Wij laten automatisering
voor u werken
radecom

Onzichtbare OV-chiphack vrij beschikbaar - UPDATE2

Op internet is software verschenen om zelf de OV-chipkaart in te checken. Geen controleur die de aanval kan ontdekken. Ook het bedrijf achter de kaart heeft niets door. Iedereen kan nu gratis reizen.
De programmatuur werd aangeboden via het forum van OV-chipkaart.org, maar de link naar de software werd verwijderd door de beheerders van het forum, die er niets mee te maken willen hebben. De maker, die zichzelf OVKipje noemt, belooft de broncode van de programmatuur binnenkort beschikbaar te stellen. Het programma biedt hij wel al via zijn blog aan.

Eerder deze maand toonden onderzoekers al software waarmee reizigers zichzelf kunnen in- en uitchecken. Deze software is destijds niet aan het publiek vrijgegeven. De applicatie van OVKipje verandert die situatie.

Doordat de software een OV-chipkaart in- en uitcheckt, hoeft de zwartrijder niet meer langs paal op het station. Daarmee is detectie door zowel conducteurs als in de fraudedatabase van Trans Link Systems onmogelijk. Deze kaarten worden daarom ook niet geblokkeerd.

Functionele hack

Dat deze hack werkt, bleek afgelopen maand. Uw verslaggever reisde een week door zichzelf in te checken en gebruikte daarvoor een door de NS wegens fraude geblokkeerde kaart. Tientallen conducteurs hadden niets door.

De nieuwe tool is geavanceerder dan de eerdere software, die nooit beschikbaar kwam voor een breed publiek. Hij werkt door een kopie van een kaart aan te passen. De reiziger kiest zijn eigen incheck-station, datum en tijd. Vervolgens wordt de gemodificeerde kopie naar de kaart terug geschreven.

Om zwart te reizen is naast de speciale software ook een RFID-reader nodig. Deze zijn in de vrije handel eenvoudig te krijgen.

Stortvloed aan applicaties

Op internet is de afgelopen weken een stortvloed aan OV-chipapplicaties verschenen. Eerder kwamen al tools online om de kaart te kraken, te beschrijven, kopieën te maken en het saldo op de kopie aan te passen. Ook een applicatie om alleen snel het saldo aan te passen kwam beschikbaar.

Inmiddels wordt er in hackerskringen gewerkt aan een applicatie om een studenten OV-kaart aan te passen. Bezitters van een weekendkaart kunnen dan door de week ogenschijnlijk een weekkaart hebben en omgekeerd. Al kan deze hack wel worden ontdekt in bus, tram of metro als TLS de administratie op orde heeft, toch zal ook hier een conducteur niets doorhebben.

De stortvloed aan OV-chiphacks is een gevolg van de ondermaatse beveiliging van de kaart. Hoewel experts al sinds 2008 waarschuwen voor de mogelijke gevolgen, hebben vervoersbedrijven, politiek en overheid ervoor gekozen om de onveilige kaart te handhaven.

Drempel overschreden

"Jammer dat wat als het blootleggen van kwetsbaarheden begon, nu een crimineel trekje krijgt. Een gevaarlijke drempel wordt overschreden", reageert een voorlichter van de NS. Voor hem is het duidelijk dat dit niet meer gaat om het maken van een punt. "Fraude is van alle tijden en alle betaalmiddelen. Samen met TLS zal NS zich inspannen om de pakkans zo groot mogelijk te maken."

Inmiddels is het blog met de software door WordPress verwijderd, omdat OVKipje de gebruikersvoorwaarden heeft overtreden. Ook is de link naar het bestand zelf verdwenen. Wel blijkt de The Pirate Bay nu een kopie van de software te hosten.

Bron: webwereld.nl