Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Gemeente Assen gaat slechte beveiliging bewonerspas bespreken na melding tweaker

Het gemeentebestuur van Assen gaat de slechte beveiliging van zijn bewonerspas AsserPas bespreken, nadat een tweaker vorig jaar de gemeente had ingelicht daarover. Iedereen kan de bewonerspas uitlezen en kopiëren. Aan de pas zit een betaalsysteem voor parkeren en afval wegbrengen.

De pas maakt gebruik van een Mifare Classic-chip van NXP, dezelfde als die onderzoekers tien jaar geleden al kraakten en de reden waarom Trans Link Systems besloot om vanaf acht jaar geleden de ov-chipkaart te vervangen.

Tweaker Geert de Graaf ontdekte dat de AsserPas beschikt over de zwak beveiligde chip en zegt tegen RTV Drenthe dat hij de gemeente vorig jaar september al heeft ingelicht. De gemeente Assen zegt tegen de regionale omroep op de hoogte te zijn van het onderzoek en het gemeentebestuur overlegt binnen een paar weken of de resultaten van het onderzoek genoeg reden zijn om aanpassingen te doen aan de AsserPas.

Met de AsserPas kunnen bewoners van de Drentse hoofdstad onder meer betaald parkeren, afval wegbrengen en boeken lenen bij de bibliotheek. De Graaf heeft niet geprobeerd om misbruik te maken van de zwakke beveiliging door op naam van anderen betaald te parkeren, maar hij heeft wel zijn eigen pas overgezet op onder meer een nfc-druppel voor aan zijn sleutelbos en een nfc-ring. De Graaf zegt tegen Tweakers dat het mogelijk is dat bewonerspassen in andere gemeentes ook zijn uitgerust met de zwak beveiligde chip, maar dat is onbekend.

Door Arnoud Wokke

Redacteur mobile

15-10-2018 • 19:55

126 Linkedin Google+

Reacties (126)

Wijzig sortering
Niets nieuws, alleen dat ze het ook voor parkeren gebruiken maakt het wat 'interessanter' om te misbruiken, en ook dat het voor andere betaaldoeleinde gebruikt wordt. Dan ga je toch niet zo'n dom systeem gebruiken lijkt mij.

Bij ons vraagt de gemeente 15 eur voor een pasje, die nog eens erg dun is en bij een beetje buigen al stopt met werken.
De hele chip wordt niet gebruikt, en alleen de UID is de identifier. Verder vind er geen enkele controle plaats. Zelfs niet of het een gekloonde chip is....

In mijn geval wordt er puur naar de eerste 4 bytes (0-3) gekeken (de 4-byte UID). Byte 4 is checksum, byte 5 is de SAK. Bij een originele pas is de SAK 0x08, bij sommige kopieen is de SAK 0x88

Ik heb tegenwoordig gewoon 2 tags, 1 aan sleutelbos en 1 in de auto. Beide werken ze, terwijl 1 zelfs de SAK 0x88 heeft (en dus al niet-origineel is).

En dat geld werkt niet alleen in mijn woonplaats, maar ook bij de pas van een collega een stad verderop kon ik 'm zo kopieeren. Er vind dus geen 2-weg communcatie plaats met de tag, of andere vorm van controle.

Kosten? 5 euro ofzo: Een Arduino kloon, een RC522 RFID dingetje en een UID-changeable tag (0,40 per stuk)

Pasje van een nietswetende buurman lenen als ik zou willen en je hebt m in 5 sec: Je hoeft alleen maar die paar bytes uit te lezen. Met een long-range RFID reader kun je t zelfs op een afstandje doen.

Overigens betaal ik hier nog niet per keer legen, dus heb er nooit verder wat mee gedaan, maar als dat wel zou zijn dan was er wel een mail naar de gemeente gegaan :)

[Reactie gewijzigd door DJSmiley op 15 oktober 2018 20:54]

Sorry hoor, het zal best te kraken zijn allemaal, maar eerlijk gezegd vind ik dit een storm in een glas water.
Een redelijk kleine gemeente als Assen heeft wel andere prioriteiten dan hun bewonerspassen te beveiligen. Het blijft een kosten/baten afweging. Hoe groot is de kans nu werkelijk dat hier iets mee gebeurd en hoeveel kost het om die kans te verkleinen (want uitsluiten kun je het nooit). Anders betaalt de burger.
Aan de pas zit een betaalsysteem voor parkeren en afval wegbrengen.
Ik zou het niet leuk vinden als iemand anders op mijn kosten gaat parkeren jij niet dan?
Is dat gebeurt dan? Ben benieuwd welke hacker een straf wil riskeren door met de pas van de buurman afval weg te brengen of te parkeren. Ook hier geldt weer... veel te ingewikkeld en levert te weinig op.
"Als het kalf verdronken is, dempt men de put." Ooit van dit spreekwoord gehoord?

En waarom zou je dit als gemeente alleen doen? Waarom spreek je niet met de buurgemeenten en ontwikkel je in samenwerkingsverband een goed systeem? Waarom moet iedere gemeente het wiel elke keer opnieuw uitvinden? Waarom moeilijk doen als het makkelijk kan?

Er zijn betere dingen te doen met belastinggeld dan steeds maar weer hetzelfde ding opnieuw uit te moeten vinden. Gebruik gewoon een uitontwikkeld bestaand systeem. Dan zijn de investeringskosten al gemaakt en de meeste kinderziektes er al uit. Kant-en-klaar en veilig.
Noem mij een goed alternatief systeem dan, wat wel voldoende beveiligd is (voor dezelfde prijs).
Het verschil in kosten tussen mifare classic en een stapje beter (desfire ofzo) is centenwerk. Kosten zitten voornamelijk in het updaten van de lezers. Die kosten had je kunnen voorkomen door het gelijk goed te doen. Voor een afval pas is het misschien goed genoeg, maar je moet mifare classic gewoon niet gebruiken om mee te betalen. Ik snap sowieso de noodzaak niet, iedereen heeft toch van zijn bank een prima beveiligde contactloze betaalkaart in zijn portemonnee? Waarom zou je als gemeente hier het wiel opnieuw willen uitvinden?
Het verschil zit hem niet alleen in kosten. Mifare Classic en Mifare Desfire werken op dezelfde frequentie. Om gecontroleerd over te kunnen gaan van Classic naar Desfire, er rekening mee houdend dat je niet in een dag alle paslezers kunt vervangen, zul je tijdelijk een hybride pas moeten gebruiken die beide chips bevat. Omdat beide chips op dezelfde frequentie werken leidt dit tot storingen. Overgang van Classic naar Desfire is dus niet zo simpel als je denkt.
De vraag is of dat systeem noodzakelijk is.
In BE kennen we dat niet, dus levensnoodzakelijk zal het niet zijn.

Persoonlijk ben ik voorstander van SMS parkeren, dan is er al geen badge nodig. De bib kan perfect aan je e-ID kaart gekoppeld worden en vuilnis kan betaald worden met overschrijving.
Moet eerst een incident gebeuren voordat je je er tegen gaat beveiligen, or zou je er gewoon van te voren aan de beveiliging moeten denken?
wow... "er is nog niets gebeurd dus waarom zouden we het moeten beveiligen?" :o

Moet je eens kijken als er wel iets gebeurd en meerdere mensen zijn op die manier opgelicht. Dan heb je toch een probleem als gemeente denk ik
Zal leuk zijn als iemand een pas kopieert (uit een andere gemeente) en gevaarlijk of verboden afval dumpt. dan praat iedereen ineens op een andere toon. De kans op misbruik en open laten zijn 2 dingen. Waarom houd iedereen zijn hand ervoor bij de kassa wanneer hij/zij gaat pinnen? Waarom wapper je niet op straat met een handvol geld? Dit is niet heel anders. een OV chipkaart kun je ook geld opladen.

Het punt is mensen zijn hier niet van bewust dat het misbruikt kan worden, wanneer het gebeurt ben je de dupe en velen malen verder van huis.

Het is juist goed dat er continu klokkenluiders zijn en mensen bewust maken van de gevaren en gevolgen. Wat de gemeente hierna doet is op hun bord. Waarschuwing is er al uit en zij kunnen niet meer zeggen "oh wij weten hier niet van".
Je kunt de AsserPas koppelen aan je kenteken. Je kunt dus niet met een gekloonde pas parkeren op andermans kosten. Hooguit kun je die ander opzadelen met onterechte parkeerkosten.
De AsserPas gebruikt ook alleen de UID, er staan wel wat meer dingen op de kaart (naam en kaartnummer e.d.), maar door alleen de UID te klonen werkt hij al voor parkeren/bieb/milieupark. Ik had het ook al eens aangegeven bij de gemeente...
Al dat gekoppel aan een kenteken.
Niet iedereen heeft 1 wagen en is eraan vergroeid. Ik rijd met verschillende wagens. Als we met vrienden op stap zijn betaalt de persoon die mee rijdt vaak de parking van de chauffeur en ga zo maar door.

Anderzijds, persoonlijk lijkt het me heel onnozel om die fout effectief te gaan uitbuiten. De pakkans is behoorlijk groot en de winst belachelijk.
Je kunt de AsserPas koppelen aan je kenteken. Je kunt dus niet met een gekloonde pas parkeren op andermans kosten.
Je kunt 'm dus koppelen aan je kenteken, maar dat hoeft dus niet? Dan gaat de tweede zin ook niet op; dat kan dan wel degelijk indien iemand 'm niet koppelt aan t kenteken.
Voor wat ik zo even kan vinden op de site van de gemeente Assen, is het verplicht om het te laten koppelen aan een kenteken, maar kan je dat daarna gelijk weer uitzetten.
Dus als je iemand weet die meerdere auto's heeft en die pas gebruikt voor het parkeren, dan kan je weldegelijk met die gekloonde pas op straat parkeren.

Waarbij je je kunt afvragen of de gemeente wel mag eisen dat je een kenteken opgeeft in eerste instantie. Wat nou als ik geen auto heb, maar wel vaak meerijd met vrienden en dan voor hen zou willen betalen met die pas. Wat moet je dan als kenteken opgeven?

En het is niet alsof het achteraf in rekening wordt gebracht met een factuur. Wat ik ervan begrijp heeft zo'n kaart een koppeling aan een doorlopende incasso machtiging en is die dus voor beperkte doeleinden te gebruiken als een soort contactloze pinpas. Alle reden dus om zo'n pas minstens zo goed te beveiligen als een reguliere pinpas.
Het hoeft inderdaad niet, maar dan kun je er helemaal niet mee parkeren. Een parkeerwachter controleert in Assen op kenteken. Je kunt ook meerdere kentekens koppelen aan de kaart als je meerdere auto's hebt.
Het zou misschien kunnen dat je een parkeergarage binnen komt met de kaart, die hebben paslezers. Maar aan de andere kant hebben die ook kentekenregistratie, dus de pakkans is vrij hoog.

Echt misbruik van de kaart maken zou wel kunnen bij de bibliotheek. Je kunt er boeken mee halen, en die nooit terugbrengen...

[Reactie gewijzigd door Fony op 16 oktober 2018 22:00]

Een redelijk kleine gemeente als Assen heeft wel andere prioriteiten dan hun bewonerspassen te beveiligen.
Huh? Natuurlijk heeft de gemeente daar een verantwoordelijkheid in. En die prioriteit hadden ze voor de implementatie moeten vaststellen, niet nu ze ondervinden dat ze (waarschijnlijk uit kostenoverwegingen en/of onvolledige voorwaarden in de aanbesteding) eigenlijk het verkeerde systeem hebben.

Als de gemeente een identificatie- en betaalfunctionaliteit in zo'n kaartsysteem inbouwt, is het essentieel dat ze een systeem kiezen dat een zekere mate van veiligheid biedt, zowel voor de burgers als voor de gemeente zelf. Van de gebruikte chip was bij de implementatie van het systeem al jaren bekend dat die eenvoudig, en met extreem weinig kosten, te kraken is. Deze chip had dus nooit voor deze toepassing gekozen mogen worden.

Nu wordt het een kosten-baten-analyse. Hoeveel kost vervanging van het systeem, hoeveel kost het oplossen van claims van burgers die misbruik van hun gekloonde kaart ontdekken, hoeveel gekloonde kaarten zijn er en hoeveel extra kosten of gemiste inkomsten heeft de gemeente als gevolg daarvan?
Hoeveel containers zouden er opengaan met de pas van de installateur van de containers?
Heh, nou vraag ik me sterk af of het ook te brute-forcen is en of er misschien een "loper"-UID is die op elke afvalcontainer werkt :)
"De Graaf heeft niet geprobeerd om misbruik te maken van de zwakke beveiliging door op naam van anderen betaald te parkeren", dat is wel een heel specifieke omschrijving van iets dat hij niet gedaan heeft :D
Meteen even de afvalpas hier (gem Groningen) gecheckt met de NFC reader in mn telefoon: ook NXP Mifare Classic 1K.

Oproepje aan mede tweakers om hun gemeentepas ook even te checken, en al dan niet hier te rapporteren? , kan met deze gratis app (Android telefoon uiteraard) :
https://play.google.com/s...tails?id=com.wakdev.wdnfc

Donkerbruin vermoeden dat gros van gemeentes hier gebruik van maakt... Echter in Groningen gaat t alleen om de afvalpas functie, je kan er niet mee parkeren oid.

[Reactie gewijzigd door davidov2008 op 15 oktober 2018 21:34]

Niet om er misbruik van te maken, maar wij krijgen als huishouden maar 1 zo'n pas en krijgen binnenkort ook zo'n ondergrondse pasjes-container. Is dat eenvoudig te klonen voor ons huishouden zodat we alle 3 afval kunnen wegbrengen ook als 1 van ons per ongeluk de pas mee heeft?
Of, zoals ik doe, de pas op een vaste plek, bij mij de meterkast, leggen. ;)
Even googlen naar de OV-chipkaart hack denk ik dan. Daar zullen vast hele uitgebreide handleidingen voor zijn. Je zal in ieder geval een NFC kaartlezer moeten hebben die ook kan schrijven.

Ik heb hier nog een kaartlezer liggen uit het OV-chipkaart tijdperk.

[Reactie gewijzigd door BLACKfm op 16 oktober 2018 09:50]

Kan met vele smartphones ook. Lukt et mijn Huawei P9lite en Oneplus 5T.
In Haarlem exact hetzelfde; dat maakt het overzetten op een sleutelhanger wel zo makkelijk :)
Wordt er net als in een andere post hier alleen gebruik gemaakt van de UID? Heb je hem daadwerkelijk op je sleutelhanger gezet? Wil ik ook wel doen...

Gek, ik kijk uit interesse wel naar kaartjes, maar mijn afvalpas nooit getest...
Hier in omg. Steenbergen (NB) ook. NXP Mifare Classic 1k. Maar dit betreft vooralsnog alleen restafval, niet betaald.
De afvalpas van Gemeente Dronten is ook een NXP MiFare Classic 1k. Met deze pas kan je de ondergrondse containers openen en tevens (grof)vuil storten. Voor dat laatste betaal je stevig per kilo zodra je over de jaarlijkse grens heen gaat.
De HVC Pas voor afval in Dordrecht is ook een Mifare Classic met alleen een UID. De sleutel is ook nog eens FF..FF voor alle passen. Zelf vind ik het wel handig, inderdaad om verschillende gezinsleden een fob aan de sleutelbos te geven zodat dat pasje niet elke keer kwijt is.
hier in den bosch ook mifare classic. is alleen voor de ondergrondse containers ( 30 keer storten per maand ) en identificatie in de milieustraat 5ct per kilo ipv 15ct per kilo.
kaart is leeg, ongeformatteerd.

[Reactie gewijzigd door PetervdM op 16 oktober 2018 14:52]

Deventer ook ook NXP Mifare Classic 1K. Deze milieupas wordt gebruikt voor grofvuil (duuuur als je over je 100kg heen gaat) en voor storten vuilniszakken bij hoogbouw (¤ 3,25 per keer dat die klep open gaat).
Misschien heeft hij dus wel afval weggebracht en een boek geleend? Het is inderdaad opvallend specifiek :)
Valt mee toch, behoort tot de optie van de pas, dus lijkt me dat dit 1 van de meest voorkomende ideeen is.
Wat ik graag zou willen proberen is om i.c.m. de ChameleonMini een bruteforce uit te voeren.
Dit heb ik alleen nog niet gedaan maar is theoretisch wel mogelijk.
Afvalbakken op slot doen. Degene die dat verzonnen heeft mag van mij spontaan verdampen.

Edit: Het ontgaat blijkbaar jullie allemaal dat mijn opmerking nogal cynisch bedoeld was. Mijn afgrijzen van dit systeem is dat het juist zwerfvuil en idiote situaties in de hand werkt. Niet dat ik niet makkelijk mijn shit kan weggooien. Kom op zeg!

[Reactie gewijzigd door marijn78 op 15 oktober 2018 22:24]

Heb jij je kliko's op de stoep staan zodat iedereen al z'n zooi er ongesorteerd in kan mikken? De mijne staan in de achtertuin, met de poortdeur op slot (hoewel dat laatste natuurlijk niet primair vanwege de kliko's is).
Euh, ja. En iedereen in de straat heeft dat (soms met van die hippe afschermers).
Waar woon je dat je je hier zorgen om moet maken?

Ontopic: hoe lang bestaat die pas? Want als het 8-10 jaar geleden al bekend was dat die pas niet veilig is dan heeft er waarschijnlijk iemand ontzettend zitten slapen in Assen...
Dit krijg je met ambtenaren die niet technisch onderlegd zijn.

Dit krijgen van bedrijf X en Y een prijsopgave en zien dat het systeem met pasje A ongeveer 2 euro per pas goedkoper is dan systeem B.

Vervolgens belt de ambtenaar op naar gemeente D en E en de ambtenaar aldaar zegt tevreden te zijn over het systeem en de werking (systeem A).

Trots zal de ambtenaar nu systeem A kopen in de wetenschap dat hij 2 euro per gebruiker heeft bespaard, top!
Ja. En dat bedrijf A en bewezen onveilig systeem aanbiedt maakt niet uit? Ik vind dat A hier schuldig is aan oplichting. Het vraagt geld voor een onveilig systeem.
Het probleem is dat de chip gechikt is voor identificatie zonder authenticatie. Bij een betaal-systeem is authenticatie essentieel. (En meestal ook authorisatie; heb je het geld wel?).

Is de leverancier van een chip verwijtbaar in gebreke als de chip een legitiem doel heeft, maar door een afnemer verkeerd is ingezet? Om stellig te zijn en het "oplichting" te noemen is onzin.
Dan ga jij er van uit dat de leverancier geen weet heeft van het doel dat de afnemer voor ogen staat.
De afnemer zal echter verzocht hebben om een systeem dat voor meerdere doeleinden te gebruiken is en daarbij die doeleinden hebben benoemd. Waarschijnlijk is zelfs het complete systeem, inclusief het betaald parkeren onderdeel, bij één en dezelfde afnemer besteld.
Nee hoor, ze bieden een pasjes systeem aan. Dat het voor de gebruikte doeleinden niet de juiste keuze blijkt is de verantwoordelijkheid van de koper en geen oplichting door de verkoper.
Oké. Dus elke koper van bv. een auto moet technisch voldoende onderlegd zijn om zelf alle veiligheidssystemen te kunnen controleren? En wanneer de auto geen kreukelzone blijkt te hebben, dan is het zijn eigen schuld omdat hij niet specifiek naar een kreukelzone heeft gevraagd bij de aankoop?

Ik blijf het wonderbaarlijk vinden. Voor zo'n beetje alle producten is de leverancier er verantwoordelijk voor dat het product deugdelijk is. Alleen bij ICT wordt de verantwoordelijkheid volledig bij de gebruiker gelegd en wordt van hem zoveel deskundigheid verwacht dat hij het product bijna zelf zou kunnen maken.
Nee daar zijn wetten voor.

Je kan onbeveiligde pasjes prima gebruiken voor simpele (en zeker anonieme) doeleinden. Alleen als je daar extra doeleinden bij wil maken dan wordt het moeilijker.
Wie zegt dat de leverancier niet voldaan heeft aan de wens van de klant (gemeente in dit geval).
Als je betaalt voor Ford Ka, moet je niet verwachten dat een luxe Range Rover krijgt die elk terrein aankan.

De gemeente wilde een bekende kaart en risico's waren blijkbaar acceptabel. Ik wordt een beetje moe van mensen die vinden dat leveranciers en/of gemeentes gefaald hebben hierin. Kosten spelen een grote rol.
Het heeft niet alleen te maken met technisch onderlegd zijn.

Maar het is ook een afweging.
Moet zo'n pasje dienen als toegang tot een militaire basis of om gewoon de afvalophaling te registreren.
Op het één kan je al wat meer besparen dan op het andere.

Kosten-batenanalyse speelt ook gewoon mee. Anders klagen de mensen over de belastingsgeldverkwistende ambtenaar ipv de technisch onwetende ambtenaar.
Sterker nog ze besteden het vaak aan en kijken dan maar op enkele aspecten en vergeten vaak een aantal belangrijke andere aspecten in de aanbesteding mee te nemen. Is typisch voor overheid. Ik zou me niet verbazen als onze hogeschool pas ook makkelijk te misbruiken is (en studenten dat ook daadwerkelijk doen).
Nou als iemand de moeite neemt om een blikje of plastic zakje in mijn kliko te komen deponeren dan graag. Als iemand de verantwoordelijkheid neemt om mijn directe leefomgeving netjes te houden dan mag hij daar best mijn kliko voor lenen. Immers kan ik dat ook andersom bij hem doen.

We betalen met zijn allen om de gemeente schoon te houden en het afval te verwerken. Zijn bananenschil thuis in de eigen container komt op dezelfde hoop terecht als die van mij in de kliko aan de andere kant van de stad.

Wees blij dat mensen de moeite nemen om het niet ongesorteerd in je tuin te flikkeren (nouja iets met goed fatsoen enzo). Ik bedoel dus dat zo’n kliko daar best een paar grammetjes afval bij kan hebben.
Allemaal leuk totdat je betaalt per leging en je nadat je terugkomt van werk ziet dat je container al half vol zit omdat iemand na het legen zijn 3 zakken vuil er in gegooid heeft zodat hij zijn bak niet aan de straat hoeft te zetten.
En dat is dus precies wat er hier beodlet wordt. Betalen per leging werkt juist niet om bijvoorbeeld afvalscheiding te stimuleren. Wij kregen laatst een brief van de gemeente waaron doodleuk stond dat we 2,5 keer zoveel restafval hadden als een gemiddeld huishouden in nederland. Ja gek he. Met 5 mensen in een huishouden is het heel normaal dat je 2,5 keer zoveel restafval hebt als het gemiddelde huishouden van 2,2 personen.
Ik weet niet wat voor chip er in de kliko's zelf gebruikt wordt, maar wie weet kan je die ook overschrijven met het ID van de kliko van je buurman :+
Dat werkt niet als je in een gemeente woont waar je per lediging moet betalen!

In Deventer zijn de kleine prullebakjes al vrijwel overal weggehaald en worden de kosten per lediging ieder jaar hoger (nu ¤ 9,11 voor een kleine container), plus gratis grofvuil is in een paar jaar teruggebracht van 1000kg naar 100kg.

Gevolg: 1 grote *******bende in de uiterwaarden en ieder ander rustig 'hoekje', afval in je fietstassen (regelmatig, terwijl ik toch amper fiets), afval naast de containers, uitpuilende prullenbakjes die er nog zijn enz. Je laat het hier echt wel uit je hoofd om je container open en bloot te laten staan, zelfs na lediging snel binnenzetten anders kans op zooi in je bak.
Ja en dus werk betalen per leging niet. Het idee is dat mensen minder weggooien en zuiniger omgaan met resources als voedsel en verpakkingen.

Wat je nu krijgt is dat afval maar gewoon gedumpt wordt. Want dan wordt het gratis “opgeruimd”
Hoe doe je dat dan op ophaaldag?
Hier in Heesch kan je (tegen betaling natuurlijk) een slotje op je kliko laten plaatsen die alleen door de vuilniswagen en met je eigen sleutel open te maken is. Hier betaal je voor groen en rest per keer legen en per kilo.
Stapje opzij maar voor gemeente Bernheze (Heesch) is groen nu compleet gratis. Zowel kilo's als het legen
poort is op slot , niet de bak , die zal hij voor hij naar zijn werk gaat buiten zetten.
Je kliko naar het ophaal punt verplaatsen? Mijn kliko is ook niet voor iedereen bereikbaar, maar ik zet de kliko de avond voor de ophaaldag bij de straat.
Dan is die vol en dat beetje dat andere in kunnen storten boeit hem niet?
Wel als je per kilo betaald. Gelukkig bij ons niet.
dat is dan de volgende stap bij jou en mij dan... 8)7
Laten we hopen van niet. Wij kunnen ook gratis onbeperkt naar de milieustraat.
Zwerfvuil is vervelend maar vergeet niet dat bijna iedere gemeente die dit invoert te maken krijgt met veel beter gescheiden huisvuil en een kleinere hoeveelheid restafval, puur omdat mensen zo min mogelijk willen lopen naar de centrale bak. Dan is hier en daar zwervuil op laten halen een acceptabele kostenpost.

Bij ons in de wijk heeft iedereen nog Kliko's die wekelijks in grote getale uitpuilend aan de straat worden gezet. Ik vraag mij elke keer weer af hoe mensen aan zo verschrikkelijk veel teringzooi komen. Onze bak staat soms zelfs slechts halfvol aan de straat. Gewoon omdat we het meeste GFT, papier en blik scheiden. Ik kan niet in andermans huishouden kijken maar ik denk soms echt dat er iets mis is met de instelling en overconsumptie van mijn buurtbewoners, en waarschijnlijk erger, de gemiddelde Nederlander. De stap naar plastic scheiden hebben we nog niet genomen maar dat zit me wel een beetje dwars vanwege mijn andere principes. Ik weet al dat wanneer je begint met plastic scheiden, je echt nauwelijks iets overhoudt.
In Nijmegen wordt de prijs per zak/ openen container komend jaar juist verhoogd omdat er zo goed gescheiden wordt. Levert ze te weinig inkomsten op. Lekker signaal geef je dan af als gemeente.
Dat gebeurt in Deventer ook al jaren... Probleem is geloof ik dat ze een minimaal aantal kilo's afval moeten hebben (contractueel), heb ik ergens gelezen.
Omdat de gemeente ZIJN problemen (waar ik voor betaal en de gemeente winst op maakt) bij mij neerlegt. Op dit moment heb ik 4 containers waarvan 3 verschillende types. Daar gaat nog een 4e bijkomen.
De gemeente maakt zo van iedere tuin in de stad een mini afvalstation.
Scheiden bij de afvalverwerking is goedkoper en beter dan bij de consument.
bij ons hebben we GFT, PMD (Plastic metaal en drakpakken) en rest
de laatst genoemde staat nog maar 1 a 2 keer per jaar buiten.
Vroeger hadden we containers die per kilo betaald moesten worden, dan gingen bepaalde mensen in de nacht snel kliko's van anderen vullen :')

i theorie zou ik zeggen dat iedereen zijn kliko vrij toegankelijk moest maken als iedereen zich dan ook fatsoenlijk gedraagt. alleen in de praktijk zal dat niet werken
Nou, kan er wel wat bij voorstellen hoor. Afvalbakken zijn in principe voor de lokale bewoners.

Woonde een tijdje in een flat met een containerbak, die wel vanaf de straat bereikbaar was. Uit de hele buurt kwamen mensen met auto's aangereden om in onze container zakken en grof vuil te dumpen :-/ Voor de bewoners zat daardoor steeds de container vol...

En dat was in een gemeente waar vuilnis en grof vuil gratis* wordt opgehaald... Kan je wel nagaan in gemeentes die wat meer "de vervuiler betaalt" willen hanteren dat er nog hardere anti-dumpingsmaatregelen nodig zijn.

*Nou ja, je betaalt de afvalstoffenheffing, maar of je nou elke week het grof vuil laat ophalen, of maar 1x, of nooit, het blijft een eenheidsprijs

[Reactie gewijzigd door Keypunchie op 15 oktober 2018 20:35]

Was hier ook.
Bleek -verassing- veel duurder dan gewoon een flat fee voor alle huishoudens.
Nu is alles weer flat fee.
Afvalbakken op slot doen.
Het beperkt huisvuiltoerisme vanuit wijken waar men per kliko moet betalen en die slechts eens per twee weken geleegd wordt. Dan stort je het bij een ander in de wijk onderweg naar de winkel of bezoek.
Of mensen die elke dag een kleine zak meenemen naar het werken daar in de container mikken.
Het gaat hier om de ondergrondse afvalcontainers die in veel (binnen)steden gebruikt worden als inzamelmethode. Deze worden geopend met een NFC pas. Het moge duidelijk zijn waarom dit soort publieke inzamelplekken afgesloten moeten worden (molest, misbruik etc), bovendien moet in sommige gemeentes (binnenkort) per kuub of per gebruik betaald worden. Deze bewoners hebben dus geen klikos.(Al zullen er ook plekken zijn waar mensen hun klikos op slot doen zie de andere reacties).
Een paar miljoen mensen in Nederland wonen in een appartementen complex, dus geen kliko. Die ondergrondse afval containers zijn een geweldige uitvinding. Maar ja mensen willen niet betalen.

Grappig genoeg komt er nu iedere week alsnog een busje van de gemeente langs om alles op te ruimen. Inclusief grovuil . En waar wordt dat van betaald? De gemeentebelasting die ieder jaar omhoog gaat.
Edit: Het ontgaat blijkbaar jullie allemaal dat mijn opmerking nogal cynisch bedoeld was. Mijn afgrijzen van dit systeem is dat het juist zwerfvuil en idiote situaties in de hand werkt. Niet dat ik niet makkelijk mijn shit kan weggooien. Kom op zeg!
Zwerfvuil wordt al in de hand gewerkt doordat er niet op elk product statiegeld zit. Vaak zie je dat er rondom een glasbak, glas op de grond ligt. Waarschijnlijk geen bierfles met statiegeld 8-)
Het feit dat het mogelijk is maakt het nog niet waarschijnlijk. Hoe kom je bijv aan een kaart van $bewoner die jou niet kent?
Als je op een of andere manier iemands kaart weet te scannen kun je gewoon de ontvangen hex-uid aannemen met een telefoon of een Raspberry met NFC-hat. En wat die dingen bewezen hackbaar maakt is het feit dat het in theorie ook mogelijk om vereiste extra credentials zoals het serienummer of data in het (mogelijk) beschrijfbare gedeelte van de chip uit te lezen en imiteren met bepaalde hardware. Logisch ook, de "officiele" scanner van de chip heeft die info ook nodig, dus moet het ook open kunnen met iets anders. Ze hadden het moeten snappen...

[Reactie gewijzigd door blorf op 15 oktober 2018 20:50]

Ik snap dat als je de kaart eenmaal gescan hebt, het kinderspel is. Echter de persoon die je benadeelt komt er vroeg of later achter, dus het moet een vreemde zijn, en daar loopt het spaak; hoe scan je een gemeentepas van een vreemde?
Er was een mogelijkheid om door een foto van een pas (zonder de pas dus te scannen) een werkende pas te maken. Instagram en twitter zijn dan leuke bronnen.

[Reactie gewijzigd door Geert de Graaf op 15 oktober 2018 21:58]

Hm, via een foto lees je geen elektronisch circuit in plastic uit.
Misschien is het haalbaar om een NFC scanner te verzwaren/versterken tot een belachelijk vermogen zodat de pas daar op meters afstand op reageert. En dan met een ultra-gevoelige infrarood camera de response op de antenne scannen... :P
Er staat informatie leesbaar op de pas waarmee het mogelijk was (nadruk) om een pas te maken omdat een webdienst bij het invullen van de leesbare gegevens de UID prijsgaf.
Zoals bij het skimmen van een pinpas. Op de afvalcontainer zet je je eigen lezer die de kaart van een willekeurig slachtoffer uitleest.
De kaart heeft een waarde in geld, gemak en verantwoordelijkheid. Dat zijn ideale combinaties voor personen die zich willen verrijken. Dat maakt het aannemelijk dat er misbruik van gemaakt is of zal worden.

Maar zelfs als die waarschijnlijkheid beperkt is, dan speelt ook nog mee dat er voor de houder van de kaart een risico in zit terwijl de eigenaar van het systeem nauwelijks of niets doet aan het wegnemen van dat risico.
Natuurlijk kan je je er mee ‘verrijken’ door een tijdje je auto op andermans kosten ergens te parkeren. Dat is toch niks? Is dat voldoende incentive om op zoek te gaan naar een manier om iemands kaart te scannen, zonder dat die persoon het notabene doorheeft? Verloren kaart zal wel gemeld worden dus iemand rollen heeft geen zin.

[Reactie gewijzigd door Clavius op 15 oktober 2018 21:33]

Dat kan (in bepaalde configuraties) natuurlijk zo makkelijk zijn als even met je telefoon langs iemand zijn broekzak gaan in een drukke bus. Je hebt daar speciale RFID blokkerende portemonnees voor (zoals de Nederlandse SecrID) maar niet iedereen gebruikt die.

[Reactie gewijzigd door GekkePrutser op 15 oktober 2018 23:19]

Je moet dan toch je kenteken opgeven neem ik aan.
Zo ja dan is het niet echt een ontraceerbare actie.
Alleen willekeurige auto's 'parkeren' om de kaarthouder te zieken behoort dan tot de mogelijkheden.
Portomenee verliezen, in een onbewaakt ogenblik in de vensterbank laten liggen, uit je zak gevallen... moet ik nog even doorgaan?
Als het een gemeentepas is, op een plek staan waar die pas nodig is?
Denk aan een milieupark. Nog afgezien van wat Geert aangeeft dat kon.
Misschien door een skimmer op een vuilcontainer te plakken?
De Graaf zegt tegen Tweakers dat het mogelijk is dat bewonerspassen in andere gemeentes ook zijn uitgerust met de zwak beveiligde chip, maar dat is onbekend.
Dit lijkt me toch een mooie oproep aan tweakers om alle gemeentepasjes eens tegen je nfc reader van je mobiel te houden om te kijken wat voor type chip het is en te melden als het een classic chip is, welke functie die binnen de gemeente heeft en wanneer die geintroduceert is.
Met de Andoid app NFC Tools kom ik er achter dat er in mijn gemeentepas een MIFARE Classic 1k zit volgens ISO 14443-3A. Als ik een kopieer opdracht geef krijg ik en "Reading error" in stap 1 (lezen).
Dat lijkt mij een goed teken :)

Rijbewijs en bankpas zitten overigens op ISO 14443-4.

[Reactie gewijzigd door Marcva op 15 oktober 2018 22:21]

MiFare Classic is waar de eerste OV chipkaart op gebaseerd was. Ja, die kaart te kraken was ja. En dat gebeurde ook echt.

Zo simpel als alles klonen en op een nieuwe kaart schrijven is het inderdaad meestal niet, want de datablokken kunnen beveiligd worden. Dat zal bij jouw pas gebeurd zijn. Maar bepaald waterdicht is het dus ook niet.

Een van de problemen is dat vaak statische sleutels gebruikt worden voor de beveiliging van datablokken. Dus voor iedereen dezelfde sleutel, die je gewoon uit kan lezen met een sniffer als je hem zelf gebruikt. Logisch ook, want iedere afvalbak moet weten hoe hij een pas uit moet lezen en die dingen praten meestal niet met een centrale server. Maar echt veilig is het niet en ik zou het dan ook niet gebruiken voor dingen die belangrijker zijn dan dat.

Je kan wel een ander blok maken met een veranderende code voor toepassingen die extra veiligheid vereisen, maar zelfs dat bleek dus te kraken.

[Reactie gewijzigd door GekkePrutser op 15 oktober 2018 23:17]

Met die sleutels heb je een dilemma, aangezien geen enkele instantie speciale hardware of privileges heeft die een elektronicaboer niet heeft. De chip en de scanner moeten die sleutels leesbaar uitwisselen, wat afluisterbaar is, en wanneer gebaseerd op enige publieke standaard gewoon ontcijferd kan worden. Om dat probleem op te lossen zou elke NFC-chip zijn eigen unieke encryptie-configuratie moeten hebben die hard in de chip zit en niet van buitenaf is terug te halen, behalve door de toegepaste scanners. Alle te verifieren sleutels van de actieve passen moeten eenmalig vastgesteld worden en bekend gemaakt zijn aan de kant van de scanners.
Oftewel, de hele produktie van de scanners en de pasjes + het plaatsen van het systeem moet van begin tot eind als een afzonderlijk project uitgevoerd worden, en de pasjes en apparatuur kunnen nooit 100% voldoen aan een standaard. Enige afwijking is noodzakelijk, anders wordt het geheel mogelijk alsnog gebruteforced omdat er 'een systeem' in zit. De sleutels mogen geen enkel vindbaar verband hebben.

[Reactie gewijzigd door blorf op 16 oktober 2018 00:08]

de pasjes en apparatuur kunnen nooit 100% voldoen aan een standaard. Enige afwijking is noodzakelijk, anders wordt het geheel mogelijk alsnog gebruteforced omdat er 'een systeem' in zit.
Dat is natuurlijk onzin. Met moderne cryptografie standaardiseer je alle hardware en software. Per project gebruik je separate public/private keys. 100% standaard, 0% afwijking.

Sterker nog, in de cryptografie is brute-forcen juist een gevaar als je ook maar iets van de standaard afwijkt. Van de oude DES standaard is inmiddels bekend dat ook maar 1 bit van de standaard afwijken de implementatie zeer sterk verzwakte.
Zowel de technologie als het gebruikte medium zijn 100% controleerbaar voor iedereen, omdat alle benodigde hard- en software in het openbaar verkrijgbaar is.
Je kan wel encryptie toepassen, maar om daar iets aan te hebben moet er een deur op slot, en die staan helaas voor iedereen allemaal open. Waar ga je de sleutel bewaren, en wie mogen daar allemaal bij, op grond van wat?

Voorbeeld: wat als een chip of een scanner zo geconfigureerd wordt dat ie standaard "ok" zegt, ongeacht de uitkomst van een verificatie met sleutels? De onderdelen van het systeem hebben geen grond om elkaar te vertrouwen, met of zonder sleutels of ander verificatiesysteem. Tenzij ze afwijken van de gebruikelijke standaarden en "obscuur" samenwerken.

[Reactie gewijzigd door blorf op 16 oktober 2018 11:22]

Tja, dat laat toch alleen maar zien dat je niets snapt van cryptografie. Dit is ongeveer les 2 van het vak cryptografie.

Het staat je inderdaad vrij om een scanner te bouwen die op iedere Assen-pas reageert door een deur open te doen. Sterker nog, je kunt ook gewoon een deur maken die permanent open is. Dat is ook niet de uitdaging.

Wat cryptografie mogelijk maakt is dat de Gemeente Assen scanners maakt die alleen open gaan met een pas van de gemeente Assen. De scanner heeft een public key, en de pasjes zijn ondertekend met de private key van de gemeente Assen. Dat is volkomen standaard, en niet obscuur.

Waar het fout ging is dat deze pasjes gedupliceerd kunnen worden. Dat is geen wiskundige fout, dat is een implementatie-fout.
Les 1: fysieke toegang tot de betrokken elektronica is vernietigend voor elke vorm van digitale beveiliging.

Als die elektronica dan ook nog conform publieke standaarden is geimplementeerd wordt het zonder moeite compleet platgewalst.

Trouwens, dat die pasjes gedupliceerd kunnen worden is beter te verwoorden als: elke vorm van communicatie die door een pasje wordt gebruikt moet publiekelijk zichtbaar zijn om te werken, tenzij de pas en de scanner "bij elkaar" horen, incompatible zijn met andere systemen, en dus niet standaard zijn. Dat dupliceren is geen fout maar keiharde logica. De architectuur/het gedrag van zowel de scanners als de chips is volledig beschikbaar en aanpasbaar voor iedereen. Dus ook ALLE data die er mogelijk in- en uit kan komen, waaronder mogelijke identificatie-sleutels, en OOK de bevestiging of zoiets toevallig ook correct is, ongeacht waar dat op wordt gebaseerd.

[Reactie gewijzigd door blorf op 16 oktober 2018 12:26]

Aha, dat is je denkfout: je denkt dat het gedrag van de scanners op de vuilnisbakken "volledig beschikbaar en aanpasbaar voor iedereen" is. Dat is natuurlijk niet het geval. En zoals ik al zei: als je daar bij zou kunnen, dan kun je de deur wagenwijd openzette ongeachte de input. Dan is er uberhaupt geen beveiliging meer.
Het gedrag van welke scanner dan ook, je kan nooit meer dan wat de Mifare classic 1K standaard toe laat. En alle andere scanners die dit type (volledig) ondersteunen kunnen evengoed aan exact dezelfde data op de pas komen zonder er iets aan te wijzigen. Mocht de manier van scannen niet inzichtelijk zijn, dan is het zaak om even te luisteren hoe een officiele scanner dat dan doet....

Jouw vergissing: je hebt geen uniek onvervalsbaar kenmerk. Wie neem je in vertrouwen, je scanner of je pasjes? Er tussenin zit een ander, en die kan alles van de communicatie maken wat ie wil. Het uitwisselen van sleutels oid kan ook alleen maar via diegene.
Daarnaast gebruik je een systeem dat een onbekende derde c.q. "man in de middle" niet probeert te weren maar juist vereist, wat naar mijn idee beveiligingstechnisch gezien vanaf het begin van de Mifare's doom betekende.

[Reactie gewijzigd door blorf op 16 oktober 2018 14:14]

Misschien moeten ze een keer gaan overleggen met de gemeente Eindhoven. Hier gaan de ondergrondse containers ook nog steeds open met een willekeurige NFC-chip.

nieuwsartikel uit 2010
Meteen even de proef op de som genomen met de avalex pas.
Pas gekloond, maar de afvalcontainer geeft aan dat de pas ongeldig is.
Misschien ook wel gelocked op serial ofzo, want volgens mij hebben die bakken ook een mobiele verbinding, dus zouden ze passen kunnen blokkeren.
Edit; AC's stonden anders, die nu aangepast, morgen nieuwe poging ;)

[Reactie gewijzigd door _ferry_ op 15 oktober 2018 23:08]

En lukte het? :)
Overheidsinstanties en enorm knullig uitgevoerde projecten waar ze miljoenen voor over de balk smijten. Geen betere combinatie.
Overheidsinstanties, enorm knullig uitgevoerde projecten waar ze miljoenen voor over de balk smijten en openbare raadstukken waar de media naar hartenlust kan grasduinen. Geen betere combinatie voor leuk sensatie nieuws.
Het bedrijfsleven maakt net zulke blunders, maar kan deze beter voor de buitenwereld verborgen houden.
Dat klopt ja. Als ze dat zo vaak doen als overheidsinstanties waren ze al honderd maal failliet.

Het is makkelijk om te spelen met geld dat niet van jou is.
Gezien dit een multifunctionele kaart is, zal men dit makkelijk wel eens meegeven "gooi jij het afval even weg"
bij welke (on)bekende werkt dat dan? zelfs tegen een buurman zeg je dat toch niet?

niet fraai dat er zo'n oude techniek wordt gebruikt, maar het misbruik zal in de praktijk waarschijnlijk erg meevallen, dus de opmerking van @totaalgeenhard is m.i. best relevant
Dat afval zal wel meevallen, maar als het om parkeergelden gaat, dan kan je er donder op zeggen dat er mee gefraudeerd gaat worden.

Dat wordt al snel zo'n gevalletje "ziggo-kloon-kaarten". Natuurlijk is het een dom idee en gaan ze tegen de lamp lopen, maar criminelen zijn op zoek naar snel geld, niet zozeer verstandig en nadenkend over de lange termijn.

[Reactie gewijzigd door Keypunchie op 15 oktober 2018 20:38]

ow jawel hoor. Toen ik nog in een appartementen complex woonde, met daarbij ook wat oudere mensen, gooide ik regelmatig even een vuilniszak weg voor andere mensen. Op hun pas uiteraard, omdat het mij anders 1,20 per extra keer de klep openen van de container kostte.

Sterker nog, de oudere mensen boden het mij zelfs aan dat ik ook mijn zak op hun pas weg mocht gooien, omdat ik zo vriendelijk was voor hun even naar de container (100m verderop) te lopen.
En nog zie je allerlei gasten elke dag een klein zakje erin kieperen!
Ja hoor mijn buurvrouw had de pas in haar tas en de buurman moest wat grof vuil weggooien. Ik heb toen mijn afval pas mee gegeven aan de buurman.
Het relevante aan dit verhaal is dat de techniek kwetsbaar is. Dat maakt alle apparaten en pasjes die deze techniek gebruiken dus per definitie kwetsbaar. Dan kunnen de nadelige gevolgen per geval verschillen.
Het relevante aan dit verhaal is dat de techniek kwetsbaar is.
Nee, dat is niet relevant, dat wisten we 10 jaar geleden al, zoals in het artikel staat.
nieuws: 'Mifare-chips eenvoudig volledig te kraken'
[...]

Nee, dat is niet relevant, dat wisten we 10 jaar geleden al, zoals in het artikel staat.
nieuws: 'Mifare-chips eenvoudig volledig te kraken'
Ben ik blij dat ik dit onzin systeem niet hier heb, heb gelukkig containers, en geen gedoe met een pasje om je afval te kunnen weggooien.
Wsl is met de overstap naar windows 10 ook de migratie naar office 365 gemaakt.
https://support.office.co...50-4274-ad18-c805d654b4c4
Daar kan ook naar gemaild worden vanuit een scanner/printer hoor
Klopt, ik bedoelde meer dat men misschien niet door had dat de smtp server was gewijzigd

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True