Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

September 24 2013

Interview zum Hack der iPhone-TouchID: “Erschreckend einfach”

starbug-hacked-touchidAm Sonntag Abend berichteten wir, dass es einem Hacker des Chaos Computer Clubs gelungen ist, die Fingerabdrucksperre des vor wenigen Tagen erschienen iPhone zu umgehen. Wir haben ein Interview mit Starbug zu seinem Hack geführt.

netzpolitik.org: Woher hast du den Fingerabdruck für die Attrappe? Reicht ein Abdruck einer Flasche oder des iPhones selbst?

Starbug: Für den hier gezeigten Hack habe ich den Abdruck direkt vom Display des iPhones genommen. Die Oberfläche bietet sich ja perfekt an und was gibt es besseres, als den Abdruck gleich auf dem Gerät zu haben, dass man hacken will? Natürlich bieten sich aber auch Abdrücke auf Flaschen oder Türklinken an.

netzpolitik.org: Wie einfach war es für Dich, die Fingerabdrucksperre zu umgehen?

Starbug: Erschreckend einfach. Ich hatte mit ein bis zwei Wochen intensiver Arbeit gerechnet. Aber schon nach den ersten Tests zeigte sich, dass die Frage nach dem Material für die Attrappe keine grosse Rolle spielt. Von da an war es eigentlich nur eine Frage ausreichend guter Auflösungen und Qualitäten der Einzelschritte der Attrappenherstellung.

netzpolitik.org: Braucht man dafür Spezialwissen oder kann das jeder machen?

Starbug: Überhaupt nicht. Eigentlich alle Informationen sind seit Jahren im Internet verfügbar. Der Chaos Computer Club hat schon vor fast zehn Jahren mit einer sehr ähnlichen Technik alle damals verfügbaren Fingerabdruckscanner überlistet.

netzpolitik.org: Was war das schwerste am Hack?

Starbug: Die Nano-Sim schneiden.

netzpolitik.org: Apple sagt, das ist sicher. Und nun?

Starbug: Ich gehe nicht davon aus, dass Apple da großartig Konsequenzen draus ziehen wird. Ihnen muss klar gewesen sein, dass früher oder später jemand kommt und TouchID hackt. Sie sitzen das jetzt aus und verkaufen weiter ihre Telefone. Und die Leute werden sie auch weiter kaufen und natürlich auch den Fingerabdrucksensor weiter benutzen.

netzpolitik.org: Sogar Bruce Schneier sagt, das System wäre ein Kompromiss zwischen Komfort und Sicherheit. Siehst Du das auch so?

Starbug: Ja, mit einer klaren Verschiebung Richtung Komfort. Fairerweise muss man aber auch sagen, dass der Aufwand einen Fingerabdruck nachzumachen schon höher ist, als einem Benutzer bei der Eingabe seines Entsperrcodes über die Schulter zu schauen. Besonders Problematisch wird es in dem Fall, wenn mit dem Fingerabdruck dann Apps gekauft werden und so monetärer Schaden entsteht. Und man muss sich immer vor Augen halten, dass man die Herausgabe eines Codes verweigern kann, das Auflegen des Fingers auf ein Telefon aber nicht.

netzpolitik.org: Kann man Fingerabdrucksperren auch richtig machen? Wenn ja, wie sähe das aus?

Starbug: Apple hatte ja behauptet, dass sie tieferliegende Hautschichten für die Erkennung benutzen. Ein Verfahren würde den hier demonstrierten Angriff unmöglich machen, wenn es Merkmale nutzt, die nicht auf einem Glas oder dem Display des iPhones direkt hinterlassen werden. Allerdings gibt auch bzw. besonders in der Biometrie den Spruch: Es gibt keine sicheren Systeme. Jedes System kann mit ausreichend hohem Aufwand und Zeit und Geld geknackt werden.

netzpolitik.org: Gibt es (überhaupt) biometrische Daten, die zur Authentifizierung geeignet sind?

Starbug: Geeignet sind Daten, die nicht überall hinterlassen werden oder leicht abzufotografieren sind. Das heißt aber auch nur, dass man größeren Aufwand treiben muss, um an die Rohdaten für eine Attrappe zu kommen; überwindbar sind sie trotzdem.

netzpolitik.org: Was ist – neben der Umgehbarkeit – das größte Problem mit biometrischer Identifikation im Alltag? Welche Auswirkungen hat das?

Starbug: Ich empfinde das automatische Identifizieren von Menschen allgemein als problematisch. Vor allem, wenn es z.B. wie bei der Gesichtserkennung ohne das Zutun des Einzelnen passiert. So können Bewegungsprofile erstellt oder Menschen erfasst werden, die an einer Demonstration teilnehmen. In Hamburg gibt es ein Projekt, wo schon Grundschüler ihre Fingerabdrücke hergeben müssen, um ihr Schulessen zu bekommen. Damit werden Menschen an Technik gewöhnt, die früher nur zur Identifizierung von Kriminellen verwendet wurde.

netzpolitik.org: Was machst du jetzt mit dem auf Is Touch ID hacked yet? gespendeten Geld?

Starbug: Das Geld und die Sachspenden gehen komplett an die Raumfahrtagentur, einem Berliner Hackerspace. Bisher sind allein auf dem Paypal-Account schon über 3000 Euro eingetroffen.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

May 08 2012

Die Mutter aller E-Government-Projekte: Indien baut die größte biometrische Datenbank der Welt

Indien baut mit einem gewaltigem Aufwand eine Datenbank, um alle 1,2 Milliarden Einwohner zu identifizieren. Jede Person im zweitbevölkerungsreichsten Land der Erde soll drei verschiedene biometrische Merkmale abgeben und eine eindeutige Nummer bekommen. Datenschützer kritisieren das Mammut-Projekt.

Melderegister und Identifikationsnummer

Genauer gesagt gibt es zwei Initiativen: Das nationale Melderegister (National Population Register, NPR) und die eindeutige Identifikationsnummer Aadhaar (Unique Identification Authority number, UID).

Autor: Kannanshanmugam,shanmugamstudio,Kollam, Lizenz: Cc BY-SA 3.0.Das Melderegister ist Teil der aktuellen Volkszählung in Indien. Alle in Indien lebenden Menschen, also auch Ausländer, müssen sich dafür registrieren lassen. Parallel dazu soll jeder Bürger eine 12-stellige eindeutige Identifikationsnummer erhalten. Neben ein paar personenbezogenen Daten (Name, Adresse, Geschlecht) sollen drei biometrische Merkmale vermessen werden: Gesichtsbild, Fingerabdrücke und Iris. Diese Daten werden, verknüpft mit der eindeutigen Nummer, in einer zentralen staatlichen Datenbank gespeichert. Die beiden Datenbanken konkurrieren miteinander, werden aber im Endeffekt zusammen geführt.

Dafür wird ein gewaltiger Aufwand betrieben. 36.000 Registrierungsstellen sind aktiv dabei, die Daten zu erheben. In weniger als einem Jahr sind bereits 170 Millionen Menschen erfasst worden, bis 2017 sollen alle 1,2 Milliarden Menschen in der Datenbank sein. Also jeder siebte Mensch auf der Erde.

Insgesamt sollen irgendwo zwischen 2,6 und 21,7 Milliarden Euro ausgegeben werden.

Begründung: Sozialhilfe und Terrorismus

Tatsächlich gibt es in Indien viele Menschen, die kein Ausweisdokument besitzen. Das bringt Probleme bei Polizeikontrollen und Bewerbungen. Daher freuen sich manche Menschen über die Ausweiskarte, die man im Gegenzug erhält. Auch der Zugang zu einem Bankkonto soll damit vereinfacht werden, womit Menschen einfacher Kredite und Sozialleistungen erhalten können. Aus diesen Gründen wird die vor allem die soziale Perspektive des E-Government-Projekts gepriesen.

Auf der anderen Seite soll damit aber auch die illegale Einwanderung bekämpft werden. Und natürlich der Terrorismus. So kam die Idee im letzten Indisch-Pakistanischen Krieg 1999 auf. Seit den Anschlägen in Mumbai 2008 werden die Daten endgültig auch für die “nationale Sicherheit” verwendet.

Kritik

In letzter Zeit wird vermehrt Kritik am Projekt geäußert. Professor Ram Ramakumar bemängelt:

  1. Das Projekt verletzt zwangsläufig die Privatsphäre und die bürgerlichen Freiheiten der Menschen.
  2. Biometrische Daten in einer Datenbank mit über einer Milliarde Einträge werden zu viele Fehler produzieren, da sie nicht eindeutig sind. Zudem ist die Qualität der Fingerabdrücke in Indien nicht erforscht genug.
  3. Es gab bisher keine Kosten-Nutzen-Analyse oder Machbarkeitsstudie für das Projekt.
  4. Die angeblichen Vorteile des Projekts sind weitgehend illusorisch.

Damit erinnern diese Punkte sehr an die Einführung des Fingerabdrucks im Reisepass hierzulande.

Die Arbeit, die der CCC damals hier leistete, hat nun das Centre for Internet and Society (CIS) in Bangalore gemacht. In einer Serie an offenen Briefen wurden der biometrische Standard, Finanzen und Sicherheit, zusätzliche Kosten, Fehler im Design, Datenübertragung und Deduplizierung auseinander genommen. Sunil Abraham vom CIS führt weiterhin aus, dass biometrische Daten nicht erneuert werden können, wenn sie einmal kompromittiert sind. Was auch unbemerkt passieren kann.

Rebecca Bowe von der EFF weist darauf hin, dass Indien noch gar kein Datenschutzgesetz hat. Die Schriftstellerin und Aktivistin bezeichnet das ganze Projekt gleich als “ein administratives Werkzeug in den Händen eines Polizeistaats.”

June 10 2011

Soziale Software: Polizei identifiziert Verkehrssünder

Ich habe es immer schon gesagt: Leute, wenn ihr schon eure Bilder in sozialen Netzwerken postet, denkt bitte auch daran, sie ordentlich zu taggen. Nein, ernsthaft. Ohne gewissenhafte Verschlagwortung hat niemand was von euren Bildern!

Weder eure Freunde, noch eure Freunde und Helfer. Gerade letzteren kann man durch sauber referenziertes Bildmaterial eine echte Freude machen. Zum Beispiel bei der Identifizierung des Fahrers auf “Blitzerfotos”. Da gibt es nämlich ein echtes Problem: Liegt nach ein paar Wochen endlich der Anhörungbogen auf dem Tisch, will es wieder keiner gewesen sein.

Das Resultat: Erhöhter Aufwand für die Behörden, die in der Nachbarschaft von Tür zu Tür ziehen müssen, um jemanden zu finden, der den Fahrer identifizieren kann. Ein Aufwand (Hallo, Steuergelder!), der völlig unnötig wäre, wenn jeder (Daten-)Verkehrsteilnehmer seine Bilder ordentlich taggen würde. Glaubt ihr nicht? Dann bitte hier entlang, zu einer aktuellen Meldung bei Focus Online:

[...] einem Bericht der „Hamburger Morgenpost“ zufolge, greifen Polizeibeamte gezielt auf die frei zugänglichen Aufnahmen [in sozialen Netzwerken] zurück und gleichen sie mit Blitzerfotos ab. [...] Auch wer tatsächlich in einem fremden Wagen geblitzt wird, kann sich nicht mehr sicher sein: Verbindungen zwischen Personen, die sich ein Auto teilen, sind schließlich auch in sozialen Netzwerken sehr wahrscheinlich. Wer Rückschlüsse der Polizei vermeiden will, dem bleibt nur ein Deckname oder ein unkenntliches Bild auf Facebook und Co.

PS: Wer sein Fahrzeug stets rücksichtsvoll und in Einklang mit der Straßenverkehrs-Ordnung bewegt, darf seine Bilder natürlich trotzdem taggen. Maschinenlesbarkeit ist kein Verbrechen! #datalove!

 

flattr this!

August 25 2010

Chaosradio heute Abend zur “Freiheit statt Angst”-Demo

Wie immer am letzten Mittwoch im Monat gibt es heute um 22:00 das Chaosradio auf Radio Fritz. Der Live-Stream ist hier.

Heute geht es um die anstehende Großdemonstration “Freiheit statt Angst” am 11. September in Berlin. Weil derzeit die klassischen Feindbilder wie Otto “Biometrie-Ausweis” Schily, Wolfgang “Stasi 2.0″ Schäuble und Ursula “Zensursula” von der Leyen etwas weggebrochen sind und die Politik sich statt dessen mit Minister-Kaffekränzchen, Enquete-Kommissionen und Google- bzw. Facebook-Bashing bei der datenschutzaffinen Netzbevölkerung beliebt zu machen versucht, könnte man meinen, die Teilnahme an der Demo sei dieses Jahr nicht mehr so wichtig. Das Gegenteil ist der Fall, wie in der Sendung hoffentlich deutlich werden wird (wir werden versuchen, in den nächsten Tagen hierzu auch noch ein paar Zsammenstellungen zu bringen).

Die Ankündigung für die Sendung liest sich jedenfalls vielversprechend:

Freiheit statt Angst
Wichtige Datenschutzdemo oder überflüssige Tradition?
Teilnehmer: Marcus Richter (Moderation), Andreas Bogk, Nibbler

Der 11. September ist dieses Jahr ein internationaler Aktionstag gegen Überwachung und damit natürlich das perfekte Datum für die schon traditionelle Großdemonstration “Freiheit statt Angst”. Zusammen mit über 150 Organisationen rufen auch wir zur Teilnahme auf. Weil es die Demo aber nun schon seit einigen Jahren gibt, stellt sich natürlich auch die Frage: Ist sie wirklich noch notwendig?

Im Chaosradio wollen wir mit Euch eine Überwachungsstaat-Bestandsaufnahme machen und den aktuellen Stand geplanter und verwirklichter Kontroll-, Zensur- und Überwachungstechnologien zusammentragen. Vom Klassiker Vorratsdatenspeicherung über interessante Konzepte wie die Elena-Arbeitnehmer-Totalerfassung bis hin zum Trendthema Netzneutralität wird wohl so einiges zusammenkommen. (…)

January 05 2010

“Freiheit, Freiheit über alles?” Peter Voß fragt die Schriftstellerin Juli Zeh (Video)

Sind wir bereit, unsere Freiheit für ein übertriebenes Sicherheitsbedürfnis zu opfern? Wie bedroht sind wir wirklich? Und woher diese apokalyptische Tendenz in der Politik, immer das Schlimmste zu erwarten?

Peter Voß hatte am 21. Dezember 2009 die Schriftstellerin Juli Zeh zu Gast:

(via netwatcher24)

Reposted by02mydafsoup-01fraeuleinchen

December 07 2009

Fingerabdrücke für Einreise chirurgisch verändert

Eine Chinesin hat sich die Haut von Daumen und Zeigefingern vertauschen lassen, um nach Japan einreisen zu können. Laut der Zeitung “Yomiuri Shimbun” war die Frau 2007 aus Japan ausgewiesen worden, weil sie gegen Visa-Vorschriften verstoßen hatte. Nachdem sie sich einem chirurgischen Eingriff unterzog, gelang ihr mit den vertauschten Fingerabdrücken und einem gefälschten Pass die Wiedereinreise.

“Yomiuri Shimbun” zufolge zahlte die Chinesin umgerechnet etwa 10.000 Euro für die Operation. Behörden entdeckten den Fall, weil Ermittlern ungewöhnliche Narben an den Fingerspitzen der Frau aufgefallen waren, nachdem sie wegen einer vorgetäuschten Ehe festgenommen wurde.

Ausländer sind seit November 2007 dazu verpflichtet, bei der Einreise nach Japan Fingerabdrücke abzugeben. Nachdem im April letzten Jahres eine Koreanerin die Grenzkontrollen mithilfe eines speziellen Klebebandes auf den Fingerkuppen überwunden hatte, wurden die Überprüfungen noch einmal verschärft.

(via)

November 10 2009

Wie gut sind genetische Informationen bei 23andMe & Co geschützt?

Tobias Maier von WeiterGen hat sich in zwei Artikeln mit der Gen-Diagnose bei den US-Unternehmen 23andMe, Navigenics und deCODEme auseinandergesetzt. Im zweiten Teil der Serie widmet er sich dem Datenschutz bei diesen Anbietern:

Es werden Berge an Daten generiert und gespeichert. Was geschieht mit diesen Daten, wer hat zu welchem Zweck und in welchem Ausmaß Zugang zu den As, Ts, Cs und Gs und wem nutzt dieses Wissen? Sind die Daten ausreichend geschützt?

Tobias analysiert nicht allein die Datenschutzbestimmungen der drei Anbieter, sondern stellt auch die Frage, wer genetische Informationen (kommerziell) nutzen und wie ein solches Geschäftsmodell aussehen könnte:

Wäre es denkbar, dass Versicherungen Produkte auflegen, speziell für Kunden, die ihre genetischen Daten freiwillig zur Verfügung stellen? Wie günstig müssten die Konditionen sein, wie viel individueller Service müsste geboten werden um mit maßgeschneiderten, personalisierten Versicherungsprodukten [sic], basierend auf den SNPs, Kunden zu Vertragsabschlüssen zu bewegen?

Den ersten Teil dieser lesenswerten Serie (in dem auch erklärt wird, was “SNPs” sind) gibt es hier, den zweiten hier.

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl