De beroemde Amerikaanse beveiligingsgoeroe Bruce Schneier is helder over de beveiligingsproblemen rond de Mifare Classic-chip van NXP: “Die chip moet ontworpen zijn door zeer onkundige mensen.” Volgens Schneier kunnen overheidsinstellingen en bedrijven die gebruik maken van de chip niets doen: “Ze zijn de lul.”
De beveiligingsproblemen rond de OV-chipkaart zijn de Amerikaanse beveiligingsgoeroe Bruce Schneier niet ontgaan. De oprichter en chief technology officer (cto) van BT Counterpane heeft een duidelijke mening: "Die chip moet ontworpen zijn door zeer onkundige mensen." Dat de chip inmiddels zo’n tien jaar oud is, is volgens Schneier geen excuus: "Al was die chip honderd jaar oud. Dit is gewoon incompetentie. De ontwerpers hebben te weinig nagedacht over de beveiliging van deze kaart. Ze wisten niet wat ze aan het doen waren."
Een dozijn andere zwakheden
Dat Nijmeegse onderzoekers er begin maart in slaagden om toegangspassen die gebruik maken van de Mifare Classic daadwerkelijk te klonen, verbaast Schneier niet: "Die chip kent een dozijn andere zwakheden." Volgens Schneier kunnen overheidsinstellingen en bedrijven die de chip gebruiken niets doen: "They are screwed."
Wetgeving
Schneier vertelde Computable dat de essentie van het probleem is ‘dat de consument het onderscheid niet kan zien.’ Om die reden is het volgens hem essentieel dat er wetgeving komt die consumenten beschermt tegen ondeugdelijk beveiligde producten. "Als ik een medicijn aanschaf, kan ik ook niet zien of dat medicijn goed is of niet. Maar dan zijn er tenminste wetten die mij beschermen."
wetgeving… die consumenten beschermt tegen ondeugdelijk beveiligde producten ….
Hmmm… dus wetgeving, die mij beveiligd tegen MS Windows??? Dat lijkt me wel wat.
Ja, dan heeft Microsoft nog minder zin in full disclosure…
En deze “goeroe” heeft zelf 10 jaar lang zijn mond gehouden, terwijl hij nu de ontwerpers beschuldigt van incompetentie? Makkelijk praten nadat iemand anders de kraak heeft gezet.
Ben het eens met Dennis. Bruce gaat hier wel erg kort door de bocht.
Dan zijn wel heel veel productonwikkelaars incompetent. Niet alleen de MS-jongens, ook die van Unix en anderen!
Typisch geval van ‘kijk mij eens’. Makkelijke PR.
Het feit dat er een alternatieve chip beschikbaar is pleit voor NXP (zolang die niet ook gekraakt wordt …). Dat deze nog niet op grote schaal ingezet wordt ligt aan de afnemers. Kwestie van vraag/aanbod en kosten vs. risico’s.
Dat hij 10 jaar zijn mond gehouden heeft lijkt me logisch. Weet jij ook alle in en outs van jouw sector en concurenten? Denk het niet. Maar zijn uitspraak is natuurlijk wel een wassenneus. Iedereen weet intussen dat dit product rommel is. Beetje overbodig artikel.
Ik denk dat niet NXP maar de overheid schuldig is aan het introduceren van een ondeugdelijk product. De overheid had natuurlijk eerst onderzoek moeten doen hoe veilig dit product werkelijk is.
Vanwaar de verruwing van het taalgebruik? Is dat hip of stoer ofzo? Had er geen andere term gebruikt kunnen worden dan het mannelijk geslachtsdeel. Dit viel me afgelopen weekeinde ook al op in een artikel van de papieren Computable. Zo werd er in de titel van een artikel over SOA gesproken over verzuipen. Daar had toch ook gewoon verdrinken kunnen staan? Of is een beetje beschaving teveel gevraagd?
Laten we niet vergeten dat de heren van de pers het verhaal ook enigszins hebben ingekleurd….
Bruce’s uitspraak – I’m sure there are many more serious security vulnerabilities waiting to be discovered.
Werd al snel – “Die chip kent een dozijn andere zwakheden.”
De ene uitspraak loopt vooruit op mogelijke andere vulnerabilities in de smartcard (geen uitzonderlijke uitspraak in security land) de andere suggereert dat hij een lijstje heeft van alle vulnerabilities. (hetgeen natuurlijk onzin is, en ook zo niet verklaard)
Chipkaarten worden gemaakt voor verschillende toepassingen, voor sommige toepassingen is meer security nodig dan voor andere het risico varieert van geval tot geval. De door het OV-team gekozen oplossing is al in gebruik bij het openbaar vervoer van onder meer Londen en Peking, en de zwaktes van een 48 bit sleutel zijn al een aantal jaren bekend. Des te verrassender is het dat het OV-ontwerpteam deze keuze heeft gemaakt, nog verrassender is het dat het TNO-onderzoek het als een laag risico inschat. Zeker als je beseft dat men van plan is een “Auto-reload” functie in te voeren waarbij als dienst voor de reiziger het saldo automatisch wordt bijgehouden via een automatische afschrijving van je bankrekening.