WIFIonICE, das WLAN-Netz in den ICE-Zügen der Deutschen Bahn, ist weiterhin anfällig für Angriffe von außen, kritisiert der Chaos Computer Club (CCC). Durch eine Sicherheitslücke können Angreifer private Informationen der Nutzer wie den Standort, die MAC-Adresse und das verbrauchte Datenvolumen auslesen.
Kann deiner Logik nicht folgen.
Wenn ich aus dem ICE-WLAN Webseiten besuche - können die meinen Standort offenbar bestimmen.
Was hat das damit zu tun, ob man den ICE sehen kann?
Durch eine Sicherheitslücke können Angreifer private Informationen der Nutzer wie den Standort, die MAC-Adresse und das verbrauchte Datenvolumen auslesen.
Hui! Ich dachte, dass man durch die Sicherheitslücke die Codes für die US-amerikanischen Atomwaffen bekommen könnte oder etwas ähnlich wichtiges Jedes Datenleck ist ärgerlich, aber diese "Lücke" ist absolut lächerlich. Für problematischer erachte ich eher die Tatsache, dass permanent in ICEs geklaut wird, es teilweise nicht genügend Sitzplätze gibt und die Toiletten nicht geputzt werden.
Ich nutze bei solchen Hotspots sowieso immer einen VPN Dienst, welcher meine Verbindungsdaten verschlüsselt.
Funktioniert denn mittlerweile das WLAN gut? Meine letzte Fährt vor zwei Jahren war der Horror...
PS:
Ist der CCC echt so unflexibel, dass man öffentlich Kritik üben muss? Der CCC sollte sich mit den Entwicklern bei der Bahn zusammensetzen, denen ausführlich die Lücken zeigen. Schon kann man beginnen das Problem zu fixen.
Junge junge, in welcher Welt leben wir, dass für solche unwichtigen Lücken solch ein Aufriss gemacht werden muss?! Schlimm!
Natürlich ust das eine "Lücke" und ich finde, man muss auch beachten - was hier in den Kommentaren nicht wirklich getan wird - , dass sowas auch kritisiert werden muss, sonst bleibt sowas dauerhaft so und weitet sich immer mehr aus.
Für mich stellt die Lücke allerdings keine Bedrohung dar
also die Wichtigkeit des Themas wird von der Community hier gefährlich unterschätzt. Ähnlich wie in folgendem Video werden die weltweiten Folgen, völlig außer gelassen:
Naja, die haben da 100 Mio+ für ihr Netz ausgegeben aber scheinbar nur 10.000 für die Software (oder da hat jemand einen Reibach gemacht). Wenn dich das nicht annervt: wie wärs denn wenn mal Computerbase zufällig den entsprechenden iframe einbindet und du bist nach jedem Seitenaufruf erstmal offline?
Wobei diese Privacygeschichte ja noch weitergeht, lass doch mal einen glücklich verheirateten Menschen auf dem Weg zur anderen Liebsten sein und die Ehefrau hat Verdacht und schickt dem nur einen Link -> wieso fährst du da nach X, dachte du fährst nach Y?
Ganz ehrlich: die Angriffe sind begrenzt, aber wie lang noch? Wird doch nicht lang dauern da wollen die mit dem Netz mehr, bezahlen lassen zb, und spätestens da will ich das nicht nutzen, von daher schön dass das schnell ans Licht kam und schade dass sich die Bahn einen Kehricht drum schert.
Ergänzung ()
estros schrieb:
Funktioniert denn mittlerweile das WLAN gut? Meine letzte Fährt vor zwei Jahren war der Horror...
PS:
Ist der CCC echt so unflexibel, dass man öffentlich Kritik üben muss? Der CCC sollte sich mit den Entwicklern bei der Bahn zusammensetzen, denen ausführlich die Lücken zeigen. Schon kann man beginnen das Problem zu fixen.
Junge junge, in welcher Welt leben wir, dass für solche unwichtigen Lücken solch ein Aufriss gemacht werden muss?! Schlimm!
Ja klar, der Konzern der 100Mio+ in die Infrastruktur gesteckt hat, ist für sinnvolle Kritik zu haben. In so einer Welt hätten wir schon Grundeinkommen und Sozialismus X) Und sooo unwichtig ist das jetzt auch nicht: die haben ihre _Infrastruktur_ _komplett verkackt_, da gibts nichts schönzureden. Und wer weiß was die in 15 Jahren mit der selben verkackten Infrastruktur anstellen möchten. Imho gibts da nur einen Weg, nämlich die Anmeldung mal komplett neu bauen lassen, von halbwegs fähigen Menschen...
Man kann in einem Hotspot Daten von andern auslesen? Och Gott das ist ja was noch nie da gewesenes.
Wer hätte gedacht dass ein Kostenloser Hotspot doch nicht so sicher ist wie das Heimische WLAN
Ist der CCC echt so unflexibel, dass man öffentlich Kritik üben muss? Der CCC sollte sich mit den Entwicklern bei der Bahn zusammensetzen, denen ausführlich die Lücken zeigen. Schon kann man beginnen das Problem zu fixen.
Junge junge, in welcher Welt leben wir, dass für solche unwichtigen Lücken solch ein Aufriss gemacht werden muss?! Schlimm!
Das haben die ja getan. Im Oktober. Da hat die Bahn bzw. deren Subunternehmen dann verkündet: Lücke geschlossen. Das ist sie nicht, sondern die gleiche Lücke besteht immer noch. Einfach mal die Originalartikel lesen, und verstehen worn die Lücke besteht.Ist ganz einfach.
Ergänzung ()
Blueztrixx schrieb:
Man kann in einem Hotspot Daten von andern auslesen? Och Gott das ist ja was noch nie da gewesenes.
Man kann in einem Hotspot Daten von andern auslesen? Och Gott das ist ja was noch nie da gewesenes.
Wer hätte gedacht dass ein Kostenloser Hotspot doch nicht so sicher ist wie das Heimische WLAN
ich finde es erstaunlich, wie wenig sachlich hier mit guter Kritik umgegangen wird. Und noch schlimmer finde ich, wie wenig Ahnung und Bewusstsein in einem Computer-Forum für derartige Sicherheitsmängel vorhanden ist.
Es geht hier darum, dass man gute 100 Mio. Euro in eine Infrastruktur gesteckt hat, bei der man explizit auf unsichere Techniken zur Datenübertragung setzt. Man kann in der IT leider davon ausgehen, dass wenn es an einer Stelle so eklatante Mängel gibt, diese Mängel auch an anderer Stelle zu finden sind. Die Folgen einer solchen Schlamperei sind im ersten Moment gar nicht zu überblicken.
Um einmal den Originalartikel zu zitieren:
Nachdem ja wie gesagt Cross-Site-Requests via AJAX aus Gründen der Sicherheit nicht funktionieren, gibt es natürlich findige Köpfe, die das nicht akzeptieren wollen. So entstand wohl JSONP. JSONP setzt man üblicherweise dann ein, wenn man Infrastruktur verbockt hat und sich irgendwie doch noch funktionierende Software zurechtbasteln möchte. Dabei werden keine AJAX-Requests mehr durchgeführt sondern stattdessen einfach JavaScript-Inhalte von externen Seiten mit eingebettet und ausgeführt. Diese Scripte rufen dann eine Callback-Funktion mit den gewünschten Daten auf. Dieses Konzept beinhaltet so viele potentielle Probleme, dass es einem einfach auf die Füße fallen muss.
Das ist ein grundsätzliches Problem. Und wie gesagt: wenn man als Webentwickler Begriffe wie "JSONP", "Cross-Site" und "100 Mio. Euro" in einem Satz lesen kann wird man einfach stutzig.
Glück im Unglück ist, dass es aktuell "nur" diese eher unbrisanten Daten sind. Aber ihr glaubt doch nicht wirklich, dass man da nicht einen ganz furchtbaren Moloch an solchen Kontrukten in der Infrastruktur finden wird, wenn man mal ein bisschen tiefer geht und weiter sucht, oder doch?
ein Smartphone nutzen dort noch watsapp und Facebook installieren und dann sich über Sicherheitslücken aufregen ist doch schon ein Widerspruch in sich
watsapp und Facebook sind doch schon die größten Sicherheitslücken!
Ist so als würde ich ne Reise bei "Happy Bus" mieten weil die gratis Getränke versprechen und dann gibt es 3 0,5L PET-Flaschen für 60 Leute. Kein Weltuntergang, aber Kunden bindet man so nicht.
mark076 schrieb:
ein Smartphone nutzen dort noch watsapp und Facebook installieren und dann sich über Sicherheitslücken aufregen ist doch schon ein Widerspruch in sich
watsapp und Facebook sind doch schon die größten Sicherheitslücken!
Auch wenn das die Anti-Whatsapp und Anti-Facebook Gruppierungen nicht verstehen (wollen). Es ist ein himmelweiter Unterschied ob ich etwas freiwillig abgebe oder ob es mir hinterrücks entzogen wird.
zitat von TrueAzrael
Auch wenn das die Anti-Whatsapp und Anti-Facebook Gruppierungen nicht verstehen (wollen). Es ist ein himmelweiter Unterschied ob ich etwas freiwillig abgebe oder ob es mir hinterrücks entzogen wird.
auch wenn das die watsapp und facebook fans nicht verstehen wollen. es ist ein himmelweiter unterschied ob diese meine Daten oder die Daten meiner Freunde/Kollegen die mir die Daten im glauben das ich verantwortungsvoll damit umgehe gegeben habe auslesen.
facebocc und watsapp gehören gesezlich verboten! es giebt telegramm oder twitter um nur zwei der vielen alternativen zu nennen.
Naja, die haben da 100 Mio+ für ihr Netz ausgegeben aber scheinbar nur 10.000 für die Software (oder da hat jemand einen Reibach gemacht). Wenn dich das nicht annervt: wie wärs denn wenn mal Computerbase zufällig den entsprechenden iframe einbindet und du bist nach jedem Seitenaufruf erstmal offline?
dann besuch ich CB erst wieder wenn sie ihre Seite von dem Schadcode bereinigt haben
mambokurt schrieb:
Wobei diese Privacygeschichte ja noch weitergeht, lass doch mal einen glücklich verheirateten Menschen auf dem Weg zur anderen Liebsten sein und die Ehefrau hat Verdacht und schickt dem nur einen Link -> wieso fährst du da nach X, dachte du fährst nach Y?