de Volkskrant January 17, 2008 donderdag 'Geachte Kamerleden, zo kraak je dus de ov-kaart' BYLINE: Kim van Keken SECTION: BINNENLAND; Blz. 3 LENGTH: 525 woorden DATELINE: den haag SAMENVATTING: Tijdens een hoorzitting leggen specialisten uit wat de zwakke punten zijn in de beveiliging van de ov-chipkaart. VOLLEDIGE TEKST: den haag Zoals chipkaartkraakspecialiste Melanie Rieback het allemaal uitlegt, lijkt een aanval kinderspel. Een hobbyhacker koopt via internet een apparaat. Op dat machientje kan de dagchipkaart worden gekopieerd en vervolgens reist de bezitter onbeperkt gratis rond, vertelt de specialiste van de Vrije Universiteit in Amsterdam glunderend tegen een club atechnische Tweede Kamerleden. 'Tja', klinkt het vanuit de hoek waar de parlementariƫrs zitten. 'Zo kan je wetenschap ook bekijken.' Nou ja, verdedigt informaticaonderzoeker Wouter Teepe. 'Het is een eer voor de wetenschapper om een gat te vinden.' In publieke technologie welteverstaan, en dat gat vinden is vooral in het belang van de onwetende burgers, aldus de hackers. Gaten kunnen immers alleen worden gedicht wanneer ze zijn gevonden. En die zijn de afgelopen weken gevonden. Studenten in Duitsland ontrafelden de beveiliging rond de code van de vaste ov-chipkaart. En het is slechts een kwestie van maanden voordat die code (van de persoonlijke en anonieme kaart) is gekraakt, bevestigen alle experts. Dan is er nog de aanval op de ov-dagkaart die bestemd is voor toeristen en dagjesmensen. De sleutel op die kaart kwam deze week in handen van studenten uit Nijmegen. En dat terwijl de kaart 'extra' was beveiligd nadat de Vrije Universiteit in Amsterdam de code afgelopen zomer had bemachtigd. Kortom, de aanval op de Nederlandse ov-chipkaart (die 1 januari 2009 zou moeten worden ingevoerd) lijkt definitief geopend. En dat is niet vreemd, zeggen de hackers in de Kamer. Kraakexpert Rieback had het naar eigen zeggen 4jaar geleden al zien aankomen. Waarom is er dan niet eerder aan de bel getrokken? 'Wij hebben het wel gezegd, maar mensen geloven ons nooit. Totdat we het demonsteren, zoals nu.' Het systeem Mifare Ultralight dat wordt gebruikt in de dagchipkaart is toch wel redelijk verouderd, doceert Roel Verdult. De student promoveert op het hacken van de ov-chipkaart en demonstreerde de hele week op tv hoe simpel de dagpas te kraken. Hij spreekt de Kamer waarschuwend toe, volgens hem is het slechts een kwestie van tijd dat ook de persoonlijke en anonieme kaart is gekraakt. En daar staan geldbedragen op. Op die twee andere kaarten, simpel gezegd de abonnementen, is gebruik gemaakt van Mifare Clasics -- een iets duurdere chip. Rieback vraagt zich af waarom niet gekozen is voor de Mifare Desfire, een nog wat duurdere variant die in Madrid en Sydney volgens haar prima functioneren. 'Ook Tsjechiƫ gebruikt die chip voor het spoor.' Maar het is nog niet te laat, zegt de kraakspecialiste monter. 'We moeten nu denken aan de toekomst, pleisters plakken op dit systeem.' Hoeveel die pleisters kosten is onduidelijk. Producent Trans Link Systems kan pas volgende maand iets zeggen over de hersteloperatie na de aanvallen van de afgelopen weken. Vandaag debatteert de Kamer met staatssecretaris Huizinga van Verkeer over de problemen. De vraag die rondzoemt is wanneer ze de regie voor het project, die nu bij de vervoerders ligt, op zich neemt. LOAD-DATE: January 16, 2008 LANGUAGE: DUTCH; NEDERLANDS NOTES: Staatssecretaris moet regie voor het project; naar zich toe halen PUBLICATION-TYPE: Krant Copyright 2008 PCM Uitgevers B.V. All Rights Reserved