Uw profiel is aangemaakt

U heeft een e-mail ontvangen met een activatielink. Vergeet niet binnen 24 uur uw profiel te activeren. Veel leesplezier!

’We hacken om de boeven voor te blijven’

home

Vincent Dekker

Keer op keer halen ze het nieuws, dat groepje computerdeskundigen van de Nijmeegse Universiteit. De ov-chipkaart kunnen ze inmiddels binnen een paar tellen kraken. „Wij voelen het als onze verantwoordelijkheid om de buitenwereld op gevaren te wijzen.”

Het is een volstrekt onopvallende kamer, met op standaard witte tafels een paar computers en vooral veel papier. Niemand die hier een technisch laboratorium in zou zien. Toch zijn in deze ruimte van de Nijmeegse Radboud Universiteit de afgelopen maanden technische hoogstandjes geleverd die wereldwijd de aandacht trokken.

De kamer is het domein van de groep die aantoonde dat de chips in de ov-chipkaart en toegangspasjes voor gebouwen niet meer veilig zijn en dat ook het nieuwe paspoort gegevens lekt. De studenten, hun begeleiders en andere universiteitsmedewerkers zijn computerdeskundigen die naar gebreken in chips en software zoeken. „Eigenlijk willen we liever niet dat we hackers worden genoemd”, zegt Wouter Teepe verontschuldigend. „Het woord roept bij sommigen helaas associaties op met criminaliteit.” In Nijmegen speuren ze echter juist naar beveiligingsproblemen om de wereld in staat te stellen de criminelen voor te blijven.

Hoogleraar informatiebeveiliging Bart Jacobs heeft de afgelopen jaren een grote onderzoeksgroep om zich heen verzameld. Deze Digital Security Group werkte lange tijd in relatieve anonimiteit. Totdat in januari onder anderen Roel Verdult het nieuws naar buiten bracht dat de beveiliging van de ov-chipkaart voor een deel was gekraakt. Deze Radboud-student demonstreerde voor het oog van tv-camera’s hoe hij onbeperkt konden reizen op een dagkaartje van het ov-chipsysteem.

TLS, dat voor de sector de ov-chipkaart ontwikkelt, regeerde laconiek: het kaartje bevat een goedkope chip, in de abonnementsversie zit een beter beveiligde variant. TNO werd door TLS gevraagd om te onderzoeken of deze beter beveiligde ov-chipkaart nog wel bruikbaar was. En terwijl TNO net concludeerde dat de chip nog twee jaar mee zou kunnen (uitgaande van extra beveiligingsmaatregelen in de kaartlezers en achterliggende systemen), vond de groep van Jacobs ook in deze beter beveiligde chip een beveiligingslek .

Het ministerie van verkeer en waterstaat had inmiddels al een onderzoeksbureau van de universiteit van Londen aan het werk gezet om de uitkomsten van het TNO-rapport te verifiëren. Het rapport uit Londen wordt vandaag openbaar gemaakt, maar ondertussen heeft de beveiligingsgroep van Jacobs de chip van de ov-chipkaart al echt tot op het bot gefileerd. De gebruikte Mifare Classic chip bevat voor de Nijmegenaren geen enkel geheim meer. Op speciaal verzoek van het ministerie zijn ook deze laatste ontdekkingen nog net op tijd doorgegeven aan de Londense onderzoekers.

De ov-chipkaart werkt met een draadloze technologie, RFID genaamd, die ook wordt toegepast in bijvoorbeeld de nieuwe, van een chip voorziene paspoorten. Die chip kan, bleek deze week en wederom dankzij deskundigen uit Nijmegen, ongemerkt de nationaliteit van de eigenaar van de pas verraden.

De grootste ophef onder deskundigen en verantwoordelijken veroorzaakte echter het breken van de beveiliging van toegangspasjes (zie kader). Daarin zit dezelfde chip als in de ov-chipkaart, de zogeheten Mifare Classic van fabrikant NXP, de vroegere chipdivisie van Philips. De pasjes worden onder meer gebruikt bij ministeries en andere gevoelige gebouwen. En niet alleen in Nederland, maar wereldwijd. Van deze Mifare-chip zijn er de afgelopen tien jaar zo’n twee miljard verkocht. Vele zullen er nog in gebruik zijn. Dus was het zaak heel zorgvuldig met dit nieuws om te gaan, realiseerden Jacobs en zijn groep zich.

Jacobs is eigenlijk pas relatief kort geleden aan het opbouwen van zijn Digital Security Group begonnen. „Rond de eeuwwisseling mocht ik een Europees project coördineren om de juistheid van software voor smartcards als die in een paspoort te controleren. Daardoor ben ik me meer en meer met de beveiliging van zulke ict-systemen gaan bezig houden.”

Gaandeweg verschoof het aandachtsgebied van de controle van software die gewoon leesbaar was, naar het controleren van systemen waarvan de beveiliging juist geheim was gehouden. Twee jaar geleden werd het idee geboren om te kijken hoe de beveiliging van een kaart met een RFID-chip waarmee de slagboom van een parkeergarage van de universiteit werd bediend, eigenlijk werkt.

Ondertussen kreeg Jacobs van het ministerie van binnenlandse zaken het verzoek om eens naar het nieuwe elektronische paspoort te kijken. Jacobs: „Toen werd duidelijk dat we de draadloze communicatie tussen chip en leesapparatuur moesten zien af te tappen. Het TechnoCentrum van de universiteit is voor ons een apparaat gaan bouwen, de Ghost, en dat heeft ongeveer een jaar gekost. Maar daarmee waren we er nog niet. Er moest software komen om de Ghost aan te sturen en om iets met de opgevangen signalen te kunnen doen. Roel Verdult ging daarmee aan de slag.”

Het bleek niet de makkelijkste opgave. Verdult: „De maanden verstreken zonder resultaat en ik stond geregeld op het punt om het op te geven.” Hij kreeg steun van een medestudent, Gerhard de Koning Gans. Die wilde kijken of hij met de Ghost de code van de ov-chipkaart kon achterhalen. Maar Verdult was nog niet klaar met zijn Ghost-software en dus schafte De Koning Gans maar een zelfbouw RFID-lezer aan.

Verdult: „In september vorig jaar kwam er eindelijk schot in de zaak. In november konden we de slagboom bedienen en op 14 november bleek ook de dagkaart van de ov-chip, met een eenvoudig versie van de Mifare-chip erin, af te luisteren en te kopiëren.”

Jacobs nam een besluit waarvan hij even later spijt zou krijgen. „We realiseerden ons: als je hiermee naar buiten komt, is het bingo! Dus zei ik tegen Roel: maak eerst je scriptie maar af, dan heb je straks een compleet verhaal te presenteren.”

Twee Duitse onderzoekers, Karsten Nohl en Henryk Plötz, gooiden echter roet in het eten. Tijdens de kerstvakantie presenteerden zij op een hackerscongres in Berlijn hoe zij de geheime versleutelingsmethode code van de Mifare Classic hadden achterhaald: door laagje na laagje van de chip af te schuren en zo de structuur ervan te ontdekken.

Dat was „verschrikkelijk balen” voor Verdult en De Koning Gans. Jacobs: „In de wetenschappelijke wereld telt het alleen als je iets als eerste kunt melden.” Wat Nohl en Plötz hadden laten zien, was echter slechts een deel van het verhaal, zo realiseerde de groep aan de Radboud Universiteit zich even later. En de twee Duitse concurrenten hadden in theorie misschien een geheime sleutel in handen, ze moesten het nog wel in de praktijk demonstreren. Dat laatste konden Verdult en De Koning Gans al wel bij het manipuleren van de dagkaart van de ov-chip. En dus kwam dat nieuws een paar dagen later toch maar versneld naar buiten.

De dagkaart bevat echter een veel eenvoudiger beveiligde chip dan de langdurig bruikbare persoonlijke en anonieme ov-chipkaarten. Eind januari schrok Jacobs van een enorme klap op de deur van zijn werkkamer. „Hij is kapot!” schreeuwde Verdult, doelend op de beveiliging van de Mifare Classic. Verdult had een serieuze beveiligingsfout in de ’beter beveiligde’ ov-chipkaart gevonden. Reizen op andermans kosten kwam daarmee in zicht.

Tot dan was het onderzoek verricht in een vrij open laboratorium. Jacobs: „De kennis die we nu in huis bleken te hebben was zó gevoelig, dat we naar een besloten ruimte moesten verhuizen en de onderlinge communicatie via de computer moesten versleutelen. Het was van meet af aan duidelijk dat nu ook de toegangspasjes voor gebouwen gevaar liepen.”

Het kostte nog een paar weken, maar toen was inderdaad de beveiliging van die toegangspasjes gebroken. Cruciale geheime sleutels konden relatief makkelijk achterhaald worden. Weer een paar weken later werden ook de sleutels voor alle andere gegevens op ov-chipkaarten gekraakt. Kon begin maart een ov-chipkaart nog in een kwartier en met een stevige computer gekopieerd worden, nu werd het een kwestie van een paar minuten. En sinds begin april is het, op een simpele laptop, een zaak van seconden.

De beveiliging van toegangspasjes en ov-chipkaart kapot maken, het lijkt misschien iets voor criminelen en niet voor wetenschappers. Verdult: „Niemand kan straks nog om de ov-chipkaart heen. Dus moet de burger daar helemaal op kunnen vertrouwen. Gaat het mis bij internetbankieren, dan stap je over op een andere bank. Maar dat gaat hier niet.”

Jacobs: „Ik ben aardig thuis in de security-wereld in Nederland, en het bleek dat nog niemand de veiligheid van de ov-chipkaart had onderzocht. De chip is her en der in de wereld al twaalf jaar in gebruik. Misschien hebben enkele experts al wel eens fouten ontdekt, maar mogen zij daar door een geheimhoudingsplicht niets over zeggen. Wij voelen het als onze maatschappelijke verantwoordelijkheid om de buitenwereld op deze gevaren te wijzen.”

„Het is toch beter dat wij het ontdekken, dan dat criminelen er achter komen en er jaren over zwijgen”, voegt student Ruben Muijrers toe. De groep heeft zich verbaasd over de fouten die zij hebben gevonden: „Neem nou bijvoorbeeld de dagkaart waarmee we in januari naar buiten kwamen: al halverwege de jaren zestig werd duidelijk dat je dit soort systemen moet beschermen tegen het gevaar van een replay-aanval. Het klakkeloos opnieuw aanbieden van een afgeluisterde maar nog niet begrepen geheime code zou niet tot het openen van ov-chip poortjes mogen leiden. Ook bij het onderzoek naar de beter beveiligde kaart dachten wij geregeld: ze zullen toch niet zo dom zijn om dit of dat ... maar jawel.”

De kennis die Jacobs en zijn groep hebben verzameld, is goud waard. De bedrijven die in Nederland de ov-chipkaart willen introduceren, hebben hem al gevraagd of hij mee wil doen bij de verbetering van de beveiliging. Jacobs heeft echter beleefd bedankt. „Dan moet ook ik een geheimhoudingsverklaring tekenen.” Jacobs beschouwt het juist als zijn maatschappelijke missie om het publiek open te informeren over wat er in de steeds belangrijker wordende automatiseringswereld aan de hand is. „Er zijn al zo weinig mensen met verstand van zaken die er open over kunnen spreken. Bijna iedereen in het veld heeft wel een geheimhoudingsverklaring getekend. Zulke verklaringen kunnen vervolgens politiek worden ingezet zodat ik verder mijn mond zou moeten houden. Daar teken ik dus niet voor.”

Trouw.nl is vernieuwd. Vanaf nu is onbeperkte toegang tot Trouw.nl alleen voor (proef)abonnees.

Deel dit artikel

Advertentie

Wilt u dit artikel verder lezen?

Maak vrijblijvend een profiel aan en krijg gratis 2 maanden toegang tot Trouw.nl.

Het e-mailadres bij dit profiel is nog niet bevestigd. Een link om te bevestigen kun je vinden in je inbox.
Ben je de link kwijt? Vraag hier een nieuwe aan.

Ongeldig e-mailadres

Wachtwoord is niet correct

tonen

Wachtwoord komt niet overeen

tonen

U moet akkoord gaan met de gebruiksvoorwaarden

Wij gaan vertrouwelijk om met uw gegevens. Lees onze privacy statement.