Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 80 reacties

Een Belgische hacker claimt dat hij de Brusselse ov-chipkaart Mobib heeft gekraakt. De kaart gebruikt een andere chip dan de Nederlandse ov-chipkaart en zal mogelijk worden gebruikt in de toekomstige landelijke Belgische ov-chipkaart.

Op een op YouTube geplaatste video is te zien hoe een hacker met een normale rfid-lezer een dump van een Mobib-kaart maakt, deze op een lege rfid-kaart wegschrijft en er vervolgens mee reist in het openbaar vervoer. De hacker dreigt zijn tool binnenkort openbaar te maken; "Gratis reizen voor iedereen"', luidt een tekst in de video. Hij wil hiermee wraak nemen op de in zijn ogen slechte privacyvoorwaarden van het Brusselse openbaarvervoerbedrijf MIVB.

De authenticiteit van de video kon niet worden bevestigd; woordvoerders van het Brusselse openbaar vervoer waren niet bereikbaar. De Mobib-kaart heeft een chip op basis van de Calypso-standaard. Het is onduidelijk welk bedrijf deze chip fabriceert.

In tegenstelling tot Nederland heeft België nog geen landelijke ov-chipkaart; de Mobib-kaart is enkel in Brussel geldig. Volgens Datanews wordt de techniek achter de Mobib-kaart mogelijk echter gebruikt in een toekomstige Belgische ov-chipkaart. Die kaart wordt pas tegen 2015 verwacht; Mobib is in januari 2010 ingevoerd. Dat de Nederlandse ov-chipkaart, die een Mifare-chip bevat, beveiligingsproblemen heeft, is al meer dan drie jaar bekend.

Update, 11:51: Meerdere tweakers melden dat de 'rfid-lezer' in de video wel erg veel weg heeft van een draadloze ontvanger voor Microsoft-muizen en -toetsenborden. Dat duidt erop dat de video een hoax is.

Moderatie-faq Wijzig weergave

Reacties (80)

Dat ding (rfidlezer?) waar 'ie z'n kaartje op legt lijkt wel heel veel op de ontvanger van heel veel draadloze Microsoft toetsenborden/muizen :X
Inderdaad, hij had beter het apparaatje ernaast kunnen gebruiken. ;)

Ter vergelijking;
http://www.tweaknews.net/reviews/microwire/img/5.JPG
Pauzeer bovenstaande video op 32sec.
Het apparaatje ernaast is een kaartlezer die we in BelgiŽ vrij goedkoop konden verkrijgen om onze e-ID te kunnen uitlezen zodat we ons kunnen authenticeren op allerhande online applicaties.

Maar natuurlijk kan het ook gewoon andere chipkaarten uitlezen als de contactpunten overeen komen (denk ik toch, heb weinig ervaring met die zaken). Ik heb hier zonet mijn e-ID en Mobib-kaart naast elkaar gelegd en grosso modo komt de vorm van de contactpunten overeen. Of dit echt betekent dat ze zo kunnen uitgelezen worden, weet ik echter niet.

Deze video lijkt me in elk geval inderdaad een hoax.
De mobib kaart is een contactloze kaart, de eID is een kaart met contactpunten. De lezer ernaast (een ACR-38) kan alleen overweg met kaarten die contactpunten hebben.
Ja lijkt inderdaad heel erg op die Microsoft ontvanger! Lijkt wel Microsoft op te staan net als hier op deze foto. Het zou ook gewoon een fake filmpje kunnen zijn :

http://azsurplus.com/images/microsoft-1012.JPG
Het wordt nog erger. Ik denk dat we bijna met zekerheid kunnen zeggen dat het filmpje fake is. Dat ding is inderdaad een ontvanger. De automaat waar hij als eerst zijn pas tegenaanhoudt lijkt te reageren op die pas, maar dat doet ie denk ik niet. Want de 'kaart' die in beeld wordt weergegeven op 0:56-0:57 is een kaart zonder foto. Zo'n abonnement heeft een foto. Verder staat boven die kaart 'Selectionnez un produit', wat letterlijk kies een product betekent. Die automaat kan dus makkelijk gewoon een instapmenutje zijn, wat niks met de kaart van doen heeft. De hoek bij de tweede automaat is dermate slecht gekozen dat we het scherm niet goed kunnen zien. Het valt mij ook op dat hij de tweede keer zijn pasje heel vreemd langs de automaat haalt, alsof hij zijn echte pasje er gewoon achter vastheeft. De eerste keer haalt hij het pasje wel natuurlijk langs de automaat, met zijn duim op de bovenkant. Sterk gezien trouwens van die ontvanger.
Lijkt mij ook een dikke FAKE.. Ik heb namelijk zo'n ontvanger en zo'n toetsenbord als die knakker.. En dan erbij, zoals hij die kaart op de ontvanger neerlegt, slaat als een tang op een varken... Je maakt geen RFID reader die zo afgerond is waardoor dat ding eraf kan pleuren toch?...

Beetje handige gast kan zo'n filmpje in elkaar zetten en als je heel goed kijkt, zie je de aanwezigheid van een knop op het "RFID" readertje waarmee je connect met je toetsenbord... :+

Dan erbij, de Calypso standard is niet een normale RFID card... Naar mijn weten (correct me if i'm wrong) bevat een Calypso card namelijk een eigen uC....

Dus laat hem dat ding maar "vrijgeven"... Wil ik wel eens proberen :O
Ja idd! FAKE zou ik zo zeggen :) haha
Bij een nieuw vidje van hem staat er dat het om een zelf gemaakte RFID lezer gaat
en demonstreert hij het nog eens met een andere RFID lezer

http://www.youtube.com/watch?v=P-YQ6wT0Y48


"I use a contact-chip SmartCard reader, because some people don't love my self-made RFID reader in a old reused usb-mouse wireless box..."

[Reactie gewijzigd door Mikke8 op 4 juni 2011 00:57]

Nu nog wachten totdat deathgrunt een cartoon maakt met Muhammad Saeed Al-Sahhaf die zegt dat 'ie de Brusselse OV Chipkaart gehacked heeft!

Een grote deathgrunt fan
Komt wel heel erg in de buurt idd. http://img638.imageshack.us/img638/9107/micrmuis.jpg

Kan me niet voorstellen dat je een microsoft mouse receiver om kan bouwen tot rfid-chip lezer. Aan de andere kant heb ik er ook weinig tot geen verstand van.

[Reactie gewijzigd door Creadion op 3 juni 2011 11:46]

Zelfs als je hem kon ombouwen tot lezer kan deze nog altijd niet schrijven. Uiteindelijk zijn het receivers en geen tranceivers.
Mee eens, hiermee vervalt dit heel erg in twijfel, zeker gezien de resolutie niet zo hoog is dat je de kaarten makkelijk en 100% zeker uit elkaar kunt houden.
Maar goed, het is wel een wireless apparaat voor zenden en ontvangen, wellicht kan de hardware dit wel aan en is het een kwestie van de firmware veranderen? Dan zou hij wel erg vergevorderd zijn, maar toch.
De uploader van het filmpje heeft inmiddels een nieuw filmpje (http://www.youtube.com/watch?v=P-YQ6wT0Y48) online gezet, met het volgende commentaar erbij:
new proof, all in Python now...
i add contract to my MoBIB... it's work (i've tried in the metro)
I use a contact-chip SmartCard reader, because some people don't love my self-made RFID reader in a old reused usb-mouse wireless box...
Free ride is coming... r u hasty ?
Misschien toch geen hoax
In de comments hier werd reeds aangehaald dat er reeds enkele jaren terug door de UCL (Universitť catholique de Louvain) een tool is ontwikkeld om de mobib card uit te lezen. Met een beetje zoekwerk in Google kan je nog een kopie van deze software vinden. En raad eens in welke taal deze software geschreven is... juist ja, python. En welke kaartlezers worden ondersteund? De ACR38 en de ACR122. De ACR38 is een read-only contact kaartlezer zoals in het filmpje te zien is en is een lezer die heel wat belgen in huis hebben aangezien deze ook voor onze eID gebruikt kan worden.
Misschien niet, maar ook geen duidelijk bewijs...
Vreemd dat hij ineens overstapt van C code naar Python code...

Ik hou het op een hoax todat er duidelijk bewijs is.
...zoals een release van de souce code. Put up or shut up.
iemand met zoveel kennis om de code te schrijven kan geeneens een screen capture progamma gebruiken zodat het minder nep lijkt

oftewel HOAX
Dit is duidelijk een hoax.. de kaart uitlezen tot daartoe...
De software hiervoor is reeds beschikbaar sinds 2008.
Geschreven door enkele mensen van KU Leuven trouwens.

Schrijven naar de kaart is een heel ander verhaal.. kijk er maar even de Calypso standaard op na en je zal snel merken dat het niet mogelijk is met enkel die lezer die hij heeft..
Het blijft vreemd. Hij wisseld van contacless naar contact, hij wisseld van programeertaal en je hebt een wazige screencap.

Seeing is beleiving en ik zie niet veel op dit moment.
Dejavu :) Hopelijk negeren de belgische authoriteiten dit signaal niet, en doen ze er iets aan voordat ze het landelijk in te voeren. Alhoewel je aan de hand van een youtube filmpje niet echt veel kan concluderen...

[Reactie gewijzigd door C.Hariri op 3 juni 2011 11:25]

De hack van de OV-chipkaart is overrated, en waarom? Het is namelijk nog steeds niet zo makkelijk. Tenzij je heel veel op een dag gaat reizen is het hacken niet rendabel omdat je voor iedere hack een nieuwe chipkaart moet kopen omdat de oude binnen 72 uur (vaak al binnen 48 uur) geblokkeerd wordt. Dit doet men op basis van het unieke kaartnummer UID, en dat kan je niet veranderen. Dus, ja, er is met de OV-chipkaart te frauderen maar praktisch is het gewoon niet. Ik heb het met een vriend zelf geprobeerd, omdat het kon, en dit was ook onze conclusie.
Vergeet niet dat de Mobib meer functionaliteit heeft en krijgt dan in NL. Op dit moment kun je buiten tram, bus en metro ook al fietsen huren en betalen voor parkeerplaatsen(testfase). Er zijn politieke dromers die het nog verder willen uitbreiden naar een soort identiteitsvalidatie bij bepaalde Brusselse overheidsdiensten. En dan is het plots niet meer overrated.
Als je alleen de trein gebruikt is dat niet nodig.
En in de bus/tram is jou probleem op te lossen met een portable GPS jammer.
Hopelijk negeren ze dit en steken ze meer tijd in het opzetten van een goed systeem en invoeringsplan. Dit paar mensen die dat ding misbruiken zal niemand wat kunnen boeien als het net zo'n drama wordt als we nu in Nederland zien.

In theorie is het allemaal heel mooi, maar theorie is niet genoeg.
lol, dat is pas een optimistische levensvisie!
Het op saldo reizen werkt voor geen meter en zal ook nooit werken. Nee hoor de strippenkaart is ouderwets en kan niet meer mee met deze tijd. We leven in de 21e eeuw dus alles zal en moet digitaal ?
Het op saldo reizen werkt voor geen meter en zal ook nooit werken. Nee hoor de strippenkaart is ouderwets en kan niet meer mee met deze tijd. We leven in de 21e eeuw dus alles zal en moet digitaal ?
Zo'n slecht idee is het niet hoor, mits goed uitgevoerd,

Je kunt reizen op saldo, hoeft maar 1x een kaart te kopen en je zou in theorie goedkoper uit moeten zijn. Je kunt je reizen controleren, het is makkelijker declareren (minder fraudegevoelig).

Ook is het bekend welke trajecten veel worden gebruikt door reizigers, waar NS, prorail en de busmaatschappijen op in kunnen spelen.

Helaas lijkt het er nu op dat het gaat om een gesubsidieerde staatslot voor de eigenaren van dit soort bedrijven, is de beveiliging werkelijk prut voor iets op deze schaal en zijn er zo veel storingen dat het onacceptabel is. Je kunt zelfs vastzitten op Rotterdam Centraal op het moment dat je chipkaart het niet meer doet bij het uitchecken!

Al met al, goed idee, slecht uitgevoerd. Helaas zien we dat vaker terug in de politiek...
Met een strippenkaart en treinkaartje hoefde je maar 1 keer te betalen voor je kaart en was je klaar tot je een nieuwe nodig had. Nu betaal je een starttarief per vervoerder (waarom eigenlijk?) en zit je in de problemen als er iets misgaat buiten jouw schuld om.

Sterker nog: hoe meer van dit soort kaarten er worden gebruikt hoe groter de kans dat je de alarmbellen in winkels ook af laat gaan!
Voorbeeldje: een aantal weken terug waren we in de Efteling en toen we uit de Droomvlucht kwamen ging het alarm bij het naar buiten gaan. De dame achter de kassa vertelde ons dat als je teveel kaarten hebt met een chip erin die bij elkaar zitten dit een sterker signaal afgeeft waardoor veiligheidspootjes dus spontaan afgaan!
Vooral Bibliotheekpasjes helpen hier goed aan mee.

En als het aan de overheid ligt wordt dit alleen maar erger want iedereen moet immers makkelijk zichzelf overal een weg kunnen vinden (lees makkelijk te traceren zijn)!
En is dat dan een probleem van de pasjes, of van de detectiepoorten.
Ik draag ook genoeg passen met chip bij mij, maar ze laten nooit detectiepoortjes af gaan, of wat voor alarm dan ook...
Het is het probleem van te veel pasjes met chips erin.De redenen ervoor lijken misschien allemaal wel aardig maar het feit blijft wel dat het steeds makkelijker wordt om iemand te volgen waar hij/zij dan ook is.
Privť leven? Hoe kom je erbij! Ze weten nog net niet al je activiteiten als je in huis bent maar als het kon zouden ze dat ook vast graag willen weten want je kon maar eens iets van plan zijn.
Minority report komt aardig dichtbij op zo'n manier!
Nu betaal je een starttarief per vervoerder (waarom eigenlijk?)
Ook met de strippenkaart betaalde je gewoon een opstaptarief. Je was altijd minimaal 2 strippen kwijt.
Daarvoor moest je per vervoerder een apart vervoersbewijs kopen, wat er onhandig was. Daarvoor in de plaats is het Nationale Vervoersbewijs gekomen. Ervoor moest je per vervoerder ook een opstaptarief betalen, dat verviel met het NVB. In feite vervallen we terug naar de oude situatie, wat voor de overheid veel wenselijker is, omdat ze door het enkele opstaptarief een nogal forse inkomstendaling hadden.

Linksom of rechtsom, het OV moet toch betaald worden. Ik denk dat de discussie over kosten niet zozeer op de prijs voor de burger moet liggen, maar meer in de kosten/baten analyse van de vervoersbedrijven. Lagere kosten geven lagere prijzen (hoop ik), maar kunnen ook minder gemak en veiligheid geven.

Wie het ei van Columbus heeft mag zich melden.
Verklaar je nader? Ik reis bijna dagelijks op saldo, en het werkt altijd prima. Dingen als dubbel opstaptarief bij overstappen tussen vervoerders is vervelend, maar ik zie niet waarom het meteen 'nooit zal werken'...
Omdat de kaarten zeer fraude gevoelig zijn. Het begint op een slechte grap te lijken. Ik verwacht dat op een dag dat het systeem word gekraakt en niemand op saldo kan reizen.

Dan zul je zien wat van kostenpost dat met zich meebrengt.

[Reactie gewijzigd door Jeffrey88 op 3 juni 2011 11:50]

Je bedoelt dat een enkeling zijn kaart heeft kunnen hacken? Big deal. Je hoort er inmiddels niks meer over, en ik kan me niet voorstellen dat het tot een significantie inkomstenderving voor de vervoerders heeft geleid. Daarnaast worden in London kaarten gebruikt van een zelfde veiligheidsniveau (of zelfs lager?), en daar draait het al jaren zonder grote problemen.

En hoe bedoel je, "dat het systeem wordt gekraakt"? Juist doordat alle incheckpalen offline werken, zou bij een hack van het centrale systeem alles nog prima kunnen doordraaien. Ook een evt. kraak van de incheckpunten is niet zo'n probleem, want het reizen op zich wordt er niet onmogelijk door.

Ik vind dan ook dat je ongefundeerd uitspraken doet over een systeem dat in de basis prima werkt.
Het saldo reizen zoals in NL staat hier helemaal los van want in BelgiŽ is dat niet van toepassing. Voor bus/tram/metro betaal je over het algemeen nog steeds per zone. (althans in Vlaanderen en Brussel, iemand een idee voor WalloniŽ)
Het op saldo reizen werkt voor geen meter en zal ook nooit werken.
Het principe werkt opzich prima. En op prepaid basis ook, vermits, en dat is een grote mits, dat ze bij de NS afstappen van dat achterlijke opstap/borg tarief van 20 euro. Als ik 1 station met de trein moet omdat ik m'n dochtertje ga ophalen, wil ik niet voor een treinritje van 2 euro, een whopping 22 euro nodig moeten hebben op die kaart. Dat gaat me echt veel en veel te ver.

Maar dat is dan werkelijk het enige wat ik echt te mopperen heb over dat ding.
Iedereen weet dat je met een simpele firmware update deze microsoft ontvanger om kunt toveren tot rfid lezer.
Er is nog altijd een verschil tussen lezen en schrijven.
en schrijven doe je door middel van C code ...

Mss de info in de video lezen met de links... achja meeste mensen baseren zich op 1 niemendalletje :')

[Reactie gewijzigd door miZ op 3 juni 2011 12:16]

De links bij het filmpje verwijzen naar software voor Mifare (van NXP) kaarten, de belgische OV-kaart gebruik Calypso kaarten van van Mexelis. Die 2 systemen zijn AFAIK niet compatible.

Dit versterkt alleen maar meer mijn vermoeden dat het filmple fake is.
Wat ik bedoel is dat een ontvanger alleen maar iets kan lezen. En lezen betekend dus niet dat je iets kan wegschrijven. Software lost geen hardwarematige beperkingen op.
Voor RFID heb je toch zowiezo zendkracht nodig? (Je moet een magnetisch veld opwekken zodat de chip in de kaart stroom krijgt?) Is de communicatie voor zo'n RFID dus zowiezo niet duplex? Of je er nou gegevens van wil lezen of op wil schrijven?

Kan er natuurlijk helemaan naast zitten...
inderdaad. + ik heb een mobib kaart en ik kan die kaart ook perfect uitlezen op men computer met een rfid lezer
Ik weet niet of mensen de youtube source hebben bekeken voordat ze een comment hebben geplaatst maar er staat gewoon in de description dat het een Proof of concept is ....
Het is dus alleen maar een showcase niet een echt werkend systeem dat ze laten zien.

dus of het filmpje een Hoax is valt nog te zien, de update die ook geplaatst is in dit bericht is misschien iets te voorbarig.
Een proof of concept is iets dat werkt, want het is letterlijk vertaald: bewijs dat mijn concept werkt: en dat betekend dat je een werkend systeem laat zien, en niet een filmpje alla: 'als het kan, dan zou het ongeveer zo eruitzien'. Dat zie ik niet echt in het filmpje terug, daarvoor is het te slecht gefilmt, en lijken de kaartlezers teveel op wireless ontvangers.
idd, dat noemen ze dan een demo ipv een proof of concept.
reference : http://en.wikipedia.org/wiki/Proof_of_concept

dus nee wat je zegt klopt niet, wat de film maker zegt is precies wat hij doet.
en voor blokker_1999 het is juist anders om.
Elke beveiliging is te kraken, maar het lijkt wel alsof OV chipkaarten heel erg makkelijk te kraken zijn... Iig, ze mogen hier zeker wel wat mee gaan doen voordat ze het landelijk invoeren.
OV-chipkaarten hebben dan ook wel 2 giga-nadelen :
1 - Het moet supercheap zijn anders stapt niemand over.
2 - Het is een gigantische markt als je hem goed kraakt.
De kaart moet voor de reiziger goedkoop zijn. Dat betekent echter niet dat de vervoersbedrijven geen goede kaart kunnen kiezen en desnoods enigszins kunnen subsidieren.
hoe moeilijk is het om de beveiliging niet in de chip te maken maar in de verificatie door controleurs en incheck palen nieuwe chips zullen vroeg of laat ook gekraakt worden maar als je kijkt of het in-checken well echt gebeurd is op de in-check paal en of het geld dat er op zit er wel op hoort te zitten en dan niet gewoon de kaart blokkeerd maar flagged en dan controleurs een boete laat oplegen dat zou veel beter werken dan er op te vertrouwen dat de chip veilig is.
Het inchecken wordt daardoor onnodig traag, en alle punten moeten dan constant in verbinding staan met het centrale systeem. Lekker handig voor bussen!

Voor zover ik weet werken alle systeem nu in principe offline, met een periodieke synchronisatie. Bussen doen dat bijvoorbeeld als ze weer de remise inrijden.

[Reactie gewijzigd door Koppensneller op 3 juni 2011 11:44]

Niet echt haalbaar voor bussen en trams, moet je ganse tijd in verbinding staan met de centrale en als de verbinding wegvalt dan kan je niet meer inchecken?
wel raar dat hij het moest bevestigen dat de kaart er op lag. want dit kan dus ook gewoon een bat-bestandje zijn met enkel wat echo's
volgens mij fake...
Niet zo moeilijk om een delay in een bat bestand aan te maken....
Als dat echt zo is dat dit een hoax is maakt het ook niet meer uit
Voor het oplossen van zulke problemen is er op dit ogenblik geen geld en geen initiatief in dit land. Zolang het openbaar vervoer niet volledig geprivatiseerd wordt gaan de zaken blijven aanmodderen.

De MIVB heeft vorig jaar in de metro elektronische hekjes geinstalleerd om zwartrijden tegen te gaan, zoals dat het geval is in alle grote Europese steden. Maar in plaats van bij elk poortje een kaart-of rfid-lezer te installeren maken ze nog steeds gebruik van de oude kaartmachines. Je kan gewoon vrij door die hekjes lopen. Wat is het punt dan?

Dat is een typisch voorbeeld van hoe efficient het geld hier besteed wordt en hoe hard we hier wel niet achter lopen op vlak van technologie. OV-chips in 2015, kom op. Dit is de 21e eeuw.
En hoe lang is men in NL al niet met die invoering bezig? Je beslist niet om vandaag een systeem in te voeren en dan morgen reeds klaar te zijn. Het duurt jaren.
Privatisering van het openbaar vervoer is geen oplossing. Als je nu ziet wat een gehannes het is met al die verschillende maatschappijen met starttarieven etc dan zie je dat het alleen maar duurder wordt.
Openbare voorzieningen horen dat ook te blijven: Openbaar en dus niet geprivatiseerd.

Als je dan de kosten in de belastingen verwerkt en het openbaar vervoer "gratis" maakt zie je ook meteen dat de bereidheid om gebruik te maken van het openbaar vervoer groter wordt!
Liever betaal ik geen extra belasting om het O.V gratis te maken. Ik maak er maar zeer sporadisch gebruik van en wens niet te betalen voor mensen die voor elk wissewasje het O.V nemen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True