OV-chipkaart is volledig gekraakt

[Fles]

OV-chipkaart is volledig gekraakt
Met behulp van een eenvoudig computerprogramma voor het veelgebruikte besturingssysteem Windows, is het mogelijk om zwart te rijden op de ov-chipkaart. Anders dan het kabinet eerder stelde, worden gekraakte kaarten niet blijvend geblokkeerd.

Bron en meer

[Fles]

Even verderop:

Gegevensverwerker Trans Link Systems zegt in een reactie wel fraude te hebben gedetecteerd en een week geleden aangifte bij Justitie te hebben gedaan. In het belang van het onderzoek wil het bedrijf niet zeggen wat ze gedetecteerd hebben.

Slap verhaal. Bluf. TLS probeert zijn gezicht te redden.

[fogeltje]

Gaat het hierbij nog steeds alleen om anonieme kaarten of ook persoonlijke kaarten? Zo niet, dan is dit straks natuurlijk een mooie smoes voor de overheid om door te drukken dat alleen nog maar persoonsgebonden kaarten vertrekt worden. Dat is natuurlijk een datamining Valhalla.

Overigens zou ik wel graag een programma en lezer hebben om mijn kaart mee te kunnen uitlezen omdat ik graag in staat wil zijn mijn online overzichten te kunnen checken met wat er daadwerkelijk op de chip staat zonder dat ik daarvoor naar een automaat of balie moet.

[Fles]

Jij gelooft toch niet zelf dat persoonlijke kaarten fundamenteel anders opgebouwd zijn he? ;) Die zijn even kwetsbaar natuurlijk.

[Gekko123]

Die reacties bij nujij.nl zijn allemaal van niet-OV-reizigers. Ze roepen dat er eindelijk alleen gratis OV is voor iedereen. Dat is natuurlijk niet het geval.

Strippen kaart is eerlijker systeem en kan "niet" gekraakt worden. Maar tsja, iets doen waar de burgers écht... iets aan hebben zal er nooit bij zijn natuurlijk

Laat me niet lachen, sinds wanneer is een strippenkaart een eerlijk systeem? Volgens mij is het bijbehorende zonesysteem heel erg oneerlijk.

[Fles]

Volgens mij heb ik in al die decennia nog nauwelijks één wanklank gehoord over hoe verschrikkelijk oneerlijk het zonesysteem wel is Het kan best waar zijn op zich, maar het is nooit een probleem geweest.

[Klaasje]

Laat dat nou net de reden zijn waarom ik het geoorloofd vond om grijs te rijden toen ik 15 jaar oud was. Van mijn huis naar de middelbare school was het 2 haltes tot de zonegrens, 1 halte op de zonegrens en dan mocht ik er de tweede halte na de zonegrens weer uit. Waarom 3 strippen? je kan voor twee strippen ook 16 haltes ver komen. :X
Zo heb ik een tijdje gereisd totdat ik na een tijdje CXX-Viccers tegenkwam en mocht betalen. Tegenwoordig kost dat reisje 1 euro met een chipkaart terwijl je 1,52 kwijt bent met een strippenkaart.
Bij lange reizen speelt het probleem van "niet-eerlijke" zone's veel minder omdat de exacte locatie van de zonegrens dan voor de prijs in verhouding minder uitmaakt.

[webguy]

Overigens denk ik dat het ene wat hier gebeurt is is dat iemand een windows versie van de software heeft geschreven en aan journalisten gegeven. Wel jammer dat ze niet vermelden wie er achter zit, het is waarschijnlijk dus niet de Radboud Universiteit die er eerder onderzoek naar deed. De "window of attack" is een dag: kaarten kunnen pas een dag later worden gedeactiveerd in alle poortjes/bussen/trams/etc. In die tijd kan je een boel reizen, maar om steeds een nieuwe anonieme chipkaart daarvoor te kopen...

[Klaasje]

Wellicht kan de "window of attack" later nog omlaag bijgesteld worden wanneer de software verder ontwikkeld wordt. Bij CXX bijvoorbeeld hebben alle bussen al een internetverbinding voor reisinformatie en het constant doorgeven van punctualiteitsinformatie. Zo zouden chipkaarttransacties in de toekomst ook sneller naar TLS overgebracht kunnen worden.

[webguy]

Euh ja, maar als je bedenkt dat als dit op grote schaal wordt gedaan, dan is dat erg inefficient. Als voor 4000 bussen in nederland (ruwe schatting) elk uur 5 OVC-nummers doorgeeft om te blokkeren ivm fraude, en ook nog eens 100 nummers van SOVCs die kapot gaan per uur, dan ben je op gegeven moment best lang bezig met die OVC nummers en niet belangrijke punctualiteitsdata.

[Geert]

Eigenlijk al oud nieuws dit, alleen wordt het met het tooltje nu wel héél gemakkelijk gemaakt. TLS en de vervoerders dachten te kunnen bezuinigen op de chipkaart en en kozen een model met weinig beveiliging, en nu wreekt zich dat. In het journaal was vanavond een item over dit inclusief reactie van TLS. Die reactie kwam min of meer neer op 'het is strafbaar, en wij kunnen zien dat er misbruik is gepleegd, dus er is geen probleem'. Nou, kennelijk duurt het dan even voordat er iemand opgepakt kan worden die reist met een frauduleuze kaart, want Brenno de Winter reist al twee weken met een gekraakte kaart. Hoezo 'er is geen probleem'? Dat er niet matchende records teruggevonden worden in hun backendsystemen wil nog niet zeggen dat de fraudeur opgepakt is. Overigens nog los van problemen met missende records (ontbrekende transacties) die - volgens mij - dezelfde alarmbellen zouden moeten laten rinkelen.

Hoe dan ook, het is wel (wederom) duidelijk dat de chipkaart al een technisch achterhaald product is voordat het ding zelfs al landelijk werkt. Leuk geprobeerd, tijd voor iets nieuws.

[webguy]

Wat ik overigens laatst bedacht, maar nog niet hier had neergezet is dat banken al geen eens alle transacties kunnen bijhouden. Er was laatst een presentatie over het misbruiken van EMV (= nieuwe pin standaard) in Engeland, door te zeggen dat er geen pincode nodig was en dan een willekeurig pincode intoetsen. Een aantal gevallen waar werd vermoed dat die hack gebeurde in het echt, konden de banken niet alle data tonen over de transacties. Ze konden bij de betreffende winkels bonnetjes terug vinden, maar ze konden niet hun eigen (electronische) data over de transacties geven. Als banken het al niet kunnen, waarom denkt TLS het wel te kunnen...

[Geert]

Ik denk dat er wel meer pinbetalingen zijn dan ov-chipkaarttransacties, maar volgens mij is het pinsysteem in Engeland ook gedeeltelijk decentraal (als ik me dat paper tenminste goed herinner). Een pinterminal heeft daar niet altijd een connectie met de bank om de kaartgegevens te verifiëren, zoals in Nederland. Wat dat betreft vergelijkbaar met het chipkaartsysteem (of de chipknip) waar ook niet altijd de kaartgegevens gecheckt kunnen worden.

[webguy]

Het gaat om deze paper (en de bijhorende presentatie op hackerconferentie 27C3) en het heeft inderdaad er mee te maken dat de PIN verificatie offline gebeurt, maar de transactie zelf wordt wel degelijk direct naar de server gestuurd om te controleren dat er genoeg saldo is.

[fogeltje]

Jij gelooft toch niet zelf dat persoonlijke kaarten fundamenteel anders opgebouwd zijn he? ;) Die zijn even kwetsbaar natuurlijk.

Zat daar geen andere chip in? Of zat er alleen verschil in chip tussen wegwerp kaarten en "gewone" (anonieme en persoonsgebonden) kaarten?

[Geert]

De anonieme kaarten en persoonlijke kaarten gebruiken inderdaad dezelfde chip (Mifare Classic). Wegwerpchipkaarten gebruiken een wat voordeliger variant die Mifare Ultralight wordt genoemd. Die laatste variant is als eerste gekraakt.

@webguy: dat paper inderdaad.

[webguy]

Overigens had ik inderdaad binnen 5 minuten een oudere versie van de software die getoond wordt binnen. Heb geen lezer, maar ach...
Niks nieuws dit allemaal: op de RU blijven ze netjes, maar staat er op de tweede verdieping al 2 jaar een laptop die dit kan met een kaartlezer van 30 euro. Je houdt je kaart ervoor en je geboortedatum en saldo worden getoond...

[Suus]

Wat ik vooral opvallend vind is dat de kaarten direct niet geblokkeerd zijn toen er aangifte werd gedaan van fraude. Wat ik denk dat er gaat gebeuren is dat het project niet wordt stilgezet, de detectiemechanismes worden verzwaard en het proces waarbij een nieuwe chip in de kaart wordt geintroduceerd versneld zal worden.

Ik denk bovendien dat veel mensen niet gaan rommelen met hun kaarten, omdat ze bijvoorbeeld abonnementen op hebben staan en veel mensen willen daar geen gevaarlijke dingen mee doen. Daarnaast zullen er ook veel mensen zijn met gewetensproblemen die hier niet aan gaan beginnen.

Dus ja, het is een probleem, maar daar we nu ruim voorbij een point of no return zijn denk ik dat niet dat dit grote gevolgen gaat hebben voor de OV-Chipkaart, of je het er nu mee eens bent of niet.

[Klaasje]

Ik denk dat het probleem van meteen uitcheckende reizigers groter is......

[Geert]

Vanavond liet Brenno de Winter ook nog eens zien dat je zelf in- en uitchecktransacties toe kunt voegen aan een chipkaart. Ideaal voor een frauderende reiziger: wel een ingecheckte chipkaart (en dus een geldig vervoerbewijs bij controle), maar geen enkele registratie in de systemen van TLS en dus geen geblokkeerde kaart als het saldo weer teruggezet wordt.

Wat ik vooral opvallend vind is dat de kaarten direct niet geblokkeerd zijn toen er aangifte werd gedaan van fraude.

De fraude is in ieder geval al niet meteen ontdekt door TLS en de aangifte is ook pas na een week (of meer?) gedaan. Enkele mensen reizen al meerdere weken op gekraakte kaarten, de aangifte van TLS is van vorige week en het nieuws is van vandaag.

Ik denk bovendien dat veel mensen niet gaan rommelen met hun kaarten, omdat ze bijvoorbeeld abonnementen op hebben staan en veel mensen willen daar geen gevaarlijke dingen mee doen. Daarnaast zullen er ook veel mensen zijn met gewetensproblemen die hier niet aan gaan beginnen.

Als zelfs maar een klein deel van de Nederlanders chipkaarten gaat hacken heb je al problemen. Stel dat er elke dag 2 miljoen mensen met het OV reizen en dat 1% van de reizigers rommelt met zijn kaart, dan hebben we het al over 20.000 mensen die reizen met een gehackte kaart. Ik betwijfel of er voldoende capaciteit is bij de opsporingsdiensten om daar tegen op te treden, en anderzijds of er dan niet te veel verlies wordt gemaakt door de vervoerbedrijven (even ervan uitgaande dat deze mensen niet tot de normale groep zwartrijders horen).

Dus ja, het is een probleem, maar daar we nu ruim voorbij een point of no return zijn denk ik dat niet dat dit grote gevolgen gaat hebben voor de OV-Chipkaart, of je het er nu mee eens bent of niet.

We zullen zien, er is weer eens een spoeddebat aangevraagd over de kwestie...

[find_your_spot]

Vanavond liet Brenno de Winter ook nog eens zien dat je zelf in- en uitchecktransacties toe kunt voegen aan een chipkaart. Ideaal voor een frauderende reiziger:

Zit je nu en denk je: dat wil ik met eigen ogen zien!

http://beta.uitzendinggemist.nl/afleveringen/1049005

Bij 7:34 zit het hele verhaal.

Voor de liefhebbers van de uitzending van het Staatsjournaal:
[youtube]http://www.youtube.com/watch?v=-HaXnHUcyHI[/youtube]

[Suus]

Spoeddebatten, die worden tegenwoordig ook voor bijna elk wissewasje gehouden, dat stelt echt niets voor. Kan mij ook niet voorstellen dat men opeens wel bewindslieden gaan wegsturen. Beetje praten, en iedereen gaat gewoon weer op de oude voet verder naar 3 februari, als de eerste provincie de strippenkaart uitzet.

[Geert]

Fraude met OV-chipkaart kan ook zonder inchecken
Geplaatst op: woensdag 26 januari 2011 10:04
Laatst bijgewerkt: woensdag 26 januari 2011 10:05

Fraude met het reizen met de OV-chipkaart is ook mogelijk zonder daadwerkelijk op een station in te checken. Daardoor wordt de reis niet geregistreerd en ontvangt de vervoerder geen geld, schrijft Webwereld woensdag.

Met een speciale applicatie slaagden hackers erin om een station van ‘inchecken’ en datum en tijd van de reis op de kaart in te voeren, waarna de apparatuur van conducteurs de gekraakte OV-chipkaart als correct ingecheckt afleest. Onderzoek wijst uit dat de fraude door conducteurs niet wordt opgemerkt.
Lees verder

[webguy]

TLS: "Oh wacht, hmm, hier hadden we nog niet over nagedacht"
Iets met slechte architectuur en beter uitdenken?

[find_your_spot]

Sinds vandaag is er een nieuwe vacature beschikbaar bij TLS:

https://star-track.humankey.nl/sollicit ... ?puid=6801

Hup dat CV uploaden, stropdas recht en hup dat gesprek in.

Ik zeg: doen! *O*