Gehackte U-Bahn

Drei Studenten des MIT sollten gerichtlich dazu gezwungen werden, Sicherheitslücken zu verschweigen, die sie im Bezahlsystem der Bostoner U-Bahn entdeckt haben. Experten warnten, dass die Unterdrückung solcher Informationen die Technologie noch angreifbarer macht. Geholfen hat das wenig: Vor kurzem erhielten die studentischen IT-Security-Spezialisten einstweilige Verfügungen, laut denen sie auf der "Defcon"-Sicherheitskonferenz in Las Vegas ihre Ergebnisse nicht vorlegen dürfen.

Laut den vor der Veranstaltung veröffentlichten Folien wollten die Studenten zeigen, wie sich die alten Magnetstreifentickets sowie die neueren RFID-Karten im Bostoner Nahverkehrssystem fälschen und kopieren lassen. Damit könnte man dann gratis reisen. Das wollte das zuständige Verkehrsunternehmen MBTA, das laut Gerichtsdokumenten mehr als 180 Millionen Dollar in die Installation des Systems gesteckt hatte, nicht dulden. Neben den einstweiligen Verfügungen hat der Betrieb zusätzlich noch eine größere Klage eingereicht, die den Studenten die Verletzung der Gesetze gegen Computerbetrug und Computermissbrauch vorwirft – und dem MIT als ihrer Hochschule eine Verletzung der Aufsichtspflicht.

Einer der Studenten, Zack Anderson, sagt, dass sein Team nie vorgehabt habe, echten Angreifern einen Vorteil zu verschaffen: "Wir haben einige Details bewusst aus unserer Präsentation herausgelassen, weil wir nicht wollten, dass Dritte das Ticketsystem angreifen kann. Wir wollten gar nicht, dass es umgangen wird und die Leute dann kostenlos unterwegs sind."

Marcia Hoffman, Hausjuristin der Netzbürgerrechtsorganisation Electronic Frontier Foundation (EFF), hilft dem MIT-Team nun bei seiner Verteidigung. Sie meint, dass Forscher geschützt werden müssten, um solchen Fehlern nachgehen zu können. "Es kommt sehr selten vor, dass ein Gericht jemanden davon abhält, etwas zu sagen, bevor der dazu überhaupt die Möglichkeit hatte", sagt sie. "Wir halten die Entscheidung für einen schlimmen Präzedenzfall, der für die IT-Sicherheitsforschung sehr gefährlich ist."

Bei der MBTA heißt es nur, man wolle die Forschung gar nicht einschränken, sondern sich einfach Zeit erkaufen, um die Fehler zu beheben, die die Studenten gefunden haben könnten. Die Verkehrsbetriebe äußerten sich allerdings äußerst skeptisch darüber, ob die IT-Security-Experten überhaupt echte Lücken entdeckt hätten. "Die erzählen eine ganz tolle Geschichte über weit verbreitete Sicherheitsprobleme, aber sie haben der MBTA immer noch keine glaubwürdigen Informationen vorgelegt, die diese Behauptung stützen", sagt Joe Pesaturo, Sprecher der MBTA. So einfach sei das.

Es ist allerdings völlig unklar, ob sich die MBTA mit ihrem Vorgehen die Zeit erkaufen kann, die sie wirklich braucht. Karsten Nohl, Doktorand an der University of Virginia, der zu den ersten gehörte, die Sicherheitsprobleme beim RFID-Kartensystem "MiFare Classic" aufgedeckt hatte, das in Boston unter anderem verwendet wird, sagt, dass die Lösung der Probleme ein oder zwei Jahre in Anspruch nehmen könnte. "Dazu gehört auch, dass womöglich alle Kartenleser und alle Karten, die in Umlauf sind, ausgetauscht werden müssen."

Es ist nicht die erste Klage, mit der Forscher überzogen wurden, die die Sicherheit der MiFare Classic-Technologie untersuchten. Im Juli traf es Wissenschaftler an einer niederländischen Uni. Die Hochschule wurde vom Hersteller NXP Semiconductors verklagt, um zu verhindern, dass Details ähnlicher Sicherheitslücken wie in Boston bekannt werden. Die Klage wurde zwar zunächst abgewiesen. Trotzdem sind Sicherheitsforscher inzwischen sehr vorsichtig, sicherheitsrelevante Ergebnisse im Bereich der RFID-Technik offen zu diskutieren, obwohl es hier einige Lücken gibt.

Bruce Schneier, Gründer der Sicherheitsfirma BT Counterpane und bekannter IT-Security-Experte, meint, dass die jüngsten Zivilverfahren vom eigentlichen Thema ablenken. "Da verkaufte jemand ein schlechtes Produkt an seine Kunden, denen nicht klar war, dass sie nach einem besseren Produkt hätten fragen sollen. Das Problem wird sich nie lösen, so lange die verwendete Sicherheitstechnik weiter geheim bleibt." Der Grund, warum Forscher Sicherheitsprobleme offen legten, sei schließlich, dass dies oft die einzige Möglichkeit sei, dass diese Lücken geschlossen würden.

Eine ähnliche RFID-Technik wird auch in anderen Städten wie London, Los Angeles, Brisbane und Shanghai zur Fahrkartenkontrolle verwendet. Auch Pässe für Firmen- und Regierungsgebäude sind betroffen. Die Technologie steckt außerdem in einigen Kreditkarten und Handys.

Experte Nohl meint, dass die Industrie die Arbeit der MIT-Studenten als eine kostenlose Dienstleistung sehen sollte, die zu mehr Sicherheit führe. Obwohl es in Sachen RFID viel Sicherheitsforschung gebe, seien die Ergebnisse doch nur schleppend in Produkte eingeflossen. "Das Kernproblem ist immer noch, dass die Industrie glaubt, dass sie sich am besten allein um die Sicherheit kümmere und dass, was sie baut, am sichersten ist, wenn es geheim gehalten wird."

Unterdessen haben unabhängige Forscher diverse Wege vorgeschlagen, die RFID-Sicherheit insgesamt zu erhöhen. Nohl und andere untersuchen eine bessere Verschlüsselung der Informationen auf den Karten. Eines der Probleme bleibt jedoch, dass die Karten selbst passiv sind, was bedeutet, dass sie das Signal an jedes Lesegerät weitergeben, das eine Anfrage aussendet. Tadayoshi Kohno und seine Kollegen an der University of Washington arbeiten deshalb an einem Bewegungserkennungssystem, mit dem Nutzer die Karte mit einer bestimmten Geste aktivieren müssen. Andere Ausleseprozesse werden hingegen nicht akzeptiert. Karl Koscher, einer der Forscher aus Kohnos Team, betont, dass man die Technik so entwickelt habe, dass der Komfort der RFID-Chips erhalten bleibe. "Genau das hat sie ja so populär gemacht." (bsc)