Nieuws

Gonggrijp: OV-chipkaart draait om database

zondag 16 augustus 2009, 18:51 door Redactie, 16 reacties

De centrale vraag bij de OV-chipkaart is niet of kaart zelf veilig is, maar wat er met de database gebeurt, zo liet Rop Gonggrijp tijdens Hacking at Random 2009 weten. "Wie beheert de data en wie krijgt die, daar maak ik me druk om?", aldus Nederlands bekendste hacker. Volgens Gonggrijp is de beveiliging het probleem van de betrokken partijen. "Als ze een onveilig systeem willen, dan mogen ze van mij hun gang gaan. Maak het zo onveilig als je wilt."

Gebruikers die bang zijn dat hun reisgedrag straks wordt vastgelegd in deze database en dat aan de hand daarvan conclusies worden getrokken, hebben juist baat bij een gebrekkige beveiliging. Als de overheid straks zegt dat je bijvoorbeeld in een bepaalde trein hebt gezeten, is dat met een onveilige database veel makkelijker te ontkennen. "Hoe onveiliger de database, des te slechter die zal zijn, des te beter dat is."

Incompetentie
Gonggrijp, die aan de wieg van de Nederlandse hackerconferenties stond, merkt op dat wij als maatschappij baat bij een goed functionerend transportsysteem hebben. "En niet dat deze mensen het verklooien, zodat er straks geen bussen en treinen rijden." In deze gevallen gaat het hem meer om de database dan de beveiliging. De security is echter interessant omdat het de incompetentie van de betrokken partijen laat zien. "Het is een mooie manier om hun totale incompetentie te demonstreren." Het is niet meer dan dat, beveiliging zal volgens Gonggrijp nooit het centrale punt worden.

Datzelfde geldt voor de steeds groter wordende verzameldrift van overheid en bedrijfsleven. Het probleem is niet dat bedrijven allerlei informatie verzamelen, maar het feit dat wij het ze als maatschappij geven. "Er is niks pervers aan om alles over je klanten te weten, het is verderfelijk van de maatschappij om ze zover te laten komen."

Chinese studenten massaal doelwit van hackers

Hacking at Random 2009 groot succes

Reacties (16)

16-08-2009, 20:26 door Anoniem

Een vraag voor dhr. Gonggrijp:
Hoe kun je als individuele burger iets tegen deze verzameldrift doen?

Het is makkelijk om de maatschappij (wat is de definitie van dit woord?) de schuld te geven dat ze alles maar toe laten, maar wat doe je er als individu in de praktijk aan?

Niet met het openbaar vervoer reizen. Maar wat als vervolgens ook het reisgedrag van de auto's vastgelegd gaat worden?
Niet meer met de auto reizen?
Omdat het telefoonverkeer gemonitord wordt, niet meer bellen?
Niet meer mailen?
Niet meer naar de dokter gaan?

Waar stopt deze burgerlijke ongehoorzaamheid?

Dhr. Gonggrijp kan beter of een actiegroep oprichten (zie "Wij vertrouwen stemcomputers niet") of de politiek oproepen actie te ondernemen. (hun aanspreken op hun onverantwoordelijkheid).
Of als laatste optie, de ruimtevaart stimuleren, zodat we (anarchistische?) kolonies op de Maan en Mars kunnen ontwikkelen. Buiten het bereik van de verzamelaars.

Even alle gekheid op een stokje, maar ja er moet iets gedaan worden en dat zal georganiseerd moeten worden.
Wie voelt zich geroepen dit te doen. [Let wel, hier zal de AIVD dan wel weer een dossier over aanleggen...]
Ik ben in ieder geval alvast een land aan het zoeken waar dit soort onzin nog niet allemaal geregistreerd wordt.

Misschien wel New Utopia ;->
http://www.principalityofnewutopia.com/
(maar niet echt.)

16-08-2009, 20:31 door Anoniem

Het probleem is bovendien dat maar heel weinig mensen binnen het OV-chipkaart-universum (van een organisatie kun je nauwelijks spreken) van de hoed en de rand weten. Wanneer je als klant eenvoudige vragen stelt als: (1) wat is het starttarief, (2) wat de kilometerprijs, (3) hoe wordt de reisafstand berekend (als route of als lijn), dan word je vrijwel overal (behalve bij het GVB) afgescheept met een standaard-non-antwoord. Ook maakt niemand stennis over de website waarop je zou moeten kunnen zien hoeveel je eigenlijk betaalt, maar die notoir weken achterloopt of het helemaal niet doet.

16-08-2009, 21:11 door Anoniem

Wel grappig dat nu BOF en HAR2k9 het nieuws mede bepalen Rob nu de security.nl headline haalt. Proef ik een voorteken dat 'we' deze OV-gatenkaas nu meer dan beu zijn ? En de bewaarplicht ? EPD ? belastingdienst ?

De overheid aanspreken op haar verantwoordelijkheid ? Goed idee, alleen hebben heeren en dames bestuurders dit keurig uitbesteed. Wil in dat verband dan nu de club opstaan die deze bagger heeft gerealiseerd ? Is dat eigenlijk openbaar ?

Besturen is 1. Automatiseren is 2. De C in dit ABC'tje is de Club_van_onwetenden die geld verdienen met geknutsel in de marge. Jammer want daarmee breng je de hele automatiseringsbranche enorme schade toe. Kenniseconomie noemen we dat dan...

16-08-2009, 22:50 door Anoniem

Wat Rob heeft gezegd is juist: laat de bedrijven en overheden maar rommelen. Op het moment dat er een zaak tegen je wordt gestart kun je vraag omtrent hun infosec inrichting en procedures naar boven halen om er dan vervolgens gatenkaas van te maken. Immers, bij gerede twijfel van de juistheid van de informatie, volgt vrijspraak.

Dit gaat natuurlijk maar gedeeltelijk op omdat er ook partijen zijn die het wel goed regelen.

Blijft nog het probleem dat er teveel bedrijven en overheden informatie verzamelen en dat regels inzake bewaartermijnen en privacy niet altijd even nauw worden gevolgd.

Maar afijn, zolang velen nog hun prive info op openbare sites zetten, hebben die personen in ieder geval geen recht tot klagen.

Frans.

16-08-2009, 23:44 door Anoniem

@anoniem van 20:26
Laatst was ik in een winkel waar ik in ruil voor mijn persoonsgegevens 5% korting kon krijgen. Je zou het gezicht moeten zien van de jongen achter de kassa toen ik weigerde. Iemand die zomaar korting laat lopen, hoe bestaat het! Ik legde uit dat ik een nee-sticker op mijn deur heb omdat ik geen reclame wil. Dan wil ik dus ook geen geadresseerde reclame van elke winkel waar ik kom. Het werkt. Ik krijg nauwelijks reclame toegestuurd.
Er is een een anonieme OV-chipkaart. Hoewel er geen garantie is dat ze je kaartnummer niet koppelen aan de pas waarmee je hem oplaadt of de gegevens die je invult om je 4 euro terug te claimen, komt het nog het dichtste bij anoniem reizen met het OV.
Anoniem door het leven gaan kan niet, maar je kan (nog) wel voorkomen dat je een al te gewillig slachtoffer van de verzameldrift wordt. En met elke persoon die zich uit de database houdt, wordt de database minder waardevol.

@anoniem van 21:11
Tineke Huizinga is politiek verantwoordelijk voor de OV-chipkaart. Ze heeft het niet zelf bedacht, maar ze heeft wel verschillende gelegenheden om de stekker eruit te trekken of om bij te sturen laten lopen. Je kunt haar er dus prima op aanspreken.

17-08-2009, 09:07 door Anoniem

Hoe kun je als individuele burger iets tegen deze verzameldrift doen?

Whahahaah... begin eens met het niet insturen van allerlei bonnetjes uit de categorie "x euro retour!!"
Het is ongelovelijk hoeveel informatie mensen bereid zijn te verstrekken om een zielig eurootje op een tube tandpasta terug te krijgen. Gonggrijp heeft gelijk: we doen het zelf!!

17-08-2009, 10:02 door Anoniem

" Het is niet meer dan dat, beveiliging zal volgens Gonggrijp nooit het centrale punt worden. ""

Jammer dat meneer Gonggrijp hier weer de plank misslaat. Een bedrijf zal nooit beveiliging als primair bedrijfsdoel gebruiken, opzich is beveiliging, net als verzekeringen een kostenpost. Het is een randvoorwaardelijke factor waar je mee te maken hebt. En een directie die eindverantwoordelijk is moet kiezen, maatregelen nemen of risico's accepteren...kortom kosten-baten-werkbaarheid-risico afwegingen.

Dat we met dit systeem reisgedrag van mensen kunnen analyseren en misschien wel voor de overheid beschikbaar hebben dat zit indie randvoorwaardelijke factoren. En nu is de vraag welke kosten-risico's-werkbaarheid zijn het bedrijf translink en de OV bedrijven bereid te nemen. Misschien neemt men de risico's van hackbaarheid, slechte PR wel op de koop toe...ondernemersrisicó. Welke alternatieven heeft de nederlandse OV reiziger? de auto nemen.....ook rekeningrijden is hackbaar.

17-08-2009, 10:22 door Anoniem

Het zou al flink helpen als mensen eens ophielden aan elke enquête mee te werken die ze onder hun neus gedrukt krijgen. De bereidwilligheid om volledig gratis waardevolle gegevens af te staan grenst aan het waanzinnige.

17-08-2009, 12:12 door Anoniem

De database-expansie, data-mining en koppelingen zijn extreem gevaarlijk.
(De gevolgen zijn bijna ondenkbaar)

Ook is het rekeningrijden en de permanente camera bewaking op (snel)wegen een inbreuk op onze privacy & vrijheid.
Vrijheden worden ons sluw ontnomen (en dat op een 'schone' manier, de oorlog tegen je eigen volk.)

Politiek tegen burger.

Alle grondrechten, vrijheden binnen 10 jaar ontnomen, als een sluipmoordenaar en dief in de nacht.

stap voor stap

De burger als permanente slaaf & verdachte, een nieuwe bedrijfstak&goudmijn is geboren.

Zit u ook zo lekker in de database ?

Wat zijn de criteria nu en straks ?

Je kunt het zo bizar niet bedenken maar het is nu al allemaal mogelijk ; Selectie .

Als ik straks een stap buiten de deur zet mag ik betalen per centimeter ! (Thuis betaal ik al de hoofdprijs Hypotheek,Woz,Ozb,Energie etc..)
En dan nog kijkt men met Megapixel Ip-camera's,Gps/Galileo/Domes&Drones mee.

Chantage praktijken door overheden en bedrijven.
Accepteer het of ?

Bewustwoording mensen, de wereld is ziek en dan heb ik het niet over het milieu.

De politiek is een onbetrouwbare kwaadaardige partner in ons leven.

Blijf scherp, stel vragen, eis antwoorden.

17-08-2009, 12:25 door Anoniem

Beste meneer Congrijp,

Is deze discussie over die database niet een beetje achterhaald?

Immers, we hebben allemaal mobieltjes, en op wat criminelen na, bijna allemaal een abbonement, of we hebben wel om 5 euro te verdienen een kaartje opgestuurd.

Dus of je nu met de trein, bus of auto ergens heen gaat, die locaties worden allang opgeslagen in een database, lees: reisgedrag.

En ook op te merken is dat een OV-Chipkaart uitgeleend kan worden, zolang deze enkel door een apparaat wordt gecontroleerd en als een toerist zonder OV-Chipkaart kan reizen, kunnen dat groepje criminelen met hun beltegoed-gsm-etjes, dat ook.

Groet,

Anoniempje.

17-08-2009, 16:48 door Anoniem

Vrijheid en leven zijn tegenwoordig geprivatiseerd.

Slim maar onwettig .

17-08-2009, 16:55 door Anoniem

Straks stellen ze het nog strafbaar : Ov-chippas-ruilbeurzen en bij het rekeningrijden auto-ruilbeurzen.

Enig id waarom er een microspionage chip in de plastic kaartjes zitten ?

Controle,registratie & marketing en datamining.

17-08-2009, 17:49 door Anoniem

Komen ze nu pas mee .. :

Psychopaten-test voor politici en (top)managers gewenst
(www.vkblog.nl)

Zoals pedofielen zich aangetrokken voelen door beroepen waarin met kinderen gewerkt kan worden zo zullen psychopaten in hun eigenwaan zich aangetrokken voelen tot beroepen waarin macht uitgeoefend kan worden. Gezien de verdere kenmerken van het "ziektebeeld" lijkt het mij van groot belang om topfuncties voor deze mensen te vrijwaren. Hitler was een psychopaat. Deze man had nooit de politiek in gemogen. Wie van de huidige politici zou daartoe horen? Zou u ze herkennen?

We herkennen ze allemaal maar wanneer vertrekken ze ?

17-08-2009, 19:12 door Anoniem

Door Anoniem: " Het is niet meer dan dat, beveiliging zal volgens Gonggrijp nooit het centrale punt worden. ""

Jammer dat meneer Gonggrijp hier weer de plank misslaat. Een bedrijf zal nooit beveiliging als primair bedrijfsdoel gebruiken, opzich is beveiliging, net als verzekeringen een kostenpost. Het is een randvoorwaardelijke factor waar je mee te maken hebt. En een directie die eindverantwoordelijk is moet kiezen, maatregelen nemen of risico's accepteren...kortom kosten-baten-werkbaarheid-risico afwegingen.

Dat we met dit systeem reisgedrag van mensen kunnen analyseren en misschien wel voor de overheid beschikbaar hebben dat zit indie randvoorwaardelijke factoren. En nu is de vraag welke kosten-risico's-werkbaarheid zijn het bedrijf translink en de OV bedrijven bereid te nemen. Misschien neemt men de risico's van hackbaarheid, slechte PR wel op de koop toe...ondernemersrisicó. Welke alternatieven heeft de nederlandse OV reiziger? de auto nemen.....ook rekeningrijden is hackbaar.

In welk opzicht is dat niet precies wat Gonggrijp zegt?

18-08-2009, 02:45 door Anoniem

Men zou ook actief lid kunnen worden van de piraten partij en het probleem bij de bron aan kunnen pakken.

06-01-2010, 22:50 door Anoniem

Die hele OV-Chipkaart gaat té ver! Mijn voorspelling is dat dadelijk studenten alleen geaccepteerd worden in het traject van woonadres tot schooladres.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer