http://www.spiegel.de/netzwelt/netzpolitik/0,1518,671980,00.html



Alarmierende Sicherheitslücke

Hacker knacken Flughafen-Zugangskontrolle

Alarmierende Sicherheitslücke an großen deutschen Flughäfen: Mit einem simplen 200-Euro-Gerät lassen sich die Sicherheitssperren überlisten. Hacker des CCC führten ARD-Reportern vor, wie leicht Zutrittskarten gescannt und dann elektronisch simuliert werden können - die Polizeigewerkschaft ist entsetzt.


Das Funktionsprinzip des Systems ist einfach: Jeder Mitarbeiter erhält eine Ausweiskarte mit integriertem Mikrochip. Um in sicherheitsrelevante Flughafenbereiche zu kommen, wird die Karte kurz vor einem Lesegerät geschwenkt. Das nimmt per Funk Kontakt mit dem Chip auf, liest dessen Daten aus und öffnet die Tür, sofern der Träger des Chips als zugangsberechtigt erkannt wird.

Doch mit einem vergleichsweise einfachen Gerät lässt sich dieser scheinbar sichere Schutzmechanismus aushebeln. Nämlich mit einem "programmierbaren RFID-Reader, der sowohl vorgeben kann, ein Lesegerät zu sein - als auch so tun kann, eine Karte zu sein", sagte CCC-Mitglied Karsten Nohl den "Kontraste"-Rechercheuren. Die Apparatur zusammenzustellen, kostet demnach weniger als 200 Euro.

Mit dem Gerät kann man zuerst eine Zugangskarte auslesen - und es dann so umschalten, dass es die Karte emuliert, also elektronisch nachbildet. Am Ende lassen sich mit dem RFID-Reader all jene Türen öffnen, zu denen auch das Original Zutritt gewährt hätte.

Ein Austausch der mehr als 15.000 Zugangskarten und rund 500 Lesegeräte komme aus Kostengründen nicht in Frage.

Eine tolle Sache für Schmuggler und Terroristen. Während der Otto Normal Bürger so dermaßen durch gescannt wird, können Terroristen und Schmuggler einfach den Hintereingang nehmen, ist billiger für die Flughafen Betreiber und für die Nutzer der Lücke.

Wo fließen eigentlich die ganzen Milliarden hin, die wir in die Sicherheit der Flughäfen investieren?

http://www.spiegel.de/netzwelt/netzpolitik/0,1518,671980,00.html





Eine tolle Sache für Schmuggler und Terroristen. Während der Otto Normal Bürger so dermaßen durch gescannt wird, können Terroristen und Schmuggler einfach den Hintereingang nehmen, ist billiger für die Flughafen Betreiber und für die Nutzer der Lücke.

Wo fließen eigentlich die ganzen Milliarden hin, die wir in die Sicherheit der Flughäfen investieren?

in welche Sicherheit?

Ich will keine Anleitungen geben, aber solche Karten sind beim Zugang von sicherheitsrelevanten Bereichen von Flughaefen nicht das groesste Problem.

Das ist die Quittung dafür, dass in Deutschland fast auschließlich Wirtschaftswissenschaftler Entscheidungen treffen und Informatiker und Ingenieure als "Technokraten" nichts mit zu reden haben.

Das ist die Quittung dafür, dass in Deutschland fast auschließlich Wirtschaftswissenschaftler Entscheidungen treffen und Informatiker und Ingenieure als "Technokraten" nichts mit zu reden haben.

Jein.
Zweifelsohne ist das ein Problem, ich bin mir aber nicht sicher, ob "Technokraten" das auch tatsächlich vorhergesehen hätten.
Wie bei jeder neuen Sicherheitseinrichtung hat man eben eine neue Lücke entdeckt, an die im Vorfeld offenbar zu wenig gedacht wurde. Wenn die dann nachrüsten, wird irgendwer auf einen neuen lustigen Trick draufkommen, wie man das System überlistet.

Jein.
Zweifelsohne ist das ein Problem, ich bin mir aber nicht sicher, ob "Technokraten" das auch tatsächlich vorhergesehen hätten.
Wie bei jeder neuen Sicherheitseinrichtung hat man eben eine neue Lücke entdeckt, an die im Vorfeld offenbar zu wenig gedacht wurde. Wenn die dann nachrüsten, wird irgendwer auf einen neuen lustigen Trick draufkommen, wie man das System überlistet.

Grundsätzlich läßt sich natürlich jedes System austricksen.

Aber unsere MBAs haben schon ein spezifisches Talent Scheiße zu bauen, wie man an der Kartenaffäre der Banken jüngst wieder erleben durfte.

Jein.
Zweifelsohne ist das ein Problem, ich bin mir aber nicht sicher, ob "Technokraten" das auch tatsächlich vorhergesehen hätten.

Jeder Technokrat wird Dir bestätigen, dass es nichts unkopierbares Digitales gibt... ;)

Jeder Technokrat wird Dir bestätigen, dass es nichts unkopierbares Digitales gibt... ;)

Soviel Technokrat bin ich schon selbst, dass ich das weiß.
Aber das Problem wär nicht gegeben, wenn man nicht RFID allein verwendet hätte, sondern noch zusätzlich einen Code abfragen würde.


Grundsätzlich läßt sich natürlich jedes System austricksen.

Aber unsere MBAs haben schon ein spezifisches Talent Scheiße zu bauen, wie man an der Kartenaffäre der Banken jüngst wieder erleben durfte.

Hmm, es häuft sich mal wieder.

Das wirklich tolle ist aber meiner Ansicht nach, der herrliche Zufall, dass man gerade mal wieder den Nacktscanner, eine sündteure, mäßig effektive, massiv ins intime des Kunden eingreifende Überwachungsmaßnahme debattiert und gleichzeitig die vorhandenen Sicherheitssysteme nicht brauchbarer gemacht werden können, weil das "zu teuer" ist.

Soviel Technokrat bin ich schon selbst, dass ich das weiß.
Aber das Problem wär nicht gegeben, wenn man nicht RFID allein verwendet hätte, sondern noch zusätzlich einen Code abfragen würde.

Das kostet Zeit und einen Helpdesk, der Pins wieder freischaltet, falls vergessen...

Der Dank geht an den MBA. ;)

RFIDS sind ja praktisch als Warenanhänger, aber halt untauglich als Sicherheitssystem, gerade wegen ihrer kontaklosen Abhörbarkeit.

Das kostet Zeit und einen Helpdesk, der Pins wieder freischaltet, falls vergessen...


Sicherheit ist eben nicht billig und bequem.
Das sollten die Verantwortlichen mal verstehen.

Ich will keine Anleitungen geben, aber solche Karten sind beim Zugang von sicherheitsrelevanten Bereichen von Flughaefen nicht das groesste Problem.

1024 Bit Verschlüsselung sollte in der Tat knackbar sein.

http://www.rbb-online.de/kontraste/

die sendung von gestern abend. wozu diese körperscanner, wenn

1. der bomber ohne paß und mit hilfe des personals durchkommt

und

2. jedes a......loch durch die unbewachten seiteneingänge schlüpfen kann

s.

1024 Bit Verschlüsselung sollte in der Tat knackbar sein.

Hast du einen Quantencomputer in der Garage?

Ansonsten ist Verfahren nicht gleich Verfahren. RSA/El Gamal sind mit 1024 bit oder höher bislang nicht geknackt. AES als symmetrisches Verfahren ist schon im 128 bit modus nicht beizukommen.

Sicherheit ist eben nicht billig und bequem.
Das sollten die Verantwortlichen mal verstehen.

Ich komme manchmal zu dem Schluß daß ich die vergleichweise geringe Technisierung bei meinen zahreichen Trips über indische Flughäfen mit der Zeit eher beruhigend fand.
An jeder Ecke Militär mit MPs, bereits der Zutritt zum Flughafen selbst ist ohne Ticket und Paßkontrolle nicht machbar.
Die Zugangskontrollen für die Beschäftigten sind auch eher simpel, aber je nach Bereich sehr hierarchisch. Das ist umständlich und für Westler manchmal nicht wirklich einleuchtend, aber die merken fast alles.

1024 Bit Verschlüsselung sollte in der Tat knackbar sein.

Es ist nicht einmal ein technisches Problem, auf das ich eigentlich ansprechen wollte. Eben deshalb erschreckt es mich manchmal, dass wir Flughaefen aufwendig sichern, waehrend in anderer Hinsicht Tuer und Tor offenstehen.

Es ist nicht einmal ein technisches Problem, auf das ich eigentlich ansprechen wollte. Eben deshalb erschreckt es mich manchmal, dass wir Flughaefen aufwendig sichern, waehrend in anderer Hinsicht Tuer und Tor offenstehen.

So isses ....
bei Nacht+Nebel übern Zaun , die richtige Arbeitskombi ....
und schon hast du freie Zielauswahl ! ganz ohne RFID.

So isses ....
bei Nacht+Nebel übern Zaun , die richtige Arbeitskombi ....
und schon hast du freie Zielauswahl ! ganz ohne RFID.

Da die Terroristen Menschen töten möchten, geht es noch einfacher: MiniVan, 5-6 Mann. Schweres Maschinengewehr und Sturmgewehre sowie reichlich Granaten und im Nachhinein Selbstmord.

Dürfte um die 500-1000 Kills geben. Ohne viel Aufwand. Es liegt glaub ich nicht im Interesse der Hacker Menschen zu töten ;). Für die ist das knacken von Sicherheitsvorrichtungen einfach nur "Spaß".

Hast du einen Quantencomputer in der Garage?

Ansonsten ist Verfahren nicht gleich Verfahren. RSA/El Gamal sind mit 1024 bit oder höher bislang nicht geknackt. AES als symmetrisches Verfahren ist schon im 128 bit modus nicht beizukommen.

Nein, nicht wirklich ;).

Natürlich gibt es unterschiede. Aber wie heißt es so schön "kein System ist sicher".

Ich denke mit der benötigten Hardware sind auch diese bei zu bekommen.

[...]

Ich denke mit der benötigten Hardware sind auch diese bei zu bekommen.

Wenn du dafür auch nur eine plausible Idee hättest, wie man das vorführen könnte, müsstest du dir um Geld nie wieder Sorgen machen.

Wo fließen eigentlich die ganzen Milliarden hin, die wir in die Sicherheit der Flughäfen investieren?
Naja, auch Plazebos kosten Geld in der Herstellung. Das Volk fühlt sich sicherer, also bekommt es Nacktscanner und anderen Blödsinn.

Es gibt keinen Schutz gegen Selbstmordattentäter, dass geht aber in der Köpfe nicht rein. Darum ist es immer nur eine vermeintliche Sicherheit.

MfG Q.

Jeder Technokrat wird Dir bestätigen, dass es nichts unkopierbares Digitales gibt... ;)

Warum sollte es das nicht geben?

Übertragen wird halt ein temporärer Schlüssel. Dieser wird durch einen Chip auf der Karte erstellt und ihn einfach zu kopieren wäre sinnlos weil er vom Server danach nicht mehr akzeptiert wird.

Um so eine Karte zu kopieren müßte man den kompletten Chip emulieren was nur möglich wäre wenn man die Karte selber auseinander nehmen kann.

Soweit mir bekannt wird diese Technik auf neuen EC- und Kreditkarten verwendet und ist auch von Experten als sehr sicher eingestuft.

Nein, nicht wirklich ;).

Natürlich gibt es unterschiede. Aber wie heißt es so schön "kein System ist sicher".

Ich denke mit der benötigten Hardware sind auch diese bei zu bekommen.

Anbetracht der Tatsache das du sicherlich nicht mal weißt was mit RSA, ElGamal oder ECC gemeint ist, würdest du auch nicht verstehen das dies ein mathematisches Problem ist desen Lösungszeit exakt eingrenzbar ist.

Auch wenn es in Kinofilmen so einfach aussieht wenn sich ein Supergenie vor ein Computer setzt und in 10s die schwerste Verschlüsselung knackt so sei versichert dies hat nichts mit der Realität gemeinsam.

Anbetracht der Tatsache das du sicherlich nicht mal weißt was mit RSA, ElGamal oder ECC gemeint ist, würdest du auch nicht verstehen das dies ein mathematisches Problem ist desen Lösungszeit exakt eingrenzbar ist.

Um ehrlich zu sein: in der Berufsschule waren "Verschlüsselungen" zwar ein Teil des Lernstoffes. Jedoch kamen aufwendige Kryptosysteme nicht dran, da hast Du recht.

Nur: wie willst Du die Lösungszeit eingrenzen? Wenn für eine sagen wir Ziffer mehrere Codes benötigt werden, muss auch mehr Zeit aufgewendet werden um diese zu knacken. Und dies ist ja beim RSA zB der Fall!?



Auch wenn es in Kinofilmen so einfach aussieht wenn sich ein Supergenie vor ein Computer setzt und in 10s die schwerste Verschlüsselung knackt so sei versichert dies hat nichts mit der Realität gemeinsam.

In 10sekunden knackst Du nichtmal ein MSN Passwort ;). Selbst mit BruteForce braucht es um die 5-6 Minuten.

[...]

Nur: wie willst Du die Lösungszeit eingrenzen?
[...]


Um es möglichst verständlich zu beschreiben:

Für die Berechnung einer Lösung benötigt man eine bestimmte (endliche) Zahl an Berechnungsschritten und ein Berechnungsschritt benötigt eine bestimmte Zeit. Wieviel Zeit hängt von dem Rechner ab, auf dem man die Lösung berechnen will.

Wenn man dann für den Algorithmus zur Lösung eines mathematischen Problems angeben kann, wieviele Berechnungsschritte man zum Berechnen der Lösung braucht und man dann hinzu nimmt auf was für einem Rechner man das durchführen will, dann kann man eingrenzen, wie lange der Rechner braucht.

Bzgl. der Algorithmen spricht man von Laufzeit oder auch Komplexität.
http://de.wikipedia.org/wiki/Komplexit%C3%A4tstheorie

Ich komme manchmal zu dem Schluß daß ich die vergleichweise geringe Technisierung bei meinen zahreichen Trips über indische Flughäfen mit der Zeit eher beruhigend fand.
An jeder Ecke Militär mit MPs, bereits der Zutritt zum Flughafen selbst ist ohne Ticket und Paßkontrolle nicht machbar.
Die Zugangskontrollen für die Beschäftigten sind auch eher simpel, aber je nach Bereich sehr hierarchisch. Das ist umständlich und für Westler manchmal nicht wirklich einleuchtend, aber die merken fast alles.

Ich denk, dass ist in Indien aber auch vergleichsweise günstig. Mit europäischem Lohnniveau wird sowas schwerer finanzierbar sein, daher auch die Tendenz sowas technisch zu lösen.
Ich muss auch sagen, dass bei einem vernünftigen, durchdachten Sicherheitssystem auch wenig Möglichkeiten da sind, dieses zu umgehen. RFID-Chips alleine sind da nur eine dämliche Idee.

Es ist nicht einmal ein technisches Problem, auf das ich eigentlich ansprechen wollte. Eben deshalb erschreckt es mich manchmal, dass wir Flughaefen aufwendig sichern, waehrend in anderer Hinsicht Tuer und Tor offenstehen.

Wäre ich Terrorist hätten die alle echten Spass... :D

Baumarkt langt völlig, für das Lahmlegen einer modernen Gesellschaft bedarf es keiner Kriegswaffen. Gerade im Winter höchst effektiv.

Ich glaube ich weiss, was Du meinst.

Um so eine Karte zu kopieren müßte man den kompletten Chip emulieren was nur möglich wäre wenn man die Karte selber auseinander nehmen kann.

Soweit mir bekannt wird diese Technik auf neuen EC- und Kreditkarten verwendet und ist auch von Experten als sehr sicher eingestuft.

http://www.wired.com/video/security/security/9525752001/hack-a-sattv-smart-card/1813637610

Um ehrlich zu sein: in der Berufsschule waren "Verschlüsselungen" zwar ein Teil des Lernstoffes. Jedoch kamen aufwendige Kryptosysteme nicht dran, da hast Du recht.

Nur: wie willst Du die Lösungszeit eingrenzen? Wenn für eine sagen wir Ziffer mehrere Codes benötigt werden, muss auch mehr Zeit aufgewendet werden um diese zu knacken. Und dies ist ja beim RSA zB der Fall!?

Das mathematische Grundproblem bei RSA ist die Faktorisierung.

Es ist einfach 2 Primzahlen zu multiplizieren aber die fertige Zahl in ihre 2 Faktoren zu zerlegen ist es nicht.

Als Beispiel 3 * 5 = 15 kann jeder rechnen da wir alle die Multiplikation gelernt haben. Aber um 15 in 3 und 5 zuzerlegen dafür gibt es keine direkte mathematische Operation. Man muß es sehen, raten oder ausprobieren.

Genauso sieht es auch bei Zahlen aus die mehrere hundert Stellen haben. Zwei solcher Zahlen zu multiplizieren schafft ein Computer innerhalb einer Millisekunde sie aber dann zuzuerlegen dafür würde unsere heutige Technik tausende von Jahren brauchen ganz einfach weil auch der Computr nur raten oder ausprobieren kann.

Es gibt seit Jahren ein RSA-Challenge Wettbewerb an denen sich vorallem Universitäten beteiligen können:

http://www.rsa.com/rsalabs/node.asp?id=2093



RSA-1024, Decimal Digits: 309

13506641086599522334960321627880596993888147560566
70275244851438515265106048595338339402871505719094
41798207282164471551373680419703964191743046496589
27425623934102086438320211037295872576235850964311
05640735015081875106765946292055636855294752135008
52879416377328533906109750544334999811150056977236
890927563

bis jetzt ist es noch niemanden gelungen diese Zahl in ihre 2 Faktoren zuzerlegen und es wird auch niemanden in den nächsten 10 Jahren gelingen.

Das letzte große Ereignis war die Faktorisierung von RSA-768 im Dezember letzten Jahres:

http://www.rsa.com/rsalabs/node.asp?id=3723

"The effort took almost 2000 2.2GHz-Opteron-CPU years according to the submitters, just short of 3 years of calendar time."

man beachte den technischen Aufwand der dafür nötig war.

Die grundlegende Technik ist sicher. Was die Technik unsicher macht ist menschliches Versagen und menschliche Erpressbarkeit.


In 10sekunden knackst Du nichtmal ein MSN Passwort ;). Selbst mit BruteForce braucht es um die 5-6 Minuten.

Auch hier wäre das Grundproblem menschliches Versagen. Wer 123456 als Password benutzt braucht sich nicht wundern wenn dieses nicht sicher ist.

Wirklich irritierend ist,dass Hacker stets einen Schritt vor den Sicherheitsfachleuten sind!!!

Wäre ich Terrorist hätten die alle echten Spass... :D
Baumarkt langt völlig, für das Lahmlegen einer modernen Gesellschaft bedarf es keiner Kriegswaffen. Gerade im Winter höchst effektiv.
Das ist ja gerade der Knackpunkt: Je hochentwickelter, technisierter, ausdifferenzierter und damit auf den ersten Blick auch erstmal leistungsfähiger eine Gesellschaft wird, desto anfälliger wird sie auch, desto mehr Rädchen müssen sauber ineinandergreifen, desto leichter ist es, das Getriebe zu sabotieren.
Wie ging noch damals der Witz mit dem amerikanischen und dem russischen Raumschiff? In ersterem musst du nur einmel gegen den Computer pusten - und der stürzt ab. In dem russischen musst du erstmal mit dem Schraubenschlüssel draufhaun, damit der überhaupt anspringt. :D

Je mehr Technik du einsetzt, umso mehr Angriffspunkte bekommt jemand, der Ahnung hat, wie sie zu manipulieren ist - und auf irgendeine Art ist sie das fast immer. Lässt sich übrigens auch nur teilweise durch Überwachung durch reale Menschen kompensieren, denn je mehr reale Wachtposten man aufstellt, umso mehr Leute hat man wiederum, die aus Dienstnotwendigkeit dort zutritt haben, die eventuell bestochen werden oder ideologisch falsch drauf sein könnten, und die man deshalb genau überprüfen muss. Gleichzeitig kann man nicht hinter jeden Überwacher einen Überwacherüberwacher stellen - denn an welcher Stelle soll bei dieser Kette Sense sein? Beim Überwacherüberwacher? Beim Überwacherüberwacherüberwacher? Beim Überwacherüberwacherüberwacherüberwacher? Und wer garantiert, dass nicht gerade Letzterer, der ja nun letztlich überall Zugang haben wird, am Ende der Bösewicht ist?
Wie in Casino:
"Da die Spieler natürlich das Casino schlagen wollen - passen die Croupiers genau auf die Spieler auf. Die Tischchefs passen auf die Croupiers auf, die Souschefs passen auf die Tischchefs auf, die Saalchefs passen auf die Souschefs auf, die Inspektoren passen auf die Saalchefs auf, der Casino-Manager passt auf die Inspektoren auf, ich behalte den Casino-Manager im Auge und das himmlische Auge passt auf uns alle auf..." :rolleyes:

http://www.rbb-online.de/kontraste/

die sendung von gestern abend. wozu diese körperscanner, wenn

1. der bomber ohne paß und mit hilfe des personals durchkommt

und

2. jedes a......loch durch die unbewachten seiteneingänge schlüpfen kann

s.
Damit das Konto des Scannerherstellers gefüllt wird? ;)

Damit das Konto des Scannerherstellers gefüllt wird? ;)

In Österreich wird es KEINE Scanner auf Flughäfen geben,da Röntgenstrahlen nur zu medizinischen Zwecken eingesetzt werden dürfen...

Wirklich irritierend ist,dass Hacker stets einen Schritt vor den Sicherheitsfachleuten sind!!!

Sind sie nicht, es ist bloss viel leichter ein System anzugreifen, als ein sicheres System zu bauen, das auch noch kosteneffizient ist...

Die Kosten brechen der Sicherheit immer das Genick. ;)

Das ist ja gerade der Knackpunkt: Je hochentwickelter, technisierter, ausdifferenzierter und damit auf den ersten Blick auch erstmal leistungsfähiger eine Gesellschaft wird, desto anfälliger wird sie auch, desto mehr Rädchen müssen sauber ineinandergreifen, desto leichter ist es, das Getriebe zu sabotieren.
Wie ging noch damals der Witz mit dem amerikanischen und dem russischen Raumschiff? In ersterem musst du nur einmel gegen den Computer pusten - und der stürzt ab. In dem russischen musst du erstmal mit dem Schraubenschlüssel draufhaun, damit der überhaupt anspringt. :D

Es ist noch schlimmer, ein russischer Computer läuft auch nicht mit Vodka... ;)

Sind sie nicht, es ist bloss viel leichter ein System anzugreifen, als ein sicheres System zu bauen, das auch noch kosteneffizient ist...

Die Kosten brechen der Sicherheit immer das Genick. ;)

Da hast du wohl recht...Gute Nacht!