Beveiliging ministeries in gevaar na nieuwe chipkraak

De toegangspas voor overheidsgebouwen is onveilig. Onderzoekers in Nijmegen kraakten de chip ervan. „De ov-chipkaart is nu bijzaak.”

Minister Guusje ter Horst van binnenlandse zaken heeft extra maatregelen genomen voor de beveiliging van ministeries en andere overheidsgebouwen. Dat schreef ze gisteren aan de Tweede Kamer. In haar brief legt ze uit dat de chip in miljoenen toegangspasjes door onderzoekers van de Radboud Universiteit Nijmegen is ontrafeld.

De studenten en wetenschappers konden daarop vrij eenvoudig gegevens van de kaartlezer ‘afluisteren’ en ongemerkt kaarten van gebruikers kopiëren. Ze deden dat onder strikte geheimhouding bij het eigen universiteitsgebouw. Maar de beveiliging van veel meer gebouwen staat op het spel: de chip van producent NXP is wereldwijd meer dan een miljard keer verwerkt.

Ter Horst werd afgelopen vrijdag ingelicht door universiteitsvoorzitter Roelof de Wijkerslooth. Ze vroeg de AIVD uit te zoeken of de Nijmeegse methode werkt en toen dat werd bevestigd, bracht ze gisteren het nieuws naar buiten. „De AIVD zal nader onderzoek doen. Er moet vanuit worden gegaan dat vanaf het moment dat de details van het onderzoek van de universiteit openbaar worden, de mogelijkheid tot misbruik zodanig laagdrempelig is, dat aanvullende maatregelen nodig zijn voor de beveiliging.”

De Wijkerslooth is „aangenaam verrast door de snelle reactie van de overheid”, zo zei hij gisteren.

Volgens Bart Jacobs, hoogleraar computertechniek in Nijmegen, is het onderzoek begonnen bij enkele enthousiaste studenten, onder wie Roel Verdult, die onlangs aantoonde hoe de ’wegwerpversie’ van de ov-chipkaart kan worden gekloond. „Roel had eigenlijk moeten afstuderen, maar hij bleef nog even bezig”, aldus Jacobs. De studenten kregen hulp van professionele onderzoekers en sloten zich op in een kamer om de klus te klaren. „Toen het lukte gaf dat wel een kick.”

De chip die in de toegangspasjes wordt gebruikt, de Mifare Classic, zit ook in de ov-chipkaarten voor langdurig gebruik. Weliswaar is dat systeem een stuk ingewikkelder, „maar onze methode werkt ook daar”, aldus Jacobs. „We hebben er geen aanval op gedaan, de ov-chipkaart is nu bijzaak. Het gaat ons niet om het kraken, de analyse is gericht op verbetering van het systeem.”

De hoogleraar houdt de details van het onderzoek voor zich, om kwaadwillenden niet op weg te helpen. „Maar als wij het kunnen, is het niet uitgesloten dat anderen het ook kunnen. Die chip is al tien jaar oud, in mijn vakgebied is dat veel.”

Eerder deze week lieten Duitse chipexperts in Trouw en op WebWereld al weten dat ze een methode hadden gevonden om de Mifare Classic chip met een eenvoudige laptop in een paar minuten te kraken en te kopiëren. In hoeverre het onderzoek in Nijmegen een kopie is van of een aanvulling op dit eerdere werk, is nog niet duidelijk. In beide gevallen is dezelfde geheime code gekraakt.