Spreekverbod "krakers" OV-chipkaart

[Frank]

http://www.scienceguide.nl/article.asp?articleid=105829

Spreekverbod bij chiponderzoek
Nadat staatssecretaris Huizinga onderzoekers van de Radboud Universiteit al had opgeroepen tot verantwoordelijke wetenschap, hebben diezelfde onderzoekers nu van de rechter een spreekverbod gekregen, op straffe van een dwangsom. Ambtenaren van V&W blijken met de universiteit overleg gevoerd te hebben over mogelijke publicaties.

Op last van de rechter is een spreekverbod opgelegd gekregen over het onderzoek naar de veiligheid van de Mifare Classic Chip. Dit is de uitkomst van een kort geding dat chipproducent NXP had aangespannen. Het geldt totdat de rechtbank in Arnhem zich over de publicatie van dit onderzoek heeft uitgesproken en wordt gehandhaafd op straffe van een een dwangsom.

De onderzoeksgroep Digital Security van de Radboud Universiteit ligt al langer onder vuur. Toen zij de veiligheidsgebreken van de OV-chipkaart eerder dit jaar aantoonde, kwam haar dat op zware verwijten van de vervoerders te staan. Directeur Kroon van het GVB verbaasde zich over de gretigheid waarmee universiteiten aankondigen, dat zij de kaart 'bijna' gehackt hebben. Dat gebeurt volgens hem puur uit eigenbelang en niet vanuit een echte maatschappelijke betrokkenheid of verantwoordelijkheid. Hem stoort dat "wie wat over de OV-chipkaart roept, gegarandeerd in de schijnwerpers staat."

Eind juni vroeg het kamerlid Duyvendak bezorgd aan staatssecretaris Huizinga of zij de onderzoeksgroep een spreekverbod had opgelegd. In haar antwoord laat de bewindsvrouwe weten geen spreekverbod te hebben opgelegd. Maar de ambtenaren van staatssecretaris Huizinga hebben wel degelijk contact gehad met de Radboud Universiteit over de wijze waarop onderzoeksresultaten naar buiten worden gebracht. De bewindsvrouw van V&W gaat er vanuit dat de wetenschappers van de Radboud Universiteit "hun maatschappelijke verantwoordelijkheid serieus nemen en deze zorgvuldig afwegen ten opzichte van hun wetenschappelijke ambities". Huizinga roept dus op tot prudentie bij het omgaan met onderzoeksresultaten, omdat het naar buiten brengen hiervan grote maatschappelijke gevolgen kan hebben.

In haar brief aan de Tweede Kamer mijdt Huizinga zorgvuldig de suggestie, dat zij de Radboud op dit punt aan banden zou willen leggen, of zelfs maar om terughoudendheid zou hebben gevraagd. Toch kan ze niet ontkennen dat haar ambtenaren contact hebben gehad met de universiteit over het onderzoek naar de beveiliging van chipkaarten. De Radboud Universiteit zou daarbij hebben aangegeven dat er geen handboek komt voor kraaktechnieken. Wel werkt de universiteit aan een publicatie over dit onderwerp die dit najaar gepland staat.

[captain crash]

Universiteit mag publiceren over gekraakte ov-chip
Uitgegeven: 18 juli 2008 12:52
Laatst gewijzigd: 18 juli 2008 13:08

AMSTERDAM - De Radboud Universiteit Nijmegen mag de tekortkomingen van de OV-chipkaart naar buiten brengen.

Dat heeft de rechtbank in Arnhem vrijdag besloten in een kort geding dat NXP, producent van de chip die is verwerkt in de beoogde vervanger van de strippenkaart, had aangespannen.

De universiteit maakte eerder dit jaar bekend dat onderzoekers de chipkaart hadden gekraakt.

Kraak

De wetenschappelijke publicatie over de chipkaart wordt naar verwachting in oktober op een congres in Spanje gepresenteerd. Het Radboud meldde de kraak naar eigen zeggen al op voorhand om het ministerie van Verkeer en NXP de mogelijkheid te geven om de tekortkomingen te herstellen.

Details van de kraak van de zogenoemde Mifare-chip zou de universiteit daarom nog niet naar buiten hebben gebracht

[captain crash]

Ze hebben daar in Nijmegen toch iets verkeerd gedaan...

'Miljoenen gsm's getroffen door ernstig lek'
Uitgegeven: 12 augustus 2008 16:48
Laatst gewijzigd: 12 augustus 2008 17:00

AMSTERDAM - Een Poolse beveiligingsonderzoeker zegt een zeer ernstig lek te hebben ontdekt in het Javaplatform dat wordt gebruikt op meer dan honderd miljoen mobiele telefoons. Details wil hij aan de betrokken bedrijven verkopen voor 20.000 euro.

Volgens Adam Gowdiak is het door Sun ontwikkelde Java-platform zo lek als een mandje. Misbruik van de kwetsbaarheid zou hackers volledige toegang tot de telefoon kunnen geven. Het lek stelt ze in staat om willekeurige software op de toestellen te installeren, die dan bijvoorbeeld kan worden gebruikt om informatie van de telefoon te stelen of te telefoneren op kosten van de eigenaar, aldus Gowdiak tegenover Computerworld.

De betreffende software wordt in ieder geval gebruikt op meer dan honderd miljoen telefoons van het Finse Nokia, maar mogelijk zijn ook andere gsm's met Java kwetsbaar.

Op veel mobiele telefoons is een Javavariant geïnstalleerd, omdat dat een populair platform is voor toepassingen als bijvoorbeeld spelletjes.

Betaling

Gowdiak heeft Sun en Nokia in grote lijnen op de hoogte gebracht, maar wil details alleen tegen betaling verstrekken. Hij vraagt 20.000 euro voor een uitgebreid onderzoeksrapport met voorbeelden die het lek aantonen.

Controversieel

Die stap is hoogst controversieel. Het geldt onder beveiligers als onethisch om te profiteren van ontdekte beveiligingsproblemen.

Gowdiak verdedigt zijn beslissing: hij zegt een half jaar aan de ontdekking te hebben gewerkt, en heeft het geld nodig voor het opstarten van zijn bedrijfje Security Explorations.

Geen chanteurs

Volgens Gowdiak is de informatie die hij al heeft verstrekt overigens vergelijkbaar met de details die hij in eerdere gevallen heeft vrijgegeven. "Wij zijn geen chanteurs", zegt hij tegen Computerworld. "Nokia en Sun hebben de keuze om te betalen of om hun eigen onderzoekers op de zaak te zetten."

[Master Vanhu Botie]

^Ik vind dat die brave jongen inderdaad het recht heeft om geld voor zijn ontdekking te vragen, hij heeft er tenslotte heel wat tijd en moeite ingestoken. Alleen mag hij er niet te veel mee te koop lopen dat ie iets gevonden heeft. Hij had 't in der minne moeten regelen (waarschijnlijk heeft hij dat wel geprobeerd maar kwamen ze niet met voldoende poen over de brug en probeert ie nu om ze via de media onder druk te zetten).

[Belgarath]

Volgens mij mag dat gewoon niet hoor. Als ik een manier bedenk om in te breken in een bank, dan mag ik ook niet zeggen: geef me 20.000 euro en ik vertel je hoe. Inbreken is hoe dan ook verboden.

En volgens mij geldt voor hacken hetzelfde. Dat je het kan, maakt je niet strafbaar. Dat je anderen helpt om het te doen wel, vrees ik toch voor hem...

[Punisher]

Maar als je alleen een manier weet om in te breken, maar niet werkelijk inbreekt is het wel even wat anders ...

Daarnaast is het helemaal niet strafbaar om beveiligingslekken te zoeken (en vinden) in programma's ... Zou wel erg raar zijn als dat wel zo was ...

[captain crash]

Ik vind het eigenlijk een logische ontwikkeling in deze tijd. Er zijn nu eenmaal enorme belangen mee gemoeid en eigenlijk mogen ze nog blij zijn dat hij het niet gewoon aan de hoogste bieder verkoopt. Het was een kwestie van tijd dat die "ongeschreven regels" niet meer zouden bestaan.

[EMH]

Nieuwe prijs treinreis bij invoering OV-chipkaart
Uitgegeven: 13 augustus 2008 17:20
Laatst gewijzigd: 13 augustus 2008 17:36

UTRECHT - De Nederlandse Spoorwegen (NS) passen de prijzen van treinkaartjes aan, als de OV-chipkaart bij de NS is ingevoerd. Dat heeft de NS woensdag laten weten.


De prijzen voor een enkeltje gaan met gemiddeld 9 procent omlaag, als de reiziger een OV-chipkaart heeft. Met de OV-chipkaart betaalt de reiziger per afzonderlijke rit. De prijs van een retourrit is dan gelijk aan die van twee enkeltjes.

De prijzen van papieren enkeltjes worden vanaf de invoering tot 2011 in drie stappen van 3 procent per jaar verlaagd. Papieren dagretourtjes worden duurder: de prijs gaat in drie stappen steeds 2 procent omhoog.

Onduidelijk

Wat de aanschaf van een OV-chipkaart gaat kosten, is nog onduidelijk. De NS streeft ernaar de kaart in de loop van 2009 in te voeren. Een woordvoerder sprak woensdag over juni, juli of augustus.

De NS verandert op het moment dat de OV-chipkaart officieel is ingevoerd nog meer prijzen: dag- en weekeindretours blijven te koop, maar worden 2 procent duurder.

Abonnementen

Andere kaarten als het (jaar)trajectabonnement en algemene abonnementen veranderen niet in prijs, op de reguliere prijsverhogingen na. Het voordeelurenabonnement blijft bestaan. Ook komt er een nieuw abonnement, dat 19 euro kost, waarmee de reiziger 20 procent korting krijgt in daluren.

De OV-chipkaart moet de nu bestaande ov-kaartjes vervangen. Nederlanders kunnen met deze kaart door het hele land reizen met het openbaar vervoer.

Invoering

De invoering van de OV-chipkaart verloopt verre van soepel. Begin jaren negentig werd voor het eerst gesproken over een vervanger voor de strippenkaart. In januari 2008 toonden Duitse hackers aan dat met spullen ter waarde van nog geen 100 euro volledige controle over de chip van de ov-chipkaart te krijgen is.

Een week later kraakten studenten van de Radboud Universiteit in Nijmegen de chip van de reguliere dagkaart.

nu.nl

[captain crash]

Jah, ze gaan het weekendretourtje ook afschaffen...maargoed, eerst nog maar eens zien of het ding er uberhaupt komt he

[sirdupre]

Volgens mij mag dat gewoon niet hoor. Als ik een manier bedenk om in te breken in een bank, dan mag ik ook niet zeggen: geef me 20.000 euro en ik vertel je hoe. Inbreken is hoe dan ook verboden.

En volgens mij geldt voor hacken hetzelfde. Dat je het kan, maakt je niet strafbaar. Dat je anderen helpt om het te doen wel, vrees ik toch voor hem...

Wat een rare post: als ik jouw analogie volg, wil je dus eigenlijk zeggen dat het volgens jou verboden is om als je weet hoe je inbreekt bij een bank, aan diezelfde bank te verkopen hoe dat dan wel niet moet...

Tsja, ik weet niet of het terecht is.... Als ie één of andere suffe buffer overflow verkoopt voor 20.000 dollar zou ik dat eerlijk gezegd wel absurd vinden. De engineers van Sun zelf zitten natuurlijk ook beter in de Java VM voor mobiele telefoons dan deze hacker en het is in principe niet eens echt belangrijk om te weten hoe de exploits voor beveiligingslekken nou precies werken - als je weet welke fouten in je programma worden uitgebuit weet je eigenlijk wel genoeg om ze te dichten. Het irritante en onethische is dat Sun van te voren niet weet wat voor soort lekken deze knakker verkoopt en je dus totaal niet in kunt schatten of het het geld waard is. Voor hetzelfde geld is het lek intern al bekend bij Sun... 20.000 dollar door de plee gespoeld. Echter, als je het niet betaalt loop je wel het risico dat er een belangrijk onopgemerkt gat in je broncode rondloopt.

Het verkopen aan de hoogste bieder zal trouwens wel strafbaar zijn onder de DMCA en de europese equivalent daarvan.

[Punisher]

Er word nu allemaal gedaan alsof 20.000 euro zo'n groot bedrag is voor een bedrijf als sun ... :-/

[sirdupre]

Wel een te groot bedrag voor een lek dat intern al bekend is, lijkt me... Daarbij, als Sun voor elke mogelijke exploitable buffer overflow in iets complex als een Virtual Machine 20.000 dollar moet gaan ophoesten, ze uiteindelijk toch echt wel veel geld gaan kwijt raken.

Zou je de situatie anders vinden als iemand 20.000 dollar vraagt aan het OpenBSD team voor gegevens over een lek in OpenSSH te overhandigen? Dan zou de logische uitspraak namelijk zijn "Maar dan kan het OpenBSD team helemaal niet betalen en OpenSSH is ontzettend belangrijk voor de algehele veiligheid op het internet!". Maar ja, dan kun je ook wel weer beredeneren dat dan alle providers en militaire instellingen en dergelijke dat bedrag dan maar op moeten hoesten, omdat ze dat gezamelijk makkelijk kunnen betalen.

[Punisher]

http://www.ov-chipkaart.nl/nieuws/nieuw ... sNSjul2008

'Kraken van OV-chipkaart is niet aantrekkelijk voor criminelen'.
03 juli 2008
De beveiliging van de OV-chipkaart beheerste afgelopen maanden het nieuws. Bij veel medewerkers van NS roept dit natuurlijk vragen op. Wie beter dan Gerben Nelemans, directeur van Trans Link Systems – het bedrijf dat samen met de OV-bedrijven verantwoordelijk is voor de introductie van de OV-chipkaart in Nederland -, kan uitleggen wat er aan de hand is en of ‘we’ ons zorgen moeten maken. Dit interview is met toestemming van de NS overgenomen uit De Kaartlezer, een maandelijkse NS-uitgave.

Wat is er aan de hand met de beveiliging?
‘Dat is een heel verhaal. Je moet weten dat we drie lagen van beveiliging kennen. De standaard beveiliging van de chip zelf, extra beveiligingsmaatregelen die wij zelf op de chip hebben aangebracht en de backoffice met detectiemaatregelen achteraf waardoor een kaart, waarmee bijvoorbeeld gefraudeerd is, kan worden geblokkeerd. Inmiddels is het zo dat Amerikaanse onderzoekers de werking van de eerste laag van de beveiliging hebben achterhaald, zo kondigden zij eind december aan. In maart is het onderzoekers van de Radboud Universiteit Nijmegen gelukt om aan te tonen dat ook de tweede laag is te “kraken”. Neemt niet weg dat de derde laag, de back office, overeind staat. Alle transacties met OV-chipkaarten worden in deze back office geanalyseerd aan de hand van ongeveer 35 zogeheten validatieregels; onrechtmatigheden worden zo opgespoord. Wij zijn in staat om op deze manier via onze backoffice snel mogelijke fraude op te sporen en verdachte kaarten te blokkeren. Overigens moet ik zeggen dat we tot nu toe nog nooit een geval van fraude bij de hand hebben gehad. We hebben uit voorzorg wel eens kaarten geblokkeerd, maar uiteindelijk bleek dat er niets aan de hand was.’

Hadden jullie niet beter een beter beveiligde chip kunnen kiezen voor dit project?
‘De huidige chip in de OV-chipkaart is ooit gekozen na een Europese aanbesteding. Het gebruik van ‘beproefde technologie’ was hierbij een belangrijk uitgangspunt. Een aantal mogelijke leveranciers heeft zich ingeschreven en zij hebben allemaal de huidige chip geadviseerd. Je moet je realiseren dat veiligheid niet het enige selectiecriterium is bij een dergelijke chip. Het is ook belangrijk dat hij snel is om te voorkomen dat je lange rijen bij de poortjes hebt.’

Hoe erg is het dat de twee lagen zijn gekraakt?
‘Natuurlijk wil je dat liever niet. Maar het is belangrijk om het probleem in de juiste verhoudingen te zien. Bij de OV-chipkaart gaat het om relatief kleine bedragen. Bovendien heeft een fraudeur dankzij onze derde beveiligingslaag slechts korte tijd plezier van zijn ‘kraak’. Je kunt je dus afvragen hoe aantrekkelijk het is voor criminelen om een dergelijke kaart te kraken. Eerlijk gezegd denk ik niet dat criminelen zó veel inspanningen zullen doen voor zulke kleine bedragen. Onderzoeken bevestigen dit ook.’

Dus u maakt zich geen zorgen.
‘Natuurlijk houdt dit ons bezig. En natuurlijk is het zo dat we moeten zorgen voor een veilige OV-chipkaart. Maar je moet het wel in de juiste context blijven zien. Kijk naar bijvoorbeeld Londen waar de kaart wordt gebruikt door 16 miljoen mensen en er 10 miljoen transacties per dag zijn. En daar is ook geen fraude. Daar snapt niemand iets van de discussie die hier is los gebarsten. Daar vragen ze zich af waar wij ons hier druk over maken.’

Maar hoeft er dan niks te gebeuren? Gaan jullie gewoon door met deze OV-chipkaarten?
‘Wij hebben een onderzoek laten doen naar de veiligheid van de OV-chipkaart door TNO. Het ministerie heeft vervolgens nog een contra-expertise gedaan. Uit deze rapporten komt naar voren dat wij kunnen doorgaan met de huidige chips. Het is ook niet zo dat je deze allemaal maar even kunt vervangen. We zijn volop bezig met de landelijke uitrol van de OV-chipkaart. Er is apparatuur besteld en geplaatst. Zo zijn er een kleine 4000 bussen van Connexxion al voorzien van apparatuur, hebben RET en GVB het merendeel van hun apparatuur al geplaatst en heeft NS een deel van haar apparatuur geplaatst en voor het overige bestellingen gedaan. Meer dan twee en een half miljoen mensen hebben al een OV-chipkaart op zak. We zijn dus al verder dan het soms voor iedereen lijkt. Het is dus niet een optie om die chips even te vervangen. Dat neemt niet weg dat we wel andere maatregelen zullen nemen.’

Zoals?
‘We zullen in de backoffice nog extra maatregelen nemen om eventuele fraude nog beter op te sporen. We zullen op softwaregebied nog extra beveiligingsmaatregelen nemen. En ook gaan we ons oriënteren op de vraag wat een opvolger zou kunnen zijn voor de bestaande chip. Maar een eventuele vervanging is pas aan de orde als de OV-chipkaart landelijk is ingevoerd én als er daadwerkelijk sprake zou zijn van grootschalige fraude. Het is echt onzinnig om een nieuwe chip in te voeren, terwijl er niet of nauwelijks fraude is.’

Hoeveel schade heeft de discussie rondom de beveiliging veroorzaakt aan de OV-chipkaart?
‘Een goede vraag. De hoeveelheid aandacht voor dit specifieke nieuws was wel onevenredig veel. Ik vind het moeilijk om daar in kwantiteit iets over te roepen. Feit is wel dat het een deuk is in het imago van de OV-chipkaart.’

Komt dat weer goed?
‘Tuurlijk. Hoe? Door te laten zien dat het werkt! Dat klinkt eenvoudig, maar zo is het wel. Nogmaals, in Londen en in Hong Kong reizen miljoenen mensen met de chipkaart. Daar klaagt niemand. Het is en blijft een snelle en slimmere manier om te reizen. Als dat besef ook in Nederland is, verstomt heel veel kritiek.’

De feiten op een rij:
Er is nu geen sprake van fraude. Wel hebben wetenschappers de kwetsbaarheid van de beveiliging van de kaart aangetoond.
Reizigersgarantie: Er is geen sprake van fraude, maar mocht er directe financiële schade bij reizigers ontstaan dan wordt die vergoed.
Privacy verzekerd: Geboortedatum en laatste tien transacties staan weliswaar op de chip, maar niet gekoppeld aan naam, adres of woonplaats.
100% Veiligheid bestaat niet. Niet bij de strippenkaart, niet bij de bankpas, niet bij de creditcard, niet bij de OV-chipkaart. Als er risico's zijn, dan worden er zo mogelijk maatregelen genomen.
Mocht er sprake zijn van fraude, dan wordt dit snel ontdekt in de centrale administratie van Trans Link Systems. De kaarten worden dan geblokkeerd en de reiziger krijgt dan een nieuwe kaart (vgl. creditcardfraude).
NS gaat dus gewoon door met de invoering van de OV-chipkaart.

Bron: De Kaartlezer - maandelijkse uitgave van NS