Hacker: ov-chipkaart ook met goedkope middelen te kraken

Een van de krakers van de Mifare-chip, die gebruikt wordt voor de Nederlandse ov-chipkaart, weerspreekt de conclusie van het TNO-rapport dat een snelle hack dure apparatuur zou vergen.

Karsten Nohl, die aan de Universiteit van Virginia studeert, heeft een document gepubliceerd waarin hij een aanval beschrijft die de geheime sleutels van de Mifare Classic 4k-chip binnen minuten ontfutselt en die met een gewone desktop-pc uit te voeren is. Daarmee spreekt hij TNO's conclusie tegen dat er voor zesduizend euro aan apparatuur nodig is om de sleutels binnen korte tijd te verkrijgen. Trans Link Systems, verantwoordelijk voor de invoering van de ov-chipkaart, stelde op basis van deze conclusie dat de invoering van het systeem gewoon kan blijven doorgaan en dat er binnen een jaar of twee een beter beveiligde rfid-chip ingevoerd gaat worden.

Dieven kunnen de sleutels bijvoorbeeld gebruiken om gestolen opgeladen chipkaarten te kopiëren, aldus Nohl tegenover Webwereld. Waarschijnlijk is het niet mogelijk om lege kaarten weer op te waarderen, vanwege de controle hierop door vervoersmaatschappijen. Zijn aanval gaat ervan uit dat de eerste bit van de stroombits die het Mifare Classic-algoritme voor de sleutel produceert, verkregen is. Deze bit wordt gecombineerd met een willekeurige bit die door de lezer gegenereerd wordt.

Eerder lieten Karsten Nohl en Henryk Plötz al zien dat een aanvaller achter dat willekeurige getal kan komen. Met de nu door Nohl beschreven methode is het mogelijk tot aan 32bits van de sleutel te verkrijgen. Een reeks van 12bits bleek extra kwetsbaar: na het verkrijgen hiervan is het volgens Nohl mogelijk binnen dertig seconden op een Fpga of enkele minuten op een doorsnee pc de overige ruimte van de sleutels van 36-bits in te vullen. Nohl gaat zijn hack pas in de zomer demonstreren. Hij wil de betrokken partijen eerst de tijd geven om te handelen.

IT-banen

Reacties (82)

BARO 10 maart 2008 10:51

Ieder systeem is te kraken. Strippenkaarten zijn te kopieren, OV-chipkaarten ook. Maar de OV-chipkaart is gemakkelijk, praktisch, logisch, snel. In vergelijking met dat omslachtige strippen-systeem in Nederland.

Een gehackte pas kan maximaal 1 dag gebruikt worden; daarna wordt 't geblokkeerd. Te veel moeite voor zo'n korte tijd.

Nederland zou uniek zijn door in een _heel_ land een systeem als dit in te voeren. Ik woon in Rotterdam en gebruik de OV-chipkaart al zo'n 2 jaar. Bij mij werkte het -na de testperiode- perfect. Ook systemen in het buitenland zijn gehackt, op een soortgelijke manier. Daar is er alleen niet zo debiel veel ophef over, omdat 1 iemand 1 dag gratis kan reizen.

_Ieder_ systeem is te kraken. Oud en nieuw. Leg je er bij neer. Deze fraude is niet lonend. De OV-chipkaart is een goede verbetering van het huidige systeem.

[Reactie gewijzigd door BARO op 23 juli 2024 06:54]

voodooless @BARO • 10 maart 2008 10:55

Natuurlijk is ieder systeem te kraken als je eindeloos tijd hebt. De truk is het om het zo lastig te maken dat het kraken zo langdurig of duur wordt dat het niet zinvol is.

Enkele minuten valt daar niet onder, en derhalve is het gewoon zo lek als een mandje!

Anoniem: 245956 @voodooless • 10 maart 2008 17:23

Je hebt het bericht van BARO niet goed gelezen of je begrijpt de boodschap niet.

De kwetsbaarheid van de kaart is immers geen vrijbrief/mogelijkheid voor oneindig vrij reizen. En dat is precies wat TNO ook heeft aangetoond. In het rapport dat TNO naar buiten heeft gebracht is duidelijk te lezen dat de chip in de OV-chipcard gekraakt gaat worden. De kraak kan in korte tijd en met goedkope middelen plaatsvinden. TNO onderschrijft dit ook!

Dit betekent echter niet dat grootschalige vormen van misbruik direct aannemelijk zijn. Aangezien een kaart waarmee frauduleuze handelingen zijn verricht snel geblokkeerd wordt is het niet rendabel om dit te doen. En dat is precies wat TNO heeft gezegd.

Daarnaast heeft TNO ook aangeraden om op korte termijn (binnen 2 jaar) over te stappen op een nieuwe chipkaart van NXP, een kaart met AES en 3DES encryptie ipv een eigen algoritme met 48bit sleutels.

Dus, de nieuwe aanvallen zijn geen enkele verrassing, TNO heeft in haar rapport aangekondigd dat dit te verwachten was.

The Zep Man

Hackers

@BARO • 10 maart 2008 10:58

Ieder systeem is te kraken. Strippenkaarten zijn te kopieren, OV-chipkaarten ook. Maar de OV-chipkaart is gemakkelijk, praktisch, logisch, snel. In vergelijking met dat omslachtige strippen-systeem in Nederland.

En met een OV-nonchipkaart is het nog makkelijker. Je hoeft hem alleen maar te laten zien bij een controle.

Het beste is om compleet het betaalde openbaar vervoer weg te doen, het gehele systeem op de schop te gooien voor betere kwaliteit (meer treinen op de juiste momenten, etc.) en het gratis te maken. Iedereen (die belasting betaald) kan dan gebruik maken van het OV zonder extra te betalen. Het is toch openbaar vervoer?

Lost meteen een deel van het file probleem op (immers: gratis verkoopt een stuk beter dan goedkoper). Laat je meteen een goed signaal naar het buitenland zien over hoe het ook kan.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 06:54]

sab @The Zep Man • 10 maart 2008 11:28

En als we dan toch bezig zijn, alle huizen ook gratis en huur via de belasting betalen, los je gelijk het woningprobleem op!

Anoniem: 247804 @sab • 10 maart 2008 13:33

jamaar...dan sta je nog steeds in de file..................

ThE_ED @BARO • 10 maart 2008 11:00

En vooralsnog is de makkelijkste manier om niet te betalen én niet gevolgd te worden gewoon door zo'n poortje lopen.

Lowtech hacks heersen!

[Reactie gewijzigd door ThE_ED op 23 juli 2024 06:54]

LessRam @BARO • 10 maart 2008 19:51

Dan wel vervelend als net jouw rekening wordt gebruikt voor dat reisje van Maastricht naar Den Helder. Of enkeltje Berlijn..........

uncle_sjohie 10 maart 2008 10:57

Het frappante is dat alle landen die als voorbeeld genoemd worden voor het invoeren van een OV chipkaart dit als extra service aanbieden voor veelreizers ed, niet als complete vervanging van losse kaartjes, wat er dus voor zorgt dat er altijd iets is om op terug te vallen als de IT je in de steek laat. (en laten we wel wezen, dat kan met elk systeem gebeuren, hoe goed het ook gemaakt is) Wat Nederland wil is nog nergens eerder gedaan, en ja dan haal je je wel veel op je hals, inclusief veel aandacht van dit soort mensen.

Anoniem: 245956 @uncle_sjohie • 10 maart 2008 17:25

Dat is niet correct. Zowel in HongKong als in Londen is er een soortgelijk systeem als hier moet komen met zowel papieren wegwerpkaartjes als de anonieme of persoonlijke OV chipkaart.

In beide locaties zijn de OV chipcards ook voorzien van de Mifare classic chip. Dit is de chip van NXP waar de kwetsbaarheid in zit. Veel mensen lijken dit ook niet te kunnen onderscheiden van de OV chipcard, aangezien dat slechts een toepassing is van de mifare classic.

CyBeR @Anoniem: 245956 • 10 maart 2008 18:23

Hoho, in Londen gebruiken ze idd Mifare kaarten, maar in Hong Kong zijn 't Sony FeliCa kaarten. Overigens zijn de 'wegwerp'-kaartjes in .hk magneetstripkaarten. (Wegwerp tussen aanhalingstekens omdat de automaten die innemen als ze niet meer geldig zijn.)

Anoniem: 235257 10 maart 2008 11:12

Trans Link Systems, ... , stelde op basis van deze conclusie dat de invoering van het systeem gewoon kan blijven doorgaan en dat er binnen een jaar of twee een beter beveiligde rfid-chip ingevoerd gaat worden.

Mag ik je hier aanvullen?

Dit is één van de redenen dat de invoering van het systeem doorgaat.

- Er zijn meerdere lagen van beveiliging:
De eerste laag betreft de standaardbeveiliging van de fabrikant, en de tweede laag bevat beveiligingsvoorzieningen in de chip specifiek voor de OV-chipkaart. De derde laag bestaat uit maatregelen in de backoffice. In de backoffice worden transacties met een afwijkend patroon gemonitord en indien noodzakelijk wordt de kaart bij eerstvolgend gebruik geblokkeerd.
Bron: http://www.infrasite.nl/n...p?ID_nieuwsberichten=9278

Hier staat het rapport trouwens:
http://www.translink.nl/m...kaart_-_public_report.pdf

MBV @durian • 10 maart 2008 12:31

Vergelijkbare systemen hebben ze ook al bij Mastercard. Werken bijna feilloos: je krijgt een telefoontje zodra je in rotterdam in een restaurant hebt betaald, en 5 minuten later €5000 in groningen uitgeeft. Dat kan in de meeste situaties namelijk niet. Zelfde met OV: als jij in de trein van Rotterdam naar Amsterdam zit, kan je niet inchecken in limburg.

durian @MBV • 10 maart 2008 13:02

De voorbeelden die jij geeft zijn inderdaad fysiek onmogelijk (en makkelijk te detecteren), maar de OP heeft het over "afwijkende patronen" in reisgedrag, dat lijkt me niet hetzelfde.

OruBLMsFrl @MBV • 10 maart 2008 15:04

Dat klinkt heel goed, maar de volgende morgen staat een betalende klant ergens voor een gesloten poort (letterlijk). Die betalende klant moet eerst gaan uitzoeken wat er met zijn OV chip kaart mis is, wat gezien het tamelijk beperkte aantal klantcontactpunten best een uur kan gaan duren als je in een buitenwijk of dorp woont. Vervolgens moet je een gemiddelde baliemedewerker ervan overtuigen dat jij niets hebt misdaan en dat je je geld terug wilt. Dat geld is ongetwijfeld op voordat het systeem alarm slaat als het niet zo overduidelijk wordt misbruikt als in jouw voorbeeld.
Met de OV-chipkaart wordt de betalende reiziger vierdubbel kind van de rekening.

Het OV-chipkaart project kost gruwelijk veel geld, wat uiteindelijk deels uit de belastingpot betaald wordt en deels van vervoermaatschappijen komt die in de toekomst de tarieven hierdoor gaan verhogen, ze moeten nu een keer winst maken.
Bij persoonlijke abonnementen is je privacy meteen aan gort, getuige de ingezonden brief naar NRC en de reactie van de RET daarop.
Moest je vroeger nog fysiek bestolen worden om je abonnement of strippenkaart kwijt te raken, nu kan iemand hem even (draadloos?) kopieeren en indien fysieke toegang tot de kaart echt nodig is het ding daarna weer terugstoppen (in je tas bijvoorbeeld), zodat je helemaal geen idee hebt dat er iets mis is.
Vroeger kon je altijd nog je afspraak halen door gewoon toch in de trein of metro te stappen, met de conducteur was ooit ook nog wel eens wat te regelen. Nu sta je aan een gesloten poort en kom je er helemaal niet meer door. Die kaartverkoop machines staan ook lang niet overal (buiten de poortjes) voor wat ik ervan begrijp, dus nog even een dagkaart kopen zit er op zo'n moment in de nieuwe situatie ook al niet meer in. Wederom een klap in het gezicht van het OV als het gaat om betrouwbaarheid.

Van mij mogen al die hoge ambtenaren hun OV-chipkaart daar steken waar de zon nooit schijnt. Ik blijf zo lang mogelijk bij het oude systeem, totdat uiteindelijk mijn werkgever mij ook zo'n ding door mijn strot duwt. Op zich niets tegen techniek, maar doe het goed of doe het niet.

n4m3l355 10 maart 2008 10:42

Ik snap toch niet waarom we in Nederland weer een eigen systeem moeten uitvinden terwijl iedere grote stad op deze wereld al een (som goed)lopend systeem hebben. Het is toch een kleine kunst om even naar London te bellen en die eens te vragen hoe ze het doen ivp 140 miljoen euro neer te leggen in een al inferieur systeem vanaf het begin. Maar zoals altijd... ambtenaren kennen geen gevolgen dus zullen ze er ook niet wakker van liggen hoe maatschappelijk geld wordt weggegooid.

Corn

@n4m3l355 • 10 maart 2008 10:53

Het is toch een kleine kunst om even naar London te bellen en die eens te vragen hoe ze het doen ivp 140 miljoen euro neer te leggen in een al inferieur systeem vanaf het begin.

"Goedemiddag London, Nederland hier. Ja, ook wij maken gebruik van MIFARE Standard kaarten. Hoezo, gehacked? Wij dachten dat bij jullie goed functioneerde!"

Ook de Oyster-cards die in de UK gebruikt worden zijn gevoelig voor deze hack, omdat ze precies hetzelfde zijn als de kaarten die het OV-Chip systeem gebruikt. Niet meteen conclusies trekken!

[Reactie gewijzigd door Corn op 23 juli 2024 06:54]

n4m3l355 @Corn • 10 maart 2008 11:03

Ik kan me moeilijk voorstellen dat in letterlijk iedere grote stad waar al zoiets uitgerold is geen enkel goed functionerend systeem is. En typisch genoeg dienen wij weer het wiel opnieuw uit te vinden. Overigens als we al weten dat het Oyster systeem gevoelig is, waarom passen wij het alsnog toe?
Het kan aan mij liggen maar voor 140 miljoen zal misschien 10% aan onderzoek opgaan en dan is het toch een schandelijke zaak dat men zo ermee omgaat. Naast al tijdens het projef traject talloze rapporten dat dit systeem erg zwak is en dan alsnog dit blijven door te zetten..
--edit--
@Mr_Atheist, als we aan wielen gaan schaven moeten we wel oppassen dat deze ipv rond niet straks vierkant zijn. En blijkbaar zijn deze wielen zolang doorgeschaaft dat ze zelfs rechthoekig zijn

[Reactie gewijzigd door n4m3l355 op 23 juli 2024 06:54]

0rbit @n4m3l355 • 10 maart 2008 11:15

En typisch genoeg dienen wij weer het wiel opnieuw uit te vinden.

Overigens als we al weten dat het Oyster systeem gevoelig is, waarom passen wij het alsnog toe?

Wat wil je nou dan? Blijkbaar zijn bestaande wielen niet rond genoeg. Mogen we er dan a.u.b. zelf nog wat aan schaven?

CyBeR @n4m3l355 • 10 maart 2008 18:18

Overigens als we al weten dat het Oyster systeem gevoelig is, waarom passen wij het alsnog toe?

Omdat de ontwikkeling van de OV-Chipkaart al een paar jaar onderweg is en dat hele 'haxx0r' gebeuren pas sinds eind vorig jaar bestaat?

gassiepaart @n4m3l355 • 10 maart 2008 10:53

Ik snap toch niet waarom we in Nederland weer een eigen systeem moeten uitvinden terwijl iedere grote stad op deze wereld al een (som goed)lopend systeem hebben. Het is toch een kleine kunst om even naar London te bellen en die eens te vragen hoe ze het doen ivp 140 miljoen euro neer te leggen in een al inferieur systeem vanaf het begin.

Het probleem van de nederlandse ov chip ligt in het feit dat wij hier een afwijkend systeem hebben, namelijk zones en strippen. In het buitenland betaal je gewoon voor een rit en kan je niet met hetzelfde kaartje in een andere vervoerder reizen...

De chipkaart is daarom zo complex omdat er twee keer een transactie gedaan moet worden: bij het instappen én bij het uitstappen....

ChiLLeR

@gassiepaart • 10 maart 2008 10:59

Pff, in London met je ook bij het in- én uitstappen je kaart op de lezer doen. Dan pas word er afgerekend. Dat is dan toch niet anders dan dat het in Nederland geimplementeerd zou moeten worden? Je begint ergens je reis en ergens ga je er weer uit, tada rit prijs. En of dat nou bus, tram, trein of metro is maakt niet uit naar mijn idee.
Dat er verschillen in prijs zullen optreden dat is dan niet anders, de een betaald een keer wat meer de ander wat minder. Ik snap werkelijk niet waarom dit nou zo moeilijk moet zijn in NL.

gassiepaart @ChiLLeR • 10 maart 2008 11:14

Pff, in London met je ook bij het in- én uitstappen je kaart op de lezer doen. Dan pas word er afgerekend.

Er zit namelijk wel een verschil in: in Londen stap je uit de metro en haal je je pasje erlangs en wordt er afgerekend, vervolgens stap je de bus in en betaal je opnieuw voor een nieuwe rit.

In Nederland stap je de bus uit, er wordt geregisteerd dat je overstapt / of je reis eindigt. Vervolgens stap je in de tram en er wordt geregistreerd dat je een nieuwe (vervolg)reis begint.
Doordat je in dezelfde zone opnieuw begint, moet er uitgerekend worden of je het volle pond moet betalen of maar één strip extra of nog kan doorreizen op je laatste strippen...

Dit vergt veel meer transacties .....

KroontjesPen @gassiepaart • 10 maart 2008 11:30

Doordat je in dezelfde zone opnieuw begint, moet er uitgerekend worden of je het volle pond moet betalen of maar één strip extra of nog kan doorreizen op je laatste strippen...

Dat is niet juist. Het heeft niets meer met zones te maken maar alleen met de afstand.
Als je uitstapt start wel de tijd van 30 minuten waarin je de gelegenheid hebt om over te stappen zonder dat je het basis tarief moet betalen.

gassiepaart @KroontjesPen • 10 maart 2008 11:35

Nou ja, dan zal dat wel, maar dat verandert niks aan de manier van het berekenen van de prijs. Ipv het aantal zones, moet er berekend worden wat de afstand was

Anoniem: 223113 @gassiepaart • 10 maart 2008 12:25

Dat het wat betreft transacties misschien complexer is is geen enkel excuus om de beveiliging niet op orde te hebben. De beveiliging verandert daardoor helemaal niet in moeilijkheid.

zoxzo @gassiepaart • 10 maart 2008 22:23

Maar je betaalt op een dag slechts maximaal hetzelfde bedrag als een dagkaart zou kosten zonder dat er iets voor hoeft te doen.

Keneo @gassiepaart • 11 maart 2008 18:33

juist op weekend naar parijs geweest

moet je registreren bij het binnengaan van de metro, en op sommige plaatsen bij het buitengaan (die waar overstappen naar een ander vervoersmiddel toegelaten is)
dan kan je voor dezelfde prijs (met hetzelfde 1rittenkaartje ook) terug de RER binnen (wat iets ander is dan de metro)

dus het werkt daar blijkbaar wel

maar ze zijn blijkbaar ook op een ander systeem aan het overstappen daar, een oplaadkaart ipv een dag/week/maandsysteem wat ze nu gebruiken...

[Reactie gewijzigd door Keneo op 23 juli 2024 06:54]

freaky @n4m3l355 • 10 maart 2008 10:47

Wat heeft dat nou met gevolgen te maken. Met geld strooien van anderen zonder er op afgerekend te worden is per definitie makkelijk. En leuk, wat is er nou leuker dan op andermans kosten je eigen projectjes te kunnen draaien? Lekker alles zelf bepalen, lekker incompatible zijn met de rest van de wereld. Altijd mooi, komen weer meer projectjes uit = werkverstrekking voor je zelf.

Anoniem: 92624 @freaky • 10 maart 2008 16:35

de bedrijven die leveren zijn vaak nog steeds vriendjes en kennissen van de beleidsmakers/politici.. (the old-boys network).

Lang leve de lobby.

Vaak gaat het zo:

"Wat kost het kant-en-klare systeem uit Londen?"
-"40 Miljoen"
"Ow.. dan maken wij het voor 38 miljoen!"
-"is goed.. veel succes.. stuur maar een rekening"

---ergens halverwege het project---

"hee sorry, maar voor 38 miljoen gaat het ons niet lukken.. er zijn onvoorziene obstakels op de weg gekomen, we hebben 22 miljoen extra nodig"
-"maakt niet uit.. we zijn nu toch al zover.. dan maakt die 22 miljoen extra ook niet meer uit"

----ergens halverwege na dit gesprek----
"hee sorry maar we hebben nog 60 miljoen nodig om het hele traject netjes af te ronden.."
-"geen probleem.. als jullie nog meer nodig hebben, klop je maar aan.. We zijn nu al zover.. overstappen op het Londense systeem zou zonde zijn van die 60 miljoen die er al inzit!)

---ergens aan het eind van het project ---
"hee sorry.. maar het systeem is gekraakt. .. we hebben nog eens 50 miljoen nodig om alles waterdicht te maken"
-"geen probleem.. wij zijn ambtenaren en halen wel wat geld weg bij sociale huisvesting ofzo"

maartenjasper @freaky • 10 maart 2008 11:56

Ik neem aan dat n4m3l355 het over verantwoordelijkheid heeft, dat is inderdaad iets wat niet zeer hoog in het vaandel van menig ambtenaar staat.

Anoniem: 222924 @maartenjasper • 10 maart 2008 20:42

Ik werk sinds kort in de privésector en ik moet zeggen dat de verspilzucht 'toch niet mijn geld' daar even hard of misschien nog harder heerst dan in de openbare sector.

In de openbare sector zijn het de verkozenen die met geld smijten, niet zozeer de ambtenaren. In de privé mag iedereen met geld smijten, de kosten worden toch doorgerekend aan de klant.

Speeder

@n4m3l355 • 10 maart 2008 10:49

Als ik het goed had word in Londen met hetzelfde systeem gewerkt. In principe had er veel minder getest hoeven te worden, maar ja je zal toch eerst alles zelf goed moeten uit testen om te weten of het echt goed werkt.

Anoniem: 8510 @n4m3l355 • 10 maart 2008 10:51

Ik snap toch niet waarom we in Nederland weer een eigen systeem moeten uitvinden.

Bijna de hele wereld gebruikt die Mifare chip. Kijk maar eens op hun website bij "News" of de "On-the-move stories".

andreas2005 10 maart 2008 12:21

De truc is dat er NIET elke contact wordt gezocht met het centrale systeem!
En daar zit dus ook de zwakte van het systeem, en zie je gelijk de reden waarom misbruik de eerste dag niet gestopt kan worden.

Het probleem voor de klant is dat de kaart op afstand wordt uitgelezen, dus van het zakkenrollen merk je niets. Die zit gewoon in je beurs. Het tegoed van de chipkaart ben je echter wél kwijt.

Het is in mijn ogen een onjuiste architectuur, die zonder wijziging nooit correct zal werken.

[Reactie gewijzigd door andreas2005 op 23 juli 2024 06:54]

CyBeR @andreas2005 • 10 maart 2008 18:32

Elke tram, bus of metro een constante on-line verbinding laten bijhouden met een centraal systeem is een slecht idee. Ten eerste is 't ontzettend duur (je kunt 't bus en tramnetwerk dan wel combineren, maar een ondergronds metronet betekent dus nog een extra netwerk) en ten tweede is 't gewoon niet betrouwbaar genoeg, en als laatste is dat gewoon veel te langzaam qua transactietijd: dat moet in 0.3sec klaar zijn, anders duurt 't te lang voor de klant. Poortjes bij metrostations e.d. zouden wel online kunnen werken, of iig een stuk vaker updaten dan de voertuigen zelf.

psyBSD 10 maart 2008 10:44

Ehm... hoe groot is de zak geld geweest die TNO van Trans Link Systems en/of de Nederlandse Overheid heeft gekregen om het gewenste resultaat te krijgen?

De geloofwaardigheid van TNO wordt nu wel twijfelachtig.

miw @psyBSD • 10 maart 2008 11:00

Ten opzichte van een papieren kaartje (met evt een magneetstrip) is het nog steeds duurder om in het NL systeem vervoersbewijzen te kopieren. Op dit moment vertegenwoordigt het reizen zonder plaatsbewijs een behoorlijke post gemiste inkomsten. De gemiste inkosten van mogelijk gekopieerde vervoersbewijzen zal behoorlijk kleiner zijn. Zo erg is die mindere beveiliging dus niet. Wat dat betreft heeft TNO gewoon gelijk.
Veel kwalijker is het langdurig opslaan van vervoersgegevens van personen. Dat is waarschijnlijk het enige argument waarom je juist zo'n gekopieerde kaart zou gaan gebruiken

Niemand_Anders @miw • 10 maart 2008 11:40

Tot dat de hacker jouw gekopieerde kaart gebruikt om hem op te laden en er geld van jouw rekening wordt geschreven.

Vroeger dacht TNO nog weleens mee, maar ik heb een beetje het idee dat ze daar gestopt zijn met nadenken. TNO Test ook elk jaar de beveiliging van Schilhol. 'Wij voldoen aan de Europese regels en daarmee is Schiphol veilig' is dan een reactie als een journalist aantoont (op tv) hoe kinderlijk eenvoudig het is om een bom in een vliegtuig te leggen.

Het gaat nog vervelender worden als criminelen onder jouw 'identiteit' gaan reizen. Het probleem is dat de meeste OV chipkaarten persoonsgebonden (abonnement) zullen zijn.
Het gaat dan ook helemaal niet om het verlies van inkomsten maar de veel grotere gevolgen van een gekopieerde OV chipkaart.

Wist je dat de huidige strippenkaarten even moeilijk zijn te vervalsen als de euro biljetten? Voor het kopiëren daarvan (of van abonnements kaarten) heb je zulke professionele druk apparatuur nodig, dan kopiëren niet rendabel is. Ze kopiëren dan liever een aantal euro biljetten. Echter nu kun je dus een OV Chipkaart kopieren/hacken met een simpele laptop met een kaartlezer. Zie je inmiddels de impact van dit artikel?

Heb je weleens de OV chipkaart gebruikt? Nou, ik kan je uit eigenhand vertellen dat het systeem zwaar klote is. Regelmatig werken de uitcheck poortjes niet (kaching, 4,50 euro weg en IK moet daarna bewijzen dat de poortjes het niet deden). Ook een leuke tour, ga vanaf Vlaardingen met de Metro naar Schiedam Centrum en stap dan in de trein naar Rotterdam. Als dan het uitcheck poortje bij de metro het niet doet, kun je het perron niet op, want omdat je nog moet uitchecken gaan de deurtjes niet open.

Dus behalve technologisch, is het systeem ook gewoon in de praktijk een groot drama. De overheid bewijst keer op keer hun incompetentie wat betreft ICT systemen. Het probleem bij de overheid is voornamelijk dat het niets mag kosten. Maar omdat dit een systeem voor de toekomst behoort te zijn, moet je als overheid er juist diep in investeren wil je een dergelijk systeem tot een succes maken. Juist omdat de overheid de hand op de knip houd, zijn er pragmatische keuzes gemaakt en daar dreigt nu de consument de dupe van te worden.

Het probleem gaat dus veel dieper van alleen wat verloren inkomsten van kaartjes.

miw @Niemand_Anders • 10 maart 2008 13:25

Even kort:

Opladen van een gestolen kaart moet ook zonder gekopieerde kaart zeer lastig gemaakt zijn. Tenminste een PIN code zou vereist moeten worden.
Testen van beveiliging is erg afhankelijk van de opdracht. De beveiliging van Schiphol is zwaar overdreven. Flesjes water innemen is aantoonbaar beveiligingstheater.
Identiteitsdiefstal is een veel breder probleem en wordt zeker niet minder moeilijk door zo'n gehackte OV chipkaart.
Kopieren van bestaande vervoersbewijzen is best te doen. Het moet slechts een vrij korte scan van een inspecteur kunnen doorstaan. Hergebruik van strippenkaarten kan je ook niet helemaal uitsluiten.
Je hoeft het systeem niet gebruikt te hebben om te weten dat er altijd praktische problemen zullen zijn; daarom doe je een praktijk test.
Gezien kosten van dit systeem is het onterecht de overheid te beschuldigen van "de hand op de knip houden".

Kapotlood @Niemand_Anders • 10 maart 2008 12:07

Ik had het niet beter kunnen zeggen. Ik zit zwartrijden niet goed te praten, maar ze werken het zo wel erg in de hand natuurlijk.

Aan de ene kant halen ze hun eigen geloofwaardigheid naar beneden door te roepen dat hun systeem veilig genoeg is, terwijl daar niets van klopt.
Aan de andere kant blijven ze, bijna hardhandig, een slecht/niet werkend systeem door onze strot duwen, terwijl niemand er tevreden over is. Teveel kosten als je een keer niet uitcheckt / niet kán uitchecken. Teveel heisa als je je kaart wilt opladen en de apparaten doen het niet.

Wist je overigens dat je twee soorten rittenkaarten hebt? Qua reisopties heb je dan bijna net zoveel mogelijkheden, 't scheelt alleen ruim een euro in prijs.

Daarnaast kom ik bijna dagelijks mensen van 55+ tegen die gewoon niet snappen wat ze moeten doen om het werkend te krijgen. Daarnaast zijn er legio mensen die niet eens wéten dat ze 4,50 mogen betalen als ze om wat voor reden ook niet hebben uitgecheckt.

Sorry hoor, maar dit systeem is gefaald aan alle kanten. 't Wordt tijd dat ze hun fouten toekennen, even diep slikken, en gewoon opnieuw beginnen.

emgaron @Niemand_Anders • 10 maart 2008 13:12

Vroeger dacht TNO nog weleens mee, maar ik heb een beetje het idee dat ze daar gestopt zijn met nadenken. TNO Test ook elk jaar de beveiliging van Schilhol. 'Wij voldoen aan de Europese regels en daarmee is Schiphol veilig' is dan een reactie als een journalist aantoont (op tv) hoe kinderlijk eenvoudig het is om een bom in een vliegtuig te leggen.

Zo makkelijk is het niet. TNO zal vast - zoals bijna alle degerlijke inrichtingen - ook te maken hebben met de opdrachtgever. Er zijn voldoende opdrachtgevers die niet meer geld willen besteden of gewoon helemaal niet willen dat er ("te") nauwkeurig gekeken wordt - meedenken is dan niet gevraagd. De opdracht luidt dan eerder: "Het moet aan die en die eis/schema/standaard/... voldoen!"... Zou best kunnen dat dat ook de reactie van TNO verklaart.

(Edit: Oeps - had wat verder moeten lezen...

)

[Reactie gewijzigd door emgaron op 23 juli 2024 06:54]

blouweKip @Niemand_Anders • 10 maart 2008 15:40

Het probleem bij de overheid is voornamelijk dat het niets mag kosten.

Tja, dat is het signaal dat de overheid vanuit het "volk" krijgt, dat het niets mag kosten..

jqv @psyBSD • 10 maart 2008 11:04

Is dat zo?

Het is maar welke vraag er aan TNO is gesteld.

Als we dat wisten, dan kun je het antwoord ook invullen.
Je kunt als aanbieder van het systeem en de besteller van een systeem (overheid) de vraag zo stellen dat TNO alleen met een positief antwoord voor deze partijen over de brug kan komen.

Dus ik vermoed dat TNO als onderzoeksinstituut nog steeds zeer geloofwaardig is.

bangkirai @psyBSD • 10 maart 2008 12:41

Meeste TNO onderzoeken zijn gebaseerd op vraagstelling van de klant en ze krijgen in meeste gevallen keurig aangereikt wat ze precies moeten onderzoeken.

Dat betekent dus ook keihard, dat TNO ook niet zomaar andere dingen erbij pakt, want daar worden ze niet voor betaald.

Anoniem: 50893 @psyBSD • 10 maart 2008 11:19

Ik trek de geloofwaardigheid van TNO niet in kwestie en beschouw het als 1 van de weinige objectieve instantie's die Nederland bezit

Wil je een gedegen onderzoek dan zul je alles door ze moeten laten testen en de enige vraag is, wat heeft de opdrachtgever laten testen

Dit geval is feit nummer zoveel waarin 1 ding stellig is bewezen, privatisering en marktwerking werkt gewoon niet. De overheid kan eens bij zichzelf te raden gaan of het niet tijd word dat bepaalde klokken teruggedraaid worden hieromtrend. Sinds de privatisering is alles velen malen duurder geworden en maken instellingen juist steeds meer verlies, zoals ziekenhuizen die met faillisement bedreigd worden.

De overheid voorheen investeerde gewoon meer in kwaliteit maar het werkte wel allemaal. Nu lopen anderen met het grote geld weg en word de kwaliteit steeds minder. Hoeveel voorbeelden zijn hiervoor nog nodig om dat te kunnen concluderen

kimborntobewild @Anoniem: 50893 • 11 maart 2008 20:11

Wil TNO echte onafhankelijkheid bieden, dan moet bij elk onderzoek de opdrachtgever volledig onbekend zijn. Oftewel, simpelweg verplicht een tussenpersoon of tussenweg (bijv. internet) gebruiken.
Als je er dan regelmatig (policy) nu en dan ook wat extra onderzoeken tussendoor gooit die met opzet van iemand komt van wie je 't juist niet verwacht (oftewel, de TNO bewust op 't verkeerde been zetten daar waar je denkt dat 't bij een bepaald onderwerp wel vrij duidelijk is wie de opdrachtgever is of op welke uitslag er gehoopt wordt): dan pas kan je redelijk spreken van onafhankelijkheid.
Verder moet de gehele procedure 100% open zijn vanaf 't begin. Iedereen moet dus inzage hebben in de aangevraagde onderzoeken en resultaten.
Ik kreeg eens een antwoord (n.a.v. een vraag) van 't TNO dat de uitslagen van de onderzoeken vertrouwelijk zijn. Daar gaat dus je onafhankelijkheid...

Durkie 10 maart 2008 12:01

Wat ik nou een beetje mis is het volgende:

Is de informatie op de OV-kaart nou ook nog afhankelijk van het unieke serienummer dat elke mifare kaart heeft. Als dat zo is, dan is de kaart niet zomaar 1-op-1 te kopieren. Als dit niet zo is begrijp ik niks van het ontwerp.

Of is het zo dat de hackers ook het serienummer kopieren en een volledige mifare kaart emuleren met een stukje hardware.

MBV @Durkie • 10 maart 2008 12:32

U gaat door voor de koelkast. Er zit geen (of nauwelijks) encryptie op die mifare kaarten, dus je leest gewoon de private key van die kaart uit met wat trucs.

CyBeR @MBV • 10 maart 2008 18:29

Als ik 't TNO-rapport mag geloven zitten er twee lagen aan encryptie op de kaart:

- De MiFare CRYPTO1 encryptie, die 'gekraakt' is (daadwerkelijk bewijs daarvan is nog altijd niet getoond)
- Een OV-Chipkaartspecifieke encryptie nog 'onder' de bovenstaande CRYPTO1 encryptie. Dus de data op de kaart zelf is encrypted, en het transport ervan middels NFC is nog eens apart versleuteld.

Maar inderdaad: op het moment dat je een complete kaart emuleert (inclusief serienummer) zou je gewoon het ding letterlijk kunnen clonen. Maar dat is wel een stuk hardware, en dat valt op bij een controle. Het is niet mogelijk (tenzij je dus de OV-chipkaartencryptie ook kraakt, en als ze slim geweest zijn is dat gewoon AES of 3DES) om de data van een kaart simpelweg op een andere kaart te kopieren. (Daarbij ga ik er wel van uit dat 't serienummer of een ander kaartspecifiek numemr meegenomen wordt in die tweede encryptie, anders is 't nog vrij kansloos.)

[Reactie gewijzigd door CyBeR op 23 juli 2024 06:54]

Anoniem: 245956 @Durkie • 10 maart 2008 17:28

Iedere OV-kaart heeft inderdaad een uniek serienummer.

Als je echter in staat bent zelf OV kaarten te maken of kopen waarbij je zelf het serienummer kan bepalen dan heb je een eerste stap gemaakt.

Anoniem: 37526 10 maart 2008 11:27

Toch ben ik erg benieuwd waarom ze niet hetzelfde systeem als Interpay hebben. Elke kaart heeft een ID, en in een centrale database wordt bijgehouden hoeveel euro deze kaart zou moeten bevatten (startbedrag - transacties in het verleden = bedrag wat erop moet staan).

Wanneer dit niet meer matched, iets dat het geval is wanneer de kaart via een hack opgewaardeerd is of het een kopie is, dan word de kaart acuut geblokkeerd.

MBV @Anoniem: 37526 • 10 maart 2008 12:31

Dat komt omdat ze geen netwerkverbinding hebben tussen alle poortjes en het hoofdkantoor. Die zou nogal lastig zijn op te zetten, in de bussen e.d.

pasz @Anoniem: 37526 • 10 maart 2008 13:09

Sterker nog. Het systeem werkt al zo. Daarom is het niet lonend om deze chip te hacken. Na een dag reizen wordt je er uit gegooid.

Anoniem: 246460 10 maart 2008 13:24

"Translink" waarom komt dat me toch zo bekend voor?? ... wellicht omdat de aanbieder van het openbaar vervoer rondom Brisbane (Australia) ook zo heet >> http://en.wikipedia.org/w...k_(South_East_Queensland)

Grappig is dat Translink rondom Brisbane net vorige maand de 'go card' heeft geintroduceerd op alle services... ik kan alleen niet terugvinden of dat dezelfde RFID chip is als in Nederland gebruikt wordt. Op de mifare website staat dat de Mifare chip in Brisbane gebruikt wordt!
http://mifare.net/news/ar...0enables%20Australias.pdf
is er al een practische toepassing van deze hack?? ik wil hem wel uitproberen :-)

De chip wordt in elk geval gemaakt door Cubic transportation en o.a. in London en New York gebruikt; http://en.wikipedia.org/w...sportation_Systems%2C_Inc.

[Reactie gewijzigd door Anoniem: 246460 op 23 juli 2024 06:54]

Anoniem: 245050 10 maart 2008 15:09

Ik vind het allemaal niet zo boeiend dat het gekraakt wordt.
Als het maar werkt. Het is niet ons probleem dat iets gekraakt kan worden.
Daar zullen ze vast wel in de toekomst aan werken. Daar ben ik absoluut niet bang voor.

Maar 1 ding is zeker, men moet niet bang zijn om gegevens uit te wisselen.
Alsof je bank/sport/vereniging pasjes niet gelezen kunnen worden als je em kwijt/zoek bent geraakt. Daar staat nog veel meer informatie op dan zo'n "lullig" ov kaartje.
Ze kopieren het maar lekker. We hebben toch niets te verbergen ofwel? We zijn toch niet zo erg achterdochtig? Men overdrijft met de opkomst van de ov-chipkaart!

En wat boeit het nou dat ze weten waar je bent geweest. Het zal vast wel voor goede ideeen zijn voor de toekomst om effectiever te werk te gaan. Ze doen dat niet voor niets!

Niet alles is waterdicht dat weet iedereen. Gewoon de ov doorzetten en de kinderziektes later oplossen. Wil je efficienter werken en investeren dan moet je risico's kunnen meenemen en niet bang zijn.

Ik ben zelf in Hong Kong geweest en dat systeem werkt prima. Als je zo achterdochtig bent dan koop je toch gewoon een anonieme OV-chipkaart of wegwerpkaart. Zo simpel is het.

Op dit item kan niet meer gereageerd worden.

Hacker: ov-chipkaart ook met goedkope middelen te kraken

Lees meer

IT-banen

Reacties (82)

Sorteer op:

Weergave: