Basisleser weiterhin kritische Schwachstelle des elektronischen / neuen Personalausweises

image-123498-thumb302-jcti
Quelle: dapd

Report München der ARD wird heute Abend (21:45) einen Beitrag zur bekannten Sicherheitslücke des neuen bzw. elektronischen Personalausweises senden. Die grundsätzliche Strategie wurde 2011 von Jan Schejbal vorgestellt und basiert darauf, dass ein Keylogger die PIN während der Eingabe durch den Benutzer auslesen kann. Dies ist möglich, wenn der PC des Nutzers zum einen kompromittiert wurde (ein Keylogger muss installiert sein) und wenn zum anderen durch den Benutzer lediglich der ‚Basisleser‘ eingesetzt wird – dieser Kartenleser, der standardmäßig und kostenlos verteilt wird, hat keine eigene Tastatur zur Eingabe der PIN.

Volker Birk des CCC hat in einem Test für Report München die Bildschirmtastatur des Benutzers mittels des Keyloggers ausgelesen und konnte danach – ohne Besitz des Ausweises – sensible Daten auslesen und hätte sogar ein Bankkonto unter dem Namen des Benutzers eröffnen können. Den verwendeten Keylogger hat der Chaos Computer Club Winterthur hier samt Quellcode veröffentlicht.

Das Programm ist ein einfacher Keylogger, der mit Hooks arbytet. Zusätzlich zum Aufzeichnen von Tastendrücken wartet es auf das Erscheinen der Bildschirmtastatur. Wird die bemerkt, so erstellt das Programm intern einen Screenshot – und schaut, welche Zahl auf welchem Feld ist. Mausklicks werden dann automatisch in die jeweils gedrückte Ziffer übersetzt. Die Ergebnisse sieht man in %TEMP%\clicky.log

Das grundsätzliche Problem ist, dass ein PC immer unsicher ist und relativ leicht infiziert werden kann – dadurch ist der Angriff auf die AusweisApp und somit den neuen Personalausweis auch relativ leicht möglich falls der Basisleser eingesetzt wird. Sinnvoller wäre es, wenn schon der Basisleser ein Keypad hätte. Bundesinnenminister Hans-Peter Friedrich wiegelt in der Sendung die Kritik mit der Aussage ab, dass Benutzer selbst dafür Sorge zu tragen haben, dass ihr PC ’sicher‘ ist.

Man muss eben auch dafür sorgen, dass man versucht, seinen Computer so gut wie möglich zu schützen. Insofern kann man nicht sagen, dass automatisch dieses Basismodell weniger Sicherheit bietet.

Es ist interessant, dass die Bundesregierung lieber eine PR Agentur engagiert, die den „elektronischen Perso“ (ePerso) kurzer Hand in „neuen Perso“ (nPA), um den Personalausweis in ein besseres Licht zu rücken, statt offensichtliche Sicherheitslücken zu beseitigen.

28 Ergänzungen

  1. Falls du den CCC meinst: Genau das tun sie, indem sie empfehlen, dass auch Basisleser mit einem Keypad ausgestattet werden sollten.

    1. Hallo,

      tatsächlich wäre das das Mindeste. Solange jedoch dem Konsumenten die Schuld zugeschoben wird, wenn etwas schiefläuft (wie es H.P. Friedrich im Film ja deutlich tut), kann ich vom Benutzen des nPAs im Netz nur abraten.

      Ich wollte da nicht die Verantwortung haben, so laienhaft, wie das ganze System gestrickt ist.

      Ein Beispiel, dass man einen Eindruck bekommt: die AusweisApp liefert in ihrer neuesten Version Java SE 7U9 mit. Das hat folgende Exploits:

      http://web.nvd.nist.gov/view/vuln/search-results?cpe=cpe%3A%2Fa%3Aoracle%3Ajre%3A1.7.0%3Aupdate9&page_num=0&cid=11

      Viele Grüsse
      Volker Birk
      CCC ERFA Ulm, Chaostreff Winterthur

  2. Ein Keypad löst das Problem auch nicht wirklich – ein Trojaner auf dem Rechner kann mir, sobald ich meine PIN für einen sinnvollen Vorgang eingeben will, beliebiges unterjubeln (solange ich kein Display auf dem Kartenleser habe / bzw. das Display wiederum vom gleichen PC aus kontrolliert wird). Es gibt schlicht für einen Trojaner-infizierten PC keinen sicheren Weg, insofern ist die Kritik irgendwie sinnlos …

    1. Das ganze Projekt ist sinnlos. Aber statt den Ausweisdreck dort zu lassen wo er hingehört (im Mülleimer für dumme Ideen), wird er durchgedrückt.

      1. Absolut richtig. Wenn ich aber hier so die Kommentare lese, dann sehe ich, wo wir bereits sind: Jeder Sch… wird hingenommen und darüber philosophiert, wie man die Sch… dann noch schön anmalen kann.

        Ich will meinen alten Ausweis zurück. Ohne irgendwelchen Firlefanz. Niemand muss da was auslesen können. Gar niemand. Wenn ich den keinem zeige, dann geht es niemand etwas an, wer oder wo ich bin.

    2. Stimmt nicht ganz: Standard- und Komfortleser haben eine sichere PIN-Eingabe. Die Kommunikation zwischen nPA und PIN Eingabe bleibt innerhalb des Kartenlesers. Der Keylogger müsste also in den Kartenleser gebracht werden, was wiederum nicht möglich ist.
      Solche Geräte sind allerdings wesentlich teurer als der gezeigte Basisleser. Die Entscheidung welchen Leser man einsetzt, sollte sicherlich beim Anwender liegen. Jedoch muß die Förderpolitik so gestaltet sein, dass auch jeder Anwender sich einen sicheren Leser leisten kann. Und dies ist sicherlich nicht der Fall!

      1. Was ich beschrieben habe oben ist nicht das Stehlen der PIN, sondern das signieren beliebiger Inhalte: Ich brauche Deine PIN gar nicht zu stehlen, wenn ich als Trojaner Kontrolle darüber habe, was zu Deinem Kartenleser geschickt wird.

        Noch mal deutlicher: Du geht auf eine Seite gutershop.de, die eine Authentifizierung mit dem nPA erfordert. Du bist also bereit, die PIN einzugeben. Doch bevor das passiert, tauscht der Trojaner die Daten aus gegen boesershop.de – und lässt Dich das bestätigen mit Deiner PIN.

        Dagegen hilft kein besserer Kartenleser. Und für den Angreifer ist es auch genauso gut: Er kann mit der PIN alleine (ohne Ausweis) nicht viel anfangen, ist also ohnehin darauf angewiesen zu warten, bis Du den Ausweis im Lesegerät hast (und das passiert nur, wenn Du ohnehin auch vor hast, Deine PIN einzugeben).

    3. Bei RFID-/Chipkartenlesern mit Keypad ist eigentlich Sinn der Sache, dass der PC gar nichts von der PIN mitkriegt und auch nichts dazu anzeigen soll und kann. Die PIN wird direkt der Karte übergeben und die entscheidet was damit passiert.

      Die Kritik ist insofern berechtigt, als dass die Regierung den Bürgern ein sinnvoll geschütztes System vorgaukeln will wo keines ist. Abgesehen davon, dass RFID Chips in Ausweisen so ziemlich die dämlichste Idee aller Zeiten sind. Außer natürlich, der Staat hat vor Bewegungsprofile der Ausweisträger zu machen, dann ist die Idee Klasse.

      1. Kleines Edit: war knapp zu spät dran mit dem Kommentar. Ja, Man-in-the-Middle ist immernoch möglich auch mit PIN auf dem Kartenleser, außer der Kartenleser zeigt direkt an was er signieren soll – und ich hab keine Ahnung ob das die „offiziellen“ Kartenleser können oder nicht.

        RFID Chips in Ausweisen sind aber nach wie vor von vornherein nutzlos :D

  3. Soso, der Bundesinnenminister meint, dass Benutzer selbst dafür Sorge zu tragen haben, dass ihr PC ‘sicher’ ist. Auf rein hypothetisch derart gesicherte PCs (von Smartphones schweigt man in dem Zusammenhang sowieso besser) bekämen die Helfershelfer ebendieses Bundesinnenministers dann aber auch kein FinFisher-Zeug (siehe betreffender Beitrag heute) mehr drauf, was vermutlich auch wieder nicht recht wäre.

  4. Natürlich darf der PC nicht sooo sicher sein, dass der BND nicht mehr drankommt :) Aber mal ehrlich: Ich sehe keine Notwendigkeit, meinen Ausweis mit elektronischen Systemen zu verwenden. ich glaube, es ist Zeit für ein wenig „rightsizing“, was das Thema digitale Prozesse angeht. Mir bricht nichts ab, wenn ich mal zum Briefkasten latsche und etwas Papier durch die Republik schicke (Beispiel Kontoeröffnung).

    1. Da muss ich an einen Betrag von Deutschlandradio denken, wo eine Frau wiederholt von ihrer Bank ihre neue Chipkarte sowie die zugehörige PIN per Brief geschickt bekam (in getrennten Briefen), und diese vom Zusteller geklaut wurden. Der ist dann mit der Karte einkaufen gegangen. Das ist wohl 2mal nacheinander passiert, bis sich die gute Frau ans Radio wandte, und dann plötzlich war es der Bank möglich, ein Einschreiben zu senden (normaler Brief + 0,1 Promille geklaute Karten sind anscheinend billiger als viele Einschreiben). Soviel zum „sicheren“ Postweg.

      1. Unsicherer Postweg: das kann aber nur passieren, weil die Post privatisiert wurde. Ein Beamter (öffentliche Post) würde es sich hundertmal überlegen, ob er für ein paar Hundert Öre momentanen Vorteil seine Laufbahn und Pension riskiert.

        Dasselbe trifft für die Privatisierung der Telekom zu: die stark gesunkenen Preise in der Telekommunikation werden der Privatisierung zugeschrieben, obwohl sie zu 99% durch den technologischen Fortschritt (Computerisierung der Vermittlung, Digitalisierung der Zentralen beim Festnetz sowie Aufbau des Mobilfunknetzes etc.) bedingt sind.

        Privatisierung ist Beraubung des Volkes, private Aneignung von Volksvermögen (lat. „privare“ = berauben).

  5. Es ist schlimm immer wieder zu erfahren, wie unsicher der neue Personalausweis ist. Wenn wir Software-Entwickler sowas lesen, platzt einem schon die Hutschnur. Wir investieren unendlich viel Zeit beim Testen und Aufspüren von Sicherheitslücken bevor überhaupt ein Produkt auf den Markt gebracht wird. Im öffentlichen Sektor scheint dies allerdings etwas blauäugig abgehandelt zu werden. Was gibt es schon zu verlieren? In der Wirtschaft sieht es gerade bei großen Unternehmen manchmal auch nicht besser aus. Als kleine oder mittelständige Firma kann das schnell das Aus bedeutet. Mit Argumenten „Für die Sicherheit ist der Nutzer verantwortlich“ kommt man da nicht weit.
    Ich finde es sehr traurig wie sensibel mit unserer Persönlichkeit umgegangen wird. Wie war das nochmal mit dem Datenschutz?

    1. Dem kann ich nur zustimmen!
      Natürlich ist in einem gewissen Maße der Laie für etwas Sicherheit an seinem PC verantwortlich und sollte gewiss nicht jedweden Anhang in einer Email öffnen etc.

      Solche unqualifizierten Aussagen von Herrn Friedrich sind einfach lächerlich, dafür gehört der Mann direkt abgewählt und in eine Ecke geschoben.

      Die Sicherheit des „normalen Bürgers“ sah die Regierung doch schon vor einigen Jahren als bedroht als es um das Thema WLAN-Sicherheit ging (überall offene WLANs).
      Prompt wurde angeordnet, dass neue WLAN-Router standardmäßig ein „zufälliges“ Passwort mit WPA2-Verschlüsselung erhalten. Da musste dem normalen Anwender also geholfen werden aber hier jetzt nicht mehr? Lächerlich.

  6. Die Funktionen des Ausweises sind schon allein aus der Tatsache heraus sicher, dass niemand (außer dem CCC) diese wirklich benutzt. Ein Angreifer sucht sich in der Regel Systeme die weit verbreitet genutzt werden. Keiner (außer dem CCC) macht sich den Aufwand ein Angriffstool zu schreiben, zu dem die Zielgruppe fehlt, die es anzugreifen gilt.

    1. Es ist ein sehr wichtiger Beitrag, den der CCC da liefert.
      Noch ist das Ganze vielleicht nicht so verbreitet, aber es wird momentan massiv an der etablierung des ePersos gearbeitet. Völlig sinnlos und bisher ohne wirklichen Nutzen zwar, aber dafür dennoch gefährlich.

  7. Ich finde es immer wieder interessant wie sich Experten und Laien über unvollkommene Dinge streiten. Aber es gibt nichts vollkommenes in dieser Welt. Anstatt die Energie mit Streiten zu vergeuden sollten sich die Leute hinsetzten um Konzepte aufzuzeigen wie man alles besser und sicherer machen kann!

  8. Der Beitrag von ARD ist ein schlechter Witz. Wer sich etwas auskennt, weiß das ein „Keylogger“- ganz gleich welcher Art auch von den billigsten Virenscannern erkannt wird. Dazu kommt das der „Hacker“ wissen muss, mit wem er es zu tun hat und was derjenige gerade am Rechner tut. Und selbst wenn- was soll der „Hacker“ mit einer Pin ohne den dazugehörigen Ausweis anfangen?
    Der sogenannte „Sicherheitsexperte“ vom CCC hätte besser erklären sollen anstatt aus „nichts“ eine „Große“ Geschichte zu machen. Die Reporter sollten besser recherchieren und auch mal Ihre Informationen objektiv prüfen als wie so häufig eine Story mit falschen Informationen zu verbreiten. Der ganze Beitrag war großer Schwachsinn- auf dem Niveau von „Akte- Reporter decken auf“

    1. Hallo,

      auf dem Laptop war ein Virenscanner installiert und aktiv. Der hat nichts gemerkt, weil er die Software nicht kannte. Sie wurde ja extra für diese Demonstration geschrieben. Es wäre zwar möglich gewesen, die zu erkennen, weil ich ja einen einfachen Windows-Hook verwendet habe. Nicht mal das leistete der installierte Virenscanner.

      Das ist aber auch nicht das Problem. Denn jeder Virenscanner, der auf einem System betrieben wird, kann nur versagen, wenn die Schadsoftware im Kernel oder darunter (als Hypervisor) läuft. Und so würde ich übrigens echten Angriffscode schreiben.

      Ich hatte mich schon drauf vorbereitet, dass das vielleicht notwendig wird. Tatsächlich funktionierte dann die einfachste Möglichkeit bereits tadellos parallel zum installierten Virenscanner.

      Auch hatte die AusweisApp jede Möglichkeit, das was ich programmiert habe zu verhindern. Wir haben das u.a. mit Windows 7 getestet. Dort gibt es im Rahmen von UAC ja das Konzept des “Secure Desktops”. Da kann man eine eigene WindowStation erzeugen, oder wenigstens einen eigenen Deskop, so dass Angriffe mit Hooks nicht mehr funktionieren, oder dass man gleich im Kernel Space laufen muss, weil Angriffe mit dem Benutzeraccount ohne administrative Rechte nicht funktionieren.

      Leider gabs auch hier ein Totalversagen der AusweisApp. Dieselbe nutzt nämlich keine der genannten Technologien, und es war trivial einfach möglich, mit den Rechten eines Nutzers dieselbe zu loggen.

      Hält man das gegen die Aussagen, die die Reporten vom BMI bekommen haben, nämlich dass die Bildschirmtastatur zuverlässig einen Keylogger ausschliesse, so gibt es allen Grund, in der vorliegenden Form zu veröffentlichen.

      Wenn Du noch Fragen hast, gerne hier.

      Volker Birk
      Chaos Computer Club, ERFA Ulm, Chaostreff Winterthur

  9. Wir haben vor weit über einem Jahr 100 € für den beten Leser ausgegeben. Aber bis die Ausweis-App überhaut lief, ist fast ein halbes Jahr vergangen und dann wissen wir nicht, was wir damit überhaupt sollen, keiner braucht das irgendwie.

  10. Bisher dachte ich immer ‚Report‘ wäre ein seriöses Format, aber nach diesem populistischen (und lächerlichen) Bericht bin ich mir nicht mehr sicher. Wie die sog. ‚Hacker‘ vom CCC ‚Zugriff‘ auf die Daten dern Nutzerin erlangten war schon schwer an den Haaren herbei gezogen.
    Irgendwie als hätte sie dem ‚Hacker‘ ihren Haustürschlüssel eine Weile gegeben und sich später dann gewundert, dass der weiß wie es in ihrer Wohnung aussieht… Sind deshalb unsere Wohnungen jetzt unsicher?

    1. Hallo,

      Millionen PCs sind bereits Mitglied in Botnetzen. Was das ist, erfährst Du z.B. im Lexikon: http://de.wikipedia.org/wiki/Botnet

      Deshalb sind Millionen PCs bereits übernommen. Unser Thema ist, dass man die AusweisApp nutzen kann, um hier automatisiert Daten zu sammeln und Schaden anzurichten. Deshalb auch die Veröffentlichung einer Vollautomatik zum Abgreifen der PINs aus der Bildschirmtastatur.

      Das haben wir auf Bitten der Reporter der ARD gezeigt. Wenn Du das lächerlich findest, so ist das Deine Ansicht. Ich habe eher das Gefühl, das Problem betrifft ganz konkret eine Menge Leute in Deutschland (und anderswo). So, wie der nPA ausgerollt ist, sollte man sich das besser überlegen, ob man das Ding wirklich verwenden will.

      Zumal der Kommentar des Bundesinnenminister ja juristisch gesehen für den Konsumenten eine Katastrophe darstellt: der soll nämlich verantwortlich gemacht werden, wenn mit seinem ePerso Missbrauch getrieben wird.

      Viele Grüsse
      Volker Birk, CCC ERFA Ulm, Chaostreff Winterthur

  11. Die PIN sollte doch nur dazu dienen, den privaten Schlüssel auf dem Chip freizuschalten. Wird etwas auch der private Schlüssel vom Chip auf den PC kopiert?? =:-o

  12. Was genau hat das hier beschriebene Szenario mit dem unsicheren nPA zu tun? Aus dem hier beschriebenen lässt sich höchstens ableiten, dass Kartenleser ohne eigenes Keypad und Display unsicher sind. Das ist aber ein generelles Problem und hat rein gar nichts mit dem nPA zu tun.

    1. Hallo,

      wie mir eben der Werbeagentur-Chef des Herstellers am Telefon versichert hat, wurde das Verteilen der Basisleser über die ComputerBILD (ich zitiere) „von der Regierung massiv subventioniert“. Deshalb, so der Mann, müsse man verstehen, dass das ein gutes Geschäft gewesen sei, was man habe wahrnehmen müssen.

      Auch werden immer noch Basisleser im Handel angeboten. Unseren Recherchen zufolge haben nur ca. 2 Millionen Leute einen nPA mit entsprechenden Eigenschaften. Wirklich alle, die wir gefragt haben, die ein solches DIng haben, besitzen den Basisleser und eben keinen besseren.

      Kurz: genau so wird und wurde das Zeug ausgerollt. Und das ist das Problem dabei. Die Bildschirmtastatur ist dabei nur ein Feigenblatt und hilft in Wirklichkeit gar nicht, nicht einmal gegen automatisierte Angriffe. Ja, sie ist sogar hilflos, wenn die Schadsoftware nur mit Benutzerrechten läuft, man braucht nicht mal administrative Rechte auf dem PC.

      Viele Grüsse
      Volker Birk
      CCC ERFA Ulm, Chaostreff Winterthur

  13. Hi Leute,

    hab mir grad mal das aktuelle Ubuntu-Paket angeschaut:
    mal abgesehen davon, daß die Paketierung absolut stümperhaft ist (datafiles mit +x, nicht an FHS gehalten, usw) enthält das Ding Sun-JRE.

    Damit ist das Ding schonmal per se ein Trojaner.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.