Abo
  • Services:

Master Key: Hacker gelangen per Reverse Engineering an Gepäckschlüssel

Hacker haben "Safe Skies"-Schlösser geknackt, nachdem letztes Jahr bereits das Generalschlüsseldesign für alle "Travel Sentry"-Schlösser veröffentlicht wurde. Das zeigt vor allem, wie fragwürdig Generalschlüssel prinzipiell sind.

Artikel veröffentlicht am ,
Gepäckschloss mit TSA-Label an einem Samsonite-Koffer
Gepäckschloss mit TSA-Label an einem Samsonite-Koffer (Bild: Wikipedia/RudolfSimon/CC-BY 3.0)

Auf der Konferenz Hope in New York haben Hacker am Samstag einen Generalschlüssel für TSA-konforme Gepäckschlösser vorgestellt. Dieser ist demnach nicht wie bei einer früheren Aktion von einem Foto kopiert, sondern mit Hilfe von langwierigem Reverse Engineering entwickelt worden.

Stellenmarkt
  1. NÜRNBERGER Versicherung, Nürnberg
  2. BayernInvest Kapitalverwaltungsgesellschaft mbH, München

Als 2015 das Design des Generalschlüssels für alle "Travel Sentry"-Schlösser veröffentlicht wurde, ließ sich dies noch als Pech oder einfach als ein Journalistenfehler bewerten. Hackern war es damals gelungen, den Generalschlüssel auf Basis eines versehentlich von der Washington Post veröffentlichten Fotos zu rekonstruieren und mit einem 3D-Drucker nachzubauen. Jetzt gelang den unter ihren Pseudonymen bekannten Hackern DarkSim905, Johnny Xmas und Nite 0wl mit dem Konkurrenz-Produkt der Firma Safe Skies jedoch ein weiterer Hack.

Kleinteilige Ingenieursarbeit

Berichten zufolge hat das Team in mühevoller Kleinarbeit Dutzende "Safe Skies"-Schlösser aus vielen verschiedenen Quellen gekauft und analysiert. Dabei haben die Hacker offenbar herausgefunden, dass der Hersteller nur einen einzigen Master Key verwendet. Anhand der physischen Gemeinsamkeiten der untersuchten Schlösser konnten sie so nach eigenen Angaben Stück für Stück die Eigenschaften des Generalschlüssels identifizieren.

Die beiden Unternehmen Travel Sentry und Safe Skies produzieren Gepäckschlösser, die durch die US-amerikanische Flugsicherheitsbehörde "Transportation Security Administration" (TSA) zertifiziert und mit einem Generalschlüssel geöffnet werden können. Amerikanische Flughäfen, die laut US-Gesetzen das Recht haben, verdächtiges Fluggepäck wenn nötig auch gewaltsam zu öffnen, besitzen diesen Generalschlüssel. Auf diese Weise soll vermieden werden, dass jedes verdächtige Gepäckstück aufgebrochen werden muss.

Key Escrow ist ein permanentes Sicherheitsrisiko

Die US-Behörde verharmloste das Problem der nun fehlenden Sicherheit der durch sie zertifizierten Schlösser offenbar. Wie CSO Online berichtet, verwies TSA in einem Statement darauf, dass Koffer für Endkunden Convenience-Produkte seien, die nichts mit dem Flugsicherheitsregime von TSA zu tun hätten. "Die nun bekanntgewordene Zugriffsmöglichkeit auf Generalschlüssel für Unbefugte ändere nichts an der physischen Sicherheit des Gepäcks im Screening-Prozess der TSA."

Damit mag die Behörde recht haben. In der Tat schützen Gepäckschlösser in der Praxis - wenn überhaupt - vor Gelegenheitsdieben mit wenig Zeit und ohne Werkzeug. Im Zweifel kann man die meisten Gepäckstücke sowieso mit einem Teppichmesser aufschneiden.

Trotzdem zeigt dieser Hack ein grundsätzliches Problem mit Generalschlüsseln und anderen Key-Escrow-Systemen auf. Egal ob physische oder kryptographische Schlüssel, die Existenz von Master Keys stellt immer eine künstliche Schwachstelle im Sicherheitskonzept dar. Als "Single Point of Failure" bilden sie einen höchst attraktiven Angriffspunkt für Hacker, und die Vergangenheit lehrt, dass es nur eine Frage der Zeit ist, bis er gebrochen und damit das gesamte System kompromittiert wird.



Anzeige
Blu-ray-Angebote

chefin 27. Jul 2016

Frag dich mal, wer das machen kann und wo. Es ist nur innerhalb des Flughafens möglich...

vlad_tepesch 26. Jul 2016

wieso? Schlösser knacken ist doch so ne Art Hacker-Hobby. edit - sorry, der Beitrag ist...

jeckoBecko 25. Jul 2016

https://www.youtube.com/watch?v=TF33_VuBRcQ


Folgen Sie uns
       


Rebble Pebble - Test

Pünktlich zur Abschaltung der Pebble-Server hat das Rebble-Projekt seine Alternative gestartet. Der Rebble-Server bringt Funktionen wie den Appstore und die Wetteranzeige in der Timeline zurück. Ganz perfekt ist der Ersatz aber noch nicht.

Rebble Pebble - Test Video aufrufen
Apple Watch im Test: Auch ohne EKG die beste Smartwatch
Apple Watch im Test
Auch ohne EKG die beste Smartwatch

Apples vierte Watch verändert das Display-Design leicht - zum Wohle des Nutzers. Die Uhr bietet immer noch mit die beste Smartwatch-Erfahrung, auch wenn eine der neuen Funktionen in Deutschland noch nicht funktioniert.
Ein Test von Tobias Költzsch

  1. Smartwatch Apple Watch Series 4 mit EKG und Sturzerkennung
  2. Smartwatch Apple Watch Series 4 nur mit sechs Modellen
  3. Handelskrieg Apple Watch und anderen Gadgets drohen Strafzölle

Passwörter: Eine vernünftige Maßnahme gegen den IoT-Irrsinn
Passwörter
Eine vernünftige Maßnahme gegen den IoT-Irrsinn

Kalifornien verabschiedet ein Gesetz, das Standardpasswörter verbietet. Das ist ein Schritt in die richtige Richtung, denn es setzt beim größten Problem von IoT-Geräten an und ist leicht umsetzbar.
Ein IMHO von Hanno Böck

  1. Retrogaming Maximal unnötige Minis
  2. Streaming Heilloses Durcheinander bei Netflix und Amazon Prime
  3. Sicherheit Ein Lob für Twitter und Github

Life is Strange 2 im Test: Interaktiver Road-Movie-Mystery-Thriller
Life is Strange 2 im Test
Interaktiver Road-Movie-Mystery-Thriller

Keine heile Teenagerwelt mit Partys und Liebeskummer: Allein in den USA der Trump-Ära müssen zwei Brüder mit mexikanischen Wurzeln in Life is Strange 2 nach einem mysteriösen Unfall überleben. Das Adventure ist bewegend und spannend - trotz eines grundsätzlichen Problems.
Von Peter Steinlechner

  1. Adventure Leisure Suit Larry landet im 21. Jahrhundert

    •  /