Met de strippenkaart kon je ook frauderen

De ov-chip is weer gekraakt en dus is er weer discussie over. Nu gaat het om de invoering in Zuid-Holland.

Waarom is het in Nederland toch zo’n probleem om dat systeem in te voeren?

Ja, het is zorgelijk dat het kraken van de ov-chipkaart voor steeds meer mensen toegankelijk wordt. Maar nee, het is geen reden het afschaffen van de strippenkaart volgende week in de provincie Zuid-Holland uit te stellen, zoals een deel van de Tweede Kamer wil.

„Daarmee los je het probleem niet op, frauderen met de ov-chipkaart blijft dan gewoon doorgaan”, aldus minister Melanie Schultz van Haegen (Infrastructuur, VVD) gisteren in een Kamerdebat. Ze voegde daaraan toe „dat met de strippenkaart vele malen meer wordt gefraudeerd”.

Schultz vreest ook schadeclaims als ze de afspraken met Zuid-Holland niet nakomt. Het was bij het zakken van deze krant nog niet duidelijk of er een Kamermeerderheid voor uitstel van het afschaffen van de strippenkaart zou zijn. De ov-chipkaart is inmiddels verplicht in Amsterdam en Rotterdam, Zuid-Holland zou de volgende in de rij zijn.

Was het kraken van de ov-chipkaart eerst nog voorbehouden aan hackers, wetenschappers, en technisch onderlegde computergebruikers, sinds deze week kan iedereen het. Met een Windows-programma en een legale kaartlezer van 30 euro kan het saldo worden verhoogd tot 150 euro. Een andere truc is op je computer datum, tijd en opstapstation van je reis in te voeren, zodat het lijkt dat je bent ingecheckt zonder dat je dat hebt gedaan, zonder dat je daadwerkelijk hebt betaald. „De volgende stap is dat je de kaart met je smartphone kan kraken”, zegt Gerhard de Koning Gans van de Radboud Universiteit Nijmegen.

Hij was in 2008 betrokken bij een van de eerste geslaagde kraakpogingen van de chipkaart. „Misschien is het straks net zo makkelijk als het downloaden van een mp3’tje.”Hoogleraar Bart Jacobs, ook van die universiteit, deed het in 2009 nog eens dunnetjes over met de kaart van SP-Kamerlid Emile Roemer, op diens verzoek. De Koning Gans: „Je moet je afvragen of het een goede beslissing is geweest verder te gaan met het uitrollen van de ov-chipkaart terwijl de chip al gebroken was.”

Hoe kan het dat de ov-chipkaart zo makkelijk wordt gekraakt?

De kern van het probleem is de chip in de kaart, de Mifare Classic van de Nederlandse producent NXP. Die is goedkoper dan andere chips maar ook slechter beveiligd. Tien vooraanstaande beveiligingsexperts waarschuwden in 2008 al in een open brief dat „praktische aanvallen tegen deze kaart op afzienbare termijn uitgevoerd kunnen en zullen worden”.

Grootste probleem met de beveiliging van de chip is dat deze gebaseerd is op geheimhouding: weinig mensen weten hoe het in elkaar zit. Als details uitlekken, is er geen houden meer aan. Andere chips werken met ‘open source’. Daarbij kan de hele wereld meekijken en gaten in het systeem schieten, waardoor fouten vroegtijdig worden erkend.

De oplossing lijkt simpel: snel overstappen op een beter beveiligde chip. Londen deed dat vorig jaar na soortgelijke problemen met de Mifare Classic-chip. Er is één maar, zegt De Koning Gans: „In andere landen gaat het altijd om systemen voor één stad, in Nederland moet het landelijk werken. Dat is veel complexer.”

Schultz zei gisteren dat eind dit jaar een nieuwe, beter beveiligde chip SmartMX in productie wordt genomen. Onduidelijk is nog of alle ov-chipkaarten of alleen de nieuwe de beter beveiligde chip krijgen.

Kamerleden zeiden zich grote zorgen te maken over de gekraakte kaart omdat onduidelijk is hoe groot de omvang van de fraude kan worden, wie dat gaat betalen, en of de daders zijn te achterhalen. Volgens Schultz is de fraude „hanteerbaar”.

Trans Link Systems, dat de ov-chipkaart beheert, lijkt zich niet erg druk te maken. Directeur Gerben Nelemans liet deze week weten dat er maar weinig wordt gefraudeerd, en als het gebeurt, wordt altijd aangifte gedaan. Best een plausibele redenering, zegt De Koning Gans: „Het is een risicoafweging. Dat doe je ook bij je eigen huis. Zet je extra knippen op de deur die geld kosten of neem je het risico?”

Volgens Schultz zal de ov-chipkaart nooit 100 procent veilig worden: „Hij kan altijd worden gekraakt. Het blijft een ratrace van slimme koppen. Ik heb maar één eis: dat de kaart van de reiziger niet wordt gekraakt en bijvoorbeeld zijn saldo wordt weggehaald.”