OV-chipkaartberichten op een rijtje

[Geert]

Spoeddebat geëist over aanpassen OV-chiprapport
Door Brenno de Winter

Donderdag 5 juni 2008, 11:01 - De forse veranderingen in het rapport over de OV-chipkaart roepen veel vragen op. De politiek eist opheldering in een spoeddebat en vreest foutief te zijn geïnformeerd.

De politieke reacties volgen op de onthulling van Webwereld en Trouw op basis van nieuwe informatie over de contra-expertise naar de beveiliging van de OV-chipkaart. De stukken werden openbaar gemaakt na een beroep op de Wet Openbaarheid Bestuur.

Uit de vrijgegeven stukken blijkt dat een advies om te stoppen met de gekraakte kaart en deze te vervangen door een veilig alternatief, is veranderd in een advies om door te gaan en de problemen verder te onderzoeken.

Cruciale wijziging en spoeddebat
"Dit is een cruciale wijziging. De nieuwe formulering wordt gebruikt in het recente plan om door te gaan met de huidige chip zonder dat er een afweging wordt gemaakt om te zien of een andere aanpak misschien beter zou zijn", zegt Wynand Duyvendak (GroenLinks) in een reactie tegen Webwereld. "De vraag is op wiens instigatie deze wijziging is aangebracht. Daar moet snel duidelijkheid over komen."

"Ik vind dit een hele ernstige zaak. Ik ging er vanuit dat er onafhankelijk onderzoek werd gedaan", reageert Emile Roemer van de Socialistische Partij. "Voordat we verder kunnen gaan met het debat over de voortgang, wil ik opheldering hebben via een spoeddebat. Dat moet duidelijk worden, want als de Kamer fout is geïnformeerd dan is dat een hele ernstige zaak."

Onduidelijkheid wegnemen
Voor de Staatssecretaris Huizinga van Verkeer en Waterstaat ligt er nu de taak om veel onduidelijkheid weg te nemen. Het foutief informeren van de Tweede Kamer staat over het algemeen te boek als een politieke doodzonde.

Een voorlichter van het Ministerie zegt geen idee te hebben, waarom er diverse forse wijzigingen in de adviezen van het rapport zijn aangebracht. De uitvoerders van het onderzoek van de Royal University of London beweren niet onder druk te zijn gezet door TNO of Trans Link Systems (TLS), verantwoordelijk voor de introductie van de OV-chipkaart.

Onhandig
Wel blijkt uit de stukken dat er een reviewronde is geweest, waarbij ook Trans Link wijzigingen heeft voorgesteld. Dat bedrijf wil niet duidelijk maken wat zij aangepast wilde zien. Keith Mayes onderzoeker van de Royal University of London zegt op geen enkele manier onder druk te zijn gezet door TNO en TLS, maar maakt niet duidelijk wie wel voor de verandering verantwoordelijk is.

Het onderzoek is volgens hem objectief uitgevoerd. Volgens hem is het "slecht advies en tijdsverspilling tijdelijke versies van het voorlopig rapport te bestuderen". Hij is terugkijkend ongelukkig met de nummering 1.0 en 1.00, die doet vermoeden dat de verschillende conclusies worden verbloemd.

Wanneer de Tweede Kamer zich over die uitleg buigt is nog onduidelijk. Dan zal pas blijken of men ook genoegen neemt met de uitleg van het nieuwe advies.

Bron: Webwereld

[Daniel]

Rotterdam wil af van strippenkaart

ROTTERDAM – Het college van burgemeester en wethouders van Rotterdam, de stadsregio en de RET willen nog steeds snel de strippenkaart afschaffen in de metro, ondanks alle kritiek op de vervanger, de ov-chipkaart.

Vervoerswethouder Baljeu is met staatssecretaris Huizinga in gesprek over een datum. Dat zei Baljeu donderdag tegen de gemeenteraad. Onlangs stuurde de wethouder Huizinga nog een brief over de kwestie.

Om de veiligheid te vergroten wil Rotterdam dat in de metro alleen nog met de ov-chipkaart wordt gereisd. Het naast elkaar bestaan van twee systemen houdt het zwartrijden in stand. Aanvankelijk zou de strippenkaart per 1 oktober 2007 uit de metro verdwijnen. Dat heeft het ministerie van Verkeer en Waterstaat destijds uitgesteld.

Bron: ANP via htmfoto.net

Tja... laat ze nou eerst maar eens zorgen dat je de chipkaart ook kunt gebruiken in alle bussen die her en der op de metro aansluiten. Zolang dat niet het geval is moet je mensen niet dwingen twee keer een opstaptarief te betalen.

[Cookie]

Het lijkt me wel handig als rond die tijd alle studenten-OV-houders worden voorzien van een chipkaart: tot nu toe heb ik nog steeds geen... ;)

[Geert]

Laten we eerst maar eens zien of dit uberhaupt nog zover komt. Tot nu toe is er zo veel kritiek op de invoering van de chipkaart dat ik voorlopig nog niet snel zie gebeuren dat de strippenkaart deels wordt afgeschaft...

[deadlock]

Ik snap nog steeds niet waarom men niet gewoon eventjes een andere chip met andere software pakt en de huidige kaarten vervangt of ze tijdelijk naast elkaar houdt. Abo-houders kunnen hun chipkaart uiteraard kostenloos inwisselen tegen een nieuwe voor 1 juni 2009.

[Geert]

Lijkt me duidelijk: kost te veel geld, alle apparatuur en chipkaarten moeten dan vervangen worden...

[deadlock]

De apparatuur niet. RFID is RFID.

[Geert]

Als je de beveiliging in de chip aanpast moet in ieder geval de software voor al die apparatuur aangepast worden. Waarschijnlijk hoeft de hardware niet vervangen te worden inderdaad, maar sowieso kost het al behoorlijk wat om alle chips te vervangen (minstens een paar miljoen) en verder zal het wel een hoop moeite kosten om het imago weer wat beter te maken na alle negatieve publiciteit...

[deadlock]

Als je de beveiliging in de chip aanpast moet in ieder geval de software voor al die apparatuur aangepast worden. Waarschijnlijk hoeft de hardware niet vervangen te worden inderdaad, maar sowieso kost het al behoorlijk wat om alle chips te vervangen (minstens een paar miljoen) en verder zal het wel een hoop moeite kosten om het imago weer wat beter te maken na alle negatieve publiciteit...

Een paar miljoen is peanuts vergeleken met het alternatief; Afblazen.

En de software voor die apparatuur aanpassen is uiteraard eenmalig. Die kan net als bij de kaartautomaten centraal geüploaded worden naar de palen.

[webguy]

Dat over de software uploaden hoop je :D Ik zou niet verbaasd zijn als ze ook andere chips moeten herprogrammeren. Sowieso hebben ze dat 'remote programmeren' niet al te slim aangepakt: dat kan ook maar een keer per dag...

[Daantje]

Ik woon én studeer in Rotterdam en heb ook nog steeds geen studenten OV chipkaart dus totdat ik die heb moeten ze maar ff wachten met het afschaffen van de strippenkaart ;)

[Geert]

'Rapport OV-chip aangepast na gesprek ambtenaren'
Uitgegeven: 9 juni 2008 08:28
Laatst gewijzigd: 9 juni 2008 09:40

AMSTERDAM - Het rapport van een Brits onderzoeksinstituut over de OV-chipkaart is aangepast na gesprekken met ambtenaren van het ministerie van Verkeer en Waterstaat.

Dat meldt Trouw maandag op basis van stukken die krant ontving na een beroep op de Wet openbaarheid van bestuur. Vorige week kon het ministerie nog geen opheldering geven over de wijzigingen in het rapport die kort voor het versturen naar de Tweede Kamer waren aangebracht.

De Kamer liet vorige week weten uitleg te willen over de wijzigingen in het rapport. In een Britse contra-expertise stond dat de chip in de chipkaart direct vervangen moest worden, maar die conclusie is geschrapt in de versie die naar de Kamer is gestuurd. De contra-expertise werd gevraagd nadat TNO had gezegd dat de huidige versie van de kaart met wat lapmiddelen nog wel even mee kon. Dit werd niet als geheel objectief gezien, omdat TNO ook betrokken was bij de ontwikkeling van de kaart.

Gesprek
Het Britse instituut liet vorige week weten onafhankelijk tot het nieuwe inzicht te zijn gekomen. Uit stukken van het ministerie blijkt volgens de krant dat er tot op het laatste moment overleg is geweest tussen het onderzoeksinstituut en ambtenaren van het ministerie. De projectleider bij het ministerie had donderdag 3 april eerst contact met de ontwikkelaar van de OV-chipkaart TLS en sprak de ochtend daarop met de Britse onderzoeksleider. Die zou vervolgens zijn rapport hebben aangepast 'op basis van' het gesprek van vrijdag.

Rapport
Het ministerie liet volgens de krant in een reactie weten dat er inderdaad 'kort' met TLS is gesproken, maar de ontwikkelaar zou het rapport toen nog niet kennen, omdat het ministerie het toen zelf pas kort had. In een e-mail van 1 april aan het ministerie zou echter al hebben gestaan dat de reacties van ontwikkelaar TLS en TNO goed waren ontvangen door de Britse onderzoekers. Volgens dat mailtje had TLS het rapport dus al meerdere dagen toen op 3 april met de projectleider van het ministerie werd gesproken.

Notulen
Het zou volgens het ministerie niet meer te achterhalen zijn wat er die dag precies is gezegd, omdat er geen notulen zijn gemaakt.

Bron: Nu.nl
--------------------------------------------------------------------------------------------------------------------------------------------
Oke, en nu dus graag een echt onafhankelijk onderzoek graag

[Geert]

Onderzoekers OV-chipkaart vreesden DoS aanval

Vrijdag 6 juni 2008, 11:30 - Britse wetenschappers beschreven aanvankelijk ook een Denial-of-Service aanval op de OV-chipkaart. De waarschuwing werd uiteindelijk uit het rapport geschrapt.
Door Brenno de Winter

Die informatie staat te lezen in de eerste, niet gepubliceerde, versie 1.0 van het rapport naar de beveiliging van de kaart. De wetenschappers van de Royal Hollway University of London wijzen erop dat de kaart voor criminelen onaantrekkelijk is, maar waarschuwen dat "men meer publieke proof-of-concept demonstraties en mogelijke denial-of-service (DoS) aanvallen zou verwachten".

Een DoS-aanval legt websites lam door de site te overspoelen met informatieverzoeken. Bij de OV-chipkaart zou een dergelijke aanval tot chaos op stations kunnen leiden omdat de poortjes gesloten blijven waardoor passagiers de perrons niet kunnen betreden of verlaten.

Niet in definitieve versie
Die waarschuwing heeft de uiteindelijke versie 1.00 die aan de Tweede Kamer is verzonden niet gehaald. Zoals Webwereld gisteren al meldde hebben ondermeer Trans Link Systems (TLS) en TNO de voorlopig versie voorzien van commentaar. TLS is verantwoordelijk voor de invoering van chipkaart. Het is niet bekend wie heeft aangedrongen op het schrappen van het DoS-scenario.

Onderzoeker Keith Mayes van de Royal Hollway University of London zegt in een reactie dat zijn organisatie bang was dat de passage zou afleiden van de beveiliging zelf. "Het is niet de kern van de technische aanvallen op de OV-chipkaart", schrijft Mayes in een reactie aan Trouw en Webwereld. Ook wil de expert zijn publieke verantwoordelijkheid nemen: "Het zou sommige anti-sociale elementen in de maatschappij kunnen aanmoedigen DoS-aanvallen, dus vandalisme te plegen."

Nieuwe aanvalsmogelijkheid
Hoe kort de passage ook is, toch is dit nieuwe scenario belangrijk. Tot nu toe was alle aandacht gericht op het risico dat de kaart misbruikt zou worden voor digitale diefstal. Omdat dit risico gering zou zijn, is besloten de chip niet direct te vervangen. De mogelijkheid van een DoS-aanval zou dat besluit kunnen beïnvloeden.

Vlak voor het verschijnen van het rapport wees Karsten Nohl, onderzoeker naar de gebruikte Mifare Classic-chips op dit risico. TLS woordvoerder Jannemieke Zandee wuifde de mogelijkheid van een DoS-aanval destijds weg: "Dan hebben we het over vandalisme en dat is iets anders", zei zij destijds in een reactie tegenover Webwereld.

Geen commentaar, geen debat
Trans Link Systems verbrak eerder deze week zonder opgaaf van reden de communicatie met Webwereld over de beveiliging van de chipkaart. De organisatie reageerde niet op een verzoek om commentaar over de mogelijkheid van een DoS-aanval. Het is daarom onduidelijk of het scenario is onderzocht.

De Socialistische Partij heeft inmiddels zijn verzoek voor een spoeddebat over de verschillende versies van de contra-expertise ingetrokken. Kamerlid Emile Roemer wil eerst meer informatie hebben en stuurt aan op een uitbreiding van een al geplande openbare hoorzitting die waarschijnlijk op 18 juni wordt gehouden.

Over het nieuwe risico is Roemer kort: "Dit past in het rijtje van redenen waarom je nu moet overstappen naar een veiligere chip. Ik snap niet waarom dat nou niet direct gebeurt."

De verschillen tussen versie 1.0 en 1.00 kwamen aan het licht na bestudering van stukken, die Webwereld en Dagblad Trouw in handen hebben gekregen met een beroep op de Wet Openbaarheid van Bestuur.

Bron: Webwereld

[mb90]

Strippenkaart voor metro in oktober afgeschaft
18 juni 2008

Reizigers kunnen waarschijnlijk in oktober niet meer met een strippenkaart reizen in de Rotterdamse metro. Dit is de uitkomst woensdag van een overleg tussen vervoerders en staatssecretaris Tineke Huizinga van Verkeer.

Voorwaarde is wel dat de plannen voor het tegengaan van fraude met de OV-chipcard dan klaar zijn. RET-directeur Pedro Peters pleitte in de Tweede Kamer voor een snelle invoering van de kaart ondanks alle problemen.

Dagelijks heeft de RET met 30.000 zwartrijders in de metro te maken. Dit is een financiële strop van 3 ton per maand. De invoering van de OV-chipkaart als enig vervoerbewijs moet de fraude de kop indrukken.

Ik ben benieuwd of ik voor die tijd eindelijk mijn SOV op een OV-Chipkaart heb staan. Ik hoop van wel...

[Geert]

Dat lijkt me wel. Dat is ook altijd gezegd bij de vorige deadlines, alleen zijn die telkens uitgesteld dus had je je studenten chipkaart nog niet nodig ;) (Aan de andere kant: deel dat ding gewoon uit lijkt mij... )

[Daantje]

Ik woon en studeer in Rotterdam en heb hem (een jaar nadat ze hier begonnen met uitdelen) dat ding nog steeds niet. Zul je zien dat ik hem net krijg als ik mijn OV moet inleveren oid :?

[waldo79]

Ik ben blij dat ik nooit een foto heb ingeleverd voor de OV-Chipkaart

[Geert]

En voor degenen die dachten dat de Engelse variant wel goed werkt of dachten dat het "onafhankelijke" onderzoek was uitgevoerd...

Radboud onderzoekers kraken ook Oyster Card
Door Brenno de Winter
Woensdag 18 juni 2008, 16:02 - Nijmeegse onderzoekers hebben gratis gereisd met de Londense OV-chipkaart. Ook kunnen ze poortjes blokkeren. Uitrol van de Nederlandse OV-chipkaart is dan ook 'onverstandig'.

Dat bleek vandaag uit het verhoor van onderzoeker Wouter Teepe van de Radboud Universiteit door de Tweede Kamer. De parlementariërs wilden weten wat de huidige status van de beveiliging was en vroegen hem naar de verschillen tussen het Nederlandse het Engelse systeem.

Kloonhack en DoS-aanval
In zijn eigen verklaring repte de wetenschapper niet over een nieuwe hack, maar in antwoord op vragen van GroenLinks en de Socialistische Partij kwam er plotseling een nieuwe kraak op de proppen. Teepe vertelde dat een aantal studenten van zijn faculteit erin is geslaagd om te reizen op een Londense Oyster Card en vervolgens het tegoed te herstellen. Daarna bleken de studenten opnieuw in staat te reizen. "Zij konden bedragen terugzetten op de kaart", onthulde Teepe. "Het is mogelijk de kaart te klonen."

Daarnaast ontdekten de wetenschappers ook een ander probleem. Zij bleken in staat een effectieve Denial-of-Service-aanval uit te voeren tegen een poortje. "Als we dat hebben gedaan dan gaat het poortje niet meer open", vertelt hij in een reactie tegenover Webwereld zonder op dit moment verdere details te geven.

Nare dingen
Teepe benadrukte tijdens de hoorzitting dat de ontwikkelingen erg snel gaan en dat de Radbout Universiteit de resultaten van het onderzoek in oktober zal publiceren. "Wij zullen geen software schrijven, maar kwaadwillende mensen hebben dan voldoende informatie om het wel te kunnen."

VVD-er Paul de Krom, die probeert duidelijk te krijgen of publicatie dan wel verstandig is, wordt snel uit de droom geholpen. Volgens de onderzoeker is er een "waslijst" aan onderzoekers op dit moment aan de kaart bezig en is het ook maar kwestie van tijd voor er software verschijnt. "Iedereen met een wat duurdere telefoon is dan in staat nare dingen te doen."

OV-chipkaart 2.0 nodig
Toch wil Teepe niet alleen slecht nieuws brengen. Zijn afdeling is momenteel druk bezig met een open systeem, waarbij een soort OV-chipkaart 2.0 wordt gebouwd. Dat ontwerp moet wel veilig zijn en zal aan kaartuitgever Trans Link Systems worden aangeboden. Hij haast zich vervolgens om aan te geven dat die partij wel geïnteresseerd is, maar geen beloftes heeft gedaan het systeem daadwerkelijk te gaan gebruiken.

Het advies van de universiteit aan de kamerleden is ook voorspelbaar. "Het verder uitrollen van een kaart die stuk is, lijkt mij onverstandig", schrijft Teepe in een brief. "De OV-chipkaart is drager van geld (d.w.z. reistegoed), en als die drager relatief eenvoudig te manipuleren is, kan dit tot financiële schade leiden." Het advies is dan ook om snel met een andere techniek of een andere kaart te gaan beginnen en niet te wachten tot de schade een feit is.

Bron: Webwereld

--------------------------------------------------------------------------------------------------------------------------------------------

OV-chip onderzoekers nauw betrokken bij Oyster Card
Door Brenno de Winter
Donderdag 19 juni 2008, 06:00 - Er rijzen vragen over de onafhankelijkheid van de contra-expertise naar de Nederlandse OV-chipkaart. De Britse onderzoekers krijgen subsidie van de Londense OV-organisatie.

De contra-expertise van de Nederlandse OV-chipkaart moest absoluut onafhankelijk zijn. Nu roept een innige relatie tussen de security-onderzoekers van de Royal Holloway University of London (RHUL) en de OV-organisatie Transport for London (TfL), de organisatie achter de Londense OV-chipkaart Oyster Card, vragen op.

Het Ministerie van Verkeer en Waterstaat heeft altijd resoluut gesteld dat zij geen invloed op de omstreden resultaten van de RHUL heeft gehad en dat de contra-expertise volledig onafhankelijk is uitgevoerd.

Maar uit onderzoek van Webwereld blijkt dat het 'Smart Card Centre' van de Information Security Group van de Britse universiteit al jaren consultancywerk doet voor TfL en recentelijk zelfs een financiële injectie kreeg.

Financiële steun
Een maand na de oplevering van de contra-expertise kreeg de Royal Holloway University of London (RHUL) een investering voor drie jaar van Transport for London (TfL), het bedrijf achter de Britse OV-chipkaart.

Daarnaast is de onderzoeksinstelling al sinds 1996 betrokken bij onderzoek en consultancytrajecten voor TfL om de beveiliging van de Oyster Card op peil te houden, zo blijkt onder meer uit de brochure van de vakgroep Information Security. De werkzaamheden lijken daarbij sterk op de rol die TNO voor Trans Link Systems, het bedrijf dat de Nederlandse OV-chipkaart, uitvoerde.

Vergelijkbare belangen
De wending is curieus, omdat uit de stukken van het WOB-verzoek van Webwereld en Trouw blijkt dat het Ministerie echt getracht heeft onafhankelijkheid te garanderen. Het bureau dat de aanbesteding begeleidde eiste financiële, juridische en professionele onafhankelijkheid bij de gunning. Dit werd van de bedrijven zelfs zwart-op-wit geëist.

Ook mochten kanshebbers geen banden hebben met de bij de beveiligingsperikelen betrokken bedrijven: TNO, TLS, NXP, Thales, Viales en Accenture. Om die reden viel bijvoorbeeld de Universiteit van Leuven af. Deze onderzoekers hadden relaties met TNO. Er is niet gekeken naar belangen bij vergelijkbare bedrijven en systemen. De Londense Oyster Card maakt ook gebruik van de Mifare Classic chip van NXP.

Afkomstig van Philips
Het blijft onduidelijk hoeveel geld met de investering van TfL gemoeid is, omdat RHUL-directeur en onderzoeksleider van de contra-expertise Keith Mayes ondanks herhaalde verzoeken niet op de materie wenst in te gaan.

Wel weerlegt Mayes onduidelijkheden over zijn eigen rol, omdat hij zijn carrière begon bij een divisie van Philips die nu onderdeel uitmaakt van NXP. Hij werkte daar niet aan smartcards maar aan de ontwikkeling van televisietechnologie. Ook was hij al vertrokken bij het bedrijf, voordat de ontwikkeling van de gewraakte Mifare Classic Chip begon.

Het Ministerie van Verkeer en Waterstaat wijst erop dat juist de onafhankelijkheid heel belangrijk is geweest en benadrukt een verklaring van onafhankelijkheid van het onderzoekscentrum te hebben gevraagd. De voorlichter is behulpzaam bij de pogingen om opheldering te krijgen, maar vangt ook bot.
Oyster ook niet waterdicht

Gisteren werd bekend dat de Radboud Universiteit erin is geslaagd een succesvolle Denial-of-Service aanval op poortjes van de Britse OV-chipkaart uit te voeren. Ook slaagden studenten erin gratis te reizen op een Oyster Card. De onderzoekers presenteren in oktober de resultaten van hun onderzoek.

Bron: Webwereld

[Geert]

OV-chipkaart 2.0 in de maak: open en privacyvriendelijk
Door Brenno de Winter
Vrijdag 20 juni 2008, 09:25 - Over twee jaar presenteert de Radboud Universiteit de OV-chipkaart 2.0. Hij moet 'open veilig', controleerbaar en privacyvriendelijk zijn. Stichting NLNet doneert 150.000 euro.

Het project moet een systeem opleveren, waarbij alle code als open sourcesoftware beschikbaar komt. De gebruikte cryptografische standaarden zullen ook open zijn, zodat er geen "security through obscurity" is. Dat laatste vormde de basis van de verschillende problemen met de huidige Mifare Classic chip.

Privacy als drijfveer
Voor de donatie van anderhalve ton verwacht NLNet vooral een privacyvriendelijk systeem. "Identity, privacy en presence zijn onze speerpunten", vertelt Valer Mischenko, directeur van NLNet. "De eerste twee speerpunten komen in de OV-chipkaart 2.0 terug.

Rond de huidige chipkaart zijn ook privacyzorgen. Zo kunnen reizigers bij de Nederlandse Spoorwegen niet langer anoniem reizen als ze korting willen hebben, worden reisbewegingen zeven jaar bewaard tenzij de onderhandelingen met de Belastingdienst de termijn verkorten en bleken vervoersbedrijven de kaart als marketinginstrument te zien. Tijdens een hoorzitting in het parlement bleek eerder deze week dat busmaatschappijen verwachten minder geld te kunnen investeren door beperkingen in het gebruik van gegevens.

Openheid als oplossing
Mischenko wil niet bevestigen dat die zorgen een rol hebben gespeeld, omdat de stichting zich niet met politiek wil inlaten. Maar hij wijst wel wat er in de markt gebeurt: "Yahoo zei ook dat ze niets met de gegevens zouden doen. Nu blijken ze de grootste verkoper van data te zijn."

Juist om dit soort problemen voor te zijn, moet de hele ontwikkeling zo open mogelijk worden gedaan en zal de open sourceoplossing in principe voor iedereen toegankelijk zijn. Gebruikers moeten kunnen zien hoe het systeem werkt en hoe de reis- en persoonsgegevens beschermd worden. "Je bent er als burger dichter bij betrokken. Dat is wel democratisch gedacht", betoogt hij.

Inzet onduidelijk
Of het systeem dat volgens planning in 2010 af is ook daadwerkelijk in Nederland zijn intrede zal doen, is nog onzeker. Trans Link Systems, het bedrijf achter de OV-chipkaart, hoorde vorige week van het initiatief op het wetenschapsforum. Het bedrijf heeft toegezegd input te zullen leveren.

Het bedrijf zegt het initiatief wel serieus te nemen, maar kan in zo'n pril stadium nog niet veel meer zeggen. Zegsvrouw Jannemieke Zandee: "Maar je weet nooit. Veranderingen zullen in de toekomst wel plaatsvinden. Ons systeem is continu in beweging."

Bron: Webwereld

[webguy]

Tegen de tijd dat 2010 langs komt bestaat de OVC al lang niet meer tenzij er sneller wat wordt gedaan. Het lijkt me dat als je er een team studenten op zet het veel sneller kan...

[Geert]

Huizinga snoert Radboud Universiteit de mond

Woensdag 25 juni 2008, 15:25 - De Nijmeegse Radboud Universiteit mag van staatssecretaris Huizinga geen gevoelige informatie meer openbaar maken waarmee misbruik van de OV-chipkaart mogelijk wordt.

Vorige week werd bekend dat beide onderzoekers Bart Jacobs en Wouter Teepe gratis hadden gereisd met de Londense OV-chipkaart omdat ze de chipkaart hadden gekloond. Ook konden ze toegangspoortjes blokkeren. Eerder bewezen de onderzoekers al dat de Nederlandse OV-chipkaart onveilig is. Teepe adviseerde daarop de Tweede Kamer om de kaart niet in te voeren.

Staatssecretaris Tineke Huizinga reageerde dinsdag in een reactie op vragen van GroenLinks dat zij de universiteit op haar maatschappelijke verantwoordelijkheid wil wijzen. Ze is bang dat derden misbruik kunnen maken van de gepubliceerde gegevens.

Mifare Classic
Zowel de OV-chipkaart als de Engelse Oyster Card zijn gebaseerd op de Mifare Classic RFID technologie van NXP. De onderzoekers hadden aangekondigd dat zij in oktober hun onderzoek - uitdagend getiteld Dismantling MIFARE Classic - wilden publiceren tijdens de European Computer Security Conference Esorics.

Jacobs en Teepe hebben te horen gekregen dat vanwege de gevoeligheid is besloten tot "een strakkere regie". Zelfs over het open source project van de universiteit, een soort OV-chipkaart 2.0 die mede wordt gefinancierd door de Stichting NLnet , doet de universiteit vooralsnog het zwijgen toe.

"Daarover hebben we voldoende naar buiten gebracht," zegt woordvoerder bestuurlijke aangelegenheden en concernzaken drs. W. Hooglugt van Radboud. Onderzoeker Bart Jacobs reageert zuurtjes in een intern schrijven: "De boodschapper om zeep helpen, lost het probleem (van de gekraakte chipkaart, red) niet op."

Bron: Webwereld

Belachelijk

[Chauf21]

Belachelijk

Wat vind je belachelijk? Dat de universiteit de mond wordt gesnoerd of dat de universiteit de fraudeermogelijkheden open en bloot legt?

[M57]

Dit los je als volgt op:
- Je breidt het onderzoek uit naar meer afdelingen en meer personen
- Je laat het e.e.a. strategische lekken
- De lekker kan vervolgens maar heel moeilijk gevonden worden.

:)

[Geert]

Belachelijk

Wat vind je belachelijk? Dat de universiteit de mond wordt gesnoerd of dat de universiteit de fraudeermogelijkheden open en bloot legt?

Het feit dat de universiteit de mond gesnoerd wordt. Een écht veilig systeem krijg je door de werking van het systeem openbaar te maken; dan kijkt er een grote groep mensen naar en worden de meeste fouten er uit gehaald. De huidige chipkaarten zijn ontworpen en gecontroleerd door een kleine groep mensen. Die hebben dus niet alle problemen er uit gehaald, wat uiteindelijk heeft geresulteerd in een chipkaart die gekraakt is. Wat mij betreft kun je daar over publiceren; het ding is gekraakt en zal toch verbeterd moeten worden. Bovendien is het een stok achter de deur voor bedrijven als TLS (die doodleuk beweerde dat de kaart wel veilig was, net als Transport for London met de Oyster Card - beide systemen zijn bewezen lek).

Over de vraag hoeveel gegevens je moet publiceren valt te discussiëren. Ik ben van mening dat de gegevens die nu gepubliceerd zijn niet vertrouwelijk zijn en nog niet meteen een kant-en-klare handleiding zijn om gratis met het OV te kunnen reizen. Wat wél interessant is zijn de fouten die gemaakt zijn; het is een eye-opener voor het bedrijf dat de chips heeft geleverd (het encryptie-algoritme was te zwak en er waren stomme fouten gemaakt). Ook onderstreept het volgens mij dat het ontwerpen en testen door een kleine groep mensen niet genoeg is. Veel van de fouten die gemaakt zijn waren denk ik allang ontdekt wanneer een grote groep mensen (onafhankelijke wetenschappers, andere bedrijven, etc.) naar het systeem hadden gekeken. Dan waren deze zaken in de ontwikkelfase waarschijnlijk al ontdekt en was het tenminste mogelijk om zwakke onderdelen door een beter alternatief te vervangen. Nu zitten we met miljoenen zwakke passen en zal het erg lastig (lees: duur) worden om dingen fundamenteel te verbeteren.

Merk trouwens op dat het publiceren van details van een encryptiealgoritme (of de rest van het systeem) niet betekent dat je er meteen misbruik van kan maken. De kracht zit in het algoritme. Vergelijk het maar met een slot; je komt bij een goed slot nog steeds niet binnen als je weet hoe een cilinderslot werkt - daar heb je nog steeds een sleutel voor nodig. (Of andere methoden natuurlijk ;))

Overigens zijn veel encryptiesystemen die wel als veilig gezien worden wel in alle openheid ontwikkeld. Hier is door een grote groep mensen (vakmensen, studenten, en anderen) op geschoten en zo zijn de meeste fouten gevonden. Zie bijvoorbeeld SSL, dat nu ook wordt gebruikt voor telebankieren, webwinkels en andere systemen die een veilige verbinding moeten hebben. En hier zijn dus ook alle details van gepubliceerd.

Het is nogal een verhaal geworden zie ik

[webguy]

Het is belachelijk dat een universiteit niks mag zeggen over het falen van een technische oplossing die eigendom is van private maatschappijen, dat ook in het belang van een overheid is die in dit geval flink heeft gefaald. Tineke Huizinga heeft haar zaakjes niet op orde, en daarom mag de universiteit niks zeggen. Verder hebben ze laatst juist informatie gelekt over de Londense metro en het gebruik van de RFID kaarten in het algemeen: dingen die Nederland eigenlijk veel minder aangaan, maar een impact kunnen hebben op systemen die 'veilig' worden geacht wereldwijd. Een universiteit moet als onderzoek instituut overigens ook onafhankelijk zijn: daar moet de overheid niks mee te maken hebben, en na die Londense onderzoekers zouden ze dat moeten weten bij 't minister V&W