Abo
  • Services:
Anzeige
Gepäckschloss mit TSA-Label an einem Samsonite-Koffer
Gepäckschloss mit TSA-Label an einem Samsonite-Koffer (Bild: Wikipedia/RudolfSimon/CC-BY 3.0)

Master Key: Hacker gelangen per Reverse Engineering an Gepäckschlüssel

Gepäckschloss mit TSA-Label an einem Samsonite-Koffer
Gepäckschloss mit TSA-Label an einem Samsonite-Koffer (Bild: Wikipedia/RudolfSimon/CC-BY 3.0)

Hacker haben "Safe Skies"-Schlösser geknackt, nachdem letztes Jahr bereits das Generalschlüsseldesign für alle "Travel Sentry"-Schlösser veröffentlicht wurde. Das zeigt vor allem, wie fragwürdig Generalschlüssel prinzipiell sind.

Auf der Konferenz Hope in New York haben Hacker am Samstag einen Generalschlüssel für TSA-konforme Gepäckschlösser vorgestellt. Dieser ist demnach nicht wie bei einer früheren Aktion von einem Foto kopiert, sondern mit Hilfe von langwierigem Reverse Engineering entwickelt worden.

Anzeige

Als 2015 das Design des Generalschlüssels für alle "Travel Sentry"-Schlösser veröffentlicht wurde, ließ sich dies noch als Pech oder einfach als ein Journalistenfehler bewerten. Hackern war es damals gelungen, den Generalschlüssel auf Basis eines versehentlich von der Washington Post veröffentlichten Fotos zu rekonstruieren und mit einem 3D-Drucker nachzubauen. Jetzt gelang den unter ihren Pseudonymen bekannten Hackern DarkSim905, Johnny Xmas und Nite 0wl mit dem Konkurrenz-Produkt der Firma Safe Skies jedoch ein weiterer Hack.

Kleinteilige Ingenieursarbeit

Berichten zufolge hat das Team in mühevoller Kleinarbeit Dutzende "Safe Skies"-Schlösser aus vielen verschiedenen Quellen gekauft und analysiert. Dabei haben die Hacker offenbar herausgefunden, dass der Hersteller nur einen einzigen Master Key verwendet. Anhand der physischen Gemeinsamkeiten der untersuchten Schlösser konnten sie so nach eigenen Angaben Stück für Stück die Eigenschaften des Generalschlüssels identifizieren.

Die beiden Unternehmen Travel Sentry und Safe Skies produzieren Gepäckschlösser, die durch die US-amerikanische Flugsicherheitsbehörde "Transportation Security Administration" (TSA) zertifiziert und mit einem Generalschlüssel geöffnet werden können. Amerikanische Flughäfen, die laut US-Gesetzen das Recht haben, verdächtiges Fluggepäck wenn nötig auch gewaltsam zu öffnen, besitzen diesen Generalschlüssel. Auf diese Weise soll vermieden werden, dass jedes verdächtige Gepäckstück aufgebrochen werden muss.

Key Escrow ist ein permanentes Sicherheitsrisiko

Die US-Behörde verharmloste das Problem der nun fehlenden Sicherheit der durch sie zertifizierten Schlösser offenbar. Wie CSO Online berichtet, verwies TSA in einem Statement darauf, dass Koffer für Endkunden Convenience-Produkte seien, die nichts mit dem Flugsicherheitsregime von TSA zu tun hätten. "Die nun bekanntgewordene Zugriffsmöglichkeit auf Generalschlüssel für Unbefugte ändere nichts an der physischen Sicherheit des Gepäcks im Screening-Prozess der TSA."

Damit mag die Behörde recht haben. In der Tat schützen Gepäckschlösser in der Praxis - wenn überhaupt - vor Gelegenheitsdieben mit wenig Zeit und ohne Werkzeug. Im Zweifel kann man die meisten Gepäckstücke sowieso mit einem Teppichmesser aufschneiden.

Trotzdem zeigt dieser Hack ein grundsätzliches Problem mit Generalschlüsseln und anderen Key-Escrow-Systemen auf. Egal ob physische oder kryptographische Schlüssel, die Existenz von Master Keys stellt immer eine künstliche Schwachstelle im Sicherheitskonzept dar. Als "Single Point of Failure" bilden sie einen höchst attraktiven Angriffspunkt für Hacker, und die Vergangenheit lehrt, dass es nur eine Frage der Zeit ist, bis er gebrochen und damit das gesamte System kompromittiert wird.


eye home zur Startseite
chefin 27. Jul 2016

Frag dich mal, wer das machen kann und wo. Es ist nur innerhalb des Flughafens möglich...

vlad_tepesch 26. Jul 2016

wieso? Schlösser knacken ist doch so ne Art Hacker-Hobby. edit - sorry, der Beitrag ist...

jeckoBecko 25. Jul 2016

https://www.youtube.com/watch?v=TF33_VuBRcQ



Anzeige

Stellenmarkt
  1. Polizeiverwaltungsamt (PVA), Dresden
  2. Cpro Industry Projects & Solutions GmbH, verschiedene Einsatzorte
  3. AVAT Automation GmbH, Tübingen
  4. T-Systems International GmbH, Leinfelden-Echterdingen


Anzeige
Spiele-Angebote
  1. 54,85€
  2. 59,99€
  3. 299,00€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  2. Mit digitalen Workflows Geschäftsprozesse agiler machen
  3. Kritische Bereiche der IT-Sicherheit in Unternehmen


  1. Up- und Download

    Breites Bündnis ruft nach flächendeckender Gbit-Versorgung

  2. Kurznachrichtendienst

    Twitter bewertet sich mit 30 Milliarden US-Dollar

  3. Microsoft

    Besucher können die Hololens im Kennedy Space Center nutzen

  4. MacOS 10.12

    Fujitsu warnt vor der Nutzung von Scansnap unter Sierra

  5. IOS 10.0.2

    Apple beseitigt Ausfälle der Lightning-Audio-Kontrollen

  6. Galaxy Note 7

    Samsung tauscht das Smartphone vor der Haustür aus

  7. Falcon-9-Explosion

    SpaceX grenzt Explosionsursache ein

  8. Die Woche im Video

    Schneewittchen und das iPhone 7

  9. 950 Euro

    Abmahnwelle zu Pornofilm-Filesharing von Betrügern

  10. Jailbreak

    19-Jähriger will iPhone-7-Exploit für sich behalten



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Starship Technologies: Es wird immer nach Diebstahl und Vandalismus gefragt
Starship Technologies
Es wird immer nach Diebstahl und Vandalismus gefragt
  1. Recore Mein Buddy, der Roboter
  2. Weltraumforschung DFKI-Roboter soll auf dem Jupitermond Europa abtauchen
  3. Softrobotik Oktopus-Roboter wird mit Gas angetrieben

PES 2017 im Test: Vom Feeling her ein gutes Gefühl
PES 2017 im Test
Vom Feeling her ein gutes Gefühl

Classic Computing 2016: Wie Nordhorn für ein Wochenende zu Nerdhome wurde
Classic Computing 2016
Wie Nordhorn für ein Wochenende zu Nerdhome wurde
  1. Fifa 17 Was macht Dragon Age in meiner Fifa-Demo?
  2. Feuerwerkwettbewerb Pyronale 2016 Erst IT macht prächtige Feuerwerke möglich
  3. Flüge gecancelt Delta Airlines weltweit durch Computerpanne lahmgelegt

  1. Re: Geplante Obsoleszenz durch Software

    MrUNIMOG | 22:40

  2. Re: Finales Statement von OP

    Tigtor | 22:35

  3. Re: Erstmal bitte ISDN für jeden...

    sneaker | 22:34

  4. Re: Ist das Betrug

    OmranShilunte | 22:27

  5. Re: Quatsch, veräppelt doch die Jugend

    Dr.Jean | 22:23


  1. 15:10

  2. 13:15

  3. 12:51

  4. 11:50

  5. 11:30

  6. 11:13

  7. 11:03

  8. 09:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel