HWL News Bot
News
Thread Starter
- Mitglied seit
- 06.03.2017
- Beiträge
- 113.554
... weiterlesen
RFID-Master-Key öffnet nahezu alle Hoteltüren
- Ersteller HWL News Bot
- Erstellt am
... weiterlesen
Die Lücke nicht zu veröffentlichen, ist fahrlässig. Erst wenn es bei größeren Hotelketten zu Image oder Geldschaden kommt, wird auch was passieren.
So bleiben mit Sicherheit sehr viele Systeme einfach ungepatcht, schlicht und ergreifend weil es billiger ist und das Problem der breiten Öffentlichkeit eh nicht bekannt ist.
So bleiben mit Sicherheit sehr viele Systeme einfach ungepatcht, schlicht und ergreifend weil es billiger ist und das Problem der breiten Öffentlichkeit eh nicht bekannt ist.
DragonTear
Legende
Ach was fürn image schaden soll schon kommen?
Jedes System kann umgangen werden. Das ist hinlänglich bekannt.
Das mit dem Master key ist relativ neu. Das Kopieren von rfid karten dagegen ist schon ein alter Hut.
Btw. man weiss ja wer betroffen ist. Was spielt es da für eine Rolle ob die Methode veröffentlicht wird?
Des weiteren lässt man Wertsachen in Hotels weniger wegen externen Dieben nicht offen rumliegen, sondern schon wegen der Putzkollonne...
Jedes System kann umgangen werden. Das ist hinlänglich bekannt.
Das mit dem Master key ist relativ neu. Das Kopieren von rfid karten dagegen ist schon ein alter Hut.
Btw. man weiss ja wer betroffen ist. Was spielt es da für eine Rolle ob die Methode veröffentlicht wird?
Des weiteren lässt man Wertsachen in Hotels weniger wegen externen Dieben nicht offen rumliegen, sondern schon wegen der Putzkollonne...
...
Eigentlich überrascht mich bei deinen Posts nichts mehr.
Was für ein Imageschaden soll schon passieren, wenn z.B. eine Hotelkette mal 200 Zimmer ausgeräumt bekommt?
Na keiner! Ist doch klar, weiß ja "jede" DragonTear.
Sprüche wie "Jedes System kann umgangen werden." sind solch dämliche Totschlagargumente, dass ich lieber mein Brötchen weiter esse, als darauf noch ernsthaft einzugehen.
Schönen Abend noch und gute Nacht.
EDIT:
Golem News noch dazu, mit einigen Zitaten:
Ving Card: Sicherheitslren gefunden - Golem.de
Eigentlich überrascht mich bei deinen Posts nichts mehr.
Was für ein Imageschaden soll schon passieren, wenn z.B. eine Hotelkette mal 200 Zimmer ausgeräumt bekommt?
Na keiner! Ist doch klar, weiß ja "jede" DragonTear.
Sprüche wie "Jedes System kann umgangen werden." sind solch dämliche Totschlagargumente, dass ich lieber mein Brötchen weiter esse, als darauf noch ernsthaft einzugehen.
Schönen Abend noch und gute Nacht.
EDIT:
Golem News noch dazu, mit einigen Zitaten:
Ving Card: Sicherheitslren gefunden - Golem.de
Zuletzt bearbeitet:
DragonTear
Legende
Hä? Du willst allen erstes absichtlich das Wissen den Ver*brechern geben grade damit die Hotels leiden? 
Du bist kein Freund des Konzeptes von Ordnung und Recht in der Gesellschaft, huh?
Ein Imageschaden ala "sie haben potentiell knackbare Software" haben sie ja schon, wenn das die Leute wirklich interessieren würde.
Etwas weiter führendes zu wollen kann nur Boshaftigkeit sein.
Des weiteren könnten 200 Zimmer auch mit der Brechstange ausgeräumt werden.
Und immer schön persönlich werden...
Du bist kein Freund des Konzeptes von Ordnung und Recht in der Gesellschaft, huh?
Ein Imageschaden ala "sie haben potentiell knackbare Software" haben sie ja schon, wenn das die Leute wirklich interessieren würde.
Etwas weiter führendes zu wollen kann nur Boshaftigkeit sein.
Des weiteren könnten 200 Zimmer auch mit der Brechstange ausgeräumt werden.
Und immer schön persönlich werden...
Zuletzt bearbeitet:
Naja ob ich mit einer Karte durch die Flure Schlender und einfach in ein Zimmer gehe fällt nun doch weniger auf, als wenn ich mit einer Brechstange an der Tür rumdoktor.
Ich verstehe nicht warum das System überhaupt mit einen abgelaufenen Key ansprechen lässt. Ich denke wenn die Hotels darauf aufmerksam gemacht werden wie leicht man hinter das System kommt, werden die auch das Update einspielen.
Ich verstehe nicht warum das System überhaupt mit einen abgelaufenen Key ansprechen lässt. Ich denke wenn die Hotels darauf aufmerksam gemacht werden wie leicht man hinter das System kommt, werden die auch das Update einspielen.
Novastar
Enthusiast
- Mitglied seit
- 27.10.2011
- Beiträge
- 816
@Tresel: Wie genau der Angriff geht, wurde nicht verraten. Ich gehe mal davon aus, dass der bestehende Chip (ob abgelaufen oder nicht) einfach nur verwendet wird, um mit dem System zu kommunizieren und dann den Masterkey rauszufinden.
Dass die Hotels da nachbessern, wenn sie wissen, dass es ein Problem gibt, bezweifel ich mal stark. Jahrelange Erfahrung hat doch gezeigt, dass (vor allem Nicht-IT-) Unternehmen größtenteils einen Dreck auf die Sicherheit ihrer Systeme geben und vor allem keine Probleme beheben, von denen sie denken, dass die doch eh kaum bekannt sind. Der Standard-Manager liest auch keine Seiten wie Hardwareluxx, Golem, Heise oder so. Wenn in der Tagesschau nichts darüber kommt, existiert es auch nicht. (Überspitzt formuliert.
)
@DragonTear: "Hä? Du willst allen erstes absichtlich das Wissen den Ver*brechern geben grade damit die Hotels leiden?" << ja, genau das muss man machen. Ist um genau zu sein auch der Standard-Vorgang bei wichtigen Sicherheitsproblemen. Dem Unternehmen wird genannt, was das Problem ist und wie der Angriff funktioniert. Danach gibt es ein Frist, ab wann der Angriff veröffentlicht wird. Dadurch werden die Unternehmen gezwungen, etwas gegen das Problem zu unternehmen.
Anders kommt man gegen die Unlust, Sicherheitsprobleme zu beheben, einfach nicht an. Das hat sich in Jahren gezeigt. Mit Geheimhaltung von Problemen löst man diese nicht und gibt echten Ver-brechern sogar noch die Chance, selber auf den Angriff zu kommen. Man macht das Problem damit sogar schlimmer, weil in dem Fall die Unternehmen nicht mal wissen, dass ihre Systeme geknackt werden. Wenn man die Angriffe veröffentlicht, müssen sie aber davon ausgehen.
Bezüglich des Kommentars von Mr.Mito: Wenn alle Beiträge hier anonym wären, könnte ich trotzdem zu geschätzt 80% Erfolgschance die Beiträge von DragonTear erkennen. ^^
Dass die Hotels da nachbessern, wenn sie wissen, dass es ein Problem gibt, bezweifel ich mal stark. Jahrelange Erfahrung hat doch gezeigt, dass (vor allem Nicht-IT-) Unternehmen größtenteils einen Dreck auf die Sicherheit ihrer Systeme geben und vor allem keine Probleme beheben, von denen sie denken, dass die doch eh kaum bekannt sind. Der Standard-Manager liest auch keine Seiten wie Hardwareluxx, Golem, Heise oder so. Wenn in der Tagesschau nichts darüber kommt, existiert es auch nicht. (Überspitzt formuliert.
)@DragonTear: "Hä? Du willst allen erstes absichtlich das Wissen den Ver*brechern geben grade damit die Hotels leiden?
" << ja, genau das muss man machen. Ist um genau zu sein auch der Standard-Vorgang bei wichtigen Sicherheitsproblemen. Dem Unternehmen wird genannt, was das Problem ist und wie der Angriff funktioniert. Danach gibt es ein Frist, ab wann der Angriff veröffentlicht wird. Dadurch werden die Unternehmen gezwungen, etwas gegen das Problem zu unternehmen.Anders kommt man gegen die Unlust, Sicherheitsprobleme zu beheben, einfach nicht an. Das hat sich in Jahren gezeigt. Mit Geheimhaltung von Problemen löst man diese nicht und gibt echten Ver-brechern sogar noch die Chance, selber auf den Angriff zu kommen. Man macht das Problem damit sogar schlimmer, weil in dem Fall die Unternehmen nicht mal wissen, dass ihre Systeme geknackt werden. Wenn man die Angriffe veröffentlicht, müssen sie aber davon ausgehen.
Bezüglich des Kommentars von Mr.Mito: Wenn alle Beiträge hier anonym wären, könnte ich trotzdem zu geschätzt 80% Erfolgschance die Beiträge von DragonTear erkennen. ^^
Da wird gar nichts passieren. Die Gefahr das System beim Update zu zerschießen und wütende Künden zu haben wird größer sein, als ein kaum bekanntes Diebstahlproblem zu lösen. Vor allem weil es für letzteres auch Versicherungen gibt. Solange das nicht massenhaft ausgeführt wird, werden die wenigsten Wald- und Wiesenhotels was ändern, gerade auch, weil sie ohnehin keine Fachkräfte dafür haben. Man müsste schon Experten hinzuziehen, was noch mehr Geld kostet.
Sagt Mr "Ich will das die Sicherheit der Kunden an oberster Stelle steht, also bin ich dafür das alle Kunden beklaut werden".... Hast du eigentlich ne Sekunde nachgedacht bevor Du deine Posts verfasst hast?
Wenn du von einer Sicherheitslücke weißt, sie aber nicht behebst, dann ist das grob fahrlässig. Da haftet keine Versicherung.
Das glaubst du. O-Ton von jemanden der bei einer Versicherung solche Fälle bearbeitet: "Solange die Tür verschlossen war, wird bezahlt". Solange es nicht statistisch auffällig wird, ist es für Versicherungen ohnehin günstiger zu bezahlen, als das ganze erst zu untersuchen.
Solange die Versicherungen nicht druck machen, passiert nichts. Das muss erstmal zu einem Problem werden, bevor das flächendeckend was passiert. Du kannst beispielsweise seit zig Jahren nahezu jedes per Funk abschließbare Auto knacken, da passiert auch nichts. Weder Rückrufe mit Hardwareaustausch von den Autoherstellern noch verweigerte Versicherungszahlungen.
Zum Sachverhalt: Wenn IT-Sicherheitsexperten hier erst 10 Jahre analysieren müssen, um einen Angriff ausführen zu können spricht das eher für das System, als dagegen. Die meisten Systeme überleben da den ersten Monat nicht.
Es ist so.
Ein Bekannter hatte ein Problem mit seinem Keller. Der Vermieter hat das Fenster nicht gewechselt, obwohl er wusste, dass es sich von außen öffnen lässt.
Es ist eingebrochen worden.
Die Polizei war da, hat einen Bericht gemacht, der ging zur Hausrat vom Kumpel.
Die hat nicht gezahlt.
Der Kumpel hat gegen den Vermieter geklagt den Schaden ersetzt bekommen.
Ich habe das Spiel im Bekanntenkreis jetzt mehrfach durch.
Defekt melden, wenn nicht reagiert wird, Schaden melden.
Der Verantwortliche musste bislang immer zahlen.
Ein Bekannter hatte ein Problem mit seinem Keller. Der Vermieter hat das Fenster nicht gewechselt, obwohl er wusste, dass es sich von außen öffnen lässt.
Es ist eingebrochen worden.
Die Polizei war da, hat einen Bericht gemacht, der ging zur Hausrat vom Kumpel.
Die hat nicht gezahlt.
Der Kumpel hat gegen den Vermieter geklagt den Schaden ersetzt bekommen.
Ich habe das Spiel im Bekanntenkreis jetzt mehrfach durch.
Defekt melden, wenn nicht reagiert wird, Schaden melden.
Der Verantwortliche musste bislang immer zahlen.
DragonTear
Legende
Bei sowas spielt oft die Zumutbarkeit eine Rolle. Sowohl vor dem Gesetz als auch im Vertrag mit der Versicherung.
Ein 200€ Fenster zu ersetzen, um ein paar Tausend Euro Schaden im Einbruchsfall abzuwehren ist zumutbar.
>100k in Hotelltüren updates nur um im Jahr den Diebstahl von 2-3 Laptops abzuwehren dagegen, ist nicht unbedingt so zumutbar (also im richtigen Kosten/Nutzen-Verhältniss) dass man vor dem Gesetz von Fahrlässigkeit sprechen könnte.
Eine Versicherung die einen zu solchem wirtschaftlichen Nonsense zu zwingen versucht, schliesst ein Hotel schlicht nicht ab weil es genug Konkurenten gibt.
Ein 200€ Fenster zu ersetzen, um ein paar Tausend Euro Schaden im Einbruchsfall abzuwehren ist zumutbar.
>100k in Hotelltüren updates nur um im Jahr den Diebstahl von 2-3 Laptops abzuwehren dagegen, ist nicht unbedingt so zumutbar (also im richtigen Kosten/Nutzen-Verhältniss) dass man vor dem Gesetz von Fahrlässigkeit sprechen könnte.
Eine Versicherung die einen zu solchem wirtschaftlichen Nonsense zu zwingen versucht, schliesst ein Hotel schlicht nicht ab weil es genug Konkurenten gibt.
Zuletzt bearbeitet: