Bald kostenloses Mensaessen?

Studenten der Uni Karlsruhe besitzen eine Fricard als Studierendenausweis, Geldbörse, Bibliothekszugang und vielem anderen mehr. Dieser Ausweis verwendet einen Mifare-Chip. Genau dieser Chip ist von niederländischen Wissenschaftlern geknackt worden und diese Sicherheitslücken wollten sie natürlich auch veröffentlichen. Dies gefiel der Herstellerfirma des Chips, NXP, natürlich gar nicht und wollte gerichtlich verhindern, dass diese Studie veröffentlicht wird. Doch die niederländischen Gerichte haben dem jetzt zugestimmt. Mal sehen, wann sich die ersten Karlsruher Hacker ihr Mensaguthaben kostenlos aufladen :)

(Danke an Hanno für den Link)

Geschrieben am 20. Juli 2008 von Beate P. /

Kommentare

  1. Sind die CampusCards der HsKA mit dem gleichen Chip ausgestattet?

    Timo · 21. Juli 2008, 08:35 · #

  2. Vermutlich – ist ja das gleiche Studentenwerk.

    Jens · 21. Juli 2008, 16:42 · #

  3. In der Tat sind alle Chipkarten des Studentenwerks Mifare-Karten. Allerdings werden gegen Ende des Jahres die Karten durch Mifare2 ersetzt, das einen weitaus höheren Sicherheitsstandard bietet. Mifare2 ist momentan noch in der Entwicklungs- bzw. Betaphase.
    Die Verwaltung der Uni sieht das Problem pragmatisch: Wer die Karte hacken will, soll das tun. Der Schaden, der hierdurch entsteht, ist vertretbar. Allenfalls könnte ein Hacker seine FriCard so ändern, dass Raumzutritte möglich sind, wo sie es vorher nicht waren.
    Die Geldbörse, die auf den Karten “installiert” ist, kann zwar ebenfalls gehackt werden, allerdings werden die aufgeladenen Beträge nicht nur auf der Karte gespeichert, sondern auch zentral und bei Abbuchungen miteinander verglichen. Kommt es hier zu Unterschieden (die ja durch Aufladevorgänge zustandekommen, die nicht am Terminal vorgenommen werden), hat man den Betrüger schnell gefasst.

    Bitte erst die zuständigen Personen fragen (oder die, die Bescheid wissen), bevor man solche Behauptungen in die Welt setzt.

    sarah · 23. Juli 2008, 14:09 · #

  4. Danke für die Aufklärung.

    Aber auch Zutritt zu Räumen, zu denen man keinen Zutritt haben sollte, halte ich für ein Sicherheitsproblem…

    Beate · 23. Juli 2008, 14:23 · #

  5. Das ist richtig. Man sollte aber bedenken, dass bei jedem Türöffnungsvorgang die Nummer der FriCard registriert wird und bei einem Vorfall abgerufen werden kann. Der “gläserne Student” ist hier Wirklichkeit (leider oder zum Glück – das kann jeder für sich selbst entscheiden). Die Daten werden deshalb übertragen, weil ein zentrales System die Freigaben für die jeweiligen Kartennummern verwalten muss. Ein Angehöriger der Fakultät für Physik bekommt Zugang zum Physikbau, ein Angehöriger der Fakultät für Wirtschaftswissenschaften erhält Zugang zum Kollegium am Schloß usw.

    Ein anderes Problem, das sich stellt und noch nicht erwähnt wurde, ist jenes, dass die FriCard auch als Bibliotheksausweis für die Unibibliothek dient. Hier folgt die Verwaltung aber wiederum dem Grundsatz, den ich oben schon erwähnt habe.

    Die Uni (und mit ihr das Studentenwerk) stellt aber nicht (nur) wegen Sicherheitsaspektne auf Mifare2 um. Der eigentliche Grund ist jener, dass es einheitliche Ausweise für FZK und Uni geben soll, damit niemand zwei Karten mitschleppen muss. Das FZK hat momentan andere Karten, die weitaus höheren Sicherheitsstandards genügen müssen (Plutonium, wir erinnern uns an den Vorfall vor etlichen Jahren) und Mifare diese nicht bietet. Die Karten, die das FZK nutzt, könnten zwar von der Uni auch genutzt werden, allerdings sind diese erheblich teurer und die Uni müsste sämtliche Lesegeräte (Türen, Mensa, Bibliothek etc.) austauschen. Ein Kostenaufwand, der weitaus höher wäre als wenn das FZK seine Leser austauschen würde.
    Und da Mifare2 kurz vor der Marktreife steht, hat man sich dafür entschieden. Mifare2 ist mit Lesern für Mifare1 kompatibel, daher kann man sich diese Kosten sparen.

    sarah · 23. Juli 2008, 14:44 · #

  6. Wäre es vielleicht auch möglich, die Daten des Kartenbesitzers zu ändern?

    Oder ist das hardcoded? (Bin kein Informatiker und erwarte auch keine Antwort, ist nur ein Gedanke)

    Ansonsten könnte ja kein Schuldiger ausfindig gemacht werden oder gar einem Unschuldigen die Tat angekreidet werden.

    Timo · 24. Juli 2008, 05:19 · #

  7. Ist bekannt, wie hoch die Kosten für den Austausch der Karten sind und wer dafür aufkommen muss? Und wurde auch mal überlegt, einen anderen Chip einzusetzen?

    Beate · 25. Juli 2008, 00:02 · #

Kommentarfunktion für diesen Artikel geschlossen.