Werbefrei im Januar 2024!

Zutrittsystem mit RFID hat ein Sicherheitsmangel

... wird hier diskutiert: Seilbahntechnik, Pisten- und Beschneiungstechnik uvm.
Forumsregeln
Bitte beachte unsere Forum Netiquette
Chlosterdörfler
Rigi-Kulm (1797m)
Beiträge: 1837
Registriert: 05.12.2012 - 17:56
Skitage 19/20: 0
Skitage 20/21: 0
Skitage 21/22: 0
Ski: nein
Snowboard: nein
Ort: 8840 Einsiedeln
Hat sich bedankt: 17 Mal
Danksagung erhalten: 71 Mal

Zutrittsystem mit RFID hat ein Sicherheitsmangel

Beitrag von Chlosterdörfler »

Am Chaos Communication Congress gab es ein Bericht wie man durch die Manipulation an der Skipasskarte zur einer Türsystemekarte kommt. Der Forscher konnte bei einem Test ohne Probleme Türe öffnen welche mit dem RFID System gesichert sind und das mit bis zu 93% Erfolgsaussichten. Die gleiche Methode geht vielleicht auch mit den neuen Kreditkarten welche auch über das RFID-System verfügen wo man bei einem Detailhändler an der Kasse Kleinbeträge abgebucht werden ohne Codeeingabe und Berührung des Lesegerät.

Was bequem ist kann sich auch umkehren zu einem Nachteil was das Sicherheitsgefühl anbetrifft.

Da ich keine Ahnung habe sollte es auch möglich sein alte RFID-Karte mit ein wenig Grips und Technik in aktuelle Handfreekarte zu verwandeln darüber sollten die Hersteller mal nachdenken. Mein Lösungsvorschlag der ersteintritt ins Skigebiet durch eine andere Zutrittskontrolle bewerkstelligen.
Wer Träume hat der lebt noch.

Benutzeravatar
F. Feser
Administrator
Beiträge: 9657
Registriert: 27.03.2002 - 21:04
Skitage 19/20: 8
Skitage 20/21: 0
Skitage 21/22: 0
Ski: ja
Snowboard: nein
Ort: Renningen
Hat sich bedankt: 170 Mal
Danksagung erhalten: 592 Mal
Kontaktdaten:

Re: Zutrittsystem mit RFID hat ein Sicherheitsmangel

Beitrag von F. Feser »

ist ein alter Hut, mir ist bereits mehrfach zu Ohren gekommen dass regelmäßig Karten gefaked bzw. falsch programmiert werden und somit Skitage ergaunert werden. Das System ist wohl überanfällig...
:ja: Jetzt Neu - Werbefrei: Alpinforum PRO - ohne lästige Werbebanner - Ausprobieren für 3 € im Monat oder 33 € im Jahr! Mehr Infos hier - KLICK MICH :ja:
Benutzeravatar
Tibor
Großer Müggelberg (115m)
Beiträge: 323
Registriert: 06.02.2005 - 16:15
Skitage 19/20: 0
Skitage 20/21: 0
Skitage 21/22: 0
Ski: ja
Snowboard: ja
Ort: Frankfurt am Main
Hat sich bedankt: 0
Danksagung erhalten: 0

Re: Zutrittsystem mit RFID hat ein Sicherheitsmangel

Beitrag von Tibor »

Ist das der Vortrag auf dem 30C3 ?
"RFID-Horror": Forscher knackt Wiener Haustüren mit Skipass
Adrian Dabrowski zeigte am 30C3 wie man Zentralsschließanlagen umgehen kann
Artikel im derStandard.at

Ist ja weder SkiData noch Axess.
Chlosterdörfler hat geschrieben:Da ich keine Ahnung habe sollte es auch möglich sein alte RFID-Karte mit ein wenig Grips und Technik in aktuelle Handfreekarte zu verwandeln darüber sollten die Hersteller mal nachdenken. Mein Lösungsvorschlag der ersteintritt ins Skigebiet durch eine andere Zutrittskontrolle bewerkstelligen.
Dazu passt: Angriff auf die Schwarzfahrer

Ab Seite 8 kommt dann das Thema 'Bild beim Zugang speichern/vergleichen'.
Re: Angriff auf die Schwarzfahrer Seite 8/9
Benutzeravatar
k2k
Moderator a.D.
Beiträge: 7988
Registriert: 03.10.2002 - 01:01
Skitage 19/20: 0
Skitage 20/21: 0
Skitage 21/22: 0
Ski: ja
Snowboard: nein
Hat sich bedankt: 42 Mal
Danksagung erhalten: 4 Mal

Re: Zutrittsystem mit RFID hat ein Sicherheitsmangel

Beitrag von k2k »

Na endlich, auf diese Meldung warte ich schon seit Jahren.
Chlosterdörfler hat geschrieben:Mein Lösungsvorschlag der ersteintritt ins Skigebiet durch eine andere Zutrittskontrolle bewerkstelligen.
Das dürfte nicht nötig sein. Ich bin sicher, man kann die Systeme durchaus so gestalten dass sich solche Gaunereien verhindern lassen. RFID ist ja nicht per se unsicher.
"Seilbahnen sind komplexe technische Systeme. Sie sind Werke innovativen vielschichtigen Schaffens und bilden ein spannungsvolles Zusammenspiel technischer und wirtschaftlicher, politischer, sozio-kultureller und landschaftlicher Faktoren." (Schweizerisches Bundesamt für Kultur)
strohmi1991
Massada (5m)
Beiträge: 16
Registriert: 30.11.2013 - 12:04
Skitage 19/20: 0
Skitage 20/21: 0
Skitage 21/22: 0
Ski: ja
Snowboard: nein
Hat sich bedankt: 0
Danksagung erhalten: 0

Re: Zutrittsystem mit RFID hat ein Sicherheitsmangel

Beitrag von strohmi1991 »

Die Tourengeher werden sich freuen - ist am Stubaier Gletscher schon lange Praxis über die Wilde Grube in das Skigebiet laufen ;-)
Saison 2013/14 40 Skitage: Balderschwang 1x, Bezau 1x, Bödele 2x, Brandnertal 1x, Gargellen 3x, Golm 3x, Ischgl 1x, Laterns 2x, Mellau-Damüls 11x, Obergurgel-Hochgurgel 1x, Patscherkofel 1x, Sonnekopf 2x, Stubaier Gletscher 7x, Warth-Schröcken 4x
Benutzeravatar
whiteout
Nebelhorn (2224m)
Beiträge: 2394
Registriert: 28.06.2012 - 15:33
Skitage 19/20: 0
Skitage 20/21: 0
Skitage 21/22: 0
Ski: ja
Snowboard: nein
Hat sich bedankt: 0
Danksagung erhalten: 3 Mal

Re: AW: Zutrittsystem mit RFID hat ein Sicherheitsmangel

Beitrag von whiteout »

Sind sie selbst schuld, wenn nicht kontrolliert wird, zumindest bei Eisjoch KSB und Rotadl sollten Drehkreuze hin.

Wenn ihnen da Geld durch die Lappen geht sind sie selbst schuld!
Würde ich als Tourengeher wohl auch so machen nach dem Gipfel noch eine Weile im Skigebiet rumfahren.
Saison 2016/2017: 24 Skitage
5x Pitztal - 4x Kleinwalsertal - 5x Stubai - 2x Fellhorn - 2x Nebelhorn - 2x Flumserberg - 1x Bolsterlang - 1x Ofterschwang - 1x Laax - 1x SkiArlberg - finished!
Benutzeravatar
sven.ths
Großer Müggelberg (115m)
Beiträge: 211
Registriert: 29.08.2012 - 10:39
Skitage 19/20: 0
Skitage 20/21: 0
Skitage 21/22: 0
Ski: ja
Snowboard: nein
Hat sich bedankt: 13 Mal
Danksagung erhalten: 58 Mal

Re: Zutrittsystem mit RFID hat ein Sicherheitsmangel

Beitrag von sven.ths »

Key-Cards kann man immer leicht Fälschen, egal ob es nun mit Strichcode internem Passivsender oder Aktiv-Verschlüsselung ist, solche Systeme funktionieren nur dann, wenn der Potentielle Fälscher keinen Zugang zu einer Funktionierenden Schlüsselkarte hat. Unnötig zu erwähnen dass das bei Skigebieten natürlich nicht der Fall ist (er kauft sich sein Probe-Exemplar einfach).
Das einzig wirklich sichere ist, wenn über einen Zentralen Computer abgeprüft wird, ob die eingelesene Karte schon vor wenigen Minuten wo anders benutzt wurde, somit kann ausgeschlossen werden das sich jemand eine Tageskarte kauft, das verhalten dieser Karte einfach auf andere Karten schreibt und sich somit mehrere Leute gleichzeitig mit "Der Selben" Karte im Skigebiet aufhalten.

Benutzeravatar
Ram-Brand
Ski to the Max
Beiträge: 12188
Registriert: 05.07.2002 - 20:04
Skitage 19/20: 12
Skitage 20/21: 0
Skitage 21/22: 0
Ski: ja
Snowboard: nein
Ort: Hannover (Germany)
Hat sich bedankt: 110 Mal
Danksagung erhalten: 231 Mal
Kontaktdaten:

Re: Zutrittsystem mit RFID hat ein Sicherheitsmangel

Beitrag von Ram-Brand »

^^ Dann kommt die Meldung "Doppelverwendung".
Passiert auch wenn die Leute zu langsam durchs Drehkreuz gehen und dieses schon gesperrt hat.
Bild Bild
Lift-World.info :: Entdecke die Welt der Seilbahntechnik - Liftdatenbank, Fotos & Videos von Liftanlagen, sowie Informationen über Seilbahntechnik und vieles mehr ...
Benutzeravatar
sunset
Wurmberg (971m)
Beiträge: 1063
Registriert: 04.01.2011 - 12:02
Skitage 19/20: 0
Skitage 20/21: 0
Skitage 21/22: 0
Ski: ja
Snowboard: nein
Hat sich bedankt: 6 Mal
Danksagung erhalten: 19 Mal

Re: Zutrittsystem mit RFID hat ein Sicherheitsmangel

Beitrag von sunset »

Beim selben Einstieg ist mir das versehentlich schon passiert. Dass das aber gebietsweit synchronisiert wird wusste ich noch nicht - ist das wirklich schon so?
LG, Max
Benutzeravatar
Ram-Brand
Ski to the Max
Beiträge: 12188
Registriert: 05.07.2002 - 20:04
Skitage 19/20: 12
Skitage 20/21: 0
Skitage 21/22: 0
Ski: ja
Snowboard: nein
Ort: Hannover (Germany)
Hat sich bedankt: 110 Mal
Danksagung erhalten: 231 Mal
Kontaktdaten:

Re: Zutrittsystem mit RFID hat ein Sicherheitsmangel

Beitrag von Ram-Brand »

Ja, wie soll das Drehkreuz vor Ort den sonst wissen, das Du durch darfst?

Grob gesagt läuft es sicher so:

Du kaufst die Karte an der Kasse.
Karten ID: 1234

Die Kasse meldet dem Server: Karten ID 1234 - Erwachsener - gültig bis 4.4.14

Du stehst mit der Karte das erste Mal am Drehkreuz an einer Zubringerbahn.
Karten ID 1234 wird gelesen.
Gleichzeitig wird ein Foto gemacht und auf dem Server gespeichert mit Vermerk. Foto gehört zur Karte 1234.

Server meldet zurück an das Drehkreuz. ID 1234 darf durch heute ist 3.4.14
Drehkreuz wird freigegeben.


Beim nächsten Drehkreuz am Lift irgendwo im Skigebiet ist es dann ähnlich:
Karten ID 1234 wird gelesen.
Nachfrage beim Server ob noch Gültig?
Gleichzeitig wird vom Server das Foto zur Karten ID 1234 auf dem Kontrollmonitor angezeigt.

und so läuft das an jedem Drehkreuz ab. Alle vernetzt.

Gleichzeitig wenn Du durchgehst wird die Karte mit der ID 1234 für xyz Minuten am Drehkreuz gesperrt. (Doppelverwendung)
Bild Bild
Lift-World.info :: Entdecke die Welt der Seilbahntechnik - Liftdatenbank, Fotos & Videos von Liftanlagen, sowie Informationen über Seilbahntechnik und vieles mehr ...
Antworten

Zurück zu „Technisches ...“