Gegevens Mifare-chip kunnen in enkele seconden worden uitgelezen

Onderzoekers van de Radboud Universiteit hebben nieuwe ontdekkingen gedaan met betrekking tot de beveiliging van de ov-chipkaart. De Mifare-chip kan hierdoor in enkele seconden worden uitgelezen.

Logo ov-chipkaart Medio maart hadden onderzoekers en studenten van de Radboud Universiteit reeds het Crypto-1-versleutelingsalgoritme van de Mifare-chip gekraakt. Het verzamelen van de benodigde data duurde toen echter nog een kwartier, wat grootschalig misbruik wel mogelijk maar niet makkelijk maakt. De nieuwe methode die is ontdekt werkt sneller: het is genoeg om slechts één transactie lang, oftewel enkele seconden, gegevens af te luisteren, aldus Trouw.

Gegevens op de ov-chipkaart zijn op twee manieren beveiligd. De eerste beveiliging is die van de gehele kaart; deze was begin maart reeds gekraakt. Andere gegevens, zoals de details over gemaakte reizen en het resterende bedrag op de kaart, zijn met apart sleutels beveiligd; deze beveiliging is nu ook gekraakt. Verder is het de onderzoekers gelukt om het kraken te laten doen door een gewone laptop in plaats van een krachtigere computer.

Nu de volledige ov-chipkaart binnen enkele seconden is te kraken, wordt het bijvoorbeeld mogelijk om op grote schaal te 'skimmen', het meeluisteren en opslaan van al het dataverkeer tussen ov-chipkaarten en een officiële ontvanger. Deze gegevens kunnen vervolgens gebruikt worden om nieuwe kaarten te maken en zo op kosten van anderen te reizen, vertelt een van de Nijmeegse onderzoekers.

Naar aanleiding van het kraken van het eerste deel van de beveiliging van de Mifare-chip was in maart, op verzoek van minister Ter Horst, Binnenlandse zaken en Koninkrijksrelaties, een tegenonderzoek gestart door de Universiteit van Londen. De resultaten van dit onderzoek zullen komende week aan de Tweede Kamer worden aangeboden.

IT-banen

Reacties (121)

Verwijderd 12 april 2008 12:02

Ik snap niet waarom de nederlandse regering dit ovchipkaart project niet heeft uitbesteed naar het bedrijf dat in hong kong de octopus card, en in londen de oyster card heeft geimplementeerd. Er word dezelfde mifare technologie gebruikt, echter werkt het daar al 10 en 5 jaar zonder enige grote problemen.

Why re-invent the wheel? De expertise van zo'n bedrijf in een grootschalige inzet van zo'n technologie is het geld wel waard, zoeizo als je kijkt naar wat een flop dit nu wordt..

[Reactie gewijzigd door Verwijderd op 25 juli 2024 17:23]

Saab @Verwijderd • 12 april 2008 12:53

De techniek van de Mifare chip is dezelfde als die hier in Londen in de Oyster card wordt toegepast.

Men is nu hier ook wakker geworden en begint vragen te stellen over de veiligheid van de Oyster card: http://www.thisislondon.c...+cloning+fears/article.do

Guusje te Horst in artikel.

Echter, om te skimmen moet je wel iets aan de poortjes doen of iets aan het oplaadpunt. En het lijkt mij vrij lastig om ongezien iets aan die poortjes of aan oplaadpunten te modificeren. Op ieder station staan TFL medewerkers die de poortjes bewaken en overal hangen camera's. En TFL zegt dageljks onderzoek te doen naar verdachte tranacties. http://www.theregister.co...20/oyster_security_flaws/

Aan de andere kant is dit een nieuw project, in Nederland dus, en mag je toch wel verwachten dat men geen techniek uit 1994 gaat toepassen

[Reactie gewijzigd door Saab op 25 juli 2024 17:23]

renderb @Saab • 12 april 2008 13:56

Dat klopt toch niet helemaal van die medewerkers hoor.
Zeker op kleinere stations en bepaalde tijden is er geen mens.

Verwijderd @renderb • 12 april 2008 15:57

Ze "controleren" op afstand ook wel, al zal dat ongetwijfeld in zo'n kamertje zijn waar tientallen beelden samenkomen. Voordat je dat gesnapt wordt... Ze hebben hooguit een bewijs wie het heeft gedaan, als ze er nog (op tijd) achter komen.

cire @Verwijderd • 13 april 2008 02:19

@unruled

bekijk de volgende site even: http://www.eastwest-consortium.nl/

octopus is betrokken als sub contractor

Sprite_tm @Verwijderd • 12 april 2008 12:52

Dat werkt al 5 of 10 jaar omdat het systeem pas net gekraakt is. De Oyster- en Octopus-kaart zijn iirc even gevoelig voor dit soort zaken, en die systemen zullen dus ook omgebouwd moeten worden.

ceeX @Sprite_tm • 12 april 2008 16:27

De Octopus-kaart gebruikt geen Mifare, maar een ander systeem: FeliCa. En blijkbaar wordt dat systeem ook in een aantal andere Aziatische landen gebruikt (http://www.sony.net/Products/felica/csy/trf.html). Ik weet niet of dat zoveel veiliger is, maar misschien hadden ze beter daar naar kunnen kijken.

CyBeR @ceeX • 13 april 2008 15:03

Ik weet niet of dat zoveel veiliger is, maar misschien hadden ze beter daar naar kunnen kijken.

't is in ieder geval nog niet gekraakt

(En geloof dat daar ook wel naar gekeken wordt...) en als ik 't goed begrijp qua techniek ook nog 's flexibeler dan Mifare dus waarom dat niet gebruikt wordt hier is mij nog een raadsel..

Angelus1753 @Verwijderd • 12 april 2008 15:11

Dat is precies waar de concepten vandaan komen. Het grappige is dat ze daar al jaren met hetzelfde systeem werken

Verwijderd 12 april 2008 22:14

Wanneer zien iedereen nu eens in dat de dingen juist eenvoudiger gemaakt moeten worden en niet zoals nu vaak gebeurd, steeds complexer en met meer gegevens. Er zijn steeds uitzonderingen en speciale mogelijkheiden die voor de meeste betrokkenen absoluut geen voordeel opleveren maar de systemen wel complex/duur en gevoelig maken voor storingen danwel misbruik.

Er wordt ook continu van niet technische problemen een technisch probleem gemaakt. Voornamelijk omdat het lijkt dat techniek vaak digen kan die op andere manieren duidelijk onmogelijk zijn. Maar later blijkt dan dat de gevolgen niet goed doordacht zijn en dat ook techniek problemen heeft gewoon omdat de consequenties van het gewenste niet doordacht zijn en er te snel toegegeven is aan het.....dat kan technisch allemaal gewoon.

Waarom is er voor een systeem als dit gekozen?

Omdat vervoerders zo veel mogelijk detail gegevens van hun klanten te weten wilden komen, iets waar de klant zelf niet of nauwelijks voordeel van heeft. Voor de klant zijn door speciale korting regelingen en andere uitzonderingen door de bomen het bos niet meer te zien, met als resultaat duurder OV.

Betere oplossingen?

1. Gratis OV in binnensteden, met een wakkere overheid om tot een goede beloning te komen voor de vervoerders met duidelijke en toetsbare doelstellingen.

2. Eenvoudige papieren of plastic dag/week/maand abonnementen tegen lage prijs en niet zulke domme uurnet kaartjes of achterlijke strippenkaarten. Een systeem dat de mensen na 15 jaar vaak nog niet kunnen doorgronden. Ben je meteen van die retourtje dit en enkeltje dat troep af en het maakt menselijke en automatische controle gemakkelijker.

In plaats van mensen expliciet toe te laten/tegenhouden bij een op die dag geldig bewijs (met rijen als gevolg), ga je over naar het attenderen van een op die dag uidelijk ongeldig bewijs. Als de techniek dan faalt heeft de reiziger er geen last van.

Een combinatie kan natuurlijk ook, het is mijn inziens onzin om oude mensen met al deze systemen te confronteren....gewoon identiteitkaard laten zien tijdens controle en vrij vervoer voor deze groep.

Het roer moet om wat mij betreft, en dit technische geneuzel met chipkaarten en transactie systemen die vele meetpunten en dus vele point of failures hebben moeten eruit. Het is gewoon zonde van de centen en uiteindelijk is er niemand die er beter van wordt, integendeel.

[Reactie gewijzigd door Verwijderd op 25 juli 2024 17:23]

hvlint @Verwijderd • 13 april 2008 07:49

en wie gaat jouw gratis ov betalen? het huidige systeem is juist ingegeven door het feit dat men zo nauwkeurig mogelijk de gebruiker wil laten betalen.

Verwijderd @hvlint • 13 april 2008 13:41

Geen enkel systeem dat opgezet wordt met commercieel belang heeft als uitganspunt rechvaardigheid t.a.v. alle betrokkenen. Als je dat nastreeft krijg je namelijk altijd een heleboel uitzonderingen en overhead (al dan niet electronisch). Het is gewoon inefficient, en het is dus ook niet het doel zoals jij aanneemt....waarom anders all die kortingsregelingen e.d., waarbij de veelgebruiker ook moet betalen voor het gebruik van niet piek-uren. En waarom onduidelijke regelingen die korting geven en uiteindelijk duurder uitpakken?

Gratis OV dient een social-economisch belang op een veel goedkopere manier dan welke andere dan ook. En uiteindelijk heeft iedereen er belang bij, of je nu van OV gebruikt maakt of niet.

Alles in geld en **direct** eigenbelang uitdrukken is juist wat problemen veroorzaakt en de samenleving verschraald en harder maakt. Maar als geheel absoluut niet sterker of welvarender maakt. Er mag beest eens gewoon pragmatisch gewerkt worden zonder ieder detail boekhoudkundig of moreel te rechtvaardigen.

"Keep it simple" en "You gain some, you loose some" zijn hier de uitdrukkingen die ik zou willen toepassen op dit (en andere) onderwerpen. Als je veel systeemen eenvoudig maakt, zal uiteindelijk niemand er financieel of moreel bij inschieten. Sommigen zullen meer profiteren dan anderen, maar het alternatief is altijd slechter voor iedereen.

[Reactie gewijzigd door Verwijderd op 25 juli 2024 17:23]

dion_b Moderator Harde Waren @hvlint • 13 april 2008 20:34

Kijk naar Hasselt. Daar heeft voormalig burgemeester Steve Stevaert het ingevoerd tegen veel kritiek, maar het is juist een daverend succes geworden. De gemeente heeft de vervoerder (De Lijn) betaald, en heeft zijn investering terugverdiend, onder andere door gestegen belastingsinkomsten tgv grotere economische activiteit en gedaalde kosten voor sociale voorzieningen (als oma makkelijk bij kleindochter kan komen heeft moeder geen (gesubsideerde) kinderopvang nodig etc.)

Belangrijk punt om te onthouden is dat openbaar vervoer allesbehalve kostendekkend is. Verreweg de meeste OV wordt door stevige subsidies van overheden overeind gehouden. Daarom ook dat er lijnen bij de vleet sneuvelen als er weer eens bezuinigd wordt. In veel gevallen zijn de bedragen van de subsidies veel groter dan de inkomsten vanuit kaartverkoop. Het is daarom maar een kleine stap om dat laatste beetje ook door de overheid te laten bekostigen. Dan ben je namelijk ook in één klap af van gezeur over de verdeling van de inkomsten. Let wel dat dit niet overal een oplossing of ook maar een mogelijkheid is, maar juist bij OV getuigt het van kortzichtigheid om het niet in ieder geval door te rekenen (en dus niet alleen de directe maar ook de indirecte gevolgen meenemen).

Grappig is trouwens dat dit ook in volledig niet-gesubsideerde situaties opduikt. Van de week ben ik in Timisoara (RO) met een gratis bus naar een grote supermarkt aan de rand van de stad gegaan om boodschappen te doen. De gemeente betaalt daar geen cent van, alles is door die supermarkt bekostigd om klanten binnen te halen. En blijkbaar werkt het - die ene supermarkt betaalt niet minder dan acht buslijnen om klanten van en naar de winkel te krijgen. Dat loont, net zoals het in Hasselt ook loont om mensen naar de binnenstad te krijgen. Durf je zonder meer uit te sluiten dat dat in $gemeente_in_NL zou werken?

[Reactie gewijzigd door dion_b op 25 juli 2024 17:23]

merethan @hvlint • 13 april 2008 14:04

Als dat zo was had je de volle mep moeten betalen als je alleen in de bus zit en gaan de kosten door 10 als je met 10 mensen in de bus zit.

Het OV krijgt subsidie, het is een collectief goed namelijk. Dat hele "eerlijkheid" gezeik is lulkoek om dit aan de man te brengen.

hvlint @merethan • 13 april 2008 17:24

onzin. ov is een product, net als bijna alles tegenwoordig en de chipkaart is ontstaan uit gezeik over de verdeling van de strippenkaartgelden. ik heb het niet over eerlijkheid ik heb het over verdeling van geld.

Obi 12 april 2008 13:41

De grote fout die het OV heeft gemaakt is dat alle informatie (dus ook de waarde) op de kaart staat opgeslagen. Als er nou alleen een nummer op de kaart zou staan die refereert met een online (veel beter te beveiligen) database, is er niets aan de hand.

Bij het scannen van de chip verschijnt dan op de PDA van de conducteur bijvoorbeeld een foto van de eigenaar van de kaart, gelijk een controle of de kaart ook echt van de reiziger is.

Dan is het ook gelijk mogelijk elke RFID chip te koppelen aan je OV 'tegoed'. Bijvoorbeeld als je een RFID chip in je telefoon hebt, of de chip in je autosleutel (zoals in de meeste moderne sleutels).

Verwijderd @Obi • 12 april 2008 16:02

Tja, maar dat kost weer veel meer dataverkeer. En als dan zo'n server platligt, dan heb je de poppen aan het dansen omdat je referentie niet meer kan worden gelegd. Het is gewoon niet waterdicht te krijgen. De RFID's zijn ook al te kraken, dus da's ook zinloos

CyBeR @Obi • 13 april 2008 15:11

De grote fout die het OV heeft gemaakt is dat alle informatie (dus ook de waarde) op de kaart staat opgeslagen. Als er nou alleen een nummer op de kaart zou staan die refereert met een online (veel beter te beveiligen) database, is er niets aan de hand.

Die dingen werken offline. Dat moet, omdat 't anders niet mogelijk is om in en uit te checken in trams en bussen e.d. (En de latency en kosten om dat via GPRS/UMTS/whatever te doen veel te hoog zijn.)

dion_b Moderator Harde Waren @CyBeR • 13 april 2008 20:11

Is dat wel zo? Een dergelijk systeem werkt al jaren in Estland, waar je zelfs per SMS je vervoersbewijs kunt regelen...

Nu is Talinn natuurlijk een tikje kleiner dan A'dam, maar individuele trams en bussen kunnen daar net zo druk zijn als hier. Sterker nog, een BBC item over problemen met de beveiliging van chipkaarten gaf (iirc New Scientist citerend) aan dat het juist onvoorstelbaar is dat in de 21e eeuw gekozen is om mensen die nagenoeg allemaal al een persoonsgebonden apparaat op zak hebben die real-time financiele en administratieve transacties met derden kan uitvoeren desondanks *NOG* een losse kaart te geven met chip erop dat dunnetjes een paar van die eigenschappen in kale vorm en met veel beperkingen probeert over te doen.

Verwijderd 12 april 2008 23:40

Ondanks kraak OV-chipkaarten door afscherming afdoende te beschermen ...

Alle(!) kraakmogelijkheden die betrekking hebben op het ongewenst uitlezen in een openbare ruimte zijn met beproefde en beschikbare elektromagnetische afschermtechnieken en -producten afdoende te voorkomen.

Daartoe dient zowel de pas als de leesunit tegen elektromagnetische straling afgeschermd te worden. De eerste producten hiervoor zijn al beschikbaar (www.chipsafe.eu). Ook het eenvoudig afschermen van de leesunit kan vrij eenvoudig zonder dat de reiziger daar veel onnodige hinder van ondervindt.

Blijft over het risico van het kraken van een verloren, gestolen of een gekochte kaart. Dit is een ander aspect en ook niet besproken in dit specifieke onderzoek.

hvlint @Verwijderd • 13 april 2008 07:50

als je je strippenkaart verliest kan er ook iemand op jouw kosten reizen.

merethan @hvlint • 13 april 2008 14:06

Dan moet je em verliezen of hij moet uit je broekzak gestolen worden. Ik hoef alleen maar met me koffer met ingebouwde lezer en laptop even "per ongeluk" tegen je aan te botsen en ik heb je al "bestolen". En jij weet van niks want je OV kaart is niet verdwenen namelijk.

Als je PIN pas geskimmed is merk je dat ook pas als je de melding krijgt dat je rood staat.

hvlint @merethan • 13 april 2008 17:31

mijn pas is wel eens geskimmed en dat had de bank eerder door dan ik. het enige dat ik er van gemerkt heb is dat ik een brief kreeg dat ik een nieuwe pas kon ophalen en waarom de oude geblokkeerd was.
Dit soort dingen kunnen snel geconstateerd worden obv gedragsprofielen: als ik elke dag van nijmegen naar eindhoven reis en op een dag verschijn ik opeens in Rotterdam terwijl ik nog steeds van nijmegen naar eindhoven aan het reizen ben dan wordt dat wel degelijk geconstateerd.

uflex 12 april 2008 12:06

De vergelijking met de redelijk functionerende strippenkaart gaat mank omdat men met de introductie van die ov-chipkaart allerlei aanvullende functies in het kaartje hebben gestopt. Deze komen niet zozeer ten gunste aan de reiziger maar zijn alleen bedoeld om een beter inzicht te krijgen in de individuele vervoersbewegingen om deze informatie aan derde te kunnen verpatsen. Die kunnen op hun beurt daarmee dan weer allerlei gerichte vormen van marketing op de reziger loslaten.

Om een ritje met de bus te maken bestaat er geen enkele noodzaak om te weten waar ik als individu vandaan kom of gisteren naartoe ben geweest. En voor de verkeersbewegingen van het collectief in kaart te brengen -wat nodig is om een goede dienstregeling in elkaar te knutselen- bestaan allerlei andere middelen: van de enquete tot het schakelaartje op de treeplank.

Als ze nu eens beginnen om al deze informatie uit de kaart te slopen. Dan vervalt de noodzaak er een unieke identiteit aan toe te kennen en ook het risico dat anderen daar -al skimmend- op meeliften en misbruik van maken.

Door een blik te werpen op mijn strippenkaart kom je ook niet veel verder dan te zien dat ik er nog vier ritjes heb opstaan!

[Reactie gewijzigd door uflex op 25 juli 2024 17:23]

renevanh @uflex • 12 april 2008 12:20

Door een blik te werpen op mijn strippenkaart kom je ook niet veel verder dan te zien dat ik er nog vier ritjes heb opstaan!

Maar als je net weer wat beter kijkt zie je waar (welke zone) je bent opgestapt, wanneer en hoe laat. Door dat te combineren met het aantal strippen de de volgende stempel (terugreis) kan je ook precies analyseren hoe jouw reis eruit gezien heeft.

Nadeel is dan natuurlijk weer dat je dat als bedrijf niet makkelijk kan bekijken, maar iets met statiegeld op volle strippenkaarten moet mogelijk zijn...

Verwijderd @renevanh • 13 april 2008 09:27

Klopt, maar het verschil met de ov-chipkaart en een strippenkaart is dat een strippenkaart anoniem is, wat dus nutteloos is voor (gerichte) marketing.

Daikiri 12 april 2008 12:05

Ik vind dat we niet teveel dingen moeten willen digitaliseren, gewoon je ov kaart of papieren treinkaartje is voldoende, en werkt naar behoren.

Dan denk ik een aantal dingen, willen ze dit doen om meer geld te verdienen, omdat je dus niet meer kan proberen zwart te rijden, want je moet eerst door poortjes met je kaart etc, al zijn die poortjes er nog niet.

en/of willen ze minder personeel voor controlles.?

Maar ik als leek denk dan toch dat het invoeren van heel dit systeem, net zoveel kost als x jaar al die mensen betalen, en ik denk niet dat er echt minder personeel zal komen, want controlle voor veiligheid etc, is in treinen gewoon een noodzaak,, al is het voor service, vragen etc.

Volgensmij wegen de zogenaamde voordelen niet op tegen de kosten, ik kan er pers soms moeilijk bij waarom dat ze zoveel moeite doen om iets geheel om te gooien, en er blind hun vertrouwen in te lijken gooien, . zou me niets verbazen als straks de prijzen weer omhoog gaan , alsof het treinen nog niet duur genoeg is.

Maar ach, ik heb een mooie laptop altijd bij, ga ik misschien ook even kaarten uitlezen, dan ben ik ook niet duurder uit

[Reactie gewijzigd door Daikiri op 25 juli 2024 17:23]

HoppyF 12 april 2008 12:50

Moet ik nu mijn "beveiligde" OV-chipkaart in aluminium folie gaan inpakken zodat niemand deze kan skimmen??

Behalve de OV-chipkaarten zijn ook gewone toegangspasjes waarin deze mifare chip zit aan kraken overhevig. Dit is wellicht nog veel ernstiger omdat men nu toegang kan krijgen tot allerlei bedrijven waaronder gebouwen van de overheid.
Er moeten dus op zeer korte termijn maatregelen genomen worden omdat dit tegen te gaan. Dit zal niet alleen vervelend maar ook erg kostbaar zijn.
Hopelijk worden deze kosten wel op de fabrikant van de chip afgewend en niet op de belastingbetaler.

Frogmen

12 april 2008 11:51

Hoever moeten we gaan naar het steeds weer zoeken naar beveiligingslekken en gaan we niet gewoon de mensen die er misbruik van maken straffen. Geld is ook te kopieren de mensen die het doen worden ook gestraft. Ik vindt dat de wereld wel heel erg makkelijk omgedraaid wordt zodra het over elektronica gaat.
Maak de straffen gewoon hoog genoeg en pakkans groot dan neemt niemand het risico, zo werkt het toch. Als de straf voor een valse kaart € 10.000 boete of een jaar zitten is neemt niemand meer het risico. Uiteindelijk betalen we wel al die extra beveiliging.

JHS @Frogmen • 12 april 2008 22:16

Het probleem met electronica is dat als het op een redelijk eenvoudige manier te doen is, het gelijk op enorm grote schaal kan gebeuren

. Voor je geld hebt nagemaakt ben je wel een investering of wat verder - waarbij geld overigens ook best voor veel geld 'beveiligd' is. Terwijl een laptop, een lezer, wat chips en een schrijver lang niet zo veel kosten en de vervalser wel een hoop op kunnen leveren.

Daarnaast: Het is volgens mij niet zo dat als je de straf maar exorbitant hoog genoeg maakt, de afschrikkende werking ook in één keer hoog genoeg is. De pakkans moet bijvoorbeeld ook reëel zijn, en dan kan je je afvragen of het niet goedkoper is om gewoon de beveiliging te verbeteren. En het is ook nog 's zo dat voor vertrouwen en het goed functioneren van je rechtsstaat je ook nog zoiets als het proportionaliteitsbeginsel hebt

dion_b Moderator Harde Waren @JHS • 13 april 2008 20:05

Bijkomend probleem is dat het hier nu niet alleen maar gaat om de risico van gekopieerde pasjes - waar je met een beetje creativiteit waarschijnlijk een redelijke pakkans kunt krijgen, maar ook van massaal geskimde pasjes, niet om te kopieeren, maar voor de informatie die ze bevatten. Daarmee kun je allerhande ongein uithalen wat niet rechtstreeks te traceren valt, denk aan identity theft, of botweg zelf de verkregen gegevens aan (malafide) adverteerders verkopen. Dat laatste is wel interessant - tot nu toe zijn de gevolgen van storingen of fraude botweg voor rekening van de gedupeerde klanten totdat ze het tegendeel kunnen bewijzen. Bij verkoop van reizigersgegevens aan derden treft dat de waarde van de gegevens die de vervoersbedrijven zelf willen verkopen. Niet dat dat een goede zaak zou zijn (het blijft flagrante privacyschending), maar tenminste is de klant niet de enige gedupeerde. En dat kan de vervoersbedrijven misschien aanzetten dit serieuzer te nemen...

lennartkocken @Frogmen • 12 april 2008 11:56

Maar is het idee van zulke elektronica niet juist dat er niét meer hoeft worden gecontroleerd door mensen? Als je er hoge straffen op zet, moet er dus weer wel worden gecontroleerd door mensen, en dan hadden we net zo goed op de oude manier door kunnen gaan.

mphilipp @Verwijderd • 12 april 2008 18:14

Ik snap je zucht, maar het probleem is niet de IT. Het probleem zijn de knuckleheads die de beslissingen nemen, tegen de adviezen van de mensen die het écht weten in. Je snapt af en toe niet waar men het vandaan haalt om een bepaalde (foute) beslissing te nemen. Misschien is het volgens allerlei management technieken de juiste beslissing, maar dan klopt er echt iet wezenlijks niet met die theorieën. Ik kan me niet voorstellen dat daar staat dat je advies van iemand met zoveel ervaring maar moet negeren omdat het buget- en planningstechnisch niet goed uitkomt.

Idem dito met grote infraprojecten. Ken iemand die tunnel in Den Haag nog die onderliep? Niet de fout van de uitvoerder, maar van de (eigenwijze) opdrachtgever. Die dacht dat ie het beter wist en heeft opgedragen het zo uit te voeren, ondanks protesten ne bedenkingen van de ingenieurs. Opvallend toch dat men nooit de uitvoerder de schuld heeft gegeven (ook niet geprobeerd of geïnsinueerd).

Ik zit al 20jaar in de IT en ben om die reden ook uit de systeemontwikkeling gestapt. Het maakt niet uit wat je zegt, die eikels van het management pushen hún schemaatje erdoor, waardoor het op 'crashing by design' aankomt. Daar pas ik voor.

Geert.H @Verwijderd • 12 april 2008 11:35

Volgens mij wordt deze chip ook in andere landen gebruikt. Het is dus een beetje kort door de bocht om Nederland hier de schuld van te geven.

Little Penguin @Geert.H • 12 april 2008 11:56

Dat ben ik niet helemaal met je eens, de beveiliging van de chip is betrekkelijk oude technology en je zou toch moeten weten als technicus/ICT'er dat ontwikkelingen razendsnel gaan en je bij het gebruik van oudere technieken het kraakrisico enorm groot is... (denk aan de diverse projecten waar DPC aan meegedaan heeft inzake het kraken van cryptografische sleutels).

Als je dit soort zaken in het achterhoofd hebt, dan zou je dus moeten kiezen voor de meest recente, en bewezen, beveiligingstechnieken en moet je de data die op een chip staat eigenlijk zeer oninteressant maken voor potentiele dieven...

RwD @Little Penguin • 12 april 2008 16:32

Dus dan neem je betrekkelijk nieuwe beveiliging, je voert het in en je wacht een jaar en je hebt betrekkelijk oude technologie als beveiliging... Leeftijd zou voor beveiliging niet veel uit moeten mogen maken.

Punt is dat draadloze communicatie altijd opgepikt *kan* worden dat de data gelezen en bewaard en geannaliseerd kan worden en dat er altijd misbruik van gemaakt *kan* worden.

Alleen, ik heb op school toch echt protocollen geleerd die niet snel te kraken zijn zolang de sleutel maar geheim blijft. Dus als die poortjes toegang hebben tot een centrale database zouden ze bij iedere pas de juiste sleutel voor encryptie kunnen gebruiken en zo communiceren? Of werkt dit niet snel genoeg?

CyBeR @Little Penguin • 13 april 2008 14:55

Dat kan wel zo zijn, maar op 't moment dat die technologie gekozen werd stond 't nog bekend als veilig en was het kraken ervan nog iets wat door vele mensen nagestreefd werd als iets zeer prestigieus. Ik neem 't dus ook niemand kwalijk.

Het gezeik achteraf, echter, vind ik wel kwalijk. Dit is een keuze die gemaakt is. Niet alleen hier, maar ook in talloze andere steden en landen in de wereld. NXP heeft vrij recent een nieuw soort kaart uitgebracht die backwards compatibel is met de huidige kaart maar ook gebruik kan maken van AES encryptie. Volgens mij is het dus zaak om de huidige kaarten niet meer te verkopen maar te verkopen in de vorm van die nieuwe kaart in backwards-compatibility-mode, de huidige reeds uitgegeven kaarten (uiteraard gratis) te vervangen ondertussen ook geleidelijk aan de lezers te vervangen. Op een dag (en dat kan vrij snel als je een beetje haast zet achter het vervangen van die kaarten) kun je dan de lezers instellen dat ze de kaarten omschakelen naar AES en dan is het probleem (iig voorlopig, tot AES gebroken wordt

) verholpen.

RwD:

Dus als die poortjes toegang hebben tot een centrale database zouden ze bij iedere pas de juiste sleutel voor encryptie kunnen gebruiken en zo communiceren?

Hebben ze niet. De poortjes zouden mischien online kunnen werken voor een database met geblokkeerde kaarten e.d., maar denk ook aan de lezers in trams en bussen e.d.

[Reactie gewijzigd door CyBeR op 25 juli 2024 17:23]

dion_b Moderator Harde Waren @Geert.H • 13 april 2008 19:52

@Geert.H

Het gaat er niet alleen om dat NL deze chip gebruikt, maar ook hoe het gebruikt wordt. In het bedrijfleven wordt het ook gebruikt (daarom heb ik er ook een op zak), maar meestal slechts als domme 'token', niet meer dan een ID bewijs. Bovendien is in geval van onregelmatigheden met een enkele druk op een knop een kaart inactief te maken - sterker nog, veel bedrijven registreren in- en uitgaande bewegingen van een kaart en als een kaart dat al binnen is nogmaals binnen probeert te komen wordt het acuut geblokkeerd.

Dat betekent niet dat het moeilijker is om de kaart te kopieeren, maar de gevolgen van het kopieeren van een kaart zijn veel kleiner. In het OV-systeem staat zodra je een kaart kunt uitlezen de deur open voor allerhande misbruik, zowel omdat er zoveel op de chip zelf staat - waardoor een attacker er veel mee kan zelfs zonder te gaan kopieeren, er geen goede sanity check is om te controleren dat die gegevens kloppen en uniek zijn, en omdat er geen duidelijk centraal systeem om die deur weer dicht te trappen. Het probleem is dus niet eens zozeer een van de gebruikte chips, maar van de manier waarop ze ingezet worden. En dat is zo lek als een zeef en verdient terecht hoon van meerdere kanten.

[Reactie gewijzigd door dion_b op 25 juli 2024 17:23]

pizzafried @Verwijderd • 12 april 2008 11:34

ben het op het gebied van OV en IT wel met je eens...

We kunnen beter blijven bij de huidige studentenOV kaart. de huidige abbonnements passen en de strippenkaarten...

geen probleem met storingen en skimmen etc persoonlijk vind ik dat hele ov-chipkaart maar gezeur

ik vind het niet eens erg om eventjes om een stempeltje te vragen bij de chauffeur... of om mijn OV pas te laten zien... en ook niet om als ik al in de bus zit omdat de chauffeur er niet is, dan weer even naar voren te lopen omdat de chauffeur de bus instapt...hoewel de buschauffeur dan ook eventjes om de plaatsbewijzen moet vragen natuurlijk..

[Reactie gewijzigd door pizzafried op 25 juli 2024 17:23]

BarthezZ @pizzafried • 12 april 2008 11:39

Wat zou er eigenlijk gebeuren bij een grootschaalse storing van het OV chipkaart systeem? (Wat volgens de bedenkers natuurlijk nooit zal gebeuren)
Dan kan je de poortjes niet door omdat het plat ligt en kan je dus onmogelijk op plaats van bestemming komen? Iets zegt me dat het ooit nog wel gebeurd, als het eindelijk ingevoerd is, en een hele hoop mensen nog een heel stuk zuurder erover zullen zijn dan nu.

flowerp @BarthezZ • 12 april 2008 11:57

Wat zou er eigenlijk gebeuren bij een grootschaalse storing van het OV chipkaart systeem? (Wat volgens de bedenkers natuurlijk nooit zal gebeuren)

Wat zou er eigenlijk gebeuren bij een grootschaalse storing van het OV zelf?

Zoals je weet gebeurd dit af en toe, en dan is het flink chaos. Mensen die op stations moeten overnachten of 8 uur onderweg zijn, etc. Het feit dat dit kan gebeuren is echter geen reden om het hele OV maar af te schaffen, toch?

Eigenlijk hetzelfde verhaal voor zoveel andere services waar we op zijn gaan vertrouwen.

Wat zou er eigenlijk gebeuren bij een grootschaalse storing van de stroomvoorziening?
Wat zou er eigenlijk gebeuren bij een grootschaalse storing van het elektronische betalingsverkeerd?
Wat zou er eigenlijk gebeuren bij een grootschaalse storing van het internet?
etc

Moeten we stroom, elektronisch betalen en internet maar afschaffen omdat er mogelijk een 'grootschaalse' storing kan optreden?

[Reactie gewijzigd door flowerp op 25 juli 2024 17:23]

GREENSKiN @flowerp • 12 april 2008 12:05

Moeten we stroom, elektronisch betalen en internet maar afschaffen omdat er mogelijk een 'grootschaalse' storing kan optreden?

Moeten we een extra systeem erbij plaatsen dat weinig voordeel biedt en wel tot een extra kans op grootschalige storing leidt?

flowerp @GREENSKiN • 12 april 2008 12:36

Moeten we een extra systeem erbij plaatsen dat weinig voordeel biedt en wel tot een extra kans op grootschalige storing leidt?

Ja, dat heet vooruitgang, en dat gebeurd in kleine stapjes.

Toen kantoren van de mechanische typemachine naar de elektronische typemachine overgingen waren er ook dergelijke opmerkingen: het heeft weinig voordeel en biedt een extra kans op storing (als de stroom uitvalt kan niemand meer typen).

Ongetwijfeld zullen er ook dergelijke opmerkingen zijn geweest toen men van met pen schrijven naar de mechanische typemachine ging.

dion_b Moderator Harde Waren @flowerp • 13 april 2008 19:44

De vraag is alleen wie de voordelen ervan genieten. In dit geval is er voor de reiziger, de klant dus, 0,0 voordeel. Voor de OV bedrijven zijn er grote voordelen (denk aan inkomsten door gegevens aan derden te verkopen, zoals iig GVB A'dam van plan is te doen, maar ook gewoon aan betere tracking van reizigers voor interne doeleinden). Vergelijk het maar met bijv. de digitale TV die verschillende aanbieders je door je strot proberen te duwen. Er zijn nota bene kamervragen gesteld over hoe UPC dat deed, en pas sindskort met het hele "uitzending gemist" gebeuren is er sprake van enige meerwaarde voor de klant. Het probleem daarmee - en met het OV chipkaartgebeuren - is niet dat er risico's aan gekoppeld zijn, maar dat de voordelen volledig aan één kant liggen en de risico's volledig aan de andere. Pas als niet alleen de reiziger maar ook het vervoersbedrijf meedeelt in de risico's van de nieuwe technologie, en niet alleen het vervoersbedrijf deelt in de voordelen (kostenbesparingen etc.) maar ook de reiziger is het terecht om jouw "vooruitgang" verhaal zo af te steken. En zo ver zijn we vij de OV chipkaart nog lang niet

Jaco69 @flowerp • 12 april 2008 12:40

Wat is in deze precies de vooruitgang?

squindahr @Jaco69 • 12 april 2008 14:39

Dat we een betaling voor een treinkaartje kunnen doen in een paar seconden, door gewoon het pasje tegen een poortje aan te houden en dat de overhead voor meerdere systemen verdwijnt. Als je kijkt naar sommige metro systemen (Bijvoorbeel Seoul in Zuid Korea) daar werkt het gewoon ideaal, niemand meer in de rij bij een kaartjes koop automaat, alleen de toeristen die een nieuwe kaart moeten hebben.

Wat ik niet snap is dat we in Nederland zo bang zijn voor de OV-chipkaart. We hebben zoveel dingen die gewoon op vertrouwen gebaseerd zijn, kjik naar de automatische incasso, creditcards en als je bijvoorbeeld je ergens inschrijft moet je al je prive gegevens invullen. Als je even verder zoekt kun je zeker met meer zulke systemen komen. Die gebruiken we gewoon en het gaat goed, al zijn er zo nu en dan wat conservatieve mensen die schreeuwen dat het onveilig is...... Ja dat zeiden ze ook toen we van de kruidenier overgingen naar de suppermarkt waar je alles zelf mocht pakken, veeeeel meer diefstal, maar nu is het veel efficienter...

Ik ben voor de vooruitgang, laten we het eerst zo eens proberen en niet zeuren dat alles vernieuwd moet worden en dat het niet goed zal gaan voordat het überhaupt gebruikt is. Daarnaast heb ik sterk mijn twijvels over dit soort onderzoeken. Doordat het door meerdere mensen op verschillende manieren geïnterpreteerd wordt zal hier lang niet de uitkomst van het echte onderzoek staan, net zoals ze de vorige keren al aankondigden dat de hele pas gekraakt was....

[Reactie gewijzigd door squindahr op 25 juli 2024 17:23]

T-men @squindahr • 12 april 2008 15:29

Wat ik niet snap is dat we in Nederland zo bang zijn voor de OV-chipkaart.

Wat ik tegen de OV-chipkaart heb ?
Op zich niets, zolang mijn privacy én mijn geld maar goed geregeld zijn.

En daar zit 'm nou net het probleem: de NS kan precies zien wie wanneer waar is geweest (tenzij ik extra wil betalen en géén abonnement neem), en heeft al aangekondigd met die gegevens aan direct mail (lees: "spam") te gaan doen.
En nu de chip ook nog gekraakt is kan elke hacker fijn op mijn kosten gaan reizen.

Dat zijn dus 2 dingen waar ik een enorme hekel aan heb, en die niet mogelijk zijn met het oude systeem en wel met de OV-chipkaart. Vandaar dat die kaart van mij, of verbeterd moet worden, of rechtstreeks naar de prullenbak kan.

[Reactie gewijzigd door T-men op 25 juli 2024 17:23]

CyBeR @T-men • 13 april 2008 14:40

En daar zit 'm nou net het probleem: de NS kan precies zien wie wanneer waar is geweest

En denk je dat ze dat nu niet kunnen? Of betaal jij altijd elke keer dat je een kaartje koopt ook voor drie andere kaartjes een willekeurige richting uit?

T-men @CyBeR • 14 april 2008 14:32

Uhhh... normaal gesproken schrijf ik niet mijn naam en adres op een kaartje.

Jij wel dan ?
Dat wordt straks feitelijk wel het geval. Nu kan de NS inderdaad nog zien waar ik naar toe ga, maar niet wie ik ben, laat staan hoe vaak ik reis.

Verwijderd @squindahr • 12 april 2008 16:59

Dat we een betaling voor een treinkaartje kunnen doen in een paar seconden, door gewoon het pasje tegen een poortje aan te houden...

Alleen jammer dat je het pasje uit je portemonnee moet halen omdat dat poortje hem anders niet uit kan lezen!

Ik weet niet wie die poortjes heeft bedacht, maar het lijkt me toch wel vrij logisch dat het gewoon zou moeten werken door een portemonnee heen!

En dan is het ook nog een van afstand uitleesbaar door derden, terwijl dat poortje op 2cm afstand het niet eens kan uitlezen.

Daarnaast is het niet meer mogelijk om door een station te lopen, iemand op te halen uit de trein of iemand uit te zwaaien bij de trein zonder dat je zo'n pas hebt!
En de rijen bij die poortjes daar zit ook niemand op te wachten, met open perrons had je nergens last van. Al een paar x m'n trein gemist door die poortjes.
Dat is toch te absurd voor woorden?

Los van het feit dat m'n privacy en m'n geld niet gewaarborgd is is de praktische implementatie dus ook gewoon ronduit slecht.

[Reactie gewijzigd door Verwijderd op 25 juli 2024 17:23]

CyBeR @Verwijderd • 13 april 2008 14:42

Alleen jammer dat je het pasje uit je portemonnee moet halen omdat dat poortje hem anders niet uit kan lezen!

Ik weet niet wie die poortjes heeft bedacht, maar het lijkt me toch wel vrij logisch dat het gewoon zou moeten werken door een portemonnee heen!

Ik stel voor dat je een portemonnaie koopt die niet voorzien is van electromagnetische afscherming. Bij mij werkt 't prima door 't leer van m'n portemonnaie heen.

En dan is het ook nog een van afstand uitleesbaar door derden, terwijl dat poortje op 2cm afstand het niet eens kan uitlezen.

Dat stookt natuurlijk niet met wat je hierboven zegt. Die lezers werken allemaal op exact dezelfde manier.

Daarnaast is het niet meer mogelijk om door een station te lopen, iemand op te halen uit de trein of iemand uit te zwaaien bij de trein zonder dat je zo'n pas hebt!

Klopt. Lijkt me geen groot punt eigenlijk. Ofwel je fixt zo'n pas ofwel je vervroegt het uitzwaaimoment een beetje.

Verwijderd @CyBeR • 14 april 2008 22:51

Heb een gewone (nep?)lederen portemonnee (die nog redelijk op is ook) en daar werkt het dus niet doorheen, zelfs als ik het pasje helemaal achterin (dus met slechts 1 stukje stof ertussen) doe.
De pas van m'n werk werkt wel gewoon goed, onafhankelijk van waar ik hem in m'n portemonnee stop.

Nog een tweede portemonnee geprobeerd, zelfde probleem.
Bij een vriend van me werkt het wel, maar alleen als die hem in een uitklapflapje stopt en deze ervoor houdt. Dan nog werkt het niet altijd, maar geeft ie soms een error.

En hoe klopt dat wat ik in die zin zeg niet met het voorgaande/wat er in de zin staat?
Die poortjes werken gewoon niet goed, terwijl anderen blijkbaar wel van een afstand de gegevens kunnen uitlezen.

En dat ophalen/uitzwaaien is een gevoelsiets en individueel. Als iemand/jij daar geen waarde aan hecht, OK. Maar anderen hechten er misschien wel waarde aan.
Op deze manier wordt ons weer een vrije keuze ontnomen, erg vreemd in een democratie...

ppl @squindahr • 13 april 2008 00:39

@ squindahr:
Het probleem van elektronische systemen vandaag de dag is dat alles gecentraliseerd is. Iemand hoeft dus maar 1 plek aan te vallen en kan dat op z'n dooie gemak uit het zicht vanuit huis doen. Op die manier is het ontzettend eenvoudig om heel veel gegevens buit te maken binnen korte tijd en deze door te verkopen voor veel geld.

De reden waarom dingen digitaliseren meestal absoluut geen vooruitgang zijn is met name de beveiliging en de privacy. Dit elektronische OV systeem is weer uitermate geschikt om mensen te tracken, netzoals het rekening rijden. Elektronische systemen zijn de meest onveilige systemen die er zijn omdat je die dingen ongemerkt kunt hacken. Inbrekers maken geluid, troep, etc. Een hacker merk je niet tenzij je daar goed op let en er de nodige waarschuwingssystemen voor hebt. Dat komt in 99% van de gevallen niet voor helaas (beveiliging is namelijk een ondergeschoven kindje, wordt amper over nagedacht).

Hetzelfde verhaal als met de stemmachines gaat hier dus ook op. Dit soort systemen zijn absoluut geen vooruitgang maar een achteruitgang. Een achteruitgang van iets meer dan 60 jaar (om maar eens een voorbeeld te geven). In de beginjaren van de tweede wereldoorlog vond men het ook onschuldig dat Joden een grote ster moesten dragen. Dat wijzigde later al heel rap toen de Duitsers daar ineens consequenties aan hingen. Dat soort dingen zie je vandaag de dag ook nog in andere landen zoals Cuba en China waar dissidenten dankzij dit soort geautomatiseerde systemen worden opgepakt en in de gevangenis gesmeten of zelfs geëxecuteerd (al dan niet met een "proces"). Zelfs in de USA doet men dit al. We gaan dus weer terug naar de tijden van de tweede wereldoorlog, de stasi en noem maar op. Dat kun je dus absoluut voor geen mogelijkheid een vooruitgang noemen.

Denk dus eerst eens even goed na over wat de systemen doen en bedenk je daarna ook goed dat je die dingen ook met het uiterste gemak kunt misbruiken. Als je dat weet, denk dan ook eens na over de mogelijke gevolgen en vraag jezelf dan nog eens af of digitalisering/automatisering dan nog een vooruitgang is.

Verwijderd @squindahr • 12 april 2008 17:06

@squindahr

Nederlanders zijn rasechte zeikerds, lees de gemiddelde telegraaf ingezonden brieven sectie en je zal het direct snappen.

Dreamvoid @Jaco69 • 12 april 2008 13:16

Dat niet meer 30% van de reizigers reist op de kosten van de rest?

Despen @Dreamvoid • 12 april 2008 14:27

En het voordeel daarvan is ..?

Je denkt toch niet echt dat opeens het OV goedkoper gaat worden he? Want zoals het er nu uitziet moeten ze eerst nog al die kosten eruit halen voor de ontwikkeling en invoering ervan. En wie denk je dat daarvoor mag opdraaien?

Juist ja, wij.

merethan @Dreamvoid • 13 april 2008 13:40

Dat niet meer 30% van de reizigers reist op de kosten van de rest?

Hoeveel % vd bevolking is tweaker of heeft een tweaker als neefje/vriend/kennis? Als ze een beetje ballen hebben reizen die allemaal gratis.

Dat 30% op kosten van anderen reist is sowiezo een bogus reden, we betalen immers belasting.
De NS loopt inkomsten mis, dat is wat anders dan dat jij voor iemand anders die zwart rijd moet opdraaien, want het operationeel houden van een trein kost niet meer geld als er iemand meer bij komt zitten.

Verwijderd @flowerp • 12 april 2008 13:22

Het leuke isdat ik dus nog steeds 2 typemachine's heb staan en niet in het stof maar goed onderhouden zodat bij eventuele uitval van mijn computers ik mijn klanten nog steeds ten dienste kan zijn, hetzelfde geldt voor rekenmachine's, poloden, gum en papier met als sluitstuk een set postzegels.

geerttttt @Verwijderd • 12 april 2008 14:41

Of je koopt natuurlijk een laptop (of eee pc, net wat goedkoper en kleiner) als backup

Cio @geerttttt • 12 april 2008 18:34

die ook weer stroom en/of internet nodig heeft, en dan niet kan printen (zonder stroom dan, als de batterij altijd opgeladen is)

Zelfde verhaal hier. Deze chips zijn NIET te controleren bij uitval van het hele systeem, ongeacht de techinsche mogelijkheden is daar nooit meer genoeg personeel voor.

GMJansen

@flowerp • 13 april 2008 14:11

@BartezZ:
Als ik kijk naar het toegangscontrollesysteem bij ons op de zaak (via/van Varel): alle centrale ingevoerde data van nieuwe passen en mutaties worden direct naar elke toegangspoort gestuurd. Elk toegansdeur/ -poort (magneetslot en tourniquet) hebben hun eigen controller met daarin de code's van alle pasjes.
Netwerkuitval (WAN/LAN) of een centrale serverstoring hebben als resultaat dat er even geen mutaties ingevoerd kunnen worden, maar dat de toegang gewaarborgd blijft.

Ik heb overigens geen idee of het lokale toegangspoortje van de OV voldoende geheugen heeft voor alle passen in NL;-)

jip_86 @flowerp • 12 april 2008 12:36

Mensen die op stations moeten overnachten of 8 uur onderweg zijn,

Nu kun je nog naar binnen op het station als er een grote storing is. Dan zit je dus gewoon buiten

[Reactie gewijzigd door jip_86 op 25 juli 2024 17:23]

CyBeR @jip_86 • 13 april 2008 14:47

Bij een storing zetten ze gewoon de poortjes open. Is hier natuurlijk nog niet gebeurd bij gebrek aan mensen die niet overal over zeiken (dit systeem had al vorig jaar ingevoerd moeten zijn, maar er werd te veel gezeken), maar in Hong Kong (waar ze dit al meer dan tien jaar hebben en 't perfect werkt) wel een, michien twee, keer. Daar hebben ze dus gewoon de poortjes open gezet. Mensen laten reizen is belangrijker dan dat beetje geld dat ze op die manier mislopen.

Verwijderd @CyBeR • 13 april 2008 22:59

Dat werkt misschien in Hong Kong. Hier niet: de NS zullen het vertikken om mensen gratis te vervoeren, en als ze het wel doen zullen mensen bewust storingen gaan opwekken om gratis te kunnen reizen.

Verwijderd @BarthezZ • 12 april 2008 12:45

Een grootschalige storing van het OV chip systeem is geen probleem zolang de OV bedrijven dan maar mensen gratis vervoeren. Immers, de treinen ed blijven gewoon rijden. Het zal voor personeel altijd mogelijk zijn de poortjes handmatig open te laten staan. Daarnaast schijnen ze met een aardige duw ook makkelijk te openen zijn en daarnaast zit er aan de binnenzijde altijd een noodknop waarmee de poortjes een minuutje open gaan. Kortom, voldoende manieren om binnen te komen.

Het lijkt mij dat in het geval van een dergelijke storing de reiziger niet de dupe mag worden en de OV bedrijven gewoon vervoeren en de schade verhalen op de eigenaar van het systeem!

Verwijderd @Verwijderd • 13 april 2008 10:40

Op schiphol kun je met een irisscan reizen. Combineer dit met vingerafdruk en je hebt een nagenoeg feilloos systeem.
Voordat ze je ogen en je vingers 'kraken' zijn we wel weer een 10 jaar verder.

merethan @Verwijderd • 13 april 2008 13:35

De Iris scan heeft een foutmarge van 20% en de Duitse Chaos Computer Club heeft al bewezen dat bijna alle vingerafdrukscanners om de tuin zijn te leiden met een stukje plastic met lijmopdruk over je vingers.

Hoe kun jij je in hemelsnaam een tweaker noemen?

Verwijderd @BarthezZ • 12 april 2008 15:37

Dan zouden ze er een multipas van moeten maken. Met een tekst, foto van de eigenaar en route/zones erop. Of dat nu kan weet ik niet, maar zo zou je dit kunnen oplossen. Maar dit is niet het grootste probleem. Ze dachten zeker hiermee van het zwartrijden en de controleur af te zijn. Dat skimmen zo snel kan, betekent dat een adequate beveiliging van deze chips nog wel even op zich laten wachten. Zijn er geen buitenlandse bedrijven die de OV chipkaart al hebben ingevoerd? Daar zou je al een hoop van kunnen ontlenen en leren.

rogierslag @Verwijderd • 13 april 2008 03:02

Ik heb er laatst een redelijke uitgebreide reactie over getypt. Dit ging over de invoering van het gecentraliseerde Bip! systeem van Santiago in Chili en mijn ervaringen daarmee.

Check http://tweakers.net/react...=Posting&ParentID=2391798

flowerp @Verwijderd • 12 april 2008 15:54

Zijn er geen buitenlandse bedrijven die de OV chipkaart al hebben ingevoerd? Daar zou je al een hoop van kunnen ontlenen en leren.

Zo'n beetje alle grote moderne steden in de wereld...

Verwijderd @Verwijderd • 13 april 2008 01:18

Tja, maar weet die controleur dan ook of jij degene ben die op dat adres woont of naam heeft. Want als ik een gekraakte kaart heb, dan kan ik rustig de foto etc etc erop zetten want geen hond weet dat de inhoud van die kaart helemaal niet op jouw naam staat.

Parasietje @pizzafried • 12 april 2008 14:02

Ken je het systeem in Turkije? Daar kan je een persoonlijke pinpas kopen; een klein chipje (zo groot als een horlogebatterij) die je moet laten uitlezen door de kaartlezer. Elke chip werkt zoals een proton-kaart/chipknip.

Waarom moet dit toch allemaal draadloos? In Turkije werkt het perfect met een niet-draadloos systeem. He kijk, en plots is er geen encryptie meer nodig!...

squindahr @Parasietje • 12 april 2008 14:52

Kijk naar bedrijven, de meeste bedrijven gebruiken iets als de Mifare chip. Gewoonweg omdat er dan minder slijtage aan de kaart lezer en de pas is. Verder is daardloos of contact punten niet echt de discussie. Het gaat meer om denken we dat het veilig genoeg is. Het Radbout vindt het klaarblijkelijk belangerijk om te laten zien dat een systeem nooit helemaal waterdicht wordt en is bereidt om daar veel nedelands onderzoeksgeld in te investeren.... op zich niet verkeerd om te kijken of iets veilig is, maar ik weet niet wat we op dit moment met dit onderzoek opschieten...

JHS @squindahr • 12 april 2008 22:00

Er zit natuurlijk een ruim gat tussen of iets 'nooit helemaal waterdicht is' of dat het bijzonder makkelijk (lezer, laptop, enkele seconden werk) is om op andermans kosten te reizen

. Dus ja, we schieten iets met dit onderzoek op: Het maakt duidelijk dat het met deze chip simpelweg niet veilig genoeg is, en dat er dus geïnvesteerd moet worden in een betere chip.

Waarbij dat zich hopelijk nog steeds op de lange termijn uit zal betalen door een afname van zwartrijden en misschien zelfs wel een toename van openbaar vervoer gebruik door het potentiële gebruiksgemak én de mogelijke toename van veiligheid. Te verwachten valt lijkt mij namelijk dat als er minder mensen zwartrijden, het OV ook een stuk veiliger zal zijn.

En inderdaad, als er dan toch een nieuwe chip zou worden gebruikt, dan graag één die door je portemonnee heen werkt

corné @Parasietje • 12 april 2008 14:29

Klein skimmertje erop en je heb alle data in plain text? Denk toch dat daar ook wel encryptie wordt gebruikt

Isnowiz 12 april 2008 13:43

Toch blijft het knullig allemaal...
Ik doe momenteel onderzoek voor school naar onder andere die OV-chipkaart...
Eenzelfde systeem bestaat al sinds 1998 in Hong Kong en is tot op heden nog nooit gekraakt... Waarom kunnen die Chinezen het wel in 1x goed doen?
Voor de geïnteresseerden: http://en.wikipedia.org/wiki/Octopus_card (Engels)

cire @Isnowiz • 13 april 2008 02:21

Als jij er onderzoek naar had gedaan, had je ook geweten dat er wel degelijk een 'link' is tussen het Nederlandse en Hong Kongse systeem. Zie: http://www.eastwest-consortium.nl/

CyBeR @cire • 13 april 2008 15:12

Ho ho, 't is geïnspireerd door het systeem in Hong Kong. En inderdaad: vanaf de klant gezien werkt 't hetzelfde. Maar de onderliggende techniek is compleet anders.

cire @CyBeR • 14 april 2008 18:39

Ergens anders op de site staat:

Additionally, as subcontractors to Thales, Hong Kong’s MTR Corporation & Octopus Cards Limited will provide the central back office as well as its expertise in operations.

Isnowiz @cire • 14 april 2008 20:17

Niet zo snel conclusies trekken joh...
De Octopus card gebruikt een Sony FeliCa chip, de OV-chipkaart een MiFare chip.

mind_ @Isnowiz • 12 april 2008 16:03

Omdat de eerste Chinees die daarover publiceert 30 jaar werkkamp tegemoet gaat?

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (121)

Sorteer op:

Weergave: