Onderzoeker: beveiliging laadpalen elektrische auto's laat te wensen over

Op het Chaos Computer-congres in het Duitse Leipzig heeft een beveiligingsonderzoeker verschillende tekortkomingen van laadpalen en bijbehorende protocollen gepresenteerd. Zo is het bijvoorbeeld eenvoudig om een laadpas te kopiëren.

De onderzoeker, Mathias Dalheimer, vertelt dat het laadproces voor elektrische auto's op verschillende manieren tekortschiet. Daarbij richtte zijn onderzoek zich op Duitse ac-laadstations. Zo kwam hij erachter dat verschillende diensten, waaronder het ook in Nederland actieve NewMotion, een laadpas gebruiken op basis van de Mifare Classic-chip, waarvan al langer bekend is dat deze onveilig is. Daardoor kon hij een laadpas bijvoorbeeld eenvoudig kopiëren en de gebruikers-id aanpassen, die de enige onderscheidende factor tussen de kaarten is.

Hij heeft niet geprobeerd om andere id's te raden, maar liet tijdens de presentatie doorschemeren dat dit niet moeilijk zou zijn. Daardoor zou het ook mogelijk zijn om op naam van een ander te laden. Daar komt bij dat de communicatie tussen de laadpaal en de bijbehorende backend verloopt via versie 1.5 van het ocp-protocol. Dat gebruikt geen challenge of een vorm van digitale handtekening voor authenticatie, maar alleen een token met een lengte van 20 tekens. Daardoor is het niet moeilijk om zich als een ander voor te doen.

occp laadproces — Het laadproces in ocpp

Het type laadpaal dat hij onderzocht bleek ook via internet te benaderen te zijn, zo legde Dalheimer uit. Verder zou de communicatie tussen de paal en de backend verlopen via een onbeveiligde verbinding, waardoor bijvoorbeeld een man-in-the-middle-aanval tot de mogelijkheden behoort. Niet alleen aan de softwarekant ontdekte de onderzoeker kwetsbaarheden, maar ook aan de fysieke kant zijn er verbeterpunten. Bij de twee laadpalen die hij onderzocht, is het mogelijk om een aantal schroefjes los te halen en zo toegang te krijgen tot usb-poorten.

Die dienen ertoe om firmware-updates uit te voeren. Dalheimer ontdekte dat als hij een lege usb-drive met het systeem verbond, er een configuratiebestand op geschreven werd. Daarin waren verschillende interessante gegevens te vinden, waaronder de inloggegevens voor de backend. Dit bestand was bovendien aan te passen en door de usb-stick vervolgens weer terug in het apparaat te plaatsen, werd de nieuwe configuratie overgenomen. Op deze manier kwam hij erachter dat hij scripts kon uitvoeren en rootrechten kon verkrijgen. Dat gaf hem toegang tot de id's van voorgaande gebruikers van de laadpaal, waardoor raden niet meer nodig was.

Hij meldde zijn bevindingen aan verschillende partijen, maar deze werden maar zelden omgezet in daadwerkelijke beveiligingsupdates of andere aanpassingen. NewMotion liet op zijn forum weten dat het klopt dat kaarten te kopiëren zijn, maar dat er geen gevallen van misbruik bekend zijn. Bovendien zou misbruik eenvoudig te detecteren zijn als dezelfde id tegelijkertijd op verschillende plaatsen wordt gebruikt. Ook zouden klanten de app kunnen gebruiken in plaats van de laadpas en zouden ze daarnaast kunnen instellen dat ze een notificatie krijgen als er met hun pas wordt geladen.

Dalheimer heeft zijn bevindingen online gepubliceerd en heeft ook instructies geschreven hoe mensen zelf hun eigen testapparaat voor laadpalen kunnen bouwen, dat zich voordoet als elektrische auto.

IT-banen

Reacties (131)

Hachy 27 december 2017 20:24

Goed werk van Dalheimer en jammer die reacties weer van o.a. TNM en andere onwetenden.

In de praktijk gaan partijen er gelukkig wel soepel bij om. Als je een betwiste betaling hebt, of een laadsessie die om wat voor reden niet klopt, dan wordt er bij notificatie aan je laadpasprovider vrijwel direct gecrediteerd of de sessie geschrapt.

Mifare1 gebruiken is gewoon een slecht ontwerp. Maar in tegenstelling tot de OV chipkaart (paar dagen 'gratis' reizen voor €7,50 in het relatief anonieme OV) is de use case in dit geval minder gunstig; ja je kunt je voordoen als iemand anders, maar een EV rijder laadt doorgaans bij dezelfde laadpunten waardoor sessie/datum/tijd/voertuig heel makkelijk naar de persoon te herleiden zijn en het dan ook nog eens om doorgaans kleiner bedragen gaat. Als je meer dan €15 laadt heb je al een redelijk knappe auto én batterij nodig van pakweg 50kWh.

Alle hedendaagse EV's (Tesla's uitgezonderd) zitten daar nog niet aan.

Dus kortom; Ja, er moet wat gebeuren, maar dat kan morgen ook nog wel.

dasiro @Hachy • 27 december 2017 21:41

voor verouderde technologieën en niet publiek benaderbare systemen kan het nog getolereerd worden, maar zo'n laadpalen voor electrische voertuigen zijn toch in de moderne tijd ontwikkeld waarbij security by design toch een vereiste zou mogen zijn. een config down/uploaden via een toegankelijke standaard-interface als USB zonder authenticatie is naar hedendaagse normen not done.

Verwijderd @Hachy • 27 december 2017 21:39

Ik heb geen idee of jij een elektrische auto hebt, maar ik heb er een. En wanneer ik vandaag oplaad kan je dit na 1,5 maand pas controleren hoeveel dit heeft gekost en hoeveel kWh ik heb opgeladen. Hier maak ik me al enige tijd zorgen om, echter kan je dit nergens kwijt.

Het tweede punt is daarna dat elk paal een aparte prijs kan hebben voor elk pasje. Paal van TNM kan bijvoorbeeld voor een pas van Shell 0,10 cent per kWh en voor een pas van BMW € 3,50 per kWh met start tarief van 16 euro.

mongkut @Verwijderd • 28 december 2017 04:33

€3.50 per kWh?
En een start tarief van €16?
Zitten hier gouden elektronen in, die beter zijn voor je koperen wikkels van je elektromotor zijn?

Verwijderd @mongkut • 28 december 2017 07:51

Het is een vrijmarkt.

mongkut @Verwijderd • 29 december 2017 03:43

Hoeveel kWh kan je "tanken" in je wagen?

Verwijderd @mongkut • 29 december 2017 09:41

Mijne doet 28

mongkut @Verwijderd • 29 december 2017 11:35

Dus €100 voor een volle "tank", via BMW?
Hoeveel km kan je daar op rijden?

Verwijderd @mongkut • 30 december 2017 02:08

Het zijn voorbeeld prijzen, je kan niet zo maar zien wat jou combinatie van pas en oplaadpaal gaat ksoten. Dit zie je alleen achteraf !

Ik had eerst een eneco pas, dat is bij een nuon laad paal 0,60 start tarief en 0,39 per kWh. Ik heb nu the new motion. Dat is bij die zelfde nuon paal 0,35 kWh zonder start tarief.

Hachy @mongkut • 29 december 2017 10:07

Dat hangt af van hoe groot de batterij is. In die van mij 41kWh maar het varieert van 8 (Mitsubishi Outlander PHEV) tot 100kWh (Duurste Tesla) waarbij de meeste EV's zo tussen de 20 en de 40 zitten.

t link @mongkut • 28 december 2017 16:51

Hahahahahaha dit doet me denken aan goude optische kabels die ze mijn ouders ooit aangesmeert hebben. Vrije markt bij bepaalde consumenten gebieden werkt zo niet zoals het bedoelt is.

hoekies @mongkut • 28 december 2017 19:31

Het ia inderdaad een vrijmarkt er zijn punten die gratis zijn, maar ook punten waarbij je per minuut betaald dat je gekoppeld bent.

madsector

@mongkut • 28 december 2017 18:12

Dat zijn waarschijnlijk nieuwe elektronen ipv gerecyclede...

hlubach @Verwijderd • 28 december 2017 13:00

Lijkt wel het Stenen tijdperk .
We kunnen telefoneren met iemand onder het zeeoppervlak of op de maan .
Maar zodra je electra uit de paal trekt , gaat de verwerking o te zien met een potlood en een ruitjesschrift.

Welkom 2018

Hachy @Verwijderd • 29 december 2017 07:52

Ja ik rijd nu ruim anderhalf jaar elektrisch. Het fenomeen wat jij omschrijft is inderdaad vervelend en zelfs onrechtmatig (providers moeten van te voren hun tarieven communiceren) echter niet onoverkomelijk. De laadpasproviders bieden steeds vaker inzicht in de kosten via hun apps (TNM is daar een mooi voorbeeld van) en de transparantie van de aanbieders begint onder publieke druk wel wat toe te nemen. Ik hou een top-10 bij van NL laadpassen en ik merk aan mijn inbox dat de tarifering steeds grotere rol speelt. Zie ook mijn site www.laadpastop10.nl en mijn blog over goedkoper EV rijden; http://goedkoperrijden.blogspot.nl. Dat geeft je wellicht nieuwe inzichten.

Verwijderd @Hachy • 29 december 2017 09:43

Maar als je een ev-box hebt kan je als eigenaar zelf een tarief instellen. Wat je “bezoekers” moeten betalen.

erwinb @Hachy • 28 december 2017 11:27

Daarbij komt ook nog dat bijna alle laad stations zijn voorzien van Video bewaking camera's. Dus naast de pas zal je ook iets moeten doen aan de nummerplaat op de auto. Ook vermoed ik dat het gros van de gebruikers van deze laadpalen lease rijders zijn, en het zal hen waarschijnlijk niet al te veel boeien of de kosten hoog/laag/nihil zijn.

t link @erwinb • 28 december 2017 16:52

ik heb nog nooit een laadpaal met videobewaking gezien en ik ben langs een boel van die dingen gereden.

Frogmen

@erwinb • 28 december 2017 20:49

Wie kent er iemand die prive een electrische auto heeft gekocht en de stroom zelf moet betalen. Hier vervolgens moeite voor gaat doen om die stroom niet zelf te betalen. Het punt is dat je wel alles 100% kan beveiligen maar het blijft altijd kans x gevolg = risico. Nu is privacy gevoelige informatie natuurlijk wel een groter risico maar de stroom niet. Even voor de realiteit lantaarnpalen zitten ook niet op slot kan je ook stroom aftappen.

scn 27 december 2017 20:04

Maar wat ik niet snap na alles wat hieraan vooraf gegaan is, dat bedrijven gewoon weer iets op de markt brengen wat zo lek is als een mandje. Stel dat je als beginnende fabrikant hiermee begint, snap ik dat de eisen nog niet zo hoog zijn, maar als je toch meer dan 20.000 laadpalen weggezet hebt, dan ga ik ervanuit dat je aan versie 2, 3 of misschien al 4 bent om bugs eruit te halen en upgrades uit te voeren, en dan ga je toch ook hier aandacht aan besteden.
We weten inmiddels dat bijna alles gehacked wordt, en een treinkaartje die worden er miljoenen per jaar verkocht, zodat de prijs laag moet zijn, maar bij dit soort producten moet je een betere chip afnemen, en niet een waarvan al bekend is dat ie lek is.

locke960 @scn • 27 december 2017 21:57

Kwestie van prioriteiten. Wat heeft het voor zin om een goed en veilig systeem te ontwikkelen als dat meer tijd kost, de infrastructuur duurder maakt, de pasjes voor de klant duurder maakt en je zo dus niet snel een groot marktaandeel kunt winnen?

Dat betekent dat het risico dat je de concurrentiestrijd niet gaat winnen groter wordt, terwijl je investeringen hoger zijn. Dat is slecht financieel beleid.

Dan maar snel en onveilig starten. De problemen lossen we wel op als we marktleider zijn, de klant niet meer om ons heen kan, en we de kosten daarvoor dus makkelijk op klant af kunnen wentelen.
Zolang het maar niet zo slecht is dat we er door failliet kunnen gaan.

[Reactie gewijzigd door locke960 op 24 juli 2024 11:31]

GoldenSample @locke960 • 27 december 2017 23:46

True, zeker bij de (ex) startups zie je dit erg. Fabrikanten die laadpalen er bij zijn gaan maken zijn vaak voorzichtiger. Als gevolg vaak ook trager/later op de markt gekomen met online/connected laadpalen

SpoekGTi @locke960 • 27 december 2017 22:50

Ah de ship now patch later methode van EA

ikbentomas @SpoekGTi • 28 december 2017 09:13

IMHO gaat die vergelijking niet op. De laadpalen zijn prima functioneel en missen alleen een feature waar de gewone man weinig van zou moeten merken. Zolang de markt klein is en er weinig crimineel aangelegde elektrische rijders zijn zal het misbruik ook wel meevallen. Tot die tijd is de risico afweging zo dat het logischer voor ze is om de kosten laag te houden.

flowerp @ikbentomas • 29 december 2017 16:28

Zolang de markt klein is en er weinig crimineel aangelegde elektrische rijders zijn zal het misbruik ook wel meevallen.

Precies, dit.

Elektrische auto's worden nu eigenlijk alleen nog gereden door de lease gebruikers en een kleine groep idealisten die juist kiezen voor elektrisch in de hoop dat het ooit breed ingevoerd gaat worden. Die betalen dus iets meer, en nemen ook de nog wat hogere kosten graag voor rekening.

Het stelen van stroom past dan totaal niet in dat plaatje. De ene keer dat het mogelijk zou kunnen gebeuren is dan meer zoals de onderzoeker het deed; om te onderzoeken.

Vergelijk met de begin jaren van het Internet; de jaren 70 en 80, en nog een randje van de vroege jaren 90.

Pas als Jan en alleman uit pauper buurten 2de (3de, 4de, ...) hands pimp bakken kopen die elektrisch zijn, dan pas zal een betere beveiliging *echt* nut gaan hebben. Nu ben ik als software developer normaliter wel degelijk voor security by design, en het risico is wel dat de ontwerpen van nu door bloeden naar ontwerpen van in de toekomst, maar zoals gezegd; realistisch gezien is sterke beveiliging nu niet to amper vereist.

Psycho_Mantis @locke960 • 28 december 2017 09:50

De mifare-classic chip gebruiken is dan wel echt een domme fout.

Een betere kaart gebruiken kost niet echt veel extra moeite, de meeste werken toch volgens het zelfde principe.

bbob

Cartech
Elektrische auto
Elektrisch rijden
Netwerk en systeembeheer

@locke960 • 28 december 2017 16:57

KDan maar snel en onveilig starten. De problemen lossen we wel op als we marktleider zijn, de klant niet meer om ons heen kan, en we de kosten daarvoor dus makkelijk op klant af kunnen wentelen.
Zolang het maar niet zo slecht is dat we er door failliet kunnen gaan.

Lijkt op het android model.

P-e-t-j-e 27 december 2017 18:19

[weinig toegevoegde waarde]Vanavond maar eens een rugged mining rig in elkaar schroeven die zich voordoet als een electrische auto en volgens de gegeven handleiding een 'slachtoffer' uitkiezen die mijn coins gaat betalen O-)[/weinig toegevoegde waarde]

Het lijkt me dat dit toch wel schadelijk is als men een complete lijst met vorige gebruiks kan downloaden. Als ik het zo lees kan men simpel dus bij elke laadbeurt de userID vervangen, zo kan men 'zelfde id tegelijkertijd op verschillende plaatsen' al een stuk moeilijker detecteren. Ik weet niet wat een gemiddeld beurtje opladen normaal kost, maar als dit veel misbruikt gaat worden lijkt het me dat dit een aardige kostenpost kan worden. Voor mijn gevoel is het electrisch rijden nog niet zo aan het inburgeren als men zou willen, dit zorgt ook niet voor veel vertrouwen bij de gemiddelde consument.

-edit443- Ik ben ook wel benieuwd hoe je moet gaan bewijzen dat je zelf niet geladen hebt als iemand misbruik heeft gemaakt van je ID indien het geografisch mogelijk is geweest om te moeten laden bij de betreffende paal.

[Reactie gewijzigd door P-e-t-j-e op 24 juli 2024 11:31]

MAX3400 @P-e-t-j-e • 27 december 2017 18:33

https://electrek.co/2017/...del-s-supercharger-power/

Bench @Verwijderd • 28 december 2017 07:22

Of je nu wel of niet illegaal aftapt ze naaien je er hoe dan ook bij. Als jouw verbruik ineens omhoogschiet en het valt op dan is het een kwestie van tijd voor ze aan je deur staan.

ragcage @Bench • 28 december 2017 10:46

Raar toch, hebben ze toch helemaal niets mee te maken als ik beslis veel energie te gaan gebruiken. Danwel door middel van zware computers berekeningen te laten doen in een peer to peer netwerk zodat ik geen verwarming meer nodig heb, of door sterke lampen te installeren in mijn huis zodat ik mijn eigen indoor baby boerenkool kan kweken.
Ik vind dat eigenlijk best wel privacy schending als ze daarom meteen aan je deur gaan kloppen.

lezzmeister @ragcage • 28 december 2017 14:52

Toch doen ze dat. Ik groei graag pepers/paprika's. Besloot om wat Chinense te kruizen en dat te doen in een kleine growtent, dan hoefde ik niet te wachten op een goede zomer en kiemtemperatuur en etc. Dat had tot gevolg dat er ineens flink wat stroom werd verbruikt en dus kwam de kit op bezoek. Tip: ze kloppen niet altijd.

Ze houden ook water in de gaten. Buurvrouw van ons viel dood neer in de douche. Binnen 24 uur staan de wouten binnen, extreem hoog waterverbruik. Als je niet gepakt wordt voor de stroom dan wel waterverbruik. Lijkt me dat dit niet anders is voor gas voor in het geval dat een kweker of eender welk figuur slim wordt en gas besluit te gebruiken.

ragcage @lezzmeister • 29 december 2017 10:55

Daarom is het beter om off the grid te leven zou ik zeggen.

Verwijderd @Bench • 28 december 2017 13:06

Als ik voor de meter aftap is het niet "mijn" verbruik dat opeens omhoog schiet, dat is nou net het punt van voor de meter aftappen.

Bench @Verwijderd • 29 december 2017 04:04

Nee hoor. Het kost ze hooguit een week en ze weten wie de verbruiker is. dacht je nou echt dat wanneer je achter de meter langs draait dat ze niet kunnen achterhalen waar er word getapt.

Verwijderd @Bench • 29 december 2017 12:30

Nou, gezien het aantal wietplantages dat voor de meter aftapt en soms jaren in productie is zou ik zeggen van niet.

Bench @Verwijderd • 30 december 2017 14:37

4 lampen en een aan/afzuiging valt inderdaad niet op,maar dat noem ik geen kwekerij. Dat heet een hobby hebben.
Gaan we praten over 20 lampen en meer met airco en Waterconsumptie voor een zwembad wekelijks dan wel.

Verwijderd @Bench • 30 december 2017 15:20

Zoveel water verbruik je niet met 20 lampen (of dat moet een wel heel klein zwembad zijn). En vergeet de luchtfilters niet als je niet wilt dat de hele buurt kan ruiken dat je kweekt.

Bench @Verwijderd • 31 december 2017 09:08

Aan/afzuiging telt als filter. Afzuiging zonder filter zou zowiso dom zijn dus zou niet weten waarom dat er extra bij te vermelden. En 20 lampen..geloof mij maar dat wanneer je gaat voeren dat je meer dan genoeg water nodig hebt om het zeil minimaal 4 cm hoog te krijgen met water. Pot per pot water geven werkt niet.

Verwijderd @Bench • 31 december 2017 10:12

Natuurlijk werkt pot per pot niet met 20 lampen, dan zet je een of 2 grote bakken van 1 a 2 m³ water neer die je met een tuinslang vult en met een vijverpomp in de kweekruimtes pompt. Dat is, afhankelijk van het groeistadium, 1 tot 3 keer per week nodig.

Bench @Verwijderd • 31 december 2017 12:41

Zou de vijverpomp veranderen in een dompelpomp maar dat terzijde.
Begint nu meer op een weedforum te lijken dus ik hou er verder over op.thnx voor de interesse

DiedX 27 december 2017 17:52

Eén emoji: $_/-\o_$

Het is alleen jammer dat het in 2017 nog steeds mogelijk is om bovenstaande laadpalen niet goed te beveiligen. Van MiFare Classic wisten we al (ov-chipkaart) dat de techniek brak was.

Maar daarnaast: USB-poorten open en bloot? Configuratie wegschrijven? Bar-en-bar slecht, en niet nodig.

Ik ben benieuwd wat NewMotion hier aan gaat doen...

Verwijderd @DiedX • 27 december 2017 20:58

Eén emoji: $_/-\o_$

Het is alleen jammer dat het in 2017 nog steeds mogelijk is om bovenstaande laadpalen niet goed te beveiligen. Van MiFare Classic wisten we al (ov-chipkaart) dat de techniek brak was.

Maar daarnaast: USB-poorten open en bloot? Configuratie wegschrijven? Bar-en-bar slecht, en niet nodig.

Ik ben benieuwd wat NewMotion hier aan gaat doen...

Ik vind dit in geen enkel opzicht verrassend. Tot nu toe is het steeds zo geweest dat iedere nieuwe toepassing van digitale techniek in de beginfase rounduit slecht beveiligd is. Denk hierbij aan:

Smartphones
IoT apparaten
Wearables
Autos
Fietsen

Elk van deze categoriën hebben in de beginfase (en sommige nog steeds) een hele reeks van schandalige beveiligingstekortkomingen laten zien. Waarom zou dat nu anders zijn? IT'-ers zijn mensen en mensen leren nu eenmaal NIET van hun fouten.

Verwijderd @Verwijderd • 27 december 2017 23:46

Nou... het is eerder de opdrachtgever die geen heil ziet in het verbeteren van het product. Waarom geld investeren als je geen merkbare verbetering ziet. En die beveiligingsgeneuzel? Hear no evil, see no evil was het toch?

Helaas ben ik dit in de praktijk maar al te vaak tegengekomen.

Verwijderd @Verwijderd • 28 december 2017 04:23

Helaas ben ik dit in de praktijk maar al te vaak tegengekomen.

Dat bevestigd dan meteen wat ik zeg. Je moet ook een grotere bek opzetten tegen opdrachtgevers die de houding aannemen die jij hier beschrijft. Doe je dat niet en werk je er gewoon aan mee dan ben je net zo verantwoordelijk voor de resulterende lekke systemen als die opdrachtgevers.

Misschien is het toch zinnig om voor digitale diensten (van welke aard dan ook) een certificeringssysteem op te stellen. Iets zoals het CE systeem maar dan op beveiliging gericht. Dit is wel een enorm gedoe en behoorlijk kostbaar, maar het is overduidelijk dat de IT sector en haar opdrachtgevers gewoon te laks zijn om dit probleem zelfstandig op te lossen.

Indien je dit zowel met een fysiek stempel als met een digital signature doet dan zou je het zelfs zo kunnen inrichten dat apparaten die geen secure signature hebben gewoon door alles en iedereen op internet geweigerd worden. Dat laatste maakt het wel weer aanzienlijk ingewikkelder maar ook extreem veel veiliger.

Verwijderd @Verwijderd • 28 december 2017 09:41

Precies. Developers gedragen zich maar al te vaak als zielige wezens die doen wat de baas ze opdraagt. Maar ik loop al lang genoeg mee in de ict dat diezelfde developers het wel lekker makkelijk vinden om zich achter een manager te verschuilen ipv dat ze hun verantwoordelijkheid nemen. Uiteindelijk bemoeit de manager zich niet met de technische inhoud, dat zijn toch echt de architecten en developers.

Carda @Verwijderd • 28 december 2017 19:17

Veiligheid is niet alleen technisch van aard. Iedereen bij een software bedrijf, inclusief de managers, frontdesk etc. moeten bewust zijn van het feit dat beveiliging belangrijk is in hun dagelijkse werk. Niet alleen de software die ze zelf maken, maar ook die ze gebruiken.

De developer kan nog zo'n mooie beveiliging bouwen maar als de support desk wachtwoorden uitgeeft met 'welkom123' (via onbeveiligde mail) dan heb je er helemaal niets aan. (En ja, je kunt als developer ook voorkomen dat zulke wachtwoorden gemaakt kunnen worden maar dit zijn dan weer 'afspraken' van andere personen binnen een organisatie met de klant)

Verwijderd @Verwijderd • 28 december 2017 09:38

Dat zou mooi zijn, maar dan zouden wij weer richting Waterfall moeten i.p.v. Agile. Alles moet beschreven worden en gearchiveerd worden. Laat ik duidelijk zijn: ik ben voor. Als functioneel beheerder zie ik dat de natte droom van een bouwer, Agile geheten, toch wel wat nadeeltjes heeft.

Verwijderd @Verwijderd • 28 december 2017 10:42

Agile opgeven? Dat zie ik ff niet als gevolg van dat je aan certificering moet voldoen.

Certificering is wel een enorme optie-killer bij het besluitvormingsproces over hoe je dingen wilt gaan doen. Het kan daardoor echter ook voor hogere mate van standardisering zorgen op basis van best practices die je in de certificeringseisen kunt verwerken. Als zodanig kan het zelfs helpen je project te vereenvoudigen.

Verwijderd @Verwijderd • 28 december 2017 10:46

Bij certificering moet je hoe dan ook documenteren, daar kom je niet onderuit. Het besluitvormingsproces aan laten haken op het certificaat is een goed begin, maar het zal ook beschreven moeten worden.

Verwijderd @Verwijderd • 28 december 2017 11:04

Klopt, maar documenteren betekent toch niet dat je niet meer agile kunt werken?

Het systeem dat je met je agile project oplevert zal uiteindelijk ook beschreven moeten worden. Je levert toch niet alleen een black box af?

Verwijderd @Verwijderd • 28 december 2017 14:21

Euhmm... wil je een antwoord of weet je het al? Ik ken bijvoorbeeld een Duits ERP systeempje die bij een bepaalde module geen functionele documentatie kon opleveren.

Verwijderd @Verwijderd • 28 december 2017 14:48

Duits ERP systeempje.... Hmm, het Sandlaufer Anschau Program?

Ugh. Wat ben ik toch weer heerlijk naief zal ik maar zeggen.

Verwijderd @Verwijderd • 28 december 2017 20:17

Je gaat door voor de wasmachine.

2TheMaks @Verwijderd • 28 december 2017 15:45

Als functioneel beheerder zie ik dat de natte droom van een bouwer, Agile geheten, toch wel wat nadeeltjes heeft.

Het probleem is dat van alles en nog wat momenteel 'Agile' genoemd word omdat dit modieus is, maar dat er in de praktijk niet 'Agile' gewerkt word.

Kwaliteit is in Agile namelijk constant, en geen variabele. Dat geldt dus ook voor de kwaliteit van de security.

Om Agile te kunnen werken moet de hele organisatie Agile adopteren, niet alleen bijvoorbeeld de scrum-teams. Bij gebrek aan betrokkenheid van stakeholders faalt Agile gegarandeerd.

Een functioneel beheerder is een belangrijke stakeholder. Hij/zij moet immers met het product werken als het ge-released is. Wanneer het voor een functioneel beheerder een vereiste (Engels: requirement) is dat bepaalde documentatie aanwezig is, dan komt het opleveren van die documentatie gewoon op de prioritised requirements list of in de product backlog.

Wanneer een functioneel beheerder in een Agile organisatie vraagt waarom iets er niet is dan luidt het antwoord: omdat niemand daarom gevraagd heeft (of omdat de requirement een dermate lage prioriteit toegewezen is door de product/business-owner dat er (nog) niet aan gewerkt is).

Verwijderd @2TheMaks • 28 december 2017 20:26

Dat is waar, maar de insteek is vaak niet juist. Ik heb nu al een paar projectjes gehad waar men pas met functionele documentatie kwam nadat het bouwen al klaar was. Bij Agile is documentatie zeer nodig, maar weinigen willen de handen eraan branden. Het vreet tijd en geld en niemand vind het leuk. De stakeholder wilt zijn programmaatje zien, de bouwers willen alleen bouwen en de master wilt zo snel mogelijk een punt achter het project zetten.

2TheMaks @Verwijderd • 28 december 2017 22:13

... en de master wilt zo snel mogelijk een punt achter het project zetten.

Dit is voor mij een aanwijzing dat er niet Agile gewerkt word!!!

Bij Agile liggen de kwaliteit, de kosten, en de tijdsduur vast, en is de scope (features/requirements) variabel. De features/requirements krijgen vanuit de business een prioriteit, waardoor er als eerste gewerkt gaat worden aan features/requirements die onmisbaar zijn of een hoge business-value hebben.

Een (scrum-)master heeft geen invloed op hoe snel er een punt achter het project kan worden gezet. De tijdsduur van het project ligt immers bij voorbaat vast.

Het development-team bepaalt niet wat er in welke volgorde gebouwd word. Dat bepaalt de business middels het geven van prioriteiten aan features/requirements. Het development-team bepaalt alleen hoe iets gebouwd gaat worden. Blijkt tijdens een sprint-planning dat het schrijven van een stuk documentatie bovenaan de product-backlog staat, dan gaat het development-team documentatie schrijven. Hoe de documentatie geschreven word bepaalt het development-team.

Wanneer iets 'Agile' genoemd word, maar er word in de praktijk niet Agile gewerkt dan is i.d.d. de insteek niet juist. Daar heb je volkomen gelijk in.

Verwijderd @2TheMaks • 28 december 2017 22:42

Agile is inderdaad een hip woordje wat vaak in een bedrijfscultuur genoemd moet worden. Vaak hebben deze mensen geen idee wat voor een impact het heeft op het bedrijf zelf, maar toch moet dat woordje benoemd worden. Ik ben zelf heel ouderwets en voorstander van Waterfall, maar kan Agile best wel ontnemen. Maar alsjeblieft, doe het goed. Ik zie zo vaak dat technische- en functionele documentatie domweg ontbreken en zodra ik erover begin zie je collega's met de ogen rollen. Pas heel veel later als de bouwer een andere baan heeft en de fb'er met pensioen is gegaan begint het spek te stinken. Dan is vaak herbouwen of alle custom builds eruit te halen de enige methode en dan pas begint men te wijzen. Ik kan dan alleen maar zuchten.

flowerp @Verwijderd • 29 december 2017 16:38

Dat zou mooi zijn, maar dan zouden wij weer richting Waterfall moeten i.p.v. Agile

Agile IS Waterfall, maar dan in korte iteraties van 1 tot meestal hooguit 4 weken.

de natte droom van een bouwer, Agile geheten, toch wel wat nadeeltjes heeft.

Agile is niet perse de natte droom van een bouwer, maar ook wel degelijk van overbemoeizuchtige managers.

De meeste gebruikte vorm (Scrum) reduceert die bouwer tot een onbetrouwbaar wezen die elke dag elk uurtje moet verantwoorden. Ja, ik weet het, de standup is hier eigenlijk niet helemaal voor bedoeld, maar zo wordt deze wel in de praktijk gebruikt.

"What have I done" is gewoon je uren rapportage, en "What am I going to do" wordt nauwlettend in de gaten gehouden. Staat er iets wat de manager niet zint? Vergeet het dan maar. En "Impediments" eender. Heb je ergens een impediment, dan maar meteen de hele boel afbreken en wat anders gaan doen, want impediments kunnen we niet hebben, die kosten alleen maar tijd en 9 van de 10 keer worden die veroorzaakt omdat die gekke bouwers weer eens last hebben van OCD en iets perfects willen hebben waar de klant toch niet op wacht.

Verwijderd @flowerp • 29 december 2017 19:38

Agile is geen Waterfall en andersom ook niet, punt. Agile is ontworpen om de negatieve aspecten, lees rigiditeit, van Waterfall anders te benaderen en zichzelf soepeler op te stellen. Het v-model van Waterfall kan ook niet één op één in Agile toegepast worden. Waterfall heeft bijvoorbeeld een duidelijke functiescheiding. Bij Agile kan ik bijvoorbeeld een tester zijn, maar ook een documentbehandelaar. Er zitten duidelijke verschillen tussen Agile en Waterfall. Zo maken mensen ook vaak de fout om user stories als systeemdocumentatie te zien.

Maar hoezo tot een onbetrouwbaar wezen? Dit is gewoon uurtje factuurtje, simpel zat. Niet alleen de programmeur heeft hier 'last' van, maar een ieder in het team. Dat hoeft niet speciaal Scrum te zijn. Het moet gewoon duidelijk zijn waar iemand mee bezig is, als die duidelijkheid er niet is dan loopt het team niet.

flowerp @Verwijderd • 29 december 2017 20:25

Agile is geen Waterfall en andersom ook niet, punt.

Punt? Omdat jij het stelt? Nee, zo bouw je een goede discussie op zeg...

lees rigiditeit, van Waterfall anders te benaderen en zichzelf soepeler op te stellen

Misschien snap jij Agile dan niet helemaal. Tussen 2 sprints ben je agile, en kun je elke nieuwe kant op, TIJDENS de sprint ben je zo nodig nog meer rigide als bij Waterfall. Het is uitdrukkelijk NIET de bedoeling dat er tijdens de sprint iets veranderd, of dat er nieuwe stories en issues bijkomen. Agile is NIET "zomaar wat doen whatever in ons opkomt", maar de sprint strak en clean afwerken. Mocht het verkeerd zijn of niet meer nodig, dan is er hooguit de lengte van 1 sprint verloren. Is de opdrachtgever, klant of baas wispelturig en zit je in het begin van een project dan hou je de lengte van de sprints daarom ook liefst kort (liever 1 week als het moet dan 4 weken, bv).

Het v-model van Waterfall kan ook niet één op één in Agile toegepast worden.

Dat kan wel. Ook in Agile doe je feasibility (zijn de wensen voor de nieuwe sprint wel haalbaar), requirements (wat moet er ongeveer of zelfs precies in de stories staan voor de volgende sprint), design (ja, niet iedereen programmeert alleen uit het losse vuistje, ook niet bij Agile), implementatie (vanzelfsprekend), testing (ja, ook Agile code moet uiteindelijk getest worden), en deployment (whatever je oplevert voor 1 sprint zal toch echt eens deployed moeten worden, das een beetje het hele doel van Agile).

Waterfall heeft bijvoorbeeld een duidelijke functiescheiding.

Niet noodzakelijk, of tenminste niet perse op de manier die je suggereert. Je hebt de logische rollen van programmeur en tester, etc, maar die hoeven niet perse door verschillende personen ingevuld te worden. Wijs jij maar eens de canonical definitie van Waterfall aan waar dat geeist wordt. En in Agile kunnen het daarentegen ook juist makkelijk verschillende personen zijn.

Je zou hooguit kunnen zeggen dat Waterfall kan volgen uit de indeling van grote organisaties waar elk department dingen naar elkaar toe gooit en dat Agile meer probeert te sturen naar dat iedereen binnen het team elk issue kan oppakken. Maar Waterfall werd ook gedaan door kleine bedrijven die helemaal geen departementen hadden en dat bij Agile iedereen in het team alles kan komt in de praktijk echt absoluut bijna nooit voor. IT is te breed, en projecten zijn dikwijls te groot om per definitie iedereen op hoog niveau overal verstand van te kunnen laten hebben.

Zo maken mensen ook vaak de fout om user stories als systeemdocumentatie te zien.

Ik zie niet in wat dat met mijn stelling te maken heeft. Maar goed, user stories zijn grotendeels requirements.

Maar hoezo tot een onbetrouwbaar wezen? Dit is gewoon uurtje factuurtje, simpel zat.

In IT is nooit iets "simpel zat". Dit speelt net zo goed bij developers die in vaste dienst zijn bij een bedrijf en aan een eigen product werken. Denk b.v. aan de interne developers die aan Twitter werken.

Standups kunnen micromanagement in de hand werken, en helemaal voor wat meer gevorderde developers komt het te vaak neer op het verantwoorden van wat er gedaan wordt t.o.v. het management wat helemaal niet nodig is. Standups waar *alleen* team members bij zijn en waar minutes *niet* inzichtelijk zijn voor enig management persoon is al een stap in de goede richting, maar ook hier weer, in de praktijk zie je vaak al aan de commits en pull requests waar mensen mee bezig zijn, en in de praktijk heb je product owners en scrum masters aanwezig bij een standup die toch meer banden hebben met het management dan met het team.

Hierdoor vervallen deze meetings -te- vaak voor uren en werk verantwoording t.o.v. het management, waar ze dus niet voor bedoeld zijn. De eigenlijk bedoeling is inderdaad duidelijkheid van wat je team genoten doen, van waar je met elkaar mee bezig bent, en niet om te bewijzen aan de baas dat je hard werkt.

Verwijderd @flowerp • 29 december 2017 20:31

Als jij denkt dat Agile hetzelfde is als Waterfall dan vind ik het helemaal prima, maar het is gewoon niet zo. Waterfall is een geheel andere tak van sport en vergt een heel andere organisatiestructuur dan Agile. Maar zoals ik al zei: als jij denkt dat Agile Waterfall is... prima.

flowerp @Verwijderd • 29 december 2017 20:39

Ik ben bang dat je niet goed gelezen hebt. Ik leg uit dat veel van de elementen uit Waterfall in Agile terug komen, en dat het onderscheidende element de korte iteraties en tussentijdse incrementele oplevering is.

Simpeler gezegd, Agile is een ketting of spiraal van kleine water valletjes.

Als je dat niet ziet, komt dat misschien doordat je net hebt geleerd wat agile is en dat het totaal anders is dan waterfall. Dat is een typisch kenmerk van als je net voorbij beginner niveau bent. Als je je later opwerkt tot intermediate en dan meer naar expert niveau zul je wellicht vanzelf zien hoeveel dingen eigenlijk overeenkomen telkens in diverse processen.

Verwijderd @flowerp • 29 december 2017 20:48

Nee, je zei letterlijk: 'Agile IS Waterfall' en dat klopt niet.

Trouwens ook fijn dat je mij al op een bepaalde positie plaatst zonder mij te kennen. Denk eerst na voordat je een heel verhaal begint af te steken. Ik heb veel met de Waterfall methodiek gewerkt, maar ik ben absoluut geen Agile noob. Ik moet vaak de rotzooi opruimen van de 'experts' die het proces denken te kennen.

flowerp @Verwijderd • 29 december 2017 21:15

Nee, je zei letterlijk: 'Agile IS Waterfall' en dat klopt niet.

Wel, als er maar 1 sprint is in Agile, dan klopt dat toch precies?

En vergeet niet dat ik er onmiddellijk achteraan zeg: "maar dan in korte iteraties van 1 tot meestal hooguit 4 weken.". Die "maar" is dus niet verstopt of iets wat ik later (indirect) zeg, maar onmiddellijk erna.

Vergelijk met dat ik zeg; "De Shard is het hoogste gebouw, voor Europa". Dan is het wat apart als je dan stelt dat ik letterlijk zeg dat "De Shard is het hoogste gebouw", en dat dat niet klopt omdat er elders ter wereld hogere gebouwen zijn.

Ik moet vaak de rotzooi opruimen van de 'experts' die het proces denken te kennen.

Ik ook, we kunnen elkaar dus een hand geven

Verwijderd @flowerp • 29 december 2017 21:36

Ik heb je een aantal keren gezegd dat je geen vergelijk kan trekken met elkaar, maar telkens doe je dat wel. Agile werkt gewoon anders. Aan de andere kant maak ik mij zorgen, hoe duidelijk Waterfall kan zijn, hoe discutabel Agile soms is. Binnen mijn bedrijf zie ik het maar al te vaak: Agile zeggen, maar nog niet in staat zijn om alle pionnen in het spel bij elkaar te kunnen krijgen om een sprint te doen. Er zijn ik weet niet hoeveel boeken geschreven en toch schijnt een ieder een mening erover te hebben. Het laatste wapenfeit wat ik meemaakte was een bedrijf die geheel Agile werkte, maar schoorvoetend toegaf dat ze niet meer wisten wat nu precies de algehele staat van hun product was. Toen ik aangaf dat er toch eens een regressietest moest komen was het gesprek over. Of werk daadwerkelijk met een methodiek of ga werken op een achterkant van een bierviltje, het is dan zinloos.

MSalters

Cartech
Elektrische auto

@Verwijderd • 29 december 2017 17:02

We kunnen ook een verwijt maken richting NXP, de fabrikant van Mifare Classic. Het feit dat Mifare Classic bij herhaling toegepast wordt in toepassingen waarvoor het ongeschikt is, geeft wel aan dat de gemeenschappelijke factor (NXP) mede-verantwoordelijk is.

Kijk, als je Mifare Classic gebruikt om de schappen in je magazijn te identificeren, en je hebt alleen je eigen vorkheftrucks in dat magazijn, dan heb je geen security issues en is het geschikt. Maar NXP maakt blijkbaar niet duidelijk waarvoor het product wel en niet geschikt is.

Verwijderd @MSalters • 29 december 2017 21:40

Maar NXP maakt blijkbaar niet duidelijk waarvoor het product wel en niet geschikt is.

En hoe kom je tot die conclusie? Op basis van welk feitenonderzoek?

We weten ook allemaal dat als een leverancier aangeeft dat een product voor bepaalde toepassingen niet geschikt is dat er dan toch nog hele reeksen idioten rondlopen die het daar dan gewoon toch voor gebruiken simpelweg omdat het iets goedkoper is dan een wel geschikt product. Voorbeeld: Grenfell Tower fire.

Je kunt dus niet simpelweg op basis van onderbuikgevoel zomaar zeggen dat NXP mede verantwoordelijk is, dat is veel te kort door de bocht.

MSalters

Cartech
Elektrische auto

@Verwijderd • 30 december 2017 21:57

Als het incidenteel zou zijn had je een punt gehad. Het is structureel.

Verwijderd @MSalters • 30 december 2017 23:37

Het is structureel.

En hoe kom je tot die conclusie? Op basis van welk feitenonderzoek?

Ben je nagegaan welk percentage van de afnemers van de Mifare Classic chip deze gebruiken voor doeleinden waarvoor deze niet geschikt is?

Je statement komt op mij over alsof je onderbuikgevoelens proberen te onderbouwen met nog meer onderbuikgevoelens.

himlims_ @Verwijderd • 27 december 2017 23:19

Jan, heb je Eem punt maar.... Welke domme doos gebruikt er dan ook een techniek waarvan je vooraf! kon weten dat ie lek is .... dat was/is bij OV niet anders

Ja, standaard managers / kosten blabla

Verwijderd @himlims_ • 28 december 2017 09:39

Alle slimme mensen zitten op dit forum. De losers moeten werken en deze producten maken....

akooijman @Verwijderd • 28 december 2017 09:51

Gezien de groei in de software wereld heeft de helft van alle ontwikkelaars minder dan vijf jaar ervaring. Veel van die ervaring zit daarnaast in het leren van weer een nieuwe programmeertaal of versie van een IDE.
Neem daarbij dat software ontwikkelaars met ruime kennis van hardware (en omgekeerd) nog wat zeldzamer zijn en, inderdaad, te vaak,managers al helemaal weinig kennis en ervaring op details hebben en deze beginnersfauten zijn ineens heel logisch.

SalsaGids @Verwijderd • 27 december 2017 21:09

Je zou hopen dat ze leren van ANDERMANS fouten. Best practices enzo.

Cowamundo @DiedX • 27 december 2017 18:59

NewMotion liet op zijn forum weten dat het klopt dat kaarten te kopiëren zijn, maar dat er geen gevallen van misbruik bekend zijn. Bovendien zou misbruik eenvoudig te detecteren zijn als dezelfde id tegelijkertijd op verschillende plaatsen wordt gebruikt. Ook zouden klanten de app kunnen gebruiken in plaats van de laadpas en zouden ze daarnaast kunnen instellen dat ze een notificatie krijgen als er met hun pas wordt geladen.

Aan deze reactie te zien denk ik momenteel vrij weinig tot niets.

supersnathan94

Cartech

@Cowamundo • 27 december 2017 20:34

*ping. Uw auto staat momenteel aan de oplader.

“Ja natuurlijk pannekoek, anders kan ik niet naar huis”.

25 minuten later:
Hacker gebruikt ergens anders zelfde ID.

*ping. Uw auto staat momenteel aan de oplader.

“Ja jeemig dat weet ik toch? Wat een irritante notificatie”.

Volgende dag:

*ping. Uw auto staat momenteel aan de lader.

“Ja rot op. Gauw die notificaties uitzetten.”

4 weken later:

“Wat?? €700 stroomkosten voor opladen??” Waarom weet ik dat nu pas?”

Verwijderd @supersnathan94 • 27 december 2017 21:41

Dit werkt dus pas na 1,5 maand. Je kunt niet live meekijken maar er zit een vertraging in van ongeveer 1,5 maand.

supersnathan94

Cartech

@Verwijderd • 27 december 2017 23:52

Ik gok dat die notificatie wel degelijk live is? Anders heb jer namelijk exact niks aan.

*ping. Uw auto bevond zich 46 dagen geleden aan de oplader.

Ik denk dat niemand daar op zit te wachten

Uiteraard zal de facturatie niet realtime gaan, maar zulke notificaties mag ik toch wel van aannemen dat daar max een paar minuten vertraging op zit.

Verwijderd @supersnathan94 • 28 december 2017 00:37

Jij hebt er duidelijk geen ervaring mee.

supersnathan94

Cartech

@Verwijderd • 28 december 2017 07:42

Nou nee. Niet met die notificaties nee. Maar zoals ik zei. Als dat echt anderhalve maand duurt dan is dat toch geen argument wat dit bedrijf kan gebruiken? Dat doen ze nu wel namelijk.

Verwijderd @supersnathan94 • 28 december 2017 07:52

Ik heb zojuist mijn newmotion app geopend, laatste laad sessie was op 27 november.

Ik laad hem echt elke dag op hoor.

supersnathan94

Cartech

@Verwijderd • 28 december 2017 09:12

Wauw. Hoe is dit...

Ook zouden klanten de app kunnen gebruiken in plaats van de laadpas en zouden ze daarnaast kunnen instellen dat ze een notificatie krijgen als er met hun pas wordt geladen.

Dan ook maar enigszins relevant?

Als het eht zolang duurt voordat je het kan zien dan is zelfs de factuur nog eerder. Misbruik ga je dus nooit op tijd kunnen zien.

Verwijderd @supersnathan94 • 28 december 2017 10:11

Er zijn palen die wel live te volgen zijn, maar dit verschilt per aanbieder.

Verwijderd @supersnathan94 • 28 december 2017 04:38

maar zulke notificaties mag ik toch wel van aannemen dat daar max een paar minuten vertraging op zit.

Dat ligt er maar net aan hoe een en ander loopt en hoe goed het geimplementeerd is. Ik heb een paar apps toegestaan om pushnotificaties te geven. Echter sommige daarvan komen niet door wanneer de screenlock geactiveerd is. Dus die zie ik pas wanneer ik me foon weer gebruik, en daar kan best een dag over heen gaan.

Ook sms is wat dat betreft niet betrouwbaar. Ik heb het een keer meegemaakt dat een bericht dat ik verstuurde er 36 uur over deed om bij de ontvanger aan te komen. Ook gebeurt het mij regelmatig dat berichtjes van provider pas uren na versturen aankomen, vaak als ik op reis ben in het buitenland. Je kent die berichtjes wel "Hallo, welkom in opper-transvaal. Bellen naar Nederland kost je een kapitaal, sms-en is bijna net zo duur bla bla bla.".

supersnathan94

Cartech

@Verwijderd • 28 december 2017 07:44

Sorry maar dat ligt dan toch echt grootendeels aan jou en je telefoon. In principe zouden notificaties op de seconde nauwkeurig binnen moeten komen. Doen ze dat niet dan is er iets met je configuratie, netwerkverbinding of is het echt heeeel slecht geïmplementeerd.

Verwijderd @supersnathan94 • 28 december 2017 10:22

In principe zouden notificaties op de seconde nauwkeurig binnen moeten komen. Doen ze dat niet dan is er iets met je configuratie, netwerkverbinding of is het echt heeeel slecht geïmplementeerd.

En dat is dan ook precies mijn punt. De al of niet correcte implementatie (waar de meeste gebruikers niets van zien en/of weten) is sterk bepalend of alles vlekkeloos loopt of niet.

supersnathan94

Cartech

@Verwijderd • 28 december 2017 10:24

Ja, maar als het bedrijf aangeeft dat notificaties een middel zijn om misbruik te kunnen detecteren, dan ga ik er vanuit dat deze binnen X minuten worden afgegeven en niet na anderhalve maand. Dat slaat namelijk helemaal nergens op en kan dan dus NIET gebruikt worden om misbruik te detecteren.

akooijman @supersnathan94 • 28 december 2017 09:55

..... heel slecht geïmplementeerd.
Bijvoorbeeld met een al jaren geleden gecompromitteerde myfare versie bedoel je? Of achter twee standaard schroeven verstopte USB poorten?

supersnathan94

Cartech

@akooijman • 28 december 2017 09:56

nee, met een back-end die gewoon de notificaties te laat stuurt. Het is vrij eenvoudig om realtime push notificaties te krijgen. Dat kunnen andere bedrijven al jaren

alt-92 @supersnathan94 • 29 december 2017 09:49

Doen ze dat niet dan is er iets met je configuratie, netwerkverbinding of is het echt heeeel slecht geïmplementeerd.

SMS is best-effort op netwerk nivo, voice en data krijgen voorrang. En al helemaal internationaal roaming.

Tom17 @Verwijderd • 28 december 2017 10:00

Dan zou ik een andere provider nemen!
Ik kan in mijn backoffice zien dat ik gisteren daar en daar bij laadpaal nr X van zo laat tot zo laat zoveel Kw afgenomen heb.
Live meekijken. ....
Zou m.I. technisch mogelijk moeten zijn echter heb je te maken met erg veel partijen die natuurlijk niet op een standaard manier gegevens met elkaar uitwisselen.

Verwijderd @Tom17 • 28 december 2017 10:10

Andere provider ? Ik heb een lease auto en dan neem je de goedkoopste mogelijkheid. In mijn geval is NewMotion goedkoper dan Eneco. Veranderen gaat niet zomaar.

Quilt @supersnathan94 • 28 december 2017 11:07

Notificatie zou ook kunnen aangeven aan welke oplader de wagen laadt.

"Oplader A345_4W"

Gwaihir @DiedX • 27 december 2017 17:56

Eerst zo lang mogelijk de kop in het zand steken, zo blijkt m.i. wel uit de in het artikel aangehaalde reactie..

GoldenSample @DiedX • 27 december 2017 23:45

Oud nieuws mbt de kaarten, jaartje of 2 terug al in het nieuws geweest.

Overigens is het qua toegang tot de hardware wel belangrijk te weten dat vrijwel elke publieke paal een slotje heeft. Voor semi-publiek (bij kantoor, parkeergarage of de supermarkt) is het een ander verhaal ja.

Qua communicatie is het probleem niet zo zeer het protocol maar meer de verbinding. OCPP kan prima over HTTPS of een VPN tunnel. Ook hier geld dat publieke palen welke via een eigen sim communiceren iets minder gevoelig zijn dan bijvoorbeeld de instap LoLo's van NewMotion welke aan je home netwerk hangen.

DJMaze 27 december 2017 17:57

NewMotion liet op zijn forum weten dat het klopt dat kaarten te kopiëren zijn, maar dat er geen gevallen van misbruik bekend zijn. Bovendien zou misbruik eenvoudig te detecteren zijn als dezelfde id tegelijkertijd op verschillende plaatsen wordt gebruikt.

Translink zei ook ooit zoiets over de OV-chip. We weten allemaal wat er toen gebeurde.
Wat blijft het toch ook een ongelofelijk gepruts

Verwijderd @DJMaze • 27 december 2017 18:13

Translink zei ook ooit zoiets over de OV-chip. We weten allemaal wat er toen gebeurde.

Niet zo heel veel he? Actief misbruik op enige schaal is nooit aangetoond.

DJMaze @Verwijderd • 27 december 2017 18:31

https://www.telegraaf.nl/...aartjes-fors-probleem-gvb
https://www.security.nl/posting/31073
http://webwereld.nl/secur...aarten-massaal-verhandeld

blissard @DJMaze • 27 december 2017 19:07

Van alle links heeft alleen de derde betrekking op gehackte kaarten. De eerste gaat over gebruik van kinderkaartjes door volwassenen en de tweede over de massale download van hacktools. (Die dan mogelijk wel, niet, misschien daadwerkelijk zijn gebruikt)
Dus de enige relevante link gaat over een poging 100 kaarten te hacken en te verhandelen. Deze poging is verijdeld.

Verwijderd @blissard • 27 december 2017 19:40

Ik herinner me nog dat nadat die hacks bekend werden hier op tweakers al bericht werd dat nfc kaartschrijvers bij de meeste webshops rap uitverkocht waren.

Freee!!

@Verwijderd • 27 december 2017 18:18

Vooral omdat er niet naar gezocht is en signalen daaromtrent werden vakkundig weggemoffeld.

himlims_ @Verwijderd • 27 december 2017 23:21

Klets, we zijn nog gedagvaardigd toen voor 70k per dag. Waren ze toch niet zo blij mee toen dat publiekelijk (eenvoudig) aangeboden hadden

[Reactie gewijzigd door himlims_ op 24 juli 2024 11:31]

supersnathan94

Cartech

@himlims_ • 28 december 2017 09:14

Wie is we en wat boden jullie aan? Is wel interessant om te weten hoe TLsystems daar mee om is gegaan.

himlims_ @supersnathan94 • 28 december 2017 15:10

we, me en 2 maatjes; aangeboden, klik klare oplossing om credit op ov te plaatsen of 'ingechecked' te worden. via site gepubliceerd, kleine 2/3k bezoekers per dag. ging hard nadat die informatie publiekelijk bekend werd. maar de mannen van spoor waren er vrij rap bij met alle juridische middele (zoals verwacht)

Erasmo @DJMaze • 27 december 2017 19:00

Dat er geen gevallen bekend zijn betekent het niet dat het gebeurd, ik heb mijn laadpas al maanden geleden gekloond en op m'n NFC implant gezet, werkt vlekkeloos.

GekkePrutser @Erasmo • 27 december 2017 19:58

Implant?? In je hand ofzo?

Erasmo @GekkePrutser • 27 december 2017 20:45

Jup.

Miasma @Erasmo • 28 december 2017 09:49

Misschien beetje off topic, maar heb je hier misschien een foto van. Ben benieuwd hoe dat eruit ziet zo'n implantaat. Wel tof dat je dat zomaar aan durft. Lijkt me een goede oplossing voor mensen die altijd alles kwijt zijn (zoals ik).

Erasmo @Miasma • 28 december 2017 09:54

Onder de huid zie je er niks van, het implantaat is iets groter dan een rijstkorrel en wordt met een naald ingebracht.

aaahaaap 27 december 2017 19:00

> NewMotion liet op zijn forum weten dat het klopt dat kaarten te kopiëren zijn, maar dat er geen gevallen van misbruik bekend zijn. Bovendien zou misbruik eenvoudig te detecteren zijn als dezelfde id tegelijkertijd op verschillende plaatsen wordt gebruikt. Ook zouden klanten de app kunnen gebruiken in plaats van de laadpas en zouden ze daarnaast kunnen instellen dat ze een notificatie krijgen als er met hun pas wordt geladen.

Wel weer echt schandalig hoe gemakkelijk dit afgeschoven wordt op de klant.
Wat zijn de juridische kansen op succes bij het aanklagen voor nalatigheid van dit soort bedrijven? En zijn er nog andere mogelijkheden om hier iets tegen te doen?

mikesmit @aaahaaap • 27 december 2017 22:14

Aanklagen? Deze nalatigheid moet je misbruiken anders worden bedrijven niet geprikkeld om te handelen

bastian433 27 december 2017 18:07

Ik zie wel potentie voor wafelkraampjes bij laadpalen :-)

franssie 27 december 2017 20:50

uitbesteed aan de OV bedrijven oid? Dit leest echt als een nieuwsbericht van 15 jaar geleden.

SMSfreakie 28 december 2017 00:20

Intruder Detection op de paal!

DigitalExorcist 27 december 2017 18:08

Dat hele elektrisch rijden blijft ook maar wat rondsnudderen in een pre-alpha fase op deze manier.... ja, Tesla’s zijn leuke auto’s maar tamelijk onbetaalbaar... en dit soort randverschijnselen moeten écht snoeihard afgestraft worden.

Verwijderd @DigitalExorcist • 27 december 2017 18:14

Net zoals niet betalen na het tanken van benzine. Er is allemaal niet zoveel aan de hand en dit zal zeker niet de opmars van elektrisch rijden vertragen.

Armin

Netwerk en systeembeheer
Security

@Verwijderd • 27 december 2017 19:04

Net zoals niet betalen na het tanken van benzine

Maar dat is een bewust business model. Men wil perse de mensen in de kleine shop hebben zodat men wellicht iets meeneemt. Fraude moet je dus afwegen tegen de extra winst omzet door mensen te dwingen aan de kassa te betalen.

Bij electrische palen is echter dat businessmodel afwezig en is fraude dus gewoon direct verlies.

eliasje @Armin • 27 december 2017 19:14

ik denk dat het wel mee valt met die fraude , mogelijk kost het nog meer geld om de problemen te verhelpen.Pas als er heel veel fraude gepleegd wordt zal misschien iets aangedaan worden.

Verwijderd @eliasje • 27 december 2017 19:37

Voorlopig zal het wel meevallen, zeker nu de meeste elektrische rijders toch wel tamelijk welvarend zijn en/of de baas de stroomrekening betaalt. Als het ooit mainstream wordt zal dat rap veranderen, en dan is de technologie al weer zoveel grootschaliger uitgerold dat aanpassen veel duurder is dan nu.

SpoekGTi @Verwijderd • 27 december 2017 18:50

Vond ik toch anders zeker gezien ik niet met een USB stick netjes de configuratie van de backend uit een benzine pomp krijg. Daarbij vind ik het nog kwalijker dat de laadpaal gegevens als zijnde valide accepteert en ze klakkeloos in zijn config opneemt

En wegrijden zonder te betalen is nog steeds verhaalbaar op jou en niet op de ander. Hiermee kan je je voordoen als een ander waarbij die de rekening krijgt en maar moet gaan bewijzen dat hij/zij het niet was.

Verwijderd @SpoekGTi • 27 december 2017 19:38

Vond ik toch anders zeker gezien ik niet met een USB stick netjes de configuratie van de backend uit een benzine pomp krijg.

Hoe weet je dat, heb je het ooit geprobeerd?

supersnathan94

Cartech

@Verwijderd • 27 december 2017 21:01

Nee helaas niet gelukt, de pomphouder gaf me op m’n flikker. Toen ik he snachts nog een keer probeerde stond schippers security voor m’n neus.

Dat is het verschil met een laadpaal. De ene wordt actief bewaakt (omdat brandatof diefstal echt big bussiness is), de andere staan onbewaakt op soms moeilijk zichtbare plekken (tussen een bergje autos in bijvorrbeeld).

Dus zelf al zou het kunnen dan zorgt fysieke bewaking er vaak alsnog voor dat je het niet eens kunt proberen.

GekkePrutser @Verwijderd • 27 december 2017 20:00

Bij tankstations hangen vele camera's. Bij alle laadpalen ook?

Verwijderd @GekkePrutser • 28 december 2017 04:50

Ik hoop het eigenlijk wel, net zoals bij iedere pinautomaat ook een camera hangt. Dan kun je altijd zien wie de tankpas heeft geswiped. Als je dan ook zorgt dat je de auto met kenteken kunt zien op de opname zit je in elk geval goed wat betreft bewijslast wie er moet betalen.

Aan de andere kant is dat slechts een gevolg bestrijdende maatregel waarmee je misbruik niet direct voorkomt. Indirect wel weel door betere opsporingsmogelijkheden maar dat werkt traag en minder effectief als goede maatregelen die misbruik voorkomen.

Op dit item kan niet meer gereageerd worden.

Onderzoeker: beveiliging laadpalen elektrische auto's laat te wensen over

Lees meer

De blokkeertarieven van Shell Recharge

IT-banen

Reacties (131)

Lees meer

De blokkeertarieven van Shell Recharge

IT-banen

Reacties (131)

Sorteer op:

Weergave: