Gepubliceerd: Vrijdag 5 november 2010
Auteur: Brenno de Winter

Met standaard programmatuur en goedkope software kan iedereen een OV-chipkaart uitlezen. De aanval is niet langer voor het laboratorium, zoals de overheid ooit beweerde.

Om de cryptografische sleutels van de OV-chipkaart te kraken en de informatie op de kaart te lezen blijkt niet veel nodig te zijn. Je hoeft alleen een RFID-kaartlezer van ongeveer 30 euro te kopen en wat open-sourceprogrammatuur op Linux te installeren. Wie een beetje technisch inzicht heeft, is vervolgens in staat om de kaart te kraken. Vervolgens is het mogelijk de gegevens uit te lezen.

Beschrijving
Er zijn op internet al langer beschrijvingen te vinden voor de hack, maar die stonden te boek als complex en alleen voor zeer technische mensen. De website OV-chipkaart.org logenstraft dat door duidelijk te maken hoe een breed publiek met standaard hulpmiddelen de eigen kaart kan kraken.

Het maandblad PC Active heeft de proef op de som genomen en diverse kaarten gekraakt. In een artikel van uw verslaggever wordt uitgelegd hoe mensen zelf hun eigen kaart kunnen uitlezen en hoe toegankelijk de aanval is geworden. Het is zelfs mogelijk om kaarten te beschrijven. Maar daar wordt in het blad niet op ingegaan, omdat dit mensen duidelijk zou maken hoe ze kunnen frauderen.

Uit het laboratorium
Tot nu toe werd door het voormalige Ministerie van Verkeer en Waterstaat altijd verkondigd dat het kraken van kaarten een theoretische exercitie was en dat het daarom niet voor een breed publiek toegankelijk is. Ook nadat in 2008 de software beschikbaar kwam waarmee zwakheden in de RFID-chip benut kunnen worden, bleef het ministerie ontkennen dat er een bruikbare applicatie bestond.

Toch komt de programmatuur die nu is vrijgegeven niet helemaal als donderslag bij heldere hemel. Al in februari 2008 voorspelde TNO dat het zo'n twee jaar zou duren voordat er een serieuze hack zou worden ontwikkeld.

Overigens heeft de maker van de site OV-chipkaart na een brief de beschrijving kort verwijderd. Inmiddels is er een Nederlandse versie van de uitleg online gekomen nadat de maker tot de conclusie was gekomen dat met het maken van een beschrijving niet illegaal is.

Bron

Het was toch allang duidelijk dat de OV-chipkaart zo lek als een mandje is?

Hier is te lezen dat het ding in 2008 al gekraakt was

Ok, nu kan Jan met de pet het ook, maar dat was slechts een kwestie van tijd...

De handleiding is te vinden op:
http://www.ov-chipkaart.org/?page_id=24

Beetje jammer weer. Moet ik eerst lunix onder de knie zien te krijgen als ik mee wil doen met aankloten.

Was je van plan met de bus te gaan dan?

Ikke niet. Wat moet ik met zo'n kaart?

Dus jij beheerst linux al een beetje???
Of bedoel je dat je niet wilt aankloten met een brak systeem?

*steekt vinger op*

De truc van de kaart is dat het saldo dat op de kaart bij het passeren van een poortje elke nacht vergeleken wordt met het saldo dat het zou moeten zijn. Komt het niet overeen dan wordt de kaart geblokkeerd, en ben jij de lul.

mompelt iets over dat sommige overheden ook zelfde systeem gebruiken als ov-chipkaart en men dus die gegevens uitleest bij vinden van pasje(daarna wel direct pasje trug brengen voordat ze m blokkeren) en dan zelf nieuw pasje maken en je komt bij die instantie binnen

onzin.

als ik dat zo lees moet je al verstand van een en ander hebben. Die hobbyisten doen altijd net alsof het makkelijk is en vergeten dat veel zaken niet gedocumenteerd zijn en je dus uit moet zoeken of vrienden in het hackers-circuit. Een of andere journalist probeert weer lekker te scoren bij zijn baas.

En so what, manipuleer je ov kaart en ga ermee reizen, is een paar maanden geleden nog een gepakt. Ze zien dat. Niet als je het 1 keer voor de lol doet, maar er is een check op een kaartnummer of die wel is bijgeladen etc enfin dat kun je zelf verzinnen.

De GPS blokkeren dat gebeurt dus wel, ik heb in de schaarse busreizen me weleens afgevraagd waarom die schermen voorin weleens uitvallen maar nou snap ik het. Zit er een of ander kind met zo'n chinese stoorzender aan boord, en die wil goedkoop naar huis.
Da's dus een kwestie van tijd tot er lui met een veldsterktemeter rondlopen in de bus en dan iemand op de bon slingeren in het kader van de Telecomwet. Dat zijn leuke boetes...

Heerlijk. Ik heb er ook een. Maar dan voor GSM en UMTS Maar dat is zeer waarschijnlijk niet de reden hoor Forza! !

Met zoveel reizigers vooral rond de spits zal het denk ik toch lonend zijn. Een tijd lang heb ik op een traject bijgehouden hoe vaak ik werd gecontroleerd. Dat was dermate weinig dat theroretisch geen kaartje (zwart rijden dus) goedkoper was.



Google, en diverse forums kom je vaak al een heel eind. Daarbij hebben veel mensen in hun vriendenkring wel een hobbbyist. En het is een kwestie van tijd voordat er een tooltje uitkomt die idioot proof is.


Ik denk dat het opvalt als zo'n controle langskomt en dat de stoorzender dan uitgeschakeld wordt. Volgens mij kan je fouileren nog weigeren. Dat laaste weet ik dus niet zeker.

Ik weet dat het niet goed is, maar ik rijd altijd zwart.

Sneltram Nieuwegein <-> Utrecht. Retour is 8 strippen is omgerekend 4 euro. Een bekeuring zwartrijden is iets van 35,- euro. Eén boete per negen keer zwartrijden ben je al goedkoper uit.

Ik rijdt nu ongeveer 3 jaar zwart. Laat zeggen eenmaal per week. Dat zijn 150x 4 euro = 600 euro. Ik kan dus nu 17x gepakt worden voordat ik verlies maak.

Ben tot nu toe 1x gecontroleerd. Echter was ik alvast aan het wandelen naar de tramdeuren, toen ik in de verte de controleurs zag staan. Een sprintje naar de chipautomaat midden in de tram en snel een kaartje gekocht. Kon bij het uitstappen gewoon doorlopen.

Ik moet wel zeggen dat de controles flink aangescherpt zijn afgelopen weken. Heb de afgelopen tijd veel controleurs in andere trams of op de perrons zien staan.

Dat stukje is ook echt krankzinnig duur voor wat je krijgt (duurt ook nog vrij lang).

Ik koop het blad PC-Aktive wel elke keer trouw. En ze plaatsen wel eens vaker dit soort artikelen, zoals over de km-heffing, thuiskopie, technologie.vs.privacy ... Altijd wel interessant om te lezen.

Dit chipknip artikel moet ik zelf nog lezen, ik begin altijd voorraan in een tijdschrift.

Vandaag voor het eerst een boete zwartrijden mogen ontvangen. Controle op Utrecht Centraal in de bus. Blijkt de boete maar € 25,- te zijn

In Rotterdam zou de pakkans volgens zeggen groter zijn, althans de metro.

prima systeem hoor, dat ze van mijn belastinggeld gemaakt hebben.

Leuk he zon land die miljarden weggooit....

Echt Nederland. Japan had een systeem klaar, die werkte goed en kon NL overkopen. Neeeee dat maken wij zelf wel even.

Zoveel miljard weg en nog geen werkend systeem!

We gaan met z'n allen het OV-schip in...

Alleen als je een geldige kaart hebt, anders kom je er niet op..

LOL !