image

OV-chipkaart hacken voor 500 euro *update*

maandag 11 oktober 2010, 10:52 door Redactie, 15 reacties

Later dit jaar verschijnt er een apparaat op de markt waarmee het hacken van de OV-chipkaart en andere producten met RFID stukken eenvoudiger wordt. Tijdens de Infosecurity beurs op 3 en 4 november, geeft onderzoekster Melanie Rieback een lezing over de RFID Guardian. Een idee waar ze de afgelopen 5,5 jaar aan werkte, zo laat ze in een interview met Security.nl weten. De Guardian is volgens Rieback geboren uit pure noodzaak. "De wereld heeft nog geen tools of methodologieën voor het testen van de beveiliging van RFID-systemen", zo laat ze weten. Voor het beveiligen van andere technologieën zijn tal van middelen beschikbaar, maar niet voor RFID, dat een steeds grotere rol in ons leven gaat spelen. RFID-tags worden inmiddels in kleding aangebracht en zijn ook in tal van toegangspassen te vinden, en natuurlijk de OV-chipkaart. "Voor ziekenhuizen zijn er juridische vereisten waar aan voldoen moet worden, maar voor zaken die net zo goed de kritieke infrastructuur uitmaken, zoals publieke transportsystemen en paspoorten, ontbreken niet alleen de best practices, maar ook algemeen geaccepteerde testmethodologieën en gestandaardiseerde tools, die eenvoudig door security professionals te gebruiken zijn."

Met de RFID Guardian wil Rieback security consultants de tools geven om hun werk goed uit te voeren en de veiligheid van RFID-systemen te verbeteren. Voor webapplicaties en software systemen zijn er Metasploit en vulnerability scanners, die het laaghangende fruit eenvoudig weten te vinden. Bij RFID ontbreken die. Daardoor wist Rieback en haar team de OV-chipkaart meerdere keren te hacken en vond ze ook ernstige problemen bij andere systemen. "Je begint je opeens af te vragen hoe studenten met beperkte tijd dit soort systemen zo eenvoudig weten te hacken. Het probleem is dat de sector nog steeds denkt dat alleen supergenieën in dure labs dit soort aanvallen kunnen uitvoeren." Daarnaast hebben bedrijven nog geen aanvallen in het wild gezien, waardoor ze denken dat het alleen een theoretisch probleem betreft. "Aangezien er geld met het aanvallen van RFID is te verdienen en het gebruikt wordt bij landsgrenzen en contactloze betalingen. Waarom denken we dan dat alleen studenten RFID zouden aanvallen?" merkt Rieback op. "Wie weet gebeurt het al." Het verkrijgen van de benodigde hardware en software is niet alleen aan studenten voorbehouden.

Bedrijven houden vol dat ze misbruik in de backend kunnen monitoren. Net als met de man in Leiden, die als eerste OV-chipkaart-hacker gepakt werd. "Detectie en preventie zijn twee verschillende dingen. Tegen de tijd dat je misbruik ontdekt kan het al te laat zijn." Ze geeft als voorbeeld een autofabriek waarin de informatie in de chip bepaalt welke kleur de auto's worden gespoten. Zodra de auto's in de verkeerde kleur gespoten zijn, is het kwaad al geschied. "Het is appels met peren vergelijken. We hebben beide nodig."

Eenvoudiger
Rieback beseft dat ze straks een hackingtool op de markt zet, waarmee het aanvallen van RFID-systemen stukken eenvoudiger wordt. "Dit zal dingen veranderen, omdat de industrie niet langer zaken kan ontkennen, aangezien de technologie nu op de straat ligt. Het dwingt ze om de problemen aan te pakken, wat uiteindelijk de industrie veiliger maakt en foute implementaties voorkomt."

Bedrijven zullen niet blij zijn met de Guardian. "Ik kan me voorstellen dat bedrijven die illegaal gehackt worden hier niet blij mee zullen zijn." Het is volgens Rieback niet anders met software, waarbij zowel opensource als commerciële tools worden ingezet om systemen te kraken. "Wat is het verschil?" Ze houdt er rekening mee dat ze op een gegeven moment wordt aangeklaagd. "We geven ze het medicijn dat niet zo lekker smaakt, maar dat ze wel nodig hebben. Deze systemen moeten in het echt worden gehackt, omdat de industrie erg reactief werkt." Pas als een systeem gekraakt wordt, komt men in actie.

Ze verwacht dat in eerste instantie alleen white hat hackers de Guardian zullen gebruiken om problemen met RFID-systemen aan te tonen. "Om bijvoorbeeld YouTube video's te maken van wat ze is gelukt." De onderzoekster hamert erop dat dit nodig is om de wereld te veranderen. Als academicus kan ze wel onderzoek publiceren, maar dit heeft slechts een beperkt effect. "Er veranderen alleen dingen als de actuele aanval wordt gedemonstreerd en in de media komt." Door een tool uit te brengen zal er mogelijk een nichemarkt komen die zich in het beveiligen van RFID-systemen gaat specialiseren. "Ik hoef zelf niet al het onderzoek en de scans uit te voeren, maar als onze tool helpt in het veiliger maken van de wereld dan is het een succes."

Wat betreft aanvallen verschilt RFID niet zoveel van andere platformen. Replay, relay, cloning, denial of service, fuzzing, differentiële power analyse, fout-injectie en timing-aanvallen zijn allemaal scenario's die op RFID-tags toepasbaar zijn. "Oude trucs die ook binnen dit nieuwe domein werken. Ik wil dat mensen de tools hebben om hun oude trucs tevoorschijn te halen."

Wat betreft de ontwikkeling van de Guardian is dit lastiger dan het aanvallen van een webapplicatie, omdat zowel de hardware als benodigde software ontwikkeld moest worden. "Met RFID-testingtools moesten we echt hardware fabriceren. Dat brengt kosten en risico's met zich mee." Voor de ontwikkeling van de Guardian moest Rieback een bedrijf opzetten. Als het op het testen van RFID, WiFi of TCP aankomt is er niet zoveel verschil vindt Rieback. "Het gaat om de beschikbaarheid van de juiste tools."

De Guardian fungeert daarbij als springplank. Rieback verwacht dat als het apparaat op de markt komt, anderen erop verder zullen bouwen. Het kan dan om hardware modules gaan of software. Beide zijn namelijk opensource. Aan de hand van de bouwtekening zou iemand zelfs zijn eigen Guardian kunnen maken. De voornaamste reden dat veel onderzoekers zich niet op RFID richten is omdat de benodigde hardware ontbreekt. De Guardian moet die hindernis slechten. "Door de een apparaat op de markt te brengen, kunnen onderzoekers aan de slag gaan." Het apparaat moet zo rond de vijfhonderd euro gaan kosten.

Een van de eerste dingen die Rieback op de Guardian aanbracht was een firewall. Daarmee kan in real-time het RFID-verkeer beheerd worden. Ook zou je er mee kunnen instellen dat bepaalde partijen toegang tot bijvoorbeeld je paspoort of OV-chipkaart krijgen.

Prototype
Inmiddels is het vierde prototype van de Guardian in ontwikkeling. Een cyclus die niet zonder slag of stoot ging, want de toeleverancier ging halverwege de crisis failliet, waardoor men naar een nieuwe hardware partner moest migreren. "Dat kostte ons driekwart van een jaar." Een ander vlak waar Rieback zich mee moest bezighouden was de juridische kant. "Het is niet de bedoeling dat je elektronisch verkeer van anderen ontregelt." De 'jamming' feature van de Guardian kan dat bijvoorbeeld wel. "En wat als we bijvoorbeeld het signaal dat van een paspoort terugkomt blokkeren? Het paspoort is eigendom van de Staat." De onderzoekster merkt op dat ze drukker is geweest met het uitzoeken van de technische problemen dan de juridische, maar dat ze hier later als de Guardian uitkomt toch mee aan de slag moet. "Mensen zullen hun reden hebben om achter ons aan te gaan."

Rieback zou graag een consumentenversie maken die mensen eenvoudig met zich mee kunnen dragen. De Guardian voelt nu aan als een iPad. "De eerste versie die we uitbrengen is zo modulair als mogelijk en bevat zoveel mogelijk features." Dit is nodig om hackers en security professionals zoveel mogelijkheid vrijheid te geven in de manier waarop ze het apparaat willen gebruiken. "Als er vraag naar een goedkopere, gestripte en eenvoudigere versie is, dan willen we zeker overwegen om die te maken." Hieronder een video die de evolutie van de Guardian laat zien.

Hier staat het tweede deel van het interview met Melanie Rieback.


Wil je meer informatie over het programma of je gratis aanmelden voor de beurs, ga dan naar Infosecurity.nl.

Update 18/10
Trans Link Systems (TLS) laat in een reactie het volgende weten: "Vanaf de start van het project van de OV-chipkaart in Nederland hebben TLS en de OV-bedrijven beveiligingsmaatregelen getroffen in meerdere lagen van het OV-chipkaartsysteem. Daarnaast is beveiliging en het voorblijven van 'hackers' een continu proces bij TLS. Een 100% beveiliging is niet te garanderen, daarom zijn we continu bezig hackers een stap voor te blijven. In de backoffice zijn diverse fraude detectie mechanismen geïmplementeerd, waardoor manipulatie van een OV-chipkaart kan worden gedetecteerd en een kaart kan worden geblokkeerd. Ook kan TLS hiervan aangifte doen, want het manipuleren van OV-chipkaarten is strafbaar."

Reacties (15)
11-10-2010, 10:59 door spatieman
geil !!
zie wel, OV FAIL kaart
11-10-2010, 11:28 door _Peterr
Is hiermee de SmartMX ook te hacken? Dat wordt de nieuwe chip in de OV kaart.
(http://tweakers.net/nieuws/65524/smartmx-chip-moet-ov-chipkaart-veiliger-maken.html)
11-10-2010, 11:35 door DJ de DJ
Hiermee is helemaal niets te hacken. Volgens mij begrijpt de interviewer het niet helemaal. De RFID guardian is een soort van firewall voor RFID. Het BESCHERMT de houder van de passen door selectief bepaalde lees en schrijfacties toe te laten. De OV-chipkaart wordt hierdoor in het geheel niet eenvoudiger te hacken (was natuurlijk al niet echt moeilijk), die claim wordt nergens in het artikel onderbouwd. Melanie werkt al jaren aan de RFID guardian en het product is nu in versie 4, en is nog steeds uniek. Mooi staaltje werk! Maar heeft NIETS met de security van de OV-chipkaart te maken. Maar ja, als je tegenwoordig niet het woord OV-chipkaart in hje artikel verwerkt leest niemand het he?
11-10-2010, 12:07 door Anoniem
Een OV chipkaart is ook te 'hacken' met wat software, LibNFC & MFCUK, en een TouchTag reader.
Kosten 35 Euries.
11-10-2010, 12:24 door Anoniem
Daardoor wist Rieback en haar team de OV-chipkaart meerdere keren te hacken [/quote]
Dit is nieuw voor mij. Zijn hier referenties van beschikbaar?
11-10-2010, 12:57 door Anoniem
"OV-chipkaart hacken voor 500 euro"

Kan voor minder: "OV-chipkaart hacken voor EUR 29,95", zie http://www.touchatag.com/e-store en http://www.nethemba.com/mfoc-0.09.tar.gz :)

Kan iemand ook toelichten wat de RFID Guardian meer kan dan b.v. een Proxmark3 van ~EUR 285 http://proxmark3.com/item_pm3.html?
11-10-2010, 13:04 door Anoniem
Door Anoniem:
Daardoor wist Rieback en haar team de OV-chipkaart meerdere keren te hacken [/quote]
Dit is nieuw voor mij. Zijn hier referenties van beschikbaar?
[/quote]
Natuurlijk niet, want ze hebben hoogstens andermans werk gereproduceerd (zoals iedereen kan die een readertje en wat software kan installeren) maar eigen publicaties op dit gebied hebben ze niet.
11-10-2010, 14:09 door Anoniem
Zoiets is alleen in een land mogelijk waar men het verschil niet ziet tussen een hacker en een onderzoeker, tussen de bovenwereld en de onderwereld.
Het apparaat dat wordt aangeboden propageert iets strafbaars en men verkoopt dat als 'onderzoek' en iedereen
kijkt bewonderend toe en zwijgt.
Het is om te huilen!
11-10-2010, 15:14 door Anoniem
Voor als je OV kaarten leuk vindt:
http://www.ov-chipkaart.org/
12-10-2010, 10:56 door Anoniem
Het kan veel goedkoper en eenvoudiger, ik heb een website gemaakt waarop je stap-voor-stap kunt lezen hoe je je kaart kunt kraken met minder dan 30 euro aan hardware, http://www.ov-chipkaart.org.
12-10-2010, 11:27 door Preddie
Door Anoniem: "OV-chipkaart hacken voor 500 euro"

Kan voor minder: "OV-chipkaart hacken voor EUR 29,95", zie http://www.touchatag.com/e-store en http://www.nethemba.com/mfoc-0.09.tar.gz :)

Kan iemand ook toelichten wat de RFID Guardian meer kan dan b.v. een Proxmark3 van ~EUR 285 http://proxmark3.com/item_pm3.html?

Voor 100 euro heb ik een reader/writer en een stapel kaarten....... Goed voor de OV-chipkaart, maar goed ik reis sinds de invoering van van die Shitkaart niet meer. Dus nu worden ze gebruikt voor het openen van vuilcontainers en het betalen van partkeergeld :P
12-10-2010, 12:15 door Anoniem
Door Predjuh:
Door Anoniem: "OV-chipkaart hacken voor 500 euro"

Kan voor minder: "OV-chipkaart hacken voor EUR 29,95", zie http://www.touchatag.com/e-store en http://www.nethemba.com/mfoc-0.09.tar.gz :)

Kan iemand ook toelichten wat de RFID Guardian meer kan dan b.v. een Proxmark3 van ~EUR 285 http://proxmark3.com/item_pm3.html?

Voor 100 euro heb ik een reader/writer en een stapel kaarten....... Goed voor de OV-chipkaart, maar goed ik reis sinds de invoering van van die Shitkaart niet meer. Dus nu worden ze gebruikt voor het openen van vuilcontainers en het betalen van partkeergeld :P

Wat heb je voor 100 euro aangeschaft ? Hoe heet de reader/writer wat je hebt ?
13-10-2010, 11:52 door DJ de DJ
en waar is deel twee van het interview dat eergisteren zou worden gepubliceerd?
14-10-2010, 10:45 door Anoniem
Waar blijft deel 2? :)
14-10-2010, 14:26 door Redactie
Door DJ de DJ: en waar is deel twee van het interview dat eergisteren zou worden gepubliceerd?
Het staat online http://www.security.nl/artikel/34765
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.