Gemalto .NETsolutions – was war geschehen?
Ende Februar informierten wir den Smartcard-Hersteller Gemalto über ein Problem mit der anfänglich “Cryptoflex.NET” genannten Smartcard in dessen Entwicklerforum. Der Hersteller hat sehr schnell reagiert und Kontakt via e-Mail aufgenommen, anschliessend folgten auch einige Telefonate mit Kollegen am Development Stammsitz in Austin, Texas.
Das Problem war wenige Wochen später gefixt und grosse Kunden wie z.B. Microsoft wurden geupdated. Inzwischen existiert seit einigen Monaten die Nachfolgegeneration der Karten. Wir bekamen zur Bestätigung des erfolgreichen Bugfixes eine Reihe Samples und können nun sagen die Gemalto .NET v2 selber auf Herz und Nieren getestet zu haben. Immerhin handelt es sich um einen der schlimmsten Ernstfälle Smartcards beiläufig so zu töten, dass wirklich gar nichts mehr geht:
Gamebay Advanced SP with Towitoko Chipdrive and Gemalto .NET Smartcard
Auslöser für das Problem war ein eigentlich sehr intelligenter Mechanismus. Um die ausserordentliche Leistungsfähigkeit der Karte nicht durch in die Jahre gekommene ISO-Protokolle zu beschränken, erfand man ein Tunnel-Protokoll welches durch den Entwickler mit dem aus der Server-Welt bekannten .NET-Remoting bedient werden kann. Ähnlich wie es in Betriebssystemen Bugs in den TCP/IP Stacks geben kann stiessen wir auf einen Fehler in der Packet-Verarbeitung des Protokoll-Stacks der zu Buffer Overflow Attacken einlud. Wir teilten Gemalto eine präzise Analyse des Fehlers und mögliche Behebungswege mit, so dass der Bug im Interesse aller zeitnah behoben werden konnte.