24C3: Barcode-Systeme anfällig für schwere Hackerangriffe
Strich- oder Matrixchiffren, die für Boardingpässe genauso verwendet werden wie für Parkhäuser oder mobile Linksysteme, weisen Experten zufolge oft gravierende Sicherheitslücken auf und stehen gängigen Attacken offen.
Die aus der hochautomatisierten Wirtschaftswelt kaum mehr wegzudenkenden Barcodes weisen Experten zufolge oft gravierende Sicherheitslücken auf. Vor allem ein- oder zweidimensionale Systeme der Strich- beziehungsweise Matrixchiffren stehen gängigen Hackerattacken sowie mehr oder weniger ausgefallenen Experimenten offen. Dies führte "FX" von der Gruppe Phenoelit am Freitagabend auf dem 24. Chaos Communication Congress (24C3) in Berlin aus. Häufig reiche es sogar aus, mehrfach "gebrauchte" Barcodes einfach im Copyshop zu kopieren oder einzuscannen und auszudrucken.
Die Sicherheitstester von Phenoelit kamen selbst als fast gebrannte Kinder auf die Idee zum weiteren wissenschaftlichen Eindringen in die Welt der Barcodes: Auf einer ihrer "PH-Neutral"-Konferenzen kamen eindimensionale Strichcodes auf den Teilnehmerausweisen zum Einsatz, die mit einer Bezahlfunktion zum Kaufen von Getränken gekoppelt waren und mit Geldwerten aufgeladen werden konnten. Einer der findigen Besucher des Treffens kopierte kurzerhand eine dieser "Alkohol-Plaketten". Laut FX hatte er nur das Pech, just den einzigen Ausweis eines Vieltrinkers zu erwischen, dessen Wertguthaben bereits aufgebraucht gewesen sei.
Trotzdem experimentierten die Hacker fortan eifrig zunächst mit 1D-Codes. Diese wurden im Prinzip bereits 1948 entwickelt und feierten ihren Siegeszug in Form der European Article Number (EAN) beziehungsweise des Universal Product Code (UPC) in den USA an den Scannerkassen, die seit den 1970ern aufkamen. So fanden die Hacker etwa heraus, dass ein Parkhaus in Dresden seine Saisonkarte auf einen einfachen Barcode stützt, die ausgegebenen Scheine nicht mit einem Computersystem im Hintergrund abgleicht und daher kostenloses Parken dort einfach ist.
Aber etwa auch bei den Automaten zur Rückgabe von Pfandflaschen hierzulande, die bereits ein anderer Vortrag auf dem Kongress ins Zentrum der Aufmerksamkeit verzweifelter Haushaltshacker lenkte, erfolgt FX zufolge keine Rückkoppelung zwischen den Maschinen und den Kassensystemen der Händler. Dies hätten die Punks der Hauptstadt schon seit langem entdeckt. Zugleich sei herausgekommen, dass fünf bestimmte Ziffern in der Zahlenfolge unterhalb des Barcodes auf den Pfandgutscheinen der Automaten den Wert des Leergutes angeben. So könne man die Zettel also theoretisch nicht nur kopieren, sondern auch eigene mit nicht gerade niedrigen Summen generieren. Inzwischen würden die Ladenketten aber in der Regel die Pfandwerte auf Papier mit "Wasserzeichen" drucken, um derlei Treiben einen Riegel vorzuschieben.
Wer sich näher mit dem Zustandekommen und dem Auslesen von Barcodes beschäftigen will, findet zumindest für eindimensionale Strichchiffren ein großes Angebot an Software zum Generieren der zunächst kryptisch anmutenden Zeichenabfolgen wie etwa das frei verfügbare Programm GNU Barcode. Es sei auch nicht schwer, einen eigenen Generator zu schreiben, betonte FX. Die dafür unter anderem benötigten Spezifikationen einzelner Barcodes seien für jeweils rund 20 US-Dollar zu haben. Die Lesegeräte und Scanner zum Auslesen der Markierungen seien gerade bei 2D-Codes dagegen noch vergleichsweise teuer, während die Dekodierungssoftware teils kostenlos sei, teils einfach zu erwerben und teils problemlos zu cracken. Das Umkonfigurieren der Scanner gehe ebenfalls leicht von der Hand, man könne sie etwa auch mit einer Tastatur oder über eine serielle Schnittstelle mit einem Computer verknüpfen.
Derart ausgerüstet testete FX unter anderem das Zugangssystem einer automatisch betriebenen DVD-Verleihstätte in der Nähe seines Wohnortes. Die verlangt zwar eigentlich auch eine biometrische Kontrolle, was der Hacker aber schlicht ablehnte. Blieb ein Ausweis mit Barcode, Mitgliedsnummer und PIN. Nach dem Studieren der Bedeutung der Strichabfolgen und der linearen Zahlenkombinationen darunter gelang es FX, unter anderem bereits bezahlte, aber noch nicht abgeholte DVDs anderer Kunden zu erhalten. Auch automatisierte Angriffe auf die Systeme seien möglich. Dabei sollte man aber ausschließen, die eigene Mitgliedsnummer ins Spiel zu bringen.
Offen für gängige Hackerattacken zeigten sich zudem die Scanner. "Nehmen wir einmal an, man erhält 14 Zahlenstellen aus dem Leseprozess, kann aber zugleich willkürlich eigene Zeichen einfügen", umschrieb FX die Grundlagen für verschiedene Angriffe. Dies ermögliche unter anderem das Ausnutzen von Lücken im Zusammenhang mit SQL-Datenbanken im Backend-Bereich (SQL-Injektion) oder so genannter Formatstring-Attacken. Je neuer die Lesegeräte seien, desto komplizierter seien die im Hintergrund arbeitenden Systeme und desto einfacher könnten sie somit auch gehackt werden. Mit einer erhöhten Auflösung beim Ausdrucken von Barcodes und dem gleichzeitigen Einfügen einer Art Überdosis an Zeichenfolgen könne man zudem mit Buffer Overflows die Speicher der Datenbanken fluten und sie zum Erliegen bringen.
Besonders weit klaffen Sicherheitslücken laut FX aber bei den meisten Formen des "Mobile Tagging". Dabei wird mit Hilfe eines Kamerahandys ein 2D-Barcode wie QR oder DataMatrix fotografiert, mit einer kommerziell verfügbaren Software auf dem Mobiltelefon dekodiert und die abgeleiteten Informationen weitergeleitet. Damit soll dem Nutzer vor allem das Eintippen längerer Webadressen auf den kleinen Handy-Tastaturen erspart werden. Die Semapedia-Technik zum Verknüpfen öffentlicher Sehenswürdigkeiten mit Wikipedia-Einträgen nutzt das Verfahren genauso wie immer mehr Zeitungen, die mobile Surfer auf ihre Online-Inhalte oder Werbeangebote im Netz verweisen wollen.
Hierzulande zählt die "Welt kompakt" zu den Pionieren des Mobile Tagging, was den Phenoelit-Experten nicht verborgen blieb. Dabei stellten sie auch fest, dass der Mechanismus ideal ist für so genanntes Cross Site Scripting (XSS). Dabei handelt es sich um einen Angriff, der normalerweise Schwachstellen in Webseiten ausnutzt. Häufig werden nicht-vertrauenswürdige Informationen etwa in Form schädlicher Skriptcodes in eine beim Anwender angezeigte, von ihm prinzipiell als vertrauenswürdig eingestufte Seite eingebettet. So können etwa Passwörter oder Kontodaten per Phishing erbeutet werden. Auf dem Handy müsse man dazu beim "Cross-Zeitungs-Scripting" nur einen Barcode-Platz in einem Printprodukt "mieten", einen Link auf ein Kit mit Schadsoftware dahinter einrichten – und schon habe man gleichsam die Kontrolle über zahlreiche iPhones und andere Mobilgeräte erlangt.
Als willige "Spielfelder" erwiesen sich FX zufolge etwa auch die inzwischen vielfach über das Internet ausdruckbaren Boardingpässe, wo in 2D-Codes neben Flug- oder Buchungsnummer unter anderem auch die zu nutzende Klasse abgespeichert sei. Damit könne man ferner Reisenden über eine Verknüpfung mit den Strichcodes auf Gepäcketiketten falsche, etwa mit Bombenmaterial gefüllte Koffer unterjubeln und sie so als potenzielle Terroristen brandmarken. Offen für Experimente seien zudem die als Briefmarkenersatz genutzten 2D-Codes zahlreicher Postunternehmen. Die Zähne erfolglos ausgebissen haben sich die Phenoeliten nach eigenen Angaben dagegen bislang an den Abholzetteln für Pakete der Packstationen der Deutschen Post sowie an den Online-Tickets der Deutschen Bahn. Bei Letzteren seien die 2D-Codes erkennbar mit Verschlüsselungsverfahren zusätzlich abgesichert worden, was FX den Anhängern der Automatisierung eindringlich generell ans Herz legte. Eine Prüfung der richtigen Prozessabfolge sei zudem bei allen Barcode-Systemen unerlässlich. (Stefan Krempl) / (hos)