Die EFF veröffentlicht einige Hilfestellungen für den Schutz der eigenen Privatsphäre an US Grenzen.
Auch wenn man nicht plant in die USA zu reisen ist das Dokument lesenswert, da es eine Reihe von Hinweisen gibt die nicht nur an US Grenzen die Privatsphäre schützen.
Forscher der Ruhr-Universität Bochum haben Chipkarten vom Typ DESFire MF3ICD40 geknackt. Da diese werden häufig in Bezahl- und Zugriffskontrollsystemen verwendet und uns immer versprochen wird wie toll und sicher alles wird wenn die Dinge erstmal massenhaft im Einsatz sind, ist das ein netter Realitätscheck.
Die von NXP hergestellten RFID-Karten sind mittels Triple-DES gesichert, einer aus mathematischer Sicht unknackbaren Chiffre. Die Bochumer Forscher konnten den 112-Bit-Schlüssel dennoch vollständig auslesen, indem sie Veränderungen im Magnetfeld untersuchten. “Wir haben den Stromverbrauch der Chips beim Ver- und Entschlüsseln mit einer kleinen Sonde gemessen”, erklärt David Oswald, Mitglied des Teams um Professor Christof Paar.
Mit dem Schlüssel lassen sich unerkannt beliebig viele Kopien einer Karte erstellen. Der Aufwand dafür hält sich in Grenzen: “Für unsere Messungen brauchten wir eine RFID-Karte, ein Lesegerät, die Sonde und ein Oszilloskop, mit dem wir den Stromverbrauch beobachten können”, sagt Oswald. Der reine Materialpreis für die Ausrüstung betrage nur wenige Tausend Euro. Der Zeitaufwand liege bei rund sieben Stunden - detailliertes Vorwissen zu Aufbau und Charakteristika der Karte vorausgesetzt.
Bei Heise konnte man nachlesen was sich einige Behörden für die nächste Ausweisgeneration wünschen:
Die aufgebrachte Chip-Technik soll erheblich erweitert werden. So soll die Zahl der Sensoren und Aktuatoren erhöht werden, damit die “multimodale Biometrie” den Ausweis noch enger mit seinem Inhaber verknüpft. Wie Ullrich Hamann, Chef der Bundesdruckerei in Berlin ausführte, sind mehrere Anwendungen in der Erprobung, darunter ein bereits auf der CeBIT präsentiertes Volumen-Hologramm, dass eine “Kamerafahrt” um den Kopf des Ausweisinhabers anzeigt. Zusätzlich kann ein Fingerabdrucksensor auf der Karten angebracht werden, damit der Ausweis selbst entscheiden kann, ob er vom rechtmäßigen Inhaber benutzt wird. Auch soll eine biometrische Aufzeichnung der Unterschrift eingebaut werden, die Druckstärke und Schreibschwünge misst, damit die Unterschrift wirklich fälschungssicher wird.
Ferner wird laut Hamann ein DNA-Sensor in der Ausführung als Micro-TAS-Chip (micro total analysis-System) mit subkutaner Probeentnahme bereits erprobt. Die Speicherung und DNA-Überprüfung könnte im hoheitlichen Teil des nächsten “neuen” Personalausweises die Rasterfahndung und Vorbereitung einer DNA-Reihenuntersuchung entscheidend erleichtern, hieß es unter Verweis auf Polizeiwünsche.
WTF!, Geht’s noch?!?
Der EC-Netzbetreiber easycash wollte Daten zur Kreditwürdigkeit von bis zu 50 Millionen deutschen EC-Kartenbesitzern an Versicherungen, Telekommunikationsfirmen und Inkassounternehmen verkaufen. Gesammelt hatte der Branchenprimus diese Daten an etwa 250.000 von ihm betriebenen Kassen in Supermärkten, Baumärkten und Tankstellen. Jede Zahlung mit der EC-Karte hätte so womöglich mitentschieden, ob ein Versicherungs- oder Handyvertrag zustande kommt und zu welchen Konditionen.
via ndr
Und noch eine Sicherheitslücke im ePerso:
Der mehrstufige Angriff beginnt mit dem Exploit, den Schejbal bereits im Januar beschrieben hatte: Das Opfer wird auf eine Phishing-Seite gelockt, die ihm einen Dienst mit eID-Funktion vorgaukelt und dazu eine Kopie der AusweisApp in JavaScript präsentiert. Gibt er dort seine PIN ein, landet diese beim Angreifer.
Durch das Plug-in lässt sich der ePerso über das Netzwerk fernsteuern. Vergrößern In der nächsten Stufe nutzt der Angreifer die Möglichkeit des OWOK-Plug-ins, per JavaScript einen Kanal zur Chipkarte zu öffnen. Darüber kann er beliebige APDUs (Application Protocol Data Units) an die Karte schicken und die Antworten lesen. Schejbal hat dazu einen Proof of Concept entwickelt, den wir in der c’t-Redaktion nachvollziehen konnten. Über das Netzwerk war es möglich, über eine modifizierte Cyberflex-Shell Kommandos an den ePerso an einem anderen PC zu senden
Copyright © 2004–2009. All rights reserved. – Impressum
RSS Feed. This blog is proudly powered by Wordpress and uses Modern Clix, a theme by Rodrigo Galindez.