Skip to: Content | Navigation | Footer

cpunk.de

a cypherpunk's log about debian linux, open source and encryption...

Fri, 28 Mar 2008

Chipkarten der Uni Göttingen unsicher

Wie heute die Netzeitung in einem Artikel veröffentlichte, wurde nun erstmals ein weit verbreiteter Funk-Chip des Typs MIFARE-Classic geknackt. Die Online-Zeitung bezieht sich damit auf einen Artikel in der aktuellen Ausgabe der Zeitschrift c't: Demnach war es den Experten möglich, die Verschlüsselung des entsprechenden RFID-Chips zu knacken, die darauf gespeicherten Daten auszulesen und zu kopieren.

Die Netzeitung erwähnt in ihrem Artikel wie beliebt dieser Chip sei, und dass möglicherweise Hunderttausende Studierende betroffen seien, die mit solchen Chipkarten beispielsweise in der Mensa bezahlen...

Auch die Universität Göttingen hat gerade vor wenigen Semestern auf Studierenden-Ausweise mit RFID-Chips umgestellt, und setzt dabei auf den Mifare-1-Chip, wie sie selbst auf ihrer Homepage kundtut, der eben jenem oben verlinkten Mifare-Classic entspricht. Auf den Chipkarten der Universität Göttingen sind nicht nur Matrikelnummer und Bibliotheksnummer der BesitzerInnen gespeichert, sondern werden diese auch als elektronische Geldbörse eingesetzt.

Das Sicherheitsmerkmal, das die Göttinger Universität veröffentlichte:

Ein Auslesen der Schlüssel während der Kommunikation des Chips mit einer Kartenleseeinheit wird durch Verschlüsselung dieser Kommunikation unterbunden.

ist also nun besser zu streichen. Währenddessen warten wir auf explosionsartig ansteigende Essensausgaben in der Mensa und Buchausleihen aus der Bibliothek - durch imaginäre DoppelgängerInnen nichtsahnender Studierender...

UPDATE I:
Nähere Informationen darüber, wie der Hack vonstatten ging, finden sich bei Karsten Nohl und in einem Vortrag des letzten Chaos Communications Congress, dem 24C3.
update via Vorlon

UPDATE II:
Interessant dazu dieser Artikel auf den Seiten von golem.de:

Die Verschlüsselung der weit verbreiteten MiFare-RFID-Chips des Herstellers NXP lässt sich in Sekundenschnelle brechen, ohne direkten Zugang zum Chip zu haben. Es genügt, die verschlüsselten Daten aus ein paar Metern Entfernung abzuhören.

Auch Heise titelt nun: Aus für RFID-System Mifare Classic?

posted at: 17:17 | path: /2008 | permanent link to this entry | 0 comments | Tags: rfid, ccc, *C3

Tue, 15 Jan 2008

Tatort und 24C3

Ersteres ist vielleicht nicht so ganz ontopic hier - aber alle Tatort-Fans wird's freuen: Ab morgen gibt es nun monatlich ein neues Hörspiel unter radiotatort.ard.de! Der Radio-Tatort spielt in neun Städten, und ist schon bis Dezember angekündigt. Den Start macht morgen um 20:05Uhr die Produktion des WDR mit Hauptkommissar Nadir Taraki in Düsseldorf. Weiter geht es dann am 13.02. mit dem LKA Magdeburg. Die Aufnahmen liegen jeweils im mp3-Format für eine Woche zum Download bereit.

Neues, und altes überarbeitetes Material kündigte auch Tim Pritlove vom 24C3 an. Alle bisher veröffentlichten Videos wurden nun noch einmal encoded, und bieten eine bessere Qualität. Drei Viertel der 100 Videos stehen schon zur Verfügung - schnell sollen es auch noch mehr werden... ;)
Die Aufnahmen gibt es als Direktdownload auf den Seiten des Chaosradios

posted at: 20:31 | path: /2008 | permanent link to this entry | 0 comments | Tags: *C3, podcast, ccc

Mon, 31 Dec 2007

24C3 - done

Das war's nun also wieder für dieses Jahr, nach vier Tagen ging der *C3 mal wieder zu Ende... Am letzten Tag waren viele Leute schon wieder abgereist, was wohl an dem nicht mehr ganz so attraktiven Programm des letzten Tages lag. Overtaking Proprietary Software Without Writing Code war noch ganz interessant, auch wenn mich die Vorstellungen des Vortragenden Olivier Cleynen nicht unbedingt begeistern konnten: Olivier von �GNU/Linux Matters� vertat im Großen und Ganzen die Ansicht, dass Linux-EntwicklerInnen weniger Wert auf Stabilität und Qualität ihrer Software legen, als vielmehr die Vermarktung im Auge behalten sollten. Unter den anschliessenden Wortmeldungen herrschte eher die Meinung vor, dass Linux im Grunde keine Vermarktung benötige, und massenhafte Verbreitung schließlich nicht alles sei.

Im Beitrag EU Policy on RFID & Privacy lieferte Andreas Krisch von edri.org zu konstruktive Vorschläge, um eine massenhafte Einführung von RFID-Chips ein wenig erträglicher zu machen - ohne eine grundlegend ablehnende Position gegen diese Technik einzunehmen.

Die weiteren beiden Beiträge bestärkten den Gesamteindruck vom Programm der letzten Tage: In Unusual Web Bugs bot kuza55 eine riesige Aufzählung von Bugs in PHP und Webapplikationen, der man nach kurzer Zeit schon nicht mehr folgen wollte/konnte. In I know who you clicked last summer langweilte Svenja Schröder durch die Stunde - ging eben nicht wie in der Ankündigung erwähnt auf Soziale Netzwerke wie MySpace, Facebook oder StudiVZ ein, sondern präsentierte viel Theorie und eine bei weitem nicht fertiggestellte Auswertung des Sputnik-Projekts auf dem 24C3...

Es mag im Vergleich zum letzten Kongress an der fehlenden vierten Zeitleiste gelegen haben, alles in allem gab es meinem subjektivem Eindruck nach [daher?] leider vermehrt langweilige und recht sinnfreie Vorträge, in denen viel Triviales aus dem Nähkästchen erzählt wurde, wie etwa in Die Wahrheit und was wirklich passierte, oder in Der Bundestrojaner. Andere Beiträge hingegen waren überkompliziert, wie Anonymity for 2015 und die oben erwähnten Unusual Web Bugs.

Lobend erwähnt seien hier hingegen durchaus noch Current events in Tor development, TOR, Toying with barcodes, Tracker fahrn, und auch Desperate House-Hackers - How to Hack the Pfandsystem... Ja, es gab ja doch auch wieder Gutes in den letzten Tagen, und letztere Aufzählung ist sicherlich nicht komplett... vielleicht sollte man sich allerdings während des 25C3 doch wieder eine weitere Zeitleiste gönnen.

posted at: 21:34 | path: /2007 | permanent link to this entry | 0 comments | Tags: *C3, ccc

Sat, 29 Dec 2007

24C3 - die dritte, tag 3

In seinem diesjährigen Vortrag auf dem 24C3 berichtete Roger Dingledine, der Entwickler des Anonymisierungstools Tor, über aktuelle Entwicklungen innerhalb des Tor-Projekts, beispielsweise der in der neuesten Tor-Version eingeführten Entry Guards... Aufgrund der in den letzten Monaten in D-Land vermehrten Repressionen gegen Tor-Serverbetreiber und der ab 2009 auch auf Anonymiesirer zukommenden Vorratsdatenspeicherung, sah es Dingledine als besonders wichtig an, gegen die Kriminalisierung des Betriebs solcher Server aktiv zu werden. In den nächsten Wochen wird der Entwickler daher in Kontakt mit deutschen Juristen treten, um sie für die Problematik zu sensibilisieren und Hilfe gegen die Beschlagnahmung von Tor-Servern zu finden. Er bat ausserdem eindringlich darum, ihm Juristen zu nennen, die der Thematik nicht gänzlich ignorant gegenüberstünden.

Im späteren Vortrag zum elektronischen Reisepass präsentierten am Abend Constanze Kurz und starbug als krönenden Abschluss einen Fingerabdruck Wolfgang Schäubles, der in naher Zukunft als Druckvorlage zum Download bereitgestellt werden soll, um es Interessierten zu ermöglichen, diesen für eigene Zwecke zu 'gebrauchen'... Vorgefertigte Schäuble-Abdrücke, die man sich bei Gelegenheit anlegen kann, soll es später sogar zu kaufen geben. Mal schauen also, in welchen Szenarien/an welch obskuren Orten in Zukunft auf einmal ein echter 'Schäuble auftaucht... :D

posted at: 21:54 | path: /2007 | permanent link to this entry | 0 comments | Tags: *C3, ccc, tor, vds

24C3 - Volldampf, die 2.

Zu viele Leute laufen hier herum, und sie alle wollen immer wieder in die selben Veranstaltungen [wie war das noch mit dem Schwarmverhalten? -> Tracker fahrn], wie bspw. zum kreativen Barcode hacking, meinem Favoriten für gestern.

Später dann gibt es noch sicherlich interessante "Current events in Tor development", nachdem wir nun gerade im Saal1 hören, was OpenSource mit dem Kapitalismus zu tun hat, und wie Novell und RedHat sich mit dem Markt arrangieren (was bisher alles ein wenig diffus daherkommt).

posted at: 12:19 | path: /2007 | permanent link to this entry | 0 comments | Tags: *C3, ccc

Fri, 28 Dec 2007

24C3 - Volldampf voraus!

Schlangestehen hat nun ersteinmal ein Ende, nachdem auch am Tag vor Eröffnung, am 26.12., nachts um halb2 anstehen angesagt war, um an die offensichtlich sehr begehrten Tickets zu kommen...

Das lokale wlan war am ersten Tag gnadenlos überfordert - drei- bis vierstellige Ping-Zahlen mussten leider hingenommen werden. Heute scheint das Netz wenigstens zeitweise ein wenig besser zu funktionieren - gelegentlich geht allerdings auch nun wieder kein einzelner Ping nach draußen.

Empfehlenswert für ein späteres Anschauen war bisher imho der Vortrag Tracker fahrn von Cristian Yxen, Denis und Erdgeist: sie berichteten recht unterhaltend über ihren opentracker, der inzwischen auch vom weltweit größten Torrent-Tracker thepiratebay.org genutzt wird, und deren Performance weit verbesert hat.

posted at: 12:34 | path: /2007 | permanent link to this entry | 0 comments | Tags: *C3, ccc, p2p

Mon, 17 Dec 2007

23C3 Dokumentation

Vor ein paar Tagen ist eine kleine knapp 9minütige Dokumentation über den letztjährigen Chaos Communication Congress des CCC online gegangen...

Wer also im Hinblick auf den 24C3 in diesem Jahr einen kleinen Vorgeschmack haben möchte, schaue sich einfach kurz das Video an. So ungefähr wird es vermutlich ja auch diesmal vom 27. bis 30.12. im Berliner Congress Centrum aussehen...

posted at: 00:01 | path: /2007 | permanent link to this entry | 0 comments | Tags: *C3, ccc

Tue, 16 Oct 2007

Schwerverbrechen: Reisepassbesitz

Heute gab der Chaos Computer Club e.V. (CCC) eine Presseerklärung heraus, in der die bald bei jeder Beantragung eines Reisepasses in D-Land anstehende Erhebung von Fingerabdrücken kritisiert wird. Die Fingerabdrücke sollen ab dem 1. November 2007 zusätzlich zum bereits auf dem RFID-Chip des Passes vorhandenen Digital-Passfoto gespeichert werden.

Wie der CCC berichtet, vertrauen nicht einmal Auswärtiges Amt und Bundeskriminalamt der Sicherheit dieser Technik:

Das Ausmaß der Gefahren für die Betroffenen durch biometrische Funkchips in Ausweisdokumenten illustrierte der Präsident des Bundeskriminalamts, Jörg Ziercke, höchstselbst. Trotz aller Beteuerungen seiner �Experten� dass die biometrischen Daten �sicher� auf dem funkenden Chip seien, trägt Ziercke seinen eigenen Reisepass in einer funkdichten Abschirmhülle.

Auch das Auswärtige Amt traut den Sicherheitsversprechungen des Bundesinnenministeriums nicht. Diplomatenpässe werden �wegen der besonderen Gefährdungslage� keine Funkchips enthalten. Der normale Bürger hingegen muss mit dem Sicherheitsrisiko ePass auf Reisen gehen.

Wer also nicht in 14 Tagen als SchwerverbrecherIn behandelt werden möchte, nur weil ein neuer Reisepass beantragt wird, sollte die verbleibende Zeit nutzen - und so den Maßnahmen entgehen, die hoffentlich einer anstehenden Verfassungsprüfung nicht standhalten werden.

posted at: 21:56 | path: /2007 | permanent link to this entry | 0 comments | Tags: ccc, anonymity

Fri, 31 Aug 2007

BKA-Gesetzentwurf veröffentlicht

Zwei Tage, nachdem die Antwortschreiben des Bundesinnenministeriums bzgl. des Bundestrojaners veröffentlicht wurden, bekam nun der Chaos Computer Club den Gesetzentwurf des BKA zugespielt - und der beinhaltet wahrlich ein paar Horrorvorhaben...
Der CCC schreibt in seiner Presseerklärung:

Darin ist u. a. vorgesehen, dass der Einsatz des Bundestrojaners auch ohne die Genehmigung eines Richters erfolgen soll, der normalerweise bei einem Grundrechtseingriff dieser Art obligatorisch ist. Durch die weitgehenden Befugnisse für die Ermittler entsteht der Eindruck, der Bundesinnenminister ignoriere die Vorgaben des Grundgesetzes vollständig.

Auch die Pflicht der Behörde, nach dem Ende von Überwachungsmaßnahmen die betroffenen Bürger zu benachrichtigen, wird durch den Gesetzentwurf weiter eingeschränkt.
[...]
Das BKA soll zudem personenbezogene Daten auch aus den Datenbeständen von Unternehmen erheben, speichern und verstärkt auf die erkennungsdienstliche Behandlung zurückgreifen dürfen. Für Ermittlungen ist der praktisch unregulierte Einsatz von Observationen auch mit Hilfe technischer Mittel vorgesehen. Dies beinhaltet die akustische und optische Überwachung der Betroffenen sowie den Einsatz von V-Leuten und verdeckten Ermittlern auch innerhalb von Wohnungen.

Eigentlich fand ich die Aktion �Stasi 2.0� bisher ja immer ein wenig unpassend... Aber wer obiges liest, muss so langsam wohl ins grübeln kommen, ob sie nicht doch genau den Punkt trifft.

posted at: 21:57 | path: /2007 | permanent link to this entry | 0 comments | Tags: anonymity, ccc

Mon, 16 Jul 2007

c-base will gerettet werden....!

Die c-base in Berlin hat momentan massive finanzielle Probleme, und steht womöglich sogar vor dem Aus. Wie ich gerade im hauptstadtblog lesen durfte, wurde der "Raumstation an der Jannowitzbrücke" aufgrund von Zahlungsrückständen der Mietvertrag gekündigt. Seit sich die Mieten infolge der Renovierungen des Hauses verdoppelt haben, Stromkosten und Ansprüche der Gema immer weiter steigen, sind die Probleme, die kultige Station auch kostendeckend zu betreiben, immer größer geworden.

Genutzt wurden die Räumlichkeiten bisher von unterschiedlichsten Gruppen und Projekten rund um Kunst und Musik sowie von Computerfreaks. BesucherInnen des alljährlichen Chaos Communication Congress kennen die c-base auf jeden Fall auch aufgrund ihrer coolen Congress-Party.

Trotz der 200 Mitglieder, die bisher hauptsächlich für die Finanzierung der Rämlichkeiten verantwortlich waren, wird es nun sehr eng. Das Projekt sucht dringend UnterstützerInnen, neue Mitglieder und SpenderInnen, die einen weiteren Betrieb noch sichern könnten!

Auf der Homepage der c-base zeigt der Spendenmonitor momentan 5.800€ von den benötigten 30.000€, und 245 von benötigten 400 Mitgliedern an. Um die Raumstation noch zu retten, fehlt also noch so einiges!

Den aktuellen Stand der Dinge, und Angaben zum Spendenkonto findet man auf den Seiten der c-base

posted at: 18:51 | path: /2007 | permanent link to this entry | 0 comments | Tags: ccc, random stuff

Mon, 09 Jul 2007

Hackerparagraph II - Hackeraktionismus I

Wie sich das ja eigentlich nicht gehört, bin ich diesmal sehr spät dran - nebenstehender Screenshot zeigt eine bereits drei Tage alte Seite...

Ich wollte aber doch noch auf diese kleine Protestaktion des Chaos Computer Club bezüglich des kürzlich in D-land beschlossenen Hackerparagraphen (202c StGB) hinweisen. Viele nützliche Tools zur Überprüfung der Sicherheit von Computernetzwerken sind nun also verboten, und haben ja bereits die Ersten Konsequenzen ziehen lassen. (s.u.)

Schön ist sie auf jeden Fall geworden, die neue Startseite des CCC... Es wird nichts bringen, aber wir wissen nun, dass sie zum Glück immer noch dagegen sind. ;)

posted at: 22:04 | path: /2007 | permanent link to this entry | 0 comments | Tags: hackerparagraf, ccc

Calendar:

<	March 2008					>
Mo	Tu	We	Th	Fr	Sa	Su
					1	2
3	4	5	6	7	8	9
10	11	12	13	14	15	16
17	18	19	20	21	22	23
24	25	26	27	28	29	30
31

Pages:

• Home
• Impressum
• Ripping DVDs: Mencoder
• Disclaimer
  • RSS 2.0
  • Atom
• Back to top

Search via Scroogle

this site  web    

Tags:

google wlan vds nvidia kde browser epiphany mutt linux anonymity jabber pyblosxom openmoko tor encryption gpg imap dsl urlview anonymity gnash *C3 rfid gpg pidgin tor hackerparagraf cpunk nanoblogger p2p ubuntu bsd podcast debian vds gnome cpunk random stuff random stuff fluxbox untagged ccc browser

Planets:

planet.unixfreunde
planet.göttingen

Archives:

• 08/10
• 07/10
• 03/10
• 01/10
• 10/09
• 07/09
• 03/09
• 01/09
• 12/08
• 11/08
• 10/08
• 09/08
• 08/08
• 07/08
• 06/08
• 05/08
• 04/08
• 03/08
• 02/08
• 01/08
• 12/07
• 11/07
• 10/07
• 09/07
• 08/07
• 07/07

Contact me | Back to top
© 2006 cpunk | Design by Andreas Viklund