1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › NFC: Neuer Reisepass lässt sich per…

Schnell alle Giro- und Kreditkarten mit PIN verbieten..

  1. Thema

Neues Thema Ansicht wechseln


  1. Schnell alle Giro- und Kreditkarten mit PIN verbieten..

    Autor: Anonymer Nutzer 01.03.17 - 22:37

    ...deren PIN hat sogar nur vier Stellen, statt sechs Stellen, wie die CAN (=PIN). Und oh Schreck, mit den NFC Zahlkarten können sogar Zahlungen bis zu gewissen Grenzen ohne PIN ausgelöst werden.

    Und noch schlimmer, wer den Pass in der Hand hat, der hat ja damit auch die PIN zum Pass und kann... damit genau das per NFC auslesen, was auch im Pass steht.

    Halt, moment, die Aluhüte müssen mir nochmal erklären, wo genau jetzt das Problem ist?

  2. Re: Schnell alle Giro- und Kreditkarten mit PIN verbieten..

    Autor: smirg0l 02.03.17 - 14:55

    > Halt, moment, die Aluhüte müssen mir nochmal erklären, wo genau jetzt das Problem ist?
    Ich verweise an Kant: "Habe Mut..."

  3. Re: Schnell alle Giro- und Kreditkarten mit PIN verbieten..

    Autor: /mecki78 02.03.17 - 22:31

    Anonymer Nutzer schrieb:
    --------------------------------------------------------------------------------
    > ...deren PIN hat sogar nur vier Stellen, statt sechs Stellen, wie die CAN
    > (=PIN).

    Aber du hast bei EC und Kreditkarten auch nur 3 Versuche. In 3 Versuchen eine 4 stellige Zahl zu erraten, das ist eine Trefferwahrscheinlichkeit von 3:10000 Und jeder Falschversuch wird übrigens auf der Karte gespeichert und online im Banknetz. Selbst wenn du den Zähler auf der Karte überwinden kannst, der Bankautomat weiß trotzdem, dass du an einem anderen Automaten es gestern schon 2x probiert hast. Beim dritten Fehler zieht der Automat die Karte ein bzw. auch wenn nicht, ist sie danach automatisch gesperrt.

    Wie viele versuchen hast du bei der CAN? Unendlich.

    Gibt es keine Fehlerzähler auf dem Chip? Nein. Woher ich das weiß? Steht so im Standard, der ja für jedermann offen einsehbar ist. Da wird explizit gefordert, dass es KEINEN Fehlerzähler bei der CAN geben darf.

    Gut, die Karte weiß es nicht aber das Netzwerk weiß es doch? Welches Netzwerk? Da ist kein Netzwerk! Da ist die Karte und das Lesegerät und das kann im einfachsten Fall (siehe Überschrift) ein Handy sein. Niemand kriegt hier mit, wenn du schon 1000 falsche CANs probiert hast.

    Da wird auch nichts irgendwann gesperrt, der Ausweis wird nicht ungültig. Du kannst den Ausweis 24 Stunden am Tag mit falschen CAN Anfragen bombardieren, da passiert rein gar nichts... d.h. außer du erwischt zufällig die richtige CAN, dann hast du ihn entsichert und Zugriff auf die Daten.

    Und NFC funktioniert auch wenn der Ausweis in deiner Jackentasche ist, den muss man nicht dafür raus holen. Dein Argument "Der Angreifer hätte das Teil ja eh in der Hand" ist eben falsch. Es funktioniert dem Standard nach mindestens auf einen Entfernung von 10-15 cm. Ich muss also nur neben dir stehen... oder direkt hinter dir... in der U-Bahn, an der Supermarktkasse, auf der Rolltreppe, im Aufzug.

    Und diese 10-15 cm gelten nur wenn sich alle Seiten an den Standard halten, also die Karten (und die werden das tun), wie auch das Lesegerät... nicht das es schwer wäre eine Lesegerät zu bauen, dass sich nicht an den Standard hält bzw. eines einfach nur zu modifizieren. Nicht dass das nicht schon mal jemand gemacht hätte und bewiesen hat, mit einem entsprechenden nicht-standardkonformen Lesegerät geht das auch problemlos 1-2 Meter weit. War das nicht sogar der CCC?

    Aber so ein manipuliertes Lesegerät wäre illegal? Ja, klar wäre es das. Es würde keine Zulassung in Deutschland bekommen und wer so etwas einsetzt, der macht sich strafbar. Und? Warum nennen wir "Kriminelle" so? Weil sie sich immer brav an das Gesetz halten und nie etwas tun, das strafbare Konsequenzen nach sich zieht? Denkst du die machen sich jetzt vor lauter Angst in die Hose, weil sie hier eine Ordnungswidrigkeit begehen, die nur mit einer Geldbuße geahndet wird? Kann denen doch Wurst sein, zahlen sie mit dem Geld von deinem leergeräumten Girokonto.

    > Halt, moment, die Aluhüte müssen mir nochmal erklären, wo genau jetzt das
    > Problem ist?

    Siehe oben. Von Sicherheitsarchitektur genauso viel Ahnung haben wie eine Scheibe Toastbrot, aber die Leute, die wirklich Ahnung haben als Aluhüte zu diffamieren, ja, das haben wir gerne.

    /Mecki

  4. Re: Schnell alle Giro- und Kreditkarten mit PIN verbieten..

    Autor: Anonymer Nutzer 03.03.17 - 12:22

    Bedenke, dass du nur das auslesen kannst, was eh im Pass steht. Wenn ich den Ausweis von jemanden will, dann ist es wesentlich leichter, ihn einfach zu klauen und nicht den Chip per Brute Force lesbar zu machen. Veränderlich wird er dadurch im Übrigen ja trotzdem nicht. Und daher ist das ja solch ein Schlag ins Kontor für Passfälscher. Der deutsche Reisepass ist der wertvollste der Welt, mit keinem anderen (!) kannst du in soviele andere Länder visafrei einreisen und dich frei als Besucher bewegen. Er wird besonders gern gestohlen, deswegen hat man den Chip eingeführt und verfeinert das jetzt nochmal. Denn die Plastikkarte usw. kann jemand mit hohem Aufwand und krimineller Energie durchaus verfälschen oder fälschen und so aus einem echten Reisepass durch Manipulation einen gefälschten machen. Aber den Chip können sie nicht verändern. Und wenn die Infos auf dem Chip mit den Infos, die im Pass mit bloßem Auge zu sehen sind, nicht mehr übereinstimmen, dann ist klar, hier wurde gefälscht.

    Um diesen Abgleich möglichst routiniert durchzuführen ist RFID sehr sinnvoll, wie es auch sinnvoll ist, den Zugang mit möglichst vielen Ländern zu teilen. Wie gesagt, die kriegen keine Infos, die sie nicht auch so kriegen und es wird nicht "der Fingerabdruck" wie eine JPG Datei auf der SD Karte einer Kamera abgespeichert, sondern es wird eine Prüfsumme abgespeichert, aus der man auch keinen vollständigen Fingerabdruck rekonstruieren kann.

    Sorry, man kann überall, wenn man sich anstrengt, Probleme erkennen. Aber hier hat der Staat ausnahmsweise mal IT technisch wirklich solide gearbeitet. Die CAN ist eigentlich nur dahingehend überhaupt wichtig gewesen, damit nicht massenhaft per sniffing Bewegungsprofile erstellt werden können. Für Brute Force ggü der CAN muss auch eine ständige Verbindung bestehen. Kannst ja mal ausrechnen, wie lange solch ein Durchprobieren von Kombinationen dauert, wie lange du also unbemerkt zumindest mit einem Laptop o. ä, in unmittelbarer Nähe, vgl RFID Reichweite, eines Passträgers bleiben musst. Ohne, dass das irgendwie verdächtig wirkt. Und wenn du das geschafft hast, dann hast du die Daten, die du auch hast, wenn du seinen Pass liest oder klaust und liest, zzgl. Prüfsumme des Fingerabdrucks.

    Ich fand da ehrlich gesagt den elektronischen Personalausweis schon immer problematischer. Denn damit kann man rechtsgültige Verträge abschließen oder Anträge an Behörden stellen. Mit dem Pass nicht. Auf den Pass stürzen sich alle nur so wegen dem Stichwort Fingerabdruck und weil das an irgendwelche Romane von Orwell erinnert. Die reale, nüchterne Gefahr sehe ich aber viel mehr im Personalausweis. Wenn der abhanden kommt und jemand den PIN kennt und den Ausweis einsetzt, bevor er gesperrt wurde, dann hat man u. U. ein riesiges Problem an der Backe.

    Und im Gegensatz zu EC- und Kreditkarten übernimmt der Staat da auch keinerlei Haftung, zB bei einer verlorenen Kreditkarte ist auch der Mißbrauch bis zur Sperrung auf eine gewisse Haftungsgrenze gedeckelt, meist 150 ¤. Sowas gibts beim elektronischen Personalausweis nicht. Du bist voll in der Haftung, bis zur Sperrung, wenn damit Mißbrauch betrieben wird. Und wenn man den Diebstahl vielleicht erst Tage oder Wochen später bemerkt, wie oft checkt man schon ob der Perso noch da ist, dann ist man erst recht dran, weil das sei ja fahrlässig und die Prüfung obliege dem Bürger usw.

    Darum ist man IMHO mit dem Klammerbeutel gepudert die elektronischen Funktionen des Persos aktivieren zu lassen.

  5. Re: Schnell alle Giro- und Kreditkarten mit PIN verbieten..

    Autor: /mecki78 03.03.17 - 16:22

    cier schrieb:
    --------------------------------------------------------------------------------
    > Bedenke, dass du nur das auslesen kannst, was eh im Pass steht.

    Du kannst mit der CAN laut BSI-TR-03127 folgende Felder auslesen:

    - DG1 (MRZ),
    - DG2 (Gesichtsbild) der Biometrieanwendung
    - Daten der eID-Anwendung
    - DG3 (Fingerabdrücke) der Biometrieanwendung

    Außerdem kannst du mit der CAN folgende Aktionen durchführen:

    - Erzeugung qualifizierter Signaturen mit zusätzlicher Eingabe der Signatur-PIN
    - Setzen einer neuen Signatur-PIN mit zusätzlicher Eingabe der alten Signatur-PIN

    Optional kannst du folgendes machen, wobei nicht der Ausweis bestimmt ob du es kannst, sondern das Leseterminal und da ein Angreifer letzteres kontrolliert, kannst du immer folgendes machen:

    - Erzeugung eines Signaturschlüsselpaares
    - eID-PIN setzen, eID-Anwendung An-/Ausschalten
    - Pseudonym
    - Altersverifikation
    - Wohnortabfrage

    > Wenn ich
    > den Ausweis von jemanden will, dann ist es wesentlich leichter, ihn einfach
    > zu klauen und nicht den Chip per Brute Force lesbar zu machen.

    Wenn du ihn aber klaust, dann weiß derjenige das du ihn geklaut hast, weil er sich dann nicht mehr im Besitz des Ausweises befindet und das wird er früher oder später bemerken. Er kann dann den Verlust des Ausweises melden (ist er sogar zu verpflichtet), der damit auch sofort ungültig wird (kommt auf eine schwarze Liste), mit dem kommst du durch keine Grenzkontrolle mehr. Außerdem braucht du physischen Kontakt, du kannst niemand durch eine Fensterscheibe hindurch beklauen oder wenn er dir am Tisch außer Griffreichte gegenüber sitzt.

    Lese ich ihn nur aus der Entfernung aus, dann merkt das niemand. Und mit manipulierten Lesegeräten geht das problemlos über eine Tischlänge hinweg und sogar durch eine Fensterscheibe hindurch.

    > Aber den Chip können sie nicht verändern.

    Das hat auch nie irgendwer irgendwo zu irgend einen Zeitpunkt behauptet. Ich weiß also gar nicht wie du überhaupt darauf kommst? Darum ging es hier niemanden in dieser ganzen Diskussion.

    > Um diesen Abgleich möglichst routiniert durchzuführen ist RFID sehr
    > sinnvoll,

    Und ohne eine CAN wäre es noch genauso sinnvoll, weil dann würde man halt die den Hash der MRZ Daten nehmen, der geht nämlich genauso, nur im Gegensatz zur CAN ist der um Welten sicherer.

    Und würde man einen kleinen Schalter anbringen, den man erst drücken müsste, damit die Antenne mit dem Chip verbunden wird (Kostenpunkt 10 Cent pro Ausweis, Vergleich das mal mit dem aktuellen Preis, ist quasi gar nichts), dann wäre es sogar absolut unmöglich jemals diesen Ausweis auszulesen, wenn nicht jemand diesen Knopf drückt und eben kurz gedrückt hält, bis das Gerät fertig gelesen hat. Wo wäre da das Problem gewesen?

    Schau, mein Ausweis steckt in einer Schatzhülle aus Aluminium, Auslesen unmöglich, aber wenn ich will, dass den jemand auslesen kann (z.B. wenn ich auf einer Behörde bin), dann hol ich den einfach aus der Hülle raus. Hätte man Alu in den Umschlag vom neuen Reisepass gemacht, dann müsste man den zumindest aufklappen um ihn auszulesen.

    Schau, es sind so winzig lächerliche Details, für wenige Cent, mit denen man den Ausweis quasi "unknackbar" hätte machen können. Es gibt keinen ernsthaften Grund einen der drei gerade gemachten Vorschläge von mir nicht umzusetzen. Ergo kann der einzige Grund sein: Der Staat will gar nicht, dass der Ausweis sicher ist. Würde er das wollen, es wäre so unglaublich einfach.

    > Sorry, man kann überall, wenn man sich anstrengt, Probleme erkennen.

    Sorry, man kann aber auch überall mit Absicht immer die Augen vor reellen Problemen verschließen, nur gehen die sie davon nicht weg. Davon werden sie höchstens schlimmer und irgendwann mal kommt der Super-GAU und dann werden alle Experten sagen "Haben wir doch vom ersten Tag an vor gewarnt, oder?" Es ist lächerlich mit aller Gewalt Probleme zu ignorieren für die es so einfach und günstige Lösungen gegeben hätte. Davon profitiert wirklich niemand.

    > Für Brute Force ggü der CAN muss auch eine ständige
    > Verbindung bestehen.

    Unfug. Die CAN ändert sich ja nicht, wenn die Verbindung abbricht. Ich kann heute 10 CANs probieren und morgen 10 weitere. Wieso muss die Verbindung "ständig" bestehen? Die muss nur in genau dem Moment bestehen, wo ich eine CAN ausprobiere. Ich fahre z.B. jeden Tag mit den gleichen Leuten im Zug zur Arbeit (weil die auch jeden Tag mit dem gleichen Zug zur Arbeit fahren). Ich könnte also jeden Tag ein paar tausend Nummern probieren während der Fahrt, irgendwann werde ich schon eine erraten.

    > Kannst ja mal ausrechnen, wie lange solch ein
    > Durchprobieren von Kombinationen dauert,

    Ich zitiere mal:

    Das Schweizer Fernsehen hat bereits bewiesen, dass Schweizer Pässe innerhalb von vier Stunden ohne Wissen des Ausweisinhabers geknackt werden können. Nimmt die verfügbare Rechenleistung in den nächsten zehn Jahren so rapide zu wie in den letzten zehn Jahren, so wird sich diese Zeit bald auf wenige Minuten verkürzt haben. Laut einem Bericht des ZDF-Magazins WISO vom Februar 2009 bestehen in den Rechnern vieler Meldebehörden Sicherheitslücken, die es Hackern erlauben, in den Rechner einzudringen, Spionagesoftware zu installieren und damit Daten zu manipulieren. So sei es möglich, manipulierte Fingerabdrücke in andere Reisepässe einzutragen. Dem deutschen IT-Sicherheitsfachmann Lukas Grunwald ist es bereits gelungen, innerhalb von zwei Wochen einen Weg zu finden, wie man die Ausweisdaten aus einem beliebigen Elektronischen Reisepass auf einen anderen RFID-Chip kopieren kann.

    https://wiki.piratenpartei.de/Elektronischer_Personalausweis

    Mach dich doch bitte selber schlau im Netz. Du weißt ja anscheinend nicht einmal wie lange es dauern würde, stellst dich aber ernsthaft rotzfrech hier hin und behauptest, dass dieser Angriff nicht praktikabel ist? Nichtwissen ist auch Wissen, oder wie?

    Vielen von den "lächerlichen Szenarios", vor denen alle gewarnt haben, sind doch schon lange in der Praxis bewiesen worden. Muss denn immer erst etwas richtig schlimmes passieren, bevor man mal anfängt auf die Experten zu hören?

    Kreditkarten z.B. sind nicht sicher. Das wissen auch die Kreditkartenfirmen, aber das ist ihnen egal. Sie sind gegen Schäden versichert, die Zeche zahlt der Nutzer, am Ende hat niemand Geld verloren und das sich kriminelle jedes Jahr um Mio von Euro bereichern konnten, das ist den Firmen egal, denen geht es nur um ihren eigen Verdienst. Hier geht es aber "nur" um Geld.

    Hier geht es nicht um Identitätsdiebstahl, Missbrauch personenbezogener Daten, Zugriff auf biometrische Daten oder z.B. Gesundheitsdaten (bei der eGK). Daten gelten immer so lange als "sicher", bis sie irgendwo millionenfach im Netz auftauchen und hier ist dann ein nie wieder gut zu machender Schaden entstanden, weil diese Daten nie wieder "geheim" werden können, einmal offen, immer offen. Ich habe nur einen Namen, nur ein Gesicht und nur einen Satz Finger. Die Identität ist ein wichtiges Gut, ich kann sie nicht wechseln, wenn sie in falsche Hände gelangt, also muss sie auch das höchstmögliche Datenschutz Niveau erhalten... und von so einem Niveau sind die derzeitigen Dokumente meilenweit entfernt.

    /Mecki

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. NEW Niederrhein Energie und Wasser GmbH, Erkelenz
  2. Allianz Lebensversicherungs - AG, Stuttgart
  3. Allianz Deutschland AG, München Unterföhring
  4. Cooper Advertising GmbH, Hamburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 55€ (Vergleichspreis ca. 66€)
  2. 57€ (Vergleichspreis ca. 80€)
  3. (u. a. Intel Core i3-10300 tray für 109,90€ + 6,99€ Versand)


Haben wir etwas übersehen?

E-Mail an news@golem.de