donatieknop english
dinsdag, 25 januari 2011 18:02

OV-chipkaart nog steeds te kraken

Door Jeroen van der Ham 

Bij het computerblad PC Active is onderzoek gedaan met software om anonieme OV-chipkaarten aan te passen. Er wordt vooraf een digitale kopie (image) gemaakt van de kaart, en die kopie wordt na een reis weer terug gezet op de chip van de kaart. Dat betekent dat er dan niet betaald is door de reiziger.
Met een andere applicatie is het ook mogelijk om het saldo zonder te betalen op te hogen. In principe zou dit soort fraude door Trans Link Systems (TLS) automatisch gedetecteerd moeten worden. TLS houdt alle transacties in de gaten en zou door middel van de identificaties en afwijkend reisgedrag van de kaart kunnen detecteren dat er gefraudeerd is. Met de vervoersbedrijven is afgesproken dat fraude binnen 24 uur gedetecteerd zou worden. Dit bleek echter niet altijd effectief te zijn. In slechts twee gevallen werd de kaart geblokkeerd voor het inchecken bij de NS. In bus, tram en metro functioneerden de kaarten gewoon. De blokkade bleek te verwijderen door de software opnieuw te gebruiken. En ook controleurs zouden niets vreemds kunnen zien aan de kaarten.
Vrijdag 28 januari zal PC Active uitkomen met een verslag van de hack. De software om de kaarten te veranderen zal echter niet beschikbaar gesteld worden. Volgens PC Active zal het echter niet lang duren voordat het alsnog beschikbaar komt. De hacker had de software binnen twee uur geschreven. De SP heeft de software ook uit kunnen proberen en heeft een spoeddebat aangevraagd. Meer is te lezen bij Webwereld en nu.nl.

Update 26-01-2011: Trans Link Systems laat weten dat ze gedurende de hele proef op de hoogte waren van het misbruik met de kaarten. Men heeft de kaarten niet geblokkeerd in het belang van het onderzoek. Andere hackers hebben intussen ook ontdekt dat het mogelijk is met een PC zelf "in te checken". Men gebruikt een applicatie op de PC om aan te geven op welk station en tijd er moet worden ingecheckt en gebruikt dan de kaart om te kunnen reizen zonder de poortjes te gebruiken. Dit is niet te detecteren door de conducteur. Anders dan bij de bovenstaande hack, is het voor TLS niet mogelijk deze te detecteren omdat er geen transacties worden gedaan waar TLS bij betrokken is.

Gepubliceerd in Mobiliteit
maandag, 27 december 2010 14:36

Problematiek rond OV-chipkaart duurt voort

Een overzicht van recente ontwikkelingen op het gebied van de OV-chipkaart.
Door Jeroen van der Ham 

De OV-chipkaart wordt op meer en meer plaatsen ingevoerd of verplicht gesteld. Zo is in Zuid-Holland vanaf februari 2011 de strippenkaart niet meer te gebruiken, terwijl in Friesland besloten is om de strippenkaart toch langer te houden.

De grootste gebruikersgroep van de OV-chipkaart bestaat nog steeds uit studenten. Die lopen echter vaak tegen problemen aan. Zo bleek in augustus dat er al 20.000 kaarten kapot waren gegaan, volgens de studenten wegens slechte kwaliteit. Ook vertoonden de systemen van vervoersbedrijf Connexxion op 1 december een storing, waardoor studenten per abuis moesten betalen.

Het College Bescherming Persoonsgegevens (CBP) heeft de vervoersbedrijven ook op de vingers getikt naar aanleiding van een onderzoek dat door een aantal studenten was aangevraagd. Het bleek dat het GVB, de NS, RET en TLS allen de reisgegevens te lang bewaren en onnodig veel details opslaan na het in- en uitchecken.

De problematiek rond de invoering van de OV-chipkaart is ook tot de politiek doorgedrongen. In oktober is er een commissie ingesteld onder leiding van Gerd Leers. Naar verwachting komt deze commissie in het voorjaar van 2011 met een eindverslag.

Tenslotte is er in december ook voor het eerst een veroordeling geweest voor het vervalsen van OV-chipkaarten. De 30-jarige dader krijgt 60 uur werkstraf wegens het vervalsen en distribueren van 20 kaarten.

Gepubliceerd in Mobiliteit
donderdag, 14 oktober 2010 08:45

Vier privacy-bezwaren tegen de OV-chipkaart

Argumentatie afkomstig van Stichting Meldpunt Misbruik Identificatieplicht:

(1)Toepassing van de Radio Frequentie IDentificatie-chip(RFID), maakt de OV-chipkaart onveilig. De gegevens van de OV-kaart kunnen op afstand door anderen uitgelezen worden, de kaart kan gekopieerd en gemanipuleerd worden, en het saldo wat op de kaart staat kan eenvoudig gestolen worden.

(2) Het te veel en te lang bewaren van persoonsgegevens tast de persoonlijke vrijheid aan. Het is nergens voor nodig dat vervoersmaatschappijen voortdurend exact registreren en vastleggen waar iemand zich op welk moment bevind, bij iedere in- en uitcheck ook videobeelden vastleggen en al deze gegevens ook nog eens voor onbepaalde tijd bewaren.

(3) Omdat men de persoonsgebonden kaart wil voorzien van een scan van de pasfoto, kunnen de camera’s bij ieder OV-poortje zó geprogrammeerd worden dat ze bepaalde mensen of bepaalde groepen mensen kunnen identificeren. Zowel de daaraan te koppelen toepassingen van justitiële als van commerciële aard tasten de privacy aan. Door het nieuwe systeem worden OV bedrijven een verlengstuk van politie en justitie en kunnen zij geld gaan verdienen met het commercieel aanwenden van persoonsgegevens voor marketing en reclame doeleinden.

(4) Voor privacy moet betaald gaan worden. Iedereen die er niet van gediend is dat zijn reisgedrag wordt vastgelegd of pasfoto wordt ingescand en digitaal opgeslagen in de administratie van het vervoersbedrijf wordt in het systeem namelijk uitgesloten van abonnementen en zal financieel benadeeld worden als hij zijn privacy wil beschermen. OV bedrijven die als taak hebben om voor goed vervoer te zorgen gaan op deze manier geld verdienen aan de privacy van hun klanten.

 

Gepubliceerd in Mobiliteit
donderdag, 14 oktober 2010 08:40

Gonggrijp: OV-chipkaart draait om database

Bron: Security, 11 mei 2010
Gebruikers die bang zijn dat hun reisgedrag straks wordt vastgelegd in deze database en dat aan de hand daarvan conclusies worden getrokken, hebben juist baat bij een gebrekkige beveiliging. Als de overheid straks zegt dat je bijvoorbeeld in een bepaalde trein hebt gezeten, is dat met een onveilige database veel makkelijker te ontkennen. "Hoe onveiliger de database, des te slechter die zal zijn, des te beter dat is."

Incompetentie

Gonggrijp, die aan de wieg van de Nederlandse hackerconferenties stond, merkt op dat wij als maatschappij baat bij een goed functionerend transportsysteem hebben. "En niet dat deze mensen het verklooien, zodat er straks geen bussen en treinen rijden." In deze gevallen gaat het hem meer om de database dan de beveiliging. De security is echter interessant omdat het de incompetentie van de betrokken partijen laat zien. "Het is een mooie manier om hun totale incompetentie te demonstreren." Het is niet meer dan dat, beveiliging zal volgens Gonggrijp nooit het centrale punt worden.Datzelfde geldt voor de steeds groter wordende verzameldrift van overheid en bedrijfsleven. Het probleem is niet dat bedrijven allerlei informatie verzamelen, maar het feit dat wij het ze als maatschappij geven. "Er is niks pervers aan om alles over je klanten te weten, het is verderfelijk van de maatschappij om ze zover te laten komen."

Gepubliceerd in Mobiliteit
Pagina 3 van 3

Onze Partners

logo Voys Privacyfirst
logo greenhost
logo platfrm
logo AKBA
logo boekx
logo brandeis
 
banner ned 1024px1
logo demomedia
 
 
 
 
 
Pro Bono Connect logo 100
Control Privacy
Procis

Volg ons via Twitter

twitter icon

Volg onze RSS-feed

rss icon

Volg ons op LinkedIn

linked in icon

Volg ons op Facebook

facebook icon