Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › RFID: Ein Großteil der…

An der Uni Bielefeld bereits lange geknackt...

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. An der Uni Bielefeld bereits lange geknackt...

    Autor: foo1337bar 30.12.12 - 22:42

    An der Uni-Bielefeld wurden auch heute noch Mifare-Classic-Karten fuer Zutrittskontrolle und Bezahldienst benutzt.
    Besonders bescheuert: die Zutrittskontrolle fuer alle sensiblen Bereiche (Hochschulrechenzentrum Serverraeume, CITEC-Gebaeude usw.) als auch die Mensa- und Kopierkarten waren alle mit den selben Keys ausgestattet.

    Bereits 2009 hatten Studenten der Informatik ihre Mensakarten ausgelesen und als ID fuer ihr eigenes Projekt benutzt.
    Obwohl die Verantwortlichen mehrfach darauf Aufmerksam gemacht wurden, hat niemand etwas getan - ausser Drohungen auszustossen.

    Dann wurde ein Dump einer Karte eines Wachmannes im Internet veroeffentlicht.
    Ist immer noch da:
    http://de.pastebin.ca/2064260
    http://pastebin.ca/2061598

    Die Verantwortlichen haben auch da nicht reagiert. Nur "blah blah juristische Konsequenzen blah blah".

    Dann hat jemand diesen Dump auf eine Karte geschrieben und ist ins CITEC-Gebaeude damit gegangen und hat dort die Karte an die Wand geheftet.
    Da haben die Verantwortlichen auf einmal Ameisen im Ar*ch gehabt und sofort alle elektronischen Zutrittssysteme gesperrt. Mit der Konsequenz, dass auf einmal auch legitime Nutzer nicht mehr hereinkamen.

    Die kritischen Zutrittskontrollsysteme sind teilweise auf ein neues System umgeruestet worden; teilweise werden wieder mechanische Schluessel benutzt.

    Die Mensakarten mit der Bezahlfunktion sind weiterhin Mifare Classic.
    Angeblich gibt es da kein Risiko, da die Kontostaende auf den Karten gelegentlich online angegleicht werden. So faellt eine Manipulation zwar irgendwann auf, aber man kann trotzdem eine Menge unsinn anstellen. Und wenn man nur im Vorbeigehen anderen Nutzern ihre Karten entwertet und somit den Leuten einen Schaden verursacht.

    Tolle Entscheider gibts hier. Eine neue Unicard ist wohl seit Jahren geplant, aber noch nicht komplett ausgerollt.
    Und Forscher werden bei uns bei sowas nicht gefragt. Es wird nur von extern irgendwo eingekauft. Je teurer, desto besser.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  2. Re: An der Uni Bielefeld bereits lange geknackt...

    Autor: paradigmshift 30.12.12 - 23:03

    foo1337bar schrieb:
    --------------------------------------------------------------------------------
    > wenn man nur im Vorbeigehen anderen Nutzern ihre Karten entwertet und somit
    > den Leuten einen Schaden verursacht.

    Und gegen solche Parasiten gibt es bereits screening folien die man sich zum Schutz in sein Portemonnaie einlegen kann.

    Was soll ich zu der anderen Story sagen? Man kann auch per Skimming den Inhalt einer Karte dumpen. Selbst passive RFID-Tags mit push button helfen da nicht.

    Da hilft nur so einem neunmalklugen "Hacker" mit einem Rohrstock solange auf die Finger klopfen bis er es lernt zu lassen. Sicherheitsrelevante Daten online zu Stellen nur um einen Vorfall zu provozieren ist ziemlich asozial und verhaltensauffällig.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  3. Re: An der Uni Bielefeld bereits lange geknackt...

    Autor: theonlyone 31.12.12 - 03:04

    Ich bin überzeugt man konnte ein Semester Informatik eine Projektarbeit machen um ein solches Kartensystem "brauchbar" zu etablieren.

    da hat man gleich mal seine 100 Leute und das Ergebnis wird brauchbar sein.


    Allemal besser als teuren Müll zu kaufen der dann sowieso wieder nutzlos ist.



    ABER, das ganze passiert irgendwie auch nur in Informatik Lehrgängen, die anderen kommen meist gar nicht auf die idee das es Sicherheitsprobleme geben könnte.

    An absolut jeder Hochschule und Universität wurden die Kartensysteme geknackt und Karten kopiert / Geldkonten darauf aufgeladen usw. usw.


    Klar ist das "illegal" , aber irgendwo lernt man ja genau das an der Hochschule, da erwartet man schon das die Schule selbst noch etwas schlauer ist als ihre Studenten.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  4. Re: An der Uni Bielefeld bereits lange geknackt...

    Autor: JulesCain 31.12.12 - 11:23

    paradigmshift schrieb:
    --------------------------------------------------------------------------------
    > foo1337bar schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > wenn man nur im Vorbeigehen anderen Nutzern ihre Karten entwertet und
    > somit
    > > den Leuten einen Schaden verursacht.
    >
    > Und gegen solche Parasiten gibt es bereits screening folien die man sich
    > zum Schutz in sein Portemonnaie einlegen kann.
    >
    > Was soll ich zu der anderen Story sagen? Man kann auch per Skimming den
    > Inhalt einer Karte dumpen. Selbst passive RFID-Tags mit push button helfen
    > da nicht.

    Eben darum wurde die RFID-Chip Technologie von Anfang an kritisiert. Sicherheitslücken müssen nicht zwingend ausgenutzt werden, könnten aber. Ich finde das in diesem Fall eher banal. Gerade Universitäten dürften sich heutzutage über nix mehr beschweren...in den 60gern hätte die Uni gebrannt bei so einem Vorfall. Die Nutzer sollten aber unbedingt weiter aufgeklärt werden. Das ist deren/unser Recht zu wissen, wie etwas missbraucht werden kann. Wie entscheidend so etwas sein kann, kann man sich ja beispielsweise in Amerika mit den Wahl-o-Maten angucken...-.-

    >
    > Da hilft nur so einem neunmalklugen "Hacker" mit einem Rohrstock solange
    > auf die Finger klopfen bis er es lernt zu lassen. Sicherheitsrelevante
    > Daten online zu Stellen nur um einen Vorfall zu provozieren ist ziemlich
    > asozial und verhaltensauffällig.

    Ach seltsam, beim Thema Datenschutz springen sofort alle an die Decke und regen sich auf. Da gibts direkt Klagen vom Verbraucherschutz, Leute investieren unfassbar viel Zeit um "Lücken" in den AGB´s zu entdecken etc. pp. ..aber sobald das Wort "Hacker" fällt (der Begriff wird heute vollkommen missverstanden btw.), sind es sofort "böse böse" Menschen die nur böses wollen.
    Ich kontere da einfach mal mit: Schubladendenken, Scheuklappenblick, glaube an dass, was im Internet und in den Medien gesagt wird, Mangel an der Kritikfähigkeit. Anders gesagt, die Gesellschaft nimmt alles hin, was ihr vorgeworfen wird und glaubt auch noch an den Scheiss, ohne auch nur ansatzweise mal etwas kritisch zu hinterfragen. Willkommen bei RTL, SAT1 und Pro7.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  5. Re: An der Uni Bielefeld bereits lange geknackt...

    Autor: brotherelf 31.12.12 - 19:27

    theonlyone schrieb:
    --------------------------------------------------------------------------------
    > Ich bin überzeugt man konnte ein Semester Informatik eine Projektarbeit
    > machen um ein solches Kartensystem "brauchbar" zu etablieren.
    >
    > da hat man gleich mal seine 100 Leute und das Ergebnis wird brauchbar
    > sein.

    Deine Lösung dafür, dass existierende geldbewegende Systeme angreifbar sind, besteht darin, dass Studenten entwickeln zu lassen?
    Lass' überlegen... besser nicht! Von deinen 100 Studenten sind nämlich geraten 70 nicht in der Lage, so etwas aufzustellen, mindestens, weil sie keine Projekterfahrung haben. (Ist ja auch in Ordnung, muss man auch irgendwo lernen.) Die darfst du aber aus einer Lehrveranstaltung nicht rauskanten, sondern musst die auch mit irgendetwas auf vergleichbarem Niveau ablenken. Von den anderen 30 sind dann 15 Frickelkinder der einen oder anderen Sorte. Die sind auch nicht viel besser, halten sich aber für Hochtemperaturexkrement, weil sie mal ein Ticket gegen Firefox/Emacs/Linux-Kernel aufgemacht haben. Auf vorgegebene Außenschnittstellen haben die doch auch eher weniger Bock.

    Und wer macht eigentlich Support, wenn die alle in zwei Jahren von der Uni weg sind? (Und, ja, wen kann man in Regreß nehmen, wenn man Angriffsverluste nicht schlucken will?) Da hätte man doch lieber einen Vertrag auf 5-8 Jahre von einer Firma. Die schreibt vorher nämlich auch ein Angebot, das muss ja alles ausgeschrieben werden.

    Benutzer wird von Ihnen ignoriert. Anzeigen

Neues Thema Ansicht wechseln


Entschuldigung, nur registrierte Benutzer dürfen in diesem Forum schreiben. Klicken Sie hier um sich einzuloggen


Anzeige
  1. Mitarbeiter IT-Support (m/w)
    Klosterfrau Berlin GmbH, Berlin
  2. Mitarbeiter (m/w) für die Stabstelle im Bereich IT-Prozesse
    Hoffmann GmbH Qualitätswerkzeuge, München
  3. Netzwerkadministrator (m/w)
    ITK Engineering AG, Rülzheim (bei Karlsruhe) und München
  4. Webentwickler/in
    opta data.com GmbH, Essen

Detailsuche



Blu-ray-Angebote
  1. NEU: Serien bis zu 40% reduziert
    (u. a. Vikings 1. Season 14,97€, Homeland 3. Season 17,97€, Fargo 1. Season 24,97€, American...
  2. NEU: Kingsman - The Secret Service [Blu-ray]
    11,99€
  3. Warrior [Blu-ray]
    5,99€

Weitere Angebote



Haben wir etwas übersehen?

E-Mail an news@golem.de


Primove in der Hauptstadt: Berlin hat wieder eine E-Bus-Linie
Primove in der Hauptstadt
Berlin hat wieder eine E-Bus-Linie
  1. Berliner Verkehrsbetriebe Update legt elektronischen Echtzeit-Fahrplan tagelang lahm
  2. Bombardier Primove Eine E-Busfahrt, die ist lustig
  3. Bombardier Primove Erste Tests mit Induktionsbussen in Berlin

Digiskopie ausprobiert: Ich schau dir in die Augen, Wildes!
Digiskopie ausprobiert
Ich schau dir in die Augen, Wildes!
  1. Modulo Neue Kamera belichtet nie über
  2. Obstruction-Free Photography Algorithmus entfernt störende Elemente aus Fotos
  3. Flir One Hochauflösende Wärmebildkamera für iOS und Android

Snowden-Dokumente: Die planmäßige Zerstörungswut des GCHQ
Snowden-Dokumente
Die planmäßige Zerstörungswut des GCHQ
  1. Macbooks IBM wechselt vom Lenovo Thinkpad zum Mac
  2. Liske Bitkom schließt Vorstandsmitglied im Streit aus
  3. IuK-Kommission Das Protokoll des Bundestags-Hacks

  1. Verdeckte PR: Wikipedianer schmeißen Sockenpuppen raus
    Verdeckte PR
    Wikipedianer schmeißen Sockenpuppen raus

    Mehrere hundert Nutzerkonten gesperrt und Einträge gelöscht: Wikipedia-Autoren sind einer Gruppe von PR-Schreibern auf die Spur gekommen, die die Online-Enzyklopädie manipulierten.

  2. Ideapad Miix 700 im Hands On: Lenovo baut ein Surface
    Ideapad Miix 700 im Hands On
    Lenovo baut ein Surface

    Ifa 2015 Auf der Intel-Pressekonferenz ist das Lenovo Miix 700 mit neuem Skylake-Prozessor gezeigt worden. Das Tablet mit ansteckbarer Tastatur ähnelt dem Surface Pro 3 von Microsoft frappierend. Wir haben es auf der Ifa ausprobiert.

  3. Dice: Die Nacht ruft in Battlefield 4
    Dice
    Die Nacht ruft in Battlefield 4

    Das Entwicklerstudio Dice hat ein umfangreiches Update für Fehlerkorrekturen und Verbesserungen für Battlefield 4 veröffentlicht. Außerdem gibt es eine neue Nachtkarte - allerdings noch nicht für alle Plattformen.


  1. 14:38

  2. 13:24

  3. 13:00

  4. 12:30

  5. 12:00

  6. 11:58

  7. 11:54

  8. 11:53