Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 78 reacties

Het Openbaar Ministerie voert een onderzoek uit naar freelancejournalist Brenno de Winter, een van de journalisten die betrokken waren bij het hacken van de ov-chipkaart afgelopen jaar. De Winter zal nog deze week gehoord worden.

Het Openbaar Ministerie doet het onderzoek om te kijken of De Winter tijdens zijn research naar diverse hacks van de ov-chipkaart over de schreef is gegaan. Het OM vermoedt dat De Winter geen journalistiek doel had voor het onderzoek. De Winter wordt woensdag gehoord over de zaak, zo laat hij weten aan Tweakers.net. Hij vreest een rechtszaak. "Al denk ik niet dat ik veroordeeld word."

Journalisten mogen onder strenge voorwaarden de wet overtreden om misstanden aan de kaak te stellen. Daarbij moet het duidelijk zijn dat er een maatschappelijk doel gediend is met de overtreding van de wet. Volgens De Winter was zijn doel, zoals vereist wordt, zuiver journalistiek. "Ik heb in veel publicaties erover geschreven. Ik heb de hack niet stil gehouden, maar van de daken geschreeuwd." Bovendien heeft hij ov-chipkaartbeheerder Trans Link Systems en de NS ingelicht over de hacks, zo claimt hij.

De Winter was betrokken bij veel publicaties over de ov-chipkaart. De ov-chipkaart bleek eind vorig jaar met relatief goedkope apparatuur te kraken. Daardoor kunnen gebruikers zelf hun saldo ophogen of op een willekeurige plek inchecken. De hacks leidden tot politieke vragen en bijna tot het uitstel van de invoering van de ov-chipkaart. De gehackte kaart is echter nog altijd overal in gebruik en wordt op steeds meer plekken ingevoerd.

Het onderzoek is ingesteld naar aanleiding van een aangifte van Trans Link Systems. Volgens De Winter kloppen er cruciale gegevens uit de aangifte niet. "Zij beweren dat er met een bepaald aantal kaarten is gefraudeerd, maar dat klopt niet. Ze hebben dus gevallen van fraude niet gedetecteerd, precies wat ik aan wilde tonen."

De freelancejournalist noemt het 'verstikkend' dat het OM een onderzoek heeft ingesteld. "Ik moet een advocaat in de arm nemen en er komt druk te staan op mijn omgeving." De Nederlandse Vereniging voor Journalisten staat achter hem, zo beweert De Winter.

Moderatie-faq Wijzig weergave

Reacties (78)

Het erge aan het systeem van Trans Link Systems is nog wel dat je gewoon zelf "je kaart kunt inchecken". Totaal ondetecteerbaar; gewoon nooit je kaart bij een poortje houden maar vooraf inchecken en achteraf uitchecken met je laptop en in de toekomst wellicht zelfs met je nfc-smartphone...

Controlekastjes van conducteur kunnen alleen de kaart uitlezen en deze niet online checken. Ze zouden al gecontroleerde ID's moeten gaan opsturen/syncen, en dan op basis van die gegevens blacklisten, met het risico dat er ook welwillende passagiers worden geblacklist, en bij vrienden/familie heb ik al het nodige leed over onterechte blokkades meegekregen, dus dat moeten ze niet nog erger gaan maken 8)7

Dat is wel nieuwswaardig, me dunkt, en ook niet misbruikt om zelf mee te reizen (mooiste zou zijn als hij dit kon aantonen met een legale kaart met reisgeschiedenis :P)
Het erge aan het systeem van Trans Link Systems is nog wel dat je gewoon zelf "je kaart kunt inchecken"
Prima systeem. :) Werkt die OVStation.exe die op TPB staat trouwens? Ik meende op http://www.ovchipkaart.org/ voordat die offline ging iets over niet wegschrijven gelezen te hebben.
Even voor de duidelijkheid: ik heb nooit iets gedaan met die software en alleen de demonstratie van De Winter gezien op tv een tijd geleden. O.a. Pownews bracht dit uitgebreid in het nieuws.
kinderachtig van TLS en het OM. zo wordt de waakhondjournalistiek steeds meer de kop in gedrukt. geen wonder dat steeds minder mensen nog vertrouwen hebben in de rechtsstaat, als bedrijven zwaar bevoordeeld worden boven individuele rechtspersonen...
Het gaat om onderzoek, het OM heeft nog lang niet bepaald of ze tot vervolging overgaan, en als ze dat al zouden doen is het nog maar heel erg de vraag of hij veroordeeld zou worden.

Dus welk gebrek aan vertrouwen heb je 't over? Het OM is verplicht een aangifte serieus te nemen, al helemaal omdat het om een wettig betaalmiddel gaat (en aldus gecertificeerd door de Nederlandse Bank).

Vooralsnog is TLS niet bevoordeeld door het OM.
Voor zover ik begrepen heb is de ov chipkaart geen betaalmiddel. Vlak voor invoering is er een wet doorgevoerd die de ov chipkaart niet meer aanmerkt als algemeen betaalmiddel. Daarom kan DNB geen controlle uitvoeren op de ov chipkaart die nooit door de checks van DNB gekomen zou zijn op o.a. fraudegevoelligheid.
Voor zover ik begrepen heb is de ov chipkaart geen betaalmiddel. Vlak voor invoering is er een wet doorgevoerd die de ov chipkaart niet meer aanmerkt als algemeen betaalmiddel. Daarom kan DNB geen controlle uitvoeren op de ov chipkaart die nooit door de checks van DNB gekomen zou zijn op o.a. fraudegevoelligheid.
Dat is niet geheel waar, de egi-certificering is niet meer nodig, maar de kaart is nog altijd een betaalmiddel, en TLS is nog altijd een financieele instelling.

bron
Ik zie daat niet staan dat de ov-chipkaart een wettig betaalmiddel is.
"Oplaadpunten" hoeven niet eens door een 3e partij gekeurd te worden, iets wat voor elk apparaat dan een pin-pas uit wilt lezen voor een transactie verplicht is.
De ov chipkaart is in principe een soort van digitale boeken bon.
Dat is waarschijnlijk nog een kwestie van tijd. Om een ander artikel van nrc.nl aan te halen:
http://www.nrc.nl/nieuws/...alen-met-de-ov-chipkaart/

Erg verstandig om een pas met een lekke beveiliging in te gaan zetten als vervanger van een chipknip. Hopelijk weet DNB wel beter dan hier mee in te stemmen :X

[Reactie gewijzigd door MadMarky op 21 juni 2011 11:46]

Ze wilden dit zo graag (de rnegering, tls, ov-bedrijven) dat ze speciaal een wet hebben gemaakt waarmee de EU-controles die voor wettige betaalmiddelen (zoals bankpassen) gelden niet van toepassing waren. 8)7 DNB hoeft er dus niet meer mee in te stemmen.

De beoogde chip heeft ruim 15 jaar goed zijn werk gedaan, nu hij gekraakt is gaat Nederland hem gebruiken.

Iets soortgelijks kunnen we stellen over de emv-chip op de bankkaarten, in 2003 in heel de EU ingevoerd, en alle Nederlanders kregen verplicht een nieuw pasje dat ze zelf moesten betalen. maar omdat de banken net het jaar daarvoor alle winkeliers nieuwe pin-automaten had opgedrongen (variërend in prijs van €500 nu tot €1000 toen per kassa) wilden die er niet aan. Inmiddels zijn de kwetsbaarheden van de emv-chip bekend en, is hij bijna gekraakt en kunnen criminelen van de gaten gebruik maken, nu wordt hij in Nederland ingevoerd.

We zijn weer goed bezig in ons achterlijke landje dat altijd roept dat het hier zo goed geregeld is. Dit komt omdat onze politiek altijd blijft muggeziften over detaďls en onbelangrijke zaken als gevolg van een te ver doorgevoerd overleg-systeem waarin de verkeerde belangengroeperingen te veel in de pap/melk te brokkelen hebben.
Het gaat om onderzoek, het OM heeft nog lang niet bepaald of ze tot vervolging overgaan, en als ze dat al zouden doen is het nog maar heel erg de vraag of hij veroordeeld zou worden.

Dus welk gebrek aan vertrouwen heb je 't over? Het OM is verplicht een aangifte serieus te nemen, al helemaal omdat het om een wettig betaalmiddel gaat (en aldus gecertificeerd door de Nederlandse Bank).

Vooralsnog is TLS niet bevoordeeld door het OM.
Je bent toch onschuldig tot schuldig bevonden?

"Het OM vermoedt dat De Winter geen journalistiek doel had voor het onderzoek."

Wat heeft hij dan gedaan anders dan het aan heel Nederland bekend gemaakt?

Zou nou werkelijk iets wat hij te zeggen heeft invloed mogen hebben op het beslissing of hij vervolgd wordt of niet?

Dit is pure pesterij van top klasse
Neemt het OM dan ook aangifte als: pakeer schade, fietsdiefstal, autodiefstal serieus?
NEE helaas niet.
bij inbraak in elk geval wel. Er is destijds 2 keer bij me ingebroken, en in beide gevallen kwam de politie direct langs om PV op te maken, en de dag erna stond de technische recherche op de stoep. In beide gevallen zijn de daders gepakt en veroordeeld.

En zo heb ik nog wel meer 'zaken' voor handen hier, waar politie en OM snel en adequaat optraden, naar volle tevredenheid voor de mensen die slachtoffer of omstander waren.
Destijds als in dit jaar, vorig jaar of 5, 10 jaar geleden ?

En misschien komt de Politie in Hoorn wel langs, maar dat wil niet zeggen dat het in b.v. Amsterdam ook zo is, het gaat juist om de steeds meer frequente voorvallen waarbij niet of inadequaat opgetreden wordt door de politie.

Bijna 96% van inbraken en autodiefstallen blijft ongestraft ! (bron).
Nee dan word je bij het aangifte doen alvast verteld dat je dikke pech hebt.

Aangifte doen is meer een administratieve handeling voor je verzekering, de politie heeft het veel te druk met zaken die wel geld op leveren zoals flitsen op plekken waar het niet nodig is en parkeer boetes uit delen, maar als je auto of fiets weg is dan is er personeels tekort.

Mijn fiets is al 3x gestolen geweest (ja hij was afgesloten, maar niet tegen betonscharen bestand), en 1x is de persoon in kwestie gepakt. Na 3 jaar kreeg ik het verschil met wat de verzekering had uitbetaald terug, want er was al beslag op zijn inkomen gelegd en ik stond onderaan de lijst. Hij was overigens gepakt omdat de politie er toevallig langs liep.
Hoezo? Het OM doet onderzoek of er sprake is van een strafbaar feit (wat zeker niet uitgesloten is). Onderzoeksjournalistiek is leuk maar je moet je wel gewoon aan de regels houden. Journalistiek bedrijven is geen vrijbrief om maar van alles en nog wat te mogen doen.

In dit geval is de zaak natuurlijk heel sympathiek en heeft hij waarschijnlijk niets misdaan maar het OM doet net als meneer de Winter gewoon haar werk.
ik vind dat je zeker gelijk hebt, maar ik vind ook dat we zonder deze gasten veel dingen niet hadden geweten. de OV chipkaart is er een van. het is toch dramatisch als de overheid weer een waardeloos systeem erbij heeft? de kamervragen naar aanleiding van dit „incident” zijn ook meer dan terecht en de hele OV chipkaart zoals die nu bestaat vind ik een grote flop! wat is er mis met het strippenkaart systeem dat wel jaren zonder enige vorm van makkelijk uit te voeren fraude? wat is er mis met het kopen van een treinkaartje? mensen met een OV chipkaart kunnen op dertig verschillende manieren frauderen zonder dat iemand het doorheeft. busabbonementen en traject jaarkaarten zijn net zo duur en werken perfect. de OV jaarkaart was al gehackt voordat hij ook maar goed en wel was ingevoerd. de overheid had hier nooit genoegen mee moeten nemen.

deze meneer heeft veel van dit soort kleine, eenvoudig uit te voeren hacks aan het licht gebracht en daar ook veel over bericht. hij heeft alles keurig uitgelegt aan de NS en TLS en nu krijgt hij een proces aan zijn broek? nou ik had het wel geweten. volgende keer denkt hij er wel drie keer over na voordat hij zulke dingen gaat publiceren. voor jezelf houden is veel lucratiever.
Dat het systeem technisch niet deugt of slecht beveiligd is ben ik het volledig mee eens. Om die reden helemaal geen modern ticketing systeem in te voeren is natuurlijk niet slim.

Ondanks al zijn tekortkomingen heeft het ook genoeg voordelen: 1 kaart voor al het openbaar vervoer, inchecken is veel sneller dan kaartjes kopen, automatisch opladen scheelt een hoop tijd etc

Zeker als je zoals ik vaak van openbaar vervoerssoort wisselt is dit ideaal.

Ik ben zeker voor een soort OV chip systeem, alleen dan wel 1 die technisch goed in elkaar zit en goed beveiligd is.
Ik zeg ook niet dat ik tegen de invoering ben van een digitaal universeel systeem. Ik vraag me alleen af waarom je verschillende goedwerkende systemen zou moeten vervangen door 1 slechtwerkend systeem.
Het probleem is dat alle fraude indirect doorberkend wordt aan de betalende reizigers. Maar goed, dan moet natuurlijk wel eerst vast komen te staan dat er op grote schaal gefraudeerd wordt.

Met een tram of buskaartje is het nog best veel moeite om te frauderen in verhouding voor wat je er mee 'verdiend'. Voor degene die regelmatig grote afstanden met de trein moet afleggen is het toch als heel snel rendabel.

Zoals is begreep is de pakkans op dit moment nog nagenoeg nihil, mits je regelmatig van anoniem kaartje wisselt, en het goed doet.

Ik ben benieuwd hoe de NS het gaat ervaren als de ov-chip verplicht 't enige vervoersbewijs wordt.

[Reactie gewijzigd door DutchStoner op 21 juni 2011 01:32]

Hoezo? Het OM doet onderzoek of er sprake is van een strafbaar feit (wat zeker niet uitgesloten is).
De Winter heeft willen aantonen dat het OV-chipkaart systeem zo lek is als een mandje.Ik denk dat hij daarin geslaagd is.Hij heeft het aan de kaak gesteld.
Ik heb nog niet kunnen ontdekken waar hij gefraudeerd zou hebben.
Journalisten mogen onder strenge voorwaarden de wet overtreden om misstanden aan de kaak te stellen. Daarbij moet het duidelijk zijn dat er een maatschappelijk doel gediend is met de overtreding van de wet
Zoals hij zelf schrijft. Hij heeft het niet stiekem gehouden. Is er mee in de openbaarheid getreden, en hoe!
Dat andere daar vervolgens misbruik van maken. Daar kan hij niets aan doen. Hij deed het in het maatschappelijke belang.
Ik denk dat het komt omdat het de overheid zelf aan de beurs komt. Er is veel geld (ons geld) gestoken in dit geweldige systeem. De keuze voor dit lekke systeem was al van begin af aan een punt van kritiek.

Ik snap ook niet dat hier belasting geld in is gegaan. Wij moeten betalen zo dat we een slecht systeem kunnen gaan gebruiken wat een en al problemen heeft , en de vervoers maatschappijen en TLS nog meer geld van de consument kunnen krijgen.

Terecht dat mensen van deze hack gebruik maken, we hebben al dik betaald voor onze kaartjes.

Als er iemand een rechtzaak zou moeten starten, dan zijn het de reizigers en de belasting betalers tegen de overheid en TLS. Er word regelmatig te veel geld afgeschreven (dubbel start tarief, problemen met uitchecken) en dat zou dan allemaal wel mogen? Er waren goede systemen in andere landen maar nee, Nederland wist het weer beter en wij moesten iets anders en dat op kosten van de belasting betaler.

Succes meneer De Winter.
De oplossing is heel simpel, gezien het lekke systeem verplicht is:
- het OV niet gebruiken

En indien je die keus niet hebt, dan rest nog de optie om van dezelfde mogelijkheden gebruik te maken die buitenlandse toeristen hebben.
Vandaar de mooie beschrijving op Geenstijl, die dekt de lading weer eens goed:

http://www.geenstijl.nl/m...tfailers_willen_jour.html
1 ding lijkt me heel duidelijk dat het hier om een misstand gaat. als een betaalsysteem wat de ov kaart is, lek is dan is dat zeker iets voor het algemeen belang.

Sterker nog de overheid translink en alle betrokkenen hebben boter op hun hoofd en doen alsof er niets aan de hand is. Dit feit alleen als is goed voor het publiek om te weten.

Het OM dat het al heel druk heeft kan zich beter richter echte zaken waar echte slachtoffer zijn. Maar nee ze pompen hier geld in een zinloze zaak.
Het is van algemeen belang om te weten dat je het saldo van een kaart kan ophogen. Lijkt me duidelijk... not

Boter op hun hoofd is onzin, ze gaan gewoon door met invoeren, wat slim is. Ja hun kaart is te kraken (net zoals elke telefoon), maar degene die dat daadwerkelijk doen zijn strafbaar. Je moet de zaken niet omkeren.

Dat het OM vervolgt is prima voor de jurispundentie. Je kan je afvragen hoe ver een journalist mag gaan. Als dankzij hem die software is ontwikkelt en gepubliceerd, heeft dat imo niks met journalistiek te maken.
Voor 30 cent per kaart meer had de kaart bijna niet te krakgen geweest, en zeker niet in de paar seconden die er nu voor nodig zijn.

De boeven hier zijn TLS die miljoenen euro's in hun zak hebben gestoken, een falend product hebben geleverd en zich er met allerlei nare juridische trucjes buiten schot van kritiek proberen te houden.
imo juist wel, hij laat zien dat het relatief makkelijk en ondetectbaar te doen is om software te schrijven en daadwerkelijk de kaart te misbruiken. Blijkbaar nog niet genoeg want de politiek kan het systeem niet meer terugrollen zonder extreme verliezen.

Het enige wat gedaan wordt op dit moment is het stilhouden van de methodes "hoe te kraken" dus de welbekende 'security through obscurity' en ik geloof dat inmiddels niemand hier daarin gelooft, ofwel?

Het is dus wel degelijk mogelijk om de kaart (en dus het systeem) te kraken waardoor er niet wordt betaald voor het ov vervoer. Wie draait op voor deze verliezen? juist alle belasting betalers samen met (of bovenop) de ov-reizigers die wél betalen.

Ik vind het echt van de pot gerukt dat er een kraakbaar systeem wordt ingevoerd uitgebreid en gesteund door de politiek en moedig dit soort onderzoekjournalisten dan ook van harte aan om hiermee door te gaan. Dít is waarom de pers in vrije landen bestaat; om de politiek verantwoordelijk te stellen voor hun (soms belachelijke) beslisvorming.

argh, hier kan je toch gewoon boos van worden?
Boter op hun hoofd is onzin, ze gaan gewoon door met invoeren, wat slim is. Ja hun kaart is te kraken (net zoals elke telefoon), maar degene die dat daadwerkelijk doen zijn strafbaar. Je moet de zaken niet omkeren.
wat dus dat betekent dat ik ook maar de deur van mijn huis niet meer dicht hoef te doen. inbreken is toch strafbaar. reken maar dat je helemaal niets terug krijgt van de verzekering als dat het geval is. Aantonen dat je zonder moeite binnen kan komen is naar mijn mening een goed punt (interpolis reclame). dat is wat mijnheer Winter gedaan heeft.

de overheid/ translink laat kennelijk in een nationaal systeem dat als veilig door het leven zou moeten gaan de voordeur open staan waardoor je binnen tien minuten meer saldo hebt. meneer de Winter heeft dat keurig netjes aangegeven en gemeld en het in meerder artikelen verteld. dat is dus in het nationale belang, want wij betalen ervoor. de regering is nalatig en wij (de verzkering) mogen uiteindelijk voor de kosten opdraaien? zo werkt dat niet hea?
Met het kraken van een telefoon zul je bedoelen het op afstand uitlezen van een gsm chip en dan op kosten van iemand anders bellen met zijn gegevens.
Dat schijnt idd mogelijk te zijn maar ik heb er nog geen software voor kunnen vinden. Daarnaast zijn er in het verleden wat hacks geweest van simkaarten die men kon kopieren, duokaarten en zo. Antwoord hierop zijn nieuwe versies geweest.

Waar het hier om gaat is dat een ov kaart een betaalmiddel is dat du niet veilig is. Hoe handig zou het zijn als jij de eigen bankkaart ineens je saldo kon verhogen en geld pinnen. Precies dat is hier aan de hand en tonen ze aan.

Nu het OM verhaal. Het OM wordt hier min of meer toe gedwongen. De journalist in kweste heeft zelf geen software uitgegeven dat hebben anderen gedaan. Het OM zal deze zaak zeker verliezen en dat zal weer de zoveelste blamage zijn voor het OM en de overheid. Daarnaast zijn er voldoende zaken in het verleden geweest die laten zien hoe ver een journalist wel en niet kan gaan. Nu is ieder zaak wel weer anders maar denk dat een beetje advocaat je met plezier in deze zaak tegen het OM wil verdedigen.
Het systeem mag dan niet helemaal correct werken en aandacht krijgen van onderzoeksjournalisten (understatement) Dat veranderd echter niets aan het feit dat ook journalisten zich aan de spelregels moeten houden. Dat het OM nu onderzoek doet naar deze journalist is niet verrassend en de opmerkingen over "druk op de omgeving" zijn dan ook nogal kinderachtig. Je kiest ervoor om de wet te overtreden en schiet gelijk in de paniek als je daarop wordt aangesproken. Misschien ben je dan niet geschikt voor het vak van onderzoekjournalist.

Maar eens zien waarom hij nu zo in de stress schiet.
Het is wel een keer prima dat Brenno wordt aangepakt. Hij denkt, net zoals je dieven en spammers niet publiekelijk aan de schandpaal mag nagelen, dat hij overal een vrijbrief voor heeft door "net te doen alsof hij het niet gedaan heeft maar wel gezien heeft".

Hij is een vervelend mannetje dat net even een stap te ver gaat en zijn eigen bekendheid omhoog wil krikken door andere door het slijk te halen of misbruik van zaken te maken die je gewoon beter via de normale weg kunt melden.

Eigen schuld dikke bult zou ik zeggen :)
Nou, als hij journalistiek bedrijft en dat op een pure manier doet en het middel verder niet heeft misbruikt, dan mag het gewoon, dat wat hij gedaan heeft.

Dat het zijn bekendheid omhoog krikt is waar, maar da's om de reden dat hij goed is. Hij is immers de enige die dit zo duidelijk heeft aangetoond en in de media heeft gebracht (tenminste, zo grootschalig).

Als hij daarmee geen wetten heeft geschonden dan is al die aandacht dus terecht en hadden anderen die ook kunnen krijgen als zij op het idee waren gekomen om dit te doen én de wil en technische kennis hadden...
Nou, als hij journalistiek bedrijft en dat op een pure manier doet en het middel verder niet heeft misbruikt, dan mag het gewoon, dat wat hij gedaan heeft.
Inderdaad. Echter, dat hij zegt dat hij zuiver te werk gegaan is betekent nog niet dat het zo is. Het is natuurlijk makkelijk om je als Robin Hood voor te doen terwijl dat misschien minder het geval is dan je denkt.

Het is goed dat dit soort gevallen van tijd tot tijd onderzocht wordt. Als er niets aan de hand is, is alles prima. Maar het kan natuurlijk ook zo zijn dat men op zoek naar een mooie scoop wél over de schreef gegaan is. Als dit soort gevallen nooit gecheckt worden krijgen journalisten misschien wel een carte blanche voor minder fijne dingen.

Zo gebeurt het soms wel eens dat kranten andermans telefoon afluisteren. Ook BNN heeft zich daar wel eens schuldig aan gemaakt.

Het probleem is natuurlijk dat het ook vaak andersom gebeurt, dat de staat journalisten probeert te muilkorven, zoals bij bijv. wikileaks, of de scoop van de Telegraaf over de AIVD.

Het is natuurlijk heel moeilijk om over geheime informatie te oordelen of die zonder teveel gevaar van betrokkenen openbaar gemaakt kan worden of niet. Staten zijn soms erg gemakkelijk met het inroepen van de staatsveiligheid waardoor schandaaltjes over de Oranjes in geheime commissies behandeld worden en zo geprobeerd kan worden dingen uit de pers te houden. Dat betekent echter niet dat journalisten zelf altijd zuiver handelen. Tenslotte doen die het deels uit nobele motieven, maar deels met de oplage/kijkcijfers in het achterhoofd.

Checken is dus goed, zolang men hier maar niet de boodschapper aanpakt omdat het kabinet met mevrouw Huizinga voorop een miljardenblunder maakte.

[Reactie gewijzigd door Spheroid op 20 juni 2011 17:12]

Dat is nu net het probleem; Zijn journalistiek hangt op het randje en dreigt er nu vanaf te vallen.
Kom anders even af met een lijstje met bronnen waar Brenno anderen door het slijk haalt. Of waar hij verteld dat hij niet de chipkaart heeft gehackt maar het alleen gezien heeft.

Selluf met je "zijn eigen bekendheid omhoog wil krikken door andere door het slijk te halen"
Kom eens met argumenten dan. Ik lees alleen maar over een journalist, die uit het oogpunt van zijn beroep een misstand probeert aan te tonen. Ja het is zijn beroep dus hij verdient er zijn brood mee, maar verder heeft hij prima werk verricht als ik het zo lees.
Tja, maar ik vindt dus wel dat 'journalisten' tegenwoordig wel erg ver gaan en dat gaat echt niet om het maatschappelijk belang maar puur om de sensatie/aandacht/reclame inkomsten. Integriteit is ver te zoeken bij 999 van de 1000 'journalisten'.. Ze doen gewoon alles om zoveel mogelijk aandacht en altijd de eerste te kunnen zijn.
er is niks mis met het feit dat journalisten fouten aan het licht brengen.
zeker als het gaat om fouten die voorkomen hadden kunnen worden maar den haag het niet genoeg intereseerd.

dit gaat om veiligheid van mensen en hun betaalbewijs voor het openbaar vervoer er is niks sensatie aan...

het zou jou kaart maar zijn die gekopieerd is zou je dan zo praten ?
"Zij beweren dat er met een bepaald aantal kaarten is gefraudeerd, maar dat klopt niet. Ze hebben dus gevallen van fraude niet gedetecteerd, precies wat ik aan wilde tonen."
Het voelt (voor mij) alsof hij met dit argument de hele zaak kan winnen.
Benno is eerder al bang geweest om te worden opgepakt, zo heeft PowNieuws ons toenertijd in ieder geval laten geloven.

Daarnaast vindt ik TLS maar een schimmig bedrijfje, ze hebben alleen maar de OV-Chip gemaakt, of zo lijkt het.

[Reactie gewijzigd door Nbgangsta op 20 juni 2011 16:18]

TLS is een joint venture van alle grote vervoerders, ze hebben de OV-chip ontwikkeld en geďmplementeerd, dit loopt nu uit in een drama omdat ze in het begin al een foute chip gekozen hebben.....
Beetje dom dat ze geen professioneel/ervaren bedrijf in de hand hebben genomen.
Een aantal ontwikkelaar aannemen en domweg gaan ontwikkelen is natuurlijk niet de manier.

Dank voor de opheldering overigens.
Ik wil toch even wat nuancering brengen, want 'domweg gaan ontwikkelen' is erg kort door de bocht. In juli 2003 is de aanbesteding van TLS gewonnen door East-West e-Ticketing, een consortium van Thales, Accenture en Vialis. East-West heeft op hun beurt weer MTR Corporation en Octopus Cards uit Hong Kong ingeschakeld vanwege hun ervaring.

In 2005 begon stapsgewijs de invoering van de OV-chipkaart (met Rotterdam als eerste), vlak voor de jaarwisseling 2007-2008 presenteerden hackers op de CCC hun bevindingen over gebrekkige beveiliging van de Mifare Classic. Toen kwam het balletje aan het rollen, later in 2008 werden snellere/beter hacks gevonden (o.a. door een team van de Radboud Universiteit in Nijmegen) om de sleutels te kraken van de Mifare Classic.

Britse wetenschappers adviseerden toen om de Mifare Classic uit te faseren. TLS stond toen voor een dilemma: gemaakte investeringen het raam uitgooien en een kosten maken voor een nieuw kaart/infrastructuur, of de gok wagen met de huidige kaart en vertrouwen op backoffice-controles om de schade te beperken.

Tot die tijd bleef het kraken vooral een academische gelegenheid. Brenno de Winter kwam in november 2010 met het artikel dat de Mifare Classic makkelijk te kraken is met goedkope apparatuur, en liet zien dat de daarop geďmplementeerde OV-chipkaart zo te manipuleren is dat je gratis kan reizen.

TLS probeerde toen de zaak te downplayen als 'oud nieuws' en was toen nog niet van plan om aangifte te doen. De software was er al, Brenno liet zien hoe je het moest gebruiken en daarmee kreeg de zaak de aandacht van de massamedia.

Nu proberen ze dus Brenno alsnog de schuld in de schoenen te schuiven. Als je het mij vraagt onterecht; toen het mogelijk werd om de Mifare Classic eenvoudig zijn gecodeerde inhoud prijs te laten geven, was het slechts een kwestie van tijd totdat er mensen achter kwamen welke bitjes op de chip precies welke betekenis hadden voor de TLS-systemen. Ook een kwestie van tijd was dat er handleidingen voor het hacken zouden verschijnen en de software steeds makkelijker in gebruik zou worden. Ik ben erg benieuwd welk ander doel (dan het journalistieke) Brenno zou hebben volgens het OM.

Of TLS de juiste praktische (er is meer dan alleen het technische beveiligingsaspect ;)) beslissing heeft genomen vind ik moeilijk om te beoordelen: zij blijven erbij dat de schade door fraude niet opweegt tegen de kosten van een versnelde invoering van de nieuwe OV-chipkaart met SmartMX-chip. Als Jan met de pet zijn er geen broncijfers beschikbaar om zelf te analyseren en kan je jezelf ook afvragen of TLS wel alle fraudegevallen detecteert. De thuis check-in blijft bijvoorbeeld nog onzichtbaar, totdat TLS kruiscontroles gaat uitvoeren met de gegevens uit mobiele controle-apparatuur (van conducteurs) en de gegevens uit check-in paaltjes.

Of ze dit al doen en zo nee, wanneer dan wel, heeft TLS vziw nog niets over bekendgemaakt. Jammer dat ov-chipkaart.org offline is door druk van TLS, want dat was een mooie informatiebron door dit soort zaken...

Edit: damn dat verhaal is een stuk langer geworden dan oorspronkelijk het plan was :o :D

[Reactie gewijzigd door Rafe op 20 juni 2011 22:30]

Ov-chipkaart.org is mijn website, de eerste website waarop de ov-chipkaart hack voor het breede publiek uitgelegd werd.

Op basis van een blogpost die ik had gemaakt met daarin een handleiding om met een vrij onbekende Linux tool (mfoc) de sleutels te kraken en een dumpje te maken is Brenno de Winter aan de slag gegaan en kwam er een publicatie in de PC-active (een uitgebreide uitleg van mijn blogpost). Later zijn programmeurs aan de slag gegaan -voornamelijk op het ov-chipkaart.org forum- met deze gegevens en kwamen er diverse tools die het uiteindelijk voor Windows mogelijk maakten. (dit alles is in 6 maanden gebeurt, van mijn blogpost tot het ontwikkelen van complete toolsets). Ook is er een Wiki gemaakt met het dataformat van de ov-chipkaart, deze zweeft ook nog ergens rond.

Het onderzoek is nog niet stilgelegd, op een andere website is het grotendeels hervat.

Ik heb in dit hele verhaal een redelijke rol gespeeld, aan de hand van mijn blogpost is het aan het rollen gekomen dat het met een simpele kaartlezer thuis ook kan, niet alleen in een labopstelling....

In mijn ogen is het uitleggen nog steeds legaal (vooral omdat er alleen uitgelegd werd hoe je een dump maakt, niet hoe je gratis reist), als 18-jarige MBO-student kon ik de juridische strijd niet aan.

[Reactie gewijzigd door donny007 op 21 juni 2011 08:40]

Die website, of iig een mirror hiervan is alweer enige tijd hier te vinden. Met dank aan onze vrienden bij HUB en pc-active.
In principe was het ook oud nieuws.

Gezien ook eind 2007 begin 2008 er berichten kwamen dat deze Mifare-chip makkelijk te kraken was. Tegen de tijd dat men op internet alle informatie bij elkaar had verzameld en een toolset had samengesteld waarmee, naast de onderzoekers, ook de gewone man dit voor elkaar kon krijgen kwam Brenno in beeld. Het enige dat hij gedaan heeft is dit bekend maken, en vooral hoe makkelijk het was/is.

TLS had deze signalen dus veel eerder moeten oppakken en dus al in een veel eerder stadium de plannen moeten aanpassen. Al lang voordien is er ook in de tweede kamer over gediscussieerd, maar daar vond men toen de veiligere chips van Mifare te duur. Uiteindelijk heeft men er dus voor gekozen om zijn kop in het zand te steken.

Het had zo'n mooi systeem kunnen zijn, al vind ik dat er altijd een alternatief moet blijven voor mensen die dit niet zo snel op pakken. Voor ouderen is een strippenkaartsysteem of een normaal treinkaartje veel beter te begrijpen. Bij het chipkaartsysteem zie je immers niet wat er precies gebeurd.

Bovendien vind ik het absurd dat men bij de persoonsgebonden kaart automatisch van je bankrekening kunnen schrijven zodat je als gebruiker geen overzicht meer hebt van wat het je kost (ja achteraf via een website oid, maar niet op het moment dat je de bus/metro/trein instapt). Het zou veel beter zijn als je zoiets kunt zien op een schermpje, bv van een mobiele telefoon met nfc-chip.

[Reactie gewijzigd door BeosBeing op 23 juni 2011 11:23]

Beetje vaag verhaal. Op basis waarvan vermoedt het OM dat deze journalist geen journalistiek doel had voor zijn onderzoek? Welk ander doel vermoedt men dat hij trachtte te bewerkstelligen?
Er ligt een aangifte van fraude. Het OM onderzoekt dat. Journalistieke doelen kunnen een rechtvaardiging zijn en door de verdediging worden aangevoerd maar een visitekaartje met de titel journalist erop is geen vrijbrief voor illegaal handelen. Sterker nog iedere jan doedel kan zichzelf freelance journalist noemen. "Ja deze wietplantage was echt puur bedoeld om aan te tonen dat de politie weinig doet aan opsporing" Een beetje onderzoek lijkt mij ook bij journalisten dus wel op zijn plaats.
Men heeft het hier in NL nog steeds niet op met klokkenluiders, simpelweg omdat het de plannetjes verstoort. Waarom zou men iets goeds afleveren als je ook half werk af kan leveren? Dat kost veel te veel geld en tijd. Daarnaast vind men het niet leuk om gewaarschuwd te worden, dat blijkt wel uit de aangifte. Maatschappelijke verantwoording is natuurlijk ook zo jaren 70, dat vind men tegenwoordig vieze woorden, net als eigen verantwoordelijkheid.
Wat was er eigenlijk mis met de strippenkaart? Niets toch? Ok, daar zal men ook mee gefraudeerd hebben, maar ik weet haast zeker wat er met de strippenkaart in 10 jaar is gefraudeerd, er met het huidige systeem in minder dan een jaar wordt bereikt. Toch blijft men geloven in het systeem, desondanks dat het nog lekker is dan een mandje.
Tot op heden ben ik dan ook nog steeds niet in het bezit van een OV-chipkaart en of die er ooit zal komen, ik weet het niet. Er kleven mij teveel nadelen aan en men weet, waar TE voor staat, is nooit goed (tenzij het TEgoed, TEruggave of TEvreden is).
Linkse rakker, grapje.
Ik ben het volkomen met je eens.
Het zijn zaken zoals deze waardoor het voelt alsof we met een corrupte regering zitten die alleen maar aan de eigen centen zit te denken.
Ik heb een OV-chip en gebruik deze om met de bus te reizen, het probleem is soms dat ik niet KAN uitchecken omdat dat domme dingen geen contact heeft met de 'centrale'.
Daarnaast wordt het ook heel moeilijk voor kennissen uit het buitenland om met het openbaar vervoer te komen.
Ook is het verrot om zelf naar het buitenland te gaan met het openbaar vervoer omdat je daarvoor de OV-chip niet kan gebruiken.
Dat zal liggen aan de software die je vervoerder gebruikt. Zo'n lezer kan namelijk ook zonder GPS-fix gewoon uitchecken, zij het met een onbekende locatie. Dat houdt dus in dat alleen het basistarief betaald hoeft te worden. Maar jouw vervoerder roept dan doodleuk dat je niet uit kunt checken en dat je maar een formulier moet invullen...
En deze op de post moet doen, het formulier is namelijk een PDF.
Mijn vervoerder is overigens QBuzz.
Blij te horen dat ik niet de enigste ben met dit probleem.
Er kleven mij teveel nadelen aan en men weet, waar TE voor staat, is nooit goed (tenzij het TEgoed, TEruggave of TEvreden is).
Of TEzamen TE bed. :9

[Reactie gewijzigd door Ghost Dog op 21 juni 2011 15:01]

Waarom zou men iets goeds afleveren als je ook half werk af kan leveren? Dat kost veel te veel geld en tijd
ik denk dat meneer de Winter wel duidelijk heeft aangetoond dat een halfbakken product vele malen meer kost dan een goed product. als Brenno de Winter wint wie betaald dan uiteindelijk de proceskosten en schadeloosstelling? 3 maal raden....
Wat was er eigenlijk mis met de strippenkaart? Niets toch? Ok, daar zal men ook mee gefraudeerd hebben, maar ik weet haast zeker wat er met de strippenkaart in 10 jaar is gefraudeerd, er met het huidige systeem in minder dan een jaar wordt bereikt.
ik heb met de strippenkaarten eigenlijk nooit een goede manier gevonden om mee te frauderen. de inkt is best wel snel opgedroogd en het erafvegen met wat water gaat slecht want dan laat de toplaag van het papier ook los. de OV chipkaart was echter al gekraakt voordat de kaart uitwas.
En zo'n laag kaarsvet valt niet op bij een controleur?
Die geintjes met kaarsvet, labello, plakband etc.... Leuk in theorie maar dan kun je net zo goed niet stempelen; bij controle ga je toch door de mand.
De truck bij de strippenkaar was dat ze deze stempelen met rode inkt die op een echte verkleurt naar blauw/paars. Verkleurt hij niet, dan val je bij controle door de mand.

In de randstad (o.a. tram, metro) kom je er nog mee weg, omdat je daar kunt stempelen bij een automaat, maar bij het streekvervoer stap je in bij de chauffeur die je strippenkaart controleert of stempelt, en moet je daarnaast altijd wel een keertje overstappen.
Journalisten mogen onder strenge voorwaarden de wet overtreden om misstanden aan de kaak te stellen. Daarbij moet het duidelijk zijn dat er een maatschappelijk doel gediend is met de overtreding van de wet.
Net als Alberto Stegeman zeker, die is ook vervolgd maar niet veroordeeld
Via De Winter heb ik ook het hele MiFare verhaal gevolgd. Hij heeft veel gepubliceerd en zoals hij zegt, het van alle daken geschreeuwd. Omdat men de kop in het zand zal dit hem niet in dank afgenomen worden. Veiligheid en journalistiek is wat hij doet en hij doet dat heel goed. Hij heeft nooit mensen te kijken gezet en heeft alles goed onderbouwd en opgevolgd. Men kan hem hoogstens verwijten dat ie goed is. Hopelijk krijgen we nog wat mensen zoals hem om de onderzoeksjournalistiek terug te laten herrijzen.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True