AusweisApp gehackt (Malware über Autoupdate)
Gestern Abend wurde die AusweisApp freigegeben, und damit stand fest: Das wird für mich eine lange Nacht. Ich habe mir eine schöne Liste möglicher Angriffe zurechtgelegt. Wenn die einzelnen Angriffe klappen, werden sie einige hässliche Dinge ermöglichen. Ich bin mir recht sicher, dass einer der Angriffe in der Lage sein wird, die PIN und evtl. die aufgedruckte Kartenzugangsnummer zu klauen, ohne dass (wie beim CCC-Angriff) der Rechner des Nutzers verseucht werden muss. Ein anderer Angriff erlaubt es eventuell, dem Nutzer vorzutäuschen, dass er sich für etwas harmloses ausweist, während der Angreifer mit dessen Identität einkaufen geht. Eventuell kann man so auch ein Signaturzertifikat für die qualifizierten elektronischen Signaturen mit dem Namen des Opfers bekommen.
Da ich allerdings weder Lesegerät noch ePerso habe, konnte ich die Angriffe nicht ausprobieren. Also habe ich mir stattdessen die AusweisApp selbst vorgenommen. Von besonderem Interesse war dabei die Updatefunktion. Kann ein Angreifer diese kontrollieren, könnte es ihm gelingen, Malware auf dem Rechner des Users einzuspielen. Das wissen natürlich auch die Entwickler, und deswegen ist die Updatefunktion ordentlich gesichert: Zunächst wird vom Updateserver über eine HTTPS-geschützte Verbindung eine Versionsdatei geholt. Dort wäre für einen Angreifer normalerweise Schluss, denn HTTPS ist (halbwegs) sicher. Der Client überprüft auch, ob das Zertifikat gültig ist – da hört es aber auch schon auf. Der Client prüft nicht, ob das Zertifikat auch zum Servernamen passt! Somit braucht der Angreifer nicht ein gültiges Zertifikat für den Updateserver (welches er hoffentlich nicht bekommen sollte), sondern ein beliebiges gültiges Zertifikat (z. B. für seine eigene Website, welches er selbstverständlich bekommt – Nachtrag: Wir reden hier über gewöhnliche SSL-Zertifikate die es an jeder Ecke gibt, nicht über irgendwelche eID-Berechtigungszertifikate!). Das ist übrigens ein Fehler den man in Java leicht machen kann: Die eingebauten Libraries prüfen soweit ich weiß das Zertifikat, aber den Hostnamen muss man ausdrücklich selbst prüfen.
Mittels einer DNS-Manipulation (für die es im praktischen Einsatz zahlreiche Wege gibt, DNS ist ein völlig unverschlüsseltes Protokoll – zur einfachen Demonstration kann man die Hostsdatei manipulieren) können wir nun den Client überreden, sich zu unserem falschen Update-Server zu verbinden und dessen Zertifikat akzeptieren. Da ich kein eigenes SSL-Zertifikat habe, habe ich einfach das genommen, dessen Key Akamai vor ein paar Jahren freundlicherweise (unfreiwillig) öffentlich gemacht hat. Damit dieses Zertifikat als gültig angesehen wird, muss die Uhr auf dem Client verstellt werden – mit einem aktuellen Zertifikat würde das anders aussehen. (Ich hab auch noch andere, ebenfalls leider abgelaufene, Zertifikate getestet.)
Der Updatefunktion kann nun eine manipulierte Antwort untergeschoben werden, welche sie anweist, eine Datei von einer beliebigen URL herunterzuladen und zu installieren. Der Updater erwartet hierbei eine ZIP-Datei. Diese wird entpackt und dann sollte eigentlich eine bestimmte .msi-Datei darin ausgeführt werden. Hier waren die Entwickler allerdings schlau genug, noch eine Signatur einzubauen, die vor dem Ausführen geprüft wird. Hier ist also eigentlich wieder einmal Schluss. Allerdings wird die ZIP-Datei vor der Signaturprüfung bereits entpackt, und ZIP-Dateien können relative Pfadangaben enthalten. Mit einem (per Hexeditor) in der ZIP-Datei eingebauten „../../“ kann man aus dem temporären Verzeichnis ausbrechen und somit beliebige Dateien ins Dateisystem schreiben (directory traversal). Beispielsweise eine Schadsoftware ins Autostartverzeichnis. Vorhandene Dateien werden übrigens gnadenlos überschrieben.
Ein Dolev-Yao-Angreifer, d.h. ein Angreifer, welcher den Netzwerkverkehr beliebig manipulieren kann, jedoch nicht in der Lage ist als sicher geltende Verschlüsselung zu brechen oder den Client des Opfers vorher zu manipulieren, kann somit aufgrund zweier Implementierungsfehler in der AusweisApp über die Auto-Update-Funktion Schadsoftware einspielen.
Der Angriff ist gegen die aktuelle AusweisApp getestet, die sich bei der Installation als 1.0.1, beim Update als 1.0.0 identifiziert.
Diese Lücke können die Entwickler natürlich relativ einfach schließen. Aber was ist mit den anderen, sicherlich noch vorhandenen, unentdeckten Lücken? Mitgeliefert wird beispielsweise eine Java-VM der Version 6 Update 18 – aktuell ist Update 22. Die Kryptographie des Personalausweises selbst mag bewiesen sicher sein. In den umliegenden Protokollen jedoch erwarte ich die ein oder andere Lücke, von denen sich einige leicht, andere vielleicht gar nicht nachträglich stopfen lassen. Der Panzerschrank mag absolut unknackbar sein – was aber, wenn der Angreifer einfach den Besitzer unter falschem Vorwand bittet, ihn aufzuschließen, und/oder den ganzen Schrank mitnimmt?
Ich bedanke mich jedenfalls für diese nette Herausforderung der heutigen Nacht. Gute Sicherheitsmaßnahmen mit kleinen unscheinbaren Löchern, die kreative Kombinationen von Angriffen erfordern, nicht trivial, aber machbar. Genau nach meinem Geschmack. Hat Spaß gemacht! Den Preis, den diese Wirtschaftsförderungsmaßnahme gekostet hat, ist das allerdings nicht wert.
Die Dateien zum Demonstrieren des Angriffs gibts hier als base64-encodetes ZIP-File:
_=_ _=_ Part 001 of 001 of file ausweisapp-updatehack.zip _=_ UEsDBBQAAgAIAOETaT2eURg3hAAAALAAAAAVAAAAdXBkYXRlLW1ldGFzZXJ2ZXIuYmF0TY5BCsIw EEX3gdxhLjChaBciLryASw8wpJMYWpMymUa9vRgRhL/57y3+P7O/FSghWHOkHChHazq6rhMp44WV KktjgZYIsieFR5IJIlclUVbnnDWdI9a6oGdRoJnulHbDcHBefmbm17/4VFxgHPeArSfDCba+K1zX kis7fao1sWiB77s3UEsDBBQAAgAIALMaaT1h0JRCYgIAAM0EAAASAAAAdXBkYXRlcmVzcG9uc2Uu dHh0jVRdT9swFH0mUv+DVaT1AYiT0gH12qDRwiZBNwSF7W1yk0vrNbUj2yGUX7/rJmmzPkxTHmKf e865H73p1+n0noZ+SLpBQL7ftrxH0K+gGckKyeeAoaDljbkFRqY5HJMwJI+QOXZIwjPWC1jYJ18m 05Y3UtKCtCfTdYZkC2+Wvq3SHX4Hcm4XDB2CXsvzBpcYJZjKCCWHHczTISBjlQg5H3Zy+3Jy0bmM vIFRPAP5yq7lK6QqA4IyaVgFD9sLazNGqYkXsOLGx6gL+UrPqTtQqHS03TC7Uskar9J02WgB8fJG 8xUUSi+fsgR7fQCTKWnqXEjb5imKwp8Z4c9ymfgJUIi5TijPhBtieys4/UtQnG7qwaEFNOi7sSRG zA939N6wnWvJhFHM2MS9TwTErNs7754zC/GClf1VipKtuBEoxsoNszFLjGE4RRYrDTUde8Re8tRG 3kF1mvDfSkf/0U1A9UawcoJDtRzQpoFXX6sxloObqCRPwSVzWHn7hgVGI2HFO8hRKnAVfqE5Pu8i G9A9Xq10OZ7L3YjCitXEap6QOyyoeE2s4j3ms1UTriz34Yo9BhNrkVkH3SqD25sqA5qMVYEnnpCX oyNNPqT200zTaPOOfgiZqMKQn/fH5FkYy4/PXYDOIkLJWZ9MrsqUTe8qXTm6ey2UFnYdTbjEu9Lr UrAXrTQ3Asfc8g6q9lSuY3h6uKt/17Df9cOzC/9j4Ie4c/nGY8Hj5W7oO03tUmb6HG9qu36DOLfQ rKGK1HTsxArJHeZctu01QayWbsv1mmb1ppTYvz5Cx9n7bun+nwKOwj1/AFBLAwQUAAIACAD2E2k9 H6aICXAAAACNAAAAEQAAAHVwZGF0ZS1zZXJ2ZXIuYmF0c0hNzshXyE9L4+VKTlHIKEnJTy7m5QIL BlSWZOTn6YanJhWnFpWlFimUZxalKKSnFpckFpWklujp6QH1WMVAlBmZxRSAGXqpFakKuskKSpm5 BflFJQrBQDon1SMkJCAYbIo1uoBeCdBEDU0lBQsDAFBLAwQKAAAAAADQG2k9AAAAAAAAAAAAAAAA BwAAAGh0ZG9jcy9QSwMEFAACAAgA4xtpPYDhQXusAQAAaAgAABUAAABodGRvY3MvdXBkYXRlaGFj ay56aXAL8GZm4WIAgVm8mbYMSIAZiPX09APgCmZIoypggyhAUfMazRA+uBrHggKXxJJEPGrFMNQG 5SfmZual49GjgFOPb2ZyUX5xfloJHt0aROgOz8xLyS8vxmOKMQmmBJckFpUo+KbmleIx0IZMA4vy 04sSc5GdekoQ1WQXCk0Gi5UWgG0QYWBi4GA4ALSBbceRVdJAk+WAOIRKNvg6+oQ7BrnGe7gGueqV VJRwfy/42t3/hb+Xv6i0pJP/4weetg+P/h7+GxPLgPDuYbSA5Ic7Bmxsbp0hUticQFMsiUUxxFW5 qUjaLqEFqTI+bY6lJfnFIGE8IWZMnAEkBQgjkwgD7lwNAQIKEBqcfxEasOVyhAZFpDyP0IMt1yP0 uGIpA3DrFUPRW4inTMBthgKKGUuJKiNwm6aBYtpjksoM3KYao5iqyUhmGYLbAhsUC6oYKS1TEDZh K1UQNl1hpFYZA7IRdykDAowMCkAbzZhoU+Yg+xlb0YLw82EmLAUNQjO2ogah+QMT3oIHYQy2ogdh jDozkQUR7mA1RgnWDGayCqYAb1Y2SCHAx1DHAkwP4CIHAFBLAwQUAAIACAAHBrE42Ql9fZsDAAAS BQAADgAAAGFrYW1haTIwMDguY3J0bZTLjqpKGEbnJLzDmXc6DQjaDPagbiBIoSAXccZFARXQVinh 6U/Z9s4+J9mV1ORPoL6sWl+9v/MFiWm5/yDiB5ZhIRCQ5/BdFKhl4TJACNwvJWAWBKVF4JDHcwxc WB4v1bE2dSZB4IUGwFCm3pUhL8GR55mE2ZEohCNJKExMIIcEVXTly75hEbfPW9jnjSGlsX6n65zZ r68c8tDmEQlLb3Kqtxs7FIW8jcYCwSBTHnJhnvqspVeLnO7JoD6sEVSwdCMIaGAei9BfQ7yL7VN+ 8odi40oWKa6ikCl2lSG4zhRdolDd4ABMaAAGFxOJHsLBNbrnTP0z8wY36lgQEIeCoykKz/SwoiiK 6MM6gPJ1ZheYofGVxHKVrmG4jd0ua/RrphTn7eZPRvMAElH4nZLEhJ9R3rdrrUoV45bEx3vWRBK1 zD0FkonWF3NtZRPskSdVAFTTBRhBUai9BSw91OpaodyMGnXD4fih3uHuNNpfxgiTUTrARWzcNHn3 kQZHY69KenhFRvu2umtFLAqf9HDcD2m9q1J9WlLSx0pSu1/FV/f5kLSI/wgsgqoyfAVLePD7xLm9 2aF2yCcjGHtf5hlkOF1eLrNJMPP3DzThqNvl9jS7nvLWXywUFGYkMPs8LM9UPeXMYBYGHoCdakEf I8RJhuBliC8FEFiMWxM82czXgAQYLigpOYOrCTwPXgMVAgxmFB9NhJ6z0OAkuYdGLXfF3GfL+rMv JsXEaaGcNI9zMsjSyxftkClS78kwcCT9ljWn79t3mkriPsSMIfadYcUhY1CGJedvv3LwBAlh+6mh nec5K34c+K8BomBiEP92AEsv77KJzfiuvh09kJai8GX9g+5+rNeSJhqiuc1J5hOvDBX9Wmz8c6Zo o4OgnTWUd4Ey69UFTB7n/3XhpwnzzNRrUUhiVoaN3hcWb2waMv9FdQ+xylYYTDtcl26XSOncl3Lc 9Q7nVAwaK2L7msb0JgoFT8Jz3BNFvzmK26ZruU5jlVOzqTNajAZlnyg+cxp3yP7SeH6bYMmdBPVi lplnw4JfxxFowUc5hubOabTNvZnpEjubxeWDII0ZdBtr8K3ttDJNrIXKnbxu2TC1tNWyppVXvc1J xnVdfhZZZhhRr8HtqLHLpmxNDUlFERudelgjz/CPTrhzSeaLwnDprbHRTCM6bLU3eTbYY1uHSbp1 usNybIvyknwuTDgkfdV6Uy1feb9+icL3A0dc/JdH719QSwMEFAACAAgA4gWxOJ1Lj5+1AgAAdwMA AA4AAABha2FtYWkyMDA4LmtleW2Tx46DSABE73zF3NHIAbDh2DRNNGCy4WaTo4Emf/3O7nnrWlLp qaT3+/sXHkmK8WM74OdpKz5w0Y+Gwn+LX0JXFPiyFB4Ajc8t2HFMcp3EEn73qj7RM582hzqKBx8e 54rXAnFiLunp7dZiRp85D0NC7MjnzCQBq1d1tr/LtHhzt1xHS3ANS2NMxi+7nRn/bwdoblGI9lU4 C7u9hI+JVD2mImLqAMdiX8oLfzOH4U65dzvbIBWoTWdGzR03cWdr2hV6H+RKS+zlvU438SquigAs wBPgK4HUl467KUoPw2c/cJTxIwgpSpY/Xvxtg55Zb0ZF0RDRRlvs+MZHS9lL1YktbolDsEuKIPpc pzIIJWWLGHU4z0tbKvhTRubL0gO5bx2NZ3NOH7WLy1n0Md+1iQ7FOQiCjDiWR3CFwfzZb1ORgI2c B6cyVcw4YbO3iWnEumewj3f77PingqBlCUltCWwnf5e9bUaiALrue6JaxH5Stxw+H9DWH9/UMTZ2 74D5qSSvHbV3Iaj1pHXnFdApObQKMs71VkOFmJvllcr8AmoE1kJp6tV/zl075u3oNq91gj0FySHG 5KPakqq7MAUXorzbltvjrECICbogD67f1rJ2KqnlXKveaUNJ7rBM8IQxebVUHmhP2Se5cqfYXIXu Vgic0aTCSbYRQ5D+xCLjBpVGDutcZ/ETMIfgKJfIe5vba2JSs7DY+5AvtylQhjJ+tbnKTXvF1n9/ wIxgKDl+6ijr43fpsQIdUQbjTt24H/W4j/dtyL79K7DqrzFSsGeivtNw3AkShZsTJi1MIMManHe/ RZ8VJfgqfrm5BzXw12g1BujzXucs40sbMk66MugPzexZXPF7srwRTYOYsFNID/b2zJJOHoWA0wdJ 8xQJBQFW4BT3kpS5TpUmUas3xH/6IEP4f63+AVBLAwQUAAIACABgIGk9ajmUCw4CAABsAwAACgAA AFJFQURNRS50eHRtUk1vGjEQva/Ef5hwAilrpbQlFTcapH6lDQqBVlEuhp0FF+94ZY+7CT+cUw4d LwghtZf1yn7zZua9N44lFFhBd0xrj6ZE383vcbUh9NCgL5BgibRns+ZRJ4Mcpi+8cQQDNQRDcDN6 qtuLwfCpfaaVZjAVTEtddLJO9kbBOIYGTdB1DVq6PRq0/tjBUGBtrUGP1MkGCpqmUfqEV8tIhSoQ 5IDCNWSdLv73nnjPNoBYWTQss/d2Cj4q2LjAoTQW+53srYK7tBdbs9ogPKJnU5qtZgQ0tNRRylwh wxUGYb7xLXmS6HzwXfSvq21gtFbgCfFVU9QeBldXH6C3RAOL7432ODqe+YNzNgCbCiG80EpqwoVM 805BrAtp7jHUjgIqfmbQVOsQ0vyT49b5/P72Em4cyVac3yKteSPl75O8/zgIybbZ3XgqVibWtE3v 0CavkHVA/we9WmruH6QVeHfevnfzWft4wp9jxSzPyanhydWxuHq8bqmCiHrciMC2S6hOdq3gSyUl 7FosBGet6P0becdJdYQHfOZUZEDSsEa6bOVv2UjLJ4Eq+IHxQLAvS0JWMNEBtnsSVUTQAwwWxscA QX5VSuAnZBSjGCrD8NPQrylMMHIQ9Gwqkft2Vh7lzyfQNZSRtmwctdkUNWh95Om3rAsJg9xPNG2h fD2ERSYSos/oxdvSSca8VF0kdJ6nfPwFUEsBAhQAFAACAAgA4RNpPZ5RGDeEAAAAsAAAABUAAAAA AAAAAQAgIAAAAAAAAHVwZGF0ZS1tZXRhc2VydmVyLmJhdFBLAQIUABQAAgAIALMaaT1h0JRCYgIA AM0EAAASAAAAAAAAAAEAICAAALcAAAB1cGRhdGVyZXNwb25zZS50eHRQSwECFAAUAAIACAD2E2k9 H6aICXAAAACNAAAAEQAAAAAAAAABACAgAABJAwAAdXBkYXRlLXNlcnZlci5iYXRQSwECFAAKAAAA AADQG2k9AAAAAAAAAAAAAAAABwAAAAAAAAAAABAgAADoAwAAaHRkb2NzL1BLAQIUABQAAgAIAOMb aT2A4UF7rAEAAGgIAAAVAAAAAAAAAAAAICAAAA0EAABodGRvY3MvdXBkYXRlaGFjay56aXBQSwEC FAAUAAIACAAHBrE42Ql9fZsDAAASBQAADgAAAAAAAAABACAgAADsBQAAYWthbWFpMjAwOC5jcnRQ SwECFAAUAAIACADiBbE4nUuPn7UCAAB3AwAADgAAAAAAAAABACAgAACzCQAAYWthbWFpMjAwOC5r ZXlQSwECFAAUAAIACABgIGk9ajmUCw4CAABsAwAACgAAAAAAAAABACAgAACUDAAAUkVBRE1FLnR4 dFBLBQYAAAAACAAIAOoBAADKDgAAAAA=
(SHA1: 22b96851042bfece3c641851eaa6e890a7b28bff)
Kontakt/Fragen bitte über die Kommentarfunktion wenn es Zeit hat oder per Jabber (XMPP, Google Talk) an janschejbal at jabber.ccc.de (das ist keine Mailadresse!) wenn es dringend ist. Telefon ist ungünstig. Notfalls geht auch Mail an janhomepage [at] gmx punkt net.
Jan Schejbal 
Vielen Dank für den informativen Text! Ich hoffe man liest in Zukunft weiteres zum neuen Perso bei dir.
Gruß
Alex
Good job :)
Schön, einen kompetenten Kollegen bei der Arbeit zu beobachten.
Weitermachen!
Gruss,
Jan
Der Aufwand lohnt sich aber erst wenn man nicht direct über den java vm updater geht.
Die https sniffen garnicht mal mitgedacht.
Vielen Danke für deine Mühe. Ich hoffe das war es wert und der Hack schlägt große Wellen.
Wow, das ist spannend. Ich hoffe, du berichtest noch häufiger auf deiner Seite von solchen Sicherheitslücken.
Immer spannend zu lesen, wie Kreativität und Technik-Know-How zusammenspielen.
Blöderweise reicht das überprüfen des Hostnames auch nicht so sonderlich weit. Es gibt viel zuviele Organisationen, welche beliebige Hostnamen da reinschreiben können und es auch tun. Siehe http://news.bbc.co.uk/2/hi/8161190.stm.
Ja, deswegen haben die ja zum Glück noch die zweite Sicherheitsebene. Wenn die das directory traversal patchen geht das dann wieder. Dann muss ich halt das nächste Loch suchen.
„ohne dass (wie beim CCC-Angriff) der Rechner des Nutzers verseucht werden muss.“
Stimmt ja nicht so ganz, wenn Du Schadsoftware per Autoupdate verteilst. Dadurch wird der Rechner ja auch verseucht. Im Übrigen ist die AusweisApp ja auch ClosedSource und somit Schadsoftware.
Nein, der Angriff zum PIN klauen ist von der Autoupdate-Geschichte unabhängig und dürfte tatsächlich ohne jegliche Softwareinstallation oder sonstige Eingriffe gehen. Es ist so simpel dass es wehtun wird.
Nach dem Lesen dieses Artikels stellt sich mir eine Frage:
Wo ist der Flattr-Knopf?
Super Arbeit, hoffe das kommt auch in die Printmedien.
Technisch ist Flattr hier AFAIK leider nicht möglich. Printmedien könnte man als „in Arbeit“ bezeichnen :D
Sehr schön. Als Hacker kann man sich darauf freuen, endlich Lesegeräte und Personalausweis in den Händen zu halten. :>
Hallo Jan,
Danke für die tolle Arbeit! :) Das Piratenradio würde darüber gerne eine Sendung machen, mit Dir als Gesprächspartner, wenn Du Interesse hast. :) Ein Kontakt (mit Hackbard) wg. Terminabsprache erfolgt gesondert, dies hier nur für alle ersichtlich zur Transparenz. ;)
Gruß
Infosocke
Hallo,
interessant, aber was heisst das:
Somit braucht der Angreifer nicht ein gültiges Zertifikat für den Updateserver (welches er hoffentlich nicht bekommen sollte), sondern ein beliebiges gültiges Zertifikat (z. B. für seine eigene Website, welches er selbstverständlich bekommt).
Das Zertifikat, um die Berechtigung für den elektronischen Identitätsnachweis nutzen zu können, so so einfach nämlich nicht zu bekommen.
Hier reden wir von gewöhnlichen SSL-Zertifikaten. Wenn du einen Domainnamen hast, ist es eine Sache von 30 Minuten und ggf. einem zweistelligen Betrag.
Fefe meint:
„So eine Autoupdatefunktion einer Ausweis-Äpp wäre ja auch genau die Infrastruktur, die man für die Installation des Bundestrojaners braucht.“ (http://blog.fefe.de/?ts=b227a1e3)
Insofern ist die ganze Anwendung auch ohne Sicherheitslücke Schadsoftware, wie weiter oben teq bereits meinte. Oder der ganze ePerso ist überhaupt nur da um den Bundestrojaner zu verteilen :-)
Nen Bundestrojaner DARÜBER zu verteilen wär dämlich. Erstens scheint der Autoupdater nicht so gebaut zu sein dass er silent, also ohne dass der Nutzer davon irgendwas mitbekommt, laufen kann, zweitens ist der Großteil von dem Kram Java und somit trivial dekompilierbar, und drittens wäre die Regierung schön doof wenn sie die Akzeptanz ihres Prestigeprojektes für sowas opfern würde. Da gibt es sicher bessere Wege.
Trivial dekompilierbar – das mag sein. Aber wenn ein ordentlicher Obfuscater am Werk war, bist du erstmal ein paar Wochen beschäftigt.
Denkbar wäre da eher, das gezielte Infizieren einzelner Personen.
Mag sein. Aber wenn der Code generell nicht obfuscated ist, und dann irgendwas plötzlich obfuscated wird, reicht das als Information.
Ich hoffe mal das die die ermittelten Informationen auch an die richtigen Stellen weitergeleitet hast. Sprich den Entwicklern der Software und vll ein paar anderen Experten wie dem CCC.
Ich muss zugeben, darauf hab ich bei diesem Fail verzichtet. Ist nicht die feine Englische, aber die erfahren es von den Anfragen der Presse. Ich hab halt keine Lust, dass das still und heimlich unter den Teppich gekehrt wird und dann wieder behauptet wird, alles sei sicher. Oder versucht wird, die Veröffentlichung zu verhindern.
Auf der download-Seite wird angeben, dass „Ubuntu ab Version 9.04 32bit“ unterstützt wird. Die Version 9.04 wird aber von Canonical, die Ubuntu ausliefern nicht mehr unterstützt. Ein Computer mit dieser Version ist also ein unsicherer Computer.
Die Angaben auf der download-Seite sind auch falsch, denn tatsächlich wird der download nur für „Ubuntu 9.04 & 9.10“ angeboten, während bereits die Versionen 10.04 und 10.10 auf dem Markt sind.
Auch die Installationsanleitung, die mit dem download mitgeliefert wird, passt nicht zur gelieferten Version.
@21 (jan):
das ist vermutlich auch gar nicht notwendig. denn irgendwelche hacker mögen immer irgendwas hacken können, aber die zuverlässigkeit und sicherheit des neuen personalausweises steht nicht in frage.
.~.
Das Zitat ist klasse, ja…
Es ist so – – –, dass mir wirklich die Worte fehlen.
Danke!
Wie soll das DNS manipuliert werden? Eine „Manipulation der Host Datei“ ist kann ich nicht gelten lassen, denn dazu bräuchte man ja Zugriff zum Rechner, welchen du aber ausdrücklich ausschliesst.
Die Hosts-Datei ist in der Tat nur ein einfacher Weg, um den Angriff zu simulieren. In der Realität würde der Angriff anders ablaufen: Ein WLAN-Betreiber könnte beispielsweise einen falschen DNS-Server anbieten, oder ein Nameserver, z. B. der im eigenen DSL-Router eingebaute, könnte anfällig für Cache Poisoning sein.
Sorry, aber wir wissen beide, dass das diese „Sicherheitslücke“ mal wieder Konstrukte vorraussetzt, die rein theoretischer Natur sind … genau wie beim CCC Hack. Reine Effekthaschereien, die die Medien jedesmal undifferenziert übernehmen. Ich finde das unfair!
Wenn du Cache Poisoning und die Existenz von WLANs als rein theoretisch ansiehst, kann ich dir diese Meinung vermutlich nicht ausreden. In geswitchten drahtgebundenen Netzwerken gibt es dann noch ARP Poisoning, welches ich selbst testweise durchgeführt habe. Ich muss dich leider enttäuschen, aber dieser Angriff ist real.
Wo ist das bitte Theoretisch? Was glaubst du was z.B. FireSheep macht?
Personalausweis sollte eigenlich sicherheit sein da melde für die bundessicheit
Hi,
grossartige Sache, wirklich :) Hast du vielleicht einen Tipp fuer Neugierige, wo man das in den „Quellen“ nochmal nachvollziehen kann?
Liebe Gruesse
Danke.
Ich finde deine Arbeit sehr lobenswert und sie wird (hoffentlich ;) ) dazu beitragen, daß die Benutzer sicherheitsrelevanter Anwendungen nicht immer alles glauben was man ihnen weismachen will. Nicht einmal wenn es die Bundesregierung ist.
Dein Beitrag wird zum Denken anregen und das ist wichtig.
Super Idee, das Programm als base64 anzubieten!
Not macht erfinderisch…
Ich bin ja mal auf erste offizielle Stimmen gespannt! Wahrscheinlich wird man trotzdem behaupten, dass alles sicher ist. *Kann ja die Software nichts dafür, dass man DNS auch manipulieren kann.*
….das Ding greift uns an! da muss man sich doch nur gegen wehren! ;)
hui…schöner Backlink von Bild.de…das gibt hits :)
gut gemacht, danke dir!
Deutsche sollten die Offenlegung des Source-Codes (Quellcode des Programms) fordern. Eine Petition sollte ausgerufen werden.
Bei Free/Libre Open-Source Code geht es nicht nur darum, Veränderungen zum Besseren zu möglichen, sondern auch darum, dass Freiheit gewonnen wird. Die Diskussion um den „Bundestrojaner“ hatte selten mehr Berechtigung.
Weitere Informationen finden sich z.B. bei FSFE.org und mittlerweile an vielen anderen Stellen.
Schinagl, Michael
Rechtsanwalt in Berlin
Frisch vom Spiegel.de! (Fein das die es jetzt auch haben)
Jan, großartige Sache. Wirst Du von Seiten der Regierung angesprochen?
Wollen sie mehr wissen? Von Dir meine ich, nicht von c’t.
Wäre doch eine Geste, wenn sie mit Dir an dem Loch arbeiten.
Bin gespannt was Du machst wenn du erst ein Keypad + Lesegerät in
Der Hand hast. Wahnsinn!
bg aus Bochum
Nein. Der Fehler ist im Blog eigentlich auch umfassend beschrieben, jeder Programmierer sollte den mit den gegebenen Informationen recht schnell fixen können. Lustig finde ich nur die Ankündigung des BSI „Das BSI prüft derzeit gemeinsam mit dem Hersteller der Software, ob der beschriebene Angriff durchführbar ist und welche Gegenmaßnahmen gegebenenfalls notwendig sind.“ (siehe Update bei Heise) – das Ganze, nachdem Heise den Angriff bestätigt hat…
Was wird Internetminister Thomas De Maiziere wohl dazu sagen ? Der hat ja wohl die meiste Ahnung von Netzsicherheit. Und wenn dieser CDU- Spitzenmann sagt, der ePerso ist sicher, ändert kein unbedeutender Hacker etwas daran. Die Logik der Sache müsste eigentlich ergeben, dass ausschließlich CDU- Wähler die Addons des neuen ePerso bedenkenlos verwenden, während Piraten wohl mit ihrem zukünftigen Identifikationsinstrument erst nach sanftem Microwellenbeschuss die konservative Merkel- Welt beglücken werden.
technische Frage:
– Der Client prüft den Servernamen nicht, aber verbindet sich zu einem (hardgecodeten) Server (richtig?)
– Um dem Client etwas unterzujubeln, muss man irgendwie einen DNS-Eintrag verändern (richtig?)
– Wenn man den DNS-Eintrag verändert hat, verbindet sich der Client zu einem vom Angreifer kontrollierten Server (richtig?)
Wenn man aber soweit gekommen ist, spielt es gar keine Rolle mehr, ob der Client den Servernamen überprüft, weil man einfach ein Zertifikat mit dem gewünschten Servernamen erstellen kann… d.h. wenn ich das richtig verstehe, ist das Problem nicht die fehlende Kontrolle des Servernamens, sondern einfach DNS-Poisoning.
Der Client will sich zu http://www.ausweisapp.bund.de verbinden. Der DNS-Server liefert eine IP zurück (echt oder gefälscht). Der Client verbindet sich zu dieser IP und will ein Zertifikat sehen. Da er nicht prüft, ob der Name im Zertifikat „www.ausweisapp.bund.de“ lautet, kann ich ihm ein Zertifikat für „www.janschejbal.de“ geben und er ist zufrieden. Ein Browser würde in so einem Fall eine hässliche Fehlermeldung anzeigen (ist bei Heise abgebildet), was auch sein muss. Würde der Client den Namen prüfen, müsste ich ihm ein Zertifikat für http://www.ausweisapp.bund.de geben. Der Knackpunkt: Das kann ich nicht einfach so erstellen – das Zertifikat muss von einer CA ausgestellt werden, und die prüft ob ich berechtigt bin, bevor sie mir ein Zertifikat gibt. Sie wird mir also gerne ein Zertifikat für http://www.janschejbal.de ausstellen, aber nicht für http://www.ausweisapp.bund.de. Zumindest sollte es so sein. Da einige CAs Mist bauen und falsche Zertifikate ausstellen, und es hunderte bis tausende CAs gibt (außer den direkt sichtbaren noch die indirekten die von den direkt sichtbaren bevollmächtigt wurden), würde es Sinn machen, die Zertifikatsprüfung für den Updateserver auf eine CA zu beschränken oder gar hardzucodieren. Beantwortet das deine Frage?
Ah Moment, hab vergessen, dass der Client wohl auch Root-Zertifikate checkt, d.h. es wär doch gut, den Servernamen zu überprüfen. Mein Kommentar von vorhin braucht eigentlich nicht veröffentlicht werden…
Genau das ist der Punkt. Habs erst gemerkt nachdem ich ihn veröffentlicht und beantwortet hatte, andere werden sich die Frage aber vielleicht auch stellen.
Das ist wirklich sehr verwunderlich; ich hätte erwartet dass der Client nur einem einzigen Root-Zertifikat vertraut (nämlich einem, über das man Kontrolle hat); wahrscheinlich vertraut er stattdessen einfach einem Standard-Bundle (hat Java sowas? keine Ahnung), über das die Programmierer keine Kontrolle haben, tsts…
Btw. und selbst-signierte Zertifikate wird der Client wohl hoffentlich nicht annehmen, sonst könnte man sich einfach eins für http://www.ausweisapp.bund.de generieren; darauf hat mein erster Kommentar eigentlich abgezielt.
Nice, wieder ein Push für die PP, gulli und auch Spiegel Online haben es schon berichtet ;)
Ich halte eh nichts vom neuen Perso und bin deshalb glücklich, dass ich noch den alten hab!
In der Linux-Version ist sogar ein Java 1.6.0_13 drin – das ist immerhin von 2009-03-09, also gerade mal anderthalb Jahre alt. Praktisch aktuell;-)
Interessant wäre, ob sich das ausnutzen lässt. Gerade beim XML-Deserialisieren könnte sich da vielleicht was finden. So low-level-Lücken sind aber nicht meine Spezialität, aber natürlich umso fieser (man stelle sich vor, der Besuch einer schädlichen Seite reicht aus…)
In Österreich werkt für den digitalen Bürgerausweis auch ein java Webservice, das bei komplizierteren XML requests erstaunlich lange braucht. Solange ein XML parser beliebig komplexe requests bearbeitet, wird sich das Service immer DOSen lassen.
Du bist aber kein CCC-Mitglied, wie @ZDFonline schreibt, oder? Solltest du vielleicht mal korrigieren lassen.
Die Piratenpressestelle soll da wohl schon Bescheid gegeben haben und auch der CCC hat schon eine Richtigstellung getwittert. Welt.de und noch einige andere haben es inzwischen korrigiert.
Dass es so schnell geht – damit war nicht zu rechnen. Die Lücke bezieht sich zwar weniger auf die Sicherheit des neuen Ausweisdokuments – aber im Endeffekt ist hier weniger gerade wieder mehr, denn wenn das drumherum schon nicht stimmt, wie soll dann der Kern perfekt sein (und zweifelsfrei ist hier Perfektion angebracht – oder wäre es gewesen).
Inhaltlich bestimmt hervorragend, was für mich als Autor aber beinahe genauso wichtig ist: Ein richtig gut geschriebener Bericht, Chapeau und weiter so!
Kostenlose Zertifikate bekommt man auf http://cert.startcom.org (die benötigten Root-Zertifikate sind bei allen Browsern der letzten Jahre mit Ausnahme von Opera vorhanden, ebenso unter Windows). Alternativ positivessl.com von Comodo für 9,95€ im Jahr.
Um ein gültiges, signiertes Zertifikat bei obigen Anbietern zu erhalten genügt es, E-Mails unter webmaster@*domain.tld* empfangen zu können.
(Vielleicht hilft es ja dem ein oder anderen das Procedere fürs SSL-Zertifikat ganz konkret nachvollziehen zu könnnen)
Guter Text. Sogar von der Tagesschau verlinkt!
http://www.tagesschau.de/inland/personalausweis162.html
Laut BILD kann den Hack nur einer vom Chaos Computerclub ausführen…
http://www.bild.de/BILD/politik/2010/11/10/neuer-personalausweis-gehackt/software-hat-sicherheitsluecke.html
Danke für den Hinweis, so konnte ich das korrigieren lassen.
Klingt als wurde mal wieder der Azubi mit Aufgaben vertraut, die ihm eine Spur zu hoch waren…
Ohne deinen Erfolg schmälern zu wollen – keineswegs!!!
Es wundert mich, dass man es dir so einfach gemacht hat…
Wie heißt es so schön – „Die Software reift beim Kunden“
Mich auch :D Allerdings ist der Fehler durchaus leicht zu machen, mir ist der auch beinah passiert als ich was gebastelt hab. Allerdings war das nicht DIE Sicherheitsanwendung für ganz Deutschland und ich habs bemerkt :D
Von der zweiten Sicherheitsmaßnahme (Dateisignatur) nach der Absicherung des Downloads war ich aber tatsächlich überrascht. Damit hatte ich nicht gerechnet und es ist ne gute Idee. Hat nur wegen der ZIP-Lücke wenig gebracht. Das könnte aber auch die Schuld einer Library sein.
Es ist jedenfalls keine „OMG hat da überhaupt jemand nachgedacht“-Lücke.
kann es sein das der Download der „App“ nun nicht mehr geht?
bei mir tut sich da nichts mehr..
ein Schelm, wer Böses (dabei) denkt..
Sieht so aus. Es wäre jedenfalls eine völlig richtige Maßnahme, den Download zu verhindern, und wenn es per rm auf den Download und ein 404 für den User passiert.
Ja, „App“ ist wohl erst mal nicht mehr erreichbar. Mal schaun was da noch kommt. Kommst jetzt ins Fernsehen? ;-)
Spiegel Online bestätigt Sperre des Downloads. Da hat einer aber ganze Arbeit geleistet. Kommst jetzt ins Fernsehen? ;-)
Prima! Ich finde es einfach toll, dass sich auch andere Leute, wir du Jan, Gedanken darüber machen, wie sicher der neue ePerso ist.
Egal wie möglich bzw. aufwendig es sich darstellt, den Perso oder deren Peripherie zu hacken, zeigt es doch was machbar ist.
Mit entsprechender krimineller Energie, passender Technik und dem entsprechenden Fachwissen ist es jedenfalls möglich Manipulationen vorzunehmen. Auch wenn vielleicht keine direkte Gefahr besteht, so ist es mindestens ein Warnhinweis zum Wachrütteln für all diejenigen, die zu leichtfertig mit neuen Technologien umgehen.
gj!
das hast Du toll gemacht. Meine Bewunderung ist Dir gewiss
Grüße
Kyra (die ein nooB ist)
Hammer…. gut gemacht… immerwieder wird man duch solche dinge bedroht… Ich werde immer ängstlicher über haupt irgendwo meine daten zu hinterlassen wenn man überlget um was es hierbei geht…
Auch wenn es hier schon öfter steht:
Du sind ein Held!
Toll, dass es Dir gelungen ist, unserer düsteren Staatsmaschinerie diesen Streich zu spielen!
Da kann mal ordentlich hohnlachen über unseren Möchtegern-Big-Brother!
Respekt, der Berg bebt.
Und das meint die Netzwelt.de dazu:
<<Das meint die netzwelt.de-Redaktion
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) weist darauf hin, das noch nicht alle Funktionen getestet werden konnten, da das Umfeld noch nicht vorhanden war – sprich: Die Personalausweise haben noch gefehlt. Doch da sich dies inzwischen geändert hat, ruft das Bundesamt nun dazu auf, die Software zu nutzen und eventuelle Probleme mitzuteilen. Dies kann man über die Ticket-Anfrage machen.
Voraussichtlich zur CeBIT 2011 soll dann eine Version 2.0 erscheinen, welche dann auch die Nutzung der qualifizierten elektronischen Signatur unterstützen soll.
Wer also sicher im Netz unterwegs sein will, ist mit dieser Software auf dem richtigen Weg. Über den sogenannten Identitätsnachweis können beide Seiten eines Einkaufes sicher gehen, auch den vor sich zu haben, mit dem sie kommunizieren wollen. Die Software führt den Anwender durch den Prozess und gewährleistet dabei Transparenz in der Übermittlung. <<
LOL
Übrigens: Der Download der App ist von da noch möglich
Sehr ntte Information dazu. Weiter so!
Nunja, ich sags mal so: Es war ja zu erwarten, dass sich Gott und die Welt auf diese Applikation stürzen wird ;-).
Hiho,
das BSI schreibt „Bei dem Angriff wird die AusweisApp selbst weder angegriffen noch verfälscht.“
Wenn ich oben aber die Sätze „… und somit beliebige Dateien ins Dateisystem schreiben (directory traversal). … Vorhandene Dateien werden übrigens gnadenlos überschrieben.“ richtig interpretiere, würde ich davon ausgehen, dass mit „beliebige Dateien“ auch die der Ausweis-App selbst gemeint sein könnten, oder etwa nicht?
Insofern hört sich das mal wieder nach politisch motiviertem Bullshit an…
Und?
Willst du die AusweisApp nachprogrammieren?
Nun ja, Jan ist kein „Gott“ und er wird sicher nicht diesen Titel beanspruchen wollen. Die „Welt“ wars dann ja auch nicht, denn glücklicherweise hat Jan in seiner Freizeittätigkeit als sog. „Hacker“ eben diese Welt davor bewahrt, auf den unqualifizierten Sicherheitsblödsinn des BMI und BSI ohne Vorwarnung hereinzufallen. Bestimmt haben und hätten kriminelle „Hacker“ diese Exploits für sich behalten und sie ausgenutzt. Ich habe mich mal mit Jan in seinen Kommentaren sehr angenehm und informativ über Malware und deren Einfalltore unterhalten und seine Artikel dazu sind sehr zu empfehlen. Dass jetzt das BSI diese herbe Schlappe herunterspielt und verniedlicht, halte ich für arrogant und unbelehrbar. Ähnlichen Unsinn verbreitet das BSI bei dem Projekt http://www.botfrei.de, das ich bereits ohne Antwort kritisiert hatte. Diese Institution gehört abgeschafft oder wenigstens neu besetzt…
Ich kenne den „Hackerkodex“ jedenfalls anders.
Der sog. Hacker informiert zuerst das Unternehmen dessen Software er gehackt hat, und lässt Ihr Zeit die Dinge zu fixen. Erst danach veröffentlicht er das Exploit zu der älteren Versionsnummer.
Das ist Gang und gebe und es ist einfach nur falsch dagegen zu verstoßen!
Um dieses Thema gibt es seit ewigen Zeiten breite Debatten, die von „nur Hersteller benachrichtigen“ über „Hersteller benachrichtigen und ne Woche später posten egal ob gepatcht oder nicht“ bis zu dem gehen was ich gemacht hab. Nachdem ich die PM des BSI gesehen habe, fühle ich mich in meiner Entscheidung bestätigt. Hätte ich es vorab gemeldet, hätten sie nur noch besser versuchen können, die Lücke runterzuspielen.
@Heinz (#81) Dein „Hackerkodex“ wie du ihn kennst, ist in dieser Form nicht mehr nutzbringend, weil dadurch nie transparent geworden wäre, dass es solche Sicherheitslücken gegeben hat. Insbesondere durch das arrogante öffentliche Auftreten von „Internetminister“ Thomas De Maiziere und seinen Schergen, die die absolute Sicherheit förmlich gepredigt haben, blieb Jan eigentlich keine andere Wahl, damit der Öffentlichkeit die Augen zu öffnen. Allein die Tatsache, dass diese verhältnismäßig wichtige Nachricht es weder in die Tagesschau noch ins heute- Journal geschafft hat, während zuvor Herr Innenminister genau dort noch seinen ePerso auf höchste loben und bewerben durfte, bestätigt meine Meinung, dass wir inzwischen in einer sog. „disziplinierten Demokratie“ leben. Zur oben erwähnten (angeblichen) Sicherheitsplattform http://www.botfrei.de habe ich übrigens den Weg nach deinem „Hackerkodex“ beschritten und BSI & Co. das Versagen ihres angebotenen Tools DE-Cleaner nachgewiesen. Nicht einmal eine Antwort habe ich erhalten…
In diesem Sinne,
tb
Als würde der Staat da aus den Pötten kommen…
Das BSI schreibt „Bei dem Angriff wird die AusweisApp selbst weder angegriffen noch verfälscht.“.
Wenn ich das Angriffs-Szenario aber auch nur ansatzweise richtig verstanden habe (was ich hiermit hinterfragen möchte ;o)), kann der Angreifer doch aber sehr wohl BELIEBIGE Dateien überschreiben, also auch die der Ausweis-App selbst, oder etwa nicht?
Oben steht „Vorhandene Dateien werden übrigens gnadenlos überschrieben.“
Also Bullshit des BSI?
Das BSI schreibt „Bei dem Angriff wird die AusweisApp selbst weder angegriffen noch verfälscht.“
Wenn ich oben aber die Sätze „… und somit beliebige Dateien ins Dateisystem schreiben (directory traversal). … Vorhandene Dateien werden übrigens gnadenlos überschrieben.“ richtig interpretiere, würde ich davon ausgehen, dass mit „beliebige Dateien“ auch die der Ausweis-App selbst gemeint sein könnten, oder etwa nicht?
Insofern hört sich das mal wieder nach politisch motiviertem Bullshit an…
Das BSI schreibt „Bei dem Angriff wird die AusweisApp selbst weder angegriffen noch verfälscht.“
Wenn ich oben aber die Sätze „… und somit beliebige Dateien ins Dateisystem schreiben (directory traversal). … Vorhandene Dateien werden übrigens gnadenlos überschrieben.“ richtig interpretiere, würde ich davon ausgehen, dass mit „beliebige Dateien“ auch die der Ausweis-App selbst gemeint sein könnten, oder etwa nicht?
Im Prinzip ja. Da ich nicht weiß, ob der Updater unter Win7 mit Adminrechten läuft, weiß ich nicht, ob ich unter Win7/Vista auch ins Programmverzeichnis entpacken kann. Außerdem könnte es Probleme mit offenen Dateien geben, die sich nicht überschreiben lassen. Aber wenn man eigene Software auf dem Rechner hat ist es recht egal was mit der AusweisApp an sich passiert.
Ich warte noch auf die Ausrede, dass draft-saintandre-tls-server-id-check noch gar nicht veröffentlicht ist und man deshalb den Check gar nicht machen muss. Dumm nur, dass die subject validation schon Teil von RFC 2818 ist – publiziert im Mai des Jahres 2000 :-)
Sauber! Endlich bekommt dein Blog auch mal die Aufmerksamkeit, die er verdient :-P
Hey, bist Du der Jan aus dem Usenet? Ich war neulich mal da und erschrocken, wie tot das da eigentlich ist. Alle sind mit ihren Blogs beschäftigt ;-)
Ich bezweifle zumindest, dass viele andere Jan Schejbals im Usenet aktiv sind. Inzwischen sind einige meiner Lieblingsgruppen leider zu Trolllöchern verkommen.
Wichtig ist es herauszustellen, dass es der Grundfehler ist, dass man den Personalausweis der unbeherrschbaren Komplexität der IT-Sicherheit überhaupt ausgesetzt hat. Es ist doch schon relativ abartig, wenn das BSI den Nutzer auffordert, den Perso in sicheren Umgebungen zu verwenden.
Daher ist es gut, wenn immer wieder Exploits öffentlich werden.
Das BSI hat reagiert und hat den Download der AusweisApp gestoppt.
Diese wird offenbar nun überarbeitet…
Hier die Pressemitteilung des BSI: https://www.bsi.bund.de/sid_9CC745E82FC9ED59215EB75FB9479819/ContentBSI/Presse/Pressemitteilungen/AusweisApp_101110.html
Grüße
Casper
Hi wie kann ich dein hack downloaden?
Die Dateien zum Demonstrieren des Angriffs gibts hier als base64-encodetes ZIP-File:
Wie kann ich es runterladen und entpacken?
Auf „Quelle zeigen“ klicken, dann wird die Datei als „Text“ angezeigt. Mit einem base64-Decoder kann man den „Text“ (ohne die drei Kommentarzeilen am Anfang!) in eine ZIP dekodieren. SHA1-Hash prüfen bitte nicht vergessen. WordPress erlaubt keine ZIP-Files und auf meinen Webspace wollte ich es nicht stellen.
Jan, genau wegen solchen Leuten (@EpicFail) sollte man auspassen, wenn man Exploits publiziert.
Ich meine natürlich „aufpassen“ ( Eine Person die nicht mal eine base64 encoded datei decodieren kann will sich als Trittbrettfahrer versuchen).
Und btw. deinen hack verstehen die wenigsten. Jeder denkt, du hast die eID Funktion gehackt.
Nun, ich bezweifle, dass es jetzt noch jemand schafft, den Exploit als seinen zu verkaufen. Wenn jemand drauf aufbauen und einen eigenen Angriff erstellen will, nur zu. Das base64 war weniger als „DAU-Schutz“ gedacht, auch wenn es den Effekt sicherlich hat. (Ergänzung:) Der Angriff soll ja für möglichst viele Leute nachprüfbar sein.
Die eID hab ich zwar nicht direkt gehackt, aber über den Angriff würde man das zumindest bei Klasse1-Lesern tatsächlich erreichen können, denke ich.
Das war abzusehen, und die Hoffnung das dies die einzige Sicherheitslücke bleibt, kann bei mir nicht so recht aufkommen. Ich habe noch kein IT-Vorhaben von Behördenseite gesehen, was wasserdicht gestrickt gewesen wäre.
Respekt!!!! Wir bewegen uns nun endgültig in einen Überwachungs-Staat.
Allerdings hatten wir das doch alles schon-mal, gelernt haben daraus scheinbar die wenigsten:
Ich möchte hier nicht nur an die Stasi sondern auch an den NS-Sicherheitsdienst, Gehlen, etc. erinnern.
Genau deswegen bin ich kein Freund von dem neuen Perso… Persönlich besitze ich zwar nicht das Know-How die Lücken zu finden und in ihrer Gänze beurteilen zu können, aber das Netz ist im Allgemeinen einfach zu unsicher für solch wichtige Dinge…
Jedenfalls danke für den Artikel, der auch für einen Laien, wie mich, gut verständlich ist.
YOU ROCK!!! :D
Erst mal meine Anerkennung zu der vollbrachten Tat. Wie peinlich ist das denn, wenn die Studenten den Profs zeigen müssen, wo der Hammer hängt ;-)
Na ja, um Deinen zukünftigen Arbeitsplatz musst Du Dir ja keine Sorgen machen!! ;-)
Weil es da scheinbar zu Missverständnissen kommt: Das was ich zerlegt hab ist nicht das, was „die Profs“ sich angeschaut haben! Ich hab Lücken in der AusweisApp gefunden. Die TUD/das SIT haben den Ausweis selbst und die Protokolle gesichert, mit der App haben sie sich afaik eher weniger beschäftigt. Mit dem von „den Profs“ untersuchten Kram beschäftige ich mich gar nicht erst – das wird sicher sein, da verschwende ich meine Zeit nicht mit. Ich erinnere da an unischranke.jpg – warum gegen die Tresortür rennen, wenn die Seitenwände fehlen ;-)
Ich sag ja, deinen Hack versteht keiner ;-).
Das meinte ich mit Trittbrettfahrern: http://www.golem.de/1011/79338.html
Es führt leider nicht dazu, das die Leute mehr durchblicken, was der Ausweis eigentlich bedeutet und das er auch Vorteile hat. Es führt nur dazu das Angst geschürt wird. Ohne Wissen warum. Leider.
@Heinz (#105)
Ich denke, dein Standpunkt ist klar geworden.
Das viele den Hack nicht nachvollziehen können und komplett verstehen, ist logisch. IT-Sicherheit ist nun mal nichts, mit dem sich die breite Öffentlichkeit in ihrer Freizeit beschäftigt.
Daneben gibt es noch Leute, die jede Gelegenheit nutzen, um den neuen Perso schlecht zu reden – Sachlichkeit Nebensache. Den von dir geposteten Link ordne ich in diese Kategorie ein.
Ich finde die Art und Weise der Veröffentlichung angemessen. Hier geht es nicht um eine Lücke in einem Browser, die den Rechner zum Absturz bringen kann.
Hier soll ein System eingeführt werden, das absolut sichere Authentifizierung im Internet ermöglichen soll. Und Politiker werden nicht müde zu behaupten, dass das System absolut sicher ist.
Gleichzeitig werden schon vom Prinzip her unsichere Lesegeräte verteilt mit der Forderung, die Anwender müssten eben selbst dafür sorgen, dass ihre Rechner frei von Schadsoftware sind. Da ist es doch fast schon ein Schildbürgerstreich, dass der Beweis gleich mitgeliefert wird, dass die breite Masse gar nicht in der Lage ist, ihren Rechner ausreichend zu sichern.
Der Ausweis selbst gilt als sicher und hat wahrscheinlich auch einiges Potential.
Aber was Sicherheit im Internet angeht, scheint mir die Grundeinstellung der Verantwortlichen schon falsch zu sein. Insofern war diese „Ohrfeige“ bitter nötig. Ich hoffe nur es bringt auch was.
@Jan Gut gemacht. ;)
Grüße
http://www.nu.nl/internet/2376575/student-kraakt-duitse-digitale-id-kaart.html
I came here through that article too :P
Nice job hacking this software. Let’s hope the government will perform some safety enhancements.
Die Funktionen des ePA sind sicher. Man muss natürlich auch gewisse Sicherheitsregeln einhalten, ähnlich denen beim Onlinebanking. Da war das Geschrei am Anfang ja auch riesig.
Sicherheitstipps gibts zum Beispiel hier:
http://www.personalausweis-kartenlesegeraete.de/tipps/10-sicherheits-tipps-fuer-umgang-mit-neuen-elektronischen-personalausweis/
Dir ist aber klar, dass die Sicherheitsregeln auf „versuch die Kiste virenfrei zu halten“ rauslaufen, und genau das von der AusweisApp erschwert wird?
Das Problem ist die Beweislastumkehr. Auf der einen Seite wird gerne erzählt, dass der e-Perso nur zum sich identifizieren und nicht zum abschließen von Geschäften taugt, dafür sei dann die qualifizierte Signatur da. Auf der anderen Seite hört man schon x private Anbieter versprechen, dass man mit dem Perso Geschäfte abschließen können wird. Ich hab ein Interview gesehen wo sich die eine Person in diesem Punkt während eines Gesprächs mehrfach widersprochen hat. Und wenn der Anbieter sagt „wir haben die Identität des Käufers per ePerso von unserem zertifizierten Dienstleister prüfen lassen, Herr Müller hat die 200 Waschmaschinen bestellt“ während Herr Müller das Gegenteil behauptet, werden sicherlich viele Richter Herr Müller weniger glauben schenken als der „sicheren“ Technik. Login per ePerso dürfte tatsächlich sicherer sein als Login per Passwort. Wenn man den Ausweis aber plötzlich nicht mehr nur als „ein wenig sicherer aber immer noch unsicher“ sondern als unfehlbar ansieht und sich darauf verlässt, wird er zu einer massiven Gefahr. Die Regelungen bei der elektronischen Signatur (Anforderungen an den Kartenleser etc.) sind nicht nur zum Spaß da.
Und wie sicher die Funktionen des ePA wirklich sind werden wir noch sehen *g*
„Dir ist aber klar, dass die Sicherheitsregeln auf “versuch die Kiste virenfrei zu halten” rauslaufen“
Ja. Aber genauso vermitteln die Regeln das man auf seinen Ausweis Acht geben sollte.
Um den ePerso nämlich wirklich zu Missbrauchen, benötigt man ihn auch. Mit der PIN alleine kann der Hacker nicht viel anfangen…
Das mit dem Perso stimmt. Aber der Ratschlag, den Perso nur so kurz wie möglich auf das Lesegerät zu legen, ist lächerlich. In der Zeit, die der DAU braucht um sich durch die Dialoge zu klicken, kann der Hacker in aller Ruhe jede Menge Transaktionen bestätigen.
Ich kann hier keinen ‚Hack‘ erlesen oder nachvollziehen.
Sicher ist, alles was mit Software zugemacht werden kann, kann auch mit Software wieder aufgemacht werden. Der Grundsatz gilt auch hier.
Letztlich gehört dazu aber kriminelle Energie.
Nur weil es Menschen gibt, die kriminelle Energie besitzen und diese in der Öffentlichkeit gegen andere Menschen richten, bleibe ich trotzdem nicht zu Hause!
Es gehört gesunder Menschenverstand dazu, sich adäquat in einer Gesellschaft zu bewegen, auch mit einen ePerso im Internet, wenn MAN oder FRAU es nicht lassen kann.
Je mehr Kriminelle sich im Netz tummeln, desto wachsamer muss der unbedarfte Bürger werden. Es obliegt jedem Bürger selbst, die Funktionen des neuen PA zu nutzen – oder es zu lassen. In unserer Gesellschaft haben wir andere Dinge zu tun, als über kriminelle Theorien zu faseln und Theoretiker zu lobpreisen ….
Wer Angst um seine Daten auf dem RFID-Chip hat, kann seinen Ausweis in Alufolie wickeln, bis der Markt modische Metallhüllen mit Gravuren abwirft.
Schade finde ich, dass unsere Politiker diueses unausgereifte Konzept mit derart hohen Kosten so vorantreiben, als ob es nichts besseres zu tun gäbe: Marode Schulen, Kindergärten, Arbeitslosigkeit, Ausgrenzung, Bevormundung, Gesundheitskosten, Altersarmut, Tafeln, Stuttgart 21, Castor … – WIIR HABEN ANDERE DRINGENDERE BAUSTELLEN!
Grüße aus Kiel
Das sagen Sie doch nur, damit die Leute den Person nicht auf dem Lesegerät vergessen. Bitte nich so dumm tun. Natürlich bringt es nichts, mal nur so „kurz“ zu sagen.
Das gleiche gilt doch auch für die DE-Mail. Dort haben Sie auch gesagt, die Mail wird auf dem Server nur ganz kurz entschlüsselt und wieder verschlüsselt. Diese Aussage macht ja auch keinen Sinn. Damit ist gemeint, dass die SSL Verbindung terminiert wird und unter den Providern verschlüsselt kommuniziert wird.
Aber das ist wieder zu technisch und das versteht kein Mensch. Deshalb wird gesagt „kurz“.
Der Sinn des „nicht auf dem Lesegerät vergessen“ ist eben zu verhindern dass ein Hacker der die Kiste übernommen hat die Möglichkeit hat, den auf dem Leser liegenden Perso zu nutzen. Das ist aber unwirksam, weil es zwar das Angriffszeitfenster verringert, aber ein Virus sich davon nur recht wenig stören lassen dürfte. Der Hinweis erzeugt also ein falsches Sicherheitsgefühl.
I think the private key is one of the vulnerable OpenSSL keys generated from a buggy debian. I was wondering how could you legally get a private RSA key from Akamai „a248.e.akamai.net“?
Correct. It is explained in the link to Fefe. Quote from the text: „As I have no own SSL certificate, I just used the one for which Akamai kindly (unintentionally) made the key public a few years ago.“
Wirklich guter Artikel, danke dafür!
Ich steh der Sache aus skeptisch gegenüber und werde mir den nPA erstmal nicht zulegen.
Im Online-Artikel des Darmstädter Echos (http://www.echo-online.de/freizeit/multimedia/netzwelten/perso101111./TU-Student-hackt-den-neuen-Ausweis;art2561,1370904 – die Kategorie ist auch toll) steht, du würdest im Master studieren. Hast du neben dem ganzen Hacken wirklich den Bachelor in 6 Semestern geschafft? Ich glaub, da werden einige Korrekturen ans Echo fällig ;)
Das einzige, was mir im Echo als minimal ungenau/vereinfacht aufgefallen ist, ist die Geschichte mit den IP-Adressen. Das mit dem Master stimmt tatsächlich, den Bachelor hab ich tatsächlich in 6 Semestern durchgeprügelt.
Ist es nicht sowieso fragwürdig die Ausweis-App per Download bereitzustellen?
Unvorsichtigen Benutzern könnte man damit doch alles mögliche unterschieben….
Folgendes Szenario:
Man registriert die Domain ‚ausweisapp-bund.de‘ und besorgt sich ein offizielles Zertifikat für ‚www.ausweisapp-bund.de‘, zieht sich die BSI Seite ab und verteilt E-Mails mit Links zu dieser Seite.
Das hat doch auch schon bei zig Bankkunden funktioniert, um an PIN / TAN zu kommen
Hallo,
toll! Mal ’ne Frage: Wo soll man (u.a. z.B. mit ida etc) mit dem reverse engineering ansetzen (Tip?) bei dem 68+ MB wust. Was ist eigentlich mit der DLL vom FF-Plugin (von der Reiner Seite beim Computer-Blöd Billig-Lesegerät)
siqBootLoader scheint irgendwie der Kern zu sein. Ziemlich viel ist auch in Java geschrieben. Java kann mit JD dekompiliert werden.
Das Verhalten beobachten und die Spezifikationen (Technische Richtlinien des BSI) lesen dürfte aber erstmal sinnvoller sein.
Sehr interessanter Beitrag mit einigem an Hintergrundwissen, vielen Dank!
‚tschuldigung wenn ich „dumm“ frage, aber warum hast du die luecke veroeffentlicht? ich meine, mit dem wissen und geeigneter zusaetzlicher programmarbeit haettest du ein eintraegliches geschaeft machen koennen – falsche ids, waren auf anderer leute namen bestellen usw…
der epa samt software kommt so oder so – verhindern kann man trotz luecken nicht. im gegenteil: jeder wird frueher oder spaeter damit leider indentifiziert werden (eine zeitung schrieb, das vielleicht dann sogar der internet zugang nur noch damit stattfinden kann)
„denen“ (unseren beamten, den system- und regierungstreuen dummen schaefchen) auch noch helfen, das sicherer zu machen – ob das der richtige weg ist? oder glaubst du immer noch an den erfolg der basisdemokratie (z.b. nach stuttgart21 etc)? oder willst du auch einer von denen werden?
Naja, die Antwort auf die Frage ist recht einfach: Weil ich nicht kriminell bin :D
Ich glaub nicht dass „die“ sich über diese Hilfe freuen – das war für sie massiv schlechte Presse. Es unsicher zu lassen würde außerdem vor allem den Bürgern schaden. Das kann man als Mittel zum Zweck ansehen, ich tue es nicht. Wenn früher oder später Lücken auftauchen die es nötig machen die gesamte Population an Ausweisen auszutauschen, glaube ich durchaus, dass die Politik darüber nachdenken wird, auf den teuren Chip zu verzichten. Außerdem: Je mehr Lücken öffentlich bekannt werden – und je niedriger die Akzeptanz somit in der Bevölkerung ist – desto geringer ist die Gefahr, dass die Politik andere solche Projekte durchzieht. Selbst wenn es den ePerso nicht aufhält, könnte es z. B. der ohnehin strauchelnden elektronischen Gesundheitskarte einen schmerzhaften Schlag verpassen.
Bin leider nicht so ein IT-Fachmann wie Ihr, verstehe daher nicht Alles, was hier geschrieben wird! Aber gut, dass es Euch gibt. Ich glaube, das ohne Euch die Laien (und das sind wohl ca. 95% der Bevölkerung) durch die Regierung und ihre Institutionen bzw. Behörden verschaukelt würden!!! Macht unbedingt weiter in unser aller Interesse! MfG Schubs
hallo.
hab grade den artikel bei der taz gelesen und an dich gedacht.
http://www.taz.de/1/politik/schwerpunkt-ueberwachung/artikel/1/ausweise-mit-leeren-chips/
ich hoffe dir gehts gut.
wünsche frohe weihnachten, ein gutes neues jahr und viel erfolg weiterhin.
jeannette
„teuer“ ist immer eine frage von kosten und nutzen, und wenn 90% erst mal den epass haben, sind die aufmüpfigen restlichen 10% leicht zu identifizieren. bei so hoher akzeptanz kann man dann auch die nächste „inovation“ zum „nutzen“ der bürger einführen und das bezahlen aller einkäufe, zutrittsberechtigungen, bargeldabhebung, usw. auch mit dem epass verbinden. und wegen ineffizienz die veralteten verfahren komplett abschaffen – zwangseinführung durch die hintertür.
und dann funktioniert halt -leider- zufällig die banktür, oder der einkauf gerade nicht mehr -bedauerlicherweise- bei jemandem, der aufmüpfige blogbeiträge schreibt, oder gar den weltfrieden, demokratie-, und gerechtigkeitsgefährdende ideen erfolgreich unters volk bringt…
keine schlapphüte mehr, die jemanden unauffällig abholen müssen – du verhungerst ganz einfach auf der strasse, weil du an lebensnotwendige dinge nicht mehr herankommst.
es waren die nazis, die die meldepflicht eingeführt haben, um die juden möglichst einfach aufspüren zu können….
meine damit natürlich sowas wie volksentscheide, oder gar ein alternatives wirtschafs(finanz-)system, das tatsächlich diener des volkes wäre, statt umgedreht.
hehe, scheinbar hat der eperso auch probleme mit umlauten und sonderzeichen
FR Online: http://www.fr-online.de/politik/gute-zeichen–schlechte-zeichen/-/1472596/5199282/-/index.html
Die AusweisApp in der Version 1.0.2 will einen Update auf 1.0.3 machen. Update – da war doch was…Also recherchieren wir das doch lieber zuvor, gell?
Eine Version 1.0.3 gibt es nicht auf ausweisapp.de, auch keine Hinweise darauf im iNet. Also Ticket aufgemacht und folgende Antwort bekommen:
„Es liegt in der Tat ein Update vor, da die Zertifikatsdatenbank der AusweisApp aktualisiert wird. Die AusweisApp verbleibt auch nach der Aktualisierung in der Version 1.0.2. Die Meldung, dass eine neue Version 1.0.3 vorliegt, ist ein Fehler, weil nur die Zertifikatsdatenbank aktualisiert wird.“
Aha – das wirkt doch zuverlässig, sicher und kompetent, oder ? Behoben ist der Fehler im Übrigen auch nach zwei Wochen nicht…
hallo Jan, danke fuer die ausführliche Darstellung. es ist erschütternd zu sehen, welche Armateure hier am Werk sind.
den typen müsste doch jede firma mit schmackes einstellen … sehr schön und logisch …