Identity exploit
Dieser Text ist im Cache von metaowl.de - das Original ist hier zu finden.
Dem deutschen Sicherheitsexperten Lukas Grunwald, der vor einem Jahr schon das Klonen deutscher RFID-Pässe demonstriert hat, ist es nun laut wired gelungen, die Lesegeräte für derartige Pässe und Ausweisdokumente zum Absturz zu bringen.
Er hält es auch für möglich, mittels code-injection Schadcode in die Auslesegeräte zu bringen:
Es sei daran erinnert: Für die Einführung des ePasses waren nach Schätzungen des Büro für Technikfolgen-Abschätzung beim Deutschen Bundestag Investitionen in Höhe von 669 Mio. Euro notwendig, sowie 610 Mio. Euro an laufenden jährlichen Kosten. Wohlgemerkt, das sind Schätzungen, die davon ausgehen, dass das eingeführte System zumindest so stabil ist, das es ein gewisses Maß an Stabilität liefert. Sollte sich nun herausstellen, dass sich mittels einfachem JPEG-Exploits durch einen Buffer-overflow das System aushebeln läßt, wie hoch werden die Kosten dann wohl jährlich steigen?
Wie lange wird es wohl dauern, bis die ersten ePass-Exploit-Constructionkits zur Verfügung stehen und sich ein neuer Volkssport entwickelt, a la "Wer bringt beim Grenzübertritt den lustigsten Bluescreen?"
Mehr dazu gibts dann auf dem DefCon bei Grunwalds Vortrag "First We Break Your Tag, Then We Break Your Systems".
Er hält es auch für möglich, mittels code-injection Schadcode in die Auslesegeräte zu bringen:
"If you're able to crash something you are most likely able to exploit it"- eine Sicherheitslücke mit erheblichen Risiken für die auf den Pässen gespeicherten biometrischen Daten von Millionen von Bürgern.
Es sei daran erinnert: Für die Einführung des ePasses waren nach Schätzungen des Büro für Technikfolgen-Abschätzung beim Deutschen Bundestag Investitionen in Höhe von 669 Mio. Euro notwendig, sowie 610 Mio. Euro an laufenden jährlichen Kosten. Wohlgemerkt, das sind Schätzungen, die davon ausgehen, dass das eingeführte System zumindest so stabil ist, das es ein gewisses Maß an Stabilität liefert. Sollte sich nun herausstellen, dass sich mittels einfachem JPEG-Exploits durch einen Buffer-overflow das System aushebeln läßt, wie hoch werden die Kosten dann wohl jährlich steigen?
Wie lange wird es wohl dauern, bis die ersten ePass-Exploit-Constructionkits zur Verfügung stehen und sich ein neuer Volkssport entwickelt, a la "Wer bringt beim Grenzübertritt den lustigsten Bluescreen?"
Mehr dazu gibts dann auf dem DefCon bei Grunwalds Vortrag "First We Break Your Tag, Then We Break Your Systems".
von Save-Privacy Blog - Sicherheit,
gepostet am Donnerstag, 2. August 2007 um 16:25
