261507

Forscher knackt Jackpot von Geldautomaten

30.07.2010 | 17:08 Uhr |

Ein Sicherheitsforscher hat in einem mit Spannung erwarteten Vortrag demonstriert, wie man bei Geldautomaten den Jackpot knacken kann. Im Vorjahr war diese Demonstration auf Druck von Herstellern abgesagt worden.

In einem durchaus als Spektakel zu bezeichnenden Vortrag auf der BlackHat-Konferenz hat der Sicherheitsforscher Barnaby Jack gestern demonstriert, wie man Geldautomaten hacken kann. Anders als der Veranstaltungsort Las Vegas vermuten lässt, geht es nicht um Spielautomaten sondern um ATMs (Automated Teller Machines), die Geldautomaten von Finanzinstituten.

Barnaby Jack, Leiter der Sicherheitsforschung bei IOActive Labs, hat zwei Geldautomaten auf der Bühne platziert, wie sie an öffentlichen Plätzen, etwa in Einkaufspassagen oder an Bahnhöfen, aufgestellt werden. Die Geräte unterschiedlicher US-Hersteller benutzen beide Windows CE als Betriebssystem. Jack hat zwei Angriffe gezeigt, die auf der Ausnutzung administrativer Zugänge zu den Geräten basieren.

Für eine der Demonstrationen hat Jack den Automaten geöffnet, einen USB-Sticks angeschlossen und den Automaten neu gestartet. Zum Öffnen hat er einen Schlüssel benutzt, den man im Internet für 10 US-Dollar bekommt. Der Hersteller teilte mit, Kunden könnten auf Anfrage ein besseres Schloss bekommen.

Das zweite Gerät hat Jack über eine Schwachstelle in der Fernwartungs-Software geknackt. In beiden Fällen hat er ein selbst geschriebenes Programm eingeschleust, das ein Rootkit installiert und auf Befehle wartet. Dieses "Scrooge" genannte Programm kann entweder über eine bestimmte Kombination auf dem Tastenfeld des Geldautomaten oder durch das Einführen einer speziellen Magnetkarte aktiviert werden.

In beiden Fällen haben die Geldautomaten auf Kommando etliche Geldscheine ausgespuckt und die Meldung " JACKPOT! " auf dem Bildschirm angezeigt. Auf Youtube gibt es einige Videos , die während dieser Demos entstanden sind. Im Vorfeld der Sicherheitskonferenz Blackhat USA 2010 war spekuliert worden, ob der Vortrag, wie schon im letzten Jahr , auf Druck von Unternehmen abgesagt werden würde.

Die Hersteller der Geräte geben an, sie hätten die gezeigten Sicherheitsmängel bereits behoben. Allerdings sei es Sache ihrer Kunden, die Updates oder Upgrades auch an ihren Geldautomaten durchzuführen. Ob Geldautomaten in Europa in ähnlicher oder anderer Weise gehackt werden könnten, ist nicht bekannt. Auch hier wird zumindest teilweise auf Windows als Betriebssystem gesetzt.

0 Kommentare zu diesem Artikel
261507