Details OV-chipkaart hack onthuld
Professor Bart Jacobs en zijn onderzoeksteam van de Nijmeegse Radboud Universiteit hebben tijdens een beveiligingsconferentie in Spanje de details van de OV-chipkaart hack gepubliceerd. In maart lieten de onderzoekers al weten dat de sleutel die de informatie op de Mifare Classic chip moet beschermen, eenvoudig te achterhalen is. Hierdoor is het mogelijk om kaarten te klonen, iemands identiteit te stelen of beveiligde gebouwen te betreden. De producent van de Mifare Classic Chip, NXP, trachtte afgelopen zomer de publicatie van een wetenschappelijk artikel over de gebreken van de chip tegen te houden. De voorzieningenrechter in Arnhem oordeelde echter dat de onderzoekers wel mochten publiceren, wat vandaag dan ook gebeurde.
"Wat de 'real life' gevolgen zijn voor systemen die de mifare Classic chip gebruiken hangt af van het systeem in z'n geheel. Contactloze smartcards zijn vaak niet het enige beveiligingsmechanisme. Bijvoorbeeld de OV-Chipkaart heeft een back-end systeem voor het registreren van transacties en het herkennen van frauduleuze activiteiten (zoals het reizen met een gekloonde kaart). Dit soort systemen moeten nu leren omgaan met het feit dat het eenvoudig is om de kaarten te lezen en te klonen. Of de huidige implementaties van deze back-ends hiertoe in staat zijn, valt nog te bezien," zo luidt de conclusie.
Probleem al sinds 1883 bekend
De onderzoekers wijzen er in het rapport verder op dat niet alle mogelijkheden van de mifare Classic ook gebruikt worden, wat de beveiliging niet ten goede komt. "Of dit de mifare Classic kan redden voor het gebruik in betaalsystemen is onderwerp voor verder onderzoek." Men sluit af met een advies dat beveiligingsspecialisten al sinds het begin van het debacle herhalen.
"We geloven dat het beter is om bekende en geteste cryptografische primitieven en protocollen te gebruiken dan zelf verzonnen versies. Zoals ook al in 1883 door Auguste Kerckho?s werd geformuleerd. De veiligheid van een cryptografisch systeem moet niet afhangen van de geheimhouding van het systeem, maar alleen van de geheimhouding van de sleutel. Elke keer weer is bewezen dat de details van een systeem uiteindelijk bekend worden; deze 'obscurity' leidt tot een minder goed doorgelicht systeem dat gevoelig voor fouten is."
True. Maar het moge duidelijk zijn dat na 125 jaar het geen zin meer heeft om dit naar de crypto producenten te roepen. Deze oude, nog steeds uitermate relevante les moet nu eens bij kopers en bestuurders duidelijk worden. Dat daar na 125 jaar nog geen vooruitgang in is geboekt, is niet alleen treurig, maar laat ook zien dat de mensen die de les wel geleerd hebben ook niet helemaal vrijuit gaan.
True. Maar het moge duidelijk zijn dat na 125 jaar het geen zin meer heeft om dit naar de crypto producenten te roepen. Deze oude, nog steeds uitermate relevante les moet nu eens bij kopers en bestuurders duidelijk worden. Dat daar na 125 jaar nog geen vooruitgang in is geboekt, is niet alleen treurig, maar laat ook zien dat de mensen die de les wel geleerd hebben ook niet helemaal vrijuit gaan.
Dit is niet alleen het geval als het gaat om beveiliging. Het lijkt er steeds meer op, dat de overheid geen enkel benul heeft van de gevolgen van beslissingen die zij nemen.
Wilt u iemand ophalen of uitzwaaien? Of bent u iets vergeten op het perron? Als u binnen
20 minuten op hetzelfde station of dezelfde halte in- en uitcheckt, wordt er niets afgeboekt.
Checkt u ná 20 minuten uit op hetzelfde station, dan betaalt u het basistarief van € 0,44.
zie: http://www.gvb.nl/reizigers/toegankelijkov/Documents/Pkaartsz.pdf
Methode 1: Stel U woont in Delfzijl en u gaat uw vriend in Vlissingen bezoeken.
Normale tarief (heen en terug) € 41.70.
Koop niet 1 maar 2 anonieme OV-chipkaarten. U gebruikt uw OV-chipkaart A om in Delfzijl in te checken.
In Vlissingen haalt uw vriend u op op het perron. Hij heeft 2 anonieme chipkaarten die hij allebei door de incheck lezer haalt.
Op het perron geeft hij 1 van de 2 kaarten aan u en u checkt beiden uit. U betaalt NIETS.
Als u weer terug reist, gebruikt u uw OV-chipkaart B om in te checken. U gaat vervolgens naar de uitcheck poort en haalt
de kaart langs de lezer zonder door de poort te gaan. U bent dan dus volgens de apparatuur slechts even op het perron geweest
en betaalt NIETS.
Bij aankomst in Delfzijl gebruikt u kaart A om uit te checken. U bent dan volgens de apparatuur meer dan 20 minuten op het
perron geweest en betaalt € 0.44.
Besparing: € 41.26 !!!Methode 2: Stel u reist dagelijks van Leeuwarden naar Maastricht en terug.
Koop niet 1 maar 2 anonieme OV-chipkaarten.
Gebruik kaart A bij vertrek uit Leeuwarden en bij aankomst in Leeuwarden.
De chiplezer "denkt" dan dat u alleen op het perron Leeuwarden geweest bent en berekent geen kilometers.
Omdat u met zo'n "perronkaartje" maar 20 minuten op het perron mag zijn, wordt een vast bedrag van € 0.44 in rekening gebracht.
In Maastricht gebruikt u alleen kaart B met hetzelfde resultaat. Wel moet u dan de 1e keer dat u in Maastricht aankomt met kaart
A uitchecken en kaart B even langs de incheck lezer halen zonder ook echt door het poortje te gaan. Dat u dan de volgende keren
volgens de controle apparatuur de gehele nacht op het perron geweest bent, maakt niets uit. U betaalt slechts het vaste tarief voor
meer dan 20 minuten op het perron. Zo betaalt u dus dagelijks slechts € 0.88 !!
Methode 3: Stel u reist dagelijks van Haarlem naar Amsterdam en terug.
U vertrekt uit Haarlem bv om 08.00. Aankomst Amsterdam: 08.17.
Via de hiertoe ongetwijfeld komende website zoek u iemand die dagelijks van Amsterdam naar Haarlem reist en bv
om 07.40 uit Amsterdam vertrekt en om 07.56 in Haarlem aankomt.
U ontmoet elkaar en wisselt de (anonieme) chip-kaarten om.
Als u in Amsterdam aankomt "denkt" de apparatuur dat u slechts van 07.40 tot 08.17 op het perron geweest bent.
U betaalt dus € 0.44 !
Voor uw "partner" geldt hetzelfde. Hij/zij moet een paar minuten wachten voor het uitchecken en is dan slechts 1 minuut op het perron
geweest. Hij betaalt niets !
Voor de terugreis gebruikt u hetzelfde systeem, desnoods met een andere "partner".En dan nog ... Het zgn perronkaartje is o.a. bedoeld om daklozen van de perrons te weren. Nu kunnen ze dus voor 44 cent niet alleen op
het perron blijven, maar bovendien kunnen ze de gehele dag in de treinen door het hele land reizen ! Lekker warm en altijd wat te zien !
Deze reactie is NIET bedoeld om aan te zetten tot fraude maar wil slechts wijzen op een wel heel zwak punt van de OV-chipkaart !
Op m'n werk gebruiken we rfid kaarten van vingcard en de fabrikant beweert veilig te zijn.
In de brochure staat echter : Compatible with following standards: ISO 14.443 A (MIFARE) , ISO 14.443 B , ISO 15.693
http://www.vingcard.com/binary?id=54753
[...]
Wel moet u dan de 1e keer dat u in Maastricht aankomt met kaart
A uitchecken en kaart B even langs de incheck lezer halen zonder ook echt door het poortje te gaan.
Die snap ik niet helemaal. Volgens het systeem is de houder van kaart A dan in Maastricht, hoe kan hij dan in Leeuwarden uitchecken met die kaart ZONDER weer ergens op de trein gestapt te zijn?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
