Abo
  • Services:
Anzeige
Gepäckschloss mit TSA-Label an einem Samsonite-Koffer
Gepäckschloss mit TSA-Label an einem Samsonite-Koffer (Bild: Wikipedia/RudolfSimon/CC-BY 3.0)

Master Key: Hacker gelangen per Reverse Engineering an Gepäckschlüssel

Gepäckschloss mit TSA-Label an einem Samsonite-Koffer
Gepäckschloss mit TSA-Label an einem Samsonite-Koffer (Bild: Wikipedia/RudolfSimon/CC-BY 3.0)

Hacker haben "Safe Skies"-Schlösser geknackt, nachdem letztes Jahr bereits das Generalschlüsseldesign für alle "Travel Sentry"-Schlösser veröffentlicht wurde. Das zeigt vor allem, wie fragwürdig Generalschlüssel prinzipiell sind.

Auf der Konferenz Hope in New York haben Hacker am Samstag einen Generalschlüssel für TSA-konforme Gepäckschlösser vorgestellt. Dieser ist demnach nicht wie bei einer früheren Aktion von einem Foto kopiert, sondern mit Hilfe von langwierigem Reverse Engineering entwickelt worden.

Anzeige

Als 2015 das Design des Generalschlüssels für alle "Travel Sentry"-Schlösser veröffentlicht wurde, ließ sich dies noch als Pech oder einfach als ein Journalistenfehler bewerten. Hackern war es damals gelungen, den Generalschlüssel auf Basis eines versehentlich von der Washington Post veröffentlichten Fotos zu rekonstruieren und mit einem 3D-Drucker nachzubauen. Jetzt gelang den unter ihren Pseudonymen bekannten Hackern DarkSim905, Johnny Xmas und Nite 0wl mit dem Konkurrenz-Produkt der Firma Safe Skies jedoch ein weiterer Hack.

Kleinteilige Ingenieursarbeit

Berichten zufolge hat das Team in mühevoller Kleinarbeit Dutzende "Safe Skies"-Schlösser aus vielen verschiedenen Quellen gekauft und analysiert. Dabei haben die Hacker offenbar herausgefunden, dass der Hersteller nur einen einzigen Master Key verwendet. Anhand der physischen Gemeinsamkeiten der untersuchten Schlösser konnten sie so nach eigenen Angaben Stück für Stück die Eigenschaften des Generalschlüssels identifizieren.

Die beiden Unternehmen Travel Sentry und Safe Skies produzieren Gepäckschlösser, die durch die US-amerikanische Flugsicherheitsbehörde "Transportation Security Administration" (TSA) zertifiziert und mit einem Generalschlüssel geöffnet werden können. Amerikanische Flughäfen, die laut US-Gesetzen das Recht haben, verdächtiges Fluggepäck wenn nötig auch gewaltsam zu öffnen, besitzen diesen Generalschlüssel. Auf diese Weise soll vermieden werden, dass jedes verdächtige Gepäckstück aufgebrochen werden muss.

Key Escrow ist ein permanentes Sicherheitsrisiko

Die US-Behörde verharmloste das Problem der nun fehlenden Sicherheit der durch sie zertifizierten Schlösser offenbar. Wie CSO Online berichtet, verwies TSA in einem Statement darauf, dass Koffer für Endkunden Convenience-Produkte seien, die nichts mit dem Flugsicherheitsregime von TSA zu tun hätten. "Die nun bekanntgewordene Zugriffsmöglichkeit auf Generalschlüssel für Unbefugte ändere nichts an der physischen Sicherheit des Gepäcks im Screening-Prozess der TSA."

Damit mag die Behörde recht haben. In der Tat schützen Gepäckschlösser in der Praxis - wenn überhaupt - vor Gelegenheitsdieben mit wenig Zeit und ohne Werkzeug. Im Zweifel kann man die meisten Gepäckstücke sowieso mit einem Teppichmesser aufschneiden.

Trotzdem zeigt dieser Hack ein grundsätzliches Problem mit Generalschlüsseln und anderen Key-Escrow-Systemen auf. Egal ob physische oder kryptographische Schlüssel, die Existenz von Master Keys stellt immer eine künstliche Schwachstelle im Sicherheitskonzept dar. Als "Single Point of Failure" bilden sie einen höchst attraktiven Angriffspunkt für Hacker, und die Vergangenheit lehrt, dass es nur eine Frage der Zeit ist, bis er gebrochen und damit das gesamte System kompromittiert wird.


eye home zur Startseite
chefin 27. Jul 2016

Frag dich mal, wer das machen kann und wo. Es ist nur innerhalb des Flughafens möglich...

vlad_tepesch 26. Jul 2016

wieso? Schlösser knacken ist doch so ne Art Hacker-Hobby. edit - sorry, der Beitrag ist...

jeckoBecko 25. Jul 2016

https://www.youtube.com/watch?v=TF33_VuBRcQ



Anzeige

Stellenmarkt
  1. neam IT-Services GmbH, Paderborn
  2. BoS&S GmbH, Berlin
  3. Allianz Deutschland AG, Unterföhring
  4. Bertrandt Ingenieurbüro GmbH, Köln


Anzeige
Top-Angebote
  1. 89,49€ (nur für Prime-Kunden)
  2. 579€
  3. und mit Gutscheincode bis zu 40€ Rabatt erhalten

Folgen Sie uns
       


  1. Raja Koduri

    Intel zeigt Prototyp von dediziertem Grafikchip

  2. Vizzion

    VW zeigt selbstfahrendes Auto ohne Lenkrad

  3. iOS, MacOS und WatchOS

    Apple verteilt Updates wegen Telugu-Bug

  4. Sicherheitslücken

    Mehr als 30 Klagen gegen Intel wegen Meltdown und Spectre

  5. Nightdive Studios

    Arbeit an System Shock Remake bis auf Weiteres eingestellt

  6. FTTH

    Landkreistag fordert mit Vodafone Glasfaser bis in Gebäude

  7. Programmiersprache

    Go 1.10 cacht besser und baut Brücken zu C

  8. Letzte Meile

    Telekom macht Versuche mit Fixed Wireless 5G

  9. PTI und IBRS

    FreeBSD erhält Patches gegen Meltdown und Spectre

  10. Deutsche Telekom

    Huawei und Intel zeigen Interoperabilität von 5G



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Fe im Test: Fuchs im Farbenrausch
Fe im Test
Fuchs im Farbenrausch
  1. Mobile-Games-Auslese GladOS aus Portal und sowas wie Dark Souls für unterwegs
  2. Monster Hunter World im Test Das Viecher-Fleisch ist jetzt gut durch
  3. Indiegames-Rundschau Krawall mit Knetmännchen und ein Mann im Fass

Materialforschung: Stanen - ein neues Wundermaterial?
Materialforschung
Stanen - ein neues Wundermaterial?
  1. Colorfab 3D-gedruckte Objekte erhalten neue Farbgestaltung
  2. Umwelt China baut 100-Meter-Turm für die Luftreinigung
  3. Crayfis Smartphones sollen kosmische Strahlung erfassen

Samsung C27HG70 im Test: Der 144-Hz-HDR-Quantum-Dot-Monitor
Samsung C27HG70 im Test
Der 144-Hz-HDR-Quantum-Dot-Monitor
  1. Volumendisplay US-Forscher lassen Projektion schweben wie in Star Wars
  2. Sieben Touchscreens Nissan Xmotion verwendet Koi als virtuellen Assistenten
  3. CJ791 Samsung stellt gekrümmten Thunderbolt-3-Monitor vor

  1. Re: nur Windows 10, nur Windows Store?

    ArcherV | 06:57

  2. Re: Kein brauchbares Elektrofahrzeug am Start...

    Wurzelgnom | 06:54

  3. Echtzeit Strategie ist wohl entgültig tot

    gokzilla | 06:52

  4. Re: Schließung des Forums

    AllDayPiano | 06:43

  5. Anonymous, bitte helft mir

    Torf | 06:36


  1. 06:37

  2. 06:27

  3. 00:27

  4. 18:27

  5. 18:09

  6. 18:04

  7. 16:27

  8. 16:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel