TLS maakt OV-chip veilig bij voldoende klanten

Dit artikel delen:

Alleen wanneer 'voldoende' reizigers een nieuwe pas heeft, kan van de verbeterde versleuteling in de nieuwe OV-chipkaart gebruik worden gemaakt. Dat bevestigt Trans Link Systems (TLS), het samenwerkingsverband tussen OV-bedrijven dat verantwoordelijk is voor de invoering van de OV-chipkaart. Professor Bart Jacobs van de Radboud Universiteit in Nijmegen betoogde eerder dat deze situatie optimaal gebruik van deze kaart kan vertragen. Het plan is juist om deze in te voeren op het moment dat het aantal fraude-incidenten uit de hand loopt.

'Het klopt, zoals de heer Jacobs zegt, dat het omschakelen naar de veiligere modus kan plaatsvinden indien voldoende OV-chipkaarten met de nieuwe chip zijn gedistribueerd', zegt een woordvoerder van TLS. Of dat tot vertraging kan leiden, laat de woordvoerder in het midden: 'De snelheid van distributie hangt hierbij af van de omstandigheden.'

Volgens professor Jacbos is omschakeling naar de nieuwe kaart complex omdat, zodra de toegangspoortjes zijn omgeschakeld naar de nieuwe chip, reizigers met een oude OV-chipkaart er niet meer doorkomen. 'Van de verbeterde versleuteling kan pas gebruik worden gemaakt wanneer 'zeg 99,9 procent' van de reizigers een nieuwe pas heeft, zei Jacobs eerder in Computable. Zijn Digital Security-vakgroep verwierf in 2008 internationale faam toen deze de gebrekkige beveiliging van de huidige OV-chipkaart kraakte.

Wanneer de nieuwe OV-chipkaart in gebruik wordt genomen is nog onduidelijk. In juni 2008 besloot de toenmalige staatssecretaris Tineke Huizinga van Verkeer en Waterstaat om de huidige OV-chipkaart deze op termijn te vervangen. Wanneer hangt af van de mate waarin fraude wordt gepleegd met de huidige OV-chipkaart.

'Eén fraudegeval'

Volgens TLS is het moment dat de fraude met de huidige OV-chipkaart uit de hand loopt nog niet aangebroken. 'Na de fraude van € 0,01 door radio Rijnmond in januari 2008 heeft zich één serieus fraude-incident voorgedaan.' Een toen dertigjarige man uit Leiden kopieerde met speciale apparatuur saldo op anonieme OV-chipkaarten.' Volgens TLS werd de fraude gesignaleerd door het 'centrale backoffice-systeem van de OV-chipkaart'.

TLS deed aangifte van de fraude bij de politie Haaglanden. Deze combineerde de gemaakte reisroutes met de illegaal opgeladen OV-chipkaarten met andere gegevens en hield vervolgens een verdachte aan. Volgens TLS bewijst dit incident dat 'misbruik van een OV-chipkaart niet alleen snel gesignaleerd wordt, maar ook goed kan worden opgespoord.'

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Reacties

Het blijft vervelend, dat de fraude zo makkelijk gepleegd kan worden, nu worden de kosten door de simpele beveiliging niet door TLS betaald, maar door het politie en rechtsapparaat, en dus de belasting betaler. Als TLS hun verantwoordelijkheid hadden genomen, hadden ze meteen een veilig en goed product op de markt gezet en werd het opsporingsapparaat niet onnodig belast.
Natuurlijk blijft deze 30 jarig man de overtreder, maar als je zo een onveilig product op de markt zet, dan weet je dat bepaalde elementen in de samenleving hier misbruik van gaan maken.

Ja, dat is natuurlijk heel mooi, maar het kwaad is dan al geschied.
Ik zou willen stellen dat ze dan mooi te laat zijn met de betreffende beveiliging. Kaarten moeten in de eerste instantie niet te vervalsen zijn, dat "ov-chipkaart backoffice systeem" moet niets meer zijn dan een failsafe.

Auke, dat vind ik een beetje kort door de bocht. Uiteraard hadden ze een veiliger systeem moeten uitbrengen (is de chipknip in al die jaren al 'gehacked'? Ik heb er nooit van gehoord).
Echter geldt dit voor alles. Alle apparaten en diensten zijn te misbruiken door iemand die daar op uit is. Waarom kan een auto die in Nederland wordt verkocht harder dan 120, Waarom is een DVD zo makkelijk te kopieren enz. enz.

Uiteraard zijn dit geen vergelijkingen die 100% op gaan, en zelfs heel flauw te noemen, maar het gaat even om het idee. We moeten er sowieso vanuit gaan, dat alles wat te beveiligen is, te kraken is. Je kan het alleen moeilijker maken.

Je kan natuurlijk ook zelfs stellen, dat mede omdat het zo makkelijk te detecteren was dat een kaart vals is, of mee gefraudeerd is, of het frauderen dat wel succesvol is geweest. Is het niet het idee van fraude dat je er uiteindelijk mee weg komt??

Leuk. Heb ik zo'n kaart gekocht en van saldo voorzien - je moet wel om nog te mogen reizen in Nederland, mag ik dankzij kortzichtigheid van bestuurders en het doordrukbeleid van vervoerders binnenkort opnieuw een kaart kopen en van saldo voorzien.
Een leuke vorm van geldklopperij door de vervoerders met goedkeuring van onze fijne vertrekkende regering.

Leuk. Heb ik zo'n kaart gekocht en van saldo voorzien - je moet wel om nog te mogen reizen in Nederland, mag ik dankzij kortzichtigheid van bestuurders en het doordrukbeleid van vervoerders binnenkort opnieuw een kaart kopen en van saldo voorzien.
Een leuke vorm van geldklopperij door de vervoerders met goedkeuring van onze fijne vertrekkende regering.

Als dat opsporen van fraude daadwerkelijk zo snel en makkelijk was, dan werd er meteen bij het inchecken met een foutieve kaart wel een signaal gegeven om een zwartrijder op te pakken...

Het introduceren van een verbeterde versleuteling is natuurlijk nu al mogelijk. De apparatuur kan immers zien of het met een oude of een nieuwe kaart te maken heeft. De oude kaarten verdwijnen op den duur vanzelf uit het systeem. Hoe langer je wacht met het introduceren van de nieuwe kaart, hoe langer je te maken hebt met nog geldige oude kaarten. Het systeem weet vast wel welke kaartnummers er op een bepaald moment nog wel en welke niet meer in omloop zijn, waardoor de "mazen" van het net steeds kleiner worden. Als vervolgens door additionele maatregelen (bijv. alertheid back-office) moedwillige misbruikers toch wel worden gevonden, lijkt mij het systeem best aanvaardbaar.

Ik verbaas me (zoals wel vaker) over het gemak waarmee uit gebrekkige informatie conclusies worden getrokken en voor waar aangenomen.

"heeft zich één serieus fraude-incident voorgedaan" - nee, er is één serieus fraude-incident ontdekt. Dat kán zijn omdat er niet meer waren. Het kan ook zijn omdat de opsporing totaal niet deugt. De fraudeurs die niet ontdekt zijn, zullen zich echt niet vrijwillig gaan melden.

"Volgens TLS bewijst dit incident dat 'misbruik van een OV-chipkaart niet alleen snel gesignaleerd wordt, maar ook goed kan worden opgespoord.'" - nee, dit bewijst slechts dat dit ene geval snel gesignaleerd werd en goed kon worden opgespoord.

Ik zeg niet dát er niet meer fraude is geweest dan dit ene incident. Maar ik zeg wel dat je op basis van de informatie in dit artikel dat niet kan uitsluiten.

En dan toch te bedenken hoeveel mensen op dezelfde halte van instappen in en uitchecken dat is volgens mij ook een vorm van fraude. Wel overigens heel lastig op te lossen, ze hadden naar mijn mening gewoon net als in het buitenland per rit moeten laten betalen in plaats van per kilometer, het lijkt zo net of Nederland behoorlijk groot is.

Hoe anoniem, is dus uiteindelijk zo'n kaart!! Wanneer zelfs ons politieapparaat met hun totale gebrek aan IT vaardigheden, en of prioriteit voor IT criminaliteit, al zo gemakkelijk een "anonieme" kaart kan opsporen.

@Jose
Op het moment dat je op dezelfde halte in en uit check kun je wellicht de bestuurder van bus of tram voor de gek houden, maar bij een controle ben je dan toch echt nog steeds een zwartrijder... je bent op het moment van controle dan immers niet ingecheckt.

@Dirk
Niet alle kaarten zijn anoniem, bovendien zijn kaarten op het moment van in- en uitchecken natuurlijk gekoppeld aan de persoon die de kaart vasthoudt, en de kaart kan ook prima bij de conducteur van de NS als gesignaleerd bekend staan. Mogelijkheden genoeg. Zeker als je een vast reispatroon hebt.

@Hugo, helemaal mee eens: de kans is groot dat alleen dit geval is ontdekt omdat deze meneer niet voorzichtig was, had hij maar een paar kopieeen van verschillende kaarten gemaakt, was hij waarschijnlijk niet ontdekt.
Nu wel, omdat hij te sterk van het patroon afweek (dat is dus inclusief normale afwijkingen!).

Overigens bewijst dit wel hoe makkelijk je getraceerd en gevonden kan worden op basis van een 'anonieme' kaart. Go figure.

De betreffende misbruiker is gesignaleerd door het systeem van o-chipkaart, maar is gepakt door de beveiligings beelden van de camera's op het station en het feit dat hij regulier er mee reisde zodat ze hem konden opwachten...

Het betekent wel dat ook van een anonieme ov-chipkaart de reizen worden opgeslagen en te herleiden zijn naar 1 kaart. (Dit geld bv ook voor de chipknip mbt betalingen)
Hoe anoniem hij dan is(samen met de andere bronen als cctv cemera's) is dus nu ook duidelijk.....

Het feit dat er ergens mee gefraudeerd kan worden d.m.v. kopieeracties, zegt elke serieuze beveiliger genoeg. Nl. dat klanten helemaal niet blootgesteld zouden moeten kunnen worden aan zo'n systeem. Niet invoeren, dus.
Als er nl. één over de dam is, volgen er meer.

Niemand kan met droge ogen beweren dat het een veilig systeem is. Kans op digitale fraude moet niet klein zijn - ze moet eigenlijk gewoon NUL zijn (of althans heel dicht daar tegen aan). En als er dan al fraude mogelijk is, dan moet dat nimmer op kosten van één slachtoffer kunnen. Hooguit op kosten van TLS zelf. (Ook als het fraude-geval niet aan 't licht zou komen.)
Zo'n systeem moet best te ontwerpen zijn.

Je moet natuurlijk hackers betrekken bij het bedenken van zo'n systeem. Zij helpen graag.
Dan weet je VANTEVOREN of 't hackable zal zijn of niet. Helaas heeft men altijd weer een bord voor de kop, en ziet men (hobby-)hackers als de vijand i.p.v. als vriend.

Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste ict-nieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in
Vacatures bij Radboud Universiteit

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2010-09-15T08:38:00.000Z Jolein de Rooij
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.