Zum Inhalt springen.
Sympa Menü

muenster - Re: [MS Piraten] Zwangspersonalisierung von Mensakarten bei Beschäftigten der WWU

muenster AT lists.piratenpartei.de

Betreff: Kreis Münster/ NRW

Listenarchiv

Re: [MS Piraten] Zwangspersonalisierung von Mensakarten bei Beschäftigten der WWU


Chronologisch Thread 
    < Chronologisch >      < Thread >
  • From: Philipp <lists AT dodekatex.de>
  • To: muenster AT lists.piratenpartei.de
  • Subject: Re: [MS Piraten] Zwangspersonalisierung von Mensakarten bei Beschäftigten der WWU
  • Date: Sun, 11 Oct 2015 12:03:02 +0200
  • List-archive: <https://service.piratenpartei.de/pipermail/muenster>
  • List-id: Kreis Münster/ NRW <muenster.lists.piratenpartei.de>
On 09.10.2015 22:23, Thomas Walter wrote:

Dass die Technik geknackt wurde, habe ich auch schon gehört. Aber wenn
es so einfach wäre, dass man mit einer App die Karten aufladen kann,
würde das innerhalb einer Woche _jeder_ Student in Münster wissen - und
das Studentenwerk hätte schon längst ein neues System, um nicht pleite
zu gehen.

Das System heißt Mifare Classic. Dabei ist die Karte durch 2 Keys geschützt. Der eine dient (absolut vereinfacht gesagt) dazu, die Karte lesen zu können, einer dient zum schreiben.

Weil die Karte je nach Länge des richtig erratenden Schlüsselteils verschieden schnell antwortet, ist es möglich, den Schlüssel innerhalb von 10-30 Sekunden mit einem handelsüblichen NFC-Reader zu bestimmen.

Es funktionieren wahrscheinlich sogar die Reader, die bei der Gratis-Aktion von der Stadtwerke vor 2 oder 3 Jahren genutzt wurden.

Mifare-Karten haben in Block 0 eigentlich eine nicht schreibbare Seriennummer.

Es ist bekannt, dass das Studentenwerk die Einkäufe und Aufladungen festhält. Aus gewöhnlich gut unterrichteten Kreisen hört man, dass die dabei aber wohl nicht die eigentlich nicht schreibbare Seriennummer verwenden, sondern eine eigene Seriennummer in Block 1 - die auch schreibbar ist.

Das ist ein großes Dilemma, ansonsten könnte man einfach die Karten nur noch als "Seriennummerlieferanten" nutzen und auf den Betrag in der eigenen Datenbank trauen. Der Betrag, der auf der Karte gespeichert wäre, gölte dann nur noch, sollte mal das Netzwerk ausfallen.

Lange Rede, kurzer Sinn: Auch obwohl Mifare Classic geknackt ist, hat das Studentenwerk es über Jahre nicht geschafft, ihr System abzusichern. Man hätte auch schon seit mehreren Jahren nahtlos auf z.B. Mifare Desfire oder andere Karten umsteigen können.

Stattdessen sollen die Anwender bluten und ihre Daten preisgeben. Was das heißt, habe ich schon selber erfahren, als meine Karte defekt war und die aufgedruckte Seriennummer nicht mehr lesbar war:

Weil ich genau wusste, an welchen Tagen ich einen Monat vorher zweimal ein Cornetto im Hüfferstift kaufte, und welche Mensa ich sonst besuchte, konnte man meine Seriennummer aus den Datensätzen extrahieren.

Wer also behauptet, dass das jetzige System schon anonym sei, hat einfach den Unterschied zwischen Anonym und Pseudonym (letzteres nach den Gesetzen wie 'voll identifizierbar' zu behandeln) nicht verstanden.

Beste Grüße
Philipp


Archiv bereitgestellt durch MHonArc 2.6.19.

Seitenanfang