Gratis reizen door beveiligingslek in OV-chipkaart
Een Nederlandse student is erin geslaagd om de beveiliging van de OV-chipkaart te kraken zodat er gratis gereisd kan worden. Een informaticastudent van de Radboud Universiteit Nijmegen wist een gekocht dagkaartje binnen seconden tot een 'ghost'-kaart om te toveren waarmee hij onbeperkt kon reizen, zoals hij voor RTL Nieuws demonstreerde. In zijn onderzoeksverslag schrijft student Roel Verdult hoe hij met een 40 euro kostend apparaatje de informatie uit kan lezen en een kaartje kan creëren, dat hij the Ghost noemt en dat hij steeds opnieuw kan resetten. Hierdoor kan onbeperkt gratis gereisd worden. Verdult concludeert dan ook dat de kaartjes onvoldoende beschermd zijn.
Wisten we al
De maker van de chipkaart, Trans Link Systems, zegt rekening te hebben gehouden met het feit dat de wegwerpkaart gekraakt zou worden. De abonnementskaart zou niet in gevaar zijn, maar daar zijn de experts het absoluut niet mee eens.
Het probleem zit hem in de gebruikte Mifare Ultralight RFID chips die op de wegwerpkaartjes zitten. De chip is eigenlijk alleen een stukje geheugen en een draadloze transceiver die niet beveiligd is. Eind 2007 slaagden Duitse hackers er al in om de geheime code van de OV-chipkaart te kraken. In juli van vorig jaar lukte het ook andere studenten om gratis te reizen, dit keer door een fout in de beveiligingssoftware voor papieren wegwerpkaarten.
Amsterdam schendt privacy met OV-chipkaart
En er zijn nog veel meer problemen met de OV-chipkaart, want het Gemeentelijk Vervoerbedrijf Amsterdam gaat onzorgvuldig om met de gegevens van klanten met zo'n kaart, zo concludeert het College Bescherming Persoonsgegevens. Het Amsterdamse GVB verzamelt te veel gegevens die het ook nog eens niet goed beveiligd. Het College Bescherming Persoonsgegevens wil dat het bedrijf met haar strafbare praktijken stopt. Eerder liet het college nog weten dat de NS met de OV-chipkaart de privacy van de burger schenden.
Lekkere faker, Op de CCC is een hele demonstratie gegeven hoe het kan.
Nu komt meneertje Roel Het nadoen en wordt bekent.
Hebben we hier soms met een gevalletje "Ik ben jaloers" te maken?
elkaar gekregen om hem te dupliceren, wat in mijn ogen toch
iets anders is :-)
duitsers gaat over de encryptie. Zit nogal wat verschil
tussen ;)
het over de abbo-kaart.
Niettemin, mooie vondst van deze student.
grote doodzonde in de wereld van elektronische beveiliging.
Als ik tenminste goed geinformeerd ben, stoppen ze de
sleutel bij de versleutelde gegevens.... :s
Dat is zoiets als een briefje ophangen: "Lieverd, ik moet
snel weg naar een vergadering, de sleutel ligt onder de
deurmat! Eet smakelijk en liefs, je <eigen naam>"
M.a.w.: versleutel de gegevens op de kaart met een goed
algorithme (AES-256-cbc misschien), en zorg dat de
(samengestelde) sleutel niet op de kaart staat, maar in de
kaartlezer ofzo.
Ik snap echt niet dat ze het hebben geimplementeerd zoals
die Duitsers hebben ontdekt.
Lekkere faker, Op de CCC is een hele demonstratie gegeven
hoe het kan.
Nu komt meneertje Roel Het nadoen en wordt bekent.
Hebben we hier soms met een gevalletje "Ik ben
jaloers" te maken?
Deze hele hack was een jaar geleden al bekend gemaakt door
studenten van de UvA. (http://www.os3.nl) Deze studenten hebben er
zelfs een prijs voor gewonnen.
Translink Systems was ook op de hoogte van dit probleem (en
nog een aantal andere die die studenten ook bekend hebben
gemaakt)
Lekkere faker, Op de CCC is een hele demonstratie gegeven
hoe het kan.
Nu komt meneertje Roel Het nadoen en wordt bekent.
conclusies komt.
Lekkere faker, Op de CCC is een hele demonstratie gegeven hoe het kan.
Nu komt meneertje Roel Het nadoen en wordt bekent.
Hebben we hier soms met een gevalletje "Ik ben
jaloers" te
maken?
maken om op het nieuws te komen ;)
Wat die 2 anoniem hierboven mij al zei is het al eerder voorgekomen en is
dit dus een zwak aftreksel.
Hebben die andere partijen gewezen op de mogelijkheid (zoals ook de
Duitsers hebben gedaan) of hebben ze net als Roel iets gefabriceerd om
daadwerkelijk te clonen?
Nou er lopen meer burgers rond die helemaal geen simpele
burgers zijn. Er zijn genoeg burgers die precies doorhebben
waar het allemaal heengaat en ook laten zien dat er niet
valt te sollen met privacy.
Want als de NS en zo'n GVB denken dat zulke gegevens voor
het oprapen zijn en niet versleuteld of wat ook hoeven
worden, dan hebben ze het goed mis.
Ik hoop dat een heleboel mensen eens echt serieus stuk bij
voet houden en de boel eens flink gaan boycotten. Maar nee,
dan zijn ze bang dat de prijzen weer omhoog gaan omdat het
toch ergens gecompenseerd moet worden. Of dat ze toch van de
trein afhankelijk zijn om op hun werk te komen. Waar zijn de
mensen met echte 'ballen'?
Afhankelijk zijn van het openbaar vervoer is sowieso een
single point of failure want ik ben die bedrijven gewoon
goed beu. Ik loop gewoon naar mijn werk. Al duurt het een
uur, of twee uur.....
http://www.claimyourrights.eu/
http://www.thinkfree.ca/
- Unomi -
doeleinden te vinden voor groot gebruik. Tijdens mijn bezoek
een aantal weken heb ik onder andere deze security-issues
voor gelegd. Echter werd er nog al redelijk non-chalant op
gereageerd ze gaven toe dat het mogelijk moet zijn maar
vrezen daar niet op korte termijn om.
gelukkig voor mijn standpunt en het helaas voor diegene die
hem verdedigde is dit toch waarheid geworden. ( het zal
altijd een kat en muisspelletje blijven, en hoe groter het gebruik hoe meer behoefte aan het vinden van een lek in dergelijke innovaties )
Tevens werd vandaag bevestigd dat persoons gegevens, te lang
en niet goed beveiligd worden opgeslagen. De gegevens wordt
7 jaar bewaard, dat houd dus in dat de overheid je tot 7
jaar op de meter precies in het openbaar vervoer kan tracken
en je kan volgen. Verder als je deze gegevens aan de
software van het straattoezicht hangt, krijg je een leuke
levensbeschrijving van mensen. Deze camera's kunnen mensen
herkennen op 160 punten in het gezicht (wordt uigebreid), en
andere lichamelijkkenmerken. Koppel deze gegevens aan een
kaart en ze kunnen over paar jaar gewoon zeggen dat jij
gister een roze string hebt gekocht bij de cristine le duc ;) twee dorpjes verderop !
Al met al denken de OV-bedrijven dat elke burger simpel is.
Nou er lopen meer burgers rond die helemaal geen simpele
burgers zijn. Er zijn genoeg burgers die precies doorhebben
waar het allemaal heengaat en ook laten zien dat er niet
valt te sollen met privacy.
Want als de NS en zo'n GVB denken dat zulke gegevens voor
het oprapen zijn en niet versleuteld of wat ook hoeven
worden, dan hebben ze het goed mis.
Ik hoop dat een heleboel mensen eens echt serieus stuk bij
voet houden en de boel eens flink gaan boycotten. Maar nee,
dan zijn ze bang dat de prijzen weer omhoog gaan omdat het
toch ergens gecompenseerd moet worden. Of dat ze toch van de
trein afhankelijk zijn om op hun werk te komen. Waar zijn de
mensen met echte 'ballen'?
Afhankelijk zijn van het openbaar vervoer is sowieso een
single point of failure want ik ben die bedrijven gewoon
goed beu. Ik loop gewoon naar mijn werk. Al duurt het een
uur, of twee uur.....
- Unomi -
ik moet zeggen dat ik me hier volledig bij aan sluit, al
wetende over welke technieken de overheid beschikt en voor
welke doeleinde deze gebruik worden. Daarom Stimuleer ik de
door jou beschreven "minder simpele" mensen om activiteiten
als deze voort te zetten, de overheid is veel gevallen niet
eens staat haar eigen informatie gewaarborgd op te slaan,
laat staan informatie over burgers, waarbij de prioriteit
eigenlijk net iets minder is als de eigen informatie.....
Uh nee. Ik ben een White hat daarom hoef ik geen fake
duplicaties te
maken om op het nieuws te komen ;)
Klok... klepel .... wat heeft het ermee te maken dat je een
'Whitehat' bent?
Uh nee. Ik ben een White hat daarom hoef ik geen fake
duplicaties te
maken om op het nieuws te komen ;)
Klok... klepel .... wat heeft het ermee te maken dat je een
'Whitehat' bent?
dan maar het is al gemeld en dan moet zo'n vent het namaken en het lijkt
nu zelfs of hij met de eer wil strijken aangezien dit artikel zelfs op RTL
stond. Ik ga geen moeite verspillen om het te lezen noch bekijken.
Nielsk vanuit stage
Uh nee. Ik ben een White hat daarom hoef ik geen fake
duplicaties te
maken om op het nieuws te komen ;)
Klok... klepel .... wat heeft het ermee te maken dat je een
'Whitehat' bent?
dan maar het is al gemeld en dan moet zo'n vent het namaken en het lijkt
nu zelfs of hij met de eer wil strijken aangezien dit artikel zelfs op RTL
stond. Ik ga geen moeite verspillen om het te lezen noch bekijken.
Nielsk vanuit stage
Dus eigenlijk oordeel jij over iets zonder er naar gekeken te hebben? Toch
wel een beetje klok...klepel...je weet wel.
het redelijk 'spannend' ?
zucht
Nergens meer veilig ?
En .. UW privacy gevoelige gegevens zullen worden gebruikt !!
zucht
Nergens meer veilig ?
Hmm, ik vrees dat je redelijk naief bent als je denkt ook
maar ergens "veilig" te zijn...
Maar voor de duidelijkheid: Nope!
R.
te kunnen kraken blijft verlies, diefstal of het
veelbesproken ongemerkt uitlezen in de openbare ruimte. Dat
laatste is eenvoudig te voorkomen door gebruik te maken van
een speciale envelop gemaakt van een hoog geleidende
materiaal dat voldoende elektromagnetische straling tegen
houdt. Met deze envelop genaamd ‘chipsafe’ kunnen alle
huidige RFID kaarten worden beschermd tegen het ongewenst
uitlezen, kopiëren of zelfs veranderen van gegevens. Ook
voor het nieuwe Nederlandse RFID paspoort is een dergelijke
envelop beschikbaar. http://www.chipsafe.eu
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
