Algemeen Dagblad, 13 maart 2008
Expert: Kraak chips illustreert zorgen burger over centrale gegevensopslag’
Stiekem slingers ophangen in een bedrijfspand? Tijgeren op een militair terrein? Zoeken naar geheimen op het ministerie van Binnenlandse Zaken? Geen probleem, de benodigde toegangspassen kun je met wat handigheid en vrienden die informatica hebben gestudeerd zelf fabriceren.
De Nijmeegse hoogleraar computerbeveiliging Bart Jacobs rekent zichzelf tot de good guys. Immers, hij waarschuwde de minister van Binnenlandse Zaken, de AIVD en de chipfabrikant toen zijn studenten de ‘contactloze chipkaart’ kraakten.
Het was wetenschappelijke gretigheid die de studenten leidde. De chip zit in miljoenen Nederlandse passen die toegang geven tot overheidsgebouwen, bedrijfspanden en militaire terreinen. Wereldwijd zijn het er meer dan een miljard van zulke passen in omloop.
Jacobs en zijn studenten kunnen met een apparaatje van een afstand de gegevens van zulke passen uitlezen én de pas kopiëren. Een kwestie van minuten. Vervolgens kunnen ze met de identiteit van de paseigenaar naar binnen stappen.
,,Stel dat deze kennis door kwaadwillenden was ontdekt,” zegt Jacobs. ,,Mensen die willen inbreken bij ministeries bijvoorbeeld. Schokkend dat het mogelijk is.”
Het begon met de geplaagde ov-chipkaart, waarin dezelfde techniek wordt gebruikt. Duitsers legden in december de zwakheden bloot, waarop Jacobs’ Radboud-student Roel voortborduurde. Of de ov-chipkaart is na te maken, hebben de studenten nog niet getest. ,,Het moet met deze methode te doen zijn,” denkt Jacobs. Maar hij maakt zich vooral zorgen over ie miljoen ándere passen.
Ze bestaan wél, nieuwe pasjes met duurdere chips die moeilijk te kraken zijn. ,,Het blijft een geldkwestie,” verzucht Jacobs.
We moeten onze pasjes voortaan bewaren in metalen houders, wat aflezen op afstand bemoeilijkt, stellen de onderzoekers. Een bewaker bij de deur posteren blijft raadzaam.
En zet pasjes met geavanceerdere chips in, adviseert Jacobs. Investeren dus. Maar, voorspelt hij, een nieuwe generatie studenten zal graag met behulp van de nieuwste technieken zijn tanden zetten in de nieuwe generatie chips.
De maker van de passen, het bedrijf NXP, neemt de conclusies van de Nijmeegse studenten serieus. Paul de Bot van NXP: ,,Dat ze de chip kunnen beïnvloeden, betekent niet dat de systemen waarin ze worden toegepast direct onveilig zijn.
Beveiliging zit hem ook in de lezers van de kaarten, de versleutelde informatie die erop staat en de achterliggende computers. Wij adviseren gebruikers met hun leveranciers te kijken naar aanvullende maatregelen.”
Directeur Nienke van den Berg van it-beveiligingsbedrijf A51 is ervan overtuigd dat de overheidsdiensten die met staatsgeheimen werken, al veel langer betere beveiligingssystemen hebben. Kwetsbaar zijn volgens haar ministeries, rechtbanken en politiebureaus. ,,Het is niet goed, maar ik maak me ook nog geen grote zorgen.”
Van den Berg ziet in de zoveelste kraak van een it-project van de overheid ook een maatschappelijke ontwikkeling. „Het is alsof mensen het beu zijn: stemcomputers, ov-chipkaart en nu dit. Het is een beweging tegen een overheid die steeds meer informatie centraal wil opslaan.”
Volgens versleutelingsexpert Prins was de nu gekraakte chip al bij de introductie niet de meest veilige was. „Er is een afweging gemaakt tussen veiligheid en kosten.”
