Karsten Nohl, doctorandus van de Universiteit van Virginia in de VS, toonde begin januari aan dat de beveiliging van de populaire NXP Mifare Classic rfid-chip met een gewone pc in "enkele minuten" kan worden gekraakt. Met behulp van een FPGA (Field-programmable gate array) kun je de beveiliging zelfs "in enkele seconden" onklaar maken. Eind februari bevestigde de Nederlandse onderzoeksinstelling TNO Nohl's resultaten. Wereldwijd zijn er tussen de een en de twee miljard contactloze toegangskaarten met NXP Mifare Classic rfid-chips in omloop. In Nederland zijn er minstens twee miljoen van dergelijke toegangskaarten in omloop, ook bij de Nederlandse overheid. De bevindingen van Nohl leidden bij onze Noorderburen tot een groot schandaal. Er werden vragen gesteld in de Nederlandse Tweede Kamer. De Nederlandse inlichtingendienst AIVD demonstreerde in de praktijk dat het mogelijk is met een gestolen identiteit gebouwen en terreinen te betreden.
...

Karsten Nohl, doctorandus van de Universiteit van Virginia in de VS, toonde begin januari aan dat de beveiliging van de populaire NXP Mifare Classic rfid-chip met een gewone pc in "enkele minuten" kan worden gekraakt. Met behulp van een FPGA (Field-programmable gate array) kun je de beveiliging zelfs "in enkele seconden" onklaar maken. Eind februari bevestigde de Nederlandse onderzoeksinstelling TNO Nohl's resultaten. Wereldwijd zijn er tussen de een en de twee miljard contactloze toegangskaarten met NXP Mifare Classic rfid-chips in omloop. In Nederland zijn er minstens twee miljoen van dergelijke toegangskaarten in omloop, ook bij de Nederlandse overheid. De bevindingen van Nohl leidden bij onze Noorderburen tot een groot schandaal. Er werden vragen gesteld in de Nederlandse Tweede Kamer. De Nederlandse inlichtingendienst AIVD demonstreerde in de praktijk dat het mogelijk is met een gestolen identiteit gebouwen en terreinen te betreden. Onderzoek van Data News toont aan dat de kraakbare Mifare-chip ook in België veelvuldig wordt gebruikt. De toegang tot alle zeven Belgische parlementen wordt beveiligd met Mifare-kaarten. De onveilige kaarten worden verder gebruikt door de Associatie K.U. Leuven (de universiteit en een reeks hogescholen in België), de UCL, de NMBS (voor zijn beveiligde parkeerplaatsen en fietsenstallingen), de Plantijnhogeschool in Antwerpen, de Nationale Bank van België (alleen voor zijn drank- en snoepautomaten), en de VRT. In totaal gaat het om enkele honderdduizenden pasjes. Gespecialiseerde beveiligingsfirma's zoals ARAS Security, Bosch Security, EM Group, ID Tech en Securitas promoten vandaag nog steeds toegangscontrolesystemen die gebaseerd zijn op de onveilige Mifare Classic-chip. Hoeveel Belgische bedrijven en instellingen er gebruik van maken, blijft voorlopig onduidelijk. Specialisten waarschuwen in elk geval dat de technologie nu gewoon totaal onbruikbaar is geworden. Fabrikant NXP gaf dit begin deze maand zelf impliciet toe. De ex-Philips dochter kondigde toen een opvolger aan voor de gewraakte chip, de Mifare Plus. Die zou minder gemakkelijk te kraken zijn. Des te verwonderlijker is het dat zowel de Associatie K.U. Leuven als het Vlaams Parlement vandaag nog steeds openbare aanbestedingen hebben lopen voor beveiligingssystemen die gebaseerd zijn op de Mifare Classic. Bij de Associatie K.U. Leuven gaat het om 80.000 kaarten. Bij het Vlaams Parlement is er sprake van 20.000 kaarten. "Toen we de aanbesteding lanceerden was de kraak, voor zover wij wisten, nog maar een gerucht en dus geen gegeven," reageert Peter Bleukx van Ludit, de informaticadienst van de universiteit. "Op dit moment zijn we er ons terdege van bewust dat de Mifare-chip voor problemen zal zorgen. Daarom hebben we besloten, in het licht van de recente ontwikkelingen, om de zaak opnieuw open te trekken. In het lastenboek zullen we de nodige aanpassingen doen om ook andere technologieën mogelijk te maken." Bij de zeven Belgische parlementen zit de gewraakte chip al enige tijd in de gebruikte toegangskaarten. Volgens Kurt De Vriendt, directeur Techniek & Informatica in het Vlaams Parlement, is er echter geen probleem. "Voor het Vlaams Parlement bevat de kaart alleen een uniek nummer dat gelinkt is aan een foto in onze systemen. De Militaire Politie kan vanuit de controlekamer via camerabewaking zien of de kaartgebruiker overeenstemt met de persoon die binnenkomt. Je zou de toegangskaart dus kunnen kopiëren, maar je kan niet voorbij de foto." De keuze voor de Mifare-chip werd gemotiveerd door de openheid van het systeem. "Zo kunnen alle parlementen hun eigen toepassingen kiezen en het systeem integreren met oplossingen van nog aanwezige leveranciers", aldus De Vriendt. Toen Mifare vorig jaar werd geselecteerd, was er nog geen sprake van beveiligingsproblemen. "We zouden nu kunnen zeggen: 'Stop, we beginnen van voren af aan'. Maar dat gaan we niet doen. Het systeem wordt natuurlijk wel geëvalueerd. Mochten er toch problemen opduiken, zullen we niet aarzelen. Met andere woorden: Is het volledig veilig? Neen. Is dat in dit geval nodig? Neen." Het Vlaams Parlement publiceerde op 25 januari, dus bijna een maand nadat Karsten Nohl zijn bevindingen publiceerde, een 'Wijzigingsbericht voor de installatie en in bedrijfsstelling van een toegangscontrolesysteem' in het Bulletin der Aanbestedingen. "Het systeem voor toegangscontrole dient te werken op basis van de reeds beschikbare Mifare-kaarten," zo staat er. "Via dit toegangscontrolesysteem worden de toegangsrechten van ongeveer 20.000 personen beheerd. De gebruikte Mifare kaarten zullen ook voor andere toepassingen ingezet worden." Ondertussen denkt de Nederlandse Tweede Kamer aan toegangspasjes met biometrie of open versleuteling als vervanging van de Mifare Classic. De Kamerleden willen ook fabrikant NXP voor de rechter slepen. Dat bleek vorige week woensdagavond (19 maart) tijdens het spoedoverleg dat de Nederlandse Tweede Kamer over de kwestie voerde met de Nederlandse minister van Binnenlandse Zaken. In de verschillende Belgische parlementen kwam de kwestie voorlopig nog niet ter sprake...Jozef Schildermans - Stefan Grommen