OV-chip-kraak nauwelijks tegen te gaan

ISO-portefeuillehouder Rosalien Welle meldt dat de studenten door falend invoeringsbeleid straks met meerdere vervoersbewijzen op zak moeten gaan lopen. “Dit geeft grote onduidelijkheid. Al jaren leveren wij extra pasfoto’s in voor de chipkaart, maar van digitalisering van de OV-kaart ontbreekt nog elk spoor. Tijdens een OV-chipkaartinvoeringsoverleg -met OCW, de IB-Groep, de NS, JOB, LSVb en ISO- werd toegezegd, dat medio maart 2008 alle studenten met de chipkaart zouden kunnen reizen. Nu lijkt ook dit niet gehaald te worden.”

De kraak door de Nijmeegse informaticus was als volgt uitvoerbaar gebleken: met een RFID lezer wordt de inhoud van een wegwerpkaart eerst gekopieerd naar een laptop. Vervolgens wordt dezelfde informatie overgezet naar een zelfgebouwd apparaatje, de “Ghost”. Deze Ghost kan daarop keer op keer doen alsof hij de oorspronkelijke kaart is. Zo kan men onbeperkt met het openbaar vervoer reizen. TLS uitte dan ook bezorgdheid over het voorval, omdat de benodigde (technische) middelen eenvoudig verkrijgbaar zijn. Ook mogelijke tegenmaatregelen werden besproken. Conclusie was echter dat deze tegenmaatregelen erg duur of erg ingrijpend zijn.

De wetenschappers  leggen in hun analyse van de situatie de nadruk op de noodzaak van openheid en transparantie voor adequate beveiliging en publiek vertrouwen.  Openbaarheid van de specificaties en implementatiedetails, vanaf het begin, is hiertoe van wezenlijk belang, zodat wetenschappers, hackers, consumentenorganisaties en andere geïnteresseerde experts in een vroeg stadium ontwerpfouten kunnen onderkennen en helpen oplossen. Dit lijkt ook de TLS-medewerkers de beste manier om een goed beveiligd systeem te maken. De bij dit gesprek betrokken deskundigen zullen ook aanwezig zijn tijdens de Kamer-hoorzitting over de beveiliging van de OV Chipkaart

Al op 26 februari 2007 wees ScienceGuide in zijn analyse van het inwerkdossier van de bewindslieden op de aanzienlijke risico’s die het hele OV-chipkaart project voor onder meer de OCW-begroting en -organisatie in zich droeg: “In het inwerkdossier voor de nieuwe bewindslieden klinken omineuze geluiden over de praktische haalbaarheid van een chipkaart voor de 600.000 deelnemers in BVE en HO.” Ambtelijk OCW dacht toen nog een oplosing te kunnen bieden: “Door studenten naast de OV- studentenkaart ook de chipkaart te verstrekken, kunnen zij gemakkelijk en sneller toegang krijgen tot het openbaar vervoer”. Dit zou “gedurende een overgangsperiode” dus betekenen dat 1,2 miljoen deels geldige kaarten de ronde doen, “totdat de chipkaart landelijk is ingevoerd”.

De analyse van ScienceGuide wees daarbij op de kwetsbaarheid die in het dossier voor de nieuwe ministers voelbaar was: “Maar dit idee is drijfzand, zo blijkt bij nauwkeurige lezing van het inwerkdossier. Zo wordt niet gerept van een uitvoeringstoets door de IB Groep die voor dit geheel noodzakelijk zou zijn. Invoering – al eind 2006! – zou onmogelijk zijn zonder zo’n operationele contra-expertise.”