Tag Archives: Magdeburg

Vortrag zu Template Toolkit 2

Das hat man nun von den guten Connections und dem positiven Feedback zum letzten Vortrag: der nächste Vortrag. Diesmal geht’s um das Thema, was ich letztens hier schon im Beitrag An Instant Messenger Emoticon Theme Generator angerissen hatte, nur diesmal mit Schwerpunkt auf Website und wie ich TT2 für lespocky.de eingesetzt habe. Die Folien wird’s dann, wenn sie soweit sind, unter CC-Lizenz auf bitbucket geben. Bis Montag dann! ;-)

Update: die Folien gibt’s auch bei bitbucket zum runterladen.

Keysigning auf dem ersten Magdeburger Open-Source-Tag

Das sind ja gleich zwei Themen auf einmal… nun ich fang mit dem kürzeren an. Auf dem Magdeburger Open-Source-Tag 2008 wird es ein Keysigning-Event geben, leider ist die Ankündigung sehr versteckt ganz unten im Programm. Das ganze wird von Jens Kubieziel organisiert und der gute Mann bittet um Anmeldung für den Spaß bis zum 8.10. – also bis Mittwoch. Einfach eine (signierte ;-) ) Mail mit dem eigenen Fingerprint an Jens schicken, schon ist man angemeldet. Alles weitere auf der zuvor genannten Seite.

Der Open-Source-Tag selbst findet zum ersten Mal statt und wird von Stefan Schumacher organisiert. Unterschrieben ist das mit »Entwicklung trifft Anwendung«, die Themenschwerpunkte gehen in Richtung Erziehung, Bildung, Publishing. Natürlich sind auch ein paar thematisch anders gelagerte Vorträge im Programm. Jenes liest sich übrigens sehr interessant, man kann sich kaum zwischen den vier Tracks entscheiden.

Ich persönlich werde mir wohl die Vorträge anhören, die in Richtung LaTeX gehen und ich werde natürlich selbst auch auf der Keysigningparty zugegen sein. Dort sind übrigens auch ein paar Leute anwesend, die Punkte für CAcert vergeben können und wollen. ;-)

Sicherheitslücken beim Studentenausweis der OvGU

Die Studenten der Otto-von-Guericke-Universität Magdeburg bekommen einen Studentenausweis mit RFID-Chip. Das ist schon seit einigen Jahren so und eigentlich sehr praktisch. Ähnlich wie bei der Geldkarte kann man Geld auf die Karte laden. Damit kann man in der Mensa und den Cafeterien des Studentenwerks sein Essen bezahlen, in der Bibliothek kopieren und sich an speziellen Automaten zurückmelden. Die drucken dann auch das neue Gültigkeitsdatum auf die Karte, so dass man bei den Magdeburger Verkehrsbetrieben stets einen gültigen Fahrausweis hat. Zusätzlich ist noch ein Strichcode vorn drauf, damit dient der Studentenausweis auch als Nutzerausweis der Bibliothek. Das System kommt von der Firma Intercard.

Vor einigen Monaten fiel mir auf, dass im Foyer der Mensa zwei kleine Automaten aufgestellt wurden, die den aktuellen Ladebetrag der Karte anzeigen. Diese Automaten sind im Gegensatz zu den Lesegeräten an den Kassen der Mensa sozusagen autark, nur ein Stromkabel ist angeschlossen. Der logische Schluss: der Geldbetrag ist direkt auf der Karte gespeichert. Die naheliegende Vermutung: wenn es gelänge, den RFID-Chip entsprechend zu manipulieren, ließe sich Guthaben erschleichen. Da ich kein gewiefter Hacker bin, blieb es bei einer Nachfrage beim Studentenwerk, wo man mir einerseits bestätigte, dass der Betrag tatsächlich auf der Karte gespeichert ist und andererseits versicherte, dass das System sicher sei und ich mich bei weiteren Fragen an den Hersteller wenden solle – habe ich nicht gemacht. Das ganze passierte wie gesagt im letzten Jahr.

Vor einigen Wochen nun erschien in der c’t 8/08 ein Artikel mit dem Titel »Chiptease – Verschlüsselungssystem eines führenden Bezahlkartensystems geknackt«. Das ganze las sich zunächst wie der jährliche Aprilscherz der Redaktion. Doch weit gefehlt, der eigentliche Aprilscherz war richtig absurd und relativ leicht zu enttarnen, dies hier hatte Hand und Fuß. Die Autoren hatten den RFID-Chip freigelegt und dann Layer für Layer abgeschliffen und abfotografiert, um aus der Halbleiterstruktur auf die Funktionsweise und damit die verwendete Verschlüsselungstechnik schließen zu können.

Eine kurze Recherche ergab, dass der untersuchte und millionenfach verbreitete Chip vom Typ »Mifare Classic« auch von Intercard eingesetzt wird. Die c’t verweist in ihrem Artikel auf eine Untersuchung des niederländischen OV-Chipkaart-Systems. Die Stellungnahme, die Intercard am 7.4.2008 veröffentlicht hat, liest sich recht interessant:

Zur Verschlüsselung der Systemdaten und -informationen wird der geheim gehaltene sogenannte CRYPTO1 Chiffrieralgorithmus eingesetzt, welcher nur mit speziellen NXP Bausteinen umgesetzt und verarbeitet werden kann. Diese Bausteine sind auch in den Mifare Lesemodulen eingebaut. Die Schlüssellänge beträgt 48 Bit, daraus ergeben sich über 280 Billionen Kombinationsmöglichkeiten.

Punkt 1: Security by Obscurity. Die erfolgreiche Kryptoanalyse hat wieder einmal gezeigt, dass dieses Konzept auf äußerst wackeligen Füßen steht. Punkt 2: Schlüssellänge. Mag das Mitte der 90er noch Stand der Technik gewesen sein, in »Kleiner Passwortgenerator in Perl« haben wir letztens erst Schlüssellängen diskutiert und 48 bit sind heutzutage lächerlich wenig. Intercard schreibt völlig zurecht:

Fazit
Die einfache Struktur der aufgedeckten Rechenregel, voraussagbare Zufallszahlen sowie
Zusammenhänge zwischen Karten-ID und Schlüssel lassen einen erfolgreichen Angriff auf
die Karte gewissermaßen recht einfach erscheinen.
Die Aussage “Verschlüsselungsalgorithmus Mifare Classic nachvollzogen” muss also
im Grundsatz als korrekt bewertet werden !

Die möglichen Gefahren sind klar. Da aber die Karte an der Uni hier, soweit ich weiß, nicht als Zugangskarte sondern nur als elektronische Geldbörse dient, ist dieser Punkt für mich am interessantesten. Im Hintergrund des Bezahlsystems wird ein sogenanntes Clearingsystem benutzt. Das bedeutet, dass sämtliche Transaktionen an Aufladeautomaten und Kassen geloggt und ausgewertet werden. Bei Unstimmigkeiten, die bei manipulierten oder geklonten Karten logischerweise auftreten, können die entsprechenden Karten anhand ihrer Seriennummer gesperrt werden. Insofern mache ich mir um meine Karte erstmal keine großen Sorgen, würde aber dennoch empfehlen keine allzu großen Beträge aufzuladen.

Nach einer Bestätigung der Schwächen des Kartensystems vom 19.3.2008 schreibt heise letzte Woche übrigens in »Aus für RFID-System Mifare Classic?«, dass auch das Nachfolgesystem Mifare Plus anfällig ist. Mehr und ausführliche Information zum Thema sowie den Vortrag zum Thema auf dem 24C3 findet man auf der Homepage von Karsten Nohl.

Eins noch, Intercard hatte in dem oben verlinkten PDF noch folgendes angekündigt:

Weitere Vorgehensweise
InterCard wird für seine Kunden sehr zeitnah (ca. 4 – 6 Wochen) eine Migrationsstrategie auf
eine neue Kartentechnologie ausarbeiten und vorstellen.

Wer da nähere Informationen in Bezug auf die OvGU hat, kann die gern an mich weiterleiten.

Meine erste Demo – ohne mich

Heute, am 9. November, hat der Bundestag das Gesetz zur Umsetzung der entsprechenden EU-Richtlinie zur Vorratsdatenspeicherung mit der Mehrheit der großen Koalition verabschiedet. heise online schreibt:

Der rechtspolitische Sprecher der Grünen, Jerzy Montag, sprach dagegen in dem heftigen Schlagabtausch von einem “tiefschwarzen Tag für die Bürgerrechte in Deutschland”.

Dem kann ich mich nur uneingeschränkt anschließen. Für mich persönlich gehen damit drei Wochen mit erhöhtem Adrenalinspiegel zu Ende. Es begann damit, dass Juliane am 17.10. bei Webuni den Aufruf für bundesweite Demonstrationen und Kundgebungen weiterleitete, die am 6.11. stattfinden sollten. Die Diskussion entwickelte sich so, dass ich mich in der Woche darauf (zusammen mit Tux) zur Polizeidirektion begab und eine entsprechende Veranstaltung für Magdeburg anmeldete. Wir hatten uns eine kleine Kundgebung an der Goldschmiedebrücke ausgemalt, niemand anders schien Zeit und Lust zu haben und ich vergaß in einem schwachen Moment meine universitären und privaten Verpflichtungen.

Die folgenden Tage bestanden für mich aus massiver Unlust morgens aufzustehen, stressbedingter Appetitlosigkeit und der Kommunikation mit Leuten, die ich nicht kannte über Sachen die ich nie zuvor gemacht hatte. Zu den unbekannten Dingen gehörte weniger das Pflegen des Orga-Wikis sondern vielmehr die Gespräche mit den Jungen Liberalen und der Grünen Hochschulgruppe, die Koordination von Entwurf und Druck der Plakate und Flyer, Verteilen der Aufgaben für den Demotag selbst und so einiges mehr. Am Ende wurde dann trotz zwei Wochen Vorlauf sogar noch die Zeit knapp.

Dank der Hilfe von vielen engagierten Leuten ging dann am Dienstag alles glatt über die Bühne und wurde sogar noch ein kleiner Erfolg. (An dieser Stelle nochmal vielen Dank dafür!) Ich lag um diese Zeit allerdings leider mit einer fiesen Magen-Darm-Infektion im Bett und nutzte die Zeit den Film »Das Leben der anderen« zu schauen – passend zum Thema und sehr bewegend. Gegen Ende sagt dort der Minister Hempf sinngemäß, dass es in der Bundesrepublik nichts mehr gäbe, wogegen man rebellieren könne. Bei der Mitteilung des AK-Vorratsdatenspeicherung von heute heißt es:

Zur weiteren Arbeit des Arbeitskreis Vorratsdatenspeicherung, der die Proteste der letzten Wochen und Monate koordiniert hat, erklärt Ricardo Cristof Remmert-Fontes: “Der Arbeitskreis Vorratsdatenspeicherung wird weiter die Frage stellen, in welcher Gesellschaft wir in Zukunft leben wollen und daran arbeiten, das Bewusstsein für die Grundwerte unserer freien Gesellschaft zu fördern. Wir sind erst am Anfang unserer gemeinsamen Arbeit.”

In diesem Sinne schalte ich jetzt mal meine Playlist um von den zur Stimmung passenden »Murder Ballads« von Nick Cave zur besten Band der Welt: Die Ärzte mit »Deine Schuld«.