Ein Tüftler aus dem Umfeld des Stuttgarter Hackerspaces shackspace zeigte an den vergangenen beiden Wochenenden, wie mit einfachsten Mitteln ein kürzlich eingeführtes Sicherheitsmerkmal gegen Phishing von DHL Packstation Kundendaten ausgehebelt werden kann.

Die DHL Packstation erlaubt es mit DHL zugestellte Pakete zu jeder Tageszeit an einer Packstation abzuholen, auch ausserhalb der Öffnungszeiten von Postfilialen.  Lange Zeit war es möglich sich an der Packstation durch Eingabe seiner Kundennummer und einer PIN anzumelden.  Die “Kundenkarte” war optional.  Vor Kurzem machte DHL die Benutzung der Kundenkarte zur Pflicht.  Laut DHL Packstation Kundenservice sei dies eine Gegemaßnahme gegen Phishing, dem Ausspionieren und Kundennummer und PIN.  Kriminielle waren allen Anscheins nach über Phishing-Angriffe an die Kundennummern und PINs von DHL Packstation Kunden gelangt und konnten so möglicher Weise auf von diesen bestellte Pakete zugreifen.

Auf der Packstation Kundenkarte sind neben der Kundennummer auch der Name und eine weitere Zahl unbekannter Natur hinterlegt, wobei erste Versuche ergaben, dass lediglich die Kundennummer von Relevanz ist.  Alle Daten sind in dem für Magnetkarten unterschiedlichster Natur standartisierten Klartextformat abgelegt.   Mit geringstem technischen und finanziellen Aufwand (150 EUR) ist es möglich, beliebige Packstation Kundenkarten zu erzeugen.  Da die Kundennummer Teil der Adresse ist, an welche Kunden ihre Pakete zustellen lassen, ist es ein Leichtes an diese Nummer zu gelangen.  An die geheime PIN können kriminelle Elemente über den gleichen Weg wie zuvor gelangen, eine Phishing-Attacke.

Der Angriff, dokumentiert im Rahmen eines Vortrages (Folien) gehalten am Tag der offenen Tür des shackspace sowie auf der 10. Gulaschprogrammiernacht des Entropia e.V. in Karlsruhe, zeigt auf, wie sich Packstation Kunden nun in falscher Sicherheit währen.  Durch die von DHL eingeleitete Maßnahme, die Karte zur Pflicht bei der Anmeldung zu machen, wurde das eigentliche Problem nicht behoben.  Magnetkarten stellen kein Sicherheitsmerkmal dar, die Technik dahinter ist jedem zugänglich und für Kriminelle keinerlei Hürde.

Kunden der DHL Packstation sei nahegelegt auf keinen Fall online ihre PIN anzugeben.  Falls dies bereits geschehen ist, kann die PIN jederzeit über das Onlineportal der Packstation (packstation.de) geändert werden.

flattr this!

Der Tag der offenen Tür ist vorbei.  Vielen Dank an alle Besucher und Helfer!

In den kommenden Tagen werden wir die Aufzeichnungen der Talks online stellen, damit auch alle die leider nicht kommen konnten oder den Livestream verpasst haben, eine Chance haben das Programm zu genießen.

Fragen, Anregungen und Feedback jeglicher Art bitte direkt per Mail an hadez (at) shackspace.de

Hier schonmal ein Zufallsvideo aus der Partyvorbereitungsphase:

Vorbereitungen für den TdoT: Bug Resolved from shack e.V. Hackerspace Stuttgart on Vimeo.

flattr this!

Large Hackerspace Convention Episode II

„ein epic epic of epic epicness.“

Mehr Details auf: http://shackspace.de/lhcii

shackspace live!

Allgemein Juni 18th, 2011

shackspace will be streaming Open Door’s Day live via UStream.
Streaming will begin around 2:30pm (CEST, UTC+2) on Saturday June 18th. Please check the schedule for details.

Edit: Removed embedded stream and chat, the event is over :)

flattr this!

A while ago already, @h0uz3 (camera & editing) and @hdznrrd (as Dr. Nerd, Evil Genius and Alstair McFnord, Industrialist) decided to create a filmed tour of shackspace’s new location.  They’ve joined forces with @rel0c8 (as Armin) to bring you the following goody (in German):

Shackrundgang 2.0 Beta from shack e.V. Hackerspace Stuttgart on Vimeo.

Note: by now the lounge looks a lot better and there will be another video showing the tons of changes that happened since the video was shot. You can expect this some time after our opening party, which will be in a week from now on Saturday, June 18th.

Also, outtakes:

Shackrundgang 2.0 Beta – Die Outtakes from shack e.V. Hackerspace Stuttgart on Vimeo.

flattr this!