Royal Holloway, University of London: Information Security Group - Smart Card Centre
niet-gepubliceerd onderzoek[1] en overige relevante en publiekelijk toegankelijke informatie bij de beoordeling betrokken. Ter aanvulling daarop werd gebruikgemaakt van vertrouwelijke stukken afkomstig van TLS, waarin het algehele systeemontwerp plus bestaande detectie- en preventieve tegenmaatregelen om fraude en misbruik van beveiliging tegen te gaan, staan beschreven. TNO stelde ook een notitie ter beschikking over haar vervolgevaluatie voor TLS. Het resultaat van de contra- expertise is dit openbare rapport. Echter, alle gedetailleerde werkaantekeningen die zijn gebaseerd op gevoelige en vertrouwelijke informatie zijn ter ondersteuning van hun verdere onderzoek aan TLS en TNO ter beschikking gesteld. Het zij opgemerkt dat zowel TNO als TLS hun volledige medewerking hebben verleend aan deze contraexpertise en alle benodigde documentatie ter beschikking hebben gesteld, ervoor hebben gezorgd dat de juiste deskundigen beschikbaar waren om aan de vraaggesprekken deel te nemen en alle vragen die ter tafel kwamen, hebben beantwoord. Het CEB bedankt TLS en TNO voor hun medewerking bij deze beoordeling en ook de verschillende onderzoekers die ons deelgenoot hebben gemaakt van hun informatie, opmerkingen en suggesties.
De methodiek, de reikwijdte en de benadering van TNO
De algemene methodiek die TNO - zoals blijkt uit het gedetailleerde rapport - heeft gehanteerd, betreft ten eerste een onderzoek naar de Mifare kaarttechnologie (die aan de OV-chipkaart ten grondslag ligt) en de CCC-presentatie, alvorens de technische consequenties van de aanvallen in aanmerking te nemen, om deze vervolgens toe te passen op aanvalscenario's waar het vervoerssysteem in de praktijk mee te maken kan krijgen. Sommige delen van het rapport hadden betrekking op risicobeoordeling en het operationeel afhandelen van incidenten met behulp van detectie- en tegenmaatregelen in de back office. Ten slotte werden uit deze bevindingen conclusies getrokken en werden op basis daarvan aanbevelingen gedaan.
Het CEB is van oordeel dat de door TNO gehanteerde algemene methodiek geëigend was voor de opdracht, en dat het rapport - gezien de korte termijn waarbinnen zij de opdracht moest uitvoeren – blijk geeft van een opmerkelijke hoeveelheid professioneel en systematisch werk. Terecht werd het probleem benaderd vanuit het perspectief van het totale systeem, en werden praktijkscenario's, de beweegredenen en de uitvoering van criminele aanvallen, de beveiligingsmaatregelen op gegevens- en systeemniveau en het cryptografische algoritme van de kaart in aanmerking genomen. Het ware wellicht beter geweest als de methodiek van risicobeoordeling nauwer was gekoppeld aan de gevolgen die aanvallen hebben voor de reële financiële waarde, aangezien de financiële waarde kan wijzigen in de loop van de uitrol van het systeem (en in het algemeen in de loop van de tijd). Dit heeft op zijn beurt invloed op de aantrekkelijkheid van het systeem als doelwit van aanvallen en op het plannen van maatregelen ter beperking van de gevolgen van zulke aanvallen.
De scope van het TNO-rapport concentreert zich duidelijk op de gevolgen die de CCC-presentatie heeft op de vraag of men kan doorgaan met het gebruik van de op Mifare gebaseerde oplossingen met het CRYPTO1-algoritme en op de impact op het OV-Chipkaartsysteem. Het rapport laat uitdrukkelijk de Mifare Ultralight-kaart, die wordt gebruikt voor vervoersbewijzen voor eenmalig gebruik, buiten beschouwing. Uit vraaggesprekken bleek dat TNO er stellig van overtuigd was dat de Ultralight-kaart niet viel onder hun opdracht omdat voor deze kaart geen gebruik wordt gemaakt van CRYPTO1. Bovendien had TNO al eerder een onderzoek voor TLS uitgevoerd dat betrekking had op de Ultralight-kaart, waarin de problemen werden getypeerd en maatregelen werden voorgesteld om bepaalde misbruikscenario's tegen te gaan.
De benadering die TNO in meer algemene zin heeft toegepast, typeert het CEB als "evidence based", d.w.z. gestoeld op bewijzen, in tegenstelling tot de recente onderzoekspublicaties, die meer neigen naar een visionaire benadering. Hoewel in het TNO-rapport wordt beschreven in welke vormen aanvallen op het systeem en de algemene situatie zich in de toekomst zouden kunnen ontwikkelen, wordt in het rapport meer de nadruk gelegd op wat er op het moment van schrijven bekend, bewezen, gerechtvaardigd en gemeten was. Zo'n soort benadering is in veel gevallen terecht. Echter, gezien de zich aard van de situatie (snelle ontwikkelingen) wordt verwacht dat er een stroom aan vervolgpublicaties op gang zal komen waaruit blijkt dat de aanvallen sneller en beter zijn geworden. Hoewel het TNO-rapport dit erkent, zou het CEB ervoor gekozen hebben om bij het doen van aanbevelingen voor de toekomst aan deze factoren meer gewicht toe te kennen.
- ↑ Waaronder een concept-rapport van Nohl e.a. en vertrouwelijke informatie van de Radboud Universiteit van Nijmegen
