I found your entry interesting thus I’ve added a Trackback to it on my weblog …

So wie ich das sehe ist die Funktion folgende:
Geldautomat (GA) an Karte (SC):
“Hallo Karte: Datum 1.1.2009, Stimmt die PIN 4711″
codiert z.B. als: “01 01 09 52 55 49 49″
Karte an GA: “Alles OK, kannst die Kohle ausschütten”

Und der Fehler ist der, dass der GA jetzt sendet:
“Hallo Karte: Datum 1.1.2010, Stimmt die PIN 4711″
codiert z.B. als: “01 01 10 52 55 49 49″
Die Karte interpretiert die 10 aber nicht als BCD,
sondern HEX und empfängt also: Datum 1.1.2016
und Antwortet: “Vergiss es, ich bin schon lange abgelaufen”

Eine Mögliche Lösung wäre also das Ablaufdatum der Karte einfach
um 6 Jahre hochzusetzen, sodass sie fehlerhafte Interpretation
sich wieder aufhebt. Läuft die Karte also nicht am 1.7.2012 ab,
sondern am 1.7.2018, dann wird “01 01 12″, ja intern als 1.1.2018
interpretiert und alles ist ok. Ein Jahr später wird “01 01 13″
als 1.1.2019 interpretiert und die Karte ist abgelaufen.

Also muss nur diese Änderung durchgeführt werden.

Nun gibt es die Möglichkeit des Secure Messaging zur Karte, damit wird
die Integrität durch Checksummen (MACs) und zusätzlich Vertraulichkeit
durch Verschlüsselung sichergestellt, durch Counter wird auch Replay
verhindert. Dabei liegen die Schlüssel bestimmt nicht im GA, sondern
im Rechenzentrum, das Update geht also nur wenn der GA Online ist.

Ich arbeite nicht bei der Bank, habe aber ein wenig im Netz recherchiert.
Ob das so Stimmt weiss ich nicht zu 100%, aber ich gehe davon aus das
sich das so in etwa verhält. Sicherheitsprobleme sehe ich da ausnahmsweise mal nicht

Da ging es mir wie euch wohl oft bei den mac-themen bei denen ihr DIE Kompetenz seid (zumindest für mich). Ich saß unruhig davor und wollte ständig dazwischen schreien “aber so ist es doch gar nicht”. Ich nehme mal an, ihr habt eure Informationen aus den Berichten der Medien der letzten Tage entnommen, garniert mit etwas Allgemeinwissen und dem, was man halt so mitbekommt wenn man selbst durch diese Sicherheitskontrollen geht. Leider ist das aber halt genauso wenig wahr, wie anzunehmen, man wüsste was “das Internet” oder “der User” ist, nur weil man ein wenig surfen kann.
In eurer Diskussion habt ihr dann leider einiges erzählt, das so einfach nicht korrekt ist. Dass beispielsweise die Kontrollen nichts bzw. wenig bringen, weil doch alle Anschläge die vereitelt wurden, von Passagieren verhindert wurden und nicht bei der Sicherheitskontrolle. Das Bild das von den Medien gezeichnet ist hier wie so oft kein Abbild der Realität. Oder dass Flugzeuge einer Airline die nicht kontrolliert, nicht für Anschläge benutzt würden. Auch das ist einfach nicht richtig. Die Airline selbst ist nunmal oft nicht das Anschlagsziel, sondern das Flugzeug lediglich die Waffe für ein anderes Ziel.
Ich finde es super dass ihr mit diesen Diskussionen beginnt und sie führt. Ich finde es aber ein wenig mutig, abschließende und fest stehende Meinungen auf Basis dieser wenigen Informationen zu formulieren.

Wo ich euch auf jeden Fall recht gebe, sind die Punkte, dass die Ausbildung, Motivation und Loyalität der Sicherheitsbeamten DER entscheidende Punkt in der Kette der präventiven Schutzmechanismen darstellt und dass Nacktscanner wenig bis gar nichts bringen.

OK, nicht böse gemeint. Einfach mein Beitrag zur Diskussion. Ich musste es schreiben, sonst wäre ich wohl innerlich explodiert

vielen Dank an das Team und vielen Dank im Namen des Teams an die Nörgler.
Wegen diesen habe ich vor 2 Wochen still reagiert und zur Unterstützung 1 Jahr Plus gekauft. Ich denke, der Spaß ist es mir allemal wert und die Nörgler sollen weiter Andere dazu animieren, ebenso zu handeln.

P.S. Ich bin weder verwandt, verschwägert oder überhaupt nur bekannt mit Timo oder Mitgliedern des Teams. Ich bin aber der Meinung, meinen Teil zum Fortbestehen tun zu müssen…

Bleibt einem nichts anderes übrig als die Live-Berichterstattung der einschlägigen Blogs zu lesen. Zum Beispiel beim fscklog.