Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Nieuws
image

Ultieme OV-chiphack door iedereen te downloaden

dinsdag 15 februari 2011, 08:58 door Redactie, 21 reacties

Op torrentsite The Piratebay is de ultieme OV-chiphack verschenen, waarmee iedereen zelf thuis kan inchecken, zonder dat dit te detecteren is. De tool is ontwikkeld door 'Kipje', die het programma ook op zijn weblog aanbood, maar inmiddels is het blog uit de lucht gehaald. "OVStation is een programma waarmee in een dumpfile van een OV-Chipkaart een transactie kan worden gemaakt. Zo kan je een check-in, check-out, transfer en een credit transactie schrijven naar de dump van je OV-Chipkaart", aldus Kipje in de beschrijving. "Na enkele dagen C leren en programmeren is versie 1.0 van OVStation nu toch echt klaar."

Naar eigen zeggen is hij het project gestart om van de fouten van TLS te kunnen leren. "Ik wil graag mijn opgedane kennis op deze manier met jullie delen in de hoop dat jullie hier lessen uit trekken waardoor later meer competente mensen projecten als de OV-Chipkaart kunnen uitvoeren.

Zwartrijden
De broncode zal Kipje ook publiceren, hoewel die niet zoveel voorstelt. "Ik ben pas begonnen met programmeren en de broncode is een vreselijke bende. Verder is het natuurlijk erg slecht van Trans Link Systems dat iemand met geen programmeerervaring binnen 1,5 week een degelijke applicatie kan neerzetten."

Kipje benadrukt dat het niet de bedoeling is om met zijn applicatie zwart te rijden of op andere manieren de betalingsverplichting te omzeilen. "Dat is illegaal, fraude en daarvoor draai je de bak in. Doe het dan ook niet." Eerder liet IT-journalist Brenno de Winter nog weten dat hij zijn versie van OVstation niet openbaar zou maken.

Google beveiligt YouTube embeds met HTTPS
Hardware-keylogger op bibliotheekcomputers
Reacties (21)
15-02-2011, 09:42 door Anoniem
Het programma wat nu op internet wordt aangeboden is toch helemaal niet bruikbaar omdat er niet mee naar de kaart geschreven kan worden. Kipje schreef in het hier geciteerde stukje van het artikel ook

"Je ziet dat de knop voor het schrijven naar de kaart uit staat. Ik ga er vanuit dat op het moment dat ik het
mogelijk maak met deze tool te schrijven naar een OV-Chipkaart toe sta ik de integriteit van de OV-Chipkaart
aantast. Dit wil ik niet. Echter staat in de broncode wel een demonstratie van hoe makkelijk het is om dit wel te
doen."


De broncode waar in zou staan hoe die schrijffunctie te activeren is werd niet gepubliceerd.
15-02-2011, 10:09 door Anoniem
Komt er ook een versie die werkt op mobiele (Android) telefoon met RFID-reader?
Handig om ter plaatse in te checken (m.b.v. GPS gegevens van telefoon)

:-)
15-02-2011, 10:31 door Anoniem
Kijk da's nou een voorbeeld van een Kip *met* kop...die de andere kippen *zonder* kop het nakijken geeft ;)

Goeie actie kipje...
15-02-2011, 10:32 door Anoniem
Tja,dit is geen verrassing, je kon er op wachten.

Nou ben ik wel benieuwd naar de reactie van de belanghebbenden.

Gaan ze de conducteurs uitrusten met een patch zodat ook gescanned wordt op o.a. de checksum van het saldo deel van OV kaart of gaat men nu heel hard op zoek naar alternatieven zoals het niet meer leveren van een annonieme kaart?
15-02-2011, 11:34 door Anoniem
Het Wordpress blog van kipje is gelijk weg.
:-(
Heeft iemand een mirror of cache?
15-02-2011, 13:39 door Anoniem
Door Anoniem: Het Wordpress blog van kipje is gelijk weg.
:-(
Heeft iemand een mirror of cache?
Ja heeft iemand, maak je geen zorgen.
15-02-2011, 15:36 door SirDice
Door Anoniem: Het Wordpress blog van kipje is gelijk weg.
http://webwereld.nl/nieuws/105725/ns-en-tls-jagen-op-ov-chiphacksoftware.html

Uit de lucht gehaald door de NS en TLS. Men heeft de mensen achter wordpress blog wijs gemaakt dat het zou gaan om "warez" en dat is in strijd met de gebruikersvoorwaarden.

Nu ben ik alleen van mening dat dit geen "warez" is. Ik zou zeggen post de broncode, dat valt tenslotte onder vrijheids van meningsuiting en kan m.i. dan niet via een DMCA verzoek zomaar offline worden gehaald.
15-02-2011, 16:31 door Anoniem
Je ziet dat de knop voor het schrijven naar de kaart uit staat.

Is dat met een resource editor niet zo aan te passen?
15-02-2011, 17:27 door Anoniem
haha, een 'REsource' editor nog wel..
15-02-2011, 18:25 door Syzygy
Door Anoniem:
Je ziet dat de knop voor het schrijven naar de kaart uit staat.

Is dat met een resource editor niet zo aan te passen?

Nou ik denk het niet maar met een decompiler wellicht wel.
Ik zou even de exe moeten hebben
Kijken of het nog gaat na al die jaren ;-)

Maar de broncode komt eraan las ik.
15-02-2011, 19:47 door Anoniem
NS en TLS houden roepen krampachtig dat het hacken van je kaart strafbaar is... Ik vraag me af of dat werkelijk zo is. Ik heb altijd geleerd dat je met hardware (= kaart) die je koopt mag doen wat je wilt.

Dat je iets fout doet als je met een aangepaste kaart probeert te reizen lijkt me wel duidelijk.
15-02-2011, 22:19 door Anoniem
Wat wel handig is (waarschijnlijk ook illegaal) als je straks met je telefoon (NFC) kan in en uit checken. Niet op de illegale manier maar gewoon in plaats van de huidige kaart. Als ze het nog is legaal maken dan lopen ze in plaats van 15 jaar achter ineens een jaar voor. Dat zou nog is goed nieuws zijn.
(moeten ze natuurlijk niet met de smoes komen dat het een beveiligingsrisico is :-P)
16-02-2011, 01:46 door Anoniem
http://www.combitor.com/home/search/all/OVStation/0/0
http://www.btmon.com/Other/Other/OVStation_software_for_manual_check-in_OV-chipkaart.torrent.html
http://alivetorrents.com/torrent/9385406/ovstation-software-for-manual-check-in-ov-chipkaart
http://bitsnoop.com/ovstation-software-for-manual-check-q22503251.html

Genoeg zipjes om ze te downloaden! Succes met neerhalen ;)
16-02-2011, 07:48 door [Account Verwijderd]
[Verwijderd]
16-02-2011, 08:07 door Syzygy
Door rookie:

Kipje benadrukt dat het niet de bedoeling is om met zijn applicatie zwart te rijden of op andere manieren de betalingsverplichting te omzeilen. "Dat is illegaal, fraude en daarvoor draai je de bak in. Doe het dan ook niet." Eerder liet IT-journalist Brenno de Winter nog weten dat hij zijn versie van OVstation niet openbaar zou maken.

De moraalridders van de week.

Nee het gaat er om dat als er gezeur van komt dat je je intenties hiermee kan afdekken.
Als er morgen kamervragen over dit onderwerp komen (niet de OV kaart maar het publiceren van deze software) dan moeten er weer koppen rollen en dan wordt hij als katvanger aan de publiek schandpaal genageld om te laten zien hoe goed ons justitie apparaat werkt
Ik vind het wel een doordachte actie.
Iedereen weet dat het hem geen fluit interesseert wat je er mee doet natuurlijk.
16-02-2011, 09:57 door Anoniem
Door SirDice: Nu ben ik alleen van mening dat dit geen "warez" is. Ik zou zeggen post de broncode, dat valt tenslotte onder vrijheids van meningsuiting en kan m.i. dan niet via een DMCA verzoek zomaar offline worden gehaald.

Je weet niet half waarvoor ze die DMCA verzoeken allemaal voor gebruiken. Ik heb zelf nog een wel eens een DMCA verzoek voor het opruimen van bepaalde broncode afgewezen, maar ik weet dat andere partijen gewoon gehoor hebben gegeven aan dat verzoek.

Peter
16-02-2011, 11:36 door Preddie
Door Syzygy:
Door rookie:

Kipje benadrukt dat het niet de bedoeling is om met zijn applicatie zwart te rijden of op andere manieren de betalingsverplichting te omzeilen. "Dat is illegaal, fraude en daarvoor draai je de bak in. Doe het dan ook niet." Eerder liet IT-journalist Brenno de Winter nog weten dat hij zijn versie van OVstation niet openbaar zou maken.

De moraalridders van de week.

Nee het gaat er om dat als er gezeur van komt dat je je intenties hiermee kan afdekken.
Als er morgen kamervragen over dit onderwerp komen (niet de OV kaart maar het publiceren van deze software) dan moeten er weer koppen rollen en dan wordt hij als katvanger aan de publiek schandpaal genageld om te laten zien hoe goed ons justitie apparaat werkt
Ik vind het wel een doordachte actie.
Iedereen weet dat het hem geen fluit interesseert wat je er mee doet natuurlijk.


Natuurlijk interesseert dat hebt niet, en terecht lijkt mij. Hij moet het ook niet vragen aan de mensen die het downloaden want dan zou hij op de hoogte zijn van de bedoeling en daarbij mede strafbaar kunnen worden.

Gewoon online zetten, met een note dat het voor educatieve doeleinden is, en klaar.

Messen zijn ook niet verboden om te verkopen, echter wanneer jij een winkel in loopt en aan de medewerker vraagt waar je de messen kan vinden omdat je iemand neer wil steken kan de verkoper mede aansprakelijk worden gesteld. Het moet je dus ook niks interesseren wat iemand met jou product gaat doen, al hoewel je er natuurlijk altijd een mening op na kunt houden.
16-02-2011, 11:50 door Anoniem
Door Anoniem: NS en TLS houden roepen krampachtig dat het hacken van je kaart strafbaar is... Ik vraag me af of dat werkelijk zo is. Ik heb altijd geleerd dat je met hardware (= kaart) die je koopt mag doen wat je wilt.

Dat je iets fout doet als je met een aangepaste kaart probeert te reizen lijkt me wel duidelijk.
Je 'koopt' ook een paspoort of rijbewijs, maar dat blijft eigendom van de overheid, jij krijgt het slechts in bruikleen. 'Jouw' pinpas is eigendom van de bank. Contant geld is dacht ik ook eigendom van De Nederlandse Bank. Het zou dus helemaal niet vreemd zijn als een OV-chipcard niet jouw eigendom wordt.
16-02-2011, 11:52 door SirDice
Door Anoniem:
Door SirDice: Nu ben ik alleen van mening dat dit geen "warez" is. Ik zou zeggen post de broncode, dat valt tenslotte onder vrijheids van meningsuiting en kan m.i. dan niet via een DMCA verzoek zomaar offline worden gehaald.

Je weet niet half waarvoor ze die DMCA verzoeken allemaal voor gebruiken. Ik heb zelf nog een wel eens een DMCA verzoek voor het opruimen van bepaalde broncode afgewezen, maar ik weet dat andere partijen gewoon gehoor hebben gegeven aan dat verzoek.
Een DMCA verzoek kun je sowieso in de prullenbak mikken. De DMCA is een Amerikaanse wet, aangezien we hier Nederlandse servers hebben, Nederlandse gebruikers en is het gericht op Nederland gaat die Amerikaanse wet natuurlijk totaal niet op.
16-02-2011, 23:20 door [Account Verwijderd]
[Verwijderd]
17-02-2011, 20:21 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Vacature
Vacature

Security consultant

Weet jij alles van security, governance, risk en compliancy en weet je dit te vertalen naar gerichte oplossingen voor onze klanten? Begrijp jij als geen ander zowel de inhoudelijke kant, als de ‘organizational change’ kant van cybersecurity? Dan ben jij wellicht onze nieuwe security consultant!

Lees meer

Poll: Controle thuiswerker met behulp van monitoring software:

16 reacties
Aantal stemmen: 768
Certified Secure LIVE Online training
Pleeg je handel in voorkennis als je doet alsof je voorkennis verkoopt op het dark web?
07-04-2021 door Arnoud Engelfriet

Juridische vraag: Ik las dat in de VS een meneer aangeklaagd wordt voor handel in voorkennis, omdat hij op het dark web ...

5 reacties
Lees meer
Datalek bij nieuwbouw
13-04-2021 door Anoniem

In de randstand was het begin deze maand mogelijk om je in te schrijven voor een loting van 28 nieuwbouw huizen. Om zo ...

14 reacties
Lees meer
Beste manier om een wachtwoord te bewaren?
09-04-2021 door EenVraag

Iemand enig idee wat de beste manier is om een wachtwoord te bewaren?

17 reacties
Lees meer
Datakluis als gouden kogel tegen datalekken?
15-04-2021 door Anoniem

Bij een webwinkel waar net een datalek is geweest staat de volgende tekst op de site Welke maatregelen neemt X om herhaling ...

8 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels en Privacy Policy

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Privacy Policy

Op 24 mei 2018 hebben we, in het kader van de AVG, onze privacy policy bijgewerkt. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de bijgewerkte privacy policy. Heb je vragen neem dan contact op met info@security.nl.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2021 Security.nl - The Security Council
RSS Twitter