Sponsored Security Research

Hack The World

01

Durchbrich die Technologie, schreibe Opensource und gewinne eine Belohnung!

Die Technologien sind elementarer Bestandteil unseres Lebens – sie speichern oder, nutzen unsere Personaldaten und private Informationen und helfen, diese mit Partnern auszutauschen. Technologische Veralterung, unsichere und nicht ausgereifte Entwürfe oder zu hohe Komplexität führen zu Lösungen mit Sicherheitslücken, die direkt ausnutzbar sind.

Wussten sie, dass:

  • ihre GSM-Gespräche kann anonym mit Anlagen abgehört werden, die billiger als 2000$ sind?
  • Der A5/3 Schlüssel, der in der 3G-Kommunikation eingesetzt wird, ist auch schon entschlüsselt worden! ?
  • RFID-Chipkarten Mifare Classic sind in der ganzen Welt als Strassenbahnkarten, Hochschulausweise ISIC, Parkkarten oder Eintrittskartenin Gebäude und Schwimmhallen stark verbreitet. Diese sind schon vor einigen Jahren entschlüsselt worden und immer noch im Einsatz. Jeder in der  Umgebung kann die Karte komplett lesen (einschliesslich Name und Nachname), ändern, kopieren oder völlig zerstören?
  • Der Hitag2 Chip, der in Autoschlüsseln von Renault, Opel, Peugeot und Citroen benutzt wird, ist entschlüsselt worden?
  • Der KeeLoq Schlüssel, der bei Chrysler, Daewoo, Fiat, General Motors, Honda, Toyota, Volvo, Volkswagen und Jaguar eingesetzt wird, kann innerhalb von 2 Tagen entschlüsselt werden?
  • Alle aufgeführte Technologien sind immer und ständig in Betrieb oder werden im Betrieb eingesetzt. Die Entwickler und Distributoren setzen voraus, dass die Drohungen teoretisch sind, praktisch nicht realisierbar sind und vernachlässigen damit die Sicherheit mit dem Ziel, Kosten zu sparen?
  • Dieser Zustand bedroht die privaten Daten von Personen und spielt der Kriminalität zu, die diesen Zustand für ihre eigenen Ziele ausnutzen kann?

Die langjährige Praxis in der IT-Sicherheit auf der ganzen Welt zeigt, dass eines von wenigen wirksamen Mitteln, die Nutzer und Produzenten veralteter Anlagen und Technologien zu Änderungen zu zwingen , die Veröffentlichung eines sogenannten „Proof-Of-Concept“ ist – d.h. eine funktionelle Vorführung, wie die Sicherheitslücken ausgenutzt werden können.

Die IT Security Gesselschaft Nethemba, die sichere Technologien and Open Software unterstützt, hat sich entschieden, auf jedes Entwicklungs- und Implementationsprojekt, das durch praktische Demonstration Sicherheitslücken löst, eine Summe von 500 bis 2500€ zu spenden (in Abhängigkeit von den Technologien und der Komplexität der Lösung).

Die Implementierung kann in verschiedenen Programmiersprachen geschrieben werden, solange die Schnittstelle zur Zieltechnologie keine konkrete Programmiersprache erfordert (C oder Java).
Die Implementierung wird unter der freien Lizenz GNU GPLv2 veröffentlicht (im Falle gegenseitiger Vereinbarung kann auch andere freie Lizenz benutzt werden).

Lösungszielgruppe:

  • Studenten der technischen Hochschulen (ein Thema für eine Diplom- oder Bachelorarbeit)
  • Mitgliedervon  Hackergruppen
  • Jeder Mensch mit genügend Freizeit, Begeisterung und Kenntnissen

Unterstützung durch Nethemba:

  • Komplette finanzielle Projektabdeckung, Einkauf und Lieferung der speziellen Hardware
  • Projektführung, technische Hilfe und Konsultation durch unsere Angestellten
  • Verbindung mit Kommunitygruppen – zu anderen an diesem Projekt  Beteiligten und zu Forschern auf diesem Gebiet

Bedingungen der Entgeltauszahlung:

  • Das Entgeld (500-2500€) wird nur für die erste funktionsfähige Projektlösung ausgezahlt
  • Es ist möglich, an einem Projekt zusammenarbeiten. Dann wird das Entgelt zwischen den einzelnen an der Lösung Beteiligten geteilt.
  • Die Implementierung muss als freie Linzenz veröffentlicht werden

Gültigkeit der Aktion:

  • Bis zum Widerruf durch Nethemba

Liste gesponsorter Projekte

02

Integration der MFOC und MFCUK Werkzuege, Gewinn, Optimalisierungn und Verbesserung der Werkzeuge für die Ermittlung der Schlüssel von Mifare Classic Karten

MFOC MFOC stellt eine offene Implementierung dar, die durch Nethemba entwickelt wurde und die zum Mißbrauch der Mifare Classic Chip Karten durch Ausnutzen der Sicherheitslücken „nested authentication“  dient.
MFCUK stellt eine andere Implementation dar, die zum Mißbrauch der Mifare Classic Karten dient und die Andrei Costin entwickelt hat. Das Projektziel ist die Integration von Werkzeugen für die Zugriffsanalyse und die Analyse von  Zusammenhängen zwischen UID Blöcken, Schlüsseln und Zahlen mit dem Ziel der Akzeleration der Attacke und des Einbruchs . Es wird ein robustes Werkzeug für die Ermittlung des Verschüsselungscodes für Mifare Classic Karten entwickelt.

Entwicklung eines Werkzeuges für eine 100%ige Emulation der Mifare Classic Karten mittels Nokia Telefongeräten mit NFC Fähigkeit (6212, 6131)

Das Projektziel ist die Entwicklung eines 100%igen Emulationswerkzeuges für Mifare Classic Karten auf Nokia Geräten mit NFC Fähigkeit. Mittels Reverse Engineering ist es möglich, eine UID Emulation zu bilden. Die andere Möglichkeit ist die Bildung  einer eigenen Applikation mittels Implementation von GCF (Generic Connection Framework) ohne der Notwendigkeit, die Nokia Geräte zu benutzen. Außerdem ist es notwendig, eine GUI Applikation zu entwickeln, die den mfd-Dump übernimmt (diese ist durch unsere  MFOC) Werkzeug entstanden) und diesen Dump auf Nokia NFC-Geräten (6212, 6131)  interaktiv emuliert.

Überprüfung der Sicherheitslücken der Lesegeräte der slowakischen Reisepässe

Das Projektziel ist die Entwicklung eines Werkzeuges, das den slowakischen Reisepass nach MRZ Code und ohne Fingerabdruck des Inhabers (EF.DG3) liest und ohne „Active Authentication Public Key Info“ (EF.DG15) eine nicht komplette Nachbildung darstellt (ohne EF.DG3 und EF.DG15) sowie eine Darstellung auf Nokia NFC Handys oder auf Chipkarteen vom Typ NXP JCOP41 v.2.2.1 72K RANDOM_UID ermöglicht.  Ein Teil des Projektes ist die Beurteilung, ob eine solche nicht komplette Nachbildung durch den offiziellen Leser der biometrischen Pässe anerkannt wird.

Mehr Informationen  – ePassport emulator , thC-ePassport.

Implementierung des Einbruchs hitag2

Das Projektziel ist die Entwicklung einer funktionsfähigen Implementierung des Einbruches der Hitag2-Technologie (dieser Chip wird bei Autos von Renault, Opel und Peugeot benutzt) mittels SAT Solevers. Bei einer Implementierung ist es möglich, die Open-source-Implementierung MiniSat zu benutzen. Mehr Informationen über Einbruch – Breaking Hitag2 Hardware undBreaking Hitag2 Crypto.

Implementierung des Einbruchs Keelog

Das Projektziel ist die Entwicklung einer funktionsfähigen Implementierung des Einbruches der Keelog-Technologie (diese Verschlüsselung wird in Autos von Chrysler, Daewoo, Fiat, GM, Honda, Toyota, Volvo, Volkswagen Group, Jaguar benutzt). Mehr Informationen in – A Practical Attack on Keeloq I, A Practical Attack on KeeLoq II, A Practical Attack on Keeloq (paper).
Eine Möglichkeit, die Keelog-Kommunikation mittels  USRP2/GNURadio auszulesen.