Fehler öffnet Geldautomaten für Hacker

Barnaby Jack, Sicherheitsforscher beim Computernetzwerkgiganten Wacholder , hatte geplant, sich im Laufe dieses Monats auf der Black Hat Security Conference in Las Vegas live auf der Bühne in einen Geldautomaten (ATM) zu hacken. Aber seine Präsentation, die die Unsicherheit verschiedener Geldautomaten demonstrieren sollte, zog die Aufmerksamkeit der Finanzindustrie sowie der Sicherheitsexperten auf sich, und unter dem Druck der Geldautomatenhersteller sagte Juniper die Präsentation letzte Woche ab, da er Bedenken verwies, dass die betroffenen Schwachstellen immer noch nicht behoben waren Fest.





Die Sicherheitslücke, über die Barnaby sprechen sollte, hat weitreichende Konsequenzen, nicht nur für den betroffenen Geldautomatenanbieter, sondern auch für andere Geldautomatenanbieter und – letztendlich – für die Öffentlichkeit, schrieb Brendan Lewis, Direktor für Corporate Social Media Relations bei Juniper, in einer Erklärung an die des Unternehmens offizieller Blog letzte Woche. Die Veröffentlichung der Forschungsergebnisse, bevor der betroffene Anbieter die Exposition angemessen eindämmen konnte, hätte möglicherweise seine Kunden gefährdet. Das ist etwas, was wir nicht sehen wollen.

Die Präsentation hätte sich auf die Ausnutzung von Sicherheitslücken in Geräten konzentriert, auf denen das Betriebssystem Windows CE ausgeführt wird, einschließlich einiger Geldautomaten, so eine Quelle, die mit den Details vertraut ist. Während die Präsentation abgesagt wurde, um den Herstellern mehr Zeit zu geben, die Schwachstellen zu beheben, hatte Juniper das Unternehmen ursprünglich vor fast acht Monaten benachrichtigt, sagt die Quelle, die nicht genannt werden wollte.

Andere Sicherheitsexperten sind nicht überrascht, dass die Schwachstellen da sind, um sie zu finden. Es gibt viele erhebliche Mängel in Geldautomaten und Geldautomatennetzen, sagt Nicholas Percoco, Senior Vice President of TrustWave , ein Unternehmen für Informationssicherheit und Compliance, das die Sicherheit von Kassenterminals, Kiosken und Geldautomatennetzwerken bewertet hat. Es kommt sehr, sehr selten vor, dass ein Gerät in unser Labor kommt – ich glaube sogar nicht, dass es passiert ist –, dass wir keine Schwachstelle finden, sagt Percoco.



Geldautomaten standen in den letzten 12 Monaten auch im Mittelpunkt einer Reihe von hochkarätigen Sicherheitsvorfällen. Im November 2008 stahlen Diebe mit gefälschten Gehaltsabrechnungskarten innerhalb weniger Stunden fast 9 Millionen US-Dollar an mehr als 130 Geldautomaten. Das Programm, das in 49 Städten weltweit stattfand, beruhte darauf, dass Hacker in das Netzwerk des Finanzunternehmens RBS WorldPay eindrangen und Karten neu aufluden, damit sie durchschnittlich 90.000 US-Dollar pro Konto abheben konnten.

Im Januar dieses Jahres warnte der zweitgrößte Geldautomatenhersteller Diebold Kunden in einer Mitteilung, dass bestimmte Geldautomaten in Osteuropa mit Schadsoftware beladen seien, die Finanzdaten und geheime PINs von Kunden stehlen könne, die Geldautomatentransaktionen tätigen. Die heimliche Software, die mindestens 20 Geldautomaten infizierte, ermöglichte es Kriminellen, Kartendetails auf Geldautomatenbelegen auszudrucken und die Geldkassette aus den Geldautomatenkiosken auszuwerfen, wie eine von TrustWave durchgeführte Softwareanalyse ergab.

Sobald die Angreifer über die Back-End-Systeme eindringen, lagern sie im Wesentlichen aus, sagt Percoco. Es ist Bargeld, also echtes Geld; Es ist nicht so, dass sie eine Kreditkarte belasten und die Ware verkaufen müssen.



Unter den Empfehlungen an seine Kunden forderte Diebold Banken und Geldautomatenbesitzer auf, die Administratorpasswörter der Kioske regelmäßig zu ändern und sicherzustellen, dass die Firewalls aktiv sind. Diebold geht davon aus, dass Angreifer zunächst physischen Zugriff auf die Systeme haben mussten, um die Schadsoftware zu laden. Nach Kenntnis des Unternehmens sei dies der erste Vorfall, bei dem es um einen physischen Angriff und die Installation illegaler Software innerhalb des Geldautomaten gehe, sagte Diebold in einer damals veröffentlichten Erklärung.

NCR, der weltweit führende Anbieter von Geldautomaten, verfolgt einen vielschichtigen Ansatz zur Sicherung seiner Geldautomaten. Das Unternehmen verwendet eine als Solidcore bekannte Technologie, die verhindert, dass unbefugter Code auf seinen Windows-basierten Systemen ausgeführt wird, und empfiehlt Kunden, das Betriebssystem Windows XP mithilfe der integrierten Firewall und des virtuellen privaten Netzwerks zu sperren. Zu den weiteren Sicherheitsmerkmalen gehören physische Maßnahmen, um sichtbar zu machen, wenn ein Betrüger ein Gerät zum Stehlen von Karteninformationen an den Geldautomaten anbringt, ein Mechanismus, der verhindert, dass solche Geräte Bankkarten leicht lesen, und Tinte, die gestohlenes Bargeld befleckt.

Vertreter von NCR und Diebold bestritten jedoch, dass eine ihrer Maschinen im Mittelpunkt der Demonstration von Juniper stehen sollte.



Das Betriebssystem des betroffenen Systems, Windows CE, stellt eine Hürde für eine schnelle Lösung dar. Microsoft empfiehlt, dass Windows CE für Low-End-Geldautomaten verwendet wird, während Windows XP Embedded und Windows XP Professional für Geldautomaten mit vollem Funktionsumfang verwendet werden ein weißes Papier auf Kiosk- und ATM-Betriebssystemplattformen, die vom Softwarehersteller ausgegeben werden. Windows XP Embedded, dessen neueste Version Windows Embedded Standard 2009 ist, und Windows XP Professional sind sicherer, weil sie einfacher zu aktualisieren sind, sagt der Softwareriese. Ein Microsoft-Vertreter erklärte, dass der Softwaregigant keine spezifischen Informationen zu Black Hat oder Junipers abgesagtem Gespräch habe.

Fast 56 Prozent der Geldautomaten in den Vereinigten Staaten führen eine Form des Windows-Betriebssystems aus und sind mit einem Netzwerk verbunden, das Updates ermöglicht, so die TurmGruppe , eine Finanzberatung. Auf den restlichen Geräten läuft ein älteres Betriebssystem, IBMs OS/2, und haben normalerweise keine Netzwerkverbindung. Da Geldautomaten in der Regel ein Jahrzehnt oder länger halten, werden die älteren OS/2-basierten Automaten bis etwa 2012 im Einsatz bleiben, sagt Nicole Sturgill, Forschungsleiterin für Lieferkanäle bei der TowerGroup.

Sturgill erwartet, dass Cyberkriminelle neue Wege finden, um Geldautomaten anzugreifen. Es ist ein fortwährendes Katz-und-Maus-Spiel, sagt sie. Egal, wie gut Sie es haben: Geldautomaten werden immer ein Ort sein, an dem Sie auf Bargeld zugreifen können, daher werden Kriminelle immer daran interessiert sein, ein neues Loch in den Geldautomaten zu finden.



verbergen