Dipl.-Inform. Carsten Eilers

Jetzt muss ich erst mal etwas ausholen, und der Einfachheit halber zitiere ich mich dazu selbst, aus dem Artikel "Embedded (In)security" aus dem Windows Developer 10.13:

"Black Hat 2009: Vortrag abgesagt
Ebenfalls 2009 wollte der Sicherheitsforscher Barnaby Jack, von dem hier noch mehrmals die Rede sein wird, auf der Sicherheitskonferenz Black Hat USA 2009 einen Vortrag mit dem Titel "Jackpotting Automated Teller Machines" halten. Kurz vor der Konferenz sagte sein Arbeitgeber, Juniper Networks, den Vortrag ab. Die vorgestellten Schwachstellen und Angriffe waren so weitreichend, dass man sowohl den betroffenen als auch allen anderen Geldautomaten-Herstellern mehr Zeit zum Entwickeln von Verteilen von Schutzmaßnahmen geben wollte.

Black Hat 2010: Vortrag gehalten
2010 hatte Barnaby Jack einen neuen Arbeitgeber, IOActive Labs, und hielt seinen Vortrag, natürlich in einer aktualisierten Fassung: "Jackpotting Automated Teller Machines Redux". Seine Testobjekte oder besser Opfer waren zwei Geldautomaten der Hersteller Tranax und Triton.
Im Tranax-Automaten [... hier uninteressant ...].
Den Triton-Automaten konnte er nicht aus der Ferne angreifen, das Gerät fiel einem Designfehler zum Opfer: Zwar war das Geld sicher im Tresor verstaut, die PC-Hardware aber mit einem im Internet zu kaufenden Generalschlüssel zugänglich. Danach reichte ein präparierter USB- Stick, um eine präparierte Firmware zu installieren.
Beide Geräte zeigten sich nach der Manipulation ausgesprochen großzügig: Auf Knopfdruck warfen sie im wahrsten Sinne des Wortes mit Geld um sich. Solange der Vorrat reichte jedenfalls. Ein eindrucksvolles Video dokumentiert den Vortrag."

Deutschland 2015: Angriff erfolgreich

Am 9. August 2015 gab es die allem Anschein nach ersten Jackpotting-Angriffe in Deutschland. Ein Krimineller manipulierte gegen 6:50 Uhr in Esslingen und gegen 21:00 Uhr in Berlin je einen Geldautomaten und "veranlasste so die Auszahlung von größeren Geldbeträgen".

In Esslingen hielt sich der Kriminelle eine knappe halbe Stunde in der Bank auf. Während er mit einem Handy telefonierte, schraubte er einen Teil der Abdeckung des Geldautomaten ab und verschaffte sich Zugang zu einem USB-Port. Über einen USB-Stick installierte er dann eine Software auf den Rechner im Geldautomaten, daraufhin spuckte der nach einigen Tastendrücken einen größeren Geldbetrag aus. Das gleiche wiederholte sich in Berlin, und in beiden Fällen wurde der Täter von den Überwachungskameras gefilmt. Den Aufnahmen zu folge handelt es sich bei beiden Fällen um den gleichen Täter.

Wieso lässt der sich filmen?

Ich vermute mal, dass war irgend ein Laufbursche, der übers Telefon die Anleitung für Aufschrauben und Manipulieren der Geräte bekommen hat. Ich kann mir nicht vorstellen, dass jemand einerseits weiß, wie er den Geldautomaten manipulieren muss, andererseits aber so dumm ist, sich dabei nicht nur von der Kamera im Raum, sondern auch von der Automaten-Kamera filmen zu lassen. Bei den Angriffen aufs Onlinebanking wird das gestohlene Geld ja auch nicht von den Kriminellen selbst, sondern von "Money Mules" abgehoben bzw. weitergeleitet. Dieser Täter war dann wohl ein "Jackpotting Donkey".

Bei weitem keine Einzelfälle

Das waren allem Anschein nach die ersten gemeldeten Vorfälle in Deutschland, aber nicht die letzten. z.B. fahndet die Polizei Koblenz seit August 2016 nach Tätern, die am 17. April einen Geldautomaten in Vallendar und am 16. April Geldautomaten in Mainz und Rüsselsheim mittels Jackpotting geplündert haben.

Und im Ausland sind diese und ähnliche Angriffe schon länger bekannt.

Und die Moral von der Geschicht'?

Was zeigt das? Nun, erst mal nichts unerwartetes. Denn dass sich Rechner über USB kompromittieren lassen, ist ja nun erst mal wirklich nichts Neues. Ebensowenig die Tatsache, dass der Angreifer, wenn er erst mal die Kontrolle über den Rechner hat, mit dem tun und lassen kann, was er will. Und wenn der Rechner dann wie im Fall der Geldautomaten die Möglichkeit besitzt, Geld auszuzahlen, dann kann der Angreifer natürlich auch diese Möglichkeit für seine Zwecke nutzen.

Auch, dass ein von Forschern vorgestellter Angriff nach so langer Zeit noch möglich ist, ist leider üblich. Die Hersteller werden sicher reagiert haben, aber sehen wir es doch mal realistisch: Warum sollten die Banken die Geldautomaten austauschen, so lange es keine echten Angriffe gibt? Vor allem, wenn der Angreifer dafür auch noch an das Gerät heran kommen muss, was wohl oft als schwierig betrachtet wurde. Und in der Tat scheinen im Ausland überwiegend alleinstehende Automaten angegriffen worden zu sein.

Dass es auch anders geht, haben die Täter in Deutschland gezeigt. Was eigentlich kein Wunder ist: Wer ruft schon die Polizei, nur weil da ein Techniker am Automaten rum schraubt? Der wird halt kaputt sein und wird gerade repariert, also sucht man sich einen, der funktioniert. Man will ja Geld holen und nicht warten, bis irgendwann die Polizei kommt und man sich lächerlich macht, weil man wegen eines harmlosen Technikers Alarm geschlagen hat. Ach ja: Und wenn die Diebe nicht gerade völlig verrückt sind, werden sie sich Zeiten und Automaten aussuchen, die gerade nicht überlaufen sind. Ich kenne zwar die Standorte der Automaten in Esslingen und Berlin nicht. Aber weder um 6:50 Uhr noch 21:00 Uhr dürften die stark genutzt werden.

Was mich etwas überrascht hat ist die Tatsache, das man so einfach an das Innenleben und damit auch die USB-Ports der Geräte ran kommt. Und das unabhängig von den Jackpotting-Angriffen (für deren Original-Version Barnaby Jack noch einen Nachschlüssel benötigte). Abdeckungen abschrauben oder Löcher ins Gehäuse bohren, und schon ist man im wahrsten Sinne des Wortes "drin" - dass das so einfach ist hätte ich nicht erwartet.

Ich war immer davon ausgegangen, dass man die 1. nur von der Rückseite, also dem für die Benutzer i.A. nicht zugänglichen Bereich, öffnen kann und das 2. der ganze Automat stabil wie ein Tresor ist. Das war dann wohl ein klarer Irrtum. Andererseits: Warum sollte man den ganzen Automaten wie einen Tresor aufbauen, wenn es auch reicht, nur den Teil mit dem Geld entsprechend zu schützen? Der Rechner und alles, was sonst noch dazu gehört, waren bisher ja für Kriminelle uninteressant. Also wäre wohl kaum ein Käufer bereit gewesen, den aus seiner Sicht unnötigen Schutz zu bezahlen.

Damit, dass die Kriminellen irgendwann nicht direkt an das Geld, sondern "nur" an den Rechner im Automaten wollen, hat wohl kaum jemand gerechnet. Jetzt ist es aber soweit, und dagegen hilft nur eins: Die Rechner besser schützen. Erst mal wäre es schon hilfreich, wenn man denen nicht über USB oder CD-ROM neue Software unterjubeln könnte. Danach kann man dann daran gehen, die Geräte durch auch mechanisch besser geschützte Modelle zu ersetzen. Aber das wird vermutlich erst geschehen, wenn die Angriffe Überhand nehmen. Vorher lohnt es sich einfach nicht. Warum ein Gerät austauschen, nur weil es mit einer Wahrscheinlichkeit von 1 zu zigtausend vielleicht mal angegriffen wird?

Vor allem, da es gar nicht so einfach sein dürfte, den dann plötzlich gestiegenen Bedarf zu decken. Geldautomaten werden ja doch eher selten gekauft, und wenn schlagartig jede Bankfiliale in Deutschland einen neuen ordert, dürften die Hersteller ganz schön in Schwitzen kommen. Was dann, wg. "Angebot und Nachfrage" auch die Preise stark ansteigen lassen dürfte. Frei nach dem Motto "Wie viel ist es ihnen denn Wert, wenn Sie den Automat schon in 2 Monaten bekommen und nicht erst in 2 Jahren?"

Egal, das ist alles ein Problem der Banken. In der nächsten Folge geht es zum Abschluss des Themas USB um ein weiteres älteres Problem, das viele von Ihnen direkt betrifft: Stuxnet, bzw. die davon ausgenutzte LNK-Schwachstelle.

Carsten Eilers