Hallo,
gestern haben wir mal wieder Shadowrun gespielt und die Spieler sind auf eine Idee gekommen, die ich erstmal für ein Sicherheitsloch in einer Passkeysecurity Architektur halte. Aber vielleicht hab ich das ja auch falsch verstanden.
Folgende Situation:
Ein Nexus wird durch ein Passkey-System Geschützt. Die Angestellten bekommen alle ein Spezielles Komlink, in dem der Passkeychip drin ist, und dass sie für ihre Tägliche Arbeit benutzen. Beim Anmelden am Komlink wird sich das Komlink mit dem Nexus verbinden, und der Benutzer muss mit einem Passwort den Passkey bestätigen.
Ok, soweit so gut.
Nun sind die Runner auf die Idee gekommen, da ja der Nexus so gut gesichert ist, hacken wir uns doch einfach auf das Komlink des Angestellten. Der Angestellte hat ja alle Rechte, und wir nutzen dann einfach seine Verbindung zum Nexus, um die Informationen, die wir brauchen zu bekommen. Der Angestellte, dem das Komlink gehört, hat natürlich gerade schicht gehabt, und musste war auch am Arbeiten.
Nun stellt sich mir die Frage, geht das überhaupt so? Ein Komlink kann ja nur eine Persona generieren, und die Persona ist ja das Interface zum Betriebssystem des Komlinks, sowas wie heute unser Desktop auf dem Heimischen PC. Als Admin kann man auf dem Komlink sicherlich alles mögliche machen, aber kann man auch das Komlink quasi Fernsteuern, und als Relay verwenden, so dass der Zielknoten, den man eigentlich Hacken will, denkt, die anfragen kommen eigentlich von einem anderen Komlink, auf dem man Admin-Rechte hat?