Dagblad Tubantia/Twentsche Courant

April 14, 2008

'Chipkaart kwestie van opnieuw beginnen'

SECTION: GEHELEOPLAGE; Page: A06 (7)

LENGTH: 718 words

 HIGHLIGHT:
 Onderzoekers ontdekken grote gaten in beveiliging ov-kaart.

 
 NIJMEGEN Een nieuwe ontdekking van chiponderzoekers aan de Nijmeegse Radboud Universiteit toont aan dat met een alledaagse laptop lukt om binnen enkele seconden de gegevens van de ov-chipkaart te kraken. Door die gegevens te kopieren is het volgens de wetenschappers van de universitaire onderzoeksgroep Digital Security eenvoudig te frauderen en te reizen op andermans rekening.
 Volgens onderzoeker dr. Wouter Teepe is het onmogelijk om in geval van fraude straks uitsluitend illegale kopieen van de chipkaart te blokkeren. Exploitant Trans Link kan volgens hem nooit vaststellen welke van de twee kaarten met hetzelfde nummer de echte kaart is en welke de kopie. Bij blokkering wordt dus altijd een onschuldige reiziger gedupeerd. Zo lijkt de door voormalig Philipsdochter NXP in Nijmegen gemaakte chip - die wordt gebruikt door Translink - nu toch wel de doodsklap te hebben gekregen vanuit de Radboud Universiteit. Voor de wetenschappers is het verhaal nu wel ongeveer klaar. Ze hebben hun punt gemaakt. Opnieuw beginnen en nu goed, luidt het advies. Terugblikkend denkt Teepe dat er in de hele beveiligingssoap op twee plaatsen een verkeerd besluit is genomen. Het belangrijkste was dat de chipontwikkelaars - toen nog Philips semiconductors - in te grote beslotenheid hebben gewerkt. Philips had royaal experts van buiten, wetenschappers en zelfs hackers de gelegenheid moeten bieden te schieten op de beveiliging.
 Teepe: "Als er een zwakte in het systeem zit wordt dat vrijwel zeker door iemand opgemerkt. Daar doe je dan wat aan als fabrikant. Na een paar verbeterrondes is je chip dan zo verbeterd dat niemand er meer een gat in kan schieten. Pas dan heb je waarschijnlijk wel een
 goed systeem ontwikkeld."
 De voorzichtigheid van de fabrikant is wel verklaarbaar aangezien Aziatische bedrijven maar al te graag met openbare gegevens aan de haal gaan. Een Taiwanese concurrent zou dezelfde chip vervolgens goedkoop op de markt kunnen brengen omdat men er zelf geen ontwikkelkosten in heeft zitten. Philips had dit probleem destijds kunnen ondervangen door alleen de beveiligingscomponent van de chip openbaar te maken, zodat veel experts die hadden kunnen testen.
 De tweede ligt buiten het veld der wetenschap en is commercieel. De bedrijven achter de ov-jaarkaart konden de verleiding niet werd
 weerstaan aan de commerciele verleiding anno 2009 een chipkaart in te voeren met reeds afbetaalde chiptechnologie uit een vorig decennium. De melkkoe die deze succesvolle chip was is iets te lang uitgemolken, vermoedt de onderzoeker. Hoezeer de beveiliging achterhaald is blijkt nu de chip met de eerste de beste computer te kraken is. Teepe: "NXP heeft veel betere chips gemaakt, en er zijn best wel chips van dat bedrijf die hartstikke goed zijn. Maar die zijn een stuk duurder. Maar als degenen die de chipkaart invoeren dan moeten kiezen tussen een goedkope en een dure chip is het niet zo verbazingwekkend wat er nu allemaal is gebeurd."
 Dat de laatste Nijmeegse onthullingen over de kraakbare chip samenvallen met de politieke actualiteit van de presentatie van de contra-expertise is toeval, zegt de onderzoeker.
 Sinds een aantal jaren worden in Nijmegen op verzoek van banken (chipknip) en de Nederlandse staat (paspoort) alle mogelijke systemen getest.
 Aan de ov-chipkaart begon de onderzoeksgroep Digital Security in diezelfde tijd min of meer spontaan, omdat niemand anders het ding tegen het licht leek te hebben gehouden. "Ons vak is computerbeveiliging en daarin ligt ook een maatschappelijke verantwoordelijkheid. Als wetenschappers een brug zien met een hele grote constructiefout dan geven ze ook aan dat het niet verstandig is daar zwaar vrachtverkeer over te laten rijden. Als systemen niet goed zijn dichtgetimmerd geven wij dat aan en dan is het verstandig als de probleemeigenaren daar iets mee doen."
 Enige schik heeft hij wel in zijn werk. "Als wetenschapper is het een kick. Ook wetenschap is soort markteconomie. Je krijgt voor twee dingen punten: a. Als je een systeem maakt dat geen fouten heeft, en b. als je fouten vindt in een systeem van iemand anders die zegt dat er geen fouten in zitten. Zo werkt het spel, zo ontstaan de beste en veiligste systemen. Wetenschappelijk gezien is het leuk, maatschappelijk gezien is het nu heel sneu."

LOAD-DATE: April 15, 2008

LANGUAGE: Dutch

PUB-TYPE: NEWSPAPER

© Copyright 2008. Wegener Nieuwsmedia BV. All Rights Reserved