E-Go, WTF? Datensicherheit…

 

E-Go heißt ja das “neue” System für Fahrkarten in Luxemburg, das die altbekannten Karton-Tickets ablösen soll, und wird.
Nun basiert dieses System auf RFID-Chips (Radio-frequency Identification). Bei diesem Wort stellen sich bei mir immer die Nackenhaare auf, aber dazu später mehr.

 

Wer sich über die Ziele von E-Go informieren will, kann sich den Artikel “„E-go“: Ein Dienst im Sinne der Kunden” vom Tageblatt mal zu Gemüte führen. Ich hätte mich gefreut, wenn sie etwas kritischer mit dem Thema umgegangen wären.
Ein zusätzliches Problem bei der Sache, außer der Tatsache daß man mit RFID prima Bewegungsprofile seiner Untertanen erstellen kann, ist daß der sogenannte “MIFARE“-Chip zum Einsatz kommt. Einen Satz aus diesem Wikipedia-Artikel will ich euch nicht vorenthalten:

 

Wie am 13. April 2008 bekannt wurde, hat eine Forschergruppe den Algorithmus analysiert und einen systematischen Fehler gefunden, der die Verschlüsselung praktisch nutzlos macht. Die Sicherheit des Algorithmus, so das Fazit der Forscher, sei „nahe Null“.

 

Daß der Mifare-Chip zum Einsatz kommt, steht hier (.pdf), genauer der 1k Chip. Hier auch ein interessanter Artikel über die Sicherheit von Mifare.
Wer noch interessierter ist, sollte sich den Podcast “Chaosradio Express 98″ vom CCC anhören. Dort wird erklärt wie der Chip in langer arbeit gehackt wurde und was das für uns bedeutet. Natürlich gibts das ganze zu Zeiten von Youtube natürlich auch in Videoform. Hier allerdings mit einem Zugangskontrollsystem. (Das ist ja noch schlimmer!) Viel Spaß:

 


Quelle

 

Und was heißt das im Klartext? – Juhu wir können alle gratis Bus fahren. – Nein!! Das ist nicht die Kernaussage dieses Beitrags! Außerdem wäre es dann nicht gratis, sondern auf Kosten eines anderen. Man könnte auch mit einer Denial-of-Service Attacke (Die RFID-Scanner in den Bussen/Zügen oder an Bahnhöhfen mit falschen Codes überfluten) Teile des öffentlichen Transports lahmlegen. Nun stellt euch so eine Attacke mal zu Stoßzeiten vor. – Ein einziges Chaos würde entstehen… Oder hier (Video), dort wird mit einem einfachen (falschen) RFID-Tag das Lesegerät außer Gefecht gesetzt. Was nun wenn sich ein paar Spaßvögel köstlich dabei amüsieren falsche Tags an die Lesegeräte in den Bussen oder an die Aufladestationen in den Bahnhöfen zu kleben? Was ist das für ein Aufwand jedes Mal jemanden kommen zu lassen der das untersucht? – Und das ist bei leibe die einfachste Art der RFID-Störung. Es gibt noch viele andere…

 

Hier noch eine kleine Anekdote:
Im Rahmen der “Mobilitätswoche” (glaube ich jedenfalls), stand auf der Place d’ Armes ein kleines Info-zelt. Darauf zu finden war auch das E-Go Logo. Ich konnte natürlich nicht anders, und bin da rein. Ich fragte an der “Theke” auf welchem Chip denn E-Go basiert. – Die Dame war ratlos. Fragen Sie mal ihn da, der weiß das! Da kam “Er” zufällig ins Zelt und ich fragte ihn das gleiche. Oh!, da haben sie mich gekriegt… Warten sie mal, ich rufe meinen Chef an. Der weiß das! Okay, na da bin ich aber mal gespannt. (Nicht dass der flasche Eindruck entsteht, die Menschen dort waren durchaus freundlich und sympathisch. Hilfsbereit obendrauf!)

 

Inzwischen war es still in dem Zelt geworden. Meine Freundin und ich (Und ein paar Angestellte) waren die einzigen zu dem Zeitpunkt dort. Er fragte also seinen Chef nach dem Chip, dieser antwortete promt: “RFID!”, der Telefonist antwortete mir ebenso gleich: “RFID…”. Ja okay, sagte ich, das weiß ich. Aber welche Art? Mifare? (Zu dem Zeitpunkt war ich mir noch nicht sicher.)
Mifare…?fragte er seinen Chef. – Er wußte es auch nicht. Und auch niemand anders in dem Zelt. “Hacken ist verboten.”, schallte es aus der Ecke. Hm… okay, dachte ich mir. (Warum denkt jeder bei “technischen” Fragen eigentlich gleich ans hacken, bzw. ans cracken?)
Er gab mir den Tip es mal bei der “Mobilitätszentrale” am Bahnhof zu versuchen, die würden das bestimmt wissen. Ich war an dem Tag nicht mehr dazu gekommen, werde das aber sicher nachholen.

 

Offenbar wußte niemand in dem Raum daß es um RFID geht, denn jeder war überrascht. Geschweige denn dass jemand wußte was RFID eigentlich ist… Immerhin war das Zelt ja dazu da die Menschen über E-Go zu informieren. Handelt es sich hier etwa um einen klassischen Fall von Security by Obscurity? – Ich denke das ist wohl eher ein Fall von Unwissenheit.

 

Warum hat es keinen Aufschrei gegeben, als bekannt wurde dass die eingesetzten Chips unbrauchbar sind? Warum wird bei der Ankündigung von E-Go mit keinem Wort darauf verwiesen? Vielleicht weil das Projekt 9 Jahre Zeit gebraucht hat um fertig zu werden, weil es 16,6 (!) Millionen Euro gekostet hat? Man könnte eigentlich auch gleich sagen: “Warum gibt es keine neutralen Medien in Luxemburg?” – Oder gehe ich da zu weit? Sagt’ s mir…

 

Weitere Infos:
Wer sich mal über den Unterschied von Hackern und Crackern (Und Skriptkiddies) informieren will, dem sei diese Seite ans Herz gelegt.

 

Oder aber diese Seite des CCC über die Auswirkungen von RFID auf den Datenschutz und die vielen (sehr sehr vielen!) negativen Aspekte. Oder hier, RFID beim Einkaufen.
Und für alles weitere ist Google wie immer euer Freund. – Moment, Google ist ja auch ‘ne Datenkrake – Hmm, das führt zuweit. ;-) (Schaut euch mal “Wer hat Angst vor Google” an, zu finden auf….Google Video!…)

 

Okay, dann weiß der Staat also zukünftig auch wann wir wohin mit dem Bus/Zug gefahren sind, und kann uns dann mit seinen ganzen Kameras auch noch dabei filmen. Vielleicht auch noch die passende Handynummer zu dem E-Go Benutzer herausfinden (Man kann das Dingens per SMS aufladen), und dann uns auch noch verfolgen wenn wir den Bus verlassen. Stellt euch mal vor ich fahre mal mit dem Bus zu nem Atomkraftwerk weil meine Oma in der Nähe wohnt, und spreche dabei auch noch mit meinem afgahnischen Freund über die Gefährlichkeit von Radioaktivität… Natürlich dient das alles dem schutz vor Terrorismus! ;-) Und das ist erst der Anfang, der Fantasie der Schnüffler sind bei RFID keine Grenzen gesetzt. (Nein!, wirklich keine.) – Hallo Überwachungsstaat!

 

Aber habt keine Angst, es ist alles halb so wild, denn:

 

“Wir haben ja nix zu verbergen!” GGGGGGRRRRRRRRrrrrrrrrr

 

Edit: Ein paar Dinge angepasst und Schreibfehler ausgemerzt. – Ihr werdet allerdings bestimmt noch welche finden. :-P

 

Update: Hier noch ein Artikel auf Golem.de dazu

7 comments so far

Du hast wohl ganz Recht mit deinem Kommentar, allerdings hat die Datenschutzkommission anscheinend erreicht, dass auf der Karte “nur” die Bewegungen gespeichert werden, nicht aber personenbezogene Daten. Allerdings wird das mit dem Aufladen per SMS wieder zunichte gemacht!
Ansonsten gibt es doch Hüllen, die ein unbefugtes Auslesen unmöglich machen, oder?

Ich hoffe, du warst gestern auch auf der Demo?

Fireball
October 12th, 2008 at 20:59

Das mit der Datenschutzkomission wußte ich nicht, okay. Danke für den Hinweis! Allerdings ist diese Entscheidung für mich nicht sehr viel wert. Da Meiner Meinung nach eine sehr schleichende “Datenschutzvernichtung” stattfinden wird.
Die Regierung wird sicher einen Weg finden dieses oder jenes den Bürgern schmackhaft zu machen.(Der Terror wirds schon richten) Würden die Bürger besser aufgeklärt wäre das schon schwieriger. – Werden sie aber nicht. ;-)

Abwarten und Optimismus trinken. :-P

Ja es gibt zum Glück Hüllen die die Karten abschirmen. Lübeck z.b. gibt sogar gegen eine Gebühr von 6 Euro eine Hülle zum elektronischen Reisepaß dazu. ;-)

Allerdings wird das den nicht aufgeklärten nicht sehr viel helfen. Ich werde mir allerdings sicher sowas in der art besorgen.

Die Demo habe ich leider nur angekratzt, da ich noch einen dringenden Termin hatte. Das fand ich sehr schade. Ich war ganz am Anfang auf dem Bahnhof, allerdings waren zu dem Zeitpunkt noch nicht sehr viele da.
Warst du da? – Wenn ja, waren viele Leute dort? Ich habe jedenfalls nichts im Journal gesehen.

Muling
October 12th, 2008 at 21:49

an deem ganzen post hun ech lo net rausfonnt wat ob däer kaart gespaichert gett, oder hun ech dat iwwersin?
Mifare ass schon am Dezember geknackt gin (vlait suguer schon eischter).
mee wann do just beweegungsprofiler an eng seriennummer drob ass deet de system jo kengem eppes. ausserdem gett an busser bei iech am land jo souwisou nemmen schwaarz gefuer, dofir ass suguer d’Beweegungsprofil wäertlous. D’Police géing och nie am Draam ob den Idee kommen en Busbeweegungsprofil auszewäerten. Et geet vill mei einfach.
Hues du iwwregens en ageschaltenen Handy bei dir an der Täsch?

Thorben
October 14th, 2008 at 12:03

Dee greissten Probleem, deen ech bei där Sach gesinn ass dass een dei Kaarten ganz einfach kann kopeieren.

Richteg, dei Daten eleng wärten der Police net ganz vill netzen. Allerdengs ass et, an Mengen Aan, ein weidert Puzzelsteck um Wee zum gliesernen Bierger. Ech gesinn dei Saach flaicht en bessen schwartz, mee ech denken dass d’ Nodeeler d’ Viirdeeler bei waitem iwwerweien.

P.S. Nee, eigentlech hun ech zimmlech selten en ageschaltenen Handy an der Täsch. Just wann et wierklech wichteg ass. Ech denken do e bessen aalmoudesch. Wann ech net doheem sinn, sinn ech halt net doheem. Ganz ewei Freier. :-D

Muling
October 15th, 2008 at 09:36

Hallo, guter informativer Blog. Echt lesenswert macht weiter so!

Danny Tormi
March 4th, 2009 at 15:39

Hello There. I found your weblog the use of msn.
That is an extremely well written article. I will make sure to bookmark it and come back to
read more of your helpful info. Thank you for the post.
I’ll definitely comeback.

Dark Avenger Hack
March 24th, 2014 at 17:48

Spot on with this write-up, I actually believe that this website needs a
great deal more attention. I’ll probably be returning to read more, thanks for the info!

modern bathroom coupn codes
April 20th, 2014 at 11:09

Leave a Comment

Name (required)

Mail (will not be published) (required)

Website

Comment