Abo
  • Services:

Unsicherheit bei Flugbuchungen: "Greift mehr Legacy-Systeme an"

Hacker sollen mehr Legacy-Systeme angreifen - zumindest wenn es nach Karsten Nohl geht. Der Sicherheitsforscher zeigte auf dem 33C3, wie leicht sich Flugbuchungen manipulieren lassen

Artikel veröffentlicht am ,
Die PNR-Systeme liefen früher auf Mainframe-Rechnern und haben in puncto Sicherheit wenig dazugelernt.
Die PNR-Systeme liefen früher auf Mainframe-Rechnern und haben in puncto Sicherheit wenig dazugelernt. (Bild: Wikimedia Commons)

Die Sicherheitsforscher Karsten Nohl und Nemanja Nikodijevic haben auf dem Chaos Communication Congress (33C3) in Hamburg Sicherheitslücken in gängigen Flugbuchungssystemen aufgezeigt. Die Enthüllungen haben bereits Konsequenzen. Hacker Nohl rief die Anwesenden auf, mehr Legacy-Systeme auf Sicherheitslücken zu überprüfen.

Stellenmarkt
  1. Hochschule Albstadt-Sigmaringen, Albstadt
  2. Hays AG, Frankfurt am Main

Bei den Buchungssystemen der Fluggesellschaften handelt es sich um von mehreren privaten Firmen betriebene, untereinander verwobene Systeme, die zum Teil bereits in den 60 und 70er Jahren aufgebaut wurden. Bis heute hat sich an der Struktur und den Sicherheitsmechanismen der damaligen Mainframe-Systeme nur wenige geändert, wie uns der Flugexperte Edward Hasbrouck in einem Interview erläuterte. In den Systemen werden sämtliche relevante Reiseinformationen der Fluggäste im sogenannten Passenger-Name-Record (PNR) gespeichert.

Nohl und sein Kollege Nikodijevic nutzten diese Schwächen aus. Weil die Buchungscodes der verschiedenen Systeme nur sechs Stellen haben und teils vorhersehbar sind, können die zugehörigen Informationen per Bruteforce-Angriff ermittelt werden. Die Buchungssysteme haben meist keinen oder nur unzureichenden Schutz vor Bruteforce-Angriffen, so dass Angreifer zu häufigen Nachnamen wie Smith recht einfach die passenden Buchungscodes finden können.

Ist der entsprechende Eintrag gefunden, dient der sechsstellige Buchungscode als Passwort, der Nachname meist als Benutzername. Nur wenige Fluggesellschaften haben zusätzliche Absicherungen. Ursprünglich wollten die beiden Hacker die Probleme live auf der Seite des PNR-Betreibers Amadeus demonstrieren - doch der schaltete die Seite pünktlich zur geplanten Vortragszeit ab.

"Diese Firma hat nie Websecurity gemacht"

In den vergangenen Wochen habe das Unternehmen versucht, zusätzliche Absicherungen einzubauen, sagte Nohl. Doch das funktioniert offenbar nur zum Teil. "Wir haben es hier mit einer Firma zu tun, die noch nie Web IT-Security gemacht hat", sagte Nohl.

Gelingt der Angriff und der Zugriff auf den PNR, können Angreifer nicht nur die geplante Flugroute und andere private Informationen sehen, sondern manche Flüge auch umbuchen oder stornieren. Innerhalb des Schengen-Raumes werden nur selten Ausweispapiere vor dem Boarding gefordert. Außerdem sei es möglich, betrügerische Meilenkonten zu hinterlegen, um illegal Meilen zu sammeln.

Zum Abschluss seines Vortrages rief Nohl die anwesenden Hacker auf, sich mehr um sogenannte Legacy-Systeme zu kümmern, als immer dem letzten Jailbreak hinterherzurennen, "der dann sowieso drei Tage später gefixt wird". Alte Systeme wie die Infrastruktur von Mobilfunknetzen, bestimmte Zahlungsdienste und das Transportwesen würden das Leben von Menschen in vielerlei Weise beeinflussen, würden aber von der Hacker-Szene zu wenig auf Sicherheitslücken geprüft.



Anzeige
Hardware-Angebote
  1. bei Alternate.de
  2. 107,85€ + Versand
  3. 120,84€ + Versand
  4. täglich neue Deals bei Alternate.de

Folgen Sie uns
       


Always Connected PCs angesehen (Windows 10 on ARM)

Mit einer neuen Plattform will Microsoft noch einmal ARM-basierte Geräte als Notebook-Alternative auf den Markt bringen. Dieses Mal können auch zahlreiche alte Programme ausgeführt werden.

Always Connected PCs angesehen (Windows 10 on ARM) Video aufrufen
Dell XPS 13 (9370) im Test: Sehr gut ist nicht besser
Dell XPS 13 (9370) im Test
Sehr gut ist nicht besser

Mit dem XPS 13 (9370) hat Dell sein bisher exzellentes Ultrabook in nahezu allen Bereichen überarbeitet - und es teilweise verschlechtert. Der Akku etwa ist kleiner, das spiegelnde Display nervt. Dafür überzeugen die USB-C-Ports, die Kühlung sowie die Tastatur, und die Webcam wurde sinnvoller.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Ultrabook Dell hat das XPS 13 ruiniert
  2. XPS 13 (9370) Dells Ultrabook wird dünner und läuft kürzer
  3. Ultrabook Dell aktualisiert XPS 13 mit Quadcore-Chip

P20 Pro im Kameratest: Huaweis Dreifach-Kamera schlägt die Konkurrenz
P20 Pro im Kameratest
Huaweis Dreifach-Kamera schlägt die Konkurrenz

Mit dem P20 Pro will Huawei sich an die Spitze der Smartphone-Kameras katapultieren. Im Vergleich mit der aktuellen Konkurrenz zeigt sich, dass das P20 Pro tatsächlich über eine sehr gute Kamera verfügt: Die KI-Funktionen können unerfahrenen Nutzern zudem das Fotografieren erleichtern.
Ein Test von Tobias Költzsch

  1. Android Huawei präsentiert drei neue Smartphones ab 120 Euro
  2. Wie Samsung Huawei soll noch für dieses Jahr faltbares Smartphone planen
  3. Porsche Design Mate RS Huawei bringt 512-GByte-Smartphone für 2.100 Euro

HP Z2 Mini Workstation G3 im Test: Leises Rauschen hinterm Monitor
HP Z2 Mini Workstation G3 im Test
Leises Rauschen hinterm Monitor

Unterm Tisch, auf dem Tisch oder hinter den Bildschirm geklemmt: HPs Z2 Mini Workstation ist ein potentes, wenn auch nicht gerade sehr preiswertes Komplettsystem. Den Preis ist der PC aber wert, denn er ist leise, modular und kann einfach gewartet werden. Der Admin dankt!
Ein Test von Oliver Nickel

  1. HP Pavilion Gaming Hardware für Gamer, die sich Omen nicht leisten wollen
  2. Chromebook x2 HP präsentiert Chrome-OS-Detachable mit Stift
  3. Laserjet Pro M15w und M28w HPs Laserdrucker schrumpfen auf 34 Zentimeter Länge

    •  /