Author

Topic: Chaos Computer Club (CCC) gelingt Hack des unsicheren Video-Ident Verfahrens (Read 230 times)

legendary
Activity: 2660
Merit: 2229
https://t1p.de/6ghrf
Auf jeden Fall wurde dies jetzt ernst genommen und es erfolgten die ersten richtigen Reaktionen. Z.B. haben alle Krankenkassen in Deutschland eine Verfügung der gematik erhalten das Video-Ident Verfahren nicht mehr zu nutzen.

Das ist schon sehr verwunderlich, dass das ernst genommen wird. Eigentlich rennt man bei solchen Sachen ja meistens gegen verschlossene Türen und es heißt nur lapidar, dass das alles getestet wurde und sicher ist. Man solle sich keine Sorgen machen.
Leider rennt man bei anderen Anbietern weiterhin gegen verschlossene Türen und die sagen, dass das bei ihnen nicht passieren kann. Die haben halt keine Ahnung.

Wenn man aber überlegt, wie mittlerweile gefaket wird, wird es auch immer schwieriger, die Leute von der Wahrheit zu überzeugen:
https://www.t-online.de/nachrichten/deutschland/gesellschaft/id_100042596/ukraine-krieg-prorussische-kampagne-das-steckt-hinter-den-fake-artikeln.html
Wenn einige erstmal lange genug auf solchen Fakeseiten sind, glauben sie der Propaganda.
legendary
Activity: 2226
Merit: 6947
Currently not much available - see my websitelink
Die gewieften Hacker sind manchmal leider schon einige Schritte weiter als die träge Bürokratie.  Cheesy
Gut, dass es daher engagierte Leute im CCC gibt.  Smiley
Denke das auch damit alle anderen anbieter die Video identifizierung betreiben davon betroffen sind oder in der zukunft werden.

Ja, genau. 
Das, was der Chaos Computer Club in seinem Artikel vorschlägt (hat er schon seit längerem vorgeschlagen) sollte eigentlich der Standard sein, der generell gelten sollte und zwar für alle Bereiche der Digitalisierung:

Quote
Der Chaos Computer Club empfiehlt

Es wird Zeit für ein Ende der Beweislastumkehr: Nicht die Betroffenen sollten Schwächen der Systeme nachweisen müssen, die Verfahrensbetreiber sollten vielmehr verpflichtet werden, deren Sicherheit nach anerkannten Regeln zu belegen.

Die Erfüllung bestehender und neuer Anforderungen sollte künftig durch unabhängige Tests unter realen Angriffsbedingungen regelmäßig nachgewiesen werden. Insbesondere bedarf jede Aussage zur Wirksamkeit von Gegenmaßnahmen gesicherter Evidenz. Die bloße Behauptung, man habe etwas KI drübergesprenkelt, darf nicht mehr ausreichen.

Sonst rennt man früher oder später in weitere Probleme...
legendary
Activity: 3136
Merit: 3213
Die gewieften Hacker sind manchmal leider schon einige Schritte weiter als die träge Bürokratie.  Cheesy
Gut, dass es daher engagierte Leute im CCC gibt.  Smiley
Ich selbst habe das Video Ident Verfahren noch nie benutzt aber wie du schon geschrieben hast ist es gut das es Leute gibt die alles auf herz und nieren testen.
Denke das auch damit alle anderen anbieter die Video identifizierung betreiben davon betroffen sind oder in der zukunft werden.
Es sind meistens nicht nur die Hacker und Schurken die weiter sind als unsere Bürokratie .
legendary
Activity: 2226
Merit: 6947
Currently not much available - see my websitelink
Nun liefert der Chaos Computer Club erneut einen handfesten Beweis, wie unsicher das Video-Ident-Verfahren ist.

War ja eigentlich nur noch eine Frage der Zeit bis dieser Nachweis erbracht wurde.
In Zeiten von perfekten Deep Fake Videos habe ich schon lage damit gerechnet gehabt das Video-Ident als überlistbar angeprangert wird. Das dies jedoch mit sehr simplen Mitteln möglich ist, hätte ich so auch nicht erwartet.
Auf jeden Fall wurde dies jetzt ernst genommen und es erfolgten die ersten richtigen Reaktionen. Z.B. haben alle Krankenkassen in Deutschland eine Verfügung der gematik erhalten das Video-Ident Verfahren nicht mehr zu nutzen.
Ja, der Chaos Computer Club ist da zum Glück sehr energisch hinterher und zumindest jetzt (hätte gerne viel früher kommen können), gibt es wie du sagst erste Konsequenzen.
Danke für die Info.
Die gewieften Hacker sind manchmal leider schon einige Schritte weiter als die träge Bürokratie.  Cheesy
Gut, dass es daher engagierte Leute im CCC gibt.  Smiley
legendary
Activity: 1078
Merit: 1307
Nun liefert der Chaos Computer Club erneut einen handfesten Beweis, wie unsicher das Video-Ident-Verfahren ist.

War ja eigentlich nur noch eine Frage der Zeit bis dieser Nachweis erbracht wurde.
In Zeiten von perfekten Deep Fake Videos habe ich schon lage damit gerechnet gehabt das Video-Ident als überlistbar angeprangert wird. Das dies jedoch mit sehr simplen Mitteln möglich ist, hätte ich so auch nicht erwartet.
Auf jeden Fall wurde dies jetzt ernst genommen und es erfolgten die ersten richtigen Reaktionen. Z.B. haben alle Krankenkassen in Deutschland eine Verfügung der gematik erhalten das Video-Ident Verfahren nicht mehr zu nutzen.
legendary
Activity: 2226
Merit: 6947
Currently not much available - see my websitelink
Dem Chaos Computer Club ist es erneut gelungen, die Schwachstellen des unsicheren Video-Ident Verfahrens aufzuzeigen.
Bereits in der Vergangenheit hatte der Chaos Computer Club das dubiose Video-Ident-Verfahren, bei welchem Identitätsdaten per Videoübertragung durch das Internet fließen, als äußerst unsicher kritisiert, was selbst durch den Bundesdatenschutzbeauftragten bestätigt wurde.
Dennoch passierte damals nichts und Video-Ident wurde nicht verboten.

Nun liefert der Chaos Computer Club erneut einen handfesten Beweis, wie unsicher das Video-Ident-Verfahren ist.

Besonders eklatant daran ist, dass dieser Angriff selbst "von einem interessierten Hobbyisten" durchgeführt werden könnte.

Quote
Nur geringer Aufwand

Dieser Totalausfall bestätigt nun, wovor Datenschützer und das Bundesamt für Sicherheit in der Informationstechnik (BSI) seit langem warnen, jedoch bei der Bundesregierung und der Bundesnetzagentur auf taube Ohren stießen. Deren Ausrede lautete: „Der Bundesregierung sind bislang keine konkreten Sicherheitsvorfälle zur Kenntnis gelangt.“ Einen konkreten Sicherheitsvorfall liefert der CCC hiermit gern und meldet somit Handlungsbedarf an.

Der Angriff ist von einem interessierten Hobbyisten und erst recht von motivierten Kriminellen in kurzer Zeit und mit geringem Aufwand ausführbar. Daher ist das Risiko des weiteren Missbrauchs als hoch einzuschätzen.


Video-Ident wird trotz seiner bekannten Unsicherheit von vielen Kryptoanbietern für KYC genutzt, um Kosten zu sparen.
Bezahlen müssen dafür die Nutzer (sofern sie so naiv sind und Video-Ident nutzen), indem die Nutzerdaten oft ins Darknet abfließen.

Der Chaos Computer Club fordert, das unsichere Video-Ident Verfahren zu verbieten, indem unsichere Systeme garnicht erst auf den Markt kommen dürfen (Beweislastumkehr, dass die Technik sicher ist)

Quote
Der Chaos Computer Club empfiehlt

Es wird Zeit für ein Ende der Beweislastumkehr: Nicht die Betroffenen sollten Schwächen der Systeme nachweisen müssen, die Verfahrensbetreiber sollten vielmehr verpflichtet werden, deren Sicherheit nach anerkannten Regeln zu belegen.

Die Erfüllung bestehender und neuer Anforderungen sollte künftig durch unabhängige Tests unter realen Angriffsbedingungen regelmäßig nachgewiesen werden. Insbesondere bedarf jede Aussage zur Wirksamkeit von Gegenmaßnahmen gesicherter Evidenz. Die bloße Behauptung, man habe etwas KI drübergesprenkelt, darf nicht mehr ausreichen.

Es empfiehlt sich zudem, bereits die Empfehlungen des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit zu beachten, bevor in einfacher Weise durchführbare Angriffe praktisch demonstriert werden. Dieser hatte nämlich den Einsatz von Video-Ident zur Absicherung von Gesundheitsdaten überall dort für datenschutzrechtlich unzulässig erklärt, wo sehr hoher Schutzbedarf besteht – und das bereits 2020.



Der Chaos Computer Club hat bereits in der Vergangenheit mit fundierter Kritik das dubiose Video-Ident-Verfahren auseinander genommen: https://media.ccc.de/v/35c3-9616-circumventing_video_identification_using_augmented_reality

Originalartikel des Chaos Computer Club: https://www.ccc.de/de/updates/2022/chaos-computer-club-hackt-video-ident
Weiterführende Links als Referenz am Ende des Originalartikels.
Jump to: