OV-Chipkaart: een onveilige toekomst - deel 2
Geachte heer Koeroo,
Hartelijk dank voor uw vraag. Hierop kunnen we u het volgende antwoorden.
Ik stuur u deze e-mail in reactie op de e-mail die u onlangs heeft gestuurd over de veiligheid van de OV-Chipkaart. Omdat de OV-chipkaart producten met potentieel hoge waarde omvat, is er voor gekozen om met een chip te werken die standaard over een hoog beveiliging niveau beschikt. Daarnaast zijn extra maatregelen genomen, zowel in de applicatie op de kaart als in de apparaten op de perrons en in de voertuigen. U zult begrijpen dat wij niet inhoudelijk ingaan op welke wijze de beveiliging concreet is geregeld.
Wij vertrouwen erop uw vraag hiermee voldoende beantwoord te hebben.
Als u nog vragen heeft, dan kunt u terecht op onze website: www.ov-chipkaart.nl of u kunt telefonisch contact opnemen met de Klantenservice OV-chipkaart, 0900-0980 (0,10 euro p.m.).
Met vriendelijke groet,
Catie Haver
Afdeling klantenservice OV-chipkaart
Yeah, wat een reactie. Logisch natuurlijk dat ze niets prijs geven. Op de RFID pagina op Wikipedia (in het Nederlands) wordt er uitgelegd wat de mogelijke RFID chips zijn. Ze kunnen alleen gelezen worden, beschreven worden, actief of passief zijn. Maar het blijft een feit dat alle vormen niets meer dan een lang en uniek nummertje kan afgeven. Dat betekent simpelweg dat er geen mogelijkheid bestaat om echte beveiligings maatregelen toe te passen.
Een Chipper/Chipknip zal het saldo pas vrijgeven van je pasje als de cryptografische controle van het kastje is goed gegaan. Dus, er wordt gecontrolleerd of het kastje goed is en daarna vindt de transactie plaats. Bij PIN-passen wordt er (tegenwoordig ook in Frankrijk) gekeken of jij wel de eigenaar bent van de PIN-pas. Er is geen cryptografisch vraag & antwoord spel aan de gang met RFID-chips, omdat ze niets meer kunnen dan hun nummertje afgeven in een magneetveld.
Dus, als ik alle mogelijkheden van een RFID chip in overweging neem, dan kan ik persoonlijk niet anders concluderen dan dat de infrastructuur van TLS (de OV-Chipkaart exploiteur) heel veilig kan zijn, maar ik kan geen beveiliging ontdekken bij mij, de consument.
Ik zal nooit (veel) geld op mijn OV-chipkaart laden. Ik heb met mijn NS abonnement een bewijs op paier dat ik het abonnement bezit. Dat bewijs is er niet als ik er geld op laad en iemand anders misbruikt mijn pas om er iets mee te kopen.
Blijkbaar was ik in die zelfde week niet de enige die dit inherente beveiligingslek heeft ontdekt. In de Spits, Metro, Nu.nl zijn er al artikelen tevoorschijn gekomen die aantoonden dat het met de tijdelijke OV-Chipkaartjes werd. De poortjes zijn allemaal hetzelfde en de kaartjes ook, dus dit principe kan ook met mijn kaart worden losgelaten!
Voor $99,00 (excl. verzendkosten) kan je zelf een RFID-lezer en schrijver kopen by ThinkGeek. Je krijgt er gelijk een paar lege RFID-chips bij om je OV-Chipkaart er mee te kunnen kopieren.
Hartelijk dank voor uw vraag. Hierop kunnen we u het volgende antwoorden.
Ik stuur u deze e-mail in reactie op de e-mail die u onlangs heeft gestuurd over de veiligheid van de OV-Chipkaart. Omdat de OV-chipkaart producten met potentieel hoge waarde omvat, is er voor gekozen om met een chip te werken die standaard over een hoog beveiliging niveau beschikt. Daarnaast zijn extra maatregelen genomen, zowel in de applicatie op de kaart als in de apparaten op de perrons en in de voertuigen. U zult begrijpen dat wij niet inhoudelijk ingaan op welke wijze de beveiliging concreet is geregeld.
Wij vertrouwen erop uw vraag hiermee voldoende beantwoord te hebben.
Als u nog vragen heeft, dan kunt u terecht op onze website: www.ov-chipkaart.nl of u kunt telefonisch contact opnemen met de Klantenservice OV-chipkaart, 0900-0980 (0,10 euro p.m.).
Met vriendelijke groet,
Catie Haver
Afdeling klantenservice OV-chipkaart
Yeah, wat een reactie. Logisch natuurlijk dat ze niets prijs geven. Op de RFID pagina op Wikipedia (in het Nederlands) wordt er uitgelegd wat de mogelijke RFID chips zijn. Ze kunnen alleen gelezen worden, beschreven worden, actief of passief zijn. Maar het blijft een feit dat alle vormen niets meer dan een lang en uniek nummertje kan afgeven. Dat betekent simpelweg dat er geen mogelijkheid bestaat om echte beveiligings maatregelen toe te passen.
Een Chipper/Chipknip zal het saldo pas vrijgeven van je pasje als de cryptografische controle van het kastje is goed gegaan. Dus, er wordt gecontrolleerd of het kastje goed is en daarna vindt de transactie plaats. Bij PIN-passen wordt er (tegenwoordig ook in Frankrijk) gekeken of jij wel de eigenaar bent van de PIN-pas. Er is geen cryptografisch vraag & antwoord spel aan de gang met RFID-chips, omdat ze niets meer kunnen dan hun nummertje afgeven in een magneetveld.
Dus, als ik alle mogelijkheden van een RFID chip in overweging neem, dan kan ik persoonlijk niet anders concluderen dan dat de infrastructuur van TLS (de OV-Chipkaart exploiteur) heel veilig kan zijn, maar ik kan geen beveiliging ontdekken bij mij, de consument.
Ik zal nooit (veel) geld op mijn OV-chipkaart laden. Ik heb met mijn NS abonnement een bewijs op paier dat ik het abonnement bezit. Dat bewijs is er niet als ik er geld op laad en iemand anders misbruikt mijn pas om er iets mee te kopen.
Blijkbaar was ik in die zelfde week niet de enige die dit inherente beveiligingslek heeft ontdekt. In de Spits, Metro, Nu.nl zijn er al artikelen tevoorschijn gekomen die aantoonden dat het met de tijdelijke OV-Chipkaartjes werd. De poortjes zijn allemaal hetzelfde en de kaartjes ook, dus dit principe kan ook met mijn kaart worden losgelaten!
Voor $99,00 (excl. verzendkosten) kan je zelf een RFID-lezer en schrijver kopen by ThinkGeek. Je krijgt er gelijk een paar lege RFID-chips bij om je OV-Chipkaart er mee te kunnen kopieren.
Labels: beveiliging, chipkaart, NS, OV-Chipkaart, RFID, security
gepost door Oscar op
10:55
8 reacties:
Dag, u heeft een bericht ondertekent met mijn naam, ik en echter niet werkzaam bij dit bedrijf, noch stel ik het op prijs dat ik bij u publiekelijk vindbaar ben. Gaarne mijn naam verwijderen.
Catie Haver
Door
Anoniem, Op
19:44
Meer mensen die Catie Haver heet wellicht? Heeft u bij de TLS gewerkt in 2007?
De brief is niet door mij ondertekend, maar een directe quote van de brief naar mij dat ik hier ongeedit gepost heb.
Aangezien u anoniem aanmeld kan ik niet zonder meer weten of u wel dezelfde persoon bent, en laat ik het 4(!) jaar oude verhaal graag ongewijzigd.
Door
Oscar, Op
21:10
Dag, ik heb wat problemen met het internet te gebruiken. Vorige comment is misschien onjuist. Groetjes
Catie Haver
Door
Anoniem, Op
21:51
Hallo, Catie Haver hier vanuit Polen.
De laatste comment ben ik helemaal niet, ik ben de echte en ik hou me bij de eerste comment.
Catie Haver
Door
Anoniem, Op
22:20
Sorry, hier ga ik niet op in. U geeft mij geen enkele vorm van garantie dat u de eerste commenter bent of de derde.
Verder gaat u niet in op mijn vragen, te weten:
Heeft u in juli 2007 gewerkt bij de Afdeling klantenservice OV-chipkaart?
Verder betekent uw naamsondertekening erg weinig en heeft u uzelf beter laten indexeren naar deze web pagina.
Door
Oscar, Op
22:27
Hallo, ik werkte niet voor TLS in 2007. Ik snap niet wat u bedoelt met indexeren.
Hatie Caver
Door
Anoniem, Op
22:31
Met de bekend making van uw huidige huisvesting in Polen heb ik momenteel *meer* reden om aan te nemen dat u niet dezelfde Catie Haver bent als in het bericht.
En nogmaals, ik heb een bericht direct ge-quote van (naar uw zegge) u eigen hand uit uw semi-publiekelijke functie.
Indexeren is de term die gebruikt wordt om in de zoek-resultaten van Google opgenomen te worden. Dat had u kunnen Googlen ;-)
Door
Oscar, Op
22:34
h8y Ca-va'r.
Door
Anoniem, Op
22:41
Een reactie posten
Aanmelden bij Reacties posten [Atom]
<< Homepage