OV-chipkaart hacken

zaterdag 7 november 2009 16:20

Acties:

0 Henk 'm!

Topicstarter

Naar aanleiding van een aantal artikelen (online en offline) en dan met name dit stukje op Bright.nl leek het me interessant om een topic op GoT te openen over het hacken van je OV-chipkaart.

Al weer meer dan een jaar geleden verscheen dit artikel op Tweakers.net: nieuws: Opensource-applicatie om ov-chipkaarten te klonen verschenen. Erg interessant, want hierin (en in het artikel van Bright) wordt verteld dat het enorm eenvoudig is om te frauderen met je OV-chipkaart.

De methode in het kort:

Koop een anonieme OV chipkaart en zet er een bedrag op (laten we zeggen € 50,00)
Koop voor ongeveer 4 tientjes een RFID lezer/schrijver die je via USB aan je PC aansluit
Gebruik Crapto1 (GUI versie) om de gegevens van de OV-chipkaart naar je PC over te zetten
Ga een dagje reizen
Zet het oorspronkelijke bestand terug op je OV-chipkaart zodat je weer € 50,00 tegoed hebt

Klinkt allemaal reuze simpel, niet? Ik vraag me af of dat echt zo is en of wij allemaal in staat zijn om op deze manier het systeem te omzeilen. Als dat zo is, dan is het wat mij betreft krankzinnig dat dit systeem nog steeds gebruikt wordt en dat degenen die het bedacht hebben nog niet op straat staan.

In het kader van mijn onderzoek zal ik een dezer dagen zo'n RFID lezer/schrijver aanschaffen. Ik ben op dit moment op zoek naar een zo goedkoop mogelijke variant.

Zijn er Tweakers die hier al ervaring mee hebben? Is het allemaal te "mooi" om waar te zijn en kan dit eigenlijk helemaal niet?

Het enige obstakel wat ik me zou kunnen bedenken is dat het tegoed op je chipkaart ook in het systeem wordt bijgehouden. Op die manier loop je dus tegen de lamp bij het inchecken: het tarief op je chipkaart is dan hoger dan het zou moeten zijn. Ik betwijfel echter of het systeem dit kan: dat zou betekenen dat alle incheckpunten (dus ook in trams en bussen) continu in verbinding moeten staan met een centrale database.

Disclaimer: dit topic is niet bedoeld om mensen aan te zetten zwart te gaan rijden, maar om uit te zoeken of het OV-chipkaartsysteem echt zo beroerd beveiligd is als gezegd wordt. Ik heb toestemming gevraagd en gekregen om dit topic te openen.

omniscale.nl

zaterdag 7 november 2009 16:24

Acties:

0 Henk 'm!

anandus

Als dat zo is, dan is het wat mij betreft krankzinnig dat dit systeem nog steeds gebruikt wordt

Waarom?
Geen enkel systeem is feilloos.
Er zullen altijd malafide lui zijn die misbruik maken van een systeem en een beetje bedrijf houdt daar ook rekening mee in z'n bedrijfsrisico.

Net als dat supermarkten $bedrag incalculeren voor winkeldiefstal of valsemunterij, zou het me niet verbazen als het voor de OV-chipkaart ook het geval is.
Zeker aangezien de kaart al maanden if not jaren geleden gekraakt is.

Overigens had ik liever ook een veiliger systeem gezien, maar blijkbaar is de afweging tussen verschillende aspecten (prijs, praktijk, tijd, uitrol, etc.) zodoende dat met deze chipkaart voorlopig vooruit kan.

[ Voor 18% gewijzigd door anandus op 07-11-2009 16:25 ]

"Always remember to quick save" - Sun Tzu

zaterdag 7 november 2009 16:26

Acties:

0 Henk 'm!

posttoast

Topicstarter

anandus schreef op zaterdag 07 november 2009 @ 16:24:
[...]
Waarom?
Geen enkel systeem is feilloos.
Er zullen altijd malafide lui zijn die misbruik maken van een systeem en een beetje bedrijf houdt daar ook rekening mee in z'n bedrijfsrisico.

Net als dat supermarkten $bedrag incalculeren voor winkeldiefstal of valsemunterij, zou het me niet verbazen als het voor de OV-chipkaart ook het geval is.
Zeker aangezien de kaart al maanden if not jaren geleden gekraakt is.

Uiteraard, alles is te kraken. Maar het feit dat dit veel makkelijker te kraken is dan het ouderwetse treinkaartje of de strippenkaart vind ik nogal lachwekkend. Als dit echt zo simpel is voorzie ik dat straks grote groepen mensen het gaan doen, met als resultaat dat het openbaar vervoer voor mensen die wél netjes betalen een stuk duurder zal worden.

omniscale.nl

zaterdag 7 november 2009 16:27

Acties:

0 Henk 'm!

Verwijderd

posttoast schreef op zaterdag 07 november 2009 @ 16:20:

Het enige obstakel wat ik me zou kunnen bedenken is dat het tegoed op je chipkaart ook in het systeem wordt bijgehouden. Op die manier loop je dus tegen de lamp bij het inchecken: het tarief op je chipkaart is dan hoger dan het zou moeten zijn. Ik betwijfel echter of het systeem dit kan: dat zou betekenen dat alle incheckpunten (dus ook in trams en bussen) continu in verbinding moeten staan met een centrale database.

dat zou het sowieso moeten staan, anders word er helemaal geen tegoed afgeschreven?? of dacht je dat ze elke dag die automaten komen legen met als brievenbussen en er iemand die gegevens opnieuw bij zit te werken?

maar ik denk dat wel gebeurt. als de gegevens niet kloppen dat je kaart word geblokkeerd en je met iemand contact op moeten nemen en dat dan alles boven wat komt.

het liefst zou ik zeggen probeer het

zaterdag 7 november 2009 16:27

Acties:

0 Henk 'm!

Osiris

Ach ja, het is ook heel simpel om diefstal te plegen of ergens anders fraude te plegen. Zwartrijden sowieso loont op veel trajecten wel vanwege de lage pakkans.

De vraag is echter: doe je het niet, omdat je gepakt kan worden of doe je het niet, omdat het gewoon diefstal/fraude is?

zaterdag 7 november 2009 16:30

Acties:

0 Henk 'm!

posttoast

Topicstarter

Verwijderd schreef op zaterdag 07 november 2009 @ 16:27:
[...]
dat zou het sowieso moeten staan anders word er helemaal geen tegoed afgeschreven?? of dacht je dat ze elke dag die automaten komen legen met als brievenbussen en er iemand die gegevens opnieuw bij zit te werken?

maar ik denk dat wel gebeurt. als de gegevens niet kloppen dat je kaart word geblokkeerd en je met iemand contact op moeten nemen en dat dan alles boven wat komt.

het liefst zou ik zeggen probeer het

Als het tegoed op de pas zelf wordt bijgehouden (net als met een chipknip) dan hoeft het niet centraal bijgehouden te worden. Misschien zal de pas op een gegeven moment geblokkeerd worden (wellicht zijn bepaalde punten wél aan een centraal systeem gekoppeld), maar hoe snel is dat? Als ik voor €50 kosten voor €100 heb kunnen reizen heb ik een nieuwe pas er ruim uit natuurlijk.

En wat betreft het proberen: dat ga ik zeker doen, dat is de insteek van dit topic.

Osiris schreef op zaterdag 07 november 2009 @ 16:27:
Ach ja, het is ook heel simpel om diefstal te plegen of ergens anders fraude te plegen. Zwartrijden sowieso loont op veel trajecten wel vanwege de lage pakkans.

De vraag is echter: doe je het niet, omdat je gepakt kan worden of doe je het niet, omdat het gewoon diefstal/fraude is?

Natuurlijk zijn er altijd "brave" burgers die wel gewoon betalen (en buiten dit experiment om reken ik mijzelf ook tot die groep). Echter: volgens mij zijn nu de poorten open gezet voor heel veel mensen die iets minder
"braaf" zijn.

[ Voor 12% gewijzigd door posttoast op 07-11-2009 16:32 ]

omniscale.nl

zaterdag 7 november 2009 16:33

Acties:

0 Henk 'm!

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Na een paar dagen ontdekt een script op de backend dat een kaartje met een bepaald ID meer reist dan ie heeft opgeladen en hey presto, ID wordt in de blacklist gezet

Ja, de Mifare Classic is zo lek als een mandje, nee, daarmee is nog niet hele hele OV-Chipkaart systeem zo lek als een mandje. En ja, alle terminals synchroniseren met de back-end, zowel de oplaadpunten, als de in-/uitcheckpunten als de handheld terminals van de conducteurs. Sommige hebben continue verbinding, sommige worden één keer per dag of zo uitgelezen.

[ Voor 28% gewijzigd door Orion84 op 07-11-2009 16:36 ]

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

zaterdag 7 november 2009 16:35

Acties:

0 Henk 'm!

posttoast

Topicstarter

Orion84 schreef op zaterdag 07 november 2009 @ 16:33:
Na een paar dagen ontdekt een script op de backend dat een kaartje met een bepaald ID meer reist dan ie heeft opgeladen en hey presto, ID wordt in de blacklist gezet

Ja, de Mifare Classic is zo lek als een mandje, nee, daarmee is nog niet hele hele OV-Chipkaart systeem zo lek als een mandje.

Welk script? Dat zou dus moeten betekenen dat alle checkin-punten gekoppeld zijn aan een centrale database. Is dat daadwerkelijk zo?

Ik weet niet of het chipkaart systeem zo lek is als een mandje, ik hoop het eigenlijk niet. Door middel van dit experiment wil ik daar achter komen.

omniscale.nl

zaterdag 7 november 2009 16:36

Acties:

0 Henk 'm!

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Zie edit

Ik weet er het fijne niet van, maar voor zover ik weet worden alle terminals inderdaad op een of ander moment gesynchroniseerd met de backend.

Daardoor wordt het heel erg lastig om grootschalig misbruik te maken van het systeem. Zodoende is er dus geen sprake van een criminele business case en is de zwakheid van de gebruikte chipkaart dus niet noodzakelijk een serieuze bedreiging voor het commercieel slagen van het systeem.

Maar wie weet zijn er bij het ontwerpen van de backend net zulke fouten gemaakt als bij het uitkiezen van de te gebruiken chip en valt er toch nog op interessante wijze vals te spelen

[ Voor 146% gewijzigd door Orion84 op 07-11-2009 16:40 ]

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

zaterdag 7 november 2009 16:37

Acties:

0 Henk 'm!

flowerp

posttoast schreef op zaterdag 07 november 2009 @ 16:20:
Het enige obstakel wat ik me zou kunnen bedenken is dat het tegoed op je chipkaart ook in het systeem wordt bijgehouden. Op die manier loop je dus tegen de lamp bij het inchecken: het tarief op je chipkaart is dan hoger dan het zou moeten zijn.

Klopt. het tegoed wordt ook server side bij gehouden, of eigenlijk juist server side. Als je inchecked (ook in de bus) sta je met je snuffert op de camera. Na synchronisatie van de off-line readers wordt het verschil ogenblikkelijk opgemerkt, en kan in veel gevallen via de video opnames terug gekeken worden wie de persoon was die incheckte.

Wel moet opgemerkt worden dat deze video opnames niet zomaar zonder meer ingezien kunnen worden, aangezien dit een vrij grote inbreuk op de privacy van reizigers zou zijn.

Als jouw gezicht eenmaal bekend is vanwege meerdere overtredingen, en als je ook nog eens een redelijk vast reis patroon hebt (zoals redelijk veel mensen), dan kun je verwachten dat er op een gegeven moment iemand achter je in-checked die jou dan vervolgens aanhoudt en waarna je op het bureau wat vraagjes mag beantwoorden.

Hoe dit allemaal in de praktijk exact uitpakt is natuurlijk nog niet echt bekend. Ik schets boven slechts de theorie.

It's shocking to find how many people do not believe they can learn, and how many more believe learning to be difficult.

zaterdag 7 november 2009 16:37

Acties:

0 Henk 'm!

FireDrunk

posttoast schreef op zaterdag 07 november 2009 @ 16:35:
[...]

Welk script? Dat zou dus moeten betekenen dat alle checkin-punten gekoppeld zijn aan een centrale database. Is dat daadwerkelijk zo?

Ik weet niet of het chipkaart systeem zo lek is als een mandje, ik hoop het eigenlijk niet. Door middel van dit experiment wil ik daar achter komen.

Je kan toch je transacties terugzien? Denk dat het net als met Chipknip werkt, 1 maal per dag synchroniseren...

Even niets...

zaterdag 7 november 2009 16:38

Acties:

0 Henk 'm!

Fish

How much is the fish

Ik vermoed dat ze de rotte appels wel even hun gang laten gaan en later te grazen nemen

zo'n kaart zal wel iets van een id hebben en met een shaduwadministratie heb je zo door dat er genoeit wordt met zo'n kaart.
Dan is het een kwestie van een grote kerel met handboeien neerzetten en wachen tot er een goeie vis bijt

Iperf

zaterdag 7 november 2009 16:42

Acties:

0 Henk 'm!

posttoast

Topicstarter

Dank voor jullie reacties, ik vind het allemaal erg interessant.

Hangen er daadwerkelijk overal camera's? Ik kan dat me moeilijk voorstellen. Het probleem met het geblokkeerde ID is natuurlijk vrij eenvoudig op te lossen: als je veel reist loont het om elke twee dagen een nieuwe chipkaart te kopen.

omniscale.nl

zaterdag 7 november 2009 16:46

Acties:

0 Henk 'm!

flowerp

posttoast schreef op zaterdag 07 november 2009 @ 16:26:
[...]

Uiteraard, alles is te kraken. Maar het feit dat dit veel makkelijker te kraken is dan het ouderwetse treinkaartje of de strippenkaart vind ik nogal lachwekkend.

Valt ook wel mee. Op een gegeven moment was de strippenkaart ook erg makkelijk te copieren. Een vrij eenvoudige scan (waren hele cleane hi-res tiffs van te downloaden), het juiste papier (vrij gemakkelijk te kopen) en een snij-machine, en daar had je zomaar even een partij strippen kaarten. Destijds werden die zelfs bij ons op het schoolplein aangeboden.

Als tegenmaatregel hebben ze toen van die glimmende dingetjes op de strippenkaarten aangebracht, dus de 'beveiliging' wat aangescherpt.

It's shocking to find how many people do not believe they can learn, and how many more believe learning to be difficult.

zaterdag 7 november 2009 16:47

Acties:

0 Henk 'm!

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

In bussen hangen al tijden gewoon beveiligingscamera's. Geen idee in hoeverre die beelden gebruikt mogen worden om te koppelen aan de log van de terminal waarin staat of er met een geblokkeerde kaart is ingecheckt, maar dat zal vast wel mogen.

Het punt is dat je al in de problemen kan komen op het moment dat jij een duurdere reis maakt dan dat er officieel tegoed op jouw kaartje staat. Volgens mij zijn een boel terminals (waaronder die van de conducteur) namelijk gewoon permanent verbonden met de backend. Dus dan hoeft het niet eens een dag te duren voor er alarmbellen gaan rinkelen.

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

zaterdag 7 november 2009 16:50

Acties:

0 Henk 'm!

Brons

Fail!

Interessant posttoast. Het enige obstakel is dus communicatie met een back end. Als deze er niet is (en niet komt) kan je inderdaad gewoon gratis reizen.

zaterdag 7 november 2009 16:52

Acties:

0 Henk 'm!

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Brons schreef op zaterdag 07 november 2009 @ 16:50:
Interessant posttoast. Het enige obstakel is dus communicatie met een back end. Als deze er niet is (en niet komt) kan je inderdaad gewoon gratis reizen.

Neem van mij aan, die communicatie is er. Ik weet niet precies welke terminals hoe vaak gesynchroniseerd worden, maar volgens mij heeft de NS vrijwel alles gewoon permanent online en worden terminals in bussen één keer per dag gesynchroniseerd.

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

zaterdag 7 november 2009 16:56

Acties:

0 Henk 'm!

TheGhostInc

Zover ik weet zijn er 2 situaties met elk hun eigen "impact"

1. Dag & tijdelijke kaarten

Het kraken van zo'n kaart heeft weinig impact behalve "freebees" en een kans op een forse naheffing. De impact van deze situatie is dan ook niet heel erg bijzonder. Dit is vergelijkbaar met de huidige situatie. Mensen kunnen immers ook over de poortjes springen/meelopen.

2. Abonnement & persoonlijke kaarten

Deze kaarten worden automatisch opgeladen en het oneigenlijk gebruik van zo'n kaart betekend dat een klant direct benadeeld wordt en daar zal dus zowel het bedrijf als de klant hard tegen op moeten treden. Je kunt het niet maken dat je klanten elke week een paar keer een niet gereden rit in rekening krijgen gebracht.

De grote vraag is dan ook welke situatie het meest misbruikt gaat worden. Zoiezo zijn de persoonlijke kaarten uit mijn hoofd nu al beter beveiligd en is het niet erg als die een euro extra gaan kosten. Dus zal fraude met die kaarten het snelst onmogelijk gemaakt worden bij updates van het systeem.
Ik weet niet hoe het juridisch zit, maar ik vermoed dat fraude met het eerste type kaart je een dikke boete oplevert en dat je dan mag gaan. (Vergelijkbaar nu met een gekopieerde OV kaart) Het kopiëren of misbruiken van een persoonlijke kaart kan je veel serieuzer in de problemen brengen en afhankelijk van de instelling van de NS en de klant kan je dat een gevangenisstraf opleveren. Je kunt dan zowel strafrechtelijk als civiel vervolgd worden ben ik bang.

[edit]
Overigens communiceren de kaartlezers uiteraard met hun backend, anders zou het nooit duidelijk worden waaraan een kaartje besteed is. Moet het geld naar de NS, de busbedrijven, de metro/tram?
Of die communicatie meteen met de backend is, of dat de lezer zelf de gegevens heeft of dat per station een eigen server wordt ingezet weet ik zelf ook niet. Bij mijn kaart zag ik wel meteen het saldo in beeld bij de metro, maar ik vermoed dat die info van mijn kaart zelf afkwam.

[ Voor 13% gewijzigd door TheGhostInc op 07-11-2009 17:01 ]

zaterdag 7 november 2009 16:56

Acties:

0 Henk 'm!

Korakal

Up up up!

Lees voor de grap eens http://www.translink.nl/c...p?languageID=NL&pageID=23 - waarschijnlijk wordt er een hoop duidelijker door.

zaterdag 7 november 2009 16:57

Acties:

0 Henk 'm!

flowerp

posttoast schreef op zaterdag 07 november 2009 @ 16:30:
[...]
Als het tegoed op de pas zelf wordt bijgehouden (net als met een chipknip) dan hoeft het niet centraal bijgehouden te worden.

Fout. Je primaire saldo is het centrale saldo. Eigenlijk is dit ook zo bij de chipknip, maar in de praktijk lijkt het alsof je geld 'op de kaart staat'. Zie de chip kaart als een off-line cache.

Misschien zal de pas op een gegeven moment geblokkeerd worden (wellicht zijn bepaalde punten wél aan een centraal systeem gekoppeld), maar hoe snel is dat?

ALLE punten zijn aan een centraal systeem gekoppeld. Synchronisatie kan elk willekeurig moment plaatsvinden. Via UMTS kan een bus ook gewoon sychroniseren tijdens de rit. "Off-line readers" houdt veel meer in dat niet elke transactie meteen real-time gechecked wordt, maar die check kan best in batches gedaan worden met een vertraging van 5 minuten.

Het kan dus best zo zijn dat jij leuk denkt te zijn met je opgehoogde kaart, maar dat bij het uitstappen er al iemand achter je aan loopt die je vraagt 'even mee komen'. Tijdens de reis kan het verschil namelijk al zijn gedetecteerd en kan de politie gewaarschuwd zijn. Of ze dan echt meteen achter je aan komen is misschien wel een beetje de vraag. De manier waarop de politie haar prioriteiten stelt is niet altijd even duidelijk, maar zoals eerder gezegd, puur theoretisch zou dit dus kunnen.

It's shocking to find how many people do not believe they can learn, and how many more believe learning to be difficult.

zaterdag 7 november 2009 16:58

Acties:

0 Henk 'm!

Brons

Fail!

Als er uitgestelde communicatie is kan je dus 's ochtends een (goedkoop) kaartje kopen om voor de rest van de dag gratis het OV te gebruiken.

zaterdag 7 november 2009 17:01

Acties:

0 Henk 'm!

posttoast

Topicstarter

Nogmaals bedankt voor jullie interessante reacties. flowerp: het komt op mij over alsof jij hier bovengemiddeld veel van weet. Heb jij hier al eens onderzoek naar gedaan?

Nog even over het kopieëren van gepersonaliseerde kaarten: dat is natuurlijk nog vele malen schofteriger dan het kopieëren van een anonieme kaart, omdat andere reizigers nu direct de dupe zijn. Wat mij zorgen baart is dat het kennelijk wel mogelijk is. Een laptop met een krachtige RFID-lezer in je rugzak en even op een druk station lopen zou je potentiëel al de gegevens van een aantal kaarten op moeten leveren.

omniscale.nl

zaterdag 7 november 2009 17:06

Acties:

0 Henk 'm!

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

posttoast schreef op zaterdag 07 november 2009 @ 17:01:
Nogmaals bedankt voor jullie interessante reacties. flowerp: het komt op mij over alsof jij hier bovengemiddeld veel van weet. Heb jij hier al eens onderzoek naar gedaan?

Nog even over het kopieëren van gepersonaliseerde kaarten: dat is natuurlijk nog vele malen schofteriger dan het kopieëren van een anonieme kaart, omdat andere reizigers nu direct de dupe zijn. Wat mij zorgen baart is dat het kennelijk wel mogelijk is. Een laptop met een krachtige RFID-lezer in je rugzak en even op een druk station lopen zou je potentiëel al de gegevens van een aantal kaarten op moeten leveren.

Dan moet je alleen nog wel aan een lege Mifare Classic compatible kaart zien te komen waar je het juiste ID in kan stellen, in "echte" Mifare Classic kaarten is dat ID namelijk niet meer aan te passen zodra het in de fabriek eenmaal is ingesteld. Er was een tijd geleden wel sprake van Chinese Mifare clones die wel instelbaar zouden zijn, geen idee in hoeverre die nou beschikbaar zijn inmiddels?

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

zaterdag 7 november 2009 17:09

Acties:

0 Henk 'm!

posttoast

Topicstarter

Orion84 schreef op zaterdag 07 november 2009 @ 17:06:
[...]

Dan moet je alleen nog wel aan een lege Mifare Classic compatible kaart zien te komen waar je het juiste ID in kan stellen, in "echte" Mifare Classic kaarten is dat ID namelijk niet meer aan te passen zodra het in de fabriek eenmaal is ingesteld. Er was een tijd geleden wel sprake van Chinese Mifare clones die wel instelbaar zouden zijn, geen idee in hoeverre die nou beschikbaar zijn inmiddels?

Is dat niet gewoon dit: http://www.mifareplaza.co...oductdetail&anr=MIF1KCARD ?

Edit: grappig overigens dat het artikel op Bright.nl vooral stemmingmakerij lijkt, als ik jullie reacties lees. Zo eenvoudig is het dus blijkbaar niet.

[ Voor 11% gewijzigd door posttoast op 07-11-2009 17:10 ]

omniscale.nl

zaterdag 7 november 2009 17:12

Acties:

0 Henk 'm!

Robino

posttoast schreef op zaterdag 07 november 2009 @ 17:09:
[...]

Is dat niet gewoon dit: http://www.mifareplaza.co...oductdetail&anr=MIF1KCARD ?

Edit: grappig overigens dat het artikel op Bright.nl vooral stemmingmakerij lijkt, als ik jullie reacties lees. Zo eenvoudig is het dus blijkbaar niet.

Staat nergens bij dat het ID in te stellen is, dus je kan er vanuit gaan dat deze in de fabriek er al eentje meekrijgt.

zaterdag 7 november 2009 17:13

Acties:

0 Henk 'm!

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Ik zie daar zo snel in elk geval niet staan dat het card-ID programmeerbaar is. En volgens deze pagina is het ID unique, dus veel kans ook niet herprogrammeerbaar: http://www.mifareplaza.com/pages/page.aspx?p=15&mid=155

Daarnaast zul je het kaartje dan ook nog eens overtuigend op een echte kaart moeten laten lijken, om menselijke controleurs om de tuin te leiden. Maargoed, dat zou ook nog wel kunnen lukken.

[ Voor 20% gewijzigd door Orion84 op 07-11-2009 17:14 ]

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

zaterdag 7 november 2009 17:13

Acties:

0 Henk 'm!

posttoast

Topicstarter

Aha, OK. Er staat inderdaad niet bij dat dat ID programmeerbaar is. Ik ga er maar vanuit dat dat niet het geval is.

[ Voor 86% gewijzigd door posttoast op 07-11-2009 17:14 ]

omniscale.nl

zaterdag 7 november 2009 17:14

Acties:

0 Henk 'm!

Fish

How much is the fish

wat het nog intresanter maakt rfid killers, voor de gene die wat lol willen hebben bij de poortjes

maar een krachtige lezer gaat samen met een toch niet zo opvallende antenne
opwerk hebben de antennes die toch 20x20 cm zijn, en die overbruggen nou .. max 40-50 cm mits je hem goed orienteerd

Iperf

zaterdag 7 november 2009 17:17

Acties:

0 Henk 'm!

Robino

fish schreef op zaterdag 07 november 2009 @ 17:14:
wat het nog intresanter maakt rfid killers, voor de gene die wat lol willen hebben bij de poortjes

maar een krachtige lezer gaat samen met een toch niet zo opvallende antenne
opwerk hebben de antennes die toch 20x20 cm zijn, en die overbruggen nou .. max 40-50 cm mits je hem goed orienteerd

Bedoel je dan gewoon een stoorzender? Want ik denk dat je dan haast letterlijk naast het poortje moet staan om de gegevensoverdracht te verstoren. Alle MiFARE-kaarten hebben namelijk anti-collisionmethodes ingebouwd.

zaterdag 7 november 2009 17:18

Acties:

0 Henk 'm!

posttoast

Topicstarter

Nee, ik denk dat hij een systeem bedoelt dat de chips daadwerkelijk onklaar maakt. Zelfde effect als je chipkaart in de magnetron leggen.

omniscale.nl

zaterdag 7 november 2009 17:19

Acties:

0 Henk 'm!

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Wat heeft anti-collission daar mee te maken? Dat zorgt er alleen maar voor dat als er twee kaartjes tegelijk bij een lezer worden gehouden, dat dan maar een van de twee wordt aangesproken. Dat heeft volgens mij weinig te maken met het verstoren van het signaal.

Maar ik denk dat met rfid killers eerder apparaten bedoeld worden die een dusdanig sterk veld opwekken dat de RFID chip overbelast raakt en kapot gaat.

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

zaterdag 7 november 2009 17:20

Acties:

0 Henk 'm!

posttoast

Topicstarter

De vraag is of je zelf niet onvruchtbaar wordt als je de hele dag met zo'n ding andermans kaarten onklaar aan het maken bent

omniscale.nl

zaterdag 7 november 2009 17:21

Acties:

0 Henk 'm!

Fish

How much is the fish

yup dat bedoel ik, het is natuurlijk niet leuk voor het slachtoffer. maar je kan dus bewust mensen duperen zonder enige vorm van contact.

edit ach ik heb toch al een kind

[ Voor 12% gewijzigd door Fish op 07-11-2009 17:22 ]

Iperf

zaterdag 7 november 2009 17:26

Acties:

0 Henk 'm!

Reptile209

- gers -

fish schreef op zaterdag 07 november 2009 @ 17:21:
yup dat bedoel ik, het is natuurlijk niet leuk voor het slachtoffer. maar je kan dus bewust mensen duperen zonder enige vorm van contact.

Dat duperen valt denk ik wel mee, hooguit wat ongemak. Het slachtoffer zal bij het eerstvolgende poortje merken dat zijn kaart kapot is, maar uit de eerdere transacties is zijn saldo te reconstrueren en vervolgens te vergoeden. Hij (zij) moet alleen een nieuwe kaart organiseren om de reis af te maken.

Je bent alleen echt gedupeerd als het gebeurt met je gehackte kaart, want om daarmee nou naar de klantenservice te gaan...

Zo scherp als een voetbal!

zaterdag 7 november 2009 17:28

Acties:

0 Henk 'm!

flowerp

posttoast schreef op zaterdag 07 november 2009 @ 17:01:
Nogmaals bedankt voor jullie interessante reacties. flowerp: het komt op mij over alsof jij hier bovengemiddeld veel van weet. Heb jij hier al eens onderzoek naar gedaan?

Voor alle duidelijkheid en om verwarring te voorkomen; ik ben absoluut op geen enkele wijze direct betrokken bij het OV chipkaart project en heb ook niet direct zelf experimenten gedaan met de kaart.

Wel werken enkele oud team genoten van me aan projecten die wel wat meer zijdelings met het OV chipkaart project te maken hebben, dus soms weet ik wel net even wat meer dan misschien publiekelijk bekend is, maar dat zijn dan voornamelijk kleine ditjes en datjes en vanzelfsprekend geen core architectuur details.

Daarnaast ben ik zelf lead developer van een software team en heb ik in het verleden gewerkt aan systemen die in abstracte zin sterk te vergelijken zijn met wat het OV chipkaart systeem doet, dus ik kan me misschien iets meer dan wellicht bovengemiddeld voorstellen wat er theoretisch mogelijk is.

Dus, eerdere reacties van mij slaan op wat theoretisch kan, niet op wat er daadwerkelijk practisch gebeurd of gaat gebeuren.

It's shocking to find how many people do not believe they can learn, and how many more believe learning to be difficult.

zaterdag 7 november 2009 17:30

Acties:

0 Henk 'm!

posttoast

Topicstarter

OK, helder

Je maakt een aantal interessante punten, dus keep 'em coming!

omniscale.nl

zaterdag 7 november 2009 17:38

Acties:

0 Henk 'm!

flowerp

Orion84 schreef op zaterdag 07 november 2009 @ 16:33:
Ja, de Mifare Classic is zo lek als een mandje, nee, daarmee is nog niet het hele hele OV-Chipkaart systeem zo lek als een mandje.

Vergeet daarnaast ook niet dat de kaarten tot op zekere hoogte 'pluggable' zijn. Er kunnen dus andere chipkaarten met sterkere encryptie stapsgewijs geintroduceerd worden. Als alle readers dan geupgrade zijn om met de sterkere encryptie te werken, kan het zwakkere systeem uitgeschakeld worden.

Dit is mede er 1 van de redenen van dat chipkaarten een uitereste houdbaarheid hebben. Je weet dan als provider dat er op een bepaald moment nog onmogelijk kaarten van een bepaald type in omloop kunnen zijn.

Er gaat als het goed is binnenkort ook daadwerkelijk een upgrade komen: de Mifare plus met 128-bit AES encryptie. Nog steeds niet het neusje van de zalm, maar beter als dat stomme Crypto-1 van de Mifare classic.

It's shocking to find how many people do not believe they can learn, and how many more believe learning to be difficult.

zaterdag 7 november 2009 17:39

Acties:

0 Henk 'm!

RocketKoen

De pakkans is best hoog. maar dit is niet dankzij de beveiliging van de chipkaart.
Omdat de kaart zo makkelijk manipuleerbaar is moet de privacy van alle reizigers geschaad worden om fraudeurs te pakken. Met name mensen met een persoonlijke chipkaart zijn de dupe, omdat de vervoersbedrijven straks precies kunnen zien waar je (geweest) bent.

Ook is het stelen van persoonlijke gegevens erg makkelijk. Zoals hier boven al wordt gezegd, met een laptop en een RIFD lezer, kun je door een trein of station lopen, en honderden OV chipkaarten op afstand kopieren.
Nogal raar dat de NS zoveel moeite doet om skimmers tegen te werken bij de kaartjesautomaat, en dan een chipkaart invoeren die het skimmen zo veel makkelijker maakt.

TheS4ndm4n#1919

zaterdag 7 november 2009 18:00

Acties:

0 Henk 'm!

SPee

Ik denk dat ze steeds op zoek gaan naar betere veiligheidsmethodes.
De RFID chip is te makkelijk te misbruiken! En Apple schijnt in hun nieuwe iPhone een NFC/RFID lezer in te bouwen, waardoor het makkelijker wordt om zulke ID's uit te lezen. Wie wantrouwt een persoon met een iPhone met oordopjes in zijn oor dat hij daarmee zijn kaart kopieert

En er is ook het aspect 'social'. Knoop praatjes aan met medereizigers die zo'n abbo kaart hebben. Vraag of ze part-time werken, wanneer ze op vakantie gaan. Als je dat weet kun je (voor korte tijd) hun RFID gebruiken om gratis te reizen. En hoe zit het met studentenkaarten, sommige gebruiken hun kaart bijna niet. En de controle erop? Als ze bij het ontwerp van de OV-chipkaart hier geen rekening mee gehouden hebben én dit nog steeds niet doen; dan zijn ze stom bezig.

Een RFID is nou eenmaal makkelijk te kopieren. Sommige controles zijn makkelijk te doen, zoals schaduwreizen. Maar andere controles op misbruik zoals deze zijn een stuk moeilijker en de misbruik zal hier ook wel groot van zijn.

[ Voor 4% gewijzigd door SPee op 07-11-2009 18:02 ]

let the past be the past.

zaterdag 7 november 2009 18:03

Acties:

0 Henk 'm!

posttoast

Topicstarter

De vraag is dus of het allemaal wel echt zo makkelijk is. In mijn topicstart wekte ik die indruk (wat ik ook bewust deed om discussie op gang te brengen én omdat ik er gewoon niet zoveel vanaf weet), maar blijkbaar is het allemaal niet zo simpel. Om een kaart volledig te kopieëren heb je blijkbaar volledig blanco pasjes nodig (dus zonder ID erop), en als ik het goed begrijp zijn die niet zo makkelijk te krijgen.

omniscale.nl

zaterdag 7 november 2009 18:32

Acties:

0 Henk 'm!

dion_b

Moderator Harde Waren

say Baah

WTF heeft dit met (Overige) Hardware te maken

Dit is Beveiliging puur en simpel...

Move OH -> BV

Oslik blyat! Oslik!

zaterdag 7 november 2009 18:35

Acties:

0 Henk 'm!

Robino

Orion84 schreef op zaterdag 07 november 2009 @ 17:19:
Wat heeft anti-collission daar mee te maken? Dat zorgt er alleen maar voor dat als er twee kaartjes tegelijk bij een lezer worden gehouden, dat dan maar een van de twee wordt aangesproken. Dat heeft volgens mij weinig te maken met het verstoren van het signaal.

Maar ik denk dat met rfid killers eerder apparaten bedoeld worden die een dusdanig sterk veld opwekken dat de RFID chip overbelast raakt en kapot gaat.

Manieren om een RFID lezer te storen in het lezen van een RFID tag, heeft wel degelijk met anti-collision te maken

zaterdag 7 november 2009 18:40

Acties:

0 Henk 'm!

posttoast

Topicstarter

dion_b schreef op zaterdag 07 november 2009 @ 18:32:
WTF heeft dit met (Overige) Hardware te maken

Dit is Beveiliging puur en simpel...

Move OH -> BV

offtopic:
Ehm, sorry...? Ik was uitgegaan van de RFID-lezer/schrijver dus zo ver gezocht vond ik het niet. Geen reden om direct met WTF's te gaan gooien toch?

omniscale.nl

zaterdag 7 november 2009 18:58

Acties:

0 Henk 'm!

Brons

Fail!

Rave17 schreef op zaterdag 07 november 2009 @ 18:35:
[...]

Manieren om een RFID lezer te storen in het lezen van een RFID tag, heeft wel degelijk met anti-collision te maken

Uh nee. Met een zogenaamde RFID killer maak je de RFID onklaar.

zaterdag 7 november 2009 19:04

Acties:

0 Henk 'm!

Robino

Brons schreef op zaterdag 07 november 2009 @ 18:58:
[...]

Uh nee. Met een zogenaamde RFID killer maak je de RFID onklaar.

Maar ik had het toch ook over "verstoren" en niet "onklaar maken"

zaterdag 7 november 2009 19:11

Acties:

0 Henk 'm!

Maurits van Baerle

Iets wat denk ik niet vergeten moet worden is dat er met simpele intelligentie rond de centrale database al heel veel trucjes te voorkomen zijn. Het systeem dat nu in Nederland is ingevoerd draait al jaren in andere landen (inclusief MiFare classic) en is redelijk resistent gebleken tegen veel vormen van misbruik.

Zo wordt er hier in London, waar al jaren met een MiFare classic systeem wordt gewerkt, het risico van fraude acceptabel laag beschouwd. De maximale duur die een fraude kan duren is 24 uur, daarna is de kaart geblokkeerd. Voor zover ik weet wordt er ondermeer gekeken of bepaalde reizen wel kunnen. Je kunt makkelijk twee uur onderweg zijn in het Londonse metronetwerk en als hetzelfde ID binnen tien minuten incheckt op plekken die meer dan een uur uit elkaar liggen dan weet je al dat er iets niet klopt. En zo zijn er nog wel meer slimme dingetjes te verzinnen.

Oh, en inderdaad, alle poortjes in de hele stad zijn met een glasvezelnetwerk verbonden met een centraal systeem. Ik woon hier nu ruim drie-en-een-half jaar en in die tijd heb ik één keer meegemaakt dat het netwerk er een uurtje uit lag. Zodra dat gebeurde werden alle poortjes open gezet en kon de beheerder van het netwerk een miljoenenclaim tegemoet zien namens de OV-bedrijven.

Kortom, die hele focus in Nederland op die brakke chip is een beetje overdreven als je het mij vraagt. De MiFare classic is inderdaad niet goed beveiligd maar gelukkig speelt die chip maar een minuscule rol in het hele systeem en kan er makkelijk geleidelijk aan, zonder dat de klant het merkt, overgestapt worden op een nieuwere MiFare chip.

Het grote: DAB+ digitale radio topic / IPv6 topic / OpenWRT topic

zaterdag 7 november 2009 19:30

Acties:

0 Henk 'm!

Brons

Fail!

Rave17 schreef op zaterdag 07 november 2009 @ 19:04:
[...]

Maar ik had het toch ook over "verstoren" en niet "onklaar maken"

Maar diegene die jij quote niet...

zaterdag 7 november 2009 19:31

Acties:

0 Henk 'm!

Fish

How much is the fish

Brons schreef op zaterdag 07 november 2009 @ 19:30:
[...]

Maar diegene die jij quote niet...

Nou ik bedoel in ieder geval een iets permanentere verstoring

posttoast schreef op zaterdag 07 november 2009 @ 18:03:
De vraag is dus of het allemaal wel echt zo makkelijk is. In mijn topicstart wekte ik die indruk (wat ik ook bewust deed om discussie op gang te brengen én omdat ik er gewoon niet zoveel vanaf weet), maar blijkbaar is het allemaal niet zo simpel. Om een kaart volledig te kopieëren heb je blijkbaar volledig blanco pasjes nodig (dus zonder ID erop), en als ik het goed begrijp zijn die niet zo makkelijk te krijgen.

bah , dan doen emuleren we toch de kaart .

http://cq.cx/prox.pl
http://cq.cx/proxmark3.pl

Afbeeldingslocatie: http://cq.cx/pics/prox-assembled-above.jpg

[YouTube: http://www.youtube.com/watch?v=Srzf2MSCO6Y]

of anders

lopen zat gasten rond met zo'n kaart

[ Voor 22% gewijzigd door Fish op 07-11-2009 19:43 ]

Iperf

zaterdag 7 november 2009 19:58

Acties:

0 Henk 'm!

Onbekend

...

Orion84 schreef op zaterdag 07 november 2009 @ 16:33:
Na een paar dagen ontdekt een script op de backend dat een kaartje met een bepaald ID meer reist dan ie heeft opgeladen en hey presto, ID wordt in de blacklist gezet

Er zijn dus palen die direct, en palen waarbij een vertraging in de synchronisatie zit.
Als iemand een nieuwe dagkaart koopt is dat ID nog niet bekend bij de palen, dus volgens mij wordt elke ID geaccepteerd, totdat ze op een black-list staan.

Als je een kaart zo bewerkt dat er elke dag een random ID wordt gegenereerd, kan je de komende tijd gewoon je gang gaan. De kans dat een kaart een geblokkeerde ID genereert is namelijk zeer klein.

Edit:
Voor de liefhebbers: http://www.sos.cs.ru.nl/applications/rfid/2008-esorics.pdf

[ Voor 5% gewijzigd door Onbekend op 07-11-2009 20:24 ]

Speel ook Balls Connect en Repeat

zaterdag 7 november 2009 21:07

Acties:

0 Henk 'm!

nsa1984

Onbekend schreef op zaterdag 07 november 2009 @ 19:58:
[...]

Er zijn dus palen die direct, en palen waarbij een vertraging in de synchronisatie zit.
Als iemand een nieuwe dagkaart koopt is dat ID nog niet bekend bij de palen, dus volgens mij wordt elke ID geaccepteerd, totdat ze op een black-list staan.

Als je een kaart zo bewerkt dat er elke dag een random ID wordt gegenereerd, kan je de komende tijd gewoon je gang gaan. De kans dat een kaart een geblokkeerde ID genereert is namelijk zeer klein.

Edit:
Voor de liefhebbers: http://www.sos.cs.ru.nl/applications/rfid/2008-esorics.pdf

Dat die nieuwe kaarten onbekend zijn durf ik te betwijfelen. De kaarten die je uit de automaten etc haalt zijn uiteraad eerst geproduceert en kunnen dan ook al in het systeem als "bestaande" kaart worden opgenomen.

Verder is de hele kraak van de ov-chipkaart voor "online" readers eigenlijk onzin omdat bij online readers de beveiliging veel beter op de database / backend site gemaakt kan worden. De kaart (het unieke ID) kan immers slechts op 1 plaats tegelijk zijn. Dat er toch nog voor "offline" readers gekozen is, is waarschijnlijk een keuze om het betrouwbaarder te maken, maar vanuit beveiligingsoogpunt is het een fout met hoofdletters.

De waarheid is leuk, maar hoe heb je die gevonden?

zaterdag 7 november 2009 21:54

Acties:

0 Henk 'm!

pedorus

flowerp schreef op zaterdag 07 november 2009 @ 16:57:
Het kan dus best zo zijn dat jij leuk denkt te zijn met je opgehoogde kaart, maar dat bij het uitstappen er al iemand achter je aan loopt die je vraagt 'even mee komen'. Tijdens de reis kan het verschil namelijk al zijn gedetecteerd en kan de politie gewaarschuwd zijn. Of ze dan echt meteen achter je aan komen is misschien wel een beetje de vraag. De manier waarop de politie haar prioriteiten stelt is niet altijd even duidelijk, maar zoals eerder gezegd, puur theoretisch zou dit dus kunnen.

Dit lijkt mij een beetje erg theoretisch. In principe kunnen ze het ook detecteren wanneer de alarmen van de poortjes afgaan, en dan kijken wie er doorheen liep. In de praktijk is het enkel niet zo duidelijk, want ik heb het al eens gehad dat het leek alsof ik de schuldige was en de poortjes openduwde, terwijl ik als legale reiziger in de spits gehinderd werd door een zwartrijder die opeens vanaf de andere kant kwam... En de verdediging 'ik weet van niks' maakt het natuurlijk een lastige zaak; is er een systeemfoutje geweest, heeft iemand bewust zelf fraude gepleegd of is een derde fout bezig geweest?

fish schreef op zaterdag 07 november 2009 @ 17:21:
yup dat bedoel ik, het is natuurlijk niet leuk voor het slachtoffer. maar je kan dus bewust mensen duperen zonder enige vorm van contact.

Behalve dat het minder zichtbaar is, is dit een beetje een moderne variant van inkt over andermans strippenkaarten gooien. Of bankpasjes stukmaken met enorm sterke magneten.

nsa1984 schreef op zaterdag 07 november 2009 @ 21:07:
Dat die nieuwe kaarten onbekend zijn durf ik te betwijfelen. De kaarten die je uit de automaten etc haalt zijn uiteraad eerst geproduceert en kunnen dan ook al in het systeem als "bestaande" kaart worden opgenomen.

In theorie is misbruik zelfs met het offline systeem en 1 synchronisatie per dag tot maximaal 1 dag te beperken per gekopieerde kaart en kun je geheel nagemaakte ongekopieerde kaarten geheel uitsluiten, zelfs als je helemaal niet aan encryptie op communicatie met de kaart zelf doet. Denk bijvoorbeeld aan hoe de ouderwetse variant van prepaid beltegoed werkt: 1 unieke code, die eenmalig bruikbaar is. Niet eenmalige kaarten is slechts een kwestie van de code steeds automatisch vernieuwen. Een mogelijk nadeel is dat in sommige gevallen een attacker een geldige kaart 'overneemt' en daarmee soms zelfs langer dan 1 dag kan profiteren, maar dat komt dan vanzelf uit bij de klantenservice als blijkt dat de originele kaart niet meer werkt.

In de praktijk is de eenmalige kaart gekraakt en meerdere keren gebruikt op een online systeem, zelfs met vele dagen ertussen. Vanuit praktisch oogpunt denk ik dan ook niet dat iedere bus/tram alle die dag nog geldige kaarten weet, of eigenlijk weet ik wel zeker dat dat niet zo is.

Ik vermoed dat er enkel een blacklist is. Of ze mogelijk geldige nummers/ranges beperken, dat weet ik niet.

Vitamine D tekorten in Nederland | Dodelijk coronaforum gesloten

zaterdag 7 november 2009 22:37

Acties:

0 Henk 'm!

TheGhostInc

RocketKoen schreef op zaterdag 07 november 2009 @ 17:39:
[...]
Ook is het stelen van persoonlijke gegevens erg makkelijk. Zoals hier boven al wordt gezegd, met een laptop en een RIFD lezer, kun je door een trein of station lopen, en honderden OV chipkaarten op afstand kopieren.
Nogal raar dat de NS zoveel moeite doet om skimmers tegen te werken bij de kaartjesautomaat, en dan een chipkaart invoeren die het skimmen zo veel makkelijker maakt.

Hoe kom je erbij dat er persoonlijke gegevens te stelen zijn? O jee, je steelt mijn unieke ID van mijn OV kaart + saldo en reis? Mijn naam staat niet op mijn OV kaart. Daarnaast steel je "even" 100-en OV chipkaarten op een afstandje? Mijn kaart doet het al niet als hij in mijn portemonnee zit naast mijn andere rfid kaart, knappe jongen als de NS het al niet lukt op 1 cm om het dan van de andere kant van de trein te doen.

Er doen zich nogal wat cowboy verhalen de ronde, waarbij er met de dagkaarten inderdaad flink te rommelen is. Maar hierbij is het nog steeds niet eenvoudig elk willekeurig saldo erop te zetten. Je kunt alleen een eerder uitgelezen saldo erop zetten. Ik weet nog steeds niet of de abbonementen OV kaarten wel gekraakt zijn, heeft iemand daar een link van, of is alleen de dagkaart gekraakt?
Maar ik kan me nog goed herinneren van de Chipknip dat die ook "zo gekraakt" kon worden. Ik zit nog steeds te wachten op berichten dat het daadwerkelijk is gelukt (>10 jaar).
http://www.volkskrant.nl/...pkaart_wordt_je_niet_rijk

O ja, ik weet niet hoe actief de politie is, maar de spoorwegpolitie heeft een stuk minder te doen, de grote stations zou ik maar mijden met een illegale kaart of printplaatje.

[ Voor 5% gewijzigd door TheGhostInc op 07-11-2009 22:40 ]

zaterdag 7 november 2009 22:51

Acties:

0 Henk 'm!

Onbekend

...

nsa1984 schreef op zaterdag 07 november 2009 @ 21:07:
[...]

Dat die nieuwe kaarten onbekend zijn durf ik te betwijfelen. De kaarten die je uit de automaten etc haalt zijn uiteraad eerst geproduceert en kunnen dan ook al in het systeem als "bestaande" kaart worden opgenomen.

Dat zou misschien wel kunnen, maar zouden ze zo werken? Zou elke paal een flinke database hebben met de in omloop zijnde nummers?
Daarnaast zal het geheugen alleen maar voller lopen waar natuurlijk ook een limiet op zit. Immers, er komen elke dag nieuwe kaarten bij, en verouderde kaarten worden geblokkeerd.

nsa1984 schreef op zaterdag 07 november 2009 @ 21:07:
Verder is de hele kraak van de ov-chipkaart voor "online" readers eigenlijk onzin omdat bij online readers de beveiliging veel beter op de database / backend site gemaakt kan worden. De kaart (het unieke ID) kan immers slechts op 1 plaats tegelijk zijn. Dat er toch nog voor "offline" readers gekozen is, is waarschijnlijk een keuze om het betrouwbaarder te maken, maar vanuit beveiligingsoogpunt is het een fout met hoofdletters.

We hebben het over de off-line readers en ik denk dat de online readers bij een communicatiestoring ook off-line kunnen werken.
De stelling dat een unieke ID maar op 1 plaats tegelijk is kan niet omdat je die juist gebruikt om je zelf te verplaatsen. Wat zullen ze doen als er een kaart in Rotterdam wordt incheckt en 10 seconden later in Amsterdam wordt uitgecheckt? Foutmelding met "onmogelijk"? Ik denk dat ze gewoon een bedrag afschrijven.

Speel ook Balls Connect en Repeat

zaterdag 7 november 2009 23:22

Acties:

0 Henk 'm!

flowerp

Onbekend schreef op zaterdag 07 november 2009 @ 19:58:
[...]
Er zijn dus palen die direct, en palen waarbij een vertraging in de synchronisatie zit.
Als iemand een nieuwe dagkaart koopt is dat ID nog niet bekend bij de palen, dus volgens mij wordt elke ID geaccepteerd, totdat ze op een black-list staan.

Hoeft niet perse. De verzameling van unieke nummers wordt waarschijnlijk in eerste instantie globaal bijgehouden. Vanuit die verzameling kun je subsets selecteren en daarmee de distributie punten van de kaarten voorzien van nieuwe nummers. Deze nieuwe nummers zouden dan naar de distributie punten gestuurd moeten worden een poosje voordat de nummers op zijn. Tegelijk worden dan nieuwe nummers gesynchroniseerd met alle readers in het hele systeem, zodat deze weten wat legale nummers zijn. Dat synchroniseren gaat wat tijd overheen natuurlijk, maar als de buffer grote van de machines die kaarten uitgeven groot genoeg is, zullen alle readers de nieuwe nummers kunnen hebben voordat 1 van deze nieuwe nummers daadwerkelijk uitgegeven worden.

Dit klinkt als een enorme overhead, maar valt relatief mee, miljoenen nummers nemen maar enkele megabytes in beslag, een hoeveelheid geheugen die tegenwoordig makkelijk in de kleinste embedded devices past. Door slim met valide ranges te werken kan de hoeveelheid vereiste geheugen nog meer beperkt worden.

Het updaten van de nieuwe nummers zelf valt ook nagenoeg in het niet in vergelijking met het synchroniseren van de transacties, zeker als het systeem al een poosje draait en nieuwe nummers uitgeven minder frequent wordt.

Dit was tenminste ongeveer het systeem wat ik destijds heb geimplementeerd en wat ook werkte, hoeveel in een veel kleinere en VEEL meer homegenere omgeving dan voor de ov chipkaart.

It's shocking to find how many people do not believe they can learn, and how many more believe learning to be difficult.

zaterdag 7 november 2009 23:27

Acties:

0 Henk 'm!

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Rave17 schreef op zaterdag 07 november 2009 @ 18:35:
[...]

Manieren om een RFID lezer te storen in het lezen van een RFID tag, heeft wel degelijk met anti-collision te maken

Zelfs als je het over verstoren en niet kapotmaken zou hebben, dan nog vraag ik me af hoe een anti-collision systeem je gaat helpen op het moment dat iemand met een of ander apparaat gewoon het magnetisch veld verstoort tussen lezer en kaart. Als je meerdere kaartjes bij een lezer houdt dan kan het systeem inderdaad daarmee overweg, en kiest ie een kaart uit om mee te communiceren. Als je echter communicatie gewoon onmogelijk maakt door het veld te storen, dan gaat anti-collision echt niet meer helpen.

TheGhostInc schreef op zaterdag 07 november 2009 @ 22:37:
[...]

Hoe kom je erbij dat er persoonlijke gegevens te stelen zijn?

Nou, tijdens een demo @ RU Nijmegen kwam er toch echt een geboortedatum naar voren bij een studenten OV-chipkaart. Of er nog meer uit te halen valt weet ik zo niet precies. Maar dat er alleen maar een ID en reisgegevens op staan is in elk geval niet waar.

fish schreef op zaterdag 07 november 2009 @ 19:31:
[...]
bah , dan doen emuleren we toch de kaart .

Tot je een controleur/conducteur tegenkomt. En juist in de trein, waar frauderen ivm. de lange afstanden en dus hogere kosten het interessantst is, is de pakkans denk ik nog redelijk groot wat dat betreft. Zeker als je het op regelmatige basis doet (anders loont het uberhaubt niet om een proxmark aan te schaffen) is de kans dat je aan een conducteur uit mag gaan leggen waarom je geen kaartje hebt tamelijk aanwezig.

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

zaterdag 7 november 2009 23:49

Acties:

0 Henk 'm!

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

flowerp schreef op zaterdag 07 november 2009 @ 16:37:
[...]

Als je inchecked (ook in de bus) sta je met je snuffert op de camera. Na synchronisatie van de off-line readers wordt het verschil ogenblikkelijk opgemerkt, en kan in veel gevallen via de video opnames terug gekeken worden wie de persoon was die incheckte.

Wel moet opgemerkt worden dat deze video opnames niet zomaar zonder meer ingezien kunnen worden, aangezien dit een vrij grote inbreuk op de privacy van reizigers zou zijn.

Dat niet alleen, dergelijke handmatige controles (het nakijken van de video die opgevraagd moet worden bijvoorbeeld) zijn ook nog eens erg duur om uit te voeren waardoor de kans erg groot is dat dit bij kleinschalig misbruik helemaal niet gedaan word. Bovendien leid een portret op een video nog niet direct naar de identiteit van een persoon, je zult dus opsporing moeten doen waartoe het openbaar vervoer afaik niet toe gemachtigd is.

[ Voor 4% gewijzigd door Bor op 07-11-2009 23:52 ]

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

zondag 8 november 2009 10:07

Acties:

0 Henk 'm!

Verwijderd

Het kopieren van de chipkaart en zo maximaal 24 uur "gratis" reizen (en een andere reiziger duperen, want die zit de volgende dag met een geblokkeerde kaart), lijkt mij niet het grootste probleem voor de OV-chipkaart.

Ik zie veel meer "onheil" in de mogelijkheden om de kaarten op een afstandje onklaar te kunnen maken. Want dat kan in een paar minuten (mits goed uitgevoerd) een enorme chaos op een NS-station veroorzaken. Stel dat een groepje grappenmakers dit eens op Rotterdam CS gaat uitvoeren "voor de lol" en in korte tijd enkele honderden chipkaarten onklaar maakt. Hoeveel balies hebben ze om al die gestrandde mensen verder te helpen?

Maar ze hebben het systeem best "slim" opgebouwd hoor. De meeste voordelen zijn voor de OV-bedrijven en alle nadelen voor de reiziger. Lijkt mij prachtig, als ik een OV-bedrijf zou hebben. Lees voor de gein ook eens de voorwaarden van de OV-chipkaart eens door. Daar staat expliciet in vermeld, dat TLS straks geld mag gaan vragen voor, bijvoorbeeld, het opladen van de chipkaart. Dat doen ze nu nog niet natuurlijk, want dat zou nog meer weerstand veroorzaken. Dat doen ze wel als het hele systeem draait en men er toch niet meer vanaf kan. De reiziger moet dan maar "weer" slikken.

[ Voor 31% gewijzigd door Verwijderd op 08-11-2009 10:09 ]

zondag 8 november 2009 10:25

Acties:

0 Henk 'm!

Onbekend

...

Die OV-chipkaart heb ik nu ook toegevoegd aan de punten om juist voor de auto te kiezen.

Verwijderd schreef op zondag 08 november 2009 @ 10:07:
Ik zie veel meer "onheil" in de mogelijkheden om de kaarten op een afstandje onklaar te kunnen maken. Want dat kan in een paar minuten (mits goed uitgevoerd) een enorme chaos op een NS-station veroorzaken.

Kaarten van 10.000en reizigers onklaar maken? Effectiever is om die palen onklaar te maken.

Maar is het de bedoeling om gratis te reizen of om de ov-chipkaart de grond in te boren?
Gratis reizen zal het uiteindelijk niet worden want dat zou je nu ook wel kunnen doen door geen treinkaartje te kopen.

Speel ook Balls Connect en Repeat

zondag 8 november 2009 10:31

Acties:

0 Henk 'm!

Verwijderd

Onbekend schreef op zondag 08 november 2009 @ 10:25:
Die OV-chipkaart heb ik nu ook toegevoegd aan de punten om juist voor de auto te kiezen.
[...]

Kaarten van 10.000en reizigers onklaar maken? Effectiever is om die palen onklaar te maken.

Maar is het de bedoeling om gratis te reizen of om de ov-chipkaart de grond in te boren?
Gratis reizen zal het uiteindelijk niet worden want dat zou je nu ook wel kunnen doen door geen treinkaartje te kopen.

Die palen zul je fysiek moeten slopen om ze onklaar te maken. Alhoewel, misschien is de werking wel op afstand te verstoren.....

Ik ben bang dat een kwaadwillende straks alleen maar op een station rond hoeft te lopen met de juiste apparatuur op zak om alle chipkaarten binnen een straal van pak 'm beet 1 meter om zich heen onklaar te maken. Doe dat met een klein groepje grappenmakers..... en de chaos is compleet.

zondag 8 november 2009 10:37

Acties:

0 Henk 'm!

mux

99% efficient!

Het punt dat mensen proberen te maken is dat toegenomen automatisatie in dit systeem leidt tot een systeem dat ook geautomatiseerd kan worden gevandaliseerd. Het kan, dus het zal gebeuren, het is een reëele dreiging. Echter, zolang er geen groot gewin aan vastzit voor de vandaal zal het heel weinig voorkomen (net als een EMI-puls door je lokale elektriciteitsnet smijten door even een flinke pulstrafo om de krachtstroomleiding te leggen - het dupeert tientallen danwel honderden mensen voor uren lang, maar er is niks mee te winnen).

Het systeem is inherent (zeer) gevoelig maar de mogelijke attack scenario's zijn niet winstgevend genoeg gemaakt. Ik ben persoonlijk nog steeds zeer sterk tegenstander van het gebruiken van security by obscurity en zal altijd negatief reageren op welke implementatie van mifare classic dan ook, maar of het nou echt grote chaos zal worden... nah.

Youtube: PowerElectronicsBlog - Plank2 (4W computer)

zondag 8 november 2009 10:44

Acties:

0 Henk 'm!

Verwijderd

ssj3gohan schreef op zondag 08 november 2009 @ 10:37:
Het punt dat mensen proberen te maken is dat toegenomen automatisatie in dit systeem leidt tot een systeem dat ook geautomatiseerd kan worden gevandaliseerd. Het kan, dus het zal gebeuren, het is een reëele dreiging. Echter, zolang er geen groot gewin aan vastzit voor de vandaal zal het heel weinig voorkomen (net als een EMI-puls door je lokale elektriciteitsnet smijten door even een flinke pulstrafo om de krachtstroomleiding te leggen - het dupeert tientallen danwel honderden mensen voor uren lang, maar er is niks mee te winnen).

Het systeem is inherent (zeer) gevoelig maar de mogelijke attack scenario's zijn niet winstgevend genoeg gemaakt. Ik ben persoonlijk nog steeds zeer sterk tegenstander van het gebruiken van security by obscurity en zal altijd negatief reageren op welke implementatie van mifare classic dan ook, maar of het nou echt grote chaos zal worden... nah.

Maar gewin is maar 1 mogelijk motief om zoiets te ondernemen. Sommige mensen zijn gewoon principieel en kunnen best ver gaan voor hun principes. En anderen hebben misschien wel een wrok tegen alles wat met OV te maken heeft.....

En dan weer: de OV-bedrijven nemen dit risico en als het dan toch gebeurt is de reiziger de pineut.

[ Voor 4% gewijzigd door Verwijderd op 08-11-2009 10:45 ]

zondag 8 november 2009 11:03

Acties:

0 Henk 'm!

flowerp

Bor de Wollef schreef op zaterdag 07 november 2009 @ 23:49:
[...]
Dat niet alleen, dergelijke handmatige controles (het nakijken van de video die opgevraagd moet worden bijvoorbeeld) zijn ook nog eens erg duur om uit te voeren waardoor de kans erg groot is dat dit bij kleinschalig misbruik helemaal niet gedaan word.

Klopt, maar er kunnen zeker wel acties zijn waarbij men toch wel wat moeite doet om helemaal de bron van het gehele misbruik te herhalen. De aanvraag voor het rechterlijke bevel om de video te mogen inzien is inderdaad een stap die veel tijd en moeite kost, maar eenmaal toegang tot enkele video's is d.m.v. de timestamp van het inchecken alsmede de timestamp op de video de dader erg snel gevonden.

Als de eigenaar van het video materiaal (d.w.z. de specifieke vervoerder) de aangifte van fraude doet gaat het hele process natuurlijk veel sneller.

Bovendien leid een portret op een video nog niet direct naar de identiteit van een persoon, je zult dus opsporing moeten doen waartoe het openbaar vervoer afaik niet toe gemachtigd is.

Natuurlijk doet het OV geen opsporing. Net zoals de winkelier geen opsporing doet nadat een vals eurobiljet is aangetroffen. Dergelijke zaken worden overgedragen aan justitie en die bepaalt of de prioriteit hoog genoeg is om een onderzoek te starten. Zoals ik al eerder zei, de meeste mensen reizen toch wel in redelijke patronen. Of ik nu een chipkaart met 1 ID telkens illegaal ophoog of ik gebruik 100 IDs, maakt in feite weinig uit. Persoonlijk zal ik als ik in Groningen woon niet dagelijks van de wibautstraat naar de nieuwmarkt gaan reizen of zo. Men heeft dus vrij snel een operatie gebied door, en met een bekend gezicht en wat traditioneel politie werk kun je wel degelijk op die manier hangen.

Blijft de vraag, of ze dat ook echt gaan doen? Voor notoire winkeldieven, dus mensen die vaak met hun snuffert op een beveiligscamera staan voor kleine winkeldiefstallen, wordt dit wel degelijk gedaan. Dus voor notoire OV fraudeurs zou dit best ook wel eens mogelijk kunnen zijn.

Daarnaast kan men als men echt graag wil (als het om een grote vis gaat) ook nog eens de GSM gegevens er naast houden. Nu kunnen er 1000'en telefoons aangemeld zijn binnen een bepaalde cell van een OV overtreding, maar hou eens de gegevens van 100 van deze overtredingen naast elkaar, en wie weet rolt er een interesante subset uit. Ik zou in ieder geval mijn GSM thuis laten mocht ik zoiets willen proberen.

It's shocking to find how many people do not believe they can learn, and how many more believe learning to be difficult.

zondag 8 november 2009 11:09

Acties:

0 Henk 'm!

flowerp

Verwijderd schreef op zondag 08 november 2009 @ 10:07:
Maar ze hebben het systeem best "slim" opgebouwd hoor. De meeste voordelen zijn voor de OV-bedrijven en alle nadelen voor de reiziger. Lijkt mij prachtig, als ik een OV-bedrijf zou hebben. Lees voor de gein ook eens de voorwaarden van de OV-chipkaart eens door. Daar staat expliciet in vermeld, dat TLS straks geld mag gaan vragen voor, bijvoorbeeld, het opladen van de chipkaart.

Je bedoelt net zoals je met je pin pas altijd ook transactie kosten moest en soms nog steeds moet betalen? En je ook nog steeds jaarlijks een bedrag moet betalen om uberhaupt een pin pas te mogen hebben?

Maar ik denk dat voor algemene ranten dit een beetje off-topic is. Als je graag terug wilt naar de strippenkaart, of zelf nog naar verder terug, want de strippenkaart was toch ook slecht?, dan hebben we daar hier een mooi eigen topic voor: OV Chipkaart

It's shocking to find how many people do not believe they can learn, and how many more believe learning to be difficult.

zondag 8 november 2009 11:20

Acties:

0 Henk 'm!

burne

Mine! Waah!

Verwijderd schreef op zondag 08 november 2009 @ 10:44:
Maar gewin is maar 1 mogelijk motief om zoiets te ondernemen. Sommige mensen zijn gewoon principieel en kunnen best ver gaan voor hun principes. En anderen hebben misschien wel een wrok tegen alles wat met OV te maken heeft.....

En dan weer: de OV-bedrijven nemen dit risico en als het dan toch gebeurt is de reiziger de pineut.

's Nachts een brandje in de remise stoken levert een hoop meer schade op die een stuk lastiger te verhelpen is (levertijden voor treinen, trams en bussen bedragen jaren) en is een stuk minder hitech dan met een draagbare magnetron door de mensenmenigte lopen. Ik trap maar een deurtje in.

I don't like facts. They have a liberal bias.

zondag 8 november 2009 11:22

Acties:

0 Henk 'm!

Onbekend

...

Er is helemaal niets tegen een universeel systeem om je ov-reis te betalen.
Het gaat er meer om hoe het nieuwe systeem geïmplementeerd wordt en hoe het werkt.

Bijvoorbeeld bij verkeerd in/uitchecken wordt de reiziger meteen gestraft met een boete van de maximaal mogelijke reiskosten. Dit zouden ze juist niet moeten doen, en ik ken ook geen enkel ander systeem dat zo werkt.

Speel ook Balls Connect en Repeat

zondag 8 november 2009 11:25

Acties:

0 Henk 'm!

Matis

Rubber Rocket

Ik kreeg gisteren van de IB-groep een mailtje waarin uitgelegd wordt dat er per 1 jan 2010 in heel Nederland gebruik gemaakt gaat worden van de Ov-chipkaart.

Ikzelf heb nog geen ervaring, maar mijn moeder al wel (Metro Rotterdam). Wat haar betreft werkt het uitstekend, ze is nu zelfs goedkoper uit en ze hoeft nooit meer in de rij voor een kaartje.

Dat het systeem hackbaar is, is niet zo heel vreemd. Het is een open systeem en iedereen heeft zo'n chipkaartje.

Bij ons op school hebben we onze studentenpas ook uit kunnen lezen, we hebben er niets aan gewijzigd, omdat we niet in de problemen willen komen, maar we hadden zo ons printsaldo kunnen verhogen

If money talks then I'm a mime
If time is money then I'm out of time

zondag 8 november 2009 11:42

Acties:

0 Henk 'm!

burne

Mine! Waah!

Onbekend schreef op zondag 08 november 2009 @ 11:22:
Bijvoorbeeld bij verkeerd in/uitchecken wordt de reiziger meteen gestraft met een boete van de maximaal mogelijke reiskosten. Dit zouden ze juist niet moeten doen, en ik ken ook geen enkel ander systeem dat zo werkt.

Vreemd. In Engeland kost niet goed in- of uitchecken je de 'maximum cash fare' van 4 pound. Als EZ-link-gebruiker betaal je een 'maximum fare' van 2 singapore dollars. Beide systemen werken in dat opzicht exact hetzelfde als het Nederlandse systeem.

I don't like facts. They have a liberal bias.

zondag 8 november 2009 11:43

Acties:

0 Henk 'm!

Verwijderd

burne schreef op zondag 08 november 2009 @ 11:20:
[...]

's Nachts een brandje in de remise stoken levert een hoop meer schade op die een stuk lastiger te verhelpen is (levertijden voor treinen, trams en bussen bedragen jaren) en is een stuk minder hitech dan met een draagbare magnetron door de mensenmenigte lopen. Ik trap maar een deurtje in.

Klopt. Maar aan zo'n operatie zit een stuk meer risico natuurlijk. Je moet dan ook echt handelingen verrichten die "opvallen" en direct te koppelen zijn aan "ongewenst gedrag". Je moet inbreken en vervolgens brand stichten.

Rondlopen op een station is veel minder opvallend en niet direct te koppelen aan "ongewenst gedrag".

flowerp schreef op zondag 08 november 2009 @ 11:09:
[...]

Je bedoelt net zoals je met je pin pas altijd ook transactie kosten moest en soms nog steeds moet betalen? En je ook nog steeds jaarlijks een bedrag moet betalen om uberhaupt een pin pas te mogen hebben?

Maar de pinpas is een product op zich en, in een extreem geval, zou je zelfs zonder pinpas kunnen. Je hebt helemaal geen pin-pas nodig om dingen te kopen. Je kunt er ook altijd nog voor kiezen om cash te betalen of met je credit-card of met cadeau-bonnen. Bij de OV-chipkaart heb je die keuze niet. Het is geen product op zich, maar puurr een betaalmiddel voor alleen het OV. Alle kosten die rond de OV-chipkaart hangen zijn dan ook rechtstreeks toe te schrijven aan het OV. En die kosten zullen dus nog gaan stijgen, als ik de voorwaarden zo doorlees. En als ik me dan bedenkt, dat "het allemaal goedkoper zou worden" dan blijkt de reiziger dus dubbel bedrogen uit te komen. Het wordt namelijk al helemaal niet "allemaal goedkoper" (soms zelfs fors duurder) en daar komen later dan dus nog eens kosten bij voor het opladen.

Die pinpas is een keuze, de OV-chipkaart niet. Die heb je namelijk gewoon nodig om gebruik te kunnen maken van iets wat voor iedereen beschikbaar moet zijn, openbaar vervoer.

En uiteindelijk is er wel een link tussen het algemene OV-chipkaar topic en dit topic. De manier waarop de chipkaart (met stiekem verborgen kosten waar nog niemand ooit over gesproken heeft) de maatschappij de strot in wordt geduwd, zorgt ervoor dat ik de OV-bedrijven zo'n massale hack van harte gun. De eerste dag dat het systeem volledig op zijn muil gaat, hang ik de vlag uit. De dag dat TLS aankondigt dat opladen voortaan geld gaat kosten, lijkt mij een mooie dag om te beginnen.

[ Voor 56% gewijzigd door Verwijderd op 08-11-2009 12:00 ]

zondag 8 november 2009 12:09

Acties:

0 Henk 'm!

mux

99% efficient!

Ik moet heel eerlijk bekennen dat ik meer (gerapporteerd) misbruik en meer andere problemen met RFID in het OV had verwacht. Het systeem is blijkbaar als geheel toch beter dan ik zelf dacht. Ik ben hierdoor wel bereid mijn anti-OV-chipkaarthouding bij te stellen. Ik had hele grote twijfels bij de tweede handeling die moet worden verricht (zoals eerder gezegd: een doodzonde in interfaceland) en het kinderspel dat kopieren en onbruikbaar maken heet. De voordelen zijn merkbaar en handig en voorlopig heel weinig mensen hebben bedacht structureel misbruik te maken.

Maar misschien verandert dit met de landelijke invoering. Crapto1 en rfid-transceivers zijn gemakkelijke tools, zelfs met GUI en herkenning als HID in windows dus direct bruikbaar. De deuren staan echt wagenwijd open voor hacking - je hebt inmiddels niet eens meer kennis van het algoritme noch kennis van microcontrollers nodig. Maar ik blijf erbij - zonder structureel gewin is de motivatie er niet en zal het slechts aan vandalen en andere rare mensen blijven om hacks uit te voeren, inclusief het lamleggen van een station (wat ook prima mogelijk is, hoewel elke transfer wel relatief lang duurt, dus het niet zo heel gemakkelijk is om duizenden kaarten tegelijk onbruikbaar te maken, eerder tientallen).

Youtube: PowerElectronicsBlog - Plank2 (4W computer)

zondag 8 november 2009 12:21

Acties:

0 Henk 'm!

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

flowerp schreef op zondag 08 november 2009 @ 11:03:
[...]

Klopt, maar er kunnen zeker wel acties zijn waarbij men toch wel wat moeite doet om helemaal de bron van het gehele misbruik te herhalen. De aanvraag voor het rechterlijke bevel om de video te mogen inzien is inderdaad een stap die veel tijd en moeite kost, maar eenmaal toegang tot enkele video's is d.m.v. de timestamp van het inchecken alsmede de timestamp op de video de dader erg snel gevonden.

Tja, dan kom je bij de vraag of je denkt dat mensen eindeloos met dezelfde kaart gaan reizen (wat imho niet reeel is) of dat men juist erg vaak van kaart wisselt. In dit laatste geval is de "winst" van het opsporen via videobeelden, gang naar de rechter, komen tot een veroordeling enzovoort bijzonder laag voor de moeite en kosten die hiervoor nodig zijn.

Wat betreft timestamp: het klinkt simpel maar ook daarvan zul je moeten bewijzen dat beide synchroon lopen of met een bepaalde offset synchroon lopen in een rechtzaak.

Zoals ik al eerder zei, de meeste mensen reizen toch wel in redelijke patronen. Of ik nu een chipkaart met 1 ID telkens illegaal ophoog of ik gebruik 100 IDs, maakt in feite weinig uit. Persoonlijk zal ik als ik in Groningen woon niet dagelijks van de wibautstraat naar de nieuwmarkt gaan reizen of zo. Men heeft dus vrij snel een operatie gebied door, en met een bekend gezicht en wat traditioneel politie werk kun je wel degelijk op die manier hangen.

Ware het niet dat het waarschijnlijk niet om enkele individuen gaat maar om grootschaliger misbruik waardoor je als individu juist veel minder opvalt in het geheel. Bovendien kom je met analyse van vervoersgegevens die je direct terug kunt leiden naar een enkele kaart (dus indirect een individu) op een leuk privacy vraagstuk.

Daarnaast kan men als men echt graag wil (als het om een grote vis gaat) ook nog eens de GSM gegevens er naast houden. Nu kunnen er 1000'en telefoons aangemeld zijn binnen een bepaalde cell van een OV overtreding, maar hou eens de gegevens van 100 van deze overtredingen naast elkaar, en wie weet rolt er een interesante subset uit. Ik zou in ieder geval mijn GSM thuis laten mocht ik zoiets willen proberen.

Ook een zaak die wel zou kunnen maar waarvoor goedkeuring nodig is. Gezien het bij OV chipkaart misbruik juist vaak gaan om individuen, de pakkans laag ligt, de schade pas over de tijd enorm op kan lopen, kun je je afvragen of men deze stap wel wil c.q. mag zetten. Vergeet niet dat de pakkans al enorm verkleind word door bv alleen de "specials" die je reist met een gehackte kaart te doen maar het normale woon werk verkeer (makkelijk herkenbare patronen) juist netjes af te rekenen. Het is natuurlijk niet zo zwart wit dat een fraudeur altijd fraude pleegt.

[ Voor 48% gewijzigd door Bor op 08-11-2009 12:31 ]

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

zondag 8 november 2009 12:41

Acties:

0 Henk 'm!

posttoast

Topicstarter

ssj3gohan schreef op zondag 08 november 2009 @ 10:37:
Het punt dat mensen proberen te maken is dat toegenomen automatisatie in dit systeem leidt tot een systeem dat ook geautomatiseerd kan worden gevandaliseerd. Het kan, dus het zal gebeuren, het is een reëele dreiging. Echter, zolang er geen groot gewin aan vastzit voor de vandaal zal het heel weinig voorkomen (net als een EMI-puls door je lokale elektriciteitsnet smijten door even een flinke pulstrafo om de krachtstroomleiding te leggen - het dupeert tientallen danwel honderden mensen voor uren lang, maar er is niks mee te winnen).

Het systeem is inherent (zeer) gevoelig maar de mogelijke attack scenario's zijn niet winstgevend genoeg gemaakt. Ik ben persoonlijk nog steeds zeer sterk tegenstander van het gebruiken van security by obscurity en zal altijd negatief reageren op welke implementatie van mifare classic dan ook, maar of het nou echt grote chaos zal worden... nah.

Ik moet bekennen dat dit soort beveiligingen niet mijn specialisme zijn (ik ben ook maar een eenvoudige webdeveloper

), maar ik ben wel benieuwd wat je in dit geval bedoelt met "Security through obscurity". Bedoel je daarmee dat het stuk dat "valsspelen" moet voorkomen ligt in het feit dat er encryptie op die chips zit? Wat zou een andere manier zijn om dit te doen?

omniscale.nl

zondag 8 november 2009 12:48

Acties:

0 Henk 'm!

anandus

ssj3gohan schreef op zondag 08 november 2009 @ 12:09:
Ik moet heel eerlijk bekennen dat ik meer (gerapporteerd) misbruik en meer andere problemen met RFID in het OV had verwacht.

Misschien zijn mensen/Nederlanders nu eenmaal minder crimineel en braver dan men denkt?

Er zullen altijd rotte appels tussenzitten, of het nou het hacken van de OV-kaart is, of gewoon snel achter iemand aan door een poortje heen.

Maar blijkbaar heeft het merendeel gewoon goed fatsoen.

Je ziet het bijvoorbeeld ook in supermarkten, waarsteeds en steeds meer kassieres worden uitgefaseerd ten behoeve van zelfscanapparaten. Of het nou de Hoogvliet 'iedereen is zelf kassiere'-manier of de Appie 'rondlopen met een scnaapparaat'-manier is, allebei zijn ze enorm fraudegevoelig, maar blijkbaar werkt het goed genoeg (en is de schade kleiner dan de kosten van kassiere minus apparaat) dat men dat ook steeds meer aan het uitrollen is.

Ik denk dat je er wel van uit kan gaan dat minimaal xx% zich gewoon braaf aan de regels houdt, of het nou met zelfscan of chipkaart is.

"Always remember to quick save" - Sun Tzu

zondag 8 november 2009 12:55

Acties:

0 Henk 'm!

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

anandus schreef op zondag 08 november 2009 @ 12:48:
[...]
Misschien zijn mensen/Nederlanders nu eenmaal minder crimineel en braver dan men denkt?

Er zullen altijd rotte appels tussenzitten, of het nou het hacken van de OV-kaart is, of gewoon snel achter iemand aan door een poortje heen.

Maar blijkbaar heeft het merendeel gewoon goed fatsoen.

Kan, wat ook kan is dat men, gezien het commentaar voor de introductie, klein misbruik onder de pet houd.

Je ziet het bijvoorbeeld ook in supermarkten, waarsteeds en steeds meer kassieres worden uitgefaseerd ten behoeve van zelfscanapparaten. Of het nou de Hoogvliet 'iedereen is zelf kassiere'-manier of de Appie 'rondlopen met een scnaapparaat'-manier is, allebei zijn ze enorm fraudegevoelig, maar blijkbaar werkt het goed genoeg (en is de schade kleiner dan de kosten van kassiere minus apparaat) dat men dat ook steeds meer aan het uitrollen is.

Ik denk dat je er wel van uit kan gaan dat minimaal xx% zich gewoon braaf aan de regels houdt, of het nou met zelfscan of chipkaart is.

Ook zelfscans zijn gewoon een afweging van risico vs kosten. Neem je geen zelfscan apparaat dan zal er een kassiere moeten zitten die betaald moet worden. Je kunt dus uitrekenen wat er gestolen kan worden voor het zelfscan apparaat niet meer uit kan. Bij zelfscan apparaten neemt men een stuk fraude / diefstal en oprecht per ongeluk vergeten te scannen acties mee in de berekening.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

zondag 8 november 2009 12:57

Acties:

0 Henk 'm!

HotFix

@fish

Dat laatste filmpje is toch wel redelijk apart, mede doordat de Radbouw uni bij mij om de hoek zit (zo'n beetje dan). Wist alleen niet dat ze dat soort kaartjes hadden.

Maargoed, leuk om deze topic nog even door te lezen, omdat de meeste 'angst' toch wel komt van onwetendheid. De meeste trucjes zijn niet lang vol te houden, op de meest basterd-ish na, waarmee je de kaart van een medepassagier kopieert.

[ Voor 43% gewijzigd door HotFix op 08-11-2009 12:59 ]

zondag 8 november 2009 13:00

Acties:

0 Henk 'm!

anandus

Bor de Wollef schreef op zondag 08 november 2009 @ 12:55:
[...]
Ook zelfscans zijn gewoon een afweging van risico vs kosten. Neem je geen zelfscan apparaat dan zal er een kassiere moeten zitten die betaald moet worden. Je kunt dus uitrekenen wat er gestolen kan worden voor het zelfscan apparaat niet meer uit kan. Bij zelfscan apparaten neemt men een stuk fraude / diefstal en oprecht per ongeluk vergeten te scannen acties mee in de berekening.

En waarom zou dat bij de OV-chipkaart niet zo zijn? (Of openbaar vervoer in het algemeen).

Ik weet redelijk zeker dat dat soort bedrijven zwartrijden gewoon ingecalculeerd hebben, het is niet alsof het nieuw is met de OV-chipkaart.

Hell, voor de OV-chipkaart was het nog makkelijker om te frauderen, want toen stonden er geen poortjes.
Het was gewoon een kwestie van in de gaten houden in welk treinstel de conducteur zich bevindt en zorgen dat je in een ander treinstel in tegengestelde richting van de looprichting van de conducteur zit.

Overigens, wat gaat er met conducteurs gebeuren, krijgen die en masse een andere baan, of zullen we soms nog conducteurs in de trein tegenkomen?

"Always remember to quick save" - Sun Tzu

zondag 8 november 2009 13:00

Acties:

0 Henk 'm!

Verwijderd

anandus schreef op zondag 08 november 2009 @ 12:48:
[...]
Misschien zijn mensen/Nederlanders nu eenmaal minder crimineel en braver dan men denkt?

Er zullen altijd rotte appels tussenzitten, of het nou het hacken van de OV-kaart is, of gewoon snel achter iemand aan door een poortje heen.

Maar blijkbaar heeft het merendeel gewoon goed fatsoen.

Je ziet het bijvoorbeeld ook in supermarkten, waarsteeds en steeds meer kassieres worden uitgefaseerd ten behoeve van zelfscanapparaten. Of het nou de Hoogvliet 'iedereen is zelf kassiere'-manier of de Appie 'rondlopen met een scnaapparaat'-manier is, allebei zijn ze enorm fraudegevoelig, maar blijkbaar werkt het goed genoeg (en is de schade kleiner dan de kosten van kassiere minus apparaat) dat men dat ook steeds meer aan het uitrollen is.

Ik denk dat je er wel van uit kan gaan dat minimaal xx% zich gewoon braaf aan de regels houdt, of het nou met zelfscan of chipkaart is.

Toevallig dat je de selfservice-kassa aanhaalt.

Ik kwam weleens in 2 supermarkten waar ze inderdaad zo'n selfservice-systeem hadden/nog hebben. Toevallig had ik vrijdag nog een gesprek met mijn collega over deze kassa's. Hij vond het wel handig en maakt er nu nog vaak gebruik van. Echter, de AH, waar hij altijd boodschappen doet, gaat er mee stoppen. Volgens hem werd er toch teveel niet afgerekend en wel meegenomen. Er zou dan steekproefsgewijs gecontroleerd worden (had hij zelf nog nooit meegemaakt), maar dat bleek niet afdoende.

Toevallig moest ik, dezelfde vrijdag, even langs de Hoogvliet vanuit het werk om soja-melk te halen. Die Hoogvliet is een tijdje terug halsoverkop verbouwd na een brandje. Het viel me ineens op, dat de selfservice-kassa's (volgens mij hadden ze er eerst 2) dus verdwenen waren en op die plaats nu weer gewone kassa's stonden. Ik heb niet nagevraagd waarom ze weggehaald zijn, maar ik vermoed om dezelfde reden.

Volgens mij zijn wij Nederlanders vooral erg braaf als er op ons gelet wordt. Maar als niemand kijkt.......

zondag 8 november 2009 13:05

Acties:

0 Henk 'm!

anandus

Verwijderd schreef op zondag 08 november 2009 @ 13:00:
[...]

Toevallig dat je de selfservice-kassa aanhaalt.

Ik kwam weleens in 2 supermarkten waar ze inderdaad zo'n selfservice-systeem hadden/nog hebben. Toevallig had ik vrijdag nog een gesprek met mijn collega over deze kassa's. Hij vond het wel handig en maakt er nu nog vaak gebruik van. Echter, de AH, waar hij altijd boodschappen doet, gaat er mee stoppen. Volgens hem werd er toch teveel niet afgerekend en wel meegenomen. Er zou dan steekproefsgewijs gecontroleerd worden (had hij zelf nog nooit meegemaakt), maar dat bleek niet afdoende.

Toevallig moest ik, dezelfde vrijdag, even langs de Hoogvliet vanuit het werk om soja-melk te halen. Die Hoogvliet is een tijdje terug halsoverkop verbouwd na een brandje. Het viel me ineens op, dat de selfservice-kassa's (volgens mij hadden ze er eerst 2) dus verdwenen waren en op die plaats nu weer gewone kassa's stonden. Ik heb niet nagevraagd waarom ze weggehaald zijn, maar ik vermoed om dezelfde reden.

Volgens mij zijn wij Nederlands vooral erg braaf als er op ons gelet wordt. Maar als niemand kijkt.......

offtopic:
Interessant

Overigens kan het ook zijn, zeker in het geval van de Hoogvliet, dat ze een nieuwe generatie zelfscan willen.
Ze zitten op generatie 2 geloof ik, waar 'men'nu op generatie 4 of 5 zit?
/ik weet er niet zoveel vanaf.

Overigens word ik bij de Appie zeer regelmatig gesteekproeft, 5 artikelen uit je mandje (of wagentje) worden dan gescand en gecontroleerd of je dat wel afgebliept hebt.
(Meest makkelijke omzeiling hier is natuurlijk 20 artikelen van product A en van product B en dan van elk max 5 inscannen, zo kan je altijd door de steekproef heenkomen lijkt mij.)

* anandus zou het wel jammer vinden het scheelt echt zo veel tijd, vooral die van de Appie, de Hoogvliet is volgens mij zelfs langzamer dan een human flesh kassiere, maar ik zou echt niet bij de Appie in de rij willen staan, dingen op de toonbank leggen,wachten tot de kassiere klaar is... pffff... we zitten wel in de 21e eeuw

[ Voor 1% gewijzigd door anandus op 08-11-2009 13:07 . Reden: tegenstribbeld toetsenbord :/ ]

"Always remember to quick save" - Sun Tzu

zondag 8 november 2009 13:05

Acties:

0 Henk 'm!

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

anandus schreef op zondag 08 november 2009 @ 13:00:
[...]
En waarom zou dat bij de OV-chipkaart niet zo zijn? (Of openbaar vervoer in het algemeen).

Ik zeg ook niet dat dat bij de OV chipkaart niet zo is maar je kunt je afvragen hoe groot de pakkans / wil om iemand te pakken nog is wanneer hmisbruik op een juiste manier ingecalculeerd is en is geaccepteerd als risico. Ga je namelijk actief opsporen dan zul je de kosten die daarvoor nodig zijn ook weer mee moeten laten wegen.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

zondag 8 november 2009 13:07

Acties:

0 Henk 'm!

flowerp

Verwijderd schreef op zondag 08 november 2009 @ 11:43:
Maar de pinpas is een product op zich en, in een extreem geval, zou je zelfs zonder pinpas kunnen. Je hebt helemaal geen pin-pas nodig om dingen te kopen.

Klopt, je kunt dan eenvoudig betalen met dat cash geld dat je via je pin pas uit de pin automaat haalt. Oh wacht...

It's shocking to find how many people do not believe they can learn, and how many more believe learning to be difficult.

zondag 8 november 2009 13:11

Acties:

0 Henk 'm!

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

flowerp schreef op zondag 08 november 2009 @ 13:07:
[...]

Klopt, je kunt dan eenvoudig betalen met dat cash geld dat je via je pin pas uit de pin automaat haalt. Oh wacht...

Of je loopt bij een bank naar binnen en haalt cash op vertoon legitimatie etc. Er zijn zo veel meer manieren om aan cash te komen zonder het gebruik van een pinpas. Maar goed, lichtelijk offtopic als je het mij vraagt.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

zondag 8 november 2009 13:14

Acties:

0 Henk 'm!

Verwijderd

flowerp schreef op zondag 08 november 2009 @ 13:07:
[...]

Klopt, je kunt dan eenvoudig betalen met dat cash geld dat je via je pin pas uit de pin automaat haalt. Oh wacht...

En het is nooit in je opgekomen, dat cash geld ook op andere manieren in je portemonnee kan komen?

Maar het is natuurlijk lekker makkelijk reageren op 1 klein neven-argument en dan de rest van de post negeren....

zondag 8 november 2009 13:16

Acties:

0 Henk 'm!

Onbekend

...

Bor de Wollef schreef op zondag 08 november 2009 @ 13:11:
[...]

Of je loopt bij een bank naar binnen en haalt cash op vertoon legitimatie etc. Er zijn zo veel meer manieren om aan cash te komen zonder het gebruik van een pinpas. Maar goed, lichtelijk offtopic als je het mij vraagt.

Dan moet je eerst naar een grote vestiging in 1 van de grotere steden toe want de banken in kleine steden hebben enkel een balie voor hypotheken.

Speel ook Balls Connect en Repeat

zondag 8 november 2009 13:18

Acties:

0 Henk 'm!

anandus

Verwijderd schreef op zondag 08 november 2009 @ 13:14:
[...]

En het is nooit in je opgekomen, dat cash geld ook op andere manieren in je portemonnee kan komen?

offtopic:
Dat hangt af van waar je woont, dorpen en kleine steden hebben geen bankfiliaal, bijv.

Al kan je altijd nog geld internetbankieren naar een vriend ofzo en dat hij dan pint

[ Voor 12% gewijzigd door anandus op 08-11-2009 13:18 ]

"Always remember to quick save" - Sun Tzu

zondag 8 november 2009 13:24

Acties:

0 Henk 'm!

Verwijderd

UMTS blocker op zak hebben is wel een must als je met het ov gaat reizen. (kunnen de terminals niet meer gesynced worden en als er wel verschillen worden gedetecteerd word er geen politie gealarmeerd)

zondag 8 november 2009 13:28

Acties:

0 Henk 'm!

flowerp

Bor de Wollef schreef op zondag 08 november 2009 @ 12:21:
[...]
Tja, dan kom je bij de vraag of je denkt dat mensen eindeloos met dezelfde kaart gaan reizen (wat imho niet reeel is) of dat men juist erg vaak van kaart wisselt.

Dat maakt dus helemaal niet uit. Jij moet alleen maar vaak genoeg herkent zijn bij -een- illegale check-in. Of dat telkens met dezelfde kaart is, of telkens met een andere kaart maakt dus weinig uit. Met telkens dezelfde kaart maak je het de opsporingsdiensten wel iets makkelijker, maar is dan ook alles.

Je wilt het natuurlijk liever niet horen, maar face recognition wordt ook steeds beter en in enkele bussen hangen zelfs al HD camera's. Enkele van de nieuwste algoritmes voor face recognition kunnen in bepaalde omstandigheden zelfs al beter gezichten herkennen dan mensen dat kunnen. Daarnaast worden er nu al databases bijgehouden met profielen van gezichtskenmerken waar data uit diverse camera's mee gematched wordt. In het meest extreme geval zou jij dus al als verdachte illegale inchecker opgemerkt worden door het systeem bij het instappen van de bus. Jouw incheck kan dan met voorrang op de anderen gevalideerd worden en de reeds genoemde man die je even vraagt om mee te komen zal ook weer ter tonele verschijnen.

Vergeet niet dat de pakkans al enorm verkleind word door bv alleen de "specials" die je reist met een gehackte kaart te doen maar het normale woon werk verkeer (makkelijk herkenbare patronen) juist netjes af te rekenen. Het is natuurlijk niet zo zwart wit dat een fraudeur altijd fraude pleegt.

Klopt, maar ga eens even na wat je dus allemaal moet doen om een beetje betrouwbaar illegaal te kunnen reizen:

Alleen je 'specials' met gehackte kaart afrekenen
Heel vaak van kaart wisselen
Uitkijken dat je bij het inchecken niet recht in de camera kijkt
Misschien bij de illegale reis beter niet je GSM meenemen, of tenminste deze niet aanzetten

Ik weet het niet hoor... klinkt mij toch als een beetje veel moeite die de gemiddelde reiziger er toch allemaal niet voor over heeft om een paar centen goedkoper te reizen. Vergeet jij dan niet dat veel consumenten toch vooral voor lekker makkelijk gaan en geen zin in gedoe en risico hebben. Ik zou dit b.v. mijn vader of moeder echt NOOIT zien doen, en kan nog wel tig mensen bedenken die dit ook nooit zouden doen.

It's shocking to find how many people do not believe they can learn, and how many more believe learning to be difficult.

zondag 8 november 2009 13:30

Acties:

0 Henk 'm!

Verwijderd

anandus schreef op zondag 08 november 2009 @ 13:18:
[...]

offtopic:
Dat hangt af van waar je woont, dorpen en kleine steden hebben geen bankfiliaal, bijv.

Al kan je altijd nog geld internetbankieren naar een vriend ofzo en dat hij dan pint

Het hangt nog van veel meer dingen af. Dat de meeste mensen voor een baas werken en elke maand hun salaris op een bankrekening krijgen, wil nog niet zeggen dat dat voor iedereen zo werkt. Bijvoorbeeld mensen die hun inkomen zelf bij elkaar sprokkelen met verschillende klussen her en der kunnen een dermate grote contanten-stroom hebben, dat ze eerder teveel als te weinig cash geld in de knip of thuis in het kistje hebben.

Zelf heb ik gewoon een pinpas, maar de wereld houdt niet op bij "mij". Daarnaast was dit nou niet echt het hoofd-argument van mijn reactie op "een pinpas kost ook geld". Een pinpas (universeel betaalmiddel) kan gewoon niet vergeleken worden met een pasje waarmee je alleen het OV kunt betalen (en je ook nog eens een universeel betaalmiddel voor nodig hebt om het ding op te waarderen).

Dat we moeten betalen voor een OV-chipkaart vind ik al twijfelachtig. Ik heb al 3 universele betaalmiddelen (sommige mensen zelfs 4, de credit-card) om mee te betalen. Nu moet ik gaan betalen om een extra betaalmiddel te bemachtigen waarmee ik in het OV kan. Vervolgens moeten we in de toekomst ook nog gaan betalen om dat OV-betaalmiddel (waarvoor we dus al betaald hebben) op te waarderen. En dan hebben we nog geen kilometer gereist.

zondag 8 november 2009 13:32

Acties:

0 Henk 'm!

flowerp

Bor de Wollef schreef op zondag 08 november 2009 @ 13:11:
[...]
Of je loopt bij een bank naar binnen en haalt cash op vertoon legitimatie etc.

Wat A bij enorm veel banken niet meer kan en B -als- het al kan je extra geld kost. Success er mee!

It's shocking to find how many people do not believe they can learn, and how many more believe learning to be difficult.

zondag 8 november 2009 13:33

Acties:

0 Henk 'm!

anandus

flowerp schreef op zondag 08 november 2009 @ 13:32:
[...]

Wat A bij enorm veel banken niet meer kan en B -als- het al kan je extra geld kost. Success er mee!

Plus C ze willen dan vaak je pasje zien (of pasnummer weten)

"Always remember to quick save" - Sun Tzu

zondag 8 november 2009 13:37

Acties:

0 Henk 'm!

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

flowerp schreef op zondag 08 november 2009 @ 13:32:
[...]

Wat A bij enorm veel banken niet meer kan en B -als- het al kan je extra geld kost. Success er mee!

Onzin. Ik heb afgelopen week nog op deze manier geld gehaald. Geen extra kosten of wat dan ook.

Overigens vind ik de hele cach verkrijgen zonder pinpas discussie offtopic gezien het imho niets met de OV chip kaart te maken heeft.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

zondag 8 november 2009 13:45

Acties:

0 Henk 'm!

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

flowerp schreef op zondag 08 november 2009 @ 13:28:
[...]
Je wilt het natuurlijk liever niet horen, maar face recognition wordt ook steeds beter en in enkele bussen hangen zelfs al HD camera's. Enkele van de nieuwste algoritmes voor face recognition kunnen in bepaalde omstandigheden zelfs al beter gezichten herkennen dan mensen dat kunnen. Daarnaast worden er nu al databases bijgehouden met profielen van gezichtskenmerken waar data uit diverse camera's mee gematched wordt.

Waarom zou ik dat niet willen horen? Face recognition is leuk maar je hebt er alleen maar wat aan als je het herkende gezicht ook kunt herleiden naar een persoon wil je juridische stappen ondernemen. Bovendien is het ongevraagd opslaan van dergelijke data lang niet altijd toegestaan. Interessant dat het kan (wisten wij natuurlijk allemaal al lang) maar breed inzetbaar is het niet. Hier komt namelijk nogal wat regelgeving etc bij kijken. Bovendien ben je, zoals eerder aangegeven, als OV bedrijf niet opsporingsbevoegd. Je zult dus met elk geval naar justitie moeten.

Klopt, maar ga eens even na wat je dus allemaal moet doen om een beetje betrouwbaar illegaal te kunnen reizen:

* Alleen je 'specials' met gehackte kaart afrekenen
* Heel vaak van kaart wisselen
* Uitkijken dat je bij het inchecken niet recht in de camera kijkt
* Misschien bij de illegale reis beter niet je GSM meenemen, of tenminste deze niet aanzetten

Het hele GSM verhaal is verminderd van toepassing gezien opsporing daarvan niet nauwkeurig genoeg is om een daad aan een persoon te koppelen. Bovendien is het weer iets wat men als OV bedrijf niet kan uitvoeren en waarvoor de politie voor zover ik weet zelfs toestemming voor nodig heeft. Leuk dat een bepaald GSM toestel in een straal van XX meter is wanneer OV misbruik is uitgevoerd.

Blijft over:

1 - Lijkt me niet zo moeilijk.
2 - Lijkt me niet meer in lijn der verwachting, geautomatiseerd is dit ook niet zo lastig volgens mij.

Waarom zet je vrijwel alle troeven in op mogelijkheden, opsporing achteraf etc? Allemaal zaken die pas na misbruik (dus na de daad) pas om de hoek komen kijken. Kortom wanneer het waarschijnlijk al te laat is. Je doet niet meer dan de technische zwakheden oplossen met nog meer technische maatregelen als face recognition, privacy gevoelige zaken als koppelen van databases om zo biometrische gegevens te herleiden naar personen zonder dat je daartoe gemachtigd bent, cross referentie met GSM databases etc ( wel eens aan niet geregistreerde GSM toestellen gedacht ? ). Is het niet beter de oorzaak aan te pakken (het OV chip systeem op zich) dan te wachten totdat iemand een goede manier vind om door al deze losse organisatorische, aanvullende technische maatregelen te komen?

Natuurlijk zullen aanvullende (detectie) maatregelen wellicht ook nodig zijn bij een veilig ontworpen systeem maar met het huidige systeem leg je de layer of defense (om het zo maar even te noemen) voor een groot deel buiten het systeem neer.

[ Voor 15% gewijzigd door Bor op 08-11-2009 13:50 ]

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

zondag 8 november 2009 13:49

Acties:

0 Henk 'm!

flowerp

Bor de Wollef schreef op zondag 08 november 2009 @ 13:37:
[...]
Onzin. Ik heb afgelopen week nog op deze manier geld gehaald. Geen extra kosten of wat dan ook.

Dubbele onzin, bij veel bankfilialen, OOK IN DE GROTERE STEDEN, kun je geen cash meer krijgen. Die zijn volledig omgebouwd tot kantoortjes zonder balies. En ik weet zeker dat er banken waren die extra geld vroegen als je bij het lokket geld kwam opnemen.

Overigens vind ik de hele cach verkrijgen zonder pinpas discussie offtopic gezien het imho niets met de OV chip kaart te maken heeft.

Djezus, begin er dan ook niet over zeg en maak zulke opmerkingen dan in het reeds eerder door mij aangehaalde algemene OV chipkaart topic.

Punt is dat TLS zich misschien volledig heeft afgedekt voor wat mogelijke toekomstige doem scenario's, maar zolang die kosten niet geint worden er nog niets aan de hand is. Heb je wel eens ALLE voorwaarden gelezen van je pin pas? Of ALLE voorwaarden van je operating system? Daar staan ook dingen bij waar je eigenlijk ook helemaal niet gelukkig van wordt, maar die ook helemaal niet gebeuren.

It's shocking to find how many people do not believe they can learn, and how many more believe learning to be difficult.

zondag 8 november 2009 13:56

Acties:

0 Henk 'm!

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

flowerp schreef op zondag 08 november 2009 @ 13:49:
[...]

Dubbele onzin, bij veel bankfilialen, OOK IN DE GROTERE STEDEN, kun je geen cash meer krijgen. Die zijn volledig omgebouwd tot kantoortjes zonder balies. En ik weet zeker dat er banken waren die extra geld vroegen als je bij het lokket geld kwam opnemen.

Joh, anders verdiep je jezelf eerst in de materie voor je "dubbele onzin" en "succes er mee!" gaat roepen. Dat komt zo dom over. Zoals al aangegeven heb ik afgelopen week nog zonder pinpas geld gehaald bij de bank. Heb ik bovendien gezegd dat je overal geld kunt krijgen zonder pas? Volgens mij niet. Ik stel alleen dat het kan. Bovendien zijn er legio andere manieren om aan cash te komen.

Djezus, begin er dan ook niet over zeg en maak zulke opmerkingen dan in het reeds eerder door mij aangehaalde algemene OV chipkaart topic.

Waarom ga je nu met modder gooien

Het was niet ik maar Bazzh die reageerde op het hele pinpas verhaal waarna ik er alleen op inhaakte volgens mij.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

zondag 8 november 2009 13:57

Acties:

0 Henk 'm!

Onbekend

...

Je hoeft niet overal te pinnen. Je kan ook eens in de zoveel tijd pinnen, en dan met cash in de winkels betalen.
Dat doe ik altijd, want dan heb ik er grip op hoeveel geld ik uitgeef en is het eindsaldo op m'n bankrekening nooit een verrassing.

Speel ook Balls Connect en Repeat

zondag 8 november 2009 14:03

Acties:

0 Henk 'm!

flowerp

Bor de Wollef schreef op zondag 08 november 2009 @ 13:45:
Waarom zou ik dat niet willen horen?

Niet 'je' als in jouw persoonlijk, maar 'je' als in 'men'/'wij' in het algemeen.

"Je moet er toch niet aan denken dat..."

Niet dat JIJ persoonlijk er toch vooral niet aan moet denken....

Face recognition is leuk maar je hebt er alleen maar wat aan als je het herkende gezicht ook kunt herleiden naar een persoon wil je juridische stappen ondernemen.

Onbekend gezicht wordt (deels) geautomatiseerd gekoppeld aan X illegale handelingen.
Gezicht wordt gespot door agent.
Persoon wordt ingerekend en of nog beter, op heterdaad betrapt.

Wat is het verschil met bewakingsbeelden van een in eerste instantie onbekend gezicht van een traditionele winkeldief?

Bovendien is het ongevraagd opslaan van dergelijke data lang niet altijd toegestaan.

Het ongevraagd maken van illegale reizen is ook niet echt toegestaan he?

Waarom zet je vrijwel alle troeven in op mogelijkheden, opsporing achteraf etc?

Ik zet helemaal geen troeven in, want ik heb dit systeem helemaal niet geimplementeerd. Ik merk slechts op dat beveiliging meerdere elementen kent, zowel voorbehoedsmiddelen als nabehoedsmiddelen zeg maar

Natuurlijk zullen aanvullende (detectie) maatregelen wellicht ook nodig zijn bij een veilig ontworpen systeem maar met het huidige systeem leg je de layer of defense (om het zo maar even te noemen) voor een groot deel buiten het systeem neer.

Tsja, de Mifare classic is natuurlijk een enorm grote blunder. Maar TLS kan relatief makkelijk de Mifare plus introduceren. In het 'beste' geval kan schimmig Nederland een jaartje of 2, hooguit 4 dus wat goedkoper reizen. Jammer, maar met de strippenkaart zijn ook heel wat illegale reisjes gemaakt en met de gewone telefoon kon je vroeger ook gratis bellen. Pin passen kunnen ook nog steeds erg makkelijk gecopieert worden, etc.

Het is aan de ene kant triest dat aan security altijd pas achteraf extra aandacht wordt besteed, maar het is dus zeker niet zo dat het huidige lek met de Mifare classic voor altijd inherrent in het systeem moet blijven zitten.

It's shocking to find how many people do not believe they can learn, and how many more believe learning to be difficult.

zondag 8 november 2009 14:07

Acties:

0 Henk 'm!

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

flowerp schreef op zondag 08 november 2009 @ 14:03:
[...]
Het ongevraagd maken van illegale reizen is ook niet echt toegestaan he?

Je stelt nu voor om als OV bedrijf of justitie gebruik te maken van zaken mogelijk onrechtmatig verkregen bewijs, het koppelen van privacy gevoelige systemen etc

Kortom, omdat een crimineel zich niet aan de wet houdt hoeft het OV bedrijf en justitie dat ook niet te doen ?! Moet ik hier nog verder op in gaan?

Ik zet helemaal geen troeven in, want ik heb dit systeem helemaal niet geimplementeerd. Ik merk slechts op dat beveiliging meerdere elementen kent, zowel voorbehoudsmiddelen als nabehoudsmiddelen zeg maar

Ik quote jezelf even

Niet 'je' als in jouw persoonlijk, maar 'je' als in 'men'/'wij' in het algemeen.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

zondag 8 november 2009 14:41

Acties:

0 Henk 'm!

TheGhostInc

Verwijderd schreef op zondag 08 november 2009 @ 13:24:
UMTS blocker op zak hebben is wel een must als je met het ov gaat reizen. (kunnen de terminals niet meer gesynced worden en als er wel verschillen worden gedetecteerd word er geen politie gealarmeerd)

In de NS stations werkt dit waarschijnlijk al niet, want daar zullen de paaltjes gekoppeld zijn aan het interne netwerk op het station. Daarnaast is er bijna altijd een fallback op GSM/GPRS, dus block dan ook nog even de 900 & 1800Mhz band. Zorg er dan meteen voor dat je zender sterk genoeg is om als je aan de ene kant in de bus instapt je meteen de hele bus blockt. O ja, dat je jezelf dan aan het steriliseren bent voorkomt dat je hele gezin crimineel wordt

Volgens mij zijn er maar 2 echte risico punten voor de reizigers en vervoersmaatschappijen:
Junks & zwervers die gekopieerde kaarten aan het verkopen zijn. Er ontstaat dan handel en criminaliteit rondom het station. Daarnaast is de schaal dan iets groter dan een individuele zwartrijder (bij een controle in de trein pak je die ook gewoon er soms uit, want die mensen hebben geen geldig reisbewijs of een illegale kaart) en is er een 3de die profiteert.
Dat abonnementskaarten worden gekopieerd en er daarmee gereisd kan worden op kosten van iemand anders. Hoewel ook deze mensen bij controles gepakt kunnen worden doordat de kaart een andere naam/uiterlijk heeft of dat een gekraakte kaart niet uit roulatie wordt gehaald maar juist alleen bij persoonlijke controles wordt geblacklist. Dus denk je veilig te reizen staat de spoorwegpolitie je al netjes op te wachten.

De andere dingen hier voorgesteld zijn wel ver gezocht, kaarten voor de fun slopen, UMTS signaal storen, etc. Kijk dan eens de aflevering Southpark met Professor Chaos, en denk dan nog eens na over de impact van je acties.

Daarnaast vind ik het eigenlijk wel humor dat er misschien fraude mogelijk is. Anders hadden we deze discussie niet gehad.

zondag 8 november 2009 15:33

Acties:

0 Henk 'm!

flowerp

Bor de Wollef schreef op zondag 08 november 2009 @ 14:07:
[...]
Je stelt nu voor om als OV bedrijf of justitie gebruik te maken van zaken mogelijk onrechtmatig verkregen bewijs, het koppelen van privacy gevoelige systemen etc Kortom, omdat een crimineel zich niet aan de wet houdt hoeft het OV bedrijf en justitie dat ook niet te doen ?! Moet ik hier nog verder op in gaan?

Nee doe maar niet

De grap die ik probeerde te maken had betrekking op het woordje "ongevraagd". Het opslaan van video beelden om vandalisme, bedrijgingen en het zwart rijden te bestrijden is toegestaan. Dat is alweer een poosje geleden getoetst bij de rechter en volledig legaal gebleken.

Als een vervoerder dus te krijgen maakt met een illegale checkin, is dat in principe zwart rijden en de rechter heeft al bepaald dat video beelden daarvoor legaal te gebruiken zijn.

Ik quote jezelf even

Ja hoor, ga je gang

It's shocking to find how many people do not believe they can learn, and how many more believe learning to be difficult.

zondag 8 november 2009 18:08

Acties:

0 Henk 'm!

pedorus

flowerp schreef op zondag 08 november 2009 @ 13:28:
• Alleen je 'specials' met gehackte kaart afrekenen
• Heel vaak van kaart wisselen

Dit was een suggestie, maar de redenen ontgaan mij even. Als iemand niet bekend, denk ik dat er alleen een zaak is als het gaat om het verhogen van het tegoed op een niet-anonieme kaart. Misschien is de gebruikte kaart bijvoorbeeld net gevonden of doorverkocht. Daarnaast zit de kans erin dat je de gebruikte kaart of iets dat zich voordeed als kaart niet te zien krijgt. De 'patroonvorming' is ook wat te makkelijk gedacht, want er zijn meer mensen die vaak hetzelfde traject reizen en misschien was er meer dan 1 fraudeur. Of kaarten echt geblokkeerd worden, dat lijkt me nu net de vraag.

Ik gok dat in de praktijk meer dan een boete voor zwartrijden er niet in gaat zitten, aangezien je de gebruikte kaart niet krijgt te zien. Als je die wel krijgt te zien, dan wordt het interessant, maar gezien de behandeling van soortgelijke fraudegevallen zoals illegale studenten-OV's en valse strippenkaarten, verwacht ik dat veel meer dan een enkele zwartrijboete er niet inzit.

• Misschien bij de illegale reis beter niet je GSM meenemen, of tenminste deze niet aanzetten

GSM-data opvragen kan als voorlopige hechtenis mogelijk is (126n/u Wv Strafvordering). Dit lijkt me niet aan de orde.

• Uitkijken dat je bij het inchecken niet recht in de camera kijkt

Lees even dit. Die camera's hangen er voor handhaving van de openbare orde, niet voor de opsporing van fraudeurs en/of ordinaire zwartrijders. Ik denk ook niet dat je de beelden dan kan gebruiken.

flowerp schreef op zondag 08 november 2009 @ 15:33:
Als een vervoerder dus te krijgen maakt met een illegale checkin, is dat in principe zwart rijden en de rechter heeft al bepaald dat video beelden daarvoor legaal te gebruiken zijn.

Dat zou interessant zijn. Bron/linkje? Als ik op rechtspraak.nl zoek op "cameratoezicht vervoersbewijs" zie ik alleen maar zaken met chauffeurs die wel geld incasseren maar geen kaartje geven.

Overigens, als het toch allemaal met gezichtsherkennende camera's kan, dan vraag ik me af waarom we nog zo'n OV-chipkaart nodig hebben. 1x registreren met je gezicht, en je rekent automatisch af..

Vitamine D tekorten in Nederland | Dodelijk coronaforum gesloten

zondag 8 november 2009 18:52

Acties:

0 Henk 'm!

flowerp

pedorus schreef op zondag 08 november 2009 @ 18:08:
[...]
Dit was een suggestie, maar de redenen ontgaan mij even. Als iemand niet bekend, denk ik dat er alleen een zaak is als het gaat om het verhogen van het tegoed op een niet-anonieme kaart.

Je kunt een notoire zwartrijder/fraudeur natuurlijk ook nog op heterdaad betrappen. Voor een enkele zwartrijder is het hele onderzoek misschien niet de moeite, maar in het kader van een onderzoek naar een bron zie ik het wel gebeuren.

De 'patroonvorming' is ook wat te makkelijk gedacht, want er zijn meer mensen die vaak hetzelfde traject reizen

Absoluut waar, ik zat zelf in de 7 altijd naar de zelfde koppen met ochtend humeur te kijken. Viel me pas na een poosje op dat het telkens de zelfde gezichten waren

Maar toch, de reizigers stappen niet telkens in exact dezelfde volgorde in. Als bij elke fraude incheck er 3 reizigers vlak na elkaar inchecken en je hebt zeg 10 opnamen, en op elke opname staat rond het tijdstip van die fraude incheck telkens dezelfde er tussen, dan weet je wel hoe laat het is. Nog een andere mogelijkheid is net zoals bij de pin automaten, een miniscuul cameraatje wat direct is gesynchroniseerd met de reader, dan wordt er een korte opname van je gemaakt precies op het moment dat je inchecked.

valse strippenkaarten

Hey, je hebt het linkje gevonden! Dat was precies toen ik nog op school zat en deze onder andere op het schoolplein verhandeld werden. Ik zat al even te googlen, maar kon het bericht niet zo snel vinden.

GSM-data opvragen kan als voorlopige hechtenis mogelijk is (126n/u Wv Strafvordering). Dit lijkt me niet aan de orde.

Niet zo snel natuurlijk, maar als men door dit opsporingsmiddel een grote bende denkt op te kunnen rollen dan is het wel zeer zeker mogelijk. Voor betalen met vals geld kun je trouwens ook best tenminste een paar uurtjes in hechtenis gezet worden als je onschuldig bent. Laatst nog van een geval in Noord gehoord waar dit gebeurde.

Dat zou interessant zijn. Bron/linkje? Als ik op rechtspraak.nl zoek op "cameratoezicht vervoersbewijs" zie ik alleen maar zaken met chauffeurs die wel geld incasseren maar geen kaartje geven.

Alweer lang geleden, maar zaak van 2 jongens van marokkaanse afkomst die de bus chauffeur de middelvinger gaven en doorliepen zonder een strippenkaart te laten af stempelen of andersinds te betalen. Beelden van dit voorval konden toen gewoon als bewijs gebruikt worden.

Overigens, als het toch allemaal met gezichtsherkennende camera's kan, dan vraag ik me af waarom we nog zo'n OV-chipkaart nodig hebben. 1x registreren met je gezicht, en je rekent automatisch af..

Daar zijn op diverse plekken inderdaad (vrijwillege) experimenten mee. Als ik me niet vergis op het vliegveld van Frankfurt.

It's shocking to find how many people do not believe they can learn, and how many more believe learning to be difficult.

zaterdag 28 november 2009 22:31

Acties:

0 Henk 'm!

t1mmy

Modbreak:dubbelpost

[ Voor 98% gewijzigd door Pim. op 30-11-2009 09:05 ]

Pagina: 1 2 Volgende Laatste

Reageer

Onderwerpen