Vanaf deze week is het voor iedereen mogelijk om een OV-chipkaart zelf te voorzien van saldo. En als je echt ontraceerbaar de trein in wilt stappen kun je ook nog vanaf je PC inchecken.
Dit allemaal dankzij een nieuw tooltje dat je gemakkelijk kunt installeren op een PC met windows. Je hebt natuurlijk wel een RFID reader/writer nodig, die zijn al jaren overal vrij verkrijgbaar.
De vraag is echter, moet je dit nu doen als fanatieke openbaarvervoergebruiker, alleen omdat het kan? Volgens het Wetboek van Stafrecht ben je in overtreding wanneer je een waardekaart of betaalpas opzettelijk vervalst. Hiervoor kun je worden vervolgd. Het mag niet, dus je moet dit ook niet doen, zegt Trans Link Systems. Trans Link Systems lijkt daarbij te rekenen op het fatsoen van de reiziger, die tenslotte ook nooit een strippenkaart of treinkaart zou vervalsen.
Leuk stukje software
Wat wel interessant is, is dat de meeste nieuwszenders ineens heel druk zijn met dit onderwerp. Dat de gebruikte chip in de OV-chipkaart (de MIFARE Classic 4K 13Mhz RFID kaart) niet helemaal waterdicht is, was al lange tijd bekend. Nu hebben een paar hackers een leuk stukje software geschreven, zodat een breed publiek gebruik kunnen maken van de zwakheid in de oplossing.
Het leuke van bloggen is dat je kunt reageren op dit soort berichten. Met grote interesse heb ik er een aantal gelezen. Ik zie voornamelijk reacties van mensen die aangeven dat we dit al lang wisten of dat de reactie van TLS – waarin ze aangeven dat het gewoon niet mag – stom is.
Wat is de oplossing?
Mijn vraag is: wat is de oplossing? Volgens mij kun je nog zo’n veilig systeem verzinnen, uiteindelijk wordt het toch gekraakt. Moet je dan met een nieuwe chip gaan werken en iedereen zijn pasje laten omwisselen? Gaan we er voor zorgen dat gekraakte kaarten wél detecteerbaar zijn? Of moeten we misschien af van de anonieme kaarten? Het is per slot van rekening zo dat het op de weg ook niet anoniem werkt. Ik moet wegenbelasting betalen voor het gebruik van het wegdek. Dit wordt gecontroleerd doormiddel van mijn nummerbord dat op mijn naam staat. Op het moment dat ik voor mijn auto geen nummerbord meer aan hoef te vragen kan ook niet meer worden gecontroleerd of ik wel wegenbelasting betaal voor de desbetreffende auto.
In Nederland zitten we hier alleen niet op te wachten. Dit geeft ons een 'Big Brother is watching you'gevoel. In werkelijkheid is het natuurlijk 'Big Brother is watching you a bit more'.
Mijn conclusie: natuurlijk moet TLS zijn uiterste best doen om reizen in het openbaar vervoer zo fraude ongevoelig mogelijk te maken. Ik zou ze graag helpen, ik kom met de auto.
