Mind the security gap, please oder: Hacker fahren gratis

27. Juni 2008, 12:06
  • security
  • transport
  • cyberangriff
  • sicherheit
image

Holländische Wissenschaftler haben mit einfachen Mitteln das RFID-System geknackt, über das unter anderem die elektronische Billetkontrolle der Londoner U-Bahn läuft. Aber auch der Zugang zu vielen öffentlichen Gebäuden basiert auf der Technologie der holländischen NXP Semiconductors.

Holländische Wissenschaftler haben mit einfachen Mitteln das RFID-System geknackt, über das unter anderem die elektronische Billetkontrolle der Londoner U-Bahn läuft. Aber auch der Zugang zu vielen öffentlichen Gebäuden basiert auf der Technologie der holländischen NXP Semiconductors.
Forscher der Radboud-Universität im holländischen Nimwegen haben das Oyster-Card-System, die RFID-Zugangskontrolle der Londoner Transportsysteme, gehackt. Die Smartcard wird von MIFARE hergestellt, einer Tochtergesellschaft der holländischen NXP Semiconductors. Mehr als 10 Millionen Oyster-Cards sind als Abos für den Londoner öffentlichen Verkehr im Umlauf. Laut der Online-Ausgabe des Guardian werden rund 80 Prozent der Bus- und U-Bahn-Fahrten in der britischen Hauptstadt über Oyster bezahlt. Zudem basiert die Zugangskontrolle für tausende von Schulen, Spitälern und Regierungsgebäuden überall in England auf dem System, wie aus einem Bericht auf timesonline.co.uk hervorgeht. RFID-Chips sind auch Bestandteil des zukünftigen biometrischen Schweizer Reisepasses, der aktuell in der Pilotphase ist.
Bereits im April hatte die Forschergruppe um Bart Jacobs das niederländische Innenministerium in Aufruhr versetzt. Sie knackten die MIFARE-Smartcard, die auch in Holland den Zugang zu Regierungsgebäuden regelt. "Zurzeit ersetzen wir, die Zugangskarten von 120'000 Beamten", bestätigte ein Sprecher des Innenministeriums gegenüber timesonline.co.uk. Ein 1-Milliarden-Euro-Projekt zur Zahlungsregelung im öffentlichen Verkehr im Stile der Londoner Oyster-Card wurde vorerst auf Eis gelegt.
Die "ethical hackers" aus dem Elfenbeinturm benützten für ihre erfolgreichen Angriffe auf die RFID-Systeme einen normalen Laptop. Von einem Kartenleser, wie sie zu hunderten im öffentlichen Raum herumstehen, wird mit einem Scannergerät der kryptografische Schlüssel gelesen und auf den Rechner geladen. In einem zweiten Schritt wird mit einem portablen Lesegerät die Karte eines Passanten gelesen. Die Daten landen ebenfalls auf dem Rechner und können mit dem Verschlüsselungscode via Schreibgerät auf Kartenrohlinge geschrieben werden. Auf diese Weise könnten Hacker beliebig viele Kopien von U-Bahn-Abos oder Zugangskarten zu Regierungsgebäuden der sensiblen Art herstellen. "Auf technischer Ebene gibt es momentan keine Gegenmassnahmen", sagte Forscher Bart Jacobs gegenüber timesonline.co.uk.
Transport for London ist durch das Sicherheitsleck nicht beunruhigt. Für die Londoner ÖV-Betreiber ist das System nicht in Gefahr. Es handle sich nur um die Manipulation einer einzelnen Karte, wie ein Sprecher auf timesonline.co.uk zitiert wird. Das Hersteller-Unternehmen NXP Semiconductors steht laut dem britischen Onlineportal mit den wissenschaftlichen Hackern in Kontakt, um Lösungen zu finden. (Amir Ali)

Loading

Mehr zum Thema

image

Cybersecurity bei EY

Mit dem Cybersecurity Team unterstützen wir bei EY unsere Kundinnen und Kunden bei der Risikominimierung von Cyberangriffen.

image

Geotech: Was die Schweiz für mehr Cybersicherheit tun kann

Die geopolitische Lage spitzt sich auch im Cyberspace zu. Einzelne Anbieter auszuschliessen, sei keine gute Massnahme, sagen Security-Experten. Sie bevorzugen andere Mittel.

publiziert am 4.10.2022
image

Neue Zero-Day-Lücken in Exchange Server

Die Lücken werden aktiv ins Visier genommen. Bisher gibt es nur einen Workaround.

publiziert am 3.10.2022
image

Ransomware-Bande meldet Angriff auf Ferrari

Die Gruppe Ransomexx hat angeblich erbeutete Dateien veröffentlicht. Der Automobilhersteller erklärt, keine Beweise für eine Verletzung seiner Systeme zu haben.

publiziert am 3.10.2022