1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › RFID: Ein Großteil der…

An der Uni Bielefeld bereits lange geknackt...

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. An der Uni Bielefeld bereits lange geknackt...

    Autor: foo1337bar 30.12.12 - 22:42

    An der Uni-Bielefeld wurden auch heute noch Mifare-Classic-Karten fuer Zutrittskontrolle und Bezahldienst benutzt.
    Besonders bescheuert: die Zutrittskontrolle fuer alle sensiblen Bereiche (Hochschulrechenzentrum Serverraeume, CITEC-Gebaeude usw.) als auch die Mensa- und Kopierkarten waren alle mit den selben Keys ausgestattet.

    Bereits 2009 hatten Studenten der Informatik ihre Mensakarten ausgelesen und als ID fuer ihr eigenes Projekt benutzt.
    Obwohl die Verantwortlichen mehrfach darauf Aufmerksam gemacht wurden, hat niemand etwas getan - ausser Drohungen auszustossen.

    Dann wurde ein Dump einer Karte eines Wachmannes im Internet veroeffentlicht.
    Ist immer noch da:
    http://de.pastebin.ca/2064260
    http://pastebin.ca/2061598

    Die Verantwortlichen haben auch da nicht reagiert. Nur "blah blah juristische Konsequenzen blah blah".

    Dann hat jemand diesen Dump auf eine Karte geschrieben und ist ins CITEC-Gebaeude damit gegangen und hat dort die Karte an die Wand geheftet.
    Da haben die Verantwortlichen auf einmal Ameisen im Ar*ch gehabt und sofort alle elektronischen Zutrittssysteme gesperrt. Mit der Konsequenz, dass auf einmal auch legitime Nutzer nicht mehr hereinkamen.

    Die kritischen Zutrittskontrollsysteme sind teilweise auf ein neues System umgeruestet worden; teilweise werden wieder mechanische Schluessel benutzt.

    Die Mensakarten mit der Bezahlfunktion sind weiterhin Mifare Classic.
    Angeblich gibt es da kein Risiko, da die Kontostaende auf den Karten gelegentlich online angegleicht werden. So faellt eine Manipulation zwar irgendwann auf, aber man kann trotzdem eine Menge unsinn anstellen. Und wenn man nur im Vorbeigehen anderen Nutzern ihre Karten entwertet und somit den Leuten einen Schaden verursacht.

    Tolle Entscheider gibts hier. Eine neue Unicard ist wohl seit Jahren geplant, aber noch nicht komplett ausgerollt.
    Und Forscher werden bei uns bei sowas nicht gefragt. Es wird nur von extern irgendwo eingekauft. Je teurer, desto besser.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  2. Re: An der Uni Bielefeld bereits lange geknackt...

    Autor: paradigmshift 30.12.12 - 23:03

    foo1337bar schrieb:
    --------------------------------------------------------------------------------
    > wenn man nur im Vorbeigehen anderen Nutzern ihre Karten entwertet und somit
    > den Leuten einen Schaden verursacht.

    Und gegen solche Parasiten gibt es bereits screening folien die man sich zum Schutz in sein Portemonnaie einlegen kann.

    Was soll ich zu der anderen Story sagen? Man kann auch per Skimming den Inhalt einer Karte dumpen. Selbst passive RFID-Tags mit push button helfen da nicht.

    Da hilft nur so einem neunmalklugen "Hacker" mit einem Rohrstock solange auf die Finger klopfen bis er es lernt zu lassen. Sicherheitsrelevante Daten online zu Stellen nur um einen Vorfall zu provozieren ist ziemlich asozial und verhaltensauffällig.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  3. Re: An der Uni Bielefeld bereits lange geknackt...

    Autor: theonlyone 31.12.12 - 03:04

    Ich bin überzeugt man konnte ein Semester Informatik eine Projektarbeit machen um ein solches Kartensystem "brauchbar" zu etablieren.

    da hat man gleich mal seine 100 Leute und das Ergebnis wird brauchbar sein.


    Allemal besser als teuren Müll zu kaufen der dann sowieso wieder nutzlos ist.



    ABER, das ganze passiert irgendwie auch nur in Informatik Lehrgängen, die anderen kommen meist gar nicht auf die idee das es Sicherheitsprobleme geben könnte.

    An absolut jeder Hochschule und Universität wurden die Kartensysteme geknackt und Karten kopiert / Geldkonten darauf aufgeladen usw. usw.


    Klar ist das "illegal" , aber irgendwo lernt man ja genau das an der Hochschule, da erwartet man schon das die Schule selbst noch etwas schlauer ist als ihre Studenten.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  4. Re: An der Uni Bielefeld bereits lange geknackt...

    Autor: JulesCain 31.12.12 - 11:23

    paradigmshift schrieb:
    --------------------------------------------------------------------------------
    > foo1337bar schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > wenn man nur im Vorbeigehen anderen Nutzern ihre Karten entwertet und
    > somit
    > > den Leuten einen Schaden verursacht.
    >
    > Und gegen solche Parasiten gibt es bereits screening folien die man sich
    > zum Schutz in sein Portemonnaie einlegen kann.
    >
    > Was soll ich zu der anderen Story sagen? Man kann auch per Skimming den
    > Inhalt einer Karte dumpen. Selbst passive RFID-Tags mit push button helfen
    > da nicht.

    Eben darum wurde die RFID-Chip Technologie von Anfang an kritisiert. Sicherheitslücken müssen nicht zwingend ausgenutzt werden, könnten aber. Ich finde das in diesem Fall eher banal. Gerade Universitäten dürften sich heutzutage über nix mehr beschweren...in den 60gern hätte die Uni gebrannt bei so einem Vorfall. Die Nutzer sollten aber unbedingt weiter aufgeklärt werden. Das ist deren/unser Recht zu wissen, wie etwas missbraucht werden kann. Wie entscheidend so etwas sein kann, kann man sich ja beispielsweise in Amerika mit den Wahl-o-Maten angucken...-.-

    >
    > Da hilft nur so einem neunmalklugen "Hacker" mit einem Rohrstock solange
    > auf die Finger klopfen bis er es lernt zu lassen. Sicherheitsrelevante
    > Daten online zu Stellen nur um einen Vorfall zu provozieren ist ziemlich
    > asozial und verhaltensauffällig.

    Ach seltsam, beim Thema Datenschutz springen sofort alle an die Decke und regen sich auf. Da gibts direkt Klagen vom Verbraucherschutz, Leute investieren unfassbar viel Zeit um "Lücken" in den AGB´s zu entdecken etc. pp. ..aber sobald das Wort "Hacker" fällt (der Begriff wird heute vollkommen missverstanden btw.), sind es sofort "böse böse" Menschen die nur böses wollen.
    Ich kontere da einfach mal mit: Schubladendenken, Scheuklappenblick, glaube an dass, was im Internet und in den Medien gesagt wird, Mangel an der Kritikfähigkeit. Anders gesagt, die Gesellschaft nimmt alles hin, was ihr vorgeworfen wird und glaubt auch noch an den Scheiss, ohne auch nur ansatzweise mal etwas kritisch zu hinterfragen. Willkommen bei RTL, SAT1 und Pro7.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  5. Re: An der Uni Bielefeld bereits lange geknackt...

    Autor: brotherelf 31.12.12 - 19:27

    theonlyone schrieb:
    --------------------------------------------------------------------------------
    > Ich bin überzeugt man konnte ein Semester Informatik eine Projektarbeit
    > machen um ein solches Kartensystem "brauchbar" zu etablieren.
    >
    > da hat man gleich mal seine 100 Leute und das Ergebnis wird brauchbar
    > sein.

    Deine Lösung dafür, dass existierende geldbewegende Systeme angreifbar sind, besteht darin, dass Studenten entwickeln zu lassen?
    Lass' überlegen... besser nicht! Von deinen 100 Studenten sind nämlich geraten 70 nicht in der Lage, so etwas aufzustellen, mindestens, weil sie keine Projekterfahrung haben. (Ist ja auch in Ordnung, muss man auch irgendwo lernen.) Die darfst du aber aus einer Lehrveranstaltung nicht rauskanten, sondern musst die auch mit irgendetwas auf vergleichbarem Niveau ablenken. Von den anderen 30 sind dann 15 Frickelkinder der einen oder anderen Sorte. Die sind auch nicht viel besser, halten sich aber für Hochtemperaturexkrement, weil sie mal ein Ticket gegen Firefox/Emacs/Linux-Kernel aufgemacht haben. Auf vorgegebene Außenschnittstellen haben die doch auch eher weniger Bock.

    Und wer macht eigentlich Support, wenn die alle in zwei Jahren von der Uni weg sind? (Und, ja, wen kann man in Regreß nehmen, wenn man Angriffsverluste nicht schlucken will?) Da hätte man doch lieber einen Vertrag auf 5-8 Jahre von einer Firma. Die schreibt vorher nämlich auch ein Angebot, das muss ja alles ausgeschrieben werden.

    Benutzer wird von Ihnen ignoriert. Anzeigen

Neues Thema Ansicht wechseln


Entschuldigung, nur registrierte Benutzer dürfen in diesem Forum schreiben. Klicken Sie hier um sich einzuloggen

MIPS Creator CI20 angetestet: Die Platine zum Pausemachen
MIPS Creator CI20 angetestet
Die Platine zum Pausemachen
  1. Raspberry Pi 2 Fotografieren nur ohne Blitz
  2. Raspberry Pi 2 ausprobiert Schnell rechnen, langsam speichern
  3. Internet der Dinge Windows 10 läuft kostenlos auf dem Raspberry Pi 2

Raspberry Pi 2: Die Feierabend-Maschine
Raspberry Pi 2
Die Feierabend-Maschine
  1. Bastelrechner Das Raspberry Pi 2 hat viermal mehr Wumms
  2. Dual-Monitor-Betrieb VGA-Anschluss für Plus-Modelle des Raspberry Pi
  3. Bitscope Micro im Test Oszilloskop und Logic Analyzer für den Bastelrechner

Jolla Tablet im Hands on: Sailfish OS funktioniert auch auf dem Tablet
Jolla Tablet im Hands on
Sailfish OS funktioniert auch auf dem Tablet
  1. Sailfish-OS-Tablet Jolla geht in die nächste Runde

  1. Nvidia Shield: Gaming-Set-Top-Konsole mit Spielestreaming
    Nvidia Shield
    Gaming-Set-Top-Konsole mit Spielestreaming

    GDC 2015 Eine Set-Top-Box zum Filmegucken und eine Android-basierte Konsole soll das Shield von Nvidia mit Tegra-X1 sein. Die eigentliche Besonderheit des Geräts könnte aber das zusätzliche Streamingangebot sein.

  2. Xiaomi Yi: Neuer Konkurrent für die Gopro
    Xiaomi Yi
    Neuer Konkurrent für die Gopro

    Xiaomi stellt nicht nur Smartphones, sondern auch Fitnessarmbänder her und hat jetzt seine erste Actionkamera präsentiert. Die Yi soll Gopro Konkurrenz machen und unterbietet den angestammten Hersteller massiv im Preis und in der Ausstattung. Das gilt allerdings nur für das Einsteigermodell.

  3. Force-Touch: Festes Drücken hilft beim nächsten iPhone zu navigieren
    Force-Touch
    Festes Drücken hilft beim nächsten iPhone zu navigieren

    Bislang kennt der Touchscreen des iPhones nur die Zustände berühren oder nicht berühren. Das könnte sich ändern, wenn Apple die Technik Force-Touch der Apple Watch auf den größeren Bildschirm holt. Beim iPhone 6S soll es soweit sein.


  1. 09:20

  2. 08:28

  3. 08:07

  4. 08:06

  5. 08:01

  6. 07:58

  7. 06:30

  8. 05:55