Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

January 22 2014

Mehr Informationsfreiheit wagen

fragdenstaat30c3Aus aktuellem Anlass empfehlen wir den informativen und unterhaltsamen Vortrag von Stefan Wehrmeyer, der beim 30C3 an vier Beispielen die Funktionsweise wie auch die Relevanz von Informationsfreiheitsgesetzen erklärte.

Einiges von dem, was wir über Drohneneinsätze in Deutschland, die Kommunikationsstrategie zum ePerso und die Aussagekraft des Zensus wissen, verdanken wir Informationsfreiheitsanfragen.

Auch die jetzt Ärger machende Stellungnahme zur Sperrklausel bei den Europawahlen kommt zur Sprache. Wie sich das Innenministerium bisher gewunden hat, ist mehr als ärgerlich – dass es auch positive Beispiele und kooperative Behörden gibt, wird im weiteren Verlauf aber auch deutlich.

Das Video gibt es beim CCC, wer will kann zum Schauen aber auch NSAtube verwenden.

Die Spendenseite von fragdenstaat.de findet man übrigens hier.

Wir wollen netzpolitik weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 27 2013

Basisleser weiterhin kritische Schwachstelle des elektronischen / neuen Personalausweises

image-123498-thumb302-jcti

Quelle: dapd

Report München der ARD wird heute Abend (21:45) einen Beitrag zur bekannten Sicherheitslücke des neuen bzw. elektronischen Personalausweises senden. Die grundsätzliche Strategie wurde 2011 von Jan Schejbal vorgestellt und basiert darauf, dass ein Keylogger die PIN während der Eingabe durch den Benutzer auslesen kann. Dies ist möglich, wenn der PC des Nutzers zum einen kompromittiert wurde (ein Keylogger muss installiert sein) und wenn zum anderen durch den Benutzer lediglich der ‘Basisleser’ eingesetzt wird – dieser Kartenleser, der standardmäßig und kostenlos verteilt wird, hat keine eigene Tastatur zur Eingabe der PIN.

Volker Birk des CCC hat in einem Test für Report München die Bildschirmtastatur des Benutzers mittels des Keyloggers ausgelesen und konnte danach – ohne Besitz des Ausweises – sensible Daten auslesen und hätte sogar ein Bankkonto unter dem Namen des Benutzers eröffnen können. Den verwendeten Keylogger hat der Chaos Computer Club Winterthur hier samt Quellcode veröffentlicht.

Das Programm ist ein einfacher Keylogger, der mit Hooks arbytet. Zusätzlich zum Aufzeichnen von Tastendrücken wartet es auf das Erscheinen der Bildschirmtastatur. Wird die bemerkt, so erstellt das Programm intern einen Screenshot – und schaut, welche Zahl auf welchem Feld ist. Mausklicks werden dann automatisch in die jeweils gedrückte Ziffer übersetzt. Die Ergebnisse sieht man in %TEMP%\clicky.log

Das grundsätzliche Problem ist, dass ein PC immer unsicher ist und relativ leicht infiziert werden kann – dadurch ist der Angriff auf die AusweisApp und somit den neuen Personalausweis auch relativ leicht möglich falls der Basisleser eingesetzt wird. Sinnvoller wäre es, wenn schon der Basisleser ein Keypad hätte. Bundesinnenminister Hans-Peter Friedrich wiegelt in der Sendung die Kritik mit der Aussage ab, dass Benutzer selbst dafür Sorge zu tragen haben, dass ihr PC ‘sicher’ ist.

Man muss eben auch dafür sorgen, dass man versucht, seinen Computer so gut wie möglich zu schützen. Insofern kann man nicht sagen, dass automatisch dieses Basismodell weniger Sicherheit bietet.

Es ist interessant, dass die Bundesregierung lieber eine PR Agentur engagiert, die den “elektronischen Perso” (ePerso) kurzer Hand in “neuen Perso” (nPA), um den Personalausweis in ein besseres Licht zu rücken, statt offensichtliche Sicherheitslücken zu beseitigen.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl