 Viele von uns sind zu diesem Kongress gekommen und wir haben alle Züge, Flugzeuge benutzt. Und habt ihr euch irgendwann mal gefragt, wie die Infrastruktur dieser Buchungssystem aussieht? Habt ihr euch schon mal gesehen, wie sicher diese Systeme sind? Karsten Null und Nemanja Nikodiewic. Ja, Karsten hat ein sehr tolles Repertoire von der Sicherheitsforschung. Er hat schon über GSM-Protokolle geredet und letztes Jahr über die Zahlungssysteme Sprach auf dem Kongress. Und zusammen mit Nemanja wird uns dieses Jahr seine Forschung zu Reisebuchungssystemen zeigen. Und vielleicht finden wir auch raus, wie wir umsonst nach Hause kommen. Bitte einen sehr großen Applaus für Karsten und Nemanja. Vielen Dank. Es fühlt sich immer toll an wieder da zu sein. Ich erinnere mich noch an das erste Mal, als ich hier auf dem Kongress gesprochen habe. Das war vor zehn Jahren und das ist jetzt zehn Jahre von Vorträgen auf dem Kongress. Zehn Jahre und zehn verschiedene Legacy-Systeme, wo wir nach Sicherheitsfirmen gesucht haben. Und dieses Jahr ein Reisebuchungssystem und die Schwachstellung darin. Der Unterschied zu den anderen Talks, die wir haben, wird diesmal weniger um Hecken gehen. Aber wir haben es dieses Jahr weniger, weil es weniger benötigt wurde. Also wir sind immer noch interessierteren. Wir reden hier über Reisesysteme und es gibt drei große Unternehmen in der kommerziellen Reisewelt. Es gibt die Airlines und dann gibt es Unternehmen, die einem helfen, das zu buchen, wie z.B. Expedia. Und natürlich die Broker, die sichestellen, dass man diese Sachen auch buchen kann. Das ist wirklich so, dass der backbone der Reisunternehmen, aber man denkt darüber nicht nach. Diese Systeme sind wirklich sinnvoll, weil sie diesen älter als das Internet sind. Sie kommen aus den 80ern. Es sind globale Disponsionssysteme. Es macht Sinn, diese Systeme zu haben, weil ein Sitzplatz auch in einem Flugzeug nicht mehr als verkauft werden sollte. Und natürlich sollten auch Airlines, die um sich zu stellen, das jenen Platz nicht doppelt buchen können. Und diese Systeme behindert drei Typen von Information. Das erste ist, die ihr wahrscheinlich am ehesten kennt, ist natürlich der Preis, z.B. die Airlines stellen ihre Preisliste rein. Das nächste Wichtigste darin ist Verfügbarkeit, also ob das Ganze gebucht werden kann, ob es in der Buchungsklasse gebucht werden kann. Und wenn jemand einen verfügbaren Sitz buchen kann, dann wird das Ganze in der Reservierung umgewandelt. Ihr habt wahrscheinlich schon ein paar Infektionen früher gesehen auf so Webseiten. Ich zeige euch mal die, die ich mag. Das sind die Matrix-Software, die vor allem in Google gekauft wurde. Aber wir haben ja noch selber Interface aus irgendeinem Grund. Aber hier kann man nach einem Flugs suchen, z.B. von San Francisco nach Hamburg. Und die Website wird das Ergebnis der Aussprache von verschiedenen Airlines. Was jetzt der Unterschied ist, von dieser Website ist, sie geben viel mehr Information, wer weiß, wohin man klickt. Man nimmt sich den billigsten Flug, mit dem man für neuer nach San Francisco kommt, was ich an diese Website mag. Man kann sich die echten Daten anschauen, die in den System gehalten werden. Es sieht aus wie aus den 70ern. Das wird normalerweise auf einem Terminal angezeigt, im hinten grünen Schrift auch schwarz im Hintergrund. Also man will natürlich für ein bestimmtes Datenbuch und das heißt, danach selektiert man und man nimmt natürlich alle Flüge, die in den Fall kommen, also alle Airlines, die es anbieten. Und es gibt natürlich noch andere Einschränkungen, die man dort eingeben kann. Z.B. wenn man kann und es steht z.B. drin, wie lange man wo bleiben kann, um dann weiter zu fliegen. Und es hat diese ganzen anderen Regeln da drin. Z.B. man kann dieses Ticket jetzt z.B. nicht studieren, aber man kann es umbuchen für den Aufpreis. Und das ist jetzt nur für einen Flug und es gibt natürlich 10.000 von diesen Dateneinträgen. Und was ich natürlich überrascht ist, es gibt kein Datenformat, das zu verfügen. Es gibt kein XML oder sowas. Und die Firmen schreiben dann also immer ein Paar so, um das Ganze darzustellen. Und wenn ihr versucht, irgendwas zu studieren oder zu ändern, dann kann man das nicht auf der Website ändern, sondern man muss sie anrufen und sie müssen das wirklich dann direkt nachschauen, weil sie haben das natürlich nicht automatisch verarbeitet. Und das ist das erste, was in diesem Datensystem gehalten wird. Das andere Teil, es ist ein bisschen schwerer, daran zu kommen. Expert Flyer ist der beste Anbieter dafür. Wenn man wirklich nach San Francisco fliegen will, zum Neue, kann ich das lauter machen. Und es gibt natürlich keine Verfügbarkeit für verschwindelbuches Klassen. Nur weil ein Preis verfügt wird, heißt das nicht, dass dieser Flug auch wirklich buchbar ist. Und man muss jetzt die ganzen Informationen zusammenfügen, um das anzuzeigen. Jetzt nehmen wir an und Xpedia hat das Ganze gemacht und es wird dann gebucht. Und dann gibt es den Pessenger Name Record in PNR. Das ist der SLB7080er Style wie davor. Aber es hat diese private Infektion drin. Zum Beispiel, das hier ist von jemandem, der sich sehr für Privatsphäre einsetzt und der das Ganze auf seiner Website veröffentlicht hat. Das muss man sich ganz anschauen können. Hier zum Beispiel die E-Mail. Da sieht man zum Beispiel, es gibt noch nicht mal den Add-Charakter, sondern einfach eine Escape-Version. Also es benutzt einen Charakter von Lochkarten. Also alles hier ist eine Sex-Bit-Buchstabe und es gibt keine Möglichkeit dafür, da ein Add-Symbol reinzubringen. Aber man möchte natürlich nicht, dass jeder auf diese Information zugreift, weil die sind wirklich privat. Die drei Hauptspiele in dem GDS-System sind Amadeus in Europa, Sabre in Amerika und Galileo, was jetzt TravelPod ist. Und es wird nicht so oft von Airlines benutzt, sondern es wird eher von Reisebüros benutzt. Sagen wir, wir gehen über Expedia und kaufen einen Flug nach Amerika, dann wird die PNI-Information in Amadeus geliefert. Weil wir von, gehen wir über Galileo hinein und wir buchen einen Flug über Lufthansa und Aeroflot, dann wird unsere Information in alle drei Systeme reingesteckt. Also wo die Information nachher hinkommt, die von uns kommt, hängt davon ab, in welchem Bereich die Airline selber handelt. Und wir wollten herausfinden, ob sie diese Informationen auch entsprechen, schützen können. Es gibt natürlich den Grund, dass sie das wahrscheinlich nicht können, weil es wahrscheinlich sehr alte Technik ist. Und es gibt wahrscheinlich keine großen Security-Upgrades, aber aus dem selben, aber zur selben Zeit gibt es auch die Vermutung, dass sie wirklich gut geschützt sind. Die PNI-Informationen über die Reisenden selber werden verteilt, werden von allen möglichen Regierungen angefragt. Zum Beispiel die US-Regierung versucht immer wieder, an Flugdaten von privaten Kunden hinanzukommen, seit dem 9.11-Anschlag. Man kann sich vorstellen, dass sie sicher genug sein sollen, dass wieder nicht dran kommen soll. Und wo selbst die US-Regierung nicht dran kommen sollte. Die Frage ist, ob jetzt die GDS-Systeme normale Standards-Sicherheit haben oder ob sie Sicherheit verhindern, ob sie Nutzer-Authentizien, ob sie Rate-Limiting haben gegen Anfragen und ob es Möglichkeit gibt, irgendwelche Missbrauchfests zu stellen. Und es würde natürlich das System stehen. Das ist anfangs zu ganz wichtig. Das ist jetzt einfach aus öffentlichem Feld. Es hat den privatsferienkämpfer in Kalifornien, der sagt, dass es schon Verstöße der Gegend gibt von vielen Menschen dort, die jeder Zugriff angenommen haben. Wir haben jetzt eine Flugbuchung. Jeder, der jetzt bei dieser Airline arbeitet, kann auf diese Information zu kaufen. Und jeder, der jetzt zum Beispiel an eine Autovermietung arbeitet, kann auch auf diese Anträge zugegeben. Und jeder Reiseberuch mit Arbeitern kann auch auf diese Daten zu greifen. Und wenn man immer mehr Informationen hinzufügt, haben alle diese Menschen immer noch Zugriff. Das ist, wie diese Systeme funktionieren. Und wie sie geplant waren. Aber das ist natürlich nicht, was ich als moderne Sicherheit verstehe. Die meisten Menschen, die für diese GDS-Filme arbeiten, haben einfach Zugriff auf alles. Also auch zum Beispiel die Support-Mitarbeiter von diesen Firmen, die helfen, das dem Backfrei zu machen. Die haben Zugriff auf die Daten von Millionen von Menschen. Die Sachen, die wirklich privat sind. Und viel zu viele Menschen haben viel zu viele Informationen. Zum Beispiel, die IP-Adress ist fast dauerhaft gespeichert. Aber alle Menschen können auf deine Email, das ist sogar für ein Telefon. Also das scheint auf jeden Fall keine... keine zu granulare Zugriffsprächtigungen zu sein. Und es funktioniert jedenfalls nicht mit dem GDS-System. Also jetzt zu benutzen, authentizieren. Das ist sogar noch schlimmer. Und ich möchte zwei Entscheidungen treffen. Also ich möchte professionellen Zugriff unterscheiden. Und der Zugriff von Privatpersonen auf die Daten. Professionelle greifen. Also der Normalsumstand ist, dass die Agentur zu einem der Systeme vom Verbot ist. Und dass alle Nutzer den selben Account benutzen. Und alle benutzen den selben Nutzer und passen, was vor Jahr gestellt wurde. Es gibt ein paar Reise-Dros, die nicht genug waren, sie dabei zu helfen. Und die Password, die sie uns gesagt haben, war einfach schrecklich. Also... Und das Passwort stand aus WS und dann im Datum. Und selbst, wenn man alle möglichen Daten ausprobieren muss, ist es mit dem Brutforst leicht zu knacken. Und das, um Daten von Millionen Menschen zu schützen, das ist wirklich schrecklich. Das war die beste Authentifizierung, die wir dort gefunden haben. Und es wird noch schlimmer mit Privatpersonen, die auf ihre Daten zu geben. Die geben einem noch nicht eine Password, sondern sie geben am stattdessen einen Booking-Code. Einen PNR-Lokator, das ist, wenn ihr nachdenkt, ein Buching-Code. Das ist das, was dann kommt, am Fluch. Und man hat nur den Nachnamen. Und wenn man das als Passwort benutzt, sollte man das geheim halten. Aber leider hält man das nicht geheim. Es wird auf praktisch alles gedruckt, was bei dem Flug dabei ist. Es hat den Nachnamen und immer den Buching-Code. Auch bei den Kossern. Auf dem Boarding-Karten war es dort, war es früher dort, dann ist es verschwunden und dann tauchte der Barcode auf. Aber jetzt ist es innerhalb dieses Barcodes. Ich habe es gelöscht, weil ich es noch benutzen möchte. Dieser Sexstellen-Code wird überall hin gedrückt und ihr könnt ihn überall finden. Ihr könnt ihn auf allen Müll in den Flughafen finden. Und viele Leute schmeißen den Boarding-Pass weg, wenn sie fertig sind. Und das ist der einzige Weg, wie sich die Reisenden identifizieren können. Dann kann man sehen, was für ein Missbrauch da nicht möglich ist. Dann lassen Sie uns erst darüber sinken, wo wir noch diesen PNA-Code finden können. Denkt einfach, dass jemand eurer Passwort auf den Papier drauf drückt, dass er am Ende eurer Reise weggeschmeißt. Was für bessere Technologie, denn eure Technologie zu schädigen, also an Instagram. Hier bekommt alle diese Buchungen. Das ist einer Typ hier. Hier war ein Typ, der die Information gelöscht hat. Aber für jemanden, der weiß, was losgeht, das sind hundert Jahre Informationen. Das ist alle Informationen, die ihr braucht. Wo war der Lufthansa noch? Hier. Hier ist ein Lufthansa. Er ist gepostet von Maki in Frankfurt. Das hier ist wirklich alles, was ihr braucht. Um jemanden ... Warte, Moment. Mal gucken, ob es funktioniert. Ja, es funktioniert. Maki-Emmon ist Instagram. Heißt Marquette-Mückel-Love. Das ist die Booking-Number. Ich habe mir überlegt, ob ich es zeigen soll. Aber ihr werdet es immer noch sowieso gut machen. Okay. Ein Flug nach heute von München nach Frankfurt und dann weiter nach Seattle. Ich möchte einen Punkt zeigen. Wo habe ich es gesehen? Die Ticket-Nummer? Einfach benutzen Mainz. Einfach benutzen Mainz. Einfach benutzen Mainz. Das ist Android. Lass mich das Passwort nicht erschreiben. Was ich zeigen wollte, ist, dass sie es noch nicht mal Lufthansa-Ticket hat. Sie hat nur mit Lufthansa eingecheckt. Und wenn ihr es auf die Ticket-Nummer schaut, ist es nicht so gut. Sie hat nur mit Lufthansa eingecheckt. Es hat auch Flugteame auf Alaska. Jedes Fluggesellschaft hat Zugriff auf all diese Informationen. Es gibt auch Leute, die Zugriff, wenn man das Flugteam nimmt, und die Nachnamen. Also, was ich um das fesseilen kann, Was ich um das noch festhalten. Also Flugflug-Linie geben euch ein sechsteckiges Passwort, was sie überall drauf drücken und was ihr zum Beispiel auf Instagram stellt. Warum solltet ihr nicht? Es macht ja auch hier eine andere. Also das Authentifikationsmodell ist einfach kaputt. Genauso wie die Zukunft. Natürlich kann man diese Flugnummer dazu benutzen, um sich über Einzelock-Tript zum Beispiel auf CheckMyTript und man hat die Kontaktinformation. Und es ist immer eine E-Mail-Adresse dabei. Es ist auch eine Telefonnummer dabei. Und wenn ihr es bei Lufthansa drauf klickt, wird noch eine Zahlungsweg-Fragen um die Buchung zu ändern, aber ansonsten kann man das wahrscheinlich ändern. Aber es stehen auch diese Informationen drin, Zahlungsinformationen, die hier einwandte Adresse und all diese Informationen ist jetzt einfach, kann man einfach drauf zugreifen. Und wir haben noch nichts gehackt, aber dafür haben wir nemanier, der zeigt, dass man nachher, was man wirklich hacken muss und wir dann noch tiefer reinkommen. Jetzt können wir den Bildschirm umschalten. Als wir angefangen haben, haben wir viele diese Buchungsnummer gefunden und haben versucht eine Korrelation daher darauf zu herzustellen. Es gibt Webseiten, wo man einfach eine Buchung machen kann und späte zahlen kann, aber es gibt die Buchungsnummer früher. Und jetzt nehmen wir einfach den Standard deutschen Namen und wählen Deutschland auf und sie kontrollieren die Telefonnummer. Das heißt, es muss dann passen. Hans at sandiego.com. Wie ihr sehen könnt, mache ich einfach irgendwelche Daten rein. So, für dieses haben wir schon unsere Booking-Referenz bekommen. Y, Y5, 6, H, O, Y, und hier bekommen wir gleich, wir müssen kurz warten, Y5, L, C, F4. Ihr könnt sehen, dass sie ziemlich ähnlich zueinander sind. Beide starten mit Y5, das heißt, sie wurden am selben Tag gebucht. Eines ist von Lufthansa, das andere ist von einem anderen Hersteller, deshalb sind es verschiedene. Aber wir sehen auf jeden Fall Konventionen, zum Beispiel das Y5 für den Tag. Was wir jetzt tun können, ist, wir können, nein, zuerst müssen wir etwas überprüfen. Wir hatten ein paar Probleme mit dem Netzwerk. Ja, das ist ein bisschen schade. Wir müssen leider diesen Teil überspringen, wo wir tatsächlich nach Carmen Sandiego suchen. Aber das ist der Seiteneffekt davon, wenn man den Firmen selber zeigt, passt auf, wir haben hier was rausgefunden. Hier ist ein Exploit, und Sie werden jetzt wahrscheinlich einfach darauf reagiert haben. Sie haben auch schon in der Vergangenheit mal die Webseite einfach abgeschaltet. Ich glaube, die ganze Webseite ist abgeschaltet. Aber was wir zeigen können, ist, wenn wir auf diese Booking-Nummer schauen, und wir gehen auf die AirBerlin-Webseite, und wir geben den Nachnamen ein. Und es muss UE sein, weil es Sexbit-Encoding ist, das kann keine Umlaute. So, jetzt haben wir die Security geschafft. Schauen wir mal, was passiert. Was er nicht gezeigt hat, ist zu zeigen, in welcher, was die Konventionen sind für diese Nummern. Also, wenn man rausfindet, welche Konventionen für welchen Tag benutzt werden, dann können wir jedes Ticket von diesem Tag anschauen. Natürlich hätten wir das auch geschafft, hätten Sie nicht die ganze Webseite offline genommen. Für diese Demo können wir auch einfach mit diesem Flugplatt machen. Wir werden es aber später zeigen. Also, erstes, was wir geschafft haben, ein Sieg für die Privatsphäre, es wird keine Infektion verraten. Lass uns noch eine. Ein Ding, das wir gesehen hätten, wenn das keine Reservation gewesen wäre, sondern ein echtes Ticket, dann hätten wir die Optionen gehabt, neu zu buchen, die Flugnummer anzuschauen. Was ist das Potenzial hier? Bis jetzt haben wir nur gesehen, dass die Privatsphäre eingegriffen werden kann. Es ist schlimm genug, wenn jemand einfach ein Bild von deinem Gepäck machen kann und über den Barcode sofort an deine ganze Information hinkommt. Aber das Potenzial, dies auszunutzen, ist viel höher. Man kann kostenlos fliegen. Du kannst das Ticket von anderen Leuten finden und einfach das Datum ändern. Wir haben sogar etwas vorbereitet gehabt, dass wir durch ein bisschen Brutforce einfach den Tag, an dem das Ticket fliegt, ändern können. Und wir können selber den Flug übernehmen, wenn die Airline nicht selber genau auf den Pass noch mal schaut, ob es funktioniert. Oft sind sie dir einfach eine PDF für den Flugpass und denken, die kannst du einfach ändern, deinen Namen reinschreiben und dann kommst du an Bord. Aber nehmen wir an, wir wollten tatsächlich ein Ticket für uns übernehmen. Es kommt darauf an, welche Airline wir benutzen, aber wir können die Airline anrufen und man kann das dann einen Refund angeben und das Ganze in dem PNR selber machen, ein neues Ticket buchen und alles selber bestimmen. Die Amerikaner kennen das jetzt mal, wenn ihr einen Flug nicht nehmen könnt, dann bekommt man eine Guthaben, gut beschrieben. Das sind MCOs, die basieren auf einer Flugstunierung. Und das Ganze passiert in dem ganzen System. Es gibt keine Passwerte darin, es gibt nur diese sechs Buchstaben. Man kann die Leute selbst auf ihre Instagram stellen. Und wo eine Mann jetzt zum Beispiel die Fähigkeit hat, die zu gut muss. Was kann man sonst noch machen? Man kann einen Meilen-Nummer. Manche Tickets, ja genau, viele Leute sammeln Meilen und für die Meilen, die man bekommt, kriegt man viel gut geschrieben bei den Airlines. Wenn man an diese Informationen kommt, kann man teilweise auch die Meilen-Nummer selbst bearbeiten, die auf dem Ticket ist. Das heißt, man kann bei der Airline einfach kostenlos unendlich viele Meilen einlösen und sich dafür Gutscheine oder irgendwelche Perks bei anderen Reisen freischalten. Wenn wir Zugang haben auf den PNR, dann können wir nicht einfach nur ihren Flug wegnehmen, sondern wir können ihn ändern. Man kann einfach neue Bonus-Mails hinzufügen und man kann so richtig viele Meilen sammeln. Es sind alle Flugländer davon betroffen in der Demo, die wir jetzt eigentlich zeigen konnten. Ruth Forst, den wir jetzt zeigen wollten, für die Airlines, die wir zeigen wollten, geht das für viele Personen, aber das hängt von der Airlines. Es gibt auch intelligente Airlines, die den letzten Namen und den ersten Namen haben wollen. Wenn man jetzt interessiert ist in einer speziellen Person, kann man die Person immer noch finden, aber wenn man jetzt jemanden betrügen will, dann wird es schwieriger, weil ein alltägliche Vornamen ist viel schwerer zu raten. Aber wie auch immer selbst Amerikanische Airlines haben Zugriff auf andere Websites. Das ist noch eine Standard-Website, die einem zum Beispiel lauben, nur mit dem Nachnamen und dem Vornamen darauf zuzugreifen. Es gibt also mehrere Wege auf die Daten zuzugreifen. Die anderen sind weniger sicherer. Was sie sagen, die Seiten haben einen Treffer gefunden, geben einem nicht Zugriff auf die Information, aber Tripcase würde es dann machen. Was man dort machen kann, ist mit Tripcase findet man den Vornamen raus und kann ihn dann in die amerikanische Website eingeben und dann darauf zugreifen. Es gibt all diese verschiedenen Möglichkeiten auf die Daten zuzugreifen, auf die persönlichen Informationen und jeder ist halt unterschiedlich. Aber wie sieht das Universum der Reiswebsite aus? Wie sehen wir das? Jede von ihnen hat 3 R6 Buchstaben. Booking Codes, die sind unterschiedlich zu den Airlines. Saber benutzt gar keine Nummer. Aber dann anderen, z.B. Amadeus, das sind 1 und 0. Amadeus ist zum Beispiel 0 und 1. Galileo schmeißt ein paar andere Buchstaben raus, aber am Ende benutzen sie noch nicht mal die volle Entropie der 6-stelligen Passwörter. Also haben die ganzen Punktes, weniger Entropie als ein 5-stelliges Passwort. Ich würde niemals jemandem empfehlen, ein kürzeres als 5-stelliges Passwort zu finden. Das nächste Problem ist, dass die Buchungen sequenziell geschehen und die Buchstaben auch sequenziell sind. Die meisten kommen aus dem selben, näheren Umfeld. Zum Beispiel werden nur an Buchungen, heute interessiert ist eine Person, kann man das alles heute, kann es in der Haltung Minuten erledigen. Aber bei Saber werden die Nummern zufälliger gewählt, aber hat auch weniger Entropie. Deswegen nimmt man trotzdem dann Saber, weil man am Ende weniger Entropie gesammelt hat. Die Schwachstellen unterscheiden sich in Grautönen, in der Privatsfernverletzung und in der Betrugsicherung. Aber ein Beispiel, wie leicht man diese Buchungskurz finden kann, ist, wenn man 1000 Buchungskurz nachschaut mit dem Nachnamen Smith und es kommen 5 zurück mit aktuellen Buchungen. Und 5% des ganzen Universums ist schon belegt. Und wenn man sich belegt, wie häufig diese Nachname ist, heißt es, das Universum ist sehr klein. Und das Problem ist, was Sie haben, Sie werden demnächst kein Platz mehr haben. Und Sie werden demnächst mal beheben müssen. Aber bis dahin wird es immer leichter werden, diese Buchung zu finden. Jeder, die es anbietet, hat eine Website, die die Möglichkeit gibt, alle PNASer draufzuzugreifen. Und man ruft eine Website, die man aufruft, die eigentlich nicht existiert von der Milchwüste, aber die trotzdem deine privaten Infektionen ausgibt. Aber es gibt sie, und sie sind halt schlecht. Und diese Seiten haben irgendein Schutz für Blutforst. Wir können 100 Millionen Kombination ausprobieren. Und diese Website werden sie noch nicht mal ein bisschen beschweren. Und wir haben am ADS ein paar Anfragen ausgesetzt als der anderen. Und die haben es dann dann irgendwann festgestellt. Und sie haben versucht, sich zu bessern. Die klassischen Suchmaschinen, die sind von ein paar Minuten zugemacht, aber die anderen Website haben noch funktioniert bis vor einer halben Stunde. Was ich die letzten Tage gemacht habe, ist, sie haben ein Capture hinzugeführt. Aber der Capture gibt uns ein Cookie und der Cookie kann dann für unendlich viele Anfragen genutzt werden. Das ist halt eine Firma, die davor noch nie Werbssicherheit gemacht hat. Aber sie haben auch die Anzahl der Anfragen beschränkt. Und wir haben das von Amazon gemacht. Das heißt, es ist nicht ganz so leicht neue IP-Adressen zu bekommen. Aber wir haben ca. 1.000 Anfragen pro IP-Adress angewendet. Und selbst wenn sie CheckMyTrip wirklich abgeregelt bekommen, das Problem ist, ich kann einfach die Lufthansa-Seite benutzen. Z.B. die Website in der Unterscheidung ist sicherlich ziemlich stark. Z.B. Lufthansa hat unterschiedliche Eigenschaften. Die Standewebsite hat einen Capture und die mobile Website hat 30 Anfragen pro IP. Das heißt, man kann die Anfragen angucken. Es wird ein bisschen schwieriger, aber die Mobile-Applikation hat es nicht. Eberlin hat ein IP-Filter drin, ca. 1.000 Anfragen. Und dann kommen die uns ja heute auf Capture umgestellt. Das zeigt ein bisschen, dass wir es erreicht haben. Vielen Dank für den CheckMyTrip. Eberlin, dass Sie über die Feiertage irgendwas dran gemacht haben. Und die anderen Systeme sind immer noch schlimm. Man kann sie immer noch so Blutforzen wieder vor. Bis auf den Zusatz bei der amerikanischen Fluglinge, dass man dort den Vornamen noch braucht. Und das ist ein Überblick hier. In meinem Konsulting-Worker habe ich nie in der Website gesehen, wo der erste Pende nicht immer gesagt hat, es hat keinen Red Limiting. Und ein Tag später hatten sie es dann. Das ist wirklich eine Katastrophe. Jetzt reden wir über das letzte. Missbrauchsszenario. Ich halte es wirklich für wichtig. Ich habe in den letzten Jahren auch immer menschliche Sicherheit gemacht. Aber das ist ein Problem. Hat man natürlich auch Dresden, dass man stellt euch das Szenario vor, wo ihr eine Buchung gemacht habt. Dann schickt euch eine E-Mail ein paar Minuten später. Wo drinnen steht, bitte aktualisieren Sie Ihre Kreditkarten-Infektion. Weil die Buchung nicht durchgefunden wurde. Ich hätte darauf geklickt und meine Kreditkarten-Infektion angegeben, weil Kreditkarten sind immer vieler als weg. Es ist möglich, dass man einfach hergeht und sich die Buchungsnummer anguckt und die neuen Buchung findet und die E-Mail-Adressen daraus zu lädt. Wir können aus den PNR-Records mit der Buchungsadresse alle Informationen holen, die wir brauchen, um eine gefälschte E-Mail aufzusetzen und rauszuschicken. Deswegen möchte ich, dass die Industrie das bitte schließt, dass die Bösheit des Internet nicht für Immignorieren wird. Es wird wahrscheinlich wirklich relevant sein und profitabel, das auszutun. Es gibt noch ein paar andere Spieler, die da in dem Markt mitmachen, die von Cetus, die das benutzen. Das wird zum Beispiel von Ernia und S7 benutzt. Sie sind noch schlimmer als die an der Busser-Systeme. Sie benutzen nur vier Code und eine der Stellen ist sogar fest. Hier haben wir keine Buchung. Er wird euch rein, Romanier und Pakistan näher zeigen. Ich merke, dass das alles zu GDS-Systemen verbindet ist. Das ist noch schlimmer als das, was wir sofort gezeigt haben. Ich denke, viele Leute hier fliegen mit Rainer. Die benutzen. Die benutzen. Sie benutzen. Die benutzen eine Firma, die von Amadeons gehört ist. Auf der Rainer... Hier könnt ihr nach der E-Mail-Adresse suchen, nach der Reservation-Nummer. Und nach den letzten vier Nummern, nach der Kreditkarte, die ihr für das Buch benutzt habt. Und so, wie sie keine Capture haben. Wir können einen Blick wagen. Wir wissen, dass die letzten vier Nummern von Carmen Sandiego sind. Und sonst können wir alle einfach alle 10.000 ausprobieren. Aber diese Art und Weise wissen wir. Es fängt an mit diesen Nummern. Das ist Brutforzen. In der Zwischenzeit lassen wir einen Blick an die Romanier-Nummer. Und die fragen nach der Book-Kügel-Nummer. Und nach dem Departure-Airport. Nach dem Abflug-Airport. Für Romanier... Nehmen wir einfach den Stand-Kühl-Kaffen. Das ist die Hauptstadt. Und dann gucken wir, ob wir jemanden finden. Und er probiert es einfach nur zu verlegen. Aber es ist noch ein bisschen schneller. Sonst ist das nur Brutforz. Und da gibt es keinen Capture. Das nächste? Das ist der Gewinner. Sie vertrauen dir, dass es ein Dubist. Und lass uns schauen. Wir haben schon einen. Wir haben einen. Und das ist wo? Das ist Reiner. Das ist Reiner. Aber... Wir verstecken letztens bei Nummern. Falls wir zufällig doch eine Buchung treffen. Mit den Kreditkarten-Nummern. Das ist ein Kreditkarten-Nummer. Das ist ein Kreditkarten-Nummer. Mit den Kreditkarten-Nummern, dass ihr das nicht seht. Wir haben auch einen von Pakistanien erwischt. Wir haben auch einen von Pakistanien erwischt. Und der Flug geht... Und hier kann man jetzt einfach die Reservation... Reservierungsnummer eingeben. Und die Kreditkarten-Nummer. Und jetzt schauen wir, ob das funktioniert. Und es funktioniert. Wir fliegen von... Und wir haben jetzt Karmen-Sendier gefunden. Und der Punkt wurde gemacht. Man kann diese Webseite einfach Brut forcen. Man trifft, löst keine Alarm-Dumpt aus. Und es... Und für jemand, der aus der IT-Security kommt, finde ich das wirklich katastrophal. Und das letzte Security-Teacher und das letzte Security-Feature, was wir erwarten würden von solchen IT-Systemen heutzutage haben, ist speziell in dem Wissen, dass dieses System für Jahre schon kritisiert wurde. Und festzustellen, ob jemand legal oder illegale draufzugreift. Es... Es wurde von Edward Hasbrook erwähnt. Und die anderen... andere Privatsparen kämpfen, kamen da schon über die Jahre hinweg. Und die USA kann darauf einfach zugreifen. Also, wo sind denn die Daten? Ob man gucken kann, ob diese Daten missbraucht werden? Und ich... Haben wir irgendwo... Aufzeichnungen nennen... Wie das Ganze... Die Firmen haben gesagt, dass es technisch nicht möglich ist, solche Logs zu speichern. Und ich nenne das Bullshit. Die kleinsten... Die kleinsten Änderungen, die haben immer einen Log, aber für Zugriffslog gibt es... gibt es keine Möglichkeit. Also, diese Firmen... zum Beispiel, illegal Zugriff der US oder... zu irgendeiner Regierung gegeben haben. Und das Letzte, was man dann natürlich haben will, ist, dass man einen Logfall hat, was wirklich zeigt, dass andere darauf Zugriff haben. Und was man jetzt mit technischer Einenschränkung macht, ist, dass wir jetzt in der Mitte von einer Diskussion sind, wo man... wo es die Firmen dazu zwingt, in der USA das Ganze zu veröffentlichen und in der EU das Ganze nicht zu veröffentlichen. Deswegen wollen diese Firmen keinen Log haben. Aber... das Ganze ist über Website verfügbar, es kann gebrootfast werden. Und wir haben keine Aufzeichnung darüber, ob das überhaupt passiert. Und wir wissen daher gar nicht, wie stark das missbraucht wird. Wenn zum Beispiel sich... also, wenn den Flug ändert, sind die Leute natürlich glücklich. Aber das ist halt der Einzige nach, was das Ganze missbraucht wird, weil sich ein Beschwerd... oder weil jemand den Flug davor genommen hat oder das Geld mitgenommen hat oder sowas. Die Angriffe sind technologisch möglich und man sollte nach diesen Angriffen suchen. Also in der Zusammenfassung. Es gibt drei große Datenbank, eine in der USA, eine in Europa und die all die Informationen über alle Reisende haben. Diese Information beinhaltet die persönliche Kontaktadresse, die IP-Adresse, die E-Mail-Adresse und andere Systeme, die wir für Wichtigen schützen. Wir haben einen besseren Passwort. Wir würden dafür keinen acht Stellen Passwort verwenden. Nichts existiert hier. Das Passwort hat nur sechs Stellen und es hat weniger Entropie als fünf Stellen. Und es wird auf Papier gedruckt, was wir wegschmeißen. Und es ist auch noch blutforstable. Auf mehreren Wegen von den Airlines und dann auch noch von den Buchungsagenten. Da sieht man wirklich, dass von vor dem Internet kommt und dass die Security einfach nicht existiert. Weil das ganze ... Es gibt viele Szenarien, wo die Privatsphäre missbraucht wird oder betrug begann wird. Es wird nichts davon aufgezeichnet. Und deswegen kann man nicht sagen, wie sehr dieses System missbraucht wird. Wir brauchen natürlich mehr Limitation, auf welche Daten es möglich ist. Und wir in längerer Zeit brauchen wir bessere Passwörter für jeden Reisenden. Man sollte möglich sein, man sollte die Möglichkeit haben, auf Instagram zu stellen, ohne dass es missbraucht wird. Das ist ein Stück Papier, was am Ende wegschmeißt. Und das sollte sicher sein. Und wenn man es zeigen will, sollte man es auch zeigen können. Man sollte deswegen ein Passwort hinzufügen, um das wir sicher zu machen. Und das ist ein Langzeitziel. Weil die ganzen Firmen so verwoben sind, dass alle das an derselben Zeit machen müssen. Also, weil die ganzen verbundenen Airlines das gleichzeitig machen. Wir haben diese eine Ticket von Instagram gesehen, was ein Lufthansa-Ticket war. Lufthansa war dabei. Alaska war dabei. Und das Ganze kam von United Airlines. Und das ist die Frage, wie viele Airlines haben Verträge untereinander, um das Ganze durchzurechnen. Und deswegen müssen sich alle gleichzeitig dazu entscheiden, Passwörter einzuführen. Das ist also ein Ziel, aber für kurze Zeit können wir wenigstens erwarten, dass all diese Webseiten die Zugriffe aufgeben. Wenigstens Red Limit einführen. Also ein bisschen Web-Sicherheit. Erlaubt uns einfach nicht, Millionen Anfragen zu schicken und nicht die richtigen Antworten zurück. Das ist nirgendwo akzeptabel in der Cloud. Und dafür, dass das ziemlich standard ist und dass ihr das nicht habt, ist wirklich plammabel. Und solange es dort keine Passwörter hat und solange es keine Red Limit hat, kann man nicht nachvollziehen. Es gibt keine Möglichkeit, das nachzuvollziehen. Es muss eingeführt werden, dass das Ganze gelockt wird. Und ich hoffe jetzt natürlich, dass wir jetzt den Weg anfangen, in dem wir große Firmen nerven und dass sie das Ganze hoffentlich über das Wochenende fixen. Und hoffentlich gibt es demnächst welche, die es auch machen. Und jetzt kann ich natürlich nur euch bitten noch mehr dieses System anzugucken, weil es gibt mit Sicherheit noch mehr zu finden. Das sind Legacy-Systeme und wir verbringen viel zu viel Zeit damit, viel zu gute Verschlüsselung noch besser zu machen und noch bessere Child Breaks zu finden. Aber wir ignorieren diese riesen Sicherheitslücken in unserem Leben. Und deswegen sollen wir uns dieses System angucken, die halt nicht so geil aus sind, die nicht so neu sind. Und ich hoffe, ich kann euch dazu motivieren, das Ganze dann anzugehen. Ich möchte ein paar Danksagungen aussprechen für andere Teams, ohne die, die die Forschung hier nicht mutig wären. Das waren unsere Experten, die all die Flights gelesen haben und uns hoffentlich gezeigt haben, dass ihr keine großen Lücken habt. Und natürlich auch Danke an euch, dafür, dass ihr so gut zahlreiche Maschinen seid. Danke für den coolen Talk. Wir haben fünf Minuten für Fragen. Also stelle ich wieder an die Mikrofone und dann nehmen wir ein paar Fragen. Die erste Frage. Gibt es irgendeine Hinweise, dass die Systeme sicherer sind auf der Kundenseite oder auf der professionellen Seite? Ob man das irgendwie selbst einfügen kann? Ehrlich gesagt, keine Ahnung. Es war definitiv unsere Liste von Sachen, die wir uns anschauen wollten. Aber wir hatten leider keine Zeit, uns das anzugucken. Aber eine Sache, die ich wirklich ausprobieren möchte, wenn ich irgendeine Möglichkeit finde, stelle ich mal die Pause für diese Dateien vor. Und jetzt will ich mir mal was passiert, wenn man da mal Sonneteigene einfügt. Also ich kann mir nicht vorstellen, also ich weiß nicht, wer diese Texteteile stellt. Ich möchte es wahrscheinlich nicht wissen, aber ich kenne auch niemand, das weiß. Aber wenn irgendjemand es kennt, dann ist das nicht möglich. Also, dass man auf der Seite wahrscheinlich überhaupt gar keine Sicherheit hat und es wahrscheinlich sehr leicht missbrauchen könnte. Fragen vom Signal Angel? Fragen, was wir jetzt... Leute haben angefangen, Informationen aus sozialen Medien zu sammeln. Könnte das dafür auch benutzt werden? Antworten. Sie sind... Sie sind in der PNR. Ich dachte, mehr ist mehr ein Fall von diesem Journalisten. Er fragte durch den Freedom of Information-Rakt alle Informationen, die die Leute... Er hat alle Informationen darüber über Sicherheit gefragt und er hat danach gesagt, und die Regierung gibt mehrere Informationen darüber. Kannst du irgendwas über... Wo die... Haben die Nutzer das Recht, die Daten anzuschauen? Das ist eine gute Frage. Ich denke, das ist unabhängig vom System. In Amadeus bewegen sich... Die werden die Daten sehr früh gelöscht, Tage oder Wochen danach werden sie gelöscht in Sabre. Werden die Daten am Ende des Tages immer noch Mainframe-Technologen. Am Ende des Tages immer noch Mainframe-Technologen. Keine Ahnung, wie diese Algorithmen funktionieren und wann die Daten gelöscht sind. Wahrscheinlich kann man nicht nachfragen, ob man das Ganze löschen kann. Ich denke nicht, dass sie mit dir reden wollen, weil du bist nicht der Kunde. Es scheint, dass der schnelle Weg in dieses System ist, um Geld zu benutzen. Es sieht aus, dass dieses beobachtet wird von Fluglinien. Antwort. Ich sollte mehr deutlich sein, wie diese Angriff funktioniert. Natürlich braucht man in einem gleichen Namen wie diese Person. Du kannst zum Reisebüro gehen. Du kannst immer das ändern, wenn du ein Roundtrip nach Australien bist. Ich weiß für den Fall, dass Leute das genau jetzt tun. Genau das tun, basierend auf Instagram-Fotos. Und dass sie die Meils und die Reisebüro gehen. Du kannst immer das ändern, um das zu ändern. Manche Fluglinien beobachten das aber nur, wenn es sehr viel ist. Ich hoffe, dass es so viel wird, dass es so ein großes Problem wird, dass es nicht mehr ignoriert werden kann. Und dass die Privatsphäre-Probleme auch gelöst werden. Das ist nicht genug für ein großes Unternehmen. Wenn du Geld reinschmeißt, dann sollte es vielleicht reichen. Eine letzte Frage. Wenn Leute GDS-Systeme benutzen, dann benutzen sie echte Terminals. Und dann öffnen sie Schnittstellen, um diese Systeme zu kommunizieren. Gibt es eine Möglichkeit, dort Forschung zu betreiben? Wir haben dort auch ein bisschen Forschung betrieben, aber keine Möglichkeit gefunden, das zu veröffentlichen, ohne uns rechtlichhaft dazu zu machen. Was ich sagen möchte, ist, dass die Verträge, die die Reiseunternehmen unterschreiben, sind, dass man keine Möglichkeit hat, darauf zu zu greifen. Das Ganze sieht zwar aus wie ein Terminal, aber dann gibt man irgendwas ein, und dann sieht man aber ein Java Stack Trace. Das Ganze ist ganz schlimm unsicher. Selbst wenn man versucht, das Richtige zu machen, kann man das wahrscheinlich exportieren. Und wir haben noch eine Frage aus dem Internet. Jemand möchte wissen, wie man vermeidet ein DDoS-Angriff auf solche Systeme noch, wenn man nach den Booking-Nummern sucht. Antwort, gute Frage. Wir haben nicht niemanden geschadet und wir haben es versucht. Wir haben mit 20 Amazon-Instanten noch untergenommen. Vielen Dank, Carsten.