Is dit niet een herhaling van http://security.nl/artikel/35946/1/OV-chipkaart_volledig_gekraakt_.html?

Peter

Straks wordt het nog verboden om een laptop mee te nemen in de trein. Om zo misbruik van het systeem tegen te gaan.

Het alternatief is natuurlijk de beveiliging van de ov chipkaart cryptografisch deugdelijk maken zodat deze manipulaties niet meer mogelijk zijn. Maar dat wil de politiek dus niet. De hele beveiliging leunt op de 'backoffice'. En de camera's en het OM. Terwijl het veilig kan zonder deze hele privacy schendende organisatie!

Geweldige laatste zin!

Het is verboden dus waarom zou iemand het doen? Als dat de insteek is zijn we verloren....

Kijk aan die info heb je wat.

Het mag dus niet !!!!!!!!!!!!!!!!

"Het is verboden dus waarom zou iemand dat doen?"
Heeft die man nou helemaal geen idee ??

Complimenten voor Brenno c.s. om dit openbaar te bespreken voor de invoer. En natuurlijk de brilante follow-up na de invoer. ;-)
Jammer dat er zoveel is geïnvesteerd in een systeem dat al gekraakt is voor de invoering. Ik hoop dat de SP het in de kamer een passend vervolg aan kan geven.
<cynisch/on>
Al denk ik dat dit bij de heersende politiek wind wel zal uitdraaien op “meer controle op de reiziger” en “strengere straffen voor deze ’criminelen’ ” in plaats van de processen te herzien en verantwoordelijken er op aan te spreken.
<cynisch/off>

Ik meen dat het nieuwe is dat er nu zelf vals ingecheckt kan worden, en het daardoor onzichtbaar is voor wie dan ook. Conducteurs zien een ingecheckte kaart, en hebben geen communicatie met een centraal systeem dat overzicht heeft over welke kaarten echt ingecheckt zijn.

Het werkt nu denk ik alleen als er geen toegangspoort is. Hoe kom je anders erdoor zonder in te checken ? Ik heb geen OV Shipts kaart dus ken de procedure niet zo. Zodra er overal poorten staan op de treinstations, wordt het al moeilijker.
Hetzelfde met een bus, de chauffeur verwacht een incheck (biep) toch ?
Verder: eindelijk gratis openbaar vervoer, een lange wens van sommige politieke partijen gaat in vervulling. Eindelijk de files opgelost. Mooi toch.

De anonieme OV-chipkaart

* Kan ook door iemand anders worden gebruikt, maar niet tegelijkertijd.
* Geheel anoniem.
* Zonder de mogelijkheden van de persoonlijke OV-chipkaart, zoals: persoonsgebonden kortingen of reisproducten, automatisch opladen, Mijn OV-chipkaart.
* Bij verlies of diefstal kan de kaart niet worden geblokkeerd.
* 4 tot 5 jaar geldig.

... in combinatie met opent dit vele mogelijkheden voor zwartrijders ... of vergis ik mij ?

Let maar op zwartrijden wordt met deze OV-shitkaart immens populair in 2011 ...
Oh en laat je vooral niet bang maken ...

http://store.touchatag.com/acatalog/touchatag_starter_pack.html

Just my 2 cents worth:

In het artikel staat alleen gemeld dat het gebruik van een gemanipuleerde kaart strafbaar is. Mijns inziens is ook het kraken van de beveiliging van het kaartje te kwalificeren als het indringen in een elektronisch werk waarop hoge boetes / of een hoge gevangenisstraf (uit mijn hoofd 4 jaar) staan. Dus ook al gebruik je het kaart niet, is de manipulatie van het kaart zelf alstrafbaar. Ik weet het niet zeker, maar raadpleeg een jurist voordat je dit software binnenhaalt.

Mike.

Ik heb net het hele item op Nieuwsuur teruggekeken, en de geciteerde zin wordt voor zover ik kan nagaan nergens gebruikt door de directeur van TLS. Hij blijft er wel steeds op hameren dat misbruik strafbaar is, dat het detecteerbaar is (wat waar is in het geval van opladen van het saldo, maar niet waar is in het geval van manipuleren van de 'ingecheckt' status, maar daar ging het interview niet over). De woorden 'dus waarom zou iemand het doen' heb ik hem niet horen zeggen. Beetje flauwe punchline van security.nl op die manier...

Overigens: als er, zoals ooit de bedoeling was, gewoon bij ieder NS station poortjes zouden zijn geplaatst die ook daadwerkelijk alleen open gaan als je incheckt/uitcheckt, dan wordt heel veel fraude een stuk moeilijker, of in elk geval een stuk makkelijker traceerbaar. Het zou er bovendien voor zorgen dat je niet meer kunt vergeten uit te checken en dus heel veel ergernis bij klanten voorkomen. Maar helaas heeft de halfslachtige oplossing waarvoor is gekozen ons in deze problemen gebracht...

hier houd ik nou van, mensen die even laten zien hoe dom die politiek van ons is geworden op het gebied van technologie en verschillende soorten software

Security Officer & Fraude Manager bij TLS
https://star-track.humankey.nl/solliciteer2.asp?puid=6801

;-)

snel downloaden voor die weg is.
oh, en cardreaders genoeg hier !

Zal niet lang duren eer iemand dit gaat doen:
Omhacken dat ie 't automatisch doet, op laptop zetten, in je tas proppen, card-reader/writer via je mouw in je hand en deel die gratis translinkeuro's maar uit op een lekker druk station (zonder medeweten van...)!
Burgerking-style zakkenvullen "in the golden age of digital oppertunities and adventure" (tm)(c)(reverb) 2011 Transfail Systems
... of duurt t een uur voor de keys gecrackt zijn? Dan is dit niet zo'n risico

miljoenen euro's? Het gehele project heeft voor zover ik weet 3 miljard (!) euro gekost! (oh, en het is "ever" Peter, niet effer :P)

Hoezo voor de invoering? Het is allang ingevoerd om een aantal plekken. En als de SP weer komt met "opdoeken van het systeem" dat weet ik gelijk weer waarom ik nooit op ze stem. Breng realistische opties mensen!
Ik dacht dat je geld wou besparen? Het was toch al te duur?

Je moet een kosten/baten plaatje maken. Hoeveel mensen gaan dit werkelijk doen? De meeste mensen willen helemaal niet stelen dus betalen gewoon. Dus wat overblijft zijn anarchisten en mensen die toch al zwart rijden. De werkelijke kosten zijn dus vrijwel nihil. In iedergeval veel minder dat het fixen van het probleem binnen nu en een jaar.

Het meest kost effective oplossing (je wou toch goedkoop?) is zorgen dat een paar overduidelijke gevallen straft terwijl er rustig wordt gezocht voor een oplossing die je over een paar jaar kan uitrollen.

Ik snap niet dat hier zo'n heisa over is. Het geld dat hieraan besteed wordt valt in het niet vergeleken met de rest van de economie. Hou een beetje perspectief mensen!

Even pasten hier:

http://www.ov-stripkaart.nl/

"Het is verboden dus waarom zou iemand dat doen?"

Een aanslag plegen is ook verboden, waarom zou iemand dat doen?

Mooi verhaal! Wel goed dat men erbij vermeldt dat het strafbaar is. Je zou ze de kost moeten geven die daar helemaal niet bij stilstaan en vervolgens diep in de buidel moeten tasten.

Het systeem is dus lek, maar dat betekent niet dat het totaal een flop is. Ik vind het prettiger reizen dan hoe het vroeger was. Voor de meeste mensen zal dit gelden. Daarnaast is het een sport geworden om het systeem te kraken, wat prima gelukt is, vanaf het allereerste begin af aan.

Wat ik spannender vind is hoe het staat met mijn persoonlijke gegevens. Daar zal ook wel het nodige aan lekken in zitten, vrees ik.

Heeft iemand een idee waar zij de database met alle incheckpunten vandaan hebben? 't Lijkt me nogal wat werk om die zelf te bouwen.

Zelf had ik deze aanbieding gevonden: http://www.touchatag.com/e-store

Is dat zo'n apparaat waar het om gaat. Of heeft iemand een andere link naar waar zo'n apparaat te bestellen is? Ik neem aan dat het bezit van zo'n apparaat niet illegaal is.

TLS stite is ook niet geheel vlekkeloos http://goo.gl/yp5fW (xss detectie uitzetten)

Dit is VZIW alleen de software voor het verhogen van het saldo, NIET de software om het opstappunt aan te passen. De 2e hack die hier beschreven staat gaat dus niet met deze software.

Dit hele systeem was ons gebracht als de oplossing tegen zwartrijden. Want dat bracht onveilige gevoelens te weeg. Als blijkt dat de oplossing niet werkt om het kernprobleem op te lossen, moet er iets anders bedacht worden en in ieder geval niet verder gegaan worden met de uitrol.

Of men moet bekennen dat er een ander doel was voor de uitrol van de kaart.

Peter

Lang leve de privatisering! Bedrijven worden opgericht nat als prorail. Incompetente bestuurders worden als zwaargewicht binnengehaald en zwaar overbetaald. Allemaal legaal. Beetje onderzoek zou leuk zijn om te kijken wat er uit komt.

Maar dit kan de controleur wel zien. Gewoon even het unieke ID bekijken en controleren wat de laatste mutatie is. Aangezien TLS een overzicht heeft van alle kaart en alle valide transacties moet dit te koppelen zijn. Als er namelijk een transactie op de kaart staat maar neit in het systeem is het fraude. Dan nog even de boete vervangen door een week gevangenisstraf en het probleem is opgelost. :)

Als je gecontrolleerd wordt in de trein dan zou dat geregistreerd kunnen worden en daarmee zou men hier achter kunnen komen.
Maar of ze dat ook doen... Zullen ze vast niet aan gedacht hebben.

Ik heb de software gedownload. De uploader geeft de volgende info:
---------
Het openbaar vervoer, ik haat het, het is altijd lawaaig, in de spitsuren heb ik geen plek om te zitten in de tweede klas, maar op die laatste heb ik dus kennelijk wat gevonden! Het heet OVsaldo, daarmee kan iedereen dus gratis reizen met de ovchipkaart en zelfs mijn buurvrouw kan het doen!

Zoals je ziet zit er in het rar bestandje nog 2 andere rar bestandjes, de één mfocGUI is om de kaart te kraken en de laatst ingecheckte stations te zien.

De ander is het programma OVsaldo zelf, hiermee kan je dus je saldo verhogen of ritten aanpassen.

De NS/TLS checkt alleen de ritten en het bedrag tegen haar database in het weekend, dus van maandag tot zaterdag 4 uur 's morgens kan je er dus gratis meereizen! In het weekend loop je snel tegen de lamp aan met fraude. Dit is illegaal wat je doet namelijk. Het zal wel blijven werken in tram/metro/bus.
------
Ergens heb ik gelezen dat er ook al een hack is om wel het opstartpunt te wijzigen voor NS-reizigers.

De hele infrastructuur van TLS en alle vervoerders is niet ingericht om dit soort fraude te kunnen detecteren. In de praktijk zullen alle poortjes in alle bussen en trams en dergelijke vervangen moeten worden. Verder zal de hele infrastructuur moeten worden omgebouwd op veel meer dataverkeer en de databases zullen een veelvoud aan queries en transacties moeten kunnen verwerken, want de software zal ook zwaar aangepast moeten worden.

In de praktijk is op de vaste incheck- en opwaardeerpunten na, de hele infrastructuur gewoon weggegooid geld en moet vervangen worden. Gezien de tijd die er de eerste keer voor nodig was om het in te voeren, gaat dat nog wel een jaar of 5 duren voordat ze zo ver zijn. In die tussentijd kan iedere scholier en student die vroeger zwart reisden of een OVkaart hadden voor een paar tientjes alsnog weer gratis reizen. Tenzij de kaartautomaten en de strippenkaart weer gewoon opnieuw ingevoerd gaan worden natuurlijk, dat is binnen een jaartje rond te krijgen.......

Ik las ergens dat TLS aangifte heeft gedaan bij het OM en dat het om anonieme ov-chipkaarten ging. Hoe kunnen ze er dan achter komen wie die kaart heeft gekraakt. Het zijn toch anonieme kaarten?? Dan kan je net zo goed een persoonlijke kaart nemen. Is dit een vorm van Privacy-schending?

Arnoud engelfriet bij de NOS.
Audio:
http://nos.nl/audio/214376-arnoud-engelfriet-over-strafbaarheid-kraken-ovchipkaart.html

Dat is zeker spannend. Zo spannend dat het misschien niet onverstandig is voor €7,- een anonieme chipkaart te kopen. Als je geen vast abonnement hebt is registratie sowieso nergens voor nodig.

Om de grootste brand te blussen hoeft alleen de apparatuur van de controleurs met de centrale database te worden verbonden. Het verbaast mij dat dit nu nog niet het geval was..

Wat is de boete/straf/strafblad als ik hiermee wordt gepakt? weegt dat op tegen de €80 per maand?

Lijkt mij een handig tooltje. Ik krijg van de NS eens de zoveel tijd een nieuwe kaart bij mijn jaartrajectabbo. Nu kan ik zelf het saldo wat ik daar voor andere reizen gebruik overzetten.

Prima actie... eindelijk een bewijs dat de "reseach" op deze kaart bagger is... Bijdeze het mag gezegt worden!

De digitale kluis van PC-Active is kennelijk even broos als de OV-chipkaart.
Nog erger: de Doos van Pandora is open.

Gisteren maakte PC-Active met veel tam tam bekend dat het haar is gelukt om de OV-kaart te kraken.

Vandaag is bekend geworden dat de digitale kluis van PC-Active op haar beurt is gekraakt en ligt haar
OVkraak-software op straat.

Duidelijk een geval van 'de Pot verwijt de Ketel'.

Gaaf, ineens 100€ erbij op mijn kaart.

Eens kijken of ik het terug kan krijgen aan de balie,
wilde eigenlijk 50€ bijstorten. :D

P-E kost ook de belastingbetaler weer geld + de minister die verantwoordelijk was zit nu waarschijnlijk totaal ergens anders zich rot te lachen. Of zouden ze die minister alsnog een boete kunnen geven? =)

Oplossing: gewoon terug naar papieren spul. En als ze dan ook die RFID-technologie uit de ID-kaart halen & niet zo idioot doen met verplichte vingerafdrukken dan wordt NL misschien ooit weer een normaal land.

"Het is verboden dus waarom zou iemand dat doen?"

Bovenstaande uitspraak is van de financieel directeur van TLS Deze man heeft met zijn salaris ook geen reden om zijn Chipkaart te kraken.

Ik ken een hoop mensen die het duurder worden van het openbaar vervoer door de invoering van de OV-CHIP nauwelijks kunnen opbrengen.

Vooruitgang is goed als het een verbetering is tov de voorgaande situatie.

Bij de OV-CHIP heb ik nog nooit een voordeel kunnen zien.

Wat was er mis met de strippenkaart?

Oh, het was mij altijd duidelijk dat het niet om het zwartrijden ging. Dat zou wel handig zijn, maar dat was volgens mij nooit de echte reden.

Het probleem is: er worden een miljoen strippenkaarten verkocht. Er zijn allerlei vervoerders met allerlei diensten: hoe ga je dat geld verdelen?

De OV chipkaart maakt dat volkomen triviaal en transparant. Is iemand reist op een bus dat wordt de busmaatschappij voor precies die rit betaald. Dit maakt het vinden de rendabele en onrendabele routes triviaal. In plaats van enquetes, rekenwerk en waarschijnlijk een hoop nattevingerwerk, geld en tijd krijgt ieder maatschappij betaald voor wat hij levert, in plaats van een gok.

Dit maakt het in de toekomst makkelijk voor nieuwe diensten. Als iemand zelfstandig een buslijn wil beginnen, in plaats van vechten met andere OV vervoerders voor een deel van het strippenkaart geld worden zijn gewoon betaald voor wat ze leveren.

Daarom komt de strippenkaart ook niet terug mensen. De mensen vonden het misschien leuk, maar voor de vervoerders was het een ramp en ze zullen er niet om rouwen als het weg is. En zelf vind ik het ook wel handig.

Die was natuurlijk niet veilig genoeg :P

en dan nu:


http://www.spitsnieuws.nl/archives/binnenland/2011/01/020_moet_aandelen_ovchip_adieu.html

Kunnen ze de Noord Zuid lijn misschien betalen! :)

Het probleem lijkt mij, wie wil ze hebben. Ik bied 1 euro.

Maar serieus, dit lek hoeft niet ommiddelijk gefixt te worden, dus hoeft het ook geen geld te kosten.

Bedenk even dat tegenwoordig werkelijk overal camerabewaking is. Oom agent kan die beelden opvragen en dan is het makkelijk zoeken op de beelden naar diegene die op tijdstip x bij poortje y met gehackt kaartje z in- of uitgecheckt is.

En als de "hacker" zo dom is geweest om het ov chipkaartje met pin te betalen is het natuurlijk helemaal een wassen neus voor oom agent om diegene op te sporen.

Het probleem voor TLS en de opsporing gaat natuurlijk echt groot worden als massa's mensen deze illegale betaalmethode daadwerkelijk gelijktijdig gaan gebruiken. Dan voldoet de opsporingscapaciteit natuurlijk niet meer en kan men niet meer handhaven.

Waarschijnlijk gaat de anonieme kaart nu het onderspit delven en moeten we allemaal aan de ov kaart op naam met biometrische kenmerken en al. Let maar op.

Wat ik niet helemaal begrijp is hoe ze willen bewijzen dat ik een anonieme kaart gekraakt zou kunnen hebben..
Ik bedoel, stel dat ik thuis saldo op m'n kaart zet ( wat ik natuurlijk niet ga doen ), en op de een of andere manier
komt een agent erachter..dan kan ik toch gewoon zeggen dat een of andere marrokaan met een scheef petje me een kaart verkocht heeft voor 20 euro (terwijl er meer op de kaart staat).
Hoe wil een agent dan bewijzen dat ik lieg? Ik kan het overal op straat hebben gekocht..er zijn genoeg plekken in Nederland
waar geen camera's hangen..

ik heb nog nooit een topic gezien met rode minnetjes naast de rating .
hoe harder men schreeuwt het is niet te kraken, hoe makkelijker het juist blijkt om te kraken.

Ach..je hebt mensen die de overheid adoreren en alles volgens het boekje doen..je hebt mensen die niet perse de overheid adoreren maar zich wel gewoon aan de wet willen houden..en je hebt mensen die niet elke beslissing goed vinden van de overheid, dus waarom ook braaf elke wet opvolgen..
Persoonlijk begrijp ik heel goed dat het niet de bedoeling is dat men massaal op deze wijze gratis moet gaan reizen, want dan krijg je enge toestanden..
Maar ik begrijp ook heel goed dat de mensen die zich vanaf het begin al belazerd voelde nu graag revenge willen.
Voor ieder wat wils zou ik haast zeggen..

Ik ben student met een ov-chipkaart waarmee ik doordeweeks kan reizen.

En toch kraak ik die kaart!!

Waarom?

1. Als je toevallig geen saldo op je kaart hebt, of geen kaart in bezit heb is het ov (tram/metro/bus) belachelijk veel duurder geworden. Hoe gaan ze het verdedigen dat een ritje (1 zone) wat eerst 1,60 kostte, nu 2,60 kost. Dat is een prijsstijging van 75%. En krijg ik hier iets voor terug? NEE! Erger nog, de regering heeft bedacht dat ze op het ov gaan bezuinigen wat tot gevolg heeft dat er minder ov rijd, en het nog een stuk drukker (dus minder comfortabel) word ook! Belachelijk.

2. Ik zit elke dag in de trein, voor minimaal een uur. En gelukkig gaat het meestal goed. Maar soms ook gruwelijk fout. Zeg maar, heel December en Januari ging het fout. De ene trein na de ander reed niet, ondanks "geteste" winterregeling. Zat ik mooi die zondag dat het getest werd voor niets een uur extra in de trein gezeten. En maar vragen om begrip, ik ken het riedeltje nu wel uit mn hoofd. Sorry, de trein doet het niet, deuren gaan niet dicht, trein kan niet gekoppeld worden, we rijden met een halve trein, er zit een trein voor ons, er zit een terrorist in de trein. En zo gaat het maar door. Dat is lekker, als je dan net je overstap mist en je weer een half uur langer onder weg bent.

Tot zover, kon ik nog wel enigzins begrip opbrengen, aangezien ik er zwaar afhankelijk van ben.

Maar toen kwam de NS met goedmakertjes. Trajectkaart houders en abbo houders kregen allemaal voordelen. Maar wij, als studenten, niet. Alsof ik niet tig uur in de kou heb staan wachten. Omdat ik niet rechtstreeks klant ben bij de NS (dat is de ib-groep) heb ik nergens recht op. Nou, lekker bedacht weer.

En daar klopte uiteindelijk ook weer niets van, bleek op een zondagn.
Ik zit in de trein, heb een kaartje gekocht, omdat ik een week ov heb. Komt de conducteur langs, en die kijkt verbaast als ik mijn kortingskaart laat zien. Wat blijkt? Ik mag dus toch op zondag wel gratis reizen. De NS was het alleen vergeten te communiceren. Nergens op het station werd er omgeroepen, of hing er info over. En het geld wat ik betaald had voor het kaartje kon ik op geen enkele manier terugkrijgen.

Weet je wat, ik heb er genoeg van. Ik heb nu 20 van die kaarten liggen. En van mij mag iedereen er 1 komen halen. Niet omdat ik er zelf financieel beter van word, integendeel. Het kost me alleen maar geld en tijd Ik ben het zat dat de NS blunder na blunder begaat, ik de dupe er van ben. Fuck het lekker maar. Nu kan ik het hele zooitje bij elkaar terugpakken op de fouten die ze zijn begaan.

http://ov-chip.webklik.nl/page/ov-chipkaart

Voor alle amsterdammers! GRATIS OV CHIP KAART TEGOED
IK HEB DEZE LINK GEVONDEN OP GOOGLE..

GENIAAL, HEB NU 120 EURO TEGOED VOOR NOP!