homeVoorpagina whoisWie zijn wij? penZelf schrijven boeiHelp pijlLog in penRegistreer

Nieuwste OV-chipkraak maakt zwartrijder onzichtbaar

Het is mogelijk te frauderen met de OV-chipkaart zonder gebruik te maken van de poortjes. Daardoor valt het misbruik niet meer te detecteren in de centrale systemen. Niet TLS, maar de NS betaalt. Dat bleek tijdens het weken durende onderzoek van Webwereld. Naast het uitlezen en overschrijven van de OV-chipkaart met andere data was het al mogelijk het saldo op de kaart aan te passen. Nu komt daar de mogelijkheid bij om niet meer te hoeven inchecken bij een poortje of paal, zodat er geen registratie nodig is. De fraude is dan niet te detecteren.

Zonder registratie
Het OV-chipsysteem is zo ingericht dat reizigers zich aanmelden (inchecken) bij een poortje of paal en dat die registratie bij gegevensverwerker Trans Link Systems (TLS) wordt aangemeld. Op die manier komt een transactie in de systemen terecht en kan afwijkend gedrag worden gedetecteerd.

Maar dankzij een scenario van hacker atdt112 en een applicatie van hacker LogicAnalyz3r is het nu mogelijk om zelf op de eigen computer een check-in te regelen. De gebruiker voert op zijn pc een station van ‘inchecken’, datum en tijd in voor een treinreis. Daarna worden die gegevens op de kaart geladen en lijkt het dat de reiziger klaar is voor de reis. Iedere conducteur krijgt op zijn apparaat de juiste informatie, zodat het lijkt alsof er voor de reis is betaald.

Geen fraudedetectie
Omdat het poortje of de paal volledig wordt genegeerd mist TLS informatie om fraude überhaupt op te merken. Ook hoeft er geen saldo aanwezig te zijn, omdat voor deze vorm van reizen met de OV-chipkaart geen administratie meer wordt gevoerd.

Juridisch is het nu ingewikkelder om aan te geven wie het slachtoffer is. Bij een daadwerkelijke incheck bij een poortje of paal gaat er geld van TLS naar de vervoersbedrijven. Maar een niet-ingecheckte kaart schept ook geen financiële verplichting. Dus is het vervoersbedrijf gedupeerd, niet TLS. Het bedrijf achter de OV-chipkaart ontdekt deze fraude helemaal niet en voor het vervoersbedrijf is het met de huidige controle-apparatuur ook onmogelijk te detecteren.

Al een week ongezien
Webwereld heeft de hack al ruim een week uitgeprobeerd. Daarbij heeft geen enkele conducteur ook maar een moment iets vermoedde. Eén keer maakte een conducteur een opmerking dat het na negen uur voordeliger is om te reizen op een Zoutkaartje (dat de NS verstrekt om te compenseren voor het strooizouttekort van Rijkswaterstaat voor de Nederlandse snelwegen). Dat aparte treinkaartje geeft namelijk “maar liefst 40 procent korting”.

Zelfs een kaart die voor vertrek geweigerd wordt door de automaat (omdat hij geblokkeerd is), valt te gebruiken. Na het draaien van de incheck-tool wordt de conducteur niet gealarmeerd over het feit dat de kaart als geblokkeerd te boek staat. De blokkade-status van de kaart staat namelijk in de informatie die met de hack wordt overschreven. Ook TLS merkt hier niets van, omdat het op geen enkel moment wordt betrokken bij wat er gebeurt. Het bedrijf krijgt dus geen informatie over het echte gebruik van de geblokkeerde kaart.

Wel moet gezegd worden dat de incheck-tools alleen voor Windows bestaan. De software werkt eenvoudig, omdat het een .NET-applicatie betreft waarvoor geen installatiekennis nodig is. Voor de SP is de maat vol en moet er een spoeddebat komen. De politieke partij voorziet het failliet van de OV-chipkaart.

‘Mag niet’
TLS wijst er op dat rommelen met de kaarten niet mag. In tv-programma Nieuwsuur reageert financieel directeur Gerben Nelemans op deze nieuwste OV-chiphack met de vraag: “Het is verboden dus waarom zou iemand dat doen?”
bron: webwereld.nl

Gepost door Robert van den Heuvel op Thursday, 27 January 2011
Share |
Nieuws • (1) CommentaarPermalink


Volgende post: ‘Afschaffen stadsdelen miljoenenstrop’

Vorige post: Geen parkeervergunning voor bewoners in een garagecomplex


De benodigde software om de OV-chipkaart te kraken en het saldo onbeperkt op te hogen ligt op straat. De Windows-tools zijn te downloaden via onder meer torrentsite The Pirate Bay.

Sinds vanochtend zijn de twee hacktools om de OV-chipkaart te kraken beschikbaar via onder meer torrentsite The Pirate Bay. Het betreft een gecomprimeerd RAR-bestand met daarin een vroege, uitgeklede versie van de tool om de Mifare Classic-chip te kraken en datadumps te lezen en schrijven. Ook de zogenaamde OVsaldo app zit in het pakket. Hiermee kan het saldo op de kaart direct worden gemanipuleerd.

Onbeperkt saldo
In feite is de lees/schrijf-tool voldoende om onbeperkt te kunnen frauderen, omdat daarmee een datadump, inclusief saldo, steeds opnieuw op de kaart kan worden gezet. De tool mist enkele dll-bestanden om meteen te kunnen draaien. Als die handmatig worden toegevoegd werkt de tool wel, blijkt uit tests van Webwereld.

Naar aanleiding van de recente onthullingen heeft de SP de OV-chipkaart failliet verklaard. De partij eist een spoeddebat in de Kamer.

Strafbaar
Trans Link Systems (TLS), het bedrijf achter de OV-chipkaart, stelt dat het manipuleren van de OV-chipkaart en het ‘gratis’ reizen voor iedereen strafbaar is. “Het wordt hiermee wellicht nog makkelijker, maar het frauderen is en blijft strafbaar???, aldus de woordvoerster van TLS.
bron: webwereld.nl

Reactie #1, gepost door: Robert van den Heuvel op: 01/27 om 12:20 AM

In verband met hevige spamoverlast is het alleen mogelijk om te reageren als lid. Lid worden kan via deze link of de knop bovenaan de pagina. Inloggen kan door hier te klikken Lidmaatschap is vrij van spam en nieuwsbrieven. Onze excuses voor het ongemak.


Terug naar de hoofdpagina

Zoeken


geavanceerd zoeken