Tendentieus, ongefundeerd & nodeloos kwetsend

Handleiding chipkaarten overheidsgebouwen op straat

chipkaartfail.jpgHoe staat het met uw kennis van MiFare? De laatste opfriscursussen overgeslagen? Komt dit topic even goed uit dan. MiFare is het handelsmerk van de meest gebruike contactloze chipkaart ter wereld. Oftewel: "state of the art access management". Oranje stropdas van moederbedrijf NXP legt even voor u uit waarom dit de veiligste, meest betrouwbare en meest verkochte chiptechnologie ter wereld is. Maar elk slot kan gebroken worden, als je maar weet hoe het werkt. Nou, speciaal van GeenStijl een kerstcadeautje voor alle beveiligingsexperts onder onze volgers. De complete technische handleiding van MiFare DESFire: mirror 1, mirror2, mirror 3. In plaats van op de blinde gok en met reverse engineering zoeken naar beveiligingslekken, kun je dat nu doen met behulp van de handleiding. Kraak het systeem en alle Nederlandse afnemers moeten op zoek naar een nieuw beveiligingsmethode. Leuk doe dingetje voor de kerst dus. Opdonderen met Security Through Obscurity, een 100% veilig systeem is ook veilig als je de boel volledig transparant maakt. Leuk, binnenkort is het dus mogelijk om achter de schermen te kijken op de ministeries, bij de Belastingdienst en meer van zulke werkplekken. Op visite in het afgesloten gedeelte van de Tweede Kamer. Gratis OV-chippen met de koninklijke trein de SR10. Gezellig! NXP: State of the art ROFLOL management. BLIEP!

Reaguursels

Inloggen

Beste GS redactie, ik werk in deze business (nee, niet bij de (r)overheid) en heb wél de volledige en actuele documentatie. Van DESFire en de opvolger DESFire EV1 welke ook met AES encryptie werkt.
Zelfs met documentatie is dit systeem behoorlijk pittig om te doorgronden.
Zonder de fysieke kaartsleutels kun je nog niets met de systemen.
De kaart welke voor de overheid tot nu toe de meeste problemen heeft veroorzaakt zijn de Mifare Ultra Light en de Mifare Classic. De ultra light maakt helemaal geen gebruik van sleutels en de classic is te kraken.

Mastermattie | 23-12-10 | 21:58

@eerstneukendanpraten | 23-12-10 | 15:49
U begrijpt mij denk ik verkeerd. Teun is 4 tegels van een grote mijlpaal verwijderd.

Bakito verdient zeker een prijs, voor het (op meestal hoogst vermakelijke wijze) wegmaaien van al het gras voor de voeten van irritante trollen.

Prof. D.A.H. Vintik | 23-12-10 | 17:10

Dit is overigens voor de oude desfire kaart.

Momenteel wordt eigenlijk alleen maar desfire EV1 (MF3 IC D81) uitgegeven.
Hier zit een veel sterkere beveiliging op. (AES) ipv. het verouderde DES

Overigens zijn deze EV1 kaarten wel backwards compatible.
Maar als je geen weak keys gebruikt met desfire is het alsnog vrij lastig deze kaart te kraken.

Ik heb overigens nooit begrepen waarom NXP deze documenten nooit gepubliceerd heeft aangezien de encryptie methoden wel gewoon public domain zijn.

diecyde | 23-12-10 | 16:54

Gewoon een datasheet, overal te downloaden. Zit ook bij iedere sdk in , hoe moet je anders uberhaupt een dll/com/whatever schrijven om met het ding te werken. Is zoiets als een handleiding voor het omdraaien van de sleutel en dan zeggen dat je het slot gekraakt hebt. Quid is gezakt voor het examen techniek.

noorderling | 23-12-10 | 16:35

Allemaal heel erg leuk die datascheeten, maar de echte leuke dingen staan er nog steeds niet in. Bijvoorbeeld hoe de pseudo random number generator werkt van dat ding. Inmiddels is al lang bekend hoe dat ding werkt en is dat een van de aanvalsmogelijkheden, maar daar vindt je niets over in dit document.

spuugschaap | 23-12-10 | 15:59

Als ze niets te verbergen hebben, maakt het niet uit.
[/sukkel mode off]

Fijnstoffer | 23-12-10 | 15:52

@SnotNozem | 23-12-10 | 15:32
Dat is de short version, daar staat niet alles in.

Btw @alle andere hopeloze figuren die denken dat OV-chipkaart nog verder gekraakt kan worden: de bytes die je na mifare versleuteling kan lezen zijn zelf ook weer versleuteld (en dit keer met iets fatsoenlijks). Ontcijferen van die bitterbak wordt in de lezer gedaan, niet door de mifare smartcard. Als je dat gekraakt krijgt had je je beter op internetbankieren ofzo kunnen richten, wat dat levert met dezelfde moeite toch wat meer centen op.

spuugschaap | 23-12-10 | 15:50

Prof. D.A.H. Vintik | 23-12-10 | 15:38

Heb uit zeer betrouwbare bron (naar tabak en goedkope aftershave ruikende man in donker hoekje parkeergarage) vernomen dat het dit jaar wel iemand anders zou kunnen gaan worden. De nominatie trol van het jaar is inmiddels wel
als een emmer beton aan Brillemans voeten vast en zeker voor Bakito...

eerstneukendanpraten | 23-12-10 | 15:49

the_self | 23-12-10 | 15:36
Haha, slimmerik. ;)

GeflipteVlaflap | 23-12-10 | 15:38

@Teun van het Tuinpad | 23-12-10 | 15:32
Voor Kim is het hele leven een film.
kimjongillookingatthings.tumblr.com/

@Teun van het Tuinpad | 23-12-10 | 15:34
Zenuwen voor je de grote mijlpaal bereikt zeker?
Vier je het samen met Andie?

Prof. D.A.H. Vintik | 23-12-10 | 15:38

-weggejorist-

watsinneneem | 23-12-10 | 15:36

@GeflipteVlaflap

Voor 100 euries zorg ik er voor dat jij een keertje zonder te betalen met een ov-kaartje de bus in komt! ;-)

the_self | 23-12-10 | 15:36

lol @ Ashtrey | 23-12-10 | 15:33

Teun van het Tuinpad | 23-12-10 | 15:35

Prof. D.A.H. Vintik | 23-12-10 | 15:32
Niet tegen eerstneukendanpraten zeggen maar ik moest spontaan hard lachen.
Malle ik toch.
;)

Teun van het Tuinpad | 23-12-10 | 15:34

Teun van het Tuinpad | 23-12-10 | 15:32
Holland? * ouwe snoeperT *

Ashtrey | 23-12-10 | 15:33

eerstneukendanpraten | 23-12-10 | 15:27
Ach, het is maar hoe je het ziet.
Ik had het ook niet kunnen doen.
Da's waar.

Teun van het Tuinpad | 23-12-10 | 15:33

Het is een lulverhaal, dit was een draft versie 3.1
De 3.2 is publiek beschikbaar
www.nxp.com/documents/short_data_sheet...
-edit- Uhh 80 pagina's vs 11 pagina's. In dit document staat iets meer informatie...

SnotNozem | 23-12-10 | 15:32

Wybe Wabes Abbema | 23-12-10 | 15:30

Ergonomisch gezien is het niet echt handig btw...

eerstneukendanpraten | 23-12-10 | 15:32

@eerstneukendanpraten | 23-12-10 | 15:27
Teun is een beetje in de wir war.

Prof. D.A.H. Vintik | 23-12-10 | 15:32

rara | 23-12-10 | 15:31
Ik bied €100,00 voor de filmkollektie van Kim.

Teun van het Tuinpad | 23-12-10 | 15:32

@Teun van het Tuinpad | 23-12-10 | 15:30
Dat wordt dan het einde van Noord-Korea.

rara | 23-12-10 | 15:31

@eerstneukendanpraten: kan me voorstellen dat het linken naar de site die ik heb neergezet bij te makkelijke visuele interpretatie niet toegestaan zou zijn, dus maar even 180 graden gedraaid. Weer om te draaien via www.upsidedowntext.com/

Wybe Wabes Abbema | 23-12-10 | 15:30

rara | 23-12-10 | 15:28
Dat is zo.
Maar ik voel aan mijn water dat het nu écht menis is.
*plassen gaat*

Teun van het Tuinpad | 23-12-10 | 15:30

Wybe Wabes Abbema | 23-12-10 | 15:25

WTF? Moeten de regauurders nu het beeldscherm 180 graden draaien of zeau...?

eerstneukendanpraten | 23-12-10 | 15:28

@Teun van het Tuinpad | 23-12-10 | 15:24
Dat doet hij toch elke maand minimaal 1 keer?

rara | 23-12-10 | 15:28

@rambijambi | 23-12-10 | 15:20
Vingerafdrukken zijn inderdaad niet bijzonder goed bruikbaar. Maar irisscanners doen het al een stuk beter.

rara | 23-12-10 | 15:27

Teun van het Tuinpad | 23-12-10 | 15:19

Teun, het is bijna Kerstmis, kom jij met zo'n morbide grap aanzetten...

eerstneukendanpraten | 23-12-10 | 15:27

Zullen ze op ɥʇʇd://ʍʍʍ˙oʌ-ɔɥıdʞɐɐɹʇ˙oɹƃ/ʍıʞı/ıupǝx˙dɥd/Wɐıu‾Ԁɐƃǝ ook wel blij mee zijn denk ik?

Wybe Wabes Abbema | 23-12-10 | 15:25

Zolang de overheid denkt slimmer te zijn dan de uitvinders, die tegen elke bedrag te koop zijn, zal e.e.a. altijd wel zo lek als een mandje blijven.
Probleem wat je so wie so hebt als er geen biometrische elementen in verwerkt zitten, je nimmer de authenticiteit kan waarborgen. Elke vinder kan met z'n pasje zichzelf toegang ergens toe verschaffen.
Encryptie is ook slechts een kwestie van veel rekenkracht en kan dus met een p2p netwerk al vrij snel gekraakt worden. Of het moet een systeem zijn zoals de Identifier van je bank. Dat werkt prima, maar is als toegang te omslachtig.
Techniek kan met behulp van techniek omzeilt worden. Simpel. Hoef je geen Einstein voor te heten.
GS begint steeds meer op onze eigen WIkiLeaks te lijken :-)

Betweetert | 23-12-10 | 15:25

Skip de chipskaarten.
Kim Joel Iel dreigt met bommen !

Teun van het Tuinpad | 23-12-10 | 15:24

Snap er zelf de ballen van, maar een of andere electronica-goochemerd kan er vast wel iets mee en dan krijg je weer huilie huilie. Ondanks dat het dan misschien oud materiaal is (overheid is niet zo erg bij de tijd)

janpiepknor | 23-12-10 | 15:23

@F. von Zeikhoven | 23-12-10 | 15:14
Ik heb het volste vertrouwen in GeenStijlModeratie, ik acht hun werkwijze kundig genoeg om het "juiste" te doen.
In ieder geval meer vertrouwen in hun dan in OV, OM, sneeuwruimen, illegale snert en Brein!

necrosis | 23-12-10 | 15:22

@rara | 23-12-10 | 14:35
Biometrie is ook niet veilig, vooral vingerafdrukken zijn notoir lek.
www.ehow.com/how_2122642_fake-fingerpr...
laptoppimp.com/laptop-review/hp-laptop...
En er zijn nog wel makkelijker methoden.

De grootste fail is dat men kennelijk in NL denkt dat we zo uniek zijn dat we het wiel opnieuw moeten uitvinden en dan nog achteraf verbaasd zijn dat het vierkant is.

rambijambi | 23-12-10 | 15:20

eerstneukendanpraten | 23-12-10 | 15:16
Niet eens van Volendam ?
Kom je eerder in het Hemeltje.
Toch ?

Teun van het Tuinpad | 23-12-10 | 15:19

@Bijthond | 23-12-10 | 15:14
Braaf!
*grinnikt*

necrosis | 23-12-10 | 15:19

fuckje | 23-12-10 | 15:07

Nee, de brandstichter van Veendam...
*bukt voor Joris*

eerstneukendanpraten | 23-12-10 | 15:16

bezemkast 1919 | 23-12-10 | 15:05
Dan heeft u de tussen haakjes gemist (...)

F. von Zeikhoven | 23-12-10 | 15:13
Heb je weer wat te zeiken? Heb van mijn baas/relaties inmiddels een kerstpakket of vijf binnen, kan ik het zeker wel een dag of 10 van uithouden in mijn iglo...

eerstneukendanpraten | 23-12-10 | 15:15

F. von Zeikhoven | 23-12-10 | 15:13 Dat is de Kerstactie van Neemjemoederetcetera. Tijdelijk om z'n Snert® echt goed in de markt te zetten.

zeg maar jansen | 23-12-10 | 15:15

NXP was economisch dood. NS heeft via die OV-Chip-Card BV geld naar ze doorgeschoven zodat ze niet onderuit gingen. Dit is dat miljarden gat in de NS boeken waar de Tweede Kamer maar geen vat op kon krijgen en allerlei ontwijkende antwoorden op kreeg.

Denkt Na | 23-12-10 | 15:15

@necrosis | 23-12-10 | 15:07
Ja, precies! Of GeenStijlreaguurderTs beledigen. Nog erger!

F. von Zeikhoven | 23-12-10 | 15:14

@necrosis | 23-12-10 | 15:07

Uit die reactie maak ik op dat je het niet met me eens bent, wat me toch enigszins teleurstelt.

*gaat sneeuwschuiven*

Bijthond | 23-12-10 | 15:14

@beest033nl | 23-12-10 | 14:48
Ze zijn eerst aan het uitvogelen hoe laad de SR10 gaat.

Prof. D.A.H. Vintik | 23-12-10 | 15:14

necrosis | 23-12-10 | 15:09
Via de A13 kom je ook een eind.

Teun van het Tuinpad | 23-12-10 | 15:13

@bezemkast 1919 | 23-12-10 | 15:05
Nee, hij is dakloos. Erg hè?...
*eerstneukendanpraten tippen over de snertkar van het Heilsleger doet*
@ eerstneukendanpraten Weet je al wat je 1e Kerstdag van de Boothbrigade voorgeschoteld krijgt? Ik hoorde trouwens dat je op vertoon van je straatkrantlegitimatie een tweede keer mag opscheppen...

F. von Zeikhoven | 23-12-10 | 15:13

zeiksmurf | 23-12-10 | 14:54
Lets make better things.

van Nazareth | 23-12-10 | 15:12

tollend = tooltje
(*werpt iPad tegen de muur)

kevin026 | 23-12-10 | 15:11

opendouwde = opensource

(kut autocorrect)

kevin026 | 23-12-10 | 15:10

1. Het ministerie is al overgestapt op een andere kaart
2. Half Nederland kan al vrij ov-chippen met een RFID reader van EBay en een opendouwde driver en de sourcecode van het tollend waarmee je naar een ov-chipkaart kunt schrijven
Die oude rotzooi (PDF) draagt nergens aan bij.

kevin026 | 23-12-10 | 15:09

@Teun van het Tuinpad | 23-12-10 | 15:06
Geen idee, via de A12 kom ik overal waar ik moet/ wil zijn.

necrosis | 23-12-10 | 15:09

@wsc981 | 23-12-10 | 14:52
Het zal wel aan mijn agrogenen liggen enzeau, maar ook iedere andere boer hier opt Nationaallandschapseiland kun je wegdragen als je hem om een serieuze reactie vraagt op een bewering als deze: " Een besturingssysteem waarvan de complete broncode openbaar is wordt als één van de meest veilige in zijn soort gezien (OpenBSD)." Of mist er nog een duidingdingetje met kernwoord #algoritme?

F. von Zeikhoven | 23-12-10 | 15:07

@eerstneukendanpraten |15:03
U bent de clown van Pekela?

fuckje | 23-12-10 | 15:07

@Bijthond | 23-12-10 | 14:54
Waarom ga je geen sneeuw schuiven, is een stuk nuttiger dan reaguren/ GeenStijl beledigen.

necrosis | 23-12-10 | 15:07

necrosis | 23-12-10 | 15:01
Hoe zijn de verbindingen qua OV ?

Teun van het Tuinpad | 23-12-10 | 15:06

Natuurlijk Quid, met deze (functionele) datasheet van zo'n IC-tje en drie transistors op een stukje experimenteerprint bouw je zeker zo even een werkend plurkschakelingetje in elkaar om daarmee het hele OV-chipgebeuren te kraken!

Bij programmeerbare devices zegt een datasheet heel erg weinig over het complete functioneren ervan, omdat datgene waarmee het device geprogrammeerd is de eigenlijke intelligentie bevat.

En laat dit .pdf-je DAAR nou net niet over gaan...

nllismaj | 23-12-10 | 15:06

En ik maar netjes betalen voor die chip zooi, terwijl die nerds gewoon gratis hun saldo opwaarderen.

Koosnaampje | 23-12-10 | 15:05

eerstneukendanpraten | 23-12-10 | 15:03
Je begint de dag niet met ontbijt, maar met je poten in de sneeuw en een lineaal in je had?

bezemkast 1919 | 23-12-10 | 15:05

Ongeveer 30 km ten oosten van fuckje... En dan iets zuidelijker dan Daaam.
Hier hebben we gisteren nog flink sneeuw gehad, nu ligt er 11 cm (vers gemeten) en gisteren was het minder dan 4 cm.

eerstneukendanpraten | 23-12-10 | 15:03

@fuckje | 23-12-10 | 14:45
Ja, dat klopt. Dat hebben ze gistermorgen en -middag eerst hier vant Nationaallandschapseiland weg staan scheppen...

F. von Zeikhoven | 23-12-10 | 15:02

@necrosis | 23-12-10 | 14:54
Das dan weer liev

Che_cuevara | 23-12-10 | 15:01

@Teun van het Tuinpad | 23-12-10 | 14:57
Kassanova +veel.
Maar GeflipteVlaflap woont een eind uit de buurt en benzine is duur!

necrosis | 23-12-10 | 15:01

@ "Leuk, binnenkort is het dus mogelijk om achter de schermen te kijken op de ministeries" | 23-12-10 | 14:34 |
Héjoh, SQuidWard! Iets te lang op het Duyvendak gezeten? Je weet toch dat het niet goed is om teveel sneeuw te consumeren als je inspiratie nodig hebt? Gaan je harses reare dingers van bedenken. Zoals daar is: "(...)een 100% veilig systeem is ook veilig als je de boel volledig transparant maakt(...)"
Tenzij je eigenlijk Johan Cruyff bent, want dan heb ik niks over sneeuw gezegd en al helemaal niks aan te merken op de dan uiteraard volledige doorzichtige logica van uw veilig-quote...

F. von Zeikhoven | 23-12-10 | 14:59

necrosis | 23-12-10 | 14:49
Ouwe Kassanova.

Teun van het Tuinpad | 23-12-10 | 14:57

@Che_cuevara | 23-12-10 | 14:51
Geen haha, want: geen taxi-chauffeur!
Ik ben gewoon vrouwvriendelijk...

necrosis | 23-12-10 | 14:54

-weggejorist-

Bijthond | 23-12-10 | 14:54

philips, let's make things worse

zeiksmurf | 23-12-10 | 14:54

Heel veel dank, heb de handleiding gedowned en ben blij dat we nu met kerst eens wat anders kunnen kraken dan walnoten.

Ironisch Naakthuisje | 23-12-10 | 14:53

Volgens mij was dat een GS-powned trein.
Tenminste aan de kleur te zien

Che_cuevara | 23-12-10 | 14:52

Is inmiddels nog niet gebleken dat "security through obscurity" totaal niet werkt? Een besturingssysteem waarvan de complete broncode openbaar is wordt als één van de meest veilige in zijn soort gezien (OpenBSD). En het is juist zo veilig omdat mensen in de code kunnen bladeren en fouten eruit kunnen halen.

Maar goed, overheid en grote mediabedrijven zullen nog wel lang gebruik blijven maken van deze achterhaalde methode.

wsc981 | 23-12-10 | 14:52

@kapotte_stofzuiger | 23-12-10 | 14:44
Voor haar 200 man personeel, eerste klas is te duur.

necrosis | 23-12-10 | 14:51

@necrosis | 23-12-10 | 14:49
Haha, u bent taxi chauffeur?

Che_cuevara | 23-12-10 | 14:51

Mooi, zo wordt de wereld weer een stukje toegankelijker.

TonyM | 23-12-10 | 14:50

Op dat filmpje wordt de Koninklijke trein genomen tussen twee roze stijlloze treinstellen!

ristretto | 23-12-10 | 14:50

@GeflipteVlaflap | 23-12-10 | 14:40
Als dat zo is, is hij over datum.

Che_cuevara | 23-12-10 | 14:50

@GeflipteVlaflap | 23-12-10 | 14:37
Voor €100 kan ik je een heel eind brengen, dwz. in mijn auto, dus van deur-tot-deur, verwarmd, geen rookverbod, altijd zitplaats en aangenaam gezelschap.
*vreest boegeroep*

necrosis | 23-12-10 | 14:49

@GeflipteVlaflap |14:46
Okeej, maar ik ben een StadjerTse.

fuckje | 23-12-10 | 14:48

heb even gekeken maar ik miste het stukje "hoe laat ik mn OV-Chip op" ik neem aan dat gs die nog aan het vertalen is

beest033nl | 23-12-10 | 14:48

Trek een blauwe overall aan en zeg dat je de lampjes in de serverruimte komt vervangen en je komt overal in, daar heb ik geen manual voor nodig.

BarCruque | 23-12-10 | 14:47

fuckje | 23-12-10 | 14:45
Rondom Appingedam/Delfzijl.
Er is bij ons zo'n klein beetje sneeuw bij gekomen dat ik 't op moet zoeken met een vergrootglas.

GeflipteVlaflap | 23-12-10 | 14:46

@GeflipteVlaflap |14:40
Waar in Grunn?
Hier bij ons in Grunn is er vanacht en vanmorgen sneeuw bijgekomen.

fuckje | 23-12-10 | 14:45

Doe even als kerstkadootje aan Wikileaks. Iedereen weer blij.

Kamervraag | 23-12-10 | 14:45

Waarom heeft Hare Majesteit eigenlijk een 2e klasse wagon?

kapotte_stofzuiger | 23-12-10 | 14:44

Helaas. Ik had goede hoop op GS gespaard te blijven van #sr10

Detlev Tarnowitz | 23-12-10 | 14:44

Oeh... een Philips documentje uit 1854 waar 'confidential' op staat.
Wij willen een DIY-manual!

kapotte_stofzuiger | 23-12-10 | 14:44

GS, die aanzet tot anarchie.
Koel !

Teun van het Tuinpad | 23-12-10 | 14:43

Vaag filmpje van die trein...
Hoor ik op de achtergrond nou een imam schreeuwen?

basweetutwel | 23-12-10 | 14:41

eerstneukendanpraten | 23-12-10 | 14:39
Waar woon je dan wel niet?
We hebben hier in Groningen nu nog steeds dezelfde hoeveelheid sneeuw die we vorige week ook hadden.

GeflipteVlaflap | 23-12-10 | 14:40

dienstweigeraar... | 23-12-10 | 14:38

Mogen ze hier snel komen aub, er beginnen zich duinen te vormen...

eerstneukendanpraten | 23-12-10 | 14:39

@Norm: of al die andere werklozen zijn nu aan het sneeuwruimen

dienstweigeraar... | 23-12-10 | 14:38

Als iemand ervoor kan zorgen dat ik zonder te betalen met zo'n chipkaart de bus in kom, krijgt ie van mij 100 euro.

GeflipteVlaflap | 23-12-10 | 14:37

-weggejorist-

Norm | 23-12-10 | 14:36

Biometrie. een andere oplossing is er niet.

rara | 23-12-10 | 14:35

Volgens mij heeft iemand afgelopen maand te weinig artikelen geschreven..

Smokum | 23-12-10 | 14:35

-weggejorist-

Norm | 23-12-10 | 14:35

REAGEER OOK

bespaartips: Energie vergelijken | Autoverzekering vergelijken | Zorgverzekering vergelijken