Seit Anfang September stellt die Deutsche Bahn () ihre WLAN-Technik im ICE um. Das Mitglied nexus des Chaos Computer Clubs (CCC) in Hannover ist durch Zufall auf eine Sicherheitslücke im System gestoßen. Demnach können Informationen wie die GPS-Koordinaten des Zuges und die eindeutige Hardware-Adresse der verbundenen Geräte ausgewertet werden. Möglich ist das durch die Einbindung eines Skripts auf einer beliebigen Webseite.
Durch das eingebundene Skript kann sich ein Angreifer Zugang auf Statusinformationen des Netzwerks verschaffen. Besucht ein Nutzer eine Webseite, auf der das Skript eingebunden ist, erhält der Angreifer Zugriff auf diese Informationen. Aufgrund der ungesicherten Verwendung von JSONP zur Übertragung von Informationen in der neuen Infrastruktur der Deutschen Bahn ist diese Sicherheitslücke entstanden. Der Nutzer nexus hat eine genaue Beschreibung auf der Webseite des CCC Hannover veröffentlicht.
Problem mit der Privatsphäre
Durch den ungesicherten Zugang zu sensiblen Daten der Nutzer ergeben sich Probleme mit der Privatsphäre. So können zum Beispiel durch Werbebanner Verbindungsdaten ausgelesen und Bewegungsprofile erstellt werden. Selbst mit einem aktivierten Ad-Blocker könnten entsprechende Skripte auf zum Beispiel gehackten Seiten eingebunden werden. Ein Webseiten-Betreiber könnte das Skript auch selbst in seine Seite einbauen.
In dem Beitrag von nexus wird erwähnt, wie man sich vor dem Skript schützen kann. Demnach soll in der Firewall die TCP-Verbindung zu der Adresse 172.16.0.1 blockiert werden.
Ein DB-Sprecher kommentierte gegenüber netzpolitik.org, dass die Bahn reagiert und die Sicherheitslücke noch heute schließen will:
nexus, der die Sicherheitslücke aufgedeckt hat:
Für ein Unternehmen wie die Deutsche Bahn finde ich es peinlich, dass es offensichtlich nicht möglich ist, neue Systeme in funktionierendem und sicheren Zustand auszurollen. Offensichtlich wiegen Kostendruck, Rentabilität und öffentlich wirksame Deadlines mehr als die Sicherheit der Kunden.
Weiterhin wäre nun ein guter Zeitpunkt für die Bahn gekommen, um mit gutem Beispiel voranzugehen und auf Vorschaltseiten zu verzichten. Offensichtlich stellen diese Seiten nicht nur eine ärgerliche Zugriffshürde dar, sondern bergen auch ein Sicherheitsrisiko für die Nutzer.
Update 2: Anscheinend ist von der Sicherheitslücke nicht nur die Deutsche Bahn betroffen. Ein Nutzer aus Schweden hat sich bei nexus gemeldet. Mit dem bereitgestellten Skript war er auch bei der staatlichen Eisenbahn (SJ) erfolgreich. Die für das System verantwortliche Firma Icomera ist für mehrere Bahnunternehmen in Europa tätig. Es wäre daher durchaus denkbar, dass es nicht nur in Deutschland und Schweden dieses Problem gibt.
Na wenigstens reagiert man sehr zügig.
Irgendwie ungewohnt, aber gut so.
bei einem Projekt das von der Bahn über Jahre verschleppt wurde finde ich diesen comment fast zynisch
Dieses „eingebundene“ Skript ist nichts anderes als Malware. Es kann eingeschleust werden, weil die Bahn HTTP-Verkehr MITMet. Vielleicht braucht es ein Firefox-Plugin, das Skripte mit bestimmter Signatur blockiert. Ähnlich zu einem Antivirusprogramm.
Eine Aussage, die vollumfänglich den Tatsachen entspricht, nicht nur bei der DB AG.
Staatliche Überwachung leicht gemacht, zur Vervollständigung von Bewegungsprofilen, auch nach Schließung der „Sicherheitslücke“.
Merke: Nichts wird gesammelt, ohne einen Nutzen daraus zu ziehen.
Seite ist vom Netz (HTTP Server: IIS 6.0 Operating System: Windows Server 2003)
Der SSL Server Test zeigt auch keine guten Ergebnisse.
https://www.ssllabs.com/ssltest/analyze.html?d=ombord.info
Die Links oben sind sehr praktisch und ein toller Service. Sie funktionieren nach wie vor :-)
viele Grüße aus einem WIFIonICE-Wlan