Toegangspas kraken doe je niet zomaar

Minister Ter Horst is bang voor misbruik nu de chip in overheidspasjes kopieerbaar blijkt te zijn.

Maar veel betere chips zijn allang beschikbaar.

Alleen al tienduizend medewerkers van de gerechtsgebouwen beschikken erover. Een mogelijk onveilig toegangspasje dat is uitgerust met de kopieerbare Mifare Classic-chip. De rechterlijke macht is daarmee een van de overheidsinstanties die minister Guusje ter Horst (Binnenlandse Zaken, PvdA) bedoelde in de brief die ze woensdag naar de Tweede Kamer stuurde. Daarin waarschuwde ze dat medewerkers van het onderzoeksinstituut voor informatica van de Radboud Universiteit Nijmegen erin geslaagd zijn om de chip in zulke toegangskaarten te klonen. Het ministerie schat dat de chip in zo’n twee miljoen toegangspassen in Nederland wordt gebruikt.

Volgens Ter Horst maakt dat de weg vrij voor misbruik. Ze wil dat de overheid overal onderzoekt of aanvullende veiligheidsmaatregelen nodig zijn. Maar volgens een woordvoerder van de Raad voor de Rechtspraak zijn die maatregelen voorlopig niet nodig. Zo’n 10.000 medewerkers hebben weliswaar vrijelijk toegang tot de gerechtsgebouwen, maar dat geldt niet voor de beveiligde delen, zoals de cellencomplexen of de plaatsen waar vertrouwelijke dossiers zijn opgeslagen. Voor die plekken gelden extra veiligheidsprocedures. Dat geldt ook voor het Openbaar Ministerie, waar zo’n 4.500 medewerkers eenzelfde pasje hebben. „Die geven niet allemaal toegang tot beveiligde gebieden, aldus een woordvoerster.

Andere instanties zijn veel zwijgzamer over hun veiligheidsbeleid. Een woordvoerder van het ministerie van Binnenlandse Zaken geeft geen commentaar. Een woordvoerder van de Tweede Kamer wil alleen kwijt dat de pasjes van de Kamer ontwikkeld zijn door TNO en dat die techniek ook gebruikt wordt door het ministerie van Defensie. Het ministerie van Justitie doet geen mededeling over het soort pasjes dat gebruikt wordt voor het gevangeniswezen of tbs-klinieken.

Maar hoe ernstig zijn de veiligheidsrisico’s voor overheidsinstellingen eigenlijk?

De Mifare-chip is weliswaar gekraakt, maar daarvoor was kennis nodig die niet iedere kwaadwillende in huis heeft. Bart Jacobs, hoogleraar computerbeveiliging in Nijmegen: „We zijn er met een team van tien uiterst competente mensen, die minimaal vijf jaar informatica hebben gestudeerd, mee bezig geweest. Makkelijk is een dergelijke kraak niet.” „Maar”, zegt hij, „de georganiseerde misdaad is ook serieus actief op ICT-gebied.”

Voor de rijksoverheid wordt nu versneld gewerkt aan een nieuw pasje met andere technologie. Volgens Jacobs is op termijn iedere pas te kraken. „Maar deze Mifare Classic-chips komen uit de jaren negentig. Ondertussen zijn er veel betere chips beschikbaar, zoals die in paspoorten. Dat is momenteel ‘the state of the art’. Dat die betere chips niet worden gebruikt, reken ik de Kamer aan. Het mag allemaal niks kosten.”

Volgens informaticadeskundige Wouter Teepe van de Radboud Universiteit kost het kopiëren een paar uur posten voor de deur van bijvoorbeeld een departement of een kazerne met een rugzak, een laptop en specialistische kennis. „In het protocol van de chip zitten fouten”, zegt Teepe. „De chip geeft stukjes informatie prijs over zijn versleuteling als je hem met getallen bombardeert. Daardoor hoef je maar een fractie van de 248 combinaties uit te proberen om de chip te kraken.”

Kamerleden reageren verontrust op de uitkomst van het onderzoek. Brigitte van der Burg (VVD): „De minister moet zo snel mogelijk zorgen dat het weer veilig wordt. Als er niet direct nieuwe passen komen, moeten er extra mensen worden ingezet.” Ook Coskun Çörüz (CDA) wijst erop dat „de klassieke vormen van beveiliging niet naar de achtergrond mogen verdwijnen”.

Attje Kuiken (PvdA): „Een pas alleen is nooit een sluitende beveiliging. Dat komt bij elk gebouw neer op maatwerk.” Hero Brinkman (PVV) vindt het „heel ernstig”, al „verbaast het [hem] niet dat dat allemaal kan gebeuren”.

pagina 19: commentaar