Kamer: vertrouwen in ov-chipproject door buitenlandse varianten

Het ziet er naar uit dat de invoering van de ov-chipkaart voorlopig gewoon doorgaat. De kaart kwam enige tijd geleden onder vuur te liggen toen hackers het systeem wisten te kraken, maar de regeringspartijen hebben er nog steeds vertrouwen in.

De invoering van de ov-chipkaart, die per 1 januari 2009 alle andere kaartjes zou moeten gaan vervangen, loopt niet bepaald van een leien dakje. Het project wordt geplaagd door allerlei technische problemen, maar de grootste tegenslag voor het project vormde het feit dat hackers erin zijn geslaagd om het systeem te kraken. Nadat al eerder de wegwerp-dagkaarten waren gekraakt, wisten de hackers vorige maand ook de volledige versie van zijn beveiliging te ontdoen. In een spoeddebat hierover in de Tweede Kamer werd een motie van wantrouwen ingediend tegen de verantwoordelijke staatssecretaris Huizinga, maar deze kreeg geen meerderheid.

Logo ov-chipkaartOm meer inzicht te krijgen in de problemen met kilometerheffingen en ov-chipkaarten is een zeskoppige delegatie van de regeringspartijen langs Londen, Stockholm en Berlijn gereisd om de systemen daar te bestuderen. In Londen hebben de fractiespecialisten de ov-chipkaart aldaar, de zogenaamde Oyster Card, bekeken. In 2007 waren er al meer dan 10 miljoen van in gebruik en werd 80 procent van alle reizen met een Oyster Card betaald. De kaart gebruikt, net als de Nederlandse variant, een Mifare-chip, maar problemen met hackers zijn er nog niet geweest.

Na de bestudering van de Londense chipkaart waren de parlementsleden erg optimistisch over de kansen van de Nederlandse ov-chipkaart, zo schrijft Trouw. De invoering daarvan zal dan ook ondanks de tegenslagen gewoon doorgaan, al is het onwaarschijnlijk dat de oorspronkelijk geplande datum van 1 januari 2009 nog zal worden gehaald.

Door Arie Jan Stapel

Nieuwsposter / PowerMod

07-05-2008 • 09:30

105

Lees meer

TLS: ov-chipkaart is veilig genoeg
TLS: ov-chipkaart is veilig genoeg Nieuws van 29 februari 2008

Reacties (105)

105
99
49
24
1
0
Wijzig sortering
Anoniem: 64670 7 mei 2008 10:02
Interessant ook dat ze in Stockholm zijn geweest. Het project is hier ongeveer een jaar vertraagd omdat het allemaal niet werkte. Wat ze nu hebben gedaan hier is ERG Transit systems eruit gooien en IBM inhuren om het allemaal te bouwen binnen de tijd die er nog over is nu.

En dat is leuk voor IBM. Die hebben namelijk ook dat (perfekt werkende) systeem voor de stockholm tol gebouwd hier. Kwam laatst naar buiten dat dat miljarden heeft gekost en dat het nog jaren duurt voordat de bouwkosten van het systeem zelf uberhaupt terugverdiend zijn. De winst van IBM ging overigens prima. De overheid hier zei namelijk tegen IBM: maakt niet uit HOE, mar het MOET af op 1 juli (vorig jaar). IBM heeft toen met 1000 ontwikkelaars en techneuten dat systeem gebouwd. En alles werkt dus.

Ook was IBM verantwoordelijk voor de helpdesk die automobilisten konden bellen. De stad zei "ze mogen niet wachten". IBM zei: ok, dan zetten we daar 500 lui in die de telefoon oppakken. Er belde vrijwel niemand, en dus was dit de duurste helpdesk OOIT in Zweden. Een gesprek naar die helpdesk was meer dan 10 keer zo duur dan een gemiddeld helpdesk gesprek. En IBM lacht zich kapot. Nu mogen ze dus het gecrashte project van de OV kaart gaan doen in Stockholm, wat NU al miljarden heeft gekost.

En in al die puinhoop denkt de Nederlandse regereing dat de gekraakte kaartjes prima gaan werken en dat we maar gewoon doorgaan. Reden: in Londen gebruiken xx mensen die kaart. Dat zegt niets over wat dan ook, die mensen zullen toch in de bus moeten. Of dat kaartje nou werkt of niet. En hoeveel er gekraakt wordt zal wel over een tijdje duidelijk worden.
Toch is het relevant om te weten hoe het exact werkt in London; zowel qua techniek, als qua uitvoering in praktijk:

- Of ze hebben daar een technisch andere implementatie, die veel minder fraudegevoelig is. Dat kan hier dan natuurlijk ook ingevoerd worden.
- Of ze hebben daar dezelfde techniek, maar blijkt in praktijk dat het misbruik verwaarloosbaar is.

Tenslotte betekent het feit dat de kaart gekraakt *kan* worden, niet dat dit een onoverkomelijk probleem is. Ja ok, misschien dat een hacker gratis (of zelfs op iemand anders z'n kosten) kan reizen, maar wellicht dat dit maar zeer incidenteel gebeurt. Dan kun je best het slachtoffer schadeloos stellen; a la de creditcard.
De kans op de tweede mogelijkheid lijkt mij erg groot.

Iedereen roept hier meteen schande, maar vergeet dat de meeste mensen normaal z'n kaartje zal kopen. (zoals ik dus :)) De schade als het project nu gestopt wordt is enorm. Miljarden. Voordat er voor bedragen in die orde van grote misbruik wordt gemaakt, moet er erg veel gebeuren.

Het is net als met pin passen. Hoe weet zogenaamd niemand, maar het komt voor dat na verlies van je pinpas iemand er geld mee haalt terwijl de pincode echt niet opgeschreven was. De banken betalen vervolgens zonder morren het verlies. Dit geeft aan dat er dus ergens een lek in het systeem zit. Het oplossen van het lek/probleem is echter vele malen duurder.

Gewoon invoeren en de ambtenarij wat nieuws laten verzinnen. Als er al een werkende infrastructuur is zal het veel eenvoudiger zijn om geleidelijk over te gaan op beter beveiligde passen.

Ja het had beter gemoeten, maar het is niet anders. Soms moet je leven met de werkelijkheid.

[Reactie gewijzigd door kikkervis op 23 juli 2024 13:29]

Het probleem is tweeledig: op de kaart staat identiteitsgegevns, en die moeten beveiligd blijven! Dat is ook al eerder geconstateerd, in 2006 al.
Als het alleen om een kaartje en de kosten van openbaar vervoer zou gaan, heb ik er ook geen problemen mee - maar dan wel graag anoniem; net zo anoniem als nu de strippenkaart. En dat is niet langer gewaarborgd.

Maar goed: politici kunnen nu eenmaal geen fouten toegeven; dat is politieke zelfmoord.
In London werken ze aan een nieuwe, veiligere kaart. Die wordt eind 2010 ingevoerd.
Dus zelfs in London is men er van overtuigd dat de levenscyclus van de huidige kaart aan zijn einde zit.
Wat in 2005 nog veilig leek/was hoeft dat niet meer te zijn in 2010.
Beveiligingen hebben ook een levensduur zie DES, MD5, SHA-1, AES-128, AES-192, AES-256, etc.
Dit hoeft niets te maken te hebben met de huidige veiligheid, in Engeland zijn anti-terreurswetten bijvoorbeeld flink aangescherpt en dit kan daar een effect van zijn. Je kan je nog steeds afvragen wat dan het nut is van de nieuwe kaart, alsof terroristen niet ook die kunnen hacken.
alsof terroristen niet ook die kunnen hacken
Of ze kopen gewoon een kaart... Ik zie niet wat dit met anti-terrorisme te maken zou kunnen hebben. Hoe zou aan iemands reisgedrag te zien zijn wat hij in zijn rugzak heeft?
Anoniem: 42901 @noMSforme7 mei 2008 10:51
@ noMSforme
Het grootste probleem is dat de RFID tags een beperkte opslagruimte hebben voor de logica. Hierdoor kunnen goede encryptie-systemen bijna niet worden geïmplementeerd.
In betaalpasjes land worden er kaarten gebruikt met TDES en RSA. In paspoort land RSA en AES.
Alleen is Mifare (Classic) goedkoper en waarschijnlijk is dat de reden geweest om ervoor te kiezen.
In London werken ze aan een nieuwe, veiligere kaart. Die wordt eind 2010 ingevoerd.

Waar heb je dat vandaan? Daar kan ik nergens een bron van vinden.
Gewoon die oogkleppen ophouden mensen! Ik snap niet dat ze niet inzien dat dit project bij voorbaat al gefaald heeft, en dat dit alleen maar uitstel van executie is.

Ik zal zelf bijvoorbeeld zo lang mogelijk uitstellen zo'n chipkaart te halen. Ik weet wat de gevolgen kunnen zijn bij het stelen van een identiteit.
Ik begrijp best waarom de regering het systeem door wilt zetten. Zelfs als het systeem te kraken is, wat overigens met bijna elk systeem het geval is, dan betekend dit nog niet per definitie dat het gefaald heeft.

Een goed voorbeeld is de normale OV-kaart zoals we hem nu hebben. Er zijn hier ook illegale kopieën van te koop die sprekend op het origineel lijken (heeft een NS-conducteur me verteld). Echter maken we hier nu ook geen problemen van omdat het probleem binnen de perken blijft.

Bovendien denk ik niet dat jij lang wacht met het halen van een chipkaart als hij ingevoerd is. Want ik weet uit persoonlijke ervaring hoe irritant het is als je met een traditionele kaart door een "nieuw" station wilt reizen.

Ik ben het wel eens met je wat betreft het stelen van de identiteit . Ik ben daarom ook voor het niet opslaan van deze gegevens op de OV-kaart. Op de huidige OV-kaarten staat ook niet alle persoonlijke informatie.
Je gaat nu even voorbij aan het feit dat de OV chipkaart (abonnement versie) direct gekoppeld is aan jouw bankrekening en dat je het OV bedrijf een icasso machtiging geeft om de verschuldige kosten te incasseren.

Dat betekend dus dat als jouw OV chipkaart gestolen wordt, en die persoon even door heel Nederland gaat reizen de kosten daarvan van jouw bankrekening worden geschreven. De Dagkaart werkt als de normale chipknip en wordt bij het uitchecken het bedrag van je kaart afgeschreven. Bij de persoonlijke chipkaart wordt dit centraal bijgehouden en maandelijks geincasseerd.

Dat is dus nu niet het geval bij gekopieerde strippenkaarten of OV jaarkaarten. In Londen hebben ze geen persoonlijke kaarten, maar werken ze met het pre-paid concept. De risico's zijn daar dus lager.

Wat betreft het reizen. Heb je de OV chipkaart wel eens gebruikt in de Rotterdamse Metro of Trein tussen Rotterdam en Hoek van Holland. Er zijn alleen maar problemen met het systeem. Regelmatig staan de poortjes gewoon open omdat het systeem niet werkt. En weet je wat het ergste is. Als op CS de poortjes niet werken en jij stapt over van de Metro op de trein je voor de reis van 2 maal 4,50 betaald = 9 euro. Gelukkig heb ik nu een auto van de zaak en dus ben ik eindelijk verlost van het openbaar vervoer.

Ik ken absoluut niemand welke nog geen problemen heeft gehad sinds de invoering in 2005. Alleen de overheid en Dhr. Peters (RET) zijn positief.
In Londen hebben ze geen persoonlijke kaarten, maar werken ze met het pre-paid concept. De risico's zijn daar dus lager.

Da's niet waar, in Londen hebben ze net als hier zowel 'prepaid' kaartjes als persoonlijke kaarten (auto top-up) die aan je bankrekening gekoppeld zijn. Je krijgt een emailtje als er een transactie van de bankrekening naar de kaart gedaan is.

De OV chipkaart is vrijwel 100% gelijk aan dit (Oyster) systeem.

[Reactie gewijzigd door Dreamvoid op 23 juli 2024 13:29]

Anoniem: 162252 @Dreamvoid7 mei 2008 12:40
Waarom vragen we het bedrijf dat in de UK die oyster card heeft geimplementeerd dan niet gewoon om dat in nl ook te komen doen? Hoeven we zelf niks te ontwikkelen.
Je word ook niet gedwongen om je chipkaart automatisch the koppelen aan je rekening nummer. Je kan er ook gewoon voor kiezen om hem zelf op te waarderen.

Kijk maar een hier

Vind persoonlijk dat ze gewoon moeten doorgaan. Veel mensen denken dat het in Japan en England in een keer goed ging. Maar dat is niet zo.

[Reactie gewijzigd door Anoniem: 178057 op 23 juli 2024 13:29]

Het verschil daarmee is dat je niemand individueel benadeeld, alleen het "collectief". Met het kraken en kopieren van de OVchip om daarmee zelf te reizen benadeel je altijd één reiziger tegelijkertijd.

Het argument is nu dat gebruik van een gekopieerde kaart door controles maximaal 24 uur kan en er daarbij gespecialiseerde apparatuur voor het kopieren nodig is. Het is daarom voor georganiseerde criminelen niet interessant (vervalsingen zijn maar zeer beperkt houdbaar) en voor individuen ook niet (gespecialiseerde apparatuur).

Nu is vertrouwen in een systeem een raar iets. Iedereen weet dat er veel wordt zwartgereden. Percentages en schattingen lopen uiteen per situatie, maar laat het 10% zijn. Dit maakt niet uit, zolang dit omgeslagen wordt. Komt de last hiervan nu op 10% van de reizigers te rusten (willekeurig, degenen die slachtoffer worden van een gekopieerde kaart) dan wordt dit anders. Van die mensen wordt ineens geld van hun bankrekening gehaald. Daarbij kunnen ze ineens zelf niet meer reizen omdat hun kaart bij detectie van misbruik onbruikbaar wordt.
Waar jij het over hebt zijn dagkaarten.

Maar zoals in het artikel te lezen is zijn het niet alleen de dagkaarten die gehackt kunnen worden.
Ach, iets in het blauwe kastje steken werkt in Rotterdam nog steeds prima

Punt is dat je bij persoonsgegevens op zijn minst een poging moet doen om die gegevens te beschermen. Hier wordt al bij voorbaat aangenomen dat niemand die gegevens zal misbruiken en dat er dus niets mis mee is om ze op straat te gooien. Dat is natuurlijk een absurde redenatie. We definieren persoonsgegevens als zaken die beschermd moeten worden. Dan moet de overheid dat ook handhaven en zorgen dat de gegevens redelijk beschermd zijn.

Nu kost het geld en wijkt de overheid, zonder goede reden, af van de richtlijnen die ze zelf heeft opgesteld. Daar is niets goeds aan. En dat andere overheden net zo laks zijn maakt het Nederlandse gedrag natuurlijk ook niet acceptabel.
Wat betreft het stelen van de identiteit; het enige persoonsgebonden gegeven dat in de kaart zelf staat is de geboortedatum.

Op de buitenkant van de kaart staan dus meer persoonsgebonden gegevens. die ook op de oude kaarten staat

[Reactie gewijzigd door burgt op 23 juli 2024 13:29]

De kaart gebruikt, net als de Nederlandse variant, een Mifare-chip, maar problemen met hackers zijn er nog niet geweest.
Wel goed lezen a.u.b.

Ik denk dat de democratie per definitie te traag is (en zeker onze polderdemocratie) om dit soort beslissingen te nemen. Voor we het met elkaar eens zijn over een oplossing, is die allang weer achterhaald. De techniek gaat gewoon te snel. Dit los je niet op door te klagen richting de Tweede Kamer, want als jij daar had gezeten, had je het precies zo aangepakt.

Nee wat wij nodig hebben, is een Grote Leider, eentje die ons volk... :X

[Reactie gewijzigd door Rekcor op 23 juli 2024 13:29]

Misschien dat we ons moeten afvragen waarom overheids projecten regelmatig mislukken en handen vol geld kosten. Dan kun je maar tot 1 conclusie komen dat de regering op talloze fronten onbekwaam is. En het mooie is door de regelingen die ambtenaren voor zichzelf opzetten zoals na 4 jaar zitten je oude positie elders terug te kunnen nemen men ook nooit in staat zal zijn om mensen uit het bedrijfsleven aan te nemen aangezien die na 4 jaar voor een regering gewerkt te hebben niet terug kunnen naar hun oude werk. Iets wat ook typerend is gezien de hoge werkeloosheid onder oud-kamerleden die vervolgens maar wat advies werk gaan doen.
Misschien hebben we niet een Grote Leider nodig maar eerder een omslag in of de lonen (140.000 euro is veel, maar voor een top zakenman een schijntje) of een oplossing waar oud kamerleden wel fatsoenlijk aan de bak kunnen komen. Tevens ook een verplichting te stellen dat hetgeen waar men voor staat ook geleerd heeft. Niemand maakt me wijs dat iemand eerst minister van onderwijs kan zijn, en vervolgens minister van landbouw. Zet daar iemand neer van Wageningen die tenminste weet waar hij over praat en beloon deze markt-conform.
Dat de regering op veel punten onbekwaam is, ben ik het helemaal mee eens, maar dit is niet iets van de politiek alleen. In elke organisatie komen wantoestanden voor, standaard, ik vind het dan ook vrij grappig dat mensen vaak schande spreken van 1 of andere misstand welke in het nieuws komt, terwijl ik die zaken al zoveel in allerlei lagen van het bedrijfs/instituut-leven heb gezien. Overigens laat de politiek zich uitgebreidt voorlichten door dure bureau's, die zouden weleens beter in het licht mogen worden gehouden, over hun bekwaamheid hoor je maar weinig eigenlijk.

Overigens, ook al heb ik zelf een slecht loon, ik vind die hoge salarissen in het bedrijfsleven geen enkel probleem...die mensen hebben met geluk een mooi bedrijf opgezet en opgebouwd of voortgezet, wat maakt het in hemelsnaam uit dat in zo'n bedrijf iemand rijk is, dat weet je als je ervoor gaat werken. In de politiek vind ik het niet kunnen, aangezien dit belastinggeld is, men qua motivatie niet voor het geld zou moeten gaan en er al meer dan voldoende vakantie wordt uitgedeelt.

[Reactie gewijzigd door vgroenewold op 23 juli 2024 13:29]

Fouten die de regeringen maken staan in geen enkele verhouding met het bedrijfsleven. Denk aan foutieve aanbestedingen van de overheid van grote bouwprojecten die keer op keer gigantisch veel duurder uitvallen, dit komt in het bedrijfsleven nagenoeg niet voor. Dan de aanfluitingen van de ICT in de overheid, ook te onzinnig voor woorden, dit zou nooit worden geaccepteerd in het bedrijfsleven.
Dan dat men extern dure bureau´s inhuurt, dit zijn vaak afsplitsingen van overheidsmedewerkers die indirect dus ook ambtenaren zijn. Zo was onlangs nog in het nieuws dat in 2005 voor 1,2 miljard externe bureau´s waren ingeschakeld.

Nu wil je bekwame vakmensen aantrekken voor een regering, hoe wil je die mensen aantrekken als het loon niet in verhouding staat noch de secundaire voorwaardes tov ambtenaren? Dit is bij voorbaat al een obstakel waardoor een regering nooit in staat zal zijn om zakenmensen aan te trekken en men dus opgescheept blijft met ambtenaren die voor een groot deel uberhaubt niet de nodige opleiding hebben gevolgd.
De regering heeft een grotere verantwoordelijkheid, maar er zijn net zulke misstanden mogelijk met nog meer geld in het bedrijfsleven (Shell, de bouw, etc), een aanbesteding wordt ook gewoon aan een bedrijf gedaan, ik zie JanPeter nog niet scheppen. Veel gaat ook gewoon mis, standaard, bij enorme bouwprojecten. Dit kan liggen aan fouten van het bedrijf, maar ook gewoon aan het feit dat die projecten verrekte moeilijk zijn, ik vind het alleen vaag dat men niet veel meer begroot om met dit soort tegenvallers rekening te kunnen houden. Verder kom ik niet anders dan ICT rampen tegen in bedrijven en instellingen (als wetenschapper switch ik nogal eens van baan), dit wordt blijkbaar geaccepteerd omdat het gewoon geld kost om de boel om te gooien.

Natuurlijk moet je het proberen aantrekkelijk te maken, maar ik zie niet in waarom een top-manager plotseling zo vakbekwaam zou zijn. Ik zie zoveel voorbeelden van falende "vakbekwame" mensen in het nieuws, dat ik niet verwacht dat mijn belastinggeld nu zoveel beter besteed zou worden. Ik zie liever meer wetenschappers op hun specifieke gebieden in de bankjes.
@vgroenewold:
Wetenschappers zijn zelden politieke dieren - dus dat gaat niet lukken.
ik vind het alleen vaag dat men niet veel meer begroot om met dit soort tegenvallers rekening te kunnen houden
Bij bouwprojecten gaat 't standaard mis omdat:
1. Fraude bij de bouwbedrijven (Annemarie en consorten moeten tenslotte ergens hun gigantische bankrekeningen mee vullen). En nee, denk niet dat die fraude voorbij is. De klokkenluiders in Nederland raken financieel uitgeput en de fraudeurs komen er HOOGUIT met een totaal belachelijke boete vanaf. En ook daarbij vallen er geen ontslagen bij de verantwoordelijken. Het lijkt er eerder op dat je steekpenningen en dergelijke MOET aannemen, anders kom je helemaal niet aan de top of subtop in dat wereldje. De pakkans is gewoon veel te klein.
2. Het moge duidelijk zijn dat de contracten niet deugdelijk in elkaar zitten. Dit vanwege de overige hier genoemde redenen. Je moet natuurlijk gewoon vantevoren afspreken wat 't gaat kosten. 1,65 miljard? Ok, dan vasthouden aan dat bedrag.
3. Politiek gezien kan je vééél moeilijker (of gewoon helemaal niet) je projecten verkopen als de geraamde kosten vantevoren beter kloppen. Dus zullen de geraamde kosten altijd (ver) onder de werkelijke kosten zitten. Redenen als inflatie, daling dollarkoers, stijgende prijs van grondstoffen? Allemaal grote flauwekul. Dat weet je allemaal vantevoren, of je moet er op zijn minst rekening mee houden. Dat zal niet gebeuren - is politiek niet verkoopbaar. Ook juist vanwege zulke zaken moet je vantevoren een vast bedrag afspreken.
4. Weinigen in de politiek zijn geïnteresseerd in 't aanpakken van collega's op dit gebied - omdat ze zelf dan ook onder de loep genomen kunnen worden.
5. Vanwege punt 4, en vanwege andere redenen, worden verantwoordelijken (bijna) nooit bestraft als er overschrijdingen zijn. Dus ben je terug bij punt 3.

Men denkt over 't algemeen te rechts. Men moet opportunistisch zijn om te overleven (dit vanwege de enorme overbevolking. Hoe meer mensen op een kluitje, hoe rechtser men wordt) . Dan krijg je bovenstaande toestanden.
(Links maakt trouwens ook fouten - zoals 't willen legaliseren van drugs. Maar over 't algemeen is rechts veel egoïstischer dan links. Bij rechts gaat 't over 't algemeen over "macht naar jezelf toe, onafhankelijk van wie er de dupe van wordt", en bij links over "veel eerlijker alle bronnen delen, en rekening met anderen houden".)

[Reactie gewijzigd door kimborntobewild op 23 juli 2024 13:29]

He!? Dus jij wilt zeggen dat we dit maar gewoon moeten accepteren, en omdat nog geen hacker écht heeft geprobeerd deze variant te kraken deze dus veilig wordt geacht? Erg kortzichtig dan hoor.

Daarnaast, áls ik in de 2e kamer had gezeten had ik hier zowieso niet vóór geweest. Ten tweede, zou ik (als het mijn project geweest zou zijn) toegeven dat het een brak systeem is en dat het beter is hier vanaf te zien, aangezien er nog geheel niks duidelijk is qua beveiliging van persoonsgegevens.
Daarnaast, áls ik in de 2e kamer had gezeten had ik hier zowieso niet vóór geweest.
Als jij in de tweede kamer had gezeten dan had jij moeten doen wat het volk wil, jij bent immers volksvertegenwoordiger. En dan had je wellicht geweten dat de OV chipkaart in de plaats komt van de strippenkaart, die veel onhandiger is en nog veel fraudegevoeliger. De OV chipkaart is zeker niet goed, maar wel beter dan de strippenkaart.
Stempelen in een bus/metro/tram of je OV scannen, net zo veel werk, net zo onhandig.
De strippenkaart is gevoeliger voor fraude echter het loont zich minder om strippen te copieren, hooguit kun je een afdruk van 20 euro realiseren met veel moeite terwijl een OV chip keer op keer misbruikt kan worden. Maw het rendement is veel hoger waardoor de kans op fraude voor de OV-chip hoger is.
Als je dit naast elkaar zet kun je je afvragen of de gigantische investeringen opwegen tegen het mogelijke gemak.

Dan als je in de kamer had gezeten en het volk zou vertegenwoordigen zou je tevens na al het commentaar van de bevolking moeten afvragen of dit wel hetgeen is wat de bevolking wilt. En niet eigenwijs met oogkleppen op het geld van het volk dat je vertegenwoordigd blindelings verslinden.
---edit---
@vgreoenwold, doet het ertoe dat je niet in het nieuws hebt gehoord dat dit voor kan komen? De kans is redelijkerwijs aanwezig dat onschuldige mensen in de problemen komen door dit systeem. Jou kaart wordt gecloned, ga jij maar aantonen dat je kaart ook daadwerkelijk gecloned is. Dit is bij voorbaat het probleem leggen bij diegene die hier uberhaubt niets mee te maken heeft. Daarnaast worden deze maatregelen ingevoerd onder het motto van ´veiligheid´ en ´gemak´. Echter beide is niet het geval, het is niet veiliger, en het gemak is eveneens betrekkelijk.

[Reactie gewijzigd door n4m3l355 op 23 juli 2024 13:29]

Dan als je in de kamer had gezeten en het volk zou vertegenwoordigen zou je tevens na al het commentaar van de bevolking moeten afvragen of dit wel hetgeen is wat de bevolking wilt.
Wat 'de bevolking' wil is in het algemeen wel simpel te voorspellen: geen verandering.

De bevolking was destijds tegen de auto, tegen de trein, tegen de metro (in a'dam), tegen de TV, tegen de automatisering, tegen computers, tegen de mobiel,

Effin, zo'n beetje alles waar we nu met plezier gebruik van maken was de bevolking ooit op tegen.

In mijn beroep als software developer zie ik dat ook dikwijls. Bestaande gebruikers zijn overal op tegen. B.v. we bouwden in een online app een bepaalde dialoog in. Na 3 maanden doen we een onderzoek naar wat de gebruikers er nu daadwerkelijk van vinden. Ongeveer 85% ofzo vind het niets, en 15% vind het erg handig. Blijkt na nader onderzoek dat die 15% bijna exact de nieuwe gebruikers van die 3 maanden zijn! Na resp. een jaar en twee jaar hebben we de vraag nog een keer gesteld, en de tevreden heid nam telkens toe, terwijl de dialoog exact gelijk gebleven was!

Mensen waarderen dingen dikwijls niet op absolute kwaliteiten, maar op hetgeen ze al kennen.
Ik heb het altijd al onzinnig gevonden dat men vanwege een paar demonstraties hacken, het hele project zou stoppen. Het probleem is er voor die demonstraties (voor lekker veel publiciteit) nooit geweest, ook niet in het buitenland. Men heeft eerder een probleem gecreeerd door het zo publiekelijk bekend te maken en ook maar alvast handigere methodes te presenteren, met wat voor doel? Dat ik nog meer belasting mag betalen? In de praktijk gebeuren deze hackings bijna nooit, heeft ook maar iemand een voorbeeld hiervan in de publieke sector? Net als de chips in paspoorten e.d.

Natuurlijk moet er een redelijk goed systeem tegen misbruik zijn, zodat de gewone consument niet zomaar de boel kan flessen, wil een hacker dit wel dan lukt het zowiezo. Dus mag ik weer fijn 100 Euro belasting erbij leggen om weer te zien dat onderzoekers van een universiteit de boel hebben gekraakt.
Als jij in de tweede kamer had gezeten dan had jij moeten doen wat het volk wil, jij bent immers volksvertegenwoordiger.
Tjonge, en ik maar denken dat ze na de stemmingsrondes lekker doen waar ze zelf zin in hebben tot +/- half jaar voor de nieuwe verkiezingen. Volgens mij, maar dat is maar giswerk, zijn er zat dingen waar bergen nederlanders van af willen waar niks mee gebeurt...

Daarnaast geloof ik niet dat het meerendeel van het volk ooit nagedacht heeft over hoe ze willen betalen in het openbaar vervoer, dus hoe je de relatie legt dat het meerendeel van het volk dit blijkbaar zou willen ontgaat me. Het meerendeel gebruikt geeneens OV volgens mij. Persoonlijk zit ik ook niet echt op de zoveelste pas te wachten.
Persoonlijk zit ik ook niet echt op de zoveelste pas te wachten.
Als we ff de privatiseringen terug draaien... Kunnen we gewoon alles op één pas zetten: rijbewijs, vervoer, paspoort, bieb.uitleenkaart, bankpas, creditcard, etc. En simpel uitbreidbaar, bijv. spaarsystemen (heb ik trouwens een uitermate hekel aan) van supermarkten/benzinepompen. (Uiteindelijk komt dat systeem er trouwens toch wel (of we willen of niet) - met bijv. een onderhuidse chip.).

En dan natuurlijk wèl met een gedegen beveiliging erop, waarbij niet lage kosten (zoals bij de OV-chipkaart) maar de veiligheid voorop staat.
Daarnaast geloof ik niet dat het meerendeel van het volk ooit nagedacht heeft over hoe ze willen betalen in het openbaar vervoer
No offence, maar het meerdendeel van het volk heeft helemaal niet de capaciteiten om over zoiets na te denken.
Mag ik vragen wat er dan precies zo fraude gevoelig is aan een strippenkaart? En is de schade die hierdoor wordt opgelopen dan zo groot als dit project tot nu toe gekost heeft (500 miljoen zo nuit mijn hoofd)?
He!? Dus jij wilt zeggen dat we dit maar gewoon moeten accepteren, en omdat nog geen hacker écht heeft geprobeerd deze variant te kraken deze dus veilig wordt geacht? Erg kortzichtig dan hoor.
Wel goed lezen a.u.b. (deel 2)

Ik zeg nu juist dat onze democratie te traag is voor dit soort beslissingen. Er zijn gewoon teveel belangen, partijen, ingewikkelde technologieen in het spel. Iedereen wil overal een vinger in de pap hebben, inspraakrondes, grote ambtenarenapparaten etc. Dit kun je niet 1-2-3 oplossen met Rita Verdonkachtige rhetoriek.

Kijk, in China/Rusland doen ze het heel gemakkelijk, daar zegt men: dit gebeurt er. Als iemand er iets op tegen heeft, heeft die persoon gewoon vette pech en als die persoon te lastig wordt, sluiten (of hangen) we hem op.
Anoniem: 153581 @Rekcor7 mei 2008 14:15
Heeft niets met de trage besluitvorming te maken, het bedrijf dat deze karten leverd gebruikt gewoon technologie uit de vorige eeuw. Het feit dat het gekraakt wordt is geheel voorspelbaar en hun geheel aan te rekenen. Je kan niet van kamer leden verwachten dat ze iets begrijpen van dit soort technologie, daar moeten ze goede adviseurs voor hebben maar blijkbaar is daar een beetje een tekort aan in Den Haag...
Waarom heeft de "Democratie" hier in godsnaam wat mee te maken, waarom kunnen die vervoersbedrijven niet zelf een systeem ontwikkelen? Nu krijgen we een groot collectief lomp apparaat dat gegevens van iedereen moet bijhouden en waar ik als automobilist gemiddeld wel 66 € aan mag mee betalen maar nooit gebruik van maak.
Waar zijn die privatiseringen nu ze van pas komen?
Waar zijn die privatiseringen nu ze van pas komen?
Totnutoe hebben de privatiseringen eigenlijk vnl. alleen maar méér problemen (i.p.v. verbeteringen) voortgebracht.
Als de overheid iets onder zijn hoede heeft, is in eerste instantie de 'klant' de bepalende factor. Als een bedrijf iets onder zijn hoede heeft, is in eerste instantie de winst de bepalende factor, en niet de klant. Geen wonder dat privatisering niet werkt.
Kijk, in China/Rusland doen ze het heel gemakkelijk, daar zegt men: dit gebeurt er. Als iemand er iets op tegen heeft, heeft die persoon gewoon vette pech en als die persoon te lastig wordt, sluiten (of hangen) we hem op.
Alhoewel ik er geen voorstander van ben, is dit in sommige situaties wel de beste oplossing. (afgezien van dat ophangen/sluiten)
Leuk en aardig maar sinds wij als burgers de mogelijkheid hebben om mensen van de overheid strafrechterlijk te vervolgen hebben ze hier zichzelf mee. Het invoeren van een systeem waarvan men vooraf weet dat er enorme veiligheidsproblemen zijn en waarvan men vooraf al wist dat de boel gehackt is kan in dat opzicht wel eens strafbaar zijn. Wanneer iemand z'n kaart gehackt wordt is de overheid medeplichtig en misschien wel mededader omdat er niets aan is gedaan om het te voorkomen. Sterker nog, men heeft er doelbewust niets aan gedaan. Geen slimme actie dus.
Ik ga het ook zolang mogelijk uitstellen Ik heb genoeg gehad van "Identity Theft" 10 jaar geleden al was mijn laptop gestolen samen met mijn pasport , nou ik kan je vertellen wat dat opleverd.

- Aanslagen van de belastingdienst voor een bedrijf die niet van mij is
- Aagehouden op Schiphol voor woninginbraak in een plaats waar ik nooit geweest ben.
- Brieven van Offshore banken
- Aanslagen van de britse belastingdienst, tja ...Mr Smith zal dan geen belasting betalen
- Brieven van de KvK ....

Nou ik weet wel genoeg hoor!
Tsja, dus met andere woorden, het komt al veel langer voor. De chipkaart is beter beveiligd dan iets als een papieren paspoort. In jouw geval had het overigens niet uitgemaakt of je een chipkaart had gehad, je laptop was blijkbaar een stuk makkelijker om uit te vissen. Beveiliging werkt pas echt als deze 100% is...en dat is bijna nooit het geval.
Ik dacht nou juist dat deze kaarten uit te lezen waren van een afstand. Dat is alsof je aan een douanebeambte je paspoort laat zien en direct alle mensen in de rij achter je ook je gegevens hebben. Een paspoort moeten ze nog altijd in hun bezit krijgen (wat in theorie wel zou kunnen gaan opvallen als je het ooit zelf gebruikt), terwijl ze met deze dingen zonder dat je het merkt een kopie kunnen maken.
Anoniem: 178057 @Skyclad7 mei 2008 12:52
Enige persoon die je paspoort controleert op Schiphol is de Marechaussee. Douane doet alleen controle van goederen.
Ik deel je zorg over het 'kop in het zand' gehalte, maar aan de andere kant met een loper open je ook een willekeurig slot. Toch hoor je hier weinig mensen over klagen. Het is gewoon kosten baten analyse: als de hack niet genoeg oplevert en de pakkans groot is is het gewoon niet rendabel het systeem te verbeteren.
Anoniem: 178057 @latka7 mei 2008 12:38
Denk dat er nu ook weinig klachten zijn omdat het in (amsterdam) gewoon niet gebruikt word. Als je echt wil weten hoe het gaat moet je in Rotterdam en omstreken zijn.

[Reactie gewijzigd door Anoniem: 178057 op 23 juli 2024 13:29]

Mijns inziens heeft deze kaart alleen nut in het 'controle-loze' openbaar vervoer, zoals trams, treinen en metro's.

Ik woon in de proefregio (Rotterdam dus) en t valt me op dat bij een groot deel van de (in ieder geval Connexxion) bussen de scanner uit is of om een andere reden niet werkt in welk geval de reiziger gratis mee mag. (klinkt mij als een boycot in de oren) Om de een of andere reden heb ik voor een reis van 2,76 ook al een keer 0,92 betaald en een keer 1,53. Vermoedelijk omdat de toplaag van mn chipkaart afgesleten is :P

In de metro word ik er horendol van omdat je zonder dat ding maar door de helft (of minder) van de poortjes t station uit kan. Door de rijen die dan onstaan heb ik al meermalen mn aansluiting gemist. :(
Misschien was het beter geweest om de ontwikkeling van de OV-chip in een europees samenwerkingsverband en open te laten plaatsvinden. De openheid zorgt dan voor controle van buitenaf en de gezamenlijke europese ontwikkeling zorgt voor het gezamenlijke fundament zodat in de toekomst ook europees reizen gemakkelijker word met dezelfde kaart.
Ook ik vermoed dat het systeem in london niet wezenlijk anders is maar dat de hoeveelheid fraude gewoon meevalt.
De EU is politiek een leuk speeltje, maar als het om geld en snelheid aan komt kunnen de politieke partijen het zich niet veroorloven om het project anders op te gaan zetten, laat staan het Europees proberen te maken. Daar is teveel trots, geld en macht mee gemoeid dan ze lief is.
Anoniem: 237380 7 mei 2008 10:55
nederlanders moeten niet zo moeilijk doen ok het is een verandering die in het begin alleen maar irritant lijkt,
maar ik ben afgelopen jaar naar singapore geweest waar ze al een paar jaar volledig elektronisch reizen en dat gaat echt perfect ik had er zelf niks anders dan lof over het scheelt echt enorm in tijd met inchecken je hoeft niet eerst te gaan rekenen hoeveel strippen je precies nodig hebt of in een lange rij te staan je haalt gewoon je pas eroverheen je bent klaar wil je eruit haal je pasje erweer over heen heel simpel turrlijk is het hacken een probleem maar dat gebeurt echt minimaal, voor mijn part zit er alleen plus punten aan ik snap ook niet dat men er zo moeilijk over dat maar aj we blijven nederlanders we moeten ook altijd ergens over klagen.......
Als deze Oyster Card dezelfde chip gebruikt dan is hij toch gewoon gevoelig voor dezelfde hacks? Het enige verschil is dan nog volgens mij dat daar niemand geprobeerd heeft deze chip the te hacken.

Ook vreemd dat ze een delegatie van de regeringspartijen sturen, dat lijken me nou niet de mensen die er veel verstand van hebben..

[Reactie gewijzigd door Erkel op 23 juli 2024 13:29]

Oyster kaart is ook gevoelig voor de hacks, dat heeft in de UK ook alle kranten gehaald. Maar daar is het systeem al jaren ingeburgerd waardoor men de voordelen van de kaart al merkt en het relatief marginale misbruik voor lief neemt. In NL worden deze beveiligingsproblemen door de tegenstanders gebruikt om het systeem nog voor introductie nog te cancellen en er een politieke discussie van te maken.

De Octopus kaart in Hong Kong is nog niet gehacked, maar omdat dit een niet-ISO compliant proprietary Sony (Felicia chip) systeem is, is dit in NL niet overwogen. Tsja...

Edit: de encryptie is idd proprietary, maar het RFID communicatie protocol is wel ISO, wat belangrijk is voor de bouwers van de poortjes. Dit is non-ISO voor de Felicia.

[Reactie gewijzigd door Dreamvoid op 23 juli 2024 13:29]

De MIFARE encryptie is eveneens een niet gestandaardiseerde proprietary encryptie methode. Dit alleen al zou vanaf het begin rede moeten zijn geweest om er niet voor te kiezen!

De manier waarop men nu weer probeert om het geheel weer door te drukken is te triest voor woorden.

Je laat toch ook je deur niet open staan omdat je denk dat er toch niemand komt inbreken? Dat is gewoon ignorant en dom.

Ik hoop dat iemand een simpel open source software tooltje maakt om binnen enkele seconden de kaart te kraken en te misbruiken en dat voor iedereen vrij op internet zet.
de Oyster Card is van zover ik weet niet op afstand uit te lezen, alleen met fysiek contact met een lezer, terwijl de OV chipkaart door even tegen iemand aan te kopen die er een in zn binnenzak heeft zitten al uit te lezen is.
Ik heb 'm zelf gebruikt, je 'veegt' hem langs de lezer net als bij de Nederlandse OV poortjes maar fysiek contact is niet nodig, je kan 'm ook een paar centimeter van de lezer af houden. Het heeft precies dezelfde Philips Mifare chip als de OV kaart.

[Reactie gewijzigd door Dreamvoid op 23 juli 2024 13:29]

niet dezelfde chip, maar een andere chip die ook door mifare word gemaakt...
En waar baseer jij dat op? Als ik hier kijk, dat staat er:
The simplicity of the basic cards means that they are inexpensive, which is largely the reason for their success in large-scale deployments, such as Oyster card
Daarnaast staat er ook nog eens:
The MIFARE Classic encryption can be broken in about 12 seconds on a laptop, so it is not recommended for new designs.
Dus waarom niet een andere, veiliger kaart? MiFARE heeft er genoeg.
Wat ik niet snap dat men een delegatie van de regeringspartijen langsstuurd om de technische kant te bekijken, en dat men niet de personen die de chip hebben ontworpen meeneemt. Naar mijn inzien hebben die fractieleden niet echt een reeële/duidelijke kijk op de technische kant van het verhaal.
Maar daar gaat het die fractieleden ook niet om. Het enige waar het voor hun om draait is of ze het zich politiek gezien kunnen veroorloven wat ze adviseren. Het is niet toevallig dat juist de regeringsfracties met een advies komen waarin staat dat er geen probleem is.
Zal ik er maar gewoon vanuit gaan dat iedereen die over identiteitsdiefstal loopt te janken woont in een hutje op de hei, en dagelijks een wandeling maakt naar een lokaal internet cafe (uiteraard nooit hetzelfde internetcafe vaker dan 2 keer per half jaar bezoeken), alwaar hij kan betalen met contant geld, zodat hij zn dagelijks postje op tweakers.net kan plaatsen.

Gelukkig voor deze personen zijn er werkgevers die cash uitbetalen en waar je geen sofi nummer hoeft op te geven natuurlijk. Verzekeringen zijn ook niet nodig, en als we iemand ver weg willen bereiken zoeken we nog wel een munttelefoon op.

Voor idereen die zerut over identiteit en privacy: GET OVER IT. De OV chipkaart is gewoon lekker handig in gebruik. Geen gezeik meer met berekenen hoeveel strippen je nodig hebt, nee gewoon scannen en klaar. Tuurlijk heeft de kaart ook weer zn nadelen. Belangrijkste nadeel voor mij is dat het uiteraard allemaal duurder gaat worden. En je wordt ook sneller geflesd. Mis je bij een overstap je bus kan je ineens weer instaptarief betalen bijvoorbeeld. Das jammer, maar oplosbaar denk ik dan.

Dat de kaarten gehacked zijn is volgens mij meer een probleem voor de vervoersmaatschappijen die inkomsten mislopen dan voor de gebruiker, dus waar maken we ons druk om. Credit Cards, bankpasjes, rijbewijzen, identiteitskaarten, sim kaarten zijn allemaal te verliezen en te kraken. Zelfs biometrische paspoorten schijnen niet 100% veilig te zijn.

Nee, wat mij betreft schaffen ze de buskaart gisteren al af
Dat de kaarten gehacked zijn is volgens mij meer een probleem voor de vervoersmaatschappijen die inkomsten mislopen dan voor de gebruiker, dus waar maken we ons druk om. Credit Cards, bankpasjes, rijbewijzen, identiteitskaarten, sim kaarten zijn allemaal te verliezen en te kraken. Zelfs biometrische paspoorten schijnen niet 100% veilig te zijn.Dat de kaarten gehacked zijn is volgens mij meer een probleem voor de vervoersmaatschappijen die inkomsten mislopen dan voor de gebruiker, dus waar maken we ons druk om. Credit Cards, bankpasjes, rijbewijzen, identiteitskaarten, sim kaarten zijn allemaal te verliezen en te kraken. Zelfs biometrische paspoorten schijnen niet 100% veilig te zijn.
Als je OV pas gehackt is heb jij dus een probleem niet de maatschappijen. Je pas wordt dan geblokt of je credit is vrij vlug op.
Het kost jouw dus geld. Iemand reist op jouw gegevens zonder dat jij er bewust van bent. Op een morgen kan jij dus niet meer door de poortjes die op het station staan.

[Reactie gewijzigd door RobbyTown op 23 juli 2024 13:29]

En die kans is groter dan dat je Credit Card of bankpas bij een pinautomaat wordt gekopieerd? Of dat je je net gekochte buskaart verliest of dat ie gejat wordt?

En hoe kan mijn credit opraken als mijn pas gehacked is? Mijn saldo staat op mijn kaart, en niet op centrale servers. Als ze dus van mijn kaart een kopie gemaakt hebben is dat een kopie en reizen mensen op gekopieerd geld. Volgens mij is dat het probleem van de vervoersmaatschappij die inkomsten misloopt.

Alleen als jij een kaart hebt, waar je onbeperkt op kan reizen, en die achteraf automatisch van je bankrekening wordt afgeschreven heb je een probleem mocht men een kopie hebben kunnen maken zonder dat je het merkt. Volgens mij heb je zelfs dan, op basis van je reisverleden, nog kansen genoeg om aan te tonen dat jij de betreffende reizen niet gemaakt hebt.

Is mijn kaart daadwerkelijk pleite zal ik m -in geval van een kaart op naam- net zo hard kunnen blokkeren als een bankpas, en loop ik nog altijd stukken minder risico dan als mijn bankpas pleite is.
Mijn hemel... hebben ze echt zoveel boter op hun hoofdje liggen?

Het is niet geschikt, en dat is op meerdere manieren aangetoond. Typische weer de Nederlandse politiek die gewoon zijn wil door duwt. En over 6 jaar hebben we een parlementaire enquete waarbij allerlei (ex-)politici gaan roepen dat ze niet wisten dat de chip echt ZO slecht was. Het gaat ons miljarden kosten. En nu kunnen we al aan zien komen dat het weggegooid geld is. En met 'we' bedoel ik niet de politici helaas :(

Geeft niks Den Haag, gewoon doorgaan... want ik betaal mijn belastingcentjes toch wel...
Anoniem: 110977 @beany7 mei 2008 11:00
na x jaar gewoon een update, nieuwe chip, nieuwe encryptie, nieuwe software remote installed op de cardreaders. Hooguit dat de readers aangepast moeten worden, maar de bestaande infrastructuur kan wel gehandhaaft worden.

En die belastingcenten betaal je toch wel. Een volledig nieuw systeem opzetten, kost ook weer een paar honderd miljoen extra. Daar kan je dus ook de kosten mee dekken van de fraude. Zelfs een chip die nu nog niet is gekraakt kan volgende week gekraakt zijn. Gewoon adaptief zijn en mee evolueren.

Maar de queste voor het onvervalsbare paspoort, (en dat begon al bij de KEP affaire) en duurt nog steeds voort, als nu dus voor de ov kaart is gewoon een continue strijd. Nieuwe wapens komen altijd ter beschikking van de vervalsers en de verdedigers zullen altijd weer nieuwe technologiën vinden om het de vervalsers zo lastig mogelijk te maken.

Als je een vrijwel onfeilbaar systeem wilt, moet je bij iedere stop iedereen uit de bus/tram/metro trappen en weer terug laten instappen en contant afrekenen voor de volgende stop. (Er vanuit gaande dat de controleur/bestuurder geen geld achterover drukt), wat ook onwerkbaar is en nog veel duurder zal uitvallen.

Op dit item kan niet meer gereageerd worden.