Wie over dertig euro beschikt en goed met Linux overweg kan, is in staat om de ov-chipkaart te hacken en ermee te frauderen. Dat meldt tijdschrift PC-Active, dat een handleiding heeft gepubliceerd om gegevens van de kaart uit te lezen.
De Mifare Classic-rfid-chip in de ov-chipkaart, met 4KB aan geheugen en relatief eenvoudige cryptografische sleutels, werd begin 2008 al gekraakt. Trans Link Systems, dat de ov-chipkaart beheert, heeft echter altijd volgehouden dat er 'speciale apparatuur' vereist zou zijn om bijvoorbeeld kaarten te kunnen klonen. Daardoor zou van een probleem geen sprake zijn.
In 2008 stelde TNO zelfs dat voor het kraken hardware ter waarde van 6000 euro zou moeten worden aangeschaft, hoewel niet lang daarna bewezen werd dat het ook met apparatuur van 120 euro en een opensource-applicatie mogelijk was. Het bedrag blijkt momenteel echter nog eens fors lager te liggen: met een simpele rfid-lezer van dertig euro kan de inhoud van een kaart worden uitgelezen en gemanipuleerd. Dat schrijft journalist Brenno de Winter in het novembernummer van tijdschrift PC-Active, dat vrijdag verschijnt.
PC-Active behandelt enkel het uitlezen van gegevens op de chip, omdat het veranderen van de inhoud op de chip strafbaar is. Wie fraudeert met de ov-chipkaart, maakt zich schuldig aan het 'vervalsen van waardekaarten', waar een gevangenisstraf van maximaal zes jaar en een geldboete van ten hoogste 76.000 euro op staat. Het veranderen van gegevens op de ov-chipkaart is met de reader van 30 euro echter wel degelijk mogelijk.
Naast een rfid-lezer moet een gebruiker die de kaart wil kraken over een pc met Linux beschikken; het computerblad heeft zelf Ubuntu 10.10 gebruikt. Met behulp van de libusb-dev-, libpscslite-dev- en 0libnfc-softwarebibliotheken en het programma mfoc kan een dump van de inhoud van een Mifare Classic-chip worden gemaakt. Daarvoor moeten gebruikers wel weten hoe ze broncode moeten compileren, en kan het even knoeien zijn om mfoc, dat de cryptografische sleutels achterhaalt, werkend te krijgen. Een geslaagde dump van de chip bevat onder andere transacties en bepaalde persoonsgegevens.
Met de eenvoudige methode om de kaart te kraken, neemt de druk op de overheid toe om de ov-chipkaart te vervangen door exemplaren met de veiligere SmartMX-chip. Deze heeft een eigen microprocessor aan boord, die in staat is ingewikkelder cryptografische berekeningen uit te voeren. Daardoor kan deze chip veel beter worden beveiligd dan de huidige. De overheid is al voornemens om de ov-chipkaart met deze chip uit te rusten. Trans Link Systems staat echter niet te springen om de nieuwe kaart in te voeren: het bedrijf, een joint-venture van de vervoerders, ziet op tegen de hoge kosten en vindt de overstap 'onnodig'. Nu de kaart met zeer eenvoudige middelen blijkt te kraken, lijkt dat argument geen stand meer te houden. Overigens neemt TLS maatregelen tegen het klonen van ov-chipkaarten en worden eventuele benadeelde klanten schadeloos gesteld.
Bij de migratie naar de veiligere kaart is een obstakel dat de verbeterde beveiliging van de SmartMX-chip pas kan worden ingeschakeld als het overgrote deel van de bevolking op de nieuwe kaart is overgestapt. Hoewel de SmartMX-chip backwards compatible is en zich aan controlepoortjes kan voordoen als de oudere chip, geldt dat andersom niet. Wanneer de verbeterde beveiliging wordt ingeschakeld, zijn alle 'ouderwetse' kaarten dus onbruikbaar.
Volgens De Winter wordt de bevolking met de huidige kaart een 'systeem met allerhande zwakheden opgedrongen'. De journalist maakte bij zijn handleiding deels gebruik van een, volgens hem niet complete, handleiding op Ov-Chipkaart.org. In oktober werd de RFID Guardian aangekondigd, een apparaat van circa 500 euro waarmee de inhoud van de ov-chipkaart zou kunnen worden uitgelezen. Dat apparaat blijkt niet meer nodig om de ov-kaart te kraken.
De kraak heeft alleen betrekking op de anonieme en persoonsgebonden ov-chipkaarten; wegwerpkaarten met een beperkte geldigheidsduur hebben een Mifare Ultralight-chip aan boord, die geen enkele vorm van encryptie biedt. Door de beperkte geldigheidsduur is het uitlezen van deze kaarten niet interessant, ook omdat er geen persoonsgegevens op de kaart aanwezig zijn.