• IT-Karriere:
  • Services:

Unsicherheit bei Flugbuchungen: "Greift mehr Legacy-Systeme an"

Hacker sollen mehr Legacy-Systeme angreifen - zumindest wenn es nach Karsten Nohl geht. Der Sicherheitsforscher zeigte auf dem 33C3, wie leicht sich Flugbuchungen manipulieren lassen

Artikel veröffentlicht am ,
Die PNR-Systeme liefen früher auf Mainframe-Rechnern und haben in puncto Sicherheit wenig dazugelernt.
Die PNR-Systeme liefen früher auf Mainframe-Rechnern und haben in puncto Sicherheit wenig dazugelernt. (Bild: Wikimedia Commons)

Die Sicherheitsforscher Karsten Nohl und Nemanja Nikodijevic haben auf dem Chaos Communication Congress (33C3) in Hamburg Sicherheitslücken in gängigen Flugbuchungssystemen aufgezeigt. Die Enthüllungen haben bereits Konsequenzen. Hacker Nohl rief die Anwesenden auf, mehr Legacy-Systeme auf Sicherheitslücken zu überprüfen.

Stellenmarkt
  1. Volksbank Lahr eG, Lahr
  2. WAHL GmbH, Unterkirnach bei Villingen-Schwenningen

Bei den Buchungssystemen der Fluggesellschaften handelt es sich um von mehreren privaten Firmen betriebene, untereinander verwobene Systeme, die zum Teil bereits in den 60 und 70er Jahren aufgebaut wurden. Bis heute hat sich an der Struktur und den Sicherheitsmechanismen der damaligen Mainframe-Systeme nur wenige geändert, wie uns der Flugexperte Edward Hasbrouck in einem Interview erläuterte. In den Systemen werden sämtliche relevante Reiseinformationen der Fluggäste im sogenannten Passenger-Name-Record (PNR) gespeichert.

Nohl und sein Kollege Nikodijevic nutzten diese Schwächen aus. Weil die Buchungscodes der verschiedenen Systeme nur sechs Stellen haben und teils vorhersehbar sind, können die zugehörigen Informationen per Bruteforce-Angriff ermittelt werden. Die Buchungssysteme haben meist keinen oder nur unzureichenden Schutz vor Bruteforce-Angriffen, so dass Angreifer zu häufigen Nachnamen wie Smith recht einfach die passenden Buchungscodes finden können.

Ist der entsprechende Eintrag gefunden, dient der sechsstellige Buchungscode als Passwort, der Nachname meist als Benutzername. Nur wenige Fluggesellschaften haben zusätzliche Absicherungen. Ursprünglich wollten die beiden Hacker die Probleme live auf der Seite des PNR-Betreibers Amadeus demonstrieren - doch der schaltete die Seite pünktlich zur geplanten Vortragszeit ab.

"Diese Firma hat nie Websecurity gemacht"

In den vergangenen Wochen habe das Unternehmen versucht, zusätzliche Absicherungen einzubauen, sagte Nohl. Doch das funktioniert offenbar nur zum Teil. "Wir haben es hier mit einer Firma zu tun, die noch nie Web IT-Security gemacht hat", sagte Nohl.

Gelingt der Angriff und der Zugriff auf den PNR, können Angreifer nicht nur die geplante Flugroute und andere private Informationen sehen, sondern manche Flüge auch umbuchen oder stornieren. Innerhalb des Schengen-Raumes werden nur selten Ausweispapiere vor dem Boarding gefordert. Außerdem sei es möglich, betrügerische Meilenkonten zu hinterlegen, um illegal Meilen zu sammeln.

Zum Abschluss seines Vortrages rief Nohl die anwesenden Hacker auf, sich mehr um sogenannte Legacy-Systeme zu kümmern, als immer dem letzten Jailbreak hinterherzurennen, "der dann sowieso drei Tage später gefixt wird". Alte Systeme wie die Infrastruktur von Mobilfunknetzen, bestimmte Zahlungsdienste und das Transportwesen würden das Leben von Menschen in vielerlei Weise beeinflussen, würden aber von der Hacker-Szene zu wenig auf Sicherheitslücken geprüft.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Mobile-Angebote
  1. 314€ (Bestpreis!)
  2. 431,10€ (mit Rabattcode "PFIFFIGER" - Bestpreis!)
  3. 183,32€ (mit Rabattcode "PFIFFIGER" - Bestpreis!)
  4. 219€ (Bestpreis!)

twothe 29. Dez 2016

Das stimmt, aber die Wahrscheinlichkeit das ein Angreifer ein unbekanntes System angreift...


Folgen Sie uns
       


Flight Simulator Grafikvergleich (Low, Medium, High, Ultra)

Wir haben einen Start von New York City aus in allen vier Grafikstufen durchgeführt.

Flight Simulator Grafikvergleich (Low, Medium, High, Ultra) Video aufrufen
Radeon RX 6800 (XT): Das Unboxing als Gelegenheit
Radeon RX 6800 (XT)
Das Unboxing als Gelegenheit

Am 18. November 2020 erscheinen die Radeon RX 6800 (XT) . Wir zeigen vorab, welche Grafikkarten, Apps und Spiele wir einsetzen.
Von Marc Sauter

  1. Radeon RX 6000 AMD sieht sich in Benchmarks vor Nvidia
  2. Big Navi (RDNA2) Radeon RX 6900 XT holt Geforce RTX 3090 ein
  3. Navi-21-Grafikkarte RX 6900 XT tritt mit 5.120 Shadern und 16 GByte an

Linux-Distributionen: Warum ein Sicherheitsfix drei Jahre nicht ankam
Linux-Distributionen
Warum ein Sicherheitsfix drei Jahre nicht ankam

Ein Buffer Overflow in der Bibliothek Raptor zeigt, wie es bei Linux-Distributionen im Umgang mit Sicherheitslücken manchmal hakt.
Von Hanno Böck


    Apple Silicon: Was der M1-Chip kann und bedeutet
    Apple Silicon
    Was der M1-Chip kann und bedeutet

    Auch wenn das Marketing unnötigerweise irreführend ist, die Performance des Apple Silicon fällt dennoch sehr beeindruckend aus.
    Eine Analyse von Marc Sauter

    1. Apple So wird MacOS auf M1-Macs neu installiert
    2. Apple Wiederherstellung von MacOS auf Macs mit M1 schlägt fehl
    3. Apple Silicon Photoshop und WoW laufen nativ auf M1-Chip

      •  /