Onderzoekers kraken betaalpas Duitse universiteiten

Onderzoekers hebben een betaalsysteem gekraakt dat in veel Duitse universiteiten wordt gebruikt. Ze hackten de notoir onveilige chip in de kaart, die ook in de Nederlandse ov-chipkaart zat. Er bleek geen enkele controle op frauduleuze transacties te zijn.

Timo Kasper, lid van het onderzoeksteam aan de Ruhr-universiteit dat de kaart onder de loep nam, presenteerde de bevindingen tijdens de CCC-beveiligingsconferentie in Hamburg. De kaart die de onderzoekers onder de loep namen, met de naam MensaCard, wordt vooral gebruikt om te betalen in kantines van universiteiten. "Ze worden ook gebruikt in kantines van bedrijven, maar sowieso in alle universiteiten", aldus Kasper tegen Tweakers. Er zouden een miljoen van de kaarten in omloop zijn.

Wat het onderzoek vergemakkelijkte, is dat de kaart een Mifare Classic 1K-chip van NXP bevat. Die chip werd ook gebruikt in de Nederlandse ov-chipkaart, maar is inmiddels omgeruild voor een veiligere chip, hoewel er nog veel onveilige kaarten in omloop zijn. De onderzoekers noemen de implementatie van de chip in de MensaCard het 'slechtste betaalsysteem ooit', onder meer omdat alle kaarten dezelfde private key bevatten. Dat maakte misbruik extra makkelijk. Ook was de geldbalans op de kaarten opgeslagen als platte tekst, wat het makkelijk maakte om het saldo te manipuleren.

Daarnaast vond er op transacties geen controle plaats. De onderzoekers waren in staat om zelf frauduleuze kaarten uit te geven en daarmee te betalen; het systeem controleerde niet of de gebruikte kaart überhaupt bestond. "Er was geen enkele controle in de back-end" aldus Kasper. Daarnaast wisten ze de kaart te emuleren op telefoons met near field communication. Daarbij schreven ze software die bij elke transactie een nieuwe kaart emuleerde. "Dat maakt het een stuk moeilijker om fraude te detecteren", stelt Kasper.

De onderzoekers konden niet alleen gratis afrekenen in kantines, maar wisten het saldo op de kaarten ook om te zetten in 'echt' geld. Daartoe kochten ze een anonieme MensaCard van tien euro, waarna ze de kaarten hackten en er het maximumbedrag van 150 euro op zetten. Vervolgens leverden ze de kaart in bij de universiteit, waarna ze het saldo op de kaart in briefgeld terugkregen.

Het team presenteerde daarnaast een kleine rfid-kaartlezer waarmee kaarten met een aantal chips van NXP, waaronder de Classic en de DESfire EV1, kunnen worden getest. Eerder kraakten de onderzoekers een toegangssysteem van Siemens dat werd gebruikt om ruimten en liften te beveiligen; ze konden met een gemanipuleerde kaart elke ruimte betreden. Ook manipuleerden ze een bepaald type autoslot dat op afstand kan worden geopend.

IT-banen

Reacties (46)

godofal 29 december 2012 22:02

dit moet bekend zijn geweest
wat ik me afvraag is of ze niet gewoon hebben gezegd van "betere beveiliging kost teveel, bij onveiligheid zal het systeem misbruikt worden maar dat kost minder dan het beter beveiligen"

volgens mij wordt er vaak zo gedacht: onveiligheid kost wat geld maar beter beveiligen veel meer

Eagle Creek

@godofal • 29 december 2012 22:38

Je hebt 4x een 0 Off-topic / Irrelevant maar dat vind ik volkomen onterecht. Wat jij benoemt is namelijk hetgeen wat heel vaak gebeurt. En tot op zekere hoogte ook terecht gebeurt!

Uiteindelijk draait alles om geld. Ook beveiliging is een aspect van kosten/baten. Men schat in hoe groot de kans is op misbruik en hoeveel dat misbruik dan kost. Op basis daarvan schat men in hoeveel de beveiliging kan kosten. Diezelfde afweging is gemaakt bij de OV-chipkaart. Dat de afweging een gevaarlijke kan zijn en de gevolgen dikwijls worden onderschat, is een ander hoofdstuk.

Er wordt wel eens gezegd "alles is te hacken". Dat is compleet de andere kant. Maar je kan idioot hoge bedragen investeren in een beveiliging, maar als de schadelijke gevolgen bij een mindere beveiliging maar een fractie zouden bedragen van de investeringskosten, dan is voor 9/10 bedrijven de keuze snel gemaakt.

[Reactie gewijzigd door Eagle Creek op 23 juli 2024 02:20]

Anoniem: 382732 @godofal • 29 december 2012 22:34

Klopt. De kosten die je moet maken om het veiliger te maken moeten natuurlijk wel in verhouding staan tot de mogelijke schade. Je gaat geen miljoen investeren om 10.000 euro schade te voorkomen. Basiskennis risk management.

biglia 29 december 2012 22:37

De kosten voor extra beveiliging loopt hoger op dan het bedrag dat je eventueel bij fraude moet vergoeden. Zeker bij deze toepassing, zal het systeem niet uitgebuit worden door criminele bendes die hiermee miljoenen € buiten kunnen maken. Sterker nog: niemand gaat dit systeem uitbuiten voor enkele euro's wanneer de kans bestaat dat je onslagen wordt of van de universiteit wordt gegooid als het ontdekt wordt. Dus puur vanuit het management standpunt, begrijp ik deze beslissing.

[Reactie gewijzigd door biglia op 23 juli 2024 02:20]

Bokkiej @biglia • 29 december 2012 23:31

Ik vraag me in zulke gevallen af: wat is er mis met de chipknip gebruiken? Zijn de kosten per transactie zoveel hoger dan als je helemaal zelf een systeem moet regelen?

edit: (oeps, verkeerd niveau... irritant vanaf mobiel

)

[Reactie gewijzigd door Bokkiej op 23 juli 2024 02:20]

EG Mike @Bokkiej • 29 december 2012 23:41

Onveiligheid. Met je Chipknip ga je geen auto kopen en daarom is ook het saldo gelimiteerd.

De kosten per transactie zijn niet perse veel hoger, maar als jij je pinpas met 5euro Chipknip tegoed kwijtraakt kan ik met jou gevonden pas de 5 euro betalen voor mijn kratje bier, maar aan jou betaalrekening kan ik niet aankomen.

5euro kwijt, jammer dan, maar geen ramp. Zo is hetzelfde met die betaalpasjes. Hier draai je geen miljoenen verlies op. Kosten/Baten is uiteindelijk waar ALLES in de wereld om draait (Zelfs liefde..)

Bokkiej @EG Mike • 30 december 2012 13:29

mijn vraag was volgens mij anders dan waar jij antwoord op geeft: waarom gebruikt de universiteit niet een chipknip systeem? Daar gaat het juist ook om kleine transacties. Waarom zelf moeilijk doen als er al een prima werkend systeem is? Dat zal ook wel iets met kosten en baten zijn, maar ik weet nog niet waar hem dan die extra kosten in zitten.

EG Mike @Bokkiej • 31 december 2012 05:00

Sorry, begreep je reactie verkeerd! Je hebt je eerste zin aangepast, of ik heb ontzettend fout gelezen !

Chipknip is een Belgisch concept he (Proton heet(te) het daar), vergeet dat niet. Ik weet niet of er een vergelijkbaar systeem in Duitsland bestaat.

Maar dit heeft inderdaad met transactie kosten te maken lijkt mij. Ik heb ooit ergens gelezen dat een Chipknip transactie rond de 5 cent (excl BTW) kost. Dat is nu, met de gedaalde kosten van een PIN transactie, duurder.

Nogmaals, ik zou het niet precies weten. misschien iemand anders?

laadmin @biglia • 31 december 2012 02:45

Een kaart waarop je zelf het saldo kan aanpassen en de transacties niet gecontroleerd worden. Hoe gaat iemand daar ooit achterkomen?

the_leonater 29 december 2012 22:15

Om te beginnen: ik vind het goed dat er hackers bestaan.
Zo kunnen we lekken dichten voor ze ontdekt worden en worden misbruikt voor criminele doeleinden.

Maar mij roept daarom nu juist de wantrouwende vraag op, hoeveel fraude is er al gepleegd sinds dit aan het licht kwam?
En hoe weten we zeker dat de betreffende hackers niet zelf een graantje mee hebben gepikt en er niet met een geldbedrag vandoor zijn gegaan?

Wat mij betreft moet hacken gecontroleerder gaan, iedereen mag (zoals ik het voor zover kan nalezen) deze vorm van fraude blijven plegen zonder opgepakt te worden, op enkele rechtzaken na. (dit gebeurd pas na heel veel media aandacht of zeer grote financiele schade)
Dit is niet alleen in Duitsland waar dit nu het geval is maar wereldwijd.

Mijn tip aan de overheden van de hele wereld:
(behalve de sushi landen, daar kun je toch niks van op aan op dit gebied)

Richt een organisatie op van een paar goede en betrouwbare hackers in elk land en zorg ervoor dat lekken gedicht worden, doe dit van mijn part met heel Europa, zodat landen van elkaar beveiligingslekken kunnen dichten. (dit voorkomt partijdigheid)

Wel is de vraag hoe alles transparant moet worden zodat bijvoorbeeld als een lek in een bedrijfstak van de overheid zit, dit natuurlijk net zo snel moeten blijven te horen als bijvoorbeeld er een lek in het betaalsysteem van de Hema zit, om maar een voorbeeld te noemen.

Ik denk dat wij als Nederlanders privacy best hoog in het vaandel hebben staan.
En dat we best bereid zijn om 1 euro per jaar (nog meer!) belasting willen betalen

[Reactie gewijzigd door the_leonater op 23 juli 2024 02:20]

EG Mike @the_leonater • 29 december 2012 22:52

En hoe weten we zeker dat de betreffende hackers niet zelf een graantje mee hebben gepikt en er niet met een geldbedrag vandoor zijn gegaan?

Mensen zien vaak over het hoofd wat 'hackers' nou precies zijn. Een quote van wikipedia over wat een Hack nou precies is:

"Hacken is het vinden van toepassingen die niet door de maker van het middel bedoeld zijn, speciaal met betrekking tot computers. Complexiteit speelt hierbij geen rol, integendeel, gemakkelijke en snelle alternatieve oplossingen hebben de voorkeur. Ook het gebruik van een wasknijper om te voorkomen dat je broekspijp tussen je fietsketting komt is in principe een hack. "Gewone" uitvindingen en verbeteringen zijn dus geen hacks, zolang ze gebruikt worden waarvoor ze gemaakt zijn."

Waar iedereen hackers mee verward zijn de zgn. 'Crackers'. Dit zijn de personen die hacks (zoals hierboven beschreven) gebruiken/misbruiken om hier hun voordeel mee uit te slaan. Dat voordeel kan op allerlei manieren gewonnen worden, lang niet altijd financieel.

Dit wil overigens niet zeggen dat hoe rechtvaardig of onschuldig een hack ook is, dat het altijd legaal is. Als jij code manipuleert van een closed-source platform ben je net zo strafbaar bezig dan wanneer je ongevraagd even bij de buren inbreekt om hun WiFi routertje beter te gaan beveiligen voor ze.

Richt een organisatie op van een paar goede en betrouwbare hackers in elk land en zorg ervoor dat lekken gedicht worden, doe dit van mijn part met heel Europa, zodat landen van elkaar beveiligingslekken kunnen dichten. (dit voorkomt partijdigheid)

Hoe zie je dit dan voor je?

Een X aantal full-time hackers die op een hoop niet-opensource packets lekken moeten gaan dichten? Nah.

Ik denk dat wij als Nederlanders privacy best hoog in het vaandel hebben staan.
En dat we best bereid zijn om 1 euro per jaar (nog meer!) belasting willen betalen

Jij en ik misschien wel, en een groot deel van de tweakers hier ook nog wel; Het is erg naief om te denken dat 'wij Nederlandsers privacy hoog in het vaandel hebben staan'. Kijk eens op een gemiddelde zaterdagavond op je Facebook? Je kan van 80% van de posters zien waar ze precies uithangen. Hoelaat ze thuis weg zijn gegaan, of ze alleen thuis zijn, waar hun huis precies staat, ga zo maar door. Privacy-behoefte hoog? Don't think so.

Morbide @the_leonater • 29 december 2012 23:00

Het was een onderzoeksteam van de universiteit zelf dat de kwetsbaarheid aan het licht bracht, niet een bende malafide hackers. Er is vervolgens aangetoond wat er allemaal kan qua misbruik om overtuigend aan te tonen dat er geïnvesteerd moet worden in beveiling.

De gemiddelde Nederlander is imho eerder van het wie niks te verbergen heeft...

Anoniem: 382732 @the_leonater • 29 december 2012 22:35

(behalve de sushi landen, daar kun je toch niks van op aan op dit gebied)

Dat is alleen Japan....

Amanoo @Anoniem: 382732 • 31 december 2012 02:22

En die zijn juist bekend om hun technologische kennis. Maar ach, alles uit Azië is een pot nat he? Net als Afrika, daar is het een grote savanne met hyena's. Wat is nu het verschil tussen Egypte, Kongo en Zuid-Afrika? Of tussen Nederlanders, lui uit de VS en Brazilianen? Alle sarcasme op een stokje: wat in de reactie hierboven gebeurt is toch wel het toppunt van over een kam scheren zeg.

boelensman1 @the_leonater • 29 december 2012 22:53

(behalve de sushi landen, daar kun je toch niks van op aan op dit gebied)

Hoewel het niet ontopic is, zou ik hier graag op in gaan.

A. Sushi word vooral gegeten in Japan, dat land heeft een geheel vrij internet en heeft werkelijk geen bijzonderheden wat betreft censuur vergeleken met bijvoorbeeld nederland.
B. Van alle dingen die china (waar je het waarschijnlijk over hebt) exporteerd, zoals waarschijnlijk het toetsenbord waar je nu op typed, is sushi waarschijnlijk het minst belangrijk (volgens mij exporteerd china uberhaubt geen sushi). Een beetje respect naar landen die 80% van de technologie produceren mag ook wel.
C. Ik vind dit gewoon een indruk wekken alsof je aziaten ondergeschikt vind aan ariërs.

Ontopic: Hoewel het misschien in theorie een goed idee lijkt, is dit in de praktijk niet haalbaar. Vertrouw jij een ander land voldoende om ze te laten zoeken naar lekken in je banken of electriciteitscentrales? Vergeet niet dat je door deze zaken te saboteren een land vrijwel volledig lam kan leggen.

[Reactie gewijzigd door boelensman1 op 23 juli 2024 02:20]

EG Mike @boelensman1 • 29 december 2012 23:12

Om even offtopic door te gaan op dit; ik vind de opmerking 'sushi-landen' niet helemaal politiek correct (naast dat de toepassing van deze woordkeuze ook nogeens volstrekt verkeerd) is, maar jou opmerkingen hierover zijn ook niet mis.

A. Sushi word vooral gegeten in Japan, dat land heeft een geheel vrij internet en heeft werkelijk geen bijzonderheden wat betreft censuur vergeleken met bijvoorbeeld nederland.

Om het maar niet over Porno uit Japan te hebben

Kan je die Tsunami en de Fukushima ramp nog herrinderen?

"The government charges that the damage caused by earthquakes and by the nuclear accident are being magnified by irresponsible rumors, and the government must take action for the sake of the public good. The project team has begun to send “letters of request” to such organizations as telephone companies, internet providers, cable television stations, and others, demanding that they “take adequate measures based on the guidelines in response to illegal information. ”The measures include erasing any information from internet sites that the authorities deem harmful to public order and morality."

Volgens mij is dit toch echt een stapje verder dan normale censuur. Dit zijn Chinese praktijken.

B. Van alle dingen die china (waar je het waarschijnlijk over hebt) exporteerd, zoals waarschijnlijk het toetsenbord waar je nu op typed, is sushi waarschijnlijk het minst belangrijk (volgens mij exporteerd china uberhaubt geen sushi). Een beetje respect naar landen die 80% van de technologie produceren mag ook wel.

Respect is zeker op zijn plaats voor de bevolking van China (niet het land, want het zijn gewoon nep-communisten in mijn ogen), die geen keuze hebben om aan jou of mijn toetsenbord te werken. Maar dat 80% van de technologie uit China komt? Laat me niet lachen. 80% van de PRODUCTIE misschien, maar research and development wordt toch ook wel elders in de wereld gedaan. Ik ga hier niet met cijfers en feiten strooien, want ik neem de moeite niet om bronnen te zoeken aangezien dit volstrekt off-topic is.

C. Ik vind dit gewoon een indruk wekken alsof je aziaten ondergeschikt vind aan ariërs.

Leer eerst eens even wat over rassen, voordat je met zulke heftige beschuldigingen komt. Ariërs, zijn van oorsprong de Iraanse bevolking. Waar jij waarschijnlijk op doeld is het Arische Ras dat door de Nazi's tijdens de tweede wereldoorlog is bedacht in de Rassenleer. Het Arische Ras is wel degelijk iets anders dan Ariërs.

Amanoo @the_leonater • 31 december 2012 02:15

Offtopic, maar je weet dat er maar een sushi land bestaat, en dat is Japan? En laat nu juist dit land de reputatie hebben toch behoorlijk wat kennis van zeer moderne, als niet futuristische, technologie te bezitten.

ultimasnake 29 december 2012 21:56

Lekker suf, in de tijd dat ik op school zat had de kantine een 'chippas' geintroduceert om te betalen en als enige IT-klas (gefaalde opleiding op een grafische school) kwamen wij er al snel achter dat met een simpele chiplezer/schrijver wij de bedragen konden aanpassen (kleine hackertjes dat we er waren!).

We hebben dit een tijdje uitgeprobeerd en toen maar aan de bel getrokken, maar goed dat is inmiddels alweer 10 jaar geleden. Je zou verwachten dat men na 'Mifare-gate' men wel beter zou weten, vooral als het gaat om alle universiteiten in duitsland zou het me niet verbazen als programmeurtjes in opleiding dit al lang en breed misbruikte.

Vooral het gebrek aan controle op bestaande/nieuwe kaarten is wel erg laks, want niemand die dan ooit erachter kan komen of er vaker gefraudeerd is met een pas of niet. Als je een pas indentificeert kan je dit altijd synchroniseren met een saldo. Uberhaupt zou je in dit geval het saldo remote dienen op te slaan en alleen de chip moeten gebruiken voor de indentificatie. Volgens mij is dit ook het geval bij de OV-chipkaart met uitzondering dat dit a-synchronised gebeurd maar volgens mij de centrale database leidend is

[Reactie gewijzigd door ultimasnake op 23 juli 2024 02:20]

Niemand_Anders @ultimasnake • 29 december 2012 22:37

Het idee achter betaal kaarten is dat er juist geen actieve controle bij een betaling is. Een betaling via de chipknip is direct. Pinnen duurt veel langer..

Echter de chipknip zit wel een stuk beter in elkaar. Betaalautomaten kunnen alleen transacties toevoegen aan de kaart in een speciaal register. Het oplaadpunt zet het saldo de waarde 'dubbel' op de kaart zowel in plaintext als encrypted. Betaalautomaten encrypten de plain text waarde en controleert deze met de encryptie string gezet door het oplaadpunt. Echter heeft elke kaart zijn eigen sleutel waarvan alleen de publieke sleutel op de kaart staat. De prive sleutel is nodig om de waarde van de kaart te veranderen. Als een kaart in een oplaadpunt wordt geplaatst voor opwaardering of alleen opvragen saldo, worden de transacties uit het register van de waarde afgehaald en wordt de waarde aangepast en is het register weer leeg.

In tegenstelling tot het systeem van de Duitse universiteiten zit er wel een controle op de transacties welke bij Equens worden gedeclareerd door de retailer. Als Equens fraude bespeurt (bijvoorbeeld omdat de betaalautomaat is aangepast en bijvoorbeeld wel transacties bijhoud in de betaalautomaat, maar deze niet (correct) weg schrijft naar de register op de kaart), kan men transacties in quarantaine houden en worden betalingen aan de retailer mogelijk opgeschort..

hardwareaddict @Niemand_Anders • 30 december 2012 08:51

@Niemand_Anders je moet het omkeren wat je zegt. Als er geen actieve controle zou zijn op de chipknip, dan was die natuurlijk direct in elkaar gedonderd.

Elk betaalmiddel, munt, of betaalsysteem heeft actieve inlichtingen- en opsporingsdiensten en justitie met actieve politiediensten nodig, om te kunnen functioneren.

Waarom ze altijd alles overal electronisch willen maken is mij raadsel.

laadmin @hardwareaddict • 31 december 2012 02:41

Hij moet helemaal niets omkeren. Het is gewoon een vaststelling van het verschil tussen ook de chipknip en pinpas.

Het voordeel is dat je geen directe verbinding naar de database nodig hebt (en dus veel sneller+goedkoper in gebruik). Nadeel is dat het wat onveiliger kan zijn, maar als je het gewoon goed beveiligt valt dat reuze mee.

Nas T @ultimasnake • 29 december 2012 22:05

Wij kwamen er op de middelbare ook achter dat de printtegoeden van leerlingen simpelweg in een excel-file bijgehouden werden en te manipuleren waren. Dat is ook al zo'n 10-15 jaar geleden. Geweldige tijd

unXist @Nas T • 29 december 2012 23:35

Wij namen gewoon een usb-printkabel mee en konden die zo inpluggen ^^

Damic @unXist • 30 december 2012 00:06

Wij hadden een privé printer en pc's in de klas staan en zelf naar het einde van het schooljaar toe de nieuwe algemene printer van de school, onze leerkracht en klas titularis (zelfde persoon) was de it man van de school, dus alles kwam eerst in onze klas langs, wel handig. Haj de opleiding was Meet & regeltechniek (veel meet en regel heb ik niet gezien).

WhiteDog @unXist • 30 december 2012 03:38

Bedoel je dan een usb <> lpt kabel of een usb a <> usb b kabel?

Adm.Spock @ultimasnake • 29 december 2012 23:54

Dan was jouw school al aardig modern. Bij mij op school hadden ze nog pasjes met een magneetstrip.

Heel old-school geknutseld met scotch-tape en VHS-tape

memsys 30 december 2012 00:05

Ben ik de enige die de naam van deze kaarten/het systeem ironisch vind ?

uip @memsys • 30 december 2012 00:16

Ah, ik vind de naam van de conferentie dan weer ironisch ...

Anoniem: 462217 @memsys • 30 december 2012 10:08

Is gewoon studenrestaurant in het duits en betekent tafel in het Latijn. Niet zo ver gezocht imo.
http://nl.wikipedia.org/wiki/Mensa_%28eetgelegenheid%29

Teijgetje @memsys • 30 december 2012 22:50

Op Nederlandse universiteiten wordt met de Mensa ook het (studenten)restaurant bedoeld.
De naam van de kaart is dus volkomen logisch, zelfs hier.
Als niet student kan je er ook eten, maar niet tegen studentenprijsjes, maar ook dan kan je een x gangen-maaltijd voor relatief weinig krijgen (soepie-hoofdgerecht vis/vlees/vegetarisch-toetje-drankje-zelf halen/afruimen)

Ik mis inderdaad wat er ironisch aan is.

[Reactie gewijzigd door Teijgetje op 23 juli 2024 02:20]

laadmin @memsys • 31 december 2012 02:48

Ik heb de naam van die IQ club altijd juist "ironish" gevonden. Wie noemt zo'n club nou "tafel"?

Engineer 30 december 2012 03:13

Maar Kasper zit nu wel achter tralies wegens diefstal neem ik aan?

Of mag je bij wijze van experiment wel inene 150 euro witwassen + voer uit de kantine halen?

RobinFM @Engineer • 30 december 2012 11:24

Natuurlijk mag het niet, maar als je er een groter maatschappelijk probleem mee aan het licht brengt wordt je er over het algemeen niet voor vervolgd. Om die reden is Brenno de Winter niet gestraft voor het gratis reizen met een gehackte ov-chipkaart en hoeft Alberto Stegeman niet de nor in voor het inbreken op Schiphol en een legerbasis. Ze hebben aandacht gevestigd op een misstand, en dat kan soms alleen maar door iets te doen wat niet is toegestaan.

dee2me 29 december 2012 23:53

Dat je zo'n kaarten kan kraken met weinig tot geen kennis van IT is toch al lang geweten.
Wij deden dit 10 jaar geleden ook al op school. Alleen was het toen de truk om het huidige saldo van een kaart te gebruiken bij een herlading van een tweede kaart.
Fameus "onderzoek" hoor.

De oplossing is simpel.
1/ Geen anonieme kaarten.
2/ Op het einde van het jaar de boekhouding het saldo laten maken van de uitgaven en de fysieke herladingen. (worden alle 2 bijgehouden en deze zijn niet via de kaarten te manipuleren)

richardkl 30 december 2012 00:55

Ik lees vaak mee op Tweakers en vind de reacties op vele artikelen gegrond. Maar als het maar even over hacken/cracken gaat zie ik veel reacties die nergens op slaan, zo ook in dit bericht.
Als ik een product ontwikkel, en het moet in het nieuws komen en daar heb ik een paar ton negatief voor over, dan laat ik me tegenwoordig hacken. Er is een gegarandeerd succes!
Laat je niet meeslepen in de media g..lheid die er nu is rond deze hype. In het nieuws komen, ook al is het negatief, geeft nou eenmaal naamsbekendheid. En denk je nou heus dat er mensen een akkevietje van een jaar geleden nog hebben onthouden, nee dus, naam is belangrijker.
En ja, Google en de meeste zoekgiganten werken hier prima aan mee, je kan namelijk bepaalde content laten blokken/niet snel laten verschijnen.

dasiro 29 december 2012 22:06

NXP zal haar klanten ondertussen al wel lang hebben ingelicht dat de 1K gecompromitteerd is. Het is gewoon aan de uitbater om over te stappen op een veiliger alternatief of om de kosten op zich te nemen.

ReneX @dasiro • 29 december 2012 22:58

Sterker nog, iedereen die deze chip in een zijn applicatie ging gebruiken heeft bewust gekozen voor een beperkt beveiligingsniveau.

Wat dat betreft is het altijd een kosten/baten afweging, zowel van de kant van de applicatie als van de kant van de "kraker". Als het kraken meer kost dan wat het opbrengt is het weliswaar niet veilig maar is misbruik ook niet interessant, en dat kan voor sommige applicaties voldoende zijn.

Helaas zie je wel dat applicaties zelf aan alle kanten rammelen. Bv de chip zelf als toegangscontrole gebruiken zonder enige andere controle etc.
En helaas heeft de uiteindelijke opdrachtgever vaak geen kennis in huis (dat is geen excuus, maar eerder te verwijten) om te beoordelen of een systeem eigenlijk wel voldoet.

hardwareaddict @ReneX • 30 december 2012 08:58

Wat iedereen voor het gemak altijd vergeet is dat ambtenaren te graag technologie gebruiken waar dat niet mogelijk is, terwijl elke chip altijd actief gekraakt wordt door inlichtingendiensten. Die besteden daar soms heel veel geld aan, want hun eigen NSA moet dat toch doen.

Dan op gegeven moment testen ze 't keertje uit. Per toeval komt jaren later een nerd achter een soortgelijke zwakte, dan denkt zo'n buitenlandse pipo die zijn NSA technologie heeft ook: "goh nu kunnen we 't te gelde maken" en hij stapt naar de lokale mafiabaas die zijn criminelen het systeem laat uitbaten.

Moraal van het verhaal: alles wordt altijd gekraakt en de mafia hoeft de kosten van het kraken nooit te dragen, dus je redenatie slaat kant noch wal.

_Tobias 30 december 2012 21:45

Implementatie vn de chip

Op dit item kan niet meer gereageerd worden.

Onderzoekers kraken betaalpas Duitse universiteiten

Lees meer

IT-banen

Reacties (46)

Sorteer op:

Weergave: