In Londen kozen ze wél een duurdere chip

De chip in de ov-chipkaart is goedkoper dan alternatieven, maar blijkt makkelijk te kraken. De Tweede Kamer debatteert vandaag over de kaart.

Den Haag, 27 jan. - Eerst waren het de hackers en wetenschappers, toen was het de technisch onderlegde computergebruiker, en sinds deze week kan iedereen het. De ov-chipkaart, die dit jaar volgens plan overal verplicht wordt gesteld, is in twee dagen tijd tweemaal op simpele wijze gekraakt.

Dinsdag bleek dat een Windows-programma en een legale kaartlezer van dertig euro voldoende is om het saldo op je kaart te verhogen tot 150 euro. Gisteren werd bekend dat er een nieuwe truc is om de kaart te kraken: op je computer datum, tijd en opstapstation van je reis invoeren, zodat het lijkt dat je bent ingecheckt, zonder dat je dat hebt gedaan. En zonder dat je hebt betaald. „De volgende stap is dat je de kaart met je smartphone kan kraken”, zegt Gerhard de Koning Gans, onderzoeker aan de Radboud Universiteit Nijmegen. Hij was in 2008 betrokken bij een van de eerste geslaagde kraakpogingen van de chipkaart. „Dat valt nog minder op. Misschien is het straks net zo makkelijk als het downloaden van een mp3’tje.”

Duitse hackers lieten in 2007 op een congres in Berlijn al zien dat de ov-chipkaart onvoldoende beveiligd was. In 2008 kraakten onderzoekers van de Radboud Universiteit de kaart. Hoogleraar Bart Jacobs van die universiteit deed dat in 2009 nog eens dunnetjes over met de kaart van SP-Kamerlid Emile Roemer, op diens verzoek. De Koning Gans: „Je moet je afvragen of het een goede beslissing is geweest verder te gaan met het uitrollen van de ov-chipkaart terwijl de chip al gebroken was.”

Hoe kan het dat de ov-chipkaart zo makkelijk wordt gekraakt?

De kern van het probleem is de chip in de kaart, de Mifare Classic van de Nederlandse producent NXP. Die is goedkoper dan andere chips maar tevens slechter beveiligd. Tien vooraanstaande beveiligingsexperts waarschuwden in 2008 al in een open brief dat „praktische aanvallen tegen deze kaart op afzienbare termijn uitgevoerd kunnen en zullen worden.”

Grootste probleem met de beveiliging van de chip is dat deze gebaseerd is op geheimhouding: weinig mensen weten hoe het in elkaar zit. Als details uitlekken, is er geen houden meer aan. Andere chips werken met ‘open source’. Daarbij kan de hele wereld meekijken en gaten in het systeem schieten, waardoor fouten in de beveiliging vroegtijdig worden erkend.

De oplossing lijkt simpel: snel overstappen op een beter beveiligde chip. Londen deed dat vorig jaar na soortgelijke problemen met de Mifare Classic-chip. Nu werkt men met een opvolger, de Mifare DES-Fire, die wel volgens het open source-principe is beveiligd. Er is één maar, zegt De Koning Gans: „In andere landen gaat het altijd om systemen voor één stad, in Nederland moet het landelijk werken. Dat is veel complexer.”

Vanmiddag debatteert de Tweede Kamer over de problemen met de ov-chipkaart. Die is inmiddels verplicht in Amsterdam en Rotterdam, Zuid-Holland volgt volgende week donderdag. Maar veel invloed hebben de Kamerleden niet.

De kaart is een initiatief van vijf grote vervoersbedrijven (NS, Connexxion, RET, GVB en HTM) uit onvrede met de strippenkaart. Met de ov-chipkaart kunnen de kosten en de opbrengsten van het openbaar vervoer eerlijker worden verdeeld onder de vervoerders. Ook zou de sociale veiligheid op stations moeten verbeteren en het zwartrijden worden tegengegaan. Minister Schultz van Haegen (Infrastructuur, VVD) heeft maar één machtsmiddel in handen: ze kan weigeren in een bepaalde regio de strippenkaart af te schaffen.

Trans Link Systems (TLS), dat de ov-chipkaart beheert, lijkt zich niet erg druk te maken over de problemen. Directeur Nelemans liet deze week weten dat TLS bezig is met „de voorbereidingen” voor een nieuwe chip. En, zo zei hij, er wordt maar weinig gefraudeerd, en als het gebeurt, wordt altijd aangifte gedaan. Dat is een plausibele redenering, zegt De Koning Gans: „Het is een risicoafweging. Dat doe je ook bij je eigen huis. Zet je er extra knippen op de deur die geld kosten of neem je het risico?”