image

OV-chipkaart voor 30 euro te hacken

vrijdag 5 november 2010, 07:30 door Redactie, 31 reacties

Iedereen die over Linux beschikt en 30 euro voor een RFID-lezer betaalt kan de OV-chipkaart kraken, zo is vandaag in de PC Active te lezen. De beveiliging van de kaart lag al geruime tijd op straat, maar het ontbrak nog aan tools waarmee iedereen kaarten kan klonen. Met de komst van Ubuntu 10.10 en een handleiding op de website ov-chipkaart.org is frauderen met de kaart kinderspel. Voor het kraken van de OV-chipkaart moet men veertig sectoren kraken. Iets wat veel lijkt, maar door de slechte cryptografische implementatie redelijk snel te doen is.

"Dat maakt het mogelijk om met de juiste software de kaart uit te lezen, aan te passen of er zelfs een kopie van te maken. Het doen van aanpassingen is fraude en dus strafbaar", zo schrijft PC Active. Het computerblad beschrijft dan ook alleen een manier om de kaart uit te lezen. Toch kunnen mensen die iets verder willen gaan een anonieme kaart kopen, het saldo op de kaart aanpassen en zo een hele dag door Nederland rondreizen. De verwerking van de transacties vindt namelijk pas 's nachts plaats, waarbij de kaart dan geblokkeerd wordt. Het kwaad is dan al geschied, aangezien iemand dan voor 7,50 euro bijvoorbeeld een hele dag eerste klas heeft kunnen rondreizen.

Maatschappelijk probleem
Met de publicatie wil het blad een maatschappelijk probleem aan de kaak stellen, namelijk dat "ons een systeem met allerhande zwakheden wordt opgedrongen." Burgers kunnen daardoor dupe van fraude worden, of onterecht door politie worden verdacht. In tegenstelling tot wat de overheid beweert, is de kaart die miljarden euro's kostte niet langer alleen in een laboratoriumomgeving gekraakt en is er ook geen speciale kennis meer vereist.

Naast Ubuntu 10.10 en een RFID-lezer moet men ook de Crapto1 library, Libnfc driver voor de kaartlezer en de Miface Classic Offline Cracker installeren. Gebruikers kunnen vervolgens eindeloos experimenteren, aangezien de kaart niet zoals met een pinpas na drie foute pogingen wordt geblokkeerd. Vooralsnog is het OV-chipkaart hacken alleen aan Linux-gebruikers voorbehouden, maar het computerblad denkt dat het slechts een kwestie van tijd is voordat er een Windows versie verschijnt.

Update 16:00
Bart Jacobs van de Radboud Universiteit Nijmegen laat tegenover de Volkskrant weten dat de door PC Active beschreven hack niet nieuw is. De onderzoeksgroep van Jacobs kraakte de OV-chipkaart in 2008, maar besloot geen software te publiceren waarmee anderen dat ook konden doen. Translink zou Jacobs hebben laten weten dat er enkele tientallen gehackte kaarten ontdekt zijn, een aantal dat door de berichtgeving zou kunnen stijgen.

In een officiële reactie laat het bedrijf weten dat fraude pas twee keer is voorgekomen en dat het niet bang is voor een toename door de vereenvoudigde hack. "We ontdekken dat 's avonds in onze systemen."

Reacties (31)
05-11-2010, 09:14 door Mysterio
Een vriend van mij zat in het team van 'hackers' die de kaart vrij vroeg in het begin al konden kraken. Het was een leuk project en de resultaten hebben ze netjes afgegeven aan de meneren en mevrouwen die deze prachtige technologie uitbrengen. Helaas zonder enig resultaat, op wat nieuwsberichten na dan.

Ik vraag me toch af waarom er zo stug wordt vastgehouden aan een product wat zo veel storingen heeft en zo fraudegevoelig is. De kaart moest er komen, of het nou wel of niet werkt. Die mentaliteit is verschrikkelijk amateuristisch en dictatoriaal.

Ik ben voorstander van het idee, dat helemaal, maar niet op deze manier.
05-11-2010, 09:37 door Prlzwitsnovski
Tja, nu is weer mooi te zien dat je geen groot project op een universiteit hoeft te doen om de ov-shitkaart te kraken. Met 30 euro en een beetje verstand van zaken, en die website er bij gaat het prima.
05-11-2010, 09:56 door Anoniem
Die website is al down gehaald?
05-11-2010, 09:57 door Mysterio
Daar ging wel een flink onderzoek aan vooraf natuurlijk.
05-11-2010, 10:06 door Anoniem
Als ze nu er gewoon een code inzetten met 3x een poging tot inbreken en dan word de kaart geblokkeerd, zoals de pinpas was het een ander verhaal maar waarom dat nooit is gedaan?

Maar ja dit verhaal is nu natuurlijk al achterhaald, ben benieuwd wat ze gaan doen in Nederland hiermee want dit kan niet langer zo.

Buschauffeur uit Haarlem, Peter Bremer
05-11-2010, 10:15 door Anoniem
je hoeft er niet eens een ov-kaart voor te kopen twv €7.50. Een iPod/iPhone kun je laten bedienen als kaart. Dus code op het scherm en door de kaart lezers laten lezen op het station en Huppekeeeeeee!!!!! Lekker gratis de hele dag rond reizen. De volgende dag weer nieuw Barcode genereren op je iPhone en weer een nieuw dag !!!!! Neem voldoende boeken mee voor onderweg zou ik zeggen !!
05-11-2010, 11:15 door Anoniem
Door Anoniem: je hoeft er niet eens een ov-kaart voor te kopen twv €7.50. Een iPod/iPhone kun je laten bedienen als kaart. Dus code op het scherm en door de kaart lezers laten lezen op het station en Huppekeeeeeee!!!!! Lekker gratis de hele dag rond reizen. De volgende dag weer nieuw Barcode genereren op je iPhone en weer een nieuw dag !!!!! Neem voldoende boeken mee voor onderweg zou ik zeggen !!

In almere heb ik regelmatig controle waarbij ze de kaart voor een lezer houden. Een kloon/iphone gebruiken is dus geen optie.
Ik heb trouwens wel een lezer besteld. Die ik vroeger kon vinden waren altijd 100E+ en dat vond ik het niet waard om beetje te experimenteren met bedrijfspasjes/ov chipkaart maar 59 euro inc vat en verzenden vind ik de moeite wel waard.
05-11-2010, 11:18 door Prlzwitsnovski
Door Anoniem: je hoeft er niet eens een ov-kaart voor te kopen twv €7.50. Een iPod/iPhone kun je laten bedienen als kaart. Dus code op het scherm en door de kaart lezers laten lezen op het station en Huppekeeeeeee!!!!! Lekker gratis de hele dag rond reizen. De volgende dag weer nieuw Barcode genereren op je iPhone en weer een nieuw dag !!!!! Neem voldoende boeken mee voor onderweg zou ik zeggen !!

Nee, eigenlijk niet.
OV-Chipkaarten werken niet op barcodes maar op RFID chips, en voor zover ik weet kan het schermpje van mijn iPod geen RFID-signalen versturen.

Helaas, better luck next time.
05-11-2010, 11:57 door Night
Dit is de ultieme vorm van stimuleren van openbaar vervoer.
Eindelijk gaat het nieuwe werken er komen gratis wifi in de trein met een gratis geladen OV-chippie
Minder files en het milieu vaart er wel bij. Zou je de koffie nog wel moeten betalen? Die is op kantoor tenslotte ook gratis.
05-11-2010, 12:00 door Anoniem
"Ik vraag me toch af waarom er zo stug wordt vastgehouden aan een product wat zo veel storingen heeft en zo fraudegevoelig is. De kaart moest er komen, of het nou wel of niet werkt. Die mentaliteit is verschrikkelijk amateuristisch en dictatoriaal. "

De reden voor invoering was geen fraudebestrijding, en de oude kaartjes zijn evenmin fraudebestendig. Het feit dat fraude mogelijk is, is een risico wat men simpelweg accepteert, terwijl het nieuwe systeem voordelen met zich meebrengt, zowel voor de bedrijven (marketing) als ook voor de overheid (inlichtingen / opsporing).

Het idee dat een produkt 100% veilig dient te zijn is een idee wat eerder speelt bij beveiligers en bij (sommige) andere burgers dan bij de top binnen zo'n bedrijf.

Indien het risico laag is, en de schade niet al te groot, dan is de mogelijkheid tot fraude aanvaardbaar. Mogelijk is het maken van een systeem wat fraude uitsluit (als dat al mogelijk zou zijn) duurder dan het aanvaarden van het huidige risico.

Mocht dat het geval zijn, welke zakelijk belang is er dan nog om te proberen fraude volledig uit te sluiten ?
05-11-2010, 13:11 door Anoniem
Door Prlzwitsnovski: Tja, nu is weer mooi te zien dat je geen groot project op een universiteit hoeft te doen om de ov-shitkaart te kraken. Met 30 euro en een beetje verstand van zaken, en die website er bij gaat het prima.

Oorzaak en gevolg.
1) Eerst onderzoek op universiteit, publicatie theoretische en praktische problemen gevolgd door een proof of concept code.
2) Hobbyisten/hackers maken eenvoudigere implementatie voor de leek op basis van academische vindingen.
3) Leek zonder veel achtergrond kennis kan met 30 euro + 'beetje verstand van zaken' hetzelfde doen als ze op de universiteit voor elkaar kregen.
05-11-2010, 13:36 door Anoniem
Het mag dan wel goedkoop zijn maar het weegt niet op tegen de risico's. Als ze je pakken krijg je een aanklacht voor het vervalsen van waardekaarten waarbij de maximale straf een celstraf van zes jaar of een geldboete van 76000 euro is en je krijgt een strafblad. Als je dagelijks reist hebben ze je zo te pakken, als je slechts incidenteel reist is het niet de moeite waard.
05-11-2010, 13:37 door Anoniem
kan blijkbaar nog goedkoper.

http://rfid-cooking-class.webs.com/
05-11-2010, 14:07 door Mysterio
Fraudebestrijding was dan misschien niet een motivatie, maar het zou toch wel meegenomen zijn in de overwegingen. Het oude systeem had zeker nadelen en anders dan je misschien verwacht pleit ik niet voor het terug daaien naar de 'goede oude tijd' Ik was er allang klaar mee dat dat systeem niet meer optimaal was. De fraude van vroeger was ook vrij eenvoudig. Als je een bepaalde serie strippenkaarten had kon je met Labello de kaar vettig maken zodat het stempel er weer af te vegen was. Dat was pas fraude! ;-)

En er zijn producten van de OV chipkaart die prima werken. De wegwerp kaart van een weekend is perfect voor een weekendje Amsterdam. Veel makkelijker dan een berg papiertjes moeten kopen. Dus ik zie wel brood in het idee, maar de techniek, het proces en het bedrijf erachter zuigt. Er is niet gekeken naar veiligere en minder storingsgevoeligere alternatieven. In Hongkong hebben ze een soortgelijk systeem al vanaf 1997! En als er ergens hackers wonen dan is dat wel China. In Londen doen ze het al vanaf 2003. Tijd genoeg om die producten goed onder de loep te nemen en er van te leren. De techniek en de toepassingen zijn niet nieuw.

Maar in Nederland moest het weer eens anders. Verschillende vervoersbedrijven, verschillende gemeentes met verschillende belangen. Ineens werd het reizen duurder omdat bedrijven de extra kosten mogen doorrekenen naar de klant, ineens moest je 7,50 extra gaan betalen voor een reis in Rotterdam omdat je strippenkaart niet werd geaccepteerd. En alle waarschuwingen ten spijt heeft men niets gedaan aan de beveiligingslekken.

100% veilig haal je niet, maar 30 euro vind ik wel heel erg goedkoop. Dan hebben we het nog niet over de mogelijkheid om kaarten in te lezen en te kopiëren zodat je de gegevens en gelden van een ander kunt gaan gebruiken. Wanneer komt dat op de markt? Je hoeft alleen maar naast iemand te zitten om alles uit te lezen.
05-11-2010, 14:17 door root
Door Anoniem: Die website is al down gehaald?

Ja, dat zou de volgende domme actie zijn :)
05-11-2010, 18:12 door Anoniem
misschien een ideetje dat een deskundige hier op de hackertube een instructiefilmpje zet? :-)
05-11-2010, 19:42 door Bill Torvalds
Door Anoniem: Het mag dan wel goedkoop zijn maar het weegt niet op tegen de risico's. Als ze je pakken krijg je een aanklacht voor het vervalsen van waardekaarten waarbij de maximale straf een celstraf van zes jaar of een geldboete van 76000 euro is en je krijgt een strafblad. Als je dagelijks reist hebben ze je zo te pakken, als je slechts incidenteel reist is het niet de moeite waard.


Er zijn zeker 10 mogelijkheden om misbruik van de ov-chipkaart te maken.
En 9 daarvan zijn in het voordeel van de overheid/vervoersbedrijven, maar owee als de consument dat doet dan volgen dikke boetes en een strafblad en de overheid komt er zoals gewoonlijk weer zonder krassen vanaf met extra inkomsten.
06-11-2010, 13:45 door rob
Om het nog makkelijker te maken kan iemand ook wat debian packages maken om het spul nog makkelijker te installeren (zonder te compileren).

Iemand zou ook een Ubuntu MFOC Live CD kunnen maken. En met wat high level scripts het gehele proces helemaal automatiseren. Zodat iemand met nul kennis van Linux ook kan.
06-11-2010, 16:07 door Anoniem
Door Prlzwitsnovski: Tja, nu is weer mooi te zien dat je geen groot project op een universiteit hoeft te doen om de ov-shitkaart te kraken. Met 30 euro en een beetje verstand van zaken, en die website er bij gaat het prima.


Het is juist dóór het werk van de universiteit dat het nu zo gemakkelijk kan, de Radboud Uni heeft de zwakheden blootgelegd en onderzocht. Om vervolgens software voor te schrijven is dan een eitje...
06-11-2010, 22:50 door Anoniem
In een officiële reactie laat het bedrijf weten dat fraude pas twee keer is voorgekomen en dat het niet bang is voor een toename door de vereenvoudigde hack. "We ontdekken dat 's avonds in onze systemen."


hahahahahahaha piieeuuuwww effe bij komen
zolang het niet veel is gebeurt is het wat ons aan gaat :
NIET GEBEURT , JA ? DUIDELIJK JA ? !!!!!
hahahahahaha
lijkt wel een bank, neeeee hoor helemaal veilig, zolang wij niet toegeven dat er wordt ge skimd en ingebroken
dan is dat ook niet zo, ongeacht wat u zegt :-P

Schande dat dit maar door kan woekeren
alleen al het geld wat er al jaren in is gestoken
ronduit schofterig
06-11-2010, 23:03 door Anoniem
Door Anoniem: Het mag dan wel goedkoop zijn maar het weegt niet op tegen de risico's. Als ze je pakken krijg je een aanklacht voor het vervalsen van waardekaarten waarbij de maximale straf een celstraf van zes jaar of een geldboete van 76000 euro is en je krijgt een strafblad. Als je dagelijks reist hebben ze je zo te pakken, als je slechts incidenteel reist is het niet de moeite waard.


pffffff en u kent mensen die dergelijke straffen hebben opgelopen ?
man hou op, voor moord krijg je dit nog niet daadwerkelijk
de gemiddelde inbreker straatrover staat met een dagje weer buiten
kijk als je nou een minister iets lelijks toewenst, ala dan krijg je de volle laag
maar hier voor ?

waar het om gaat is dat er tonnen aan belasting geld in dit vervloekte project zijn gestoken ( lees weggegooid ) terwijl niemand het wil,
behalve de vervoers bedrijven die allang hebben doorgerekend wat het opleverd ( terwijl de belasting betaler het hele proces betaald )
1) minder personeel
2) geen kaartjes meer en de klant betaald zijn eigen plastic
3) roven van geld doormiddel van te veel berekenen
4) dik geld in kas van al die opgewaardeerde kaarten ( ja vergeet dat niet mee te tellen, lekker werk kapitaaltje )
5) per kilometer afrekenen ook al rijd je bus om
en ga zo maar door

en de overheid lijkt het ook wel wat
ja lekker weten waar iedereen geweest is .

net als het kilometer heffen verhaal
ook daar is er maar 1 die belang heeft .
08-11-2010, 14:16 door Anoniem
Sinds die ov-chipkaart is ingevoerd reis ik niet meer met mijn kortingskaart, dit om mijn privacy te beschermen. NS/Overheid pikt in mijn ogen de 40% korting waar ik recht op heb in. Als ik nou die 40% weer terugpik door mijn saldo dienovereenkomstig aan te passen, dan wil ik nog wel eens zien hoe een rechter hierop reageert.
26-11-2010, 14:01 door Anoniem
Door Anoniem: Die website is al down gehaald?

Nee hij is up gebracht.
11-12-2010, 23:27 door Anoniem
De overheid is iedereen zijn privacy aan het inpikken.
Heeft volledig controle over uw en mijn leven.

Een paar knopjes indrukken en men weet waar je bent en wat je doet.
Nog een paar knopjes indrukken en je kan helemaal niets meer, je bestaat niet, hebt geen geld meer en komt vrijwel nergens meer.

Zeer angstige ontwikkelingen naar mijn mening !!!

Zo...als je zelf eens misbruik kan maken van deze misbruikpraktijken heb je echt mijn zege !

Ikzelf wordt zo langzaam kotsmisselijk van al dat schijnheilige gedoe van overheden en bedrijven alsof het voor ons eigen bestwil is. Onder het moto het is makkelijk en veilig. Ja, makkelijk om legaal uw bankrekening te plunderen en het u verdomd moeilijk te maken als u klachten heeft.

Ik ben blij dat er hackers zijn die mensen de waarheid laten zien in de hoop dat de mensen eens wakker worden.
28-12-2010, 14:32 door Anoniem
laten ze eerst maar eens leren op tijd te gaan rijden bussen en treinen,die kaarten worden toch wel gekraakt en met simpele software en card readers.
25-01-2011, 17:06 door Anoniem
Ik vind het goed dat ze het onder de aandacht brengen en erg dom dat ze er niks op doen.

Als ze geen anonieme chipkaarten meer ondersteunen, deze gratis aanbieden. Zodra ze er achter komen dat zo'n ding gehackt is er een boete van 1000 euro met 1 maand celstraf.

Dat doet niemand het meer. Een bank kan je ook nogsteeds overvallen. Maar dat doet ook (bijna) niemand meer.

Laten we accepteren dat er nooit een waterdicht systeem zal bestaan.

Bij de buskaart kon je een een plakbandje eroverheen plakken en je stempel er weer af geven.
25-01-2011, 19:23 door Anoniem
waar kan ik de kaartlezer bestellen
26-01-2011, 13:34 door Anoniem
mooi
26-01-2011, 13:41 door Anoniem
hier de software
http://uploaded.to/file/1ucn64

Happy loading !!
28-01-2011, 13:48 door Anoniem
hier de site voor kaartlezer www.bestelnu.tk
01-02-2011, 23:14 door Anoniem
ik vind het een stom systeem en het is toch wel te hacken
ik ben een meisje van 17 ik fiks het zo omdat ik 24/7 achter de pc zit
zo moeilijk is het niet en die €1000 boete voor fraude haal ik er makkelijk uit met wat ik allemaal afrijs naar school. maarja geen 18 is geen ov studentenkaart stelletje nazi's! nou dan maar zo...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.