Opensource-applicatie om ov-chipkaarten te klonen verschenen

De eerste opensource-software om rfid-kaarten op basis van de Mifare Classic-chip te klonen, is online verschenen. De Crapto1-tool kan onder meer gebruikt worden om de OV-chipkaart en toegangspasjes te klonen.

Rfid-kaartlezer De code van Crapto1 kan het Crypto-1-versleutelingsalgoritme van de Mifare Classic aanvallen, maar biedt geen onderdelen om de communicatie voor zijn rekening te nemen. De programmeur, die alleen onder zijn pseudoniem Bla bekend wil zijn, laat Webwereld weten dat hij bij het schrijven van zijn kraakgereedschap onder andere het openbare ov-chip-rapport van de Radboud Universiteit heeft gebruikt.

Uit een nadere analyse door enkele experts zou blijken dat de code van Crapto1 functioneert. Met aanvullende software en hardware, zoals de rfid-sniffers Proxmark en Opencd, kunnen bestaande kaarten met een Mifare Classic-chip van NXP Semiconductor daadwerkelijk worden gekloond of gesaboteerd. Een ander gevaar is dat reeds gekraakte sleutels via internet kunnen worden gedeeld. De benodigde hardware voor het lezen en beschrijven van rfid-chips zou niet meer dan 120 euro kosten. In een eerder onderzoek van TNO naar de ov-chipkaart werd nog een bedrag van zesduizend euro genoemd. Ook zou de bestaande chipkaart volgens het onderzoeksbureau nog twee jaar 'houdbaar' zijn, waarna een verbeterde chip gefaseerd zou moeten worden ingevoerd.

Het verschijnen van de eerste opensource-hacktools achterhaalt nu echter de inschatting van TNO. Het lijkt een kwestie van tijd voordat de ov-chipkaart en miljarden andere Mifare-pasjes die wereldwijd in omloop zijn, met succes worden aangevallen. Desondanks liet het GVB in Amsterdam vorige week nog weten dat de ov-chipkaart vanaf 3 november officieel in gebruik zal worden genomen. Uit Rotterdam, momenteel nog een proeftuin voor de chipkaart, klinken soortgelijke geluiden. Uit een steekproef van het AD zou echter blijken dat gemiddeld slechts een op de vijf reizigers momenteel de chipkaart gebruikt.

Lees meer

IT-banen

Reacties (92)

Rob Coops

Beveiliging
Hackers
Encryptie

27 oktober 2008 11:14

De voordelen van de chip kaart:

Nooit meer met geld moeten romelen voor een reisje in het OV
Geen gescheurde, nat geregende of ander zins beschadigde strippen kaarten
Lekker makkelijk, past gewoon naast je bankpasje

De nadelen van de chip kaart:

De staat kan altijd bijhouden waar je op welk moment met het OV reist
De kaarten zijn heel makkelijk te kraken
Je hebt geen direct inzicht meer in wat een reisje kost

De nadelen wegen voor mij niet op tegen de voordelen, ik heb niets te verbergen maar ik vind het wel vervelend dat door rekening rijden (binnen kort) de overheid precies weet waar ik me met mijn auto bevind en dat door de chip kaart ook het OV een grote tracking tool is geworden.
Dat de kosten niet in zichtelijk zijn lijkt niet zo'n groot probleem maar het maakt de weg vrij voor een simpele kosten verhoging die de meeste mensen niet eens op valt, zeker niet als je af en toe met het OV reist.
Dat de kaarten te kraken zijn zal de meeste mensen een worst zijn, maar probeer maar eens aan de bank of de deurwaarder uit te leggen dat je niet voor die 1000,- hebt geriest deze maand. Een computer liegt immers niet en jij bent geregistreerd eigenaar van die kaart dus, eerst betalen en dan bewijzen zo niet dan halen we je huis even leeg. Als je dan ook bedenkt dat als die zelfde kaart in de bus stapte 5 minuten na dat er een misdaad is gepleegt om de hoek en dat de politie wil dat je even langs komt om een verklaring af te leggen en jij naturlijk nooit kan bewijzen dat je niet alleen thuis op de bank zat en TV aan het kijken was dan heb je er toch weer een probleem bij.

Dit systeem gaat er komen niet omdat er ook maar iemand is die het graag wil maar omdat er te veel ambtenaren te veel tijd hebben gestoken in dit project en geen gezicht kunnen verliezen door dit stop te zetten. Er zouden zelfs ministers moeten op stappen als dit project echt gestopt wordt.
Dus over twee jaar kun je bijna geen strippen kaarten meer kopen en over 4 jaar ook geen trein kaartjes meer, over tien jaar werken we nog steeds met de zelfde onveilige kaartjes en is er bij politie en justitie een systeem dat van alle burgers bijhoud, wie, waar, met wie, hoe snel en waar naar toe reist. Niet dat het in een rechtzaal toelaatbaar is als bewijs (dat duurt nog een jaar of 5 langer) maar gewoon omdat het iedereen die zich in de buurt van een misdaad bevond gelijk een interesant doel maakt om in de gaten te houden en natuurlijk ook even kijken waar deze zelfde mensen zich de afgelopen maanden of zelfs jaren zo al bevonden, je weet maar nooit.
Zo zou je dus al snel onderzocht kunnen worden omdat je bijvoorbeeld nog al eens in de zelfde bus/tram zat als een bekende van de politie en ook nog al eens naar de zelfde lokatie bent gereden op ongeveer de zelfde tijd.

b19a
27 oktober 2008 11:47

Dat een systeem kraakbaar is betekent nog niet dat het niet ingevoerd kan worden. Wat is de schade van het klonen van zo'n kaartje? Het beperkt zich tot een gratis openbaar vervoer, niet meteen een levensbedreigende situatie. In tegenstelling tot toegang tot (overheids-) gebouwen blijft de schade beperkt. Ook de bekende strippenkaart kan gekloond worden, geen nieuws onder de zon.

Wat je ook zeker niet moet vergeten is dat de extra inkomsten van de kaart zeker wel opwegen tegen de gedelfde inkomsten door klonen. Het systeem zorgt ervoor dat grijsrijders (wel een kaartje, niet gestempeld) nu wel een geldig reisbewijs aanschaffen. Die inkomsten worden door de NS verwacht veel hoger te zijn door de verliezen aan het klonen van zo'n kaart.

Ze moeten het systeem gewoon gaan invoeren en binnen afzienbare tijd (max 2 jaar) overgaan naar andere chips met betere encryptiemogelijkheden. Op die manier kunnen gebruikers wennen aan de werking van de chipkaart, komen er voor de OV-bedrijven meer geld binnen en ben je van het getouwtrek over die kaart af.

Kama
@b19a • 27 oktober 2008 11:52

Helemaal mee eens. De misgelopen kosten van zwartrijders zullen hoger liggen dan die van gekopieerde kaarten. Bovendien denk ik dat zwartrijders en kaartkopieerders uit voornamelijk hetzelfde publiek bestaan. En of een zwartrijder nou met een kopietje rijdt of zonder chipkaart maakt niet uit. Het levert allebei niks op.

Ik ben ervan overtuigd dat nieuwe technologie alleen een succes kan worden door "early adopters" (pioniers) die de techniek durven in te zetten en het daarmee een boost geven. Alleen op die manier kunnen de ruwe kantjes ervanaf en kan de technologie doorontwikkeld worden. Dankzij partijen als het GVB zullen we binnen afzienbare tijd een goed bruikbaar systeem hebben.

Ik houd er niet van om altijd "de media" de schuld van zaken te geven, maar kraken van nieuwe technologie is wel een item dat altijd goed scoort, ongeacht de relevantie van het feit.

[Reactie gewijzigd door Kama op 27 oktober 2008 11:54]

The Zep Man

Encryptie
Netwerk en systeembeheer
Hackers

@Kama • 27 oktober 2008 14:47

Helemaal mee eens. De misgelopen kosten van zwartrijders zullen hoger liggen dan die van gekopieerde kaarten. Bovendien denk ik dat zwartrijders en kaartkopieerders uit voornamelijk hetzelfde publiek bestaan. En of een zwartrijder nou met een kopietje rijdt of zonder chipkaart maakt niet uit. Het levert allebei niks op.

Dat klopt niet.

Een zwartrijder die zonder chipkaart rijdt, daar heeft niemand direct last van. Dezelfde trein/bus/tram reed toch al. Uiteindelijk worden de kosten gedragen door iedereen die wel een kaartje koopt. Hier heeft iedereen er dus indirect last van, omdat (het excuus wordt gebruikt dat) de prijzen van plaatsbewijzen hiermee omhoog gaan.

Een zwartrijder met gekopieerde chipkaart is wel iemand direct tot last. Ten eerste is er de financiële schade: één enkele persoon moet boeten voor het zwartrijden van één ander, terwijl het systeem voor het publiek is. Natuurlijk kan je proberen je geld terug te halen, maar het is het woord van jou als reiziger tegen een organisatie die het te hulp staan van klanten niet als prioriteit heeft. Bovendien hebben ze al aan je (de gekopieerde pas) verdient, dus is het helpen van jou geen prioriteit.

Dit gaat meteen over op het tweede probleem: de identiteitsdiefstal. Hoe bewijs jij dat je ergens niet was op een bepaald moment? Het gekke is dat jij moet kunnen bewijzen dat je ergens niet was ten tijde, terwijl jouw pas (of een kopie ervan) daar wel langs is gegaan (=schuldig tot het tegendeel is bewezen). Al is het een kopie, dan heb je ook geen aangifte gedaan omdat je niet weet dat hij gekopieerd is totdat het te laat is. Een zwartrijder die enkele honderden euro's van iemand afneemt is op zich niet zo erg, maar een moordenaar die jouw identiteit gebruikt om justitie op een verkeerd pad te zetten wel.

En het controleren van camerabeelden (als er al werkende camera's zijn op de betreffende stations)? Dat is iets wat men zo veel mogelijk vermijd, omdat het veel tijd kost. En waarom niet? Er is toch zo'n heel mooi pasjessysteem waarmee je iedereen zo kan traceren?

Wat wel helpt van deze media-aandacht is dat het nu publiekelijk duidelijk is dat deze passen gekopieerd kunnen worden. Dit is een goed argument voor als een slachtoffer van identiteitsdiefstal voor het hekje zich moet verantwoorden.

[Reactie gewijzigd door The Zep Man op 27 oktober 2008 14:49]

bvk
@The Zep Man • 27 oktober 2008 17:59

Als ze de OV Jaarkaarten gaan kopieren hebben ze alleen de vervoersbedrijven ermee.
Die zijn immers van te voren betaald, er kan/hoeft niets meer van jouw rekening afgeschreven worden.

Maar de NS derft € 3700,- door de kopieerder die vervolgens vrolijk élk poortje openkrijgt...

BlackBeltBob
27 oktober 2008 12:01

Als je gaat kijken naar de fraudegevoeligheid van de bestaande systemen is het OV chipkaart systeem echt niet zo erg denk ik. Hoe veel kost het om treinkaartjes na te maken die een standaard inspectie van conducteurs overleeft? Die gaan echt niet elk kaartje op authenticiteit controleren. Zo'n machine is mijns inziens ook niet zo duur.

Het zelfde geldt voor de strippenkaart. Ook gewoon een stukje dik papier met een hologramstripje erop. Daar komt bij dat je in sommige bussen (bijvoorbeeld de snelbus van Haarlem naar Amsterdam) zelf je eigen kaart moet stempelen. Echt elke keer dat er een controleteam van Connexxion 'mijn bus' in komt halen ze er weer een reiziger uit die niet betaald heeft...

De kraakbaarheid van de beveiliging van de OV chipkaart is op het moment een beetje een hype. Ik vind het feit dat het veeeel meer kost dan begroot eigenlijk veel ernstiger.

[edit: begonnen met post voor de voorgaande twee posts geplaatst waren... ]

[Reactie gewijzigd door BlackBeltBob op 27 oktober 2008 12:05]

scsirob
27 oktober 2008 11:01

Wat is nou echt het voordeel van die OV kaart in vergelijking met een strippenkaart? Voor de reiziger dan, niet voor de almachtige overheid die alles van ons wil weten?

kmf
@scsirob • 27 oktober 2008 11:26

Het voordeel van een goed werkende kaart is te zien in japan, hong kong en andere landen in azie.

Eerst was de kaart bedoeld voor OV, maar het was zo verdomd handig dat je het tegenwoordig bijna overal kan gebruiken. OV, drogisterij, fastfoodketens, distributiemachines.
Werkt zo lekker. Effe met de jas/tas over de lezertje en juiste bedrag wordt afgeschreven.

De doorstroming van mensen is dan ook sterk verhoogd. Ook wel nodig voor de superdrukke OV-infrastructuur van Azie.

In HK krijg je ook nog korting op de OV als je de octopuscard gebruikt.

Anoniem: 130514
@kmf • 27 oktober 2008 11:52

De doorstroor is hier in NL denk ik maximaal de helft van wat het eerst was door die klote poortjes.

Gebeurd regelmatig dat je ja aansluiting (metro) mist door de immense rij voor die poortjes.

johnbetonschaar
@kmf • 27 oktober 2008 17:53

Eerst was de kaart bedoeld voor OV, maar het was zo verdomd handig dat je het tegenwoordig bijna overal kan gebruiken. OV, drogisterij, fastfoodketens, distributiemachines.
Werkt zo lekker. Effe met de jas/tas over de lezertje en juiste bedrag wordt afgeschreven.

Ah een chipknip dus, geniaal idee. Gelukkig dat dat ook zo lekker werkte hier in Nederland, sinds kort kan ik er alleen nog iets mee in de kantine op werk en de parkeerautomaat.

Waarom de vervoersbedrijven niet gewoon op alle stations en in alle bussen een chipknip reader neerzetten is me een raadsel, hier in Eindhoven hebben de bussen dat al en het zou _voor de reiziger_ precies dezelfde voordelen bieden, en veel goedkoper zijn, omdat de apparatuur al bestaat en iedereen zo'n pas heeft.

Yalopa
@kmf • 27 oktober 2008 12:17

Ik heb al een kaart die dat doet, dat heet een visa kaart. ik kan in binnenland en buitenland betalen in het gros van de winkels en restaurants zonder veel omhaal. Moesten ze dat nu eens gebruiken op hun bussen en treinen...

Herko_ter_Horst

@Yalopa • 27 oktober 2008 14:18

Dus elke keer een handtekening of pin-code? Dat is nu net waar je van af bent met dit systeem. Erlangs halen en klaar (in theorie althans).

ATS
@Yalopa • 27 oktober 2008 16:04

Creditcards zijn een extreem dure vorm van betalingsverkeer. Dat wil je dus echt niet voor elk wissewasje zoals twee strippen voor de tram.

CAPSLOCK2000

Netwerk en systeembeheer
Encryptie

@kmf • 27 oktober 2008 16:27

Het voordeel van een goed werkende kaart is te zien in japan, hong kong en andere landen in azie.

[knip]

In HK krijg je ook nog korting op de OV als je de octopuscard gebruikt.

Op zich zie ik de voordelen van zo'n kaart wel. Het grote nadeel ontgaat echter de meeste mensen. De introductie van deze kaart gaat namelijk samen met het invoeren van een grote database waarin precies wordt bijgehouden wie wanneer met het OV reist, en waar naar toe.

De politie en overheid zullen dit een geweldige database vinden om terroristen in te gaan zoeken. Ervaringen uit het verleden hebben echter al lang aan getoond dat ze niet een terrorist gaan vinden, maar wel een hoop onschuldige mensen lastig gaan vallen alvorens een medewerker de hele database op USB key laat slingeren.

Het klinkt misschien wat paranoide, maar ik vind het geen goed idee om de overheid al te gedetailleerde informatie te geven over gewone burgers. Deze overheid kan er al niet mee om gaan, en je weet nooit wie er in de toekomst nog aan de macht gaat komen.

mddd
@scsirob • 27 oktober 2008 11:11

In zijn simpelste vorm zou een ov-kaart een strippenkaart kunnen zijn die nooit op gaat. Je kunt hem met de hand bijvullen (maar dan is het écht haast niets meer dan een strippenkaart) of er zou een veilig systeem kunnen zijn waarbij de kaart aan je rekening is gekoppeld zodat je altijd kunt reizen zonder vooraf te hoeven opwaarderen. Dat zou op zich best een meerwaarde zijn, je kunt dan nooit meer per ongeluk zonder zitten.

Ook het idee van '1 kaart voor alles' (bus, tram, trein, metro) is op zich geen slecht idee, gedacht vanuit het perspectief van de reiziger. Als daar een goedwerkend systeem voor is zou ik er heel blij mee zijn.

Het probleem met dit alles ligt niet in het idee maar in de uitvoering die er vervolgens aan wordt gegeven. Niet alleen de veiligheid, maar ook op andere vlakken. Bijvoorbeeld het punt dat de NS enkele reizen duurder "moest' maken omdat het anders niet zou kunnen. WTF? Als je maar wilt kan het natuurlijk best. De situatie wordt zwaar bemoeilijkt doordat er zoveel partijen bij betrokken zijn die vanuit verschillende bekostigingsmodellen allemaal in 1 systeem geduwd moeten worden.

gassiepaart
@scsirob • 27 oktober 2008 11:07

het idee is leuk: geen gezeur meer met strippenkaarten, treinkaartjes en overstappen, 1 pas voor al het openbaar vervoer.....

Helaas is de uitwerking wat omslachtiger en zal het gemak niet ervaren worden. Zeker als je de volgende ochtend bij het ingangs poortje merkt dat je gister niet uitgecheckt bent en de meter doorgetikt heeft naar 5x Groningen /den haag op en neer.....

gassiepaart
27 oktober 2008 10:53

mooi om te zien hoe de betrokken partijen hun kop in het zand steken door alles gewoon door te laten gaan. En als er dan veelvoudig gefraudeerd gaat worden, zullen de kosten op andere partijen worden verhaald...

Typisch een voorbeeld dat de meeste overheden en andere bestuurlijke organisaties nog geen kaas hebben gegeten van moderne technologieen...

E_E_F
@gassiepaart • 27 oktober 2008 10:56

High-Tech blijft natuurlijk een gebied waar bestuurders en adviseurs vaak weinig kaas van hebben gegeten (ga maar na wie er in de gemeente-raad terechtkomen

).

En natuurlijk gaan de ontwikkelingen ook razendsnel.

En verder zijn verkopers ("relatie-managers" in de hogere echelons ) er natuurlijk heel goed in om vertrouwen te wekken en mooie indrukwekkende verhalen en cijfers te presenteren.
Heb jij nooit onwetend een woekerpolis afgesloten na mooie verhalen over belastingvoordeel en dergelijke? Ik wel. (Bij Ohra (DeltaLoyd) voor degenen die dat interesseert..!)

[Reactie gewijzigd door E_E_F op 27 oktober 2008 11:05]

johnbetonschaar
@E_E_F • 27 oktober 2008 12:23

En verder zijn verkopers ("relatie-managers" in de hogere echelons ) er natuurlijk heel goed in om vertrouwen te wekken en mooie indrukwekkende verhalen en cijfers te presenteren.

Precies, ik vermoed dat er in dit geval wel meer factoren meespelen dan technische onkunde. Zoals economische en juridische bijvoorbeeld. De overheid is naief en kortzichtig genoeg om zich lang geleden al door de pakken van NXP om de vinger te laten winden, voor een mooie 'korting op de kosten van het hele project'. De kans is groot dat daarbij heftige ontbindingsclausules zijn opgesteld waardoor de betrokken bewindsvoerders nu niet mee terug kunnen zonder torenhoge bedragen kwijt te raken.

Komt nog bij dat dit een prestigeproject is, de huidige staatssecretaris die dit op haar bord heeft (Tinke Huizinga) heeft tot op heden nog niks goed gedaan, het OV-chipproject is het laatste grote project waar nog iets van eer aan te behalen valt. Dus ze zal niet graag toegeven dat er nu of in het verleden slechte beslissingen zijn genomen. Als het onder haar bewind is, zou dat haar zoveelste en misschien laatste afgang zijn, zou ze het op besluiten van vorige kabinetten gooien dan had ze ofwel veel eerder (bij aantreden) schoon schip moeten maken, of toen ze nog in de kamer zat feller op de toenmalige minister/staatssecretaris moeten doorvragen.

Met andere woorden: dit project kan maar 2 kanten op: naar een technisch veilige en doordachte oplossing met _nog_ meer kosten dan begroot, _nog_ groter gezichtsverlies, en wellicht zelfs destabilisatie van het departement, of naar een oogkappen-op-en-gaan oplossing waar uiteindelijk reizigers en vervoerbedrijven de dupe van gaan worden en criminelen van gaan profiteren terwijl de verantwoordelijke bewindspersonen buiten schot blijven.

Mooi systeem he, die parlementaire democratie, waarbij de stoelendans na de verkiezingen meer invloed heeft op het beleid dan de goede bedoelingen waarmee mensen hun stem uitbrengen (als ze uberhaupt al weten waarom ze ergens op stemmen).

[Reactie gewijzigd door johnbetonschaar op 27 oktober 2008 17:33]

brabbelaar
@johnbetonschaar • 27 oktober 2008 16:42

Het is inderdaad fascinerend om te zien hoe dit soort processen een heel eigen dynamiek krijgt. Vanuit de luie stoel zie je het al *lang* van tevoren misgaan. Een beetje IT'r stelt gelijk honderd eenvoudige vragen over de encryptie en de houdbaarheid daarvan. Het gaat hier om een chip uit de jaren '90, de rest hoef je al bijna niet meer te horen...
Ik begrijp ook niet waarom de overheid zich niet eerder door de Radboud Uni had laten voorlichten. Het open source model (EU beleid ook nog 'ns) dat zij voorstelden voor de ontwikkeling ligt voor de hand, is relatief goedkoop in ontwikkeling en heeft naar alle waarschijnlijkheid een gedegen uitkomst.

kidde

@brabbelaar • 27 oktober 2008 23:23

Het open source model (EU beleid ook nog 'ns)

Ook Nederlands streven. Het rapport van NL heet - hoe toepasselijk voor het OV:
"Nederland Open in Verbinding".

xesisoj
@johnbetonschaar • 27 oktober 2008 15:27

Wat een gezeur maar weer.

Woon je in Rotterdam eo. ???? Maak je er gebruik van zodat je er een oordeel over hebt, of neem je je mening weer klakkeloos over uit de media.

True, aan het begin werkte het niet allemaal lekker, maar poortjes werden aangepast, systemen verbeterd (oa. van RET op Connexion overstappen, niet 2x basistarief afschrijven). Bij klachten kreeg ik netjes alles teruggestort op mijn rekening.

Maar nu werkt het goed, en volgens mij valt er gewoon geen OV chip systeem te ontwikkelen dat niet te kraken is (net zoals elke systeem te kraken is).

Probeer een de positieve kant in te zien, er komt een pasje voor alles, geen strippen meer tellen, treinkaartjes kopen, geld bij je hebben voor de bus, enige wat je nodig hebt een pasje.

Als je het systeem zelf hebt meegemaakt dan zie je weldegelijk verbetering. Je PIN pas kan je ook kwijtraken en die kan ook geskimmed worden, staat meestal meer geld op dan op je OV chip.

Ik snap ook volkomen dat de RET het gezeur zat is, ze hebben er veel geinvesteerd. In Rotterdam eo. is het gewoon een kwestie van groen sein en de strippenkaart is binnen een week weg.... Gelukkig maar

johnbetonschaar
@xesisoj • 27 oktober 2008 17:27

Nou om heel eerlijk te zijn niks van dat alles. Het enige dat ik zie is een systeem dat a) veel te laat klaar is, b) veel meer kost dan gepland, c) al voor de helft is uitgerold voordat gebleken is of het wel goed gaat werken en d) waar al voordat het volledig operationeel is even makkelijk mee te frauderen is als het verwijderen van een SIMlock. En dat dat systeem wordt betaald uit belastinggeld.

En nu ben jij verbaasd dat ik niet zo positief ben over de gang van zaken rond de OV chip?

Nou vooruit voor jouw roze-bril visie: het is inderdaad een geweldig idee, jammer dat de uitvoering zo ontzettend beroerd is, wat naar mijn bescheiden mening voorkomen had kunnen worden als er eerder naar externe experts was geluisterd. Nu tevreden?

Voor wat betreft de 'onhackbaarheid': ik ben niet degene die verzonnen heeft dat er alternatieve chipkaart systemen zijn die veel veiliger zijn dan de 'security through obscurity' setup van een MiFare classic, dit is door meerdere mensen met verstand van zaken onderzocht en de conclusie was dat de beveiliging te slap was. Ze hadden zelfs een nieuwere versie van de MiFare kunnen pakken dan was het al beter geweest, maar waarschijnlijk wilde de overheid voor een dubbeltje op de eerste rang zitten. Dan moet je niet achteraf gaan klagen als de boel een gatenkaas blijkt te zijn en mensen je daar verantwoordelijk voor houden.

Over de positieve aspecten van een chipkaartsysteem: ik reis 3x per jaar met de trein en nooit met de bus, dus daar koop ik net zo lief een kaartje voor. Zou ik vaker reizen dan kocht ik gewoon een jaarkaart, heb ik 2 kaarten in mijn portemonnee voor de trein en de bus/tram/metro, lijkt me nog wel overkomelijk gezien het feit dat ik nu ook al 20 verschillende pasjes meezeul. Maargoed het is een goed idee, alleen als het er op neer komt dat jan en alleman gratis kan reizen door kaarten te clonen, en ik zelfs het risico loop dat mijn kaart gesniffed wordt waardoor iemand op mijn kosten kan reizen, dan wacht ik liever nog wel even tot er een veiliger systeem beschikbaar is.

Mijn pinpas kan inderdaad geskimmed worden (is niet zo makkelijk meer tegenwoordig trouwens), maar dan heb je altijd nog steeds een pincode nodig om er iets mee te doen, bovendien vind ik een PIN-pas net iets minder misbaar dan een OV-chipkaart. Sowieso hoef je zo'n OV-chipkaart niet eens te skimmen, een lezer dicht genoeg bij de chip is al genoeg om hem te sniffen, wat veel en veel makkelijker voor elkaar te krijgen is dan het ombouwen van een pinautomaat.

Ben sowieso wel benieuwd hoe je hier een positieve moderatie voor hebt gekregen, maar dat terzijde....

[Reactie gewijzigd door johnbetonschaar op 27 oktober 2008 17:40]

ppl

Beveiliging

@xesisoj • 27 oktober 2008 20:53

Een pasje voor alles is niet handig. Raak je pasje kwijt en je hebt geen enkel vervoersmogelijkheid meer. Zoals het op dit moment is heb je de keuze uit diverse vervoersmiddelen met diverse mogelijkheden tot een kaartje en nog mooier: tot het kopen van een kaartje middels contant geld (tot in het voertuig zelfs zoals bij de bus). Ik zie niet zo snel opwaardeerpunten voor je ov-chipkaart eerlijk gezegd. Daarnaast is het een systeem wat elektronisch is en dus enorm afhankelijk is van diverse zaken. Trek daar eentje tussenuit en de boel stort in elkaar. Er is niets zo krachtig als een simpel stukje papier en wat inkt

CMG
@ppl • 31 oktober 2008 14:58

Chip in je handpalm, die raak je niet zo snel kwijt

kidde

@E_E_F • 27 oktober 2008 23:28

High-Tech blijft natuurlijk een gebied waar bestuurders en adviseurs vaak weinig kaas van hebben gegeten

Toch is er iets merkwaardigs aan de hand. Veel politici hebben ook de ballen verstand niet van financiën, maar ze vinden dat hoge topinkomens en 'gezondheidsgegevens' van banken (hoe liquide zijn ze?) etc. openbaar moeten worden; ten behoeven van de aandeelhoudende / spaargeldhebbende burgur.
Ze willen ook graag geheime afsraken tussen bedrijven openbaar maken; omdat de burger van die geheimen nadeel ondervindt.
Volgens het plan 'Nederland Open in Verbinding' moet Nederland de kant van Open Standaarden op; gesloten standaarden zoals MiFare mogen alleen nog gebruikt worden mits hier een goede reden voor is.
Volgens de Wet Openbaarheid Bestuur moeten zaken zoals hoe verkiezingen geregeld zijn - inclusief de stemsoftware! ; maar ook totaal andere zaken voor burgers inzichtelijk zijn.
De heren politici maken zelfs hun eigen inkomen openbaar. Alle geschenken die ze ontvangen moeten ze ook openbaar maken. Ze willen dat lobbyisten openbaar maken voor wie ze werken.
Kortom: Overal streven politici naar openheid. Behalve als het om een OV-systeem gaat. Dat vind ik nogal twijfelachtig; het is een voorbeeld van het een beleiden (mooi praten) en het ander liefst stiekem achter iedereens rug om doen.

ffb
@E_E_F • 27 oktober 2008 12:53

Gemeenteraadsleden hebben dan misschien geen enkele feeling voor it, daar heb je denk ik wel gelijk in, jezelf een woekerpolis in laten praten getuigt ook van enige onkunde. Laat je dan bijstaan door een adviseur, kennis, advocaat wie dan ook, die waarschijnlijk niets van it afweet maar waarschijnlijk wel van woekerpolissen

i-chat
@ffb • 27 oktober 2008 15:29

wat je nu doet is de werkelijkheid enigzinds verdraaien door te stellen dat het getuigd van onkunde (dus eigen schuld dikke bult)...

Het moge allereerst duidelijk zijn dat hij zich hier profileerd als onkundige (en dat ook nooit heeft ontkent). -

het probleem is echter dat je als je zo'n woeker polis ontdekt 2 keuzes hebt.
OF je doet er wat aan.. (en dit kan veel gaan kosten, maar op termijn zal het bijna altijd beter, of in ieder geval minder duur, uitpakken dan het 2e alternatief namelijk je kop in het zand steken..

ffb
@i-chat • 27 oktober 2008 20:17

Het maakt niet uit of hij zich profileert als onkundige, ik beweer ook helemaal niet het tegenovergestelde, in beide gevallen is het verstandig goed advies in te winnen. Maar de overheid geeft in ieder geval aan wel deskundig advies ingewonnen te hebben (of dat advies correct was is weer een andere discussie), en dat kan deze poster weer niet zeggen.

dasiro
@gassiepaart • 27 oktober 2008 11:27

ze nemen gewoon een berekend risico.

als er 10 mensen zijn die effectief in de praktijk deze tool gaan misbruiken (en dan bedoel ik niet als test, maar op grote schaal) dan zal het veel zijn.

het feit dat er dan 2 passen zijn met dezelfde ID, kan snel een belletje laten rinkelen en dan is het maar een kwestie van tijd om het reispatroon van de 2 houders te analyseren om de fraudeur te pakken te krijgen.

elmuerte
@dasiro • 27 oktober 2008 11:36

Het probleem zit ook meer aan de andere kant, die van de burger, het is een kwestie van identity fraud. Als een crimineel jou OV cloned word jij geaccocieerd aan de crimineel. Een associatie die meer nadelige gevolgen kan hebben. Kijk bevoorbeeld maar eens naar incidenten waar nummer border van autos "gecloned" zijn. De eigenaren van die autos moeten veel moeite en tijd investeren in hun onschuld te bewijzen.

Zwart-rijden is niet de issue. Privacy is de issue.

Krankenstein
@dasiro • 27 oktober 2008 12:42

Inderdaad.

Alsof er met de huidige vervoersbewijzen geen fraude mogelijk is. Als je een Week-OV-studentenkaart hebt kan je die als vermist opgeven en krijgt je tege geringe betaling een nieuwe, die je als weekendkaart kan gebruiken.

En dan hebben we het nog niet over criminelen die dit soort dingen na kunnen maken. Dat is met een OV-kaart van duizenden euro's natuurlijk wat lucratiever.

Anoniem: 223418
@Krankenstein • 27 oktober 2008 12:43

Als je je ov 'kwijtraakt' dan mag je de rest van het jaar niet meer van week naar weekend kaart of omgekeerd wisselen.

xesisoj
@Anoniem: 223418 • 27 oktober 2008 15:30

Als jij je week OV "kwijt" opgeeft, dan kan je de nieuwe als weekend OV nemen, je mag eens per jaar switchen, dan heb je volgens mij toch echt 2 OV kaarten.
(overigens controleren ze de nummers soms met hun pda)

Anoniem: 144800
@xesisoj • 27 oktober 2008 15:48

regeltjes zijn verandert... je mag alleen tussen september? en april? (denk ik) wisselen van kaartsoort... Verder mag je niet wisselen als je kaart kwijt is/gestolen en mag je maximaal 1x per kalenderjaar wisselen.

Dus als je nu je OV als kwijt opgeeft, betaal je een boete en krijg je dezelfde kaart. Wil je een andere? alleen tussen de eerder genoemde periode bij inlevering van je oude en bij betaling van 13 euro ofzo, anders is het niet mogelijk: zie ibgroep.nl

Xirt
@Krankenstein • 27 oktober 2008 15:24

De OV-kaart wordt even vluchtig bekeken bij een controle. Het is dus heel makkelijk om een slechte kloon te maken en deze te showen bij de controle. Wel heb ik gehoord dat er heel soms een controle uitgevoerd wordt via een draadloos apparaat, waarbji duideljik wordt of je nog recht hebt op de OV / of deze geldig is. Ik heb hier in vier jaar echter nooit mee te maken gehad, dus dat risico lijkt mij te verwaarlozen.

Een vergelijking met de OV-chip fraude zou ik dit overigens niet noemen. De OV kaart is voor studenten, de OV-chip is voor iedereen. Het probleem is dus veel grootschaliger en kan een behoorlijke impact hebben op het OV en de inkomsten daarvan.

SPee
@Xirt • 28 oktober 2008 14:59

Komt soms nog voor dat je met een kaart van vorig jaar nog kunt reizen.

merethan
@dasiro • 27 oktober 2008 14:00

Clonen is toch zo gebeurd. Gewoon niet meer dan 5 ritjes op een gecloonde chipkaart en ze vinden je echt nooit.

elmuerte
@gassiepaart • 27 oktober 2008 11:25

Typisch een voorbeeld dat de meeste overheden en andere bestuurlijke organisaties nog geen kaas hebben gegeten van moderne technologieen...

En dat hoeft ook niet, daar heb je namelijk experts voor. Die doet het onderzoek en rekenwerk, en leveren vervolgens een verslag op wat de bestuurders kunnen negeren.
Al hoewel ik van TNO beter verwacht had. Standaard is binnen de crypto wereld een verveiliging/hash algoritme niet meer houdbaar (binnen een toepassings domein) als er een attack vector is gevonden die substantieel minder is dan brute-force.

[Reactie gewijzigd door elmuerte op 27 oktober 2008 11:30]

Floor
@elmuerte • 27 oktober 2008 11:59

Ook bij TNO werken mensen die fouten maken. Het is geen boven alle 'natuur' wetten verheven organisatie waar geen fouten worden gemaakt. Mensen maken vaak de fout om blindelings te vertrouwen op overheden maar het is en blijft nodig om kritisch te blijven (en gelukkig kan en mag dat in dit landje).

Erger zijn de struisvogels in Amsterdam. En wie mag er straks voor opdraaien? De Nederlandse belastingbetaler. Dit soort incapabele bestuurders zitten wat mij betreft op de verkeerde stoel.

Overigens vind ik het een prima zet om een opensource code te lanceren. Dit moet mensen wakker schudden.
Ik ben nog altijd voor om een speciaal ministerie van Technologie (digitale zaken) op te zetten, de maatschappij veranderd te snel voor de trage overheid waar de technologische expertise te veel verspreid is, als deze er al is. Na deze turbulente tijden (dus als de overheid haar digitale zaken goed voor elkaar heeft) zou het ministerie ontbonden kunnen worden.

kidde

@elmuerte • 27 oktober 2008 23:38

Al hoewel ik van TNO beter verwacht had.

Zie TNO-wet. Hoewel TNO onafhankelijk publiekrechtelijk persoon zou moeten zijn, is er nog redelijk wat afhankelijkheid tussen TNO / overheid. OC&W benoemt o.a. bestuurders.

Volgens artikel 20 zijn ze ook financiëel (groten)deels van de overheid afhankelijk. En de overheid gaf ook nog de opdracht tot dit onderzoek. Ergens is dat alles niet slim.
Klinkt een beetje als WC-eend die een 'onafhankelijke' WC-eend commissie maakt, grotendeels betaalt, daar bestuursleden blijft benoemen en de opdracht geeft te onderzoeken of burgerlijke onvrede over het laatste WC-eendproduct terecht is of niet. Als jij bij die commissie zou werken en het nieuwste product zou net zo slecht schoonmaken als modder, zou je dan aan iedereen vertellen dat het totale bagger is?
Of zou je zeggen dat er 'enige niet onoverkomelijke problemen' zijn die 'in de loop van de tijd opgelost kunnen worden'?

Marcj
@kidde • 28 oktober 2008 08:13

TNO is zeker wel onafhankelijk en laat zich zeker niet beïnvloeden door de overheid. Echter toen het onderzoek uitgevoerd werd (vergeet niet; dat is bijna een jaar geleden!) was het nog heel duur en daardoor niet rendabel om de kaarten te kopiëren. Maar doordat een aantal pensonen hier zo'n probleem van hebben gemaakt heeft de open-source community veel sneller dan verwacht een goedkopere manier ontwikkeld.

Ik vind nog steeds dat de kaart een hele verbetering is ten opzichte van het huidige systeem. Volgens mij zijn buskaartjes of een OV-kaart goedkoper na te maken dan de elektronische variant met deze apparatuur.

Pixeltje

27 oktober 2008 10:56

Dat komt omdat er van tevoren niet voldoende onderzoek is gedaan, en er wél veel geld geinvesteerd is in deze OV kaart. De betrokken partijen willen nu het project niet stopzetten (de kluisdeur dichtdoen, Bernard) omdat ze dan hun inleg kwijt zijn.

Als ze doorgaan met het project is de kans groter dat er geld terugkomt. ROI, het risico daarop is nu heel klein, want het stoppen van het project betekend zeker weten verlies, doorgaan betekend misschien winst..

[Reactie gewijzigd door Pixeltje op 27 oktober 2008 10:57]

Hamish
@Pixeltje • 27 oktober 2008 11:58

Als het gemakkelijk wordt om een een kaartje te clonen, dan zal het verlies misschien groter worden dan de winst. Maar de vraag is natuurlijk, wie verliest er en wie wint er?
Welke partijen zijn hier nu bij betrokken? De overheid, OV bedrijven, tech bedrijven, TNO (welke nog meer?).

De overheid en de OV bedrijven zullen de prijs betalen. TNO zal hoogstens zeggen: 'goh ons onderzoek is niet compleet, we hebben .. onderschat, ..vul maar in..'.
De tech bedrijven hebben zich via contracten vast goed genoeg in gedekt om gewoon betaald te krijgen. Het zal ze een barst interesseren of het project een echt succes wordt. Ze kunnen immers wijzen naar de overheid en zeggen ' We hebben ze ook een veiligere en duurdere chip technologie aangeboden maar daar hebben ze niet voor gekozen'. Et voila, straat schoon en toekomstige klanten zullen de duurdere kiezen.(=hogere omzet per kaart en misschien meer winst).

De OV bedrijven verliezen erop, of maken minder winst. Maar ik gok dat ook dat zal meevallen, hoeveel zwartrijders hebben we nu? Zal dat aantal stijgen met een kraakbare OV chipkaart? Wat is de pakkans? Hoeveel invloed heeft dat op de drempel die mensen voelen om te besluiten niet te betalen voor reizen met het openbaar vervoer?
Vergeet niet dat als je als je reiziger kunt 'tracken' mbv een chipkaart je ook een schat aan waardevolle info krijgt, zelfs als die informatie anoniem wordt opgeslagen kun je b.v. inzet van personeel en materieel beter plannen. onrendabele lijnen sluiten, en controles op specifieke probleem trajecten inzetten. Dat maatregelen dan voorbij gaan aan het idee van openbaar vervoer (aanbieden van toegankelijk transport aan _iedereen) of je privacy (ik weet dat jij op moment x op locatie y was). is natuurlijk niet zo belangrijk dan.
http://www.cbpweb.nl/docu...ml?refer=true&theme=green

'T zijn allemaal commerciele bedrijven en die willen geld verdienen.

Misschien is die informatie wel zo waardevol dat de inkomsten via b.v. gerichtere advertentieruimte (b.v. tussen 17:00 en 19:00 komen er veel mannen in de leeftijdscategorie 25-35 langs punt x, dus adverteren we daar met mooie nieuwe auto's) groter zullen zijn dan het verlies via kaartverkoop. [edit:spelling, leesbaarheid, link CBP toegevoegd.]

[Reactie gewijzigd door Hamish op 27 oktober 2008 12:33]

johnbetonschaar
@Hamish • 27 oktober 2008 17:47

Misschien is die informatie wel zo waardevol dat de inkomsten via b.v. gerichtere advertentieruimte (b.v. tussen 17:00 en 19:00 komen er veel mannen in de leeftijdscategorie 25-35 langs punt x, dus adverteren we daar met mooie nieuwe auto's) groter zullen zijn dan het verlies via kaartverkoop.

Dat lijkt me sterk, want de dagkaart bevat geen persoonsgegevens en je maakt mij niet wijs dat de NS dat soort persoonsgegevens van een abonnementskaart mag gebruiken voor marketing-doeleinden. Sowieso vraag ik me af hoeveel informatie eruit te halen zou zijn, dat er in de spits veel forensen rijden en in het weekend veel dagjesmensen weet de NS nu ook wel, plus dat je met een simpele entry/exit poll op de stations ook aan die info kan komen. Last but not least weet de NS nu ook heus wel hoeveel mensen er op welk tijdstip van welk station naar welk station rijden hoor, of denk jij dat iemand om 11:00 een kaartje Utrecht-Amsterdam uit de automaat trekt om om 19:00 naar Groningen te reizen?

[Reactie gewijzigd door johnbetonschaar op 27 oktober 2008 17:49]

MonkeySandwich
@Pixeltje • 27 oktober 2008 10:59

Alle partijen zijn bang voor gezichtsverlies en als het fout gaat is het ook allemaal de schuld van één van de andere partijen.
Van het geld dat er nu al in dit project hebben gestort hadden ze net zo goed gratis OV kunnen maken, waren ze waarschijnlijk nog goedkoper uit geweest ook.

Pixeltje

@MonkeySandwich • 27 oktober 2008 11:07

Dat weet ik niet. vergeet niet dat het openbaar vervoer heel veel geld kost, wat grotendeels met vervoersbewijzen bekostigd wordt. Het OV is in heel veel verschillende vormen aanwezig, en vergt dus ook verschillend onderhoud etc.

Treinen (spoor, materieel)
bussen (materieel)
trolleybussen (materieel, bovenleiding)
tram (Spoor, materieel, bovenleiding)
metro (spoor, stroomtoevoer, materieel)

Ga zo maar door. Er zijn nog meer vormen van Openbaar vervoer.
Ik snap wel wat je wilt uitdrukken, maar gratis OV hebben ze nog niet bereikt hoor;)

alienfruit
@Pixeltje • 27 oktober 2008 16:10

Volgens mij worden de treinsporen onderhouden direkt met belastinggeld. Dus die kosten waren er toch al.

Anoniem: 97498
@Pixeltje • 27 oktober 2008 10:58

Klopt maar het is al zeker een jaar bekend dat er tooltjes op de markt zouden komen. En ik kan niet schatten hoor maar het verlies voor het openbaar vervoer aan frauduers lijkt me veel groter worden dan je inverstering.

Wh4ck0
27 oktober 2008 11:17

ze hadden gewoon voor deze moeten gaan: http://en.wikipedia.org/wiki/Octopus_card
En niet met de RFID hype mee moeten lopen.

b19a
@Wh4ck0 • 27 oktober 2008 11:39

Octopus uses a nonstandard system for RFID instead of the ISO 14443 standards, since there were no standards in the nascent industry during its development in 1997.

De Octopus werkt ook gewoon met (nonstandaard) RFID? RFID is als technologie voor de OV-chipkaart zeker goed gekozen, alleen er is nooit gekeken naar de encryptie ervan. De Mifare Classic komt uit 1994 en waarschijnlijk vergelijkbare beveiliging heeft als de Octopuskaart, dus waarschijnlijk even goed te kraken.

[Reactie gewijzigd door b19a op 27 oktober 2008 11:48]

dhrto
@Wh4ck0 • 27 oktober 2008 11:33

Waarom konden we niet gewoon een bestaand, goed werkend systeem kopieëren/volgen, zoals bijvoorbeeld in Hong Kong? Omdat we hier in NL altijd het wiel opnieuw willen uitvinden, zo lijkt het... lang leve het Poldermodel. Minder gedebatteer/gediscussieer in de politiek en meer actie zou wel eens mogen.

In Hong Kong werkt het systeem echt prima. Ik sluit niet uit dat er mee gefraudeerd kan worden, maar goed met elk systeem kan dat in principe.

[Reactie gewijzigd door dhrto op 27 oktober 2008 11:37]

Anoniem: 97498
27 oktober 2008 10:54

Ik snap het niet. Het is net zo als je bank weet dat haar kluisdeur openstaad. Maar er vervolgens niets aan doet.

Teigetje!
@Anoniem: 97498 • 27 oktober 2008 11:25

Dat noemen ze nu politiek. Er zijn namen en rugnummers aan dit project verbonden en als er nu weer uitstel komt met de onvermijdelijke budgetoverschrijdingen dan gaan er mensen in diskrediet komen en lopen carrières gevaar. Gewoon stug doorgaan, snel het succes vieren en de vruchten plukken voordat het eerstvolgende onderzoek uitwijst dat er fouten zijn gemaakt.

Munters
@Teigetje! • 27 oktober 2008 11:38

Wat negatief allemaal zeg.
Het is gewoon een kosten/baten analyse. Uitstel in tijd, afzeggen bestelde apparatuur (boetes!), duurdere kaartjes kost allemaal gewoon meer dan het inkomensverlies door fraude.
En de imagoschade is er toch al.

shadow_tj
27 oktober 2008 11:10

wat ik niet snap is dat ze geen salted encryptie sleutel hebben gebruikt.

hoe hadden ze zo stom kunnen zijn om gewoon te negeren dat het een sport is om zoiets te omzeilen.

voordeel is wel dat nu meschien er toch een zwaardere versleuteling op komt.

salted versleuteling is gewoon veel moeilijker te cracken dan normaal encryptie sleutel.
zie verschil tussen de oude type7 cisco encryptie en de huidige versleuteling van de cisco routers.

de oude type 7 was gewoon een kwestie van terug rekenen met een referance tabel.
die nieuwe verstleuteling is knap lastiger. en vooral omdat je niet weet wat van soort salt ze hebben gebruikt.

CyBeR
@shadow_tj • 27 oktober 2008 12:11

Kuch, nekgeblaat.

Salts gebruik je bij hashes, niet bij encryptiesleutels.

SideSwipe
27 oktober 2008 10:55

Ik snap gewoon niet dat een bedrijf zoals de GVB de invoering niet uitstellen. Zijn ze nu echt zo stom bezig?

Vooral als een applicatie als dit openbaar wordt gemaakt moet een bedrijf toch aan het denken zetten over de kwaliteit van het product....

CyBeR
@SideSwipe • 27 oktober 2008 12:05

Zo'n kaartje klonen is niet zo boeiend. Dat houd je maximaal 24 uur vol en dan heb je een nieuwe kloon nodig omdat je originele gedisabled is. Maximale schade in die tijd voor 't vervoersbedrijf is een paar euro.

Je kunt 't beter nu meteen invoeren en 't dan verbeteren, dan eerst weer jarenlang een compleet nieuw systeem ontwerpen. Plus: dat is duurder.

Wilke
@CyBeR • 27 oktober 2008 12:15

Zo'n kaartje klonen is niet zo boeiend. Dat houd je maximaal 24 uur vol en dan heb je een nieuwe kloon nodig omdat je originele gedisabled is.

Dat is aangenomen dat degene van wie de kaart gecloond is dat meteen doorheeft.

Verder duurt het maken van een nieuwe kloon 2 seconden.

Hoezo is dit dus niet boeiend?

SuperDre

Hackers

@Wilke • 27 oktober 2008 20:43

Maar je hebt dus wel een andere kaart nodig om er een kloon van te kunnen maken...

1 2 3 Volgende

Op dit item kan niet meer gereageerd worden.

Opensource-applicatie om ov-chipkaarten te klonen verschenen

Lees meer

IT-banen

Reacties (92)

Sorteer op:

Weergave:

Tweakers maakt gebruik van cookies

Toestemming beheren

Functioneel en analytisch

Relevantere advertenties

Ingesloten content van derden