Gestern gab es mal wieder sehr kompetente…

“ePerso: PIN kann ungewollt ausgelesen werden”

“Neuer Personalausweis per Phishing geknackt”

Die AusweisApp wurde gehackt,
…der neue Personalausweis wurde gehackt,
…das BSI wurde gehackt,
…die Bundesregierung (die den Spaß mit unserem Geld bezahlt) wurde gehackt.

OMG!

Und dieser Unsinn wurde auch wieder willig per Twitter weiterverbreitet, genauso wie das Problem mit den diakritischen Zeichen. Da hieß es auch der Ausweis wäre unbrauchbar. Das allerdings nur die ÄNTE zum Teil betroffen sind und weder der nPA noch die App, hat kaum wen interessiert.

Wer lesen (und verstehen) kann, ist voll im Vorteil:
“ePerso: PIN-Diebstahl ohne Malware” (janschejbal.wordpress.com)

Dieser Angriff nutzt keine Sicherheitslücke im Ausweis oder der AusweisApp aus, sondern die Tatsache, dass Nutzer nicht in der Lage sind, echt aussehende von echten Fenstern zu unterscheiden.

Die einen sind der Meinung dass das was Jan Schejbal da zeigt gar kein Angriff wäre und die anderen schwelgen in feuchten Träumen der neue Personalausweis wäre geknackt worden — beides ist falsch.

Die Demo ist ein Denkanstoß für die Benutzer des nPA und ein Schlag ins Gesicht derer, die das schwächste Glied in der Kette vorsätzlich missachtet haben (um das Projekt nicht zu gefährden, denn zu viel Realismus ist schädlich für den Wirtschaftsstandort Deutschland) und nicht in die Entwicklung des Projektes “Neuer Personalausweis” mit einbezogen haben — den normalen Anwender.

Warum hat man sich wohl per Gesetz rückversichert, dass im Schadensfall der Anwender selber schuld sein muss und niemals die vom Bund angebotene Technik? Keinmal darf man raten. Natürlich weil die Damen und Herren ganz genau wissen, dass der normale Anwender von dem Technikgedöns vollkommen erschlagen ist, weshalb z.B. auch niemand auf abgelaufene oder falsche SSL-Zertifikate achtet, die der Browser beim täglichen surfen meldet. Genau diese Klientel ist das Ziel der Demo und auch sie ist das Ziel der echten Angreifer.


Zu den Piraten und ihrer Presseerklärung muss man wohl nicht mehr viel sagen. Sie scheinen zum Teil schon in der etablierten Politik angekommen zu sein.

An dem neuen Personalausweis, der AusweisApp, den Kartenlesern und nicht zu vergessen der (fehlenden) Informationspolitik des BSI und BMI gibt es genügend Punkte die man kritisieren kann, da muss man nicht etwas für die Presse inszenieren.

“Innenministerium kontert Kritik: De-Mail ist sicher” (zeit.de)
Neben dem üblichen Herbeisehnen “Zudem sei das System so sicher…” las ich noch:

Der Bundesverband Digitale Wirtschaft (BVDW) forderte, im Gesetzentwurf eine einheitliche Kennzeichnung der De-Mails zu verankern,…
Die Deutsche Post weicht allerdings davon ab, hier soll die Adresse «vorname.nachname@epost.de» lauten.

«Zusätzliche Domains bergen ein erhebliches Risiko, die Endnutzer zu verwirren und so die Eindeutigkeit und die Glaubwürdigkeit der De- Mail zu gefährden», erklärte der BVDW.

Ich wollte eigentlich nur etwas genauer schauen wer, was, wann gesagt hatte — denn das was die Deutsche Post anbietet gehört nicht zu De-Mail, sondern ist ein Konkurrenzprodukt — aber soweit kam ich gar nicht:

Safe Browsing Diagnostic page for bvdw.org (google.com) (Screenshot)
Da hat Google also Malware gefunden oder zumindest etwas verdächtiges registriert.


Im Quellcode auf bvdw.org fand ich dann einen Hinweis:
<!-- Generated by OpenX 2.8.1 -->

“Schwachstelle in OpenX ermöglicht Kompromittierung von Ad-Serern” (buerger-cert.de)

Empfehlung
Das Bürger-CERT empfiehlt Adminstratoren von OpenX Ad-Servern [1] ihre Systeme auf Kompromitterung zu überprüfen. Desweitern empfiehlt das Bürger-CERT eine Aktualisierung auf Version 2.8.5,…

“OpenX Ad Server – SQL Injection on 2.8.4” (developer.openx.org)
Allerdings ist diese Meldung schon ein paar Monate (!) alt:

Created: 03/Mar/10 03:48 PM     Updated: 03/Mar/10 03:48 PM

Mit veralteten Software-Versionen und den anderen Lücken (Cross-Site Scripting, Session Fixation, Information Disclosure, etc.) macht bvdw.org keine gute Figur. Aber ihr Slogan “Wir sind das Netz” passt zu dem was ich so üblicherweise im Netz finde — ich habe also nichts herausragend schlechtes gefunden. ;O)