Abo
  • Services:
Anzeige
Gepäckschloss mit TSA-Label an einem Samsonite-Koffer
Gepäckschloss mit TSA-Label an einem Samsonite-Koffer (Bild: Wikipedia/RudolfSimon/CC-BY 3.0)

Master Key: Hacker gelangen per Reverse Engineering an Gepäckschlüssel

Gepäckschloss mit TSA-Label an einem Samsonite-Koffer
Gepäckschloss mit TSA-Label an einem Samsonite-Koffer (Bild: Wikipedia/RudolfSimon/CC-BY 3.0)

Hacker haben "Safe Skies"-Schlösser geknackt, nachdem letztes Jahr bereits das Generalschlüsseldesign für alle "Travel Sentry"-Schlösser veröffentlicht wurde. Das zeigt vor allem, wie fragwürdig Generalschlüssel prinzipiell sind.

Auf der Konferenz Hope in New York haben Hacker am Samstag einen Generalschlüssel für TSA-konforme Gepäckschlösser vorgestellt. Dieser ist demnach nicht wie bei einer früheren Aktion von einem Foto kopiert, sondern mit Hilfe von langwierigem Reverse Engineering entwickelt worden.

Anzeige

Als 2015 das Design des Generalschlüssels für alle "Travel Sentry"-Schlösser veröffentlicht wurde, ließ sich dies noch als Pech oder einfach als ein Journalistenfehler bewerten. Hackern war es damals gelungen, den Generalschlüssel auf Basis eines versehentlich von der Washington Post veröffentlichten Fotos zu rekonstruieren und mit einem 3D-Drucker nachzubauen. Jetzt gelang den unter ihren Pseudonymen bekannten Hackern DarkSim905, Johnny Xmas und Nite 0wl mit dem Konkurrenz-Produkt der Firma Safe Skies jedoch ein weiterer Hack.

Kleinteilige Ingenieursarbeit

Berichten zufolge hat das Team in mühevoller Kleinarbeit Dutzende "Safe Skies"-Schlösser aus vielen verschiedenen Quellen gekauft und analysiert. Dabei haben die Hacker offenbar herausgefunden, dass der Hersteller nur einen einzigen Master Key verwendet. Anhand der physischen Gemeinsamkeiten der untersuchten Schlösser konnten sie so nach eigenen Angaben Stück für Stück die Eigenschaften des Generalschlüssels identifizieren.

Die beiden Unternehmen Travel Sentry und Safe Skies produzieren Gepäckschlösser, die durch die US-amerikanische Flugsicherheitsbehörde "Transportation Security Administration" (TSA) zertifiziert und mit einem Generalschlüssel geöffnet werden können. Amerikanische Flughäfen, die laut US-Gesetzen das Recht haben, verdächtiges Fluggepäck wenn nötig auch gewaltsam zu öffnen, besitzen diesen Generalschlüssel. Auf diese Weise soll vermieden werden, dass jedes verdächtige Gepäckstück aufgebrochen werden muss.

Key Escrow ist ein permanentes Sicherheitsrisiko

Die US-Behörde verharmloste das Problem der nun fehlenden Sicherheit der durch sie zertifizierten Schlösser offenbar. Wie CSO Online berichtet, verwies TSA in einem Statement darauf, dass Koffer für Endkunden Convenience-Produkte seien, die nichts mit dem Flugsicherheitsregime von TSA zu tun hätten. "Die nun bekanntgewordene Zugriffsmöglichkeit auf Generalschlüssel für Unbefugte ändere nichts an der physischen Sicherheit des Gepäcks im Screening-Prozess der TSA."

Damit mag die Behörde recht haben. In der Tat schützen Gepäckschlösser in der Praxis - wenn überhaupt - vor Gelegenheitsdieben mit wenig Zeit und ohne Werkzeug. Im Zweifel kann man die meisten Gepäckstücke sowieso mit einem Teppichmesser aufschneiden.

Trotzdem zeigt dieser Hack ein grundsätzliches Problem mit Generalschlüsseln und anderen Key-Escrow-Systemen auf. Egal ob physische oder kryptographische Schlüssel, die Existenz von Master Keys stellt immer eine künstliche Schwachstelle im Sicherheitskonzept dar. Als "Single Point of Failure" bilden sie einen höchst attraktiven Angriffspunkt für Hacker, und die Vergangenheit lehrt, dass es nur eine Frage der Zeit ist, bis er gebrochen und damit das gesamte System kompromittiert wird.


eye home zur Startseite
chefin 27. Jul 2016

Frag dich mal, wer das machen kann und wo. Es ist nur innerhalb des Flughafens möglich...

vlad_tepesch 26. Jul 2016

wieso? Schlösser knacken ist doch so ne Art Hacker-Hobby. edit - sorry, der Beitrag ist...

jeckoBecko 25. Jul 2016

https://www.youtube.com/watch?v=TF33_VuBRcQ



Anzeige

Stellenmarkt
  1. Dataport, Rostock, Altenholz/Kiel, Bremen oder Magdeburg
  2. Melitta Professional Coffee Solutions GmbH & Co. KG, Minden
  3. über Ratbacher GmbH, Berlin
  4. P3 group GmbH, Stuttgart, Böblingen


Anzeige
Top-Angebote
  1. 147,89€ (Vergleichspreis ab 219€)
  2. 79,90€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Megaupload

    Dotcom droht bei Auslieferung volle Anklage in den USA

  2. PC-Markt

    Unternehmen geben deutschen PC-Käufen einen Schub

  3. Ungepatchte Sicherheitslücke

    Google legt sich erneut mit Microsoft an

  4. Torus

    CoreOS gibt weitere Eigenentwicklung auf

  5. Hololens

    Verbesserte AR-Brille soll nicht vor 2019 kommen

  6. Halo Wars 2 im Test

    Echtzeit-Strategie für Supersoldaten

  7. Autonome Systeme

    Microsoft stellt virtuelle Testplattform für Drohnen vor

  8. Limux

    Die tragische Geschichte eines Leuchtturm-Projekts

  9. Betriebssysteme

    Linux 4.10 beschleunigt und verbessert

  10. Supercomputer

    Der erste Exaflops-Rechner wird in China gebaut



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Kernfusion: Angewandte Science-Fiction
Kernfusion
Angewandte Science-Fiction
  1. Kernfusion Wendelstein 7-X funktioniert nach Plan

MX Board Silent im Praxistest: Der viel zu teure Feldversuch von Cherry
MX Board Silent im Praxistest
Der viel zu teure Feldversuch von Cherry
  1. Patentantrag Apple denkt über Tastatur mit Siri-, Emoji- und Teilen-Taste nach
  2. Kanex Faltbare Bluetooth-Tastatur für mehrere Geräte gleichzeitig
  3. Surface Ergonomic Keyboard Microsofts Neuauflage der Mantarochen-Tastatur

Der große Ultra-HD-Blu-ray-Test (Teil 2): 4K-Hardware ist nichts für Anfänger
Der große Ultra-HD-Blu-ray-Test (Teil 2)
4K-Hardware ist nichts für Anfänger
  1. Der große Ultra-HD-Blu-ray-Test (Teil 1) 4K-Filme verzeihen keine Fehler
  2. Deutsche Verkaufszahlen Unberechtigter Jubel über die UHD-Blu-ray
  3. 4K Blu-ray Sonys erster UHD-Player kommt im Frühjahr 2017

  1. Re: Wie viel Smog erzeugt der Smog-Berechner?

    h1ght | 03:51

  2. Re: Age of empires 4

    h1ght | 03:46

  3. Re: Ohne Telemetrie keine Erfolge

    h1ght | 03:38

  4. Re: Es führt kein Weg an Windows vorbei

    divStar | 03:26

  5. Re: Ich kanns auch nicht mehr hören...

    cpt.dirk | 03:25


  1. 18:33

  2. 17:38

  3. 16:38

  4. 16:27

  5. 15:23

  6. 14:00

  7. 13:12

  8. 12:07


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel