The Most Majestic

Een tijdje geleden had ik een site gezien met de Lavazza 2008 kalender “The Most Majestic” erop met exuberante koninklijke dames die Lavazza espresso drinken geschoten door Finlay Mackay.

Lavazza

Op de terugweg uit Berlijn aten Tijs en ik in een Rasthof ergens voor Hannover en namen na het eten een dubbele espresso aan de Lavazzabar. Op de balie stond deze kalender en toen ik hem opmerkte kregen Tijs en ik allebei er eentje van de koffiedame.

Set my WiFi free

Naar aanleiding van dit artikel in Wired van veiligheids-goeroe Bruce Schneier heb ik gedaan waar ik al een tijdje over zat te denken. Ik heb mijn draadloos internet thuis open gegooid voor iedereen in de buurt om te gebruiken.

Ik had graag mee willen doen aan FON maar dat was altijd teveel gezeik om goed in te stellen. Ideaal zou zijn als routermakers een instelling boden om gastgebruikers op een afgebakend deel van je netwerk een beperkte hoeveelheid bandbreedte te geven, maar daar ga ik niet op zitten wachten.

Dus in de buurt van de Papenstraat in Delft is er sinds kort een open draadloze hotspot “Draadloos Delft” te vinden. Elke beweging moet ergens beginnen, zullen we maar zeggen.

Update: Ik heb nu de eerste gast op mijn netwerk. Doen er nog meer mensen mee? Als we dit concept kunnen verspreiden, dan heeft het nog een redelijke kans om te werken.
De beste reden om dit te doen: Beeld je in hoe blij je bent als je op een willekeurige plek draadloos internet hebt. Beeld je nu in dat je datzelfde gevoel oproept bij mensen die in de buurt van je huis zitten.

Ein Berliner

Net een dag terug uit Berlijn na een weekend van straf rijden, drinken en programmeren.

Elke keer weer in Berlijn, maakt me blij. De mensen lijken er redelijk onbevangen, de wijken zijn er ondertussen bekend en de taal gaat me elke keer weer makkelijker af.

Helaas geen tijd gehad om sommige tips op te volgen of om sushi te eten, maar dat is dan weer voor een volgende keer, want die komt er zeker. In de tussentijd volgen hier in de komend dagen wat foto’s.

Mifare gekraakt

Een artikel in de Volkskrant vandaag over hoe het algemene systeem van de OV-chipkaarten is gekraakt. Dit is aangekondigd door een groep hackers op de CCC in Berlijn tijdens hun presentatie: Mifare: Little Security, Despite Obscurity.

Het artikel in de VK laat niets doorschemeren van de techniek en het falen daarvan dus ik ga vanavond de presentatie bekijken om te zien wat er nu precies aan de hand is. Dan dus meer hierover.
Als dit inderdaad is wat het lijkt en wat Rop Gonggrijp gelijk heet met: ‘Deze chipkaarttechnologie is weg, stuk, niet meer te gebruiken.’ dan is het een belachelijke schande.

Ik schreef al eerder over de extreem slechte aanbesteding van openbaar vervoer-projecten. Het is wel degelijk mogelijk om veilige systemen te maken. Eerlijkheid en openheid is een beginvoorwaarde voor veiligheid, als je aanbesteedt aan bedrijven die dat niet zijn, krijg je ook geen veilig product.

De OV-chipkaart werd al geplaagd door veel problemen. Het leek erop alsof er nergens regie was en dat niemand het belang van de reizigers behartigde. Wat dat betreft is deze nekslag voor deze technologie een gelukkig ongeluk. Nu nog zien of er koppen gaan rollen.

Update: Ik heb de video nu gezien en respect voor de twee hackers (Karsten Nohl & Henryk Plötz). Met relatief goedkoop spul, een microscoop, OpenPCD en OpenPICC tools en veel trial and error, raadwerk naar de ontwerpbeslissingen en algoritmen die gebruikt worden, hebben ze de Mifare Classic technologie zoals die in heel veel RFID-toepassingen gebruikt wordt compleet gekraakt. Spoofen van UIDs met verschilende rechten, kraken van sleutels en semi-willekeurige starttoestanden, replays van transacties, alles is mogelijk en meer details worden nog gepubliceerd.
Mooie puzzel en leuke uitleg hoe dit in zijn werk gaat. Maar ga er maar aan om dit zelf te verzinnen.

Toegegeven zoals ook in de presentatie wordt genoemd, RFID-chips hebben beperkingen in stroom en ruimte/complexiteit. Het implementeren van een goed cryptografisch protocol in die beperkingen in betaalbare RFID-chips zoals de Mifare is erg moeilijk.
Phillips claimt dat wel te kunnen en biedt ‘geavanceerde beveiliging’ aan. De techniek die dit mogelijk maakt is op dit moment niet bekend in de academische wereld. Het is natuurlijk mogelijk dat Philips in-huis buitengewone technologische innovaties hier inzet, maar zoals blijkt is het tegenovergestelde waar. Ze hebben het eenvoudigste geïmplementeerd wat zou kunnen werken, zonder noemenswaardige veiligheidsmaatregelen behalve dan het geheimhouden van hoe het werkt.
In de academische wereld vindt op dit moment onderzoek plaats naar wat wel te implementeren is in de geldende beperkingen. Dit onderzoek vindt plaats in een open wetenschappelijk proces met peer review; bewezen de beste manier om te komen tot veilige systemen.

Een journaalitem dat online staat citeert Rover dat staat te janken dat de persoonsgegevens op de chipkaart te kopiëren zouden zijn. Dat is het minst boeiend probleem. Rover zou moeten toejuichen dat openbaar vervoer binnenkort gratis kan zijn.
Translink en NXP doen alsof er niks aan de hand is (zie ook Bright) maar als je de presentatie bekijkt blijkt dat Mifare compleet en totaal gekraakt is. Teletekst weet te melden dat TNO de veiligheid van de kaart gaat onderzoeken. Als ze die onderzoeken net zo goed doen als ze de onderzoeken naar de veiligheid van stemcomputers gedaan hebben, dan staat ons nog wat te wachten.

Update 2: En mijn reactie op Sargasso.

Update 3: Ik luister naar het item op Radio Online met veel van hetzelfde met twee storende dingen:

GroenLinks (Duyvendak, OV-chipklacht) en vrienden (Rover) zeggen steeds dat strippenkaarten e.d. voldoen. Dit is een fijn staaltje achteruit denken en het klopt voor geen meter. Strippenkaarten zijn een idioot systeem en ik snap de combinatie van zones, starttarieven en strippen stempelen zelf nog steeds niet.
Verder slaat het nergens op dat ik als ik bijvoorbeeld naar de Pilotenstraat moet, ik een kaartje nodig heb voor de trein en een apart kaartje voor de metro en dat ik het niet van tevoren ‘s avonds online kan kopen.
Daar komt nog bij dat alle maatregelen die kaartjes in het OV beter zouden kunnen maken op de lange baan zijn geschoven met de belofte van de OV-chipkaart. De OV-chipkaart cancellen betekent een flinke innovatie-schuld op een andere manier moeten inlossen.
Er valt een eis dat een OV-systeem vrijwel waterdicht moet zijn (of temminste zo veilig als strippenkaarten dat nu zijn). Is deze hack niet een duidelijk bewijs dat het proces zoals het hier gehanteerd is, er niet in geslaagd is om te kiezen voor een veilig, open en toekomstbereid systeem en ook niet voor een systeem dat de behoeften van gebruikers voorop stelt. Wat gaat er veranderen in de besluitvormingstrajecten zodat dit niet meer gebeurt?

Boekenlijst

Ik zat het einde van het jaar mijn lijstjes door te kijken en ik zag dat ik in 2007 maar vier (!) boeken heb gelezen. Dan zie je iemand als Aaronsw die er 70 consumeert en dat weinig vindt.

Afstuderen slokt je leven op en met vier boeken scoor ik nog steeds hoger dan mijn meeste vrienden maar dit jaar ga ik meer lezen. Ik heb gisternacht Der Prozess van Kafka uitgelezen dus dit jaar op schema: één week, één boek.

De vier boeken die ik heb gelezen zijn wel de moeite waard:

“Van de Vijand en de Muzikant” van Ramsey Nasr

Een dubbelbundel met Nasr’s essays over kunst en over politiek. Niet verbazingwekkend zijn zijn essays over politiek waarin Nasr hard uithaalt meer de moeite waard. Verfrissend om een niet-anti-semitisch geluid te horen dat durft uit te varen tegen wat Palestijnen overkomt.

“Fragile Things” van Neil Gaiman

Het enige van de vier wat absoluut de moeite waard is. Korte en fantastische verhalen.

“Visionary in Residence” van Bruce Sterling

Nabije toekomst science-fiction verhalen. Erg leuk.

“The Seven Day Weekend” van Ricardo Semler

Funest boek in zoverre dat als je dit gelezen hebt, je niet snel meer uit zult kijken naar je 9-tot-5 bestaan op het kantoor. Semco is een bedrijf wat een revolutionaire maar compleet logische stijl van management uitvoert.

De uitdaging voor iedereen is om niet te denken dat Semco raar is omdat zij het op hun manier doen, maar dat de meeste andere bedrijven raar zijn dat zij het niet zo doen.

In dezelfde straat nog te lezen: Let My People Go Surfing: The Education of a Reluctant Businessman.