Ultieme OV-chiphack door iedereen te downloaden
Op torrentsite The Piratebay is de ultieme OV-chiphack verschenen, waarmee iedereen zelf thuis kan inchecken, zonder dat dit te detecteren is. De tool is ontwikkeld door 'Kipje', die het programma ook op zijn weblog aanbood, maar inmiddels is het blog uit de lucht gehaald. "OVStation is een programma waarmee in een dumpfile van een OV-Chipkaart een transactie kan worden gemaakt. Zo kan je een check-in, check-out, transfer en een credit transactie schrijven naar de dump van je OV-Chipkaart", aldus Kipje in de beschrijving. "Na enkele dagen C leren en programmeren is versie 1.0 van OVStation nu toch echt klaar."
Naar eigen zeggen is hij het project gestart om van de fouten van TLS te kunnen leren. "Ik wil graag mijn opgedane kennis op deze manier met jullie delen in de hoop dat jullie hier lessen uit trekken waardoor later meer competente mensen projecten als de OV-Chipkaart kunnen uitvoeren.
Zwartrijden
De broncode zal Kipje ook publiceren, hoewel die niet zoveel voorstelt. "Ik ben pas begonnen met programmeren en de broncode is een vreselijke bende. Verder is het natuurlijk erg slecht van Trans Link Systems dat iemand met geen programmeerervaring binnen 1,5 week een degelijke applicatie kan neerzetten."
Kipje benadrukt dat het niet de bedoeling is om met zijn applicatie zwart te rijden of op andere manieren de betalingsverplichting te omzeilen. "Dat is illegaal, fraude en daarvoor draai je de bak in. Doe het dan ook niet." Eerder liet IT-journalist Brenno de Winter nog weten dat hij zijn versie van OVstation niet openbaar zou maken.
Reacties (21)
Het programma wat nu op internet wordt aangeboden is toch helemaal niet bruikbaar omdat er niet mee naar de kaart geschreven kan worden. Kipje schreef in het hier geciteerde stukje van het artikel ook
"Je ziet dat de knop voor het schrijven naar de kaart uit staat. Ik ga er vanuit dat op het moment dat ik het
mogelijk maak met deze tool te schrijven naar een OV-Chipkaart toe sta ik de integriteit van de OV-Chipkaart
aantast. Dit wil ik niet. Echter staat in de broncode wel een demonstratie van hoe makkelijk het is om dit wel te
doen."
De broncode waar in zou staan hoe die schrijffunctie te activeren is werd niet gepubliceerd.
"Je ziet dat de knop voor het schrijven naar de kaart uit staat. Ik ga er vanuit dat op het moment dat ik het
mogelijk maak met deze tool te schrijven naar een OV-Chipkaart toe sta ik de integriteit van de OV-Chipkaart
aantast. Dit wil ik niet. Echter staat in de broncode wel een demonstratie van hoe makkelijk het is om dit wel te
doen."
De broncode waar in zou staan hoe die schrijffunctie te activeren is werd niet gepubliceerd.
Komt er ook een versie die werkt op mobiele (Android) telefoon met RFID-reader?
Handig om ter plaatse in te checken (m.b.v. GPS gegevens van telefoon)
:-)
Handig om ter plaatse in te checken (m.b.v. GPS gegevens van telefoon)
:-)
Kijk da's nou een voorbeeld van een Kip *met* kop...die de andere kippen *zonder* kop het nakijken geeft ;)
Goeie actie kipje...
Goeie actie kipje...
Tja,dit is geen verrassing, je kon er op wachten.
Nou ben ik wel benieuwd naar de reactie van de belanghebbenden.
Gaan ze de conducteurs uitrusten met een patch zodat ook gescanned wordt op o.a. de checksum van het saldo deel van OV kaart of gaat men nu heel hard op zoek naar alternatieven zoals het niet meer leveren van een annonieme kaart?
Nou ben ik wel benieuwd naar de reactie van de belanghebbenden.
Gaan ze de conducteurs uitrusten met een patch zodat ook gescanned wordt op o.a. de checksum van het saldo deel van OV kaart of gaat men nu heel hard op zoek naar alternatieven zoals het niet meer leveren van een annonieme kaart?
Het Wordpress blog van kipje is gelijk weg.
:-(
Heeft iemand een mirror of cache?
:-(
Heeft iemand een mirror of cache?
Door Anoniem: Het Wordpress blog van kipje is gelijk weg.
:-(
Heeft iemand een mirror of cache?
Ja heeft iemand, maak je geen zorgen.:-(
Heeft iemand een mirror of cache?
15-02-2011, 15:36 door
SirDice
Door Anoniem: Het Wordpress blog van kipje is gelijk weg.
http://webwereld.nl/nieuws/105725/ns-en-tls-jagen-op-ov-chiphacksoftware.htmlUit de lucht gehaald door de NS en TLS. Men heeft de mensen achter wordpress blog wijs gemaakt dat het zou gaan om "warez" en dat is in strijd met de gebruikersvoorwaarden.
Nu ben ik alleen van mening dat dit geen "warez" is. Ik zou zeggen post de broncode, dat valt tenslotte onder vrijheids van meningsuiting en kan m.i. dan niet via een DMCA verzoek zomaar offline worden gehaald.
Je ziet dat de knop voor het schrijven naar de kaart uit staat.
Is dat met een resource editor niet zo aan te passen?
15-02-2011, 18:25 door
Syzygy
Door Anoniem:
Is dat met een resource editor niet zo aan te passen?
Je ziet dat de knop voor het schrijven naar de kaart uit staat.
Is dat met een resource editor niet zo aan te passen?
Nou ik denk het niet maar met een decompiler wellicht wel.
Ik zou even de exe moeten hebben
Kijken of het nog gaat na al die jaren ;-)
Maar de broncode komt eraan las ik.
NS en TLS houden roepen krampachtig dat het hacken van je kaart strafbaar is... Ik vraag me af of dat werkelijk zo is. Ik heb altijd geleerd dat je met hardware (= kaart) die je koopt mag doen wat je wilt.
Dat je iets fout doet als je met een aangepaste kaart probeert te reizen lijkt me wel duidelijk.
Dat je iets fout doet als je met een aangepaste kaart probeert te reizen lijkt me wel duidelijk.
Wat wel handig is (waarschijnlijk ook illegaal) als je straks met je telefoon (NFC) kan in en uit checken. Niet op de illegale manier maar gewoon in plaats van de huidige kaart. Als ze het nog is legaal maken dan lopen ze in plaats van 15 jaar achter ineens een jaar voor. Dat zou nog is goed nieuws zijn.
(moeten ze natuurlijk niet met de smoes komen dat het een beveiligingsrisico is :-P)
(moeten ze natuurlijk niet met de smoes komen dat het een beveiligingsrisico is :-P)
http://www.combitor.com/home/search/all/OVStation/0/0
http://www.btmon.com/Other/Other/OVStation_software_for_manual_check-in_OV-chipkaart.torrent.html
http://alivetorrents.com/torrent/9385406/ovstation-software-for-manual-check-in-ov-chipkaart
http://bitsnoop.com/ovstation-software-for-manual-check-q22503251.html
Genoeg zipjes om ze te downloaden! Succes met neerhalen ;)
http://www.btmon.com/Other/Other/OVStation_software_for_manual_check-in_OV-chipkaart.torrent.html
http://alivetorrents.com/torrent/9385406/ovstation-software-for-manual-check-in-ov-chipkaart
http://bitsnoop.com/ovstation-software-for-manual-check-q22503251.html
Genoeg zipjes om ze te downloaden! Succes met neerhalen ;)
16-02-2011, 07:48 door
[Account Verwijderd]
[Verwijderd]
16-02-2011, 08:07 door
Syzygy
Door rookie:
Kipje benadrukt dat het niet de bedoeling is om met zijn applicatie zwart te rijden of op andere manieren de betalingsverplichting te omzeilen. "Dat is illegaal, fraude en daarvoor draai je de bak in. Doe het dan ook niet." Eerder liet IT-journalist Brenno de Winter nog weten dat hij zijn versie van OVstation niet openbaar zou maken.
De moraalridders van de week.
Kipje benadrukt dat het niet de bedoeling is om met zijn applicatie zwart te rijden of op andere manieren de betalingsverplichting te omzeilen. "Dat is illegaal, fraude en daarvoor draai je de bak in. Doe het dan ook niet." Eerder liet IT-journalist Brenno de Winter nog weten dat hij zijn versie van OVstation niet openbaar zou maken.
De moraalridders van de week.
Nee het gaat er om dat als er gezeur van komt dat je je intenties hiermee kan afdekken.
Als er morgen kamervragen over dit onderwerp komen (niet de OV kaart maar het publiceren van deze software) dan moeten er weer koppen rollen en dan wordt hij als katvanger aan de publiek schandpaal genageld om te laten zien hoe goed ons justitie apparaat werkt
Ik vind het wel een doordachte actie.
Iedereen weet dat het hem geen fluit interesseert wat je er mee doet natuurlijk.
Door SirDice: Nu ben ik alleen van mening dat dit geen "warez" is. Ik zou zeggen post de broncode, dat valt tenslotte onder vrijheids van meningsuiting en kan m.i. dan niet via een DMCA verzoek zomaar offline worden gehaald.
Je weet niet half waarvoor ze die DMCA verzoeken allemaal voor gebruiken. Ik heb zelf nog een wel eens een DMCA verzoek voor het opruimen van bepaalde broncode afgewezen, maar ik weet dat andere partijen gewoon gehoor hebben gegeven aan dat verzoek.
Peter
16-02-2011, 11:36 door
Preddie
Door Syzygy:
Nee het gaat er om dat als er gezeur van komt dat je je intenties hiermee kan afdekken.
Als er morgen kamervragen over dit onderwerp komen (niet de OV kaart maar het publiceren van deze software) dan moeten er weer koppen rollen en dan wordt hij als katvanger aan de publiek schandpaal genageld om te laten zien hoe goed ons justitie apparaat werkt
Ik vind het wel een doordachte actie.
Iedereen weet dat het hem geen fluit interesseert wat je er mee doet natuurlijk.
Door rookie:
Kipje benadrukt dat het niet de bedoeling is om met zijn applicatie zwart te rijden of op andere manieren de betalingsverplichting te omzeilen. "Dat is illegaal, fraude en daarvoor draai je de bak in. Doe het dan ook niet." Eerder liet IT-journalist Brenno de Winter nog weten dat hij zijn versie van OVstation niet openbaar zou maken.
De moraalridders van de week.
Kipje benadrukt dat het niet de bedoeling is om met zijn applicatie zwart te rijden of op andere manieren de betalingsverplichting te omzeilen. "Dat is illegaal, fraude en daarvoor draai je de bak in. Doe het dan ook niet." Eerder liet IT-journalist Brenno de Winter nog weten dat hij zijn versie van OVstation niet openbaar zou maken.
De moraalridders van de week.
Nee het gaat er om dat als er gezeur van komt dat je je intenties hiermee kan afdekken.
Als er morgen kamervragen over dit onderwerp komen (niet de OV kaart maar het publiceren van deze software) dan moeten er weer koppen rollen en dan wordt hij als katvanger aan de publiek schandpaal genageld om te laten zien hoe goed ons justitie apparaat werkt
Ik vind het wel een doordachte actie.
Iedereen weet dat het hem geen fluit interesseert wat je er mee doet natuurlijk.
Natuurlijk interesseert dat hebt niet, en terecht lijkt mij. Hij moet het ook niet vragen aan de mensen die het downloaden want dan zou hij op de hoogte zijn van de bedoeling en daarbij mede strafbaar kunnen worden.
Gewoon online zetten, met een note dat het voor educatieve doeleinden is, en klaar.
Messen zijn ook niet verboden om te verkopen, echter wanneer jij een winkel in loopt en aan de medewerker vraagt waar je de messen kan vinden omdat je iemand neer wil steken kan de verkoper mede aansprakelijk worden gesteld. Het moet je dus ook niks interesseren wat iemand met jou product gaat doen, al hoewel je er natuurlijk altijd een mening op na kunt houden.
Door Anoniem: NS en TLS houden roepen krampachtig dat het hacken van je kaart strafbaar is... Ik vraag me af of dat werkelijk zo is. Ik heb altijd geleerd dat je met hardware (= kaart) die je koopt mag doen wat je wilt.
Dat je iets fout doet als je met een aangepaste kaart probeert te reizen lijkt me wel duidelijk.
Je 'koopt' ook een paspoort of rijbewijs, maar dat blijft eigendom van de overheid, jij krijgt het slechts in bruikleen. 'Jouw' pinpas is eigendom van de bank. Contant geld is dacht ik ook eigendom van De Nederlandse Bank. Het zou dus helemaal niet vreemd zijn als een OV-chipcard niet jouw eigendom wordt.Dat je iets fout doet als je met een aangepaste kaart probeert te reizen lijkt me wel duidelijk.
16-02-2011, 11:52 door
SirDice
Door Anoniem:
Je weet niet half waarvoor ze die DMCA verzoeken allemaal voor gebruiken. Ik heb zelf nog een wel eens een DMCA verzoek voor het opruimen van bepaalde broncode afgewezen, maar ik weet dat andere partijen gewoon gehoor hebben gegeven aan dat verzoek.
Een DMCA verzoek kun je sowieso in de prullenbak mikken. De DMCA is een Amerikaanse wet, aangezien we hier Nederlandse servers hebben, Nederlandse gebruikers en is het gericht op Nederland gaat die Amerikaanse wet natuurlijk totaal niet op.Door SirDice: Nu ben ik alleen van mening dat dit geen "warez" is. Ik zou zeggen post de broncode, dat valt tenslotte onder vrijheids van meningsuiting en kan m.i. dan niet via een DMCA verzoek zomaar offline worden gehaald.
Je weet niet half waarvoor ze die DMCA verzoeken allemaal voor gebruiken. Ik heb zelf nog een wel eens een DMCA verzoek voor het opruimen van bepaalde broncode afgewezen, maar ik weet dat andere partijen gewoon gehoor hebben gegeven aan dat verzoek.
16-02-2011, 23:20 door
[Account Verwijderd]
[Verwijderd]
17-02-2011, 20:21 door
[Account Verwijderd]
[Verwijderd]
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Security consultant
Weet jij alles van security, governance, risk en compliancy en weet je dit te vertalen naar gerichte oplossingen voor onze klanten? Begrijp jij als geen ander zowel de inhoudelijke kant, als de ‘organizational change’ kant van cybersecurity? Dan ben jij wellicht onze nieuwe security consultant!
