Die vor allem in den USA verbreiteten Kreditkarten mit RFID-Chip lassen sich durch Kleidung und Geldbeutel hindurch kontaktlos auslesen und dann mit Zahlungen belasten, die der Eigentümer eigentlich nicht freigegeben hat. Das demonstrierte Kristin Paget auf der Sicherheitskonferenz Shmoocon in der US-Hauptstadt Washington eindrucksvoll, wie das US-Wirtschaftsmagazin Forbes berichtet. Kreditkartenhersteller sehen jedoch kein gesteigertes Risiko.
via heise
Forscher der Ruhr-Universität Bochum haben Chipkarten vom Typ DESFire MF3ICD40 geknackt. Da diese werden häufig in Bezahl- und Zugriffskontrollsystemen verwendet und uns immer versprochen wird wie toll und sicher alles wird wenn die Dinge erstmal massenhaft im Einsatz sind, ist das ein netter Realitätscheck.
Die von NXP hergestellten RFID-Karten sind mittels Triple-DES gesichert, einer aus mathematischer Sicht unknackbaren Chiffre. Die Bochumer Forscher konnten den 112-Bit-Schlüssel dennoch vollständig auslesen, indem sie Veränderungen im Magnetfeld untersuchten. “Wir haben den Stromverbrauch der Chips beim Ver- und Entschlüsseln mit einer kleinen Sonde gemessen”, erklärt David Oswald, Mitglied des Teams um Professor Christof Paar.
Mit dem Schlüssel lassen sich unerkannt beliebig viele Kopien einer Karte erstellen. Der Aufwand dafür hält sich in Grenzen: “Für unsere Messungen brauchten wir eine RFID-Karte, ein Lesegerät, die Sonde und ein Oszilloskop, mit dem wir den Stromverbrauch beobachten können”, sagt Oswald. Der reine Materialpreis für die Ausrüstung betrage nur wenige Tausend Euro. Der Zeitaufwand liege bei rund sieben Stunden - detailliertes Vorwissen zu Aufbau und Charakteristika der Karte vorausgesetzt.
Bei den technischen Macken der neuen Chipkarte muss vor allem auf die Haftungsregelung aufmerksam gemacht werden. Denn bei der Nutzung des Ausweises gilt der sogenannte „Anscheinsbeweis“, der im Prinzip eine Beweislastumkehr darstellt. Ist die eID-Funktion oder die digitale Signatur irgendwo im Netz aktiv, gilt damit die Identität des jeweiligen Nutzers als verifiziert. Der Beweis für gehackte PINs, TANs, elektronische Signaturen und Zertifikate muss dann also von den NutzerInnen selbst geführt werden.
Nicht nur deshalb gilt:
Am sichersten ist der elektronische Ausweis immernoch, wenn der Chip mit einem elektromagnetischen Impuls überladen wird. Rechtlich und faktisch ist das Ausweis- dokument auch ohne funktionierenden Chip vollwertig gültig, weswegen Manipulationen am Chip keinerlei Folgen haben
Ich lese gerade Surveillance and Security: Technological Politics and Power in Everyday Life und finde die Prämisse des Buchs sehr spannend, und richtig:
The question is usually along the lines of “Do they work?” – meaning, are surveillance systems efficacious at preventing crime or terrorism? Although important, this type of question is really an extension of the logic of trade-offs proffered in the opening quotes, because the implication is that if systems are not sufficiently effective, then they are not worth the sacrifice or investment.
This book argues that these are the wrong questions because they obscure the real changes underway and issus at play with incorporation of surveillance technologies into public life.
Weiter:
Surveillance technologies clearly alter social behaviour and are intended to do so, usually as planned deterrents to deviant behaviour but not always with the outcomes intended. They act as forms of social engineering that legislate norms for acceptable and unacceptable behaviours and actions, and they accomplish this task by individualizing people.
Was für eine beschissene Idee und unglaublich dumme Begründung:
Die Visionen von Autor Cory Doctorow in seinem Buch „Little Brother“ scheinen schon jetzt Realität zu werden. Wenn die Vorschulkinder von Constra Costa Country morgens von ihren Eltern ins Gebäude gebracht werden, deponiert man den personalisierten Chip am Kind selbst und entnimmt die Hardware, bevor die Kinder die Schule verlassen. Den ganzen Tag über werden alle Bewegungen innerhalb der Schule festgehalten. So kann beispielsweise überprüft werden, ob sich die Kinder in der Mittagspause im Speisesaal einfinden oder wer sich häufiger unerlaubt vom Gelände entfernt. Die Schulsprecherin hält die neuen Maßnahmen für angemessen. Statt die Kinder für viel Geld von Lehrern oder Erziehern beaufsichtigen zu lassen, würden die RFID-Chips jetzt überprüfen, wo sich die Kleinen im Schulgebäude aufhalten.
Copyright © 2004–2009. All rights reserved. – Impressum
RSS Feed. This blog is proudly powered by Wordpress and uses Modern Clix, a theme by Rodrigo Galindez.