written on Friday, January 28, 2011
Met de recente media-aandacht wordt het nou eindelijk een keer duidelijk: de ov-chipkaart is slecht beveiligd. Het nieuws verspreidde zich in hoog tempo, kaartlezers waren in no-time overal uitverkocht en iedereen had het er over. Een kaartlezer kost 30 euro en hiermee kan met een simpel programma thuis ingecheckt worden, om vervolgens gratis en ondetecteerbaar met de trein te reizen. Maar, is dit alles?
Onderzoeksjournalist Brenno de Winter liet zeer duidelijk zien dat het slecht gesteld was met de beveiliging van het systeem. Weken lang reisde hij rond op een gemanipuleerde kaart, terwijl er aan alle kanten beweerd wordt dat het systeem wat TLS de 'backoffice' noemt deze manipulatie kan opmerken, en binnen een etmaal de kaart kan blokkeren bij vermoeden van fraude.
TLS heeft wel een punt dat ze bij anonieme ov-chipkaarten de kaart beter niet kunnen blokkeren, omdat ze het strafrechtelijk onderzoek dan in de weg zitten. Helaas zal vrijwel elke pleger van fraude met de ov-chipkaart het bij de anonieme kaarten houden. Als het systeem fraude kan detecteren, waarom zou je dan je naam en adres op een dienblaadje aan TLS leveren?
Het nieuwe, door Brenno bevestigde, probleem is dat er in de trein bij controle door de conducteur totaal geen informatie over de uitgelezen kaart bij TLS terecht komt, wat thuis inchecken een ondetecteerbare vorm van zwartrijden maakt. Zo kan de kaart niet alleen niet worden geblokkeerd, maar kan TLS überhaupt niet zien dat er iets niet klopt.
Volgens mij is dit nog maar het begin. De veiligheid van de ov-chipkaart is gebaseerd op geheimen en deze geheimen geven ze, in kleine porties, aan iedereen mee. Hoe meer kennis er over de inhoud van de kaart komt, hoe meer methoden er gevonden kunnen worden om te frauderen. Wellicht wordt er nog wel een truukje gevonden waarmee in alle vervoersmiddelen ondetecteerbaar gratis gereisd kan worden, zonder dat de conducteur/buschauffeur/poortjes ook maar een klein beetje argwaan krijgen. Hoe meer informatie er bekend wordt bij de 'hackers' of de onderzoekers, hoe meer mogelijkheden er gevonden kunnen worden.
We zijn nog maar net begonnen!
De huidige kaart is onbeveiligbaar. Wat er vandaag aan gefixt wordt, is morgen alweer omzeild. Invoeren van een nieuwe kaart helpt pas vanaf het moment dat het systeem de oude kaarten altijd weigert. Tot dat moment is er nog altijd met een oude kaart, desnoods verhuld als nieuwe, te frauderen. Wordt de huidige vorm van fraude de kop in gedrukt, dan wordt er wel weer een nieuwe gevonden. Ik zie ook wel dat het veel geld gaat kosten, maar het is de enige manier om dit goed op te lossen.
Daar komt nog weer bovenop dat bij nieuwe kaarten de technieken wel veiliger kunnen zijn, maar dit garandeert nog geen fraudeloos systeem. Hier is nog minstens het volgende bij nodig:
Het huidige systeem is veilig zolang de implementatie geheim is. De implementatie wordt echter in delen meegegeven, gewoon op de kaarten. Op zichzelf is dit nog geen bezwaar, maar het gemak waarmee nu een lek is gevonden (en waarschijnlijk meer gevonden zullen worden) geeft aan dat het ontwerp van het systeem in zijn geheel te wensen over laat. Of er met de nieuwe kaarten, en het bijbehorende nieuwe systeem, nu een open of geheim ontwerp wordt gebruikt: laat er van te voren wat (white hat) hackers op los, laat het onderzoeken door universiteiten, huur security-goeroes in! Hoe meer ogen op het ontwerp, hoe kleiner de bugs.
Bij problemen die onverhoopt na de invoering van het nieuwe systeem pas opgemerkt worden moet er bovendien de mogelijkheid bestaan deze na ontdekking alsnog de kop in te drukken. Met een beetje meer moeite bij het systeemontwerp kost dat TLS, en daarbij ons als reiziger en belastingbetaler, bij problemen minder geld om dit op te lossen.
Ook in andere opzichten is de inflexibiliteit van het huidige systeem, waar in 2007 al een reddingsplan voor werd gemaakt, nog in een groot aantal opzichten problematisch.
Wat mij betreft schrappen we dit hele systeem, en doen we een eventuele volgende keer wat rustiger aan.