LNP078 Bugdoor

Freiheit statt Angst — Cryptocalypse! — Smartphones — Swift-Daten — Vorratsdatenspeicherung für die DEA — WikiLeaks — Glücksspiel-Netzsperren — Funkzellenabfragen

Linus ist wieder aus den USA zurück und hat zwar die Freiheit statt Angst-Demo verpasst, aber dafür andere Erlebnisse verbucht. Wir fassen die Ereignisse der letzten zwei Wochen zusammen, wobei sich sogar ein kleine gute Nachricht eingeschlichen hat.

Dauer: 1:19:02

On Air
avatar Linus Neumann Paypal Icon Bitcoin Icon Amazon Wishlist Icon
avatar Tim Pritlove Paypal Icon Amazon Wishlist Icon Bitcoin Icon

Freiheit statt Angst

Cryptocalypse!

Smartphones

Swift-Daten

Vorratsdatenspeicherung für die DEA

Neues von WikiLeaks

Keine Glücksspiel-Netzsperren

Funkzellenabfragen

23 Gedanken zu „LNP078 Bugdoor

  1. Ich habe den Podcast am Arbeitsweg gehört. Jetzt wollte ich mir den Link heraussuchen um Webseiten auf SSL-Schwächen zu testen. Leider wurde dieser Link hier dann doch nicht aufgeführt.
    Wäre super, wenn man diesen nachliefern könnte

  2. Als Antwort auf euren Schluss: natürlich vielen Dank für’s Senden! LNP ist weiterhin einer der wenigen Podcasts, die ich sofort nach Erscheinen hören, allein schon um bei der andauernden ‘Schlechtwetterfront’ was Nachrichten angeht ein klein wenig mehr Durchblick verzeichnen zu können.

  3. Also dass man die Fingerabdrücke die man überall auf der Oberfläche eines Iphones hinterlässt, verwenden kann um sich damit Zugang zu verschaffen ist nicht möglich, da der Sensor die Geometrie der subkutanen Blutgefäße erfasst und nicht wirklich den Fingerabdruck. Ob man das Ganze nun aber braucht sei dennoch mal dahin gestellt.

    Auf jeden Fall vielen Dank für die vielen schlechten Nachrichten. LNP ist für mich eine unersetzliche Institution geworden um mich, auch wenn ich mal nicht so viel Zeit habe, auf dem Laufenden zu halten. Danke dass Ihr das durchzieht auch wenn Ihr mal eigentlich keine Lust habt. ;)

    • Authentec, die Biometrie-Bude, die Apple sich dafür gekauft hat, ist auf jeden Fall eine der, wenn nicht die fortgeschrittenste Firma in dem Bereich.
      Die generellen Problem biometrischee Merkmalen aber bleiben erhalten:

      1. Man kann sie nicht loswerden oder wechseln.
      Du hast nur 2 Daumen, 2 Retinae, ein Genom usw.
      Ich habe zum Beispiel bei meiner USA-Reise alle 4 Finger und den Daumen “verbrannt” und kann sie jetzt schon nirgendwo mehr einsetzen.

      Daher gilt das zweite Problem:

      2. Der Scanner muss vor allem die Echtheit des Fingers prüfen
      Denn: Jedes Gerät bzw. jede Institution, bei der ich meinen Finger je aufgelegt habe, ist potenziell auch in der Lage, eine funktionale Kopie zu erstellen und somit bei anderen damit durchzukommen.

      Wer Finger fälscht, hat dann so Herausforderungen wie Hautwiderstandsmessungen zu meistern, die aber im Sinne der Nutzerfreundlichkeit immer noch ausreichende Toleranz haben.

      Kollegen von mir haben zum Beispiel bei der OHM Workshops im Fingerprint-Spoofing gemacht. Zweifelsohne freuen die sich bestimmt auf das neue iPhone und eine neue Herausforderung ;-)

      Linus

      • die diskussion über sinn und unsinn des neuen iphone-sensors ist spannend. aber ich wundere mich, dass der securityfachmann mit veralteten fälschungstechniken argumentiert. diese ganze graphit-latex-kleber-nummer entspricht schon länger nicht mehr dem stand der dinge. denn das merkmal “lebendig” lässt sich auf mehreren ebenen überpüfen (temperatur, feuchtgkeit, widerstand, o2-sättigung, verlagerung der scanebene auf tiefere hautschichten und die kombination von allem). darüber hinaus ist zu unterscheiden zwischen reinen verschlüsselungstechniken, für die ein fingerabdruck sicherlich nicht optimal ist, weil jeder polizist mit etwas nachdruck den finger auf den sensor führen kann, und identifizierung. bei letzterem kann gerade bei im alltag zigmal auftretenden situationen der fingerabdruck sehr wohl eine interessanter ansatz sein. was übrigens auch in dem von dir zitierten workshop so gesehen wurde: “Andererseits gestand Dexter auch ein, dass es Graubereiche gibt, in denen die Verschlüsselung mittels Fingerabdruck durchaus Sinn ergibt, beispielsweise bei Smartphones.”
        wir sind alle keine propheten und sollten abwarten, was apple wirklich gebastelt hat.

        • Ben und Dexter sind meine Arbeitskollegen und bisher haben sie jeden Sensor ausgetrickst.

          Selbst wenn mal als Graubereich annimmt, dass das iPhone den Print nur als Hash speichert, und auch nur im TPM und nicht an Apple sendet und das das auch alles sicher ist, so kann ich diese Annahme nicht bei meiner US-Einreise machen:

          Es ist ein Unterschied, ob man sein eigenes Gerät damit sichert, oder ob man sich gegenüber Geräten dritter damit identifiziert. Das meint Dexter.

          Denn: Jedes Gerät, das einem nicht gehört, oder das man nicht selbst vollständig kontrolliert, kann ebenso gut einfach nur in Messgerät für all die Faktoren sein, die ein anderer Sensor prüft.

          Beim iPhone liegt der Graubereich aber dann wohl darin, dass unklar ist, ob man dieses closed-Source-DRM-Ungetüm noch als “mein Gerät” bezeichnen kann ;-)

          Ob wir irgendwann gejailbreakte iPhones als Fingerabdruck-Kopiermaschinen sehen werden, wird sich zeigen, aber das Kernproblem bleibt:

          Du hast nur 2 Daumen, 2 Retinae, ein Genom usw.

          …und du trägst sie mehr oder weniger offen mit dir herum und hinterlässt sie quasi überall.

          Die Darmflora soll übrigens auch bei jedem Menschen individuell und einzigartig sein.

          • PS: Allerdings gebe ich zu, dass es für all jene Leute, die ihr Phone bisher noch nicht einmal mit einem 4stelligen Code sichern, ein großer Zuwachs an Sicherheit ist. Aber als

            der securityfachmann

            ist das nicht mein Vergleichswert.

                • Ach komm, das ist so vorhersehbar, wie lächerlich.

                  Nochmal: Ich hinterlasse meinen Fingerabdruck auf dem Gerät, ich verliere es auf einer öffentlichen Toilette oder sonstwo, eine unbekannte unerhliche Finderin macht es auf.

                  Dann soll ich mich hinstellen und sagen “HAHA, nicht gehackt, sondern nur umgangen!”

                  Ich bitte dich.

                  Den wichtigsten Punkt macht Frank: Zum Erkennen (also Überwachen) gut, zum Authentifizieren nicht. Punkt.

                  • Aber darum ging es doch auch nie.
                    Den vierstelligen Pin umgeht man noch einfacher, das kann jeder. Schlicht durch
                    Probieren.
                    Hier wird doch aber die Hürde höher gelegt bis jemand das Telefon entsperren kann. Schließlich hat nicht jeder das KnowHow und die technischen Möglichkeiten eine Kopie deines Fingerabdrucks herzustellen.

                    Und wenn man jetzt TouchID mit einem längeren Passwort kombiniert, dann bleibt für den User weiterhin der Komfort erhalten, aber trotzdem steigt Sicherheit in der breiten Masse.

                    Du predigst doch immer das es keine totale Sicherheit gibt, dann mach das bitte auch jetzt und erkläre den Leuten warum und kläre sie sinnvoll über die Möglichkeiten auf.

                    Nebenbei sollte die eigentlich relevante Frage sein ob man aus dem Chip den Fingerabdruck extrahieren kann.

                    • Den vierstelligen Pin umgeht man noch einfacher, das kann jeder. Schlicht durch
                      Probieren.

                      Die Wahrscheinlichkeit, damit Erfolg zu haben, liegt bei p=0.001 bei 10 Versuchen, denn danach wiped sich das iPhone.

                      die eigentlich relevante Frage sein ob man aus dem Chip den Fingerabdruck extrahieren kann.

                      Das ist auch eine interessant Frage, um die sich Menschen kümmern werden. Wird aber teuer, weil dafür das TPM reversed bzw gesliced werden muss, oder ein Fehler in der Kommunikation exploitet werden muss.

                      Wieso aber sollte jemand den Aufwand betreiben, wenn der Fingerabdruck auf dem Gerät klebt?

                      Das ist allenfalls für remote-Angriffe interessant und dafür bräuchte man erstmal einen Exploit für iOS 7.

  4. zu Handybetriebssystem:
    Ich rette mich ja immer noch in die romantisch verklärte Vorstellung, dass ich mit meinem antiquierten Windows Mobile nichts zu befürchten hab im Hinblick auf spy und malware ;-)

  5. Nee, ich hab da nichts durcheinander gehauen. Im Bericht vom Parlament steht tatsächlich “die Erstellung weißer und schwarzer Listen von illegalen Websites”. Dass das keinen Sinn ergibt haben EDRi und wir selbst geschrieben und natürlich auch den Abgeordneten gesagt – aber die haben anscheinend das Problem nicht erkennen wollen.

  6. Ja, eine Funkzellenabfrage ist ein Vorgang, der fast immer mehrere Funkzellen betrifft. Meistens mindestens vier, eine pro Netz. Leider gibt es keine Zahlen, wie viele Funkzellen durchschnittlich betroffen sind, ich schätze mal zwischen fünf und weit mehr als 20. Zu den anderen Zahlen gab es was aus Schleswig-Holstein:

    Die kürzeste Funkzellenabfrage dauerte drei Minuten, die längste mehr als einen Monat. Die Bandbreite der übermittelten Verkehrsdatensätze liegt zwischen einem und 2.397.982 […]. Die Anzahl der betroffenen Mobilfunkanschlüsse lag zwischen einem und 303.092.

  7. Die Kletterhalle setzt mit ihrer Architektur
    und ihrer überdurchschnittlichen Ausstattung
    neue Maßstäbe im Freizeitbereich „Klettern“ und gehört
    somit wohl zweifellos zu den schönsten Kletterhallen in Deutschland.

    Ich biete an: * Kindergeburtstage von 5- 9 Jahren * Eventgeburtstage ab 10 Jahren für Teenager+ Jugendliche
    * Geburtstage für Erwachsene * außerschulischen Kunstunterricht * (Schul-)Klassen Exkursionen * Workshops zum kreativen Gestalten und Entspannen
    * Betriebsausflüge * Weihnachtsfeiern Außerdem biete ich an: *Selbstgestaltete Geschenke, z.B.
    ein erwachsener Betreuer, täglich buchbar.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *