Klonen OV-chipkaart kinderspel
Een opensourceproject maakt de versleuteling van Mifare Classic RFID-chips voor een breed publiek beschikbaar, waardoor iedereen deurpasjes en OV-chipkaarten kan kraken. Het project implementeert de kraak van CRYPTO1 en draagt de ludieke naam Crapto1. De software richt zich vooral op het kraken van gegevens en gebruikt voor de communicatie bestaande projecten als OpenPCD en Proxmark. De maker, die zich Bla noemt, vertelt vooral de code te hebben gemaakt om onderzoek uit te voeren en heeft geen kwade wil in de zin.
Dat hij de programmatuur beschikbaar heeft gesteld is vooral op advies van een bekende. Volgens eigen zeggen was Bla vooral onder de indruk van de paper van de Radboud Universiteit en wilde hij dit in de praktijk zien. Inmiddels heeft de code een paar verbeterslagen doorgemaakt, waardoor het kraken sneller en minder geheugen intensief is. Inmiddels is de maker bij versie 1.3.
Breed inzetbaar
Met Crapto1 kunnen gebruikers de geheime sleutels van toegangssystemen van bedrijven of het openbaar vervoer achterhalen. Als die kennis gedeeld wordt hoeft een aanval maar één keer echt worden uitgevoerd, zodat daarna iedereen minder opzichtig kaarten kan klonen of verminken. Daarmee is het bijvoorbeeld mogelijk onopvallend bedrijven binnen te komen of OV-chipkaarten te klonen. Een andere gevaarlijke optie is het wissen of met verkeerde informatie vullen van kaarten. Zo'n aanval zou de dagelijkse operatie in het openbaar vervoer verstoren, waarbij het onduidelijk is wie een dergelijk aanval uitvoert.
Lang verwacht
Dat er broncode zou verschijnen was al langer verwacht, aangezien het algoritme al enige tijd bekend is. Diverse universiteiten bleken al in staat CRYPTO1 te kraken en ook in China verkoopt men via een illegaal circuit de kaarten. Een opensourceproject lag dan ook voor velen in de lijn der verwachting. Voor sommigen zal de onthulling wel als een verrassing komen, omdat een onderzoek van TNO in februari nog beloofde dat het op grote schaal kraken van de OV-chipkaart nog minimaal twee jaar zou duren.
Deze driehoek van partijen die het systeem aan miljoenen klanten opdringen weten dat het onveilig is, weten wat de gevolgen zijn voor de reizigers. Hun enige reactie is dat de reizigers niet moeten zeuren en dat ze hopen dat het wel mee zal vallen. Waarom? Ik heb zo'n donkerbruin vermoeden dat ze geen zin hebben om te erkennen dat ook paradepoject een miljoenenverslindend stuk bagger is en al het mogelijk uitstel of afstel genegeerd moet worden. En dat op kosten van de reizigers. Mocht het mis gaan dan is het natuurlijk uw eigen schuld, niet dat van het systeem of falende partners die er niets aan wilden doen.
Dus de enige kosten zijn de componenten van de chip
Correct me if i am wrong
En volgens mij is de OV-Chipkaart makkelijker te kopiëren dan de strippenkaart.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
