Furor Teutonicus blog | over | volg | teuto | lyme | archief | doneer | todo
🕰️
  ⬩  
✍️ Evert Mouw
  ⬩  
⏱️ 3 min

OV failcard gekraakt

Nog maar een paar dagen terug noemde ik i.v.m. het EPD de OV chipcard als voorbeeld voor hoe slecht de politiek en overheid is in het omgaan met IT projecten. Nu in het nieuws op nu.nl: OV-chipkaart is volledig gekraakt.

Ongelooflijk. In april 2008 lieten informatici van de universiteit Nijmegen al zien dat de gebruikte chips onveilig zijn. Hoogleraar Bart Jacobs van de groep Digital Security meldde toen: De ov-chipkaars is volledig stuk. Het is zo makkelijk er op grote schaal mee te frauderen dat doorgaan met deze kaart niet verantwoord is. Maar sindsdien is er dus niet veel veranderd.

Ik kan het niet veel beter verwoorden dan de gebruiker LucasHulshof op fok.nl:

Dit zag iedereen, behalve de politiek, de lobby en de leveranciers, al van lichtjaren aankomen. Het is tenenkrommend dat er nu dus miljoenen en miljoenen aan belastinggeld verdampt is terwijl bekend was dat het slechts een kwestie van weken zou zijn voordat deze waardeloze chip gekraakt was.

Ik ben benieuwd welke minister hier het boetekleed gaat aantrekken en opstapt. Koppen moeten er rollen en niet te zuinig ook.

Gelukkig is het EPD wél veilig, zucht…

Het februari nummer van PC-Active zal een verslag geven van de methodes en resultaten. Je kunt nu al de eerste pagina van het artikel lezen.

Het is heel belangrijk dat de OV chipcard veilig is:

Daarom is het goed dat alle informatie en alle software die nodig is om die OV chipcard te kraken gewoon vrij beschikbaar is. Het is namelijk prima mogelijk om een veilig systeem te bouwen. Er is gewoon bewust gekozen voor een onveilig systeem. Want dat was lekker goedkoop. Dit is toch onacceptabel!

OV chipcard wiki

Bron: http://www.ov-chipkaart.org/

De eerste stap is het aanschaffen van een RFID reader. Vervolgens moet je technisch misschien nog wel wat handigheid hebben. Je kunt meer informatie vinden op www.ov-chipkaart.org. De site lijkt op het moment van schrijven nogal druk bezocht te worden, en is nagenoeg onbereikbaar. Daarom heb ik speciaal voor jou, waarde technische lezer, een backup van die website, bestaande uit MHTML bestanden, als zip archief.

Zelf heb ik de software niet getest omdat ik nog geen RFID reader heb. De mfocGUI software is voor Windows gebruikers gecompileerd, en voor de zekerheid is hier een lokale mirror. update: het programma OVsaldo is nu ook beschikbaar.

Uiteraard is het niet legaal om daadwerkelijk gebruik te maken van de zwakheden van de OV chipcard. Daartoe wil ik dan ook niet oproepen. Wel dient al deze informatie en software om te bewijzen dat de zwakheden van de OV chipcard niet alleen theoretisch zijn. Wij mogen de mensen die deze software voor het publiek beschikbaar maken wel heel dankbaar zijn; zo worden de burgers zich bewust van risico’s die anders door een incapabele overheid genegeerd zouden worden. Criminelen en terroristen zouden dan vrij spel hebben. Jammer dat er gewetensvolle hackers voor nodig zijn om de politici en ambtenaren in beweging te krijgen; en nog erger dat deze incapabele sufferds niet alleen een vorstelijk salaris krijgen, maar straks ook nog de boodschappers (hackers en informatici) gaan afschieten. Dat laatste zou ze nog wel eens zuur kunnen opbreken. Een put demp je niet door er een laken overheen te leggen.

Overheid en transportbedrijven: neem je verantwoordelijkheid en vervang die hele waardeloze troep, zowel het systeem als de verantwoordelijke leidinggevenden, door een open en veilig systeem. Daar hoort ook bij: niet de reisgegevens van je burgers en klanten opslaan. Want ook dat is een risico.

Update 2011-01-26: Het is ook mogelijk om thuis al in te checken, oftewel je hoeft dan niet meer in te checken bij het poortje en dus kan de fraude niet geregistreerd worden. Meer op nu.nl en op de originele nieuwssite webwereld.


Deze blogpost werd in december 2022 overgezet van WordPress naar een methode gebaseerd op Markdown; het is mogelijk dat hierbij fouten of wijzigingen zijn ontstaan t.o.v. de originele blogpost.