Australische onderzoekers kraken encryptie ov-bedrijf

Een groep jonge Australische beveiligingsonderzoekers is erin geslaagd om chipkaarten van een vervoersbedrijf te kraken. Het bedrijf maakte gebruik van een eigen cryptovariant, maar deze bleek sterk verouderd te zijn en was binnen een week te kraken.

De vier beveiligingsonderzoekers, die zich TrainHack noemen, hebben hun bevindingen openbaar gemaakt tijdens een presentatie op een beveiligingsconferentie in Melbourne, zo meldt SC Magazine. TrainHack had zijn presentatie reverse engineering a mass transit ticketing system genoemd. Volgens de vier bleek de toegepaste cryptografie van de vervoersbewijzen van een niet nader genoemd openbaarvervoerbedrijf sterk verouderd, hoewel het bedrijf een eigen variant had toegepast.

Net als bij het hacken van de Nederlandse ov-chipkaart hadden de onderzoekers genoeg aan vrij verkrijgbare en goedkope hardware, waaronder enkele kaartlezers. In totaal zouden de vier een week nodig hebben gehad om de gedateerde encryptie op de kaarten te kraken, waardoor het mogelijk zou zijn om gratis te reizen bij de desbetreffende vervoerder.

Volgens de onderzoekers is het voor het betrokken ov-bedrijf vermoedelijk goedkoper om nieuwe chipkaarten in te voeren dan om de bestaande hardware te vervangen. De vervoerder wilde zelf niet zeggen hoeveel een eventuele vervangingsoperatie zou gaan kosten.

IT-banen

Reacties (34)

chrisborst 22 oktober 2012 13:28

Het is goed dat dit soort zwakheden worden gevonden, maar het lijkt mij niet noodzakelijk om er meteen wat aan te gaan doen. 99.9% van de mensen gaat nooit op die manier zwartrijden. De meeste zullen gewoon niet inchecken. Door invoering van poortjes gaat dat lastiger, maar niet onmogelijk. Belangrijker vind ik dat de privacy van de gebruikers gewaarborgd blijft.
Zulke onderzoeken geven enkel aan dat je bij vervanging of invoering in de toekomst, een beter beveiligde chip moet gebruiken. Niet alleen in het OV, maar in het algemeen.
Blijft gewoon een storm in een glas water. Nu hoor ik in NL ook niemand meer over de ov-chipkaart.

[Reactie gewijzigd door chrisborst op 29 juli 2024 20:45]

hardwareaddict @chrisborst • 22 oktober 2012 13:46

Elke chip die een OV bedrijf ooit gebruikt, die valt binnen een week te kraken.

Om aantal redenen:

a) goede beveiliging is niet toegestaan. Zie www.wassenaar.org
b) redelijke beveiliging die niet binnen paar minuten te kraken valt door cryptografen,
let wel deze australiers zijn maar alleen wat uni figuren, die is veel te duur.
c) de cryptografen hebben enorme hardware tot hun beschikking. Een klein kaartje is daar nooit
tegen opgewassen

bwerg @hardwareaddict • 22 oktober 2012 14:15

goede beveiliging is niet toegestaan. Zie www.wassenaar.org

Alleen waar voor enkele landen, voor zover ik het nu zie is Australië redelijk doorgeslagen in wetgeving tegen crypto. Binnen de EU is crypto echt niet streng gecontroleerd, om niet te zeggen dat de Nederlandse OV-chipkaart praktisch geen last heeft van beperkingen door wetgeving.

redelijke beveiliging die niet binnen paar minuten te kraken valt door cryptografen,
let wel deze australiers zijn maar alleen wat uni figuren, die is veel te duur.

Nou, dat valt best mee. Zie ook andere OV-kaarten die niet zo gemakkelijk te kraken blijken. Daar is echt geen dure hardware voor nodig, slechts een slim protocol en een professionele uitvoering.

de cryptografen hebben enorme hardware tot hun beschikking. Een klein kaartje is daar nooit tegen opgewassen

Zoals in het artikel vermeld: dit is gedaan met simpele hardware, net als de hack van de Nederlandse OV-chipkaart. De benodigde apparatuur kan je voor een paar tientjes op ebay kopen. Dat er grof geschut is ingezet is dus onzin. Daarnaast is de hardware alleen nodig voor het simpele uitlezen (wat toch op een simpele manier moet kunnen gebeuren, zo wordt de kaart immers gebruikt bij in- en uit-checken). Het is het protocol dat veilig moet zijn.

Daarnaast wordt je stelling grondig onderuit gehaald door de Nederlandse OV-chipkaart, daar hebben onderzoekers toch echt langer dan een week over gedaan (om over de huidige verbeterde versie nog maar te zwijgen). En dat wordt dan nog als een relatief slecht beveiligde kaart gezien, bij goed beveiligde kaarten is het absoluut onmogelijk dat je die binnen een week kraakt.

[Reactie gewijzigd door bwerg op 29 juli 2024 20:45]

hardwareaddict @bwerg • 22 oktober 2012 15:27

Australie heeft wassenaar.org ook gewoon getekend hoor.

Net als Rusland, USA en de halve planeet. China niet overigens.

Op het moment dat met hele simpele leesapparatuur iets 'gehacked' wordt,
dat is niet best natuurlijk.

Maar feit blijft dat cryptografisch gesproken de protocollen compleet lachwekkend zijn en zullen blijven.

Je kunt er ook vanuit gaan dat de OV chipkaart geniaal is voor Rusland, want nu kunnen ze vanuit hun luie stoel in Moskou simpeltjes zien waar welke Nederlandse burger zich dus begeeft, indien hij openbaar vervoer gebruikt.

Een andere onderliggende reden dan het 'big brother is watching you' was er ook niet voor die OV chipkaart (idemdito 80 rijden op ringwegen terwijl de weg ernaast je al 100+ gaat).

Er is dus veel aan gelegen om de zaak zo snel mogelijk te kraken voor de buitenlandse diensten, daar wij zo netjes voor hen zijn om alles geautomatiseerd te hebben. Ze hoeven alleen de communicatie ff te kraken dus. 1 sensor ergens in de grond en bingo, heel Nederland in kaart, met name de studenten.

bwerg @hardwareaddict • 22 oktober 2012 16:02

Dat dat getekend is zegt niet zoveel. Zie bijvoorbeeld de EU-landen die dit getekend hebben, en die reguleren de export en het gebruik van cryptografische producten niet/nauwelijks. Dat landen als de VS, Australië en Rusland zo panisch zijn over deze zaken, staat los van wassenaar.

En nee, de huidige (verbeterde) versie van de chipkaart is niet slecht beveiligd, laat staan "lachwekkend". Ook ben ik benieuwd hoe je met een sensor in de grond een chipkaart wil uitlezen, dat moet een verdomd sterke sensor zijn om een NFC-chip op plusminus een meter afstand te activeren, laat staan NFC-chips in "heel Nederland".

[Reactie gewijzigd door bwerg op 29 juli 2024 20:45]

proatjeboksem @hardwareaddict • 23 oktober 2012 06:28

Een andere onderliggende reden dan het 'big brother is watching you' was er ook niet voor die OV chipkaart

Wat dacht je van de mogelijkheid om de rendabiliteit voor iedere vorm van OV inzichtelijk te krijgen? De eerste buslijnen in de steden zullen al gesneuveld of gehalveerd zijn, qua dienstregeling.

PolarBear @hardwareaddict • 22 oktober 2012 14:05

Hoezo is goede beveiliging niet toegestaan? Kan je mij op die website precies aanwijzen waar je het over hebt? Als de chip gewoon met een public/private key werkt wordt het zo goed als onkraakbaar. Alleen kosten die chips meer. Dit is allereerst een door kosten ingegeven zaak.

hardwareaddict @PolarBear • 22 oktober 2012 15:22

Lees maar goed wat er staat: meer dan 512 bits is niet toegestaan ter beveiliging.

Dit terwijl enige veilige public key algoritme RSA is en dan heb je zeker een bit of 2048 - 4096 nodig.

Dit waar de meeste van die in China geproduceerde kaartjes hebben een bit of 40 aan encryptie (iets anders dan RSA). Dat is echt jaren 80.

Let wel: de beveilingingscertficaten die verstrekt worden online om de zaak te signen door de verschillende bedrijven, dat is grotendeels gebaseerd op RSA 2048 bits - en daar is natuurlijk een reden voor.

In principe zijn dus de meeste bedrijven die dus RSA2048 bits gebruiken, zwaar in overtreding. In 't algemeen mag je helemaal niet beveiligen. Sinds kort maakt, zoals je kunt lezen, men wel een uitzondering voor beveiliging van multi-media. Maar het is weer VAAG geformuleerd wat en hoe.

markiemannie @hardwareaddict • 22 oktober 2012 15:35

Behalve RSA is tegenwoordig ECDSA ook sterk in opkomst dus je eerste aanname klopt al niet.

En die RSA 2048 bits, lijkt me sterk. Als dan daadwerkelijk IEDER bedrijf (dat SSL verbindingen gebruikt) en de overheid zelf in overtreding zijn, waarom zou het dan een probleem zijn voor de ov-chipkaartfabrikanten om niet in overtreding te zijn? Ten slotte, iedereen doet het.
Sowieso is het akkoord in Nederland nooit tot nationale wetgeving omgezet dus het is gewoon niet rechtsgeldig.

deadinspace @hardwareaddict • 23 oktober 2012 09:32

Lees maar goed wat er staat: meer dan 512 bits is niet toegestaan ter beveiliging.

Nee, geef jij maar een fatsoenlijke bron. Je linkt naar de homepage van het Wassenaar Arrangement (WA), maar die zegt niets over cryptografie (of wat het WA überhaupt is). Als je een punt wil maken, dan link je maar naar een pagina die WEL wat over crypto zegt.

Het WA is een internationaal verdrag dat de export van wapens (en ziet crypto als een wapen in deze context) aan banden legt. Dat is al het eerste punt waar je de mist in gaat, namelijk: het WA gaat puur over export, niet [i]gebruik[i].

Verder is het WA niet direct van toepassing op de inwoners van een land; een land dat het WA ondertekent moet eigen wetten implementeren die het beleid van het WA uitvoeren, en inwoners van een land zijn dan gebonden aan die wetten (The Wassenaar provisions are not directly applicable: each member state has to implement them in national legislation for them to have effect, bron). En raad eens: bijna geen elk land (de US is de grote uitzondering) implementeert significante exportrestricties op crypto.

Zie bijvoorbeeld dit stuk, dat de kern van de zaak aardig raakt:

Secondly, export controls on cryptographic products are now having a significant detrimental impact on genuine civil transactions and applications. [...] Export controls on cryptographic products have a severe impact on such civil transactions and this is in direct contravention of item 4 of section 1 (Purposes) of the Initial Elements where it is clearly stated that the Wassenaar Arrangement "will not impede bona fide civil transactions". In fact, this clause, when combined with the impact that cryptographic export controls are having on the civil market, might allow such controls to be legally challenged where the Wassenaar Arrangement is being used to justify them.

In practice, most nations participating in the Wassenaar Arrangement recognise this difficulty and now avoid the imposition of any controls that impact on the civil market for cryptographic products. It is only the United States and a few other nations that continue to interpret the Wassenaar Arrangement in a way that impacts on civil use.

En ook relevant, een samenvatting van de situatie door onze eigen Arnoud Engelfriet:

...je mocht als Amerikaan geen sterke encryptie naar buiten het land exporteren [...] Dat geldt niet meer, er is alleen nog een verbod op export naar Libië, Iran en die landen. Voor de rest geldt een meldingsplicht en een paar beperkingen.

In Europa geldt geen eis van melding. Wel is het verboden encryptie opzettelijk te exporteren naar landen als Libië, Noord-Korea of Iran. ...

Dit terwijl enige veilige public key algoritme RSA is en dan heb je zeker een bit of 2048 - 4096 nodig.

Je vergeet DSA, ElGamal, en het opkomende ECC (welke veel kleinere keys nodig heeft om veilig te zijn). En dat zijn alleen degenen die ik uit mijn hoofd weet!

Bovendien is RSA-1024 op dit moment in elke praktische zin onkraakbaar. RSA-2048 of RSA-4096 gebruiken kan verstandig zijn om te voorkomen dat berichten in de toekomst gekraakt kunnen worden, maar dat is bij een juist ontworpen OV-systeem niet nodig. Sterker nog, bij een goed ontworpen OV-systeem zou korte-termijnveiligheid genoeg moeten zijn, waardoor RSA-512 ook prima zou volstaan.

In principe zijn dus de meeste bedrijven die dus RSA2048 bits gebruiken, zwaar in overtreding. In 't algemeen mag je helemaal niet beveiligen.

Nogmaals, dat is onzin. Er rusten nauwelijks beperkingen op de export van crypto, en al helemaal niet op het gebruik ervan. Als jij anders wil beweren, dan geef je maar een specifieke bron.

mrdemc @hardwareaddict • 22 oktober 2012 14:08

Als betere beveiliging niet is toegestaan dan dat ze gebruikten op het moment dat de kaart werd gehacked, waarom hebben ze die in Nederland als antwoord op de hack dan wel verbeterd? Is puur kosten/baten plaatje geweest waarbij ze zo weinig mogelijk kosten wilden. Dat de chipkaart toen gehacked werd en dat het meer geld zou kosten om alles te onderzoeken heeft ze doen overstappen op een nieuwere en veiligere chip die tot nu toe nog niet gehacked is (afaik).

hardwareaddict @mrdemc • 22 oktober 2012 15:37

We moeten een duidelijk onderscheid maken tussen de mogelijkheden die de NSA van elk land heeft en de gemiddelde inbreker.

Op het moment dat het zo vreselijk simpel is dat elke Janmaat het kan, dan is er dus stront aan de knikker en er is imagoschade.

Verder zijn het ontzettende ambtenaartjes die vervoersorganisaties. Natuurlijk niemand daar heeft enig idee waartoe de NSA's in staat zijn.

Nu gaan ze natuurlijk het NOOIT beveligd krijgen tegen de NSA's. Dat mag niet eens.

Algoritmes die 100x beter zijn zoals AES, vergis je niet, die gaan maar tot 'secret' informatie. Met andere woorden - dat is kraakbaar door de NSA's.

Algoritmes die top secret beveiligen kunnen, die zul je niet snel vinden op het net.

Echter waar de standaard symmetrische manier van encrypten AES is op dit moment en wel 128 tot 256 bits, in toenemende mate meer 256 bits, daar lopen de in China geproduceerde kaartjes natuurlijk zwaar achter.

Die zitten nog in de jaren 80.

Je moet je geen illusies maken dat simpele beveiligingetjes uit de jaren 80 nog enige kans maken cryptografisch gesproken in 2012.

bwerg @hardwareaddict • 22 oktober 2012 16:17

Algoritmes die top secret beveiligen kunnen, die zul je niet snel vinden op het net.
...
Je moet je geen illusies maken dat simpele beveiligingetjes uit de jaren 80 nog enige kans maken cryptografisch gesproken in 2012.

RSA is oud, en uitgebreid besproken op internet. Probeer maar eens een goed geïmplementeerde 2048-bit RSA-crypto te breken. Dat gaat geen enkele NSA lukken (behalve door de key op andere manieren te achterhalen, maar dat werkt tegen elk algoritme).

De tijd dat "security by obscurity" nog dé manier was ligt al ver achter ons. Open algoritmes worden vaak als het sterkste beschouwd.

[Reactie gewijzigd door bwerg op 29 juli 2024 20:45]

mae-t.net @hardwareaddict • 22 oktober 2012 17:17

Ook hier vergeet je dat de rekenkracht die nodig is om een algoritme brute force te kraken, exponentieel toeneemt met de lengte van de sleutel. Als een verouderd algoritme verder foutloos is, kan je dus nog tijd lang volstaan met zo nu en dan de lengte te verdubbelen zonder dat de beveiliging slechter wordt dan hij initieel was.

deadinspace @hardwareaddict • 23 oktober 2012 10:00

Nu gaan ze natuurlijk het NOOIT beveligd krijgen tegen de NSA's. Dat mag niet eens.

Ja, dat dat zogenaamd niet zou mogen postte je eerder ook al. Ik heb daar al uitgebreid op gereageerd.

En dat je iets zogenaamd NOOIT beveiligd krijgt zie ik je ook graag roepen, maar er is werkelijk geen enkele indicatie dat de NSA (of wat voor organisatie dan ook) crypto kan kraken die de rest van de wereld niet kan kraken. O, ze hebben vast bakken rekenkracht, maar dat helpt niet tegen degelijke crypto. En ze hebben vast slimme mensen in dienst die fouten kunnen ontdekken in een slechte implementatie, maar dat helpt niet tegen goede implementaties.

De enige manier waarop de NSA/whatever een echte voorsprong heeft is door een echte zwakheid in AES of RSA gevonden te hebben. En daar is, nogmaals, geen enkele indicatie voor.

Algoritmes die 100x beter zijn zoals AES, vergis je niet, die gaan maar tot 'secret' informatie. Met andere woorden - dat is kraakbaar door de NSA's.

Welke geheimzinnige algoritmes die zogenaamd 100x beter zijn dan AES heb je het over? Je posts staan altijd vol met dergelijke vaagheden.

En AES zelf gaat voor de U.S. overheid gewoon tot "top secret", zie bijvoorbeeld Wikipedia:

The design and strength of all key lengths of the AES algorithm (i.e., 128, 192 and 256) are sufficient to protect classified information up to the SECRET level. TOP SECRET information will require use of either the 192 or 256 key lengths.

Algoritmes die top secret beveiligen kunnen, die zul je niet snel vinden op het net.

Ehh, fout. *wijst naar AES-256*

Je moet je geen illusies maken dat simpele beveiligingetjes uit de jaren 80 nog enige kans maken cryptografisch gesproken in 2012.

Het is al eerder genoemd, maar RSA is het eerst gepubliceerd in '77, en die houdt het aardig uit...

mae-t.net @hardwareaddict • 22 oktober 2012 17:08

Enorme hardware... Je weet dat bij een goed algoritme de benodigde rekentijd exponentieel stijgt met de keylengte? Zolang nog niet kan worden aangetoond dat P = NP, zal enorme hardware NOOIT voldoende zijn om een beetje fatsoenlijke versleuteling te kraken.

Verder gaat Wassenaar bij mijn weten alleen maar over export. Er zijn voldoende vrije systemen die door Australische cryptografen zelf geïmplementeerd kunnen worden, als dat al nodig zou blijken te zijn (ik heb nog niet gelezen of de fout misschien triviaal was en niet in het algoritme zelf zat -> komt ook heel vaak voor).

Tenslotte voornamelijk uit nieuwsgierigheid de vraag waarom goede cryptografie duur is?

[Reactie gewijzigd door mae-t.net op 29 juli 2024 20:45]

The Reeferman @mae-t.net • 23 oktober 2012 02:11

De NSA is een supercomputer aan het bouwen die alle gebruikte encrytie moet gaan kunnen kraken. Eerst veel verzamelen en dan patronen zoeken. Ze hebben er 2 miljard dollar voor uitgetrokken.

bron: http://www.forbes.com/sit...-worlds-strongest-crypto/

it details the Agency’s plans to crack AES encryption, the cryptographic standard certified by the NSA itself in 2009 for military and government use and until now considered uncrackable in any amount of time relevant to mortals.

Using what will likely be the world’s fastest supercomputer and the world’s largest data storage and analysis facility, the NSA plans to comb unimaginably voluminous troves of messages for patterns they could use to crack AES and weaker encryption schemesWhen the Department of Energy began a supercomputing project in 2004 that took the title of the world’s fastest known computer from IBM in 2009 with its “Jaguar” system, it simultaneously created a secret track for the same program focused on cracking codes. The project took place in a $41 million, 214,000 square foot building at Oak Ridge National Lab with 318 scientists and other staff. The supercomputer produced there was faster than the so-called “world’s fastest” Jaguar.
The NSA project now aims to break the “exaflop barrier” by building a supercomputer a hundred times faster than the fastest existing today, the Japanese “K Computer.” That code-breaking system is projected to use 200 megawatts of power, about as much as would power 200,000 homes.

mae-t.net @The Reeferman • 23 oktober 2012 18:15

En dan verviervoudig je de keylengte, of je gebruikt een ander algoritme met een beetje lange key en die dure computer is ineens verouderd.

Pixeltje

@chrisborst • 22 oktober 2012 13:40

En als je verder denkt dan alleen zwartrijden? Informatie over een gekoppelde bankrekening, namen, adresgegevens en de hele rambam die je invult bij het kopen van een OV-chipkaart ligt hiermee in principe op straat. Die informatie kan interessant zijn voor sommige boeven en ík wil die informatie niet op straat hebben liggen.

De vervoersbedrijven kennelijk ook niet, anders zouden ze helemaal geen encryptie toe hoeven passen. Behalve dat dit behoorlijke imagoschade kan opleveren kunnen ze in de toekomst wellicht te maken krijgen met schadeclaims van mensen bij wie de kaart leeggetrokken is.

PolarBear @Pixeltje • 22 oktober 2012 14:03

En als je verder denkt dan alleen zwartrijden? Informatie over een gekoppelde bankrekening, namen, adresgegevens en de hele rambam die je invult bij het kopen van een OV-chipkaart ligt hiermee in principe op straat. Die informatie kan interessant zijn voor sommige boeven en ík wil die informatie niet op straat hebben liggen.

Die informatie staat niet op de chip maar in een database bij het OV bedrijf (of de partij die het OV chip verkeer afhandelt). Net als bij een Chipknip staat er alleen geld op en hangen niet al je bankgevens aan de chipknip.

PiepPiep @PolarBear • 22 oktober 2012 15:27

Als mijn ov-chip automatisch opgeladen wordt als mijn saldo telaag wordt vind ik het toch wel erg vervelend als iemand anders mijn kaart kan klonen om zo op mijn kosten te rijden.

Pixeltje

@PolarBear • 22 oktober 2012 15:12

Ja maar op t moment dat de chip gekraakt is zal de verbinding naar de database ook niet meer heel lastig zijn.

Als jij bij een oplaadpunt staat trekt die automaat gewoon gegevens uit de database en zijn dus te onderscheppen.

Anoniem: 310408 @Pixeltje • 22 oktober 2012 15:30

Je poneert nu snelle stellingen maar ik zie het nog niet gebeuren dat je vanaf een kaartlezer de database van een vervoersmaatschappij gaat downloaded. Waarom moeten mensen hier het toch altijd erger maken dan het is?

Deze hack laat mensen meerijden zonder te betalen. Zoals ik 30 jaar geleden deed door bijenwas op de kaartjes te doen. Vervelend voor het bedrijf, vervelend voor de reizigers die wel betalen maar een enorm privacy risico? Nee.

Totdat jij met meer bewijzen komt is het allemaal een heel klein stormpje in een borrelglaasje water.

Anoniem: 399807 @Anoniem: 310408 • 23 oktober 2012 14:17

Naïviteit Elke dag lezen we hier over een beveiligingsprobleem. Is het niet een hack dan is het wel een SQL injectie of wat dan ook. Eigenlijk moeten we de bewijslast omdraaien. Bewijs jij maar dat dit veilig is.

Wat ik waarneem als ik de wereld in tuur is dat er altijd een mogelijkheid wordt gevonden om zaken te combineren. Achteraf blijkt altijd dat een of andere slimmerik iets kan met een stukje data op een pas of een lijntje naar een database.

We weten ook dat mensen met een grote bek de halve wereld hebben. Je belt een bedrijf op met wat gegevens van een gehackte pas en ze geloven dat jij de bezitter bent en je kunt van alles te weten komen.

Journalisten doen dat, privé detectives en corrupten in allerlei beroepen.

mrdemc @Pixeltje • 22 oktober 2012 14:04

Ik kan toch wel aannemen dat die informatie op de systemen van de payment provider staan en niet op de chip van je ov-kaart... Als dat wel zo is mogen ze wat mij betreft een grote schop onder hun kont.
Neemt natuurlijk niet weg dat de payment provider dan wel goed beveiligd moet zijn maar dat is over het algemeen wel zo en dat is in dit geval ook niet het punt dat is gehacked.

Moartn @chrisborst • 22 oktober 2012 13:41

Jep is ook zo. Als de kosten van het misbruik lager zijn dan de kosten voor vervanging, dan is het gewoon niet rendabel om er iets aan te doen. Is niets om je druk over te maken, zo werkt het in de echte wereld nu eenmaal.

Overigens hebben dit soort onderzoeken wel nut: bij de ov-chipkaart zijn door vergelijkbare onderzoeken zeker verbeteringen aangebracht. Nieuwe kaarten gebruiken een veel betere beveiliging voor zover ik weet. Dat lost in ieder geval op termijn het probleem op (tot die nieuwe beveiliging weer gekraakt wordt natuurlijk, maar dat heb je altijd)

himlims_ @chrisborst • 22 oktober 2012 15:35

In NLD gaat de NS daar zeker wel actief tegenin! Ik ben gedagvaardigd voor 60.000euro dat wij onze instructies + downloads online lieten staan. Zaterdag kwamen er hits van intranet.prorail binnen, maandag lag brief van rechtbank in de bus.

real[B]art @chrisborst • 22 oktober 2012 15:56

Het is goed dat dit soort zwakheden worden gevonden, maar het lijkt mij niet noodzakelijk om er meteen wat aan te gaan doen. 99.9% van de mensen gaat nooit op die manier zwartrijden.

Het zal inderdaad een afweging zijn van kosten en baten.
In een rapport van Trans Link Systems van 24 februari 2011 wordt gesteld in paragraaf 6.2 dat alleen al de invoering van de chipkaart als enig vervoerbewijs bij het GVB (Amsterdam) en RET (Rotterdam) het zwartrijden heeft gereduceerd met € 7 à 8 miljoen per jaar.
Er is voor de betrokken bedrijven geen directe aanleiding om de chipkaart beter te beveiligen (wat meer geld kost) zolang er met de chipkaart op minder grote schaal dan met papieren kaartjes wordt gefraudeerd en geen grootschalige fraude plaats vindt met mensen hun gegevens, reistegoed, e.d.

Anoniem: 314510 22 oktober 2012 13:44

Als deze 4 het uitlsuitend voor zichzelf zouden hebben gedaan, heb ik er inderdaad geen moeite mee.

Het bekend maken, mogelijkheden bieden aan anderen, het eenvoudig kopieren door er een boodschappen lijstje van te maken, heb ik wel moeite mee.
(Zoals dat destijds hier in Nederland is gebeurd.)

De rekening is namelijk altijd voor de massa, en het kost de massa al teveel geld.

Vernieuwing is niet altijd vooruitgang, wat mij betreft had de strippenkaart nog een zonnige toekomst.
Nu reis ik gewoon nooit meer met het openbaar vervoer.
En zij die al regelmatig het OV gebruikten, reisden naar waarschijnlijkheid al met een abonnement.

Echte dikke #FAIL, nog steeds die OV-Chip. Maar nu dan gelukkig niet alleen in Nederland.
Er bestaat denk ik geen veilige chip, dus terug naar de strippenkaart!

PolarBear @Anoniem: 314510 • 22 oktober 2012 14:06

Er bestaat denk ik geen veilige chip, dus terug naar de strippenkaart!

Dat is zo een beetje de slechtste reden om de OV Chipkaart af te schaffen. De strippenkaart was net zo onveilig, misbruik was nog makkelijker (lijm, plakband etc) en namaken is ook niet moeilijk.

hardwareaddict @PolarBear • 22 oktober 2012 15:41

Met de strippenkaart kon big brother niet precies weten waar hoe en wie en wanneer je reist.

Dat weten ze nu we allemaal bij de overheden. Ik zeg meervoud. Ook Rusland natuurlijk. Maak je geen illusies - die kraken die jaren 80 beveiliging wel, idemdito de communicatie van de knooppunten met elkaar.

Ze weten in Moskou meer over een aantal Nederlandse burgers, dan in Den Haag.

mae-t.net @hardwareaddict • 22 oktober 2012 17:24

Ik denk niet dat het gevaar uit Moskou komt. Die hebben binnenlands op het moment veel grotere zorgen en bovendien geen reden om hier massaal individuele burgers in de gaten te houden of te benadelen. Onze eigen overheid heeft die redenen kennelijk wel, dus laten we beginnen met die kritischer te benaderen.

Aan de andere kant staat dat dan weer volledig los van het onderwerp van encryptie. Die gebruik je immers om afdoende beveiliging tegen buitenstaanders op te werpen. Aangezien treinkaartjes voor de KGB en CIA minder interessant zijn dan voor de diverse binnenlandse partijen die toch al toegang hebben of kunnen krijgen tot de databases, is die beveiliging gericht op zwartrijders. Daarvoor kan je volstaan met een minder goede beveiliging, maar duidelijk niet zo slecht als die in Nederland of Australië.

[Reactie gewijzigd door mae-t.net op 29 juli 2024 20:45]

The Zep Man

Netwerk en systeembeheer

@PolarBear • 22 oktober 2012 15:36

[...]

Dat is zo een beetje de slechtste reden om de OV Chipkaart af te schaffen. De strippenkaart was net zo onveilig, misbruik was nog makkelijker (lijm, plakband etc) en namaken is ook niet moeilijk.

Maar met het namaken van strippenkaarten worden individuen niet benadeeld. Hooguit de reizende populatie als geheel (door hogere tarieven).

Door een OV-chipkaart te klonen is het mogelijk om identiteitsdiefstal te plegen. Met een strippenkaart kan dat niet, aangezien deze niet gepersonaliseerd is.

Conclusie: de strippenkaart is veiliger, aangezien het minder vormen van ernstige fraude toestaat.

mrdemc @Anoniem: 314510 • 22 oktober 2012 14:06

Bestaat wel maar is bewust uit kostenoverweging niet gebruikt. NXP was dacht ik de fabrikant van de chip en die zegt er ook bij dat dit een verouderde chip (die bij de vorige nederlandse OV-chipkaart gebruikt werd) is en dat er beter voor een nieuwere kan worden gekozen. Ze verkopen het echter wel nog steeds. Volgens mij was dit trouwens ook het geval met de chips in de toegangspasjes voor Nederlandse overheidsgebouwen.

Op dit item kan niet meer gereageerd worden.

Australische onderzoekers kraken encryptie ov-bedrijf

Lees meer

IT-banen

Reacties (34)

Sorteer op:

Weergave: