|
Title: Chaos Computer Club (CCC) gelingt Hack des unsicheren Video-Ident Verfahrens Post by: 1miau on August 10, 2022, 10:27:15 PM Dem Chaos Computer Club ist es erneut gelungen, die Schwachstellen des unsicheren Video-Ident Verfahrens aufzuzeigen.
Bereits in der Vergangenheit hatte der Chaos Computer Club das dubiose Video-Ident-Verfahren, bei welchem Identitätsdaten per Videoübertragung durch das Internet fließen, als äußerst unsicher kritisiert, was selbst durch den Bundesdatenschutzbeauftragten bestätigt wurde. Dennoch passierte damals nichts und Video-Ident wurde nicht verboten. Nun liefert der Chaos Computer Club erneut einen handfesten Beweis, wie unsicher das Video-Ident-Verfahren ist. Besonders eklatant daran ist, dass dieser Angriff selbst "von einem interessierten Hobbyisten" durchgeführt werden könnte. Quote Nur geringer Aufwand Dieser Totalausfall bestätigt nun, wovor Datenschützer und das Bundesamt für Sicherheit in der Informationstechnik (BSI) seit langem warnen, jedoch bei der Bundesregierung und der Bundesnetzagentur auf taube Ohren stießen. Deren Ausrede lautete: „Der Bundesregierung sind bislang keine konkreten Sicherheitsvorfälle zur Kenntnis gelangt.“ Einen konkreten Sicherheitsvorfall liefert der CCC hiermit gern und meldet somit Handlungsbedarf an. Der Angriff ist von einem interessierten Hobbyisten und erst recht von motivierten Kriminellen in kurzer Zeit und mit geringem Aufwand ausführbar. Daher ist das Risiko des weiteren Missbrauchs als hoch einzuschätzen. Video-Ident wird trotz seiner bekannten Unsicherheit von vielen Kryptoanbietern für KYC genutzt, um Kosten zu sparen. Bezahlen müssen dafür die Nutzer (sofern sie so naiv sind und Video-Ident nutzen), indem die Nutzerdaten oft ins Darknet abfließen. Der Chaos Computer Club fordert, das unsichere Video-Ident Verfahren zu verbieten, indem unsichere Systeme garnicht erst auf den Markt kommen dürfen (Beweislastumkehr, dass die Technik sicher ist) Quote Der Chaos Computer Club empfiehlt Es wird Zeit für ein Ende der Beweislastumkehr: Nicht die Betroffenen sollten Schwächen der Systeme nachweisen müssen, die Verfahrensbetreiber sollten vielmehr verpflichtet werden, deren Sicherheit nach anerkannten Regeln zu belegen. Die Erfüllung bestehender und neuer Anforderungen sollte künftig durch unabhängige Tests unter realen Angriffsbedingungen regelmäßig nachgewiesen werden. Insbesondere bedarf jede Aussage zur Wirksamkeit von Gegenmaßnahmen gesicherter Evidenz. Die bloße Behauptung, man habe etwas KI drübergesprenkelt, darf nicht mehr ausreichen. Es empfiehlt sich zudem, bereits die Empfehlungen des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu beachten, bevor in einfacher Weise durchführbare Angriffe praktisch demonstriert werden. Dieser hatte nämlich den Einsatz von Video-Ident zur Absicherung von Gesundheitsdaten überall dort für datenschutzrechtlich unzulässig erklärt, wo sehr hoher Schutzbedarf besteht – und das bereits 2020. Der Chaos Computer Club hat bereits in der Vergangenheit mit fundierter Kritik das dubiose Video-Ident-Verfahren auseinander genommen: https://media.ccc.de/v/35c3-9616-circumventing_video_identification_using_augmented_reality Originalartikel des Chaos Computer Club: https://www.ccc.de/de/updates/2022/chaos-computer-club-hackt-video-ident Weiterführende Links als Referenz am Ende des Originalartikels. Title: Re: Chaos Computer Club (CCC) gelingt Hack des unsicheren Video-Ident Verfahrens Post by: -doubleU- on August 27, 2022, 11:40:58 PM Nun liefert der Chaos Computer Club erneut einen handfesten Beweis, wie unsicher das Video-Ident-Verfahren ist. War ja eigentlich nur noch eine Frage der Zeit bis dieser Nachweis erbracht wurde. In Zeiten von perfekten Deep Fake Videos habe ich schon lage damit gerechnet gehabt das Video-Ident als überlistbar angeprangert wird. Das dies jedoch mit sehr simplen Mitteln möglich ist, hätte ich so auch nicht erwartet. Auf jeden Fall wurde dies jetzt ernst genommen und es erfolgten die ersten richtigen Reaktionen. Z.B. haben alle Krankenkassen in Deutschland eine Verfügung der gematik (https://www.gematik.de/newsroom/news-detail/pressemitteilung-gematik-untersagt-bis-auf-weiteres-nutzung-von-videoident-verfahren-in-der-telematikinfrastruktur) erhalten das Video-Ident Verfahren nicht mehr zu nutzen. Title: Re: Chaos Computer Club (CCC) gelingt Hack des unsicheren Video-Ident Verfahrens Post by: 1miau on August 28, 2022, 11:34:39 PM Nun liefert der Chaos Computer Club erneut einen handfesten Beweis, wie unsicher das Video-Ident-Verfahren ist. War ja eigentlich nur noch eine Frage der Zeit bis dieser Nachweis erbracht wurde. In Zeiten von perfekten Deep Fake Videos habe ich schon lage damit gerechnet gehabt das Video-Ident als überlistbar angeprangert wird. Das dies jedoch mit sehr simplen Mitteln möglich ist, hätte ich so auch nicht erwartet. Auf jeden Fall wurde dies jetzt ernst genommen und es erfolgten die ersten richtigen Reaktionen. Z.B. haben alle Krankenkassen in Deutschland eine Verfügung der gematik (https://www.gematik.de/newsroom/news-detail/pressemitteilung-gematik-untersagt-bis-auf-weiteres-nutzung-von-videoident-verfahren-in-der-telematikinfrastruktur) erhalten das Video-Ident Verfahren nicht mehr zu nutzen. Danke für die Info. Die gewieften Hacker sind manchmal leider schon einige Schritte weiter als die träge Bürokratie. :D Gut, dass es daher engagierte Leute im CCC gibt. :) Title: Re: Chaos Computer Club (CCC) gelingt Hack des unsicheren Video-Ident Verfahrens Post by: Lafu on August 30, 2022, 01:41:43 AM Die gewieften Hacker sind manchmal leider schon einige Schritte weiter als die träge Bürokratie. :D Ich selbst habe das Video Ident Verfahren noch nie benutzt aber wie du schon geschrieben hast ist es gut das es Leute gibt die alles auf herz und nieren testen.Gut, dass es daher engagierte Leute im CCC gibt. :) Denke das auch damit alle anderen anbieter die Video identifizierung betreiben davon betroffen sind oder in der zukunft werden. Es sind meistens nicht nur die Hacker und Schurken die weiter sind als unsere Bürokratie . Title: Re: Chaos Computer Club (CCC) gelingt Hack des unsicheren Video-Ident Verfahrens Post by: 1miau on August 30, 2022, 10:29:12 PM Die gewieften Hacker sind manchmal leider schon einige Schritte weiter als die träge Bürokratie. :D Denke das auch damit alle anderen anbieter die Video identifizierung betreiben davon betroffen sind oder in der zukunft werden.Gut, dass es daher engagierte Leute im CCC gibt. :) Das, was der Chaos Computer Club in seinem Artikel vorschlägt (hat er schon seit längerem vorgeschlagen) sollte eigentlich der Standard sein, der generell gelten sollte und zwar für alle Bereiche der Digitalisierung: Quote Der Chaos Computer Club empfiehlt Es wird Zeit für ein Ende der Beweislastumkehr: Nicht die Betroffenen sollten Schwächen der Systeme nachweisen müssen, die Verfahrensbetreiber sollten vielmehr verpflichtet werden, deren Sicherheit nach anerkannten Regeln zu belegen. Die Erfüllung bestehender und neuer Anforderungen sollte künftig durch unabhängige Tests unter realen Angriffsbedingungen regelmäßig nachgewiesen werden. Insbesondere bedarf jede Aussage zur Wirksamkeit von Gegenmaßnahmen gesicherter Evidenz. Die bloße Behauptung, man habe etwas KI drübergesprenkelt, darf nicht mehr ausreichen. Sonst rennt man früher oder später in weitere Probleme... Title: Re: Chaos Computer Club (CCC) gelingt Hack des unsicheren Video-Ident Verfahrens Post by: bct_ail on September 01, 2022, 11:27:55 AM Auf jeden Fall wurde dies jetzt ernst genommen und es erfolgten die ersten richtigen Reaktionen. Z.B. haben alle Krankenkassen in Deutschland eine Verfügung der gematik (https://www.gematik.de/newsroom/news-detail/pressemitteilung-gematik-untersagt-bis-auf-weiteres-nutzung-von-videoident-verfahren-in-der-telematikinfrastruktur) erhalten das Video-Ident Verfahren nicht mehr zu nutzen. Das ist schon sehr verwunderlich, dass das ernst genommen wird. Eigentlich rennt man bei solchen Sachen ja meistens gegen verschlossene Türen und es heißt nur lapidar, dass das alles getestet wurde und sicher ist. Man solle sich keine Sorgen machen. Leider rennt man bei anderen Anbietern weiterhin gegen verschlossene Türen und die sagen, dass das bei ihnen nicht passieren kann. Die haben halt keine Ahnung. Wenn man aber überlegt, wie mittlerweile gefaket wird, wird es auch immer schwieriger, die Leute von der Wahrheit zu überzeugen: https://www.t-online.de/nachrichten/deutschland/gesellschaft/id_100042596/ukraine-krieg-prorussische-kampagne-das-steckt-hinter-den-fake-artikeln.html Wenn einige erstmal lange genug auf solchen Fakeseiten sind, glauben sie der Propaganda. |