Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › RFID: Ein Großteil der…

An der Uni Bielefeld bereits lange geknackt...

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. An der Uni Bielefeld bereits lange geknackt...

    Autor: foo1337bar 30.12.12 - 22:42

    An der Uni-Bielefeld wurden auch heute noch Mifare-Classic-Karten fuer Zutrittskontrolle und Bezahldienst benutzt.
    Besonders bescheuert: die Zutrittskontrolle fuer alle sensiblen Bereiche (Hochschulrechenzentrum Serverraeume, CITEC-Gebaeude usw.) als auch die Mensa- und Kopierkarten waren alle mit den selben Keys ausgestattet.

    Bereits 2009 hatten Studenten der Informatik ihre Mensakarten ausgelesen und als ID fuer ihr eigenes Projekt benutzt.
    Obwohl die Verantwortlichen mehrfach darauf Aufmerksam gemacht wurden, hat niemand etwas getan - ausser Drohungen auszustossen.

    Dann wurde ein Dump einer Karte eines Wachmannes im Internet veroeffentlicht.
    Ist immer noch da:
    http://de.pastebin.ca/2064260
    http://pastebin.ca/2061598

    Die Verantwortlichen haben auch da nicht reagiert. Nur "blah blah juristische Konsequenzen blah blah".

    Dann hat jemand diesen Dump auf eine Karte geschrieben und ist ins CITEC-Gebaeude damit gegangen und hat dort die Karte an die Wand geheftet.
    Da haben die Verantwortlichen auf einmal Ameisen im Ar*ch gehabt und sofort alle elektronischen Zutrittssysteme gesperrt. Mit der Konsequenz, dass auf einmal auch legitime Nutzer nicht mehr hereinkamen.

    Die kritischen Zutrittskontrollsysteme sind teilweise auf ein neues System umgeruestet worden; teilweise werden wieder mechanische Schluessel benutzt.

    Die Mensakarten mit der Bezahlfunktion sind weiterhin Mifare Classic.
    Angeblich gibt es da kein Risiko, da die Kontostaende auf den Karten gelegentlich online angegleicht werden. So faellt eine Manipulation zwar irgendwann auf, aber man kann trotzdem eine Menge unsinn anstellen. Und wenn man nur im Vorbeigehen anderen Nutzern ihre Karten entwertet und somit den Leuten einen Schaden verursacht.

    Tolle Entscheider gibts hier. Eine neue Unicard ist wohl seit Jahren geplant, aber noch nicht komplett ausgerollt.
    Und Forscher werden bei uns bei sowas nicht gefragt. Es wird nur von extern irgendwo eingekauft. Je teurer, desto besser.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  2. Re: An der Uni Bielefeld bereits lange geknackt...

    Autor: paradigmshift 30.12.12 - 23:03

    foo1337bar schrieb:
    --------------------------------------------------------------------------------
    > wenn man nur im Vorbeigehen anderen Nutzern ihre Karten entwertet und somit
    > den Leuten einen Schaden verursacht.

    Und gegen solche Parasiten gibt es bereits screening folien die man sich zum Schutz in sein Portemonnaie einlegen kann.

    Was soll ich zu der anderen Story sagen? Man kann auch per Skimming den Inhalt einer Karte dumpen. Selbst passive RFID-Tags mit push button helfen da nicht.

    Da hilft nur so einem neunmalklugen "Hacker" mit einem Rohrstock solange auf die Finger klopfen bis er es lernt zu lassen. Sicherheitsrelevante Daten online zu Stellen nur um einen Vorfall zu provozieren ist ziemlich asozial und verhaltensauffällig.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  3. Re: An der Uni Bielefeld bereits lange geknackt...

    Autor: theonlyone 31.12.12 - 03:04

    Ich bin überzeugt man konnte ein Semester Informatik eine Projektarbeit machen um ein solches Kartensystem "brauchbar" zu etablieren.

    da hat man gleich mal seine 100 Leute und das Ergebnis wird brauchbar sein.


    Allemal besser als teuren Müll zu kaufen der dann sowieso wieder nutzlos ist.



    ABER, das ganze passiert irgendwie auch nur in Informatik Lehrgängen, die anderen kommen meist gar nicht auf die idee das es Sicherheitsprobleme geben könnte.

    An absolut jeder Hochschule und Universität wurden die Kartensysteme geknackt und Karten kopiert / Geldkonten darauf aufgeladen usw. usw.


    Klar ist das "illegal" , aber irgendwo lernt man ja genau das an der Hochschule, da erwartet man schon das die Schule selbst noch etwas schlauer ist als ihre Studenten.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  4. Re: An der Uni Bielefeld bereits lange geknackt...

    Autor: JulesCain 31.12.12 - 11:23

    paradigmshift schrieb:
    --------------------------------------------------------------------------------
    > foo1337bar schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > wenn man nur im Vorbeigehen anderen Nutzern ihre Karten entwertet und
    > somit
    > > den Leuten einen Schaden verursacht.
    >
    > Und gegen solche Parasiten gibt es bereits screening folien die man sich
    > zum Schutz in sein Portemonnaie einlegen kann.
    >
    > Was soll ich zu der anderen Story sagen? Man kann auch per Skimming den
    > Inhalt einer Karte dumpen. Selbst passive RFID-Tags mit push button helfen
    > da nicht.

    Eben darum wurde die RFID-Chip Technologie von Anfang an kritisiert. Sicherheitslücken müssen nicht zwingend ausgenutzt werden, könnten aber. Ich finde das in diesem Fall eher banal. Gerade Universitäten dürften sich heutzutage über nix mehr beschweren...in den 60gern hätte die Uni gebrannt bei so einem Vorfall. Die Nutzer sollten aber unbedingt weiter aufgeklärt werden. Das ist deren/unser Recht zu wissen, wie etwas missbraucht werden kann. Wie entscheidend so etwas sein kann, kann man sich ja beispielsweise in Amerika mit den Wahl-o-Maten angucken...-.-

    >
    > Da hilft nur so einem neunmalklugen "Hacker" mit einem Rohrstock solange
    > auf die Finger klopfen bis er es lernt zu lassen. Sicherheitsrelevante
    > Daten online zu Stellen nur um einen Vorfall zu provozieren ist ziemlich
    > asozial und verhaltensauffällig.

    Ach seltsam, beim Thema Datenschutz springen sofort alle an die Decke und regen sich auf. Da gibts direkt Klagen vom Verbraucherschutz, Leute investieren unfassbar viel Zeit um "Lücken" in den AGB´s zu entdecken etc. pp. ..aber sobald das Wort "Hacker" fällt (der Begriff wird heute vollkommen missverstanden btw.), sind es sofort "böse böse" Menschen die nur böses wollen.
    Ich kontere da einfach mal mit: Schubladendenken, Scheuklappenblick, glaube an dass, was im Internet und in den Medien gesagt wird, Mangel an der Kritikfähigkeit. Anders gesagt, die Gesellschaft nimmt alles hin, was ihr vorgeworfen wird und glaubt auch noch an den Scheiss, ohne auch nur ansatzweise mal etwas kritisch zu hinterfragen. Willkommen bei RTL, SAT1 und Pro7.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  5. Re: An der Uni Bielefeld bereits lange geknackt...

    Autor: brotherelf 31.12.12 - 19:27

    theonlyone schrieb:
    --------------------------------------------------------------------------------
    > Ich bin überzeugt man konnte ein Semester Informatik eine Projektarbeit
    > machen um ein solches Kartensystem "brauchbar" zu etablieren.
    >
    > da hat man gleich mal seine 100 Leute und das Ergebnis wird brauchbar
    > sein.

    Deine Lösung dafür, dass existierende geldbewegende Systeme angreifbar sind, besteht darin, dass Studenten entwickeln zu lassen?
    Lass' überlegen... besser nicht! Von deinen 100 Studenten sind nämlich geraten 70 nicht in der Lage, so etwas aufzustellen, mindestens, weil sie keine Projekterfahrung haben. (Ist ja auch in Ordnung, muss man auch irgendwo lernen.) Die darfst du aber aus einer Lehrveranstaltung nicht rauskanten, sondern musst die auch mit irgendetwas auf vergleichbarem Niveau ablenken. Von den anderen 30 sind dann 15 Frickelkinder der einen oder anderen Sorte. Die sind auch nicht viel besser, halten sich aber für Hochtemperaturexkrement, weil sie mal ein Ticket gegen Firefox/Emacs/Linux-Kernel aufgemacht haben. Auf vorgegebene Außenschnittstellen haben die doch auch eher weniger Bock.

    Und wer macht eigentlich Support, wenn die alle in zwei Jahren von der Uni weg sind? (Und, ja, wen kann man in Regreß nehmen, wenn man Angriffsverluste nicht schlucken will?) Da hätte man doch lieber einen Vertrag auf 5-8 Jahre von einer Firma. Die schreibt vorher nämlich auch ein Angebot, das muss ja alles ausgeschrieben werden.

    Benutzer wird von Ihnen ignoriert. Anzeigen

Neues Thema Ansicht wechseln


Entschuldigung, nur registrierte Benutzer dürfen in diesem Forum schreiben. Klicken Sie hier um sich einzuloggen


Anzeige
  1. IT-Supporter/in
    WALDORF FROMMER, München
  2. Mitarbeiter/in im Bereich IT Helpdesk für den 1st-Level-Support
    Bosch Communication Center Magdeburg GmbH, Berlin
  3. Senior Consultant SAP HCM (m/w)
    über Mentis International Human Resources GmbH, Nordbayern
  4. App-Entwickler (m/w)
    über Kilmona PersonalManagement GmbH, München

Detailsuche



Anzeige
Top-Angebote
  1. Fallout 4 Uncut USK 18 - PS4
    24,99€ inkl. Versand
  2. Fallout 4 Uncut USK 18 - Xbox One
    24,99€ inkl. Versand
  3. World of Warcraft - PC
    4,99€ inkl. Versand

Weitere Angebote



Haben wir etwas übersehen?

E-Mail an news@golem.de


Oracle vs. Google: Wie man Geschworene am besten verwirrt
Oracle vs. Google
Wie man Geschworene am besten verwirrt
  1. Java-Rechtsstreit Oracle verliert gegen Google
  2. Oracle vs. Google Wie viel Fair Use steckt in 11.000 Codezeilen?

GPD XD im Test: Zwischen Nintendo 3DS und PS Vita ist noch Platz
GPD XD im Test
Zwischen Nintendo 3DS und PS Vita ist noch Platz
  1. Xbox Scorpio Schneller als Playstation Neo und mit Rift-Unterstützung
  2. Playstation 4 Rennstart für Gran Turismo Sport im November 2016
  3. AMD Drei Konsolen-Chips für 2017 angekündigt

Intels Compute Stick im Test: Der mit dem Lüfter streamt (2)
Intels Compute Stick im Test
Der mit dem Lüfter streamt (2)
  1. Stratix 10 MX Alteras Chips nutzen HBM2 und Intels Interposer-Technik
  2. Apple Store Apple darf keine Geschäfte in Indien eröffnen
  3. HBM2 eSilicon zeigt 14LPP-Design mit High Bandwidth Memory

  1. Virtual Reality: Googles Daydream benötigt neues Smartphone
    Virtual Reality
    Googles Daydream benötigt neues Smartphone

    Bei Google herrscht offenbar ordentliches Durcheinander: Anders als bisher behauptet, gibt es derzeit noch keine Daydream-fähigen Smartphones. Diese werden wohl erst im Herbst 2016 kommen.

  2. Cortex-A73 Artemis: ARMs neuer High-End-CPU-Kern für 2017
    Cortex-A73 Artemis
    ARMs neuer High-End-CPU-Kern für 2017

    Computex 2016 Effizienter, kompakter und sparsamer: ARMs neuer CPU-Kern Cortex-A73 für Smartphones schlägt den bisherigen Cortex-A72 in allen Belangen. Hintergrund ist neben der 10-nm-Fertigung eine in vielen Punkten überarbeitete Micro-Architektur.

  3. Tony Fadell: iPod-Erfinder baut Elektro-Gokarts für Kinder
    Tony Fadell
    iPod-Erfinder baut Elektro-Gokarts für Kinder

    Erst iPods, dann Thermostate und nun Gokarts: Der ehemalige Apple-Manager Tony Fadell ist in vielen Branchen unterwegs. Aktuell unterstützt er das Unternehmen Actev Motors, das mit dem Arrow ein elektrisches Gokart für Kinder baut, das über eine App kontrolliert werden kann.


  1. 08:45

  2. 08:15

  3. 07:44

  4. 07:24

  5. 07:10

  6. 12:45

  7. 12:12

  8. 11:19