeten gebruiken?

Lege MiFARE (4K) kaarten kosten hooguit enkele dubbeltjes (afhankelijk hoeveel je er tegelijk koopt en dan hebben we het nog niet over een papieren versie). Je pakt een blanco kaart, vervolgens haal je deze door een kaartpinter om deze het uiterlijk te geven van een OV-chipkaart, vervolgens zet hier een willekeurig bedrag op en gaat een dag reizen. Aan het eind van de dag gooi je de kaart weg en morgen maak je weer een nieuwe kaart.

In mijn optiek zou je dan minimaal voor 1 euro moeten reizen om dit systeem lonend te maken. Of mis ik iets ?

Dat is nog niet zomaar zo te doen. Zover ik weet kunnen we alleen bestaande kaarten aanpassen (als we de crypto-key achterhaald hebben), maar kunnen we geen nieuwe kaarten fabriceren omdat we niet weten hoe die crypto key gemaakt wordt. Die is per kaart anders namelijk.

Overigens: de meerwaarde van 'door een kaartprinter halen' is nul. Een conducteur kijkt daar zo doorheen, en voor een poortje is 't niet nodig. Als je dan een conducteur tegenkomt kun je beter zeggen dat je geen kaartje hebt, want dan heb je alleen een boete voor zwartrijden te pakken. Als jij echter met een vervalste kaart aankomt heb je meer problemen. Dit hele verhaal is dus alleen nuttig als je een échte kaart aanpast zodat een conducteur ook niet kan zien dat 't niet helemaal kuis is.

[Reactie gewijzigd door CyBeR op 26 juli 2024 15:38]

zarex @CyBeR • 2 april 2015 18:00

Op mifare classic kaarten kan je zelf de keys instellen, mits je de huidige keys weet

CyBeR @zarex • 2 april 2015 18:14

Ja, maar je weet dus niet welke je moet hebben. Wat er nu gebeurt is dat TLS een kaart maakt met een key en dat wij die key achterhalen door fouten in de chips. Maar gegeven een UID (zonder chip waar de key al in staat met dat UID) weten we niet welke key daar bij hoort.

[Reactie gewijzigd door CyBeR op 26 juli 2024 15:38]

Znorkus @CyBeR • 3 april 2015 01:52

In theorie dan allemaal. Ik zou niet weten waarom je stiekem gratis met de trein zou willen reizen - NS biedt service en iemand moet daarvoor betalen. Zitten we nou interessante theoretische hacks te bespreken of bevindt deze discussie, over hoe je het beste illegaal NS-cards kunt hacken, zich in een schemergebied?

looc @herbalx • 2 april 2015 16:48

https://www.ov-chipkaart.nl/aanvragen/
Ik dacht dat het 17,50 was, maar blijkt dus dat zo'n kaart 7,50 kost.
Maar een bak lege kopen werkt ook als je weet wat je op de chip moet schrijven

herbalx @looc • 2 april 2015 16:52

Touchotag RFID reader/writer, kost 30 euro volgens mij. Ik beschikzelf over een apparaat van omnikey, met de juiste hulpmiddelen heb in enkele uurtjes het voor elkaar om dit te leren en vervolgens is het schrijven van een elke nieuwe kaart enkele minuten werk.

Overigens vindt ik 7,50 een belachelijk hoogbedrag van een MIFARE 4K kaart. Ik betaalde zelf enkele jaren geleden 75 cent per kaart. Heb 50 of 100 tal aangeschaft om leuke experimenten mee te doen

[Reactie gewijzigd door herbalx op 26 juli 2024 15:38]

mjz2c00l @looc • 2 april 2015 15:54

of, als je het dan toch gehackt hebt, je verandert het bedrag weer zodat het weer klopt na het reizen

3raser @mjz2c00l • 2 april 2015 16:03

Je begrijpt het volgens mij niet helemaal.
Stel, je koopt een anonieme kaart met een saldo van 7,50. Die hack je en je zet er 150 euro op. Dan ga je een dag lang reizen. Om middernacht controleert de server je verbruik en je saldo en die ziet dat je 7,50 had en (bijvoorbeeld) 40 euro verbruikt hebt. Dan wordt je kaart dus direct geblokkeerd. Het doet er dus niet echt toe welk saldo je op de kaart hebt staan aan het einde van de dag.

arsimo @3raser • 2 april 2015 16:21

Okay. Maar waarom gaan ze dan niet zorgen dat dit real time wordt ipv middennacht? Dan hoeft er helemaal geen saldo op de kaart zelf te staan, maar is de kaart alleen nog een login/logout kaart en wordt de afrekening op servers gedaan. Zijn ze van een hoop ellende af.

Het zal vast een investering vergen, maar die heb je er dan snel uit. Plus het scheelt de klant een hoop gezeur met opladen. Dat kan je dan gewoon via een site met iDeal doen, je hebt dan namelijk geen interactie met de kaart zelf nodig, maar alleen een code in te geven.

Maurits van Baerle @arsimo • 2 april 2015 16:38

Als je wil dat alles real-time gecheckt wordt dan moeten alle terminals 24/7 in verbinding staan met een centrale server. Iedere trein, tram, bus, metro, handheld van de conducteur, paal op het station etc. etc. Ligt die verbinding er even uit dan ligt meteen een terminal er uit. Rijd een trein een tunnel of een witte vlek in dan kan een conducteur even geen kaartjes controleren. Gaat er centraal eventjes iets mis dan kan er in het hele land even niet afgerekend worden.

Niet alleen zou het erg storingsgevoelig zijn, het zou een absoluut godsvermogen kosten om aan te leggen. En als het systeem er een uurtje uit ligt dan kost dat al meer dan alle fraude in een heel jaar.

Zolang de fraude op een acceptabel laag niveau ligt is het verreweg het makkelijkst en het goedkoopst om te accepteren dat 0,0000001% van de reizen frauduleus is.

arsimo @Maurits van Baerle • 2 april 2015 16:46

Als de verbindingen er even uitligegn dan onthouden de terminals de checkins en checkouts. De reiziger kan verder. Als de verbinding weer up is geven de terminals het weer door. Iemand kan dan even een schuld opbouwen, maar die wordt dan automatisch verrekend. Niet fraudegevoeliger dan nu en veel minder problemen.

Er moet investeringen gedaan worden maar zo lastig is het niet via 2G/3G/4G bij bussen de checkin/chouckout door te geven.

Maurits van Baerle @arsimo • 2 april 2015 16:53

Maar dat is dus niet real-time. Dan trek je alleen regelmatig de gegevens tussen een terminal en de centrale server gelijk. Als het real-time was dan moest de centrale server voor iedere transactie toestemming verlenen.

Er wordt nu al regelmatig gesynct. Sommige systemen misschien wel elke seconde, andere systemen misschien eens per dag als het apparaat terug is in de garage/standplaats/remise. Zo lang een fraude actie nooit langer dan 24 uur kan duren is het probleem is betrekkelijk beperkt.

Zo lang de fraude een fractie kost van de oplossing heeft het geen zin om het op te lossen. Tenzij je doel is enorme hoeveelheden geld over de balk te smijten maar daar zullen de klanten van TransLink niet op zitten te wachten.

trogdor @Maurits van Baerle • 2 april 2015 17:32

Niet realtime, maar as near-as. In ieder geval een stuk vaker dan eens per etmaal, en daarmee volkomen niet-nuttig meer om de kaart te hacken.

BenGenaaid @Maurits van Baerle • 2 april 2015 20:03

Zo lang de fraude een fractie kost van de oplossing heeft het geen zin om het op te lossen. Tenzij je doel is enorme hoeveelheden geld over de balk te smijten

Beetje off topic maar ik moest meteen aan de entertainment industrie en TPB denken

Prinzie @arsimo • 2 april 2015 17:56

Ooit gedacht aan een storing? Zou een beetje raar zijn als je een paar uur niet kan afrekenen omdat TLS op z'n gat ligt. Wellicht een extreem voorbeeld: Stroomstoring van vorige week, heel Noord-Holland/Zuid-Holland geen stroom. Bussen rijden wel gewoon, maar had in jou geval niemand kunnen afrekenen met TLS

Binnenkort maar weer even proberen met een anonieme OV-kaart! Het leukste van de verhalen die ik tot nu toe heb gelezen is dat het verschil met de vorige hack was dat nu alles opnieuw beschreven kan worden op de kaart. Bij de vorige gekraakte chip ging dit puur om een aantal waarden die je kon overschrijven. Mocht je nu dus je gehele kaart kunnen aanpassen dan kan je dus weldegelijk jou kaart naar ''nieuwe'' OV-kaart terugbrengen en filtert TLS jou kaart er NIET uit rond 0:00.

[Reactie gewijzigd door Prinzie op 26 juli 2024 15:38]

Gomez12 @Prinzie • 3 april 2015 00:34

Ooit gedacht aan een storing? Zou een beetje raar zijn als je een paar uur niet kan afrekenen omdat TLS op z'n gat ligt. Wellicht een extreem voorbeeld: Stroomstoring van vorige week, heel Noord-Holland/Zuid-Holland geen stroom. Bussen rijden wel gewoon, maar had in jou geval niemand kunnen afrekenen met TLS

Dat is te letterlijk denken. Je kan het huidige systeem gewoon als 2e / fall-back stap laten bestaan waardoor als de real-time verbinding niet lukt je de huidige methodiek gebruikt. Met een terugkoppeling naar de centrale als er wel weer verbinding is.
Dan heb je in 99% van de gevallen zo goed als nul kans op fraude en de 1% die wordt dan alsnog sneller dan de huidige 24u opgepakt (of je moet 24u geen verbinding kunnen opbouwen maar dan heb je dat probleem ook met de huidige systematiek)

P-e-t-j-e @Prinzie • 3 april 2015 14:18

Is nu met pinbetalingen ook zo. Als er niet te controleren of je genoeg geld hebt krijg je het niet gratis mee, hoe vervelend het soms ook is. Ookal heb je een ton op de bank. Dan moet je dus contant betalen. Iets wat dan is de bus dus ook als fallback zou moeten kunnen. Of inderdaad dan op de 'gecachte' manier op de kaart zoals hierboven aangegeven. Dan kunnen ze er alleen misbruik van maken als er een storing is.

Blokker_1999

Wetenschap

@arsimo • 2 april 2015 16:29

En dan valt het netwerk even uit ...

arsimo @Blokker_1999 • 2 april 2015 16:36

Het zal niet simpel zijn (zoals in en uit de bus) maar dat is allemaal op te vangen, met buffering e.d.

trogdor @arsimo • 2 april 2015 17:33

Is niet eens nodig om het zo fine-grained te doen.
Die terminals synchroniseren nu waarschijnlijk in de remise.
Laat ze ook syncen bij elke eind-halte en je bent er al bijna.

Anoniem: 366402 @arsimo • 2 april 2015 17:56

Middernacht kan ook real-time zijn. Verkeerde term. Je bedoelt denk ik constant, of direct.

Real-time betekent niets anders dan dat je computer-tijd kunt relateren aan echte tijd, dus dat io-waits en sleeps geen roet in het eten gooien. Als ik met 100% zekerheid kan zeggen dat een routine over een uur klaar is, dan is dit real-time.

aikebah @Anoniem: 366402 • 5 april 2015 01:20

real time heeft vele betekenissen. Een daarvan (een veel gebruikte) is de real-time processing die de tegenhanger is van batch-processing en die wel degelijk de connotatie heeft van 'vrijwel direct verwerkt' (meestal in de orde van milliseconden tot max enkele seconden).

P-e-t-j-e @arsimo • 2 april 2015 17:39

Er wordt nu heel 'spastisch' gedaan over de moeilijkheden van realtime bijwerken maar hoe denken jullie dat bijvoorbeeld mobiele pinautomaten werken? Er is een reden dat je saldo niet op je pas maar bij de bank staat en geverifieerd wordt voor de transactie goed wordt gekeurd. Dat kan ook prima in de bus of trein. En ja, dat kost een hoop dataverkeer maar ik denk dat de besparing door minder fraude een hoop dataverkeer op kan vangen... En al zou het netwerk uitvallen, dan zou er dus in de bus met contant geld betaald moeten kunnen worden, net als bij de winkel. Als daar de pin niet werkt en je hebt geen contant geld bij: dan niets kopen...

En zo duur hoeft het niet te zijn om dit te implementeren, de meeste bussen/treinen/etc staan volgens mij momenteel al constant in verbinding met de centrale om positie en snelheid etc terug te koppelen... zie op tv tenminste soms wel een NOC voorbijkomen waar treinen realtime op het traject ingetekend worden.

[Reactie gewijzigd door P-e-t-j-e op 26 juli 2024 15:38]

stresstak @P-e-t-j-e • 2 april 2015 19:17

... maar hoe denken jullie dat bijvoorbeeld mobiele pinautomaten werken?

Mobiele pinautomaten ? Staan daar ook elk kwartier tientallen mensen te wachten om te betalen ? Bij mij op het station wel, in de spits.

Maar die discussie is al talloze malen gevoerd hier.

P-e-t-j-e @stresstak • 3 april 2015 14:16

? Met een mobiele pinautomaat bedoel ik dus een pinapparaat dat niet met een kabeltje aan de telefoon is verbonden maar draadloos de transactie verwerkt middels een dataverbinding via simkaart. Voor hij de transactie goedkeurt is er contact met de bank of je genoeg saldo hebt en zo ja dan klaar. Zo kunnen de ov-kaartlezers ook werken.... Duurt maar een paar seconden, zeker als je een Always-on verbinding hebt net als je mobiele telefoon met 4g.

stresstak @P-e-t-j-e • 3 april 2015 15:23

Voor hij de transactie goedkeurt is er contact met de bank of je genoeg saldo hebt en zo ja dan klaar... Duurt maar een paar seconden,

een paar seconden.. dat is dus te lang als er tientallen mensen in een rij staan om een trein of bus te enteren. Het moet net zo snel gaan als het piepje bij het verlaten van het vervoermiddel. En juist op dat moment moet er nog bepaald worden wat je rit kostte en verrekend met je saldo. Daar ga ik niet op wachten.

P-e-t-j-e @stresstak • 3 april 2015 16:01

Als er misbruik van gemaakt wordt en er is een betere verificatie nodig die iets langer neemt (kan ook in 2 seconden gedaan zijn, net als de poortjes bij de metro in engeland, en daar gaan miljoenen mensen per dag doorheen) dan lijkt mij dat voor de leverancier zeker opwegen tegen de vertraging die jij 'onacceptabel' vindt. In mijn ogen wel acceptabel. Weet je nog hoe hit ging met de kaartjes? Dat was minuten! Dus of het nou 1 of 3 seconden is... ook dat went wel weer... En voor jou heeft het voordelen omdat de kosten door minder misbruik omlaag kunnen, als dat tenminste door de leverancier door wordt gezet naar de klanten natuurlijk.... Vraag me af hoe je er over zou denken als jij de leverancier was en mensen op die schaal misbruik kunnen maken door een lek in het huidige systeem en het enige verschil met een 'veilig' systeem is een paar seconden bij het inchecken....

stresstak @P-e-t-j-e • 3 april 2015 16:31

Vraag me af hoe je er over zou denken als jij de leverancier was en mensen op die schaal misbruik kunnen maken door een lek in het huidige systeem en het enige verschil met een 'veilig' systeem is een paar seconden bij het inchecken....

Ik ben de leverancier niet, maar de klant. En met dertig mensen voor me a 3 seconden per persoon vind ik in en uitchecken te lang duren. Al was het gratis.

P-e-t-j-e @stresstak • 3 april 2015 17:37

Iedereen mag een mening hebben, vraag is wat algemeen acceptabel is en niet persoonlijk

Maar ik snap je punt wel hoor.

sirotilc @3raser • 2 april 2015 16:35

Het is natuurlijk van de zotte dat deze informatie nog steeds client-side wordt bijgehouden.
Ik dacht eigenlijk dat dit al opgelost was, omdat ik anders niet zou kunnen verklaren waarom er zoveel in-/uitcheck paaltjes met storingen kampen (connectie problemen?).

Quilt @sirotilc • 2 april 2015 16:53

Het saldo bijhouden op elke bus is toch nog veel moeilijker?

Is het niet het voordeligst om gewoon wat fraude te accepteren?

kwikstaart @Quilt • 2 april 2015 17:17

Precies. Hoeveel zou je hiermee kunnen verdienen? Voor jezelf zet het geen zoden aan de dijk, zelfs niet als het je jaarkaart vervangt. Dat weegt niet op tegen het risico van een strafblad. Dus je moet erin gaan handelen, honderden kaarten manipuleren en verkopen. Dat zal misschien gebeuren, maar qua omzet is dat een druppel op een gloeiende plaat.

KroontjesPen @3raser • 2 april 2015 16:24

http://www.nu.nl/internet...jkt-eenvoudig-kraken.html

Eenmaal gekraakt kan de chip niet alleen worden uitgelezen, maar ook worden beschreven. Aanvallers kunnen dan bijvoorbeeld het saldo op een ov-chipkaart aanpassen, de locaties waarop is ingecheckt wijzigen, of de toegangscodes van een deurpasje kopiëren en zo zonder toestemming binnenkomen.

Als je dan echt alles kan aanpassen kan je de kaart weer naar 'als nieuw' terug brengen.

kwikstaart @KroontjesPen • 2 april 2015 17:14

De kaart kun je terugbrengen naar de oude staat (nieuw zoals jij zegt). Stel je checkt in, dan wordt er geld afgeboekt op het ID van die kaart. Als later blijkt dat de kaart weer op het oude saldo staat, dan kan de kaart wel weer "nieuw" zijn, maar de server weet dat er iets is gebeurd. Enige optie hier zou zijn dat ook het ID van de kaart overschreven wordt - als dat ook mogelijk is. Als je een goede reeks van ID's hebt, dan wordt het pas interessant denk ik.

Ereaser @3raser • 2 april 2015 16:10

Zou je het saldo niet gewoon op -32,50 kunnen zetten en zo de controle omzeilen?

MeNTaL_TO @Ereaser • 2 april 2015 16:15

Dan heb je nog steeds meer afgerekend met de kaart dan je ooit op de kaart gestort hebt, daar gaat het op, niet om de saldo.

aswelter @3raser • 2 april 2015 18:10

Hieronder meld iemand dat je ook het id van de kaart kan aanpassen. Dan wordt volgens mij dan toch de verkeerde kaart geblokkeerd?

stresstak @aswelter • 2 april 2015 19:21

Dan wordt volgens mij dan toch de verkeerde kaart geblokkeerd?

Voor de fraudeur is dat in het geheel geen probleem, hoor.

leuk_he @aswelter • 3 april 2015 10:05

Of je kunt met je mobiele telefoon met NFC de kaart van een mede reiziger aanpassen of de kaart clonen.

mjz2c00l @3raser • 2 april 2015 18:45

ohja tuurlijk, het gaat niet alleen om wat er op staat, maar ook om het verbruik, had daar niet bij stilgestaan

Patrick_Wolf @mjz2c00l • 2 april 2015 16:09

Er is vast een check die als volgt gaat.

Huidige saldo op de kaart: €50
Reis heen: - €12,50
Reis terug: - €12,50
Eind saldo van de dag: €25

Dus wanneer je hem dan weer gaat opwaarderen naar €50 klopt het nog niet, mits het zo werkt uiteraard.

Anoniem: 541344 @Patrick_Wolf • 2 april 2015 16:16

en dan komt pas echt de aap uit de mouw: rekening nr NL55abna 0213345321 die altijd heeft opgewaardeerd ..... etc etc , makkelijk traceerbaar

Patrick_Wolf @Anoniem: 541344 • 2 april 2015 16:38

Als ze een rekening nummer al opslaan, is het natuurlijk nog vrij lastig (zonder tussenkomst van politie) om te achterhalen wie de eigenaar van het gebruikte rekeningnummer is lijkt me.

kozue @Patrick_Wolf • 2 april 2015 17:48

Als je online betaalt krijg je niet alleen het iban nummer terug maar ook de naam op de rekening. Dat zal met pin niet veel anders zijn. Het lijkt me dat ze dat soort informatie wel opslaan. De overheid is tegenwoordig massaal data aan het verzamelen over van alles en iedereen.

Maurits van Baerle @Patrick_Wolf • 2 april 2015 18:25

Waarom zou het zonder tussenkomst van de politie moeten? Als blijkt dat iemand regelmatig fraudeert dan is dat gewoon een strafbaar feit waarvan Translink aangifte van kan doen.

Het hoeft allemaal niet zo ingewikkeld, het aantal fraude gevallen zal erg klein zijn. Je regelt als Translink dat je één contactpersoon bij de politie hebt. Een keer per maand overhandig je de rekeningnummers van de fraudeurs. De personen die bij die rekening horen kunnen een brief verwachten waarin ze gevraagd wordt zich op het politiebureau te melden.

DeTeraarist @Anoniem: 541344 • 2 april 2015 16:52

Het tegoed wordt er op gehackt. Dat gaat dan niet via de bankrekening.

TallyO @DeTeraarist • 2 april 2015 17:02

Om een anonieme OV Chipkaart kopen heb je volgens mij wel een bankpas nodig...

DeTeraarist @TallyO • 2 april 2015 17:05

ik heb contant betaald bij de kassa, maar dat is wel wat jaren geleden, dus dat kan verandert zijn.

TallyO @DeTeraarist • 2 april 2015 17:09

Je hebt volkomen gelijk! Ik had eentje via zo'n NS apparaat bij het station gekocht, maar blijkbaar kun je die dingen ook krijgen via de (lokale) supermarkt, Bruna en tabakspeciaalzaken. Misschien moet ik toch maar eens gaan investeren in dit systeem...

Anoniem: 310408 @TallyO • 2 april 2015 17:45

Je hebt volkomen gelijk! Ik had eentje via zo'n NS apparaat bij het station gekocht, maar blijkbaar kun je die dingen ook krijgen via de (lokale) supermarkt, Bruna en tabakspeciaalzaken. Misschien moet ik toch maar eens gaan investeren in dit systeem...

Vind je het openbaar vervoer in Nederland zo slecht dat je er niet voor betalen wil? Het is niet brilliant maar geloof me, het kan een stuk slechter en veel duurder.

Het blijft me verbazen dat mensen hier zo makkelijk roeptoeteren dat ze fraude gaan plegen.

[Reactie gewijzigd door Anoniem: 310408 op 26 juli 2024 15:38]

kwikstaart @DeTeraarist • 2 april 2015 17:18

Contant kan nog altijd. Maar er hangen wel overal camera's op. Big Brother!

Stoney3K

Wetenschap

@kwikstaart • 2 april 2015 17:25

Contant kan nog altijd. Maar er hangen wel overal camera's op. Big Brother!

Op de kaart worden geen gegevens bijgehouden over waar je hem gekocht hebt. Laat staan dat er dan ooit toegang wordt verleend tot de camerabeelden voor zo'n onbenullig vergrijp.

Barleone @Stoney3K • 3 april 2015 12:13

Misschien dat de verspreiding van de kaarten over alle verkooppunten wel wordt geregistreerd a.d.h.v. batch-nummers ofzo. Zodat ze weten welke kaarten in welke winkel(s) verkocht zijn. Maar camerabeelden opvragen in een supermarkt ofzo lijkt me wat vergezocht ja.

kwikstaart @Stoney3K • 3 april 2015 16:04

Dat bedoel ik ook niet. Je checkt in op het station, daar zijn beelden van. Tijd en locatie van transactie zijn exact bekend. Ga er maar vanuit dat die beelden gebruikt worden als zoiets regelmatig gebeurt. Het is fraude, en ze weten dat ze dit niet kunnen laten lopen, hoe kleinschalig ook.

Smilezz @looc • 2 april 2015 15:52

Een anonieme kaart uit de NS automaat kost 7,50.

herbalx @Smilezz • 2 april 2015 16:58

Ik weet niet exact hoe dit automaat van de NS werkt maar het lijkt me sterk dat je daar contact geld in kunt doen en dus zal je met de Pin moeten betalen.... volgens mij is het dan geen anonieme kaart meer ......

defixje @herbalx • 2 april 2015 17:23

Je kan gewoon overal een OV kaart (anoniem) halen voor €7,50.

Ik reis altijd met een anonieme kaart, en waardeer altijd op bij loketten met contant geld. (Kan loket van NS zijn maar ook van elk willekeurig ander vervoerder)

batjes @defixje • 2 april 2015 17:47

Met alle camera's bij de loketten is dat ook niet zo anoniem.

Gomez12 @batjes • 3 april 2015 00:58

Ik neem aan dat je bedoelt dat ze die camerabeelden van dat loket dan gaan combineren met alle camera-beelden van alle pin-automaten in NL etc zodat ze van een onbekend gezicht naar een pin-transactie kunnen gaan en vandaaruit weer naar de persoonsgegevens.

Ja, technisch zal het vast kunnen maar als ik naar de gemiddelde opsporing verzocht aflevering kijk dan doen ze dit toch niet zo vaak...

En anders laat je die net gekochte kaart een week in de kast liggen zodat de camerabeelden gewist zijn (want er is geen verdachte transactie oftewel reden om de beelden te bewaren)

defixje @batjes • 3 april 2015 09:17

In theorie heb je gelijk, maar ik heb zelf het vermoeden dat ze dit nou niet echt in de praktijk doen.

DonLexos @herbalx • 2 april 2015 17:29

Je loopt voorbij aan het feit dat de pintransactie gegevens niet perse gekoppelt zijn aan de identiteit van die OV kaart. Mogelijk kan (via een verzoek via een rechter) eea gekoppeld worden, maar volgens mij schrijft de domme NS terminal niet realtime je naam en bankrekeningnummer op die OV kaart. Ik weet niet eens of die kaart nummers van uitgegeven OV kaarten ergens worden bewaard of dat hij gewoon de eerst volgende kaart uitspuugt als je ervoor betaalt. Mogelijk is dat dan te koppelen (om 17:45 pintractie van meneer A de Boer en kaart 4567-45657-4546 uitgegeven) maar dat is niet perse vanzelfsprekend.

TallyO @herbalx • 2 april 2015 17:10

Gelijk heb je. Misschien moeten ze het woord 'anoniem' laten vallen en kiezen voor 'universeel'.

[Reactie gewijzigd door TallyO op 26 juli 2024 15:38]

CyBeR @TallyO • 2 april 2015 17:51

Hij heeft helemaal geen gelijk. De NS-automaten die OV-Chipkaarten verkopen zijn ook allemaal voorzien van een muntinworp.

miicker @looc • 2 april 2015 15:51

Klopt, in der tijd waren er mensen die dozen anonieme ov-chipkaarten gekocht hebben (wat natuurlijk slim is als je vaak met de trein reist)

Fawn @looc • 2 april 2015 15:53

Je kunt natuurlijk prima het saldo verbruiken voordat je begint met de hack, en de hack pas toepassen op een oude, lege kaart.

gjmi @looc • 2 april 2015 15:56

Dan mag je alsnog alleen maar legaal reizen

Dan pas? Nee hoor, nu al mag je alleen maar legaal reizen!

stresstak @gjmi • 2 april 2015 19:23

Dan pas? Nee hoor, nu al mag je alleen maar legaal reizen!

Dus er reizen geen mensen illegaal van, naar en door Nederland ?
Zalige gedachte.

gjmi @stresstak • 2 april 2015 20:21

Is dat een serieuze reactie??? Dat zei ik namelijk niet, ik zeg dat je alleen maar legaal mag reizen. Dat staat los van wat er daadwerkelijk gebeurt.

stresstak @gjmi • 3 april 2015 15:28

Is dat een serieuze reactie??? Dat zei ik namelijk niet, ik zeg dat je alleen maar legaal mag reizen.

Een dooddoener dus. Alles is legaal, mits je je aan de eisen en voorwaardes houdt.

xFeverr @miicker • 2 april 2015 16:02

Zijn de systemen van de trein en metro niet online? Volgens mij kan je daar dan sneller gepakt worden

CyBeR @xFeverr • 2 april 2015 17:51

De poortjes van NS zijn niet 'online' (dwz, real-time) zozeer, maar verwerken transactiegevens wel heel snel.

[Reactie gewijzigd door CyBeR op 26 juli 2024 15:38]

Rafe @miicker • 2 april 2015 16:28

en volgens mij is het zo dat de systemen iedere nacht om 00:00 uur geloof ik, gesynchroniseerd worden

Dat was oorspronkelijk wel zo, naar aanleiding van de vorige hacks is die frequentie verhoogd naar vier keer per dag, als ik het me goed herinner. Detectie aanscherpen is makkelijker/goedkoper dan in een klap al die kaartjes vervangen.

[Reactie gewijzigd door Rafe op 26 juli 2024 15:38]

434365 @miicker • 2 april 2015 16:55

Je kan gewoon een ander ID aan je gehackte kaart hangen hoor, dus bouw een klein oplaad stationnetje met een Pi ofzo waar je je kaart iedere ochtend even in prikt, klaar

(En nee, ik betaal gewoon braaf een maand abbo, maar heb het wel eens geprobeerd, die eerste hack waar je specifieke hardware voor nodig had, die werkt vandaag de dag nog steeds, en waarschijnlijk is dat ook wat de persoon in het artikel heeft gebruikt)

kaaas @miicker • 2 april 2015 23:47

Ja dat is wat tls zei je word binnen no time geblokkeerd. Ken toch echt een iemand die meer dan een jaar met dezelfde zelf opgeladen pas heeft gereisd en zelfs toen was ie niet geblokkeerd.
Of het verstandig is is een tweede. Maar tls houd er meer een bang maak tactiek op na dan dat ze echt iets doen. Er is wel geteld 1 persoon gepakt voor ov fraude. Ik geloof echt niet dat er zo weinig mensen waren die hier gebruik van maakten.

Reynouts @miicker • 2 april 2015 16:09

Ik ben benieuwd wat er allemaal mogelijk is met deze "hack". Als je het saldo kan wijzigen en ook reizen kan aanpassen/verwijderen, zou je dan misschien ook de synchronisatie om 00:00u toch kunnen laten "kloppen"?

Sircuri @Reynouts • 2 april 2015 16:37

Is hierboven ook al uitgelegd.

Je kaartsaldo kun je kennelijk aanpassen, maar het saldo wat translink heeft opgeslagen van jouw kaart is dus nog steeds het oude saldo. Als je vervolgens voor 100 euro reist, terwijl het laatst bekende saldo van jouw kaart bij Translink slechts 10 euro was, dan heb je een groot verschil en wordt je kaart geblokkeerd.
Dit is een groot nadeel van niet realtime checken van je kaartsaldo. Het saldo staat letterlijk op je kaart en die informatie wordt gebruikt om je treinkaartje te kunnen kopen.

Stoney3K

Wetenschap

@Sircuri • 2 april 2015 17:28

Is hierboven ook al uitgelegd.

Je kaartsaldo kun je kennelijk aanpassen, maar het saldo wat translink heeft opgeslagen van jouw kaart is dus nog steeds het oude saldo. Als je vervolgens voor 100 euro reist, terwijl het laatst bekende saldo van jouw kaart bij Translink slechts 10 euro was, dan heb je een groot verschil en wordt je kaart geblokkeerd

Je kan ook een jaarabonnement op je kaart zetten, dan hoef je niet eens in te checken, en kan er niet getraceerd worden waar je precies gereisd hebt.

CyBeR @Stoney3K • 2 april 2015 17:52

[...]

Je kan ook een jaarabonnement op je kaart zetten, dan hoef je niet eens in te checken, en kan er niet getraceerd worden waar je precies gereisd hebt.

Je moet altijd inchecken tegenwoordig.

stresstak @CyBeR • 2 april 2015 19:29

Je moet altijd inchecken tegenwoordig.

Neen. Als ik weet dat ik geen poortjes tegenkom doe ik het niet bij een treinreis. Verder is het niet van belang want het is al betaald, het is een ov-jaarkaart. Zelfs al ik ergens wel een poortje moet openen is in ieder geval de administratie gefrustreerd.

CyBeR @stresstak • 2 april 2015 19:44

Ah, inderdaad de OV-Jaarkaart is zo ongeveer de enige uitzondering nog.

[Reactie gewijzigd door CyBeR op 26 juli 2024 15:38]

stresstak @Sircuri • 3 april 2015 15:33

Dit is een groot nadeel van niet realtime checken van je kaartsaldo. Het saldo staat letterlijk op je kaart en die informatie wordt gebruikt om je treinkaartje te kunnen kopen.

De kaart IS je treinkaartje. Pas na het einde van de reis wordt er bepaald wat het kostte en later dus afgeschreven. Maar de in- en uitpiepapparaten geven wel meteen de kosten en het overgebleven saldo in beeld aan de gebruiker. Op dat moment weet TL nog niks.

Blokker_1999

Wetenschap

@Reynouts • 2 april 2015 16:32

Je had volgens de server €5 op je kaart staan. Jij past de hack toe en zet er €50 op. Je neemt de trein heen en weer die dag en dat kost je dan €30. De portalen registreren netjes dat je kaart €50 had, er €30 is afgegaan en nu dus nog €20 over schiet.

's nachts komt de synchro met de server en ziet men dat de €20 niet overeenkomt met de €5 die zie hadden opgeslagen. Hoe ga jij dat doen kloppen.

Reynouts @Blokker_1999 • 2 april 2015 16:39

Ik weet niet precies wat hij vergelijkt en het zal ook veel te simpel gedacht zijn!

Had in gedachten dat je dan de kaart weer op €5 euro kon zetten, de reis verwijderen en klaar.

CyBeR @Reynouts • 2 april 2015 17:53

Het systeem bij TLS houdt een schaduwboekhouding van alle kaarten bij. Die gegevens moeten overeen komen, of er is een probleem. Als jij dus 2x reist en een daarvan van jouw kaart verwijdert, staat er nog steeds 2x een reis in het systeem bij TLS.

Anoniem: 58485 2 april 2015 15:51

Ik snap ook niet dat een bedrijf zoals TLS de overweging maakt de fraude eerst aan te zien, in plaats van het zoeken naar een oplossing die fraude in de eerste instantie tegen moet gaan.

Zoiets kan jaarlijks enorm veel geld kosten, als bepaalde vormen van fraude niet tegenop getreden wordt. En wie betaald dat? De reiziger en belastingbetaler. Immers zit de staff en bedenkers van dit systeem op een gegoten ondergrond van salaris met uitstekende voorwaarden.

Mutybay @Anoniem: 58485 • 2 april 2015 15:58

Iets met kosten/baten?

Anoniem: 58485 @Mutybay • 2 april 2015 16:09

Ik snap ook niet dat by design daar al niet rekening mee wordt gehouden. Stel een budget in in waarmee je gaat testen of de chip / oplossing die je gebruiken wil daadwerkelijk fraudegevoelig is ofniet. Scheelt achteraf een hele hoop gedoe en gezeik.

Die fraude kan jaarlijks oplopen tot in de miljoenen, en mischien zelfs een paar jaar lang aanhouden. Mooie verliespost zo!

[Reactie gewijzigd door Anoniem: 58485 op 26 juli 2024 15:38]

CyBeRSPiN @Anoniem: 58485 • 2 april 2015 16:22

Die oude strippenkaart was ook makkelijk na te drukken. Ook waren er trucjes waarmee je de stempel er weer af kon vegen.
M.a.w. geen enkel systeem is waterdicht. Zolang ze de omvang van de fraude kunnen monitoren (en dan schijnen ze te kunnen) kunnen ze dus ook eenvoudig een kosten/baten analyse doen.

xFeverr @CyBeRSPiN • 2 april 2015 19:12

Jaja, labello op je datumloze treinkaartje smeren en dan langs de stempelautomaat. Aan het einde van de rit was het er zo weer af te vegen. Inclusief die van de conducteur, en weer opnieuw beginnen.

Dus de oude kaartjes waren inderdaad ook niet 100% storingsvrij, denk dat we er nu meer op vooruit zijn gegaan. Nu die poortjes nog sluiten

stresstak @xFeverr • 5 april 2015 00:55

Dus de oude kaartjes waren inderdaad ook niet 100% storingsvrij, denk dat we er nu meer op vooruit zijn gegaan.

Aan het geknipte gaatje in mij treinkaartjes heb ik nooit veel kunnen veranderen..

Daarna werd alles makkelijker.

YangWenli @CyBeRSPiN • 2 april 2015 22:14

Toen het openbaar vervoer nog niet geprivatiseerd was werd er nauwelijks gecontroleerd op vervoerbewijzen. Je kon gewoon achter instappen.

Mutybay @Anoniem: 58485 • 2 april 2015 16:12

Daar wordt ook echt wel rekening mee gehouden. Alleen wat doe je als je budget op is? Er komt een punt dat de kosten exponentieel toenemen en de kwaliteit (=veiligheid in dit geval) amper toeneemt. Dit neemt je voorlief en zie je in elk product terug.

Maurits van Baerle @Anoniem: 58485 • 2 april 2015 16:58

De oplossing zal sowieso niet beginnen onder de miljoen. Zo lang de fraude een fractie kost van de oplossing is het een absurde kostenpost om perse een volledig fraudebestendig systeem te ontwerpen.

Het is geen kernwapenlanceerinstallatie, het is een afrekensysteem voor OV-bedrijven. Zo lang de fraude binnen de perken blijft is het voor hen een non-probleem.

Teijgetje @Anoniem: 58485 • 2 april 2015 16:06

Je geeft het zelf al aan.......het (fraude) kan jaarlijks veel geld kosten.

Tot die tijd is het even inventariseren, afwachten dus of er in zodanige mate gefraudeerd wordt dat dure veranderingen gerechtvaardigd/noodzakelijk zijn.
Het is gewoon een kostenafweging.
Is het fraudebedrag groter dan de kosten van een oplossing.

De staff en bedenkers liggen er snel uit als ze bij elke mogelijkheid, die achteraf niet (grootschalig) misbruikt worden, miljoenen uitgeven om dit (dus onnodig) te verhelpen.

Of geef jij wel 1000 euro uit om 1 euro/j aan fraude te voorkomen?
Of laat je dat maar (1000 jaar) gaan, en ga je er van uit dat er vóór die termijn afloopt een beter fraudebestendiger systeem is?
Als er vijf jaar later (geldigheidsduur anonieme OV kaart) een beter systeem is ingevoerd "verdien" je dus, ondanks de fraude van 5 euro, 995 euro netto..... (die de reiziger en belastingbetaler hadden moeten betalen.)

[Reactie gewijzigd door Teijgetje op 26 juli 2024 15:38]

CyBeR @Anoniem: 58485 • 2 april 2015 17:55

Ik snap ook niet dat een bedrijf zoals TLS de overweging maakt de fraude eerst aan te zien, in plaats van het zoeken naar een oplossing die fraude in de eerste instantie tegen moet gaan.

Zoiets kan jaarlijks enorm veel geld kosten, als bepaalde vormen van fraude niet tegenop getreden wordt. En wie betaald dat? De reiziger en belastingbetaler. Immers zit de staff en bedenkers van dit systeem op een gegoten ondergrond van salaris met uitstekende voorwaarden.

Ik snap dat wel. Die aanpassingen doen is namelijk al snel duurder dan de fraude.

Dat is dezelfde reden als waarom banken nog steeds met viercijferige pincodes werken, en in veel landen nog met magneetstrips: de fraude daarmee is goedkoper dan dat systeem aanpassen.

Vergeet ook niet: OV-Chipkaartfraude kost de vervoerders helemaal niet zo veel; ze lopen alleen inkomsten mis. Die trein rijdt toch wel, of de fraudeur er nou in zit of niet.

[Reactie gewijzigd door CyBeR op 26 juli 2024 15:38]

cyberstalker 2 april 2015 15:56

Kunnen ze die fraude tegenwoordig opsporen? Het is alweer een tijdje geleden dat ik me ermee bezig heb gehouden (wordt tijd de lezer weer eens uit de schuur te snuffelen) maar wat ik me kan herinneren stonden de apparaatjes van de conducteurs in de trein niet in verbinding met TLS.

De conducteur moet er dus op vertrouwen dat wat op de kaart staat 'juist' is. Enkel als je via een poortje incheckt wordt die data uiteindelijk (ergens 's nachts) met TLS gesynchroniseerd, wordt er een afwijking gesignaleerd en zal de kaart bij de volgende keer aan de paal worden geblokkeerd.

Deze "beveiliging" was toen zeer eenvoudig te omzeilen door gewoon nooit langs de paal te gaan: Je update de kaart gewoon zo dat deze beweert ingecheckt te zijn op Station X. Als de conducteur dit checkt zal zijn apparaatje zeggen dat alles OK is. Is dat inmiddels verandert? Worden de gegevens van de conducteurs op een of andere manier nu gescynchroniseerd met de TLS database?

icecreamfarmer @cyberstalker • 2 april 2015 17:35

Dat is nog steeds zo en met deze manier weer mogelijk.

fritek373 @icecreamfarmer • 2 april 2015 22:21

Worden die handcomputers van de conducteurs niet een aantal keer per week/maand aan het internet gehangen om te synchroniseren dan?

YangWenli @cyberstalker • 2 april 2015 22:17

Ja maar ze willen binnenkort alle stations gaan dichttimmeren.

stresstak @YangWenli • 5 april 2015 00:57

Dan mogen ze nog wel eens opschieten met poortjes plaatsen.

vj_slof 2 april 2015 16:08

Deze hack is echt interessant nu er ook blanco kaarten te koop zijn waarmee je zelf het UID van de kaart kunt aanpassen. Je hoeft nu dus alleen nog maar het UID van andere OV-chipkaartgebruikers te achterhalen en de chaos die je kunt creëren is compleet. Dan blokkeren ze straks onschuldige gebruikers. Ze zullen dus heel snel met een oplossing moeten komen.

Faeron @vj_slof • 2 april 2015 16:31

En jij denkt dat een controleur daar intrapt, in je blanco beschrijfbare nepkaartje.

"Uw vervoersbewijs alstublieft"
- "Hier meneer, hier is mijn blanco OV-chipkaart"
"Ah, eens zien. *bliep* Da's dik in orde. Fijne reis verder"
- "Dank u wel, meneer de conducteur"

vj_slof @Faeron • 2 april 2015 16:39

Een opdruk is zo gemaakt. Daarna de kaart achter het transparante venstertje van je portemonnee stoppen en die overhandigen aan meneer/mevrouw de conducteur. Die gaan je kaart toch niet uit je portemonnee halen tenzij de kaartlezer moeilijk leest.

En met de bus/tram kijkt er helemaal niemand naar je kaart.

Ge Someone @vj_slof • 2 april 2015 21:09

Dat varieert, ik ben wel eens een controleuze tegen gekomen die zelfs de pasfoto wilde controleren. Maar dat speelt eigenlijk alleen bij een abonnement een rol.
Je hebt wel gelijk voor wat betreft de standaard controles.

SinergyX 2 april 2015 15:46

Ze kunnen nog altijd een 2de systeem achter de OV zetten die een saldo bevestiging zou moeten doen obv ingecheckte ritjes en saldo-toevoegingen.

Zijn er nu ook gewoon nog 'anonieme' kaartjes die je voor enkel ritje kan kopen? Als deze te kraken zijn kan je bv enkele (eerste halte verder nemen) en vervolgens intercity andere kant van het land pakken.

wroeter @SinergyX • 2 april 2015 16:32

Volgens mij niet. Je hebt wel vervangers van het klassieke treinkaartje met daarin een chip, maar die zijn voor zover ik weet ook gewoon bedrukt, dus de conducteur zal geen moeite hebben de fraude te herkennen.
Natuurlijk kun je ook de opdruk waarschijnlijk wel wijzigen, maar ik vraag me af wie die moeite gaat nemen.
Dat geldt ook voor deze hack: hoeveel mensen zullen hem in de praktijk gaan toepassen en hoeveel reizen die? Zolang het bij hobbyisten blijft, zal TLS echt geen actie ondernemen.
Het wordt wat anders als de 'georganiseerde misdaad' dit gaat doen op industriële schaal en deze kaarten grootschalig gaat afzetten.

Stoney3K

Wetenschap

@wroeter • 2 april 2015 17:30

Volgens mij niet. Je hebt wel vervangers van het klassieke treinkaartje met daarin een chip, maar die zijn voor zover ik weet ook gewoon bedrukt, dus de conducteur zal geen moeite hebben de fraude te herkennen.

In de Amsterdamse parkeergarages geven ze nog papieren wegwerpkaartjes uit waarmee je een hele dag met de tram kan.

vali 2 april 2015 16:05

Heel leuk dat ze de kaarten eventueel willen gaan vervangen, maar houden ze dan ook rekening dat niemand hierop zit te wachten? Heb het idee dat ze niet weten hoe het wisselen naar een nieuwe kaart in het praktijk er aan toe gaat (of het interesseert ze niet, dat kan ook).

Als je een nieuwe kaart krijgt mag je minimaal 2 weken als studenten zijnde wachten. Als je kaart (wat ook enkele werkdagen kost) moet je hem opnieuw koppelen en daar gaat ook weer wat tijd overheen. In de tussentijd moet je je reiskosten zelf bekostigen. Op dit moment studeer in Utrecht en als ik iedere dag zo'n rit zelf moet gaan betalen, dan kan dit flink oplopen.

Dit is al de zoveelste keer dat er weer een hack/bug gevonden wordt in de ov chipkaart en de enige die er onder lijdt zijn de ov-reizigers.

[Reactie gewijzigd door vali op 26 juli 2024 15:38]

Maurits van Baerle @vali • 2 april 2015 16:46

De enige die hier onder lijden zijn de klanten van TLS. De vervoersbedrijven dus. Als reiziger merk je er niets van.

Ik had tot een paar weken geleden een kaart met zo'n MiFare Classic chip die kwetsbaar was. Heb ik daar ooit last van gehad? Natuurlijk niet. Een paar weken geleden was mijn oude kaart (na vijf jaar?) verlopen en moest ik hem even laten vervangen door een nieuwe. Was in vijf minuten gepiept. Merk ik er iets van dat er nu een modernere chip in mijn kaart zit? Natuurlijk niet.

Voor reizigers maakt het niet uit. Voor de klanten van TLS (de OV bedrijven) wél en die zullen dus wel in overleg zijn. Zo lang de fraude een fractie is van de kosten van een oplossing zullen de klanten niet willen dat TLS het oplost.

vali @Maurits van Baerle • 3 april 2015 10:31

Een paar weken geleden was mijn oude kaart (na vijf jaar?) verlopen en moest ik hem even laten vervangen door een nieuwe. Was in vijf minuten gepiept. Merk ik er iets van dat er nu een modernere chip in mijn kaart zit? Natuurlijk niet.

Blijkbaar ging het bij jou sneller, maar voor mij als student (en klasgenoten) ging het niet in vijf minuten. Ik moest hier twee weken op wachten.

Dat de OV bedrijven geld mislopen heb ik, hoe vervelend het voor hen kan klinken, totaal geen medelijden mee. Er is lang geleden een ovchipkaart doorgedrukt waarvan al bekend was dat het een lek bevatte (in Duitsland was in een PoC naar voren gekomen) en als het nu blijkt dat het weer lek is, dan is het echt hun eigen schuld. Ze testen gewoon niet goed genoeg en drukken iets veels te snel door.

[Reactie gewijzigd door vali op 26 juli 2024 15:38]

JustFogMaxi 2 april 2015 15:46

Hoe doen ze dit in andere landen? Dit is toch geen nieuw systeem?

Barryke @JustFogMaxi • 2 april 2015 16:01

In London bijvoorbeeld hebben ze een prima systeem.. zowel qua techniek als gebruiksgemak.
Geen statiegeld of uitcheck oplichterij, werkt ook gewoon met papieren wegwerp kaartjes, werkt veilig, anoniem!

Maar de Nederlandse aanbesteder had er blijkbaar belang bij om dat niet zo te doen. $_$

Hebben ze dus zelf iets gemaakt, maar het is niet beter. Liever had ik het nog gezien zoals in Japan, maar dat hier nog wat te ver gegrepen misschien.

Ik had in NL geen uitcheck gijzeling verwacht, en toch minstens naast een plastiek crediet pas (zonder statiegeld) ook een wegwerp ding verwacht dat je thuis afdrukt, dan een trip lotje afscheuren en inchecken. Als ze het hebben over mislukte ICT projecten in NL, dan denk ik aan het OV.

Maurits van Baerle @Barryke • 2 april 2015 17:54

Het Londonse systeem lijkt qua techniek redelijk op het Nederlandse. Ze hebben dan ook hetzelfde probleem gehad met die MiFare Classic chip. Overigens, hier in London moet je ook gewoon vijf pond statiegeld betalen voor gewone Oyster cards (mogelijk niet voor die meerdere-dagen passen voor toeristen).

Er zijn een aantal verschillen, in London hoef je bijvoorbeeld niet uit te checken bij bus of tram. Elke rit kost een vast bedrag, of je nou één halte of 35 haltes reist. Dat had in Nederland natuurlijk ook gekund maar dan had iedereen op z'n achterste benen gestaan dat bejaarden voor twee haltes naar de bingo drie euro moeten betalen dus hebben we dat niet.

Ik weet niet waar dat broodje aap verhaal vandaan komt dat Nederland perse een eigen systeem wilde ontwikkelen. Zo anders is het niet. Het OV-Chipcard systeem bestaat uit allemaal off-the-shelf onderdelen en systemen die je ook in andere landen tegen komt, van London tot Hong Kong. Alleen zijn er wat aanpassingen gedaan om het laten aan te sluiten op hoe OV in Nederland geregeld is.

fritek373 @Maurits van Baerle • 2 april 2015 22:24

In Londen kan je zelfs met je NFC bankpas reizen.

Barryke @Maurits van Baerle • 3 april 2015 00:31

Statiegeld op Oyster cards? Ah dat heb ik niet gezien, ik laadde er mijn anonieme Oyster kaart op en hield geen statiegeld over. Dat was voor mij vaak goedkoper dan een meerdagen pas.

Dat uitcheccken is inderdaad zo'n ontwerpkeuze, en ik vind het jammer dat ze in Nederland die kans niet aangegrepen hebben. Maar ach, misschien hebben ze straks de data verzameld om aan te tonen hoe dat wel kan.. wie weet.

Dat van een eigen systeem .. natuurlijk zijn het plankproducten, maar dat het OV platform in NL zo uniek was vanwege de vele vervoersbedrijven daar was ik me niet bewust van.

stresstak @Barryke • 2 april 2015 19:37

In London bijvoorbeeld hebben ze een prima systeem.. zowel qua techniek als gebruiksgemak.

Londen is geen land. Als ze daar ook 'dertig' soorten vervoer met tarieven en eisen hadden werkte het ook niet.

flowerp @stresstak • 3 april 2015 21:41

Nou, zeg dat niet te hard hoor!

London heeft ergens in de orde van 20 miljoen reizigers per dag. Dat is meer dan in Nederland, en London heeft een enorme variatie aan soorten vervoer en verschillende bedrijven die daar weer achter zitten, en dus moesten aansluiten bij het systeem.

Het is zeker niet te vergelijken met b.v. het GVB in Amsterdam dat de metro, trams en bussen beheerd.

stresstak @flowerp • 3 april 2015 21:50

Het is zeker niet te vergelijken met b.v. het GVB in Amsterdam dat de metro, trams en bussen beheerd.

Amsterdam is geen Nederland. Vergelijk het maar met het nieuwe voorstel: de ov-toeristenpas. Hoeveel moet die kosten en wat krijgt de vervoerder ervan die in Drente vervoert. Of de maatschappij die slechts beperkt regiovervoer doet met kleine spoorlijntjes in Limburg..

Misschien dat er in Londen eenheid is in afspraken, in Nederland in elk geval niet.

flowerp @stresstak • 5 april 2015 00:29

Amsterdam is geen Nederland.

Dat zeg ik toch juist?

In A'dam is alles redelijk in handen van 1 organisatie, in tegenstelling tot London en Nederland waar het een grote verscheidenheid van organisaties betreft, die dan wel meedoen aan 1 systeem.

Hoeveel moet die kosten en wat krijgt de vervoerder ervan die in Drente vervoert.

Gewoon het bedrag wat voor die ene verdwaalde toerist in Drente reist?

Ik snap je vraag niet helemaal. Als iemand in het achterland van Drente een ritje maakt voor 5 euro, dan krijgt de vervoerder die dat ritje uitvoert 5 euro?

Mis ik iets?

Overigens vindt ik toeristenpas wat apart altijd. Krijgen we ook een forensenpas, en een provincialenpas en een huisvaderspas?

Voer gewoon een dag kaart, 3 dagen kaart en week kaart in, en wat maakt het uit wie die koopt?

stresstak @flowerp • 5 april 2015 00:52

Voer gewoon een dag kaart, 3 dagen kaart en week kaart in, en wat maakt het uit wie die koopt?

Het is mijn probleem ook niet echt. Maar kennelijk hebben alle vervoerders eigen tarieven en wil de uitgever van de pas niet het gezanik over al die verschillende eisen en bedragen. Maar de situatie is nog wel zo.

Men kan dus niet zeggen dat we maar een voorbeeld aan Hong Kong of Londen moeten nemen. Want een kilometer in Londen is anders dan een kilometer in Birmingham. En vermoedelijk kan ik met mijn dagkaart Londen niet in Wales gaan reizen. Dat zouden de mensen moeten beseffen die die domme vergelijkingen altijd maar melden als het hier over een landelijke kaart gaat.

--
Maar het onderwerp was frauderen, tja..

flowerp @stresstak • 5 april 2015 09:29

Het is mijn probleem ook niet echt. Maar kennelijk hebben alle vervoerders eigen tarieven en wil de uitgever van de pas niet het gezanik over al die verschillende eisen en bedragen.

Eigen tarieven valt behoorlijk mee, en hoe kan de toerist weten dat vervoerder A 0.01 cent per X M rekent en vervoerder B 0.011 cent?

Die checked in, reist, checked out en krijgt oftewel een bedrag te zien bij een kaart met saldo of tewel geen bedrag bij een vrij reizen dagkaart.

[quote]En vermoedelijk kan ik met mijn dagkaart Londen niet in Wales gaan reizen. [/quote[

Maar wel in Bromley, en in Enfield, en in Havering. Uiteraard afhankelijk van het type kaart.

Dat zou in NL ook kunnen, eventueel. Een vrij reizen kaart voor alleen Amsterdam (ok, die heb je al), dan een iets duurdere kaart voor een ring om Amsterdam heen zodat je Haarlem, en de Zaanse Schans en schiphol er bij hebt, en dan nog een kaart voor heel NL met het oh zo gevreesde Drente waar misschien een enkele verdwaalde toerist eens zou kunnen opdagen.

Dat zouden de mensen moeten beseffen die die domme vergelijkingen altijd maar melden als het hier over een landelijke kaart gaat.

Denken dat land en stad heel andere dingen zijn gaat wel mank als ze ongeveer dezelfde aantal reizigers hebben en ongeveer een zelfde hoeveelheid vervoerders.

Vergeet niet dat NL echt een absurd klein land is. Pak de trein van Den Helder naar Nijmegen en je bent in 2:45 diagonaal zo'n 2/3 van Nederland duur. West-Oost is slechts een 1:00/1:30 of zo.

In diverse van de grotere steden haal je dat amper in die tijd.

En neem 10 miljoen reizgers heel Nederland t.o.v. 20 miljoen reizigers in London.

Dus je kunt de vergelijking niet zomaar afwimpelen met te zeggen dat de ene een land is de andere een stad.

stresstak @flowerp • 5 april 2015 12:39

Dus je kunt de vergelijking niet zomaar afwimpelen met te zeggen dat de ene een land is de andere een stad.

Blijkbaar is het wel een probleem hier. Vervoer in de regio Amsterdam zou onder het GVB kunnen vallen. Maar kennelijk is er niet klakkeloos een landelijk overkoepelend systeem mogelijk dankzij alle verzuiling aan regiogebonden vervoerders met hun eisen.

Het genoemde frauderen kan in ieder geval wel landelijk.

Barryke @stresstak • 3 april 2015 00:20

Inderdaad goed punt, net als de andere reacties.

Anoniem: 121555 @Barryke • 2 april 2015 16:28

Ik reis dagelijks met meerdere vervoerders in meerdere vormen van openbaar vervoer en ik vind de ov chipkaart een enorme vooruitgang ten opzichte van 'vroeger'. Geen gedoe meer met papieren kaartjes, geen gezeik met het tellen van strippen etc.

M'n ov chipkaart laadt automagisch op, werkt altijd en met in- of uitchecken heb ik werkelijk nog nooit een probleem gehad.

Eigenlijk weet ik dus niet zo goed welke vreselijke ervaringen jij hebt om het mislukt te noemen.

Diepie @Barryke • 2 april 2015 16:32

Maar de Nederlandse aanbesteder had er blijkbaar belang bij om dat niet zo te doen. $_$
Hebben ze dus zelf iets gemaakt, maar het is niet beter.

Het OV Chip systeem is niet geheel zelf gemaakt. De basis is een beproefd systeem van een franse leverancier (Thales) wat ook in Hong Kong draait (Octopus card) en in Denemarken bv (Rejsekort).

Een van de grotere problemen in Nederland is dat de verschillende vervoerders ieder een veel te ingewikkelde eigen schil over het systeem heeft gelegd zonder dit in overleg met elkaar te doen. Om dit toch weer enigszins aan elkaar te breien, is een hoop kunst en vlieg werk nodig.

nanoChip @Barryke • 2 april 2015 17:20

Je maakt hier wel een kleine denkfout. In Nederland wil men zoveel mogelijk vervoerders koppelen aan de Ov-chipkaart. Dat gebeurd bijna nergens anders over de hele wereld, met als gevolg dat men concessies moest doen op gebruikte technieken omdat elke vervoerder een ander systeem gebruikt. De keuze is simpel: of één Ov-chipkaart voor alles, of voor iedere vervoerder een aparte kaart.

En statiegeld op een Ov-chipkaart is puur om er voor te zorgen dat men geen fraude pleegt op anonieme kaarten, daarnaast werken de papieren wegwerp kaartjes van NS ook prima.

Al met al niet echt een mislukt project maar gewoon een grote uitdaging omdat het nergens anders als "standaard" product klaar lag om gekocht te worden. Het is niet voor niks dat buitenlandse bedrijven nu een kijkje nemen bij Translink om te zien hoe zij dit aangepakt hebben

flowerp @Barryke • 2 april 2015 22:11

Hebben ze dus zelf iets gemaakt, maar het is niet beter.

Weet je dat 'ze' dat gedaan hebben, of denk je dat alleen maar en papegaai je dat hier omdat het zo lekker populistisch klinkt?

Hoe groot gedeelte van de software denk je dat zelf gemaakt is? Denk je dat ze volledig van scratch elke regel code geschreven hebben? Of is dit 90%? Of 70%? 50%?

En welk gedeelte van de hardware is zelf ontwikkeld en/of zelf gefabriceerd? Denk je dat alle verschillende OV chip terminals (poortjes, paaltjes, readers in bus, etc) volledig van de grond af aan ontworpen zijn door Nederlanders in Nederland? Of betreft dit 90%? 70%? 50%?

Ben heel erg benieuwd naar je antwoord.

Barryke @flowerp • 3 april 2015 00:17

Percentages? Daar deed/doe ik geen uitspraak over, ik bedoel wat ik zeg. En met zelf gemaakt bedoel ik natuurlijk niet vanaf scratch

.. ik heb het over het gehele ontwerp, niet de implementatie of technieken.

flowerp @Barryke • 3 april 2015 21:38

Was ook wel te verwachten dit antwoord.

Je hebt natuurlijk geen enkel idee hoeveel er wel/niet hier ontworpen is. Het gehele ontwerp komt namelijk helemaal niet uit Nederland. Het is de Octopus software uit onder andere Hong Kong en Denemarken, met daarop aanpassingen (customizations) voor Nederland.

Het wordt hier gecombineerd met andere hardware en andere kaarten dan in Hong Kong. Hong Kong gebruikt kaarten gebaseerd op Sony techniek, wij hier gebruiken NXP kaarten. Het zijn overigens de exact zelfde kaarten als London ook gebruikt voor het Oyster systeem.

De poortjes zelf en de readers zijn ook veelal niet zelf ontworpen hier. Veel zijn gewoon vrij standaard en vindt je in nagenoeg exact dezelfde vorm ook elders.

Dus van het gehele ontwerp is eigenlijk niet zo veel sprake van. Het is alsof je een bestaand Linux systeem neemt, en die customized voor een bepaalde toepassing. Je kunt niet stellen dat je dan heel Linux zelf ontworpen hebt. Natuurlijk gaan er in de aanpassingen nog wel veel tijd en geld zitten, maar van een core ontwerp zelf maken is absoluut geen sprake dus.

[Reactie gewijzigd door flowerp op 26 juli 2024 15:38]

PolarBear @JustFogMaxi • 2 april 2015 15:57

Geen enkel systeem is fraudebestendig. Bijvoorbeeld bij de tokens die in New York werden gebruikt:

There were issues with the tokens, however. It was a common scam to circumvent the payment of fares by jamming the token slot in an entrance gate with paper. A passenger would insert a token into the turnstile, be frustrated when it did not open the gate, and have to spend another token to enter at another gate. A token thief would then suck the token from the jammed slot with their mouth. This could be repeated many times as long as no police officers spotted the activity. Some token booth attendants sprinkled chili powder in the slots to discourage "token sucking".[91] Token sucking (also known as stuff 'n' suck) was charged under theft of services, criminal tampering and criminal mischief.

Er bestaat ook zoiets als creditcard fraude. 100% fraude vrij krijg je een systeem nooit.

bbob @PolarBear • 2 april 2015 16:21

Creditcard fraude is vooral zonder dat je de kaart met pincode gebruikt.
Je geeft kaartnummer op online met code op de achterkant en bestellen maar.
Gezien de hoge commissies die men krijgt kan de fraude ook gewoon betaald worden en neemt men het voor lief zo lang het niet te veel is.

jongetje

@JustFogMaxi • 2 april 2015 15:58

Jawel, elk land vind het nodig om zijn eigen systeem te ontwerpen. Net zoals elke stad zijn eigen trams en elk land zijn eigen treinen heeft. Volgens mij veel goedkoper en handiger om kennis te delen. Had ook al een hele Fyra affaire gescheeld.

YangWenli @JustFogMaxi • 2 april 2015 22:20

Pariis en Londen hadden al chipkaarten. Het bedrijf achter de OV chipkaart heeft het verkloot. Aanbestedingen en de polder cultuur.

hterhofte 2 april 2015 15:48

Dan kunnen we binnenkort ook eindelijk third-party apps tegemoet zien waardoor je met de (NFC-enabled) smartphone kunt zien of je netjes ingechekt bent, en zo?
(Elk nadeel hep se voordeel...)

fritek373 @hterhofte • 2 april 2015 16:07

Nee helaas niet, want de meeste (vooral recente) smartspones ondersteunen geen Mifare Classic

hterhofte @fritek373 • 2 april 2015 16:14

en ik d8t nog wel met mijn mijn Samsung Galaxy S3 LTE een vooruitstrevende aankoop gedaan te hebben destijds

... maar deze oldskool phone leest tenminste WEL Mifare Classic (net gestest met NFC TagInfo app)

Op dit item kan niet meer gereageerd worden.

Student ontdekt kwetsbaarheid in protocol ov-chipkaart

Lees meer

IT-banen

Reacties (185)

Sorteer op:

Weergave: