image

Special: "OV-chipkaart is te beveiligen"

woensdag 23 januari 2008, 13:06 door Redactie, 27 reacties

"Ontsla de mensen die de chipkaart hebben gemaakt", was het grappige advies dat Bruce Schneier de Nederlandse overheid afgelopen maandag gaf. De cryptograaf was niet bekend met alle details van het "OV-chipkaart drama", toch had hij wel een mening klaar. "Dit is beveiliging in een notendop. Het is moeilijk om goed te doen, en eenvoudig om te verprutsen." De hack van zowel de papieren als plastic versie van de kaart door een stel studenten noemde Schneier in eerste instantie indrukwekkend. "Toen ik het las verbaasde me het niet. Het is eigenlijk helemaal niet indrukwekkend. Als je me het een maand geleden had gevraagd, dan had ik gezegd dat het waarschijnlijk breekbaar was. Het is gewoon lastig dit goed te doen."

Het probleem, en dat geldt niet alleen voor de OV-chipkaart, is dat bedrijven security erbij doen. De enige manier om het project nog te redden is het inhuren van iemand die weet waarmee ze bezig zijn. Wat betreft het ontkennen van de problematiek door aanbieders Translink zegt Schneier dat ontkennen goedkoper is dan verhelpen. "Je kunt blijven ontkennen totdat je een nieuwe baan hebt." De beveiligingsgoeroe liet weten dat de OV-chipkaart gerepareerd moet worden, aangezien de hardware en infrastructuur er zijn, en er al zoveel in is geïnvesteerd. "Het is lastig en vereist veel aanpassingen van software en protocollen, maar het kan gedaan worden."

Een ander probleem dat terugkomt bij de ontwikkeling van de OV-chipkaart, maar ook bij veel andere systemen te zien is, is dat iedereen een beveiliging kan ontwerpen die hij niet kan breken. "Het eerste wat je daarom moet vragen als iemand zegt een onbreekbaar systeem te hebben, is wie ben jij dan wel niet. Als het iemand is die beveiligingssystemen breekt voor z'n beroep, dan betekent het iets als hij zijn eigen systeem niet kan breken. Ben je een doorsnee bedrijf dat doet alsof het iets van beveiliging weet, dan betekent het niets."

Schneier zegt dat Translink waarschijnlijk niemand in dienst heeft die iets van beveiliging afweet, en acht het zelfs mogelijk dat er straks gehackte kaarten worden verkocht.

Reacties (27)
23-01-2008, 13:41 door spatieman
hehe...
er wordt de ceasar beveiliging op die OV kaart toegepast..
23-01-2008, 14:04 door Anoniem
Wanneer ziet iemand eindelijk dat het niet het OV syteem
maar de contactloze smartcard is die 'gebroken' is.

Die kaart wordt ook nog in andere systemen toegepast maar
dat lijkt niemand interessant te vinden....

Waarom? Zijn er mensen met een hidden agenda?
23-01-2008, 14:05 door Anoniem
Misschien moet meneer Schneier zich eens bezighouden met zaken waar
hij WEL wat vanaf weet?
23-01-2008, 14:40 door Anoniem
Door Anoniem
Misschien moet meneer Schneier zich eens bezighouden met
zaken waar
hij WEL wat vanaf weet?
Hoezo, heeft hij geen
verstand van ontslagrecht dan? Maar zonder gekheid, als je
jaren meedraait in de wereld van it beveiliging valt zonder
de details te weten al direct op dat het systeem nu niet
veilig kan zijn maar wel veiliger kan.
23-01-2008, 14:50 door Anoniem
De uitkomsten van het TNO stellen eea gelukkig in een wat
genuanceerder daglicht.
23-01-2008, 14:53 door Anoniem
Door Anoniem
Door Anoniem
Misschien moet meneer Schneier zich eens bezighouden met
zaken waar
hij WEL wat vanaf weet?
Hoezo, heeft hij geen
verstand van ontslagrecht dan? Maar zonder gekheid, als je
jaren meedraait in de wereld van it beveiliging valt zonder
de details te weten al direct op dat het systeem nu niet
veilig kan zijn maar wel veiliger kan.

Van ontslagrecht vast wel, zie Counterpane.
En ik zie ook wel dat er zaken beter afgeregeld moeten worden, waarvan
sommigen vrij ingrijpend. Maar zonder te weten wat er momenteel speelt
bij TransLink, is Schneier niets anders dan een van de bekende stuurlui.
23-01-2008, 15:46 door Anoniem
Door Anoniem
Door Anoniem
Door Anoniem
Misschien moet meneer Schneier zich eens bezighouden met
zaken waar
hij WEL wat vanaf weet?
Hoezo, heeft hij geen
verstand van ontslagrecht dan? Maar zonder gekheid, als je
jaren meedraait in de wereld van it beveiliging valt zonder
de details te weten al direct op dat het systeem nu niet
veilig kan zijn maar wel veiliger kan.

Van ontslagrecht vast wel, zie Counterpane.
En ik zie ook wel dat er zaken beter afgeregeld moeten worden,
waarvan
sommigen vrij ingrijpend. Maar zonder te weten wat er momenteel
speelt
bij TransLink, is Schneier niets anders dan een van de bekende
stuurlui.
Wat dwalen we af! Was het onderwerp OV chipkaart., Is het onderwerp
ineens Schneier. Heb ik voor niets weer het onderwerp aangeklikt,
omdat ik dacht dat als gevolg van de stijgende reacties ik iets zou
kunnen opsteken over het onderwerp waar het over zou moeyen gaan,
maar...............
23-01-2008, 17:41 door Anoniem
Juist het gaat om persoonsgegevens
beveiliging/privacy/technology/juridisch. Het is dus zo dat
in het geval van de OV kaart de leek die 'm in gebruik gaat
nemen (openbaarvervoersbedrijven) iedereen in een van de
vakgebieden met een titel aanziet voor iemand met kennis van
alles. Want weten zij veel die leken!!. En maar adviseurs
inhuren.....die goud kosten.
Het wordt toch tijd dat implementaties die gebruikt moeten
gaan worden door de burger (door de strot geduwd) dus door
een instituut voor privacy worden gekeurd waarin alle
vakgebieden samen zijn gebundeld. Dus de politiek mag niet
zomaar leuke speeltjes invoeren omdat het technologies zou
kunnen werken.
23-01-2008, 22:07 door Anoniem
Door Anoniem
Wanneer ziet iemand eindelijk dat het niet het OV syteem
maar de contactloze smartcard is die 'gebroken' is.

Die kaart wordt ook nog in andere systemen toegepast maar
dat lijkt niemand interessant te vinden....

Helemaal mee eens. Uit ervaring weet ik dat er vele bedrijven zijn die op
deze kaart vertrouwen voor hun fysieke toegansbeveiliging op panden en
datacenters.

Heren Security Officers, weet u welke kaarten u gebruikt voor fysieke
toegangsbeveiligingsbeveiligingsmaatregelen? Ik vraag me af hoeveel
bedrijven dit de afgelopen week hebben uitgezocht. Het zou me niets
verbazen als slechts een zeer klein aantal dit echt hebben uitgezocht.

De mensen die het niet hebben uitgezocht en wel het probleem hebben
begrepen, hebben hun kop in het zand gestoken, en dat zijn er vast een
hoop.
23-01-2008, 22:15 door Anoniem
[Stelling]
OV-chipkaart en ID.

Dat er ID gegevens op de OV chipkaart komen is (zoals het er
nu naar uit ziet) een feit, dat de beveiliging van die
gegevens ondermaats is is ook een feit. Dat uw privacy in
het geding komt is onvermijdelijk.
Dat OV abonnementen altijd al van een ID voorzien waren is
ook een feit, net als de toegepaste kortingen daarop. (een
strippenkaart is bij dagelijks gebruik ook duurder dan een abbo)
[/Stelling]

Op dit moment is het DiGiD de meest anonieme ID voor
digitale-diensten, daar kan onze overheid i.s.m. onze
privacywaakhond de verantwoordelijkheid nemen om de
'toegevoegde waarde' van dit systeem te benutten.

De overheid beheert (bevolkingsregister) en de burger
controleert (wie mag wat van mij weten)

Voorbeeld:
Neem het burgerservicenummer als basis ID.
Het burgerservicenummer is het OV abbo ID.
Via DiGiD kan de burger o.a. het OV ID in of uitschakelen.
De OV dienstverlener heeft een unieke ID die i.c.m. het
burgerservicenummer een transactie kan verwerken zonder dat
daarvoor privacygevoelige gegevens noodzakelijk zijn.
Iedere transactie is via DiGiD te controleren door de gebruiker.

"Met een beetje fantasie kom je een heel eind......."
23-01-2008, 22:41 door [Account Verwijderd]
[Verwijderd]
24-01-2008, 03:28 door Anoniem
Door rookie
Wie gaat er nou in Godesnaam met het openbaar vervoer????
Ze komen altijd te laat en ze brengen je nooit op de
bestemming waar je direct moet zijn en als je wilt roken,
moet je altijd moeilijk doen!
Dagelijks miljoenen personen. En dat weet men bij het OV
ook, want die roken samen met de leverancier van deze
OV-kaarten bakken met geld via een halfbakken systeem dat de
eerste de beste veiligheidstest niet door zou komen. En zie
hier het resultaat: kosten wat het kost moet het die
miljoenen reizigers worden opgedrongen. Niet goedschiks dan
straks maar kwaadschiks? Want een goed alternatief vervoer
is er eigenlijk niet voor die reizigers. Hoewel massaal
zwartrijden opeens erg aantrekkelijk begint te klinken.
24-01-2008, 08:08 door Anoniem
Door Anoniem
De uitkomsten van het TNO stellen eea gelukkig in een wat
genuanceerder daglicht.
link?
24-01-2008, 09:43 door Anoniem
Door Anoniem
Door Anoniem
De uitkomsten van het TNO stellen eea gelukkig in een wat
genuanceerder daglicht.
link?
M.a.w. waar kan je die uitkomsten lezen en over welk onderzoek je het.
(van welke datum?)
24-01-2008, 09:43 door Anoniem
Door Anoniem
Door Anoniem
De uitkomsten van het TNO stellen eea gelukkig in een wat
genuanceerder daglicht.
link?
M.a.w. waar kan je die uitkomsten lezen en over welk onderzoek heb je
het. (van welke datum?)
24-01-2008, 10:04 door Anoniem
Door Anoniem
Door Anoniem


Helemaal mee eens. Uit ervaring weet ik dat er vele bedrijven zijn die op
deze kaart vertrouwen voor hun fysieke toegansbeveiliging op panden en
datacenters.

Heren Security Officers, weet u welke kaarten u gebruikt voor fysieke
toegangsbeveiligingsbeveiligingsmaatregelen? Ik vraag me af hoeveel
bedrijven dit de afgelopen week hebben uitgezocht. Het zou me niets
verbazen als slechts een zeer klein aantal dit echt hebben uitgezocht.

De mensen die het niet hebben uitgezocht en wel het probleem hebben
begrepen, hebben hun kop in het zand gestoken, en dat zijn er vast een
hoop.
Wat ik zeer vreemd vindt is dat bij de minste of geringste Microsoft security
bugs CERT teams, waarschuwingsdiensten, etc.. zeer snel zijn met
adviezen en al deze clubs nu erg stil zijn.

Ook grote eindgebruikers hoor je nauwelijks, een uitzondering is Shell, die
netje hun klanten geïnformeerd hebben
(http://www.webwereld.nl/articles/49360/shell--easypay-immuun-voor-
mifare-lek.html )
24-01-2008, 10:14 door Anoniem
Door rookie
Wie gaat er nou in Godesnaam met het openbaar vervoer????


iedereen die verder dan 10 km moet reizen en die zijn
medemens ietsje minder kapot wil maken met giftige
uitlaatgassen? En niet in de file wil staan, (waarmee je
bijdraagt aan het fileprobleem)?

ontopic: ov-chipkaart is inderdaad al vanaf het begin een
slecht idee. zelfs al kunnen ze alle huidige problemen nog
repareren, een op afstand leesbare chip is vragen om
problemen. als is het maar omdat ze ook op afstand kapot te
maken zijn.
24-01-2008, 10:19 door Anoniem
kijk maar op www.tno.nl, staat een link op de hompage
24-01-2008, 11:36 door Anoniem
Ja, maar dan zonder komma erbij..
Of rechtstreeks: http://www.tno.nl/content.cfm?
context=overtno&content=nieuwsbericht&laag1=37&laag2=2&item_id=200
8-01-16%2011:09:20.0
24-01-2008, 16:21 door Anoniem
"Helemaal mee eens. Uit ervaring weet ik dat er vele bedrijven zijn die op
deze kaart vertrouwen voor hun fysieke toegansbeveiliging op panden en
datacenters. Heren Security Officers, weet u welke kaarten u gebruikt
voor fysieke toegangsbeveiligingsbeveiligingsmaatregelen?"

Wat dacht je van een kaart met een mooi bedrijfslogo erop, zodat iedere
debiel die deze voor de deur van een bedrijf vindt, als een medewerker
deze buiten mocht verliezen, direct ermee naar binnen kan lopen ? Zelfs
zonder een chip te kraken vormen veel toegangspassen een behoorlijk
risico, zonder dat mensen er eigenlijk bij stil staan.

"De mensen die het niet hebben uitgezocht en wel het probleem hebben
begrepen, hebben hun kop in het zand gestoken, en dat zijn er vast een
hoop."

Da's makkelijk gezegd. Immers zal er (zeker in grote bedrijven met
duizenden of tienduizenden werknemers) weinig animo bestaan bij het
management om alles te vervangen wanneer een security officer komt
met de stelling dat de chip te kraken is.

Het management zal dit toch vaak zien als security tradeoff, en het risico
accepteren dat zoiets zou kunnen gebeuren. Dus is het dan de schuld
van de security officer ?

Daarnaast is het de vraag of er uberhaupt "onkraakbare" toegangspassen
bestaan, absolute beveiliging bestaat niet (al kom je met 3-factor
authenticatie een heel eind).
24-01-2008, 19:05 door Anoniem
Is het gek om te stellen dat er voor ID (toegangscontrole
etc) kaarten een standaard moet komen....?? (een
onvermijdelijk feit)

"ONE for all and ALL for ONE"

Maak systemen compatibel met de OV chipkaart waarop geen
personalia staan maar alleen een burgerservicenummer.

Indien nodig kan aan de hand van het burgerservicenummer de
personalia van een individu worden opgevraagd waarbij iedere
actie door de gebruiker is te controleren door in te loggen
op DiGiD.
Hiervoor is wel interactie vereist van de gebruiker die
alleen bij een overtreding kan worden gesommeerd tot
medewerking bij identificatie.

In alle andere gevallen is enkel het BSN bekend bij de
dienstverlener voor het afronden van een transactie. Iedere
transactie word weergegeven via de DiGiD servicepagina.
Op die manier behoud iedere OV gebruiker zijn privacy en
bepaald de gebruiker via de DiGiD servicepagina welke
gegevens er gedeeld mogen worden met een dienstverlener.

Het is dus aan onze overheid om hier tot een oplossing te komen.
03-02-2008, 09:57 door Nomen Nescio
Door Anoniem
Door Anoniem
Door Anoniem
Door Anoniem
Misschien moet meneer Schneier zich eens bezighouden met
zaken waar
hij WEL wat vanaf weet?
Hoezo, heeft hij geen
verstand van ontslagrecht dan? Maar zonder gekheid, als je
jaren meedraait in de wereld van it beveiliging valt zonder
de details te weten al direct op dat het systeem nu niet
veilig kan zijn maar wel veiliger kan.

Van ontslagrecht vast wel, zie Counterpane.
En ik zie ook wel dat er zaken beter afgeregeld moeten worden,
waarvan
sommigen vrij ingrijpend. Maar zonder te weten wat er momenteel
speelt
bij TransLink, is Schneier niets anders dan een van de bekende
stuurlui.
Wat dwalen we af! Was het onderwerp OV chipkaart., Is het onderwerp
ineens Schneier. Heb ik voor niets weer het onderwerp aangeklikt,
omdat ik dacht dat als gevolg van de stijgende reacties ik iets zou
kunnen opsteken over het onderwerp waar het over zou moeyen gaan,
maar...............

Hear, hear! Ook hier weer de beste stuurlui aan de wal die weer eens
iemand anders gaan afkraken. Iets zinnigs wordt niet bijgedragen, wel
wordt de schijn opgehouden dat men zo intelligent is, want men heeft
zomaar kritiek op iemand die ergens verstand van heeft. Ze kunnen beter op hun
driewielertje buiten gaan spelen. Ook ik zit niet op dit soort
flauwekulreacties te wachten.
08-02-2008, 16:06 door Anoniem


iedereen die verder dan 10 km moet reizen en die zijn
medemens ietsje minder kapot wil maken met giftige
uitlaatgassen? En niet in de file wil staan, (waarmee je
bijdraagt aan het fileprobleem)?

Zo ken ik er nog meer, als niemand in de file zou staan zou
een fileprobleem ook geen probleem zijn. Dus...
15-02-2008, 13:45 door Anoniem
Wat dwalen we af! Was het onderwerp OV chipkaart.,
Is het onderwerp
ineens Schneier. Heb ik voor niets weer het onderwerp
aangeklikt,
omdat ik dacht dat als gevolg van de stijgende reacties ik
iets zou
kunnen opsteken over het onderwerp waar het over zou moeyen
gaan,
maar...............

Die hack is al lang geen belangrijk nieuws meer, dus is het
logisch dat de reacties focussen op Schneier's opmerking.
Zit je bij een provider met een "aanklik-limiet" of wil je
gewoon wat zeuren?
19-02-2008, 18:20 door lieque
Die hack is al lang geen belangrijk nieuws meer, dus is het
logisch dat de reacties focussen op Schneier's opmerking.
Zit je bij een provider met een "aanklik-limiet" of wil je
gewoon wat zeuren?

Hahahhahaha ! Microsoft certified system administrators met een
gefrustreerde anti-click syndrome..... Lang leve windows server 2003!
21-02-2008, 18:30 door lieque
* click * click * click * click * click * click * click * click * click * click * click *
* click * click * click * click * alert security breach * click * click * click
Click overflow detection * click * click * click Click failure
........................................
28-11-2008, 21:02 door Anoniem
"Ontsla de mensen die de chipkaart hebben gemaakt", was het grappige advies dat Bruce Schneier de Nederlandse overheid afgelopen maandag gaf. De cryptograaf was niet bekend met alle details van het "OV-chipkaart drama", toch had hij wel een mening klaar. "Dit is beveiliging in een notendop. Het is moeilijk om goed te doen, en eenvoudig om te verprutsen."

Goeroes verkopen graag bulshit als zijnde hun waarheid, "zijn verstand past in een notendop".

Ik vertrouw geen goeroes, alleen mezelf....
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.