De kick van de graal

Nieuws | de redactie
14 maart 2008 | De Nijmeegse chipkaarthackstudent Roel Verdult was van plan gewoon af te studeren. Maar de ‘heilige graal voor hackers’ kon hij als een soort IT-Parsifal niet ongemoeid laten. Bart Jacobs, hoogleraar computerbeveiling, vertelt hoe en wat: ‘Er was een nieuwe uitdaging op zijn pad gekomen.

Dit keer ging het om de krachtigere versie van de wegwerpchip: de Mifare Classic. Een van de belangrijkste chips voor toegangsbeveiliging ter wereld, waarvan er wereldwijd zeker een miljard circuleren,’ vertelt hij in Voxlog

Roel Verdult ging ermee aan de slag en kreeg daarbij hulp van enkele medestudenten. ‘Gaandeweg kregen ze meer inzicht in de werking van de chip’, aldus Jacobs. ‘Dat ging zo ver dat we er op een zeker moment enkele medewerkers bij hebben geplaatst. Zo ontstond een soort onderzoeksgroep.’ De Nijmeegse informatici ontdekten volgens Jacobs ‘kleine foutjes in het beveiligingsprotocol’ van de kaart. ‘Met cryptoanalytische technieken konden ze daarmee uiteindelijk het beveiligingsalgoritme van de chip reconstrueren.’

Intussen was ook duidelijk dat de informatie waarmee de groep werkte niet in verkeerde handen mocht vallen. Om te voorkomen dat er gegevens naar buiten zouden sijpelen, werden de informatici afgezonderd van de buitenwereld. ‘De laatste weken hebben de studenten en onderzoekers op de campus eigenlijk alleen elkaar nog gesproken’, aldus Jacobs.

Geen overbodige maatregel, want intussen waren ze erin geslaagd om een nepkaart te bouwen. Daarmee wisten Roel Verdult en onderzoeker Wouter Teepe en hun team uiteindelijk de eindstreep te halen: ze maakten een apparaat waarmee ze in het voorbijgaan iemands kaart konden lezen. Die kaart wisten ze vervolgens te klonen zodat ze met een ‘gestolen identiteit’ de toegangsbeveiliging om de tuin konden leiden.

‘Yes, we’ve got it!, dat was zo’n beetje de reactie’, glimlacht Jacobs. ‘Natuurlijk is het geen goed nieuws wanneer zo’n belangrijk beveiligingselement te kraken blijkt. Maar ik hoop dat u begrijpt dat hier toch ook een beetje de kick van de wetenschappelijke ontdekking meespeelde.’

Bij het onderzoek is in de beginfase informatie uitgewisseld met de twee Duitse hackers die in januari de Mifare-chip fysiek hadden ontleed en daarmee belangrijke informatie over de werking ervan hadden blootgelegd. ‘Samenwerking kun je het niet noemen. Eerder was er spraken van een vriendelijke competitie’, aldus Jacobs.