OV-chip wordt hoe dan ook gekraakt ================================== NRC Handelsblad , 11/01/08. De vervoersbedrijven zeggen dat de ov-chipkaart veilig is. Maar informatici hebben er geen vertrouwen in. "Ingebruikname van het systeem had de prioriteit, veiligheid niet." Door onze redacteur Jos Verlaan Rotterdam, 11 jan. Het moet een horrorscenario zijn voor de vijf grootste openbaarvervoerbedrijven: een negatieve uitslag van het TNO-rapport over de veiligheid en betrouwbaarheid van de ov-chipkaart en vervolgens een geslaagde aanval van hackers op de beveiliging van de chipkaart zelf. Het is voorlopig gissen naar de uitkomst van dat TNO-onderzoek waar het bedrijf Translink Systems, eigendom van RET, HTM, GVB, Connexxion en de NS, opdracht toe heeft gegeven. Maar wetenschappers van formaat verwachten dat de chipkaart snel gekraakt wordt. Dat staat in een open brief van onder meer hoogleraar informatiebeveiliging Bart Jacobs, universitair docente informatica Melanie Rieback en hoogleraar informatica Andy Tanenbaum. "Een kwestie van maanden", zegt Melanie Rieback. Het illegaal kopiëren van kaarten, inclusief de mogelijkheid om te reizen op andermans kosten, is dan op grote schaal mogelijk. De vervoersbedrijven moeten dan de al verspreide chipkaarten, zo'n 1,4 miljoen vervangen. Dat zal de invoering van de ov-chipkaart aanzienlijk vertragen. Bovendien is onbekend of de nu geïnstalleerde aflees- en oplaadapparaten geschikt zijn voor die nieuwe kaart, aldus dr. Wouter Teepe, verbonden aan de Security of Systems Group van de Radboud Universiteit in Nijmegen. "Als daarin ook nog de hardware moet worden vervangen, is het een uitzonderlijk tijdrovende en kostbare operatie." Vooralsnog zeggen de vervoersbedrijven dat de huidige kaart veilig is. "Op een hackerscongres in Berlijn zijn onderzoekers er weliswaar in geslaagd om een deel van de beveiliging bloot te leggen, maar ze beschikken niet over de sleutels", aldus de formele reactie van Translink Systems "Dit deel van de beveiliging is slechts een kleine schakel in de totale keten van beveiligingsmaatregelen die de ov-chipkaart kent." Maar, staat in de open brief van de wetenschappers, "de getoonde problemen [zijn] dermate ernstig dat wij allen verwachten dat praktische aanvallen tegen deze kaart op afzienbare termijn uitgevoerd kunnen en zullen worden." De ov-chipkaart is door producent NXP (voorheen Philips Semiconductors) uitgerust met een zogeheten Mifare Classic chip. Datzelfde bedrijf levert ook duurdere, beter beveiligde chips, maar daar heeft Translink Systems niet voor gekozen. "Terwijl het onder experts algemeen bekend is dat het geen wijsheid is geweest om met deze chip te werken", aldus Teepe. "Als het om eenvoudige toepassingen gaat, kun je met zo'n laag veiligheidsniveau nog wel uitkomen. Maar de ov-chipkaart is persoonsgebonden met bovendien een koppeling aan de mogelijkheden van incassomachtiging en het opladen van geldtegoeden. Dat is wat anders dan vergelijkbare kaartjes voor tolpoorten in de metro van Parijs of Londen." De nu gebruikte chip is volgens Teepe slechter dan waar hij voor verkocht is. "En Translink Systems is ook niet slim omgegaan met de introductie ervan. Een select gezelschap ingenieurs heeft dat beveiligingssysteem in elkaar gezet. Maar les één van computerbeveiliging is nou juist dat je publiekelijk moet laten weten hoe je beveiligingsysteem in elkaar zit. Als er dan niemand gaten in weet te schieten, weet je dat je goed zit. Dat is allemaal niet gebeurd." Translink heeft een fout gemaakt door geen onafhankelijk beveiligingsprofessional in te schakelen, aldus Rieback. "Ingebruikname van het systeem had de prioriteit, veiligheid niet. Je zag dat vorig jaar toen twee studenten van de UvA in twee weken tijd de software van de anonieme chipkaart wisten te kraken en gratis konden reizen. Translink heeft haar beveiligingsprogramma volledig afgeschermd, maar onvoldoende beschermd." Rieback promoveerde vorig jaar op de risico’¡Çs van virusbesmetting van de ook in de ov-chipkaart gebruikte RFID-tags. Dergelijke microchips worden gebruikt voor identificatie van huisdieren of bagagelabels op vliegvelden. Die chips hebben zo'n beperkt geheugen dat het onaannemelijk werd geacht dat die ook besmet konden worden. Maar Rieback kwam er achter dat besmetting wel degelijk mogelijk is. Eén besmet bagagelabel kan de hele bagagedatabase van een vliegveld lam leggen. Of de technologie van de kaart daarmee beveiligd is, weet ze niet. "Translink geeft geen informatie vrij over dat soort zaken. Maar gezien de fouten die nu boven water komen, valt niets uit te sluiten." Een woordvoerster van Translink Systems bevestigde vanochtend dat TNO eerder betrokken is geweest bij onderzoek naar de betrouwbaarheid van het ov-chipkaartsysteem. "Maar dat beïnvloedt de onafhankelijkheid van het onderzoek niet. TNO is een toonaangevend instituut. Vooralsnog zien wij op basis van eigen onderzoek geen aanleiding om de kaart uit de markt te halen of de verdere uitrol te staken."