Abo
  • Services:
Anzeige
Gepäckschloss mit TSA-Label an einem Samsonite-Koffer
Gepäckschloss mit TSA-Label an einem Samsonite-Koffer (Bild: Wikipedia/RudolfSimon/CC-BY 3.0)

Master Key: Hacker gelangen per Reverse Engineering an Gepäckschlüssel

Gepäckschloss mit TSA-Label an einem Samsonite-Koffer
Gepäckschloss mit TSA-Label an einem Samsonite-Koffer (Bild: Wikipedia/RudolfSimon/CC-BY 3.0)

Hacker haben "Safe Skies"-Schlösser geknackt, nachdem letztes Jahr bereits das Generalschlüsseldesign für alle "Travel Sentry"-Schlösser veröffentlicht wurde. Das zeigt vor allem, wie fragwürdig Generalschlüssel prinzipiell sind.

Auf der Konferenz Hope in New York haben Hacker am Samstag einen Generalschlüssel für TSA-konforme Gepäckschlösser vorgestellt. Dieser ist demnach nicht wie bei einer früheren Aktion von einem Foto kopiert, sondern mit Hilfe von langwierigem Reverse Engineering entwickelt worden.

Anzeige

Als 2015 das Design des Generalschlüssels für alle "Travel Sentry"-Schlösser veröffentlicht wurde, ließ sich dies noch als Pech oder einfach als ein Journalistenfehler bewerten. Hackern war es damals gelungen, den Generalschlüssel auf Basis eines versehentlich von der Washington Post veröffentlichten Fotos zu rekonstruieren und mit einem 3D-Drucker nachzubauen. Jetzt gelang den unter ihren Pseudonymen bekannten Hackern DarkSim905, Johnny Xmas und Nite 0wl mit dem Konkurrenz-Produkt der Firma Safe Skies jedoch ein weiterer Hack.

Kleinteilige Ingenieursarbeit

Berichten zufolge hat das Team in mühevoller Kleinarbeit Dutzende "Safe Skies"-Schlösser aus vielen verschiedenen Quellen gekauft und analysiert. Dabei haben die Hacker offenbar herausgefunden, dass der Hersteller nur einen einzigen Master Key verwendet. Anhand der physischen Gemeinsamkeiten der untersuchten Schlösser konnten sie so nach eigenen Angaben Stück für Stück die Eigenschaften des Generalschlüssels identifizieren.

Die beiden Unternehmen Travel Sentry und Safe Skies produzieren Gepäckschlösser, die durch die US-amerikanische Flugsicherheitsbehörde "Transportation Security Administration" (TSA) zertifiziert und mit einem Generalschlüssel geöffnet werden können. Amerikanische Flughäfen, die laut US-Gesetzen das Recht haben, verdächtiges Fluggepäck wenn nötig auch gewaltsam zu öffnen, besitzen diesen Generalschlüssel. Auf diese Weise soll vermieden werden, dass jedes verdächtige Gepäckstück aufgebrochen werden muss.

Key Escrow ist ein permanentes Sicherheitsrisiko

Die US-Behörde verharmloste das Problem der nun fehlenden Sicherheit der durch sie zertifizierten Schlösser offenbar. Wie CSO Online berichtet, verwies TSA in einem Statement darauf, dass Koffer für Endkunden Convenience-Produkte seien, die nichts mit dem Flugsicherheitsregime von TSA zu tun hätten. "Die nun bekanntgewordene Zugriffsmöglichkeit auf Generalschlüssel für Unbefugte ändere nichts an der physischen Sicherheit des Gepäcks im Screening-Prozess der TSA."

Damit mag die Behörde recht haben. In der Tat schützen Gepäckschlösser in der Praxis - wenn überhaupt - vor Gelegenheitsdieben mit wenig Zeit und ohne Werkzeug. Im Zweifel kann man die meisten Gepäckstücke sowieso mit einem Teppichmesser aufschneiden.

Trotzdem zeigt dieser Hack ein grundsätzliches Problem mit Generalschlüsseln und anderen Key-Escrow-Systemen auf. Egal ob physische oder kryptographische Schlüssel, die Existenz von Master Keys stellt immer eine künstliche Schwachstelle im Sicherheitskonzept dar. Als "Single Point of Failure" bilden sie einen höchst attraktiven Angriffspunkt für Hacker, und die Vergangenheit lehrt, dass es nur eine Frage der Zeit ist, bis er gebrochen und damit das gesamte System kompromittiert wird.


eye home zur Startseite
chefin 27. Jul 2016

Frag dich mal, wer das machen kann und wo. Es ist nur innerhalb des Flughafens möglich...

vlad_tepesch 26. Jul 2016

wieso? Schlösser knacken ist doch so ne Art Hacker-Hobby. edit - sorry, der Beitrag ist...

jeckoBecko 25. Jul 2016

https://www.youtube.com/watch?v=TF33_VuBRcQ



Anzeige

Stellenmarkt
  1. OSRAM Opto Semiconductors Gesellschaft mit beschränkter Haftung, Regensburg
  2. Schenck Process Europe GmbH, Darmstadt
  3. MKB Mittelrheinische Bank GmbH, Koblenz
  4. D. Lechner GmbH, Rothenburg ob der Tauber


Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)

Folgen Sie uns
       


  1. Smartphone

    Nokia 2 kommt für 120 Euro nach Deutschland

  2. Remote Desktop

    Teamviewer kommt für IoT-Geräte wie den Raspberry Pi

  3. Telekom-Chef

    Regulierung soll an schlechtem Glasfaserausbau schuld sein

  4. Hacker One

    Nur 20 Prozent der Bounty-Jäger hacken in Vollzeit

  5. Memories of Mars

    Basisbau und Überlebenskampf auf dem Roten Planeten

  6. Elektromobilität

    Audi testet intelligentes Energiesystem für daheim

  7. Mi Notebook Air

    Xiaomi baut Quadcore und Nvidia-Grafik ein

  8. Amazon Go

    Kassenloser Supermarkt öffnet

  9. Microsoft

    Großer Widerstand gegen US-Zugriff auf weltweite Cloud-Daten

  10. Künstliche Intelligenz

    Microsofts Bot zeichnet auf Geheiß alles



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
EU-Urheberrechtsreform: Abmahnungen treffen "nur die Dummen"
EU-Urheberrechtsreform
Abmahnungen treffen "nur die Dummen"
  1. EU-Netzpolitik Mit vollen Hosen in die App-ocalypse
  2. Leistungsschutzrecht EU-Kommission hält kritische Studie zurück
  3. Leistungsschutzrecht EU-Staaten uneins bei Urheberrechtsreform

Computerforschung: Quantencomputer aus Silizium werden realistisch
Computerforschung
Quantencomputer aus Silizium werden realistisch
  1. Tangle Lake Intel zeigt 49-Qubit-Chip
  2. Die Woche im Video Alles kaputt
  3. Q# und QDK Microsoft veröffentlicht Entwicklungskit für Quantenrechner

Netzsperren: Wie Katalonien die spanische Internetzensur austrickste
Netzsperren
Wie Katalonien die spanische Internetzensur austrickste

  1. Re: Regulierung ist immer schlecht für die...

    Tantalus | 11:50

  2. Re: You are not prepared!

    Palerider | 11:49

  3. Re: Warum verschweigt er das wahre Problem...

    Pecker | 11:49

  4. Re: DOW Jones +30% in nur einem Jahr

    horotab | 11:48

  5. Re: Schön die Fehler bei anderen Suchen

    Schattenwerk | 11:47


  1. 11:43

  2. 11:29

  3. 10:58

  4. 10:43

  5. 10:28

  6. 10:10

  7. 09:31

  8. 09:16


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel