OV-chipkaart is volledig gekraakt

Alles over het Openbaar Vervoer in geheel Nederland.
Gebruikersavatar
Fles
Berichten: 16287
Lid geworden op: Wo 12 Mar 2008, 21:19

OV-chipkaart is volledig gekraakt

Berichtdoor Fles » Di 25 Jan 2011, 17:17

OV-chipkaart is volledig gekraakt
Met behulp van een eenvoudig computerprogramma voor het veelgebruikte besturingssysteem Windows, is het mogelijk om zwart te rijden op de ov-chipkaart. Anders dan het kabinet eerder stelde, worden gekraakte kaarten niet blijvend geblokkeerd.


Bron en meer

Gebruikersavatar
Fles
Berichten: 16287
Lid geworden op: Wo 12 Mar 2008, 21:19

Re: OV-chipkaart is volledig gekraakt

Berichtdoor Fles » Di 25 Jan 2011, 17:19

Even verderop:

Gegevensverwerker Trans Link Systems zegt in een reactie wel fraude te hebben gedetecteerd en een week geleden aangifte bij Justitie te hebben gedaan. In het belang van het onderzoek wil het bedrijf niet zeggen wat ze gedetecteerd hebben.


Slap verhaal. Bluf. TLS probeert zijn gezicht te redden.

Gebruikersavatar
fogeltje
OVNL-beheerder
Berichten: 5692
Lid geworden op: Zo 20 Sep 2009, 14:15
Locatie: Fogeltown

Re: OV-chipkaart is volledig gekraakt

Berichtdoor fogeltje » Di 25 Jan 2011, 17:26

Gaat het hierbij nog steeds alleen om anonieme kaarten of ook persoonlijke kaarten? Zo niet, dan is dit straks natuurlijk een mooie smoes voor de overheid om door te drukken dat alleen nog maar persoonsgebonden kaarten vertrekt worden. Dat is natuurlijk een datamining Valhalla.

Overigens zou ik wel graag een programma en lezer hebben om mijn kaart mee te kunnen uitlezen omdat ik graag in staat wil zijn mijn online overzichten te kunnen checken met wat er daadwerkelijk op de chip staat zonder dat ik daarvoor naar een automaat of balie moet.
Wikibeheerder (Overleg gebruiker:Fogeltje)
"Een touringcar is geen bus"

Gebruikersavatar
Fles
Berichten: 16287
Lid geworden op: Wo 12 Mar 2008, 21:19

Re: OV-chipkaart is volledig gekraakt

Berichtdoor Fles » Di 25 Jan 2011, 17:28

Jij gelooft toch niet zelf dat persoonlijke kaarten fundamenteel anders opgebouwd zijn he? ;) Die zijn even kwetsbaar natuurlijk.

Gekko123
OVNL-beheerder
Berichten: 1934
Lid geworden op: Za 25 Apr 2009, 22:12
Locatie: Nootdorp
Contact:

Re: OV-chipkaart is volledig gekraakt

Berichtdoor Gekko123 » Di 25 Jan 2011, 17:55

Die reacties bij nujij.nl zijn allemaal van niet-OV-reizigers. Ze roepen dat er eindelijk alleen gratis OV is voor iedereen. Dat is natuurlijk niet het geval.
Strippen kaart is eerlijker systeem en kan "niet" gekraakt worden. Maar tsja, iets doen waar de burgers écht... iets aan hebben zal er nooit bij zijn natuurlijk

Laat me niet lachen, sinds wanneer is een strippenkaart een eerlijk systeem? Volgens mij is het bijbehorende zonesysteem heel erg oneerlijk.
Vaak te vinden op de volgende trajecten:
Den Haag Ypenburg - Utrecht
Utrecht - 's-Hertogenbosch
Utrecht - Zwolle
Zwolle - Almere

Gebruikersavatar
Fles
Berichten: 16287
Lid geworden op: Wo 12 Mar 2008, 21:19

Re: OV-chipkaart is volledig gekraakt

Berichtdoor Fles » Di 25 Jan 2011, 18:56

Volgens mij heb ik in al die decennia nog nauwelijks één wanklank gehoord over hoe verschrikkelijk oneerlijk het zonesysteem wel is :roll: Het kan best waar zijn op zich, maar het is nooit een probleem geweest.

Klaasje
Berichten: 5994
Lid geworden op: Do 30 Jul 2009, 23:01
Locatie: Deventer/Amersfoort/Amsterdam

Re: OV-chipkaart is volledig gekraakt

Berichtdoor Klaasje » Di 25 Jan 2011, 19:26

Laat dat nou net de reden zijn waarom ik het geoorloofd vond om grijs te rijden toen ik 15 jaar oud was. Van mijn huis naar de middelbare school was het 2 haltes tot de zonegrens, 1 halte op de zonegrens en dan mocht ik er de tweede halte na de zonegrens weer uit. Waarom 3 strippen? je kan voor twee strippen ook 16 haltes ver komen. :X
Zo heb ik een tijdje gereisd totdat ik na een tijdje CXX-Viccers tegenkwam en mocht betalen. Tegenwoordig kost dat reisje 1 euro met een chipkaart terwijl je 1,52 kwijt bent met een strippenkaart.
Bij lange reizen speelt het probleem van "niet-eerlijke" zone's veel minder omdat de exacte locatie van de zonegrens dan voor de prijs in verhouding minder uitmaakt.

webguy
OVNL-beheerder
Berichten: 7696
Lid geworden op: Zo 09 Mar 2008, 16:58
Locatie: Ede
Contact:

Re: OV-chipkaart is volledig gekraakt

Berichtdoor webguy » Di 25 Jan 2011, 20:11

Overigens denk ik dat het ene wat hier gebeurt is is dat iemand een windows versie van de software heeft geschreven en aan journalisten gegeven. Wel jammer dat ze niet vermelden wie er achter zit, het is waarschijnlijk dus niet de Radboud Universiteit die er eerder onderzoek naar deed. De "window of attack" is een dag: kaarten kunnen pas een dag later worden gedeactiveerd in alle poortjes/bussen/trams/etc. In die tijd kan je een boel reizen, maar om steeds een nieuwe anonieme chipkaart daarvoor te kopen...
Reisinformatie/nerd

Klaasje
Berichten: 5994
Lid geworden op: Do 30 Jul 2009, 23:01
Locatie: Deventer/Amersfoort/Amsterdam

Re: OV-chipkaart is volledig gekraakt

Berichtdoor Klaasje » Di 25 Jan 2011, 20:14

Wellicht kan de "window of attack" later nog omlaag bijgesteld worden wanneer de software verder ontwikkeld wordt. Bij CXX bijvoorbeeld hebben alle bussen al een internetverbinding voor reisinformatie en het constant doorgeven van punctualiteitsinformatie. Zo zouden chipkaarttransacties in de toekomst ook sneller naar TLS overgebracht kunnen worden.

webguy
OVNL-beheerder
Berichten: 7696
Lid geworden op: Zo 09 Mar 2008, 16:58
Locatie: Ede
Contact:

Re: OV-chipkaart is volledig gekraakt

Berichtdoor webguy » Di 25 Jan 2011, 20:17

Euh ja, maar als je bedenkt dat als dit op grote schaal wordt gedaan, dan is dat erg inefficient. Als voor 4000 bussen in nederland (ruwe schatting) elk uur 5 OVC-nummers doorgeeft om te blokkeren ivm fraude, en ook nog eens 100 nummers van SOVCs die kapot gaan per uur, dan ben je op gegeven moment best lang bezig met die OVC nummers en niet belangrijke punctualiteitsdata.
Reisinformatie/nerd

Gebruikersavatar
Geert
OVNL-beheerder
Berichten: 11944
Lid geworden op: Zo 09 Mar 2008, 16:43
Locatie: Den Haag
Contact:

Re: OV-chipkaart is volledig gekraakt

Berichtdoor Geert » Di 25 Jan 2011, 21:26

Eigenlijk al oud nieuws dit, alleen wordt het met het tooltje nu wel héél gemakkelijk gemaakt. TLS en de vervoerders dachten te kunnen bezuinigen op de chipkaart en en kozen een model met weinig beveiliging, en nu wreekt zich dat. In het journaal was vanavond een item over dit inclusief reactie van TLS. Die reactie kwam min of meer neer op 'het is strafbaar, en wij kunnen zien dat er misbruik is gepleegd, dus er is geen probleem'. Nou, kennelijk duurt het dan even voordat er iemand opgepakt kan worden die reist met een frauduleuze kaart, want Brenno de Winter reist al twee weken met een gekraakte kaart. Hoezo 'er is geen probleem'? Dat er niet matchende records teruggevonden worden in hun backendsystemen wil nog niet zeggen dat de fraudeur opgepakt is. Overigens nog los van problemen met missende records (ontbrekende transacties) die - volgens mij - dezelfde alarmbellen zouden moeten laten rinkelen.

Hoe dan ook, het is wel (wederom) duidelijk dat de chipkaart al een technisch achterhaald product is voordat het ding zelfs al landelijk werkt. Leuk geprobeerd, tijd voor iets nieuws.

webguy
OVNL-beheerder
Berichten: 7696
Lid geworden op: Zo 09 Mar 2008, 16:58
Locatie: Ede
Contact:

Re: OV-chipkaart is volledig gekraakt

Berichtdoor webguy » Di 25 Jan 2011, 21:30

Wat ik overigens laatst bedacht, maar nog niet hier had neergezet is dat banken al geen eens alle transacties kunnen bijhouden. Er was laatst een presentatie over het misbruiken van EMV (= nieuwe pin standaard) in Engeland, door te zeggen dat er geen pincode nodig was en dan een willekeurig pincode intoetsen. Een aantal gevallen waar werd vermoed dat die hack gebeurde in het echt, konden de banken niet alle data tonen over de transacties. Ze konden bij de betreffende winkels bonnetjes terug vinden, maar ze konden niet hun eigen (electronische) data over de transacties geven. Als banken het al niet kunnen, waarom denkt TLS het wel te kunnen...
Reisinformatie/nerd

Gebruikersavatar
Geert
OVNL-beheerder
Berichten: 11944
Lid geworden op: Zo 09 Mar 2008, 16:43
Locatie: Den Haag
Contact:

Re: OV-chipkaart is volledig gekraakt

Berichtdoor Geert » Di 25 Jan 2011, 21:33

Ik denk dat er wel meer pinbetalingen zijn dan ov-chipkaarttransacties, maar volgens mij is het pinsysteem in Engeland ook gedeeltelijk decentraal (als ik me dat paper tenminste goed herinner). Een pinterminal heeft daar niet altijd een connectie met de bank om de kaartgegevens te verifiëren, zoals in Nederland. Wat dat betreft vergelijkbaar met het chipkaartsysteem (of de chipknip) waar ook niet altijd de kaartgegevens gecheckt kunnen worden.

webguy
OVNL-beheerder
Berichten: 7696
Lid geworden op: Zo 09 Mar 2008, 16:58
Locatie: Ede
Contact:

Re: OV-chipkaart is volledig gekraakt

Berichtdoor webguy » Di 25 Jan 2011, 21:38

Het gaat om deze paper (en de bijhorende presentatie op hackerconferentie 27C3) en het heeft inderdaad er mee te maken dat de PIN verificatie offline gebeurt, maar de transactie zelf wordt wel degelijk direct naar de server gestuurd om te controleren dat er genoeg saldo is.
Reisinformatie/nerd

Gebruikersavatar
fogeltje
OVNL-beheerder
Berichten: 5692
Lid geworden op: Zo 20 Sep 2009, 14:15
Locatie: Fogeltown

Re: OV-chipkaart is volledig gekraakt

Berichtdoor fogeltje » Di 25 Jan 2011, 21:56

Fles schreef:Jij gelooft toch niet zelf dat persoonlijke kaarten fundamenteel anders opgebouwd zijn he? ;) Die zijn even kwetsbaar natuurlijk.


Zat daar geen andere chip in? Of zat er alleen verschil in chip tussen wegwerp kaarten en "gewone" (anonieme en persoonsgebonden) kaarten?
Wikibeheerder (Overleg gebruiker:Fogeltje)
"Een touringcar is geen bus"

Gebruikersavatar
Geert
OVNL-beheerder
Berichten: 11944
Lid geworden op: Zo 09 Mar 2008, 16:43
Locatie: Den Haag
Contact:

Re: OV-chipkaart is volledig gekraakt

Berichtdoor Geert » Di 25 Jan 2011, 22:07

De anonieme kaarten en persoonlijke kaarten gebruiken inderdaad dezelfde chip (Mifare Classic). Wegwerpchipkaarten gebruiken een wat voordeliger variant die Mifare Ultralight wordt genoemd. Die laatste variant is als eerste gekraakt.

@webguy: dat paper inderdaad.

webguy
OVNL-beheerder
Berichten: 7696
Lid geworden op: Zo 09 Mar 2008, 16:58
Locatie: Ede
Contact:

Re: OV-chipkaart is volledig gekraakt

Berichtdoor webguy » Di 25 Jan 2011, 22:16

Overigens had ik inderdaad binnen 5 minuten een oudere versie van de software die getoond wordt binnen. Heb geen lezer, maar ach...
Niks nieuws dit allemaal: op de RU blijven ze netjes, maar staat er op de tweede verdieping al 2 jaar een laptop die dit kan met een kaartlezer van 30 euro. Je houdt je kaart ervoor en je geboortedatum en saldo worden getoond...
Reisinformatie/nerd

Gebruikersavatar
Suus
Berichten: 31535
Lid geworden op: Ma 17 Mar 2008, 17:42
Locatie: Delfshaven

Re: OV-chipkaart is volledig gekraakt

Berichtdoor Suus » Di 25 Jan 2011, 22:23

Wat ik vooral opvallend vind is dat de kaarten direct niet geblokkeerd zijn toen er aangifte werd gedaan van fraude. Wat ik denk dat er gaat gebeuren is dat het project niet wordt stilgezet, de detectiemechanismes worden verzwaard en het proces waarbij een nieuwe chip in de kaart wordt geintroduceerd versneld zal worden.

Ik denk bovendien dat veel mensen niet gaan rommelen met hun kaarten, omdat ze bijvoorbeeld abonnementen op hebben staan en veel mensen willen daar geen gevaarlijke dingen mee doen. Daarnaast zullen er ook veel mensen zijn met gewetensproblemen die hier niet aan gaan beginnen.

Dus ja, het is een probleem, maar daar we nu ruim voorbij een point of no return zijn denk ik dat niet dat dit grote gevolgen gaat hebben voor de OV-Chipkaart, of je het er nu mee eens bent of niet.
Rame à l'approche

Klaasje
Berichten: 5994
Lid geworden op: Do 30 Jul 2009, 23:01
Locatie: Deventer/Amersfoort/Amsterdam

Re: OV-chipkaart is volledig gekraakt

Berichtdoor Klaasje » Di 25 Jan 2011, 22:33

Ik denk dat het probleem van meteen uitcheckende reizigers groter is......

Gebruikersavatar
Geert
OVNL-beheerder
Berichten: 11944
Lid geworden op: Zo 09 Mar 2008, 16:43
Locatie: Den Haag
Contact:

Re: OV-chipkaart is volledig gekraakt

Berichtdoor Geert » Di 25 Jan 2011, 23:36

Vanavond liet Brenno de Winter ook nog eens zien dat je zelf in- en uitchecktransacties toe kunt voegen aan een chipkaart. Ideaal voor een frauderende reiziger: wel een ingecheckte chipkaart (en dus een geldig vervoerbewijs bij controle), maar geen enkele registratie in de systemen van TLS en dus geen geblokkeerde kaart als het saldo weer teruggezet wordt.

Bee schreef:Wat ik vooral opvallend vind is dat de kaarten direct niet geblokkeerd zijn toen er aangifte werd gedaan van fraude.

De fraude is in ieder geval al niet meteen ontdekt door TLS en de aangifte is ook pas na een week (of meer?) gedaan. Enkele mensen reizen al meerdere weken op gekraakte kaarten, de aangifte van TLS is van vorige week en het nieuws is van vandaag.

Ik denk bovendien dat veel mensen niet gaan rommelen met hun kaarten, omdat ze bijvoorbeeld abonnementen op hebben staan en veel mensen willen daar geen gevaarlijke dingen mee doen. Daarnaast zullen er ook veel mensen zijn met gewetensproblemen die hier niet aan gaan beginnen.

Als zelfs maar een klein deel van de Nederlanders chipkaarten gaat hacken heb je al problemen. Stel dat er elke dag 2 miljoen mensen met het OV reizen en dat 1% van de reizigers rommelt met zijn kaart, dan hebben we het al over 20.000 mensen die reizen met een gehackte kaart. Ik betwijfel of er voldoende capaciteit is bij de opsporingsdiensten om daar tegen op te treden, en anderzijds of er dan niet te veel verlies wordt gemaakt door de vervoerbedrijven (even ervan uitgaande dat deze mensen niet tot de normale groep zwartrijders horen).

Dus ja, het is een probleem, maar daar we nu ruim voorbij een point of no return zijn denk ik dat niet dat dit grote gevolgen gaat hebben voor de OV-Chipkaart, of je het er nu mee eens bent of niet.

We zullen zien, er is weer eens een spoeddebat aangevraagd over de kwestie...

find_your_spot
Berichten: 3046
Lid geworden op: Wo 18 Mar 2009, 09:13

Re: OV-chipkaart is volledig gekraakt

Berichtdoor find_your_spot » Di 25 Jan 2011, 23:42

Geert schreef:Vanavond liet Brenno de Winter ook nog eens zien dat je zelf in- en uitchecktransacties toe kunt voegen aan een chipkaart. Ideaal voor een frauderende reiziger:


Zit je nu en denk je: dat wil ik met eigen ogen zien!

http://beta.uitzendinggemist.nl/afleveringen/1049005

Bij 7:34 zit het hele verhaal.

Voor de liefhebbers van de uitzending van het Staatsjournaal:
[youtube]http://www.youtube.com/watch?v=-HaXnHUcyHI[/youtube]
For Your Railroad Adventures

Gebruikersavatar
Suus
Berichten: 31535
Lid geworden op: Ma 17 Mar 2008, 17:42
Locatie: Delfshaven

Re: OV-chipkaart is volledig gekraakt

Berichtdoor Suus » Wo 26 Jan 2011, 00:23

Spoeddebatten, die worden tegenwoordig ook voor bijna elk wissewasje gehouden, dat stelt echt niets voor. Kan mij ook niet voorstellen dat men opeens wel bewindslieden gaan wegsturen. Beetje praten, en iedereen gaat gewoon weer op de oude voet verder naar 3 februari, als de eerste provincie de strippenkaart uitzet.
Rame à l'approche

Gebruikersavatar
Geert
OVNL-beheerder
Berichten: 11944
Lid geworden op: Zo 09 Mar 2008, 16:43
Locatie: Den Haag
Contact:

Fraude met OV-chipkaart kan ook zonder inchecken

Berichtdoor Geert » Wo 26 Jan 2011, 10:05

Fraude met OV-chipkaart kan ook zonder inchecken
Geplaatst op: woensdag 26 januari 2011 10:04
Laatst bijgewerkt: woensdag 26 januari 2011 10:05


Fraude met het reizen met de OV-chipkaart is ook mogelijk zonder daadwerkelijk op een station in te checken. Daardoor wordt de reis niet geregistreerd en ontvangt de vervoerder geen geld, schrijft Webwereld woensdag.

Met een speciale applicatie slaagden hackers erin om een station van ‘inchecken’ en datum en tijd van de reis op de kaart in te voeren, waarna de apparatuur van conducteurs de gekraakte OV-chipkaart als correct ingecheckt afleest. Onderzoek wijst uit dat de fraude door conducteurs niet wordt opgemerkt.
Lees verder

webguy
OVNL-beheerder
Berichten: 7696
Lid geworden op: Zo 09 Mar 2008, 16:58
Locatie: Ede
Contact:

Re: OV-chipkaart is volledig gekraakt

Berichtdoor webguy » Wo 26 Jan 2011, 12:11

TLS: "Oh wacht, hmm, hier hadden we nog niet over nagedacht"
Iets met slechte architectuur en beter uitdenken?
Reisinformatie/nerd

find_your_spot
Berichten: 3046
Lid geworden op: Wo 18 Mar 2009, 09:13

Re: OV-chipkaart is volledig gekraakt

Berichtdoor find_your_spot » Wo 26 Jan 2011, 14:46

Sinds vandaag is er een nieuwe vacature beschikbaar bij TLS:

https://star-track.humankey.nl/sollicit ... ?puid=6801

Hup dat CV uploaden, stropdas recht en hup dat gesprek in.

Ik zeg: doen! *O*
For Your Railroad Adventures


Terug naar “OV in Geheel Nederland”

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 3 gasten