Mifare Classic vor dem Aus

Via Heise:

Forscher haben einen entscheidenden Durchbruch bei der Kryptanalyse des Verschlüsselungsalgorithmus Crypto1 gemacht, der das RFID-System Mifare Classic schützt. Laut der nun veröffentlichten Arbeit von Nicolas Courtois, Karsten Nohl und Sean O’Neil ist es möglich, ohne aufwendig vorauszuberechnende Tabellen (Rainbow-Tables) die Verschlüsselung innerhalb von wenigen Sekunden mit PC-Hardware zu knacken. Die Sicherheit des Algorithmus, so das Fazit der Forscher, sei “nahe Null”.

Wenn ich mich recht erinnere, wird Mifare Classic unter anderem in der Münchner Stadtbibliothek eingesetzt. Das System Mifare Plus soll allerdings auch betroffen sein.

Unter Sicherheitsaspekten sollten RFID-Etiketten ohnehin spätestens seit Veröffentlichung des RFID-Zappers nicht mehr diskutabel sein. Wer RFID einsetzt, möchte vorwiegend Personal auf die Straße setzen, bzw. keine neuen Mitarbeiter einstellen.

OpenID in der Kritik

Stefan Brands von Credentica kritisiert OpenID sehr ausführlich. Kurzfassung:

OpenID is pretty much useless. The reasons for this are many: OpenID is highly vulnerable to phishing and other attacks, creates insurmountable privacy problems, is not a trust system, suffers from usability problems, and makes it unappealing to become an OpenID “consumer.” Many smart people have already elaborated on these problems in various forums. In the rest of this post I will be quoting from and pointing to their critiques.

[via Netzpolitik]

Hackerparagraph macht PHP endlich sicher

Da die Bundesregierung die IT-Landschaft per Gesetz sicher gemacht hat, hat Stefan Esser seine Arbeit an und um PHP-Exploits eingestellt. sk79 im Heiseforum sieht Chancen für den Wirtschaftsstandort und seine Freizeitplanung:

Schon immer waren nicht-funktionale Anforderungen, wie Security, ein
Dorn in meinem Auge, haben sie doch die Entwicklungszeit meiner
Projekte unnötig in die Länge getrieben. Doch damit ist jetzt
Schluss!

Endlich brauche ich mir um Sicherheit keine Gedanken mehr machen,
denn das Ausnutzen von Lücken ist jetzt endlich total verboten. Dann
kann ich morgen ja schon um 14:00 Uhr Feierabend machen.

Passend dazu noch einmal: Kinder befragen Politiker nach dem Internet!

Hackerparagraph vom Bundestag abgenickt

Der Bundestag winkt verschärften Hackerparagraphen durch, und der CCC erklärt in einer Presseerklärung, warum dieses Gesetz völliger Mumpitz ist. CCC-Sprecher Andy-Müller Maguhn:

“Die Erklärungen des Innenministers zur Computersicherheit sind reine Lippenbekenntnisse. Hier wird systematisch der gesetzliche und organisatorische Rahmen geschaffen, um Bürger und Unternehmen wehrlos gegenüber Computerangriffen, Wirtschaftsspionage und auch dem Bundestrojaner zu machen. Sicherheitsforschung kann nur noch in einer unannehmbaren rechtlichen Grauzone stattfinden.”