Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 176 reacties

Volgens Trans Link Systems is het bericht dat de ov-chipkaart met weinig kennis en voor een laag bedrag te hacken is 'oud nieuws'. Het bedrijf neemt geen stappen en zegt dat fraude weinig voorkomt. Bovendien zou het eenvoudig te detecteren zijn.

Trans Link Systems, dat de ov-chipkaart beheert, reageert laconiek op het bericht dat 30 euro en enige kennis van Linux voldoende zijn om de ov-chipkaart te hacken en ermee te frauderen. In een reactie zegt Anita Hilhorst van Trans Link Systems tegen Radio 1 dat dit geen nieuws is. "Het verbaast ons dat dit keer op keer in het nieuws komt", zei Hilhorst.

"We weten dat het mogelijk is, maar we kunnen fraude detecteren en actie ondernemen in dergelijke gevallen", claimt de woordvoerster. In juni werd voor het eerst een man opgepakt nadat het detectiesysteem van Trans Link Systems fraude constateerde. Overigens ging dat om kaarten die niet op naam stonden. Onbekend is hoe het systeem fraude detecteert; de man werd achterhaald op basis van onderzoek naar zijn reispatroon.

Volgens Hilhorst zijn er al eerder handleidingen op het internet verschenen hoe de kaarten met Mifare Classic-chip zijn te hacken. "Tot nu toe is er nauwelijks fraude gepleegd", beweert ze. Het bedrijf ziet dan ook geen reden om actie te ondernemen.

Een medewerker van Radio 1 probeerde met de handleiding de ov-chipkaart te kraken, maar zegt 'na enkele uren klooien' dat wel meer dan eenvoudige basiskennis nodig is en dat het dus niet voor iedereen is weggelegd. Volgens de schrijver van de handleiding, Brenno de Winter, is het echter een kwestie van tijd voordat er een eenvoudige hackmethode voor Windows verschijnt.

Gerelateerde content

Alle gerelateerde content (22)
Moderatie-faq Wijzig weergave

Reacties (176)

Als ik het goed begrijp kan je de kaart dus hacken, maar kan de conducteur, chauffeur of controleur eenvoudig zien dt de kaart gehackd is.
Frauderen op z'n Belgisch dus.
Dat komt omdat ieder Mifare kaartje een uniek nummer heeft dat je niet kunt overschrijven. Aan de hand van dat unieke nummer kan Translink zien of er meer met dat kaartje is gereisd dan dat ervoor is betaald (=fraude).

Ervan uitgaande dat de apparatuur die de conducteurs bij zich hebben geen ruimte hebben om alle bekende kaartjes te onthouden en slechts een 'blacklist' kunnen bevatten: als je ergens Mifare kaartjes kunt kopen waarvan je het unieke nummer kunt veranderen, dan kun je elke dag met een ander kaartnummer reizen en ben je nooit op te sporen.

Overigens ben ik het niet eens met de stelling dat het een brak systeem is omdat de kaartjes eenvoudig te manipuleren zijn. Goed geimplementeerde beveiliging staat op 3 pijlers: authentificatie, authorisatie en administratie. Ondanks dat de authentificatie en authorisatie van het systeem onderuit zijn gehaald, zorgt de administratie ervoor dat het toch lastig is om op grote schaal met het systeem te frauderen.
Ervan uitgaande dat de apparatuur die de conducteurs bij zich hebben geen ruimte hebben om alle bekende kaartjes te onthouden en slechts een 'blacklist' kunnen bevatten: als je ergens Mifare kaartjes kunt kopen waarvan je het unieke nummer kunt veranderen, dan kun je elke dag met een ander kaartnummer reizen en ben je nooit op te sporen.
Dat kan zonder problemen: Je gooit voor elke dag die je wil reizen 7,50 in de NS-kaartautomaat en loopt met een random kaartnummer weg.

Je moet alleen zorgen dat je dat kaartnummer maar n keer gebruikt en dus na afloop weggooit. Trans Link zal zich achter de oren gaan krabben als er ineens tienduizenden kaarten op de blacklist verschijnen.
Overigens ben ik het niet eens met de stelling dat het een brak systeem is omdat de kaartjes eenvoudig te manipuleren zijn. Goed geimplementeerde beveiliging staat op 3 pijlers: authentificatie, authorisatie en administratie. Ondanks dat de authentificatie en authorisatie van het systeem onderuit zijn gehaald, zorgt de administratie ervoor dat het toch lastig is om op grote schaal met het systeem te frauderen.
Hier ben ik het niet mee eens: Grootschalige fraude kan prima, alleen niet 100% gratis en ook niet steeds op dezelfde kaart. Na 1 dag wordt de kaart geblacklist en heb je een nieuwe nodig.

Het punt is namelijk dat als er n persoon (al dan niet structureel) fraudeert, hij op gaat vallen in een patroon. Maar als een paar honderd man gaan frauderen en daarbij willekeurige paden en bestemmingen aanhouden, wordt de 'fraude' ineens niet te volgen en overschaduwd door ruis. Net zoals n persoon prima te verstaan is, maar als een paar honderd man hun mond open doen, je er van een afstand niks meer van kan maken.

Ik kan me een scenario voorstellen van een clubje hackers dat, puur om een statement te maken naar TLS, een grootschalige 'social hack' gaat plegen en iedereen uit gaat leggen hoe je met €7,50 een hele dag op een chipkaart kan reizen. TLS verdient er dan nog wel wt op (namelijk de 7,50 per kaart), maar ziet een groot aantal kaarten geblacklist worden die allemaal willekeurige nummers hebben en anonieme kaarten zijn. Traceren op reispatroon gaat in zo'n geval ook niet meer, want de kaartjes duiken overal op en zijn aan het eind van de dag ook weer spoorloos.

Politiek kun je dan twee statements maken: Niet alleen dat de OV-chip zo lek als een mandje is, maar ook dat het OV goedkoper moet als de actie een succes blijkt en er ineens veel meer mensen met het OV door Nederland gaan racen. Het blijft immers niet gratis.
Ervan uitgaande dat de apparatuur die de conducteurs bij zich hebben geen ruimte hebben om alle bekende kaartjes te onthouden en slechts een 'blacklist' kunnen bevatten: (...)
Hoeveel terabyte denk je nodig te hebben om lle wereldwijd uitgegeven unieke ID's van Mifare kaartjes op te slaan? 5 MB misschien? Goed, ik overdrijf wat, maar het lijkt me sterk dat het om ruimtegebrek niet gebeurt, laat staan dat een directe link met de centrale computer ook niets meer kost tegenwoordig.
[...]

Hoeveel terabyte denk je nodig te hebben om lle wereldwijd uitgegeven unieke ID's van Mifare kaartjes op te slaan? 5 MB misschien? Goed, ik overdrijf wat, maar het lijkt me sterk dat het om ruimtegebrek niet gebeurt, laat staan dat een directe link met de centrale computer ook niets meer kost tegenwoordig.
Die directe link met de centrale computer is juist wel waar het aan ligt: Dat zou dan via het GSM- of UMTS-netwerk moeten verlopen, wat een dure oplossing is, en als het systeem onverhoopt (aan de remote kant) down gaat of de trein door een tunnel heen dendert dan kunnen de conducteurs niet controleren. Daarom worden alle transacties in de loop van n dag op de kaart (en op de poortjes) gebufferd.

Een conducteur kan daarom alleen kijken of je in- of uitgechecked bent, en of de kaart niet al (bij de batch van de vorige dag) op de blacklist is gezet. Een kaart die op die dag is uitgegeven is dus altijd geldig, ook al hack je er 100 euro op. Pas de opvolgende dag wordt de kaart ongeldig gemaakt, maar dan kun je je zonder problemen van de kaart ontdoen. (Knip!)
Dit is ook best eng eigenlijk! "de man werd achterhaald op basis van onderzoek naar zijn reispatroon." Hoezo privacy? Dus in plaats van dat ding fatsoenlijk te beveiligen gaan ze maar de privacy van de reizigers schenden.
ehm... nee... de privacy van de reizigers hoeft niet geschonden te zijn geweest. Men conroleerde namelijk geen persoonlijke gegevens (het waren anonieme kaarten!), maar controleerde simpelweg welke route er regelmatig werd gefraudeerd en hebben toen gerichte controles gedaan... op dat traject en dat tijdstip.

[Reactie gewijzigd door tes_shavon op 5 november 2010 10:04]

Maar mocht dit een kaart zijn op naam dan verzamelen ze dus wel meer persoonsgegevens zonder de gebruiker om toestemming te vragen.
Bovendien leggen ze jou persoonsgegevens open en bloot op straat.
En een annonieme kaart kan gewoon gekoppelt worden aan jou door te kijken met welke bankrekening deze gekocht is.

Dat zal het bedrijf niet zo boeien maar misschien de consument wel, hoewel mensen tegenwoordig niet zo boeiend vinden dat iedereen alles weet.
Maar mocht dit een kaart zijn op naam dan verzamelen ze dus wel meer persoonsgegevens zonder de gebruiker om toestemming te vragen.
Nee, je geeft toestemming als je die kaart aanvraagt. Expliciet. En dat moet je nog een keer doen om die gegevens op de website opvraagbaar te maken.
Bovendien leggen ze jou persoonsgegevens open en bloot op straat.
Werkelijk? Hoe dan? Waar dan? Ze hebben fraude gemeld aan de politie, die vervolgens iemand hebben opgepakt. Fraude is een strafbaar feit. Dus daar is geen enkele privacyregel geschonden.
Dus je geeft expliciet toestemming om gegevens als trajecten / tijden / frequentie ed te verzamelen.

Gegevens liggen open en bloot op straat mocht jij je kaartje verliezen of iemand deze op afstand uitlezen. Door de gebrekkige beveiliging loopt dus feitelijk iedereen met een uithangbord met zijn persoonsgegevens rond.
En keus heb je hierin niet want zonder die OV chipkaart kan je niet reizen.
Gegevens liggen open en bloot op straat mocht jij je kaartje verliezen of iemand deze op afstand uitlezen.
Gelukkig staat die informatie niet op het kaartje, maar op de systemen van TLS. Wat je hier beweert klopt dus niet helemaal.

Jouw gegevens worden pas op de website getoond wanneer je toestemming hiervoor geeft. Pas vanaf dat moment (het moment van toestemming) worden de gegevens bewaard.

Mocht je dus je kaart verliezen, n nog geen account op de website hebben, f de tracking-functies nog niet hebben ingeschakeld, kan de eerlijke vinder/dief dit inderdaad wel doen. Daarna kan deze persoon die jouw kaart heeft gevonden/gestolen fijn alle reizen bekijken die hij vanaf dat moment maakt.

Kopieren gaat niet op, een kaart-ID is uniek en kan niet worden overschreven of gekopieerd.

[Reactie gewijzigd door MindStorm op 5 november 2010 15:32]

En een annonieme kaart kan gewoon gekoppelt worden aan jou door te kijken met welke bankrekening deze gekocht is.
Wat? Dat hoop ik toch niet (niet dat ik met het OV wil reizen, maar dat terzijde). Lekker anonieme kaart heb je dan. Die zou je toch gewoon ergens met contant geld moeten kunnen kopen en opwaarderen?
Natuurlijk kan dat. Dat kan met alles.

Of ze het doen is een tweede.
Of je koopt hem met cash. En waardeert 'm daarmee op.
Het is dan ook een "niet persoons gebonden kaart", wat natuurlijk niet wil zeggen dat ze het transactie log niet bewaren, inclusief de opwaardeer transacties.
Ik zeg niet dat het zo is, maar het lijkt me dat de OV bedrijven graag hun boekhouding op orde willen hebben en dus willen zien waar hun inkomsten vandaan komen en hoe dat zich vertaalt naar de diensten die ze daarvoor leveren.
Zoals in de tekst staat:
Overigens ging dat om kaarten die niet op naam stonden.
precies wat ik ook dacht, en ik neem aan dat dit niet het enige individu is waar het reispatroon van opgeslagen is
big brother is watching you
Leuker kunnen we het niet maken, wel makkelijker ;)
Ach het valt wel op als de chipkaart op geen enkel oplaad station terug te zien is en wel heel veel reisjes maakt. Iedereen kan wel bedenken dat ze registreren hoeveel er op en af een kaart wordt gehaald. De man vinden daar hebben ze dan wel een reispatroon voor nodig want ze weten niet waar hij woond.
Een medewerker van Radio 1 probeerde met de handleiding de ov-chipkaart te kraken, maar zegt 'na enkele uren klooien' dat wel meer dan eenvoudige basiskennis nodig is en dat het dus niet voor iedereen is weggelegd. Volgens de schrijver van de handleiding, Brenno de Winter, is het echter een kwestie van tijd voordat er een eenvoudige hackmethode voor Windows verschijnt.
Straks is er gewoon een programmaatje die het met een druk op de knop voor je doet.

[Reactie gewijzigd door martijnsch op 5 november 2010 09:55]

Idd.
Ik heb de reportage vanmorgen op de radio gehoord. Het ingewikkelste aspect was het feit dat de journalist zelf wat software moest compileren voor de Linux distributie. Dat is natuurlijk geen gesneden koek. Je kon aan het inlogmelodietje trouwens horen dat hij Ubuntu gebruikte.

Het is een kwestie van tijd voordat er voorgebakken installatiepakketjes beschikbaar zijn die iedereen in een handomdraai kan installeren.

Translink maakt zich er erg makkelijk vanaf zo. Ik vraag me echt af hoe ze fraude denken te kunnen detecteren als je bijv. een anonieme OV-chipkaart gebruikt.

[Reactie gewijzigd door zordaz op 5 november 2010 10:07]

Omdat, neem ik aan, het saldo wat op die anonieme chipkaart staat ook bekend is bij de TLS backend systemen. En op die anonieme chipkaart staat dan wel geen naam of pasfoto, maar als je dat ding oplaadt of koopt dmv een pin transactie is die kaart zo anoniem niet meer vermoed ik.

Ook al wordt het script kiddie easy, je moet nog steeds een stukje hardware halen en bent bewust bezig met een overtreding die strafbaar is. Er zijn nu ook mensen die zwart rijden, dat zal straks niet anders zijn, net zoals de meerderheid gewoon netjes zal blijven betalen.

[Reactie gewijzigd door demonite op 5 november 2010 16:22]

Straks is er gewoon een programmaatje die het met een druk op de knop voor je doet.
Weet je, ik zou het bijna gaan doen... een Windows programmatje maken, met een hele simpele user interface. Alleen om Translink en de overheid nog meer te dwingen om de ov-chipkaart veiliger te maken.

Maar ja, dan ben ik strafbaar... terwijl Roemeense criminelen er schijt aan kunnen hebben en de gemanipuleerde kaartjes gewoon per internet kunnen verkopen.
@ beany, vrijdag 5 november 2010 10:49

Dat is ene klein programmatje en dat is zo te verspreiden via bijv. TPB. Rapidshare oid...

Zie dan maar eens te achterhalen wie dat gemaakt heeft....
}:O
opensource maken, code maken en niet compilen.. dan komt er van zelf ergens online wel te staan met welk commando je die net code alsnog tot programma kunt smeden...

verder worden fabrikanten van breekijzers ook niet veroordeeld omdat Jaap L ze als inbreek gerij gebruikt
Ik denk wel dat dat komt, als iemand ooit zin heeft om zoiets te maken.
Waarschijnlijk heeft die 'medewerker' gewoon helemaal geen kennis van Linux en lukt het daardoor niet.
Natuurlijk, de burger is dom. Ze betalen al miljoenen teveel voor geld dat verdwijnt als je niet goed uitchecked en niet terug vraagt. Daarnaast kunnen wij dit niet, veel te moeilijk. Je moet dan wel linux kennen en rfid snappen etc etc...
Jailbraiken van een iphone is ook echt heel moeilijk.... Op een bepaald moment moest je helemaal naar een website gaan om de jailbreak uit tevoeren door even te sliden in je scherm.

Hoelang duurt het voor je een simpel dialoogje krijgt, 50 euro tegoed, next, next, finish.

Mevrouw Hilhorst, steek uw kop nog wat verder in het zand.
Vergeet niet in de centrale back-office alle reizen worden bijgehouden, en dat ze dagelijks controleren of de verandering in je tegoed klopt met hoeveel je hebt gereisd. Als jij zomaar 50 euro meer hebt en je hebt niet opgewaardeerd, staat je kaart de volgende dag op de blacklist en heb je er niet zo veel meer aan.

Het is dus een brak systeem, maar zo erg is het nou ook weer niet.

Hier staat trouwens ook een boel info over verschillende aanvallen op de OV-Chipkaart.

[Reactie gewijzigd door Manu_ op 5 november 2010 10:09]

Vergeet niet in de centrale back-office alle reizen worden bijgehouden, en dat ze dagelijks controleren of de verandering in je tegoed klopt met hoeveel je hebt gereisd. Als jij zomaar 50 euro meer hebt en je hebt niet opgewaardeerd, staat je kaart de volgende dag op de blacklist en heb je er niet zo veel meer aan.
Hoeveel mensen denk je dat er zo dom zijn om dit op een persoonlijke OV-chipkaart te flikken?

Als je gewoon elke keer een anonieme kaart koopt is het simpel, kaart uit te automaat tappen, hacken, en je hebt voor 7,50 een vrije reisdag. Einde van de dag krijgt de (toch al wegwerp) kaart een gratis enkeltje prullenbak.

De anonieme kaarten zijn juist waar de zwakke plek zit, want fraudeurs zijn niet te traceren omdat de kaarten niet aan NAW-gegevens te koppelen vallen. Vooral niet als je ze met contant geld koopt.
Dus, verhogen ze de update frequentie en binnen 1 uur nadat je hebt ingechecked met een foutief saldo is je kaart geblacklist..
Kopieer de kaartgegevens van vroege vogels en gebruik deze tijdens hun werktijd (vrij voorspelbaar).
Ik vind dit zo'n amazing non-discussie. In China gebruiken dagelijks 900 miljoen mensen dit systeem en blijkbaar word daar nauwelijks gefraudeert want het bestaat al jaren en jaren (in het land waar alles nagemaakt word).......
In hongkong is er een vaste prijs per traject. Hierdoor is er minder overhead. De prijzen zijn daar dan daardoor ook veel lager. Het principe van de rekening delen. In Nederland wordt de gedachte going Dutch aangehouden. De 'gebruiker' betaalt.
sancties zijn ook wat zwaarder vergat je en passant te vermelden...
Sancties zijn zwaarder en het openbaar vervoer 10x goedkoper dus daar loont het gewoon we niet.
als je voor 50 cent van a naar b kunt waarom dan een boete van 100 euro riskeren itt tot Nederland waar je van a naar b reist voor 20 euro met een boete van 35...
Als je een kaartje gaat klonen en je wordt gepakt, zijn de sancties hier ook niet fijn. Reizen zonder kaartje is stout, vervalsing kan je gewoon de cel in draaien.
Kan je daar gaan overdenken of het het waard was :')
Als je een kaartje gaat klonen en je wordt gepakt, zijn de sancties hier ook niet fijn. Reizen zonder kaartje is stout, vervalsing kan je gewoon de cel in draaien.
Dat zal best, maar als vervalsing 'makkelijk' en toegankelijk genoeg gemaakt wordt zodat iedereen het voor onder de 10 euro kan doen, dan is het geen misdaad meer maar burgerlijke ongehoorzaamheid.

Justitie kan moeilijk het halve land op gaan sluiten of miljarden aan boetes uit gaan delen (waarvan ze toch weten dat ze die niet krijgen). Dan help je je eigen economie, werkgelegenheid en geloofwaardigheid als overheid al helemaal om zeep.
De boete voor het vervalsen van een OV-chipkaart is (zoals iemand hierboven ook al schreef) maximaal 76.000 en niet 35,- (dat is voor zwartrijden). Nu zal de boete eigenlijk nooit zo hoog worden uitgegeven (zeker niet als je het voor persoonlijk gebruik doet, en er niet in handelt).

De boete is niet zo erg, de veroordeling voor fraude achter je naam, daar ga je last mee krijgen.
Oh, nu het oud nieuws is voel ik me ineens een stuk veiliger...
Het mooie is dus dat ze het nog proberen recht te praten ook. Onveilig is onveilig.

Ik maak me niet zoon zorgen aangezien ik alleen als student mijn ov gebruik, zonder saldo.
Tja, de credit card is ook onveilig. En toch lopen heel veel mensen dagelijks met een dergelijke pas op zak.

Alles is te kraken. Iets wat gisteren nog veel processorkracht of kennis nodig had, is morgen in een handomdraai te kraken.

Niet dat ik het hiermee goed praat. Dat zeker niet want ook ten tijde van de introductie zullen er ongetwijfeld betere alternatieven zijn geweest, maar er wordt altijd zo snel geroepen dat het een slechte zaak is (wat het uiteraard ook is), terwijl aan de andere kant de impact van creditcard fraude en het skimmen van pinpassen veel groter is.
Ja, de creditcard is inderdaad onveilig. Hierbij hanteren de banken al jaren een beleid waarbij gekeken wordt naar de kosten van het veiliger maken, versus de kosten van misbruik. Bij creditcardfraude wordt de klant echter meestal direct zonder problemen schadeloos gesteld.

Immidels is overigens de fraude met cc's en pinpassen (van met name skimming) ook in Nederland dusdanig geworden, dat de banken meer haast hebben gekregen de magneetstrip te vervangen door een chip, om skimmen te voorkomen.

Het grappige van de OV chipkaart is dat dit een nieuw systeem betreft, waar de disisionmakers vanaf het begin willens en wetens hebben gekozen voor een onveilig systeem. De problemen die ontstaan door gebruik van dit gammele en onveilige systeem worden structureel bij de gerbuiker neergelegd. De keuzes die gemaakt worden door de vervoerder, zijn keuzes die alleen een monopolist zich kan permitteren. De overheid had hier imo al een paar jaar geleden stevig in moeten grijpen.
De problemen die ontstaan door gebruik van dit gammele en onveilige systeem worden structureel bij de gerbuiker neergelegd.
Kan je dit ook onderbouwen. Op welke wijzen wordt het bij de gebruiker neergelegd. Ik ga er namelijk van uit dat er een kosten-baten analyse is gemaakt van verhoogde veiligheid en de kosten daarvan vs. de kosten van fraude.

Zal mij niets verbazen dat de consument goedkoper uit is ondanks de fraude die gepleegd wordt.
Kan je dit ook onderbouwen. Op welke wijzen wordt het bij de gebruiker neergelegd.
Als er iets misgaat met mijn kaart moet ik opdraaien voor de kosten. De OV-bedrijven zeggen niet standaard 'O, sorry, er is iets fout gegaan, hier heeft u eerst uw geld teurg, en wij gaan daarna uitzoeken wat er mis is'. (Zie het verhaal van rvl1980 hieronder voor een praktijkvoorbeeld). Dat Pietje en Klaasje goedkoper uit zijn zal mij worst wezen, ik wil niet een systeem waarin ik primair verantwoordelijk ben voor de kosten van misbruik door anderen.
Ik ga er namelijk van uit dat er een kosten-baten analyse is gemaakt van verhoogde veiligheid en de kosten daarvan vs. de kosten van fraude.
Ongetwijfeld, maar dan meer in de zin van 'h, met papieren kaartjes frauderen kost ons geld, met een chipkaart kunnen we die kosten bij de klant dumpen'. Waar de banken allang weten dat 'vertrouwen' ht sleutelwoord is in de acceptatie van een betaalmiddel / -methode - en ze dus allerlei maatregelen in het leven hebben geroepen om de klant tegemoet te komen als het misgaat - moeten de ov-bedrijven dat kennelijk eerst nog ondervinden.

[Reactie gewijzigd door Iknik op 5 november 2010 11:46]

Bij creditcardfraude wordt de klant echter meestal direct zonder problemen schadeloos gesteld.

Immidels is overigens de fraude met cc's en pinpassen (van met name skimming) ook in Nederland dusdanig geworden, dat de banken meer haast hebben gekregen de magneetstrip te vervangen door een chip, om skimmen te voorkomen.

[...]

De problemen die ontstaan door gebruik van dit gammele en onveilige systeem worden structureel bij de gerbuiker neergelegd.
Jij als slachtoffer van een skimmer krijgt je geld terug terwijl langs de andere kant alle klanten gezamelijk betalen voor het schadeloos stellen van deze personen.

Het gebruik van een een chip in plaats van een magneetstrip is beter en (op dit moment) veiliger. Tot er genoeg gebruikers van zo'n chip zijn en het voor een crimineel dus interessanter wordt om zijn aandacht hier op te richten.

Creditcards, bankpassen of OV-chipkaarten... uiteindelijk zijn de kosten altijd voor de gebruiker. Ik verwacht dat het uiteindelijk reuze mee zal vallen met het gebruik van de frauduleuze chipkaarten, zeker in vergelijking met creditcards en bankpassen (er komt tenslotte bij een gehackte ov-chipkaart nergens geld uit de muur)

Ik ben het eens met @RvL, waarschijnlijk waren er betere alternatieven beschikbaar, maar ik vind ook dat we wat te overdreven boeroepen over het systeem, waar toch ook wel een hoop voordelen aan kleven (vind ik dan h ;) ).

[Reactie gewijzigd door MindStorm op 5 november 2010 15:11]

Dat het veiliger maken van een creditcard niet interessant is komt doordat zei zelf niet voor de kosten opdraaien. De winkeliers zijn in dit geval keihard de lul die kunnen mooi de centen gaan ophoesten zelfs tot 2 jaar na de aankoop nog.
Dit komt dus niet doordat het aantel fraude gevallen minder is dan bij skimming.
De reden dat skimming een doorn in het ook is komt doordat daar de banken het lekker zelf kunnen gaan betalen, maar uiteindelijk is het de klant die betaald.

Er grappig het nieuwe pin systeem met chip is in 2004 al gekraakt.
De voornaamste reden dat dat in gevoerd word is de belofte van de transactie partij aan de banken dat ze meer geld per transactie krijgen.
Ik denk dat de bank mensen veel lunchen met de OV chipkaart dissionmakers.

Conclusie veiligheid/privacy van de klanten boeit het bedrijfsleven.overheid geen fuck, de enige reden waarom er technologische veranderingen worden ingevoerd is omdat ze er meer geld aan kunnen verdienen.

Sorry resma dit is geen flame trouwens maar een aanvulling op je stuk
De credit card is tegenwoordig beveiligd met een pincode. En als je creditcard misbruikt wordt, kun je de kosten verhalen. Want de winkelier die je creditcard heeft geaccepteerd zal op z'n minst een handtekening en eigenlijk ook nog een bewijs dat jij je geidentificeerd hebt als de rechtmatige kaarthouder moeten overleggen. Anders betaalt de creditcard maatschappij niet.

Bij de OV kaart ligt dat anders: daar is het simpelweg: het is jou kaart dus als jou kaart gebruikt wordt ben jij degene ie hem gebruikt...

Geldt weg? Pech!

De OV chipkaart is een kostenplaatje: men gokt op reizigers die uitchecken vergeten, heeft gekkozen voor de goedkoopste oplossingen en een indirecte prijsverhoging via dubbele opstaptarieven en afschaffen van het retourtje.
Sorry, maar de laatste alinea is echt niet waar.

De overheid heeft geist dat het reizen met de ov-chipkaart niet duurder mag worden. De reiziger draait op voor de overige kosten, niet de overheid of de vervoerder. Ik moet als ik bij GVB in Amsterdam een verplichte ov-chipkaart wil hebben, dan moet ik zelf de 7,50 euro aftikken voor de kosten van de kaart. En als ik vergeet uit te checken, dan moet ik betalen omdat het mijn fout is. De vervoerder hoeft daar van mij ook niet voor op te draaien. Ik vind wel dat het aanloopproces van wennen aan in- en uitchecken niet optimaal is.

Fraude met de kaart ga je inderdaad niet tegen als v ervoerder. Je kunt nu als reiziger alleen recht op teruggave hebben als je op tijd meldt dat je kaart bijvoorbeeld gestolen is. Je betaalt vervolgens zelf de vervangende kaart.

Maar ja, Ken Livingstone heeft ook altijd al over de Londense Oystercard (identiek aan de ov-chipkaart, ook Mifare Classic) geroepen dat die pas veranderd wordt als er op grote schaal mee gefraudeerd wordt. Die kaart bestaat al jaren, en is nog niet veranderd.

[Reactie gewijzigd door roland83 op 5 november 2010 13:22]

Vergeten uit te checken of niet kunnen omdat de poortjes weer eens niet werken?
Het 2e is dus wel de verantwoordelijkheid van de vervoerder, maar dat wordt afgeserveerd naar de gebruikers
Dat is waar. En dat vind ik ook verkeerd. Je moet als reiziger echt veel te moeilijk doen als poortjes niet werken bij het uitchecken.

Bij GVU (de stadsbus van Utrecht) komt het tegenwoordig heel vaak voor dat de chipapparaten de hele dag niet werken, gelukkig mag je dan gratis mee. Tenzij je een overijverige chauffeur treft die de gedoogregels niet kent; dan moet je als student met week-ov opeens een kaartje kopen bij de chauffeur. Voor 2,40 euro.
Nou het is wel degelijk duurder geworden hoor.
http://www.nu.nl/binnenla...ov-chipkaart-duurder.html
Er word door de ns wel heel hard hun beste gedaan om te doen lijken of het niet zo is door de papieren kaartjes gelijk te trekken.

Daar komt bij dat als ik echt anoniem wil reizen ik geen geld terug kan vragen als ik ben vergeten uit te checken. Want dan moet je al je gegevens opgeven.
Ipv naar de balie gaan en gewoon je geld terug krijgen.
Als je dan een keer vergeet uit te checken bij de ns ben je mooi wel 20 euro lichter.

En waarom moet ik 7,50E betalen voor een kaart die ik zelf als particulier in lage aantallen (10 stuks) voor een 90cent per stuk kan kopen.
Moet je nagaan wat voor prijs je krijgt als je er een miljoen koopt.

Edit

Oja ook een mooie een vriendin van me moest laats met de trein,bus, bus van andere vervoerder. Dus ze kocht een ov chipkaart bij de ns. reist met de trein niets aan de hand.
vervolgens wilde ze de bus in en wat blijkt moet eerst haar pas geactiveerd worden voor die vervoerder, maar dat kan alleen maar op een aangewezen plaats die helemaal niet in de buurt was dus ze kocht een dagkaart a 5 euro. ze moest overstappen en wat denk je het zelfde verhaal maar die dagkaart was daar ook niet geldig dus ze kon er nog een kopen. voor een ritje waar ze met de strippenkaart en trein minder van een tientje voor kwijt was was ze nu een dikke 20 euro kwijt. En dat noemen ze dan automatisering.
Nu is het natuurlijk wel zo dat ze dit had kunnen voorkomen maar het is wel nogal krom.

[Reactie gewijzigd door kaaas op 5 november 2010 22:04]

Toch wel lachen als je de beveileging van producten in de winkel redelijk goed gaat denk maar aan de poortjes

Kan het openbaar vervoer dit niet dus uitstappen is die persoon langs de poortjes gegaan of verstopt zich onder de stoel
Nee, met de pincode hoeft de winkelier daar niet meer naar te kijken, net zomin als bij een gewone pinpas.

Bovendien is het verhalen van schade bij misbruik van creditcard maatschappijen bepaald geen sinecure.
Wat nou afschaffen retourtje!? je weet er niets van blijkbaar.

Stel je reist:
Utrecht - Amersfoort op een dag.
Enkele reis € 4,00
Dagretour € 7,70
Ritprijs voor reizen op saldo bij NS € 3,85

2x 3.85=7,70

Een enkele reis is dus de helft van een retourtje met de OV-chipkaart.
Ik zal niet zeggen dat je er niets van weet, zulke taal bezig ik niet. Maar je hebt blijkbaar niet gelezen of gemerkt dat de prijs voor een retourtje de afgelopen jaren systematisch is verhoogd, zodat uiteindelijk een retourtje even duur wordt als een enkeltje (en het retourtje dus in feite weldegelijk wordt afgeschaft).
Nou, zonder op de persoon te spelen, heb je zelf ook geen gelijk. De NS heeft volgens Wikipedia een tijdelijk tarief voor de enkele reis op de ov-chipkaart:
Wel zal de eerste jaren, totdat ook papieren enkele reizen de helft kosten van een retour, de prijs van een enkele reis met de chipkaart lager zijn dan die van een papieren enkele reis, namelijk gelijk aan de helft van de prijs van een retour.
http://nl.wikipedia.org/w...OV-chipkaart_in_Nederland

Helaas vermeldt Wikipedia geen bron voor deze mededeling. Als het waar is, dan wordt de prijs van een enkele reis op de ov-chipkaart weer zoals voorheen, zodra de ov-chipkaart verplicht wordt bij NS. Nu wordt iedereen door goedkopere tarieven lekker gemaakt om een kaart te kopen, om de overstap sneller te laten verlopen. Straks wordt het dus weer duurder, en dan zijn zaken als prijsverhoging en inflatiecorrectie nog niet eens genoemd.
het meest onveilige vind ik nog wel dat iedereen bij in en uitchecken zo mee kan kijken hoeveel saldo er nog op je kaart staat.

hoe zit het eigenlijk met schending van privacy dat ze kunnen tracken via je chipkaart?

[Reactie gewijzigd door ToWi1989 op 5 november 2010 10:45]

Indianenverhalen.

Jouw reisgegevens worden opgeslagen in systemen van TLS. En op wat er met die gegevens mag gebeuren rusten gewoon privacy wetten.

Dus om die vraag te beantwoorden moet je eerst naar de definitie van "ze" kijken.

In het geval van een betrouwbare overheid (waar ik nog steeds van uit ga) zullen ze alleen jouw gegevens opvragen als er reden is om jou ergens van te verdenken.

In het geval van een overheid die hier wat losser mee om gaat, dan kijken ze sowieso naar de reisgegevens van IEDEREEN op een bepaald traject op een bepaalde dag.
Jouw reisgegevens worden opgeslagen in systemen van TLS. En op wat er met die gegevens mag gebeuren rusten gewoon privacy wetten.
Dat is natuurlijk holle kretologie wanneer die wetten z worden aangepast dat die wet toestaat dat vervoersbedrijven die gegevens voor commercile doeleinden mogen gebruiken. Als ze met die privacy-wet nou eens voet bij stuk houden stelt het wat voor, nu is het niet meer dan een fopspeen die bij het minste of geringste wordt opgerekt om tegemoet te komen aan de grillen van de eerste de beste oetlul die met een mooi kletsverhaal komt.
Het mooiste is nog dat de huidige privacywetgeving zegt dat TLS niet eens mag weten tussen welke in- en uitcheckpunten je hebt gereisd. Op www.ov-chipkaart.nl kun je als je inlogt standaard niet je eigen reisgegevens bekijken. Alleen wanneer je hebt in- en uitgecheckt, en bij welke vervoerder. Niet waar dat was.

Je kunt zelf je privacyinstellingen aanpassen, pas als je zelf aan TLS toestemming geeft om de gegevens van de vervoerders op te halen, kun je op de website van TLS zien waar je bent geweest en wanneer. Ditzelfde geldt voor het krijgen van reclame en aanbiedingen; dit mag standaard niet, tot je er zelf toestemming voor geeft.
Zoals ze in Rotterdam alle reisgegevens opgevraagd hadden omdat er wellicht een overvaller met de metro gevlucht was?

Blijkbaar was iedereen ineens verdacht?
Tsja. Het zou best kunnen dat ze ook alle telefoongegevens hebben opgevraagd van iedereen die rond die periode aanwezig was in de 'cel'.

Is het zo erg dat dit gebeurt in het kader van opsporing?
Een RFID skimmer is vrij triviaal in te zetten. Ze zijn dus criminelen.
Waarom vind je het kunnen zien van andermans saldo het meest onveilig? Denk je dat iemand met een hoog saldo op zijn/haar kaart bij het uitstappen meer kans maakt om beroofd te worden bijvoorbeeld? Ik zie nog geen kaartrovers in de bus of metro zitten, die continu kijken welke mensen veel saldo hebben om ze vervolgens te beroven van hun ov-chipkaart. Op het treinstation misschien wel, omdat daar palen staan op de perrons.

Maar als je dan toch iemand berooft, neem dan iets waardevollers dan een ov-chipkaart... Degene die beroofd is van zijn kaart zal (mits deze slim genoeg is) de kaart laten blokkeren. De dief heeft er dan ook niks meer aan.

Ik vind het veel enger dat vervoerders nu reispatronen kunnen analyseren, ook met anonieme kaarten. Wie precies van A naar B reist is niet van belang, maar het is deste meer van belang om te zien hoeveel mensen van A naar B reizen elke dag. Misschien kunnen dienstregelingen ermee geoptimaliseerd worden. Het wordt pas echt griezelig als deze gegevens gekoppeld worden aan persoonsgegevens, zonder dat daar reden toe is.

edit:typo
Waarom vind je dat eng? Ik ben wel benieuwd waarom je het eng vind als wordt gelogd waar en wanneer jij met het OV reist. Als je de taxi chauffeur met pin of creditcard betaald weet de taxi centrale precies hetzelfde. Als je bij de appie je bonuskaart gebruikt weten ze ook wat je hebt gekocht en waar. Zelfde verhaal met je airmiles pas. Of als je een vlucht naar where-ever boekt of een TV bij de mediamarkt haalt... al dat soort gegevens worden al jaren lang opgeslagen en bewaard... What else is new. Dus, ik vraag me af waarom jij dat nu eng vind? Volgens mij is het voornamelijk de suggestieve berichtgeving die mensen een soort van angst aanjaagt.
Jaa, zeker, dat is hetzelfde probleem. Met dat verschil dat ik een anonieme bonuskaart heb bij Albert Heijn, en 9 van de 10 keer bij hetzelfde filiaal boodschappen doe. Dat zijn boodschappen; toch wat anders dan ov-reizen. Eerder is al gemeld dat reizigers die rond station X waren op tijdstip Y met z'n allen benaderd kunnen worden als daar toevallig een misdrijf heeft plaatsgevonden. Dan is er wel een reden om de reisgegevens aan persoonsgegevens te koppelen, en dat is in beginsel niet eng. Het wordt pas eng als ze -- zoals ik al zei -- kunnen zien waar ik allemaal geweest ben, en dat zonder reden gaan koppelen aan mijn persoonsgegevens.
Ja maar onveilig in je voordeel, niet in je nadeel.
Behalve dat je blijkbaar opgepakt kan worden aan de hand van je reispatroon.

Een reispatroon wat iemand anders met jouw gekopieerde kaart voor jouw kan maken.
Hij is opgepakt door te analyseren waar hij heenging en dus waar hij waarschijnlijk zou komen-- dan kunje daar berichtten agent op zetten. Hetheeft dus niets te maken met de al dan nietnaam die geregistreerd is...
Ik vind het persoonlijk nogal kwalijk. Het is precies de reden dat ik geen OV chipkaart wil hebben. Er heeft niemand ook maar iets te maken met mijn reisgedrag, zeker niet met 7 jaar historie.
dus jij koopt je kaartjes met munten? Want ik neem aan dat de NS de pintransacties aan het gekochte kaartje hangt. Dan weten ze prima op welk traject de persoon met giro 12345 frequent reist.

Sinds de pinpas bestaat privacy niet meer.
* balk heeft overigens gewoon 2 pinpassen en een chipkaart
Lijkt mij als je dan expres iedere keer niet uitcheckt, wat je veel geld kost, je dus eigenlijk niet opgepakt kan worden. Want dat extra geld zal jou een zorg zijn als je er zelf meer bij kan zetten. Dus dan ben je ineens niet meer zo makkelijk te traceren.
Je mag maar 12 keer per jaar vergeten uit te checken bij de ns althans daarna blokkeren ze je pas.
Het is namelijk voor de niet hacker ook al interessant om niet uit te checken aangezien er genoeg lange reizen zijn die meer kosten dan 20 euro wat de boete is voor niet uit checken.
Lijkt me dat zo op een gegeven moment weten welke kaarten/nummers frauduleus zijn. Als je die kaart gebruikt zal er misschien ergns een alarmbel afgaan of nog mooier er hangen misschien wel camera's bij de poortjes die automatsich een foto maken op het moment dat jij je kaart misbruikt.

Met je foto in de hand hebben ze je dan met een reispatroon snel gevonden. Dus misschien in het vervolg bril en hoed op ;-)
dus nog een tip voor een potentiele ovchipkraker: wissel om de 2 dagen je kaart zodat je niet analyseerbaar wordt. elke dag met een rifd scanner een kaart van iemand anders scannen dus
Het lijkt me logisch dat na het uitlezen, je een userID oid tegenkomt.
Maar de 'identiteit' van de kaart te veranderen (lees: op iemands anders naam zetten) heb je nog wel de identiteit van een ander nodig.
Oftewel: je zult ook over een tabel van userID's nodig hebben. Want als deze bijv. gebruik maakt van een 11-proef, negenproef oid moet je dat ook eerst zien te achterhalen.

Samengevat: uitlezen en veranderen van de rfid-chip staat niet per definitie gelijk aan het stelen van een identiteit.
Lijkt me nvoudig om aan die data te komen. Bij bankautomaten plaatst men al lezer voor de cardreader. Hier heb je het over draadloos dus kun je ook een reader op of naast een poortje plaatsen. De reader kan dan alles uitlezen. Misschien kun je zelfs al lopend in de trein kaarten uitlezen. Genoeg mogelijkheden lijkt me om aan info te komen.
Dat werkt natuurlijk alleen maar als er een reispatroon is om te volgen. Koop een anonieme kaart voor 7,50 - zet er thuis middels deze hack 50 euro op - en gebruik deze enkel en alleen voor lange reizen, en nooit op de terugweg (of juist niet op de heenweg). Is er dan nog een patroon om te ontdekken?
Of gebruik de een voor de heenreis en de ander voor de terugreis.
Lijkt mij dat dat eenvoudig te omzeilen is door fraudeurs door bijv meerdere kaarten in omloop te brengen met eenzelfde key (mits dat werkt).

Of middels een 'slimme' kaart die elke dag een andere key gebruikt.

Of door veel verschillende kaarten bij zich te hebben en die zelf willekeurig af te wisselen.

Dat ze deze man hebben kunnen oppakken is misschien ook omdat het er volgens hun tot nu toe maar 1 persoon met een valse kaart reisde (makkelijk te tracen) dus wanneer er een grote massa fraudeurs ontstaat zullen ze er veel meer moeite mee hebben.
Dat is ook zoiets, blijkbaar sporen ze fraudeurs zo op. Maar wat nu als er iemand opstaat die kaartjes voor de helft van de prijs verkoopt, en er ineens 10.000 mensen met zo'n kaart gaan reizen? Daar gaat je opsporing.
Je kunt alleen maar iemand anders zijn pas kopieren als je softwarematige kaart gebruikt om te reizen.
Er zijn namelijk (nog) geen mifare classic kaarten te koop waar je het unieke Id nummer van kunt wijzigen.
Je zult dus zelf een stukje hardware moeten maken dat zich als mifare classic kaart gedraagt of met je laptop en een rfid lezer/schrijver gaan reizen.
Maar ik denk dat de conducteur erg raar op kijkt als met een of chipkaart van een centimeter dik en een draadje uit je mouw aan komt zetten.

Het kopieren van iemand anders zijn kaart kan op de bovenstaande manier wel gebruikt worden als er geen menselijke controles bij plaatsvinden, bijv met je print pas op school niemand die het ziet als je een rfid lezer/schrijfen in een portemonnee verstop met een laptop in je rugzak over de printer heen haalt.
Dus je vind het niet erg dat als ik eventjes langs je loop en dan allemaal jou gegevens heb omdat ik een laptop in mijn tas heb zitten die alle kaarten scant? Sterker nog, via een script zou het in theorie nog mogelijk kunnen zijn om je kaart ermee te verklooien.
Denk dat de strippenkaart vroeger een stuk onveiliger was.. en daar hoorde je toch ook niemand over.
Gaat het hacken van de OV chipkaart ten koste van jouw veiligheid dan? :p

Anyways, het was toch al lang bekend dat dit kon?
De reden om er niks aan te doen "Tot nu toe is er nauwelijks fraude gepleegd" klinkt dan weer een beetje als een uitdaging het toch eens een poging te geven.
Jah, en dan denk ik: succes met fraude plegen.

De straffen die er op staan zijn niet mals (max 76.000 euro ofzo?) en een aantal jaren gevangenis, terwijl je er amper voordeel uit kan halen.

Zowel persoonlijke als anonieme kaarten zijn gewoon via kaart-id en saldo te controleren op de centrale server. Als jouw kaartsaldo hoger is dan hetgeen op de server staat, heb je fraude gepleegd, en wordt de kaart geblokkeerd. Je kan dus welgeteld 1x zwartrijden op een kaart, daarna moet je weer een nieuwe laden.

Dat is toch iedere keer 7,50 voor een nieuwe anonieme kaart. Dan moet je een aardig ritje maken iedere keer om dat echt rendabel te laten zijn. En de kans dat zo'n rit in jouw situatie dan altijd dezelfde of vergelijkbaar is, maakt dat je opgepakt kan worden op basis van je reispatroon, zoals de reactie ook al aangeeft.

De kaart is pas echt te kraken op het moment dat de centrale server wordt gekraakt. Tot die tijd is er helemaal niets aan de hand met de kaartjes.
Die 76k boete wordt natuurlijk zelden tot nooit gegeven. Zeker niet aan een particulier die even zijn chip kraakt. Maar als het bedrijfsmatig gebeurd zal eerder een hoge boete worden gegeven.
Je moet de reactie iets verder lezen, daar zie je dat de boete wordt afgezet tegen de mogelijke verdiensten van fraude. Deze verdiensten zijn zo laag, dat je aardig dom bent om zo'n risico te lopen, al zou het om 'maar' een boete van 500,- gaan.

Succes met een baan vinden overigens, met een veroordeling voor fraude. Misschien bij de plantsoenendienst? ;)
Dat is toch iedere keer 7,50 voor een nieuwe anonieme kaart. Dan moet je een aardig ritje maken iedere keer om dat echt rendabel te laten zijn. En de kans dat zo'n rit in jouw situatie dan altijd dezelfde of vergelijkbaar is, maakt dat je opgepakt kan worden op basis van je reispatroon, zoals de reactie ook al aangeeft.
En wat nu als ik een anonieme kaart koop van 7,50 voor elke rit die me meer dan 7,50 per rit gaat kosten? Bijvoorbeeld Eindhoven - Schiphol, een traject wat toch redelijk veel bereden wordt door een hoop mensen.

Kaart kopen in de automaat, hacken zodat er 20 euro op staat, inchecken, en als je de trein uit stapt knikker je dat ding gewoon in de prullenbak. Compleet anoniem en niet te traceren (tot het te laat is en die kaart inmiddels al in de vuilverbranding is beland).

Als mensen dat op een iets grotere schaal gaan doen, dan gaat TLS binnen de kortste keren zijn systeem herzien omdat er toch wel erg veel anonieme kaartjes bij het vuilnis belanden. Als n fraudeur het structureel op een traject flikt, dan wordt ie nog in de kraag gevat, maar een conducteur gaat geen halve trein op voorzorg arresteren. (Voor zover ik weet staan de controle-automaatjes van de NS conducteurs namelijk niet permanent in verbinding met de TLS-servers.)

[Reactie gewijzigd door Stoney3K op 5 november 2010 12:27]

Dat is simpel gewoon een kwestie van "hoe veel schade is er te verwachten als we niets veranderen en hoeveel kost het om wel te veranderen".

Dezelfde kosten-baten analyse die er waarschijnlijk voor zorgt dat alle betaalautomaten inmiddels nog niet zijn vervangen door een exemplaar dat geen magneetstrip meer gebruikt. Hoewel daar nog mee speelt dat ze ook zonodig naar een nieuwe pintransactie-verwerker over willen (Maestro).
Gaat het hacken van de OV chipkaart ten koste van jouw veiligheid dan? :p
"Volgens onze gegevens was u gisteravond in de buurt van een moord. Kunt u hier meer over vertellen?"

"Maar meneer agent, ik zat thuis!"

"Niet volgens uw OV gegevens, meneer."

"Die gegevens zijn niet betrouwbaar. Weet u niet dat OV chipkaarten makkelijk te kopiren zijn?"

"Ik merk het al, meneer is een wijsneus. Gaat u maar mee naar het bureau om daar verder te wijsneuzen."

Het hacken gaat zeker ten koste van veiligheid en gebruiksgemak. Als jouw pas gekopieerd wordt en Trans Link merkt dit op, dan wordt de gekopieerde pas en jouw pas geblokkeerd. Daar sta je 's ochtends om 6 uur voor een poort die niet meer voor jou open wilt. Vervolgens moet jij, als onschuldige gebruiker, een procedure starten welke tijd en geld kost om een nieuwe pas te verkrijgen.

[Reactie gewijzigd door The Zep Man op 5 november 2010 12:42]

En het geld dat je uitgeeft aan reguliere kaartjes in de tussentijd kan uiteraard niet vergoed worden.
Ik zie niet in hoe dit je veiligheid nadelig beinvloedt.

Ik ben eerlijk gezegd wel benieuwd naar hoe het systeem fraude detecteert; Aangenomen dat een kraker van dit systeem altijd begint met gegevens kopieren van een bestaande pas, zou het kunnen dat het systeem botweg kijkt naar of een kaart 2x staat ingecheckt, en als dit het geval is, een of andere notificatie geven aan bepaalde TransLink medewerkers. Met behulp van profiling, waarbij gegevens verkregen worden aan de hand van het reispatroon van de fraudeur, valt meestal wel vast te stellen waar ze zullen zijn op bepaalde tijden van bepaalde dagen, waarna de politie ze op een gegeven moment oppakt.

EDIT:
@DRaakje:
In dat geval valt mijn theorie een beetje in het water, want dan valt er na 1 dag niets meer te tracken door TransLink. Natuurljik kunnen ze dan wel simpelweg alleen naar de geografische plekken kijken waar frauduleus werd in- en uitgechekt, en dat kan zelfs werken als er idd weinig fraude wordt gepleegd.
Ik zie dit systeem echter niet goed schalen op het moment dat er door heel veel mensen fraude wordt gepleegd, wat dus waarschijnlijker wordt als er fraude-on-a-click op Windows mogelijk wordt, gekoppeld aan de lage prijs van de benodigde hardware tegenwoordig.
Ik word alleen maar nieuwsgieriger naar hoe dit detectiesysteem werkt :P

[Reactie gewijzigd door Jeanpaul145 op 5 november 2010 10:11]

De poortjes zelf houden alle transacties bij en syncen dit 1-2 maal per dag met de Servers van Translink, als het Saldo op de kaart hoger is als dat het volgens de servers zou moeten zijn, gaan er natuurlijk alarmbellen rinkelen. Het is niet voor niets dat de hacks maar 1 dag nuttig zijn, want daarna zijn gehackte kaarten geblacklist.
Volgens mij ben je een heel belangrijk scenario vergeten:

Het risico zit hem vooral als je, zoals ik, automatisch opladen gekoppeld hebt aan je kaart. Zeker als je (zoals ik) soms ook wel eens maandje niet met het OV gaat.

Stel iemand kopieert/kloont mijn kaart en gaat vervolgens lekker door Nederland treinen. Wordt zijn saldo te laag, dan wordt dat geld van *mijn* rekening afgeschreven!

Geen idee hoe een fraude-detectie-systeem hier moet achterkomen als ik zelf niet reis. En ik zie het pas als het te laat is en ik een afschrijving op mijn bankrekening zie.

In principe een variant op skimmen. Alleen ben ik bang dat TransLink een stuk minder soepel zal zijn dan de banken (en die zijn al niet soepel). De ervaringen met TransLink wijzen in ieder geval op een enorme neiging om alle problemen maar lekker bij de klant neer te leggen.

Ik zie het al voor me: "Meneer, kunt u bewijzen dat u *niet* met die trein bent geweest?"
van al die maanden hoef je maar 1 incident te beweizen ... op je werk bij de tandarts. en in dat geval is het aanemelijk dat de rest sinds die tijd ook niet door jouw is gereist... kortom
dan is alleen een stap naar de rechter nog nodig...
Ja mooi... alleen maar even een stap naar de rechter nodig... De laatste keer dat er iets mis ging met mijn kaart duurde het 4 (vier!!!!) weken voordat mijn klacht in behandeling werd genomen en duurde het vervolgens nog 4 (vier!!!) weken voordat zij contateerden dat er "niets afwijkends kon worden gevonden, en besluiten daarom uw klacht ingegrond te verklaren." Einde verhaal, geen geld terug (bij het uitchecken deden geen van de paaltjes het)....

Dat is dus 8 (acht!!!!) weken (=2 maanden!!!) voordat alleen al een standaard routine klachten procedure wordt afgehandeld, en vervolgens gewoon nul op rekest krijgt... en dan mag je bewijzen dat de paaltjes toch echt stuk waren... Nou sucess!

Er zal maar iemand voor 600 euro je kaart hebben verkloot, nou sorry hoor maar aangezien ik mijn huur gewoon per maand moet betalen zie ik niet in hoe ze dit dan op een voor de consument niet nadelige manier gaan oplossen.....
Het Chip-ID kan niet overschreven / gecopieerd worden. Men kan dus altijd zien dat het niet jouw kaart is.

Geen paniek... ;)
Even een domme vraag, maar: hoezo kan dat niet gekopieerd worden? Is dat ge-encrypteerd ofzo?

[Reactie gewijzigd door Keypunchie op 5 november 2010 21:07]

nee er zijn geen mifare classic passen waarvan je het unieke nummer kunt aanpassen.
Elke pas is dus uniek je kunt alleen maar de inhoud aanpassen niet het pasnummer.
Wat wel kan is zelf een stukje hardware maken dat zich als pas gedraagt of je laptop met een rfid lezer/schrijver zich laten gedragen als pas die kun je dan elk nummer geven dat je maar wilt.
ik denk alleen iet dat de conducteur en in trapt
De beveiliging van de OV chipkaart staat of valt niet met wat er op de kaart staat. Het achterliggende systeem houdt ook bij wat er op de kaart hoort te staan, en als bekend wordt dat het bedrag op de kaart niet overeenkomt met het bedrag binnen het systeem, dan kan de kaart geblokkeerd worden.

Je kan beter zwartrijden dan op deze manier je OV-chipkaart bijvullen. Voor het eerste betaal je 40 euro boeten, het laatste is fraude, en daar kan je de gevangenis voor in gaan.
Of je fraudeerd je helemaal suf, en neemt ook gewoon een niet gehackte anonieme ov chipkaart mee die je bij controle geeft terwijl je de gehackte in je zak laat zitten en zegt: "Oeps vergeten in te checken...".

[Reactie gewijzigd door rvl1980 op 5 november 2010 11:27]

Of je fraudeerd je helemaal suf, en neemt ook gewoon een niet gehackte anonieme ov chipkaart mee die je bij controle geeft terwijl je de gehackte in je zak laat zitten en zegt: "Oeps vergeten in te checken...".
.... en welk nut heeft fraude dan nog? Hooguit als universele metro-poortjes-sleutel?
Het nut is dan dat van de 400 keer dat je met de tram zwartrijd op je gehackte kaart, je ongeveer 800 euro bespaart. En die ene keer dat je gecontroleerd wordt en je je niet-gehackte-kaart uit je achterzak tovert en laat zien, ze hoogstens kunnen bewijzen dat je zwartrijd, en niet dat je de boel hebt gehackt... Dus 800 euro hackbesparing - 45 euro voor zwartrijden = 755 euro plus!

Dat is het nut dat de fraude nog heeft....
Dat is het nut dat de fraude nog heeft....
Wat ik bedoel is: Waarom ga je dan niet zwartrijden zonder gehackte kaart?

Alleen voor de metro's heb je die gehackte kaart dan nog nodig om op het perron te komen.
Gewoon een van de modetermen erbij halen. T- of K-termen doen het erg goed.

'Terroristen die bommen aan boord van vliegtuigen smokkelen zijn ook oud nieuws.'

Doet niks, volstrekt onzinnig, maar de doorsnee Telegraaflezer spitst nu wel de oren.
Binnenkort kun je 'medewerkers' van bedrijven verwachten die, op drukke plekken zoals de metro van Rotterdam in de avondspits, niets andes doen dan met de RIFD reader zoveelmogelijk OVchip kaarten uitlezen. Op die manier kan er een 'leuke' database worden gemaakt met reispatronen en NAW gegevens.
Gevolg: Krijg je post of wordt je gebeld door een telemarketier met de vraag of je niet die en die winkel op het station wilt bezoeken? Hoe weet U dat ik daar kom is dan de reactie... ...tja daar hebben wij zo onze bronnen voor.

Het gaat hier niet alleen maar om de mogelijkheid van 'gratis' reizen, maar juist om privicy, wie heeft jouw gegevens en wat wordt ermee gedaan.
ov kaarten zijn toch anoniem?

Iemand die je kaart heeft uitgelezen en deze zou duplicaten kan natuurlijk wel de reisgeschiedenis opvragen.
Oei, naviteit.

Er wordt ook massaal gekozen voor persoonlijke kaarten. Anonieme kaarten missen (opzettelijk) allerlei voordelen. Studenten kunnen niet eens kiezen.
Je reisgeschiedenis wordt ZEVEN jaar lang opgeslagen en vormt dus een ontoelaatbaar beveiligingsrisico (en ondergraaft fundamentele rechten, want deze wordt gebruikt voor opsporingsdoeleinden). De enige reden dat de vervoersbedrijven dit ons aandoen is om deze gegevens voor marketingdoeleinden te gebruiken. Voor het beter bepalen van de overheidsgelden verdeling is anoniem reizen namelijk voldoende.
Ook op de dus nu van afstand makkelijk uitleesbare kaart staan gevoelige gegevens, zoals je geboortedatum. Je kunt ook schrijven nr de kaart. Wederom een achterlijk beveiligingsrisico om zo even af te doen als oud nieuws. Dat dit al veel langer kan is juist het probleem.
In ieder geval kun je veilig ervan uitgaan nooit meer dan 7.50 te hoeven betalen, je koopt een anonieme kaart, haxx0rt er geld op en gooit'm weg aan't eind van de reis weg = ontraceerbaar, want de verwerking van de reisgegevens gaat echt niet instantaan.

Het duurt niet lang voor hier one-step windows software voor is; in feite is er al crapto1 (kraakt de sleutel met 1 klik), heeft minstens 1 NFC uitlezer ook windows drivers en werkt libnfc ook gewoon onder windows. Hoe meer mensen toegang hebben tot de hack, hoe eerder het systeem aangepast wordt. Vraag is er duidelijk genoeg.
Het duurt niet lang voor hier one-step windows software voor is; in feite is er al crapto1 (kraakt de sleutel met 1 klik), heeft minstens 1 NFC uitlezer ook windows drivers en werkt libnfc ook gewoon onder windows. Hoe meer mensen toegang hebben tot de hack, hoe eerder het systeem aangepast wordt. Vraag is er duidelijk genoeg.
Waarom wachten op de Windows-versie? Dat is toch onhandig onderweg? Waarom niet meteen de iOV-appl of de traindroid?
[...]


Waarom wachten op de Windows-versie? Dat is toch onhandig onderweg? Waarom niet meteen de iOV-appl of de traindroid?
Ooit wel eens een RFID reader/writer geprobeerd aan een iPhone of een Android foon te knopen?

Ik kwam helaas niet verder dan een gat dremelen voor de USB-poort. :Y)

Wat in de toekomst wel een mogelijkheid is, is een Bluetooth RFID-schrijver die je gewoon bij Dealextreme kan kopen. Even met je telefoon koppelen en klaar.

Hacking RFID passes? There's an app for that. :+
[...]
Hacking RFID passes? There's an app for that. :+
Heheh... ja, en ik meen gelezen te hebben dat Appl ook al bezig was een RFID reader in 'n iApparaat te integreren, weet alleen niet meer waar of welke versie.

Los daarvan, Android telefoons kunnen hun USB-poort toch in hostmodus zetten, of is dat niet standaard? (Bij de Openmoko kan het natuurlijk "per definitie" :-) )

edit: USB-modus-alinea toegevoegd

[Reactie gewijzigd door wankel op 5 november 2010 16:34]

Ben erg blij met die OV chip-kaart, reizen is er een stuk goedkoper op geworden. De helft van de tijd zijn de scanpoortjes in de bus buiten werking en kun je gratis instappen.
Ik begreep dat je dan bij controle alsnog een boete krijgt. Dit omdat je ook een vervoersbewijs bij de chauffeur had kunnen kopen.

Ik vind het een belachelijk verhaal, maar een vriendin van me is op deze manier al een keer beboet... =\
Ik ben wel eens in een tram (Amsterdam) gestapt waarbij de scanner het niet deed en toen ik bij de chauffeur een kaartje wilde kopen kreeg ik te horen dat ik pech had, omdat ze geen kaartjes meer bij zich hebben.
Als de overheid een verplichte OV kaart invoert, kan het niet verwachten van burgers, dat ze ook contant geld bij zich hebben
De regel is juist heel erg duidelijk. Geen OV chip incheck mogelijkheid=gratis reizen met OV chip!

(als het vervoersmiddel dan de incheckmogelijkheid heeft..maar dan niet werkt)
Op de zuidtangent (Haarlem/Amsterdam e.o.) is de chipkaart verplicht. Als de OV poortjes dan niet werken mag je gratis mee. Ik kan het alleen nergens meer terug vinden op internet momenteel..

[Reactie gewijzigd door Glashelder op 5 november 2010 15:21]

Rotterdam doet alles bijna altijd perfect. En toch bespaart het mij een hoop geld.

Voor een derde van het bedrag kan ik nu naar mijn bestemming reizen.
moet je iig zeker niet in arnhem komen
De helft van de tijd zijn de scanpoortjes in de bus buiten werking en kun je gratis instappen.
Helaas zijn mijn ervaringen met het GVB net anders. Wel kunnen inchecken, maar niet uit (metro). Drie keer dat op Duivendrecht geen enkel poortje het deed. En keer dat in A'dam Bijlmerarena het ontruimingsalarm af ging, met als gevolg dat alle poortjes openstonden met de tekst "Verlaat het station" (of iets dergelijks). Gelukkig heb ik een NS maandabonnement met een anonieme OV chipknip, dus het heeft mij nog niet sgekost (geld/moeite), alleen ergernis.
Inmiddels worden de software- en geheugenproblemen van de scanpoortjes in bussen in snel tempo opgelost. Het is natuurlijk nog steeds een nieuw systeem in Nederland en de komende jaren verdwijnen de meeste kinderziektes.
En worden hackers steeds inventiever..
Het is voor TLS en de vervoersbedrijven echt niet moeilijk om de fraudegevallen te detecteren. Ik begrijp de heisa hieromheen ook niet echt. De keuze om de kaart leidende informatiedrager te laten zijn opent mogelijkheden voor fraude ja, maar het alternatief van centrale opslag is veel vervelender, als het systeem er dan uitligt kan je dus niet reizen.

Natuurlijk moeten ze wel proberen de boel wat veiliger te krijgen, maar zo'n paniek als er nu uitbreekt in de media elke keer wanneer zoiets in het nieuws komt is een beetje overdreven. Ik denk dat als je kosten voor upgraden tegen kosten voor fraudebestrijding tegen elkaar zet, bijna iedereen deze keuze zou maken.
De fraudegevallen zijn niet moeilijk te detecteren, maar als er dagelijks 100.000 OV-passagiers op een frauduleuze wijze reizen... wat doe je er dan nog aan? Wat gaat het ons met zijn allen kosten?

Hoe meer er gefraudeerd wordt, hoe harder het jou ook raakt. Het OV verhoogt namelijk botweg de prijzen als ze teveel kosten hebben gemaakt die ze niet hebben terug ontvangen....

Verder denk ik dat een centraal systeem helemaal niet zo slecht hoeft te zijn. We hebben namelijk al zo'n systeem: het bestaande pin/chip netwerk. Dat systeem wat bijvoorbeeld in de sneltram van Utrecht/Ijsselstein/Nieuwegein werd gebruikt en meer dan prima werkt(e).
Of het er 1 of 100.000 zijn, maakt toch geen reet uit. Saldoverschillen zijn erg makkelijk te vinden, en daarna is het een kwestie van de kaarten (geautomatiseerd) blacklisten, en klaar.

Je kunt ze niet alle 100.000 aanklagen en vervolgen (zeker bij anonieme kaarten), maar als de bruikbaarheid van een hack 24 uur is, dan gaan echt geen 100.000 mensen het risico lopen.
het wordt nog leuker als je een systeem hebt - kaart schrijvertje, die zo groot als een tomtom bij het instappen een bepaald signaal op je kaart zet maar niet in het systeem van TLS - kortom dat je feitelijk zwart rijd zonder dat de controleur daar zicht op heeft...

dan moeten ze ineens toch alles realtime gaan verwerken - wedden dat dat NOOIT (niet snel) zal gaan gebeuren ...
Hmm dat is wel een interessante mogelijkheid, daar had ik nog niet over nagedacht. Ik zat puur aan saldo-manipulatie te denken, maar dat is niet altijd nodig natuurlijk.

Als ik op het station gewoon niet incheck bij de NS-paal, maar met m'n eigen schrijvertje het bericht "ingecheckt in Groningen op die en die tijd", dan ziet een controleur dat gewoon als normale incheck op z'n computertje. Het enige wat ik vervolgens hoef te doen is bij het eindstation dat bericht weer van m'n kaart halen ("uitchecken" dus) en klaar. Gaat volledig buiten de systemen van TLS of de NS om. De enige oplossing is om de controle-apparaten van de NS een live verbinding te geven met een NS-database, maar dat is nog niet zo makkelijk. Daarnaast heb je een probleem bij stations waar je door poortjes heen moet, maar dat is lang niet overal.

Enig idee of dit haalbaar is? Lijkt me niet zo moeilijk om uit te vinden. Eerst je pas inlezen, daarna inchecken bij de NS en dan weer inlezen en kijken wat het verschil is.

[Reactie gewijzigd door Moartn op 5 november 2010 11:34]

Dan wordt een OV chipkaart saldo-checker toch een interessant Marktplaats item. Custom firmware erin en je hebt je eigen OV chipkaart oplaadpunt.
Dat TLS de fraude kan detecteren is een ding. Het wordt een heel ander verhaal wanneer je de kaart van iemand anders kunt uitlezen, en dat is met een rfid chip op afstand mogelijk. De grote vraag: tot op welke afstand. Dan heb je de gelegenheid om de gegevens van de andere kaart op een eigen kaart te laden, daarmee te reizen en vervolgens die gegevens weer te wissen. De zwarte piet, namelijk de geconstateerde fraude komt dan wel bij de persoon terecht van wie je de kaartgegevens hebt gestolen.
Met een paar 9v batterijen en een antenne is een rfid chip op 30 feet uit te lezen dus 10 meter.
Het feit dat je zeer weinig processor kracht nodig het voor het kraken.
Met telefoons die rfid kunnen lezen en schrijven.

Word de dreiging van gestolen gegeven steeds groter.

Dus even met de metro in de spits en je hebt zo een paar honderd chipkaarten

Kijk maar op slashdot voor meer info over de zwakheden van rfid http://slashdot.org/index2.pl?fhfilter=rfid
Bijv. de FBI die op camera komt door hun rfid chip.

Edit: grammaticale correcties

[Reactie gewijzigd door zentinel17 op 5 november 2010 10:58]

Met een paar 9v batterijen en een antenne is een rfid chip op 30 feet uit te lezen dus 10 meter.
Het feit dat je zeer weinig processor kracht nodig het voor het kraken.
Met telefoons die rfid kunnen lezen en schrijven.
Lekkere aluhoedjes-opmerking: Als je al een richtantenne kan maken die zo effectief is (op 10 meter, binnen het zicht van het slachtoffer dus), dan moet je al genoeg moeite doen om zo'n ding verdekt op te stellen.

Slaag je daar in, dan ga je nog een hele kluif hebben om het ding goed te mikken en uit een volle stationshal van een man of 10.000 de juiste kaart te pikken, vooral als iedereen een portemonnee met een drietal RFID's bij zich heeft.

De OV-chip poortjes worden al stapelgek van mijn portemonnee met 3 RFID's erin naast mijn OV-kaart, en dat is op nog geen centimeter afstand. Denk je nu echt dat iemand met een prachtige RFID-sniper zonder problemen specifiek een chip uit kan lezen, laat staan schrijven?
Die tien meter antenne is geen richt antenne.
Gewoon een versterkte standaard antenne.
En je moet er ook niet mee schrijven dan krijg je problemen, dan schrijf je elke kaart in bereik.

Daarnaast met een laptop kan makkelijker die signalen scheiden.
Met het juist software.

Een mobiel kan inderdaad die afstand niet aan. Maar wel lezen, kraken en schrijven op korte afstand.
Je kunt de unieke ID van een RFID kaart niet kopiren naar een andere kaart met zo'n methode, die is namelijk read only. En daadwerkelijke klantgegevens staan niet op de kaart, die staan in het centrale systeem gelinked aan die unieke ID. Dus dat zal waarschijnlijk niet op zo'n manier werken.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True