Organisatie - 10 mei 2012

Hacker kraakt pas Wageningen UR

Gratis koffie met OV-chipkaart. ‘Dit veiligheidsrisico kenden we.’

6-kaartinautomaat.jpg
Een hacker die zichzelf ‘Przewalskipaardje’ noemt, stuurde de redactie van Resource enkele weken geleden een opmerkelijk bericht: hij zou erin geslaagd zijn om een OV-chipkaart zo te bewerken dat hij er de koffie- en kopieerautomaten op de Wageningse campus mee kan bedienen. Na enig heen en weer gemail - de student wil per se anoniem blijven - stuurt hij enkele filmpjes waarin te zien is dat de kaart werkt (zie de website van ­Resource). Ook legt hij zijn motief uit: laten zien hoe ‘gemakkelijk’ het volgens hem is om het systeem van Wageningen UR te kraken.  Ten slotte stuurt hij Resource het ultieme bewijs: de gehackte OV-kaart. Die heeft inderdaad alle ­eigenschappen van een normale medewerkerskaart: gratis koffie en kopiëren.
Myfare
Knap gedaan, vindt IT-specialist René de Koster die samen met de security manager de kaart op verzoek van de redactie onderzocht om te beoordelen of Przewalskipaardje er ­inderdaad in geslaagd is om het pasjessysteem van Wageningen UR te kraken. Het antwoord is ja. De hacker heeft het voor elkaar gekregen om de gegevens van een medewerkerspas te kopiëren en ze naar een OV-chipkaart te verplaatsen. ‘We wisten dat het in theorie mogelijk was, maar dit is de eerste keer dat we het ook daadwerkelijk zien’, aldus de security manager. Hij brengt in herinnering hoe de Nijmeegse student Roel Verdult er enkele jaren geleden in slaagde om de OV-chipkaart te kraken. Daarin zit de zogenaamde ‘Myfare’-chip van NXP, die ook in de Wageningse kaarten te vinden is. ‘Sinds die tijd weten we dat de kaarten te kopiëren zijn.’ Dat de kaarten niet zijn vervangen, is volgens hem het ­resultaat van een eenvoudige risico-inschatting. ‘Het kopiëren kost veel tijd en moeite terwijl de opbrengst relatief gering is: gratis koffie en kopieën. Ga je een stap verder, door bijvoorbeeld een handeltje te beginnen in gekopieerde kaarten, dan gaat er bij de financiële afdeling snel een alarmlichtje branden vanwege het extreme gebruik van één kaart. Die kan vervolgens geblokkeerd worden.’
Geblokkeerd
‘Een dag werk’, mailt Przewalskipaardje ons desgevraagd. ‘Je hebt een apparaatje nodig, een reader, die je voor een paart tientjes koopt. Alle verdere instructies zijn op internet te vinden.’ Voor hem was het vooral een uitdaging. ‘Gewoon kijken of het werkt.’ Maar dan blijft de hamvraag, wiens kaart heeft hij nu eigenlijk gekopieerd? ‘Docenten laten wel eens een kaart liggen. Sommigen studenten steken die in eigen zak, ik geef hem netjes terug. Maar niet zonder hem eerst even “bekeken” te hebben...’
Volgens de it-specialisten is dat misschien wel de belangrijkste les: medewerkers gaan vaak achteloos met hun kaart om, niet beseffend dat ze daarmee een veiligheidsrisico creëren. De betreffende docent weet het inmiddels wel: zijn of haar kaart is voorgoed geblokkeerd. Verder worden er geen maatregelen genomen. ‘Onze risico-inschatting is hetzelfde als voorheen’, oordeelt De Koster. Maar ze zijn wel blij dat Przewalskipaardje zijn knutselwerk niet voor eigen gewin heeft gebruikt.’ De hack wordt door de security manager dan ook niet als strafbaar feit gezien. ‘Wij zijn hier ook weer wat wijzer van geworden.’

Re:ageer