Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 180 reacties

De toekomst van de in de ov-chipkaart gebruikte rfid-technologie is in het gedrang gekomen dankzij het kraken van de gebruikte chip. Twee Duitsers toonden hun hack tijdens het Chaos Computer Congres.

De beveiliging van de rfid-chip die in de te introduceren OV-chipkaart zou worden gebruikt, is gekraakt. Rop Gonggrijp, eerder mede verantwoordelijk voor de actie tegen onveilige stemcomputers, was aanwezig bij de presentatie in Berlijn. Hij noemt de kraak het einde voor de in de ov-chipkaart toegepaste technologie. De gebruikte chip is afkomstig uit de Mifare-familie, afkomstig van de voormalige chipdivisie van Philips, NXP. Het bedrijf dat de chipkaart in Nederland in moet voeren, Trans Link Systems, wacht op een analyse van chipleverancier NXP en TNO voor het conclusies trekt. Ook het Ministerie voor Verkeer en Waterstaat wacht de technische onderzoeken van de betrokken partijen af.

Om de beveiliging te omzeilen is specifieke apparatuur nodig, waarvan de kosten minder dan honderd euro bedragen. Ondanks het gemak waarmee de encryptie van de kaart te kraken is, is het noodzakelijk een deel van de communicatie tussen chip en chipreader te onderscheppen. Met de onderschepte data kunnen alle gegevens, zoals de unieke code van een chip, vervolgens achterhaald worden. Zo is zelfs het spoofen van een ov-chipkaart mogelijk en kunnen gegevens op de kaart veranderd worden. Overigens benadrukken zowel Trans Link Systems als NXP dat de veiligheid van de gebruikte rfid-chip niet de enige schakel in de beveiliging van de ov-chipkaart is.

Duitse onderzoekers deden tijdens het vierentwintigste Chaos Computer Congres uitgebreid uit de doeken hoe de beveiliging van de OV-chipkaart in elkaar steekt. Met name de gebruikte encryptie - en daarmee de veiligheid van de chip - blijkt kinderlijk eenvoudig in elkaar te zitten. Volgens een van de onderzoekers is het gebruik van de Mifare-chip voor beveiliging niet aan te raden en kan beter naar een andere oplossing gezocht worden: 'If you do rely on Mifare security for anything, start migrating'.

Groenlinks grijpt ondertussen alle commotie aan om te benadrukken dat de politieke partij de uitgifte van de kaart desnoods stil wil laten leggen als de veiligheid ervan niet kan worden gegarandeerd. Ook reizigersvereniging Rover pleit voor opschorting van de uitgifte.

Lees meer over

Gerelateerde content

Alle gerelateerde content (35)
Moderatie-faq Wijzig weergave

Reacties (180)

W00t, het Nederlandse systeem is echt te wazig voor woorden.

Ik woon nu in de hoofdstad van Chili en die hebben gewoon het ideale OV-chipkaart systeem bedacht (werkt wel alleen binnen de hoofdstad in de metro en bus, trein is toch te verwaarlozen).

Je hebt een soort OV-chipkaart (precies evengroot als je bankpas) die je van tevoren oplaadt. Deze kaart is volledig anoniem en koop je voor minder dan ¤ 2. Hier zet je vervolgens geld op. (zeg ¤ 5). elke keer als je de bus of metro ingaat moet je scannen. Het afgeschreven tarief is kinderlijk eenvoudig.

Bij de eerste scan (er is eerder niet gescand met je pas dus) wordt er een bedrag van $ 380 (Chileense peso's, zo'n ¤ 0,54) afgeboekt. Hierna kan je twee uur gratis reizen, in bus en metro. Bij overstappen scan je je kaart opnieuw en reis je voor het 0 tarief. Je gegevens worden niet opgeslagen, alleen staat op je kaart een code wanneer je voor het laatst je entree hebt betaald

Als je twee keer achter elkaar in dezelfde bus/metro inbipt (dat pasje heet Bip! vandaar) wordt er 2 keer iets afgeschreven. Zo kunnen meerdere mensen op dezelfde pas reizen. Bij de overstap valt tenslotte een reiziger onder het nultarief terwijl voor de volgende incheck weer $380 wordt berekend.

Tijdens de spits is de metro $40 duurder. Hier wordt dus extra voor afgeboekt en het nultarief van de metro verandert tijdens deze tijden naar het $40-tarief (exact het verschil). Afstand en dergelijke is niet van belang. Uitchecken bestaat niet, noch in de bus noch in de metro.

In alle metrostations, winkelcentra en verder nog veel meer winkels (bijvoorbeeld de bakker om de hoek), kan je extra tegoed op je kaart zetten.

Bedrijven kunnen aan hun medewerkers een gepersonaliseerde kaart geven, waarna de werkgever voor de werknemers al diens ov-kosten betaalt. Studenten/scholieren krijgen een studentenkaart, waar het tarief ipv $380 $130 bedraagt (¤ 0.18). Studentenkaarten hebben geen verhoofd metrotarief in de spits.

Ben je bang dat je gevolgd wordt, dat koop je voor minder dan ¤ 2 een nieuwe kaart zodra je tegoed op is. Je kan ook meerdere kaarten hebben (ik heb er 4 :p) als je bang bent dat je anders aan de andere kant van de stad staat zonder kaart (Santiago is ongeveer groter dan de Randstad, dus lopen helpt niet ;))

Is het systeem hackbaar: zeker, je laatste inchecktijd kan namelijk worden aangepast waardoor je op het 0-tarief blijft reizen (moet je wel om de 2 uur hacken dan). Men doet dit echter gewoon niet omdat het teveel moeite is en het vervoer is zo prima te betalen. Verder is de mentaliteit hier anders dan Nederland, waar men meestal ook meteen geldelijk gewin uit een defect wil halen.

Gewoon een tipje voor de nederlandse overheid.

P.S. De scanners werken niet geweldig en je kaart wordt soms wel 3x afgekeurd. Gewoon opnieuw ertegen aandrukken. Die vertraging van 10 extra seconden kan best. Verder loopt het nu lekker door in de bus ipv dat stempelgekut in NL. Verder staat op het schermpje nog hoeveel tegoed je over hebt (zodat je op tijd kan bijladen). Terwijl je je kaartje scant is de bus al aan het rijden. Heb je geen tegoed, mag je vaak stiekem toch mee en anders word je er bij de eerste halte uitgeknikkerd.

Verder valt me op dat iedereen met het Nederlandse systeem wel erg perfectionistisch is. Het moet allemaal helemaal perfect gaan. Toch kan ik zeggen dat een redelijk rammelsysteem soms prima resultaten heeft (het systeem presteert nu goed, maar de introductie :()

edit: extra info op http://en.wikipedia.org/wiki/Transantiago en www.tarjetabip.cl (Spaanstalig, niet voor Opera)

[Reactie gewijzigd door rogierslag op 8 januari 2008 19:46]

Ik vind gewoon contant geld en de strippenkaart eigenlijk wel zo gemakkelijk! Zeker als je af en toe eens van het OV gebruik wil maken zijn al die pasjessystemen een groot obstakel. Ook zou ik hooguit een 100% anonieme pas accepteren, anders geen OV meer voor mij.

In Nederland willen ze die kaart op naam hebben om zo Big Brother te laten groeien;

-idplicht
-OV chipkaart
-km heffing
-alle internet en telefoonbewegingen worden 2 jaar bewaard
-de rechten van politie en justitie zijn en worden flink opgerekt onder het mom van terrorisme.
- geld wordt vervangen door chipcards nog makkelijker te kunnen registeren, want in elk eurobiljet zit namelijk al een RFID chip!
etc etc

Alle informatie wordt nu gestandaardiseerd en je sofinummer (dat echt alleen voor werkaangeleden gebruikt zou worden, daar zijn grote protesten tegen geweest) wordt de primare sleutel in de database waarin al je gangen zijn na te gaan.

Het grote probleem is dat onze overheid bij het verzinnen van allerlei regels er vanuit gaat dat ze zelf tot in de eeuwigheid te vertrouwen zullen zijn en alle gegevens goed beschermd. Dankzij de goede centrale registratie konden er in WO2 zoveel joden in NL worden afgevoerd.

Verder zijn we in NL alles aan het centraliseren en fuseren zijn wat inhoud dat de macht ook gecentraliseerd wordt en met macht komt corruptie.....

In Nederland zouden we juist alle systemen strikt gescheiden moeten houden, dan maak je tenminste nog een kans als de nieuwe Nazi's binnenvallen.

Mijn emigratieplannen liggen klaar! Het leuke is inmiddels al van Nederland af, maar het gaat nog veel erger worden!

Onze politiek zal in ieder geval niets willen leren van dit nieuws, die zijn te druk met het vullen van hun zakken en dat van hun vriendjes. :r

[Reactie gewijzigd door gve op 8 januari 2008 20:04]

Ben het er mee eens dat de grote broer mentaliteit ongewenst is. Maar als je een land hebt gevonden waar je naar toe kan emigreren waar dit niet gebeurt, kan je mij dat dan laten weten ? Ik zie het namelijk overal gebeuren, de enige optie is denk ik nog om met een bootje weg te varen en nooit meer aan te meren.
de enige optie is denk ik nog om met een bootje weg te varen en nooit meer aan te meren.
Je zou er ook voor kunnen kiezen om :
- het niet te accepteren
- te protesteren
- op een partij te stemmen die dit wel belangrijk vindt
- discussies aan gaan
- niet mee te werken aan dit soort ideeen
- zelf (politiek) actief te worden
- je omgeving ervan bewust maken wat het gevaar is
- etc.
- etc.
- etc.
Costa Rica is nog een schitterend land met mooie mensen en een geweldige lijfspreuk: La pura vida.

@ Pl_eX- hieronder: ik ga overal de discussie aan waar het kan, ik mail me rot naar de politiek, ik maak mijn omgeving bewust etc.
Maar: het lijkt wel of ik met gedrogeerde schapen samenleef in dit land; mensen die zich enkel druk lijken te maken om oppervlakkige zaken (hoe is het met de dominomus?) en als hobby shoppen hebben. :r

Als jouw hobby ook het kopen van spullen is of je denkt je geluk uit spullen te halen; ga eens nadenken waar het mis is gegaan.
in elk eurobiljet zit namelijk al een RFID chip!
waar dan? ik zie hem niet.. :P

(als in: ik zie nergens een chippie, maar belangrijker: ik zie nergens een antenne. Houd eens een rfid-kaart (b.v. mifare) tegen het lcht en je ziet duidelijk een chip (paar millimeter) en de antenne die door de hele kaart zit. Nou ga ik niet zonder bronnen beweren dat iedere RFID chip groot genoeg is om te zien, maar zonder antenne wordt het natuurlijk al helemaal moeilijk om wat te versturen/ontvangen.. :P )

oh, en even googlen op 'euro' en 'rfid' leverd me alleen maar vage anti-conspiracy pagina's op dus ik durf er m'n twijfels wel bij te zetten..

(oh, en de RFID antenne die ik hier op m'n bureau heb liggen reageerd niet op een eurobiljet, wellicht dat dat ook wel een hint is.)
"vage anti-conspiracy "

Die moet je dan maar eens wat meer gaan lezen, want 8 van de 10 keer is de kern gewoon waar. Tuurlijk vind je er ook onzin, maar dat percentage valt in het niet als je het met een gemiddeld reclameblok vergelijkt. :Y)

9-11 is een inside job, maar dat vinden we ook moeilijk te geloven. Het bewijs hiervoor werd op 9-11 in de middag al gegeven door de BBC, want die doen verslag van gebouw 7 dat ingestort zou zijn, maar in werkelijkheid een half uur later wordt "gepulled". Het gebouw zie je gewoon op de achtergrond staan tijdens dit live verslag. |:(

De meeste terroristen zitten in de politiek!
Als ze veel burgerslachtoffers zouden willen maken dan kunnen ze beter tijdens een grote sportwedstrijd of popconcert een raketwerper leegschieten.

De "aanslagen" in Madrid waren "toevallig" ook net voor de verkiezingen en de leverancier van de explosieven was een infiltrant van de politie.......

rfid in elk eurobiljet: Doe de magnetrontest maar, dan zal je zien dat er een perfect gaatje gebrand wordt op de plek waar het chipje zat.

[Reactie gewijzigd door gve op 9 januari 2008 20:53]

Echter, willen ze het zonder Mifare kaarten gaan doen dan komen we dus weer uit bij de gewone contact-kaarten (à la chipknip), en dat maakt het toch wel weer een stuk minder gemakkelijk en efficiënt. (moet er weer een pasje in een gleufje)

Wat ze er overigens niet bij vertellen is dat de enige informatie die op zo'n kaartje staat (doorgaans, weet de exacte inhoud van een OC-chip kaart niet uit m'n hoofd) niets meer is dan een ID-nummer, en in dit geval een digitale portomonnee. In principe gegevens waar je niet zoveel mee kan, zeker niet met een losse ID. Verder zal er niemand zijn die grote hoeveelheiden geld op z'n chip gaat zetten, omdat dat simpelweg niet nodig is. Veel schade zul je er dus niet door oplopen, maar belangrijker: veel winst is er dus niet te behalen. Overigens weet ik niet waarom de unieke ID code van de chip speciaal genoemd wordt in het bericht. Iedere chip heeft, duh, een ID, maar dit is [b]niet[/u] hetzelfde als je user-id of login-code ofzo, het is simpelweg het nummertje van het chipje. Wie het hele OV-chipkaart idee bedacht heeft moet wel een enorme idioot zijn wil hij die ID's gaan gebruiken om mensen te identificeren.
(ook omdat het uitlezen van de chip-id een kwestie is van.. de kaart binnen het veld van de lezer plaatsen en de lezer dit ID uit laten lezen. In tegenstelling tot de rest van de gegevens op de chip is dit namelijk zonder keys of wat dan ook uit te lezen)

Om een Mifare kaart te kraken moet je het nodige dataverkeer zien te onderscheppen, zoals al heel erg vaak gepost hier (maar nooit echt gelezen?) werkt een FRID slecht tot een centimeter of 10. Mifare kaarten verschillen daar niet in. Om de communicatie tussen de lezer en de kaart af te tappen zal er dus een tweede (aftap-) antenne tussen de bestaande lezer en de kaart geplaatst moeten worden.
Zal nogal opvallen, hm? zo'n kastje wat tegen de lezer in de bus aangeplakt zit?

Dussehh... het werkelijke gevaar is zhangt ervanaf wat voor gegevns er op de kaart staan, en hoe die gebruikt worden. Je pinpas is ook nauwelijks beveiligd, toch worden er niet dagelijks rekeningen geplunderd..
Dat RFID niet werkt op grotere afstanden betekent niet dat je het niet kan afluisteren. RFID werkt niet op een grote afstand omdat ook de energie voor het chipje via radiogolven binnenkomt. De energie in de golven neemt kwadratisch af met de afstand. Bij een te grote afstand krijgt het chipje te weinig energie en kan niet meer werken.
Voor afluisteren heb je (bijna) geen energie nodig. Het signaal moet alleen sterker zijn dan de ruis. Dat is nog steeds zo op honderden meters afstand. Je kan dus van grote afstand afluisteren. Dit is ook in het verleden in het nieuws geweest met de chipjes in (ik meen Amerikaanse) paspoorten.


Bij PIN-betalingen wordt er elke keer contact gemaakt met een server, maar bij chip-systemen zoals OV-chipkaart en de chipknip gebeurt dit maar een paar keer per maand. Er staat meer op zo'n chipkaart dan alleen een nummertje. De chipkaart bevat ook saldo, reisproducten etc. Om fraude tegen te gaan zijn er vaak wel blacklists, maar die hebben geen nut als je zelf een ID kan maken. Hopelijk heeft de OV-chipkaart een soort digitale handtekening die laat zien dat de kaart uitgegeven is door TLS. In dat geval is er niet veel aan de hand.

Een nieuw OV-systeem maken is overigens een kleine moeite. Het enige dat gewijzigd hoeft te worden is het pasje en de interactie met het pasje. De toegangspoortjes, andere hardware en zelfs de gebruikersinterfaces (teksten op schermpjes) blijven gelijk.
De truuk is dat de apparatuur om dit te regelen minder dan 100 euro kost. Dat is dus twee retourtjes Eindhoven-Amsterdam. Ofwel: Het wordt voor de meeste trein reizigers heel erg interessant om die apparatuur te regelen en de rest van hun leven helemaal gratis van het openbaar vervoer gebruik te maken!
En daarvoor hoef je alleen maar het dataverkeer van je eigen kaart te onderscheppen.

UserID gebanned vanwege misbruik? Pas je je userID toch gewoon aan? Die gebanned omdat hij in twee verschillende trieinen tegelijk zat? Lullig voor die ander dan maar ik verander hem wel weer.

Misbruik hoeft niet alleen directe persoonlijke schade te betekenen. Schade voor de NS en indirecte persoonlijke schade zijn in combinatie al behoorlijk lullig en mijns inziens meer dan genoeg reden om eens hard achter je oor te krabben.

[Reactie gewijzigd door Croga op 8 januari 2008 17:11]

En dan loop jij door je poortje, staat er op het scherm van de NS controlleur "Mevr Jansen" en ben jij toevallig een heer.

Daarna sta jij met boeien om op het politiebureau uit te leggen dat het voor jouw goedkoper is. 3 maanden later word je er dan ook nog voor veroordeeld en heb je een strafblad en fikse boete.

Mensen neerslaan op straat en dan hun geld stelen werkt ook in real-life en niet alleen in computerspelletjes, alleen zijn de gevolgen *net* iets echter.....
Gelukkig zijn er ook anonieme OV chipkaarten :)
Zwartrijden geeft geen strafblad volgens mij....
En het blijft net als met alle overtredingen --> als de pakkans maar laag genoeg is overstijgt de winst ver de mogelijke beboeting. Als je dus hier met een "investering" van 100 euro klaar bent, heb je snel winst ;)

Ik pleit hier absoluut niet voor dit soort praktijken, je zult mij niet zien frauderen, maar je maakt het op deze manier wel erg makkelijk voor de mensen die wel kwaad van zin zijn.
Het gevaar van deze "hack" is ook niet zozeer technologisch maar de heisa die de nitwits in de politiek hierover gaan maken. Zie ook de compleet gestoorde vloeistoffenregels in de luchtvaart.
Kijk, jij snapt het.

De beveiliging van de OV-chipcard bestaat uit een hele reeks van beveiligingen en procedures. Hoe kan een willekeurig GroenLinks kamerlid hier nu wat over roepen.
Wikipedia: Bereik passieve rfid chip: enkele cm. tot 2 meter. Actieve rfid chip (met eigen zendertje) 100 meter tot enkele kilometers.
Het aftappen van de communicatie is dus vrij goed te doen met een apparaatje in je binnenzak.
er bestaan inderdaad RFID's die verder dan 10cm werken, en ja, actieve RFID's kunnen nog veel verder.

Het gaat hier echt niet om RFID's in het algemeen, maar specifiek om Mifare kaarten, en die werken slecht tot die 10cm.
zoals al heel erg vaak gepost hier (maar nooit echt gelezen?) werkt een FRID slecht tot een centimeter of 10.
Oh ja?

What is the read range for a typical RFID tag?
There really is no such thing as a "typical" RFID tag, and the read range of passive tags depends on many factors: the frequency of operation, the power of the reader, interference from other RF devices and so on. In general, low-frequency tags are read from a foot (0.33 meter) or less. High-frequency tags are read from about three feet (1 meter) and UHF tags are read from 10 to 20 feet. Where longer ranges are needed, such as for tracking railway cars, active tags use batteries to boost read ranges to 300 feet (100 meters) or more.

[Reactie gewijzigd door mars op 8 januari 2008 17:17]

Je argument dat mensen geen grote bedragen op deze kaart zetten gaat niet op, er is nu al de mogelijkheid om de kaart automatisch op te waarderen wanneer hij leeg is.
Verder hoeft niet het hele aftap kastje op de lezer geplakt te zitten, alleen de antenne. Deze antenne is maar zo dik te zijn als de chipkaart zelf en hoeft dus niet echt op te vallen als je hem onder een sticker of iets dergelijks verwerkt.
En een sticker met een snoertje eraan wat naar iemands broekzak of tas loopt valt minder op?
Om een Mifare kaart te kraken moet je het nodige dataverkeer zien te onderscheppen, zoals al heel erg vaak gepost hier (maar nooit echt gelezen?) werkt een FRID slecht tot een centimeter of 10. Mifare kaarten verschillen daar niet in. Om de communicatie tussen de lezer en de kaart af te tappen zal er dus een tweede (aftap-) antenne tussen de bestaande lezer en de kaart geplaatst moeten worden.
Zal nogal opvallen, hm? zo'n kastje wat tegen de lezer in de bus aangeplakt zit?
helemaal niet; Dat hangt nl. niet alleen van de kaart af, maar vooral van de antenne; met een sterke antenne kun je de afstand aanzienlijk vergroten.
Je laptop stop je samen met die ontvanger in je rugtas en je loopt achter iemand aan die door zo'n poortje gaat... zo eenvoudig is het.

Verder kun je nog met richt-antennes het bereik vergroten.
Ach ze hebben ook fake ATM's gemaakt om bankpasjes te kopiëren, dat viel blijkbaar ook niet op.
Ik stem voor het oude vertrouwde kaartje. Als je zo godesmoeilijk wil doen met alles hetzelfde kaartje, doe dat dan, maar alsnog maak er niks electronisch van. Valt er ook niks te hacken. En hoeft niemand zich meer zorgen te maken over je gegevens die voor de hele wereld bereikbaar zijn.
deze blog bevat wat meer info + een link naar de desbetreffende presentatie
http://www.toool.nl/blackbag/

[Reactie gewijzigd door rremzie op 8 januari 2008 16:40]

Ik mag natuurlijk niets vrijgeven over de ov-chipkaart, maar laten we het erop houden dat er gekozen was voor een kortere sleutellengte dan maximaal mogelijk, dit vond ik een van de domste beslissingen die zijn genomen, desondanks maakt de sleutellengte niet eens zoveel uit daar het verkeer tussen lezer en kaart gesnift kon worden door de duitsers, op die manier konden ze zonder de sleutels te hebben makkelijk aan de sleutel komen om de kaart open te krijgen, edoch werkt dit dan ook alleen maar voor die kaart, je kunt met deze informatie niet andere kaarten unlocken, voor elke kaart moet je de procedure herhalen, probleem is natuurlijk dat gesnifte kaarten kunnen worden gekloond hierna, echter je moet dan wel veel weten van RFID en electronica en hoe de werking van een mifare kaart precies in elkaar zit, dit is niet iets voor de "faint of heart", daar moet je echt guru voor zijn, bovendien zullen gekloonde kaarten eenvoudig herkend worden doordat de kans groot wordt dat een gekloonde kaart binnen 1 uur zowel in maastricht als amsterdam gebruikt wordt, het systeem kan dan concluderen dat de betreffende kaart gekloond is en hem blacklisten, de werkelijke eigenaar kan dan op het station gewoon een nieuwe kaart krijgen.
Of je wel of geen guru moet zijn om het systeem te hacken is helemaal niet relevant. Als 1 guru dit uitgevogeld en gepubliceerd heeft dan kan je er donder op zeggen dat er binnen de korste keren kant en klare hack kits beschikbaar komen, inclusief windows installer en mooie plaatjes :)

Dat is dan ook een van de belangrijkste boodschappen van de genoemde onderzoekers; security by obscurity werkt alleen op de korte termijn. Als er voldoende te winnen is komt er vanzelf iemand die de obscurity laag voor laag weghaalt waarna je dat stuk 'veiligheid' kwijt bent. En het lijkt er op dat de Mifare zonder de obscurity een lachertje is.
Het was natuurlijk een kwestie van tijd ... maar uiteindelijk is het dan toch gelukt. Toch is er in de media weer een boel onzin verteld.

MiFare is NIET echt gekraakt. Een door NXP gecreeerde toepassing met MiFare is wel fors onderuit gehaald. Erger nog; Philips voldoet niet aan de ISO 14443-4 standaard ondanks dat ze dit beweren.

Wat is er dan wel aan de hand? Men is in staat zich als een ander voor te doen (spoofing) door enorm slecht implementatie van de MiFare techniek (http://www.mifare.net/) en om bepaalde gebieden te beschrijven. Eigenlijk wordt er nog niet eens iets ge[de/en]codeerd maar is door de slechte implementaties men gewoon eenvoudig in staat de reader te doen geloven dat je legaal iemand anders bent.

1. MiFare maakt gebruik van Hardware features als randomizers. Door de chip te ontleden is men er achter gekomen dat deze randomizer altijd volgens eenzelfde sequence begint (dus na 1 sec. draaien weet je exact wat je krijgt) ... en dat de sequence in een veel te korte tijd herhaald wordt (16 bits ipv 48 bits) en daardoor dus niet random is. Lullig want hierdoor kun je gemakkelijk de sleutels bepalen.

Dit is schokkend en geeft aan dat NXP een paar blunders gemaakt heeft op ontwikkelniveau ... het ergste moet echter nog komen:

2. Als uiteindelijk de communicatie radio technisch staat, moet de chip zich met sleutel en versleutelde ID melden maar ... een RFID heeft niet genoeg power om dit te doen en daarom is er gekozen voor een short-cut die te eenvoudig voor woorden is en verklaart waarom NXP dit deel zo krampachtig voor zich probeerde te houden: de sleutel wordt ge-OR-ed met het ID. Er is geen extra controle die block nul uitleest (het ID van de kaart) en deze vergelijkt met het eerder "gemengde" ID. Nu het algoritme van mengen duidelijk is, kan elke sleutel gebruikt worden zonder encryptie kennis. Een sleutel vertegenwoordigt een aantal rechten en omdat ik de ID eenvoudig kan meegeven kan nu elke kaart een kopie van de ander worden of kunnen lees en schrijfacties eenvoudig worden ge"initieerd.

NXP heeft hier echt een super steek laten vallen. Juist door de geheimhouding is er geen enkele review geweest, een gezond proces in ontwikkelland.


De eerlijkheid gebiedt ook te zeggen dat beveiliging op een RDIF met een beperkte rekencapacitieit in tijd, een zeer ongeschikt medium is voor persoonlijke (OV) gegevens. De RFID is oorspronkelijk alleen bedoeld voor identificatie van dozen etc.. Het duurdere NFC is veel beter geschikt voor beveiligingstoepassingen. Doordat men kiest voor minimale hardware kosten is het logisch dat de beveiliging de wensen overlaat en is het ergens ook een beetje eigen schuld. Een fiets kun je niet gebruiken om een auto-aanhanger mee te trekken.
Wat ik me af vraag is waar die miljoenen aan ontwikkelkosten toch zijn gebleven. Nu het de vraag is of de kaart hackable is, betekent het toch niet dat er geen kaart-systeem meer toegepast kan worden? hoe 'flexibel' is het systeem als een mogelijke kraak van de kaart de hele ontwikkeling om zeep heeft geholpen?!
Dat zijn de wegen van de overheid, oftewel, er is eerst een commissie voor opgesteld, die de eisen heeft bepaald, daarna is er een hoop over vergaderd of dit nou wel zo'n goed plan was (horeca-omzet is gestegen toch? :P ), en toen zijn er prototypes gekomen, op moment testen ze in Rotterdam voor zover ik weet. Kost allemaal geld, en dan heb ik het nog niet eens over de deskundologen die geraadpleegd moesten worden, de opslag van alle fotos van mensen (iemand heeft nu dus ordners vol met pasfotos, terwijl het ding toch digitaal wordt, en je die foto dus gewoon kunt scannen). Oh, en al die brieven zijn opgesteld, er zijn rapporten verschenen zodat iedereen dacht dat er vooruitgang was.

Waarom pakken we niet gewoon een bankpas, stoppen daar die data in, en we zijn klaar? Zo'n ding heeft een eigen processortje, geheugentje, en is redelijk veilig (denken we ;) ), en er is vast nog wel ruimte om er ook een 1 (wel gratisch reizen) of 0 (dokken) bij te plakken. Oh, of misschien houden we het huidige systeem, dan moet er een chauffeur controleren, geeft gegarandeerd minder fouten, en opschieten deden bussen toch al niet.
De OV-Chipkaart is een initiatief van de gezamelijke OV-bedrijven in Nederland. Het project komt dus niet voort uit een wens vanuit de 'politiek' of - zoals jij dat noemt - 'de overheid'.

Ik citeer uit het antwoord op de vragen die Provinciale-Statenlid van Noord-Holland H. Putters (SP) in 2006 kreeg. (Vragen NR. 95 Haarlem, 31 oktober 2006)
De OV-chipkaart is een initiatief van de gezamenlijke OV-bedrijven in Nederland,
nadrukkelijk niet alleen NS. De rijksoverheid steunt dit initiatief, met steun van een
kamermeerderheid. De provincies en stadsregio’s steunen dit initiatief eveneens.
De OV-Chipkaart is een initiatief van de gezamelijke OV-bedrijven in Nederland. Het project komt dus niet voort uit een wens vanuit de 'politiek' of - zoals jij dat noemt - 'de overheid'.
In London gebruikt men een gelijkwaardig systeem (Oyster card) in ik geloof dat men tenminste in Beijing ook net zoiets geïntroduceerd heeft. Had men niet beter gewoon die techniek kunnen overnemen / aan mee doen.

Waarom moet Nederland nu weer zo nodig miljoenen stoppen in een geheel eigen systeem?
Daar is een reden voor: het OV-netwerk is hier véél complexer en groter. Men heeft zelfs overwogen hetzelfde systeem te gebruiken, maar omdat het in Londen en Beijing slechts om één stad gaat was dezelfde oplossing niet mogelijk en waren er heel andere problemen die overkomen moesten worden. Zover ik weet is er natuurlijk wel de nodige kennis van bestaande systemen overgenomen.
Daar is een reden voor: het OV-netwerk is hier véél complexer en groter. Men heeft zelfs overwogen hetzelfde systeem te gebruiken, maar omdat het in Londen en Beijing slechts om één stad gaat
Je bent er mee bekend dat greater London en de gehele metropool Beijing meer inwoners hebben dan heel Nederland?
De Oyster card gebruikt dezelfde Mifare 1k chip, staat dus ook met de billen bloot.
Ouch!
http://en.wikipedia.org/wiki/Oyster_card
(Ik vraag me af hoeveel er specifiek is ontwikkeld voor NL bovenop de standaard MiFare infrastructuur...)
waarom pakken ze niet gewoon de chipknip hiervoor, deze techniek is al veilig, iedereen heeft hem al(als goed is) en hij wordt toch niet veel gebruikt(ze willen hem zelfs schappen, ik gebruik hem wel veel :Y) ) Lijkt mijj toch een stuk handiger!
Nu heb je weer een losse kaart, met een andere techniek. Je kan ook gewoon er voor zorgen dat je voortaan alleen nog met de chipknip kan betalen. Wordt deze techniek ook nog eens veel gebruikt!
lijkt me niet zo handig. Een chipknip moet contact maken, de rfid chip in de ov-chipkaart niet. naast de negatieve kanten die hier in het artikel en reacties genoeg genoemd worden heeft het tegenover de chipknip zeker 2 voordelen door dat hij contact loos can communiceren.

ten eerste, slijtage. ik ben net een vervend chipknip gebruiker en moet zeggen dat die dingen naar mijn idee veel te snel stuk zijn/slijten. ik gebruik minstens 2 keer per dag de chipknip (zuinige schatting) en merk een enorme slijtage door gebruik, tot het punt waar ik al vaker van pas heb moeten wisselen dat dat ik eigenlijk wilde.

ten tweede, snelheid, het in een machine proppen en handelingen verrichten tegenover iets ergens voor houden scheelt enorm veel tijd als we naar de massa kijken (1 seconden per persoon tikt al aardig snel aan en ik denk dat we het meer over meerdere seconden hebben). en het openbaar vervoer is nu net zo'n fijn massa product met enorme pieken bij het spits uur.

nu heb ik net even 2 praktische voordelen genoemd tov de techniek uit de chipknip, maar zonder veilige communicatie heb je er natuurlijk niets aan. hopelijk kan de bestaande infrastructuur gehandhaafd worden en met wat "kleine" ingrepen (lees: alternatieve beveiliging) toch in de praktijk gebracht worden. het systeem ansich lijkt me namelijk best praktisch en goed.

Security through obscurity, helaas voor dit soort "domme" chips een veel gebruikte methode.Hopelijk leren mensen er van en zullen sneller naar beproefde open, en dus controleerbaar voor de afnemer, algoritmes overstappen.

een ander puntje waar ik mee zit is het openbaar maken van code die beschermt is.
zoals in een van de bronnen te lezen is, hebben de onderzoekers/hackers met groot geduld de chip laag voor laag bloot gelegd, fotos gemaakt en de cirquits gelezen. Als ze dit openbaar maken, wat nog niet gebeurt is maar wel in de lijn der verwachting ligt, schenden ze dan het copyright van NXP op Mifare?
Ben jij wel eens op Amsterdam Zuid geweest?

Daar staan de poortjes, open weliswaar, maar ze staan er. En het feit dat al die honderden mensen door die poortjes moeten voordat ze het perron op kunnen zorgt voor verschrikkelijke vertraging. Ik haal mijn metro tegenwoordig niet meer, terwijl ik dat voordat ik door de poortjes moest zonder problemen deed.
Inderdaad, hetzelfde probleem hier. Het is helemaal leuk op een station als Sloterdijk, als in 1x een metrolading aan mensen naar beneden stormt om de trein te halen en die dus massaal mist. De trappen zelf kunnen het al amper aan, laat staan de poortjes [die nu nog voor het grootste gedeelte openstaan]. Wordt een leuke mess als iedereen straks moet gaan `swipen'...
Ruimte voor een 0 (100% dokken), 1 (gratis in weekend, 60% betalen doordeweeks) , 2 (gratis doordeweeks, 60% weekend), 3 (altijd 60%, nooit gratis) bedoel je?
precies

Als ik even bedenk, zou ik met een paar duizend euro ook wel een systeempje kunnen bedenken...
Op de RFID kaart zetten we een userid, een numerieke unieke string van 1000 tekens.
Telkens iemand z'n kaart gebruikt, controleert de lezer of deze userid bestaat en of deze nog genoeg credits heeft, nadien boek je de credits af op de server.
Volgende keer precies hetzelfde.

Zonder keys of encryptie! Is het veilig? Jah hoor, even veilig als een duur paar keys. Beide systemen zijn te hacken als je alle combinaties afgaat, maar ga jij maar eens alle mogelijke combinaties af naar een geldig userid in een verzameling van tienduizend ziljoen :) En áls je er al eentje zou vinden, dan heb je de credits ter waarde van 50 euro ofzoiets... en daarna mag je weer opnieuw beginnen.

Verder zou je ook met 2 strings kunnen werken, een userid (uniek, 1000 tekens) en met een 2e waarde die de hash vormt van "iets" (weet enkel de server) met de userid of je verzint wel iets.

Zoiets is niet te kraken, want er valt weinig te kraken :) Alleen moet de server alles weten -wat ook prima is.
BTW, ik bedenk net dat de GSM oplaadkaarten in België ook volgens dit principe werken (gewoon uniek groot getalletje). Een 2e keer het getalletje gebruiken gaat niet ;)

Ik kan met niet inbeelden dat ze oplopende ID's zouden gebruiken die gewoon geencrypteerd zijn? Maar als dat niet zo is en ze gewoon de ID kunnen uitlezen (en kopieren), maar die ID wel niet zomaar te raden is, is de 'hack' veel geblaat..?
Op de RFID kaart zetten we een userid, een numerieke unieke string van 1000 tekens.
Telkens iemand z'n kaart gebruikt, controleert de lezer of deze userid bestaat en of deze nog genoeg credits heeft, nadien boek je de credits af op de server.
Volgende keer precies hetzelfde.

Zonder keys of encryptie! Is het veilig? Jah hoor, even veilig als een duur paar keys. Beide systemen zijn te hacken als je alle combinaties afgaat, maar ga jij maar eens alle mogelijke combinaties af naar een geldig userid in een verzameling van tienduizend ziljoen :)
Waarom zou je alle combinaties afgaan? Sniffen is veel veel makkelijker, de reden waarom er ook encryptie op het hele gebeuren zit. Anders zou je met de juiste apparatuur gewoon iemands ID uit kunnen lezen, ID clonen en op zijn kosten kunnen gaan reizen. Voorbeeld dat je noemt is allesbehalve veilig.
Dé oplossing daarvoor: gewoon met een magneetstrip of met een OK knop :)
Waarom denk je dat de PIN-pas met magneetstrip vervangen gaat worden door een chip? Precies: Magneetstrippen zijn te kopieren, chips nagenoeg niet.
Welnee, het maakt het hoogstens wat moeilijker. Maar magneetstrippen zijn ook niet makkelijk te kopiëren. Het probleem is de draadloosheid, dat zorgt ervoor dat gegevens van ver (relatief begrip natuurlijk) kunnen worden uitgelezen. Als je er een strip/chip in moet stoppen, is dat een stuk moeilijker om de gegevens eruit te halen, omdat je dan eerst iemand z'n kaart moet jatten.
De miljoenen zijn niet besteed aan deze chip. De MiFare chip zelf is gewoon een van-de-plank systeem dat al vele jaren in andere landen in gebruik is door miljoenen mensen. De chip staat er zelfs om bekend dat hij zo goedkoop is, nogal belangrijk als je er miljoenen van nodig hebt.

De kosten zitten in het aanleggen van een landelijke database, netwerk, de administratie, de poortjes etc. etc.

Als het onderzoek uitwijst dat dit probleem inderdaad bestaat dan zal er waarschijnlijk gekozen moeten worden voor een nieuwere versie van deze chip. De uitgaven aan de poortjes, database etc zijn niet tevergeefs geweest, die kunnen gewoon blijven staan.

De enige kosten die er extra zouden moeten worden gemaakt is een terugroep actie van al uitgegeven kaarten. Dat is niet gratis maar betekent niet alle gemaakte kosten ineens overbodig zijn, verre van dat.

[Reactie gewijzigd door Maurits van Baerle op 8 januari 2008 17:56]

Helaas...

De controle mogelijkheden van de Nederlandse overheid worden met de komst van de OV-chipkaart (en uiteindelijk rekeningrijden) te ver uitgebreid.

Ik ben niet tegen de nederlandse staat, maar als een selecte groep van 150 mensen deze informatie tot hun beschikking krijgt vrees ik toch ernstig voor mijn veiligheid. Zeker als je kijkt welke macht zij zichzelf toe-eigenen onder het mom van terrorisme.
Dat is afhankelijk van de contracten met de leverancier van de kaart.

Als men verstand had van wat men aankocht is de eis gesteld dat de kaart tamperproof is en de leverancier van de RFID chip hier een garantie voor afgeeft.

Alle kosten worden dan uiteraard betaald door de leverancier van de RFID chip dit toch niet tamperproof bleek te zijn.
Wat voor praktische consequenties heeft het kraken van zo'n chip? Kun je dit bijv. gebruiken om altijd gratis te reizen ofzo?
Ik kan iedereen iig aanraden de video te bekijken. De eerste minuten kan je skippen ('wat is RFID'), in eerste 20 minuten worden de basics uit de doeken gedaan. In het kort komt het er op neer dat ze door de chip letterlijk uit elkaar te halen achter de werking van de chip zijn gekomen. Het probleem met dit soort RFID is dat de chips te klein zijn om 'echte' ciphers te gebruiken, echte ciphers hebben ook teveel stroom nodig om op een fatsoenlijke manier via een paar spoeltjes over te brengen. De meeste van dit soort chips zijn dus helemaal afhankelijk van 'security by obscurity' wat op korte termijn werkt maar wat op de lange termijn heel erg hard faalt wat dit Mifare debacle weer laat zien.

De onderzoekers weten iig hoe de random number generator werkt, kunnen deze generator altijd hetzelfde nummer laten genereren. Ook is bekend dat er een LFSR wordt gebruikt voor de encryptie en ook de gebruikte 'tap sequence' is bekend, deze is namelijk rechtstreeks van Wikipedia gekopieerd :/

http://en.wikipedia.org/wiki/Linear_feedback_shift_register

Met de kennis die ze nu hebben kunnen ze terugrekenen naar de master key maar omdat er maar een 48bit key wordt gebruikt is brute forcen nog makkelijker. Met een beetje hardware ter waarde van $100 (vooral een FPGA) kan je de chip in een week tijd bruteforcen. Met een budget van $700 doe je dat in een dag, etc. Als je autodief bent dan is het dus de moeite waard om te investeren in een zooitje FPGAs, die Mifare chip wordt namelijk ook gebruikt in b.v. autosleutels...

Als ik het goed begrijp (maar ik ben zeker geen expert :) ) dan kan je, met de kennis die nu beschikbaar is, de chipcard die uitgegeven zijn uitlezen en zelfs kopieren. Je kan dan dus op kosten van iemand anders gebruik maken van het OV...

Overigens komen de onderzoekers die de presentatie gaven later dit jaar met meer informatie mbt hun ontdekkingen... Ik ben iig zeer beniewd wat het spoeddebat gaat brengen en hoop heel hard dat ze dit aangrijpen om die OV chipcard op een fatsoenlijke manier te implementeren. Behalve deze veiligheidsproblemen heeft de huidige implementatie veel te veel problemen mbt de privacy. Ik zit er niet bepaald op te wachten dat de vervoersbedrijven (en de regering) precies kunnen zien wanneer ik waar naartoe reis.
zodra je de chip kraakt kun je hem zelf programmeren of mogelijk variabelen veranderen (zoals positief restant bedrag wijzigen).
Niet als vooraf bekend is hoeveel saldo er op die kaart gezet is.
Het zou wel vreemd zijn als er niet wordt gecontroleerd of een 20 euro wegwerpkaart al een keer opgemaakt is.
Of als het opgelade saldo niet overeenkomt met het uitgegeven saldo.
als je het id kunt veranderen dan maakt dat niet meer uit.

Maar zorg er dan wel even voor dat je een id gebruikt van iemand met een saldo, anders krijg je 60E boete ! :)
Misschien controleren ze daar (nog) niet op. Ik denk wel dat er iets komt als een whitelist/blacklist voor IDs. Dan moet je ook nog eens een GPRS? jammer meenemen zodat ze geen verbinding met de server kunnen maken :P
gratis reizen, nooit een boeke krijgen als je niet goed hebt afgestempeld bij de automaat (gewon trajectkaart of ovkaart instellen op ale trajecten voor alle dagen)

en misschien zelfs voor de gein andermans geld afhandig maken, gewoon laten verdwijnen (want je kon toch al geld gratis maken, dus wat je er aan hebt om andermans geld te wissen is mij een raadsel..)
Ik zie er wel toekomst in. Je kan alleen de ID van iemand anderskopiëren en dus op hun geld reizen, wat je dus doet, je bouwt een website "Goedkoopopreis.nl" laat mensen inschrijven voor een kaart die door heel nederland gratis reizen kan, koopt collectief 1 kaart en kopieert ie naar de rest :D

Als ze maar niet opletten of je in Groningen en Maastricht tegelijk kan zijn :D
Mag ik een pluim in het achterwerk van Gongrijp steken?

Die man begint uit te groeien als het technologisch geweten. Net zoals met de stemcomputers heeft hij gewoon gelijk om er tegen aan te schoppen. De technologie wordt steeds belangrijker, maar andere belangen zorgen voor een slechte implementatie of slechte functionele oplossing. (bv koppeling reclame<--> reisgedrag).

Ik ben blij dat iemand met een beetje inzicht de moeite neemt om zich er mee te bemoeien.

[Reactie gewijzigd door Tukk op 8 januari 2008 16:46]

Volgens mij heeft die beste man er weinig mee van doen.

Als ik de tekst lees was hij op het congres aanwezig (als spreker over de stemcomputers). Rob Gongrijp lijkt er een beetje als 'deskundige' bijgesleept. Net zo als je bij nieuws-items over varkenspest, vogelgriep altijd Ab Oosterhuis ziet of bij oorlogen iemand van 'Clingendaal'.
Dit lijkt me wat overdreven. Meneer Gongrijp is een beetje media geil...

Een aantal Duitsers hebben blijkbaar (een bepaalde versie) van de Mifare chip gekraakt. Deze technologie wordt ook door OV-chipkaart gebruikt.

Doordat Gongrijp nu heel hard roept dat het hele OV chip systeem niet meer werkt, komt hij lekker in het nieuws... Natuurlijk heeft hij wel een punt, maar het wordt wel extra aangezet om het lekker over te laten komen.
onzin. Als hij dit hier niet bekend had gemaakt en duidelijk had gemaakt dat de situatie met be ov-kaart best ernstig is, dan had dit het nieuws nooit gehaald, dus hij verdient alle credits.
Daarbij heeft hij een behoorlijke reputatie (hacktick, xs4all, stemcomputers), dus om dat nu direct af te doen als 'mediagijl' is wel heel erg geenstyl. :(

rop Vs. anti-privacy 2 - 0 !

feli!
tsk.

http://berlin.ccc.de/~24c...fare_security.mkv.torrent

ga maar kijken.

ik ken er nog meer die er geweest zijn.
:'( T.Net volgt ook de hype.
Er is een heel klein gedeelte van deze chip gekraakt.
Vergelijk het met de WII linux hack.
Ze hebben een heel klein kiertje/deukje gevonden, en roepen nu dat de deur wagenwijd openstaat.
(Zoals Xyzar al zeer uitvoerig uitlegd)
Kom maar op met specs van die chip, dan kunnen we met z'n allen zien dat een klein deel gekraakt is. }>

Maar was de veiligheid nu niet op geheimhouding gebaseerd?

O ja, en ik lees dat het ding DES gebruikt. Oké, 3DES dan, maar toch. Welke idioot komt anno 2008 op het idee DES te gebruiken?!

Edit: Inmiddels de in dit artikel verwezen presentatie gelezen, zelfs DES is niet gebruikt, maar een teruggekoppeld schuifregister... Dit is te krankzinnig voor woorden!

[Reactie gewijzigd door dmantione op 8 januari 2008 18:22]

specs zijn te vinden op mifare.net mocht je dat boeiend vinden..

de truuk zit hem er juist in dat er (bijna) niks op de pas staat. Maar dit soort kaarten zijn dan ook nauwelijks meer dan (en ook niet bedoelt als meer dan, denk ik) veredelde streepjescodes. Daarbij, een user-id is voldoende. De kaartlezer kan deze verifiëren en de transactie loggen, daar heb je verder geen info voor nodig. De server zal de transacties registreren en de verdere afhandeling regelen, dit gedeelte is geheel online en kan eindeloos beveiligd worden. (en hierin kan uiteraard ook gecheckt worden op dubbele ID's, tijden die niet kloppen, etc. wat het gevaar van gehackte pasjes ook weer verminderd)

Eigenlijk zit het gevaar hem alleen in een eventueel saldo op de kaart, en das alleen mar zo omdat treinkaartjes zo duur zijn :)
(over het algemeen wordt het risico bij offline saldo-kaarten als klein/onbelangrijk gezien omdat er nooit een enorm saldo op staat. is meestal ook zo, omdat het om dingen als schoolpasjes of pasjes voor de kantine gaat. Het gevaar dat iemand z'n saldo aanpast ofzo is er wel, maar de schade zal nooit heel groot zijn)
Welke delen van de chip zijn nog niet gekraakt dan? De secret key is nog niet gekraakt maar, als ik de presentatie moet geloven, is dan een kwestie van tijd? Heb je wat referenties die je uitspraak kunnen onderbouwen?
weeraanmelden zegt het verkeerd: er is met de chip slechts een klein deel van het systeem gekraakt. Ik mag hopen dat dit soort hacks geen serieuze impact op de beveiliging van het gehele systeem hebben.
Klopt, het gaat niet om de centrale database waar alle persoons- en reisgegevens opgeslagen worden. Maar het gaat wel om de beveiliging van de chip waarmee je je identificeert en die er voor zorgt dat je in kan stappen. Het gaat ook om het gedeelte op de chip waar je credits staan. Niet het hele systeem is gekraakt maar dat is ook helemaal niet nodig. Ook hier weer het ketting idee, een ketting is zo sterk als z'n zwakste schakel. Je hebt erg weinig aan een zwaarbeveiligd backend systeem als die chip zo lek is als een mandje (waar het heel sterk op lijkt).
* SH4D3H maakt van de gelegenheid gebruik om wat Tweakers te peilen.
Mijn stelling is namelijk de volgende: De OV Chipkaart is geen stap vooruit en zou afgeschaft moeten worden.

Namelijk:
- Privacy.
Tegenwoordig worden we al overal in de gaten gehouden en het wordt alsmaar erger.
Nog even en je moet bij je voordeur al iets scannen zodat ze weten dat je niet thuis bent.
De anonieme kaarten zijn nu nog wel leuk, maar voor je het weet zijn die er ook niet meer omdat Nederlanders de 'ik-heb-niets-te-verbergen'-mentaliteit hebben.
Ik kon gratis een persoonlijke pas aanvragen, maar een anonieme moet betaald worden.
- Gebruik.
De strippenkaart is veel handiger. Even stempelen in het eerste vervoersmiddel waar je in stapt en dan nooit meer met dat ding klooien al stap je 10x over. Wat is dat voor achterlijk gedoe dat je elke keer dat je in of uitstapt moet scannen? En als je het vergeet (omdat je haast hebt, of je bent even afgeleid) kun je extra dokken.
- Kosten.
Je betaalt meer.
En je kunt niet eens op dezelfde strip terug als je even een half uurtje ergens moet zijn ofzo. Jaja, auto rijden is zometeen niet meer te betalen, maar in het ov willen ze ons blijkbaar ook niet hebben. Als ze willen dat we meer gaan bewegen, zeg dan gewoon dat we maar moeten gaan fietsen ...
- Controle.
De mensen die met een ov-kaart reizen zijn niet te controleren door normale controleurs.
Dus iedereen die zijn kaartje laat zien, ook zonder betaald te hebben, is in orde.
Die lui met zo'n apparaatje zijn op één hand te tellen.
- Beschikbaarheid.
Hoe vaak doet dat rotding het gewoon niet? Ik hoor genoeg verhalen ook van anderen over dat ze weer gratis konden reizen vanwege die rammelbakken die er hangen.

En nu dus ook het gebrek aan veiligheid...
Weg ermee!
100% mee eens, zie ook mijn post iets verderop: http://tweakers.net/react...=Posting&ParentID=2391876
ben het helemaal met je eens.
en voeg er nog aan toe dat het hele project miljoenen belastinggeld kost.
* SH4D3H maakt van de gelegenheid gebruik om wat Tweakers te peilen.
Maar helaas lijkt de gemiddelde tweaker niet zo geïnteresseerd in dat soort dingen; het is natuurlijk veel belangrijker dat er een technologisch, geavanceerd, computergestuurd systeem staat waarbij zoveel mogelijk van de techniek benut wordt en alles zo efficiënt mogelijk werkt en zoveel mogelijk data wordt opgeslagen.
Dat er ook nog een menselijke kant een rol speelt boeit ze niet, om over zoiets triviaals als 'nut' nog maar te zwijgen.. : (

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True