Re: [OWL] Piratenpartei beweist: "AusweisApp" des ePerso ist unsicher - Sicherheitslücke in AusweisApp wenige Stunden nach Veröffentlichun g von PIRATEN aufgedeckt

[Sven <skieske AT piratenpartei-nrw.de>]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Hallo,

hier eine erste Liste von Pressereaktionen:

heise security:
http://www.heise.de/security/meldung/Neuer-Personalausweis-AusweisApp-mit-Luecken-Update-1133376.html
RP Online:
http://nachrichten.rp-online.de/wirtschaft/hacker-knackt-neuen-personalausweis-1.105923
Focus:
http://www.focus.de/politik/schlagzeilen/nid_56998.html
Welt:
http://www.welt.de/politik/article10834274.html
Spiegel:
http://www.spiegel.de/netzwelt/netzpolitik/0,1518,728199,00.html
tagesschau:
http://www.tagesschau.de/inland/personalausweis162.html
scharf-links.de:
http://www.scharf-links.de/41.0.html?&tx_ttnews%5Btt_news%5D=13120&tx_ttnews%5BbackPid%5D=7&cHash=646cac0c52
datensicherheit.de:
http://www.datensicherheit.de/aktuelles/ausweisapp-fuer-eperso-parteimitglied-der-piraten-deckt-sicherheitsluecken-auf-13770
WinFuture:
http://winfuture.de/news,59412.html
ShortNews:
http://www.shortnews.de/id/859900/Anwendungssoftware-des-ePerso-nach-wenigen-Stunden-gehackt
Golem.de:
http://www.golem.de/1011/79255.html
Gulli:
http://www.gulli.com/news/ausweisapp-des-eperso-nach-wenigen-stunden-geknackt-2010-11-09
Süddeutsche:
http://newsticker.sueddeutsche.de/list/id/1066256

Also, über mangelnde Presse können wir uns denke ich nicht beklagen ;-)

mfg

SvenK
Am 09.11.2010 17:40, schrieb Andreas Rohrmann:
> Ahoi.
> 
> Das dürfte wie eine Bombe einschlagen!
> 
> Siehe unten die Meldung.
> 
> PS:
>    Der Typ ist CCC Mitglied und Pirat und hat in seinem
>    Blog nachvollziehbar beschrieben, wie dilettantisch diese
>    "Sicherheitsthemen" umgesetzt wurden.
> 
> Echt peinlich!
> 
> 
> Greetz Andreas70
> ------------------------ Ursprüngliche Nachricht -------------------------
> Betreff: [Ankuendigungen] Piratenpartei beweist: "AusweisApp" des ePerso
> ist unsicher - Sicherheitslücke in AusweisApp wenige Stunden nach
> Veröffentlichung von PIRATEN aufgedeckt
> Von:     "Piratenpartei Deutschland Bundespressestelle"
> Datum:   Di, 9.11.2010, 15:08
> --------------------------------------------------------------------------
> 
> Piratenpartei beweist: "AusweisApp" des ePerso ist unsicher
> 
> Sicherheitslücke in AusweisApp wenige Stunden nach Veröffentlichung von
> PIRATEN aufgedeckt
> 
> Noch in der Nacht nach ihrem Erscheinen hat Jan Schejbal, Mitglied der
> Piratenpartei, eine Sicherheitslücke in der AusweisApp (*), der
> Anwendungssoftware des ePerso, aufgedeckt. Durch eine Schwachstelle in
> der automatischen Update-Funktion können Angreifer auf den Rechner des
> Nutzers Schadsoftware aufspielen und so die Kontrolle über das Gerät
> erlangen. Paradoxerweise wird nun gerade die Sicherheit des Computers
> selbst, die auch das Innenministerium als Voraussetzung für die sichere
> Nutzung des ePerso sieht, durch die AusweisApp unterwandert.
> 
> »Leider konnte ich nur die AusweisApp testen, weil ich weder den ePerso
> noch ein entsprechendes Lesegerät habe«, erklärt Jan Schejbal. »Es
> bestehen aber garantiert noch größere Sicherheitslücken. Der eigentliche
> Kern des ePerso-Systems - der Chip und die Protokolle - ist zwar sicher
> konstruiert, aber im Umfeld gibt es Schwachstellen. Ich bin sicher, dass
> es auch möglich ist, die PIN und eventuell die aufgedruckte
> Kartenzugangsnummer zu entwenden, auch ohne dass dafür der Rechner des
> Nutzers verseucht werden muss. Ein anderer Angriff erlaubt es
> gegebenenfalls auch, dem Nutzer vorzutäuschen, dass er sich für etwas
> Ungefährliches ausweist, während der Angreifer mit dessen Identität
> einkaufen geht. Kurz: Die Behauptung des Innenministeriums, die
> Verwendung des ePerso sei sicher, ist ? wie zu erwarten war ? absolut
> unhaltbar.«
> 
> Die AusweisApp aktualisiert sich automatisch bei jedem Start. Dabei
> versucht sie, eine sichere Verbindung zum Updateserver aufzubauen. Mit
> einer Reihe von Tricks kann ein Angreifer, der die Internetverbindung
> zum Beispiel über ein ungesichertes W-LAN Netzwerk oder einen
> manipulierten DNS-Server kontrolliert, die vermeintlich sichere
> Verbindung umleiten und ein gefälschtes Updatepaket einschleusen. Durch
> einen weiteren Fehler kann auch die zweite Sicherheitsebene umgangen
> werden, wodurch der Angreifer beispielsweise eigene (Schad-)Software
> installieren kann. Eine ausführliche technische Beschreibung des
> Angriffs mitsamt der zum Ausprobieren nötigen Dateien hat Jan Schejbal
> in seinem Blog veröffentlicht [1], ein Pressefoto finden Sie auf
> Pirate-Images.net [2].
> 
> Die Piratenpartei, die sich gegen den ePerso ausspricht, hatte vor
> seiner Einführung gewarnt und allen Bürgern geraten, sich rechtzeitig
> noch einen alten Ausweis ausstellen zu lassen. Angesichts der
> bestehenden Sicherheitslücken sollten Anwender vom Einsatz des
> Personalausweises am Computer absehen, bis eine sichere Version der
> dazugehörigen Software zur Verfügung steht [3].
> 
> * Software zur Nutzung des neuen Personalausweis am Computer, früher
> unter dem Namen "Bürgerclient" angekündigt.
> 
> ------------------------------------------------------------------------
> Quellen:
> 
> [1]
> http://janschejbal.wordpress.com/2010/11/09/ausweisapp-gehackt-malware-uber-autoupdate/
> 
> [2] http://pirate-images.net/displayimage.php?pos=-397
> 
> [3]
> http://www.piratenpartei.de/1010296-Wirklich-frei-bleiben-mit-dem-alten-Personalausweis
> 
> 
> _______________________________________________
> Ostwestfalen-Lippe mailing list
> Ostwestfalen-Lippe AT lists.piratenpartei.de
> https://service.piratenpartei.de/mailman/listinfo/ostwestfalen-lippe

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.14 (MingW32)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iQEcBAEBAgAGBQJM2jxgAAoJEDavyLnfeLdgRT4IAMWF/XCiTyaOXL0jfcT6m6M9
NhDU0mAhz4t8zRCjBwnyL0wL6T8g38NBE0vHbNV9dYCYOyH8f0cU/+AVmXJ6MSUm
/68HeRAeairWUhfbm5Fsw5bO2jei4MwVOjBnUvx8DzlW/NKHfRTB0HdADWBUBUux
UaUMsa1kTlE8f/pAMT8g0TnWBfJIMF8fzHG0j4pUizG8OfVjZYsN9VCBx5DWniyL
w3mk3v4NeJVAozVSBPDxVq9Yt8NMnRkQ89HewSONjO/capTFUZ6YdE49e9Q6JKvf
1qsx5kcf0htjXFWql+wgw3H8FiwGDFFpJOwiX4HLqR0WxB0CSvbtFHtMpKY3J4s=
=/SvX
-----END PGP SIGNATURE-----