1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › RFID: Ein Großteil der…

An der Uni Bielefeld bereits lange geknackt...

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. An der Uni Bielefeld bereits lange geknackt...

    Autor foo1337bar 30.12.12 - 22:42

    An der Uni-Bielefeld wurden auch heute noch Mifare-Classic-Karten fuer Zutrittskontrolle und Bezahldienst benutzt.
    Besonders bescheuert: die Zutrittskontrolle fuer alle sensiblen Bereiche (Hochschulrechenzentrum Serverraeume, CITEC-Gebaeude usw.) als auch die Mensa- und Kopierkarten waren alle mit den selben Keys ausgestattet.

    Bereits 2009 hatten Studenten der Informatik ihre Mensakarten ausgelesen und als ID fuer ihr eigenes Projekt benutzt.
    Obwohl die Verantwortlichen mehrfach darauf Aufmerksam gemacht wurden, hat niemand etwas getan - ausser Drohungen auszustossen.

    Dann wurde ein Dump einer Karte eines Wachmannes im Internet veroeffentlicht.
    Ist immer noch da:
    http://de.pastebin.ca/2064260
    http://pastebin.ca/2061598

    Die Verantwortlichen haben auch da nicht reagiert. Nur "blah blah juristische Konsequenzen blah blah".

    Dann hat jemand diesen Dump auf eine Karte geschrieben und ist ins CITEC-Gebaeude damit gegangen und hat dort die Karte an die Wand geheftet.
    Da haben die Verantwortlichen auf einmal Ameisen im Ar*ch gehabt und sofort alle elektronischen Zutrittssysteme gesperrt. Mit der Konsequenz, dass auf einmal auch legitime Nutzer nicht mehr hereinkamen.

    Die kritischen Zutrittskontrollsysteme sind teilweise auf ein neues System umgeruestet worden; teilweise werden wieder mechanische Schluessel benutzt.

    Die Mensakarten mit der Bezahlfunktion sind weiterhin Mifare Classic.
    Angeblich gibt es da kein Risiko, da die Kontostaende auf den Karten gelegentlich online angegleicht werden. So faellt eine Manipulation zwar irgendwann auf, aber man kann trotzdem eine Menge unsinn anstellen. Und wenn man nur im Vorbeigehen anderen Nutzern ihre Karten entwertet und somit den Leuten einen Schaden verursacht.

    Tolle Entscheider gibts hier. Eine neue Unicard ist wohl seit Jahren geplant, aber noch nicht komplett ausgerollt.
    Und Forscher werden bei uns bei sowas nicht gefragt. Es wird nur von extern irgendwo eingekauft. Je teurer, desto besser.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  2. Re: An der Uni Bielefeld bereits lange geknackt...

    Autor paradigmshift 30.12.12 - 23:03

    foo1337bar schrieb:
    --------------------------------------------------------------------------------
    > wenn man nur im Vorbeigehen anderen Nutzern ihre Karten entwertet und somit
    > den Leuten einen Schaden verursacht.

    Und gegen solche Parasiten gibt es bereits screening folien die man sich zum Schutz in sein Portemonnaie einlegen kann.

    Was soll ich zu der anderen Story sagen? Man kann auch per Skimming den Inhalt einer Karte dumpen. Selbst passive RFID-Tags mit push button helfen da nicht.

    Da hilft nur so einem neunmalklugen "Hacker" mit einem Rohrstock solange auf die Finger klopfen bis er es lernt zu lassen. Sicherheitsrelevante Daten online zu Stellen nur um einen Vorfall zu provozieren ist ziemlich asozial und verhaltensauffällig.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  3. Re: An der Uni Bielefeld bereits lange geknackt...

    Autor theonlyone 31.12.12 - 03:04

    Ich bin überzeugt man konnte ein Semester Informatik eine Projektarbeit machen um ein solches Kartensystem "brauchbar" zu etablieren.

    da hat man gleich mal seine 100 Leute und das Ergebnis wird brauchbar sein.


    Allemal besser als teuren Müll zu kaufen der dann sowieso wieder nutzlos ist.



    ABER, das ganze passiert irgendwie auch nur in Informatik Lehrgängen, die anderen kommen meist gar nicht auf die idee das es Sicherheitsprobleme geben könnte.

    An absolut jeder Hochschule und Universität wurden die Kartensysteme geknackt und Karten kopiert / Geldkonten darauf aufgeladen usw. usw.


    Klar ist das "illegal" , aber irgendwo lernt man ja genau das an der Hochschule, da erwartet man schon das die Schule selbst noch etwas schlauer ist als ihre Studenten.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  4. Re: An der Uni Bielefeld bereits lange geknackt...

    Autor JulesCain 31.12.12 - 11:23

    paradigmshift schrieb:
    --------------------------------------------------------------------------------
    > foo1337bar schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > wenn man nur im Vorbeigehen anderen Nutzern ihre Karten entwertet und
    > somit
    > > den Leuten einen Schaden verursacht.
    >
    > Und gegen solche Parasiten gibt es bereits screening folien die man sich
    > zum Schutz in sein Portemonnaie einlegen kann.
    >
    > Was soll ich zu der anderen Story sagen? Man kann auch per Skimming den
    > Inhalt einer Karte dumpen. Selbst passive RFID-Tags mit push button helfen
    > da nicht.

    Eben darum wurde die RFID-Chip Technologie von Anfang an kritisiert. Sicherheitslücken müssen nicht zwingend ausgenutzt werden, könnten aber. Ich finde das in diesem Fall eher banal. Gerade Universitäten dürften sich heutzutage über nix mehr beschweren...in den 60gern hätte die Uni gebrannt bei so einem Vorfall. Die Nutzer sollten aber unbedingt weiter aufgeklärt werden. Das ist deren/unser Recht zu wissen, wie etwas missbraucht werden kann. Wie entscheidend so etwas sein kann, kann man sich ja beispielsweise in Amerika mit den Wahl-o-Maten angucken...-.-

    >
    > Da hilft nur so einem neunmalklugen "Hacker" mit einem Rohrstock solange
    > auf die Finger klopfen bis er es lernt zu lassen. Sicherheitsrelevante
    > Daten online zu Stellen nur um einen Vorfall zu provozieren ist ziemlich
    > asozial und verhaltensauffällig.

    Ach seltsam, beim Thema Datenschutz springen sofort alle an die Decke und regen sich auf. Da gibts direkt Klagen vom Verbraucherschutz, Leute investieren unfassbar viel Zeit um "Lücken" in den AGB´s zu entdecken etc. pp. ..aber sobald das Wort "Hacker" fällt (der Begriff wird heute vollkommen missverstanden btw.), sind es sofort "böse böse" Menschen die nur böses wollen.
    Ich kontere da einfach mal mit: Schubladendenken, Scheuklappenblick, glaube an dass, was im Internet und in den Medien gesagt wird, Mangel an der Kritikfähigkeit. Anders gesagt, die Gesellschaft nimmt alles hin, was ihr vorgeworfen wird und glaubt auch noch an den Scheiss, ohne auch nur ansatzweise mal etwas kritisch zu hinterfragen. Willkommen bei RTL, SAT1 und Pro7.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  5. Re: An der Uni Bielefeld bereits lange geknackt...

    Autor brotherelf 31.12.12 - 19:27

    theonlyone schrieb:
    --------------------------------------------------------------------------------
    > Ich bin überzeugt man konnte ein Semester Informatik eine Projektarbeit
    > machen um ein solches Kartensystem "brauchbar" zu etablieren.
    >
    > da hat man gleich mal seine 100 Leute und das Ergebnis wird brauchbar
    > sein.

    Deine Lösung dafür, dass existierende geldbewegende Systeme angreifbar sind, besteht darin, dass Studenten entwickeln zu lassen?
    Lass' überlegen... besser nicht! Von deinen 100 Studenten sind nämlich geraten 70 nicht in der Lage, so etwas aufzustellen, mindestens, weil sie keine Projekterfahrung haben. (Ist ja auch in Ordnung, muss man auch irgendwo lernen.) Die darfst du aber aus einer Lehrveranstaltung nicht rauskanten, sondern musst die auch mit irgendetwas auf vergleichbarem Niveau ablenken. Von den anderen 30 sind dann 15 Frickelkinder der einen oder anderen Sorte. Die sind auch nicht viel besser, halten sich aber für Hochtemperaturexkrement, weil sie mal ein Ticket gegen Firefox/Emacs/Linux-Kernel aufgemacht haben. Auf vorgegebene Außenschnittstellen haben die doch auch eher weniger Bock.

    Und wer macht eigentlich Support, wenn die alle in zwei Jahren von der Uni weg sind? (Und, ja, wen kann man in Regreß nehmen, wenn man Angriffsverluste nicht schlucken will?) Da hätte man doch lieber einen Vertrag auf 5-8 Jahre von einer Firma. Die schreibt vorher nämlich auch ein Angebot, das muss ja alles ausgeschrieben werden.

    Benutzer wird von Ihnen ignoriert. Anzeigen

Neues Thema Ansicht wechseln


Entschuldigung, nur registrierte Benutzer dürfen in diesem Forum schreiben. Klicken Sie hier um sich einzuloggen


Anzeige

Haben wir etwas übersehen?

E-Mail an news@golem.de


Ascend Mate 7 im Test: Huaweis fast makelloses Topsmartphone
Ascend Mate 7 im Test
Huaweis fast makelloses Topsmartphone
  1. Cloud Congress 2014 Huawei verkauft Intel-Standardserver nur als Türöffner
  2. Huawei Cloud Congress Huawei will weltweit der führende IT-Konzern werden
  3. Ascend G7 Huawei-Smartphone mit 13-Megapixel-Kamera für 300 Euro

Onlinebestellung: Media Markt eröffnet ersten Drive-in
Onlinebestellung
Media Markt eröffnet ersten Drive-in
  1. Preisvergleich Ergebnisse in Preissuchmaschinen nicht zuverlässig
  2. Prepaid Media Markt und Saturn starten eigenen Mobilfunktarif

Photokina 2014: Olympus stellt Open-Source-Kamerakonzept vor
Photokina 2014
Olympus stellt Open-Source-Kamerakonzept vor
  1. Sony, Panasonic, JVC Hightech-Unternehmen auf der Suche nach sich selbst
  2. Olympus Pen E-PL7 Systemkamera für Selfies

  1. Thaw: Das Smartphone schnappt Dateien vom Bildschirm
    Thaw
    Das Smartphone schnappt Dateien vom Bildschirm

    Eine direkte Interaktion zwischen Smartphone und Computer soll das System Thaw ermöglichen, das Forscher am MIT entwickelt haben. Der Nutzer kann das Smartphone beispielsweise dazu nutzen, Inhalte auf dem Bildschirm zu manipulieren oder nahtlos zwischen Computer und Mobilgerät auszutauschen.

  2. Threshold: Beta von Windows 9 erst im Oktober 2014, aber mit Startmenü
    Threshold
    Beta von Windows 9 erst im Oktober 2014, aber mit Startmenü

    Nicht mehr im September, sondern erst im Oktober 2014 soll es die Technical Preview von Windows 9 geben, berichtet Paul Thurrott. Der seit Jahrzehnten aktive Windows-Kenner zeigt zudem in Screenshots zahlreiche neue Funktionen inklusive Startmenü und Home-Ordner.

  3. Neue AGB: Kickstarter klärt Regeln für gescheiterte Projekte
    Neue AGB
    Kickstarter klärt Regeln für gescheiterte Projekte

    Sie sind nicht geändert worden, dafür klarer formuliert: Kickstarter hat seine AGB aktualisiert. Der Crowdfunding-Anbieter erklärt noch einmal genau, was passieren muss, wenn Projekte scheitern.


  1. 18:55

  2. 18:08

  3. 18:01

  4. 17:44

  5. 16:56

  6. 15:25

  7. 15:23

  8. 15:11