Het Groot Belgisch Treinen Forum

(Bron: De Volkskrant, 8 januari 2008)
(Bron: http://www.spoorforum.nl )

Geheime code OV-chipkaart gekraakt !

De veiligheid van de Nederlandse ov-chipkaart, is in het geding. Deze OV-chipkaart moet op (korte) termijn alle plaatsbewjzen voor trein, bus, tram en metro in Nederland gaan vervangen.
Duitse hackers hebben de geheime code gekraakt van de chip die in de kaart is verwerkt. Voor Rop
Gonggrijp, Nederlands bekendste hacker, zijn de gevolgen duidelijk: 'Deze chipkaarttechnologie is weg, stuk, niet meer te gebruiken.'

Wanneer Gonggrijp gelijk heeft, is dat een nieuwe enorme tegenvaller voor de ov-chipkaart, een project dat geplaagd wordt door veel vertraging. De kaart
zou dit jaar landelijk worden ingevoerd, maar dat wordt nu op zijn vroegst ergens in 2009. Een harde invoerdatum durft niemand meer te geven.

Doordat de chip is gekraakt, kunnen reizigers straks wellicht gratis reizen. Ook zou privacygevoelige informatie van de reiziger op straat kunnen komen.

Fraudegevoeligheid
==============
Translink systems, het bedrijf dat in Nederland de ov-chipkaart invoert, vindt het nog te vroeg om te oordelen. Het wacht op de analyse van de
Nederlandse chipproducent NXP - voorheen de chipsdivisie van Philips - die wereldwijd al 2 miljard van deze chips heeft verkocht. Volgens Translink is
de fraudegevoeligheid van het ov-chipkaartsysteem niet in het geding, omdat er ook 'andere maatregelen zijn genomen'.

De twee Duitse onderzoekers presenteerden hun doorbraak op het 24ste Chaos Computer Congres in Berlijn. Het kraken van deze 'Mifare'-chip geldt al jaren als de hoofdprijs in hackerskringen.

Voor een juichende en klappende zaal computerhackers pelden zij de beveiliging van de Mifarechip uit elkaar. Rop Gonggrijp was erbij en vond het 'briljant'. Karsten Nohl en Henryk Plötz toonden aan dat met spullen
ter waarde van nog geen 100 euro volledige controle wordt verkregen over de chip. De Mifarechip van NXP is een zogenoemde RFID-chip, die radiogolven herkent en terugstuurt.

Geheime sleutel
============
'We onderzoeken nu de gevolgen, dat is duidelijk', zegt NXP-woordvoerder Alexander Tarzi. Hij benadrukt dat nu weliswaar onthuld is hoe de chip werkt, maar dat de geheime sleutel in de chip intact zou zijn. Ook meldt
hij, net als Translink, dat de veiligheid van de NXP-systemen van meer afhankelijk is dan alleen de chip.

Gonggrijp moet erom lachen: 'Producenten reageren altijd hetzelfde. Geloof me, NXP heeft ongelooflijke fouten gemaakt. Hun technologie blijkt kinderlijk eenvoudig te breken...........'

soms zijn hackers wel nuttig, zoals spullen testen.
Zouden fabrikanten meer moeten doen, hackers in dienst nemen om iets te ontwikkelen

Bwa, ik zoek er niet te veel achter. Die kaart zal inderdaad wel door meer zaken beschermd zijn dan gewoon 1 code. Als er al 2 miljard van die chips verkocht zijn wereldwijd, zal die code al lang gekraakt zijn. Er zijn nog computerkenners op deze aarbol buiten in Nederland. En dat de chiptechnologie nog steeds gebruikt wordt, betekent toch dat het niet zo erg is.

BDJ

Hackers worden vaak gebruikt of zelfs betaald om beveiligingen te controleren, om te zien hoe waterdicht ze zijn. Hackers hebben in principe geen kwade bedoelingen, ze willen een bepaald bedrijf er gewoon op wijzen dat hun beveiliging onvoldoende is. Een cracker daarentegen kraakt wel beveiligingen om uit de verworven gegevens geld te kunnen slaan.

Zelfs een Boeing 787 kan je nu al hacken : artikel Data News

Dat er iets meer in Nederland met de OV-Chipkaart aan de hand is dan sommige denken op dir forum, blijkt uit het volgende artikel:

Beveiligen ov-chip kost NS miljoenen

De slechte beveiliging van de chipkaart voor het openbaar vervoer gaat de vervoerbedrijven miljoenen kosten.
Duitse hackers wisten eind vorig jaar de beveiliging van de chip die er op zit te kraken. „Daardoor is de kaart makkelijk te misbruiken en kan gratis worden gereisd.

Kamerleden reageren gisteren onthutst op de onheilstijding en eisen volgende week in een spoeddebat opheldering.
De ov-kaart zou in de loop van volgend jaar worden ingevoerd, maar door vele vertragingen weet niemand meer wanneer dat gaat gebeuren.
Om de chipkaart beter te beveiligen, moet alleen al de NS alle 850.000 uitgegeven kortingskaarten, die voorzien zijn van een chip, vernieuwen. De kosten daarvan bedragen ruim 7 miljoen euro. Ook zou de software voor de apparaten die de chip leest in de bussen en op de stations moeten worden vervangen.

Maar dit is het positieve scenario. Volgens Gonggrijp zitten er zulke fundamentele fouten in het systeem dat de technologie als verloren kan worden beschouwd. In dat geval moet er een heel nieuw systeem worden aangeschaft van tientallen miljoenen euro’s. GroenLinks-Kamerlid Wijnand Duyvendak wil dat het hele project wordt stilgelegd als de beveiliging niet kan worden gegarandeerd en privégegevens van gebruikers op straat komen te liggen.

• De ov-chipkaart is nog niet eens ingevoerd, maar nu al onbetrouwbaar gebleken. De chipkaart zou dit jaar in gebruik worden genomen, maar het is de vraag of dat nog doorgaat.

CDA-Kamerlid Jan Mastwijk vreest dat gedane investeringen als verloren moeten worden beschouwd en dat de landelijke invoering van de chipkaart opnieuw vertraging zal oplopen.

( Bron: http://www.spoorforum.nl )

Pewiam

Geheime code OV-chipkaart (NEDERLAND) gekraakt !

Reizigers hoeven er niet meer op te rekenen dat zij in 2009 al in heel Nederland van de ov-chipkaart gebruik kunnen maken.
Door alle problemen met de veiligheid en privacy rondom het pasje is invoering onhaalbaar.
Het wordt 2010 of 2011, zo is nu het idee in Nederland.

De wegwerpchipkaartjes bleken deze week eenvoudig te kopiëren. Hackers ontdekten bovendien hoe de beveiliging van de pas werkt.

De RET in Rotterdam vindt het te ver gaan om het proefrijden met chipkaart voorlopig te stoppen, zoals reizigersvereniging Rover eist. ,,Wie de zaak niet vertrouwt, kan nog gewoon met de strippenkaart reizen.’’

Hoogleraar informatica A. Tanenbaum denkt ook dat 2009 niet langer haalbaar is als invoerdatum. Volgens de professor van de Vrije Universiteit is er dringend behoefte aan een nieuwe visie op hoe de overheid in Nederland omgaat met grote ict-projecten. ,,Er is een toezichtsgroep van deskundigen nodig met bevoegdheden om in te grijpen en onderzoeken te laten doen.’’ Tanenbaum betwijfelt of onderzoeksinstituten die de overheid regelmatig inhuurt voldoende objectief zijn.

De Nederlandse Staatssecretaris Huizinga kondigt aan dat ze een TNO-onderzoek naar de beveiliging van de chipkaart door onafhankelijke deskundigen laat toetsen. Volgens de bewindsvrouw is het bedrijf TLS, waarin vervoerders samenwerken, ‘aan zet om de veiligheid en betrouwbaarheid van de chipkaart te garanderen’. Huizinga onderstreept dat zij beslist wanneer de strippenkaart wordt afgeschaft.

Pewiam

[quote="pewiam"](Bron: De Volkskrant, 8 januari 2008)
(Bron: http://www.spoorforum.nl )

Geheime code OV-chipkaart gekraakt !

Alleen de draadloze overbrenging zou zijn gekraakt. Dit signaal is versleuteld maar met een onvoldoende sterke sleutel blijkt nu achteraf. De code voor de datachip zou nog niet zijn gekraakt. Maar het werd nu wel mogelijk om telkens dezelfde gecodeerde data te kopieren naar een lege chip omdat men kon inbreken op het draadloze signaal. Dit is gedemonstreerd met een dagkaart. Als de software aan de walkant wordt aangepast is dit continue voorbijkomende datapakketje langs de scanner ook verleden tijd.

Maar de shrik zit er natuurlijk wel in. Een peperduur systeem gehackt wat nog niet eens operationeel is en qua techniek alweer achterhaald is.

Overigens is de OV-Chip bij NS grotendeels betaald van de opbrengsten van de verkoop van Telfort, voorheen NS Telecom.

Grt W.

Ach, dit gaat vast weer gewoon heel lang duren. Er zijn gewoon van af het begin ontwerpfouten gemaakt, zowel software als hardware/poortjes

Onderzoekers van de universiteit van Nijmegen zijn er in maart in geslaagd om de Londense Oystercard te kopiëren om er zo gratis mee te kunnen rijden op het netwerk.
NXP (het bedrijf achter de gebruikte Mifare-chip) had verzet aangetekend bij de rechtbank omdat de onderzoekers de resultaten mogelijk bekend gingen maken. Een rechter heeft nu geoordeeld dat het onderzoek openbaar mag worden gemaakt (zal in oktober gebeuren).
De onderzoekers hadden wel reeds de Nederlandse overheid en NXP verwittigd om hen tijd te geven de zaak te onderzoeken. De chip zit ook in de Nederlandse 'Rijkspas'.
(Bron: BBC Online)