Skip to: Content | Navigation | Footer

cpunk.de

a cypherpunk's log about debian linux, open source and encryption...

Tue, 10 Mar 2009

Studentenwerk Göttingen empfiehlt: Stop RFID

Bildausschnitt: Webseite des Studentenwerks Göttingen.

An dieser Stelle wurde ja schon ein paar Mal über die unsicheren Studierenden-Chipkarten der Universität Göttingen geschrieben, und auch die Basisgruppe fIMP hat vor gar nicht so langer Zeit einen Kommentar dazu veröffentlicht. Nun scheint inzwischen auch dem Studentenwerk Göttingen selbst diese Chipkarte nicht mehr ganz geheuer zu sein: Wie man auf nebenstehendem Bild sehen kann, werden den Studierenden nun tatsächlich Schutzkästchen aus Metall angeboten, um sich vor dem ungewollten Auslesen der Karten zu schützen. Das lustigste an der Sache: Das Studentenwerk gab diese RFID-Karten selbst in Zusammenarbeit mit der Universität heraus - um nun ein paar Jahre später ausgerechnet Schutzhüllen mit dem Aufdruck »Stop RFID« zu verkaufen. Selbstironie at it's best eigentlich...

posted at: 18:53 | path: /2009 | permanent link to this entry | 0 comments | Tags: rfid

Sat, 12 Jul 2008

Mifare-Chipkarten kopieren

Wie einfach sich die Mifare-Chipkarten, die auch die Uni Göttingen für ihre Studierendenausweise einsetzt, kopieren lassen, zeigt ein kleines Video der Radboud-Universität Nijmwegen:

Die Herstellerfirma NXP is not amused...

posted at: 15:53 | path: /2008 | permanent link to this entry | 0 comments | Tags: rfid

Wed, 02 Jul 2008

Chipkarten mal wieder

Vor ein paar Monaten gab es hier schonmal nen Artikel zu rfid-Chipkarten:
Chipkarten der Uni Göttingen unsicher

Nun stieß mich aktuell ein Blogeintrag (�The big RFID shakeup�) wieder auf diese Geschichte: Es gelang aktuell durch einen recht einfachen Hack ein paar Niederländern, immerhin einen Tag lang die Londoner U-Bahn kostenlos nutzen zu können. Dazu kopierten sie, mit Laptop und Kartenleser ausgerüstet, einfach die funkenden Fahrkarten vorbeigehender Fahrgäste. Artikel darüber finden sich beispielsweise hier und hier.

Diese Geschichte hat das niederländische Innenministerium immerhin dazu bewogen, die 120.000 Chipkarten, die dort als Zugangskontrolle zu Gebäuden dienten, auszutauschen. Auch in Göttingen war es zumindest zeitweise möglich, an einem Kaffeeautomaten die Chipkarte mit den Daten eines anderen Benutzers komplett überschreiben zu lassen. Vollzieht man diesen Hack der Londoner Fahrkarten nach, sollte es im Grunde auch hier möglich sein, anderer Leute Chipkarten - ohne deren Wissen - zu kopieren und auf deren Kosten bezahlen zu können. Achja, die U-Bahn-Fahrkarten enthielten im übrigen den auch in Göttinger Studierendenausweisen verbauten Mifare-Chip. ;)

posted at: 16:27 | path: /2008 | permanent link to this entry | 0 comments | Tags: rfid

Fri, 28 Mar 2008

Chipkarten der Uni Göttingen unsicher

Wie heute die Netzeitung in einem Artikel veröffentlichte, wurde nun erstmals ein weit verbreiteter Funk-Chip des Typs MIFARE-Classic geknackt. Die Online-Zeitung bezieht sich damit auf einen Artikel in der aktuellen Ausgabe der Zeitschrift c't: Demnach war es den Experten möglich, die Verschlüsselung des entsprechenden RFID-Chips zu knacken, die darauf gespeicherten Daten auszulesen und zu kopieren.

Die Netzeitung erwähnt in ihrem Artikel wie beliebt dieser Chip sei, und dass möglicherweise Hunderttausende Studierende betroffen seien, die mit solchen Chipkarten beispielsweise in der Mensa bezahlen...

Auch die Universität Göttingen hat gerade vor wenigen Semestern auf Studierenden-Ausweise mit RFID-Chips umgestellt, und setzt dabei auf den Mifare-1-Chip, wie sie selbst auf ihrer Homepage kundtut, der eben jenem oben verlinkten Mifare-Classic entspricht. Auf den Chipkarten der Universität Göttingen sind nicht nur Matrikelnummer und Bibliotheksnummer der BesitzerInnen gespeichert, sondern werden diese auch als elektronische Geldbörse eingesetzt.

Das Sicherheitsmerkmal, das die Göttinger Universität veröffentlichte:

Ein Auslesen der Schlüssel während der Kommunikation des Chips mit einer Kartenleseeinheit wird durch Verschlüsselung dieser Kommunikation unterbunden.

ist also nun besser zu streichen. Währenddessen warten wir auf explosionsartig ansteigende Essensausgaben in der Mensa und Buchausleihen aus der Bibliothek - durch imaginäre DoppelgängerInnen nichtsahnender Studierender...

UPDATE I:
Nähere Informationen darüber, wie der Hack vonstatten ging, finden sich bei Karsten Nohl und in einem Vortrag des letzten Chaos Communications Congress, dem 24C3.
update via Vorlon

UPDATE II:
Interessant dazu dieser Artikel auf den Seiten von golem.de:

Die Verschlüsselung der weit verbreiteten MiFare-RFID-Chips des Herstellers NXP lässt sich in Sekundenschnelle brechen, ohne direkten Zugang zum Chip zu haben. Es genügt, die verschlüsselten Daten aus ein paar Metern Entfernung abzuhören.

Auch Heise titelt nun: Aus für RFID-System Mifare Classic?

posted at: 17:17 | path: /2008 | permanent link to this entry | 0 comments | Tags: rfid, ccc, *C3

Thu, 27 Mar 2008

RFID und Vorratsdatenspeicherung

Heute habe ich nach langer Pause auf diesen Seiten erst einmal wieder zwei kleine Lesetipps:

Zum einen veröffentlichte die Jungle World in ihrer heute erschienen Ausgabe ein kleines Interview mit padeluun, dem Gründer des FoeBuD und wichtigem Vetreter des Arbeitskreis Vorratsdatenspeicherung. Das Interview thematisiert natürlich die aktuelle Entscheidung des Bundesverfassungsgerichts zur Vorratsdatenspeicherung, den AK Vorrat und allgemein staatliche Überwachungsmaßnahmen:

�B�ukturen statt Barrikaden�, padeluun, K�r und Netzaktivist.

Außerdem titelt die ver.di-Zeitschrift biwifo (Bildung, Wissenschaft und Forschung) heute mit �Big Brother auf dem Campus? Immer mehr Hochschulen f�elektronische Kontrollsysteme ein�. Es geht auf immerhin fünf Seiten um elektronische Überwachung Studierender durch RFID-funkende Chipkarten, Funkchips in Bibliotheken und EDV-Systeme zur Verwaltung der Lehrveranstaltungen... Das alles hätte ein wenig ausführlicher sein können, erfreulich aber ist natürlich, dass diese Thematik mitsamt Kritik überhaupt vermehrt in die Öffentlichkeit getragen wird. Die Ausgabe gibt es als pdf-Datei auf den biwifo-Seiten.

posted at: 21:00 | path: /2008 | permanent link to this entry | 0 comments | Tags: rfid, vds

Wed, 01 Aug 2007

Hacken mit dem RFID-Chip

Sehr schön: Wie ich gerade auf gulli.com las, hat der RFID-Experte Lukas Grunwald eine Methode vorgestellt, mit der man durch manipulierte RFID-Chips die Lesegeräte zum Absturz bringen kann.

Grunewald hatte schon vor einem Jahr vorgeführt, wie man RFID-Pässe unauthorisiert auslesen, und die Chips klonen kann. Nun spielte er auf einen solchen Chip ein manipuliertes JPEG-Bild - und ließ damit zumindest zwei unterschiedliche RFID-Pass-Lesegeräte abstürzen.

In einem weiteren Schritt könnten Lesegeräte auch durch Code-Einschleusen manipuliert werden, die dann beispielsweise abgelaufene RFID-Pässe doch akzeptierten.
Vielleicht bringen also tolle Pässe doch nichts gegen die Terrorgefahr? Wir hätten's ja so gerne geglaubt...

posted at: 22:47 | path: /2007 | permanent link to this entry | 0 comments | Tags: rfid

Calendar:

<	March 2009					>
Mo	Tu	We	Th	Fr	Sa	Su
						1
2	3	4	5	6	7	8
9	10	11	12	13	14	15
16	17	18	19	20	21	22
23	24	25	26	27	28	29
30	31

Pages:

• Home
• Impressum
• Ripping DVDs: Mencoder
• Disclaimer
  • RSS 2.0
  • Atom
• Back to top

Search via Scroogle

this site  web    

Tags:

google wlan vds nvidia kde browser epiphany mutt linux anonymity jabber pyblosxom openmoko tor encryption gpg imap dsl urlview anonymity gnash *C3 rfid gpg pidgin tor hackerparagraf cpunk nanoblogger p2p ubuntu bsd podcast debian vds gnome cpunk random stuff random stuff fluxbox untagged ccc browser

Planets:

planet.unixfreunde
planet.göttingen

Archives:

• 08/10
• 07/10
• 03/10
• 01/10
• 10/09
• 07/09
• 03/09
• 01/09
• 12/08
• 11/08
• 10/08
• 09/08
• 08/08
• 07/08
• 06/08
• 05/08
• 04/08
• 03/08
• 02/08
• 01/08
• 12/07
• 11/07
• 10/07
• 09/07
• 08/07
• 07/07

Contact me | Back to top
© 2006 cpunk | Design by Andreas Viklund