cpunk - the cypherblog

Wie heute die Netzeitung in einem Artikel veröffentlichte, wurde nun erstmals ein weit verbreiteter Funk-Chip des Typs MIFARE-Classic geknackt. Die Online-Zeitung bezieht sich damit auf einen Artikel in der aktuellen Ausgabe der Zeitschrift c't: Demnach war es den Experten möglich, die Verschlüsselung des entsprechenden RFID-Chips zu knacken, die darauf gespeicherten Daten auszulesen und zu kopieren.

Die Netzeitung erwähnt in ihrem Artikel wie beliebt dieser Chip sei, und dass möglicherweise Hunderttausende Studierende betroffen seien, die mit solchen Chipkarten beispielsweise in der Mensa bezahlen...

Auch die Universität Göttingen hat gerade vor wenigen Semestern auf Studierenden-Ausweise mit RFID-Chips umgestellt, und setzt dabei auf den Mifare-1-Chip, wie sie selbst auf ihrer Homepage kundtut, der eben jenem oben verlinkten Mifare-Classic entspricht. Auf den Chipkarten der Universität Göttingen sind nicht nur Matrikelnummer und Bibliotheksnummer der BesitzerInnen gespeichert, sondern werden diese auch als elektronische Geldbörse eingesetzt.

Das Sicherheitsmerkmal, das die Göttinger Universität veröffentlichte:

Ein Auslesen der Schlüssel während der Kommunikation des Chips mit einer Kartenleseeinheit wird durch Verschlüsselung dieser Kommunikation unterbunden.

ist also nun besser zu streichen. Währenddessen warten wir auf explosionsartig ansteigende Essensausgaben in der Mensa und Buchausleihen aus der Bibliothek - durch imaginäre DoppelgängerInnen nichtsahnender Studierender...

UPDATE I:
Nähere Informationen darüber, wie der Hack vonstatten ging, finden sich bei Karsten Nohl und in einem Vortrag des letzten Chaos Communications Congress, dem 24C3.
update via Vorlon

UPDATE II:
Interessant dazu dieser Artikel auf den Seiten von golem.de:

Die Verschlüsselung der weit verbreiteten MiFare-RFID-Chips des Herstellers NXP lässt sich in Sekundenschnelle brechen, ohne direkten Zugang zum Chip zu haben. Es genügt, die verschlüsselten Daten aus ein paar Metern Entfernung abzuhören.

Auch Heise titelt nun: Aus für RFID-System Mifare Classic?

Einer der Hauptgründe, warum ich in der Vergangenheit ja nie den Browser Epiphany benutzt hab, war das fehlende Cookie-Management: Man konnte immer nur alle Cookies annehmen, oder alle abblocken - was wirklich nicht sehr praktikabel ist. Vor ein paar Tagen probierte ich schließlich mal die Erweiterungen aus, die man über das Paket epiphany-extensions installieren kann... Beim durchprobieren aller Möglichkeiten gelangte ich dann auch zu �Seitenrechte bearbeiten�, einer Erweiterung, die nicht mehr aktiv entwickelt wird, und im derzeitigen Zustand keinen Sinn zu machen schien...

Gibt man nun allerdings in die Adresszeile des Browsers about:config ein, und ändert in der Preference-Spalte die network.cookie.lifetimePolicy von 0 auf 1, wird man ab sofort gefragt, ob Cookies angenommen oder abgelehnt werden sollen, und ob diese Entscheidung auch in Zukunft gelten soll. Unter �Bearbeiten� - �Seitenrechte� kann man anschliessend den Status für jede Webseite anschauen und wieder verändern.

Ein Grund gegen diesen Browser ist nun also hinfällig geworden. Bleibt noch das von mir gewünschte Proxy-Management, das imho vom restlichen Gnome-System abgekoppelt sein sollte, damit man beispielsweise nicht auf einmal durch einen Klick mit wirklich allen Programmen durch Tor mit der Aussenwelt kommuniziert...

Heute habe ich nach langer Pause auf diesen Seiten erst einmal wieder zwei kleine Lesetipps:

Zum einen veröffentlichte die Jungle World in ihrer heute erschienen Ausgabe ein kleines Interview mit padeluun, dem Gründer des FoeBuD und wichtigem Vetreter des Arbeitskreis Vorratsdatenspeicherung. Das Interview thematisiert natürlich die aktuelle Entscheidung des Bundesverfassungsgerichts zur Vorratsdatenspeicherung, den AK Vorrat und allgemein staatliche Überwachungsmaßnahmen:

�B�rostrukturen statt Barrikaden�, padeluun, K�nstler und Netzaktivist.

Außerdem titelt die ver.di-Zeitschrift biwifo (Bildung, Wissenschaft und Forschung) heute mit �Big Brother auf dem Campus? Immer mehr Hochschulen f�hren elektronische Kontrollsysteme ein�. Es geht auf immerhin fünf Seiten um elektronische Überwachung Studierender durch RFID-funkende Chipkarten, Funkchips in Bibliotheken und EDV-Systeme zur Verwaltung der Lehrveranstaltungen... Das alles hätte ein wenig ausführlicher sein können, erfreulich aber ist natürlich, dass diese Thematik mitsamt Kritik überhaupt vermehrt in die Öffentlichkeit getragen wird. Die Ausgabe gibt es als pdf-Datei auf den biwifo-Seiten.

Da ich darüber auch in der Vergangenheit immer berichtet habe, hole ich diese bereits zwei Tage alte Info nun doch nochmal hervor... ;)

Miriam Ruiz gab die Veröffentlichung des Open Source Flashplayers Gnash 0.8.2 für Debian bekannt. Diese nach ganzen sieben Monaten gelieferte Neuversion soll nun Flash 8 weit besser unterstützen, und kann inzwischen auch mit Container-Formaten wie Ogg Vorbis/Theora umgehen. An der Unterstützung für Flash 9 und ActionScript 3 wird laut Ruiz noch weiter gearbeitet. Gnash 0.8.2 Benötigt allerdings noch ein paar neue Versionen von gstreamer-plugins für das Video-streaming - mitinstallieren also nicht vergessen...

Immer wieder wird einem erklärt, man könne gelöschte Dateien in einem ext3-Dateisystem nicht wieder herstellen... Das Gegenteil hingegen zeigt ein langes howto von Carlo Wood: Er beschreibt, wie er kürzlich aus Versehen 3GB Daten gelöscht, und wieder hergestellt hatte. Das Skript, welches er während seiner Wiederherstellungs-Erfahrungen schrieb, kann man per Mail bei ihm erfragen. Nebenbei erklärt Wood auch, wie überhaupt in einem ext3-System Dateien abgespeichert werden, und wie man sie mit diesen Informationen wiederholen kann.

Zu beachten ist allerdings, dass Woods Tool nur kürzlich gelöschte Daten wiederherstellt, und nichts f�r ein zerschossenes Dateisystem ist. Es werden auch nicht direkt alle Daten wieder hergestellt, sondern Kopien der gel�schten Dateien auf einer anderen Partition gemacht - so bleibt das Ursprungs-System erst einmal im Prinzip unangetastet.

Auf den Seiten von gulli.com findet sich seit gestern ein Hinweis auf eine Liste an Werken, deren Tausch in P2P-Börsen in letzter Zeit bevorzugt durch Anwäte abgemahnt wurden. Die Liste wurde von den Rechtsanwäten Wilde & Beuger zusammengestellt, und zeigt auf, dass vor allem der Tausch von Mainstream-Medien gefährlicher geworden ist, und auch Hörbücher zu den überwachten Werken gehören. Die Liste enthält deweiteren die aktiven Abmahnkanzleien sowie die entsprechenden Rechteinhaber, die vor allem auf den Plan treten.