Dagblad De Limburger April 15, 2008 Tuesday VNR1 Edition 'Als wetenschapper is het een kick' SECTION: Blz. 4 LENGTH: 844 words Het is mogelijk om met een alledaagse laptop gegevens van de ov-chipkaart te kraken. Dr. Wouter Teepe vindt het onverstandig om met de huidige chip verder te gaan. NIJMEGEN Een nieuwe ontdekking van chiponderzoekers aan de Nijmeegse Radboud Universiteit toont aan dat het met een alledaagse laptop lukt om binnen enkele seconden de gegevens van de ov-chipkaart te kraken. Door die gegevens te kopiëren, is het volgens de wetenschappers van de universitaire onderzoeksgroep Digital Security eenvoudig te frauderen en te reizen op andermans rekening. Dr. Wouter Teepe, die deel uitmaakt van het onderzoeksteam van de Radboud Universiteit, vindt het onverstandig nog verder te gaan met de huidige chip. Zijn dringend advies: opnieuw beginnen en nu goed. Teepe heeft de methode van de Radboud Universiteit op 28 maart aan medewerkers van het ministerie van Verkeer gedemonstreerd. Toen had hij voor de kraak nog negen minuten nodig. Volgens Teepe is het onmogelijk om in geval van fraude straks uitsluitend illegale kopieën van de chipkaart te blokkeren. Exploitant Trans Link kan volgens hem nooit vaststellen welke van de twee kaarten met hetzelfde nummer de echte kaart is en welke de kopie. Bij blokkering wordt dus altijd een onschuldige reiziger gedupeerd. Zo lijkt de door voormalig Philipsdochter NXP in Nijmegen gemaakte chip - die wordt gebruikt door Translink - nu toch wel de doodsklap te hebben gekregen vanuit de Radboud Universiteit, een paar kilometer verderop. Voor de wetenschappers is het verhaal nu wel ongeveer klaar. Ze hebben hun punt gemaakt. Terugblikkend denkt Teepe dat er in de hele beveiligingssoap op twee plaatsen een, achteraf gezien verkeerd, besluit is genomen. Het belangrijkste was dat de chipontwikkelaars - toen nog Philips semiconductors - in té grote beslotenheid hebben gewerkt. Philips had royaal experts van buiten, wetenschappers en zelfs hackers de gelegenheid moeten bieden te schieten op de beveiliging. Teepe: Als er een zwakte in het systeem zit, wordt dat vrijwel zeker door iemand opgemerkt. Daar doe je dan wat aan als fabrikant. Na een paar verbeterrondes is je chip dan zo verbeterd, dat niemand er meer een gat in kan schieten." De voorzichtigheid van de fabrikant is wel verklaarbaar, aangezien Aziatische bedrijven maar al te graag met openbare gegevens aan de haal gaan. Een Taiwanese concurrent zou dezelfde chip vervolgens goedkoop op de markt kunnen brengen, omdat men er zelf geen ontwikkelkosten in heeft zitten. Philips had dit probleem destijds kunnen ondervangen door alleen de beveiligingscomponent van de chip openbaar te maken, zodat veel experts die hadden kunnen testen. De tweede fout ligt buiten het veld der wetenschap en is commercieel. De bedrijven achter de ov-jaarkaart konden de verleiding niet weerstaan anno 2009 een chipkaart in te voeren met reeds afbetaalde chiptechnologie uit een vorig decennium. De melkkoe die deze succesvolle chip was, is iets te lang uitgemolken, vermoedt de onderzoeker. Hoezeer de beveiliging achterhaald is, blijkt nu de chip met de eerste de beste computer te kraken is. Teepe: NXP heeft veel betere chips gemaakt, en er zijn best wel chips van dat bedrijf die hartstikke goed zijn. Maar die zijn duur. Als degenen die de chipkaart invoeren dan moeten kiezen tussen een goedkope en een dure chip, is het niet zo verbazingwekkend wat er nu allemaal is gebeurd." Gisteren ontving de Tweede Kamer de resultaten van een contra- expertise uit Londen naar aanleiding van een eerdere constatering van de Nijmeegse wetenschappers over rammelende veiligheid van de chipkaart die op 1 januari 2009 landelijk moet worden ingevoerd. De Britse wetenschappers moesten uitzoeken of een door TNO geadviseerde methode om de beveiliging provisorisch te verbeteren, werkt. Dat de laatste Nijmeegse onthullingen over de kraakbare chip samenvallen met de politieke actualiteit van de presentatie van de contra-expertise is toeval, zegt Teepe. Sinds een aantal jaren worden in Nijmegen op verzoek van banken (chipknip) en de Nederlandse staat (paspoort) alle mogelijke systemen getest. Aan de ovchipkaart begon de onderzoeksgroep Digital Security in diezelfde tijd min of meer spontaan, omdat niemand anders het ding tegen het licht leek te hebben gehouden. Reepe: Ons vak is computerbeveiliging en daarin ligt ook een maatschappelijke verantwoordelijkheid. Als wetenschappers een brug zien met een hele grote constructiefout dan geven ze ook aan dat het niet verstandig is daar zwaar vrachtverkeer over te laten rijden. Als systemen niet goed zijn dichtgetimmerd, geven wij dat aan en dan is het verstandig als de probleemeigenaren daar iets mee doen." Enige schik heeft hij wel in zijn werk. Als wetenschapper is het een kick. Ook wetenschap is een soort markteconomie. Je krijgt voor twee dingen punten: a. Als je een systeem maakt dat geen fouten heeft, en b. als je fouten vindt in een systeem van iemand anders die zegt dat er geen fouten in zitten. Zo werkt het spel, zo ontstaan de beste en veiligste systemen. Wetenschappelijk gezien is het leuk, maatschappelijk gezien is het nu heel sneu." LOAD-DATE: April 15, 2008 LANGUAGE: DUTCH; NEDERLANDS PUBLICATION-TYPE: Krant Copyright 2008 Media Group Limburg / Dagblad De Limburger All Rights Reserved