SuchenNewsletter / HinweiseUnser Newsletter informiert Sie regelmäßig über Neuerungen bei unwatched.org, wie beispielsweise neue Ausgaben von EDRi-gram. Abbonieren Sie ihn hier: Gerne können Sie uns auch auf interessante Veranstaltungen und Webseiten hinweisen! kommende Termine
 EDRi-gram, Nr. 6.14, 16. Juli 2008 |
Klage gegen niederländische Universität um Veröffentlichungen über Chiptechnologien zu stoppen
1
Fr, 18/07/2008 - 18:32
Der niederländische Chip-Hersteller NXP Semiconductors hat die Niederländische Computersicherheitsgruppe der Radboud Universität in Nijmege geklagt, um die Veröffentlichungen von Forschungsergebnissen zu verhindern, die Sicherheitsmängel bei NXPx Mifare Classic wireless Chipkarten aufdecken, die in Transit- und Gebäudezugangssystemen in aller Welt zum Einsatz kommen. Die Technologie wird für das Transitsystem in den Niederlanden selbst eingesetzt, in den U-Bahnsystemen in London, Hong Kong und Boston sowie für Zugangskarten für Gebäude und Einrichtungen und deckt 80 Prozent des Marktes. Die Sicherheitsforscher der niederländischen Universität haben das Mifare System überprüft, das in den Oyster-Cards für die Verkehrsmittel in London eingesetzt werden; sie haben vor kurzem die Verschlüsselung einer Karte erfolgreich entschlüsselt und die Karte geklont. Sie haben Guthaben geladen und konnten sich damit in Londons Untergrundnetz frei bewegen. Dr. Bart Jacobs, Professor für Computersicherheit an der Universität zufolge kann die Verschlüsselung der Oyster Card mithilfe eines Computers und eines RFIDi-Lesers in wenigen Sekunden geknackt werden. „Wir müssen die Kommunikation zwischen einer Karte und einem Kartenlesegerät überwachen. Aus dieser Kommunikation können wir geheime kryptographische Schlüssel herausfiltern, die den Inhalt auf der Karte schützen. Sobald wir den Schlüssel haben, sind wir praktisch zum Besitzer der Karte geworden und können sie nach unseren Wünschen manipulieren,“ sagte Jacobs. Die Universität hat diesen März eine Stellungnahme herausgegeben, in der es heißt: „Da einige Karten geklont werden können, ist es prinzipiell möglich, sich mit einer gestohlenen Identität Zutritt in Häuser und Einrichtungen zu verschaffen. Dies wurde anhand eines realen Systems aufgezeigt.“ Jacob demonstrierte, wie man das Transitsystem von London kostenfrei benutzen kann. Er besorgte sich den Schlüssel, der vom Londoner Transitsystem verwendet wird; damit konnte er sich Karteninformationen auf seinen Laptop spielen, einfach indem er damit an Passagieren vorüberging, die Oyster-Cards bei sich trugen. Die Informationen wurden für einen Klon der Karte verwendet. Der Wissenschafter hat NXP die Gelegenheit gegeben, die Sicherheitsprobleme zu lösen und mit der Veröffentlichung und Präsentation der Ergebnisse einige Zeit gewartet, aber nachdem NXP sich nicht darum kümmerte, erklärte er sich mit den Plänen der Universität einverstanden, die Forschung zu veröffentlichen Die Forschung der niederländischen Universität gründet sich auf Karsten Nohls Werk, ein Absolvent der University of Virginia und Experte für die Sicherheit von NXP. „NXP hatte nun ein halbes Jahr Zeit, Informationen über die Sicherheitsmängel ihres Produkts herauszugeben; stattdessen haben sie den Großteil dieser Zeit damit verbracht, unsere Forschungen abzutun, die Forschung der niederländischen Gruppe von der Hand zu weisen und zu behaupten, das alles wäre rein theoretisch. Also, wenn überhaupt, hat NXP diese Art der öffentlichen Demonstrationen heraufbeschwört, da sie oft behauptet haben, dass „ja, in der Theorie könnte es unsicher sein, praktisch ist es jedoch sicher“. Hätten sie also die Fehlinformationen nicht aufrechterhalten (dass Mifare tatsächlich sicher sein könnte), hätte überhaupt niemand auf die niederländische Gruppe geachtet, die die Oyster-Card gehackt hat“, hieß es von Nohl. Die Veröffentlichung der Computersicherheitsgruppe platzte mitten in eine lange und hitzige Debatte im Niederländischen Parlament und in den Medien über die Vorteile großer Computersysteme, ihre Qualitäts- und Sicherheitsstandards und die Fähigkeiten der Regierung, diese Art von Projekten zu leiten. Die Veröffentlichung der Universitätsforschung könnte ganz wesentlich zu dieser Debatte beitragen. Die Entscheidung des Niederländischen Gerichtshofes wird am 17. Juli 2008 erwartet. Censoring Dutch Academia: Computer Security Scholars taken to Court (8.07.2008) Dutch chipmaker sues to silence security researchers (9.07.2008) Has London's Oyster travelcard system been cracked? (26.06.2008) Security Flaw in Mifare Classic - press release Digital Security group, Radboud University Nijmeg London transit cards cracked and cloned (26.06.2008) NXP sues academic research team - what are they afraid of? (10.07.2008) Trackback URL für diesen Eintrag:http://www.unwatched.org/trackback/1045
|
Werbung |