De vaste ov-chipkaart is met een eenvoudige laptop binnen luttele seconden te kopiëren, zeggen onderzoekers van de Nijmeegse Radboud Universiteit. Grootschalig misbruik is daardoor mogelijk.
De Nijmeegse onderzoeksgroep Digital Security van de Radboud Universiteit, onder leiding van hoogleraar Bart Jacobs en postdoc Wouter Teepe, maakte afgelopen zaterdag bekend dat de ov-chipkaart definitief is ontcijferd.
Bovendien stuurt staatssecretaris Tineke Huizinga vandaag de uitkomsten van een contra-expertise over de ov-chipkaart, uitgevoerd door de universiteit van Londen, naar de Tweede Kamer. Op 23 april volgt dan een debat in de Tweede Kamer.
Mifare Classic
Eind december maakten beveiligingsonderzoekers op een hackerscongres in Berlijn bekend dat ze de Mifare Classic-chip van NXP konden kraken. Begin januari werd bekend dat deze rfid-chip de kern vormt van de nieuwe ov-chipkaart. Beveiligingsexpert Marc Witteman van Riscure zegt in een interview met Computable dat hierdoor ook identiteitsroof van veel beveilingspasjes mogelijk wordt. Op 14 januari 2008 slaagde informaticastudent Roel Verdult van de Radboud Universiteit erin om de papieren ov-dagkaart te kraken.
Op 17 januari presenteerde staatssecretaris Tineke Huizinga van Verkeer en Waterstaat (VWS) in de Tweede Kamer een aanvalsplan voor de problemen met de ov-chipkaart. Onderdeel hiervan was een noodscenario voor het geval de chipkaart inderdaad onveilig blijkt. TNO schat dat het nog een halfjaar duurt voordat de plastic ov-chipkaart gekraakt is. Of de aanvullende beveiligingsmechanismen die Translink Systems (TLS) heeft ingebouwd in de communicatie tussen pas en poortje voldoende zijn wil TNO in vervolgonderzoek bekijken.
TLS: fraude wordt snel ontdekt
Op 10 maart maakten de onderzoekers van de Radboud Universiteit bekend dat ze erin geslaagd zijn om de codes van toegangspassen voor overheidsgebouwen te ontcijferen. Translink heropende bovendien het onderzoek naar de beveiliging van de ov-chipkaart. Volgens NXP, TLS en TNO loont het niet om de ov-chipkaart te kraken, omdat fraude snel ontdekt wordt. Op 11 maart presenteerde NXP een alternatief voor de chip in de ov-chipkaart.
Op 19 maart kondigde de AIVD aan de beveiliging van deze toegangspassen onderzoeken. Minister Ter Horst (Binnenlandse Zaken) kondigde verscherpte beveiliging bij overheidsgebouwen aan. Op 28 maart demonstreerde dr. Wouter Teepe bij het ministerie van VWS dat de vaste ov-chipkaart ook te kraken is. Toen was echter nog relatief zware apparatuur en tijd nodig. Het Ministerie van Verkeer en Waterstaat gaf de universiteit van Londen opdracht een contraexpertise uit te voeren op de bevindingen van TNO.
Definitief gekraakt
Op 12 april maakte de Nijmeegse onderzoeksgroep Digital Security van de Radboud Universiteit onder leiding van hoogleraar Bart Jacobs en postdoc Wouter Teepe bekend dat de ov-chipkaart definitief is ontcijferd. De vaste ov-chipkaart is te kopiëren, met een eenvoudige laptop en binnen een paar seconden. Grootschalig misbruik is daardoor mogelijk, zo maakt onderzoeker Teepe bekend.
Alle(!) kraakmogelijkheden die betrekking hebben op het ongewenst uitlezen in een openbare ruimte zijn met beproefde en beschikbare elektromagnetische afschermtechnieken en producten afdoende te voorkomen.
Daartoe dient zowel de pas als de leesunit tegen elektromagnetische straling afgeschermd te worden. De eerste producten hiervoor zijn al beschikbaar (www.chipsafe.eu). Ook de leesunit is eenvoudig afschermen zonder dat de reiziger daar veel onnodige hinder van ondervindt.
Blijft wel over het risico van kraken van een verloren, gestolen of een gekochte kaart. Ik vermoed dat bestaande procedures daar adequaat genoeg voor zijn.
Herbert ten Have:
De Chipsafe is een speciale hoes gemaakt van materiaal dat voorkomt dat de voldoende specifieke straling (o.a. 13.56 MHz bij de OV-Chipkaart) de RFID kan bereiken om de communicatie te starten. Alleen voor het korte moment van gebruik haalt u uw RFID kaart uit de Chipsafe, daarna plaatst u het weer terug.
Zo’n ChipSafe kost ?9,95, en dat is veel te duur voor het matteriaal:
want dat is gewoon een aluminium/lood-folie in een creditcard-pocket-vorm.
We zouden toch stoppen met deze onzin, het kost allen maar geld ?
Er zijn best andere oplossingen te verzinnen, laten we nu het belastinggeld eens zinnig uitgeven. Dit kaartje gaat meer ellende opleveren dan je lief is.