============== Page 1/1 ============== :e 1 e.; f ' t e e • CW-Unifr. Keßheit e CW-13ericht, Claudia Marwede-Dengg JiONN/BraTIN— Vorläufig letzter Akt im Verwirrspiel um das Hamburger Hackerspektakel: Die Pest hat festgestellt, daß der Chaos Computer Cl ab (C.:CC) nicht durch den — vorhandenen — Programmfehler an Kenne:1g und Paßwort des Btx-Anschlusses der Hamburger Sparkasse (Haspa) gac.;7.A gt V i e ! m e . h r sei zu vermuten, daß der CCC beides auf einer öffentIlelea. Btx-Vorf Ehrung der Haspa „ausgespäht" hat. Immerhin Ist es aber den Chaoten gelungen, auf diese Webe sich selbst und das neue Medium in C!e Schlagzeli en zu bringen. Die Bundespost selber hat freilich Gleichzeitig verwies das Ministe— und nicht zum ersten Mal — durch rium aber auch darauf, daß es sich ihre Informationspolitik mit dazu bei- bei dem Btx-Anschluß der Haspa um getragen, daß Bildschirmtext neuer- .einen_Voriühranschluß handele, der )ich ins Gerede gekommen ist. Einen '5_freizürngiej geschaltet u n d s o m i t Tag nach der Macker-Dernonstration nicht ü b e r Ansclalußkennung u n d in der ZDF-Sendung „Heute Journal" Paßwort geschützt war, sondern nur mußte sie einen Softwarefehler (IBM- durch das persönliche Kennwort. Im Spraclnegelung: „eine isolierte Pro- Zusammenhang m i t d e m „Seitenüberlauf" — so Eric Danke, Btx-Vergrammsituation") einräumen. r ülfteriti er, 6 ü h n i f E r ä Z t ä antwortlicher im Postministerium — habe nach dem damaligen Wissensstand „die theoretische Möglichkeit" bestanden, daß die Hacker tatsächlich auf diese Weise in den Besitz des Paßwortes gelangt seien. Die Chronik der Ereignisse, wie sie sich dem unbefangenen Beobachter jetzt darstellt: Am 12. November meldet ein Berliner Btx-Anbieter der Post, daß beim Abruf einer bis ins letzte Bit vollgepackten Seite plötzlich die Adresse eines i h m völlig fremden B t x -Teilnehmers erschienen sei. Daraufhin versucht das Fernmeldetechnische Zentralamt (FTZ) in Darmstadt nach Auskunft von Danke den Fehler zu Fortsetzung auf Seite 2 »Cri I e . . 14.Dezember1984 Fortsetzung von Seite 1 r..7,1,", re ut, -zag,crArr,1 Fi/Tgnm-r.( : ii414% o t 4 t .2,;t7 e t ese,.9 reproduzieren. Ergebnis: M a n stößt auf T e i l e v o n Te i l n e h m e r s e i t e n , nicht jedoch auf persönliche Kennwörter v o n Teilnehmern. D i e Post vermutet zunächst einen Datenbank. fehler, was sich jedoch als nicht richtig erweist. Der B e r l i n e r A n b i e t e r, d e r d e n Fehler entdeckt hatte, k e n n t einige Mitglieder d e s C h a o s C o m p u t e r Clubs. Telefonisch berichtet e r den Hamburgern von den Programmfehlern. e A m 15. November hält CCC-Mitglied - W a u ' Holland auf der .Dafta' in K e e n e i n e n Vo r t r a g ü b e r d i e Schwe : hen des Btx-Systems und darüber„ wie dieses z u überlisten sei. Nach d e r detaillierten Schilderung des Softwarefehlers w a r m a n sich, wie Danke i m nachhinein bekennt, spätestens jetzt bei der Post darüber im klaren, .daß etwas passieren mußte'. • A m 16. November, einem Freitag, und am darauffolgenden Wochenende wurde im FTZ alles darangesetzt, den Fehler ausfindig zu machen. o A n i Montag, den 19. 11., sperrt die Post die m i t dem Fehler zusammenhängenden Systemfunktionen. Systemlieferant I B M w i r d aufgefordert, umgehend f ü r A b h i l f e z u sorgen. D i e s geschient Danke zufolge noch am gleichen Tag. A m nächsten 1 ag prü.' d i e Post die neue Softwareversion und verteilt diese dann noch am Mittag im Btx-Netz. Ebenfalls am Montag — und zwar um 8.30 Uhr morgens — haben sich .Wau" H o l e . n d u n d seine M a n n e n beim Stellvertreter d e s H a m b u r g i schen Datenschutzbeauftragten a n gesegt, um die am Wochenende gewonnenen .Erkenntniese- ü b e r d i e Schwachstellen im Btx-System zu demonstrieren. D i e Sache h a t a l l e r, dings e i n e n Haken: D e r Computer Club kann den Fehler nicht reproduzieren. 2 , s .r e e. 0 % 19.. 1 1 p e p 0. ,5Eis.,0L äUü e d d gen S e i t e n gesammelten A b r e c h nungsdaten f e s t , d a ß d i e H a c k e r nicht n u r m i t d e m persönlichen Kennwort der Haspe gearbeitet hatten, sondern auch m i t deren Kennung. Da aber nach Auskunft des Ministeriums die beiden Sicherungsmechanismen in getrennten Dateien gehalten werden, hätten trotz des festgestellten Softwarefehlers u n m ö g lich Paßwort und Kennung auf ein und derselben Seite auftauchen können, w i e d i e C h a o t e n i m m e r b e hauptet hatten. Sie mußten also auf andere A r t und Weise an die beiden Dinge gekommen sein. Dazu Heinz raste. tfi w V i r e / 7_13 N Date,. izji.L. die Zitzetiel- Erwin R i e m a n n , G e s c h ä f t s f ü h r e r der Bildschirmtext-Anbieter-Vereinigung e. V., Berlin: ‚Der CCC hat den Softwarefehler, d e r zweifellos vorhanden war, als Aufhänger genommen, u m zu demonstrieren, daß das System n o c h n i c h t f e h l e r f r e i l ä u f t und was man damit machen kann. Im Grunde genommen waren es jedoch zwei völlig getrennte Dinge, die da vermengt wurden.Tatsächlich i s t es nach A u s k u n f t Post prügle erst nach von Btx-Experten i n einem bestimmten Fall — und ohne eine -freizügige' Fehl rbehebung genauer Schaltung — n i c h t s o n d e r l i c h Ahn Montagabend f l i m m e r t d a n n schwer, gegenüber dem Btx-Pechaar im Z D F -Heute-Journal d i e Hacker- der Post i n die Identität eines andeinszenierung, dieses M a l allerdings ren Teilnehmers zu schlüpfen und zu in d e r W o h n u n g einee C C C • et- dessen Lasten etwa gebührenpflichgeeds aufgenommen, fe - r die 1-eatt- tige Seiten abzurufen. seheibe. Voraussetzung dafür ist zum einen os A m Dienstag, den 20. November, sieht sich die Post auf Grund der Er- ein Anschluß. d e r n i c h t ü b e r eine Btx-Anschlußbox m i t automatischer mg, eese des vorangegangenen Tages -unter Z u g z w a n g gesetzt" ( 0 -Ton Hardware-Kennung , v e r f ü g t , s e c Eric Danke) und beeilt sich, die be- dern der m i t dem Modem D 1200 S reits erwähnte Stellungnahme zu for- und e i n e r Software-Kennung arbeitet. Hierbei müssen Kennung u n d mulieren. Erst danach und nachdem die neue Paßwort per Hand eingegeben werSoftware Iris Netz geschleust werden den. ist, prüfe.. d i e Bundespost d i e V o r Voraussetzung Nummer zwei: Der kennuni . e genauer — und stellte an- betreffende Hex-Teilnehmer läßt sich hand ih= r f ü r die gebührenpflichti- bei seiner Identifizierung gegenüber J i m Ges( schart heseh sonders automatisc: ten Zeitpun lisiert." I m Umfrage zu Dr. Eberha führer d e GmbH, d i . Rauch weil als Symbol gegen eine Welt sehen ten sich 33 an der grö me, die von CHE h i s l r (-Man stell seen blühte " [ f e i Ae; et-b2 L A FTZundVDE gr27 Integriertes Ni- • dem System . ü b e r d i e Schulter sehen' u n d gibt damit unbeabsichtigt aufmerksamen B e o b a c h t e r n G e l e genheit, sich Kennung und Paßwort zu merken. Dieser fahrlässige Umgang m i t d e n Sicherungsmechanismen ist vor allem bei den sogenannten Vorführanschlfusen häufig anzutreffen. Chipkarten-Befürworter hätten Nutzen Im vorliegenden F a l l b l e i b t aber noch die Frage des .Cul b o n o r. Abgesehen v o n der bundesweiten Publizität, die sich die CCC-Mitglieder durch Ihren Coup verschafft haben, könnten Nutznießer diejenigen sein, die das derzeitige Btx-System als imsicher darstellen wollen und als Abhilfe d i e beschleunigte Einführung der Chipkarte propagieren. In d i e s e m Z u s a m m e n h a n g e r scheint es mehr als bemerkenswert, dee Hacker - Wa u " H o l l a n d f ü r die K. . D a f t e v o n e i n e m Mitglied der veranstaltenden Gesellschaft für Datenschutz u n d D e t e n s i c h e r u n g (GDD) angeheuert w u r d e , d a s z u gleich auch bei der &-ientific Control eeeteenz Gelee: eeeeeee ; . r e c . p o l ner Dependance i n L o h n u n d Brot stehe SCS berät die Bundespost bei rlpr F.i n fühn a der Chipkarte. Aineemi.-zewz.722 JACX1g2-512N wehgrößter Eiersteller. In; Luchsfeld 5 -5060 Degisch Gladbach 1 Telegon (02204)5 3051-53- Tales 887798 IBM-PC-M(31g '84 Aus e i n e m W e r b e b r i e f d e r Computer-Partner V e r t r i e b s eeellschaft mbH. Hamburg; unter dem Motto „Große Computer Weihnachtsaktion 2 8 4 - 1 . C o i n puter-Partner bietet f ü r Sie und die Mitarbeiter ilues Hauses, auf vielfachen Wunesee s t a r k reduziert den ..3e1 PC' und den Jearieeste I f e i a l e t Cello Solange der Vorrat reicht!B e - stellen Sie sofort!