Seite 5 von 6

Verfasst: Sa Mär 03, 2018 12:05 pm
von mastastefant
ADAC hat mal nachgeschaut, ob man diese Keyless Funkautoschlüssel per Repeater überlisten kann..
https://www.adac.de/infotestrat/technik ... e/keyless/

Ergebnis: Ja, bei praktisch allen getesteten Autos und Motorrädern geht's. Man muss zwar schon halbwegs in die Nähe mit dem Repeater zum Originalschlüssel und gleichzeitig zum Auto, aber dann kann man Aufmachen und Motor starten, und solange fahren bis man den Motor wieder abstellt.

Sprich, einer geht im Restaurant oder am Wohnungsflur durch, der andere geht am Parkplatz durch.. Mit bissl Glück geht das eine oder andere Auto auf, einsteigen, wegfahren, zum Schwarzhandler des Vertrauens fahren.

Gesendet von meinem E5603 mit Tapatalk

Verfasst: Sa Mär 03, 2018 4:49 pm
von wiesl
Ist auch in echt sehr modern. Passiert regelmäßig, da die Autoschlüssel oft in der Nähe zu Haus-Eingangstüren abgelegt werden, braucht man nur von außen versuchen, das Signal zu finden.

Verfasst: Sa Mär 03, 2018 11:31 pm
von mastastefant
Wie widerlich ist eigentlich diese SSL chain of Trust denn so? Der Ausdruck Clusterfuck wird seit Trump ja recht inflationär verwendet, aber diese schöne Geschichte hier lässt wieder tief blicken..

Dazu muss man etwas ausholen..

Es geht letztlich drum, wenn ich im Browser auf eine verschlüsselte HTTPS Verbindung gehe, dann macht der Browser ein grünes Hackerl wenn er meint alles ist in Ordnung, oder er wirft eine lästige Warnung dass er der Verbindung nicht traut und geht nicht weiter (wird auch für vieles anderes verwendet wie Email Zugang, aber das ist das bekannteste).

Wie funktioniert das, bzw woher weiss der Browser dass es wirklich Ok ist, bzw was ist die Chain of Trust?
- Wenn ich auf https://www.test.com gehe, schickt mir der Server einen public SSL key. Damit kann ich eine verschlüsselte Verbindung aufbauen.. Genau so wie jeder andere der den public key hat. Den public key darf jeder haben, drum heisst er so.
- Den von mir verschlüsselten Inhalt *lesen* kann man aber nur mit dem *private* Key. Der private key liegt nur auf dem Server der an die Inhalte ran darf, sonst nirgends. Der private key ist geheim, wenn ihn jemand anderer hätte, könnte der die ganze Kommunikation mitlesen.
- Will ich als Angreifer mitlesen, kann ich daher entweder den private key vom Server klauen, oder ich mache meinen eigenen private+public key, jubel dem Browser meinen falschen public key unter und sage ihm, nimm doch bitte den um den Traffic zu verschlüsseln (dann leite ich den Traffic zu mir, lese ihn, verschlussle ihn mit dem richtigen public key und leite ihn an den richtigen Server weiter).
- Um das zu verhindern hat man Zertifikate eingeführt. Der Server gibt den public key als Teil eines Zertifikats her, in dem auch noch signiert drinsteht, genau der public key ist für genau diese Domain http://www.test.com gültig.
- Der Browser bekommt das Zertifikat, sagt das ist schön, aber warum soll ich dir das glauben, könnte ja auch gefaked sein.
- Deswegen steht im Zertifikat auch noch mit dabei eine Referenz auf den, der dieses Zertifikat erstellt und signiert hat, die Certificate Authority (CA) für dieses Zertifikat. Das ist zb der Domain Admin für test.com.
- Der Browser sagt, nett, kenn den Typen aber auch nicht, trau ich nicht, kein grünes Hackerl.
- Deswegen kann eine CA sich ebenfalls von einer höheren CA signieren lassen.. Das geht so weiter hinauf, bis man bei der root Authority angekommen ist.
- die root Authority kann jetzt irgendwer sein, zb der Domain Admin von test.com. Wenn man dem vertraut, zb weil es die eigene Firma ist oder es ok aussieht, kann man sich das root Authority Zertifikat holen und dem Browser sagen, vertrau dem mal. Dann bekommt fortan alles was der signiert (http://www.test.com, Mail.test.com,..) ein grünes Hackerl
- Die root Ca kann jetzt aber auch jemand sehr grosser sein, zb Google, die dann zB Firmen berechtigen, andere Firmen, Banken, Privatpersonen,.. Nach eigenem ermessen zu vertrauen und für diese Ihre Zertifikate zu signieren. Die Browser, Handies,... kommen mit internen Listen solcher grossen root CAs, denen die Entwickler meinen kann man schon trauen. Alle von denen direkt oder *indirekt* signierte Zertifikate bekommen damit automatisch ein grünes Hackerl.

Was sind da jetzt so die Probleme?
- Das ganze ist offensichtlich nicht ganz trivial, und dazu kommt ein Berg an Details wie Dateiformate, verschiedenste Cipher Verfahren, die teilweise mittlerweile unsicher sind oder nicht von allen unterstützt werden,...
- Wird ein Zertifikat ungültig, zb weil jemand den private key klaut, muss man es revoken. Dazu wird das kaputte Zertifikat in eine Revocation List der Ca geschrieben. Die Revocation List muss sich der Browser aber erst mal holen, und das macht der nicht immer bei jedem klick gleich.
- Die ganze Chain of Trust basiert auf der Annahme dass die root Authority nur guten braven Menschen und Firmen vertraut und Background checks macht gegenüber denen die sie vertraut.
Schon mal in deine root CA Authority Liste geschaut wer da drin steht? Ist im Browser bzw an Handy unter Sicherheitseinstellungen immer irgendwo unter root CA oder vertrauenswürdige Seiten tief vergraben.. Da sind so an die 500 root CAs drin, da sind so lustige CAS mit Namen wie Türktrust oder Ministry of Information of China drin, oder eben Glanzlichter wie Comodo, Digitrust, Equifax (siehe John Oliver Folge), etc.. Und da hab ich noch gar nicht weit runtergescrollt.


Gesendet von meinem E5603 mit Tapatalk

Verfasst: Sa Mär 03, 2018 11:58 pm
von mastastefant
Und damit jetzt zur Hauptgeschichte, die findet man hier zusammengefasst ;)

http://blog.fefe.de/?ts=a466a830

keine weiteren Fragen.. ;)

Wie blöd kann man sich eigentlich nur anstellen. Wohlgemerkt, sich von denen seine Zertifikate signieren lassen lassen die sich ja auch gut bezahlen, ist reinste Abzocke.

Randnotiz, die verlinkte Geschichte zu Comodos OCR Fehler fand ich auch besonders nett, dass man darüber die A1 Telekom Webseite Hijacken konnte :D

Die erwähnte root injection am Ende bedeutet auch, dass man über deren schwindliges Webinterface vollständig Zugriff auf den Server hatte, und damit natürlich auch auf die private keys die sie nicht nur generiert sondern auch noch aufgehoben haben. Den private key braucht die CA natürlich nicht, um einen public key zu signieren.

Ausserdem lässt auch tief blicken, dass Google davor überhaupt erst ein Jahr (!) lang nur zugeschaut hat wie symantec Mist baut, bevor sie sie aus der trusted Liste rauswerfen. Das sollte maximal ein paar Wochen dauern, wenn überhaupt.
Das läßt auch nicht viel Vertrauen in Googles Auswahlverfahren ihrer default trusted root CAs..

Und ohne Browser bzw Android/Windows/ios update fliegen auch die untrusted CAs nicht raus sondern die trusted root CA Liste bleibt am alten Stand und Symantec weiter trusted.

Gesendet von meinem E5603 mit Tapatalk

Verfasst: So Mär 04, 2018 9:21 am
von mastastefant
Wenn man sich nicht auf diese ganzen Abzock CAs einlassen will und dennoch gerne trusted Zertifikate für die Webseite hätte ohne eigene untrusted root CA, unkompliziert (soweit es geht) und gratis, dann bietet sich Let's Encrypt an:

https://letsencrypt.org/docs/

Gesendet von meinem E5603 mit Tapatalk

Re: Hacker

Verfasst: Sa Sep 21, 2019 11:32 am
von mastastefant
Netter Vortrag (Slides) zum (Un)sinn von Blockchains, was es damit auf sich hat und und wofür es (nicht) gut ist: :D
https://ptrace.fefe.de/Blockchain/#0

Re: Hacker

Verfasst: Mo Sep 23, 2019 3:09 pm
von Grent
Der Vortrag ist cool. :cool:
Aber sehr oft geht so etwas an der Realität vorbei.

Praktisch nichts, was mal groß geworden ist, hat es nicht "eh schon früher gegeben".
Telefon, Glühbirne, Entdeckung Amerikas, ...

Es geht einfach um's Momentum. Auch Marketing wenn man so will.
Um jemanden, der das einfach umsetzt, groß macht. In Österreich, würde man glauben, wird ABSOLUT NICHTS "erfunden", weil das allererste, was man hört, ist: Das gibt es doch schon.


Das gleiche ist: E-Autos gab's auch schon um 1900 .... ja eh. Und?


Das ist halt ein Reflex von "Experten". Kommt ein neuer Song raus, der alte Vocals verwendet ...

"Kennst du schon den neuen X-Song?"
- "Ja, aber der ist nicht neu, die Vocals wurden schon vor 10 Jahren aufgenommen."
"Äh ... danke für die Info."

"Beim neuen Fifa kann man jetzt in der Halle spielen."
- "Toll, das gab's bei Fifa 97 auch schon".
"Äh ... danke für die Info."


Generelle, inhaltliche (ökonomische, ökologische) Kritik ist schon völlig ok. Aber "das ist nur ein ..." oder "das gibt's schon seit ..." oder "Linux kann das schon seit ..." - das interessiert mich nicht soooo muss ich zugeben. ;)

Re: Hacker

Verfasst: Mo Sep 23, 2019 3:16 pm
von Grent
Aber ich muss gestehen, ich halte Kryptowährungen derzeit auch für einen Spielplatz.

Re: Hacker

Verfasst: Mo Sep 23, 2019 3:33 pm
von Brett
Ich hab zwar jetzt den Vortrag selbst noch nicht gesehen, aber deine nachher beschriebenen Sichtweisen kommen mir sehr vertraut vor.
Da möchte ich wieder mal auf TRIZ und G. Altschuller verweisen.
Grent hat geschrieben:
Mo Sep 23, 2019 3:09 pm
In Österreich, würde man glauben, wird ABSOLUT NICHTS "erfunden", weil das allererste, was man hört, ist: Das gibt es doch schon.
Da muss ich allerdings einhaken. Das erste, was du in Österreich hörst, wenn du mit einer neuen Idee daherkommst, ist normalerweise:
"Na. Des hamma bis jetzt immer so gmocht, und des werd ma a weiter so mochn." :D
Oft in Verbindung damit, dass ein an seinem Sessel festgewachsener Entscheidungsträger fürchtet, durch die neue Idee verursacht auch nur den kleinsten Bruchteil seiner Befugnisse zu verlieren. :rolleyes:

Re: Hacker

Verfasst: Mo Sep 23, 2019 3:52 pm
von Grent
Kommt natürlich drauf an, wem du die Idee erzählst. :)

- Hamma immer so gmocht.
- Des gibt's scho längst.
- Glaubst ned, des hätt scho längst wer erfunden?
- Da könnt ja a jeder.
- Wozu brauch i des?
- Die Leit woin des ned.
- Des geht ned.