Gratis reizen door hack OV-kaart?

tags:
Userpica

Een nieuwe tegenslag voor de OV-chipkaart. Duitse hackers hebben de code gekraakt van de rfid-chip die in de kaart is verwerkt, zo meldt de Volkskrant. Wat de gevolgen daarvan precies zijn, is nog niet helemaal duidelijk, maar het zou onder meer kunnen betekenen dat reizigers straks gratis kunnen reizen.

Trans Link Systems (de organisatie achter de OV-chipkaart) en chipproducent NXP bagatelliseren de hack. Volgens hen zijn er ook andere maatregelen genomen om de kaart te beveiligen. Hacker Rop Gonggrijp moet daar om lachen. 'Deze chipkaarttechnologie is weg, stuk, niet meer te gebruiken', zegt hij in de krant.

De hackt leidt ongetwijfeld tot een politiek debat over de toekomst van de chipkaart. In Rotterdam, waar de chipkaart al is ingevoerd, wil GroenLinks al een spoeddebat in de gemeenteraad. Gonggrijp roept in de media vandaag op om met het gebruik van dit type chip te stoppen. Dit krijgt vast een staartje, want de OV-chipkaart is een gevoelige privacykwestie: het achterliggende systeem slaat al je reisgegevens op in een databank.

Volgens Gonggrijp is een voordeel dat er nu gekozen zou kunnen worden voor een betere chip met privacybeveiliging, als de huidige wordt gedumpt. Op de site Ov-chipklacht.nl van GroenLinks Rotterdam hebben zich ook twee mensen gemeld die zeiden dat hun chipkaart was gehackt.

door Maarten Reijnders, 08-01-2008 14:18 24 reacties, 4242 views

Suzy, 6 jaren geleden
afbeelding van Suzy
Van mij mag het nog heel lang duren. Met Hi-Speed (Roosendaal geen stop meer?) en het weer 'ns wijzigen van de dienstregeling verwacht ik een flinke vergoeding - en nog wat extra's als ik gratis m'n reisgegevens afgeef.
bezoekertje, 6 jaren geleden
afbeelding van bezoekertje
Ik vindt het maar een kutsysteem en oplichterij, ik heb hem zelf ook aangevraagd, en ben er absuluut NIET blij mee, HEEN TERUG kost al gauw 4 Euro. Dus als je een maand wil reizigen kom je al gauw op 96 Euro, dat is 4.05 Euro meer dan een Stamkaart Abonnement. Ik gebruik momenteel Abonnement, maar dat kost ook ontiegelijk duur, 3 Zone's (3 Sterren) 91.95 voor een Maand. De beste alternatief was de OV-Jaarkaart van de IB-Groep.
dhr. B. Ezoeker, 6 jaren geleden
afbeelding van dhr. B. Ezoeker
Dat ze me maar gewoon gaan betalen voor alle reisdata en andere privézaken die ze van me willen hebben. Ik weet niet waar de overheid mee bezig is, maar als een 'verkeerd persoon' dit in zijn macht krijgt is het einde zoek...
bezoeker, 6 jaren geleden
afbeelding van bezoeker
http://video.google.com/videoplay?docid=4252367680974396650&hl=en uitleg over hoe het RFID te kraken is
Jeannine, 6 jaren geleden
afbeelding van Jeannine
Kunnen chips van betaalkaarten intussen ook gehackt worden? Is het waar dat er al apparaatjes bestaan die op zo'n kaart de PIN-code af kunnen lezen uit de chip of de magneetstrook, zodat een eventuele fraudeur die kaart dan kan misbruiken?
Arjan, 6 jaren geleden
afbeelding van Arjan
Kunnen chips van betaalkaarten intussen ook gehackt worden?

De chips van betaalpassen zijn in ieder geval beter dan de magneetstrip die geskimmed kan worden. Kijk een beetje uit in wat voor machine je die betaalpas stopt, dat kan meer ellende voorkomen dan angst over het kraken van de chip op die pas.

Jeannine, 6 jaren geleden
afbeelding van Jeannine
Aan Arjan: het probleem is, dat mijn pasje gerold en misbruikt is met een schade van 3.000 €, zonder dat men mijn PIN-code kon weten. Maar die PIN zit wel verwerkt in de magneetstrip en chip om herkend te kunnen worden bij gebruik. Vandaar mijn vraag: is scimmen misschien niet meer nodig dan?
Arjan, 6 jaren geleden
afbeelding van Arjan

Tja, Jeannine, dat zou dan groot nieuws zijn. Ik denk echter dat de banken zullen zeggen dat je pin-code toch ergens afgekeken is, in jouw geval dus voordat je pasje gerold werd...

Voor wat ik ervan weet staat er geen informatie over de pincode op de magneetstrip. Maar... tegelijkertijd heb ik in 1996 zelf meegemaakt dat een verandering van een pin-code op een ABN-Amro pas (je mag daar zelf je pin-code kiezen) wél in de centrale computers in NL was doorgevoerd, maar "niet op de kaart zelf"... Gevolg: geen problemen met geld opnemen in NL, waar er altijd een online verbinding met de centrale computers is, maar wel problemen in het buitenland.

ABN-Amro heeft de extra gemaakte kosten toen vergoed, met als uitleg dat geldautomaten die geen verbinding hebben met de centrale computer in NL toch iets met die magneetstrip kunnen om te kijken of je pin-code klopt. Maar: dat lijkt mij allemaal erg sterk, want zoiets is niet geheim te houden... Want als er wél iets op de magneetstrip zou staan en de precieze manier bekend zou zijn, dan zou het érg makkelijk zijn om alle 10.000 mogelijke pincodes een voor een te vergelijken met die magneetstrip.

Een chip is veiliger, want kan niet gekopieerd worden. De pin-code op een chip is bovendien nooit te lezen. Het enige dat je kunt is de chip vragen of een bepaalde pin-code klopt, en zo niet dan volgt er na drie keer een blokkade van de chip en moet je de pas weggooien. Ook dat is natuurlijk theorie: de banken lopen niet te koop met de precieze werking en de gedupeerde klanten weten elkaar niet te vinden (zie www.pinpasfraude.nl). Maar ook daar geldt: grote fouten zijn niet geheim te houden dus hadden inmiddels wel bekend moeten zijn...

jeannine, 6 jaren geleden
afbeelding van jeannine
@ Arjan: dan heb ik toch nieuws voor je. In mijn gestolen portefeuille zaten een Maestro ING betaalkaart en een VISA kaart, zonder ook maar één enkele verwijzing naar een PIN-code. Bij telefonisch contact met VISA, werd me voor waar meegedeeld dat de PIN-codegegevens in de magneetstrip van de betaalkaart verwerkt zijn. Maar niet zo in de VISA kaart. Daar is altijd een terminal nodig met een on-line verbinding met de VISA computer, legde men me uit. Bij Maestro niet: de warenhuizen bufferen hun snelle afrekeningen en geven die dan gezamenlijk door in de daluren. Dus! Toen ik dit besprak met de klantendienst van ING werd dit niet ontkend. Hun enige reactie was: "Wie heeft u dat verteld?" Natuurlijk heb ik de naam van de VISA contactpersoon niet verraden.
Jeannine, 6 jaren geleden
afbeelding van Jeannine
@ Arjan: nog iets. Ik nam ook contact op met TROS Opgelicht. Die antwoordden me: "Het zou kunnen dat uw pas door een apparaat werd gehaald dat de hele kaart kopiëerde, maar het fijne weten we er ook niet van" Wie weet er wel het fijne van?
Arjan, 6 jaren geleden
afbeelding van Arjan
Bij telefonisch contact met VISA, werd me voor waar meegedeeld dat de PIN-codegegevens in de magneetstrip van de betaalkaart verwerkt zijn.

Dat zou dan kloppen met het verhaal van mijn ABN-Amro pasje in 1996. Dat zou ook betekenen dat de terminals in de winkels een geheime code weten waarmee ze de pincode kunnen controleren met de gegevens op de magneetstrip. Als dat zo is, dan blijft mijn stelling dat dit nooit lang geheim kan blijven omdat er veel te veel bedrijven zijn die dergelijke terminals (en geldautomaten) maken.

In het iets veiligere geval zouden alleen enkele grote bedrijven, en centrale computers in verschillende landen, de geheime code kennen, zodat die door minder mensenhanden gaat. Maar zelfs dan moet er bij het ontwerp toch bedacht zijn dat het openbaar worden van die geheime code het hele Maestro netwerk open zet... En hierover moet dan toch iets op internet te vinden zijn.

En ja, dat zou dan wél met jouw verhaal overeenkomen :-(

Jeannine, 6 jaren geleden
afbeelding van Jeannine
@ Arjan : die geheime code MOET er wel zijn om de transactie door te laten gaan via een niet-verbonden winkelterminal. Hoe weet de terminal anders of de PIN-code ok is? Overigens ligt het systeem dan nog niet open want het is "geheim" (tot het gekraakt wordt natuurlijk). Zou dat de reden zijn dat er in de nieuwere Maestrokaarten nu ook een chip zit? @ Allen: wie weet meer?
jeannine, 6 jaren geleden
afbeelding van jeannine
@Arjan: hallo, ben je er nog?
Arjan, 6 jaren geleden
afbeelding van Arjan
Ja, maar ik krijg mijn reactie al ruim een week niet gepost, ook niet als plain text, maar misschien lukt het dan nu weer...
Arjan, 6 jaren geleden
afbeelding van Arjan
Ik kreeg deze reactie ook vanmiddag weer niet gepost met de simpele html-opmaak die ik wilde, dus: een dikke brei in 4 delen dan maar, zonder aanhalingstekens en andere dingen die mogelijk moeilijk zijn... Inderdaad, Jeannine, ALS de pin-code (deels) gecontroleerd wordt zonder verbinding dan moet er informatie over die code op de magneetstrip staan. Maar als het om landen gaat waar je een handtekening moet zetten dan kan een winkelketen de kosten van online controle (of de kaart niet gestolen is, en of er saldo is) afwegen tegen het risico dat ze geen geld krijgen.
Arjan, 6 jaren geleden
afbeelding van Arjan
De specificaties laten volgens http://tinyurl.com/372pas wel ruimte voor een pin-code (Google eftpos magnetic stripe data format voor meer): ===Track 3 has (..) no standard for the data content or format. Track 3 is not currently used by any national bank card issuer. In those rare systems where the PIN is stored on the card, this is the track where it is stored.=== Ik kan verder niks recents vinden over een versleutelde pin-code. Zo geeft eftpos pin track in Google groups interessante discussies, maar allemaal oud.
Arjan, 6 jaren geleden
afbeelding van Arjan
Zoals op http://tinyurl.com/2yh4c7 bijvoorbeeld het volgende: ===I have heard that on some systems, a (five digit) number is encoded on your card that is NOT your PIN. As a first check on the validity of your entered PIN, a complex mathematical formula is used to compare your entry to the encoded number. If that is valid, then the machine chats to the central database. If the central database is offline, then the machine will accept the input number. Note that the number of 4 digit PINs that will pass the complex mathematical formula is more than 1.=== Bovenstaande zou veilig kunnen zijn als deze formule zeg maar voor tientallen pin-codes een initieel akkoord geeft, zodat je bij het proberen van alle 10.000 pin-codes nog steeds veel meer dan 3 codes vindt die mogelijk goed zijn. Daarmee is de kans dus nog steeds groot dat de kaart na 3 foute pogingen geblokkeerd wordt. Maar ja, indien in gebruik en indien gekraakt dan vergroot dat de kans op het vinden van de juiste pin-code natuurlijk aanzienlijk.
Arjan, 6 jaren geleden
afbeelding van Arjan
In dezelfde discussie schrijft iemand anders trouwens: ===I cannot speak for ATMs but EFTPOS machines cannot read more than track 2. ATMs have the ability to check pins locally, EFTPOS machines do not.=== Maar ja, allemaal ik heb horen zeggen dat...
Arjan, 6 jaren geleden
afbeelding van Arjan
Nou, nu ik ineens drie reacties achter elkaar kon plaatsen (terwijl ik zeer vaak, met soms zeer lange tussenpozen, geprobeerd heb om bovenstaande op vele verschillende manieren geplaatst te krijgen en dat steeds tot een "geen toegang" leidde): misschien mocht ik de URL waar http://tinyurl.com/372pas naar verwees niet noemen. Het is een gok, maar ik probeer het na dit bericht nog een keer...
Arjan, 6 jaren geleden
afbeelding van Arjan

BINGO. De URL waar http://preview.tinyurl.com/372pas naar verwijst, wordt geweigerd. Daarna moet je blijkbaar bovendien 12 uur je mond houden, want je wordt daarna urenlang geblokkeerd. Dit bericht heb ik via een ander IP adres geplaatst.

Ik ben benieuwd op welke lettercombinaties het systeem reageert... Dan nog even mijn post zoals ik die ooit bedoeld had...


Inderdaad, Jeannine, als de pin-code (deels) gecontroleerd wordt zonder verbinding dan moet er informatie over die code op de magneetstrip staan. Maar als het om landen gaat waar je een handtekening moet zetten dan kan een winkelketen de kosten van online controle (of de kaart niet gestolen is, en of er saldo is) afwegen tegen het risico dat ze geen geld krijgen.

De specificaties laten volgens www.tech-faq.com wel ruimte voor een pin-code (Google "eftpos magnetic stripe data format" voor meer):

Track 3 has (..) no standard for the data content or format. Track 3 is not currently used by any national bank card issuer.

In those rare systems where the PIN is stored on the card, this is the track where it is stored.

Ik kan verder niks recents vinden over zo'n versleutelde pin-code. Zo geeft "eftpos pin track" in Google groups interessante discussies, maar allemaal oud. Zoals bijvoorbeeld het volgende:

I have heard that on some systems, a (five digit) number is encoded on your card that is NOT your PIN. As a first check on the validity of your entered PIN, a complex mathematical formula is used to compare your entry to the encoded number. If that is valid, then the machine chats to the central database. If the central database is offline, then the machine will accept the input number.

Note that the number of 4 digit PINs that will pass the complex mathematical formula is more than 1.

Bovenstaande zou "veilig" kunnen zijn als deze formule zeg maar voor tientallen pin-codes een initieel "akkoord" geeft, zodat je bij het proberen van alle 10.000 pin-codes nog steeds veel meer dan 3 codes vindt die mogelijk goed zijn. Daarmee is de kans dus nog steeds groot dat de kaart na 3 foute pogingen geblokkeerd wordt. Maar ja, indien in gebruik en indien gekraakt dan vergroot dat de kans op het vinden van de juiste pin-code natuurlijk aanzienlijk.

In dezelfde discussie schrijft iemand anders trouwens:

I can't speak for ATMs but EFTPOS machines can't read more than track 2. ATM's have the ability to check pins locally, EFTPOS machines don't.

Maar ja, allemaal "ik heb horen zeggen dat..."

jeannine, 6 jaren geleden
afbeelding van jeannine
@Arjan: dank je voor de waardevolle informatie. Zal je op de hoogte houden van verdere ontwikkelingen
jeannine, 6 jaren geleden
afbeelding van jeannine

@ Arjan: kijk eens op security.nl, dond. 21 feb. 2008, 10.29.

"Hacker kraakt en kloont creditcards"

tijdens de Black Hat conferentie in Washington werd "gedemonstreerd"
hoe men een creditcard kan klonen....... wilde weten wat er op de magneetstrip was te vinden.

Dit is toch niet meer "van horen zeggen"?

MrHackForLife, 4 jaren geleden
afbeelding van MrHackForLife

In de magnetische strip zit een Gé encodeerde code die aan de bank de pin code laat opzoeken via een telefoon kabel

Bolder, 3 jaren geleden
afbeelding van Bolder

3 jaar geleden al ernstig gewaarschuwd door Rop Gonggrijp.
En wat gebeurt er nu ?
Gratis reizen mbv eenvoudig te krijgen windows programmatje en een kaart lezertje van 30 euri.
Dus gaat men je sofi (BSN) nummer gebruiken...
Straks fraude door OV-Bendes met jouw sofi nummer en jij in grote moeilijkheden.
Den Haag en TLS: hartelijk bedankt !


NB: Om te kunnen reageren dien je aangemeld en ingelogd te zijn op de Bright Bunch, het gratis lidmaatschap van Bright. Je bekijkt dan de site bovendien advertentie-vrij.

Bright Bunch

inloggen aanmelden

Wie is nu Hier?

Er zijn momenteel 2 Bright Bunch leden en 137 bezoekers online.