Gratis reizen door beveiligingsfout in OV-wegwerpkaarten
Studenten van de Universiteit van Amsterdam hebben een fout in de beveiligingssoftware voor papieren wegwerpkaarten voor het openbaar vervoer ontdekt, waardoor kaarten opnieuw te gebruiken waren. De studenten ontdekten tijdens een beveiligingsonderzoek dat door een softwarefout in de kaartlezer van de poortjes papieren wegwerpkaarten te manipuleren en opnieuw te gebruiken zijn.
Het probleem werd niet veroorzaakt door de wegwerpkaart zelf, maar door de software in bepaalde kaartlezers die op metrostations de geldigheid van wegwerpkaarten controleren. De standaard OV-chipkaart zou niet kwetsbaar zijn, maar alleen de papieren wegwerpvariant die bedoeld is voor kortdurend gebruik in het stadsvervoer van Amsterdam en Rotterdam door bijvoorbeeld toeristen. De betrokken openbaar vervoerbedrijven zeggen de software in de apparatuur aan te zullen passen.
voor er op internet unlimited use kaarten aangeboden worden.
Het gaat om kaarten met een passive RFID chip, welke door de
lezer gepowerd worden. Dat soort kaarten beschikt over
weinig tot geen cryptografische mogelijkheden, en daardoor
is het makkelijk de kaart te kraken.
OV chipkaart is uitermate hackable, het zal niet lang duren
voor er op internet unlimited use kaarten aangeboden worden.
Het gaat om kaarten met een passive RFID chip, welke door de
lezer gepowerd worden. Dat soort kaarten beschikt over
weinig tot geen cryptografische mogelijkheden, en daardoor
is het makkelijk de kaart te kraken.
goede oplossing bouwen.
kaarten ook een
goede oplossing bouwen.
[/quote]
Of die oplossing ook goed door controleurs te handhaven is...
Het beste is m.i. om op de server de unieke ID van de
betalende RFID kaart bij te houden (zal wel niet mogen ivm
privacy). En daar zit het probleem bij kaartcontrole: de
handterminals moeten dan permanent (draadloos) verbinding
hebben met de server om te zien of het een gemanipuleerde
kaart is of een geregistreerde kaart. En dat wordt lastig in
een metrotunnel...of op zijn minst kostbaar!
tegenover de strippenkaart, beide worden afgewaardeerd bij
gebruik, opladen of een nieuwe kopen is ook weinig
vernieuwend te noemen.
En foutieve af- of opwaarderingen op de OV chipkaart, heeft
de chauffeur dan ook een correctiemiddel (een stikkertje en
stempel was voldoende bij een strippenkaart) denk van niet !
Wel leuk voor alle minima die van hun laatste euro's hun OV
chipkaart opwaarderen en vervolgens de volgende dag moeten
frauderen om op het werk te komen en/of hun kinderen van
school te kunnen halen door een 'vaudtje' in het systeem...
(helaas voor u, dat zijn kinderziektes)
Zou het dan toch echt alleen maar te maken hebben met het op
zeer grote schaal volgen van OV gebruikers....
Maar goed, er is een massa studenten bezig met het
onderzoeken van de systemen zoals ik uit dit stuk mag
aannemen dus zal ook de belastingdienst, het uwv, het svb en
defensie binnenkort geheel verlost zijn van problemen,
kinderziektes en is 100% fraude bestendig....
Vreemd dat de files steeds langer zijn en zullen worden........
kaarten ook een
goede oplossing bouwen.
[/quote]
Of die oplossing ook goed door controleurs te handhaven is...
Het beste is m.i. om op de server de unieke ID van de
betalende RFID kaart bij te houden (zal wel niet mogen ivm
privacy). En daar zit het probleem bij kaartcontrole: de
handterminals moeten dan permanent (draadloos) verbinding
hebben met de server om te zien of het een gemanipuleerde
kaart is of een geregistreerde kaart. En dat wordt lastig in
een metrotunnel...of op zijn minst kostbaar![/quote]
Of tenminste elke keer dat er een verbinding is de lijst met 'gebruikte 'ID's
op de handterminal laden .... (of bijwerken).
OV chipkaart is uitermate hackable, het zal niet lang duren
voor er op internet unlimited use kaarten aangeboden worden.
Het gaat om kaarten met een passive RFID chip, welke door de
lezer gepowerd worden. Dat soort kaarten beschikt over
weinig tot geen cryptografische mogelijkheden, en daardoor
is het makkelijk de kaart te kraken.
kaarten ook een
goede oplossing bouwen.
staat van de techniek? Als je nou eens wat
achtergrondinformatie opzocht, dan weet je misschien waar je
over praat.
kaarten ook een
goede oplossing bouwen.
Of die oplossing ook goed door controleurs te handhaven is...
Het beste is m.i. om op de server de unieke ID van de
betalende RFID kaart bij te houden (zal wel niet mogen ivm
privacy). En daar zit het probleem bij kaartcontrole: de
handterminals moeten dan permanent (draadloos) verbinding
hebben met de server om te zien of het een gemanipuleerde
kaart is of een geregistreerde kaart. En dat wordt lastig in
een metrotunnel...of op zijn minst kostbaar![/quote]
Of tenminste elke keer dat er een verbinding is de lijst met
'gebruikte 'ID's
op de handterminal laden .... (of bijwerken).[/quote]
Dat zal je weinig brengen: Stel je voor, jij loopt met je OV
chipkaart door het poortje het perron op. Je hebt net je
kaart ingemeld. De controleur staat op het perron of in de
metro te controleren. Dan moet hij dus eerst een verbinding
maken om te updaten?
Het vage systeem is zo ontworpen dat je je inmeld EN afmeld
en pas dan wordt berekend hoe lang je in het OV hebt
gezeten. In tegenstelling tot de strippenkaart. Daar
stempelde je vooraf. Meld je je niet af met je OV chipkaart
dan wordt een dagtarief afgeboekt. En hoe kan een reiziger
dit checken nadat hij het OV heeft verlaten. Een chippas kun
je tenminste nog overal in een automaat stoppen om te
checken wat je saldo is.
Het vage systeem is zo ontworpen dat je je inmeld EN afmeld
en pas dan wordt berekend hoe lang je in het OV hebt
gezeten. In tegenstelling tot de strippenkaart. Daar
stempelde je vooraf. Meld je je niet af met je OV chipkaart
dan wordt een dagtarief afgeboekt. En hoe kan een reiziger
dit checken nadat hij het OV heeft verlaten. Een chippas kun
je tenminste nog overal in een automaat stoppen om te
checken wat je saldo is.
is niet transparant voor de gebruiker. Dat is tot op zekere
hoogte ook inherent aan de manier waarop het systeem
geimplementeerd is. En laten we wel zijn, de keuze is niet
gemaakt om eindgebruikers meer gemak te geven, maar om de
OV-bedrijven in Nederland minder kashandelingen te laten
verrichten. Het is gewoon kostenbesparing die onder de
noemer van gemak bij de burgers door de strot gedrukt wordt.
Laten we eens als gedachtenexperiment aannemen dat er door
een softwarefout bij iedere 100e klant het dagtarief
afgeboekt wordt. Hoe kom je daar achter? En als je daar al
achter komt, hoe ga je dat kunnen declareren? En wat als er
per ongeluk een tariefwijziging wordt doorgevoerd, ook
d.m.v. een softwarefout? Hoe gaan OV-bedrijven daarmee om?
De transparantie is verdwenen bij gebruik van de chipkaart.
Tuurlijk zal er een mogelijkheid zijn om na afloop van de
reis het saldo op je kaart te checken. Maar wie gaat dat in
de praktijk doen?
OV chipkaart is uitermate hackable, het zal niet lang duren
voor er op internet unlimited use kaarten aangeboden worden.
Het gaat om kaarten met een passive RFID chip, welke door de
lezer gepowerd worden. Dat soort kaarten beschikt over
weinig tot geen cryptografische mogelijkheden, en daardoor
is het makkelijk de kaart te kraken.
kaarten ook een
goede oplossing bouwen.
staat van de techniek? Als je nou eens wat
achtergrondinformatie opzocht, dan weet je misschien waar je
over praat.
uit ervaring. Het is overigens geen rocket science, gewoon even logisch
nadenken en je niet teveel laten leiden door de techniek.
Even googlen werkt ook ;-)
OV chipkaart is uitermate hackable, het zal niet lang duren
voor er op internet unlimited use kaarten aangeboden worden.
Het gaat om kaarten met een passive RFID chip, welke door de
lezer gepowerd worden. Dat soort kaarten beschikt over
weinig tot geen cryptografische mogelijkheden, en daardoor
is het makkelijk de kaart te kraken.
kaarten ook een
goede oplossing bouwen.
staat van de techniek? Als je nou eens wat
achtergrondinformatie opzocht, dan weet je misschien waar je
over praat.
onwetendheid. Ik spreek
uit ervaring. Het is overigens geen rocket science, gewoon
even logisch
nadenken en je niet teveel laten leiden door de techniek.
Even googlen werkt ook ;-)
een verbazingwekkend gebrek aan argumenten op tafel legt.
Als je het dan ook nog een sgaat gooien op logisch nadenken
en niet teveel laten leiden door techniek, dan weet ik wel
hoe laat het is.
Wel leuk voor alle minima die van hun laatste euro's hun OV
chipkaart opwaarderen en vervolgens de volgende dag moeten
frauderen om op het werk te komen en/of hun kinderen van
school te kunnen halen door een 'vaudtje' in het systeem...
(helaas voor u, dat zijn kinderziektes)
Zal ik dan tendentieus reageren door te stellen dat minima
niet naar hun werk gaan, maar thuis op hun bijstand blijven
wachten? Te makkelijk, toch?
Weten jullie wel dat jullie gegevens op straat liggen, met
invoering van de ov-chipkaart?
Anoniem, nummer III of IV, gelukkig kan dat nog op deze site
Hoeveel anoniemen zijn er hier eigenlijk?
Weten jullie wel dat jullie gegevens op straat liggen, met
invoering van de ov-chipkaart?
Anoniem, nummer III of IV, gelukkig kan dat nog op deze
site
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.