1. #anders-denkenden
  2. #corporatisme
  3. #eigenwijsheid
  4. #epd
  5. #fascisme
  6. #gekraakt
  7. #informatief
  8. #informatiegaring
  9. #infosec
  10. #inzicht
  11. #it
  12. #media
  13. #megalomaan
  14. #minister-klink
  15. #moraal
  16. #oogkleppen
  17. #politiek
  18. #privacy
  19. #rebellion
  20. #techniek
  21. #technologie
  22. Artikelen

<< error >> (our Markdown requires webpage links, not image links, see manual)

EPD-pas gekraakt om 'eigenwijsheid' minister Klink

Het kraken van de UZI-pas blijkt relatief eenvoudig door het gedrag van de chip te bestuderen. De ontdekker waarschuwde er al langer voor.

Erik Westhovens onderzocht de chip uit irritatie over de houding van Minister Ab Klink rond de techniek van het Elektronisch Patiënten Dossier (EPD), stelt hij tegenover Webwereld. Al weet hij veel van beveiliging toch heeft hij niet de ambitie om als expert door het leven te gaan.

Stroom meten

Uiteindelijk wist hij zo de private sleutel (het vertrouwelijke certificaat van een pas) en pincode te achterhalen. Daarbij moest Westhovens intelligent te werk gaan om niet buiten te spel te worden gezet. De chip die op een pas zit zal na drie mislukte aanmeldpogingen worden geblokkeerd.

Om toch de hack uit te voeren besloot de expert stroommetingen te doen op de chip. Bij elke gebeurtenis legt Westhovens vast waar spanning toeneemt en hoeveel. Die informatie was voor hem genoeg om de werking van de hele chip in kaart te brengen en hoe het certificaat in elkaar steekt. "Met een paar uur heb je dat dan in handen."

Dat het zo "simpel" is, komt volgens Westhovens omdat er een gesloten algoritme gebruikt wordt en niet een publiek, algemeen aanvaard, mechanisme. Lekt het geheim van de wering uit dan is er ook meteen grote schade aan de kaart toegebracht. Het maakt dan niet uit dat het certificaat op basis van het publiek bekende RSA-algoritme is getekend.
Simpel onderzoek

Voor Westhovens is het dan ook een eenvoudig onderzoek en begrijpt hij niet waarom Minister Klink de Tweede Kamer schreef: "In een laboratoriumsituatie zijn experts in staat gebleken om de private sleutel van een chip te achterhalen."

"Kijk ik heb van alles, maar geen gerenommeerd laboratorium", stelt hij geërgerd. "Ik heb één pc-tje en twee laptops. Dat is alles." Volgens hem is dan ook niet veel nodig om de hack te plegen. De testapparatuur is eenvoudig te krijgen.

De hardware was nodig voor de netwerksystemen, die zijn bedrijf maakt: "We willen ook gebruik maken van de Uzi-pas om informatie op weg te schrijven." Daarom bestelde hij een ontwikkelaarskit bij het bureau voor het EPD en kreeg twee lezers in plaats van een opgestuurd en drie Uzi-passen, waarmee zorgverleners zich moeten aanmelden, in plaats van een.
Onzinnig geroep

"Dat ik hier mee bezig ben heeft een reden", zegt Westhovens. Hij doelt op de bewering dat het aanmelden voor het EPD goed beveiligd is. "Ik maak me druk over beveiliging op het moment dat mensen onzinnige dingen gaan roepen in de Tweede Kamer."

Voor hem is het duidelijk dat de problemen er al langer waren en hij stelt dat hij het Ministerie van VWS al in November 2008 op de hoogte bracht van de problemen met de pas. Inmiddels is de ernst doorgedrongen en zullen alle passen vervangen moeten worden. Daardoor lijkt het EPD drie maanden extra vertraging op te lopen. Dezelfde technologie wordt ook gebruikt voor de Defensiepas, taxipas en de elektronische tachograaf.

Overigens zegt de expert geen tegenstander van het elektronisch dossier te zijn: "Het EPD moet er komen, maar dan moet je er wel mensen op zetten met verstand van zaken."

Auteur: Brenno de Winter

webwereld.nl

No Rights Reserved (CC0 1.0)
8
  1. rough-dawn-5196@rough-dawn-5196
    #35121

    Een minister die, in weerwil van deskundigenadviezen uit zo diverse gremia en met zijn rug naar het veld, aanvankelijk met volle kracht zijn zin doordrijft en nu bakzeil moet halen in de Tweede Kamer is niet langer geloofwaardig. De Kamer en de burgers zijn door deze minister foutief voorgelicht. Het EPD komt er niet in september. Het zou Klink sieren zijn consequenties hieruit te trekken.


    NRC: Klink verliest geloofwaardigheid om uitstel EPD
  2. johan-kierewiet@johan-kierewiet
    #35124
    Verantwoordelijkheid nemen betekent mijns inziens niet dat iemand moet opstappen, dat vindt ik nou weglopen voor je verantwoordelijkheden.
    Face it, deal with it.
  3. Elk groot project is in de politiek een prestige project. "Kijk, dat heb ik gedaan." Ze zijn bezig met hun eigen CV vullen en ze hebben maar 4 jaar meestal om te scoren.

    Die mafkees gaat echt niet openlijk en groots de boel voor de helft afblazen, dat kost em ze toekomstige baan bij Phillips.
  4. rough-dawn-5196@rough-dawn-5196
    #35127
    Gasten als Klink mogen van mij altijd weglopen van hun megalomane projecten die alleen de belangen van de betrokken minister en de winstbelangen van bepaalde corporaties dienen. Beter ten halve gekeerd dan ten hele gedwaald.
  5. hidden-surf-7691@hidden-surf-7691
    #35150
    NRC: Klink verliest geloofwaardigheid om uitstel EPD


    Was hij dit al niet kwijt na het paddo verbod? Of na het HPV vaccinatie plan? Wat krijg ik kromme tenen van die gast!
  6. aged-rain-7327@aged-rain-7327
    #35159
    Het duurt even maar dan heb je ook wat..... Juist, een probleem.... ;)
  7. rough-dawn-5196@rough-dawn-5196
    #35161
    Rookverbod: niet te handhaven.

    Paddoverbod: niet te handhaven.

    HPV vaccinatie: genocide.

    EPD systeem: schendt medisch beroepsgeheim.

    Dhr. Klink is een mislukte minister.
    Wist je dat hij samen met Dhr. Balkenende is opgegroeid in dezelfde buurten op dezelfde scholen?
  8. patient-band-6377@patient-band-6377
    #39087
    Overheidsimcompetentie gaat een groot probleem worden zodra ze het werkelijk voor elkaar gaan krijgen onze privacy te "schenden". De OV-chip en het EPD zijn goede voorbeelden van beide.
    Je ziet dat het bedrijfsleven met veel dingen dominant is. Zij weten ook de capabele mensen te trekken. Blijven de debielen over voor de politiek, zo simpel zit het.
    Probleem is wel dat de mensen uit het bedrijfsleven vaak geen moraal hebben. Of, beter gezegd, het systeem waarbinnen het bedrijfsleven werkt kent weinig waarde toe aan moreel gedrag.
    En in de politiek kan er soms een moraal meespelen, maar dan ontbreekt het verstand om de gevolgen van de plannetjes te overzien.