Radboud mag onderzoeksrapport Mifare-hack publiceren

De Radboud Universiteit Nijmegen mag van de rechter het rapport over de Mifare Classic-chip publiceren. Fabrikant NXP had een kort geding aangespannen om publicatie van het onderzoek te voorkomen.

De chip is wereldwijd ongeveer een miljard keer verkocht en wordt onder meer gebruikt voor toegangsbeveiliging in gebouwen en in het openbaar vervoer. Volgens NXP zou het publiceren van het rapport daarom grote veiligheidsrisico's met zich meebrengen. De universiteit stelde dat het publiceren van het onderzoek valt onder de vrijheid van meningsuiting.

Volgens de rechter valt het publiceren van wetenschappelijk onderzoek inderdaad onder de vrijheid van meningsuiting. Een verbod op de publicatie van het rapport is daarom alleen mogelijk als er een dringende maatschappelijke noodzaak bestaat die bovendien overtuigend kan worden aangetoond.

De rechter is van mening dat het publiceren van wetenschappelijk onderzoek een democratisch grondrecht is. Daarnaast is het volgens hem belangrijk dat mensen geïnformeerd worden over veiligheidsrisico's van de beveiligingen die ze gebruiken. NXP heeft daarentegen niet overtuigend genoeg kunnen bewijzen dat het publiceren van het onderzoek grote risico's met zich meebrengt. Dat de voorgenomen publicatie ook bedrijfsmatige schade aan NXP toebrengt is volgens de rechter het gevolg van het produceren van een chip die gebreken vertoont. De universiteit zal het artikel begin oktober op een conferentie in Spanje wereldkundig maken.

IT-banen

Reacties (36)

Rob Coops

Beveiliging
Hackers

18 juli 2008 15:55

Eindelijk een rechter die begrijpt dat mensen er veel waarde aan hechten ook dit soort onderzoek te kunnen doen en publiceeren en dat bedrijven wiens falende producten dit onderzoek betreft dit niet kunnen verbieden.

NXP wist al jaren dat dit product niet al te best was ze hebben niet voor niets een verbeterede versie op de markt gebracht.

Als je als bedrijf op de hoogte bent van de beperkingen en de gevaren van een product en een klant wil dit product gebruiken voor een project waar van je van te voren al met 100% zekerheid van kunt zeggen dat dit product daar niet geschikt voor is waarom dan toch verkopen? Waarom dan niet vertellen dat dit niet kan werken en dat ze toch echt voor een andere oplossing moeten kiezen, een oplossing die je zelf ook hebt dus het is niet alsof je een klant zal verliezen.
Als de klant dan toch vol blijft houden op basis van kosten dan kan je natuurlijk zelf ook aangeven dat je dit niet kan ondersteunen, doet een concurent dat wel dan gat die onderuit en blijft jouw bedrijf als betrouwbaar en goed te boek staan iets wat zeker in de beveiligings wereld toch wel telt.
In plaats daar van doet NXP het tegenover gestelde ze gaan helemaal met de klant mee doen alles om de klant blij te maken en gaan onderuit op het moment dat twee onderzoekers aan tonen dat de chip te kraken is. NXP geeft zich niet gewonnen maar roept op tot meer onderzoek, TNO doet dit onderzoek en komt tot de conclusie dat het allemaal zo'n vaart niet loopt wat op basis van de dan beschikbare gegevens een beetje vreemd lijkt omdat er net voor het verschijnen van het raport een makelijkere methode gevonden is.
NXP maakt weer een fout door te roepen dat het TNO raport aantoont dat het project van de klant door kan gaan. Zelfs de klant twijfelt en laat een ander onderzoek doen dat zulke harde conclusies trekt op basis van de nieuwe gegevens dat de klant om NXP te beschermen het raport laat aanpasen (overgens ook om zich zelf in te dekken natuurlijk maar da's een ander verhaal)
NXP geeft nog steeds niet op en met het nieuwe raport in handen willen ze nog steeds door gaan met het project, met een toevoeging om snel hun goedkope chip te vervangen.
Nu een paar weken later is er weer een nieuwe vinding het blijkt nog simpler om de chip te kraken en de chip is nu dus eigenlijk helemaal nuteloos als het op beveiliging aankomt, NXP gaat gewoon door met het maken van fouten en klaagt de onderzoekers aan in de hoop de geest terug in de fles te krijgen, natuurlijk lukt dat niet en ook dit onderzoek komt gewoon op straat te liggen.

NXP is een goed voorbeeld van een bedrijf dat graag hun klanten helpt, maar niet een enkele keer nadenkt over wat voor soort hulp de klant nu ook echt nodig heeft.
NXP is dus een bedrijf waar ik nooit zaken mee wil doen.

mjtdevries 18 juli 2008 23:35

Een veel interessantere vraag vind ik eigenlijk: Waarom wil Radboud perse het volledige onderzoeksrapport publiekelijk vrijgeven?

zijn de technische details hoe ze het klaar gespeeld hebben van van belang voor de samenleving?
Nee. Daarvoor is de conclusie voldoende, en die is al lang bekend.

Wordt de vrijheid van meningsuiting geschaad als je alleen aan belanghebbenden de technische details vrij geeft?

Schiet de consument er werkelijk iets mee op als iedereen in de wereld kan zien hoe de chip gekraakt is?

De Radboud universiteit heeft volgens mij hele andere motieven om dit zo te spelen... (en iedereen hier kan er vast wel een aantal voor de hand liggende bedenken)

Arnoud Engelfriet @mjtdevries • 19 juli 2008 01:27

Die vraag vind ik helemaal niet interessant. Vrije meningsuiting geldt ongeacht het achterliggende motief. Dat RU graag publiciteit zou willen voor haar onderzoeksgroep of zo is wellicht het geval, maar wat is daar interessant aan? Wordt het onderzoek daar minder van?

dmantione @mjtdevries • 19 juli 2008 05:35

Cryptoanalyse is een algemeen geaccepteerde wetenschappelijke bezigheid en Radboud wil deze ongestoord kunnen uitvoeren. Lijkt mij niets mis mee, NXP had de zaak gewoon zelf in 1995 moeten publiceren zodat de veiligheid door wetenschappers getoetst kon worden. Je kunt iets pas veilig noemen als cryptoanalyse geen lekken oplevert. Wie zegt dat de opvolger van de Myfare wel veilig is?

mjtdevries @dmantione • 19 juli 2008 12:52

Ze kunnen dat tochook gewoon ongestoord uitvoeren.

De rechtzaak ging immers niet over het uitvoeren van dat onderzoek, maar over het volledige publiekelijk maken van alle details van dat onderzoek!

Verwijderd @mjtdevries • 19 juli 2008 07:22

Volgens mij gaat dit gewoon om academische vrijheid en heeft het Radboud geen achterliggende reden.

- peter -

18 juli 2008 15:29

Heel prettig om dit te horen, een fris geluid in een wereld waar steeds meer aan bedrijfsbelangen wordt gedacht dan aan vrijheid van meningsuiting en transparantie.

Vooral de uitspraak: "Dat de voorgenomen publicatie ook bedrijfsmatige schade aan NXP toebrengt is volgens de rechter het gevolg van het produceren van een chip die gebreken vertoont." is weldadig.

Hensz @- peter - • 18 juli 2008 19:40

De rechter concludeert ten onrechte dat de chip niet werkt, zoals hierboven al gezegd werk ie perfect, maar je moet hem wel voor het juiste doel gebruiken.
NXP is eigenlijk ook geen partij. De mensen die deze Mifare gebruiken zijn hooguit partij: zij gebruiken dat ding nu nog terwijl ie achterhaald is. Er bestaat dan ook al lang een versie die een stuk beter is, terwijl ook daarvoor al weer aan een opvolger gewerkt wordt.

Noch de jongens van de Radboud of NXP zitten verkeerd. De gebruikers (Rijksgebouwendienst bijv. of OV Chipkaart) hebben een verkeerde keuze gemaakt c.q. niet op tijd geupgrade.

NXP zou eigenlijk blij moeten zijn. Nu mag je toch hopen dat er alsnog geupgrade wordt, naar (uiteraard) een duurdere chip. Iets dat NXP toch goed zou moeten doen.

BigFast @Hensz • 19 juli 2008 11:51

Wat is dat nu weer voor uitspraak... De producent van een product dat in een rapport mogelijk geheel wordt afgekraakt is geen partij. De imagoschade kan enorm zijn, als dat al niet het geval is. Ze hebben alle reden om een kort geding aan te spannen. Dat een rechter daar overigens niet op in gaat is een tweede. Maar voor NXP is er wel degelijk een belang. Het heeft op dit moment niets te maken met al dan niet upgraden van een dergelijk product. Als ze dat gedaan hadden was er mogelijk niets aan de hand, dat is echter niet de werkelijkheid. Als ze geen partij zouden zijn waren ze niet ontvankelijk verklaard.

Butchi 18 juli 2008 18:41

De uitspraak: "Dat de voorgenomen publicatie ook bedrijfsmatige schade aan NXP toebrengt is volgens de rechter het gevolg van het produceren van een chip die gebreken vertoont." lijkt mij niet correct. Dit zou betekenen dat alles gereversed engineered mag worden op het gebied van veiligheid omdat alle veiligheidsmaatregelen/methodieken op een gegeven moment te hacken zijn en dus een gebrek vertonen. Wie is er dan nog in geinteresseerd om iets commercieel te ontwikkelen.
Bu

Arnoud Engelfriet @Butchi • 19 juli 2008 01:24

Die uitspraak heeft de rechter dan ook niet gedaan. Uit het vonnis:

Voorzover het gaat om bedrijfsschade en schade als gevolg van eventuele claims van afnemers, legt die weinig gewicht in de schaal bij de afweging van belangen, omdat die kans op schade in hoge mate toegerekend moet worden aan het produceren en in het verkeer brengen van een chip met intrinsieke manco’s, wat de verantwoordelijkheid van NXP is en niet van RUN c.s. die die manco’s slechts door onderzoek bloot hebben gelegd.

NXP's claims dat zij schade zouden lijden door de publicatie wordt dus verworpen omdat die schade geleden wordt door een manco in de chip en niet door een publicatie van het manco.

En security by obscurity werkt niet.

BartS12 18 juli 2008 15:44

Ik ben het oneens met de rechter die stelt "dat de chip gebreken vertoont'. Het is bekend - elke beveiliging is te kraken. Het niveau van beveiliging moet alleen in overeenstemming zijn met het doel.

Philips/NXP heeft vanaf het begin duidelijk gemaakt dat het beveiligingsniveau van deze chip beperkt was. Prima voor de administratie van de koffieautomaat op het werk, dat soort zaken.

Het zijn de OV-bedrijven (hoe heet die club ook al weer...) die besloten hebben dat voor hen dit niveau van beveiliging ook wel genoeg was. Dat kun je als NXP nauwelijks tegenhouden. Je bent hooguit moreel verplicht om ze hier op te wijzen, en bijvoorbeeld een degelijker product aan te bieden. Hebben ze ook gedaan, maar de klant wilde voor een dubbeltje op de eerste rij zitten...

Als het bedrijf het dan toch doorzet voor een groot publiek project, dan trek je ook veel meer aandacht (lees: hackers/krakers) aan. En ja, die zullen zo'n beperkte beveiliging wel slopen. Da's nogal dom dus van die OV-club, daar is iedereen het eigenlijk wel over eens.

Dan valt er toch wel iets te zeggen voor het argument dat NXP schade lijdt door dommigheid van de OV-chipkaart-BV.

L-VIS @BartS12 • 18 juli 2008 15:56

Het ligt wel iets anders dan jij zegt. Als niemand mag weten hoe slecht die chip is, dan doe je er toch alles aan om publicatie te voorkomen. In feite zegt NXP dus: "Deze chip is erg slecht, maar niemand mag het weten." Ik vind het daarom erg goed dat dit rapport wordt gepubliceerd.

Ondanks het feit dat de OV-chipkaart een beetje een debacle aan het worden is, lijkt het erop dat NXP zegt tegen de beleidsbepalers: "Deze chip wordt heel veel gebruikt! Dus dat kan hier ook prima". Ik denk in dat opzicht dat ze de overheid er niet eens echt op hebben gewezen, want anders zou publicatie niet zo'n probleem zijn.

BartS12 @L-VIS • 18 juli 2008 16:10

Ik bedoel alleen te zeggen: de chip is an sich niet slecht. Hij is alleen geschikt voor een beperkt doel . Dat zijn 2 hele verschillende zaken.

Ik denk dat iedereen er nu wel van overtuigd is dat je deze chip niet voor landelijke toepassingen moet gebruiken. Maar voor lokale zaken als de genoemde koffie-automaat is de chip nu nog wel geschikt. De afweging tussen kosten en risico's valt voor dit soort situaties nog altijd wel goed uit. Dat verandert echter als de methode om te kraken publiek wordt gemaakt.

Tjsa, ik denk dat de rechter op zich juridisch wel goed zit. Het is alleen niet duidelijk of we hier met z'n allen nou echt beter van worden. We worden nu met z'n allen verplicht om voor de meest banale toepassingen al (dure) chips te gebruiken die met geen tien universiteiten samen te kraken zijn.

Verwijderd @BartS12 • 18 juli 2008 16:35

We kunnen ook gewoon strippenkaarten en papieren treinkaartjes blijven gebruiken. Veel beter voor de privacy ook.

Pumbaa82 @Verwijderd • 18 juli 2008 23:27

en milieu vriendelijker ...

papier vergaat beter als plastic, en er hoeven niet tig kaartlezers/opladers te worden voorzien van stroom .. .

Aangezien we anno 2008 zoveel op hebben met het hele groen gebeuren

wizzkizz @Verwijderd • 18 juli 2008 23:28

En je hoort er bijna niemand over dat die zo gemakkelijk te kopieren zijn. Dat ene randje dat voor beveiliging moet zorgen, is ook niet echt indrukwekkend.

4ourty2 @BartS12 • 18 juli 2008 15:51

NXP had het ook anders kunnen aanpakken.
Ze hadden dit kunnen voorzien en de opdracht kunnen weigeren.
En als je het zo bekijkt heeft de rechter wel gelijk.
Maar daar gaat dit eigenlijk niet eens om. Het gaat erom dat nxp een rapport wou tegen houden. En het is niet meer dan gerechtigheid dat dit niet gelukt is.

Edit:
bedoelt als reactie op BartS12

[Reactie gewijzigd door 4ourty2 op 23 juli 2024 05:18]

mddd 18 juli 2008 15:29

Goede zaak. De rechter kaatst eigenlijk de bal terug: als je een chip produceert die niet functioneert zoals zou moeten (of in ieder geval: zoals gewenst is) dan is dat je eigen risico!

Laptom @mddd • 18 juli 2008 16:21

Wat een kortzichtig commentaar..
Deze chip functioneerd perfect zoals hij dat moet doen! Hij is 15 jaar geleden al bij Philips ontwikkeld en zit in ontelbare aantal producten. Deze chip is ook moeilijker te copieren dan menig huidige bus-,tram-,treinkaartje. Op deze chip zelf zou geen persoonlijke informatie te komen staan (is ook niet mogelijk, de chip zelf is zo low-budget). Daarvoor zou over een aantal jaar een moderner variant van de MiFare kaart ingevoerd worden.
Laat ze eerst de infrastructuur omgooien en alles stap-voor-stap integreren.

Het is jammer dat de media zo g#il is op deze aandacht en dat de politiek er weinig van begrijpt, behalve dat de kaart "gekraakt" is. Ben ook benieuwd naar het rapport van Radboud. Een wetenschappelijk onderzoeks durf ik het nog niet eens te noemen.

ppl

Beveiliging

@Laptom • 18 juli 2008 17:58

Dat van jou is eerder kortzichtig commentaar. Er zijn diverse groepen bezig geweest met die chip in kwestie en ze hebben allemaal aangetoond dat de chip de nodige fouten heeft en niet geschikt is voor waar het gebruikt wordt en zou moeten worden. De universiteit van Radboud is echt niet de enige daar in. Met een stap voor stap invoering van de chip verhelp je het design probleem van de chip niet. Dat ding was 15 jaar geleden misschien nog veilig genoeg maar tegenwoordig al lang niet meer. Dat wijzigt zich totaal niet bij een andere manier van uitrol, sterker nog, de uitrol bepaald helemaal niets aan veiligheid. De infrastructuur omgooien doet ook niet bepaald veel aan de veilgheid van de chip.

Misschien dat je eerst eens wat moet gaan lezen over wat er nu mis is aan de mifare chip voordat je domme en kortzichtige reacties gaat plaatsen met een beschuldiging naar iemand anders. Het hele euvel van de chip is dat er een security methode wordt gebruikt die inmiddels als simplistisch en outdated wordt beschouwd (15 jaar geleden niet). Het probleem is niet dingen als data die op de chip staat of wat dan ook maar de gebrekkige security van het ding. Voor de ov chipkaart is die impact misschien niet zo groot maar voor de toepassingen waarbij de chip gebruikt wordt in een toegangspasje is het misschien een heel erg grote impact. Dat vindt een NXP natuurlijk niet bepaald leuk omdat het voor hun de nodige impact heeft als bedrijf zijnde dus die proberen een rapport tegen te houden natuurlijk. Wat mddd nou bedoeld is dat de rechter nu ook van mening is dat een chip die niet meer voldoet aan de huidige maatstaven een probleem is van de fabrikant en van niemand anders. NXP kan wel zeggen dat de maatschappij gevaar loopt maar als de maatschappij de risico's niet weet loopt het ook gevaar. Dan spreek je eerder van iets als security by obscurity. Kennelijk vindt de rechter dat laatste zwaarder wegen net als de vrijheid van meningsuiting.

Dlocks @Laptom • 18 juli 2008 16:25

Deze chip functioneerd perfect zoals hij dat moet doen!

Als dat zo is dan is er dus ook geen probleem...

Ben ook benieuwd naar het rapport van Radboud. Een wetenschappelijk onderzoeks durf ik het nog niet eens te noemen.

Waarom niet?

[Reactie gewijzigd door Dlocks op 23 juli 2024 05:18]

HAL 9000 @Laptom • 18 juli 2008 17:05

Ben ook benieuwd naar het rapport van Radboud.

Je hebt het dus nog niet gelezen ?

Een wetenschappelijk onderzoeks durf ik het nog niet eens te noemen.

En zonder te lezen/details te kennen al zulke uitspraken doen. Tsjah.

Verwijderd @Laptom • 19 juli 2008 07:19

Een wetenschappelijk onderzoeks durf ik het nog niet eens te noemen.

Dus als ik het goed begrijp heb je het niet gelezen en durf je het bij voorbaad nog niet een wetenschappelijk onderzoek te nomen alleen omdat jij het niet gelezen hebt.
Wie is er nu kortzichtig?

Verwijderd @Laptom • 19 juli 2008 11:24

Zonder kritiek op beveiligings systemen zal er ook niet vlug iets beters komen. Aangezien er zoveel toepassingen op draaien is het hoog tijd dat de veiligheid eens door een onpartijdige instellingen aan de kaak wordt gesteld.

De consumentenbond doet eigenlijk hetzelfde, al is het dan zo dat ze minder diepgaand te werk gaan.

Als universiteiten meer van dit soort publicaties zouden doen hadden we misschien ook nooit met de milleniumbug te maken gehad.

Kortzichtige mensen helpen het liefste alle klokkenluiders om de zeep.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 05:18]

dada @mddd • 18 juli 2008 16:35

Goede zaak. De rechter kaatst eigenlijk de bal terug: als je een chip produceert die niet functioneert zoals zou moeten (of in ieder geval: zoals gewenst is) dan is dat je eigen risico!

Het is inderdaad een goede zaak, maar er is eigenlijk maar één hoofdreden achter deze uitspraak: Radboud had geen NDA (Non-Disclosure Agreement) getekend en mag dus schrijven wat ze wil. Het heeft verder niets te maken met het al dan niet onveilig zijn van de chips. De vrijheid van meningsuiting danwel de vrijheid om journalistiek te bedrijven was hier in het geding.*
_{*: tenminste, dat is wat ik ervan snap. Ik heb deze zaak niet echt goed gevolgd...}

[Reactie gewijzigd door dada op 23 juli 2024 05:18]

Arnoud Engelfriet @dada • 19 juli 2008 01:19

Een NDA tekenen is niet de enige reden waarom je iets niet zou mogen publiceren hoor. Als jij iets publiceert dat geen journalistieke of andere waarde heeft, maar wel een ander veel schade berokkent, dan heb je toch echt een probleem.

WPN 18 juli 2008 15:31

de enige rede waarom NXP niet wilt dat het gepubliceerd wordt is

Dat de voorgenomen publicatie ook bedrijfsmatige schade aan NXP toebrengt is volgens de rechter het gevolg van het produceren van een chip die gebreken vertoont.

als je dan je falende chip verkoopt aan een bedrijf, doe het dan niet aan een bedrijf dat veel publieke aandacht krijgt......
voor beveiliging binnen een kantoorgebouw.... ok, is het niet een ontzettende ramp omdat het niet in de aandacht van de media staat
maar verkoop je het als veilig en nieuwe beveiligings product voor... lets say public transport.... tja dan kan je verwachten dat er aandacht op komt van iedereen en daarmee dus ook hackers

als een universiteit dan een rapport over het product uitbrengt dan moeten ze juist dat rapport ter hande nemen om te gebruiken voor het zo snel mogelijk verbeteren van het product......

knirfie244 @WPN • 18 juli 2008 15:34

Het is ook nooit verkocht als veilig en nieuw beveiligingsproduct. NXP had een betere voorgesteld, maar de overheid wilde de goedkoopste chip hebben die ondertussen al meer dan 10 jaar oud is...

Killemov @knirfie244 • 18 juli 2008 15:41

Een gevalletje research doen op rekening van de klant misschien?

cire @Killemov • 19 juli 2008 11:00

NXP heeft al jaren veiliger producten ter beschikking, dus die research hadden ze niet meer nodig.

TromboneFreakus @knirfie244 • 19 juli 2008 12:37

Zoek de oude "product information sheets" van NXP maar eens op, dan lees je wel anders...

Verwijderd 18 juli 2008 21:14

Touchy subject, ik zie namelijk het probleem niet van meningsuiting zolang dat geen problemen met zich meebrengt.

Serieus ik zie mensen hier hun meningen geven over iets wat ze niet hebben gelezen behalve het korte nieuwsbericht, knap dat je dan een mening kan hebben zonder verdere informatie, dat noem ik dus verkeerde meningsuiting aangezien ik niet verwacht dat zowat iedereen dat rapport thuis in de bus heeft gekregen of via de mail?

[Reactie gewijzigd door Verwijderd op 23 juli 2024 05:18]

Nico de Vries

19 juli 2008 03:17

"Een veel interessantere vraag vind ik eigenlijk: Waarom wil Radboud perse het volledige onderzoeksrapport publiekelijk vrijgeven?"

Omdat dat is wat Universiteiten doen. Dingen onderzoeken en de resultaten daarvan publiceren.

Dat maakt het ook mogelijk dat iedereen kan zien wat er nu precies onderzocht is en op basis van feiten kan gaan oordelen over NXP in plaats van op de huidige geruchtenstroom. Je kunt dan ook bepalen voor welke toepassingen de chip geschikt is en voor welke niet.

Dit onderzoek en de publicatie ervan is ruimschoots van tevoren aangekondigd en NXP heeft ook vooraf inzage gekregen in de resultaten. Ze hebben dus de gelegenheid onjuistheden te corrigeren en ruim de tijd gehad om eventuele fouten in hun product te corrigeren nog voordat deze openbaar gemaakt worden.

mjtdevries 19 juli 2008 12:59

Omdat dat is wat Universiteiten doen. Dingen onderzoeken en de resultaten daarvan publiceren.

Dat denken mensen ja, maar heel veel onderzoek aan universiteit blijft strikt geheim.

Tijdens mijn academische studie heb ik de nodige onderzoeken meegemaakt waarbij zelfs de eindconclusie geheim was.

Het zou dus helemaal niet uitzonderlijk geweest zijn als ze niet alle technische details volledig vrij gegeven hadden. (bv alleen in beperkte kring)

Maar ze hebben er specifiek voor gekozen om dat wel te doen, en daarmee de kans op misbruik veel groter te maken.

Dit heeft meer met reclame voor hun vakgroep en 'politieke' idealen te maken, dan met het beschermen van academische vrijheid.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (36)

Sorteer op:

Weergave: