+43 2236 380183 mail@lumasi.at
Abgasskandal vs. Intel & Co

Abgasskandal vs. Intel & Co

Stellt euch vor, ihr geht an einer Straße oder auf einem Parkplatz eines Einkaufszentrums zwischen den Autos spazieren, klopft zweimal auf die Motorhaube eines beliebigen Autos, die Tür springt auf, ihr steigt ein und der Motor startet…. und wenn ich sage ein “beliebiges Auto”, dann meine ich tatsächlich ein jedes Auto auf diesem Planeten.

In den letzten Tagen wurde viel über die Medien zu den aktuellen Sicherheitslöchern in elektronischen Geräten berichtet. Betroffen sind Computer, Server, Tablets, Smartphones und eigentlich alle Devices, die wir im Alltag verwenden. Das Ausmaß dieser Sicherheitslöcher ist so dramatisch, dass sie sogar “Meltdown” und “Spectre” genannt wurden: “Kernschmelze” und “Schreckgespenst”, ein ziemlicher Supergau also.

Aber im Gegensatz zum medial total gepushten Abgasskandal eines deutschen Autoherstellers im vergangenen Jahr, findet man die Meldungen zu diesem Problem eher unter “ferner liefen”… und das, obwohl so gut wie jeder Benutzer weltweit davon betroffen ist. Die Abgassache ist allerdings ein – auf gut wienerisch – ein “Lercherlschas” gegen das, was uns ITler momentan rund um die Uhr beschäftigt.

Meltdown und Spectre sind, anders als die größeren Attacken der letzten Monate, kein Software- sondern ein Hardwareproblem. Ganz einfach erklärt: Wenn ich mein supersicheres und wahnsinnig kompliziertes Passwort (ich bin ja sehr auf Datenschutz und Sicherheit bedacht) eingebe oder es gar durch einen Passwortgenerator verschlüsseln lasse, kann durch diese Hardwarelücke im Prozessor, jeder der will dabei zuschauen und mein Kennwort einfach auslesen.

Das betrifft jedes Gerät. Wirklich, wirklich JEDES.

Und das Schönste an der Sache: die vorgeschlagene,  von den Herstellern schnell aus dem Ärmel geschüttelte Lösung funktioniert nicht. Wo wir wieder bei der Verbindung zum Abgasskandal wären. Damals wurde triumphierend bekannt gegeben, dass ein Softwareupdate das Problem lösen wird. Aber wie genau soll denn nun eine Software, eine kaputte Hardware reparieren? Durch das Update kommt ja leider keine gute Fee vorbeigeschwebt und zaubert mit viel Bling einen neuen Motor in mein Auto bzw in unserem Fall einen neuen und sicheren Prozessor in mein Gerät. Vor allem da es diese Prozessoren ja gar nicht gibt.

Meltdown und Spectre werden uns also noch ziemlich lange beschäftigen und euren Computernerds noch das eine oder andere graue Haar bescheren.

Wir befinden uns in der Situation, dass wir Schäden nicht reparieren, sondern nur begrenzen können… in welchem Ausmaß und mit welchen Auswirkungen werden die nächsten Tage und Wochen zeigen. Passt einfach ein bisschen auf eure Daten auf

Ich halte euch hier auf jeden Fall auf dem Laufenden.

Bis dahin laufen wir einfach mal ein paar Runden schreiend im Kreis und tanzen zur Beruhigung unseren Namen ;)

Euer, Elmar

DIY: Wir hacken Geräte trotz Fingerprint und das Internet hilft uns dabei

DIY: Wir hacken Geräte trotz Fingerprint und das Internet hilft uns dabei

Wie sicher ist ein Fingerprint wirklich?

In einem Youtube-Video des Comedians Curtis Lepore wird gezeigt ,wie seine Freundin auf “Mission Impossible”-Art sein Handy hackt, um seine Nachrichten lesen und ihn ausspionieren zu können.

Geht das wirklich so einfach?! Natürlich wollten wir diesem Thema auf den Grund gehen und haben es getestet.

Hier geht es zum Video (klicke auf das Bild) Quelle: http://bit.ly/2q5yGEF.

Von der Anleitung zur Umsetzung

Meine Recherchen führten mich quer durchs WWW. Dort stieß ich als erstes auf einen Artikel, in dem der Fingerabdruck eines Toten aus einer Datenbank mit einem herkömmlichen Tintenstrahldrucker ausgedruckt wurde. Quelle: http://bit.ly/2pBTxwL

Da ich allerdings keinen Zugriff auf die Fingerabdrücke meiner Kollegen habe (zumindest nicht ohne auffällig zu werden), suchte ich weiter und fand dutzende weitere Lösungen, die zwar funktionieren, jedoch einen bereits vorhandenen Fingerabdruck benötigen.

Ich suchte nach einer Möglichkeit mit einfachen Produkten, die man zu Hause hat, einen Fingerabdruck zu fälschen und probierte so ziemlich alles Brauchbare aus, was ich in meiner Tasche, in der Küche oder in der Schreibtischlade finden konnte.

Angefangen von der Klebeband-Technik, dem Lippenstift Abdruck bis hin zu Magnesium als Puderersatz, habe ich alles versucht… doch funktioniert hat es NICHT.

Nun gab es noch die Möglichkeit mit flüssigem Wachs den Fingerabdruck zu formen und mit Latex auszuhärten, doch auch das würde wieder bedeuten, dass man den Fingerabdruck der anderen Person bekommt… und darüber hinaus flüssiges Latex im Schreibtisch liegen hat. (Anmerkung am Rande: Nein, hab ich auch nicht!)

Ich suchte weiter und entdeckte den Vortrag des Star-Hackers Jan Krissler alias “Starbug” auf dem 31. Chaos Communication Congress (31C3), indem er von mehreren Methoden berichtet, wie man einen Fingerabdruck kopieren oder einen Augenscan mittels Fotos hacken kann.

Jan Kissler bei dem 31. Chaos Commuication Congress Bild: Screenshot Quelle: https://youtu.be/YE1EoxKV53w

Den Abdruck eines Fingers durch ein Foto zu stehlen, erschien mir im ersten Moment noch die einfachste Methode und so begab ich mich auf die Facebook Seite meiner Kollegen und durchforste ihre Fotos nach Bildern, auf denen man ihre Finger sieht.

Leider hatte ich jedoch damit keinen Erfolg, da im Gegensatz zu den Beispielen in Starbugs Vortrag über ,,Gefahren von Kameras für (biometrische) Authentifizierungsverfahren”, hochauflösende Bilder von Politiker angewandt wurden, mit denen einfache Handyfotos auf den Social Plattformen nicht mithalten können.

Ich versuchte daher die zweite Möglichkeit, die der Spezialist in seiner Präsentation vorstellte: Scannen von Handys, um hier an den Fingerabdruck zu gelangen

Ein kurzes „Borg mir doch Bitte mal schnell dein Handy für ein Foto“, reichte aus, um legal an das Smartphone meiner Kollegin zu kommen und schon legte ich es in den Scanner um es auszuprobieren.

Der Scan hat funktioniert und man erkannte sogar einen Fingerabdruck, jedoch ließ er sich nicht brauchbar in ein Fotobearbeitungsprogramm konvertieren und verändern. Auch ein zweiter Versuch mit einem Scanner, der eine bessere Auflösung hat, brachte keinen Erfolg.

Eine weitere Technik soll mit Sekundenkleber funktionieren. Hier kann man durch die Dämpfe des Klebers einen Fingerabdruck auf einem Glas sichtbar machen, diesen dann mit einer guten Kamera abfotografieren und “TADAAA!”, man hat den Fingerabdruck.

Bevor ich das versuchte, fiel mir jedoch auf, dass ich beim Trinken nie den Daumen flach (wie beim Handy entsperren), am Glas aufliegen habe. Der Zeigefinger liegt hier wesentlich besser am Glas und käme daher für einen Hack eher in Frage.

Im selben Moment, kam mir jedoch dann die Offenbarung, dass man ohnehin mit einer reinen Fotografie alleine niemals etwas entsperren könnte und ließ die Gläser der Firma erstmal in Ruhe ;)

Aufgeben oder weiterkämpfen?

Nach einiger Zeit, war es kein Geheimnis mehr was ich vor hatte. 

Meine Kollegen sind einfach zu schlau und hatten meinen Plan durchschaut. Dazu hatte ich es ohnehin aufgegeben, das Handy meiner Kollegin zu hacken, da ich nicht direkt (ohne zu fragen) an ihren Fingerabdruck gekommen wäre und mit einer Fotografie alleine nicht viel anfangen konnte.

Im Team beschlossen wir, nicht aufzugeben und es weiterhin zu versuchen einen Fingerabdruck physisch zu erstellen und damit ein Smartphone zu hacken.

Zuerst versuchte ich es mit Plastilin und Holzleim. Anfangs klappte alles wunderbar. Das Plastilin war schön weich und den Finger darin abzudrücken funktionierte tadellos. Auch der Leim rinnte wunderbar in die Einkerbungen des Abdruckes. Durch das weiche Material entstand auch eine schöne Rundung des Fingers. Ich war guter Dinge!

Doch dann kam die Ernüchterung und ich musste erkennen, dass ich dank des Leimes zwar ein Abbild meines Fingerabdrucks hatte… dieser aber von meinem iPhone 7 nicht erkannt wird.

Liegt es an dem neu überholten Sicherheitssystem der neuen iPhone Generation (nachdem die Vorgänger mit diesen Tricks eben so einfach zu hacken waren), oder hatte ich etwas falsch gemacht? War es vielleicht das Plastilin, welches im Abdruck aus Leim hängen blieb und so meinen Fingerabdruck verfälschte?

Ich recherchierte erneut im Internet und fand eine Variante, bei der man statt dem Plastilin Heißklebepistolenkleber benutzen kann.

Also versuchte ich es erneut und fügte mir einige Verbrennungen zu, denn den idealen Zeitpunkt zu wählen wann man den Finger in den Kleber drücken sollte, war hier von großer Bedeutung! Zu früh hieß, dass man sich verbrennt und zu spät, dass der Klebstoff bereits ausgehärtet ist. Nach einigen Versuchen bekam ich dann aber auch ohne Verbrennungen wunderschöne Abdrücke hin. Danach leerte ich wieder den Holzleim in die Kerbe und wartete ab.

Ich wartete und wartete und wartete… aber der Leim trocknete zu langsam. Ich beschloss, ihn über die Nacht stehen zu lassen.

Als ich am nächsten Morgen das Büro betrat, erwartete mich eine unangenehme Überraschung. Der Leim war jetzt trocken… aber leider so gut ausgehärtet, dass man ihn von dem unteren durchsichtigen Bastelkleber nicht mehr entfernen konnte.

,,Verflixt” dachte ich (oder so…) und durchstöberte erneut das Internet. Hier fand ich dann wiederum ein Video, in dem ein Bastelkleber ähnlich der Struktur von Holzleim verwendet wurde.

Ich beschloss das Thema jedoch ruhen zu lassen, da mein Schreibtisch mittlerweile wie in der Forschungsabteilung eines Kleber-Herstellers aussah und kam zu dem…

…Resümee;

Ja! Es funktioniert tatsächlich einen Fingerabdruck zu fälschen. Man kann einen schönen Abdruck sowohl durch Plastilin, als auch durch Kleber herstellen. Ich bin mir auch sicher, dass die Techniken auf den Videos funktionieren.

Man benötigt hierfür lediglich Utensilien, welche man zumindest nicht in einer normalen Schreibtischschublade findet. Wie zum Beispiel speziellen Kleber, flüssiges Latex, oder einer ,,fotosensitiven Leiterplatte” (Bei 32:09)

Wer so etwas jedoch tatsächlich stets griffbereit ins einer Nähe lagert, darf mich gerne für einen weiteren Test zu sich einladen :-)

Catch me if you can mit Google Maps – Ein Erfahrungsbericht

Catch me if you can mit Google Maps – Ein Erfahrungsbericht

Erleichtert uns Google Maps’ neue Funktion unser Sozialleben oder gehen wir damit nur einen weiteren Schritt auf Big Brother zu?

Google Maps hat vor ein paar Wochen eine neue Funktion freigeschaltet, die den Usern das Treffen ihrer Freunde leichter machen soll. Ob man das tatsächlich braucht, oder es doch nur eine weitere Art ist, Nutzerdaten zu kommen, haben wir für euch getestet! 

(more…)

Unabhängigkeit

Herstellerunabhängige Beratung heißt auch auf dem neuesten Stand zu sein. Wir sind daher auf dem Weg zu einer interessanten Produktpräsentation. Wer weiß, vielleicht ist das pefekte Produkt für das Projekt eines Kunden dabei?!

 

 

Übersiedelung

Ein #Umzug steht an – und damit auch alles klappt, planen wir zusammen mit unserem Kunden das richtige Roll-Out für die Übersiedelung. Schnell noch ein Kaffee, einen wunderschönen guten Morgen euch allen!