Vier vragen over het kraken van de ov-chipkaart

De ov-chipkaart is opnieuw gekraakt. Dit keer niet in het laboratorium maar met een ‘gewone’ computer. Dat blijkt uit onderzoek van it-journalist Brenno de Winter, waarover hij deze week in het computertijdschift PC-Active publiceert. De Winter publiceerde hetzelfde onderzoek eind vorig jaar ook al, maar dat leverde weinig publiciteit op. Dit maal kregen journalisten, onder meer van de NOS, en een medewerker van de SP-Tweede Kamerfractie, een gemanipuleerde kaart. Ze konden de afgelopen tijd gratis reizen. Reizen met de ov-chipkaart is inmiddels verplicht in Amsterdam en Rotterdam (behalve in de trein), Zuid-Holland volgt op 3 februari.

1 Wat is er nu weer misgegaan met de ov-chipkaart?

Het kraken van een ov-chipkaart blijkt makkelijker dan gedacht. Meer dan een Windows-programma en een legale kaartlezer van dertig euro zijn niet nodig. Het programma leest de data op een anonieme ov-chipkaart, kraakt de chip en verhoogt het saldo tot een maximum van 150 euro. Conducteurs en apparatuur op stations zien niet dat dat geld niet echt op de kaart is gestort. Gratis reizen dus. Directeur Gerben Nelemans van Trans Link Systems (TLS), het bedrijf achter de chipkaart, liet gisteren in Nieuwsuur weten dat er aangifte is gedaan. Nelemans benadrukt dat fraude weinig voorkomt en strafbaar is: „Net als andere betaaltechnieken blijkt ook de ov-chipkaart manipuleerbaar. Maar het feit dat het kan, betekent niet dat het mag.” Hij meldde dat vorig jaar iemand is veroordeeld voor een vergelijkbaar vergrijp.

2Hoe vaak is de ov-chipkaart nu gekraakt?

In 2007 lieten twee studenten van de Universiteit van Amsterdam al zien dat de wegwerpversie van de kaart, bedoeld voor toeristen, onveilig is. Een half jaar later werd op een hackerscongres in Berlijn een deel van de beveiliging van de chip gekraakt, in 2008 slaagden onderzoekers van de Radboud Universiteit daar ook in.

3Waarom worden de problemen niet opgelost?

Het probleem lijkt te zitten in het gekozen beveiligingssysteem. Hoe dat beveiligingssysteem precies werkt, is bij heel weinig mensen bekend. Computerexperts waarschuwden in het verleden dat het beter is publiekelijk te laten weten hoe je beveiliging in elkaar zit en iedereen er gaten in te laten schieten. In zo’n open systeem wordt onmiddellijk duidelijk welke problemen er nog moeten worden opgelost. Volgens TLS wordt gewerkt aan een veiliger systeem, maar onduidelijk is wanneer dat er komt. Alle persoonlijke chipkaarten moeten dan worden vervangen.

4 Hoe moet het nu verder?De SP zou vanmiddag een spoeddebat aanvragen. Ook loopt er nog een onderzoek van de commissie-Meijdam naar de problemen met de chipkaart. Dat onderzoek moet dit voorjaar klaar zijn.