News
29.07.2010, 08:20 Uhr
Hack: Gratis-Cash vom Bankomaten
Bestimmte Bankomaten lassen sich recht einfach hacken und spucken dann so lange Geld aus, bis sie leer sind.
Der Security-Experte Barnaby Jack hat an der Hackerkonferenz «Black Hat» in San Francisco gleich zweimal den Jackpot geknackt. Durch die Ausnutzung von Software-Fehlern in zwei Bankomattypen hat der Forscher der Security-Firma IOActive die Maschinen dazu veranlasst, ihm Bares auszugeben, ohne dass sein Konto belastet worden wäre. Zudem gelang es ihm, sensible Kontoinformationen von Leuten auszuspionieren, welche die Bankomaten ebenfalls benutzten.
Gezeigt wurden die Attacken auf zwei Systemen, die Jack gekauft hatte und die typischerweise in Geschäften sowie Einkaufszentren aufgestellt werden. Diese Arten von Bankomaten sind schon verschiedentlich das Ziel von Angriffen gewesen, etwa, indem Diebe Lesegeräte installierten und Magnetstreifeninfos zusammen mit den PIN der Nutzer sammelten, oder indem die nicht verankerten Geräte einfach mit einem Lieferwagen abtransportiert wurden.
Gezeigt wurden die Attacken auf zwei Systemen, die Jack gekauft hatte und die typischerweise in Geschäften sowie Einkaufszentren aufgestellt werden. Diese Arten von Bankomaten sind schon verschiedentlich das Ziel von Angriffen gewesen, etwa, indem Diebe Lesegeräte installierten und Magnetstreifeninfos zusammen mit den PIN der Nutzer sammelten, oder indem die nicht verankerten Geräte einfach mit einem Lieferwagen abtransportiert wurden.
Gefährlicher ist allerdings, was Jack an der Black Hat demonstrierte. Er hackte die Management-Software der Geräte, rief danach die Bankomaten an, installierte ein Rootkit-Lexikon und überschrieb abschliessend die Firmware. Daneben entwickelte Jack sein eigenes Managementwerkzeug für die Geldautomaten. Mit dem Dillinger getauften Tool war es anschliessend möglich, die Daten der Nutzer der Bankomaten zu sammeln.
Um zu demonstrieren, wie sehr er die Geldautomaten, die alle unter Windows CE liefen, im Griff hat, liess er auf ihnen die selbstgeschriebene Software «Jackpot» laufen. Und siehe da, der Bankautomat spuckte die grünen Dollar-Scheine munter aus, während das Gerät eine Melodie spielte und auf dem Bildschirm der Schriftzug «Jackpot» erschien. Wer dabei zuschauen will: Auf YouTube gibt es ein Video dazu.
Wie Jack betonte, handle es sich bei allen von ihm gezeigten Tools um sogenannte «Proof of Concept»-Programme, die noch nicht in falsche Hände geraten seien. Mit seiner Demonstration wolle er lediglich die Diskussion über die Sicherheit der Geldmaschinen anregen. «Es ist an der Zeit, dass diese Maschinen überarbeitet werden», fordert Jack.
Kommentare
Es sind keine Kommentare vorhanden.