Braucht hier vielleicht jemand etwas geld?

Geld ohne Pin:
Gängige Geldautomaten können in weniger als 20 Minuten gehackt werden

[…] 85 Prozent der untersuchten Geräte waren unzureichend gegen Netzwerkattacken wie Spoofing geschützt […] Automaten kommunizierten […] auch per GSM mit dem Banknetzwerk, wobei sich die eingesetzten Funkmodems oder Router als angreifbar erwiesen […] liefen unter Windows XP […] besonders gravierende „Zero Days“-Schwachstellen [sic!] in aufgespielter Sicherheitssoftware wie GMV Checker ATM Security, Kaspersky Embedded Systems Security oder McAfee Application Control (Solidcore)

Geil, durch schlangenöl noch unsicherer gemacht! 😀

Aber bevor ihr jetzt loshäcken wollt, denkt mal kurz nach! Die leute, die sich jackpots an geldautomaten ziehen, sprengen oder flexen die dinger lieber auf, und das scheint auch ganz gut zu klappen. Für die häcks braucht man fysischen zugriff auf den verbauten kompjuter, muss also ein bisschen rumbohren oder rumsägen und auch wissen, wo man das tut. Meistens sind überwachungskameras auf die dinger gerichtet, man will also schnell machen und schnell wieder wegkommen, wenn man da geld rausholt, und das verträgt sich nicht mit langer fummelei. Und ob die leute viel von dem geld aus gesprengten automaten haben, ist auch fraglich. Da sind typischerweise dünne glasröhrchen mit fieser markierungsfarbe neben den geldscheinen (kriegt man nicht mehr ab, diese soße, jedenfalls nicht so, dass der schein dabei erhalten bleibt).

Kurz gesagt: vieles an dem alarmtönenden heise-artikel ist bullschitt. Wenn man fysischen zugriff auf einen kompjuter hat, ist wohl jeder kompjuter unsicher. Und wenn die ganzen begrifflichen fehlgriffe im artikel aus einer PResseerklärung irgendwelcher spezjalexperten abgeschrieben wurden und nicht in der karl-wiechert-allee passiert sind, dann können die banken erstmal beruhigt sein. Denn leute, die solche fehler machen, sind nicht wirklich kompetent.

Bankraub 2.0 des tages

Hui, zwei milljonen øre in baren, bunten läppchen haben sie mitgenommen! Sportlich!

Reuters geht von einem Hacker-Angriff aus; erste Ermittlungen deuten darauf hin, dass die betroffenen Geldautomaten mit Schad-Code infiziert waren

Wer keine lust hat, zu klicken: in dem verlinkten artikel steht im wesentlichen, dass niemand eine ahnung hatte, wie es zu dem angriff kommen konnte, dass immer noch untersucht wird, auf welche weise und welchen wegen der angriff vorgetragen wurden und dass wincor nixdorf auf grundlage dieses beeindruckenden ermittlungsergebnisses PResseerklärt — natürlich von heise onlein unrelativiert und unkommentiert wiedergegeben, man verprellt ja keine werbekunden — dass nach „gegenwärtigem kenntnisstand“ alles gehärtet und so sicher ist, dass derartige attacken bei geldautomaten in der BRD „weitestgehend“ [!] ausgeschlossen werden können. Warum die gleiche härtung und hokus pokus sicherheit in taiwan unterblieb, wird vom PResseerklärer verschwiegen. Vermutlich wurden in der BRD jetzt die veralteten antivirus-signaturen für das antivirus-schlangenöl auf dem windohs XP der geldautomaten einmal aktualisiert. Man kann das auch so zusammenfassen: wincor nixdorf ist von so großem realsatirischen liebreiz, dass der laden nicht mehr satirefähig ist. Ich habe mir trotzdem vor lachen fast in die hose gemacht.

Ich finde ja, dass diese eiertanz-formulierung von wincor nixdorf „sicherheitsprobleme sind nach aktuellem kenntnisstand zum überwiegenden teil weitestgehend ausgeschlossen“ auf alle anderen dinge übertragen werden muss. Zum beispiel auf „selbstfahrende“ autos. Oder auf kernkraftwerke. Oder auf medizin-roboter (gibt es ganz sicher in den näxsten zehn jahren). Oder auf „kritische infrastruktur“, die man wie ein hirnloser halbaffe ohne not ans internetz hängt, damit von der ganzen welt drauf zugriff genommen werden kann. Für den rest ist dann die cyber-cyber-armee, leibstandarte Ursula von der Leyen verantwortlich. 😀

Mal was ganz anderes: freut ihr euch auch alle schon so auf die abschaffung des bargeldes?! Dann kann so etwas ja überhaupt nicht mehr passieren… :mrgreen:

Security des tages

Wer Geldautomaten der Sparkasse bei ihren regelmäßigen Software-Updates erwischt, kann mit einem Trick in eine Windows-Kommandozeile gelangen und auf dem Geldautomaten eigene Befehle ausführen. Den Sicherheitsforschern, welche die Lücke entdeckten, gelang es auf diesem Wege Nutzernamen und Passwörter aus dem internen Netzwerk der Bank auszulesen

Ein richtiges häckchen ist nicht erforderlich, nur eine reingeschobene karte, während die kiste anzeigt, dass sie nicht betriebsbereit ist. Bwahahahaha!

Übrigens: wenns solche fahrlässigkeiten und peinlichen fehler dort gibt, wo direkt mit größeren mengen banknoten umgegangen wird, dann könnt ihr euch sicherlich vorstellen, wie der generelle „industriestandard“ bei softwäjhr so ausschaut. Auf diesem hintergrund wünsche ich euch viel spaß mit euren „intelligenten“ — ach nee, man spricht ja englisch in der reklame und deshalb heißt das jetzt: „smarten“ — toastern, fernsehern, autos, kühlschränken, telefonen und (demnächst auch) implantaten!

Schlagzeile des tages

Jackpotting:
Geldautomaten in Deutschland mit USB-Stick ausgeräumt

Tja, wenn softwäjhr auf einen angesteckten USB-stick einfach ausgeführt wird, dann ist das häckchen kein „so großes“ problem. Vermutlich muss man den kram noch so signieren, dass er als update akzeptiert wird, und wenn ich nur daran denke, wie oft der hirnende kryptokram falsch gemacht wird, dann würde ich mich nicht darüber wundern, wenn das auch bei geldautomaten passiert.

Und ganz großartig: der häcker musste eine halbe stunde rumfummeln. In einem kameraüberwachten raum. Und das ist niemanden aufgefallen. So viel bringt die allgegenwärtige kameraüberwachung in wirklichkeit zur kriminalitätsabwehr. Nicht einmal bei den bankverbrechern, wo ein krimineller mal eben schnell einen sechsstelligen øre-betrag mitnehmen kann, sitzt jemand, der ständig ein auge auf die dinge hat. Nicht einmal dort. Da könnt ihr euch hoffentlich denken, welchen zweck die anderen scheißkameras haben, die sie überall hingepflanzt haben: vorwiegend psychologische einschüchterung und angstmacherei, erzwingen von konformität und wohlverhalten unter der allpräsenz des ständigen auges des allsehenden großen bruders — und ständige ungewissheit, ob nicht jemand zuschaut. Wenn die „würde des menschen“ aus dem grunzgesetz eine bedeutung hätte, wären die meisten dieser kameras schlicht illegal. (An einem geldautomaten verstehe ich sie ja noch…)

Rasch mal was presseerklären

Auf den ganzen geldautomaten läuft im regelfall ein antikes windohs XP oder gar windohs 2000? Das ist aber alles nicht so schlimm, wie eine PR-lügenschnute der deutschen kreditwirtschaft meinen stauenden ohren erklärt:

Da die Geldautomaten in Deutschland nicht am Internet hängen, spielt die Art des Betriebssystem aber auch keine Rolle. Alle Geldautomaten, die die Deutsche Kreditwirtschaft nutzt, sind von dieser geprüft und abgenommen

Genau, es hängt nicht am internetz, und deshalb ists egal — außerdem gucken wir uns die dinger auch mal an. Und nun zur abwexlung eine kleine, heitere fotostrecke über das verhalten eines unter OS/2 laufenden geldautomaten bei… ähm… sachgemäßer bedienung. Mit entspannendem schach-kontent. 😀