RFID Ein Großteil der Studentenkarten ist unsicher

29C3

Ob als Mensa-Essenskarte, Zugangsschutz für Labore oder Schließfächer der Studenten: An vielen Universitäten werden Mifare-RFID-Karten verwendet. Ein Projekt zeigt nun, dass das System sehr offen ist.

Anzeige

Jan Hoersch hat zusammen mit dem Verein Foebud und vielen Helfern die bundesweit verteilten Studentenkarten auf ihre Sicherheit hin untersucht. Er kam dabei zu dem erschreckenden Ergebnis, dass geschätzte 70 bis 80 Prozent der Karten mit RFID-Technik problematisch sind. Die Schätzung basiert auf Informationen von 115 der 392 Universitäten. Zu 260 Universitäten hat das Projekt derzeit keine Informationen. In den meisten Fällen kommen Mifare-Classic-Karten zum Einsatz, von denen seit Jahren bekannt ist, dass sie unsicher sind. Zum Teil werden aber auch die besseren DESfire-Karten verwendet, allerdings ohne ihre 3DES-Option, die hohe Kosten verursacht.

Die stark verbreiteten Mifare-Karten teilen Jan Hoersch und Rena Tangens von Digitalcourage (vormals Foebud) in vier Kategorien ein, die sich nur geringfügig unterscheiden. Wer also einige wenige Karten untersucht, findet eine große Anzahl anfälliger Systeme. Die Mifare-Karten waren das Hauptziel der Forschung. Allen Kartentypen gemeinsam ist der Umstand, dass sie sich klonen lassen. Die Studenten werden von dieser Gefahr in der Regel nicht informiert. Das ist insofern problematisch, weil diese Karten als Mensa-Karten mit Guthaben eingesetzt werden können. In manchen Fällen werden auch Kopiergeräte damit gesteuert. Einige Karten funken auch die Matrikelnummer der Studenten heraus. Die Daten sind häufig nicht vor Manipulation geschützt. Das gilt insbesondere für das Guthaben.

Kritisch sehen die Hacker, dass einige Universitäten die Karten für Schließfächer oder gar als Zugangsbeschränkung verwenden. Bei den Schließfächern machen es einige Universitäten Dieben besonders einfach. Der Inhaber einer geklonten Karte kann herausfinden, welches Schließfach benutzt wurde. Es gibt Informationsgeräte, an die die Studentenkarte gehalten werden kann.

Die Universitäten reagieren größtenteils ablehnend auf den Forschungsversuch. Zwar sind die Sicherheitsprobleme der RFID-Karten seit langem bekannt, doch die Probleme lösen die Unis lieber mit Drohungen. Wer einfach, nur aus Forschungszwecken, an den offenen Systemen Experimente macht, müsse mit einer Drohung eines Staatsanwalts rechnen, so die Vortragenden.

Studentenwerk Berlin und FH Bielefeld wehren sich 
Kommentarübersicht
Re: Die Karten lassen sich nicht klonen
Slicing Edge 08. Mai 2013

mmmmh, da hat aber mal einer 0 ahnung und schreibt hier so einen müll ..... wie kommst du...

Re: das heißt
jayrworthington 02. Jan 2013

Glaub ich nicht. Die EC Karte ist Plastik und Kontakt-Chip, kein RFID. Wenn man aber...

Re: Wer ist eigentlich auf dieses blöde...
Analysator 01. Jan 2013

Darum gibt es an deutschen Universitäten teilweise sogar Seminare "korrektes Gendern in...

Re: Es gibt ja in manchen Schulspeisungen auch...
raketenfred 31. Dez 2012

*hust* Ich wurde damals gefragt ob man da was machen kann, weil alle Schüler einen roten...

Re: An der Uni Bielefeld bereits lange geknackt...
brotherelf 31. Dez 2012

Deine Lösung dafür, dass existierende geldbewegende Systeme angreifbar sind, besteht...

Kommentieren

Trackbacks
Anzeige
Stellenmarkt
  1. Mobile Solutions Developer / Analyst (m/w)
    Continental AG, Hannover
  2. Softwareentwickler/in
    Mönkemöller & Co. Ingenieurbüro GmbH, Stuttgart
  3. Projektmanager (m/w) Regional Finance
    Fresenius Kabi Deutschland GmbH, Bad Homburg
  4. Projektleiter (m/w)
    Outcome Unternehmensberatung GmbH, Köln

 

Detailsuche

Folgen Sie uns
       
Videos
Hinter den Kulissen des Need-for-Speed-Kinofilms Hinter den Kulissen des Need-for-Speed-Kinofilms
Ticker
  1. Merkel zu Prism

    "Das Internet ist für uns alle Neuland"

  2. Flutkatastrophe

    Ein Spendenkonzert, die Gema und das Prinzip

  3. Load Impact

    Lasttests ganz einfach

  4. Butterfly S

    HTC verbessert sein erstes 5-Zoll-Smartphone

  5. Neue Rennspiele

    Forza 5, Drive Club und Gran Turismo 6 angespielt

  6. MySQL

    Man-Pages stehen nicht mehr unter der GPL

  7. Omni

    Spurts und Schleicheinlagen im Wohnzimmer

  8. Prism

    US-Spähprogramme sollen 50 Anschläge verhindert haben

  9. JDownloader2

    Downloadfunktion für Streaming in Deutschland verboten

  10. Canonical

    Telekom tritt Beratergruppe für Ubuntu Touch bei

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
Internetsperren
Opt-out-Zwang: Großbritannien führt ab 2014 Pornofilter für alle ein
Opt-out-Zwang
Großbritannien führt ab 2014 Pornofilter für alle ein

Was erst nur für Neukunden galt, bekommen jetzt alle Kunden von Internet Service Providern und Nutzer öffentlicher WLANs: Pornofilter. Doch sie lassen sich (noch) ausschalten.

  1. Eco EU streicht Mittel für Bekämpfung von Kinderpornografie
  2. Urheberrecht Schweizer Rechteinhaber wollen Websites sperren
  3. Filesharing Schweiz will Internetsperren auf das Urheberrecht ausweiten
Wissenschaft
Echolokation: Raumvermessung mit intelligentem Algorithmus
Echolokation
Raumvermessung mit intelligentem Algorithmus

Schweizer Wissenschaftler haben eine neue Methode entwickelt, mit wenigen Mikrofonen komplexe Räume zu vermessen, ohne wie bisher dabei streng auf die Anordnung der Mikros achten zu müssen. Die Technik könnte in Zukunft in vielen Bereichen angewandt werden, auch auf Smartphones.

  1. Wearables MIT-Forscher experimentieren mit vibrotaktilem Display
  2. Teilchenphysik Beschleuniger ILC ist bereit für den Bau
  3. Implantat Aluminiumoxid schützt Siliziumchips
The Last of Us
Test The Last of Us: Meisterwerk der Playstation-3-Endzeit
Test The Last of Us
Meisterwerk der Playstation-3-Endzeit

Auf der gerade zu Ende gegangenen E3 2013 hat sich Sony mit überwiegend positivem Presseecho für die nächste Konsolengeneration in Stellung gebracht. The Last of Us lässt uns trotzdem für einen Augenblick vergessen, dass die Zeit der Playstation 3 schon bald vorbei sein soll.

  1. The Last of Us angespielt Überleben für Fortgeschrittene
Forumsbeiträge »
  1. Flutkatastrophe Ein Spendenkonzert, die Gema und das Prinzip

    Re: GEMA: wir sind nicht vom Menschen gemacht...

    Seasdfgas | 16:02

  2. JDownloader2 Downloadfunktion für Streaming in Deutschland verboten

    Re: Ist Fraps jetzt auch illegal?

    Clusternate | 16:01

  3. Merkel zu Prism "Das Internet ist für uns alle Neuland"

    Re: Ich bin mal provokativ

    aceton | 16:01

  4. Prism US-Spähprogramme sollen 50 Anschläge verhindert haben

    Re: Wer nichts zu verbergen hat, hat auch nichts...

    Avdnm | 16:01

  5. JDownloader2 Downloadfunktion für Streaming in Deutschland verboten

    Re: Recht auf private Kopie einer legalen Vorlage

    M.P. | 16:01

Ticker »
  1. Merkel zu Prism "Das Internet ist für uns alle Neuland"

    14:32

  2. Flutkatastrophe Ein Spendenkonzert, die Gema und das Prinzip

    14:32

  3. Load Impact Lasttests ganz einfach

    14:23

  4. Butterfly S HTC verbessert sein erstes 5-Zoll-Smartphone

    13:56

  5. Neue Rennspiele Forza 5, Drive Club und Gran Turismo 6 angespielt

    13:44

  6. MySQL Man-Pages stehen nicht mehr unter der GPL

    13:37

  7. Omni Spurts und Schleicheinlagen im Wohnzimmer

    13:05

  8. Prism US-Spähprogramme sollen 50 Anschläge verhindert haben

    12:09

Zum Artikel