05.01.14 12:33 Uhr
 13.299
 

Per USB-Stick: Kriminelle können spurlos am Geldautomaten Geld abheben

Auf dem 30. Chaos Communication Congress (30C3) in der vergangenen Woche wurden die Ergebnisse einer Malware-Untersuchung bekannt gegeben. Und es wurde Unglaubliches festgestellt.

Dass Malware auf Geldautomaten kommt, ist nicht neu, aber der neue Code der aufgetaucht ist, ist so komplex, dass so etwas noch nie gesehen wurde. Auch die Taktik der Täter deutet auf Insiderwissen hin, da jemand Wissen muss, wo er Bohren soll.

Die Täter bohrten ein Loch in die Geldautomaten genau an der Stelle, an der der Rechner mit Windows XP sitzt, steckten eine USB Stick mit der Schadsoftware in den Rechner und Booteten den Rechner neu. Durch den Neustart wurde die Malware aktiviert und die Täter konnten Geld abheben, ohne eine Spur zu hinterlassen.


Videoplayer auf dieser Seite ausblenden
WebReporter: Crawlerbot
Rubrik:   Brennpunkte
Schlagworte: Geld, Spur, USB, Kriminelle, Stick
Quelle: www.spiegel.de

DAS KÖNNTE DICH AUCH INTERESSIEREN

Manchester-Attentat: Obdachloser Held bekommt von Fußballklub Wohnung spendiert
Amtsgericht Neuruppin: Angeklagter erscheint mit Drogen in der Verhandlung
Brite muss wegen Halloween-Gag 15 Jahre ins Gefängnis

Diese News zu meinen Favoriten hinzufügen Beitrag abgeben

27 User-Kommentare Alle Kommentare öffnen

Kommentar ansehen
05.01.2014 12:35 Uhr von Crawlerbot
 
+5 | -42
 
ANZEIGEN
Kommentar ansehen
05.01.2014 12:50 Uhr von Rekommandeur
 
+57 | -4
 
ANZEIGEN
Bleibt denn nicht ein Loch durch das Aufbohren zurück?
Keine Spuren hinterlassen sieht anders aus...
Kommentar ansehen
05.01.2014 12:51 Uhr von zoc
 
+9 | -18
 
ANZEIGEN
1. gebe ich zu, dass ich das nicht ganz glauben kann (auch wenns von einem "Spiegel" kommt
Auch deshalb, weil wohl kaum, mal eben beliebig gebohrt werden kann und man dann zufällig zu einem USB Anschluß kommt. Die Geldautomaten sind alle sehr unterschiedlich und die kleinen "Räume" dahinter sehen immer anders aus. Und mal eben an den Rechner rankommen ist blödsinn.

2. tja, wären die Banken, wie noch in den 90ern, bei OS/2 geblieben, wäre es auch nicht so einfach :-)
Kommentar ansehen
05.01.2014 12:53 Uhr von Crawlerbot
 
+18 | -1
 
ANZEIGEN
@Rekommandeur

Sorry mehr durfte ich nicht in die News einbringen.
Die Löcher haben sie natürlich Professionell verklebt.

@zoc
Ich denke mal das viele Geldautomaten gleich aufgebaut sind, allein wegen der Technik die dahinter steckt. Das wäre zu kompliziert alle anders zu machen, und auch Kostenintensiv.
Außerdem war Insiderwissen dabei.
Kommentar ansehen
05.01.2014 13:14 Uhr von muhukuh
 
+10 | -2
 
ANZEIGEN
@Crawlerbot

das hat nichts mit win xp zu tun, es handelt sich um einen hardware hack mit usb-stick.
da würde auch kein linux oder angepasstes system helfen, da hier die bank so klug war das booten von usb zuzulassen.
an das system kommt normal nichts ran.

@zoc
kam auch bei heise und die c3 ist da doch sehr zuverlässig.
die software wurde laut vortrag bei einer bank genutzt und für jeden automaten speziell angepasst. auch ein os/2 hätte da wenig erfolg dagegen gehabt, wer usb booting zulässt, ist halt "selbst schuld". die sind sogar an die volume serial gekommen.

ausführlicher bericht und screenshot wenn es dich interessiert ;)

http://www.heise.de/...
Kommentar ansehen
05.01.2014 13:22 Uhr von NilsGH
 
+4 | -5
 
ANZEIGEN
Klingt für mich auch ein wenig hanebüchen.

Sicher wird dieser Stick auf bei einigen Geldautomaten funktionieren. Aicherlich aber nicht auf allen.

Unterschiedliche Banken nutzen unterschiedliche Systeme. Die Systeme der Sparkassen und der Volks- & Raiffeisenbanken beispielsweise sind völlig unterschiedlich.

Daher bezweifle ich, dass der Stick mit beiden kompatibel ist.

Andererseits aber wäre es wohl ein Leichtes, den Stick anzupassen, sollten wirklich ALLE Systme auf Win XP basieren.

Dass Banken bei derart sensiblen Geräten Windows nutzen ist schon ein Skandal. Klar, die programmieren das alles auch nicht (mehr) selbst, aber die Sachverständigen der Bank müssten doch technisch fit genug sein zu wissen, dass man Windows im Allgemeinen besser nicht für sichere Systeme nutzt.

Andererseits erklärt das auch die dauernden Meldungen der Automaten: "Dieser Geldautomat ist zur Zeit leider außer Betrieb" ;)
Kommentar ansehen
05.01.2014 13:22 Uhr von Tuvok_
 
+4 | -1
 
ANZEIGEN
und das das Mainboard so eingestellt ist das es erstmal von USB bootet... aber das ist warhscheinlich für den Wartungstechnike rmal gedacht und an solche Szenarien nicht gedacht worden.
Kommentar ansehen
05.01.2014 13:30 Uhr von Anomalie
 
+9 | -8
 
ANZEIGEN
wenn ich mich den ganzen schwachsinn hier so durchlese was einige leute hier so abgeben, muss ich echt sagen "einfach mal die fresse halten wenn man keine ahnung hat"...

ich war servicetechniker für banken, und kann daher sagen wie ein geldautomat aufgebaut ist.... sicherlich ist die software von den banken anders, jedoch, abhängig von der modelreihe eines herstellers, nicht die hardware...

@ Djerun

von wegen geizig... hier solltest du mal ganz schnell zurück rudern freund nase... du hast absolut keine ahnung was die banken im hintergrund alles tun um genau so etwas vorzubeugen... das denkst du wieviele geldautomaten ich zu meiner zeit als techniker von tag zu tag umgerüstet habe?!

das die geldautomaten noch unter winxp laufen liegt an der tatsache, dass gewisse organisationen (nicht die banken), momentan kein anderes betriebssystem zulassen, weil windows xp noch das sicherste ist. hier müssen unzählige tests durchgeführt werden, und das dauert seine zeit...

erst vor 3 jahren wurde von win nt auf xp umgestellt... momentan laufen tests mit windows 7...

bekomms echt an der klatsche mit manchen leuten hier...

edit: ein beispiel noch: in einem geldautomat und in einem kontoauszugsdrucker von einem hersteller sind genau die selben pcs drin... lediglich eine einstellung im bios reicht um beiden maschinen zu sagen was sie eigentlich sind,...



[ nachträglich editiert von Anomalie ]
Kommentar ansehen
05.01.2014 13:39 Uhr von Anomalie
 
+5 | -5
 
ANZEIGEN
das hat nichts mit freiwillig oder zwang zu tun...

naturlich sind geldautomaten oder drucker lediglich ein service der bank, aber genau für diesen service wird eine menge getan...
bloß verstehe ich nicht wie man ständig seinen senf zu irgrend etwas geben kann, worüber man im grunde genommen keine ahnung hat !

selbst der beste epp sichtschutz bringt nichts, wenn ein großteil der deutschen bevölkerung so doof ist und bei der pin eingabe nicht die hand drüber macht, oder seine pin auf die karte oder im geldbeutel hat, oder man diese auch noch laut vorredet wenn man an der eingabe ist...
Kommentar ansehen
05.01.2014 15:21 Uhr von jupiter_0815
 
+4 | -1
 
ANZEIGEN
Da jetzt eine Mechanische Lösung zu finden dürfte wohl eher kein problem sein.

Dicke " Edelstahl-Panzer-Dings-Platte " und die Bohren sich einen Wolf.

:)
Kommentar ansehen
05.01.2014 15:57 Uhr von Xerces
 
+7 | -5
 
ANZEIGEN
@anomalie:
"wenn ich mich den ganzen schwachsinn hier so durchlese was einige leute hier so abgeben, muss ich echt sagen "einfach mal die fresse halten wenn man keine ahnung hat"..."

Das ist bei dir natürlich sicher anders. Du bist ja ein Super-Fachmann, oder?

"ich war servicetechniker für banken, und kann daher sagen wie ein geldautomat aufgebaut ist...."

Aha. Du meinst wohl, dass Module austauschen usw. reichen, um diese Maschinen zu verstehen? Ich tippe mal, dass ein "Service-Techniker", relativ wenig Ahnung von Informatik hat.

"sicherlich ist die software von den banken anders, jedoch, abhängig von der modelreihe eines herstellers, nicht die hardware..."


Der Satz ist unverständlich (neben der gewöhnungsbedürftigen Rechtschreibung). Die Software der Banken ist anders, jedoch abhängig von der Modellreihe, aber nicht von der Hardware? Hä?

Willst du damit sagen, dass die Hardware immer gleich ist?

"von wegen geizig... hier solltest du mal ganz schnell zurück rudern freund nase... du hast absolut keine ahnung was die banken im hintergrund alles tun um genau so etwas vorzubeugen... das denkst du wieviele geldautomaten ich zu meiner zeit als techniker von tag zu tag umgerüstet habe?!"


Drei? Was spielt denn das für eine Rolle? Dass XP veraltet ist und ein Sicherheitsmodell hat, das einem Flickenteppich gleicht (COM/DCOM, Pufferüberläufe, automatisches Laden von Komponenten usw.), weiß doch inzwischen jeder. Und Microsoft selbst warnt vor Sicherheitslücken.

"das die geldautomaten noch unter winxp laufen liegt an der tatsache, dass gewisse organisationen (nicht die banken), momentan kein anderes betriebssystem zulassen, weil windows xp noch das sicherste ist. hier müssen unzählige tests durchgeführt werden, und das dauert seine zeit..."

Wie lange schon gibt es Alternativen? Hardware wie Software muß kaufmännisch über einen gewissen Zeitraum abgeschrieben werden. Die Banken unterlassen dies oft bei der Software. Hinzu kommt, dass man der Philosophie unterliegt, dass man funktionierendes nicht ändern sollte. Das rächt sich manchmal. Desweiteren war hier offensichtlich der Automat ungünstig konfiguriert (Boot durch USB, Abhängen des Netzwerkes). Das hätte man verhindern können. Wenn ein Zugang durch USB notwendig ist, könnte man diese zentral über das Netz temporär öffnen und durch Zertifikate sichern. Das geht auch unter XP.

Du als Service-Techniker kannst sicher beantworten, warum dies nicht getan wurde.


"erst vor 3 jahren wurde von win nt auf xp umgestellt... momentan laufen tests mit windows 7..."

Was verspricht man sich davon? Wenn man die gleichen Lücken (Nicht gepanzertes Gehäuse, Boot über USB, Abklemmen des Netzes, keine Zertifikate) offen läßt, wird einem Windows 7 auch nicht helfen.
Man kann unter jedem Betriebssystem falsch oder unsicher konfigurieren.

"bekomms echt an der klatsche mit manchen leuten hier..."

Willst du damit auf deine weit überlegene Sachkenntnis anspielen? Nun, da habe ich so meine Zweifel, dass du tatsächlich so fachkundig bist.


"edit: ein beispiel noch: in einem geldautomat und in einem kontoauszugsdrucker von einem hersteller sind genau die selben pcs drin... lediglich eine einstellung im bios reicht um beiden maschinen zu sagen was sie eigentlich sind,... "

Geil. Es gibt Programme, die auf einem PC mal einen Brief tippen lassen und mal damit ein Spiel ermöglichen. Und das Beste ist, dass der PC vorher gar nicht weiß, ob er nun eine Schreibmaschine oder eine Daddelmaschine ist. Man muß einmal hier und einmal da klicken. Super Technik, was?
Kommentar ansehen
05.01.2014 16:15 Uhr von langweiler48
 
+6 | -0
 
ANZEIGEN
Ich möchte mich jetzt hier nicht in die fachlich sehr kompetenten Kommentaren einklinken. Ich möchte nur mal Folgendes anfügen. Wer Geldautomaten eine externe Bootmöglichkeit gibt, der braucht auch die Tresore im Gebäude nicht mehr sichern.
Kommentar ansehen
05.01.2014 16:42 Uhr von tvpit
 
+13 | -0
 
ANZEIGEN
Mit Win95 wäre das nicht passiert,es hätte den USB Stick nicht erkannt.
--ironie off...
Kommentar ansehen
05.01.2014 18:07 Uhr von Schmollschwund
 
+4 | -3
 
ANZEIGEN
@Crawlerbot

Sorry mehr durfte ich nicht in die News einbringen.
Die Löcher haben sie natürlich Professionell verklebt.
-------------
Warum hast du dann mehr als 300 Zeichen im letzten Abschnitt?

Außerdem: Statt z.B. "Die Täter" kann man auch schreiben; "Sie". Das es Täter sind, ergibt sich aus dem Kontext. Man kann also sparen um sinnvolle Infos mit einzubinden....

Statt "Geldautomat"kann man auch nur "Automat" schreiben, ergibt sich auch aus dem Kontext. Hast ja "Geldautomat" schon in der Überschrift. Wenn der Leser das nicht rafft, dann sollte er keine News lesen ;)
Kommentar ansehen
05.01.2014 18:26 Uhr von turmfalke
 
+0 | -3
 
ANZEIGEN
Weiß jemand wo der Bohrer angesetzt wird und warum laufen die Geldautomaten unter XP, haben Experten nicht gesagt es sei das anfälligste Windows geworden weil es kaum noch Updates gibt?
Kommentar ansehen
05.01.2014 18:37 Uhr von Sir-Hoschi
 
+7 | -0
 
ANZEIGEN
Die buchen das Geld wenigstens nicht von einem fremden Konto sondern räumen ein beliebiges Geldfach im Automaten leer. Bankraub ohne Waffen und Tote/Verletzte. Sauber.

...solange die nicht auf die Idee kommen, das von den Steuerzahlern ausgleichen zu lassen ;-)
Kommentar ansehen
05.01.2014 23:45 Uhr von Mauzen
 
+3 | -0
 
ANZEIGEN
Und jede normale Antivirensoftware, selbst mit freier gewerblicher Nutzung, haben inzwischen einen Autorun blocker drin, um gerade solche Infektionen durch USB sticks zu verhindern.
Vielleicht sollte man auch mal daran denken, das ganze System nicht einfach ungesichert laufen zu lassen. Selbst die Ticketautomaten in der Bahn müssen entsperrt werden bevor da irgendwas software oder hardwaremäßiges gemacht werden kann.

Warum bekommen unsere Banken das nicht hin? Zu geizig zumindest einen Fachinformatiker pro Bezirk einzustellen? Die könnten das auf jeden Fall schon.

Naja selber schuld, gegen die Malware habe ich noch nicht mal groß was. Endlich wird mal bei der Bank direkt gestohlen, und die Bank muss für ihre eigenen Fehler bezahlen, nicht der Kunde.

[ nachträglich editiert von Mauzen ]
Kommentar ansehen
06.01.2014 10:07 Uhr von Xerces
 
+2 | -0
 
ANZEIGEN
@djerun:
"ein geldautomat hat keine verbindung zum internet..."

Okay. Das war hier aber nicht das Problem. Problematisch war, dass man die Verbindung zum Intranet komplett kappen konnte, ohne dass es Auswirkungen auf die Funktion des Automaten hatte. Man konnte in aller Ruhe Protokolle löschen, zusätzliche Software installieren usw. Warum wurde der Code nicht beispielsweise über Zertifikate und Verschlüsselung geschützt? Warum gab es keinen Hashkey über den gesamten Code, um Manipulationen zu erkennen?

"bzw visa/dk schreiben entsprechende schutzmaßnahmen für diese netzbereiche vor"

Welche Schutzmaßnahmen? Offensichtlich sind diese Maßnahmen nicht hinreichend.

"zusätzlich ist ein direkter zugriff auf die usb-ports des rechners für unbefugte nicht üblich,
so das sich entsprechende schutzsoftware erübrigt"

Ach so. Und von "Innen" geht keine Gefahr aus? Es gibt keine illoyale Mitarbeiter? Es gab noch nie Insider, die Missbrauch betrieben? Sorry, aber das ist reichlich naiv für eine Bank, für die eine Gefahr gerade durch eigene Mitarbeiter besteht (Stichwort: Steuer-CDs).

"und was viele auch vergessen: wir sprechen hier nicht von einem heimrechner, der mit beliebiger, frei erhältlicher software betrieben werden kann"

Eben nicht. Die Täter konnten ihre eigene Software ausführen, Daten und Protokolle löschen uvm.

"im gewerblichen umfeld, insbesondere mit derart sicherheitskritischen anforderungen, muss auch die software diesen anforderungen genügen"

Nochmal, welche Anforderungen? Offensichtlich reichen diese nicht, wenn ein Bohrer, ein Stick mit Software genügen, um beliebig Geld vom Automaten abheben zu können.

Ich gebe dir aber darin recht, dass das alles nicht unmittelbar was mit XP zu tun hat, sondern eher mit fehlerhafter, unsicherer Konfiguration der Umgebung und schlechter Banksoftware, die Kompromittierungen schlichtweg nicht erkannt hat.
Kommentar ansehen
06.01.2014 11:23 Uhr von Xerces
 
+1 | -0
 
ANZEIGEN
@djerun:

"da ich nicht weiß wo dieser geldautomat stand kann ich auch nicht sagen welche vorschriften da im einzelnen gelten"

Scheint in Brasilien passiert zu sein. Hauptpunkt war ja, dass physische Angriffe (Zugang zu einem USB-Port) möglich waren. In Deutschland sind die Automaten ja gepanzert.

"ich kenne mich maximal mit den vorgaben in deutschland aus"

Interessant ist aber, dass du dich genau zu diesem Vorgang hier geäußert hast und nun zurückruderst. Außerdem wäre es interessant zu wissen, wie denn die Vorgaben in Deutschland genau diesen "Einbruch" verhindert hätten. Ich habe hierzu ein paar übliche Mechanismen aufgelistet. Sind denn wenigstens diese oder ähnliche in den Vorgaben, die du erwähnst, vorhanden?

"in kanada ist es zb so, das ein barbesitzer einen geldautomaten aufstellen kann und da kann ich zb nicht sicher sagen, das dieser automat an ein rechenzentrum angebunden ist, was den kontakt permanent überwacht"

Darum geht es doch gar nicht. Natürlich darf so ein Gerät auch autark arbeiten, wenn es denn unbedingt nötig ist. Aber warum ist es zulässig, einen Zugang (USB) zu benutzen, ohne dass eine Überprüfung über einen geschützten Server (Zertifikate) durchgeführt wird? Warum kann man Protokolle löschen, ohne dass diese zuvor auf einem Server gesichert werden? Außerdem kann man auch eine Verbindung über VPN über GSM, UMTS o.ä. aufbauen. Jede Kasse mit EC-Funktion baut eine temporäre ISDN-Verbindung zur Bank auf.

"(bei stromausfällen kann die verbindung zb ja auch unterbrochen sein)"

Stromausfall wo? Beim Automaten? Dann dürfte der ganze Automat nicht funktionieren. Im Rechenzentrum der Bank? Dann wird über USV das Zentrum heruntergefahren und ein Schwenk auf ein anderes Rechenzentrum durchgeführt, das eine exakte Kopie des ausgefallenen Systems darstellt.
Man kann mit Sicherheit davon ausgehen, dass diese Szenarien in den Rechenzentren der Banken abgedeckt sind.

"deshalb geht man in kanada auch eher direkt an automaten die von banken aufgestellt werden"

Verstehe ich nicht. Jetzt haben wir neben Brasilien, Deutschland auch noch Kanada zur Diskussion, wobei doch die Systeme überall sicher laufen sollten.

Ich bleibe dabei, das System war geradezu sträflich ungesichert. Ich hätte gerne Informationen hierzu, ob ein ähnliches Vorgehen von Tätern auch in Deutschland möglich wäre, wenn die Täter denn physischen Zugang zu den Automaten hätten.
Kommentar ansehen
06.01.2014 11:52 Uhr von Xerces
 
+1 | -0
 
ANZEIGEN
@djerun:
"achja und ob es sich um geräte aus brasilien handelt möchte ich nicht bejahen, da brasilien stark auf open source setzt und microsoft und windows aus vielen bereichen verbannt hat"

Die Präsentation beim CCC läßt darauf schliessen, dass die Vorfälle in Brasilien stattfanden. Aus Gründen der Verschleierung und Geheimhaltung, um das Image der betroffenen Bank bzw. Banken nicht zu beschädigen, könnte es allerdings sein, dass die Präsentationen bewußt einen falschen Hinweis auf Brasilien gelegt haben.
Kommentar ansehen
06.01.2014 12:02 Uhr von Jason31
 
+1 | -0
 
ANZEIGEN
Leute, Leute... Ihr vermischt hier eine ganze Reihe von Fakten mit eigenen Theorien.

Nehmen wir z.B. die PCs und die Frage zu Windows XP:
Das ist relativ einfach. An den PCs sind Hardwarekomponenten angeschlossen - eben z.B. auch so Dinge wie der Noten-Dispenser, der Touchscreen, die Kartenleser...
Viele dieser Komponenten sind zudem über USB angeschlossen, weswegen man an den PCs pauschal auch nicht einfach die USB-Ports abschalten kann.
Dann kommt hier eben hinzu, das eine ganze Reihe von Hardwareherstellern (die Komponenten im Innern), nur XP-Treiber liefern, oder nie für ältere Modelle neueres zur Verfügung gestellt haben. Hat jemand ältere Canon-Drucker? Und, schon mal win64 Treiber dafür gesucht? (hab hier noch so eine Treiber-Leiche rum stehen)
Alte Geräte müssen aber nach wie vor unterstützt werden, weswegen es die Geräte (mit XP) auch noch einige weitere Jahre geben wird.

"jaja... Win XP...":
Ist doch hier gänzlich irrelevant. Selbst bei der Nutzung eines völlig eigen entwickelten Betriebssystems, könnte man dennoch von einem USB-Stick was auch immer Booten (da dies ja offenbar erlaubt ist an den PCs) und eine eigene Software dort laufen lassen. Die dann eben z.B. schlicht den Noten-Dispenser ansteuert und dem z.B. sagt "gibt mal 6 hunderter aus". Danach zieht man den Stick ab, startet die Kiste neu durch - und keiner Sau fällt etwas auf. Das hat mit dem System und seiner Anfälligkeit schlicht gar nichts zu tun. Die Sicherheitslücke ist/war die schlichte Möglichkeit von einem Stick booten zu können. So etwas kennen auch die meisten von daheim, wo sie es als Rettungsdatenträger nutzen, und ebenso Zugriff auf ihr System erhalten - unabhängig davon welches das ist.
Das gleicht dem Gedanken sein System sonst wie sicher zu machen, den PC aber vor die Tür zu stellen und der Meinung zu sein: Was soll passieren? Der is doch sicher... Bis den einer unterm Arm nimmt.

"Die Software der Banken..."
Nun, Banken schreiben keine Software - sonst wäre es auch keine Bank, sondern ein Software-Systemhaus. Banken lassen die Software schreiben. Einer dieser Hersteller für Bankensoftware ist z.B. die Firma GAD (http://www.gad.de), deren Software läuft - nur um mal ein Beispiel zu nennen - auf den Automaten der Volks- und Reifeisenbanken. Auch deren Online-Banking wird über die GAD-Server abgewickelt.
So kauft jede Bank Software und Hardware-Produkte auf dem freien Markt, nach jeweiligem Stand der Technik zum Anschaffungszeitpunkt.

@Xerces
> "Jede Kasse mit EC-Funktion baut eine temporäre ISDN-Verbindung zur Bank auf."

Nein, ist so nicht ganz richtig. Zum einen bauen diese Terminals überhaupt gar keine Verbindung zu Banken auf. Es wird eine Verbindung zum jeweiligen Provider aufgebaut, z.B. TeleCash. Damit haben die Banken überhaupt gar nichts zu tun. Jeder Provider, und da gibt es etwa 5 große in Deutschland, verfahren nach unterschiedlichen Richtlinien. So erlaubt der eine Provider nur ISDN-Zugang, der andere TCP/IP und ISDN oder nur TCP/IP. Hierfür trägt auch alleinig der Provider die Verantwortung, nicht die Bank. Viele Provider nutzen auch, in Verbindung mit den mittlerweile verbreiteten EMV-Chips in den Bankkarten einen "Halb-Online Modus". Dabei wird bei Kleinzahlungen gar keine Verbindung zur Liquiditätsprüfung aufgebaut, es reicht dann dem Terminal völlig wenn die PIN vom EMV-Chip verifiziert wurde.

Es wird nach meinem Eindruck hier im Thread, wie Vorredner auch schon feststellten, offenbar mit einer zu großen Portion an Halbwissen argumentiert, ohne mir jetzt die Mühe zu machen weiter auf jedes Märchen einzugehen.
Kommentar ansehen
06.01.2014 12:36 Uhr von Xerces
 
+1 | -0
 
ANZEIGEN
@Jason:

"Leute, Leute... Ihr vermischt hier eine ganze Reihe von Fakten mit eigenen Theorien."

Jetzt bin ich aber gespannt.

"Nehmen wir z.B. die PCs und die Frage zu Windows XP:
Das ist relativ einfach. An den PCs sind Hardwarekomponenten angeschlossen - eben z.B. auch so Dinge wie der Noten-Dispenser, der Touchscreen, die Kartenleser...
Viele dieser Komponenten sind zudem über USB angeschlossen, weswegen man an den PCs pauschal auch nicht einfach die USB-Ports abschalten kann."

Wieso sollte das nicht gehen? Ich kann doch freie Ports sperren. Außerdem kann ich exakt abfragen, ob eine gewisse erwartete Hardware an dem Port angeschlossen ist. Daneben kann ich die Bootmöglichkeit über USB verhindern.

"Dann kommt hier eben hinzu, das eine ganze Reihe von Hardwareherstellern (die Komponenten im Innern), nur XP-Treiber liefern, oder nie für ältere Modelle neueres zur Verfügung gestellt haben. Hat jemand ältere Canon-Drucker? Und, schon mal win64 Treiber dafür gesucht? (hab hier noch so eine Treiber-Leiche rum stehen)"

Win64 ist doch jetzt ein ganz neues Thema. Wenn Hersteller keine Treiber liefern sollten, sollte die Bank einen anderen Anbieter auswählen. Der Wettbewerb ist so groß, dass die Banken hier schon eine gewisse Marktmacht ausüben.

"Alte Geräte müssen aber nach wie vor unterstützt werden, weswegen es die Geräte (mit XP) auch noch einige weitere Jahre geben wird."

Warum? Das ist doch genau das Thema, dass Banken hier an Sicherheit sparen.

"Ist doch hier gänzlich irrelevant. Selbst bei der Nutzung eines völlig eigen entwickelten Betriebssystems, könnte man dennoch von einem USB-Stick was auch immer Booten (da dies ja offenbar erlaubt ist an den PCs) und eine eigene Software dort laufen lassen."

Nein. Gerade XP ist so offen, dass ich mich mittels Software in das Betriebssystem einklinken kann. Und da kann ich dann überprüfen, welche Software hier gestartet werden soll. Das geht mittels Zertifikaten, Checksummen u.a. Dass beliebige Software über einen Stick einfach ausgeführt wird, ist durch nichts zu entschuldigen.

"Die dann eben z.B. schlicht den Noten-Dispenser ansteuert und dem z.B. sagt "gibt mal 6 hunderter aus". Danach zieht man den Stick ab, startet die Kiste neu durch - und keiner Sau fällt etwas auf."

Wieso fragt der Treiber des Dispensers nicht einfach ab, wer ihm gerade befiehlt, Geld auszuzahlen? Gibt es keine Plausibilitätsprüfung?

"Das hat mit dem System und seiner Anfälligkeit schlicht gar nichts zu tun."

Sehe ich anders.

"Die Sicherheitslücke ist/war die schlichte Möglichkeit von einem Stick booten zu können. So etwas kennen auch die meisten von daheim, wo sie es als Rettungsdatenträger nutzen, und ebenso Zugriff auf ihr System erhalten - unabhängig davon welches das ist."

Das war der Startpunkt. Aber weitere Mechanismen fehlten eben auch. Es ist eine Verkettung von Nachlässigkeit, die den Einbruch ermöglichten.

"Nun, Banken schreiben keine Software - sonst wäre es auch keine Bank, sondern ein Software-Systemhaus. Banken lassen die Software schreiben."

Wow. Du liebst es exakt oder? Nun das Systemhaus schreibt auch keine Software, sondern läßt sie von Programmierern schreiben. Soviel Zeit muß sein. :-)

"Einer dieser Hersteller für Bankensoftware ist z.B. die Firma GAD (http://www.gad.de), deren Software läuft - nur um mal ein Beispiel zu nennen - auf den Automaten der Volks- und Reifeisenbanken."

Heißen die nicht Raiffeisenbank?

"Auch deren Online-Banking wird über die GAD-Server abgewickelt.
So kauft jede Bank Software und Hardware-Produkte auf dem freien Markt, nach jeweiligem Stand der Technik zum Anschaffungszeitpunkt."

Ist doch völlig egal, wo das herkommt? Die Banken haben hoffentlich Anforderung an die Soft- und Hardware definiert.

"Nein, ist so nicht ganz richtig."

Das ist mir klar, dass das nicht immer so gemacht wird. Ich will hier ja keinen Aufsatz darüber schreiben, wie bargeldloser Verkehr funktioniert. Ich wollte nur illustrieren, dass man auch mit geringer Infrastruktur eine sichere Kommunikation aufbauen kann. Dies gilt auch für Geldautomaten.


"Es wird eine Verbindung zum jeweiligen Provider aufgebaut, z.B. TeleCash."

Schon klar.

"...So erlaubt der eine Provider nur ISDN-Zugang, der andere TCP/IP und ISDN oder nur TCP/IP. Hierfür trägt auch alleinig der Provider die Verantwortung, nicht die Bank..."

Ist hier alles nicht Thema.

"Es wird nach meinem Eindruck hier im Thread, wie Vorredner auch schon feststellten, offenbar mit einer zu großen Portion an Halbwissen argumentiert, ohne mir jetzt die Mühe zu machen weiter auf jedes Märchen einzugehen."

Wo genau war jetzt das Halbwissen? Aus meiner Sicht hast du genau meine Darstellung bestätigt (in Teilbereichen zudem noch präzisiert), aber versucht die Nachlässigkeit der Banken zu relativieren. Genau das sehe ich aber anders. Die Banken sind immer noch zu nachlässig, was die Sicherheit anbelangt.
Kommentar ansehen
06.01.2014 14:00 Uhr von Jason31
 
+0 | -0
 
ANZEIGEN
@Xerces

> "Wieso sollte das nicht gehen?"
Weil du nicht einen dedizierten Port sperren kannst, sondern z.B. mindestens nur einen Hub-Node, der besteht aus mindestens 2 USB-Anschlüssen. Manche Chipsätze unterstützen nicht einmal dies seitens des BIOSes, da kann man dann nur komplette USB-Controller deaktivieren (wie viele Ports das dann auch immer konkret sind). Das ist keine Frage des ob, sondern eine Frage dessen was konkret an PC-Hardware verbaut ist. Ist letztlich auch völlig irrelevant, da ich bereits schrieb das die Bootmöglichkeit erlaubt ist/war - schön das dir das (nicht) aufgefallen ist. Letzten Endes geht die Frage auf die Aussage einer Person hier zurück, die fragte warum da überhaupt USB aktiviert ist. Meine Aussage beantwortet diese Frage, oder etwa nicht?

> "Wenn Hersteller keine Treiber liefern sollten, sollte die Bank einen anderen Anbieter auswählen."
Offenbar hast Du nicht verstanden was ich schrieb: Die Banken haben damit nur sekundär zu tun. Primär sind die Software-Häuser in der Verantwortung. Hier existieren aber kaufmännische Interessen: Wenn ein Anbieter einer Bank sagt, dass sie 5000 Bankautomaten für eine Summe X umrüsten "muss" nur um, sagen wir Win7 einzusetzen, kann man kühl rechnen und sagen: Wie viel Schaden kann in der noch veranschlagten Betriebszeit von - sagen wir 3 Jahren - an so einem Gerät entstehen. Wenn der Schaden dann noch wie hier nicht einmal - wie man so schön sagt - "grobfahrlässig" entstanden ist (es liegt ja ein konkreter Einbruch vor), deckt den Schaden ohnehin die Versicherung. Welche Veranlassung hat hier also eine Bank diese Investition zu tätigen?

> "Das ist doch genau das Thema, dass Banken hier an Sicherheit sparen."
Ist das nicht ihr gutes Recht? Aus welcher Veranlassung heraus besteht hier eine dringende Verpflichtung einer weitreichenden Neuanschaffung/Umbaumaßnahme? Hast Du eine Ahnung was so ein Gerät kostet? Mal zum Vergleich: Das schwankt zwischen dem Anschaffungswert (Neuwagen) eines Kia-Kleinwagens und eines BMW-Mittelkassegefährts. Hast Du eine Ahnung wie viele von den Dingern in der BRD verteilt stehen? Die Kosten stehen in keiner Relation zum hypothetischem Schaden der möglich wäre. Sollte zudem wegen dem eine solche Investition veranlasst werden, könnte man seitens der Bankführung sogar von Veruntreuung reden.

> "Gerade XP ist so offen..."

Super. Fallbeispiel: Wir installieren mal Linux auf dem Ding. Inwieweit hindert es mich daran von einem USB-Stick zu starten, den Noten-Dispenser anzusteuern und den mal in den "Jackpot-Modus" zu bringen? Für das hier besprochene Thema ist es somit irrelevant, wie ich bereits schrieb. Hätte, wenn und aber - alles Diskutierbar, aber rein hypothetisch und zum hier beschriebenen Thema ohne jeden Belang.
Nicht zuletzt existieren im Bereich XP eine Reihe von Sicherheitssystemen im industriellen Bereich, die Du natürlich nicht kennen kannst, wenn du XP nur vom "Heim-PC" als solches her kennst.

> "Wieso fragt der Treiber des Dispensers nicht einfach ab, wer ihm gerade befiehlt (...)"
Ich bin Deine Mama! Beweis mir jetzt doch mal das Gegenteil. Die - im Übrigen - Firmware der Komponenten kann nur bedingt "Dinge" prüfen. Wenn Daten gemäß des jeweiligen Protokolls versendet werden, ist der Fake vom Original nun einmal nicht zu unterscheiden.
Es gibt zwar mittlerweile Komponenten die verschlüsselt kommunizieren, allerdings hat das einfach den Nachteil, dass der dafür nötige Schlüssel nun einmal in der Software stecken muss, die in dem Automaten läuft. Sprengt man das Ding also auseinander und schaut sich das jeweilige Programm an, ist - mit jeweiligem Aufwand - dieser Schlüssel ermittelbar, und diesen bei allen Geräten zu diversifizieren macht Servicetätigkeiten enorm schwer und teuer. Hier kommt dann wieder die kaufmännische Betrachtung zum Tragen.

> "Es ist eine Verkettung von Nachlässigkeit, die den Einbruch ermöglichten."

Ist es demnach auch eine Nachlässigkeit das man die Automaten aufsprengen kann? Welchen Sinn hat es, ein Gerät auf der Softwareseite (theoretisch) unangreifbar zu machen, wenn dann immer noch der klassische Weg mit lautem Rumms möglich ist? Zumal: In wie vielen Fällen wird denn der "offen wie Scheunentor Win XP Weg" gewählt, im Vergleich zum Modell "Rumms"? Man kann letztlich das ganze Ding auch aufsägen, zieht das Datenkabel des noten-Dispensers vom PC ab und stöpselt den an ein mitgebrachtes Notebook. Wie ich oben schon schrieb: Der PC der vor der Tür steht, den kann man so sicher machen wie man will - den nimmst Du unter den Arm.

> "Heißen die nicht Raiffeisenbank?"

Das ist mir eigentlich relativ schnuppe wie die sich nun genau schreibt - die kann von mir aus auch TackaTucka-Bank heißen - aber wenn es Dich Glücklich macht: Ja, die heißt Raiffeisenbank. Und? Was ist jetzt anders? Ich spür noch nichts...
Kommentar ansehen
06.01.2014 14:01 Uhr von Jason31
 
+1 | -0
 
ANZEIGEN
> "Ist doch völlig egal, wo das herkommt? Die Banken haben hoffentlich Anforderung an die Soft- und Hardware definiert."

Wieso ist das völlig egal? Ist das die Selbe menschliche Einstellung die es verursacht, dass das 3 Euro T-Shirt aus Bangladesh stammt "Ist mir doch egal"? Und nein, die Banken definieren Useability im Rahmen der ZKA-Vorgaben (ZKA = Zentraler Kreditausschuss), die von der Kreditwirtschaft gemeinsam repräsentiert wird. Letzterer bestimmt nämlich bis ins letzte Detail wie so ein Gerät funktionieren muss, auf hunderten von Seiten. Da geht es nicht nur um Verschlüsselungen und Funktionsweisen, sondern auch wie so ein Gerät konstruiert werden muss. Darin ist z.B. auch definiert, dass ein - wie man es im Handel findet - klassisches EC-Terminal nicht unbeaufsichtigt in einem Automaten betrieben werden darf, das müssen spezielle Geräte sein die bestimmte Anforderungen erfüllen.

Jene Vorgaben legen aber auch klar fest, dass das Ganze nicht nur für den Kunden vernünftig nutzbar ist, sondern auch für den Betreiber und die darin involvierten Service-Instanzen. Alle Geräte die die ZKA Vorgaben erfüllen, aber in die trotzdem eingebrochen wird, trägt entweder der Betreiber den Verlust oder dessen Versicherung.

> "Wo genau war jetzt das Halbwissen?"

An der Stelle, wo jemand behauptet "das sei ja alles viel zu lasch geregelt", ohne je die duzenden Aktenordner gesehen zu haben, die eben jene "laschen" Regelungen enthalten.

> "(...) versucht die Nachlässigkeit der Banken zu relativieren."

Aus reiner Kundensicht, bin ich sehr stark dafür, dass ein Unternehmen (in dem Fall eine Bank) nicht (nur mal als Summe X) 100 Mio. Euro investiert, um damit einen Schaden von (ebenso eine fiktive Summe) 1 Mio. Euro zu unterbinden. Denn ich als Kunde zahle diesen "Sicherheitszuwachs", der mir als Kunde nun einmal überhaupt nichts bringt. Oder tangiert es dich persönlich, wenn man Deiner Bank 500 Euro aus der Spardose klaut?
Die Sinnhaftigkeit habe ich weiter oben bereits hinterfragt.

Deswegen bitte
> "Sehe ich anders."
Kommentar ansehen
06.01.2014 15:17 Uhr von Xerces
 
+1 | -0
 
ANZEIGEN
@Jason:
"Wieso ist das völlig egal? Ist das die Selbe menschliche Einstellung die es verursacht, dass das 3 Euro T-Shirt aus Bangladesh stammt "Ist mir doch egal"?"

Du hattest darauf bestanden, dass die Software von Systemhäusern und nicht von Banken stammt. Daraufhin habe ich erwidert, dass das keinen Unterschied für diesen Fall macht und du schreibst was von T-Shirts?

Sorry, aber das disqualifiziert dich.

Auch der ganze Rest mit den Kosten usw. den du geschrieben hast, ist nicht nachvollziehbar. Mit den Automaten sparen die Banken Kosten, indem sie weniger Personal benötigen. Wäre ich jetzt gehässig, würde ich dir vorwerfen, dass dein Plädoyer für die Automaten verwerflich sei, weil Automaten Arbeitsplätze vernichten. Das wäre dann der gleiche Unsinn wie die T-Shirts.

Inhaltlich schreibst du, dass sichere Systeme möglich wären, aber die Kosten hierfür zu hoch.

Das ist aber in etwas genau das, was ich auch geschrieben habe. Die Banken verzichten auf Sicherheit, weil sie die Kosten scheuen. Hier wurde nur die Bank geschädigt, aber es gibt auch Fälle, die den Bankkunden schädigen, der dann die Beweislast für seine Unschuld trägt.

Was wäre denn, wenn die Software ein Konto eines Kunden belastet hätte? Der müßte dann beweisen, dass er damit nichts zu tun hatte.

Refresh |<-- <-   1-25/27   -> -->|
Diese News zu meinen Favoriten hinzufügen Beitrag abgeben


Copyright ©1999-2017 ShortNews GmbH & Co. KG

Die News auf dieser Website werden eigenverantwortlich von Nutzern erstellt. Die Shortnews GmbH & Co. KG nimmt keinen redaktionellen Einfluss auf die Inhalte.

impressum | agb | archiv | usenet | zur mobilen Ansicht
SCHLIESSEN

Willst Du die Seite wirklich verlassen?


DAS KÖNNTE DICH AUCH INTERESSIEREN

NATO-Gipfel: Trump blamiert sich als Pöbel
Campino findet, Jan Böhmermann habe einen "zynischen Pipihumor"
Manchester-Attentat: Obdachloser Held bekommt von Fußballklub Wohnung spendiert


...oder unseren und keine aktuellen News mehr verpassen?