Niet iedere crimineel heeft kraakkennis

De chip in overheidspasjes blijkt kopieerbaar. Minister Ter Horst wil direct extra veiligheidsmaatregelen, de Kamer is verontrust. Maar heel makkelijk is het kraken van de chip niet.

Alleen al tienduizend medewerkers van de gerechtsgebouwen beschikken erover. Een mogelijk onveilig toegangspasje dat is uitgerust met de kopieerbare Mifare Classic-chip. De rechterlijke macht is daarmee een van de overheidsinstanties die minister Guusje ter Horst (Binnenlandse Zaken, PvdA) bedoelde in de brief die ze gisteren naar de Tweede Kamer stuurde. Daarin waarschuwde ze dat medewerkers van het onderzoeksinstituut voor informatica van de Radboud Universiteit Nijmegen erin geslaagd zijn om de chip in zulke toegangskaarten te klonen.

Volgens Ter Horst maakt dat de weg vrij voor misbruik. Ze wil dat de overheid overal onderzoekt of aanvullende veiligheidsmaatregelen nodig zijn. Maar volgens een woordvoerder van de Raad voor de Rechtspraak is dat voorlopig niet nodig. Zo’n 10.000 medewerkers hebben weliswaar vrijelijk toegang tot de gerechtsgebouwen, maar dat geldt niet voor de beveiligde delen van die complexen, zoals de cellencomplexen of de plaatsen waar vertrouwelijke dossiers zijn opgeslagen. Daarvoor gelden extra veiligheidsprocedures.

De Raad voor de Rechtspraak is een van de weinige instanties die openheid bieden over het veiligheidsbeleid. Een woordvoerder van de Tweede Kamer houdt zich op de vlakte. Hij wil alleen kwijt dat de pasjes van de Kamer ontwikkeld zijn door TNO en dat die techniek ook gebruikt wordt door het ministerie van Defensie. Het ministerie van Justitie doet geen mededeling over het soort pasjes dat gebruikt wordt voor het gevangeniswezen of tbs-klinieken.

Het is ook nog maar de vraag hoe ernstig de veiligheidsrisico’s zijn voor overheidsinstellingen. De Mifare-chip is weliswaar gekraakt, maar daarvoor was kennis nodig die niet iedere kwaadwillende in huis heeft. Bart Jacobs, hoogleraar computerbeveiliging in Nijmegen: „We zijn er met een team van tien uiterst competente mensen, die minimaal vijf jaar informatica hebben gestudeerd, mee bezig geweest. Makkelijk is een dergelijke kraak niet. Maar de georganiseerde misdaad is ook serieus actief op ict-gebied.”

Voor de rijksoverheid wordt nu versneld gewerkt aan een nieuw pasje met andere technologie. Volgens Jacobs is op termijn iedere pas te kraken. „Maar deze Mifare Classic-chips komen uit de jaren negentig. Ondertussen zijn er veel betere chips beschikbaar, zoals die in paspoorten. Dat is momenteel ‘the state of the art’. Dat die betere chips niet worden gebruikt, reken ik de Kamer aan. Het mag allemaal niks kosten.”

Volgens informaticadeskundige Wouter Teepe van de Radboud Universiteit kost het kopiëren een paar uur posten voor de deur van bijvoorbeeld een departement of een kazerne met een rugzak, een laptop en specialistische kennis. „In het protocol van de chip zitten fouten”, zegt Teepe. „De chip geeft stukjes informatie prijs over zijn versleuteling als je hem met getallen bombardeert. Daardoor hoef je maar een fractie van de 248 combinaties uit te proberen om de chip te kraken.”

Kamerleden reageren verontrust op de uitkomst van het onderzoek. Brigitte van der Burg (VVD): „De minister moet zo snel mogelijk zorgen dat het weer veilig wordt. Als er niet direct nieuwe passen komen, moeten er extra mensen worden ingezet.” Ook Coskun Çörüz (CDA) wijst erop dat „de klassieke vormen van beveiliging niet naar de achtergrond mogen verdwijnen”.

Attje Kuiken (PvdA): „Een pas alleen is nooit een sluitende beveiliging. Dat komt bij elk gebouw neer op maatwerk.” Hero Brinkman (PVV) vindt het „heel ernstig”, al „verbaast het [hem] niet dat dat allemaal kan gebeuren”. GroenLinks heeft een spoeddebat aangevraagd.

Commentaar: pagina 7