ov-chipkaart: in het nieuws
written on Saturday, February 19, 2011
Toen de UniversiteitsKrant woensdag een aankondiging op hun site plaatsten over de door Michiel Prins (van Online24) en mij uitgevoerde hack op de ov-chipkaart begonnen steeds meer media dit op te pikken. De aankondiging was zeer beperkt in inhoud, en de interviewer hield zo veel mogelijk informatie voor zichzelf, waardoor er hier en daar wat gespeculeerde berichten voor waar werden aangenomen en verkeerde formuleringen werden overgenomen. Tot dat moment waren nog nergens onze namen genoemd. De UK zou echter de volgende dag met een artikel inclusief foto en namen komen, dus om problemen te voorkomen hebben we ons uiterste best gedaan om de berichtgeving zo om te vormen dat we daar wel bij naam in genoemd wilden worden.
Na wat overleg over wat we het beste konden melden, en hoe we dit zouden verwoorden begonnen we contact op te nemen met de media waarvan we vonden dat die hun berichtgeving in sommige opzichten beter konden bijstellen. Michiel heeft uitgebreid verhaal gedaan bij het ANP, ik nam contact op met Webwereld. Later heb ik nog een kort telefonisch interview met de NOS gehad en werd Michiel gebeld door iemand van het Dagblad van het Noorden.
Mijn telefoontje met Webwereld duurde bijna een half uur, en Michiel en ik waren heel benieuwd wat er met die informatie zou gaan gebeuren. Het duurde niet lang of het volgende artikel stond online:
Studenten ov-chipkraak moet 'wereld verbeteren'
De studenten ov-chipkaart is gekraakt om "de wereld een klein beetje beter te maken". De kraker heeft niet de bedoeling om de software te gaan verspreiden, hij wil aantonen dat het makkelijk kan.
De 21-jarige student Technische Informatica van de Hanzehogeschool in Groningen heeft de studentenvariant van de ov-chipkaart verder gekraakt om verdere fouten in het systeem bloot te leggen. De student wil voorlopig nog niet met zijn naam in de media verschijnen, zijn gegevens zijn bekend bij Webwereld.
Hij legt uit dat hij van de hogeschool een opdracht kreeg om te kijken hoe makkelijk het was om Mifare-chips te kraken die in de medewerkerskaart van de hogeschool worden gebruikt. Vervolgens werd het plan opgevat om de ov- chipkaart verder uit te kleden. "Als vanzelf zijn we meerdere soorten kaarten gaan pakken", legt de tweedejaars student uit. "En ik heb daarbij hulp gehad van beveiligingsbedrijf Online 24." Bij dat bedrijf werkt ook een student van de Hanzehogeschool, maar die is niet vanuit de school betrokken geweest bij de kraak.
Ethische hack
Het beveiligingsbedrijf stond hem bij in het onderzoek. "Er zijn wel andere mensen mee bezig, maar het is natuurlijk leuker om er zelf mee te knutselen." Vooral omdat het zo vebazingwekkend makkelijk is om een dergelijk duur systeem te kraken. "Het viel ons op dat de security van het systeem ver beneden de verwachting ligt van wat je bij een project van 3 miljard verwacht."
De student heeft veel gehad aan de samenwerking met Online 24. Volgens hem heeft dat bedrijf veel ervaring met ethische hacks. Hij benadrukt dan ook dat het om een ethische hack gaat. De actie is dus niet te vergelijken met de kraak van hacker OVKipje, die actief een softwareprogrammea verspreidde om de ov-chipkaart te kraken.
Uiteindelijk werd in samenwerking een simpel Python-tooltje in elkaar gedraaid. "Met gewone legale tools kun je een dump van je kaart afhalen, die dump kun je dan aanpassen met zo'n scriptje en vervolgens kun je hem terugzetten op je kaart", legt hij uit. Er zou erg weinig informatie aangepast hoeven worden om die zogenaamde reisproducten, zoals een week- of weekend-ov, op een anonieme ov-chipkaart te zetten.
Er is ook niet gereisd met de gehackte studenten ov-chipkaart. Wel is iedere keer bij een NS-automaat op het station getest of de hack goed gelukt was. "Dan komen er steeds meer bitjes bij elkaar en dan weet je dat het goed is."
Anonieme kaart
Voor het maken van de dump is bewust een anonieme kaart gebruikt. "Dat is sowieso iets waarmee je niet met een studentenreisproduct mee kan reizen. Maar het feit dat je een anonieme kaart waar al een week-ov van is gemaakt vervolgens om kan vormen tot weekend-ov, en de automaat ziet dat als geldig weekend-ov, dan zegt dat genoeg. Verder hoeven we niet te gaan."
Het was daarom volgens hem ook niet nodig om te bewijzen dat het daadwerkelijk met een studenten ov-chipkaart kan. Dat dit mogelijk is bewijst dat het ook met andere kaarten kan. Het bijschrijven van een weekend-ov op een studenten ov-chipkaart met week-ov is volgens hem mogelijk, net zoals het plaatsen van jaarabonnementen van de NS op een willekeurige ov-chipkaart. "Als we verder gaan in proberen, dan zitten we weer te dicht bij de kaders van de wet", vindt hij. "Het moet wel onderzoek blijven, we moeten niet alles wat we kunnen vinden omschoppen en exploiten. Het is gewoon onderzoek."
Wel is er bij een conducteur gekeken wat er uit te lezen was uit de anonieme kaart met het studentenreisproduct. "Het enige wat hij kon zien is dat het een weekendkaart was. En dat product klopte helemaal." Het enige unieke aan een ov-chipkaart is de unieke identifier van de Mifare- chip, en het enige wat aangepast wordt is het type product.
Wereld verbeteren
Ondanks dat hij niet met naam en toenaam in de media wil verschijnen, maakt de student zich niet heel erg druk over mogelijke acties van Trans Link Systems (TLS), die verantwoordelijk is voor de kaart. Hij wijst erop dat er niets gaat gebeuren met de software die nu werd ontwikkeld. De kans is groot dat het programma uiteindelijk wordt vernietigd.
"Het doel van ons is gewoon de wereld verbeteren, op klein niveau", aldus de 21-jarige ethische hacker in de dop. "Als dat betekent dat de ov- chipkaart weggaat, dan vinden wij dat goed. Als dat betekent dat er een veiliger systeem komt, dan vinden wij dat ook goed. We hebben er geen andere doelen mee. Het is gewoon zorgen dat het niet meer zo gaat als het nu gaat. Want van een systeem van 3 miljard verwachten we toch iets fatsoenlijkere security."
—artikel op webwereld.nl
Het ANP kwam ook snel met een update van de informatie, en deze nieuwe informatie stond vrijwel direct daarna op nu.nl. Het Dagblad van het Noorden stuurde die middag nog een fotograaf zodat ook zij de volgende dag een foto bij het artikel konden plaatsen. Die dag had ik de eer een krantje af te rekenen waar ik op de voorpagina stond.
Het verhaal stond, inclusief een grote foto, midden op de eerste dubbele pagina. Het mag dan wel een regionale krant zijn, maar het was toch even groot nieuws.
