DEN
HAAG, 7 FEB 2011 - Sinds zaterdag is er
nieuwe software beschikbaar waarmee het nu in minder dan een minuut
mogelijk is om het saldo van een OV-chipkaart probleemloos op te krikken.
Het is zelfs mogelijk om van tevoren in te checken voor een busreis.
Dat
blijkt uit nieuw onderzoek van journalist Brenno de Winter, ditmaal
voor Webwereld.
Op
internet is nieuwe software
verschenen, de OV Saldo Read Writer, waarmee nu vele malen sneller een
OV-chipkaart kan worden gekraakt. Met de vorige software duurde het
kraken soms wel enkele uren, met de nieuwe versie is de kraak al in
minder dan een minuut mogelijk.
De
snelheidswinst heeft te maken met de manier waarop de software werkt.
In plaats van het kraken van een hele OV-chipkaart wordt nu alleen de
cryptografie - de beveiligingssleutel - van het onderdeel dat het saldo
op de kaart beheert, achterhaald. Ook door andere implementatiefouten
met betrekking tot de veiligheid van de kaart door Trans Link Systems,
is de kraak gemakkelijker geworden.
Bij
een goede implementatie wordt het lezen en schrijven van het saldo op
een OV-chipkaart door twee verschillende sleutels gedaan. Bij de Nederlandse
OV-chipkaart is ervoor gekozen om voor het lezen en schrijven van het
saldo gebruik te maken van dezelfde sleutel in plaats van twee aparte.
Door deze fout hoeven extra controles niet te worden uitgevoerd, waardoor
het kraken van de kaart vele malen sneller gaat: zo'n 40 maal sneller
zelfs.
Het
programma voor het thuis inchecken van de OV-chipkaart - OV-stations.exe
- is uitgebreid met extra functies, waardoor het hiermee ook mogelijk
is geworden om een check-in voor een busreis van tevoren uit te voeren.
Via een mobiele telefoon kan het check-in-geluid van de automaat worden
afgespeeld, zodat de buschauffeur niet doorheeft dat er niet echt wordt
in gecheckt.
Overigens
zijn er met deze nieuwe applicatie meer zwakheden blootgelegd. Zo blijkt
het niet langer noodzakelijk om het saldo onder de 150 euro te houden,
zoals volgens de regels van het OV-chipsysteem wel zou moeten. Een proef
met 170 euro leverde voor het reizen en de controle geen probleem op.
Bij het verhogen van het saldo was fraude voor controleurs detecteerbaar,
omdat de gebruikte kaart wel een groot saldo had maar niet de bijbehorende
transacties om het saldo op te laden.
-
- - - - - - - - - - -
-
- - - - - - - - - - -
Geef
je mening:
hahahahahaaay - February 08, 2011 - 03:47 pm Je moet hem niet kraken door / voor gratis te reizen, maar dat er saldo wordt gestort ipv afgeschreven..
Home
..
|