Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

November 01 2013

Happy birthday: 30 Jahre c’t

Wie der NDR berichtet, feiert das c’t- Magazin aus dem Heise-Verlag heute 30. Geburtstag. Wir gratulieren herzlich, wünschen viele weitere Jahre und freuen uns immer noch auf jede neue Ausgabe, die dann immer noch auf Papier gekauft wird.

Mehr zur Geschichte des Magazins, das ich seit Kindestagen kenne, gibt es beim NDR: 30 Jahre Heise-Ware: Das c’t Magazin.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 26 2013

Euro-Hawk: NSA hat die Kontrolle über Funkschlüssel zur Kommunikation mit der Drohne

eurohawkGestern berichteten wir über einen Bericht der Nachrichtenagentur Reuters, in dem berichtet wurde, dass die NSA an der Konstruktion der Aufklärungsdrohne Euro-Hawk der deutschen Bundeswehr beteiligt war und Komponenten für die Drohne lieferte. Wie nun heise berichtet, handelt es sich bei den gelieferten Komponenten um die Sende- und Empfangsanlage, mit der das Bodenpersonal mit der Drohne kommuniziert.

Demnach werden beim Start, der Landung und beim Streckenflug der Drohne Kryptoschlüssel benötigt, um mit der Drohne kommunizieren zu können. Diese Schlüssel werden vom Operator am Boden an die Drohne gesendet und von dieser in der Luft bestätigt. Wie heise nun berichtet, werden diese Schlüssel von der NSA generiert. Doch nicht nur die Kryptoschlüssel stammen von der NSA, auch die gesamte Sende- und Empfangsanlage zur Kommunikation stammt von der NSA. Die Begründung dafür:

So soll beim Euro Hawk wie bei den Global Hawks sichergestellt werden, dass die Drohnen nicht von Terroristen gekapert werden können.


In einer Sprechererklärung des Bundesverteidigungsministeriums heißt es, dass, zusätzlich zum Entwicklungsvertrag, “ergänzende „Foreign Military Sales“ (FMS)-Verträge mit der US Air Force und der National Security Agency geschlossen” wurden.

Als Lieferumfang wurden selektive Einzelkomponenten der Trägerplattform (z.B. Kommunikations-/Kryptogeräte) und selektive Unterstützungsleistungen, wie Beistellung von Erprobungseinrichtungen und -personal, vereinbart.

Ob noch weitere Komponenten des Euro-Hawk von der NSA stammen ist nicht klar. Sicher ist aber alleine durch diese Enthüllungen, dass die NSA zu jedem Zeitpunkt weiß, wann und wo sich die Drohne aufhält.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

July 22 2013

Millionen SIM-Karten durch veraltete Verschlüsselungstechnik gefährdet

SIM-Karten sind das Herzstück der mobilen Kommunikation. Ohne sie wäre keine Identifikation eines bestimmten Nutzers im Telekommunikationsnetz möglich. Zusätzlich wird das Gerät im Netz angemeldet und authentifiziert. Erst mit ihr ist die Anmeldung im Netz und damit auch die Kommunikation, möglich. Wie der deutsche Sicherheitsforscher Karsten Nohl nun aufzeigt, sind alleine in Deutschland mehrere Millionen SIM-Karten im Umlauf, welche mit einfachen Mitteln gekapert werden können. Weltweit schätz Nohl die Anzahl auf rund eine halbe Milliarde Karten, welche potenziell gefährdet sind.

Wie heise security berichtet, ist hierfür der Einsatz der veralteten Verschlüsselungstechnik DES verantwortlich. Diese bereits Anfang der 1970er Jahre entwickelte Verschlüsselungstechnik besitzt eine Schlüssellänge von lediglich 56 Bit. Auch wenn herkömmliche Rechner rund eine Jahr brauchen um einen DES-Schlüssel zu knacken, gibt es genügend moderne Hardware, wie die Rechenmaschine COPACOBANA, welche lediglich eine Woche benötigen. Wie heise security berichtet, ist Nohl mittlerweile in der Lage die Schlüssel in wenigem Minuten zu knacken:

Nohl [konnte] jedoch innerhalb eines Jahres große Tabellen mit Zwischenergebnissen für die Verschlüsselung berechnen, sodass er in der Lage ist, einen DES-Schlüssel einer SIM-Karte innerhalb weniger Minuten zu knacken (Known Plaintext Attack). Er muss dazu lediglich eine fehlerhaft signierte OTA-SMS an das Zielhandy schicken und dessen Antwort analysieren. Das funktionierte in einer konkreten Demo für heise Security auch völlig reibungslos.


OTA-SMS sind dabei verschlüsselte Nachrichten, die direkt an die SIM-Karte geschickt werden. Nachdem eine SIM-Karte auf diese Art und Weise gehackt wurde, stehen dem Eindringlinge alle normalen Funktionen einer SIM-Karte zur Verfügung, dazu gehören beispielsweise das Versenden von Premium-SMS oder aber auch das Orten des Mobiltelefons.

Doch damit leider noch nicht genug. Die kleinen Programme, welche auf einer SIM-Karte laufen, sind kleine Java-Applikationen, die eigentlich in einer virtuellen Maschine von der Außenwelt abgeschottet werden. Nohl fand jedoch bei einer Analyse dieser virtuellen Maschinen heraus, dass einige elementare Sicherheitsfunktionen nicht umgesetzt werden und es so ein leichtes ist einen Trojaner zu schreiben, welcher aus dieser virtuellen Maschine ausbrechen kann. Ein solcher Trojaner könnte anschließend beispielsweise den Master-Key einer SIM-Karte auslesen, mit dem eigentlich die sicherere Anmeldung im Netz gewährleistet wird. Die Folgen können verheerend sein, wie Nohl heise security demonstrierte:

Nohl demonstrierte diesen Angriff sehr eindrucksvoll, indem er heise Security mit einem Handy ohne SIM-Karte anrief. Als Anrufer erschien dabei die Nummer der zuvor via SMS gekaperten SIM-Karte, deren Master-Key er in seinen SIM-Karten-Simulator transferiert hatte.

Auch das Bezahlen per NFC ist laut heise security betroffen, da die Apps von Paypal, Visa und Co. die Bezahlvergänge auf der SIM-Karte autorisieren.

Wie viele SIM-Karten tatsächlich durch die Verschlüsselung per DES und die nachlässige Implentierung der virtuellen Maschine betroffen sind, kann nur schwer gesagt werden. Nohl geht von mehreren Millionen Karten in Deutschland und bis einer halben Milliarde Karte weltweit aus. In Deutschland sind aber nur ältere Karten von den Problemen betroffen, da die Provider in Deutschland seit einigen Jahren keine SIM-Karten mit DES-Verschlüsselung mehr verkaufen. Laut heise security ist die Lage im nahen europäischen Ausland aber bereits eine andere, da dort noch DES-Karten verkauft werden.

Die deutschen Mobilfunkprovider scheinen mittlerweile reagiert zu haben. Nachdem Nohl die Provider bereits vor einigen Monaten auf die Schwachstellen aufmerksam machte, haben diese damit begonnen die sogenannten OTA-SMS zu filtern. Da diese OTA-SMS nicht von normalen Mobiltelefonen versendet werden müssen, behalten es sich die Provider vor, SIM-Karten von denen dennoch OTA-SMS geschickt werden, zu sperren.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

September 02 2011

Heise.de verletzt Facebook-AGB

Der Lacher des Tages kommt von Facebook. Die haben sich bei Heise.de beschwert, weil die wiederum eine Möglichkeit präsentiert haben, den Facebook-Sharebutton datenschutzfreundlich als “2-Klick-Lösung” in die eigene Seite einzubauen. Heise dazu: Facebook beschwert sich über datenschutzfreundlichen 2-Klick-Button.

“Die Art und Weise wie Heise.de den Like Button eingebaut haben, verstößt gegen unsere Platform Policies” erklärte Tina Kulow von Facebook gegenüber heise online. In diesen Policies heißt es:

8. You must not use or make derivative use of Facebook icons, or use terms for Facebook features and functionality, if such use could confuse users into thinking that the reference is to Facebook features or functionality.

Frei übersetzt darf man man also Facebook-Icons nur für Facebook-Funktionen verwenden. Genau das ist bei der 2-Klick-Lösung jedoch der Fall.

Und nun lehnen wir uns mal zurück und sind gespannt, was Facebook unternehmen wird. Meine Wette ist: Da wird nichts kommen.

Anstatt selber datenschutzfreundliche Lösungen anzubieten, will Facebook jetzt gegen Alternativen vorgehen. Heise hat in einem Update nochmal erklärt, womit Facebook alles droht: u.a. damit, dass sie Heise.de auf eine Blacklist setzen würden, damit keine Links mehr über Facebook verteilt werden. Abgesehen davon, dass ich nicht daran glaube, dass Facebook das tatsächlich machen wird, ist diese Drohung schon ganz schön erschreckend. Damit zeigt Facebook zumindest als Drohung, dass man notfalls seine Marktmacht einsetzen will, um gegen Kritiker vorzugehen.

Bei DRadioWissen gibt es ein Gespräch mit Jürgen Kuri von der Computerzeitschrift c’t: “Gefällt mir” gefällt nicht allen.

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl