Schlagwort: Chaos Computer Club

Sicherheitslücken bei der Wahl-Software

8. September 2017

Die bei der bevorstehenden Bundestagswahl zum Einsatz kommende Software zur Auswertung der Wahlergebnisse benutzt wird, weist gravierende Sicherheitslücken auf.

Bei der Bundestagswahl werden die abgegebenen Stimmen grundsätzlich von Hand gezählt, allerdings wird das ausgezählte Ergebnis mit Hilfe einer Software übermittelt und gerade diese ist nach einer Untersuchung des Chaos Computer Clubs (CCC) leicht zu manipulieren. Es besteht die Möglichkeit, dass die Wahlergebnisse zum Beispiel auf dem Weg vom Wahllokal zu dem Kreiswahlleiter abgefangen und manipuliert werden.

In Zusammenarbeit mit Zeit Online hat der CCC diese Sicherheitslücken aufgedeckt. Sowohl in den Verschlüsselungsverfahren als auch auf den Web-Servern des Herstellers wurden Lücken festgestellt.

In der Zwischenzeit wurde von dem Hersteller ein Update bereitgestellt, allerdings vermutet der CCC, dass auch weiterhin Sicherheitslücken vorhanden sind.

Besonders kritisiert wird vom CCC das mangelnde Sicherheitsverständnis des Herstellers.

Laut einem Sprecher des Bundeswahlleiters sind die Probleme bereits einige Zeit bekannt. Die Landeswahlleiter sind aufgefordert, die Übermittlung der Wahldaten abzusichern. Außerdem sind die vorläufigen Wahlergebnisse nicht betroffen, weil für diese andere Übertragungswege gewählt werden.

CCC: Fingerabdruck-Biometrie ist ein Sicherheitsplacebo!

29. Dezember 2014

Beim jüngst abgehaltenen Jahrestreffen des Chaos Computer Clubs (CCC) in Hamburg wurden Methoden vorgestellt, sich fremder biometrischer Merkmale zu bemächtigen. Sehr anschaulich wurde durch Jan Krissler alias starbug demonstriert, wie einfach sich mittlerweile Fingerabdrucksysteme austricksen lassen.

Ein direkter Kontakt mit physikalischen Objekten zum Abnehmen von Fingerabdrücken ist danach gar nicht mehr erforderlich. Man benötige schlicht die Aufnahme eines Fotos mit einer handelsüblichen Digitalkamera. Belegt wurde dies mit einem sich deutlich abzeichnenden Fingerabdruck von Bundesverteidigungsminister Ursula von der Leyen. Als Basis sei ein Pressefoto verwendet worden, dass mit einem Standardobjektiv mit zweihundert Millimetern Brennweite gefertigt wurde. Das Foto habe Krissler noch mit der Software VeriFinger bearbeitet, aber man hätte auch ein weiteres gängiges Bildbearbeitungsprogramm verwenden können. Den so hergestellten Fingerabdruck könnte man auf eine Atrappe drucken und damit handelsüblichen Fingerabdruckscannern vorgaukeln, er stamme von der die Ministerin – sei es am iPhone oder an einer automatisierten Grenzkontrolle. Oder er könnte ihren Abdruck an einem Tatort hinterlassen und sie so zu einer Verdächtigen machen.

„Mit der Sicherheit von Fingerabdrucksystemen ist es damit endgültig vorbei“, so Krissler. „Man kann nahezu unbemerkt an Fingerabdrücke jeder Person kommen, um daraus Attrappen zu bauen.“ Für eine solche Attrappe braucht es lediglich Folie, einen Drucker und Holzleim. Schon lässt sich ein falscher Fingerabdruck herstellen, den man auf den eigenen Finger kleben kann. Diese Attrappen genügen, um gebräuchliche Fingerscanner zu überlisten. „Nach diesem Vortrag werden wohl Politiker nur noch in Handschuhen zu öffentlichen Auftritten gehen“, so Krissler weiter. Er kündigte an, den Abdruck von der Leyens auch bald offiziell zu veröffentlichen, er wolle ihn nur noch „etwas schön machen“.

iPhone 5s: Fingerabdruck-Scanner umgehbar

23. September 2013

Nur kurz nach Erscheinen des neuen iPhone 5s ist es einem unter dem Pseudonym „Starbug“ handelnden Biotmetrie-Spezialisten des Chaos Computer Club Medienberichten zufolge gelungen, dessen Fingerabdruck-Scanner mit nachgemachten Fingerabdrücken freizuschalten. Um zu testen, ob Apples neues iPhone die Fingerabdruckerkennung mit Touch ID durch grundsätzlich neue Verbesserungen sicherer machen konnte, habe heise Security und Mac & i kurzfristig ein Testgerät für den Biometrie-Spezialisten organisiert. Dieser habe innerhalb weniger Tage den Scanner mit herkömmlichen Methoden auszutricksen können.

„Tatsächlich hat der Sensor von Apple nur eine höhere Auflösung im Vergleich zu bisherigen Sensoren. Wir mußten nur die Ganularität unseres Kunstfingers ein wenig erhöhen“, so Starbug. „Seit Jahren warnen wir immer wieder vor der Verwendung von Fingerabdrücken zur Zugriffssicherung. Fingerabdrücke hinterlassen wir überall, und es ist ein Kinderspiel, gefälschte Finger daraus zu erstellen.“