Kaba Mauer Code Combi B & B30 Sicherheitslücke

[Mister Q]

Also, wenn bei diesem Schloß die Elektronik versagt, kann man es mit dem Schlüssel aufschließen. Deshalb Redundant, sowohl als auch!
Wenn der Schlüssel (und der Code) weg ist, giebt es 4 Möglichkeiten (die mir bekannt sind, womöglich giebt es noch mehr) das Schloß zu Öffnen.
Über die jetzt bekannte Möglichkeit kann ich schreiben.
Das nächste Bild zeigt die Scheibe wenn man am Knauf dreht und es ist kein richtiger Code eingegeben.
Der Magnet zieht nicht an und der Riegel ist nicht Freigegeben.

[Mister Q]

Wenn man es schafft, mit dem Draht die Scheibe festzusetzen kann man den Knauf drehen, und das Schloß ist entriegelt.

[mhmh]

OK - also der Knauf dreht an der Scheibe, über Feder gekoppelt - und wenn der Magnet die Scheibe festhält, kann man öffnen (dabei wird die Feder gespannt). Wenn der Magnet bzw. der spezielle Draht das nicht tut, dann dreht man mit dem Knauf die Scheibe und versucht den Riegel zu ziehen, dreht sich also gleichzeitig diese Scheibe in den Weg.
Stimmt das so?

Ungewöhnliche Konstruktion, es scheint irgendwie intuitiver, dass immer gesperrt ist und man aktiv entsperren muss. Also fail-secure. Das hier ist eher fail-safe, wenn z.B. diese Koppel-Feder bricht, dann ist auch offen, oder?

[Mister Q]

Da hat sich jemand am CAD ausgelebt, aber scheinbar die Lücke übersehen.
Nein, die Feder drückt nur die Schubstange oben im Bild zurück. (ich hoffe wir meinen das selbe)
Schade das man keine Videos im Forum hochladen kann, da könnte man es besser erkennen.

[marillion]

Die Methode ist Insidern seit Jahren bekannt,
aber warum soll man das einer breiten Öffentlichkeit bekannt machen.

Weil es einfach Blödsinn ist, die Existenz einer Sicherheitslücke zu leugnen, für die in wenigen Tagen ein Werkzeug auf den Markt kommt.

Security by Obscurity ist nicht nur ein ungeeignetes Sicherungsprinzip, es ist obendrein kundenfeindlich.

lg

marilion

[Retak]

Sowas herstellerseitig jahrelang zu ignorieren, grenzt ja schon fast an Sabotage. Da wird eine Sicherheit ausgelobt, die real nicht vorhanden ist, sowas ist Betrug. Totschweigen nutzt bei solchen Fehlern gar nichts, irgendwann kommt ein neugieriger Bastler dahinter.
Der VdS scheint ja auch ziemlich blind zu sein, oder hatte er etwa den Auftrag, vor dieser Schwachstelle die Augen zu verschliessen? Wieder mal ein gefundenes Fressen für Verschwörungstheoretiker.

[Z_CON]

Immer das gleiche...

Ihr seid also auf dem 31C3 - sehr schön, kann leider dieses Jahr nicht. Gibt's dort irgendwelche Vorträge zu Schlössern?

Grüße
mh

Hab ganz allgemein über Lockpicking und unseren Verein eine Folie dabeigehabt und einen Vortrag in der Lockpicking Area gehalten. Kam gut an.
Diverse Workshops zu u.A. EVVA 3KS neu? oder Türfallen an Stahltüren oder dieses Kaba passierten natürgemäß spontan.

Noch ein Edit: Offizieller Eintrag in unseren Blog.

[Christian]

Sowas herstellerseitig jahrelang zu ignorieren, grenzt ja schon fast an . . . .

Gerade im Hochsicherheitssektor sollte man da schon mehr erwarten dürfen, finde ich persönlich. Sicher können Fehler passieren, sind ja auch nur Menschen. Aber wenn so ein Fehler bekannt wird sollte man alles machen um diesen zu "entschärfen", was wohl dann auch dem jeweiligen Anbieter 'nen guten Ruf geben würde. Und das "Hobby-Spinner" den Produzenten auf die Finger gucken und dann noch mit dem Internet "bewaffnet" sind sollte nicht unterschätzt werden.

[rondeLoro]

Also wenn dem Hersteller diese Sicherheitslücke bereits seit längerem bekannt war, finde ich es auch unverantwortlich, das Produkt weiterhin so zu verkaufen und den Kunden im Unklaren zu lassen. Als Kunde würde ich mir überlegen, ob man da nicht Schadensersatzansprüche geltend machen sollte.

[Z_CON]

Also wenn dem Hersteller diese Sicherheitslücke bereits seit längerem bekannt war, finde ich es auch unverantwortlich, das Produkt weiterhin so zu verkaufen und den Kunden im Unklaren zu lassen. Als Kunde würde ich mir überlegen, ob man da nicht Schadensersatzansprüche geltend machen sollte.

Wieso ? Kost doch Dich nen Haufen Geld und das Urteil mit ungewissem Ausgang. Es gibt doch immer AGB's und da ist vor allem dass Kleingedruckte zu lesen. Die kennen wir aber nicht.