TLS: ov-chipkaart is veilig genoeg

Door Dimitri Reijerman, vrijdag 29 februari 2008 14:27, 99 reacties • Feedback

Trans Link Systems, verantwoordelijk voor de invoering van de ov-chipkaart, stelt dat op basis van TNO-onderzoek het systeem gewoon kan worden ingevoerd. Het valt echter nog altijd niet uit te sluiten dat de chipkaart wordt gekraakt.

Logo ov-chipkaart Volgens het onderzoeksrapport van TNO, dat vrijdagochtend openbaar werd gemaakt, is een investering van ongeveer zesduizend euro voldoende om de benodigde hardware aan te schaffen om de crypto01-versleuteling van de Mifare Classic 4k-chip te kunnen kraken. Opvallend genoeg stelt TNO echter dat er slechts een 'theoretische mogelijkheid is dat criminele organisaties een commercieel plan ontwikkelen met het doel de ov-chip te kraken', terwijl het instituut ook aangeeft dat de gebruikte chip op termijn geheel kan worden gekraakt.

De onderzoekers stellen dat Trans Link Systems binnen een jaar of twee een beter beveiligde rfid-chip moet invoeren, zodat misbruik kan worden voorkomen. Daarnaast moet het bedrijf niet nader gespecificeerde maatregelen nemen om de kans op fraude verder te verkleinen. Trans Link Systems stelt echter dat het in de backend van het systeem afwijkende transacties kan signaleren en eventueel kaarten kan blokkeren. Het bedrijf zou tot nu toe nog geen pogingen tot fraude hebben gesignaleerd.

TNO stelt in zijn onderzoeksrapport verder dat het saldo op de ov-chipkaart niet door anderen kan worden misbruikt. Toch zouden de ov-bedrijven de kosten voor elke geslaagde hackpoging aan de gedupeerden moeten vergoeden. Reizigers hoeven zich in elk geval geen zorgen te maken over de gevaren voor de privacy; op de chip zou alleen de geboortedatum van de gebruiker zijn opgeslagen.

De ov-chipkaart moet in de toekomst in geheel Nederland als betaalmiddel voor alle reizen in het openbaar vervoer gebruikt gaan worden, maar begin januari werd duidelijk dat de Mifare-chip door Duitse hackers was gekraakt. Een week later slaagde een student van de Radboud Universiteit er in om de slechter beveiligde dagkaart te kopiëren, zodat hij moeiteloos met de Rotterdamse metro kon reizen. De lekken waren voor staatssecretaris van Verkeer Tineke Huizinga aanleiding om een 'aanvalsplan' op te stellen om de problemen op te lossen. Het nu vrijgegeven TNO-onderzoek is daarvan de eerste stap.

Reacties (99)

+3 Depep
29 februari 2008 16:34

Als je het onderzoek goed leest staat er

"The analysis has shown that there is at least the theoretical possibility that criminal organisations will develop a business case for OV-Chipkaart abuse. Although commercial viability could not be fully assessed, this possibility indicates the need to seriously anticipate criminal exploitation."

"The above does not necessarily imply that migration to a different card is the only possible way forward. On economic grounds, a conceivable approach would be to enhance existing measures and adopt supplementary remedies to such an extent that the degree of residual risk is acceptable from a business perspective."

TNO zegt dus dat er serieus rekening gehouden moet worden met het feit dat de kaart gekraakt kan worden door criminelen. Ze vinden echter dat er op korte termijn niet een nieuwe kaart hoeft te komen, maar dat verbeterde beveiliging op de huidige kaart volstaat.

Waar de TLS vandaan haalt dat de kaart in de huidige status ingevoerd kan worden en waar de poster vandaan haalt dat TNO de mogelijkheid slechts als theoretisch ziet, is mij een raadsel.

+2 humbug
@Depep • 1 maart 2008 06:04

Je hebt on economic grounds vergeten te accentueren

Oftewel: Het zou beter zijn om een andere kaart te nemen, maar dat kost te veel. Met wat lapmiddelen is het misschien ook mogelijk om het risico te verkleinen zodat het zakelijk gezien acceptabel is.

Klinkt inderdaad niet best.

alex3305
29 februari 2008 14:37

Het is jammer om te zien dat blijkbaar de regering in Nederland of in dit geval TLS dit soort onderzoeken van TNO en al eerder gelukte hackpogingen eigenlijk negeert, door te zeggen "Tja, de kans is nu zo klein dat fixen we ooit wel.".

Volgens mij was het namelijk ooit zo dat de dokter tegen je zei "Voorkomen is beter dan genezen." en persoonlijk denk ik dat dat in dit geval ook zeker zo is. Helemaal onkraakbaar maken is natuurlijk onmogelijk, maar je kunt het wel op een dermate hoog niveau beveiligen dat het al een stuk moeilijk wordt. Als een investering namelijk maar 6000 euro kost, dan is het voor een criminele organisatie best interessant om kopieën te maken van kaarten en deze weer door te verkopen.

Daarnaast vind ik dit stukje ook erg raar:

Trans Link Systems stelt echter dat het in de backend van het systeem afwijkende transacties kan signaleren en eventueel kaarten kan blokkeren. Het bedrijf zou tot nu toe nog geen pogingen tot fraude hebben gesignaleerd.

Het is fijn om een systeem te hebben wat inderdaad fraude kan detecteren, maar dit kan tot verschillende problemen leiden:

Iemand die 'afwijkend' reist kan zijn/haar legitieme kaart geblokkeerd aantreffen.
Wat zijn afwijkende transacties? Als je een kaart kraakt ga je er natuurlijk ook 'normaal' mee reizen en geen rare tripjes maken. Valt dit dan ook onder afwijkende transacties?

Met deze 'mogelijke problemen' in het achterhoofd kun je dan ook meteen stellen dat het systeem logischere wijs geen frauduleuze transacties kan detecteren tot op een zekere hoogte, maar dat er wel gefraudeerde kaarten gebruikt worden.

Persoonlijk denk ik dat er nog veel schort aan dit systeem en ook zeker aan de beveiliging. Daarnaast denk ik dat TLS beter kan voorkomen dan genezen voordat het zo'n landelijk dekkend systeem gaat invoeren...

0 Rhuarc
@alex3305 • 29 februari 2008 14:48

Afwijkende transacties wordt niet mee bedoeld dat je onverwachts anders gaat reizen.

Hoogst waarschijnlijk worden en centraal transactie logs verzameld van alle chip apparaten. Als ze dit goed hebben aangepakt is door een analyse van deze logs zo te zien met welke kaarten geknoeid is en welke pasnummers dubbel gebruikt worden.

Grrrrrene

@Rhuarc • 29 februari 2008 15:25

Ze hebben het destijds op tv uitgelegd: het systeem werkt hetzelfde als bij verdachte creditcard transacties... Daarbij gaat het echt niet om bedragen van 0,01 euro voor een ritje Amsterdam - Maastricht of twee reizen tegelijk, vanaf verschillende stations met dezelfde kaart.

Ik denk dat ze verdachte kaarten gewoon laten controleren op stations, dus als er een gescand wordt op station Groningen, dat de beveiliging de betreffende gebruiker dan aanspreekt op het perron en controleert of het een gekopieerde of gekraakte kaart betreft.

Laten we wel wezen: een strippenkaart kon je ook prima op karton kopiëren en dat deed ook bijna niemand. De kans is heel groot dat het gros gewoon netjes betaalt met het systeem, al vrees ik wel dat mensen zich eerder schuldig zouden maken aan digitale criminaliteit als het hacken van zo'n kaart, dan aan het kopiëren van een strippenkaart of treinkaartje.

Daarmee wil ik overigens niet zeggend a thet niet belangrijk is de boel goed te beveiligen, maar het is naïef om te denken dat de boel zo goed beveiligd kan worden dat fraude onmogelijk is. Dat is ook niet nodig, want 't is niet alsof half Nederland straks illegaal reist ofzo

0 Roland684
@Grrrrrene • 29 februari 2008 20:17

Het verschil met creditcards is dat creditcardmaatschappijen besloten hebben niet te investeren in apparatuur om betalingen te beveiligen, maar een percentage fraude voor lief nemen. Gewoon een kwestie van de kosten van een infrastructuur afzetten tegen een (schatting) van het misbruik.

Dit is een dure infrastructuur EN de mogelijheid van misbruik.

+2 cire
@Roland684 • 1 maart 2008 00:57

Dit is onjuist.

Er zijn in de loop van de tijd veel veiligheidskenmerken toegevoegd aan creditcards. De laatste 5 jaar zijn er veel kaarten omgezet naar chip kaarten. Bij elkaar kost dit miljoenen, maar is allemaal bedoelt om fraude tegen te gaan.

CyBeR
@cire • 4 maart 2008 00:00

Omdat 't goedkoper geworden is om dat te doen dan de fraude ze kost. Dat was lang niet het geval: fraude goedkoper dan antifraude-maatregelen? Dan liever fraude. Da's inmiddels wat meer omgeslagen.

0 vi76
@Grrrrrene • 29 februari 2008 16:47

...maar het is naïef om te denken dat de boel zo goed beveiligd kan worden dat fraude onmogelijk is. Dat is ook niet nodig, want 't is niet alsof half Nederland straks illegaal reist ofzo

Zou wel lekker op de snelweg zijn

0 ]Byte[
@alex3305 • 29 februari 2008 14:48

Daarnaast vind ik dit stukje ook erg raar:
• Trans Link Systems stelt echter dat het in de backend van het systeem afwijkende transacties kan signaleren en eventueel kaarten kan blokkeren. Het bedrijf zou tot nu toe nog geen pogingen tot fraude hebben gesignaleerd.[/list]

Misschien mis ik iets...
Enige tijd geleden hebben ze op tv laten zien dat het mogelijk is, en dan nog durven zeggen dat er "tot nu toe geen pogingen tot fraude" zijn gesignaleerd.
Wat hebben ze dan nodig om ervan overtuigd te zijn?!?!?
Als datgene wat ze hebben laten zien geen fraude is heb ik er vanaf vandaag een nieuwe hobby bij.
En die 6000 euro investering kan mij dan ook niet veel schelen.
Die heb ik dan toch binnen no-time terug verdiend.

[...] theoretische mogelijkheid [...]

* ]Byte[ denkt dat dit een uitspraak van Microsoft zou kunnen zijn...

Beveiliging baseren op onwetendheid is zoooooo

[Reactie gewijzigd door ]Byte[ op 29 februari 2008 14:52]

0 miw
@]Byte[ • 29 februari 2008 15:04

Er loopt al enige tijd een proef met deze technologie. Waarschijnlijk kan je in het back-end zien dat dergelijk misbruik in de praktijk niet voorkomt. Dat een en ander mogelijk is, betekent niet dat je er in de praktijk rekening mee moet houden.
Als je achterdeur nu een slecht slot heeft, helpt het als je er een iets beter slot op zet zelfs als er aan te tonen is dat het een goede inbreker niet tegenhoudt.

+2 ]Byte[
@miw • 29 februari 2008 21:50

Als ik een inbreker buiten wil houden betekend dat ik het de potentionele inbreker dusdanig moeilijk moet maken dat ie zijn poging op voorhand bij mij zal staken.
Kan ik het 100% voorkomen? NEE
Echter wanneer aantoonbaar is dat een beter hang en sluitwerk het aantal inbraken doet dalen zal je hier een conclusie uit moeten trekken.

En dan even terugkomend op de ov-kaart....
Als al is aangetoond dat het systeem relatief simpel te kraken is, en dat de investering voor apparatuur ca. 6000,- euro bedraagt, heb je wel een hele lage drempel liggen.
Dit gepruts gaat straks na een tijdje wederom een aantal miljarden kosten om het alsnog op te lossen!
Los het dan NU op VOORDAT het op grote schaal is ingevoerd.
Deze aanpassingen kosten nog steeds veel geld, maar aanzienlijk minder als straks weer helemaal terug naar af te moeten met alle gevolgen van dien.

Om eens 1 heel simpel voorbeeldje te geven...
De OV-studentenkaart was ingevoerd.
Vervolgens waren er een handje vol studenten die er creatief gebruik van gingen maken door er een "koeriersdienst" op na te gaan houden.
Wat wordt er gedaan... je laat het huidige contract niet doorlopen en stel nieuwe regels op bij het nieuwe contract... Nee.... je laat resoluut het bestaande contract ophouden (waarvoor wel alle kosten zijn betaald voor dat jaar) en je gaat een nieuwe ov-studentenkaart invoeren.
Kosten.. wederom 2 miljard!

Laat ze nu eerst eens gewoon goed nadenken voor ze iets gaan doen.
Hackers hebben al aangetoond dat het systeem te kraken is.
TNO bevestigd dit! (en bagetaliseerd het vervolgens ook gelijk...)
Doe dan wat met die info en ga niet als een schaap zitten kijken hoe de hele kudde schapen aan het verzuipen zijn!

Achteraf is het altijd makkelijk te zeggen "I told you so" maar dit pasieve gedrag begint nu toch wel een beetje de spuigaten uit te lopen.

Er gaat ergens iemand voor die kosten opdraaien.... en geloof mij.... dat komt niet uit de zak van sinterklaas.

pietje63
@alex3305 • 29 februari 2008 14:42

Voorbeelden van afwijkende transacties:

- iemand rijst tegelijkertijd van maastricht naar amsterdam en van zwolle naar den haag (gekopieerde kaart)
- iemand heeft wel 1000 euro besteedt, maar zijn kaart nooit opgeladen
- iemand krijgt om een of andere vage reden alle reizen die hij maakt voor 1 cent

Dit zijn transacties die ze vast allemaal loggen, en met een beetje gecombineer kun je conclusies trekken. Zoals ze ook op het nieuws zeiden, soms zal het twee dagen duren, maar dan wordt je kaart geblokkeerd. Er zullen ook false-positivies zijn, maar deze mensen zullen goed worden geholpen. (dit is niet te voorkomen als iemands kaart 'gekopieerd' is).

+1 Roland684
@pietje63 • 29 februari 2008 15:22

...Er zullen ook false-positivies zijn, maar deze mensen zullen goed worden geholpen.

Jij wil op Eindhoven Beukenlaan (=onbemand station) de laatste trein naar huis pakken. maar bij de ingang meldt het poortje dat je (legitieme) kaart geblokkeerd is. Denk jij dat je je trein nog haalt?

Jij gaat op weg naar een sollicitatie en op Amsterdam centraal wordt je kaart geblokkeerd. Tuurlijk krijg je op het kantoor van de spoorwegpolitie een kop koffie en misschien zelfs nog wel een kleine vergoeding voor het ongemak, maar krijg je die baan nog als je een uur te laat komt? (en als je zegt dat de spoorwegpolitie je heeft aangehouden op verdeking van chipkaart-fraude maar dat het allemaal in orde bleek?)

En hoeveel mensen gaan er nog met de trein als er 10 mensen bij Kassa hebben gezeten omdat ze ten onrechte problemen hebben gehad?

False positives zijn absoluut uit den boze.

CyBeR
@Roland684 • 3 maart 2008 23:56

Jij wil op Eindhoven Beukenlaan (=onbemand station) de laatste trein naar huis pakken. maar bij de ingang meldt het poortje dat je (legitieme) kaart geblokkeerd is. Denk jij dat je je trein nog haalt?

Absoluut niet zelfs.

Twee opties:

* Je belt een taxi en krijgt de kosten vergoed
* Je omzeilt de poortjes, rijdt zwart en krijgt een eventuele boete vergoed.

Het gaat niet om het probleem van de false-positive, het gaat om de afhandeling.

Jij gaat op weg naar een sollicitatie en op Amsterdam centraal wordt je kaart geblokkeerd. Tuurlijk krijg je op het kantoor van de spoorwegpolitie een kop koffie en misschien zelfs nog wel een kleine vergoeding voor het ongemak, maar krijg je die baan nog als je een uur te laat komt?

Wel als je even belt en de situatie uitlegt. Of kun jij geen begrip opbrengen voor mensen die tegen een onverwachts probleem aanlopen?

That said, dit is niet iets dat dagelijks bij 1000 mensen voor gaat komen hoor. Ik maak me er iig compleet geen zorgen over.

0 humbug
@pietje63 • 1 maart 2008 05:52

Jij stelt dus dat een anonieme kaart niet anoniem is. Want door het combineren van deze gegevens is het eenvoudig persoonlijke gegevens van de gebruiker te vergaren. En dan krijg je hetzelfde als bij IP nummers: Het OV-Chipkaart nummer moet gezien worden als een persoonsgegeven en mag dus niet worden opgeslagen. Eerste wat ik zou roepen als ik aangehouden wordt is : "Inbreuk op mijn privacy" Dan krijgt de NS misschien 100 euro van mij. Maar ik krijg 10.000 van de NS.....

kimborntobewild
1 maart 2008 21:38

TNO wordt in mijn ogen met de dag minder onafhankelijk en/of gezaghebbend. TLS is helemaal van de pot gerukt:
1. "Het valt echter nog altijd niet uit te sluiten dat de chipkaart wordt gekraakt.": Heel simpel: je moet 't niet invoeren voordat 't wel is uit te sluiten.
2. "..investering van €6000 is voldoende om de om de crypto01-versleuteling van de chip te kunnen kraken.". Oftewel: 't project is faliekant mislukt.
3. "...slechts een 'theoretische mogelijkheid is dat organisaties een plan ontwikkelen": Zonder bijbehorende statistische of harde gegevens is dat een minder dan nutteloze opmerking.
4. "..het instituut aangeeft dat de chip op termijn geheel kan worden gekraakt.". Mis mis mis... 't is NU al gekraakt.
5. "De onderzoekers stellen dat TLS binnen een 1 a 2 jaar een beter beveiligde rfid-chip moet invoeren": dit is een oneindig zachte bewoording om aan te geven dat 't huidige project faliekant is mislukt.
6. "Daarnaast moet het bedrijf niet nader gespecificeerde maatregelen nemen": Tuurlijk, security by obscurity? Droom verder.
7. "TLS stelt echter dat het in de backend van het systeem afwijkende transacties kan signaleren en eventueel kaarten kan blokkeren": dat is symptoonbestrijding - 't allerlaatste waar je gebruik van wilt maken. Ook zal dit waarschijnlijk arbeidsintensief zijn - en dus wordt 't in de praktijk gewoon nagelaten; de verminderde inkomsten zullen gewoon worden geaccepteerd. Bovendien kan je zo false positives genereren - ook iets wat nooit mag voorkomen. M.a.w: een stom praatje om de gemoederen bedaard te houden.
8. "Het bedrijf zou tot nu toe nog geen pogingen tot fraude hebben gesignaleerd.". Kan ik me voorstellen, want 't een computer is niet zo slim dat ie 'afwijkende transacties' direct kan vinden zonder false positives te genereren. Een softwareprogramma is uitermate slecht in goed detectivewerk. Daarnaast is 't systeem nagelnieuw. Verder kan en mag 'nog geen fraude gesignaleerd' natuurlijk nooit een reden zijn - 't enige wat telt is of 't kàn.
9. "TNO stelt in zijn onderzoeksrapport verder dat het saldo op de ov-chipkaart niet door anderen kan worden misbruikt. Toch zouden de ov-bedrijven de kosten voor elke geslaagde hackpoging aan de gedupeerden moeten vergoeden.": m.a.w: TNO staat niet voor zijn eigen conclusie. Zwak, zwak.... Erg zwak. 'T geeft gewoon aan dat je TNO's uitspraken met een korreltje zout moet nemen.
10. "Reizigers hoeven zich in elk geval geen zorgen te maken over de gevaren voor de privacy; op de chip zou alleen de geboortedatum van de gebruiker zijn opgeslagen.": Ook de geboortedatum is privé informatie. Hier zit men er feitelijk gewoon 100% naast. Uiteraard is er een trend naar dat je steeds minder privacy overhoudt. Projecten als dit stimuleren deze trend. En het is geen goede trend.

[Reactie gewijzigd door kimborntobewild op 1 maart 2008 21:44]

TERW_DAN

29 februari 2008 14:32

De kaart is veilig genoeg, maar zoals uit het artikel blijft zo lek als een mandje. Ze verwachten immers dat de inhoud zonder problemen gekraakt kan worden.

Dan moeten ze toch eigenlijk gewoon zeggen, het is niet veilig, maar het interesseert ons niet en niemand zal het vast toch gaan misbruiken. Dat is waar het immers op neer komt als ik het zo lees.

Imho reden genoeg om geen gebruik te maken van deze dingen als je echt gesteld bent op zekerheid, veiligheid en evt privacy.

+3 brompot758
@TERW_DAN • 29 februari 2008 14:44

Er wordt gebruik gemaakt van een mifare chip, die werkt met 48 bits beveiliging. Zelfs 56 bits DES wordt al jaren als onveilig beschouwd.

Grootste probleem is dat het technisch mogelijk is om de kaart, inclusief beveiligings sleutels, te kopieren. Het enige dat je daarvoor nodig hebt is een 100 euro lezer waar je andere software in stopt.

Het is echt heel eenvoudig om een mifare kaart wel veilig te maken, er zit namelijk een niet wijzigbaar serie nummer in (heel sector 0, blok 0 is read only, en daar staat het in). Ik kan minstens 10 manieren bedenken om daarop te verifieren, ook zonder online verbinding. Maak je een kopie, dan herken je die aan het andere serienummer.

+2 miw
@brompot758 • 29 februari 2008 15:00

UIteraard is het slordig dat dergelijke truuks niet gebruikt worden. Het gaat hier om een redelijk beperkt risico, dat bovendien geheel ten laste valt aan de vervoersbedrijven. Vanuit dat perspectief is het niet zo erg dat er wellicht misbruik gemaakt wordt van een tekort schietende beveiliging. Op termijn kan men door invoeren van beter implementaties van de beveiliging misbruik tegengaan.
Het opslaan van alle reizigersinformatie (wie reist wanneer waarnaartoe) voor idioot lange tijden is wat mij betreft een veel ernstiger probleem dat het al dan niet fraudegevoelig zijn van het systeem.

0 ATS
@miw • 29 februari 2008 16:24

Ten laste van de vervoersbedrijven, maar intussen mag je als reiziger wel zelf nauwkeurig na gaan of alles wel klopt, en zelf actie ondernemen als dat niet zo is. Ze zadelen dus wel degelijk de reizigers op met het probleem.

CyBeR
@miw • 3 maart 2008 09:06

UIteraard is het slordig dat dergelijke truuks niet gebruikt worden.

Oh, jij weet zeker dat dat zo is? Het systeem heeft namelijk wel degelijk lijsten van geblokkeerde passen en een set mensen die op mogelijk frauduleuze transacties controleert.

+2 cire
@brompot758 • 1 maart 2008 01:12

Volgens mij ga je wat kort door de bocht.

Dat nummer mag dan wel niet wijzigbaar zijn. Als het bekend is hoe de kaart precies werkt, kun je ook een simulator bouwen, die je elk serie nummer kunt geven wat je maar wilt.

Maar volgens mij was de kaart nog niet zover gehackt dat dit al mogelijk is.

0 brompot758
@cire • 1 maart 2008 17:13

Op zich heb je daar gelijk in, maar een simulator valt wat eerder op. Zeker in de bus, waar je langs de chauffeur loopt. Bovendien is een simulator bouwen veel moeilijker dan een kaart kopiereren. Blanco kaarten koop je voor nog geen halve euro. Het is in theorie ook mogelijk om mifare chips te bakken met een kopie serienummer, maar wie heeft er nou chip fabricage apparatuur staan?

Ruben314199
@TERW_DAN • 29 februari 2008 15:41

"veilig genoeg" is de conclusie van "moeite om te kraken" X "effect van gekraakte kaart".

Het systeem kan dan makkelijk te kraken zijn, echt rendabel is het denk ik niet. Je kunt nu ook strippenkaarten kopieren, maar bijna niemand doet dat, gewoon omdat het niet rendabel genoeg is.

Het rapport en conclusie zijn dus niet direct tegenstrijdig.

+2 Het.Draakje
@Ruben314199 • 29 februari 2008 16:09

Uiteraard gaat niemand een anonieme kaart namaken voor één enkele reis. Maar als je datzelfde pasje iedere keer weer gratis kan opwaarderen dan lijkt het me dat het "Effect van gekraakte kaart" wel degelijk een behoorlijke impact heeft. Zou mij persoonlijk ruim 5.000 per jaar schelen.

De terugverdientijd van het gereedschap is dan één jaar voor één persoon. En als je dan toch bezig bent, waarom zou je het dan ook niet doen voor je familie en vrienden ?

De pakkans bij een gekopieerde strippenkaart is best groot, juist omdat daar veel mensen op controleren (chauffeurs, conducteurs en controleurs). Dit systeem is ontworpen om door weinig mensen gecontroleerd te worden.

Verwachtte winst / pakkans = 'wel interessant'. Dus binnen de korste keren zijn die opwaardeerkastjes uitverkocht.

+2 Roland684
29 februari 2008 15:34

Reizigers hoeven zich in elk geval geen zorgen te maken over de gevaren voor de privacy; op de chip zou alleen de geboortedatum van de gebruiker zijn opgeslagen.

En er staat ongetwijfeld ook een identificerend nummer op.

De eerste vraag is meteen: Waarom wordt je geboortedatum op die pas gezet? Waar is dat voor nodig en waarom wordt er voor dat doel niet iets bruikbaarders op die kaart gezet zoals gewoon je naam (die schrijf je ook op je koffer en het eerste wat je doet is iemand een hand geven en je naam noemen, dus zo gevoelig is die informatie niet).

Oftwel, er wordt gezegd dat als iemand je kaartje steelt, ze alleen je geboortedatum (en een nummer) hebben en er geen reden voor ongerustheid is. Maar in de computersystemen staat wel degelijk veel meer en er is wel degelijk reden voor ongerustheid. Stel je gestolen chipkaart wordt gebruikt door een voetbalhooligan. Wie garandeert mij dat zijn acties niet toch aan jou worden toegeschreven?
En hoe denkt een werkgever over reizen die uitgevoerd zijn (met een gestolen kaart dan de zaak) terwijl jij op kantoor zegt te hebben gezeten?
En wat als door een ('computer-')fout de NS zegt 'bewezen' te hebben dat jij hebt gefraudeerd?

Je hoeft je inderdaad weinig zorgen te maken over die pas zelf. Het is het computersysteem waar die kaart aan gekoppelt wordt waar je je zorgen over moet maken.

CyBeR
@Roland684 • 4 maart 2008 00:08

De eerste vraag is meteen: Waarom wordt je geboortedatum op die pas gezet? Waar is dat voor nodig

Leeftijdsgebonden kortingen en mogelijk als simpele eigendomsverificatie (zoals banken e.d. aan de telefoon ook altijd om je geboortedatum vragen.)

Je naam, echter, is helemaal niet nodig voor het electronische systeem. Het identificatienummer (dat zo'n kaart idd heeft, da's 't hele punt van rfid) is genoeg daarvoor. Maar omdat die systemen vaak offline werken (in bussen en trams enzo dan vooral) moeten bepaalde gegevens op de kaart zelf beschikbaar zijn, zoals de geboortedatum zodat je 65+-korting kunt krijgen op het moment dat je 65 wordt en geen kinderkorting meer krijgt als je 13(?) wordt.

[Reactie gewijzigd door CyBeR op 4 maart 2008 00:10]

+2 Saab
2 maart 2008 13:10

Ik snap gewoon niet waarom men bij de keuze voor zo'n systeem niet gewoon eens even kijkt hoe andere steden en landen het doen. Ipv het wiel maar weer iedere keer opnieuw willen uitvinden.

Hier in London een perfect werkend systeem met een Oyster card, die je gewoon oplaadt met 10 pond, of met een week/maand kaart voor de bus en/of tube.

Er staat niets persoonsgebonden op die kaart, kaart staat wel op jouw naam geregistreerd, als je dat WILT, om op te kunnen laden via Internet. Het is fraudebestendig, het werkt vlot, zwartrijden is met de toegangspoortjes vrijwel uitgesloten.

Bij iedere uitgang en ingang staan controleurs die de boel in de gaten houden, en mensen er tussen uit vissen die over het poortjes springen, met ook nog eens een fatsoenlijke service als je even niet weet waar je naar toe moet.

Opladen kan op iedere straathoek, en kan eventueel ook automatisch meen ik.

Systeem werkt op de tube, bus, tram en sinds kort ook op de London overground service, treinservice rondom London

[Reactie gewijzigd door Saab op 2 maart 2008 13:14]

CyBeR
@Saab • 4 maart 2008 00:29

Ik zie niet in hoe je kunt stellen dat de OV-Chipkaart verschilt van de Oyster card. Het is namelijk dezelfde kaart (Mifare Classic 4K) en het systeem werkt, voor de gebruiker, hetzelfde. Idd, andere ontwikkelaar, maar dat heeft ongetwijfeld te maken met europese aanbestedingen e.d. Ook hier kun je een kaart op naam nemen zodat je automatisch bij kunt laden, etc. Het Londense systeem is ook afgekeken van het systeem in andere landen (ik heb ze al eerder genoemd hier, Hong Kong, Singapore, etc.) en ook in Londen is 't door een andere ontwikkelaar gedaan.

Enige verschil (voor ons) eigenlijk zit 'm in de poortjes. Onze poortjes zijn bedacht om mensen gewoon niet door te laten als ze geen kaart hebben en onbemand te gebruiken. De Londense poortjes zijn, zeg ik uit m'n hoofd, drie van die ronddraaiende stangen waar je idd overheen kunt springen waardoor er dus controlerend personeel nodig is.

Overigens, volgens mij is de voornaamste reden dat wij er hier zo'n enorme moeite mee hebben gewoon dat we nog steeds met middeleeuwse papieren kaartjes werken. In die andere landen waar ze al ettelijke jaren (Hong Kong -> 1997) rfid-kaarten gebruiken werd daarvoor al tientallen jaren (Hong Kong -> 1979, toen 't metronetwerk daar aangelegd werd) gebruik gemaakt van magneetstripkaarten. Zelfde idee dus, alleen een andere techniek. Wij zitten nu, anno 2008 en dus bijna 30 jaar later, nog steeds aan te kloten met stempels op papier. (Wat trouwens een enorme factor is in vertraagde bussen en trams: veel mensen die allemaal gestempeld moeten worden.)

[Reactie gewijzigd door CyBeR op 4 maart 2008 00:37]

+2 kodak
29 februari 2008 15:44

Het doel van het onderzoek is zo te lezen niets meer of minder geweest dan het bagatelliseren van de beveiligingsproblemen om kosten wat het kost dit miljoenenproject er doorheen te drukken. Het is niet veilig, punt. Dan kan men wel gaan roepen dat het wat minder niet veilig is als er bepaalde scenario's geen waarheid worden, maar de mogelijkheid daarop is gewoon aanwezig en zeker realistisch.
Het feit dat men geen serieus verstand wenst te hebben van beveiliging blijkt nog eens extra uit de 'geheime' maatregelen die ze willen toepassen. Met het verbergen van extra maatregelen los je echter het probleem dus niet op: de technologie die ze toepassen is lek, de hele basis is dus lek. Dan zijn die zogenaamde maatregelen om het wel veilig te maken niets meer dan onzichtbare pleisters op een breuk in een stuwdam.

+2 Niels Tijssen
29 februari 2008 20:53

Ik kan het best eens zijn met de redenatie van TNO. Dat je een chipkaart kan `klonen` is leuk maar je kunt er nog geen voordeel uit halen. Als je je eigen kaart kan klonen is dat leuk voor de publiciteit en `tweakers fame`, maar de vervoerskosten worden toch van JOUW bankrekening afgeschreven.

Als je een kaart van `een buurman` kloont dan duurt het niet lang voordat die buurman een klacht gaat indienen en in de aanklacht komen de `verdachte transacties` die toevallig gematched worden met de beelden van de beveiligingscamera´s in de bussen en de stations.

En als je jezelf op `opsporing verzocht` ziet staan als notoire `kloonrijder` dan duurt het niet lang of de polite staat bij jouw op de voordeur. Fraude is nog altijd een redelijk vergrijp waarvoor je in de bak terecht komt. Verder is het nog makkelijk en goedkoop te bewijzen, aangezien de DBA´s het zo er uit kunnen halen.

En als het toch de spuigaten uitloopt, dan kan er redelijk snel een nieuwe versie worden uitgebracht.

0 ]Byte[
@Niels Tijssen • 29 februari 2008 22:50

Als je een kaart van `een buurman` kloont dan duurt het niet lang voordat die buurman een klacht gaat indienen en in de aanklacht komen de `verdachte transacties` die toevallig gematched worden met de beelden [...]

En jij geloof dat ik dan zelf dat risico gaat lopen?
Ben je helemaal van de pot gerukt?!?
Mijn postzegel zal je zeker niet bij Opsporing Verzocht terugzien. (of het moet eoa brakke compositietekening zijn die dan toch van geen kanten klopt)
Waarom zou ik zelf dat risico gaan nemen als ik het risico lekker bij de gebruiker kan laten liggen?
Je weet tenslotte als gebruiker van zo'n illegale kaart dat je gewoon risico's loopt.
Als ze je terplekke bij een poortje snappen ben je gewoon het haasje!
Ja... daar sta je dan.... Euhhhhhh.... ja van iemand gekocht via internet.... ken 'm verder niet. Weet ook niet wie het is of waar ie vandaan komt.
Die DBA's kunnen vissen wat ze willen, maar ze kunnen er nog altijd geen persoon aan koppelen. Juist dat is nu het grootste probleem.

Er komen straks kaarten die op naam komen en "anonieme" kaarten die niet op naam staan. (of is dat anonieme systeem al weer de prullenbak ingegaan?)
De enige "check" die ze kunnen uitvoeren is als bijv. bij een toegangssysteem bij parkeergarages voor abonnees.
Dat is dat je 1 maal naar binnen kan, en eerst weer naar buiten moet voor je naar binnen kunt komen.
Nu is ook dat systeem niet feilloos.... Ik heb het wel eens gezien bij een collega waarbij het systeem dacht dat hij nog in de garage stond en er dus niet "nogmaals" in kon.
Het is 'm via de intercom uiteindelijk wel weer gelukt om binnen te komen, maar zo'n garage heeft maar paar honderd abonees waarvan lang niet iedereen iedere dag de garage in gaat.
Als er dan per maand een handje vol hier tegenaan lopen is dat nog wel te behappen.
Enig idee wat er gaat gebeuren met een paar honderduizend reizigers per dag?!?!?

Buiten dat heb ik zo ook nog mijn bedenkingen over het back-end systeem.
Heeft dit nu wel of geen real-time verbinding?
Ik denk persoonlijk van niet.
En dat alleen al om 1 simpele reden:
Als de verbinding om wat voor reden uitvalt, loop je de kans dat er gelijk geen openbaar vervoer meer mogelijk is.
Ook dan zal de detectie van verdachte kaarten altijd pas achteraf gedaan kunnen worden. HIerbij vraag ik mij dan vervolgens ook weer af wat dat betekend voor de privacy van de reiziger.
Kortom het is best wel een complexe materie om daar een goed en sluitend systeem op te maken.

slb

1 maart 2008 22:16

Waarom niet alle controle eruit en het openbaar vervoer gratis toegankelijk voor iedereen?
Scheelt bergen apparatuur, administratieve rompslomp en garandeert privacy.

0 Dreamvoid
@slb • 2 maart 2008 12:57

Da's een beetje zoals het nu is - als je in de metro zit, kijk dan eens links en rechts. Een van jullie drie rijdt zwart.

To_Tall
29 februari 2008 14:30

Het blijft met dit soort toegangs controlles altijd nodig te updaten.

Vandaag wordt Pakket A gekraakt over een half jaar zal B ook gekraakt worden.

+2 siknu
@To_Tall • 29 februari 2008 15:15

Dat is niet anders dan dat er nu altijd conducteurs nodig zijn die je papieren kaartje controleren. Ga je digitaal met in- en uitgangscontrole dan kan je die wegstrepen.

((kosten digitaal ov-kaart systeem / afschijvingstermijn) + jaarijkse kosten papier) - jaarlijkse kosten conducteurs = Jaarwinst NS op de invoering van dit systeem

Reken maar dat ze de kosten voor het ov-chipkaart er dan zo uit hebben, arbeidskosten zijn nog altijd de grootste kostenpost. Dat ze om de zoveel tijd een keer een ander chipje erin moeten doen maakt ook niet veel uit, zo'n rfid chip kost dan geen drol meer.

De NS is de enige die er hiermee op vooruit gaat, de bussen, trams en metro's hebben geen kosten waarop bezuinigd kan worden door de invoering van zo'n chipkaart. Bussen staan niet veel langer stil dan nu, je moet toch een voor een instappen. Trams en metro's hebben nog zelden conducteurs. Ik snap niet waarom de overheid hier geld in steekt laat de NS het maar zelf uitzoeken.

To_Tall
@siknu • 29 februari 2008 15:57

In Rotterdam Is er op elke Tram een conducteur,
De Bussen worden regelmatig gecontroleerd.

op de metro stations lopen vaak ook RET conducteurs rond.

Politie en RET personeel werken nouw samen bij bestrijden van zwart rijden.

+2 humbug
@To_Tall • 1 maart 2008 05:39

Het doel is dat het lastiger wordt om zonder te betalen de metro in te komen. In Rotterdam verwacht men dat het aantal zwartrijders in de metro door dit systeem flink gaat verminderen. En dan is het ook minder zinvol om de metro's actief te controleren zoals nu het geval is. Nu pakken ze bij elke metro meerdere mensen. Als ze straks bij meerdere metro's 1 persoon pakken is het gewoon niet meer rendabel

+2 fondacio
@siknu • 29 februari 2008 15:22

Volgens de Volkskrant blijven conducteurs actief bij de NS:

De conducteurs die in de treinen actief zullen blijven, vormen bovendien een belangrijke achtervang. Mensen die de poortjes op het station zijn gepasseerd met een neppas, zullen in de trein altijd nog een geldige chipkaart moeten kunnen tonen aan de conducteur.

Het kan natuurlijk nog altijd zo zijn dat het aantal conducteurs drastisch wordt verminderd, waardoor de kostenpost "conducteurs" voor de NS een stuk lager wordt. Uit de formulering van het bovengenoemde citaat blijkt niet ondubbelzinnig of dit het geval is.

+2 SiegeSapper
@-=scred=- • 1 maart 2008 09:50

En nu in begrijbare taal:

Het staat in de CAO van NS Reizigers dat de hoofdconducteur de deuren moet sluiten, en daarom aanwezig moet zijn binnen de trein. Daarbij moet de machinist nog altijd de trein besturen.

Maar even on topic:
Er zal vast wel iets veranderen omdat de noodzaak te controleren weg valt en je kan volstaan met een hoofdconducteur en soms een extra conducteur. Daar heeft NS een redelijk punt in bij de onderhandelingen van de CAO.

0 djbraas
@fondacio • 29 februari 2008 18:44

Is dat niet ook uit oogpunt van veiligheid?

0 Grauw

@fondacio • 2 maart 2008 20:21

Had de NS niet een tekort aan conducteurs? Ik neem aan dat ze het hierdoor vrijgekomen personeel goed kunnen gebruiken.

0 barian
@siknu • 29 februari 2008 15:24

In Amsterdam zit er op elke tram een conducteur, op een enkele lijn na. Op de tram kan dus wel bespaard worden als jou verhaal klopt. Want ik betwijfel het of alle conducteur de laan uit worden gestuurd.

0 humbug
@To_Tall • 1 maart 2008 05:36

Onzin.

Het systeem in bv Parijs of Shanghai wordt echt niet elk half jaar gewijzigd.

Firestormer
@To_Tall • 1 maart 2008 14:40

Dus Trans Link Systems levert een product dat niet veilig is.
en als beloning mogen ze elk jaar het ov systeem weer op de schop gooien (Ruim gesubsideert natuurlijk).

Pure belangen verstrengenling.

Ik wil iedereen wel horen als straks de poortjes helemaal niet meer open gaan !

1 2 3 Volgende

Op dit item kan niet meer gereageerd worden.

Cookies op Tweakers

TLS: ov-chipkaart is veilig genoeg

Lees meer over

Nieuwste IT Banen

LOI ICT Opleidingen

Gerelateerde content

Sorteer op:

Weergave:

Reacties (99)