Managed hosting door True

Mifare-kraker ziet niets in OV-chipkaart

 

Roel Verdult kraakte dit jaar zowel de ov-chipkaart als de toegangspassen van banken, militaire terreinen en nucleaire installaties. De vroegere mavo-leerling is uitgeroepen tot Nederlands ‘Student van het Jaar'. Aanbiedingen sloeg hij af, hij begon voor zichzelf. "Ik wil alleen doen wat ik echt leuk vind."

Succes heeft vele vaders, en dat geldt ook voor het kraken van de ov-chipkaart. Een paar Amsterdamse studenten begonnen ermee. In de zomer van 2007 maakten zij bekend dat ze dagkaartjes voor het toekomstige ov konden resetten, en dus eindeloos konden gebruiken. Twee Duitse hackers lieten tussen kerst en oud en nieuw zien dat ze de Mifare Classic-chip (die ook in de ov-chipkaart zit) daadwerkelijk hadden gekraakt, zij het gedeeltelijk.

Maar de echte slachter van de chip was een Nijmeegse informaticastudent. Roel Verdult liet in januari dit jaar zien dat hij de chip van de dagkaart volledig had gekraakt en een paar weken later bleek dat hij (met medestudenten) ook de ingewikkelder abonnementsversie van de Mifare Classic kon kopiëren; in maart kraakte hij de code van veel gebruikte toegangspasjes: van nucleaire installaties tot pasjes van ministeries, banken en militaire terreinen.

En dat terwijl hij alleen maar bezig was met zijn afstudeerproject: het achterhalen van de werking van de (geheime) chip van de slagboom van de parkeergarage van de Nijmeegse Radboud Universiteit. Toen hem dat lukte, vroegen hij en zijn afstudeerprof zich af waar het bewuste chippie eigenlijk nog meer in werd gebruikt. In de ov-chipkaart dus.

Van dorpsbode tot internationale televisiestations: iedereen stond bij Verdult op de stoep. Hij en zijn companen werden ontboden op het ministerie om staatssecretaris Tineke Huizinga tekst en uitleg te geven, en de inlichtingendienst Aivd kwam bij hem langs.

De Aivd kwam bij je langs?
'Met een groep eigen deskundigen, ja. We hebben ze in een uitgebreide presentatie laten zien wat de lekken zijn in de beveiliging van belangrijke overheidsgebouwen. Ik vond die Aivd'ers overigens competente mensen, ze snapten precies waar we het over hadden. Nog steeds heb ik regelmatig contact met hen. De fabrikant begreep de lekken die wij hadden gevonden overigens een stuk minder goed. Uiteindelijk heeft deze ons zelfs aangeklaagd, tevergeefs. De fabrikant vond dat wij boeven helpen door de werking van de kaart te publiceren.'

Dat is toch ook zo? ‘Nee, het probleem is dat die Mifare-chip niet deugt. Wij zijn weliswaar de eersten die daar publiekelijk over praten, maar de Chinezen hebben die chip al jaren geleden gekraakt. In China zijn er al vier, vijf jaar klonen van de chip op de markt. De Russische maffia weet ook al lang hoe hij werkt. Al jarenlang worden in Europa auto's gejat, waarvan politie en verzekeringsmaatschappijen zeggen: hoe kan dat nou? De chips op de autosleutels zijn nagemaakt. In het ondergrondse circuit zijn veel meer dingen bekend dan wij bovengronds weten.'

Begin dit jaar was je afstudeerscriptie al klaar. Waarom ben je maandenlang extra doorgegaan, alleen om die ov-chipkaart om zeep te helpen? ‘Omdat ik me echt zorgen maak over het feit dat criminelen straks in allerlei systemen inbreken. Ik ben niet tegen de ov-chipkaart, maar er moet een andere chip in. Het grote probleem van de Mifare-chip is dat de fabrikant de werking ervan altijd geheim heeft gehouden, waarschijnlijk om concurrentie te voorkomen. Maar als je de werking geheim houdt, kan niemand er serieus naar kijken en worden fouten en foutjes er niet uitgehaald door anderen. Domme foutjes zitten altijd in een chipontwerp, daarop wordt de fabrikant nu keihard afgerekend.

‘Als je wilt dat een systeem veilig is, moet je zorgen dat iedereen kan zien hoe het werkt. Daarom zijn chips waarvan de werking openbaar is, veel veiliger. Sinds 2002 is er een nieuwe internationale open standaard voor chips: AES (advanced encryption standard). Vanwege de openbaarheid hebben mensen over de hele wereld er jaren op geschoten; alle ontdekte foutjes zijn steeds hersteld. AES-chips zijn daardoor niet te kraken, het zou veel beter zijn als de ov-chipkaart daarop overschakelt.'

Kan dat dan, is het ov-chipkaartsysteem niet helemaal op de Mifare-chip afgestemd?
'Hoe het zakelijk zit, weet ik natuurlijk niet. Misschien hebben ze al veel van die chips gekocht. Maar op zich hoef je aan het systeem niets te veranderen als je op AES-chips overschakelt: alleen de software en de chippies zelf. Het laatste nieuws is echter dat de staatssecretaris toch doorgaat met de invoering van het huidige systeem. Binnenkort kun je in Rotterdam alleen nog daarmee reizen. Jammer, ik zie er nog steeds niets in.'

Jullie zijn toch op het ministerie van Verkeer en Waterstaat langs geweest om het uit te leggen? ‘Ja, een paar keer. Zaten we met zijn vieren in een kamertje om Huizinga en een paar ambtenaren uit te leggen wat er met de chip aan de hand is. Ze vonden het duidelijk een moeilijk verhaal. Nu zeggen ze: "We hebben maatregelen genomen." "Welke dan?", hebben wij gevraagd. "Dat kunnen we niet zeggen, dat is geheim." Weer diezelfde fout. Overigens wordt de beveiliging van overheidsgebouwen wél serieus aangepakt, nadat de Aivd bij ons is langs geweest.'

Je bent afgelopen jaar afgestudeerd, semi-bekende Nederlander geworden, en door de studentenbonden uitgeroepen tot landelijk ‘Student van het Jaar'. Veel aanbiedingen voor banen gekregen? ‘Inderdaad een aantal. Ik heb steeds diep nagedacht: is dit wat ik echt wil, kan ik dan helemaal doen wat ik leuk vind? Maar dat is natuurlijk nooit zo als je ergens in dienst gaat, hoe graag ze je ook willen hebben. Ik wil dingen doen waarvoor ik echt sta. Daarom heb ik alle aanbiedingen afgeslagen, inclusief de promotieplek hier op de universiteit. Met twee andere afstudeerders hebben we een eigen bedrijf opgericht: Viraso. Lekker experimenteren met beveiliging, we werken gewoon vanuit huis. Daarnaast ben ik twee dagen per week hier bij de Digital Security Group van de Universiteit blijven werken aan nieuw beveiligingsonderzoek.'

Hoe ben jij zo geboeid geraakt door informatica?
‘Vanaf mijn zevende zat ik al achter de computer te prutsen, het ding overhoop te halen. Dat werkt het beste, spelenderwijs dingen ontdekken; zo werk ik nog steeds. Op school deed ik jarenlang met lichte tegenzin mijn ding; thuis op de computer kon ik me uitleven.'

Er is momenteel veel discussie over het middelbaaronderwijssysteem in Nederland. Is dat eigenlijk wel toegesneden op talenten zoals jij? ‘Ik kreeg na de brugklas een mavo-advies, terwijl ik voor wiskunde alleen negens en tienen had. Maar ik had drieën voor mijn talen. Sorry, zei de school, maar dan kun je geen hoger niveau doen dan mavo. Na de mavo ben ik havo gaan doen, pas in het eindexamenjaar daarvan werd geconstateerd dat ik dyslectisch ben: daarom had ik zo veel moeite met die talen. Op de hts ging het een stuk beter; mijn studie informatica aan de universiteit ging me ontzettend gemakkelijk af. Gemakkelijker dan de mavo.'

Ben je er nooit boos over, dat je door je dyslexie zo lang onder je niveau hebt moeten werken? ‘Ach, een vriend van mij is leraar. Volgens hem is er tegenwoordig veel meer begrip voor dyslexie dan tien jaar geleden. Al op de basisschool wordt het geconstateerd en wordt het onderwijs aangepast. Ik ben blij dat dyslectische leerlingen niet meer hetzelfde te horen krijgen als ik vroeger: je doet niet genoeg, je moet harder werken. Gelukkig ben ik er uiteindelijk toch gekomen, al was het misschien via een omweg. Nee, ik ben niet boos.'

Is er iets dat je in je vak nog wilt bereiken?
'Ik ben gelukkig met wat ik nu doe. Ik heb nog wel het plan om in de georganiseerde misdaad op internet te duiken. Hoe werken die digitale bendes in Oost-Europa? Wat kun je ertegen doen? Het is best een groot probleem aan het worden.'

Ben je niet bang dat de Russische maffia dan een keer op de stoep staat bij Viraso? ‘Ik heb er serieus over nagedacht dat ik inderdaad een target kan worden. Dat is eigenlijk ook al zo door mijn kennis van die chips. Ik ga er maar van uit dat de Aivd die groeperingen goed in de gaten houdt.'

En misschien let de Aivd ook iets meer dan gemiddeld op jou? ‘Dat zou kunnen, ja.'

Deze tekst is eerder gepubliceerd in Intermediair.

CV: Roel Verdult

Leeftijd: 26

Woont: in een gedeeld appartement met een vroegere hts-studiegenoot in Arnhem

Opleiding: mavo, havo, hts, informatica aan de Radboud Universiteit Nijmegen (in 2008 afgestudeerd met een 10 voor zijn scriptie), uitgeroepen tot Nederlands ‘Student van het Jaar'.

Boek op nachtkastje: een phantasyboek om mezelf beter Engels te leren

Sport: ‘Kyokushin karate, inmiddels mijn vijfde vechtsport. Heerlijk, een stukje meditatie, ik word er zelfverzekerd van.'

Favoriet vakantieland: ‘Het Oostblok, waar ik vroeger al veel met mijn ouders kwam; vooral Hongarije, lekker in een tentje door de bergen'

Uren werk per week: 50

Droombaan: ‘Experimenteren, wat ik nu doe dus'

Levensmotto: genieten

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/2814320). © Jaarbeurs IT Media.

?


Lees meer over



Lees ook


 
Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×