Geldautomaten-Hack auf Sicherheitskonferenz

Auf der Black Hat Computer-Sicherheitskonferenz in den USA wurden drei Hacks von Geldautomaten live vorgeführt. Der wohl schönste bringt den Geldautomaten dazu ein Lied zu spielen und ähnlich wie ein Spielautomat die Scheine auszuspucken.

Von der Seite “Kartensicherheit.de

Das Abheben am Geldautomaten ist grundsätzlich sicher und wird tagtäglich millionenfach ohne Probleme abgewickelt.
In seltenen Fällen kommt es vor, dass Betrüger versuchen, den Magnetstreifen einer Karte am Geldautomaten oder Türöffner zu kopieren, die PIN auszuspionieren und danach die duplizierte Karte zu nutzen.

Hier der Link zu einem aktuellen Video von der black hat Computersicherheitskonferenz auf der MIT-Seite technologyreview.com.
Barnaby Jack, der Hacker im Video (jetzt Forschungsdirektor einer Sicherheitsfirma), knackt auf verschiedene Arten Geldautomaten. Er nutzt eine Sicherheitslücke im Authentifizierungssystem um sich zu dem Automaten zu verbinden und seine eigene Software aufzuspielen. So kann er einmal mit einer falschen Karte selbst Geld abheben, oder die PIN Nummern anderer Kunden auslesen.
Beim letzten Hack öffnet er einen Geldautomaten mit einem übers Internet bestellten Schlüssel und verbindet einen USB-Stick mit der Hauptplatine. Dann bringt er die Maschine dazu, ein Lied zu spielen und minutenlang Scheine auszuspucken (Siehe Videoausschnitt unten).

Link zum Video – Artikel bei Technology Review – Via discoblog – Artikel bei ZDNet

Beteilige dich an der Unterhaltung

26 Kommentare

  1. netter hack 🙂

    Es ist mit Sicherheit richtig formuliert bzw zeichengesetzt – doch ich stolpere lesenderweise bei

    Auf der black hat Computer-Sicherheitskonferenz in den

    in den Rhythmus

    Auf dem green hat Smith den putter gewählt

    Wenn LasVegas von hier aus etwas mehr um die Ecke liegen würde, würde ich mit Begeisterung zu den black-hat-briefings oder der DefCon reisen, so bleibt (ohne gefühlten Verlust) der des C³; zumindest seit dem 22C³ sind die einzelnen Vorträge auch gut erhalten.
    Es ist nicht der vollzogene, illegitime crack, der mich reizt (wegen eines genetischen Defekts fehlt mir dazu die kriminelle Energie) sondern neben dem Informiertsein über Sicherheitslücken vor allem die Faszination für Nebenlösungen und Abkürzungen; ich nenne es mal ‘kreative Umgestaltung’ bzw ‘produktive Faulheit’. Das gilt auch für so etwas wie “ikea hack”s (bitte selber suchen, link-Kontingent ausgenutzt…)

  2. Berichtet doch mal auf eine Art und Weise über solche Sachen, die weder laienhaft noch protzerisch und CCC-artig ist. Sowas müsste doch auch gehen, oder?

    Als regelmäßiger Leser meines Blogs weißt du ja, das mein Fachgebiet eher molekularbiologische Themen sind. Was nicht ausschließt, dass ich hin und wieder zu nicht verwandten Themen auch Artikel schreibe, die laienhaft klingen, weil sie von einem Laien geschrieben sind.
    Anspruchsvoller ist Thilos Serie über Kryptografie und wahrscheinlich hast du Recht, ein Computer Scientist bei den ScienceBlogs fehlt.

  3. Hi Tobias, ich dachte eigentlich, daß der Fehler bei meiner Art zu lesen läge…, für mich (testhalber formatierungsfrei kopiert) hätte das Großschreiben übrigens schon ausgereicht.

    eher molekularbiologische Themen

    Och, so ein schicker DNS-hack gegen laufende Nasen oder für einen größeren -äh- IQ 🙂

    DrWB:
    So etwas geht nämlich nicht.

    src, Beleg oder vielleicht auch nur der Ansatz einer Begründung (und Gödel nicht vergessen), warum diese Vorstellung DrWB-seits als fake eingestuft wird? Im übrigen ist das erfolgreiche Kopieren einer Magnetstreifenkarte beileibe kein Ausnutzen einer Sicherheitslücke, sondern nur die xundneunzigste Anwendung sattsam bekannter Uralt-Technologiedas(PowerLine) ist ein Lückennutzer.

  4. Man kennt diese Veranstaltungen, ein Hacker-Team, gerne auch vom CCC, stürzt sich auf einen X-Automaten und “weist nach”, dass das Gerät nicht sicher ist und dass man Experten, insbesondere auch das jeweilige Hacker-Team, benötigt, um Sicherheit und Funktionalität zu gewährleisten.
    Blabla, es benötigt natürlich umfangreiches Innenwissen, um Betriebssysteme solcher Geräte zu hacken. Man fragt sich bspw. wie man sich mit einem OS eines ATM verbindet ohne dass das bemerkt wird. So etwas geht nämlich nicht. Alles nur Show.
    Sicherheitslücken in Authentifizierungssystemen gibt es natürlich, sind aber selten und bleiben meist unentdeckt. “Geldkarten” hat der Wb schon vor 20 Jahren kopiert, nur mal um zu schauen, ob der Automat die Karte frisst (war so ne Leerkarte, kein Bankprofil und so) bei Eingabe der richtigen PIN. Und das ging, heute sind die Geräte vermutlich etwas schlauer, aber Skimming sollte noch gehen, warum auch nicht…
    Berichtet doch mal auf eine Art und Weise über solche Sachen, die weder laienhaft noch protzerisch und CCC-artig ist. Sowas müsste doch auch gehen, oder?
    MFG
    Wb

  5. @rolak

    warum diese Vorstellung DrWB-seits als fake eingestuft wird?

    Nicht als Fake. Natürlich nicht. Wenn Du es schaffst das Netzwerk auszutricksen, in dem das Gerät steht und dann andere Software aufzuspielen, dann kannst Du dem Teil auch Beine anbauen und den auf dem Kiez in den Puff (hier wohl besser: Wichsothek) schicken.
    Der Webbaer wendet sich hier ganz primär gegen Effekthascherei, denn die Betriebsunsicherheit der Geräte kann mit Vorführungen wie diesen (oder auch die CCC-Geschichte mit dem Wahlcomputer, der am Ende Schach spielte) eben nicht nachgewiesen werden. Iss nur PR des “Sicherheitsexperten”.

    Im übrigen ist das erfolgreiche Kopieren einer Magnetstreifenkarte beileibe kein Ausnutzen einer Sicherheitslücke

    Jein, mögliches Skimming wäre aber eine Sicherheitslücke am Gerät.
    Der Webbaer schätzt dieses spezielle Inhaltsangebot hier, darum auch das Feedback, der schlechtgelaunte Unterton war keinesfalls diesem durchaus beachtenswerten Kurzartikel gewidmet, sondern dem, was es sonstwo bei diesem Thema an Stuss zu lesen gibt.
    MFG
    Wb

  6. @wb
    Entschuldige, aber die Kritik halte ich für unberechtigt. Im Beispiel von Tobias ging es darum, den ATM mit einem im Netz bestellten Schlüssel zu öffnen, dann eigene Software reinzukriegen und den Automaten dazuzubringen, Geld auszuspucken. Offensichtlich geht das; und wenn man’s mitten in der Nacht macht, wird man zwar von einer Kamera erfasst, aber diese Bilder werden erstens nicht live betrachtet, und zweitens gibt’s Gesichtsmasken. Und auch wenn der ATM die Manipulation sofort an den Hersteller und die Sicherheitsfirma melden würde, wäre das Zeitfenster wahrscheinlich immer noch gross genug, um einiges an Bargeld “abzuheben”.
    In deinem Beispiel mit dem Wahlcomputer und dem CCC ging es nicht darum zu zeigen, dass man als Wähler unbemerkt die Geräte manipulieren kann, sondern dass jeder, der vor der Wahl Zugriff darauf hat, die Funktionalität abändern kann. Der CCC hat im Rahmen der Aktion auch gezeigt, wie die Computer von den besuchten Wahlstellen aufbewahrt worden sind und dass dadurch die Möglichkeit zur Manipulation grundsätzlich bestand. Das Schachspiel war der PR-Gag, schon klar; das klassische Beispiel wäre wohl eher “die Hälfte aller Stimmen automatisch Partei X zukommen lassen”.
    Schlussendlich ging es bei diesem Beispiel auch nicht darum, dass Mitglieder des CCC sich als “die besseren Sicherheitsberater” aufspielen konnten, sondern um das Aufzeigen der generellen Unsicherheit von Wahlmaschinen. Und ja, ich finde schon, dass damit gezeigt worden ist, dass diese spezifischen Geräte “betriebsunsicher” sind.
    Natürlich gehört bei Veranstaltungen wie der Black Hat auch das Show-Element dazu; dieses ATM-Beispiel gehört offensichtlich eher zum Unterhaltungsprogramm. Und natürlich nutzt auch der CCC dieses Mittel oft, um überhaupt Botschaften in die Medien zu bekommen. Das würde ich aber eher als “den zweiten Hack” bezeichnen, nämlich das Ausnützen der Mechanismen wie Medien funktionieren.

  7. oops, da ging etwas schief. bitte verzeiht die doppelten sätze.
    Kommentar oben zur besseren Lesbarkeit editiert. Tobias 31.07.10 16:05

  8. den zweiten Hack

    Ja, so könnte es bezeichnet werden, wenn PR im allgemeinen als Teilgebiet des social hack gesehen wird. Trotzdem ist die (immerhin mögliche) Wirklichkeit nicht besonders weit von einem derartigen show stopper entfernt: Der real existierende fiese Möpp wird es sich halt verkneifen, die Gurke auch noch zum Pfeifen zu bringen.
    ‘Vernetzt’ heißt ja in dem Fall, daß relevante Daten online abgefragt werden konnen und nicht, daß egal wo sofort gemerkt wird, wenn woanders manipuliert wird – und selbst wenn ist es nicht sehr wahrscheinlich, daß urplötzlich rund um das ATM die Sheriffs aus dem Boden emporschießen.

  9. @stefan
    Keine Ahnung wie gut das geht, obs praktikabel ist und so, und wie das Netzwerk reagiert.
    EINFACH ist es jedenfalls nicht und wenn man kein Innenwissen hat: GL, gentlemen!
    Das sind idT “Show-Elemente” und man kann keinem raten auf diese Art und Weise Geld verdienen zu wollen, der Eindruck täuscht ganz massiv. (Dann besser schon das Gerät aus der Verankerung reißen und zu Hause aufschweißen. 🙂
    Nah, was stört ist halt die Art der Vermittlung, dieses Reißerische, kürzlich las ich noch wie ein XOR-basierte Umsetzung angegriffen werden KÖNNTE, neh, lass stecken. Die Erkenntnisse sind zwar richtig und bedürfen der Bearbeitung, aber machen in der Öffentlichkeit nur die Leute verrückt.
    MFG
    Wb

  10. @Wm
    Cheers, alles im Grünen, auch bei Ihnen, gell?
    Ansonsten:

    …ein Computer Scientist bei den ScienceBlogs fehlt.

    Was ist denn mit diesem Burschen hier, auf den der Wb schon vor einigen Jahren aufmerksam [1] geworden ist; der deckt u.a. auch die Informatik ab, auch wenn er nicht Wissenschaftler sein will. 🙂
    MFG
    Wb
    [1] Münster guter Standort BTW, dort gibt es wohl auch andere SB-Leistungsträger, schöne Stadt zudem…

  11. @WM

    Hat der Webbaer promoviert?
    Würd ich jetzt auch gerne wissen? An welcher Uni denn und in welchem Fach?
    Ist das da http://www.webbaer.ch/ seine Homepage? Vieleicht ist er ja Segeldoktor geworden.

  12. Keine Ahnung wie gut das geht, obs praktikabel ist und so, und wie das Netzwerk reagiert.
    EINFACH ist es jedenfalls nicht und wenn man kein Innenwissen hat: GL, gentlemen!

    Da bin ich natürlich einverstanden – dass das einfach sei habe ich nicht behauptet. Aber die Demonstration im VIdeo zeigt, dass es möglich ist, und darum ging’s doch eigentlich.
    Der Typ, der den Angriffscode schreibt, der braucht Fachwissen und interne Informationen über ATMs, ganz klar. Aber das kann man sich besorgen. Der Typ, der dann am Automat steht und den Angriff ausübt, der muss überhaupt keinen Schimmer davon haben, was er eigentlich tut.
    In deinem Pokerbeispiel geht’s ja eigentlich um dasselbe: Du kannst auch eine WLAN-Verschlüsselung knacken ohne zu wissen, wie die eigentlich funktioniert; das entsprechende Tool benutzen und gut ist. Anschliessend sprechen sie davon, eine “XOR”-Verschlüsselung zu knacken – nur leider ohne genauere Angaben, wie die aufgebaut ist. Mit zu kleinem Schlüssel ist das witzlos, brute force und gut ist.
    Ich bin ja absolut einverstanden: Das kommt ziemlich reisserisch daher. Andererseits, die sprechen nicht davon, wie die Verschlüsselung angegriffen werden könnte – die zeigen, wie man’s in dem konkreten Fall macht. Ich finde schon, dass das eine andere Qualität hat. Und nein, ich habe jetzt keine Angst davor, wenn ich Onetime-Pads einsetze, die auch “nur” XOR machen. Ich würde wohl auch weiter auf besagter Page Poker spielen. Aber vielleicht nur noch von zuhause aus, nicht mehr im Pokerclub, wo noch andere Spieler mit dem Laptop rumsitzen.
    Grüsse,
    stefan.

  13. @stefan
    Der Webbaer hat noch mal die Videos kurz überflogen, sie sind nicht aussagekräftig. Was hat der gute Mann gemacht? – Er war wohl vorab am Gerät, hatte Zugang zu diesem und hat möglicherweise vorab Software aufgespielt. Dann sieht man ihn von einem anderen Rechner mittels TCP/IP eine Verbindung zum ATM aufbauen. Am Ende ist er am Gerät, kommt mit seinem Universalschlüssel (“im Internet erworben”) und spielt dann tatsächlich Software auf, die die Mätzchen ermöglichen, die in diesem Blogeintrag als Video unten verlinkt worden sind.
    “Möglich”, nach Einstein das Äquivalent zu “denkbar”, ist viel, nur weiß der Leser nicht, welche Nachricht er empfangen hat bzgl. der Unsicherheit der ATM-Netze, oder besser: Er weiß es doch, nämlich keine.
    Abschließend: Der Hacker müsste 1.) Zugriff auf den Rechner haben (“Universalschlüssel” – Gibt es den wirklich?) 2.) wissen, wie der Rechner vom Netz zu nehmen ist bzw. wie dem Netz eine normale Rechnerfunktion vorzugaukeln ist 3.) dabei (siehe 2 – Software einspielend) die Kontrolle übernehmen.
    Es mag sein, dass das für jemanden, der über genaue Kenntnisse des Gerätes, der Geräte-Software und der Netzkommunikation (des “ATM-Protokolls”) möglich ist. Es kein auch sein, dass das nicht möglich ist.
    Es wäre jedenfalls überraschend, wenn das Einspielen von Software am Gerät möglich wäre ohne dass das die Administration mitbekommt. ABER, wenn wir mal einen Blick auf die aktuelle Wikileaks-Geschichte werfen, dann ist das denkbar (und möglich 🙂 – wie kann es eigentlich sein, dass die Pentagon-Software das Bildmaterial nicht einer Person zuordnen kann, werden da etwa keine versteckten Sitzungsinformationen in das Bild- und Textmaterial gestempelt (Steganographie)?
    MFG
    Wb

  14. @rolak
    Halten wir fest, dass der Bursche die Geräte in seinem Labor hat, die Software genauestens kennt und sich die Vorführung auf ungepatchte Geräte bezieht, die es heute nicht mehr gibt.
    Hier [1] steht dann idT einmal etwas Substanzielles. Dennoch: Das war ganz klar eine Verkaufsveranstaltung und der Webbaer hält seine Zweifel an der grundsätzlichen Erfolgsmöglichkeit [2] und am unangenehmen und reißerischen Vortrag aufrecht.
    Ihre Kritik darf an dieser Stelle sicherlich auch unter Verweis auf Ihre eigenen desolaten Kommentarbeiträge in diesem Strang zurückgewiesen werden.
    MFG
    Wb
    [1] Dieser Webverweis hätte dem Artikel gut gestanden.
    [2] Wann wurde eigentlich zuletzt ein ATM “angerufen” [i] und willfährig gemacht?
    [i] vgl. den o.g. Webverweis

  15. Na da halte ich doch lieber fest, daß DrWB nicht mal gegebene links hinterliest. Vielleicht um seine Zweifel an der Funktionalität aufrechterhalten zu können, entgegen der Meinung (zumindest) eines der Hersteller der ATMs, der angesichts der drohenden Publizierung um ein Jahr delay bat, auf daß er seine Kunden erst mal über die anzuwendenden patches informieren könne.
    ‘Webverweis hätte dem Artikel gut gestanden’ – da oben wurde ein clip verlinkt, nicht versucht, die Protokolle runter bis zum wer-weiß-wievielten socket-layer auch immer zu erklären, damit die geneigte Leserschaft den hack nachvollziehen könne.

  16. Sicherheit im Computerbereich (wahrscheinlich auch sonst) ist kein Zustand, sondern eher ein Prozeß der fortgesetzten Löcherstopferei. Und was die Sicherheit eines Systems ausmacht ist nicht bloß der Grad seiner Angreifbarkeit von ganz weit aussen, sondern auch durch mittelbar im System tätige Angreifer. Anwendungen wie Bankautomaten, aber auch die ominösen Wahlcomputer, elektronische Zugangs- und Abrechnungsssysteme zeichnen sich ziemlich durchgehend dadurch aus, dass scheinbar ihre Sicherheit, in Wirklichkeit aber der Grad ihrer Unsicherheit durch allerlei Geheimhaltung verschleiert (das heiß der fortgesetzten Sicherheitsanalyse entzogen) wird. Diese Verschleierung schützt natürlich weniger vor einem Angriff durch Täter mit internem oder sonstwie durch reverse engineering erlangtem, kriminellen Absichten gegen Geld jederzeit zur Verfügung stehendem Wissen, es ist ein bloßer Schutz von Ansprüchen und Verkaufspropagande. Jeder öffentliche Hack einer auf solchen fatalen Vorspiegelungen aufgebauten Konstruktion ist aus meiner Sicht nicht bloß nicht illegitim, er ist auch verdienstvoll.

  17. @webbaer
    Ich bin absolut einverstanden damit, dass die verlinkte Show genau das ist: Eine Show. Ich habe jedenfalls sogar gegrinst, als ich das Liedchen gehört habe.
    Ich bin einverstanden, dass bei einer erfolgreichen Attacke zumindest beim ersten Mal sehr viel an Fachwissen und unter Umständen auch Geschäftsgeheimnissen nötig ist. In diesem Sinne stimme ich Dir zu: Natürlich kann das nicht jedermann, und insofern sind solche Artikel und Auftritte “reisserisch” und entsprechen nicht unbedingt der Realität. Aber andererseits gibt es immer Menschen, die dieses Fachwissen und auch die Geschäftsgeheimnisse ihr Eigen nennen – egal wie sie zum Beispiel an letztere gekommen sind. Und damit sind solche Angriffe natürlich immer nicht nur “denkbar”, sondern offensichtlich auch ausführbar.
    Bei dieser Art von Berichterstattung für Laien sehr schwierig festzustellen, wie schwerwiegend jetzt so ein Problem wirklich wäre. Ich glaube, das war eine Deiner Aussagen, und da stimme ich zu. Das darf und soll man meiner Meinung auch kritisieren. Aber das Sicherheits-Problem kann man deswegen nicht wegreden. Es ist mitunter zu marginal, um überhaupt in Betracht gezogen zu werden müssen – aber es ist halt vorhanden. Ausserdem ist die Veranschaulichung in diesem Fall wirklich lustig gelungen, finde ich 🙂 .
    Ich teile ansonsten walims Meinung, dass oft security through obscurity betrieben wird, und dagegen sind öffentliche (und manchmal halt auch spektakuläre) Hacks der beste Schutz, wenn die responsible disclosure nicht gegriffen hat.
    Oh, von wegen wikileaks: Einerseits ist’s (mir jedenfalls) nicht so ganz klar, dass das Pentagon die Bilder nicht zuordnen kann – wenn ich das Pentagon wäre, würde ich auch sagen, ich kann’s nicht 😀 – andererseits ist es möglich, dass wikileaks mehr als eine Version der Dokumente bekommen hat und es dadurch möglich wurde, die Steganographie auszuhebeln. Wir wissen’s halt nicht. Oder weisst Du mehr darüber? Wäre ja schon ein spannendes Thema 🙂 .

  18. /Steganographie/ Entdecken und Entziffern ist schwierig bis unmöglich, aber aushebeln ganz einfach: Z.B. Bilder auf 2-3 Pixel/Seite kleiner rechnen.

  19. Die Daten könnten (und sollten) im Detail so manipuliert sein, dass das nicht hilft. Zudem ist bereits die Datenmenge ein Fingerabdruck oder könnte es sein. Wer sich diese Datenmenge heruntergeladen hat, darf sich sicherlich zurzeit bei den in Amerika zuständigen Kräften erklären.
    BTW, in D wird das alles als Transparenz und Whistleblowertum beschrieben, aber de facto ist es natürlich Geheimnisverrat und Offenlegen amer. Einheiten und Quellen.
    MFG
    Wb

  20. BTW, die Berliner Mauer wurde in der BRD immer als Bauwerk zur Kontrolle der eigenen Bevölkerung verstanden, aber de facto war es natürlich ein antifaschistischer Schutzwall.
    BTW, die Schweizer Banken machen aktive Werbung für Steueroptimierungen, aber de factor ist es natürlich Steuerflucht.
    “Freiheitskämpfer” und “Terroristen” wäre dann mein nächstes Beispiel gewesen.
    Sprache ist schon was Tolles, nicht?

  21. Wenn ein Freiheitskämpfer aus seiner persönlichen Sicht religiösen Pflichten nachkommt, kann das von anderer Seite auch als Selbstmordattentat beschrieben werden und von dritter Seite als “verzweifelte Aktion eines Not leidenden Menschen, der sich nicht anders zu helfen wusste”.
    Irgendjemand hatte das hier verlinkt, ein Artikel mit ganz wundervollen Aussagen wie “Wie Geldautomaten gehackt werden können, soll vorerst ein Geheimnis bleiben.” oder “…inzwischen hat Jack die Veranstalter gebeten, die Vorträge wieder von der Tagesordnung zu streichen. Grund dafür sei die Bitte eines betroffenen Herstellers von Geldautomaten…” – was aber auch sein könnte ist, dass die Hersteller dem Mann endlich einen Job gegeben haben (oder auch nur Geld :), damit die Sache in den Medien nicht persistiert.
    Ein Grund, warum der Webbaer hier (bei den Scienceblogs.de) gelegentlich konsumiert ist natürlich, dass die allerdümmsten Sachen hier meist nicht geschrieben werden. Blogs sind grundsätzlich besser als die “Standardmedien”.
    MFG
    Wb

  22. @rolak
    ich frag mich ob du mit absicht so schreibst oder ob du mehr als nur einen, zwei oder fünfzig gendefekte hast. sorry, aber derartiges liest man selten.

Schreib einen Kommentar

Schreibe einen Kommentar zu Dr.Webbaer Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.