OV-ripkaart is een feit

Als je kijkt naar de manier waarop het bedrijf achter de ov-chipkaart Trans Link Systems omgaat met beveiligingsissues dan bekruipt je een unheimisch gevoel. De heren en dames denken met een aangifte van fraude bij het OM de gaten in hun lekkende vergiet gedicht te hebben. Hoe dom kun je zijn?

Tot voor kort was er alleen een Linux-applicatie waar nogal wat computervaardigheden voor nodig waren om het illegaal bijstorten van reissaldo door te voeren. Nu levert dat voor de gemiddelde hacker geen onoverkomelijke bezwaren op, maar grootschalig misbruik is er niet te verwachten. Die situatie is radicaal gewijzigd nu er een Windows-versie van de hackerssoftware voor handen is. Zet het op internet met wat webshop-verwijzingen naar de kaartlezer die je nodig hebt om je ov-chipkaart onbeperkt op te kunnen hogen en je reist voortaan gratis met tram, bus en trein. Journalist Brenno de Winter van computertijdschrift PC-Active en journalisten van landelijke nieuwsmedia probeerden het uit en bewezen dat de toegangspoortjes en de incheckapparaten niet zoals Trans Link Systems beweert binnen een dag alarm sloegen.

De in de ov-chipkaart toegepaste beveiligingstechnologie is achterhaald. Dat weten we al jaren, toch is deze techniek toegepast omdat de kaart anders te duur zou worden. In de nu gebruikte ov-chipkaart zit een Mifare Classic 4k chip van NXP die al in 2007 door Duitse hackers gekraakt werd. Onderzoeksinstituut TNO had een jaar later in 2008 toch een positief oordeel over de gekraakte beveiliging van deze kaart omdat gehackte kaarten in de backoffice meteen ontdekt zouden worden en meteen geblokkeerd en onbruikbaar zouden worden gemaakt. Maar TNO zei er bij dit oordeel meteen bij dat deze werkwijze alleen haalbaar is als de fraude binnen de perken kan worden gehouden. Als dat niet zo is, dan moet de beveiliging van de ov-chipkaart zelf verbeterd worden.

Nu de kraaksoftware onder Windows beschikbaar is en kaartlezers voor drie tientjes te koop zijn is het tijd om in te grijpen. Net zoals de Nederlandse jeugd gratis spelletjes speelt op de Nintendo DS met hun R4-kaart zal er straks een ov-chipkaart in omloop komen die toegang geeft tot gratis openbaar vervoer. Nu is dat gratis vervoer op zich geen gek streven, maar dat zal niet de bedoeling zijn van Trans Link Systems.

Dit initiatief van de grote openbaar vervoersbedrijven in Nederland is niet in staat gebleken om de introductie van de chipkaart goed te managen. In juli 2003 liet het een consortium van Thales en Vialis de tender winnen voor de levering van de ov-chipkaart. Het systeem zou gebaseerd worden op het chipkaartsysteem zoals dat zich in het openbaar vervoer van Hong Kong en Londen al bewezen had. Zeven jaar heeft het geduurd voordat dit project enige schaal kreeg. De OV-jaarkaart strompelde en stuiterde met de beveiliging als voornaamste hoofdpijndossier van schandaaltje naar schandaaltje. Nu we een kleine tien jaar verder zijn en aan de vooravond staan van een volledige overstap op de ov-chipkaart nu de kaart ook in de trein gebruikt wordt, lijkt alles samen te komen. De ov-chipkaart is een ov-ripkaart geworden.

En weer de bemoeit de overheid er zich mee. Godzijdank zou ik zeggen want de vervoersbedrijven hebben inmiddels hun onmacht wel bewezen. Volgens SP-kamerlid Farshad Bashir moet de introductie van de ov-chipkaart onmiddellijk stop gezet worden. Hij heeft een spoeddebat aangevraagd met minister Melanie Schultz van Haegen van Infrastructuur en Milieu en eist dat er een veilige kaart komt. Die is gewoon voorhanden. NXP heeft genoeg chipkaarten in zijn assortiment die wel goed beveiligd zijn. Hoe kostbaar invoering van deze kaart is, hangt af van de opzet van de poortjes en andere infrastructuur. Het zou me niet verbazen als Trans Link System zich ook in dit onderdeel van de infrastructuur een oor heeft laten aannaaien door zijn leveranciers en dat de introductie van een nieuwe chipkaart een uiterst kostbare aangelegenheid wordt.