Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › RFID: Ein Großteil der…

An der Uni Bielefeld bereits lange geknackt...

  1. Thema

Neues Thema Ansicht wechseln


  1. An der Uni Bielefeld bereits lange geknackt...

    Autor: foo1337bar 30.12.12 - 22:42

    An der Uni-Bielefeld wurden auch heute noch Mifare-Classic-Karten fuer Zutrittskontrolle und Bezahldienst benutzt.
    Besonders bescheuert: die Zutrittskontrolle fuer alle sensiblen Bereiche (Hochschulrechenzentrum Serverraeume, CITEC-Gebaeude usw.) als auch die Mensa- und Kopierkarten waren alle mit den selben Keys ausgestattet.

    Bereits 2009 hatten Studenten der Informatik ihre Mensakarten ausgelesen und als ID fuer ihr eigenes Projekt benutzt.
    Obwohl die Verantwortlichen mehrfach darauf Aufmerksam gemacht wurden, hat niemand etwas getan - ausser Drohungen auszustossen.

    Dann wurde ein Dump einer Karte eines Wachmannes im Internet veroeffentlicht.
    Ist immer noch da:
    http://de.pastebin.ca/2064260
    http://pastebin.ca/2061598

    Die Verantwortlichen haben auch da nicht reagiert. Nur "blah blah juristische Konsequenzen blah blah".

    Dann hat jemand diesen Dump auf eine Karte geschrieben und ist ins CITEC-Gebaeude damit gegangen und hat dort die Karte an die Wand geheftet.
    Da haben die Verantwortlichen auf einmal Ameisen im Ar*ch gehabt und sofort alle elektronischen Zutrittssysteme gesperrt. Mit der Konsequenz, dass auf einmal auch legitime Nutzer nicht mehr hereinkamen.

    Die kritischen Zutrittskontrollsysteme sind teilweise auf ein neues System umgeruestet worden; teilweise werden wieder mechanische Schluessel benutzt.

    Die Mensakarten mit der Bezahlfunktion sind weiterhin Mifare Classic.
    Angeblich gibt es da kein Risiko, da die Kontostaende auf den Karten gelegentlich online angegleicht werden. So faellt eine Manipulation zwar irgendwann auf, aber man kann trotzdem eine Menge unsinn anstellen. Und wenn man nur im Vorbeigehen anderen Nutzern ihre Karten entwertet und somit den Leuten einen Schaden verursacht.

    Tolle Entscheider gibts hier. Eine neue Unicard ist wohl seit Jahren geplant, aber noch nicht komplett ausgerollt.
    Und Forscher werden bei uns bei sowas nicht gefragt. Es wird nur von extern irgendwo eingekauft. Je teurer, desto besser.

  2. Re: An der Uni Bielefeld bereits lange geknackt...

    Autor: paradigmshift 30.12.12 - 23:03

    foo1337bar schrieb:
    --------------------------------------------------------------------------------
    > wenn man nur im Vorbeigehen anderen Nutzern ihre Karten entwertet und somit
    > den Leuten einen Schaden verursacht.

    Und gegen solche Parasiten gibt es bereits screening folien die man sich zum Schutz in sein Portemonnaie einlegen kann.

    Was soll ich zu der anderen Story sagen? Man kann auch per Skimming den Inhalt einer Karte dumpen. Selbst passive RFID-Tags mit push button helfen da nicht.

    Da hilft nur so einem neunmalklugen "Hacker" mit einem Rohrstock solange auf die Finger klopfen bis er es lernt zu lassen. Sicherheitsrelevante Daten online zu Stellen nur um einen Vorfall zu provozieren ist ziemlich asozial und verhaltensauffällig.

  3. Re: An der Uni Bielefeld bereits lange geknackt...

    Autor: theonlyone 31.12.12 - 03:04

    Ich bin überzeugt man konnte ein Semester Informatik eine Projektarbeit machen um ein solches Kartensystem "brauchbar" zu etablieren.

    da hat man gleich mal seine 100 Leute und das Ergebnis wird brauchbar sein.


    Allemal besser als teuren Müll zu kaufen der dann sowieso wieder nutzlos ist.



    ABER, das ganze passiert irgendwie auch nur in Informatik Lehrgängen, die anderen kommen meist gar nicht auf die idee das es Sicherheitsprobleme geben könnte.

    An absolut jeder Hochschule und Universität wurden die Kartensysteme geknackt und Karten kopiert / Geldkonten darauf aufgeladen usw. usw.


    Klar ist das "illegal" , aber irgendwo lernt man ja genau das an der Hochschule, da erwartet man schon das die Schule selbst noch etwas schlauer ist als ihre Studenten.

  4. Re: An der Uni Bielefeld bereits lange geknackt...

    Autor: JulesCain 31.12.12 - 11:23

    paradigmshift schrieb:
    --------------------------------------------------------------------------------
    > foo1337bar schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > wenn man nur im Vorbeigehen anderen Nutzern ihre Karten entwertet und
    > somit
    > > den Leuten einen Schaden verursacht.
    >
    > Und gegen solche Parasiten gibt es bereits screening folien die man sich
    > zum Schutz in sein Portemonnaie einlegen kann.
    >
    > Was soll ich zu der anderen Story sagen? Man kann auch per Skimming den
    > Inhalt einer Karte dumpen. Selbst passive RFID-Tags mit push button helfen
    > da nicht.

    Eben darum wurde die RFID-Chip Technologie von Anfang an kritisiert. Sicherheitslücken müssen nicht zwingend ausgenutzt werden, könnten aber. Ich finde das in diesem Fall eher banal. Gerade Universitäten dürften sich heutzutage über nix mehr beschweren...in den 60gern hätte die Uni gebrannt bei so einem Vorfall. Die Nutzer sollten aber unbedingt weiter aufgeklärt werden. Das ist deren/unser Recht zu wissen, wie etwas missbraucht werden kann. Wie entscheidend so etwas sein kann, kann man sich ja beispielsweise in Amerika mit den Wahl-o-Maten angucken...-.-

    >
    > Da hilft nur so einem neunmalklugen "Hacker" mit einem Rohrstock solange
    > auf die Finger klopfen bis er es lernt zu lassen. Sicherheitsrelevante
    > Daten online zu Stellen nur um einen Vorfall zu provozieren ist ziemlich
    > asozial und verhaltensauffällig.

    Ach seltsam, beim Thema Datenschutz springen sofort alle an die Decke und regen sich auf. Da gibts direkt Klagen vom Verbraucherschutz, Leute investieren unfassbar viel Zeit um "Lücken" in den AGB´s zu entdecken etc. pp. ..aber sobald das Wort "Hacker" fällt (der Begriff wird heute vollkommen missverstanden btw.), sind es sofort "böse böse" Menschen die nur böses wollen.
    Ich kontere da einfach mal mit: Schubladendenken, Scheuklappenblick, glaube an dass, was im Internet und in den Medien gesagt wird, Mangel an der Kritikfähigkeit. Anders gesagt, die Gesellschaft nimmt alles hin, was ihr vorgeworfen wird und glaubt auch noch an den Scheiss, ohne auch nur ansatzweise mal etwas kritisch zu hinterfragen. Willkommen bei RTL, SAT1 und Pro7.

  5. Re: An der Uni Bielefeld bereits lange geknackt...

    Autor: brotherelf 31.12.12 - 19:27

    theonlyone schrieb:
    --------------------------------------------------------------------------------
    > Ich bin überzeugt man konnte ein Semester Informatik eine Projektarbeit
    > machen um ein solches Kartensystem "brauchbar" zu etablieren.
    >
    > da hat man gleich mal seine 100 Leute und das Ergebnis wird brauchbar
    > sein.

    Deine Lösung dafür, dass existierende geldbewegende Systeme angreifbar sind, besteht darin, dass Studenten entwickeln zu lassen?
    Lass' überlegen... besser nicht! Von deinen 100 Studenten sind nämlich geraten 70 nicht in der Lage, so etwas aufzustellen, mindestens, weil sie keine Projekterfahrung haben. (Ist ja auch in Ordnung, muss man auch irgendwo lernen.) Die darfst du aber aus einer Lehrveranstaltung nicht rauskanten, sondern musst die auch mit irgendetwas auf vergleichbarem Niveau ablenken. Von den anderen 30 sind dann 15 Frickelkinder der einen oder anderen Sorte. Die sind auch nicht viel besser, halten sich aber für Hochtemperaturexkrement, weil sie mal ein Ticket gegen Firefox/Emacs/Linux-Kernel aufgemacht haben. Auf vorgegebene Außenschnittstellen haben die doch auch eher weniger Bock.

    Und wer macht eigentlich Support, wenn die alle in zwei Jahren von der Uni weg sind? (Und, ja, wen kann man in Regreß nehmen, wenn man Angriffsverluste nicht schlucken will?) Da hätte man doch lieber einen Vertrag auf 5-8 Jahre von einer Firma. Die schreibt vorher nämlich auch ein Angebot, das muss ja alles ausgeschrieben werden.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. BVG Berliner Verkehrsbetriebe, Berlin
  2. FANUC Deutschland GmbH, Neuhausen auf den Fildern
  3. Giesecke+Devrient GmbH, München
  4. implexis GmbH, verschiedene Standorte

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. täglich neue Deals


Haben wir etwas übersehen?

E-Mail an news@golem.de


EU-Urheberrechtsreform: Abmahnungen treffen "nur die Dummen"
EU-Urheberrechtsreform
Abmahnungen treffen "nur die Dummen"
  1. Leistungsschutzrecht EU-Kommission hält kritische Studie zurück
  2. Leistungsschutzrecht EU-Staaten uneins bei Urheberrechtsreform

Security: Das Jahr, in dem die Firmware brach
Security
Das Jahr, in dem die Firmware brach
  1. Wallet Programmierbare Kreditkarte mit ePaper, Akku und Mobilfunk
  2. Fehlalarm Falsche Raketenwarnung verunsichert Hawaii
  3. Asynchronous Ratcheting Tree Facebook demonstriert sicheren Gruppenchat für Apps

Computerforschung: Quantencomputer aus Silizium werden realistisch
Computerforschung
Quantencomputer aus Silizium werden realistisch
  1. Tangle Lake Intel zeigt 49-Qubit-Chip
  2. Die Woche im Video Alles kaputt
  3. Q# und QDK Microsoft veröffentlicht Entwicklungskit für Quantenrechner

  1. Breko: Waipu TV gibt es jetzt für alle Netzbetreiber
    Breko
    Waipu TV gibt es jetzt für alle Netzbetreiber

    Netzbetreiber können jetzt einfach Waipu TV anbieten. Sie müssen mit dem Betreiber Exaring ein Peering und eine Schnittstelle für das Management der Kundendaten einrichten.

  2. Magento: Kreditkartendaten von bis zu 40.000 Oneplus-Käufern kopiert
    Magento
    Kreditkartendaten von bis zu 40.000 Oneplus-Käufern kopiert

    Oneplus hat seine Untersuchung zu kopierten Kreditkarten abgeschlossen. Angreifer konnten wohl eine Schwachstelle für Cross-Site-Scripting ausnutzen.

  3. Games: US-Spielemarkt wächst 2017 zweistellig
    Games
    US-Spielemarkt wächst 2017 zweistellig

    "Spektakulär" findet der wichtigste US-Branchenverband das Wachstum von Gaming-Hardware und -Software im Jahr 2017. Mittlerweile beschäftigen die Unternehmen der Spieleindustrie mehr als 220.000 Mitarbeiter allein in den USA.


  1. 18:53

  2. 17:28

  3. 16:59

  4. 16:21

  5. 16:02

  6. 15:29

  7. 14:47

  8. 13:05