vrijdag 18 februari 2011

Frauderen met jouw/de ov-chipkaart: makkelijk, gevaarlijk, snel op te lossen!

De OV-chipkaart is nu inmiddels wel geheel ontleedt. En voor iedereen zou het nu mogelijk zijn om met simpele software gratis te reizen, maar is dit wel zo?
Reizen met die gehackte ov-chipkaart blijkt nog niet zo makkelijk. Jouw 'hack' kan namelijk op verschillende manieren eenvoudig ontdekt worden door Trans Link Systems. En ga er maar vanuit dat je hard aangepakt zal worden.

Aller eerst zijn er verschillende typen kaarten en verschillende manier van inchecken.
Zo bestaan er anonieme ov-chipkaarten en persoonlijke ov-chipkaarten. En zo 'moet' je bij het instappen van een bus/tram/metro inchecken onder toeziend oog van een bestuurder/conducteur of gaan de metro poortjes niet open zonder dat je heb ingecheckt. In deze gevallen ontkom je dus niet aan inchecken. Bij de NS echter word je nergens gedwongen in te checken, dat maakt reizen met de NS een stuk fraude gevoeliger aangezien niet inchecken betekend dat je reis en kaart gegevens niet direct bekend worden bij TLS.

Les 1: Ga nooit met een persoonlijke ov-chipkaart frauderen. Mocht het door TLS ontdekt worden, ben je natuurlijk meteen het haasje! Lang speur werk zal niet nodig zijn, aangezien je zelf je gegevens aan TLS verstrekt hebt.
Om deze reden valt de eergister gepresenteerde ov-studenten-chipkaart hack in feite meteen al af.
Frauderen met het ov studenten product kan echter wel. Je zou namelijk een studenten product op een anonieme kaart kunnen zetten. Dit zal wellicht werken bij de bus/tram/metro. Maar in de trein zal de conducteur dit natuurlijk direct zien omdat een anonieme kaart en persoonlijke kaart qua uiterlijk zeer veel verschillen.
Een andere optie is je eigen studenten ov kaart gebruiken (Wordt afgeraden, zie les 1) en daarmee wisselen tussen week en weekend ov. Belangrijk is daarbij dat je NIET incheckt (enkel via OVStation.exe is mogelijk). Zodra je incheckt worden je kaart gegevens namelijk bekend bij TLS en deze kunnen keurig zien of jij recht heb op een weekend of week OV. Zien zij hierbij iets afwijkend zal er ongetwijfeld direct politie bij je op de stoep staan. (Zie ook Les 1).
Wil je dus frauderen met het ov studenten product en reis je met zowel trein, bus, tram en metro zal je in het bezit moeten zijn van 2 kaarten. Je eigen persoonlijke ov-chipkaart, te gebruiken bij de NS. Vergeet hierbij alsjeblieft niet dat je absoluut NIET mag inchecken (enkel via OVStation.exe is mogelijk). En je anonieme ov-chipkaart voor in de bus/tram/metro, enige nadeel hiervan is dat deze kaart (enkel je anonieme kaart dus) binnen 1-2 dag geblokkeerd zal worden. Of het dus rendabel is iedere keer een anonieme ov-chipkaart te kopen (kosten: 7,50) en deze aan te passen om hem vervolgens weer weg te kunnen gooien is maar de vraag.

Frauderen met de anonieme ov-chipkaart reizend enkel met de NS lijkt nog het meest rendabel. Om niet ontdekt te kunnen worden moet je wel een aantal punten niet vergeten. Zo mag je nooit inchecken met je kaart, doe je dit wel zal je kaart slechts 1-2 dag werken. Wat je moet doen is via het programma OVStation.exe zelf inchecken bij een station naar keuze. Zorg dat je voor de terug reis, op de plaats van bestemming, ook in het bezit bent van een reader. Neem dus je reader + software mee, of zorg dat je op locatie al de apparatuur hebt staan. Zodat je ook voor de terug reis wederom zelf kan inchecken bij je vertrekkende station. Via deze manier van frauderen word er geen enkele data aan TLS prijs gegeven, en deze zullen je anonieme kaart dus ook niet kunnen blokkeren dan wel een spoor van jouw reis traject/patroon ontdekken.
Bovenstaande manier werkt echter helaas niet voor het reizen met de bus/tram/metro, aangezien je hierbij altijd moet inchecken. En door het inchecken zal altijd het kaart id bekend worden bij TLS en deze kunnen eenvoudig weer na gaan of de reis die je heb afgelegd volgens de regels is gegaan of niet.
Constateert TLS dat er iets niet klopt aan een anonieme OV-chipkaart zal deze kaart geblokkeerd worden en word deze niet meer geaccepteerd. Vervolgens zal de recherche het wel moeilijk hebben jou op te sporen. Politie kan wellicht naar een vast reis patroon kijken, of beveiligings beelden van een aanwezige camera raadplegen bij de automaat waar de kaart gekocht is. Een andere mogelijkheid is wellicht dat men de corresponderende pin transactie kan raadplegen tijdens het kopen van de anonieme ov-chipkaart. Echter is mij niet bekend of het ID van de kaarten en de verkoop punten ├╝berhaupt ergens geregistreerd wordt.

Hoe kan de ov-chipkaart nu nog verbeterd worden?
Er zijn wellicht een aantal simpele manieren om deze ov-chipkaart alsnog veiliger te maken.
De makkelijkste manier is wellicht het registreren van de kaart id's en op de kaart aanwezige producten door de trein conducteurs, en deze data vervolgens aan TLS door te sluizen. Aangezien dit al bij de poortjes gebeurt in bussen en trams moet het ook mogelijk zijn conducteurs met dergelijke apparatuur uit te rusten. Hiermee sluit je gelijk al het grootste gapende gat. Wanneer dit gebeurt, en ervan uitgaande dat iedere reiziger minimaal 1x tijdens zijn reis met de trein gecontroleerd word door een conducteur kan je dan dus maximaal 1 dag genieten van je gehackte ov-chipkaart. Dit maakt het reizen met de gehackte kaarten al gelijk een stuk minder rendabel, aangezien iedere dag een nieuwe kaart aangeschaft moet worden, wat telkens 7,50 kost.
Een andere mogelijkheid is nog ongebruikt geheugen op de Mifare Classic chip. Wellicht kan deze ruimte gebruikt worden om bepaalde sleutels naar toe te schrijven en een ander systeem van inchecken/producten te hanteren. Dit zal wel een update van alle toegangs poortjes van TLS met zich mee brengen, en de vraag is maar of dat bij al deze poortjes in 1x lukt en mensen niet ongewenst geweigerd worden. Deze laatste aanpassing kan er voor zorgen dat alle reeds bekende software als OVSaldo.exe en OVStation.exe direct onbruikbaar gemaakt kunnen worden. Ik ben op de hoogte dat er zeker op de anonieme kaarten nog vrij geheugen op de chips bevindt. Dus deze laatste optie is zeker mogelijk. Ook is het voor TLS mogelijk alle poortjes met nieuwe software eenvoudig te updaten, dit hebben ze namelijk al eens vaker gedaan.
Ik ben dan ook van mening dat een creatieve geest het probleem met deze ov-chipkaart eenvoudig moet kunnen oplossen!

5 opmerkingen:

  1. My life was falling apart, I was being cheated and abused, I had to know the truth and needed proof. I contacted a private investigator that linked me with blackhatthacker@gmail.com who took care of the hack job. She hacked his iphone,facebook,instagram, Whatsapp, twitter and email account. I got all I wanted as proof . I'm glad i had a proven truth he was cheating . Contact her for any hack job. Tell her Milagrose referred you to her, she will surely meet your hack need. Contact: blackhatthacker@gmail.com

    BeantwoordenVerwijderen
  2. I was going through a hard-time with my relationship so I had to confirm my husband's cheating suspicions. I met this hacking genius (blackhatservers@gmail.com) online , I can say she's the best out there ..she made spying seem so easy. I was able to listen to his calls and read text messages on his phone, amongst she gave me asses to his Facebook and WhatsApp account as well. if you need to be sure about your partner's sincerity all you need to do is contact her directly via email : blackhatservers@gmail.com . She literally saved me from all the lies and heartbreak, all she asked for was his phone number and all was done

    BeantwoordenVerwijderen
  3. To everyone out there i want to openly thank blackhatservers@gmail.com for her service… She helped me from infidelity and lies of my cheating husband. She was able to hack his phone so i listen to every call he makes or receives, hacked his whatassp, email and Facebook …i know there are lots of people out there looking for proof and evidences about one thing or the other . Be open and confide in her so she can be at the best of her service to you. Do contact her via email blackhatservers@gmail.com

    BeantwoordenVerwijderen