De chip op het Nederlandse paspoort en identiteitskaart bevat persoons- en documentgegevens van de houder en is straks alleen nog uit te lezen via het veiligere PACE-protocol (Password Authenticated Connection Establishment). Uitlezen door het BAC-protocol (Basic Access Control) wordt dan niet meer ondersteund.
Naar alle waarschijnlijk gaat de aanpassing in de tweede helft van juli gelden voor nationale paspoorten. De invoering voor de Nederlandse identiteitskaart en overige paspoortmodellen staat voor 29 augustus gepland.
Alles bij de bron; Security
De afvalpas die inwoners van Wijk bij Duurstede, Cothen en Langbroek gebruiken sinds de invoering van diftar, is volgens inwoonster Nynke Visser zo lek als een mandje en dus fraudegevoelig. ,,Er zit een onveilige chip in.’’...
...Visser: ,,Met alleen maar een mobiele telefoon en een lege nieuwe kaart kun je een afvalpas kopiëren. In een andere gemeente worden afvalpasjes al voor enkele euro’s verhandeld. Hoe ik erachter gekomen ben? Via een tip van een inwoner.’’
Visser is verbaasd dat de gemeente kennelijk geen enkele risicoanalyse op de afvalpas heeft toegepast. ,,Dat is heel zorgelijk. Want de chip die erin zit werd in 2008 al voor het eerst gekraakt door de Radboud Universiteit en is daarna voortdurend in het nieuws geweest als een onveilige chip. Zelfs de ontwerper raadt af deze chip te gebruiken in toepassingen waaraan betalingen gekoppeld zijn. Ik ben digibeet maar zelfs mij lukt het om de pas te kraken.’’
,,Misbruik van de afvalpas is niet te traceren. Het systeem van de gemeente herkent fraude niet. In andere veilige systemen wordt een pas onklaar gemaakt bij kopiëren. Een inwoner zou er in theorie pas achter kunnen komen dat zijn chip gekraakt is, als hij de eindafrekening van de gemeente krijgt voor zijn huisvuil. ….Tussentijds worden inwoners niet geïnformeerd hoe vaak ze de pas gebruikt hebben. Iedere burger die aan het eind van het jaar bezwaar maakt tegen de rekening van de gemeente, kan niet bewijzen dat de rekening niet klopt.’’
Volgens Visser rest de gemeente niets anders dan alle afvalpassen vervangen. Ook zullen dan de chiplezers bij alle afvalcontainers vervangen moeten worden. Visser: ,,Met deze passen valt niet te controleren of er fraude gepleegd wordt, hoe vaak er gefraudeerd wordt en welke burgers daar de dupe van worden.’’
Alles bij de bron; AD
Het systeem achter de laadpassen voor elektrische auto’s blijkt fraudegevoelig. Dat toont internetbeveiliger Eset aan door met een simpele truc het unieke id-nummer van de pas te kopiëren.
Om de laadpas te kraken, volstaan een Android-app voor het lezen van de nfc-chip en een Proxmark3 nfc-writer waarvan namaakversies voor enkele tientjes verkrijgbaar zijn in Chinese webshops. Nadat de unieke identiteitscode van de originele kaart via de nfc-reader is bemachtigd - waarvoor dus wel de kaart van de pashouder moeten worden gescand - wordt de code naar een andere kaart gekopieerd. Vervolgens is de gekopieerde pas te gebruiken om te betalen bij laadpalen.
Bij het Nationaal Kennisplatform Laadinfrastructuur (NKL) zou het probleem al langer bekend zijn. Maar in de afwegingen rondom gebruiksvriendelijkheid - de passen moeten werken bij laadpalen van verschillende aanbieders - zou het platform dat een aanvaardbaar risico vinden.
Fastned, dat laadpalen langs snelwegen aanbiedt, verklaart dat de passen ‘niet de best beveiligde techniek’ gebruiken en dat het bedrijf daarom scherp op fraude let. Fraudeurs zijn volgens Fastned bovendien met camerabeelden op te sporen omdat die de stations beveiligen en kentekens registreren.
‘Het probleem is dus bekend bij de aanbieders van de passen, maar waarschijnlijk is het niet op korte termijn op te lossen. Dat komt door de infrastructuur van het systeem achter de betaalpassen. Het unieke id-nummer is op dit moment de enige authenticatie van de kaart.’ aldus Dave Maasland, directeur Eset Nederland
Alles bij de bron; Computable