Associatie KU Leuven bestelt personeelskaarten met onveilige Mifare-chip

Terwijl in Nederland de kraak van de ‘Mifare’ rfid-chips van NXP opschudding veroorzaakt, doet de Associatie KU Leuven een aanbesteding voor personeelskaarten met de onveilige chip. De KU Leuven heeft de fout al ingezien. Overigens is de toegang tot de 7 parlementen van ons land beveiligd met…Mifare-kaarten.

Terwijl in Nederland de kraak van de ‘Mifare’ rfid-chips van NXP opschudding veroorzaakt, doet de Associatie KU Leuven een aanbesteding voor personeelskaarten met de onveilige chip. De KU Leuven heeft de fout al ingezien. Overigens is de toegang tot de 7 parlementen van ons land beveiligd met…Mifare-kaarten.

Het waren onze collega’s van Diskidee die de vreemde keuze van de Associatie KU Leuven (de universiteit en een reeks hogescholen in België) opmerkten. Eind januari lanceerde de Associatie een aanbesteding voor een oplossing voor het drukken van nieuwe personeelskaarten (met hardware en kaarten). Op kruissnelheid zou het gaan om zowat 80.000 kaarten per jaar. In de specificaties staat volgende zin: “Gezien de verschillende toepassingen moet Mifare Classic (4kbyte chip MF1-S70) met indirecte adressering (MAD) worden ondersteund.”

Heel opmerkelijk, want met een simpele pc kan je [de beveiliging van de draadloze (rfid) beveiligingschip Mifare Classic van voormalig Philips-dochter NXP vlot kraken]. In Nederland ontstond veel opschudding toen twee techneuten de kraak bekendmaakten op het Chaos Communication Congress in Berlijn, begin januari van dit jaar. De Mifare Classic wordt namelijk onder meer gebruikt in het Nederlandse openbaar vervoer (de ‘OV-chipkaart’) en in de Londense metro. NXP verkocht wereldwijd ruim een miljard van dergelijke kaarten, maar volgens beveiligingsspecialisten is de technologie nu gewoon totaal onbruikbaar geworden.

Hallo KU Leuven? “Klopt”, reageert Peter Bleukx van Ludit, de informaticadienst van de universiteit. “Maar toen we de aanbesteding lanceerden was de kraak, voor zover wij wisten, nog maar een gerucht en dus geen gegeven. Op dit moment zijn we er ons terdege van bewust dat de Mifare-chip voor problemen zal zorgen. Daarom hebben we besloten, in het licht van de recente ontwikkelingen, om de zaak opnieuw open te trekken. In het lastenboek, dat overigens nog niet bekend is, zullen we de nodige aanpassingen doen om ook andere technologieën mogelijk te maken.”

Waar ze niet meer kunnen terugkomen op de keuze voor Mifare-kaarten is in ‘s lands 7 parlementsgebouwen. De kraakbare chip zit in de toegangskaarten. “Maar dat wil niet zeggen dat we in een onveilige situatie zijn terechtgekomen”, haast Kurt De Vriendt, directeur Techniek & Informatica in het Vlaams Parlement, zich te zeggen. “Integendeel, de beveiliging is erop vooruitgegaan in vergelijking met de situatie van het gewoon in en uit lopen in sommige parlementen of het gebruik van veel onveiligere magneetkaarten.”

Hij verklaart zich nader: “Bijvoorbeeld voor het Vlaams Parlement bevat de kaart enkel een uniek nummer dat gelinkt is aan een foto in onze systemen. De Militaire Politie kan vanuit de controlekamer via camerabewaking zien of de kaartgebruiker overeenstemt met de persoon die binnenkomt. Je zou de toegangskaart dus kunnen kopiëren, maar je kan niet voorbij de foto.” Hij maakt de vergelijking met de meer ‘anonieme’ kaarten voor het openbaar vervoer, waarmee misbruik makkelijker is.

De keuze voor de Mifare-chip werd gemotiveerd door de openheid van het systeem. “Zo kunnen alle parlementen hun eigen toepassingen kiezen en het systeem integreren met oplossingen van nog aanwezige leveranciers”, aldus De Vriendt. Toen Mifare vorig jaar werd geselecteerd, was er nog geen sprake van beveiligingsproblemen. “We zouden nu kunnen zeggen: ‘stop, we beginnen terug van voren af aan’. Maar dat gaan we niet doen. Het systeem wordt natuurlijk wel geëvalueerd. Mochten er toch problemen opduiken, zullen we niet aarzelen. Met andere woorden: Is het volledig veilig? Neen. Is dat in dit geval nodig? Neen.”