SZ titelt "Sicherheitslücke...in Flugzeuge einszeigen ohne zu zahlen" -

[Fare_IT]

ANZEIGE

[h=2]Schwere Sicherheitslücke erlaubt Hackern Freiflüge [/h]SZ 26.12. 1800 Uhr


Der Artikel ist dramaturgisch "inszeniert" - so dass sogar ich kurz ins grübeln kam, ob man
irgendwo auf der Airline Webiste umbuchen kann OHNE den Namen des Pax zu kennen.

Genauso so deutet es der Artikel nämlich an:

Ein paar Minuten dauert es, dann ist Karsten Nohl zufrieden. Vor ihm spuckt ein Computer sekündlich Kombinationen aus. [...] Der Rechner hat einen Treffer erzielt. "Berlin-Frankfurt, Freitag um 11.45 Uhr", sagt Nohl. Er klickt sich durch das Flugangebot der Lufthansa-Webseite, bis er eine Zeit findet, die ihm in den Terminkalender passt. "Den buchen wir doch einfach um", sagt er. "Ich ändere noch kurz die E-Mail-Adresse. So bekommt niemand etwas mit."

im letzten Absatz dann die "Offenbarung"

Damit der Hacker-Angriff klappt, müssen die IT-Sicherheitsforscher von SR Labs zwei Informationen besitzen: den Namen der Person, der das Ticket weggenommen werden soll, und den Buchungszeitraum.

GÄHN....

@Karsten Nohl: Mit einem Studium (das Sie sicher haben) kann man auch Sinnvolles anstellen...
@SZ: Gibt es tatsächlich so wenig, was sie für berichtenswert halten?

Fröhliche Weihnachten!

 

[El_Duderito]

Dann warte auf die Praesentation auf dem 33C3. Gibt es ja auch als live-stream.

 

[CKR]

@Fare_IT: Ganz so, wie Du, sehe ich es nicht. Wenn man vom reißerischen ersten Absatz absieht, geht es darum, dass allen Buchungsseiten die Kombi aus Nachname und Buchungscode ausreicht, Perso/Reisepass in Europa selten notwendig ist und zudem das massenhaften Ausprobieren nicht unterbunden wird.

Da eröffnen sich durchaus Möglichkeiten, die leicht zu unterbinden wären. Nicht anders verstehe ich den Artikel und wenn ich weggeworfene Boarding Passes sehe, glaube ich, dass allgmein mehr Aufklärung nicht schlecht wäre.

 

[HGFan]

Perso/Reisepass in Europa selten notwendig ist

in spanien und portugal zb.

Abgesehen davon kann man auch spass haben wenn man den BP scannt weil er ihm einfach so in der Lounge herum liegen lässt.
Heutzutage reicht ne einfache Scanner App schon aus.

 

[journey]

Jetzt auch in der Tagesschau

 

[CKR]

in spanien und portugal zb.

Abgesehen davon kann man auch spass haben wenn man den BP scannt weil er ihm einfach so in der Lounge herum liegen lässt.
Heutzutage reicht ne einfache Scanner App schon aus.

Frankreich genauso. Aber erst geht es ja mal darum, aus DE wegzukommen.

 

[GoldenEye]

Fazit: Immer nur Flüge buchen, die nicht umbuchbar sind.

...oder dahin fliegen, wo keiner hin will!

 

[Travelling_Geek]

[/B]@Karsten Nohl: Mit einem Studium (das Sie sicher haben) kann man auch Sinnvolles anstellen...

Mit Verlaub: Das ist unnötig großkotzig. Nohl hat in der Vergangenheit reichlich Wertvolles zutage getragen, wovon wir alle profitieren (es sei denn, wir leben ohne Mobiltelefon und Endgerät mit USB-Schnittstellen).

Selbst wenn diese Amadeus-Nummer nun nicht auf dem Niveau des Angriffs auf die GSM-Verschlüsselung ist, ist es dennoch bemerkenswert, dass man bis jetzt problemlos ein paar Millionen Anfragen ans Amadeus-Backend schicken kann/konnte. Und das in einem Umfeld, in dem immer noch der War on Liquids geführt wird und Passagiere die Schuhe ausziehen müssen an der Sicherheitskontrolle.

Hätte er ein Paper veröffentlicht, in dem steht, dass Amadeus ein paar Millionen Anfragen zulässt, es hätte sich niemand dafür interessiert. Was spricht dagegen, es plakativer zu machen und ein halbwegs realitätsnahes Beispiel zu wählen?

Ergänzung: Ich kenne Karsten zwar persönlich, habe aber weder mit dem aktuellen Projekt was zu tun, noch bin ich sein Sprecher

 

[pimpcoltd]

Mittlerweile sind sich auch die Seppl von FAZ.net nicht zu schade, diesen Agentur-Quatsch durchzureichen. In welchem Tarif kann man den Namen frei ändern? Ach ja, genau, danke.

 

[Travelling_Geek]

Mittlerweile sind sich auch die Seppl von FAZ.net nicht zu schade, diesen Agentur-Quatsch durchzureichen. In welchem Tarif kann man den Namen frei ändern? Ach ja, genau, danke.

Wieso Namen ändern? Artikel gelesen?
Es geht um den Schengen-Raum...

 

[pimpcoltd]

Wieso Namen ändern? Artikel gelesen?
Es geht um den Schengen-Raum...

Ja. Und wie viele Personen entschließen sich, mit brute force nach einem flexiblen Ticket zu suchen, um dann unter falschem Namen zu reisen, was jederzeit durch eine unerwartete Kontrolle oder dadurch auffallen kann, dass der echte Passagier seine Buchung anschaut? Es gibt hier ein Datenschutzproblem, alles andere ist lächerlich.

 

[pimpcoltd]

Es geht um den Schengen-Raum...

Und selbst beschränkt darauf ist diese Behauptung schlicht grottenfalsch:

Denn im Schengenraum fragt fast niemand nach dem Pass.

 

[Fare_IT]

Mit Verlaub: Das ist unnötig großkotzig.

Das war so keineswegs gemeint.

Was spricht dagegen, es plakativer zu machen und ein halbwegs realitätsnahes Beispiel zu wählen?

Der Ethos als "Fachmann"?

Das "Fachmann - Dilemma" ist ein nicht "logisch" lösbarer Konflikt - deshalb
gibt es so etwas wie einen "Ethos", als "innere Richtschnur / Kompass".

Plakativ UND wertend ist vollkommen oK wenn ich Marketing / Werbung
betreibe.

Die Art und Weise wie im konkreten Fall unter einem "altruistischen" Deckmantel
imho Eigenwerbung betrieben wird (werden soll) lehne ich ab.

Und ich würde sogar noch ergänzen: Der nicht ausgesprochene - aber imho implizit
enthaltene Verweis auf "die von mir entdeckte Sicherheitslücke ermöglicht
anonymes Reisen mit dem Flugzeug innerhalb des Schengen Raums" sind im
(allgemeinen) Kontext der schrecklichen Vorgänge von Berlin und der Flucht des
Hauptverdächtigen imho unterste Schublade.

Auf die "Unschärfe" aus operativer-fachlicher Sicht, und die Relevanz im Tagesgeschäft
- mal ganz abgesehen von den getroffenen Annahmen / Voraussetzungen - ganz zu schweigen.

Die Leistungen des Verfassers im Kontext der GSM / USB Systeme aus den Jahren 2008 / 2009
sind ohne Zweifel ein "anderes" Kaliber gewesen, und als solche höchst anerkennenswert
- das möchte ich nicht unerwähnt lassen.

Ironie **an**

Wäre diese Art Artikel auf den "Index" des in Berlin so heiß diskutierten
bundesweiten Zentrums / Behörde gegen "Fake News" gekommen?

Ironie **aus**

 

[Anonym38428]

Wenn wir uns auch regelmässig über die vermeintlich unfähige LH IT beömmeln, die Vertriebs-IT der Airlines basiert auf antiquierter Technik und wurde zu einer Zeit entwickelt, als Datenschutz und Schutz vor Missbrauch bei der Entwicklung und Implementierung von IT Systemen noch keine Rolle gespielt haben. Die bisherigen Lösungen namentlich der PNR sind jedoch derart komplex geworden und 1:1 ins Etix-Zeitalter überführt worden, dass eine technische Neuentwicklung mitsamt der unendlichen Schnittstellen für alles und jeden zu einem immensen Kostenaufwand führen, den weder Airlines noch GDS stemmen wollen. Die paar "gekaperten" Tickets (wie auch durch missbräuchliche Verwendung von Zahlungskarten zustande gekommene Tickets) sind wohl nur ein Fliegenschiss, der kein Anlass und Auslöser für derart immense Investitionen sein wird. Der einzig richtige Zeitpunkt für eine derartige Neuentwicklung wäre die Umstellung auf Etix gewesen - aber eben, die Kosten ...

Was das Reisen ohne Ausweiskontrolle angeht, so habe ich dies stets als ein Privileg und einen Teil der Reisefreiheit innerhalb des Schengenraums verstanden. Wegen bestenfalls ein paar gekaperter Tickets möchte ich persönlich nur ungern darauf verzichten ...

 

[PAXfips]

Hier wird das dann en Detail vorgestellt werden:
https://fahrplan.events.ccc.de/congress/2016/Fahrplan/events/7964.html
(heute abend 21:45; C3 ueblich wird es live-stream und spaeter einen Video Download geben)

Beide bisher angesprochenen Schwachpunkte (keine Blockade von Massenanfragen, monoton steigende Vergabe des PNR) kann man umstellen, ohne alle Schnittstellen usw. anfassen zu muessen.

 

[Worldtraveler42]

Fazit: Immer nur Flüge buchen, die nicht umbuchbar sind.

oder bei Opodo und co.

 

[Airsicknessbag]

Gaehn. So what? Ich glaube kaum, dass der immer wieder als Popanz beschworene allmaechtige Hacker seine Ressourcen darauf aufwendet, kostenlos von Berlin nach Frankfurt zu fliegen und so 150 Euro zu sparen. Und sich zusaetzlich in Zeiten allgegenwaertiger Kameraueberwachung einem massiven Strafbarkeitsrisiko auszusetzen.

Natuerlich geht das alles, aber insgesamt sind das ein paar zu viele Ifs and Buts, als dass es ein wirkliches (lies: ausserhalb der Welt der Computer-Nerds relevantes) Problem darstellte.

Ich habe zum Beispiel mein Gartenhaeuschen auch nicht abgeschlossen, und trotzdem hat noch nie jemand die Sitzkissen der Gartenstuehle geklaut. (um damit schlimme weitere Verbrechen zu begehen.)

Aber das wird sich schnell totlaufen. Die neue alte "Oh-mein-Gott-Verbrecher-koennen-ohne-Kontrolle-innerhalb-von-Schengen-reisen"-Paranoia halte ich da fuer potentiell schlimmer.

 

[JustLHFTL]

Ich fand aus dem Artikel eigentlich auch nur wirklich bemerkenswert (weil ich das nicht wusste) und auch als Sicherheitslücke heutzutage unnötig, dass man aus dem Buchungszeitpunkt Rückschlüsse auf die PNR ziehen kann. Das sollte ja wirklich, wie oben schon gesagt, auch ohne übermäßigen Aufwand zu schließen sein.

Ansonsten buche ich wenig Flex, man könnte also in meinem Portfolio eventuell "günstiger" buchen (wenn Umbuchungsgebühren < Flugpreis) anstatt kostenlos. Und dann muss man noch zusätzlich irgendeine Kreditkarte haben, die keinen Rückschluss auf die buchende Person zulässt. Braucht schon deutlich mehr kriminelles Knowhow... Vermutlich habe ich größere Vermögensschätze als meine Flüge, die man irgendwie online angreifen kann.

Nichtsdestotrotz natürlich für Amadeus schlechte Werbung... Gerade weil es so viel schlechter klingt als es eigentlich ist...

 

[Brainpool]

Muss ja nicht immer gleich jemand deinen Flug abfliegen, reicht ja schon wenn er dich ärgert indem dein gebuchter Flieger erst morgen auf dich wartet... Und du merkst es erst wenn du verwundert am Check Inn stehst.

 

[Airsicknessbag]

Dann bucht man ihn halt wieder zurueck um. Muss ja ein flexibles Ticket ohne Umbuchungsgebuehr sein.

Ansonsten sollte man diesen Sturm im Wasserglas dazu nutzen, die Passagiere dazu zu bringen, ab und zu mal ihre Tickets zu checken. Zuletzt einen oder zwei Tage vor Abflug. Hauptsaechlich natuerlich wegen unbemerkter Flugplanaenderungen und airlineseitiger Umbuchungen.

 

[eky]

Bei manchen Airlines lassen sich die Flüge jedoch auch online mit der Kombo direkt stornieren - und das wäre bei nem restriktiven Ticket sehr ärgerlich.

 

[jodost]

Dann bucht man ihn halt wieder zurueck um.

Lol. "Ist ja nicht schlimm - prüfen Sie halt die Einstellungen regelmäßig und wenn was gegen Ihren Willen geändert wurde, ändern Sie es halt wieder zurück" muss ich mir als Antwort an unsere Kunden merken, falls wir jemals so eine Passwort-Panne haben sollten...

 

[foldi]

Interessant. Hier wurde sich mal in einem Thread darüber aufgeregt, dass Abholer mit nem Namensschild am Ausgang stehen. Schließlich sei dann die hochheilige Privatsphäre nicht mehr gewahrt. Hier können Hacker mit relativ wenig Aufwand auf sensible persönliche Daten und Reisepläne zugreifen und es wird einfach so als "egal" abgetan.

 

[XT600]

Ja der Bericht ist etwas oberflächlich aber ihr erinnert auch an das Amadeus leak letztes Jahr (alte PNRs auf dem Kundenserver (checkmytrip) wurden nicht dem gespeicherten Namen zugeordnet, sondern die Namen der Reisenden für neue Buchungen mit diesem PNR in der Zukunft OFFEN angezeigt. Das war ein grobes Sicherheitsproblem von Amadeus!

Ausserdem war/ist es möglich auf bestimmten Websites (z.B. LH.com) Buchungen (PNRs) zu löschen, wenn man die Kombination PNR+Nachname kennt (z.B. von Kollegen). Der Betroffene steht dann ggf. ohne Buchung aber mit Ticket am CI-Schalter - je nachdem wann der dort aufschlägt kann das zu Nachteilen führen..

 

[Worldtraveler42]

Problem ist meines Erachtens einfach, dass man mit Namen und 6-stelligem Code Zugang zu einer Buchung bekommt. Wer wirklich will sucht mit den Haupt-Familiennamen und probiert Codes durch. Irgendwann hat man einen Treffer und irgendwann findet man auch ein flexibles Ticket. Dann wäre aber immer noch das Problem mit dem Namen. Bei einigen Airlines lassen sich Tickets nicht einfach so übertragen und der ursprüngliche Fluggast meldet es der Airline und stattet Strafanzeige. Je nach Land, wird ein derartiges Unterfangen dann als unerlaubter Zugang in ein IT-System qualifiziert und dementsprechend bestraft. Hinzu kämen dann die Strafen für das "Übernehmen" des Tickets. Clever ist es jedenfalls nicht. Es bleibt also fast nur das Ticket an einen unwissenden Dritten zu verkaufen.

Amadeus könnte ihre Systeme allerdings sichern indem man Systeme gegen massenweise Anfragen einbaut (soweit ich weiß macht Checkmytrip das beispielsweise schon) und indem man eine weitere Information über die Buchung verlangt (z.B. Zielort, Airline, Vorname, Geburtsmonat, etc...).