Rechter verbiedt Defcon-keynote over smartcard-hack

Een Amerikaanse federale rechter heeft drie MIT-studenten verboden tijdens Defcon een presentatie over het kraken van smartcards te geven. Ook de voor de hack benodigde software wordt vooralsnog niet vrijgegeven.

Charlieticket De drie studenten van het Massachusetts Institute of Technology zouden tijdens hackersconventie Defcon een presentatie geven over het kraken van de Charliecard. Die smartcard wordt door de Mbta, het vervoersbedrijf van Boston en omgeving, gebruikt om bus- en metroritjes te betalen. De kaart is gebaseerd op de Mifare Classic-rfidkaart, die door het Nederlandse bedrijf NXP Semiconductors wordt geproduceerd. Eerder kwam de Mifare-techniek al in opspraak toen onderzoekers van de Radboud Universiteit de ov-chipkaart en de Londense Oyster-kaart kraakten. NXP spande rechtszaken aan om de publicatie door Radboud over de Mifare-hacks verbieden, maar verloor deze.

Het verbod van de Amerikaanse federale rechter omvat onder meer de publicatie van de presentatie van de drie MIT-studenten. Voorafgaand aan de Defcon-bijeenkomst hadden zij echter hun Powerpoint-presentatie al bij de organisatie ingeleverd, die het bestand op cd zette om onder de duizenden bezoekers en deelnemers van Defcon te verspreiden. De presentatie is ook in openbare stukken rond de rechtszaak terug te vinden en de universiteitskrant van het MIT publiceerde de presentatie integraal. Documentatie hoe de Charliecard gekloond kan worden en hoe de software tot stand kwam om kaarten te vervalsen met een tegoed tot 655,36 dollar, is eveneens openbaar gemaakt. Ook de benodigde software mocht van de rechter niet publiekelijk worden gemaakt: de universiteit heeft de broncode van de tools conform de eis van zijn website verwijderd.

De drie studenten, Russell Ryan, Zack Anderson en Alessandro Chiesa, worden vertegenwoordigd door advocaten van de burgerrechtenorganisatie Electronic Frontier Foundation, die verwachten tegen de uitspraak in beroep te gaan. Volgens EFF-advocaat Kurt Opsahl tast het verbod de presentatie te geven het grondwettelijk recht op vrijheid van meningsuiting aan. Het drietal zou voorafgaand aan de Defcon-conventie contact hebben gezocht met de Mbta, maar het vervoersbedrijf zette de FBI in om de zaak te onderzoeken. De studenten zouden onder meer aangeklaagd kunnen worden wegens het hacken van computers, aangezien de Mbta claimt dat zijn gekraakte elektronische vervoerbewijzen 'computers' zijn. Overigens blijkt uit de presentatie dat niet alleen de elektronica van het Massachusetts-vervoersbedrijf te kraken is: ook de fysieke beveiliging laat op veel plaatsen te wensen over: sloten en hekken worden niet afgesloten en regelapparatuur bleek op veel plaatsen toegankelijk.

De Warcart: alle benodigdheden om het transportsysteem te kraken

IT-banen

Reacties (67)

Verwijderd 11 augustus 2008 09:41

Het enige wat die MIT studenten niet gedaan hebben is Mbta en NXp de kans gegeven om het op te lossen voor de publicatie. Ik vind het heel belangrijk dat als iets hackt men het eerst communiceert naar de betrokken bedrijven/personen en die de tijd te geven het op te lossen en dan pas de hele hack te publiceren. De bedrijven zouden dan wel de hackers een vergoeding mogen geven.

Het is belachelijk te stellen dat hun eigen fout omdat het slecht beveiligd is. Bvb: muziek, als de liedjes vol met zetten DRM zetten krijg je reacties als: "als het vol DRM zit, koop ik het niet." Als ze er te weinig of geen DRM op zetten krijg je reacties: "tjah, ze hadden het maar beter moeten beveiligen." Zo'n stelling dient (in dit geval) enkel en alleen om het downloadgedrag goed te praten.

Nog iets wat veel mensen hier blijkbaar vergeten: de openbaar vervoer kost geld. Als prive bedrijf moet zelf voor omzet/winst zorgen. Zwartrijders kosten geld maar de controleurs die ze moeten opsporen kosten nog meer geld. Meer kosten = duurdere tickets.

[Reactie gewijzigd door Verwijderd op 23 juli 2024 19:38]

Verwijderd @Verwijderd • 22 augustus 2008 17:55

Als ik het goed gelezen heb dan wou MBTA er helemaal niets aan, gezien dat ze de FBI inschakelde

als MBTA iets met de informatie ging doen dan hadden ze geen FBI ingeschakeld om de MIT gasten de zwijgen op te leggen, maar we leven niet meer in de oude tijdperk waar het onmogelijk was om zoiets te doen

Toontje_78 10 augustus 2008 13:50

Terecht verboden mijns insziens. De genoemde studenten zouden op andermans onderzoek naam hebben gemaakt, richting plagiaat.

(edit)
Ik doelde inderdaad meer op het voortborduren van het onderzoek uit Duitsland (Frauenhofer dacht ik?) + Radboud, zoals TD-er in 2de alinea aanhaalt. De reden van verbieden is dan ook niet de grond waar ik mijn (wellicht ongenuanceerde) uitspraak doe. Lauweren oogsten met het voorwerk van anderen vind ik niet zo fraai, vandaar.

Plagiaat is dan wel iets te sterk verwoord dan het voortborduren is.
(/edit)

[Reactie gewijzigd door Toontje_78 op 23 juli 2024 19:38]

kidde @Toontje_78 • 10 augustus 2008 14:54

Wat loop je te blaten, je hebt duidelijk niet eens de moeite genomen de presentatie te bekijken. Hun onderzoek gaat maar voor een zeer klein deel over hetgeen eerder door anderen onderzocht is. Verder is de crypt 1 loop bijvoorbeeld gekraakt bij de Virginia Tech University. Het gaat vooral ook over hoe slecht heel het randgebeuren is beveiligd. Dus gaarne eerst de presentatie bekijken voor zulk soort onzin uit te kramen.

Afgezien daarvan is het in de wetenschappelijke wereld gebruikelijk onderzoeksresultaten te delen, niet om je resultaten zo geheim mogelijk te houden. Wat jij plagiaat noemt - zoals de BSA, RIAA en MPAA jou graag indoctrineren, heet in de wetenschappelijke wereld 'samenwerken' (zoek maar op in je woordenboek wat dat is). Resultaten niet delen is precies wat de veiligheidsonderzoekers niet willen; ze willen dat alles zo publiek mogelijk wordt.

balk

@kidde • 10 augustus 2008 17:02

Bovendien, zolang je je referenties op orde hebt is het al helemaal geen plagiaat. Ik heb de presentatie niet bekeken maar gok dat dat wel op orde is. Elkaars experimenten nadoen en dan resultaten vergelijken is juist gewenst in de wetenschappelijke wereld. Een soort onafhankelijke check.

Plofkotje @balk • 10 augustus 2008 18:59

Ze geven in de presentatie duidelijk credit aan Karsten Nohl @ Virginia Tech voor de beschrijving van Crypto-1 (de cipher die gebruikt word op de Mifare kaarten).

TD-er

@Toontje_78 • 10 augustus 2008 14:04

Even aangenomen dat wat je zegt ook waar is, dan zou het dus onder die noemer verboden moeten worden en niet omdat de bedrijven die die techniek gebruiken bang zijn voor extra kosten.
Dus zelfs als jouw statement omtrend plagiaat stand houdt, dan is het dus niet terecht verboden.

Ik vermoed echter dat ze gewoon eerder onderzoek gebruikt hebben om deze chip te hacken. Het is dan mischien een stuk makkelijker door dat eerdere onderzoek, maar dat maakt het nog niet meteen plagiaat.

IStealYourGun @TD-er • 10 augustus 2008 14:57

Daarnaast waren die onderzoeken openbaar gemaakt voor het publiek (en royalty free?).

Indien er spraken was van plagiaat, dan was het de taak van de originele onderzoeker een rechtzaak in te spannen en niet de taak van het bedrijf omdat die laatstgenoemde niet de rechten bezit op het werk van het vorige onderzoek. Deze zaak heeft niets met plagiaat te maken en iedereen die het tegendeel beweert is een idioot.

Deze zaak is dan ook aangespannen uit vrees dat men deze techniek zou toepassen voor fraude en dat het bedrijf (enorme) bedragen zou mislopen.

humbug @Toontje_78 • 10 augustus 2008 17:36

Standing on the shoulders of giants? Ooit wel eens gehoord?

Het hele idee van wetenschap is dat persoon A iets bedenkt, persoon B dat toepast op een probleem en persoon C bedenkt dat het ook beter kan waardoor persoon D het op een ander probleem kan toepassen waardoor .....

Als deze student hebben aangetoond dat het in de VS net zo slecht is beveiligd als hier in Nederland en Engeland, mogen ze daar best een presentatie over geven. Mits met de correcte bronvermelding natuurlijk.

pietje63 @Toontje_78 • 10 augustus 2008 14:00

Waar basseer je dit op? Misschien waren ze hier tegelijkertijd met de mensen van de Radbout Uni. mee bezig hebben ze alleen een andere manier van publiceren (die toevallig later is).

DukeBox 10 augustus 2008 13:43

Toch zonde van het geld en tijd dat zo'n rechtzaak kost, alles is nu openbaar via diverse omwegen en er is meer attentie op het onderwerp gekomen door deze hele zaak.

WPN @DukeBox • 10 augustus 2008 14:56

helaas zijn veel bedrijven redelijk kortzichtig...

ze horen dat hun kaart gekraakt is en dat er een presentatie van komt.
dat houdt voor hun in dat hun klanten dan opeens allemaal gratis gaan reizen en dat ze dus inkomsten kwijtraken.....

inplaats van het probleem met de studenten op te nemen om tot een oplossing te komen, willen ze dus de drie het zwijgen opleggen.

MAAR juist door die actie komt alle aandacht naar hun systeem en beveiliging, welke zoals in het artikel ook staat vermeld niet alleen zwak is in de mifarechip maar ook gewoon fysiek aan alle kanten rammelt, waardoor ze dus juist meer inkomsten gaan kwijt raken omdat iedereen nu de zwakke plekken kent en ook gewoon toegang toe heeft

een stuk software card reader en blanco kaarten zie ik de normale consument niet even aanschaffen/downloaden om even vervoersbewijzen te gaan clonen en hacken...

aan de andere kant is deze publiciteit voor de studenten zelf wel erg goed, ook al is de rede negatief, grote amerikaanse software/beveiligings bedrijven hebben nu hun ogen op hun gericht om tijdens/na hun studie die gasten te sponsoren/baan aanbieden....

[Reactie gewijzigd door WPN op 23 juli 2024 19:38]

Fireshade @WPN • 10 augustus 2008 15:55

inplaats van het probleem met de studenten op te nemen om tot een oplossing te komen, willen ze dus de drie het zwijgen opleggen.

Dat weet we dus niet. Misschien heeft het bedrijf het wel geprobeerd, misschien hebben de studenten helemaal geen actie genomen voor een gezamenlijke oplossing.

Zoals het nu is gegaan, hebben de studenten alles zo snel mogelijk gepubliceerd, alsof ze bang waren dat iemand anders met zo'n primeur aan de haal zou zijn gegaan. Als ze eerst contact met het bedrijf zouden hebben gehad en het bedrijf reageerde niet of bagetelliseerde het, dan zouden ze dat zeker gemeld hebben. Dat hoor je ook van andere vinders van kritieke lekken/bugs, als bijv. MS of Cisco e.d. na een half jaar niets aan de gevonden lek doen. Dus ik plaats mijn kanttekeningen bij het gedrag van deze studenten.

Door zo'n "ontdekking" publiek maken krijgen ze hun "15 minutes of fame" en zetten ze even hun naam op de wereldkaart (en CV).

The Zep Man

Netwerk en systeembeheer
Politiek en recht
Verenigde staten
Hackers

@Fireshade • 10 augustus 2008 16:06

[...]

Dat weet we dus niet. Misschien heeft het bedrijf het wel geprobeerd, misschien hebben de studenten helemaal geen actie genomen voor een gezamenlijke oplossing.

Dat weten wij dus wel. Uit de tekst:

Het drietal zou voorafgaand aan de Defcon-conventie contact hebben gezocht met de Mbta, maar het vervoersbedrijf zette de FBI in om de zaak te onderzoeken.

Verwijderd @The Zep Man • 10 augustus 2008 20:18

Dom van dat bedrijf. Als er in de toekomst weer eens zoiets speelt zal men niet eerst contact zoeken maar het direct publiceren.

SirBlade @Verwijderd • 11 augustus 2008 08:58

Of mensen zullen denken: Als ik dit bekend maak krijg ik de FBI achter me aan, laat ik het maar geheim houden.

GravGunner @SirBlade • 11 augustus 2008 09:58

Waar zie je dat de FBI hier iets mee doet?

BramT @WPN • 10 augustus 2008 16:43

een stuk software card reader en blanco kaarten zie ik de normale consument niet even aanschaffen/downloaden om even vervoersbewijzen te gaan clonen en hacken...

Ga 's met een paar mensen van Fontys Eindhoven praten. Ze hebben daar ondertussen wat meer ervaring met het onderschatten "normale consumenten".

Hamish @BramT • 13 augustus 2008 02:06

Vertel daar maar 's wat meer over. Wat heb ik gemist?

CyBeR @WPN • 11 augustus 2008 02:12

een stuk software card reader en blanco kaarten zie ik de normale consument niet even aanschaffen/downloaden om even vervoersbewijzen te gaan clonen en hacken...

Mwah kweeniet hoor, maar die readers heb ik hier liggen, kaarten ook (en als ze op raken zijn ze retegoedkoop te krijgen). Daarna is 't voor mij een kwestie van een kaart opladen tot $655.35 (heh, duidelijk hoe dat werkt) en 'm voor $100 ofzo verkopen aan de 'normale' consument.

dada @WPN • 11 augustus 2008 13:02

MAAR juist door die actie komt alle aandacht naar hun systeem en beveiliging, welke zoals in het artikel ook staat vermeld niet alleen zwak is in de mifarechip maar ook gewoon fysiek aan alle kanten rammelt, waardoor ze dus juist meer inkomsten gaan kwijt raken omdat iedereen nu de zwakke plekken kent en ook gewoon toegang toe heeft

Hiervan zijn wel meer voorbeelden te vinden. Het heeft zelfs een naam: http://en.wikipedia.org/wiki/Streisand_effect

Soldaatje 10 augustus 2008 13:54

Het lijkt me dat het vervoersbedrijf nu wel naar een oplossing moet gaan kijken want vroeg of laat wordt deze hack wel gebruikt.

IStealYourGun @Soldaatje • 10 augustus 2008 15:00

Bwa, nu zijn er ook zwartrijders zelfs met het gebruik van dit systeem, het is dan ook eerder een kwestie van hoeveel. Zelfs bij publicatie lijkt het nog vrij klein want niet iedereen heeft de kennis om die hack's toe te passen.

Het grootste gevaar zou zijn dat er een iemand een extra centje bij verdiend door het te verkopen van illegale kaartjes.

Bacchus 10 augustus 2008 14:04

Die rechter wil zeker wat publiciteit genereren voor dit soort problematiek, prima gelukt zo!

gassiepaart 10 augustus 2008 14:10

De studenten zouden onder meer aangeklaagd kunnen worden wegens het hacken van computers, aangezien de Mbta claimt dat zijn gekraakte elektronische vervoerbewijzen 'computers' zijn.

Haha! De manieren waarop sommige organisaties hun gelijk moeten krijgen. En dan ook nog een rechter die dit gelooft? In plaats van de echte verantwoordelijkheden aan te pakken, moeten deze studenten natuurlijk eerst helemaal verguisd worden. Misschien een idee om ze op te pakken voor terrorisme....

SPee @gassiepaart • 10 augustus 2008 14:22

Misschien een idee om ze op te pakken voor terrorisme....

Misschien gebeurd dat nog. De FBI was ermee bezig.

Maar het is toch gek dat het publiceren van onderzoek verboden wordt, 'omdat het schadelijk is voor een bedrijf'.

Zo krijg je later niet te horen over de restulaten van:
-onderzoek naar GSM straling
-onderzoek naar luchtvervuiling
-onderzoek naar schone energie
-etc

Als het elk bedrijf lukt om negatieve onderzoeken niet te laten vrijkomen, hoe kan de burger zich objectief een keuze te laten maken

Gelukkig (hopelijk) is de rechter hier een beetje te laat mee, aangezien het onderzoek al op verschillende manieren gepubliceerd is

En als Defcon ook hun DVD niet (kan) aanpassen, weet alsnog iedereen het.
en de sourcecode is ook makkelijk 'per ongeluk' op torrentsites te plaatsen

Toontje_78 @SPee • 10 augustus 2008 14:52

Als Defcon de cd niet kan aanpassen denk ik eerlijk gezegd dat betreffende cd niet verspreid gaat worden, om toekomstige rechtzaken te vermeiden..

(edit)
Alcari, ik bedoelde hiermee dat de organisatie, na het verbod opgelegd door de rechter aan de auteurs, waarschijnlijk liever de mogelijke miljoenenclaims en miljoenen kostende rechtzaken ontloopt door een oplage al geperste cd's niet uit te delen, dan recht in de muil v/d leeuw te lopen. Het gaat wel te vinden zijn, daar twijfel ik niet aan.
(/edit)

[Reactie gewijzigd door Toontje_78 op 23 juli 2024 19:38]

Verwijderd @Toontje_78 • 10 augustus 2008 15:31

Uhh...
Net zoals er geen kinderporno op internet aangeboden wordt?
(nee, ik zeg niet dat ze hetzelfde zijn)

Als je weet waar je moet zoeken is het vast wel te vinden. Tuurlijk, het zal niet op google komen onder "Software smart-card hack", maar denken dat iets niet beschikbaar is omdat het illegaal is vind ik een beetje naief.

Minder verspreid misschien, maar de mensen die het willen hebben vinden het wel.

Toettoetdaan @Verwijderd • 10 augustus 2008 17:40

nou heb even gezocht op: "Software smart-card hack"
wat staat er bovenaan?
nieuws: Rechter verbiedt Defcon-keynote over smartcard-hack

oke het staat niet onder "Software smart-card hack" maar je komt dus wel uit bij een andere vage computersite waar mensen gevaarlijke informatie kunne verwerven.

dus tweakers heeft binekort een bezoekje van de FBI

[Reactie gewijzigd door Toettoetdaan op 23 juli 2024 19:38]

kidde @gassiepaart • 10 augustus 2008 14:56

En dan ook nog een rechter die dit gelooft?

Geloven of niet, in de VS heb je de DMCA, die het verbied zelfs maar onderzoek te doen naar het verbreken van cryptografie die toegepast wordt in huidige beveiligingen. Met die DMCA kreeg men het ook voor elkaar DVDJon te verbieden zijn programmaatjes te verspreiden, terwijl DVD's ook geen computers zijn.

[Reactie gewijzigd door kidde op 23 juli 2024 19:38]

The Zep Man

Netwerk en systeembeheer
Politiek en recht
Verenigde staten
Hackers

@kidde • 10 augustus 2008 16:13

[...]

Met die DMCA kreeg men het ook voor elkaar DVDJon te verbieden zijn programmaatjes te verspreiden, terwijl DVD's ook geen computers zijn.

Ik heb anders nog voldoende bronnen waar de broncode (en, als je wat verder zoekt, pre-compiled binaires) van DeCSS kan halen. Tot zover gaat het verspreiden nog steeds door.

Om (als je in Amerika woont) de DMCA te omzeilen moet je dan ook twee dingen doen: anoniem werken en software publiceren vanuit een land waar de DMCA niet telt. Voordeel van open-source is juist dat als ze je 'pakken' dat de software (en het idee achter de software) gewoon door blijft bestaan.

Als iets eenmaal op internet staat, blijft het ook op internet staan.

Verwijderd 10 augustus 2008 14:43

Nee, het is weer meer van hetzelfde, als we het verbieden hoeven wij het niet op te lossen want dan weet het publiek het niet, dat de boel aan alle kanten rammelt. De bekende struisvogelpolitiek en boomstamverstoppertje politiek. Als ik achter dat wilgentakje ga staan van 2 cm dik, terwijl ik 1,20meter breed ben dan zie je me niet omdat ik erachter sta.

twooggy @Verwijderd • 10 augustus 2008 15:47

En vervolgens gaat één of andere echte crimineel met het spul aan het spelen, ontdekt hoe de boel gehackt kan worden en dan ben je pas echt ver van huis. Dan kan hij ongemerkt dus allerlei valse kaarten in omloop brengen. Dan ben je als bedrijf pas echt de klos.

Mijns inziens moet die hele Mifare Classic-rfidkaart afgeschaft worden en vervangen door een betere.

Verwijderd @twooggy • 11 augustus 2008 10:40

redentatie bedrijven: Wat kost het upgraden, wat zijn onze huidige kosten. Over welk termijn moeten we dit zien? Hoelang zal een upgrade ongehackt bestaan? Welk effect zal dit hebben op de klanten binding?

De antwoorden zijn over het algemeen. De kosten van een upgrade wegen niet op tegen de kosten van de zwartrijders. De veilige levensduur van nieuwe chips kunnen wel eens zodanig kort bevonden worden dat het een upgrade niet verantwoord en de klanten hebben (over het algemeen) toch geen keus. In nederland ben in je weze aangewezen op 1 vervoerder voor je bus en 1 voor je trein. (en ja er zijn meer bedrijven maar ze rijden allemaal in hun eigen regios en die overlappingsgebieden zijn niet echt boeiend (zeker niet als ze allemaal het zelfde systeem gebruiken)).

HoppyF 10 augustus 2008 15:16

Mbta richt zijn aandacht op de verkeerde persoon. Niet de MIT-studenten zijn de boosdoeners maar de fabrikant van de chip (NXP Semiconductors). Zij hebben immers een chip op de markt gebracht waar gaten in zitten.

In NL maakt een rechtzaak hierover weinig kans omdat blijkbaar niemand NXP (het voormalige Philips Semiconductors) aan durft te klagen. Het is te hopen dat Mbta het wel aandurft. Als ze een paar studenten durven aan te pakken moet dit ook wel lukken. Ik wens ze daar veel succes mee.....

Gelukkig is publicatie over kwetsbaarheden in NL wel toegestaan door de rechter. De rechter in de USA zit er dus naast. Dat zal later in een hoger beroep ook nog wel blijken. Voorlopig gaan de publicaties dus gewoon door, en zo hoort het ook.
Het in de doofpot stoppen van dit soort belangrijke zaken waar veelal geld van de burgers voor gebruikt wordt is iets wat niet mag gebeuren.

Toontje_78 @HoppyF • 10 augustus 2008 16:01

Gelukkig is publicatie over kwetsbaarheden in NL wel toegestaan door de rechter. De rechter in de USA zit er dus naast.

Verschillende rechtsystemen, dus beide rechters kunnen gelijk hebben. Kidde hierboven heeft een stukje over DMCA incl. link.

humbug @HoppyF • 10 augustus 2008 17:43

En waarom mag je geen chip verkopen die niet veilig is? Ik neem aan dat je ook een rechtzaak wil beginnen tegen alle producenten van wifi routers?

dgompie

@humbug • 10 augustus 2008 19:45

Natuurlijk mag dat, maar als ie dan later niet veilig blijft, ben je daar wel voor verantwoordelijk. Net zoals die fabrikant van ondeugedelijke banden in de US en er zullen er vast wel meer zijn.

SuperDre

Hackers
Rechtszaak

@dgompie • 10 augustus 2008 20:43

Maar er is wel een groot verschil tussen een chip die te kraken is, en een band die ondeugelijk is...

ikkuhqhp

@HoppyF • 10 augustus 2008 22:30

wat een onzin zeg, jij gaat bepalen dat de rechter fout is? 's lands wijs, 's lands eer. Verder is het niet zo dat de mifare chip slecht is. Het probleem is dat hij nou niet meer voldoet. Als jij nu een 2048-bits RSA key gebruikt, dan is je systeem nu veilig. Maar gegarandeerd, over een x aantal jaren is die net zo lek. Beveiligingen zijn maar tijdelijk. En bedenk ook dat er niet (alleen?

) idioten werken bij de bedrijven die het implementeren. Die mensen hadden zelf moeten zien dat het niet goed was. En nee, het is niet netjes van NXP om het nog te verkopen, maar dat is de vrije markt. De meeste bedrijven verkopen alleen maar solutions waarin ze zelf geloven (dat zeggen ze in iedere geval

) Dus je moet niet oordelen over een rechter van een land dat jij naar alle waarschijnlijkheid alleen maar kent van TV, in ieder geval niet zoals een (ex-)inwoner.

daft_dutch 10 augustus 2008 15:32

Kunnen we nu eindelijk RFID kaartjes als autorisatie weg schijven.
Er zit gewoon niet genoeg kracht in de dingen.
Iedereen heeft bijna wel een telefoon waarom daar niet mee spelen met RF signalen.

Verwijderd 10 augustus 2008 17:46

De publicatie is in mijn ogen net wél goed. Dat er nu waarschijnlijk mensen zijn die zich er frauduleus mee willen verrijken, nu er bij wijze van spreke een handleiding bijzit, zal me ook niet verbazen. Maar nu kunnen de bedrijven die er gebruik van maken wel erop inspelen, extra controleren en weten ze ook gewoon dat het bestaat en kàn. Desnoods kunnen ze hun eigen R&D erachter zetten om te proberen met iets de nepkaarten van de echte te onderscheiden.

Maar voor de maker van de chip zal het minder goed nieuws zijn, zowel door de fouten van het bedrijf, maar ook door deze publicatie door de rechter laten verbieden, dat heeft zoals zo vaak het averechtse effect...

SuperDre

Hackers
Rechtszaak

@Verwijderd • 10 augustus 2008 20:48

En jij denkt dat zonder die publicatie (waardoor nog meer mensen er gebruik van kunnen maken) de bedrijven zoals mbta niet gaan zoeken naar een oplossing?
En ik vraag me eigenlijk uberhaupt al af wat dit voor onderzoek op een universiteit (en dan publiekelijk) te zoeken heeft, en dan dus ook nog even lekker naam maken hierop.. laat ze maar eens echt zinnig onderzoek doen..

HoppyF @SuperDre • 10 augustus 2008 22:25

Wat versta je onder echt zinnig onderzoek?
Ik vind onderzoek zoals dit wel van belang en ook zinnig. Het gaat immers om miljoenen dollars/euro's, vaak overheidsgeld wat zo maar de afvalbak in gaat.

Om deze gammele chip te redden moet je heel wat maatregelen gaan nemen om de beveiliging aan te passen. Dat kost veel geld. Naar mijn idee moet dat op de fabrikant verhaald gaan worden.

Op dit item kan niet meer gereageerd worden.

Rechter verbiedt Defcon-keynote over smartcard-hack

Lees meer

IT-banen

Reacties (67)

Sorteer op:

Weergave: