ePerso: PIN-Diebstahl ohne Malware
Der CCC hatte im September 2010 einen Angriff gegen den ePerso präsentiert: Ein Trojaner auf dem PC des Nutzers kann die PIN abfangen, wenn der Nutzer sie über die Tastatur eingibt. Das ist für jeden, der sich ein wenig auskennt, keine Überraschung – aber durchaus ein großes Problem für den realen Einsatz des Personalausweises.
Ich habe nun einen Angriff entwickelt, der in der Lage ist, die PIN des Nutzers zu stehlen, ohne Malware auf dem Rechner des Nutzers zu installieren. Wer sich das mal anschauen möchte, kann ja die Altersverifizierung für den (fiktiven) FSK18-Bereich der Piratenpartei-Website durchführen. (Die PIN wird bei der Demo natürlich nicht an den Server gesendet.) Wer den Angriff testen will, sollte das jetzt erstmal tun und nicht weiterlesen.
v
v
v
Man kann den Angriff auch ohne Ausweis, Lesegerät und AusweisApp testen: Einfach eine sechsstellige PIN ausdenken und so tun als sei die AusweisApp installiert, das Lesegerät angeschlossen und der Ausweis aufgelegt.
v
v
v
Der Angriff funktioniert ganz einfach: Mit JavaScript, HTML und Screenshots (also Bildern) wird eine AusweisApp im Browser simuliert. Der Nutzer denkt, er würde die echte AusweisApp sehen, und gibt seine PIN ein. In diesem Fall wird nach der PIN-Eingabe eine Auflösung angezeigt, bei einem echten Angriff bekäme der Nutzer eine Fehlermeldung zu sehen, damit er keinen Verdacht schöpft, und seine PIN würde an den Server geschickt. Die Fehlermeldung wäre auch nichts besonderes – bei den meisten Seiten funktioniert die Ausweisfunktion eh nicht. (Und auch sonst funktioniert an dem ganzen Projekt ziemlich wenig: Die Änderungs-Terminals spinnen, Sonderzeichen machen Probleme, und so weiter.
Bei dieser Simulation ist es nicht möglich, die PIN über die eingebaute Bildschirmtastatur einzugeben, die entsprechende Schaltfläche fehlt. Das hat allerdings nichts damit zu tun, dass das prinzipiell nicht möglich wäre, sondern dass ich faul bin und keine Lust hatte, noch ein Dialogfeld detailgetreu nachzubauen. Sollte also jemand als „wirksame“ Gegenmaßnahme vorschlagen wollen, die Bildschrimtastatur zu nutzen, kann ich das gerne noch nachreichen. Die Bildschirmtastatur schützt lediglich vor sehr einfachen Keyloggern, und vermittelt ansonsten nur ein falsches Gefühl der Sicherheit. Wer Ausweise missbrauchen will, wird sich beim Trojanerschreiben die Mühe machen, auch Eingaben über die Bildschirmtastatur zu erkennen – das ist keine Kunst, sondern Fleißarbeit.
Dieser Angriff nutzt keine Sicherheitslücke im Ausweis oder der AusweisApp aus, sondern die Tatsache, dass Nutzer nicht in der Lage sind, echt aussehende von echten Fenstern zu unterscheiden. Das könnte zwar zu der Behauptung führen, dass dieser Angriff -in der Theorie- gar kein richtiger Angriff sei – das Ergebnis ändert das aber nicht: Der Angreifer hat am Ende die PIN des Nutzers.
Diese Funktionsweise macht es umso schwieriger, den Angriff zu verhindern: Die letzte Sicherheitslücke in der AusweisApp, die ich gefunden hatte, ließ sich mit ein paar Zeilen Code und einem Update lösen. Dieses Problem hingegen lässt sich nur lösen, indem man den Nutzern beibringt, worauf sie zu achten haben – und sie dazu erzieht, auch tatsächlich daran zu denken, jedes mal auf diese Merkmale zu achten. Das ist allerdings sehr schwierig.
Bei unvorsichtigen Nutzern könnte dieser Angriff selbst dann funktionieren, wenn der Nutzer ein Lesegerät der höheren Sicherheitsstufe hat, bei denen man die PIN normalerweise über das Lesegerät eingibt. Eigentlich sollte es dem Nutzer auffallen, wenn er die PIN plötzlich am Rechner eingeben soll – aber wie viele Nutzer, die von den Sicherheitskonzepten keine Ahnung haben, werden die PIN trotzdem über die Computertastatur eingeben, wenn der Computer sie dazu auffordert und die Eingabe über das Lesegerät nicht akzeptiert?
Um sich gegen diesen Angriff zu schützen, muss man lernen, falsche von echten Fenstern zu unterscheiden. Im Browser wird die Website in einem bestimmten Bereich angezeigt. Lässt sich ein Fenster aus diesem Bereich heraus verschieben, dann handelt es sich zumindest um ein richtiges Fenster. Allerdings können Webseiten auch Popup-Fenster öffnen, die sich dann frei verschieben lassen. Bei allen gängigen Browsern kann die Website dabei zwar viele Teile des Browserfensters ausblenden, aber die Adressleiste (bzw. bei Opera eine dünne Leiste mit der Website-Adresse) bleibt immer stehen, eben um zu verhindern, dass ein Popup für ein echtes Fenster gehalten wird. Der „Verschiebetest“ zusammen mit einem kritischen Blick auf das Fenster ist also ein guter allgemeiner Anhaltspunkt.
Darüber hinaus hat die AusweisApp (bei angeschlossenem Lesegerät) ein Chip-Symbol in der Taskleiste neben der Uhr, welches bei aufgelegter Karte grün wird. Ist die AusweisApp aktiv, wechselt es die Farbe zu Blau. Das ist ein weiteres Sicherheitsmerkmal, auf das man achten sollte. Da ich nicht ausschließen möchte, dass es möglich ist, die AusweisApp zu aktivieren und dann irgendwie zu überlagern, würde ich den Verschiebetest zusätzlich empfehlen. Seltsam aussehende Schrift im AusweisApp-Fenster ist übrigens kein Hinweis auf eine Fälschung: Die Schriften sehen auch in der echten AusweisApp seltsam aus.
Man kann falsche Fenster also durchaus unterscheiden – aber die Hinweise, wie man es macht und dass man es machen solte, fehlen in den Hochglanzbroschüren zum Ausweis. Von sich aus kommen selbst Fachleute selten auf die Idee, diese Prüfungen zu machen, solange nicht irgendetwas Verdacht erregt. Eine gute Fälschung tut das aber nicht.
Ist der Angreifer im Besitz der PIN, reicht dies allein zwar noch nicht, um die Identität des Ausweisinhabers zu missbrauchen – die PIN existiert aber nicht ohne Grund und sollte nicht nur zum Spaß geheimgehalten werden. Ein Beispiel für einen Angriff, für den eine gestohlene PIN nützlich wäre, wurde auf dem 27C3 präsentiert.
Warum ich den Ausweis auch unabhängig von der Lücke ablehne, steht in diesem Beitrag. Auf weitere grundsätzliche Probleme wie die Beweislastumkehr, die für Ausweisnutzer ein ziemlicher Nachteil ist, werde ich in weiteren Beiträgen eingehen wenn/falls ich dafür Zeit finde. Ich kann nur davon abraten sich so einen Ausweis zu holen, bzw. wenn man schon einen hat, ihn zu nutzen. Auch wenn Alufolie immer an Verschwörungstheoretiker mit Aluhüten erinnert – ein paar Lagen davon, um den Ausweis gewickelt und an den Seiten umgefaltet, verhindern das Auslesen sowohl beim Ausweis als auch bei anderen RFID-Karten zuverlässig.
Noch ein kleiner Hinweis für die Presse: Ich bin immer noch kein CCC-Mitglied, obwohl ich letztes Mal nach den Falschmeldungen eingeladen wurde ;-)
Fragen die öffentlich beantwortet werden sollen/können, bitte über die Kommentarfunktion. Sonstige (An)fragen bitte über Jabber (XMPP, Google Talk) an janschejbal at jabber.ccc.de (das ist keine Mailadresse!) oder Mail an janhomepage [at] gmx punkt net. Telefon ist ungünstig, ggf. bitte Festnetznummer per Mail schicken.
Jan Schejbal 
Danke Jan :)
Bin über die FSK18 gestolpert – ich finde es einen sehr guten Test. Mit noch mehr Zeit und Elan/Energie (was „kriminelle“ Personen ja im Allgemeinen haben, da sie ja die Daten für ihre Machenschaften benötigen) ist gegen den ePA/nPA weitaus mehr machbar …
Mit Javascript ist es möglich, Fenster (oder das, was eins nachbildet) im Browser verschieben zu lassen. Keine Ahnung, wie genau das geht, aber Google Maps zeigt ja zumindest, wie Dragging funktionieren kann ;-)
Ja, aber auch nicht außerhalb des Website-Bereichs im Browser (und je nach Browser und Implementierung fällt es auf weil sich das Fenster beim Verschieben „komisch anfühlt“, z. B. weil es etwas träge ist oder manchmal auf Sachen nicht reagiert.)
Im Prinzip ist dieser „Hack“ eine Art des Social Engineerings. Dagegen hilft nur Medienkompetenz und keine Technik. Aber ob das unsere Technikgläubigen irgendwann verstehen werden? Ich zweifel.
Danke Jan für diese schöne Demonstration.
Finde den Anriff eher populistischer Natur, genauso wie den des ccc. Vor Schadsoftware und Phishing (nichts anderes ist dein Angriff) hilft nur gesunder Menschenverstand. Trotzdem finde ich deine Demo ziemlich gelungen, sie zeigt den Damen und Herren mal was so alles möglich ist.
Bei diesem speziellen Angriff hätte halt z.B. auch geholfen, wenn man nicht auf die hirnrissige Idee gekommen wäre, dass die PIN am PC eingegeben wird. Selbst mein uraltes Lesegerät für Smartcards hat aus genau dem Grund eine eigene Tastatur. Ein externes Gerät auszutauschen ist deutlich schwerer als ein Fenster mit einem bestimmten Aussehen anzuzeigen. Da kann man jetzt machen was man will, egal wie sicher die App selbst wird: Der Angreifer wird für einen Angriff auf meinen Ausweis immer nur Zugriff auf meinen Computer brauchen, für einen Angriff auf meine anderen Smartcards braucht er dagegen Zugriff auf meine Wohnung.
Und wie schliesst Du Dein tolles Lesegerät am Smartphone an?
Reine Geldmacherei von Reiner & Co.
Wieder typisch e-commerce Berater und Rechtsverdreher.
Einfach die Risiken neuer Technologien auf die Kunden abwälzen anstatt sichere Systeme zu machen.
Solange die Branche lieber Anwälte als Informatiker bezahlt wird sich das nie ändern.
Danke für den Beitrag!
Spontane Idee das ganze sicherer zu gestalten: User könnten die App bei der Installation individualisieren, z.B. mit einem Bild oder Foto das man hinzufügt. Bei jeder Nutzung der App wird dieses Bild dann angezeigt um so die Echtheit, zumindest auf dem eigenen Computer zu verifizieren.
Ich frage mich ernsthaft, ob jemals jemand für die Anwendung des
ePersos eine FMEA gemacht hat.
In anderen sicherheitskritischen Bereichen (Automobil, Luft-/Raumfahrt,
Medizin, etc.) ist so was üblich bzw. vorgeschrieben.
Spätestens da sollten solche grundsätzlichen Konzeptionsfehler
auffallen.
Es gibt hervorragende Werkzeuge zur Analyse sicherheitskritischer
Technik. Man muss sie nur nutzen.
Klasse Demo – auf dem Mac jedoch nicht so der Hingucker, gefälschte Windows Fenster erkannt man dort sofort ;)
ja, aber auch das lässt sich entsprechend anpassen. Anderes OS ist hier kein Schutz.
Ging mir auch so: Mac-User sind wieder mal auf der sicheren Seite :-)
Lässt sich aber mit wenig Aufwand durch eine System/Browser-Abfrage auch für Mac anpassen.
Gruß phaetons
Natürlich geht das und mit zunehmender Zahl an Mac Usern auch wahrscheinlich, solange wir aber nicht zur Zielscheibe werden, sind wir (noch) auf der sicheren Seite!
Ihr seid schon lange nicht mehr auf der sicheren Seite – allerdings glauben das noch viele…
Ich sag immer: „Wer Mac benutzt ist selber schuld“ – ich mag Apple nämlich nicht.
Die Eingabe der Pin muß über’s Lesegerät erfolgen. Von Lesegeräten die das nicht unterstützen sollte man ohnehin besser die Finger lassen.
Und wie schliesst Du Dein tolles Lesegerät am Smartphone an?
Willst Du das Ding überall mit Dir rumschleppen? :D
In meinen Augen ist dies wohl eher Aufmerksamkeits-Phishing (nicht persönlich gemeint). Genau wie bei den CCC-Angriffen, bei denen man zuerst einen Keylogger oder sonstige ‚Empfänger‘ auf dem Zielrechner braucht… Ich meine, DAS schafft meine Oma auch.
Und auf einem Mac ein Windows-Fenster zu zeigen und irgendwelche Eingaben dann als ‚Reinlegen‘ zu bezeichnen, ist m.E. Jenseits jeglicher Realität.
Man kann wunderbar eine Betriebssytemabfrage machen, worauf das Fenster dann unter Vista, XP, 2000, W7 und Mac OS X 10.X jeweils so gezeichnet würde wie die richtige Ausweisapp. Der einzige Kandidat, bei dem dies schwer wäre, ist Linux, weil dort so gut wie niemand das voreingestellte Theme nutzt. Hier könnte man höchstens das Ubuntu Theme darstellen und hoffen, dass der Nutzer Ubuntu installiert und das Theme nicht geändert hat.
Der Vortrag ist ein alter Hut, der keine neuen Erkenntnisse bringt. Dass daraus gleich wieder eine „neue Schwachstelle“ beim ePerso gemacht wird, ist wirklich lachhaft. Das Problem nachgemachter Fenster hat jede Anwendung, die auf einem Client läuft.
Wirklich neu ist das freilich nicht.
Lachhaft ist allerdings nicht der Hack, sondern die Tatsache, daß sich das ePerso-Geraffels mit so billigen Tricks reinlegen läßt.
Es gehört nun mal mit zu so einem Konzept dazu, daß man auch die Autorisation der Gegenseite und die Integrität der Verbindung verifizieren kann. Und zwar nicht nur für Experten, wenn sie „aufpassen“, an alle Stolperfallen denken und vielleicht noch irgendwelche Tools einsetzen, sondern auch für Lieschen Müller ohne Spezialkenntnisse und ohne zusätzliche Hilfsmittel.
Zusammen mit der von Jan schon erwähnten Beweislastumkehr ist das ein Epic Fail!
Es wurde ja nicht das „ePerso-Geraffel“ reingelegt sondern der Nutzer. Das ist ein kleiner Unterschied und zählt eher zum Social Engineering…
Macht das einen Unterschied??
Damit kann man die PIN abfangen und das (hoch gelobte) Sicherheitskonzept kann dem nichts entgegensetzten. Es wird ja nicht einmal auf solche Gefahren hingewiesen – das könnte ja dem „sicheren Ruf“ des nPA´s schaden… -.-
das es ein alter Hut ist ändert doch nichts am Gefahrenpotenzial, und gerade bei einem Problem von so grundsätzlicher Natur wie hier find ich es wichtig solche Sicherheitsmängel nochmal zu äußern. Ich würde meine Hand dafür ins Feuer legen, dass locker 10%-20% der Deutschen auf diese Kiste reinfallen werden.(vorrausgesetzt, der ePerso wird in allen Altersklassen gleich häufig verwendet.)
Und die Fenster lassen sich natürlich entsprechend für Mac/Windows anpassen, siehe HTTP-Header User-Agent.
Abgesehen davon, dass ich den Ausweis und somit auch die AusweisApp nicht habe, würde Linux-Usern hoffentlich auch das XP-Design auffallen. Wobei es die App ja für alternative Systeme noch gar nicht gibt.
Wie könnte der JavaScript-Code wissen, was für ein Theme verwendet wird, damit er das Fenster mit diesem nachmachen kann? Alle OS zusammengenommen gibt es schier unendliche Möglichkeiten, wie ein Fenster aussehen kann.
Richtig. Und einen Defaultwert, mit dem man (nach einer Useragent-Weiche) in 90% der Fälle richtig genug liegt dass die Leute drauf reinfallen. Ich glaube nicht, dass viele Windowsuser sich daran stören würden, dass die Fake-App keine Themes kann.
Nach Deiner ersten erfolgreichen Sicherheitsanalyse hätte ich mehr von Dir erwartet. Die gezeigte „Sicherheitslücke“ ist unseriös. Die Pressemitteilung der Piraten zum Fremdschämen.
Du zeigst, dass es möglich ist eine zusammenhangslose 6-stellige Nummer zu speichern. Glückwunsch. Es ist Dir bei diesem Angriff weder möglich einen Identitätsdiebstahl zu begehen, noch die gestohlene PIN-Nr. einem bestimmten Ausweis zuzuordnen. Es wird gezeigt, dass es möglich ist 6-stellige Nummern abzuspeichern. Das ist doch nicht euer Ernst, oder ?
Für einen erfolgreichen Angriff muss der richtige Ausweis vorliegen. Entweder indem er gestohlen wird, oder durch einen Trojaner. Wenn aber ein Trojaner auf dem Rechner ist, wieso sollte man dann diese Attacke durchführen wollen ? Es gibt doch Keylogger. Der Angriff funktioniert weiter nicht, wenn man ein Lesegerät mit eigener PIN Nr. hat. Man kann im Maximalfall eine nutzlose 6-stellige Nummer speichern.
Ich bin enttäuscht. Ich dachte wir machen seriöse Politik.
Zusammenhanglos ist die Nummer nicht, weil man bei einem Angriff auch Name und Adresse abfragen könnte, die dann im nächsten Schritt mit dem Perso „verifiziert“ werden sollen. Damit hat man die PIN und die Adresse wo man den Ausweis klauen kann. Zusätzlich dazu gibt es noch die verlinkte Relay-Attacke. Wenn die PIN so unwichtig ist, dass es nicht schlimm ist, wenn sie geklaut wird – wieso hat man sie dann überhaupt?
Wenn jede Attacke, die die PIN klaut, als bedeutungslos abgetan wird, und gleichzeitig jede Attacke, die die PIN braucht aber nicht hat genauso behandelt wird, haben wir lauter bedeutungslose harmlose Nichtangriffe und trotzdem jede Menge geownter Ausweise.
Als Attacke würde ich die Sache nicht sehen. Der Aufhänger, auch bei den Piraten, ist schon etwas unseriös. Hier geht es eigentlich nicht direkt um Designfehler vom nPA, sondern um die generelle formale Abwicklung am Computer.
Wenn ich in der Innenstadt einen eigenen [hier Bankname]-Bankautomat aufstelle und fremde Pins abgreife, ist dann das EC-Kartensystem fehlerhaft?
Es ist durchaus so, dass ein Sicherheitssystem das an alle (Internet)Bürger ausgerollt wird mehr bieten muss als „dein PC muss sicher sein“ oder „du musst ein Fenster erkennen können“. Hätte man das Konsequent verfolgt so würde keiner auf die Idee kommen PINs per PC Keyboard oder Maus abzufragen. Auch nicht als Option.
Das ist ein Systemfehler
(drauf rumreiten ist allerdings Geschmacksache)
Also ich muss sagen, dass ich gleich beim Alterscheck etwas enttäuscht war. Ich hatte einen ausgeknobelten Angriff erwartet, aber das??? Ich finde, man merkt sofort, dass das Fenster nur aus Screen-Shots besteht, weil es einfach zu unrealistisch und nahezu „tod“ wirkte. Aber wenn ältere Menschen diesen Dienst nutzen, muss man ihnen beibringen, dass unten in der Taskleiste dieses Symbol erscheinen muss.
Dennoch interessanter Beitrag…
Es ist übrigens besonders traurig dass die Informationsbroschüren speziell durch einen Hinweis auf Bildschirmtastatur ergänzt wurden statt auf einen Hinweis auf Komforleser und PINPad. Naja, das BSI im Spannungsfeld zwischen Geld und Sicherheit halt …
Gruss
Bernd
Sicherheit hin oder her, ich behalte meinen alten Perso solange es geht (gültig noch bis 2014). Wenn bis dahin nichts wegen der Sicherheit getan wird oder keine komplett überholte Version erscheint, werde ich wohl oder übel mit einer zwiegespaltenen Meinung auf den neuen Scheckkartenausweis umsteigen müssen…
Ich hoffe jedenfalls, dass die Regierung bei so etwas persönlichem wie den Identitätsausweis eines jeden Bürgers an Kosten und vor allem Sicherheit nicht spart.
VG Martin
erinnert ein wenig an Falschgeld…
Man KANN es unterscheiden, von einigen wirklich hochwertigen Blüten abgesehen, aber wer ueberprueft denn Scheine unter 50€ wirklich?
Ich finde die Demo ist schon sehr gut gelungen, allerdings dürften Probleme wie Themes / verschieben vom Web Browser, zumindest bei Verwendung von Firefox und XUL kein Problem sein.
Also ich habe hier einen nPA, Eid ist deaktiviert und ein ReinerSCT ist als Lesegeraet vorhanden und laeuft unter Ubuntu. Wie mache ich einen dump von meinem nPA? Also es waere toll wenn ich mittels dd einen dump machen kann da ich meinen nPA mit Mikrowellen bearbeiten will aber ein Backup waere toll um vielleicht wenn man mal wen faehiges trifft checken zu koennen ob da Fingerabdruecke drauf sind oder nicht. also ich mein jetzt nicht die wo man freiwillig draufhauen lassen sondern welcher aus einer EDB….
Das Besondere an Smartcards (dazu gehört auch der ePerso) ist, dass genau ein solcher Dump nicht möglich ist. Der Chip enthält z. B. Kryptoschlüssel, die du benutzen, aber nicht auslesen kannst. (Es gibt Karten, wo das anders aussieht, aber die meisten Smartcards haben solche geheimen Bereiche.) Die Karte ist quasi ein Computer, auf dem ein definiertes System läuft und das dier bestimmte Funktionen anbietet. „Ganzen Inhalt auslesen“ ist nicht darunter – aus gutem Grund, sonst könnte ja jeder deinen Chip klonen.
Wenn du dir das Experimentieren offenhalten willst, pack einfach mehrere Lagen Alufolie drumrum (an den Seiten überstehend und umgefaltet). Damit ist unbemerktes Auslesen jeder Art auch ziemlich sicher ausgeschlossen. Eine Mitführungspflicht ist mit dem neuen Ausweis übrigens AFAIK auch nicht verbunden, du kannst die Karte also daheim lassen.
„Das Besondere an Smartcards (dazu gehört auch der ePerso) ist, dass genau ein solcher Dump nicht möglich ist. Der Chip enthält z. B. Kryptoschlüssel, die du benutzen, aber nicht auslesen kannst. “
Wie lange haben wir Premiere laugeglotzt? :D
Achos sorry hab was vergessen und zwar mit OpenSC komme ich nicht weit:
Using reader with a card: REINER SCT cyberJack RFID basis 00 00
OpenSC [3F00]> ls
[opensc-explorer] card.c:343:sc_list_files: returning with: Not supported
unable to receive file listing: Not supported
Ja ! Macht es. Denn die Attacke funktioniert nicht ;-) Du kannst EINE 6 Stellige Nummer abfangen. Die dann von mir aus auch die PIN ist. Dein Problem bei dem Angriff ist aber, Du hast weder den Ausweis, noch die Möglichkeit herauszufinden zu welchem Ausweis diese Nummer gehört. Damit Herzlichen Glückwunsch. Es ist dem Angreifer gelungen eine 6-Stellige Nummer zu speichern. Meine Aufforderung mit den Angriff in der Praxis zu demonstrieren steht nach wie vor im Raum… Hier wird mit den Ängsten der Menschen gespielt. Ich hasse das. Das ist CDU Style. Davon sollten wir uns aber fern halten.
Deswegen hatte ich auch im Artikel geschrieben: „Ist der Angreifer im Besitz der PIN, reicht dies allein zwar noch nicht, um die Identität des Ausweisinhabers zu missbrauchen“
Ich diskutiere das nicht erneut mit Dir. Ich habe Dir damals gesagt was ich von Deinen Angriffen halte und Dich gebeten seriös zu bleiben.. hast Du nicht gemacht. So ist das jetzt halt…
„Hier wird mit den Ängsten der Menschen gespielt. Ich hasse das. Das ist CDU Style. Davon sollten wir uns aber fern halten.“
Gut so wenn den Aktionären die Geld in diesen Mist gepumpt haben Angst und Bange wird ;]
Welch Wechselbad der Gefühle – ständig diese entgegengesetzten Meinungen hier. Nun weiß ich gar nicht, ob ich im Nachhinein schlauer bin – ist es nun eine Lücke? Oder nicht? Oder ist es eine, aber nicht bedrohlich? … hmpf.
Es ist eine realistische Möglichkeit, an die PIN zu kommen. Die PIN allein kann nicht benutzt werden, um den Perso zu missbrauchen – sie ist einer der zwei Teile der durch den Perso erreichten Zwei-Faktor-Authentifikation. In Kombination mit anderen Angriffen könnte sie jedoch wertvoll sein.
Sollte beispielsweise irgendwann mal eine Firma ein Plugin basteln, was Remotezugriff auf Kartenleser erlaubt (für irgendein doof umgesetztes Authentifikationsverfahren zum Beispiel, oder irgendeinen Werbekram), könnte der Zugriff auf den (aufgelegten) Perso möglich werden. Da würden dann alle meckern, dass man ohne PIN ja nix machen kann, und der Angriff deswegen wertlos ist.
Dieser Angriff hebelt eine von zwei Sicherheitsmaßnahmen aus.
Der Nutzer hätte über diese Gefahr aufgeklärt werden sollen, was nicht geschehen ist. Durch Aufklärung hätte man die Gefahr minimieren können.
Hi..
Der Angriff hebelt die Sicherheitsmaßnahme in meinen Augen nicht aus.
Es ist dem Angreifer NICHT möglich den Personalausweis zu identifizieren, der auf dem Lesegerät liegt. Entsprechend kann er nur eine Wahllose Nr. speichern. Dieser Angriff geht über eine Standard Phishing Attacke. Der Angreifer bringt den User dazu seine PIN Nr. Preiszugeben. Ohne den Ausweis und vor allem die Identität des Ausweises völlig Nutzlos. Vergleichen kann man das mit einer Bankkarte. Nimm Deine PIN, eine Sprühdose und Sprühe diese an eine Brücke.. Solange die Karte und das Konto dazu unbekannt sind: Völlig nutzlos.
Wenn man sich ansieht wofür es den ePerso gibt, sieht man, dass er genau einen Schutz gegen derlei Angriffe darstellen soll. Wir wechseln von „Schutz durch Wissen“ zu „Schutz durch Besitz“ UND „Schutz durch Wissen“. Angriffsvektoren sind hier deutlich komplizierter als „eine“ PIN in Erfahrung zu bringen.
Der Angriff zeigt, was bei einem ganz gezielten Angriff auf eine bestimmte Person möglich wäre.. Er würde wie folgt aussehen:
– Rechner des Opfers wird mit Trojaner kontrolliert
– Über Phishing oder Keylogger wird die PIN gestohlen
– Der User lässt den Ausweis auf dem Gerät liegen und den Rechner an.
– Wenn der User weg ist kann der Angreifer den Rechner fernsteuern (VNC-like) und sich damit authentifizieren.
Gelingt es ihm, hat er auf diese Weise einen Äquivalenten Angriff erreicht wie bei dem mit einem Keylogger oder über Phishing eine Benutzername/Passwort Kombo abzufangen.
Jedem halbwegs Sicherheitsaffinen Menschen sollte deutlich sein, dass ein Angriffsvektor auf den ePerso viel aufwendiger ist… der ePerso also einen Sicherheitsgewinn darstellt. Und dies selbst bei einem Lesegerät ohne PIN-Pad… bei einem mit PIN-Pad hat der Angreifer keine Chance mehr…
Nochmal klar die Vorraussetzungen im Vergleich:
Ohne ePerso:
Trojaner/Phishing –> Am Ziel
Mit ePerso:
– Kartenleser ohne PIN-Pad
– ePerso auf dem Lesegerät vergessen, Rechner an, am Netz und in einem unbeaufsichtigten Zustand (was der Angreifer nur rudimentär prüfen kann)
– Trojaner/Keylogger notwendig um Rechner fernsteuern zu können. Jene mit Smartcardinterface sind aber schwerer zu verstecken, da ein Zugriff auf die API durch Antivirenscanner vergleichsweise leicht zu identifizieren ist…
Sobald es um digitale Signaturen, also rechtskräftige Unterschriften geht ist ein solcher Angriff nicht möglich, da ein qualifiziertes Lesegerät mit Display und PinPad vorgeschrieben ist (was der ePerso auch gegencheckt..).
Der ePerso ist also trotz möglicher (wenn auch unwahrscheinlicher) Angriffsvektoren ein Sicherheitsgewinn. Probleme sehe ich an anderen Stellen… nicht in der Sicherheitsarchitektur, aber das führt an dieser Stelle zu weit..
Am 17. August bin ich in Dortmund bei den Piraten und erkläre das Dingen genauer, wenn wer kommen mag. Dann diskutieren wir auch die bekannten Angriffsvektoren und ihren praktischen Nutzen… Der ePerso hat gute und schlechte Seiten.. der Wechsel zu Schutz durch Besitz ist richtig und wichtig.. Das gesamtmodell ePerso hat in der Umsetzung allerdings viele schwächen, welche weniger technischer, also politischer Natur sind.
Mich hat die Farbignorier-Einstellung von Firefox geschützt.
Ich hab nur ein schwarzes Rechteck gesehen :D
Die meisten Webpageentwickler vergessen nämlich exotische Desktopfarben zu unterstützen und hardcoden in schwarz auf weiss.
Das haben wir gleich. Dann fragen wir eben frech im Dialog danach.
Wetten dass 98% darauf reinfallen und die Daten eingeben.