OV-chip drama dendert voort

GeenCommentaar heeft ruimte voor gastloggers, ditmaal een stuk ons per mail toegezonden door Erik van Luxzenburg.

De automatische scanners in het OV (Foto: Flickr/Mark Wubben)

Op Emerce staat een artikel over NXP, de nationale chipproducent uit Nijmegen die Nederland in de vaart der volkeren zou stuwen met een state of the art chip voor onze openbaar vervoersbedrijven. De oude strippen- en treinkaartjes zouden verdwijnen en de OV-reiziger zou voorzien worden van een pasje, formaat kredietkaart, waarin de zogenaamde Mifare Classic chip in verwerkt is. Deze chip geeft de mogelijkheid om op afstand langs een tolpoortje te lopen en automatisch af te rekenen voor je reis. Om dit project voortvarend aan te pakken werd er een apart bedrijf opgericht: Trans Link Systems (TLS), waarin de verschillende grote OV aanbieders een aandeel namen. Het hele project werd gesteund door de overheid, maar verder zou de overheid zich er niet mee bemoeien, hooguit de rekening betalen. Hier wil ik niet ingaan op de technische kant van de beveiliginglek, maar op de rare bokkensprongen van de betrokken partijen en de risico’s voor ons gedwongen gebruikers.

Kraak
Alles leek koek en ei met het OV-chip project tot begin dit jaar enkele onderzoekers uit Duitsland aantoonden dat de Mifare chip te kraken was. In april werd deze kraak gevolgd door een studie van de Radboud Universiteit Nijmegen. Deze studie stak een spaak tussen de wielen van het hoge snelheidsproject “OV-chipkaart” genaamd. Er werd ontdekt dat de de chip met huis-tuin-en-keuken middelen te kraken was zonder dat de pas in handen van de kraker hoefde te zijn.

Daar zit je dan als reiziger met je meer dan ?3.677,- kostende OV-jaarkaart op je chip, steelt je buurman tijdens je reis Eindhoven – Amsterdam zonder dat je het merkt je abonnement. Pas na aankomst kom je er achter: je komt het tolpoortje namelijk niet meer door!

De reacties op, met name, deze tweede studie waren verbijsterend. Allereerst werd ontkent door Trans Link Systems en de overheid dat dit mogelijk was. Daarna probeerde staatssecretaris Tineke Huizinga de onderzoekers van de Radboud Universiteit de mond te snoeren en begon NXP een rechtzaak tegen het onderzoeksteam. Alles om te voorkomen dat het project OV-chipkaart zou ontsporen of vertraging op zou lopen. Helaas voor hen waren deze pogingen niet succesvol en bleef de studie openbaar. Uiteindelijk leidden kamervragen tot vage toezeggingen van de staatssecretaris die haar zwakke positie nog verder verzwakten. De ellende voor minister Huizinga zit hem in het feit dat zij feitelijk geen zeggenschap heeft over het OV-chip project. De overheid heeft de opdracht verstrekt aan de vervoersbedrijven te moderniseren maar meteen de regie uit handen gegeven. De OV bedrijven hebben hetzelfde gedaan door Trans Link systems op te richten!

Reiziger de dupe
De reiziger is uiteindelijk de dupe, want wij worden (wettelijk) gedwongen over te stappen op een nieuw openbaar vervoer systeem dat niet veilig is. Buiten bovengenoemde voorbeeld van diefstal van abonnementen is er meer mogelijk. Je identiteit staat voor een deel immers ook op die chip: NAW gegevens, wellicht betaalgegevens, reisschema’s en eventuele overige privacygevoelige informatie. Een bizar commentaar op het kraken van de chip was dat de schade wel meeviel, wat kost een kaartje nou? Drie euro? Dat is bij enkeltjes wel het geval, maar bij abonnementen spreek je over tweeduizend euro of meer, voor velen een aanzienlijk bedrag.

Gelukkig voor de OV reiziger komt de NXP-vice president sales en marketing Steve Owen nu met de volgende opmerking: “We raden in dat geval gebruik van de Mifare Classic af voor nieuwe installaties.” Ahem, een vice-president sales en marketing die dit zegt terwijl ons kabinet in de geest van Colijn anno 2008 zegt: “Gaat u maar rustig slapen.” Alsof wij nog steeds niet geleerd hebben van het verleden en weten dat we bij dit soort opmerkingen des te achterdochtiger moeten zijn.

Na de aanhoudende kritiek en herhaalstudies die hetzelfde resultaat gaven (de chip is onveilig) heeft Tineke Huizinga aangegeven dat TLS meteen na de introductie van de huidige versie van de OV chipkaart zal beginnen met de migratie naar de opvolger van de Mifare Classic. Een vreemde opdracht zo lijkt mij, waarom niet meteen overstappen? Want NXP schijnt al een opvolger te hebben, de Mifare Plus. Wellicht dat die nieuwe veiligere chip de reden is voor zijn opmerking, die nieuwe chip moet toch verkocht worden. Maar zouden zijn opmerkingen ons niet tot denken aan moeten zetten? Wat is de reden dat de overheid en Trans Link Systems niet serieuzer kijken naar alternatieven? En welke alternatieven zijn er dan? Naast de Mifare Plus heeft in ieder geval de Radboud Universiteit aangekondigd binnen twee jaar een open source versie te hebben.

Alternatieven
Gisteren stond er op webwereld een artikel dat de software om de OV-chipkaart te kraken openbaar is onder een open source licentie. De deur naar massale fraude staat nu wagenwijd open. Wederom treffen we een Trans Link Systems dat reageert met; “Naar onze mening maakte het een aanval op de OV-chipkaart niet aantrekkelijker en verandert het niets aan het feit dat de criminele business case niet positief is en daarmee misbruik niet loont.” Een stompzinnige reactie die hooguit twee dingen aantoont: TLS heeft geen idee waar ze over praat, of ze hopen dat criminelen er geen brood in zien!

Wel voegden ze er aan toe: “Al eerder hebben we aangegeven dat misbruik van een OV-chipkaart in de backoffice wordt gedetecteerd waarna de betreffende kaart of kaarten worden geblokkeerd […] Daarnaast werken wij, in lijn met de aanbeveling van Royal Holloway, aan een migratieplan om voorbereid te zijn voor een migratie naar een andere chip indien dit aan de orde mocht zijn.” Kijk, dat stemt wel weer enigszins hoopvol, maar dan stel ik aan TLS: Er zijn dus al twee alternatieven en voor de uitrol in 2009/2010 komen er mogelijk nog alternatieven bij. Implementeer die nu al voor de uitrol en wacht niet op de eerste schadeclaim van een gedupeerde reiziger.

Hopelijk raast de verandering niet voort zonder dat de juiste mate van beveiliging is ingebouwd, want anders kunnen we allemaal beter vasthouden aan de strippenkaart of in de file gaan staan!

  1. 1

    Rotterdam heeft een moedig voortouw genomen. Straks MOET je zo’n ding hebben, anders kom je daar geen tram of bus meer in. Leuk als je daar niet woont.

    Dus wat doe ik dan als ik naar Rotterdam moet? Juist, de auto. Lekker handig geregeld dus. Ja, zo verdwijnen de files wel.

  2. 2

    Voor deze keer volledig gelijk, Zwevert.

    Maar bij mij was het een hele grap. Ik reis namelijk met de trein, met een 40% korting kaart. Blijk ik deze kaart op te kunnen laden. Toen wist ik dat nog niet dus gelopen vanaf R’dam CS naar Kralingse Plas en vice versa voor noppes.

  3. 4

    Door de bar slechte reistijden kom ik al bijna nooit in het OV, maar na invoering van chipkaart zal ik alleen nog maar gaan als ik of kan zwartrijden, of die kaart kan hacken.

    Big Brother, sterf!

  4. 5

    Er is een niet privacygevoelig alternatief: gewoon kaartjes verkopen. Dat lost alle problemen meteen op en is goed voor de werkgelegenheid. Maar waarom zou je het makkelijk doen, als het ook moeilijk kan? En er is per slot van rekening al zo veel geld weg gegooid geïnvesteerd in dit project, dat verder gezichtsverlies terug draaien geen optie is.

    @1: kun je Rotterdam dan nog steeds parkeerkaartjes met contant geld betalen? Ik dacht dat ze dat ook kwijt wilden, om iedereen te dwingen een chipknip te nemen het betalen van die parkeerkaartjes gemakkelijker te maken.

  5. 6

    @ Koos – Goh, moet ik nou blij zijn? Mag ik nou weer meedoen of zoiets?

    @ Robert – Jij kent dus duidelijk Rotterdam niet.

    @ pedro – Wel eens van een strippenkaart gehoord? En wat parkeren betreft: er zijn genoeg alternatieven voor waarbij je gewoon bij een automaat met je pinpas of creditcard kunt betalen.

  6. 7

    Er staan geen NAW gegevens op de chip voor zover ik weet. Het privacyargument en het kraken worden telkens bij elkaar gehaald, maar het zijn aparte dingen. De privacyproblemen zit hem in het opslaan van de reisgegevens in grote databases bij de vervoersbedrijven. Het kraken van de chip is vooral een probleem voor de OV-bedrijven zelf, die daardoor inkomsten missen.

  7. 8

    @3: Je kunt een OV-fiets huren bij de stalling op Rotterdam CS. En je kunt ook papier chipkaarten uit de automaten trekken die op het station staan.

    Van Rotterdam CS naar Kralingen is overigens een flinke wandeling…

  8. 9

    @6: Een strippenkaart is toch ook gewoon een kaartje, dat je gewoon bij een loket op het station kunt kopen, bijvoorbeeld?

    En wat parkeren betreft zijn een pinpas en een creditcard net zo privacygevoelig en net zo lastig voor vele buitenlanders als een ov-chip-kaart. De enige manier om problemen te voorkomen, is er voor zorgen, dat iedereen, die dat wil of niet anders kan, gewoon met contant geld kan betalen.

  9. 10

    @7: “Het kraken van de chip is vooral een probleem voor de OV-bedrijven zelf”. Ik denk, dat het OV bedrijf de met je gekraakte chip gemaakte reiskosten gewoon van je rekening afschrijft en dat je maar moet zien hoe je die terug krijgt.

    “Het privacyargument en het kraken worden telkens bij elkaar gehaald, maar het zijn aparte dingen”. Als de database gekraakt is niet meer. Dan weet ook degene, die je chipkaart illegaal uitleest (kraakt), meteen wie je bent, waar je woont, hoe vaak je reist en waar naar toe, enz. het zijn 2 verschillende takken, maar wel van delfde boom.

  10. 11

    @10: “Ik denk, dat het OV bedrijf de met je gekraakte chip gemaakte reiskosten gewoon van je rekening afschrijft en dat je maar moet zien hoe je die terug krijgt.”

    Ik ben bang dat ze dat inderdaad gaan proberen, maar dat mag niet gebeuren, zeker niet als de chip overduidelijk zo gemakkelijk te kraken is. De banken zijn ook overstag gegaan met de PIN.

    “Als de database gekraakt is niet meer.”

    Ok, maar de veiligheid van de database is tot nu toe geen issue geweest. Ik vind sowieso dat de vervoersbedrijven niet al die data eeuwig moeten opslaan; net zolang als moet voor de wet als bewijs van de betaling.

  11. 12

    @11: “de veiligheid van de database is tot nu toe geen issue geweest”. Precies. Tot nu toe nog niet…

    “net zolang als moet voor de wet als bewijs van de betaling”: ik denk niet dat dat de enorme investeringskosten rechtvaardigt.

  12. 15

    “Ik vind sowieso dat de vervoersbedrijven niet al die data eeuwig moeten opslaan; net zolang als moet voor de wet als bewijs van de betaling.”

    Ik wil niet meteen de doemdenker spelen, maar je kan op je vingers natellen dat de overheid op korte termijn met wetgeving komt, die de vervoersbedrijven een jarenlange bewaarplicht oplegt, in het kader van terrorisme- en criminaliteitsbestrijding.

    Juist in dat kader wordt de kraakbaarheid van de chip zelf een extra probleem voor de consument, want in de database raken straks reizen opgeslagen die niet door hem (m/v) gemaakt zijn, maar door criminelen die gekloond hebben om hun bewegingen te maskeren.

  13. 16

    [email protected]
    @ Robert – Jij kent dus duidelijk Rotterdam niet.

    Ik weet waar het CS en het Kralingse bos is. Inderdaad een flinke afstand; dus goed voor de conditie. En je kan een fiets huren op CS, natuurlijk wel met een goed slot. Waarom zou ik Rotterdam niet kennen?

  14. 17

    @Bismarck – Als je ziet wat men in Rotterdam nou al met de kentekens van auto’s doet, dan denk ik dat het al veel verder is dan je denkt.

    Een belastingschuld? Een rekening niet betaald? Je boterham niet opgegeten? Big Brother weet het en roept je wel even ter verantwoording.

    Toevallig toch dat zoiets altijd weer ineens met een sneltreinvaart komt als er daar een links bewind is.

  15. 18

    Ik loop elke dag minstens 10 km; eerst vaak zeer omhoog en dan een andere weg met de afdaling. Als ik dat op mijn leeftijd kan, moet Koos het toch ook kunnen! En hij heeft als bonus nog een sightseeiing door het allochtonengedeelte en kan bij Correct, weliswaar ietwat uit de richting (hangt er vanaf waar je in het Kralingse bos moet zijn) , naar de nieuwste elektronica gaan kijken.

  16. 19

    Ik woon dus in rotterdam en ik kan straks niet meer met bus en metro vanwege die fascistische chip. Die precies bijhoud waar je heen gaat, hoe lang je daar blijf en hoe vaak per week.

  17. 20

    @zwevert#17: “Toevallig toch dat zoiets altijd weer ineens met een sneltreinvaart komt als er daar een links bewind is”. Leuke woordgrap, en CDA en ChristenUnie zijn natuurlijk voor sommigen wel erg links…

    De eerste plannen dateren uit de periode van Lubbers III (1992 resp 1994). Subsidie werd verleend door de rooie roomse rakker, Frans Andriessen. Sinds 2004 worden proeven gehouden (Balkenende I, met die linksche CDAer Karla Peijs op V&W, dat dan de leing over het project van EZ over heeft genoemen). De proef start in 2005 in Rotterdam, waar op dat moment de grootste fractie in de gemeenteraad wordt gevormd door die linkse rebellen van Leefbaar Rotterdam. Karla Peijs heeft besloten dat de chipkaart op 1 januari 2009 ingevoerd moet zijn en dat de strippenkaarten dan niet meer geldig zijn. Je eerste formulering was heel juist: het is inderdaad heel toevallig, en ook niet meer dan dat, dat er nu een kabinet met PvdA zit en dat dat samenvalt met invoering van de ov chipkaart en dat die extreem linkse Huizinga nu verantwoordelijk is.

  18. 24

    @23 Ze lopen zo af en toe met van die draagbare scanners te controleren. Niet vaak. Een boete af en toe neem ik wel op de koop toe.

  19. 25

    Maar als ik het goed begrijp dan kan bij diefstal of vermissing niet als bij een bankpas je kaart gedeactiveerd worden door een telefoontje naar een centraal nummer.

  20. 26

    “Zo betalen reizigers bij gebruik van de strippenkaart in de bus een zone-opstaptarief en bij gebruik van de ov-chipkaart 0,70 cent” lees ik net op nu.nl.

    Dat verklaart het enthousiasme voor invoering van de ov chipkaart wel. Een gewone 15-strippenkaart kost 6,80 euro. Één strip kost dus 45,3 cent. Een prijsverhoging van ruim 55% kun je niet iedere dag doorvoeren. Met een 45-strippenkaart wil ik de berekening eigenlijk niet eens zien… Daar wordt de instapprijs bijna verdubbeld (van 38,8 naar 70 cent).

    Het zinnetje er vlak boven verliest meteen iedere betekenis: “Een andere voorwaarde die Huizinga in november 2007 stelde is dat reizigers niet mogen worden geconfronteerd met extra kosten”. O wacht even verder lezen: “bijvoorbeeld doordat zij twee keer een opstaptarief moeten betalen”. Ah gelukkig. Als ik overstap hoef ik niet nog een keer het opstaptarief te betalen. Maar hoe wordt dat nu dan geregeld? Bij een strippenkaart is dat duidelijk: je hebt een beginzone en een aantal strippen, waarmee je binnen een bepaalde tijd een vast bepaald aantal andere zones kunt bereiken. Op de chipkaart worden geen gegevens vast gelegd, hoor ik steeds, dus dat werkt daar niet. Even verder lezen… “Ook daar hebben we een oplossing voor, verzekert de RET”. Mooi. Wat is die oplossing dan? “Die delen we na een eventueel positief besluit eerst met het personeel en dan met de rest van de wereld”… Pardon? Eerst invoeren en dan pas delen? Wat zijn dat voor tactieken?

  21. 27

    @26: Als je overstapt met de OV-chipkaart – dat is uitchecken en weer inchecken binnen een bepaalde tijd, dan zie je op het schermpje al ‘overstap’ en hoef je niet het instaptarief nogmaals te betalen.

    Een reis kost nu ook minimaal twee strippen, dus het instaptarief is 90,7 cent. Bij de OV-chipkaart begin je met 70 cent en daar komt dan het kilometertarief bovenop. In de praktijk komt dat er op neer dat de OV-chipkaart op korte stukjes in het centrum of als je de pech had vlak bij een zonegrens te wonen voordelig is, want daar kan je reizen voor minder dan twee of drie strippen. Op het platteland, waar de zones heel groot waren, ben je duurder uit, want waar je eerst voor drie strippen een uur in de bus kon zitten, daar moet je nu voor al die kilometers betalen.

    Op zich vind ik dat wel te billijken – wie de OV-kilometers verbruikt betaalt ze – maar er is ook wel wat voor te zeggen het kilometertarief variabel te maken: minder cent per km op het platteland, juist meer voor de nachtbus. Het is natuurlijk ook vrij irritant dat je moet gaan betalen voor al die extra kilometers die de bus meanderend aflegt en die het toch al zo een traag vervoermiddel maken.

  22. 28

    @27: waar op het platteland reed jij voor 3 strippen een uur lang rond? Ik heb drie maanden lang Apeldoorn-Putten gereden voor minimaal 9 strippen! (8 als ik mazzel had). Die rit duurt 50 minuten!

    Voor alle reaguurders die denken zwart te kunnen rijden: hoe gaan jullie onder, over of door de poortjes? :-)

  23. 30

    @28: er overheen lijkt mij het eenvoudigste, alhoewel er onderdoor misschien ook wel kan.
    De poortjes staan er al op sommige stations, dus je kan al gaan oefenen (bv. in Leiden, waar ze al Gestapo-poortjes worden genoemd geloof ik).

    Overigens was nog niet tot mij doorgedrongen dat er ook weggooi kaartjes zijn, wat voor mij het privacy verhaal iets genuanceerder maakt. Die kan je leeg (gratis) uit de automaat halen bij RET en thuis opladen met je hacking kitje….
    Ik hoop dat dit bij landelijke invoering zo blijft :-)

  24. 32

    @28: Dat was een beetje een hyperbool, maar feit is dat op het platteland de zones groter zijn en betalen per kilometer met de OV-chipkaart daar dus nadelig kan uitpakken, terwijl het bij kleine zones in de stad juist gunstig kan zijn, zeker als je dicht bij een zonegrens woonde.

  25. 34

    wat ben ik blij dat ik al jaren met nepkaartjes rondreis (en met succes, nog nooit had iemand het door).. elke keer als ze weer een nieuwe manier vinden om reizigers als koeien uit te melken denk ik bij mezelf ‘wat ben ik blij dat ik er niet voor betaal’ en geeft het mij een goed gevoel … :)