Verslaggevers van RTV Rijnmond hebben dagenlang gratis met een gekraakte OV-chipkaart gereisd. De beveiliging van de chip was gekraakt door onderzoekers van de vakgroep Digital Security van de Radboud Universiteit in Nijmegen. Zij kraakten al eerder de OV-chip. Toen liet Translink Systems, het bedrijf achter de OV-chipkaart, weten dat een gemanipuleerde kaart binnen één etmaal wordt opgemerkt en geblokkeerd. RTV Rijnmond en de Radboud Universiteit hebben nu aangetoond dat dat niet klopt. De onderzoekers konden de chipkaart gratis opladen en de frauduleuze kaart werd niet geblokkeerd door het Rotterdamse vervoersbedrijf.

De Nederlandse Spoorwegen hebben vandaag besloten de introductie van de OV-chipkaart enkele jaren uit te stellen. Landelijke invoering van de OV-chipkaart is voor de NS nog “te complex”, zegt de directeur van NS-Reizigers in een interview met de NOS. Pas in 2013 zal het reizen met de OV-chipkaart in de trein verplicht zijn. In Rotterdam is de OV-chipkaart vanaf morgen verplicht in de metro.

Conducteurs die de geldigheid van ov-chipkaarten controleren kunnen alle transacties van de eigenaar zien. Dat is waarschijnlijk in strijd met de Wet Bescherming Persoonsgegevens. Dat meldt Webwereld. Informatie over transacties van klanten bij andere bedrijven moet privé blijven.

Brenno de Winter van Webwereld werd tijdens een controle geconfronteerd met twee privacy-inbreuken. De conducteur kon zien dat hij 71 cent rood stond op zijn kaart en dat hij de laatste keer in de bus in Amsterdam wel was ingecheckt, maar niet was uitgecheckt. De conducteurs zien codes in plaats van haltenamen, maar volgens De Winter zijn conducteurs al bezig een lijst van codes en bestemmingen te maken.

Onlangs zei het College bescherming persoonsgegevens (CBP) geen bezwaren meer tegen de ov-chipkaart te hebben omdat de reisgegevens van passagiers niet bewaard worden. Het CBP heeft niet langer bezwaar tegen het gebruik van de persoonlijke reisgegevens voor marketingdoeleinden.

Woensdag vindt in de Tweede Kamer een hoorzitting over de ov-chipkaart. Daar zullen de vervoersbedrijven, het CBP en ov-ambassadeur vragen beantwoorden over onder meer de privacy-aspecten van de kaart.

(Foto van Vincent Teeuwen)

Het College bescherming persoonsgegevens (CBP) heeft geen bezwaren meer tegen de ov-chipkaart omdat de reisgegevens van passagiers niet bewaard worden. CBP-voorzitter Jacob Kohnstamm zei vandaag op Radio 1 dat uit onderzoek is gebleken dat er geen gegevens over reisdoelen en tijdstippen voor langere tijd worden opgeslagen. De ov-chipkaart wordt vanaf 29 januari as. verplicht in de Rotterdamse metro.

(Foto van on1stsite)

De drie studenten die de openbaar vervoerskaart van Boston, de Charlie Card, hebben gekraakt mogen nu openlijk over hun onderzoek en methoden praten. Dat heeft een rechter van het U.S. District Court in Boston bepaald. Met het oordeel werd een eerder spreekverbod opgeheven. De wet die de lagere rechter had toegepast was volgens het District Court niet toepasbaar op de zaak die het vervoersbedrijf MBTA tegen de studenten had aangespannen. De presentatie was, hoewel toen verboden, al online gezet.

De door de rechter verboden presentatie van drie Amerikaanse studenten over de kraak van de Charliecard, de openbaar vervoerskaart van Boston, is online gezet. Ook de audio-opname van de rechtszaak staat op internet. De presentatie staat op de site van MIT, de universiteit waar de studenten studeren. Het audioverslag op het weblog van Wired. In de presentatie worden niet alleen technische lekken behandeld. Er komen ook gaten in de fysieke beveiliging van de metro en methoden voor social engineering aan bod. Op eBay konden de studenten bijvoorbeeld petjes en emblemen van transportbedrijf MBTA kopen die gebruikt kunnen worden om MBTA-personeel te personificeren.

(Via Security.nl; foto van Justin Moore)

De NS gebruiken een virtuele wereld om te testen wat stations aantrekkelijk maakt voor reizigers. Uit onderzoek blijkt dat kleuren en licht invloed hebben op de manier waarop reizigers wachttijd ervaren. “Onze reizigers zitten gemiddeld 38 minuten in de trein en ze verblijven gemiddeld 5 minuten op het perron. Als die 5 minuten 15 minuten lijken, dan heeft dat misschien invloed bij de keuze voor de auto of de trein”, aldus Mark van Hagen, senior projectleider strategisch onderzoek bij de NS in Emerce. Op de site Mijn Proefstation kunnen ge&eiuml;nteresseerden een kijkje nemen op het virtuele station en meedenken over andere vernieuwingen bij de NS. NS-medewerkers bloggen ook over vernieuwingen bij het spoor. Er is ook een wedstrijd gehouden voor een ontwerp van stationstoiletten. Eerder al onderzocht de NS in Second Life de poortjes van de ov-chipkaart.

(Via Emerce)

Drie Amerikaanse studenten mogen hun onderzoek naar de beveiliging van de ov-chipkaart in Boston niet presenteren op een conferentie. Ze mogen ook de open source-programma’s die ze hebben ontwikkeld niet openbaar maken. Dat heeft de rechter bepaald in een rechtszaak die het vervoersbedrijf van de stad Boston, de Massachusetts Bay Transportation Authority (MBTA), had aangespannen tegen de studenten Zack Anderson, RJ Ryan en Allessandro Chiesa van MIT. Het vervoersbedrijf beriep zich op de op Amerikaanse versie van de wet Computercriminaliteit, de Computer Fraud and Abuse Act. De rechter stelde MBTA in het gelijk omdat de informatie van de studenten anderen in staat zou stellen om gratis ritjes met de metro te maken. De rechter haalde ook de bescherming van het openbaar vervoer tegen terrorisme van het Department of Homeland Security aan. De studenten zeggen dat ze geen details bekend willen maken waarmee anderen misbruik van het openbaar vervoer kunnen maken.

De ov-kaart voor het openbaar vervoer in Washington DC, de Farecard, is bijzonder eenvoudig te kraken. Volgens de Washington Post is er niet meer voor nodig dan een schaar en een stukje papier. Deze week arresteerde de Metro Transit Police in Washington zes mensen die het openbaar vervoerbedrijf voor duizenden dollars zouden hebben opgelicht. Volgens de Amerikaanse krant kochten de verdachten echte Farecards met een waarde van 40 dollar. De magneetstrips van de Farecards werden vervolgens in vier stroken geknipt. Deze stroken werden vervolgens op vier verlopen Farecards geplakt. Hierna werden de vervalste kaarten op het metrostation opgewaardeerd met 5 dollarcent. Op die manier kregen ze een waarde van 40 dollar en 5 cent. De verdachten dachten niet betrapt te kunnen worden omdat je bij het opwaarderen de kaart wordt vervangen door een nieuw exemplaar, waardoor niet langer zichtbaar was dat de magneetstrip is vervangen. Ze vielen echter door de mand toen bij een controle opviel dat in korte tijd een groot aantal kaarten van 40 dollar was verkocht.

(Via Webwereld; foto van Matt Steele)

Prof. dr. Bart Jacobs van de Radboud Universiteit Nijmegen mag van de rechter zijn artikel over de Mifare Classic Chip, die wordt gebruikt in de ov-chipkaart, publiceren. De voorzieningenrechter in Arnhem heeft geoordeeld dat het publiceren van dit wetenschappelijk artikel valt onder de vrijheid van meningsuiting en dat er in een democratische samenleving grote belangen zijn gemoeid met het kunnen publiceren van de resultaten van wetenschappelijk onderzoek. “Daaraan kunnen slechts beperkingen worden gesteld indien daarvoor een dringende maatschappelijke noodzaak bestaat en alleen als die noodzaak overtuigend wordt aangetoond. Dat vergt een afweging van concrete belangen. Overwogen wordt dat er in een democratische samenleving grote belangen zijn gemoeid met het kunnen publiceren van de resultaten van wetenschappelijk onderzoek en het informeren van de samenleving over de ernstige manco’s die de chip blijkt te hebben zodat maatregelen kunnen worden genomen tegen de risico’s van het lek in de chip”, aldus de rechtbank in een persbericht. Het artikel wordt begin oktober gepubliceerd tijdens een wetenschappelijke conferentie in Malaga, Spanje. De producent van de chip, NXP, had een kort geding tegen de Radboud Universiteit aangespannen om de publicatie van het artikel te verbieden.

(Foto van Gen Gibson)

Fabrikant NXP van de OV-chipkaart heeft een kort geding aangespannen tegen onderzoekers van de Radboud Universiteit Nijmegen vanwege een publicatie over de chip van de OV-chipkaart. In maart toonden onderzoekers van de Radboud Universiteit Nijmegen, onder leiding van prof. dr. Bart Jacobs, aan dat de Mifare Classic Chip zoals die wordt gebruikt in toegangspassen en de OV-chipkaart ernstige tekortkomingen vertoont. NXP wil dat de publicatie waarin deze gebreken worden beschreven wordt verboden. De zitting van vandaag vond plaats achter gesloten deuren. De uitspraak wordt uiterlijk maandag verwacht. De Radboud Universiteit zegt in een persbericht dat “de universiteit zorgvuldig gehandeld heeft. Een publicatieverbod brengt de academische vrijheid van onderzoek, waaronder de vrijheid van publicatie, in geding. Het is de wettelijke taak van een universiteit op onafhankelijke wijze onderzoek te doen en daarover te publiceren. Wetenschappelijk onderbouwde resultaten van onderzoek moeten vrij hun weg naar de samenleving kunnen vinden. Ook de resultaten van een onderzoek naar de digitale beveiliging. Het is een maatschappelijk belang dat aangetoonde kwetsbaarheden in beveiligingssystemen, zoals in de Mifare Classic Chip, verifieerbaar worden gepubliceerd. Zo kunnen passende maatregelen genomen worden en kan de beveiligingstechnologie zich verder ontwikkelen.”

Webwereld meldt dat de chip die voor de OV-chipkaart wordt gebruikt al enkele jaren geleden gekraakt en gekloond is. “Gedetailleerde kennis over de Mifare Classic Chip is al jaren te koop. Sinds 2004 zijn zelfs klonen op de markt”, aldus de internetnieuwssite.

(Foto van Bruce Turner)