'OV-chipkaart kraken loont niet'

Voor criminelen is het rendement om de ov-chipkaart te kraken te laag, aldus NXP, TLS en TNO. Wanneer het voor kwaadwillenden wel zou lonen om fraude te plegen met de kaart, zou dat voor TLS reden zijn geweest om te stoppen met de ov-chipkaart.

Voor criminelen is het kraken van de ov-chipkaart niet rendabel. Dat zeiden TransLinkSystems (TLS), TNO en NXP woensdagmiddag tijdens een hoorzitting over de ov-chipkaart. De partijen denken dat een kwaadwillende teveel moeite moet doen om de ov-chipkaart te kraken om er financieel voordeel uit te halen. "Er is geen haalbare criminele businesscase", aldus de heer Kerkdijk van TNO.

Derde beveiligingslaag

Er zijn volgens TNO momenteel twee mogelijkheden voor een crimineel die de persoonlijke ov-chipkaart gekraakt heeft. Hij kan het bedrag dat op de chipkaart staat verlagen of verwijderen. Het tegoed overschrijven naar een tweede kaart is niet mogelijk. "Wij zien hier geen financieel voordeel in, terwijl er wel een grote investering voor nodig is," aldus Kerkdijk. Ook kan een crimineel een kopie maken van de chipkaart. Maar volgens directeur Jeroen Kok van TLS wordt dit door de derde beveiligingslaag van het systeem voor de ov-chipkaart, de backoffice, ontdekt. De echte reiziger krijgt dan een nieuwe kaart toegestuurd.

Deze derde beveiligingslaag zou ook voorkomen dat er langer dan twee dagen gebruik kan worden gemaakt van een gekopieerde dagkaart. "Dat is wel erg, maar het maximale nut om dat te doen is vanuit crimineel oogpunt beperkt." aldus Kok.

Lonend

Of fraude lonend is voor een crimineel, is voor TLS een belangrijk punt. Dat fraude niet lonend is, is één van de redenen waarom de joint venture van vervoersbedrijven nog altijd door wil gaan met de invoering van de chipkaart. Een onveilige chipkaart zou voor TLS wel reden zijn om te stoppen met de kaart. TLS-directeur Kok: "Maar tot op heden is hier geen sprake van."

Sorcerer, 12-03-2008 18:16

Een dagkaart 2 dagen bruikbaar? Dat is precies genoeg om de chip te kopi�ren en de kopie op internet te plaatsen. Vervolgens kan een 'gebruiker' van de crimineel de software via een relatief goedkoop apparaatje telkens kopi�ren op een eigen kaart.

Eenmalige kosten voor de 'gebruiker': apparaatje en chipkaart.
Dagelijkse kosten voor de crimineel: een dagkaart.

Op termijn is het eventueel mogelijk dat er andere gebreken blijken te zijn in het chipsysteem, bijvoorbeeld het handmatig wijzigen van sleutels om zo bij willekeurige passagiers tegoed af te schrijven. De werking van de kaart is mij jammergenoeg niet helemaal bekend, waardoor het speculeren blijft...

Ik snap nog steeds niet waarom men geen gebruik maakt van een (redundante) centrale database in combinatie met private/public keys op passen. Volgens mij werkt het Oyster-systeem in Londen ook zo. Dat is wel gewoon 100% veilig: passen zijn niet zomaar te kopi�ren en als dat al zo is dan is raar/excessief gebruik gemakkelijk op te sporen.

Beetje jammer...

Hutspot01, 12-03-2008 22:30

Wat een onzin joh! Maar natuurlijk beweert TLS dit. In het kader van: "Wij van WC-eend adviseren WC-eend.

Zie: [url= http://core.tweakers.net/nieuws/52325/hacker-ov-chipkaart-ook-met-goedkope-middelen-te-kraken.html ]hier[/url], [url= http://life.tweakers.net/nieuws/52381/mifare-chips-eenvoudig-volledig-te-kraken.html ]hier[/url], etc, etc..

Leon, 12-03-2008 22:39

Ik vraag me af hoe groot de chaos zou zijn als er tijdens de spits, op bijvoorbeeld Utrecht Centraal, honderden of duizenden passen onbruikbaar worden gemaakt.
De argumenten van Translink zijn binnen hun scope wellicht correct, maar het kunnen kraken van de OV chipkaart is ook een zaak van nationale veiligheid.

Cor, 13-03-2008 7:09

Erg kortzichtig om alleen te kijken naar de mogelijkheden van misbruik die betrekking hebben op toegang tot vervoer door de vervalsers zelf. Alsof criminelen alleen voor zichzelf toegang willen hebben. Het opzetten van een illegale handel in dagkaarten is veel lucratiever. Alle toeristen die een goedkopere dagkaart willen leggen er graag geld voor neer, eenmaal buiten het zicht van de verkoper zal het de verkoper boeien of ze het station in of uit kunnen komen: het geld is binnen en daar gaat het om. Al zal het maar een kleine marge zijn die je haalt, hier geldt de wet van de grote getallen: het verkopen van 100.000 kaarten met een dubbeltje winst betaalt al je apparatuur terug, alle kaarten die je meer verkoopt is "kesj in zie pokket".

En dan heb ik het niet eens over mogelijkheden met de overige gegevens die je van de kaart zou kunnen halen waarmee je evt. iemand kan afpersen... Nee... goudmijntje zeg ik, vooral geen betere beveiliging doorvoeren, wat denk je dat dat kost?!

Ekner, 13-03-2008 8:13

Ben benieuwd of het voor diegenen die hun saldo kwijtraken ook zo irrelvant is, maar ja dat is natuurlijk maar gewoon een consument en dat is minder belangrijk.
Volgens mij horen dit soort (verplichte) middelen alleen ingevoerd te worden als ze goed te gebruiken zijn door de KLANT!
Dat de vervoersmaatschappij er schade door zou oplopen vindt ik pas irrelevant!

security / Nieuws

NXP Software BV

'OV-chipkaart kraken loont niet'

Derde beveiligingslaag

Lonend

IT-beveiliging moet hoger op de agenda

De succesfactoren voor Identity & Access Management

Computable Events Security

EMC pakt databescherming, risk en TCO aan

Transparante systeemtoegang voor 17.000 UWV-medewerkers

Lege stoelen bij Pinewood

ECM onmisbaar in het 'nieuwe werken'