Krasse Lücken: Zeugnis-Blockchain des Bundes in Stunden zerforscht
Die deutsche Verwaltung will modern sein und auch unbedingt Projekte mit Blockchains machen. Im Zuge dessen kam die Idee auf, digitale Zeugnisse über die Technologie zu realisieren. Ein erstes Testsystem musste aufgrund gravierender Fehler abgeschaltet werden.
"Gestern erhielten wir über Twitter den Hinweis von Sicherheitsforscherinnen und Sicherheitsforschern, dass das aktuelle Testsystem mehrere Schwachstellen enthält, die von potenziellen Angreifern ausgenutzt werden können. Unbefugten soll es möglich gewesen sein, (fiktive, nicht-signierte) Zeugnisse auszustellen", teilte die Bundesdruckerei mit, die vom Land Sachsen-Anhalt mit der Umsetzung des Projektes beauftragt wurde.
Wieder einmal ist ein IT-Projekt des Staates damit unter den Händen von Aktivisten des Kollektivs Zerforschung geschmolzen. Wie diese zeigen konnten, war es möglich, eigene Zeugnisse in die Blockchain zu packen. In diese konnte man im Grunde sogar JavaScript-Code einbinden, der dann unter Umständen in der Lage ist, Sicherheitslücken bei einem anderen Nutzer zu missbrauchen, um Malware zu installieren. Sogar XXS-Schwachstellen fanden sich - solche abzufangen, gehört eigentlich zu den Basis-Kenntnissen der Web-Programmierung.
Warum digitale Zeugnisse überhaupt in der vorliegenden Form umgesetzt werden sollen, erschließt sich dabei kaum. Denn im Grunde gibt es verschiedene andere bewährte Verfahren, um fälschungssichere digitale Kopien bereitzustellen, die weniger komplex und fehleranfällig sind. Hier liegt der Verdacht nahe, dass man dem Hype um die Blockchain-Technologie so weit auf den Leim gegangen ist, dass jetzt unbedingt Anwendungen gesucht werden, die man auf dieser Grundlage betreiben kann - getreu dem Motto: Wir haben hier eine tolle Lösung und brauchen jetzt nur noch das richtige Problem.
Siehe auch: Schulzeugnis auf Blockchain-Basis: Test startet in ersten Bundesländern
Wieder einmal ist ein IT-Projekt des Staates damit unter den Händen von Aktivisten des Kollektivs Zerforschung geschmolzen. Wie diese zeigen konnten, war es möglich, eigene Zeugnisse in die Blockchain zu packen. In diese konnte man im Grunde sogar JavaScript-Code einbinden, der dann unter Umständen in der Lage ist, Sicherheitslücken bei einem anderen Nutzer zu missbrauchen, um Malware zu installieren. Sogar XXS-Schwachstellen fanden sich - solche abzufangen, gehört eigentlich zu den Basis-Kenntnissen der Web-Programmierung.
System soll so bleiben
Aber auch die gesamte Architektur des Systems erweckt nicht gerade einen soliden Eindruck. Trotzdem halten die Entwickler an dem Projekt in dieser Form fest. "Die Fehleranalyse läuft derzeit noch. Die Ergebnisse werden in die weitere Optimierung des Systems einfließen, der Test danach fortgesetzt", hieß es. Über Hinweise zu Fehlern und Schwachstellen freue man sich und wolle das System auf deren Grundlage weiter verbessern - dies sieht man als "Ausdruck einer modernen (agilen) Arbeitsweise" an.Warum digitale Zeugnisse überhaupt in der vorliegenden Form umgesetzt werden sollen, erschließt sich dabei kaum. Denn im Grunde gibt es verschiedene andere bewährte Verfahren, um fälschungssichere digitale Kopien bereitzustellen, die weniger komplex und fehleranfällig sind. Hier liegt der Verdacht nahe, dass man dem Hype um die Blockchain-Technologie so weit auf den Leim gegangen ist, dass jetzt unbedingt Anwendungen gesucht werden, die man auf dieser Grundlage betreiben kann - getreu dem Motto: Wir haben hier eine tolle Lösung und brauchen jetzt nur noch das richtige Problem.
Siehe auch: Schulzeugnis auf Blockchain-Basis: Test startet in ersten Bundesländern
Thema:
BitCoin-Kurs
Videos zum Thema Bitcoin
Bitcoin Münze (24-Karat Gold-Überzug)
Beiträge aus dem Forum
-
Abfrage meiner Bitcoinadressen per Batsch Schleife
thielemann03 -
Ratenzahlung für Handy, bis heute keine Rate vom Konto abgezogen
Rionaa -
[erledigt] [V] ASRock H81 Pro BTC R2.0, CPU, Graka & DDR3
ephemunch -
Zahlungsoptionen im Xbox Store
DON666 -
EXCEL - Webseite für historische und aktuelle Währungsumrechnung
LutzM
Weiterführende Links
Neue Nachrichten
- Gratis-Monate & Dauerrabatt: 75 GB O2-Tarif für unter 10 Euro
- Kult-Automat von 1981: Lego bringt Donkey Kong Arcade zurück
- Microsoft-Chef warnt: KI-Modelle stehlen heimlich Firmenwissen
- US-Regierung: Achtung, die Russen wollen eure Router übernehmen!
- Media Markt und Saturn: SSDs, FritzBoxen & Co. heute stark reduziert
- Gute Nachricht für Windows 11: Microsoft verbannt Werbung aus Suche
- Cloudflare: Überwachung der Nutzer ersetzt jetzt das CAPTCHA
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen