Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 186 reacties

De ov-bedrijven en TLS achten het 'zeer onwaarschijnlijk' dat fraude met de ov-chipkaart in de komende tijd een grote vlucht zal nemen. TLS wil dan ook een overgangsperiode van vijf jaar uittrekken voor het vervangen van de Mifare-chip.

Trans Link Systems, het bedrijf dat de ov-chipkaart beheert, stelt in een rapportage aan de minister over de fraudegevoeligheid van de ov-chipkaart dat het probleem 'beheersbaar' is. Momenteel zouden dagelijks enkele tientallen kaarten geblokkeerd worden waarvan het vermoeden bestaat dat ermee is gefraudeerd.

Desondanks geeft TLS toe dat het niet alle fraudegevallen kan detecteren. Dat geldt bijvoorbeeld voor de 'thuis inchecken'-methode. Het bedrijf blijft dan ook op de vlakte over de toekomstige ontwikkelingen: "Het is zeer lastig c.q. vrijwel onmogelijk om op basis van de actuele gegevens een voorspelling te doen over de fraudeontwikkeling vanaf hier", zo is in het rapport te lezen. Ook stelt TLS dat de media-aandacht een belangrijke oorzaak is voor de toename van het aantal fraudegevallen en het verwacht dat deze media-aandacht in de loop van de tijd vanzelf afneemt.

TLS blijft ondanks de felle kritiek op de ov-chipkaart positief over de toekomst van het vervoersbewijs. Het bedrijf zegt extra maatregelen te treffen om fraude te kunnen detecteren, zoals een 'verhoogde frequentie' van controles in de backoffice. Ook wil TLS het maximumreissaldo dat een reiziger aan het loket kan terugvragen beperken tot 30 euro, terwijl bij anonieme kaarten tevens om legitimatie zal worden gevraagd. Verder moet het 'thuis inchecken' in de toekomst gedetecteerd kunnen worden door de controleapparatuur van de conducteur te verbeteren.

Voor de komende vijf jaar gaat TLS uit van het 'beheersbaar' houden van het fraudeprobleem. Het bedrijf denkt niet over het versneld introduceren en activeren van de beter beveiligde SmartMX-chips, omdat de kosten niet zouden opwegen tegen de baten. Volgens TLS onstaat daarom in de komende vijf jaar vermoedelijk een 'duale situatie', waarbij nieuwe SmartMX-kaarten de Mifare-chip zullen emuleren. Deze kaarten blijven in deze legacy modus echter kwetsbaar voor de meeste manipulaties.

TLS houdt wel een noodscenario achter de hand. Daarbij moet de invoering van vervangende SmartMX-kaarten en nieuwe kaartleesapparatuur 'geforceerd' worden doorgevoerd. De kans dat het worst case scenario werkelijkheid wordt, noemt de ov-chipkaartbeheerder echter klein.

De analyse van TLS was vrijdag voor minister Schultz van Haegen van Infrastructuur en Milieu voldoende om de strippenkaart in Zuid-Holland definitief te vervangen door de ov-chipkaart. De NS hoopt eind 2012 de verkoop van papieren kaartjes te kunnen staken.

Gerelateerde content

Alle gerelateerde content (23)
Moderatie-faq Wijzig weergave

Reacties (186)

Ik denk eerlijk gezegd niet zo zeer dat de hele "OV chipfail" de schuld is van TLS. Ik denk dat de overheid gewoon de afweging heeft gemaakt tussen prijs en beveiliging. Het lijkt me onwaarschijnlijk dat TLS niet wist hoe het met de beveiliging van deze chip gesteld is.
Ik denk dat TLS een hele simpele rekensom heeft gemaakt en daaruit bleek dat ze meer konden verdienen als ze een goedkope verouderde kaart die al op 1001 plekken werd gebruikt zouden kiezen, dan wanneer ze daadwerkelijk tijd en geld zouden investeren in een veiligere oplossing. De overheid betaalt toch wel want het budget staat al jaren vast, dus elke euro die je kan besparen op de uitvoering is pure winst. Vervolgens hebben ze een paar gladde jongens met een vlotte babbel naar het ministerie gestuurd, dat in Nederland vooral bevolkt wordt door juristen en economen, en daar de hele zaal wijsgemaakt dat het allemaal prima beveiligd was.

De manier waarop TLS er nu mee wegkomt en het bagetalliseren van het probleem geeft maar weer aan hoe erg ze het allemaal vinden, nu kunnen ze mooi nog 5 jaar lang binnenharken want tsja, de minister en haar ambtenaren hebben toch zelf ingestemd met deze oplossing, dus TLS valt niks te verwijten...

[Reactie gewijzigd door johnbetonschaar op 28 februari 2011 17:46]

Dus we kunnen 5 jaar "gratis" reizen?
Ligt eraan. Er vanuit gaande dat je de station hack gebruikt:
Als handhelds van conducteurs/chaffeurs gesynced worden met de 'centrale-betalings-server' kan je hooguit dagen tot weken je slag slaan.
Worden ze niet gesynced, dan kan je in theorie tot de nieuwe chip wordt ingevoerd onbeperkt reizen.

Wie het weet mag het zeggen.
Een live verbinding met het systeem die voor iedere kaart controleert of je ingechecked bent via het officiële systeem lijkt me niet zo waarschijnlijk. Daar is het netwerk gewoon niet betrouwbaar genoeg voor. Wat overblijft is loggen welke kaarten gescand zijn, en achteraf die logs naast de in en uitcheck-logs leggen en zo de kaartnummers achterhalen die wel als ingechecked zijn gescand, maar niet door het TLS systeem zijn gelogd als ingechecked.

Die kaartnummers zouden dan op een soort zwarte lijst moeten komen te staan, die weer op de scanners van de conducteurs gezet moeten worden. Maarja, dat geeft natuurlijk wel een probleem met de bewijslast. Je kan namelijk dan in de trein alleen iets zeggen over of je een vorige keer ingechecked zou hebben. Dat zegt niet zo veel over of je dat deze keer ook heb gedaan. De conducteur kan niet aantonen dat toen dezelfde persoon gebruik maakte van die kaart.

Het enige wat je dan nog kan doen, is als je zo'n geblackliste kaart ontdekt, als conducteur telefonisch of via je scanner alsnog contact opnemen met het centrale TLS systeem om te controleren of je deze keer wel echt hebt ingechecked. Dat zou op zich moeten kunnen, maar handig of snel is anders. Dat gaat ook alleen goed werken als blijkt dat ze die TLS systemen snel en betrouwbaar genoeg krijgen. Je moet er niet aan denken dat mensen op deze manier onterecht eruit gefilterd worden (false positives), dan krijgen ze gegarandeerd nog veel meer heibel over zich heen over deze kaart.

Edit: hoe je een groot deel van deze fraude zou kunnen vermijden, is het inchecken net als in de bus en in de tram ook in de trein zelf te laten plaatsvinden, in plaats van of als toevoeging op het inchecken op de stations. Probleem is dan natuurlijk wel dat het hele idee dat de stations dan veiliger zouden worden doordat ze met poortjes kunnen worden afgesloten (een van de argumenten bij de invoering van de kaart) dan écht bij het vuil gezet kan worden.

[Reactie gewijzigd door ATS op 28 februari 2011 17:04]

Ik kan me ook nog voorstellen dat het vrij makkelijk is om bestaande kaarten te klonen, of zelf nieuwe kaarten te maken, als dat nu nog niet kan dan zal het vast niet lang meer duren. In dat geval kan je gewoon om de zoveel tijd je kaart een ander nummertje geven en daarmee reizen, of je kaapt de identiteit van een bestaande eerlijke klant. Die dan vervolgens in de trein zou kunnen worden geconfronteerd met de beschuldiging illegaal te reizen. De PR schade voor TLS en de NS zou in dat geval te groot zijn om daadwerkelijk actie te gaan ondernemen tegen 'twijfelachtige' kaarten.

Dus met andere woorden: ik denk dat deze kaart nu al volkomen afgeschreven kan worden wat beveiliging betreft, wat ze ook verzinnen, het hek is al van de dam, en de mensen die hem gehackt hebben zullen allerlei manieren weten te verzinnen om de detectie te omzeilen.

Wat ik ook interessant vind is de 'overgangsfase' waarin de SmartMX chip de Mifare chip zou gaan emuleren. Ik kan me haast niet voorstellen dat dat nu zo'n goed idee is, want het zou me niks verbazen als je met zo'n soort emulatie een mooie attack-vector introduceert om ook de SmartMX chip te hacken. Zijn ze straks over 5 jaar eindelijk klaar om alle MiFare kaarten af te schaffen, is de vervanger ook al gekraakt.

Volgens mij is er maar 1 mogelijkheid, en dat is de papieren kaartjes gewoon nog 10 jaar lang blijven gebruiken, en het hele OV-chipkaart project van voor af aan opnieuw te doorlopen, met deze keer op elke stap een keer _wel_ naar experts luisteren in plaats van mannen in pakken die graag nog een lading verouderde chips willen slijten.
Bij mijn weten, is de SmartFX kaart al gekraakt door het duitste CCC ;)

Daarbij zouden ze gewoon een nieuwe lekke kaart invoeren ...
Ik heb zelf geen OV-flopkaart, maar je kunt toch ook wegwerp-kaarten kopen o.i.d.?
Kun je die ook clonen en opwaarderen? Probleem opgelost toch? Gebruiken voor een lange rit (Maastricht <> Groningen) en daarna wegdoeken... :Y)
Het enige wat je dan nog kan doen, is als je zo'n geblackliste kaart ontdekt, als conducteur telefonisch of via je scanner alsnog contact opnemen met het centrale TLS systeem om te controleren of je deze keer wel echt hebt ingechecked. Dat zou op zich moeten kunnen, maar handig of snel is anders.
Moet toch in principe best 'snel' kunnen? Als ik m'n saldo controleer met *101# dan heb ik ook binnen 2 seconden antwoord. Nog sneller wordt het als de controleur een lijst van daadwerkelijk ingecheckte kaarten naar z'n apparaat verzonden krijgt bij vertrek van de halte/het station - dan is het een kwestie van milliseconden. Daar kan uiteraard wat fout gaan, in welk geval je niet 100% zeker kan controleren en de informatie op de kaart zou moeten vertrouwen.. maar dat is toch beter dan 0% zekerheid.
Alleen jammer dat de vluchtige database decentraal is (de harde database is centraal maar wordt pas na 24 uur geüpdatet), alles opzoeken met een SMS query gaat even duren, niet alle gegevens van alle kaartlezers komen goed aan bij TLS, de gegevens zijn onvolledig en dus ook met een legale kaart kun je aangezien worden als fraudeur.

In de bus en tram gaat dit trucje ook niet werken, die worden pas gesynct als de bus of tram in de remise staat.

[Reactie gewijzigd door donny007 op 1 maart 2011 09:50]

inchecken in het voertuig: krijgen we dan ook de undercover conducteurs net zoals in de trams? want anders gaat iedereen gewoon naast het incheck apparaat staan en haalt de kaart over de lezer als je de conducteur ziet.

[Reactie gewijzigd door llee op 28 februari 2011 21:43]

Loop jij graag het risico dat alle alarmbellen afgaan, net als met een winkeldiefstal?
Ik zou me aardig lullig voelen... :')
Om van gezichtsherkenning in Den Haag (en Rotterdam?) nog maar te zwijgen...

[Reactie gewijzigd door johncheese002 op 28 februari 2011 18:04]

welke alarmbellen moeten dan afgaan? waarom zou je lullig voelen? je heb een issue want je heb toch ingecheckt voordat die man/vrouw voor je neus staat? heb gehoord dat in de trams om die reden de conducteurs undercover moeten gaan anders kun je nog snel de kaart over het apparaat halen net zo als bij de stempelapparaten. nu gaat het inchecken alleen nog veel sneller ... bij stempelapparaten redt je vaak niet om snel te stempelen. in de treinen hangen dacht ik geen camera's?
In vrijwel alle Connexxionbussen in nederland alsmede in de sneltram tussen Utrecht en Nieuwegein/Ijsselstein kan de bestuurder de automaten/chiplezers buiten dienst zetten zodra hij een controleploeg bij de halte ziet staan. Je kunt dan dus niet meer inchecken :)
Zoals ook gebeurde bij de stempelautomaten; die kunnen dicht en uit. In veel treinen hange wel degelijk camera's trouwens.
Een live verbinding met het systeem die voor iedere kaart controleert of je ingechecked bent via het officiële systeem lijkt me niet zo waarschijnlijk. Daar is het netwerk gewoon niet betrouwbaar genoeg voor. Wat overblijft is loggen welke kaarten gescand zijn, en achteraf die logs naast de in en uitcheck-logs leggen en zo de kaartnummers achterhalen die wel als ingecheckt zijn gescand, maar niet door het TLS systeem zijn gelogd als ingechecked.
Volgens TLS op Webwereld zullen de conducteurs inderdaad niet live kunnen controleren of je legaal hebt ingecheckt. Het apparaat dat de conducteur gebruikt onthoudt welke kaarten hij gecontroleerd heeft en achteraf worden die vergeleken met de kaarten die officieel hebben ingecheckt.Het enige dat ze dan kunnen doen is achteraf een kaart blokkeren.

[Reactie gewijzigd door Banshee01 op 28 februari 2011 17:52]

Oftewel als ik het goed begrijp kan je gewoon thuis inchecken. De kaart kan je net zolang houden tot na de 1e controle.

Na controle haal je een nieuwe anonieme kaart a 7,50 en je kan weer verder.

Hmmm, ben benieuwd hoeveel ze gaan investeren in controleurs totdat ze het voor een kwaadwillend persoon niet meer winstgevend maken.
Naar mijn werk is 4 euro, terug ook weer 4 euro. Dus zolang ik niet dagelijks controle heb (en mijn tijd gratis is) ben ik dus voordeliger uit...
Toen ik nog met OV reisde, en dat is tot een paar maanden terug, had ik 2 tot 4 controles per retour trip. Sowieso bijna altijd wel 3 keer.
Traject Zwolle - Amersfoort - Utrecht - Woerden.

Vervelende (puur qua overlast, ik had gewoon een geldige kaart) op deze trip is dat ze ofwel Zwolle-Amersfoort checken, ofwel na Amersfoort en dan na de overstap meestal nog een keer. Terugweg zelfde verhaal.
Met andere woorden, binnen de kortste keren is het mogelijk om voor elke reis een ander ID op je kaart te programmeren en dan werkt dat ook niet meer. Ik ben benieuwd hoe lang het duurt voordat de eerste legale kaarten per ongeluk geblokkeerd worden omdat iemand toevallig of met opzet het kaartnummer heeft gekloond, en wat TLS dan weer voor een smoesje gaat verzinnen om dat weer goed te praten.
Je kunt nog altijd geen mifare kaart 1.2.3. clonen, ook niet met de programma's die tegenwoordig beschikbaar zijn, de unieke ID van een kaart is op een echte mifare kaart niet te wijzigen.
Kun je geen virus op die kaart zetten? Zodra de controleur hem inleest, slaat zijn 'toy' op hol, schaamrood op de kaken: "ok, het is in orde mevrouwtje- prettige reis verder"
Daarna is de rest aan hackend medereizigers ook gelijk gecleared en heeft de man een relaxte dag verder...
Dat is nog niet eens zo'n heel gek idee. Immers, we zagen laatst ook al dat de kaartjesautomaten van de NS ook volledig over de rooie gaan als je er een illegale kaart voor hield. Die klapt vast en moet handmatig gereset worden. Iets zegt mij dat de software in die handhelds niet veel beter is.
ze flippen bij mij soms al als ik kleingeld in me beurs heb icm ovchip, en dan duurt het ook even ;)
Ov-chipkaarten zijn persoonsgebonden, ook de anonieme kaarten, en niet overdraagbaar. Als er met een kaart gefraudeerd is, kan men deze dus zonder omhaal blokkeren en/of innemen. Of de huidige drager van de kaart heeft gefraudeerd, of hij heeft een kaart gekregen/overgenomen wat ook niet mag.
Maar hoe moet men dan weten van wie die anonieme kaart is?

Heb het ding niet voor niets 200 km van mijn huis met contant geld gekocht bij een winkeltje waar ze geen camera's hebben hangen.
Ov-chipkaarten zijn persoonsgebonden, ook de anonieme kaarten,
Anonieme kaart persoonsgebonden ? Hoe dan.? Hij wordt pas persoonsgebonden als ik geld terug wil vragen.

@Zunflappie
Ik laat die dingen gewoon kopen en toesturen door vrienden of familieleden. ;)
Als je gewoon de opwaardeer hack gebruikt (50 euro op je chip zetten, vervolgens een backup maken op je pc en als de chip leeg is de backup terugzetten) kan je sowieso ongestoord reizen totdat ze met een andere chip komen.
Nee dus, ze kunnen zien dat met de kaart die jij hebt steeds gereisd wordt zonder dat ze transacties hebben van ophogingen. Je kaartnummer belandt dus op een zwarte lijst, en zo kun je tijdens controle ontmaskerd worden, of je kaart wordt geblokkeerd.

De enige tot nu toe ondetecteerbare hack is het thuis inchecken op een station, wat alleen maar opgelost kan worden dmv het synchroniseren naar een centrale database (zodat de controleurs onmiddelijk kunnen zien dat jij eigenlijk helemaal niet ingecheckt hebt op dat station, of dat achteraf te zien is dat je eigenlijk nooit hebt ingecheckt)

[Reactie gewijzigd door .oisyn op 28 februari 2011 17:00]

Ja of gewoon de poortjes op de stations dicht zetten zodat je er niet op kan komen zonder op het poortje zelf in te checken. Lijkt me toch wel een oplossing tegen het thuis inchecken probleem.
En als je geen pas hebt?

Ik heb er namelijk geen, althans ik gebruik deze niet (voordeelurenkaart). Ik ga af en toe (als ik ver moet) met de trein. Verder doe ik alles op de fiets.

Mocht je hardhandiger zijn, als je met een equivalent van ongeveer 90 kilo tegen deze poortjes aan 'botst' gaan ze open, iets met veiligheid.
Mocht je hardhandiger zijn, als je met een equivalent van ongeveer 90 kilo tegen deze poortjes aan 'botst' gaan ze open, iets met veiligheid.
Wat in Spijkenisse dus regelmatig gebeurt... Maar ja, dan moet je veiligheidspersoneel inzetten. En dat is natuurlijk niet zonder gevaar! Dus het is een leeg, onveilig station. Maar we kunnen tenminste gewoon poortjes rammen ;)
kun je er niet gewoon overheen stappen? zijn toch wat loze barriëres.
Bij een poortje van pak 'm beet 2 meter wordt dat toch wat lastig. De NS kiest ervoor om lagere poortjes te gebruiken op bijvoorbeeld Amsterdam Centraal, maar de meeste poortjes zijn toch iets hoger.
Wat op zich ook niet zo relevant is, het is niet dat die poortjes de bedoeling hebben om het station hermetisch af te sluiten. Gewoon een doorgang die de meesten mensen wel nemen. Als je een station binnen wil zonder door die poortjes te gaan lukt dat toch altijd (Aangezien je op een bepaalt punt wel op de sporen kunt, en deze volgen tot in het station).
En dan worden plat gereden zeker :D
Inderdaad. Alleen zijn dan alle stationswinkels boos omdat er een (groot) deel van hun klanten niet meer naar hun winkel kan zonder te reizen.
Over het algemeen zijn alle stationwinkels van de NS. Dus dat is een risico dat de NS kan afwegen..
Dat is niet waar. De locaties worden uitgebaat door de NS. De AH to Go's op de stations e.d. zijn gewoon van de Albert Heijn, net zoals de Star Bucks en tenten zoals de Burger King.
Dat is niet waar. De locaties worden uitgebaat door de NS. De AH to Go's op de stations e.d. zijn gewoon van de Albert Heijn,
Nope, Servex.
net zoals de Star Bucks
Nope, Servex.
en tenten zoals de Burger King.
Nope, Servex.


(Dit alles buiten Schiphol, daar zwaait HMSHost de scepter. Oh, en Servex is een dochter van NS.)

[Reactie gewijzigd door CyBeR op 1 maart 2011 05:48]

Bijvoorbeeld in Leiden geeft dat een onacceptabele situatie dat mensen niet meer eenvoudig van het centrum naar het ziekenhuis kunnen lopen. Dat gaat dus niet zomaar gebeuren.
Bijvoorbeeld in Leiden geeft dat een onacceptabele situatie dat mensen niet meer eenvoudig van het centrum naar het ziekenhuis kunnen lopen. Dat gaat dus niet zomaar gebeuren.
Die tunnels aan weerszijden van het station zijn niet goed genoeg voor jou?
Opzich wel goed genoeg maar niet duidelijk genoeg.
Door het station heen kom je voor de meeste mensen veel duidelijker voor de ingang uit.
Ik zelf loop ook liever door het station trouwens dan door die tunnel.
Ware het niet dat lang niet alle stations van die poortjes hebben. Leiden en Amsterdam hebben ze (en daar staan ze open), maar Den Haag en Rotterdam bijvoorbeeld niet.
Wat niet is kan nog komen. In zowel DH als Rotterdam kan ik wel geschikte plekken bedenken.
Neem je een 2e kaart met wat saldo er op waarmee je incheckt, na de poortjes check je gewoon weer uit.
Hoe kom je dan door gesloten poortjes op het station van aankomst? Uitchecken met je gehackte kaart zal niet lukken.
Nee man, ze hebben toch ergens wel ergens een label die ze bij elke transactie uitlezen en een nieuwe random waarde in rammen.
maar ze weten als het goed is nog wel dat jij reist
ze zouden ook statistieken moeten hebben van het opwaarderen van een kaart

als jij dan wel keer op keer reist, maar zij nergens terug kunnen vinden dat je opgewaardeerd hebt, dan zou er toch ergens een belletje moeten gaan rinkelen?
Dat gaat ook wel rinkelen. Als men een beetje verstandig is weet men precies wanneer je balans onder nul gaat. Dan kan men misschien je reis niet stoppen maar je kaart wel blacklisten.
Juist, heel goed door TLS. Met andere woorden ze hebben genoeg geld binnengehaald om 5 jaar gratis OV reizen toe te laten.
Je moet eens een jaarverslag van TLS opzoeken, die tent draait enorm verlies. Sinds 2001 hebben ze elk jaar een netto verlies moeten schrijven (zie bijv http://www.trouw.nl/tr/nl...wee-jaar-kwart-meer.dhtml).
Uit de jaarverslagen van TLS blijkt dat de driekoppige directie in 2008 samen 672 duizend gulden verdiende, tegen 549 duizend in 2007.
Ze verdienen daar ook nog in guldens, daar kun je nergens mee betalen en dat verklaard misschien waarom ze een beetje gedemotiveerd zijn.
ach, in 5 jaar valt de volgende chip vast wel te opladen.exe of inchecken.exe. :)

Ontopic
Hoe lang heeft men erover gedaan deze kaart te maken? Hoe lang geleden is aangetoond dat de gebruikte chip niet veilig is? Hoe lang is het geleden dat Tanenbaum hierover geschreven heeft?

'Dat mag niet meneer!' was het enige wat TLS kon doen. Hoe bizar. En nu weer 5 jaar wachten, tegen de tijd dat het opgelost is heeft mijn nichtje (ze is nu 6) een rfid-lezer en schrijver én een appje in haar ipad5/Xoom6/MS Tabletwindow2016) zitten..
Bovendien kan je wel raden wie deze vervanging van chips gaat betalen.

Eigenlijk is het vreemd dat deze bedrijven hier zomaar mee wegkomen, er zou toch een punt in de overeenkomst met de ontwikkelende partij moeten staan die indenk dat het systeem dat wordt geleverd veilig moet zijn.
Vergelijk het met een verkoper van kluizen, als die een kluis heeft geleverd die met een ijzerdraadje blijkt te openen komen de klanten toch ook terug en eisen een vervangend wel werken product?
Eigenlijk is het vreemd dat deze bedrijven hier zomaar mee wegkomen, er zou toch een punt in de overeenkomst met de ontwikkelende partij moeten staan die indenk dat het systeem dat wordt geleverd veilig moet zijn.
Natuurlijk kun je dit overeenkomen, maar daar zit ook gewoon een prijs aan. Dan is er vast een verzekeraar of investeerder bereid om dit risico af te dekken, kost misschien een paar miljard extra.
Vergelijk het met een verkoper van kluizen, als die een kluis heeft geleverd die met een ijzerdraadje blijkt te openen komen de klanten toch ook terug en eisen een vervangend wel werken product?
Als jij een brandkast koopt, dan is dat ding niet per definitie ook inbraakveilig. Wil je ook een kast die inbraakveilig is (=kluis) betaal je meteen weer meer. Zoek maar eens de prijsrange van een simpele kast tot een high-end kluis. Zit zo een factor 100 tussen.
Toch vervelend als je treinkaartje dadelijk €3,60 kost + €132,50 administratie en beveiligingsopslag.
Alleen gaat daar dan weer de vergelijking met virtueel/software en de fysieke wereld niet op.

Een brandkast is alleen ter beveiliging van documenten bij korststondige brand, en dan ook nog eens bij een bepaalde temperatuur. Een brandkast bij hoogovens in de verbrandingskamer mikken en dan heb je daar ook niet veel aan. Bij een kluis moet het ding niet al te makkelijk te vervoeren zijn (zware materialen, kost wat), niet makkelijk gewoon te kraken zijn (geisoleerd mechanisch slot met gedempte contacten / elektronisch slot met ingesloten pcb - kost ook wat), moet je niet met een gammaboortje doorheen kunnen (kost weer wat), etc. Natuurlijk betaal je ook een stuk voor de prestige, maar een groot deel zit 'm ook in de daadwerkelijke materialen, constructie, vaak ook nog de plaatsing (vervoer je niet even in je achterbak om met een kameraad even naar binnen te tillen).

Vergelijk dat met bijvoorbeeld encryptie. Of ik nou AES-64 gebruik of AES-256, qua hardware scheelt dat lang geen factor 100; grote kans zelfs dat het qua componenten niets scheelt.. qua CPU is het misschien een tikkie zwaarder. Dat terwijl het voor 'krakers' een factor ongelofelijk veel scheelt, en ze eigenlijk maar 1 methode ervoor hebben: brute force.

Zo ook enigszins met deze OV chipkaart. Er zijn gewoon software-matige en implementatie fouten gemaakt die in principe goedkoop opgelost kunnen worden. De grond hoeft niet opnieuw open om compleet nieuwe palen te plaatsen - ze kunnen gewoon een update krijgen. Een nieuwe chip pas, mocht dat nodig zijn, kost ook niet zo bijzonder veel; de huidige zijn ook niet oneindig geldig, 5 jaar. Dus of je die dan vervangt door hetzelfde model of de nieuwe doet er niet zo veel toe.
Als ze dan goed geluisterd hebben naar de hackers dan doen ze het dan wel 'goed', en hoeft het geen miljarden extra te hebben gekost.

Dat ze wellicht uiteindelijk wel om miljarden, of zelfs maar miljoenen, gaan vragen bij de overheid is logisch.
Of ik nou AES-64 gebruik of AES-256, qua hardware scheelt dat lang geen factor 100; grote kans zelfs dat het qua componenten niets scheelt.

Je hele aanname is dat er het "niets" kost. Echter is de kaart alleen al iets duurder, de lezers zijn duurder en daarna moet de software ook nog kosteloos gefixed worden?

Zoek eens de kreet "overengineering" op. Want jouw argument om het "iets" beter te doen gaat ook op voor het paaltje, de print op het kaart, de helpdesk, het aantal incheckpalen, het aantal opwaardeerpalen, het aantal controleurs, het .....
Uiteindelijk is het een balans tussen kosten en baten, want de tijd dat we "geld genoeg" hadden is toch al wel even voorbij.
Je hele aanname is dat er het "niets" kost.
Nee - dat zei ik alleen over AES-64 vs AES-256, als voorbeeld van een veel betere beveiliging tegen een zeer geringe extra last.

Bij de OV-chipkaart haalde ik juist aan dat het omzetten een stuk goedkoper is dan alles maar op de schop te doen - waarbij in sommige gevallen je dat letterlijk mag nemen, zoals het installeren van compleet nieuwe palen.

Tevens vind ik het niet 'overengineering' als je stelt dat een chipkaartlezer aan te passen is op welke datastream van die toch vrij standaard NXP chip dan ook - idem dito de palen. Dat de kaart zelf een andere chip nodig heeft is ook geen probleem, zoals ik al zei.. de bestaande passen gaan ook maar 5 jaar mee, en het gros van de kosten van vervanging daarvan zitten 'm in de logistiek, en niet in dat NXP chipje dat een paar centen meer kost - dan zou je meer besparen door de kaarten niet elke 5 jaar ongeldig te maken, maar alleen wanneer dat echt nodig zou zijn. De software fixen hoeft niet kosteloos, maar je hoeft het maar 1 keer te fixen, en daarna te installeren. Het installeren kost meer geld dan het fixen (als dat niet remote kan en er iemand een kastje aan een kabeltje moet hangen).

Dat de tijd dat we "geld genoeg" hadden voorbij zou zijn zou alléén maar meer reden moeten zijn om het in één keer goed te doen.. of in ieder geval niet zo falikant fout als het nu is gegaan - de eerste tekenen dat het niet goed beveiligd was waren er immers al een hele tijd, maar zelfs nu gaan we vrolijk verder met uitrollen.

Ik snap ook niet wat dit verhaal te maken zou moeten hebben met het aantal incheckpalen, aantal controleurs, etc. Dat lijkt mij een andere discussie die niet zo veel met de gebruikte techniek en overgangsstrategieën te maken heeft.
bij een brandkast betaal je ook voor de mate van zekerheid die deze beidt.
het is logisch dat een producent daar dan ook argumenten voor aandraagt.
tuurlijk mag je van de kopende partij ook enig huiswerk verwachten.
als we kijken naar de ov-chip kaart, dan verwacht ik dat mifare wel op de hoogte was van de risico's en het milder heeft gepresenteerd, net zoals ze nu ook doen.
Maar op een gegeven moment heeft TLS ook een akkoord gegeven om gegeven de risico's toch met deze variant door te gaan ipv de iets duurdere maar veiligere variant.
Dit laatste punt zorgt ervoor dat mifare niet verantwoordelijk is (in mijn ogen) maar dat je je wel als betalende klant genaaid mag voelen, en ook eens naar andere leveranciers mag kijken.
Helaas kunnen de OV partijen niet naar een andere chip provider kijken, want op zich heeft ook TLS hier wel geblunderd.
Meestal moet de klant het systeem accepteren. Als dat gebeurd betekent dat dat de klant het systeem aan de eisen vindt voldoen en de verantwoordelijkheid voor het in gebruik nemen neemt. Oftewel, je mag testen zoveel je wilt. Maar daarna heb je garantie tot de voordeur.
Als je weet bij aanschaf dat die kluis te openen is met een ijzerdraadje, dan kan je niet verwachten dat de verkoper je een model gaat geven die niet te openen is met een ijzerdraadje. Je weet dat je een inferieur product koopt, dan moet je ook niet mekkeren.

TLS heeft exact dezelfde domme beslissing genomen. Ze wisten allang dat die kaart niet geschikt was voor deze implementatie, maar zijn er toch door mee gegaan. Waarschijnlijk een risico-afweging die niet helemaal goed is ingeschat (het is uiteindelijk meer gokken dan statistiek).
je kon altijd al "gratis" reizen. Om nou te zeggen dat de strippenkaart en ns kaartjes goed beveiligd waren...
Maar hoeveel mensen zouden ook daadwerkelijk proberen om hun eigen strippenkaart te printen (contrôleur met UV lampje pakt je er zo uit.. moet je weer speciaal papier zien te bemachtigen) en de 'hologram' van een oude kaart overzetten, etc., of met dunne laagjes matlak in de weer te gaan om een stempel er later weer af te pulken (en dan maar hopen dat die stempel niet doordrukt i.p.v. alleen maar inkt erop zet).

Met de OV chipkaart hack is er aan het uiterlijk niets te zien en je hoeft ook geen rare dingen te doen.. kaart in de lezer, software draaien, klaar.

Lijkt mij dat de laatste toch wat fraudegevoeliger is voor de massa.
Voeg daar nog aan toe dat het een kwestie van tijd is voordat we met een NFC smartphone door middels van GPS op het huidige station kunnen inchecken en je hebt gerealiseerd dat het hacken van je kaart daadwerkelijk makkelijker is dan via de legale weg zo'n paal opzoeken die natuurlijk weer niet werkt of waar een rij voor staat.
Sort of, tot ze alle fraude omzetten in een mooi argument om een nieuwe belasting te heffen :P Dan betaal je alsnog...
Jeps.. wel met de station hack.. desnoods update ik 'em in de trein met m'n netbook en de writer in m'n jaszak :)
Ze moeten toch wat zeggen en toe geven dat ze niet genoeg aan de beveiliging hebben gewerkt.
Dat is niet helemaal. De oorzaak van het huidige probleem is het gebruik van een oude chip. Het is een feit dat alle beveiligingsmethoden na een aantal jaren gekraakt wordt.
Dat is precies wat er met de OV-chipkaart is gebeurt.
Na een aantal jaren gekraakt worden... volgens mij was/is de OV-chipkaart al gekraakt voordat deze volledig was ingevoerd? En ondanks dat er allang is aangetoond dat het kraken/opwaarderen etc anoniem kan en het inmiddels zo simpel is dat ik het zelfs mijn oma uit kan leggen... okay, bij detectie kunnen ze de kaart deactiveren, maar de kaart blijkt net zo makkelijk weer te heractiveren.

Het zou de overheid sieren TLS gewoon terug te sturen naar de tekentafel en een kwalitatiever product te maken. Grote probleem was dan ook niet perse de leeftijd van de chip, maar eerder wat het mocht kosten. Er zijn allang veel betere chips te krijgen/produceren... maar het mag allemaal niet teveel kosten. Dan nog het probleem dat je straks met allerlei diverse pasjes van de overheid in je zak rondloopt... ze moeten hier slimmer en breder mee omgaan. Dat maakt het kosteneffectiever en ook echt makkelijker voor de burger.
Na een aantal jaren gekraakt worden... volgens mij was/is de OV-chipkaart al gekraakt voordat deze volledig was ingevoerd?
Volledig wel ja, maar met de invoer ervan is begonnen drie volle jaren voordat er iets gekraakt is, en de besluitvorming daartoe was zelfs nog vijf jaar dáárvoor.
moraal van het verhaal: overheidsprojecten gaan te traag. Er zit dusdanig veel tijd tussen "idee" en "produkt" dat het technologisch al ruimschoots achterhaald is. En in dit geval dus ook op securitygebied.
Nee. Het probleem zit 'm zuiver in de keuze van de Mifare Classic chip. Die beslissing is pas veel later genomen. En op het moment van die beslissing was de SmartMX oplossing al lang bekend. Alleen, die was enkele centen duurder per stuk. Het probleem is dus dat de overheid te zuinig was, misplaatste zuinigheid. De traagheid van de overheid is dus niet de oorzaak.
en zo zie je maar dat zo goedkoop mogelijk aanbesteden, wat de overheid pleegt te doen, onder aan de streep een stuk duurder is dan het aanbesteden / keuzes maken op basis van pure kwaliteit.

Wanneer leert men nou eens luisteren naar mensen die echt verstand van zaken hebben? We hebben genoeg slimme mensen in dit land. Heck, we grossieren er in.
Klopt, maar bovenstaande is wel een heel slap antwoord. Jammer dat ze niet met wat hardere en meer effectieve maatregelen komen. Ook jammer dat ze dit hele beveiligingsdrama niet aanpakken om het systeem zo aan te passen dat de privacy van de reiziger wel gewaarborgd wordt. Dat er fraude kan worden gepleegd is (op dit moment) vooral het probleem van TLS, dat er totaal niet naar privacy aspecten is gekeken is mijn probleem.

Maar goed, we gaan merken wat er gebeurt als de mobiele telefoons die een NFC chip hebben applicaties krijgen waarmee je je OV chipcard in/uit kan checken :)
Het is vanuit het standpunt van TLS geen slap antwoord. Zij verdedigen hun deelname aan het OV chipkaart project met de mededeling dat de risico's beheersbaar zijn. Echter wat zijn dan de risiconormen en wie bepaald die normen. Het feit is gewoon dat de Minister en TLS eigenlijk nagenoeg een kloteresultaat opgeleverd hebben, maar beide kunnen of willen niet toegeven dat dit project gewoonweg een fiasco is. Niet dat het toegeven ons uiteindelijk betere resultaten verschaft. De overheid heeft zoals bijna bij alle ICT projecten (of wat voor projecten dan ook) laten zien dat het niet capabel genoeg is om dit soort projecten tot een goed eind te brengen, door wat voor reden dan ook.

De belastingbetaler betaalt uiteindelijk de rekening hiervoor!

[Reactie gewijzigd door blade181 op 28 februari 2011 19:12]

Ze moeten gewoon eens naar het buitenland kijken.... De ov chip kaart? Kijk naar bijv Japan... De problemen op het spoor? Kijk even naar Duitsland

Nee de overheid wil alles zelf doen en politici praten alsof ze al de kennis erover hebben. Ik vind het erg jammer want in het buitenland heb je partijen die hier veel meer ervaring mee hebben en dat had al deze ellende kunnen voorkomen
Ze moeten gewoon eens naar het buitenland kijken.... De ov chip kaart? Kijk naar bijv Japan...
Alleen als desituatie en de achterliggende (verborgen) agenda hetzelfde zijn. Als Japan ook tig verschillende bus-, tram-, metro- en treinmaatschappijen heeft zou je het enigszins kunnen vergelijken. Gewenste privacyschending en winstbejag laten we dan nog even buiten beschouwing.
In ieder geval betekent dat voor mij dat ik niet meer in Zuid-Holland kan komen. Deze OV-chipkaart is voor mij geen optie en ik heb daarom in januari nog een strippenkaart gekocht. Dat was omdat de auto een dagje in de garage stond vanwege de APK.

Met de auto daarheen gaan is echter ook geen optie aangezien je daar alleen met de chipknip kunt parkeren en de chipknip heb ik voor het laatst gebruikt in 1999. Destijds kon je met de chipknip bellen in de KPN-telefooncel (de meeste mensen hadden nog geen mobieltje), betalen in de bus (dat was in ieder geval wel een goed systeem, ook al bleef het bij een proef), en ook nog betalen bij een enkele winkel. Helaas liet NS toen op de stations alle KPN-telefooncellen vervangen door BT-telefooncellen (dat was dus nog voor ze telfort oprichtten) waar dat die chipknip dan weer niet werkte (en op het station was eigenlijk de enige plaats waar ik behoefte had om te bellen, nl vanwege vetraging/aankomsttijd)

De enige goede oplossing is het OV helemaal gratis maken.
Na het inleveren van mijn weekeind-kaart (gelukkig) nooit meer met het OV gereisd, behalve dan die ene dag in het jaar dat de auto APK moet krijgen. Saldo heb ik toen opgebeld, de laatste winkel die de chipknip nog accepteerde was daar inmiddels ook al mee opgehouden. De chipknip is dus voor mij iets van ruim 10 jaar geleden.
Klopt, maar bovenstaande is wel een heel slap antwoord.
Nee, dat is geen slap antwoord. Ze verschaffen zich zo gewoon van vijf jaar extra inkomsten. Als het in 6 maanden geklaard was, dan was er natuurlijk minder binnen te halen.
Maakt me helemaal niks uit.. ik reis de komende 4 jaar iig nog lekker gratis :D
wat als ze je kaart controleren door een conducteur dan?
die lui zijn binnenkort wel wegbezuiniged hoor :+
wat dacht je van ov-studenten kaart ;)
Kennelijk een goede investering, zo'n cardreader/writer.

En 5 jaar de tijd om de volgende kaart te kraken.

[Reactie gewijzigd door Ras op 28 februari 2011 20:39]

Ook wil TLS het maximumreissaldo dat een reiziger aan het loket kan terugvragen beperken tot 30 euro, terwijl bij anonieme kaarten tevens om legitimatie zal worden gevraagd.

De woorden anoniem en legitimatie gaan niet samen. Daarnaast is het 'beheersbaar houden van het fraude probleem' een uiting van incompetentie naar mijn mening. Ze (de vervoerbedrijven, overheid en TLS) hadden meer tijd moeten besteden aan het ontwikkelen van het systeem en niet zo ongelooflijk arrogant reageren op de claims van onderzoekers over de hackbaarheid.
Die woorden gaan juist wél samen in deze situatie. Het gaat om anonieme kaarten waarvoor geld teruggevraagd wordt. Dat kan nu blijkbaar zonder zelf legitimatie te overleggen, straks moet dat wel om misbruik te voorkomen. :) Dat je daarna niet meer geheel anoniem bent, tja.

Bij de meeste winkels kun je ook niet zomaar producten omruilen zonder bon én zonder legitimatie; ook om misbruik te voorkomen.
Anoniem betekend tegenwoordig volgens mij ook meer dat je identiteit niet opgeslagen is of voor andere doeleinden gebruikt mag worden, dan dat daadwerkelijk de identiteit niet bekend is. Anoniem zijn we allang niet meer =)
Ja, maar stel dat ik dus 10x per week een anonieme kaart kom inleveren en mijn geld terug vraag en de man/vrouw achter de balie zegt: "Hey, wij vermoeden dat er fraude in het spel is want u komt nu voor de 10e keer deze week..." dan is mijn reactie: "Hey, jullie houden dus mijn persoonsgegevens vast in een database waarvan ik niet door jullie op de hoogte ben gebracht, er niets over heb kunnen lezen in jullie algemene voorwaarden en waarover ik nu een rechtszaak ga beginnen. Mag ik uw naam even noteren voor mijn database?"
Dat is inderdaad het onvermijdelijke gevolg van deze maatregel. Als je niet meer zonder legitimatie geld terug mag vragen voor een anonieme kaart dan kán de bovenstaande situatie zich inderdaad voordoen. Hoe denk je dat de meeste oplichters van winkels gevonden worden? Via exact dezelfde methode. Geheel terecht overigens.

Maar ik denk niet dat ze meteen daadwerkelijk kopieën gaan bij houden van je id-kaart, maar dat het meer is bedoeld als afschrikmiddel. Mocht er echt veel misbruik plaats gaan vinden dan kunnen ze natuurlijk wel op termijn alles gaan registreren. En als je dat niet wilt, dan kun je waarschijnlijk geen geld meer terugvragen voor anonieme kaarten.

[Reactie gewijzigd door Cloud op 28 februari 2011 16:49]

Dat kan wel zo zijn maar de middelen heiligen het doel NIET !

Een anonieme kaart die niet anoniem is ruikt namelijk naar pure oplichting.
Om maar iets recent iets aan te kaarten, de Sony PS3 nu met zonder otherOS optie :+
Of 'Telenet Fiber' wat zoals de naam doet vermoeden helemaal geen fiberinternet is!
Een anonieme kaart die niet anoniem is ruikt namelijk naar pure oplichting.
Kuch...,
het gaat om anonieme kaarten waarvoor geld teruggevraagd wordt.
Dus: de kaart is anoniem. Maar wil je geld terugvragen, pas dán wordt er om een legetimatiebewijs gevraagd.

[Reactie gewijzigd door Black Hawk op 28 februari 2011 19:54]

Dus: de kaart is anoniem. Maar wil je geld terugvragen, pas dán wordt er om een legetimatiebewijs gevraagd.

Het gaat vaak genoeg een keer fout bij het in- en uitchecken gezien de berichten erover in de media. Als je dan je recht wilt halen (geld terug) heb je opeens de plicht om je te legitimeren die je daarvoor met je treinkaartjes/strippenkaart niet had. Ook betalen ze maar tot € 30 euro terug aan het loket wat inhoud dat alles > €30 hoogstwaarschijnlijk alleen per bank wordt overgemaakt nadat je tig formulieren hebt ingevuld. Hoezo anoniem?
Ze kunnen ook een verband leggen met de tijd/dienst/traject van een storing en dat vergelijken met de gegevens op de anonieme kaart zonder meteen mijn NAW gegevens + bankrekeningnummer in een database stoppen (< doen ze dat niet heeft het nog geen praktisch nut) op verdenking van mogelijke fraude. Het lijkt er meer op dat ze gaan zoeken op X claims van persoon Y om geld terug te krijgen dan dat ze storing X vergelijken met gegevens van kaart Y.
@elmo_nl
Werkelijk. Waar heb jij zien staan dat het om restitutie bij storingen gaat? :?

Het gaat om contant saldo van je ov-chipkaart afhalen, omdat je er bijvoorbeeld teveel op hebt gezet. Dat is alles. Dus je hebt een kaart met €50 euro saldo, en daar wil je geld vanaf halen.

De maatregelen zijn nu:
  • Het kan tot €30 zomaar, anders moet het via een administratieve procedure.
  • Je moet je legitimeren.
Voor de laatste keer; dit gaat _niet_ om geld terug als er ergens iets mis is gegaan met in- en uitchecken, of als je trein een uur vertraging had. Het gaat om vrijwillig je saldo verlagen en uit laten betalen in de vorm van contant geld.
Zie de pdf link in het artikel, pagina 18 punt 4.2.
@Elmo_nl
Heb jij dezelfde pdf gelezen? :? Volgens mij moet je dat stuk dan nog maar eens lezen, want het woord 'storing' komt niet eens vóór op pagina 18 of 19 en zeker niet onder punt 4.2.

Anders lees je wel even pagina 20 en dan met name punt 5.1.2 genaamd 'Restitutiefraude'. Daar lees je namelijk letterlijk waar dit nieuwsartikel over gaat.
Dude, er staat inderdaad niet het woord storing, er staat wel bewust fraude door ophogen van het saldo op de kaart genoemd wat aangeeft dat het ook gebeurd bij terugclaimen van onterecht afgeschreven geld. Zie hiervoor http://www.google.nl/#hl=...l=&oq=&fp=53b809f6ddaeb62 waar 2 linkjes staan met pdf-jes. Beiden geven aan dat als er onterecht geld wordt afgeschreven (verkeerd in- en uitchecken) dat je alsnog het restitutieproces moet doorlopen. Als het enkel en alleen om ophogen thuis ging hoefden ze dat niet specifiek te vermelden he? <zucht>, dat ik het nog helemaal moet uitleggen ook...Hier: letterlijk uit de 1e pdf in mijn linkjes hierboven:

Reizigers met onterechte afboekingen worden geacht eerst zelf negatief saldo aan te vullen en dan restitutie-aanvraagproces te doorlopen. < dus ook met een anonieme kaart.
Je mag van mij zuchten, maar je had óók die .pdf de eerste keer meteen kunnen linken. :) Want daar staat wel nuttige informatie in gezien dit alles, vind je niet? Ik wist dus niet (en dat staat niet in het nieuwsartikel noch in de in het artikel gelinkte pdf) dat restitutie bij storingen volgens dezelfde procedure verloopt. Dat verklaart wel een hoop.

Duidelijk verhaal, alleen jammer dat het zo lang duurde tot we daar kwamen ;) Dat betekent inderdaad dat ze in theorie, je naam aan een kaart zouden kunnen koppelen als ze dat willen. Ze kunnen het nu ongetwijfeld ook al, maar dan iets eenvoudiger. Gelukkig is er de WBP, die vast en zeker van toepassing is op organisaties zoals deze. Mocht je echt over je anonieme kaartje inzitten, dan kun je daarop gaan spelen. Makkelijker is misschien je kaart ruilen met iemand anders, of leegreizen en een nieuwe kopen. Wel met contant geld op een plaats met zo min mogelijk camera's natuurlijk ;)
Excuus, had gister even een rotdag en was chagrijnig toen ik mijn comment typte. Ik lees hem vandaag terug en schaam mij diep :o Je hebt gelijk, had het ook "gewoon" even kunnen verduidelijken in mijn eerste post.
Lekker populaire kreet natuurlijk ;) Je begrijpt mij blijkbaar niet echt.

Citaat van mij hieronder:
Een beetje hetzelfde als een simkaart met een abonnement en een prepaid kaartje. Met de laatstgenoemde ben je niet per definitie anoniem, maar de kaart zelf staat in elk geval niet op naam geregistreerd.
De 'anonieme' (hartstikke foute benaming in mijn ogen) ov-chipkaart is nog steeds even anoniem. Alleen als je contact geld van je kaart wilt halen, zul je je in het vervolg moeten gaan legitimeren. Zo kúnnen ze, als ze dat willen, fraude tegengaan. Er wordt _niet_ gezegd dat je naam daarbij meteen bij de betreffende ov-chipkaart geregistreerd wordt. Er wordt niet eens gezegd dát er wat geregistreerd wordt, alleen maar dat je jezelf zult moeten legitimeren.

De kaart blijft dus even 'anoniem', als je dat woord zo graag wilt gebruiken. Liever spreek ik van een kaart zonder registratie op naam. Want dat is feitelijk wat het is. Er is _geen_ verschil met de situatie simkaart+abonnement en een prepaid simkaart. Maar om een of andere reden wil iedereen de niet-geregistreerde ov-chipkaart zo graag 'anoniem' noemen.
Alleen als je contact geld van je kaart wilt halen, zul je je in het vervolg moeten gaan legitimeren. Zo kúnnen ze, als ze dat willen, fraude tegengaan. Er wordt _niet_ gezegd dat je naam daarbij meteen bij de betreffende ov-chipkaart geregistreerd wordt. Er wordt niet eens gezegd dát er wat geregistreerd wordt, alleen maar dat je jezelf zult moeten legitimeren.
En waarom zou je jezelf moeten legitimeren? Misschien omdat hun systeem niet waterdicht is en ze even de week af willen wachten om te zien of er nog transacties van achtergebleven systemen binnenkomen, zoniet dan hebben ze je legitimatie om je op te vervolgen.

Als ze het niet registreren is de hele legitimatie nutteloos.
@Gomez12
Waarom je jezelf moet legitimeren? Dat heeft eigenlijk weinig met het wel of niet waterdicht zijn van het systeem te maken. Zelfs al was de kaart niet te hacken, dan had zo'n maatregel mij nog niet verbaasd.

Het is puur fraudepreventie zoals je dat ook in winkels kent. Vaak mag je producten ruilen (of geld terug) mét bon, zonder bon wordt er moeilijk gedaan. Er zijn veel winkels die simpelweg nee verkopen. Er zijn ook winkels die wat coulanter zijn maar wel van je vragen je te legitimeren, en dit registreren. Zo kunnen ze, in het geval van verdenking, zien of iemand wel heel vaak producten zonder bon terug komt brengen. Je krijgt een gunst van de winkel, maar moet je er wel voor legitimeren. Goede deal toch? :)

Ik zie deze niet-geregistreerde ov-chipkaart als precies hetzelfde. Iemand komt met de kaart langs om er geld vanaf te halen. Je hebt geen bon, je hebt alleen maar een kaart. Dit betekent dat je meteen na het jatten/vinden van iemands anonieme kaart, de inhoud eraf kunt trekken. Dit betekent natuurlijk ook dat, gezien de hacks van de ov-chipkaart, je effectief 'gratis' geld gemaakt hebt. Je laadt thuis geld op de pas en neemt het op bij het dichtstbijzijnde loket.

Ze hadden het ook zonder legitimatie kunnen doen, maar dan is de oplossing simpel: staat er teveel geld op je pas omdat je er teveel op hebt gezet? Pech, jammer dan. Is dat een leuke situatie voor de klant? Ze willen juist de klant helpen door het mogelijk maken geld op te nemen van je ov-chipkaart, maar voor die gunst vragen ze voortaan wel je legitimatie.

Ik kan het niet duidelijker verwoorden dan het bovenstaande.

[Reactie gewijzigd door Cloud op 28 februari 2011 23:32]

Dat sowieso. Maar het woord 'anoniem' is eigenlijk ook verkeerd gekozen (al is het wel populair). Ik zie het meer als een kaart die 'niet op naam' staat, i.p.v. een kaart waarmee je per se in alle opzichten anoniem zult zijn. En dat is wat sommige mensen denken dat het inhoudt.

Een beetje hetzelfde als een simkaart met een abonnement en een prepaid kaartje. Met de laatstgenoemde ben je niet per definitie anoniem, maar de kaart zelf staat in elk geval niet op naam geregistreerd.
Zonder bon niet nee, maar ik heb me nog nooit hoeven te identificeren als ik kwam ruilen (je legitimeren, dus aantonen dat je recht hebt op geld terug / tuilen, is nu juist die bon voor). Maar dat een van de doelen van de OV kaart was om mensen niet meer anoniem te laten reizen was al langer duidelijk.
Precies, zonder bon niet nee. :) Die bon is namelijk om aan te tonen dat het teruggebrachte product daadwerkelijk van jou is (althans de kans is een stuk groter). Bij een anonieme kaart heeft diegene die de teruggave behandelt geen enkele manier om te bepalen of de kaart wel van de klant is. Dat is natuurlijk het hele idee van die anonieme kaart, maar maakt controle op misbruik zo goed als onmogelijk. Dat ze dus bij het teruggeven van je geld om legitimatie gaan vragen, is op zich niet zo heel raar.
Dat ze dus bij het teruggeven van je geld om legitimatie gaan vragen, is op zich niet zo heel raar.
Jawel. Je hebt je ID namelijk ook niet nodig gehad om de kaart aan te schaffen. Hoe kunnen je in vredesnaam aantonen daadwerkelijk de eigenaar te zijn van die kaart door je te identificeren? Sterker nog: ik koop een kaart met cash. Er gaat onderweg *iets* fout, waardoor er teveel word afgeschreven. Vervolgens moet ik me verplicht identificeren om cash weer wat geld terug te krijgen? |:(

[Reactie gewijzigd door Foamy op 28 februari 2011 17:31]

We hebben het hier over het vrijwillig terugvragen van saldo. Het hele punt is dat je eigenlijk een bonnetje moet hebben, als bewijs dat er voor het product betaald is. Door identificatie te vragen kan men achteraf alarm slaan als de transacties niet overeen blijken te komen. Bijvoorbeeld omdat je zelf saldo op je kaart gezet hebt.
[...]


Jawel. Je hebt je ID namelijk ook niet nodig gehad om de kaart aan te schaffen. Hoe kunnen je in vredesnaam aantonen daadwerkelijk de eigenaar te zijn van die kaart door je te identificeren?
Niet, en dat hoeft ook niet. Het gaat er slechts om dat er een notitie is van dat jij de kaart hebt ingeleverd en het geld hebt teruggevraagd, Dit zodat je niet gewoon steeds voor €7.50 een kaart koopt, er met je eigen software 100 euro bij zet en dat verhaal inlevert.
Sterker nog: ik koop een kaart met cash. Er gaat onderweg *iets* fout, waardoor er teveel word afgeschreven. Vervolgens moet ik me verplicht identificeren om cash weer wat geld terug te krijgen? |:(
Nee. Dat is een heel ander verhaal.
Op de anonieme kaart staat als het goed is ook niet van wie die kaart is. Wat wil je dan nog gaan aantonen? Als ik met een kaart aankom waar geen naam bij staat, wat heeft de servicemedewerker dan aan het feit dat ik bijvoorbeeld Klaas van Dam zou heten?
Die woorden gaan juist wél samen in deze situatie. Het gaat om anonieme kaarten waarvoor geld teruggevraagd wordt. Dat kan nu blijkbaar zonder zelf legitimatie te overleggen
Bij teruggave wegens onjuist afschrijven dien je op het betreffende formulier naam en rekening nummer op te geven. Dag anonimiteit. Hoewel ik daarbij toegeef dat ik niet zou weten hoe je het schriftelijk anoniem zou willen regelen
Dit was ook de zin die mij het meest verbaasde in dit artikel.

Je zou de zin op twee manieren kunnen lezen:
Je moet je legitimeren om een anonieme kaart te mogen kopen. Waarbij ik mij afvraag of TLS klanten een anonieme kaart mag weigeren en wat de fraude bestrijding hiervan zou zijn.
Je legitimatie wordt gebruikt om een anonieme kaart te koppelen aan een legitimatiebewijs, waardoor een belangrijke functie van de anonieme kaart teniet wordt gedaan, namelijk dat je je anoniem met het openbaar vervoer kan verplaatsen.

In beide gevallen ben je verplicht je te kunnen identificeren en hoewel dit in Nederland t.a.t. verplicht is kan ik mij goed voorstellen dat er een groep gebruikers is die geen geldig identiteitsbewijs heeft en toch met het OV wil reizen. Onder deze groep bevinden zich bijvoorbeeld zwervers en illegalen.

Maar ik kan de anonieme kaart natuurlijk aanschaffen en aan iemand uitlenen. Een belangrijke functie van de anonieme kaart. En als iedereen dit op grote schaal doet tegen een minimale vergoeding vraag ik mij wederom af wat het nut is van deze legitimatie.
Lees de gehele zin dan nog eens. Er wordt gesproken over geld teruggave in combinatie met het woord 'tevens'. Het lijkt me duidelijk dat er bedoeld wordt dat er een maximum van 30 euro aan de teruggave gekoppeld wordt en, in het geval van een anonieme kaart, om identificatie gevraagd zal worden (bij diezelfde teruggave).

Het daadwerkelijk koppelen van je identificatie aan de anonieme kaart bij aanschaf, daar is geen enkele aanwijzing voor. En om heel eerlijk te zijn, zou dat inderdaad wel ongelooflijk dom zijn ;)

[Reactie gewijzigd door Cloud op 28 februari 2011 17:14]

Je legitimatie wordt gebruikt om een anonieme kaart te koppelen aan een legitimatiebewijs, waardoor een belangrijke functie van de anonieme kaart teniet wordt gedaan, namelijk dat je je anoniem met het openbaar vervoer kan verplaatsen.
En jij hebt je 'anonieme' kaart opgeladen met cash geld? Dus niet via een bank?
Anders kan er toch al gekoppeld worden.

Ach, er wordt voor maximaal 9 ton gefraudeerd per jaar (volgens truttemie) dus het valt allemaal wel mee. TLS heeft alle tijd om de nieuwe chip in te voeren, en ondertussen overal palen neer te zetten op de haltes.

Edit, de quote:
„Afgezet tegen de totale omzet aan reizigersopbrengsten van ruim 2 miljard euro op jaarbasis is het bedrag van maximaal 9 miljoen euro (750.000 euro x 12 maanden) aan fraude beheersbaar voor het bedrijf dat achter de ov-chipkaart zit en voor de vervoerders”, schrijft Schultz. „De conclusie van het onderzoek van de sector is dat de huidige en verwachte toekomstige fraude beheersbaar is.”

[Reactie gewijzigd door ADQ op 28 februari 2011 16:52]

Tsja, aangezien je die anonieme kaarten alleen met een pinpas kunt kopen is er weinig anoniem aan. Je naam staat alleen niet op de buitenkant van de kaart, maar alleen op de servers van TLS.
sinds wanneer is contant geld geen wettig betaalmiddel meer? lijkt me sterk , je hoeft geen pinpas te gebruiken.
Contant geld is een wettig betaalmiddel, maar acceptatie is niet verplicht. "Wettig betaalmiddel" betekent alleen dat bedrijven het vooraf moeten melden als ze het niet accepteren. De meest gebruikelijke weigering is het weigeren van grote biljetten, maar ook het 500 euro biljet is een wettig betaalmiddel.
De kaarten zijn anoniem, maar zodra jij geld van een anonieme kaart wilt halen, zul je je daarbij moeten legitimeren. Je kunt nog wel gewoon 'anoniem' reizen op zo'n kaart, maar niet meer zomaar thuis 200 gratis euros op je kaart zetten, en die bij het loket omzetten in keiharde pegels in de knip.

Incompetentie? Da's zwak uitgedrukt, maar ze moeten wat. Als bedrijf kun je moeilijk zeggen: wij falen harder dan de NS zelf, dus eigenlijk zijn we waardeloos. Da's niet goed voor je omzet, dus dat ga je voorzichtig proberen te brengen. Nu heel hard gaan investeren in een degelijker chipje kost klauwen met geld, en dat hebben ze er niet voor over (niet zo lang je met mooie woorden goedkoper uit bent). TLS draait immers niet op voor de kosten van de fraude, dat mag de NS (en dus wij) betalen.
Volkomen mee eens. Wat is nog het voordeel van een anonieme kaart als je legitimatie moet laten zien? En nog beter waarom zou je?

Als straks weer eens de prijzen van het o zo geweldige Nederlandse openbaar vervoer omhoog gaat zal de thuis inchecker alleen maar aan populariteit winnen. De kostprijs is nu al zo belachelijk hoog dat RyanAir al met de NS kan concureren. Het is maar dat je lang moet wachten van te voren maar het aantal kilometers VS prijs is stukken beter dan bij de NS. Retourtje Maastricht - Eindhoven kost 30 euro! En als je tijdens de spits reist kun je nog staan ook. Het zelfde met de bus. Daar ben ik al snel 6 euro kwijt om uberhaupt op het station te komen.

Nee dankje, ik pak de auto wel. Stukken goedkoper en je hebt hooguit last van de file, zelfs met al die belasting ontmoedigingen.

Edit:
Ik vind het overigens volkomen terecht dat wij gratis mogen reizen. Die miljarden die geinvesteerd zijn in geprivatiseerde organisaties hebben WIJ betaald. Voor de komende vijf jaar hebben wij dus al onze kaartjes betaald. Dat de overheid ook maar snel stopt met klagen want ze hadden veel (van ons) geld en problemen kunnen besparen door gewoon een werkend en bewezen systeem te nemen (Engeland of Frankrijk), maar nee dat was niet duur genoeg.

[Reactie gewijzigd door LOTG op 28 februari 2011 16:55]

We hebben het Engelse systeem genomen!!!

Onzinnig commentaar dit, "in het buitenland kunnen ze het wel." Oyster is hetzelfde Mifare Classic ding.
Mijn inziens het wederom weer een poging de anonieme kaart in de ban te doen. Ze willen dat ding domweg gewoon niet.
Ow, de laatste keer dat ik geld aan het loket wilde terugvragen omdat ik van een anonieme kaart overstapte naar een voordeeluren kaart van de NS kreeg ik te horen:

"Nee, dat kan niet. Hoe kan ik weten dat die anonieme kaart van jou is? Voor hetzelfde geld hem je hem gevonden".

Maar kennelijk zou het dus wel moeten kunnen. Kut NS.
"Nee je kunt geen voordeeluren kaart voor cash geld kopen. Hoe kan ik weten dat dat cash geld van jou is? Voor hetzelfde geld heb je het gevonden." |:(
yep K-NS, door hun lekkere duidelijke meldingen op de site heb ik eerst een ov chipkaart besteld a 7 euro, om er vervolgens achter te kmoen dat je een voordeelurenkaart helemaal niet op je chip kan zetten, maar dat je die alleen bij hun kan bestellen.
handig hoor :s
Desondanks geeft TLS toe dat het niet alle fraudegevallen kan detecteren. Dat geldt bijvoorbeeld voor de 'thuis inchecken'-methode.
Lol ik verwacht dat binnen een jaar de helft van de studenten gratis reist. Behalve dat ze de toekomst zijn, zijn ze ook erg creatief met kostenbesparend te leven legaal of illegaal.
Een hoop fraude gevallen zijn makkelijk te controleren en te blokkeren. Stel je hebt een week OV en je maakt er een weekend OV van. Je check in in de bus op zaterdag. Aan het eind van de dag komt de bus in de garage en worden de checkins/outs in de bus geuploaded naar TLS. TLS kan kijken of je reisrecht had op die dag, zo niet kaart blokkeren. Op zich is het niet zo heel moeilijk een aantal fraude mogelijkheden geheel automatisch af te handelen. Zeker als je geen anonieme kaart hebt ben je niet zo slim bezig.
Kan TSL dat uberhaupt? Volgens mij staat die administratie bij de IB-groep/DUO en kan TSL die niet inzien
Als ze dit niet kunnen, kunnen ze wel alarm slaan wanneer er zowel in het weekend als doordeweeks een reisproduct op blijkt te staan waarmee gratis gereisd kan worden. Je hoeft het dus maar één keer te doen en dan ben je al de lul.
Tja en wie beheert de OV Chipkaart, TLS. Dus die weten echt wel welke abonnement je hebt.
Euh is een logging bewijs dat je iets gedaan hebt. Theoretisch kan er ook iemand je ID gekopieerd hebben en daarmee reizen, of het systeem verkeerd gelezen heeft....
Mijn glazen bol vertelt me dat (dankzij de OV-kaart) 90% van de studenten nu al gratis reist :)
Ik denk dat dat erg tegenvalt, want degenen die hem daadwerkelijk gebruiken omdat ze hem nodig hebben reizen alleen in het weekend of alleen door de week omdat ze anders hoge kosten moeten maken. Dan is de rest van de week ook gratis kunnen reizen nog best de moeite waard.
Scheelt wel dat die met naam en toenaam geregistreerd zijn voordat ze die kaart überhaubt kregen, dus dat is makkelijk oppakken.
Is het zo onderhand niet goedkoper om gewoon die poortjes open te zetten en over te gaan op gratis OV? Of je die miljarden nou uitgeeft aan een betaalsysteem of aan gratis tickets... wat maakt het uit?
Het is in de eerste plaats een investering. De extra kosten die ze nu maken gaan ze in de toekomst terugverdienen. Namelijk door heel hard te brullen dat het OV tarief omhoog moet omdat de kosten hoger zijn geworden.

Ten tweede willen ze heel graag inzicht in de bewegingen van de gebruikers van het OV. Welk traject wordt het meest gebruikt door studenten, forensen, toeristen e.d. dan kunnen ze hier om te beginnen de reclames op aanpassen. Later kunnen ze dit meenemen in hun aanbesteding rondes. Een traject met veel studenten heeft een minimale winst en kan je dus beter niet op inschrijven.
Tot nu toe lijkt het er niet op dat het einde van die "investerings"-uitgaven al in zicht is. Dit project wordt gewoon een lopende kostenpost. De ervaring leert namelijk dat vroeg of laat ieder systeem gekraakt wordt.

Bovendien, de NS is prima op de hoogte over de gebruikers van het OV. Daar hebben ze het "reizigersonderzoek" voor, je weet wel die dames in rode bodywarmers, die eens in de zoveel tijd door de trein wandelen en noteren wat voor vervoersbewijzen iedereen heeft.

En waarom zouden studenten weinig winst opleveren? Voor een studenten-OV krijgen ze ook gewoon betaald.
bij de één heb je wel de reisgegevens van mensen, bij de andere niet.
/aluhoedje
verder moet het 'thuis inchecken' in de toekomst gedetecteerd kunnen worden door de controleapparatuur van de conducteur te verbeteren

De enige manier om dat te bereiken is de controle apparatuur draadloos te laten communiceren met de backoffice servers. Technisch zeker mogelijk, heeft dit direct tot gevolg dat ALLE in-/uit-check kastjes OOK zullen moeten syncen.

Als je alle bussen, trams, metro, trein, enz meerekend zijn dat ettelijke tienduizenden kastjes die vervangen moeten worden. En dan heb ik het nog niet eens over de kosten voor de draadloze verbindingen, bandbreedte verbruik, serverdiensten die moeten worden aangepast.

Hoewel technisch zeer zeker mogelijk, verwacht ik niet dat men dit ook werkelijk gaat doen. De kosten wegen echt niet op tegen de baten. Het is simpeler het OV 5% duurder te maken om de kosten op te vangen.

Grappig detail, de parkeerwachters hier lopen wél met zo'n draadloos ding rond. die scannen dan wel vergunningen achter de voorruit, maar het systeem is gelijk.
Als je alles live wil bijhouden wel ja. Maar als men er voor kiest om de gegevens eenmaal per dag te syncen met de backoffice, dan niet. Zodra je kaart door een controleur of paaltje gelezen is, kun je hem weggooien. Na 24 uur sta je dan op de zwarte lijst. En als je dan nogmaals tegen een conducteur aanloopt, dan ga je nat...
Tja duurder maken is een optie. Echter hoe duurder je het maakt, en zeker nu zowat iedereen weet wat voor een puinhoop deze OV kaart is, hoe meer mensen de afweging zullen maken om de zaak ook maar te belazeren. Een prijsverhoging is namelijk het oneerlijke gedrag afwentelen op de eerlijke mensen. In hoeverre de eerlijke mensen dit tolereren (als in klant blijven, zelf eerlijk blijven) is maar de vraag.
Ook wil TLS het maximumreissaldo dat een reiziger aan het loket kan terugvragen beperken tot 30 euro, terwijl bij anonieme kaarten tevens om legitimatie zal worden gevraagd.

Het is m.i. zeer vreemd om aan iemand die bewust een anonieme kaart aanschaft legitimatie te gaan vragen. Is het ook verplicht die dan te laten zien of gaat het om goodwill die, als je die niet toont, je geld toch terug krijgt?

"Het is zeer lastig c.q. vrijwel onmogelijk om op basis van de actuele gegevens een voorspelling te doen over de fraudeontwikkeling vanaf hier", zo is in het rapport te lezen. |:(

Goh, nou, dan zou ik maar een andere waarzegger/kaarten legger zoeken als ik TLS was. :X
"terwijl bij anonieme kaarten tevens om legitimatie zal worden gevraagd."

Ze zien privacy en de keuze om een anonieme kaart te nemen niet als vanzelfsprekend dus...

[Reactie gewijzigd door Camembert1633 op 28 februari 2011 18:20]

Sweet, 5 jaar lang gratis reizen! Kom op zeg dit getuigd toch wel van heeeeel erg grote arrogantie. Je merkt ook wel dat het ze geen klap kan schelen omdat wij het linksom of rechtsom toch wel betalen.

Als telfoons nu al met een NFC sensor uitgerust worden kan je er vergif op innemen dat volgend jaar 80% van alle forensen via zijn telefoon zijn kaart kan opladen en activeren.

In de woorden van Jeremy Clarkson: go to them and ask them to explain. anyone who's answer starts with "well the reason is..." sack em there is no reason for this

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True