Die IT-Sicherheitsfirma Positive Technologies hat bei 26 Bankautomaten von NCR, Diebold Nixdorf und GRGBanking viele Schwachstellen gefunden. Demnach können sie innerhalb von 20 Minuten gehackt werden.
Problem gab es bei der Netzwerksicherheit, dem Einsatz nicht mehr unterstützter Betriebssysteme, nicht sachgerechter Konfiguration oder mit dem mangelnden Schutz von Schnittstellen. Für den Test wurden mehr oder weniger bekannte Ansätze zum Ausnutzen von Verwundbarkeiten und Tricks, mit denen Daten von Zahlungskarten ausgelesen und auf Blanko-Alternativen kopiert werden, genutzt.
Bei 85 Prozent der untersuchten Geräte waren unzureichend gegen Netzwerkattacken wie Spoofing geschützt, sodass sich ihre Authentifizierungs- und Identifikationsverfahren aushebeln ließen. Spoofing sind verschiedene Täuschungsmethoden in Computernetzwerken zur Verschleierung der eigenen Identität.
Nach einem Bericht auf heise.de war für die Manipulation ein physikalischer Zugriff auf die Hardware nötig, um beispielsweise Ethernet-Kabel auszustöpseln oder anzuzapfen. Einige der Automaten kommunizierten laut der Analyse aber auch per GSM mit dem Banknetzwerk.
Im Test gelang es bei 27 Prozent der Testobjekte dem Verarbeitungszentrum der Bank mit einem Zugang vor Ort vorzugaukeln, dass legitim Geld abgehoben werde. 58 Prozent der Geräte konnten ferngesteuert werden.
Bei 69 Prozent der Automaten kamen die Angreifer an die Banknoten, indem sie das Geldausgabemodul über die zugehörigen Kabel mit einem eigenen Kleincomputer wie einem Raspberry Pi verbanden, nachdem sie das Gehäuse aufgebohrt haben. Über die von ihnen kontrollierte Hardware konnten dann Befehle an die Kontrolleinheit geschickt werden, worauf dann Banknoten freigegeben wurden.
Bei 92 Prozent der Geräte war die Verschlüsselung der Festplatte nicht effektiv implementiert oder der Passwortschutz für das BIOS im Speicher der Hauptplatine nicht ausreichend. Innerhalb von 20 Minuten konnte der Rechner über eine eigene Festplatte gestartet werden und das Betriebssystem kontrolliert werden. Dies ermöglichte das Abheben von Geld oder Skimming. Die Geldautomaten liefen unter Windows XP, für das es keine regulären Sicherheitsupdates mehr gibt sowie unter Windows 7 und Windows 10.
Den sogenannten „Kiosk-Modus“ mit beschränkten Funktionen konnten die Experten bei 76 Prozent der Untersuchungsobjekte verlassen und danach eigene Befehle an das Betriebssystem senden. An die meisten Automaten konnten über eine USB-Schnittstelle eigene Geräte oder Tastaturen angeschlossen werden.
Aber auch die Software von Drittanbieter habe Fehler enthalten. Bei jedem geprüften Gerät sei es ferner möglich gewesen, Kartendaten abzufangen, während sie innerhalb des Systems etwa zwischen dem Kartenleser und dem Betriebssystem übertragen wurden.
[jrk]
Bildquelle:
- Technik_Video_Artikelbild: Technik_Video_Artikelbild.jpg: © lassedesignen - Fotolia.com
