6l
Ov-chipkaart kraken is
steeds eenvoudiger
OPENBAAR VERVOER g£&
Dat skimmers het voorzien hebben op pinpassen is inmiddels euro gafeen kaarter uit
wel bekend. Maar ook de ov-chipkaart loopt gevaar, nu het °m 26 ov-chipkaarten te
kraken ervan steeds simpeler wordt.
Chipknip was
ook zo lek
als een mandje
dinsdag 21 december 2010
L kunnen vervalsen.
Dat de ov-chipkaart te kra
ken is, was al bekend. Maar
nog even en ook de gemid
delde computergebruiker
kan de actie uitvoeren. Ma
nipulatie van de inhoud
wordt een peulenschil.
door Herman Stil
Een appeltaart. Dat is de be
loning voor degene die
het nog makkelijker
maakt om de OV-chip-
kaart te kraken. Met de groeten
van computerblad PC Active. 'Goe
de hacks kunnen wij prima waar
deren', schrijft het maandblad in
het onlangs verschenen december
nummer.
Maar ook zonder die aanmoedi
ging wordt het binnenkort heel
makkelijk om de opvolger van de
strippenkaart stiekem uit te lezen.
Lag het kraken tot nog toe niet bin
nen het bereik van de doorsnee
computeraar, nu blijkt dat de soft
ware 'gebruiksvriendelijk' is gewor
den.
Ook wordt gewerkt aan een Win-
dowsversie waarmee alle handelin
gen via een simpel scherm ook
door digibeten zijn uit te voeren.
Inmiddels hebben honderdduizen
den Nederlanders de ov-chipkaart
in hun bezit.
In 2008, nog voor de kaart bij de
eerste reiziger in de binnenzak zat,
werd de beveiliging al gekraakt
door Nijmeegse studenten. De op
hef was aanvankelijk groot, maar
werd gesust door het bedrijf ach
ter de kaart, NS-dochter Translink
Systems en het toenmalige minis
terie van Verkeer. De kaart zou al-
De chip geeft zijn gegevens
al prijs vanaf een afstand
van 10 tot 40 centimeter
leen te kraken zijn in laboratoria.
Niets is minder waar, bleek deze
maand. In Utrecht werd tien da
gen geleden een dertigjarige Leide-
naar veroordeeld vanwege compu
tervredebreuk; hij had 26 ov-chip-
kaarten vervalst door op lege 'ano
nieme kaarten' in totaal 115 euro
reistegoed te storten.
Volgens de kaartkraker, die zich
zelf tijdens de rechtszaak om
schreef als een 'nerd met voorlief
de voor cryptologie', kostte de he
le operatie hem niet meer dan der
tig euro aan apparatuur en een
middagje werk. Tijdens de rechts
zaak meldde de officier van justi
tie 'dat het wel goed zat' met de be
veiliging van de ov-chipkaart.
Maar dat is dus niet waar.
In theorie kunnen ov-chipkaart-
skimmers hun slag slaan door met
draagbare lezers kaarten uit te le
zen, zonder dat de bezitter van de
kaart iets merkt. De chip geeft zijn
gegevens al prijs vanaf een afstand
van tien tot veertig centimeter.
Daartegen is geen bescherming
mogelijk: de kaart activeert zich
zelf als er een lezer in de buurt is.
De kaart geeft vervolgens al zijn ge
heimen prijs: reisgedrag, persoons
gegevens en saldo. Het hele proces
vergt per kaart twee seconden.
Het uitlezen van de ov-chipkaart
is maar één stap verwijderd van
het manipuleren van de informa
tie die op de kaart staat - zoals het
ingeven van het saldo.
Alhoewel PC Active over die ken
nis beschikt, staat het aanpassen
van gegevens en saldo niet beschre
ven in het nieuwste nummer, om
dat dat strafbaar is.
Een skimmer kan na het uitlezen
de kaart - plus het saldo daarop -
kopiëren en met die kopie reizen.
De potentiële schade die dat ople-
UTRECHT - Juridisch gezien lijkt na
de Utrechtse uitspraak, over een
dertigjarige man die de ov-kaart
had gehackt, duidelijk wie verant
woordelijk is voor het kraken van
de ov-chipkaart: niet het bedrijf
dat de kaart heeft voorzien van een
slechte beveiliging, maar degene
die daarvan misbruik maakt. Die
maakt zich schuldig aan computer
vredebreuk, omdat de chips en
kaarten eigendom zijn Translink.
Die gedachte is niet onlogisch: een
inbreker kan zichzelf ook niet vrij
pleiten met het argument dat alle
deuren open stonden. Maar de mo
rele verantwoordelijkheid van die
slechte beveiliging valt toch moei
lijk te leggen bij crypto-nerds.
Als Nederlandse banken zouden
toestaan dat pinpas en chipknip
voor dertig euro (het bedrag dat de
veroordeelde hacker had uitgege
ven om kopieën van de kaart te ma
ken) te kraken zijn, zou dat op zich
al ernstig wantrouwen bij het pu
bliek creëren.
Dat gebeurde ook in 1997, toen
bleek dat de informatie op de chip
knip net zo gemakkelijk te achter
halen was als die op de ov-chip-
kaart nu. Het leverde de banken
een reprimande op van wat nu Col
lege Bescherming Persoonsgege
ven (CBP) heet. De banken beperk
ten vervolgens de hoeveelheid in
formatie op de kaarten.
Het CBP heeft zich nooit gebogen
over het feit dat persoons- en reis-
gegevens op de ov-kaart zo gemak
kelijk zijn te achterhalen en wil
niet zeggen of het van plan is dat
ooit te doen. Ook de chipkaartcom
missie die minister Schultz (Infra
structuur) instelde, heeft beveili
ging niet op zijn lijstje staan.
vert voor gebruikers, zal alleen
maar toenemen als de ov-chip
kaart straks ook moet worden ge
bruikt voor alle treinreizen. Er
moet dan toch een saldo op staan
van enkele tientjes. En zo'n skim
mer slaat pas echt een slag als hij
een kaart kopieert waarvan de ge
bruiker het saldo automatisch laat
opwaarderen.
Het grootste risico dat een kaartko-
pieerder daarbij loopt, is dat het
Translink Systems opvalt dat er
twee dezelfde kaarten in omloop
zijn - waarna beide worden geblok
keerd. Translink zei vorig jaar een
duplicaat binnen een dag op te
sporen, maar Radio Rijnmond
wist dat te logenstraffen door een
hele week met een gekopieerde
kaart te reizen.
zie onze website:binnenland
cjfap Gratis reizen en toch wordt
geld van ov-chip afgeschreven