Schlagwort-Archive: Jan Schejbal

Allgemein, Sicherheit, Verschiedenes

Neue Sicherheitslücke wurde im “ePerso” entdeckt

Schreibe einen Kommentar

Der Sicherheitsexperte Jan Schejbal macht erneut auf eine weitere Schwachstelle im elektronischen Personalausweis (ePerso) aufmerksam. Ein Angreifer könnte unter Umständen Zugriff auf den ePerso erlangen, schreibt Schejbal.

Möglicherweise könnte ein Angreifer den elektronischen Personalausweis eines Opfers im Netz dazu verwenden, um sich selbst damit auszuweisen und diesen letztlich für eigene Zwecke nutzen. Mit der Hilfe einer gefälschten Ausweis-Anwendung in Verbindung mit einer entsprechend vorbereiteten Webseite könnte das angesprochene Vorhaben in die Tat umgesetzt werden.

Ferner könnte ein Angreifer mit der Hilfe eines Lesegeräts auch an den Personalausweis der Opfer selbst gelangen. Zu diesem Zweck setzt Schejbal auf die Möglichkeiten des Browser-Plugins namens OWOK. Damit können Webseiten auf das jeweilige Lesegerät zugreifen. Seinen Informationen zufolge könnten auch weitere Plugins betroffen sein.

Um die Lücke demonstrieren zu können, hat Schejbal eine spezielle Webseite gestartet. Um in einen abgesonderten FSK-21-Bereich kommen zu können, müssen die Besucher im ersten Schritt dazu einwilligen, dass die Webseite auf den Chipkartenleser zugreifen darf. Auf diesem Wege soll die Altersverifikation erfolgen.

Quelle : winfuture.de

Share

Beiträge die Sie auch interessieren Könnten:

Allgemein, Sicherheit, Verschiedenes

Zensus 2011: Online-Fragebögen sind nicht sicher

Schreibe einen Kommentar

In ganz Deutschland läuft in diesen Tagen die Volkszählung an. Im Rahmen des Zensus 2011 erhalten viele Menschen Fragebögen zugestellt. Auf Wunsch lassen diese sich auch online beantworten – aber das ist unsicher.

Der Sicherheitsexperte Jan Schejbal hat sich das System angesehen und Probleme festgestellt. Demnach ist es für einen Angreifer zwar nicht einfach möglich, den Datenverkehr auf der entsprechenden Webseite zu belauschen. Gezielte Attacken seien aber durchaus möglich.

Das Problem liegt darin begründet, dass die Nutzer im ersten Schritt über eine unverschlüsselte Verbindung auf die Zensus-Seite geleitet werden. Erst wenn es zum Formular geht, erfolgt ein Wechsel auf einen verschlüsselten HTTPS-Kanal. Das kann im Zweifelsfall aber zu spät sein.

Hat ein Angreifer Zugriff auf die Verbindung, kann er den Nutzer bereits beim ersten Aufruf so umleiten, dass die Daten weiterhin im Klartext verschickt werden. Eine entsprechende Software für solche Attacken gibt es schon länger, sie müsste gegebenenfalls nur etwas angepasst werden.

Quelle : winfuture.de

Share

Beiträge die Sie auch interessieren Könnten:

Allgemein, Sicherheit, Verschiedenes

Sicherheitslücke: Software für neuen Personalausweis geknackt

Ein Kommentar

Kurz nach ihrem Erscheinen ist die Sicherheitssperre der so genannten AusweisApp entschärft worden. Das wies die Piratenpartei nach.

Die Software zum neuen Personalausweis, die AusweisApp, hat eine Sicherheitslücke. Jan Schejbal von der Piratenpartei wies in einem Experiment nach, dass über die Aktualisierungsfunktion der Software schädliche Programme auf einen Personal Computer eingeschleust werden können.
Damit ist er gut 24 Stunden nach Veröffentlichung der Software der erste erfolgreiche Hacker.

Quelle : welt.de

Share

Beiträge die Sie auch interessieren Könnten: