Dipl.-Inform. Carsten Eilers

Im aktuellen Windows.Developer ist mein Artikel über exotische Schadsoftware erschienen. Einer dieser "Exoten" ist BackOff, einer Spyware speziell für Point-of-Sale-Systeme. Die war bereits für mehrere große Datenlecks verantwortlich, und zur Zeit gibt es den nächsten Angriff damit: Die US-Fastfoodkette "International Dairy Queen" hat bestätigt, das die Systeme von 395 Standorten (von mehr als 4.500 insgesamt) in den USA mit BackOff infiziert und darüber Kreditkartendaten ausgespäht wurden.

BackOff ist nicht der einzige "Exot", der zur Zeit aktiv ist. Ein weiterer heißt Tyupkin und hat es auf Geldautomaten abgesehen. Vorerst in Osteuropa, zumindest wurde er dort von Kaspersky auf mehr als 50 Geldautomaten entdeckt. Was ja auch daran liegen könnte, dass in Osteuropa viele einen russischen Virenscanner einem amerikanischen vorziehen. Bei Kaspersky hat man außerdem die Einreichungen bei VirusTotal ausgewertet und geht daher davon aus, dass der Schädling in weiteren Ländern, darunter die USA, Indien und China, aktiv ist.

Betroffen sind Geldautomaten, die mit einem nicht näher eingegrenzten "Microsoft Windows 32-bit" laufen (vielleicht Windows XP?), installiert wird der Schädling über bootbare CDs. Zumindest legen das die Aufzeichnungen von Überwachungskameras nahe. Wenn Sie jetzt denken "Wo ist denn beim Geldautomaten der CD-Schlitz oder die CD-Schublade" - nun, das habe ich mich zuerst auch gefragt. Und wollte das schon mit "Wer ist denn so blöd, in den Geldautomaten ein CD-Laufwerk einzubauen?" kommentieren. Aber etwas weiter unten im Kaspersky-Text steht dann aber bei den Ratschlägen zur Sicherheit von Geldautomaten

"Change default upper pool lock and keys in all ATMs. Avoid using default master keys provided by the manufacturer."

Daraus schließe ich mal, dass das CD-Laufwerk normalerweise nicht zugänglich ist, sondern sich hinter einer abgeschlossenen Wartungsklappe befindet. Für die man anscheinend mitunter nur einen Standardschlüssel braucht.

Die installierte Schadsoftware akzeptiert nur Sonntags und Montags Nacht Eingaben und kann dann genutzt werden, um 40 Banknoten aus einem ausgewählten Geldfach auszugeben. Und damit sich nicht einfach jeder beim Geldautomaten bedienen kann, sondern nur die Kriminellen, wird nach Aufruf des Hauptfenster ein zufälliger Startwert angezeigt, aus dem eine Session-ID berechnet werden muss. Nur wer den Algorithmus zur Berechnung der Session-ID kennt, kann weitere Funktionen des Programms nutzen.

Das ist wirklich interessant. Aber ist so viel Aufwand nötig? Wenn man mit Standardschlüsseln an den Rechner im Geldautomaten kommt reicht ja vielleicht auch ein Standard-Code zum Öffnen des Tresorteils. Was mich aber etwas wundert ist die Genügsamkeit der Kriminellen. Die räumen nur den Automaten leer, dabei könnten sie doch bei der Installation des Schädlings auch gleich noch Hard- und/oder Software fürs Skimming installieren und zusätzlich die Daten der Kunden abgreifen.

Und warum werden gerade genau 40 Banknoten ausgegeben? Warum nicht eine vom Benutzer zu wählende Anzahl? Oder 10, 25, 50, 100? Je größer die Zahl, desto größer die Beute (sofern das Geldfach mehr als 40 Scheine enthält).

Identitätsdiebstahl durch die Polizei

Nicht nur Kriminelle begehen Identitätsdiebstahl, zumindest in den USA macht das auch schon mal die Polizei: "DEA agent steals woman's identity and photos to lure in suspects on Facebook". Und fühlt sich auch noch im Recht (PDF), denn

"Plaintiff does not have a First Amendment Right to Privacy in the photographs contained on her cell phone.

Plaintiff relinquished any expectation of privacy she may have had to the photographs contained on her cell phone.

Plaintiff consented to the search of her cell phone."

Also ein Telefon durchsuchen und danach die dabei gefundenen Fotos veröffentlichen ist in Ordnung. Interessanter Standpunkt. Aber in den Ueberwachenden Staaten von Amerika wohl nicht anders zu erwarten. So etwas wie Unrechtsbewusstsein oder Achtung vor Grundrechten scheint es bei den dortigen Strafverfolgern ja nur noch in Ausnahmefällen zu geben.

Das Argument "Sie habe keine Privatsphäre zu erwarten" kann man sicher auch noch auf viele andere Verstöße gegen den Schutz der Privatsphäre anwenden. Frei nach dem Motto "Durch Edward Snowden weiß doch jeder, dass wir alles und jeden ausschnüffeln, also darf niemand mehr erwarten, dass irgend etwas privat bleibt!" hätte man dann einen Freifahrtschein erster Klasse.

Hoffentlich haben die Richter mehr Verständnis für den Schutz von Grundrechten. Im Notfall gibt es aber immer noch den Verstoß gegen die Nutzungsbedingungen von Facebook, Der Schutz von Grundrechten mag in den USA gerade nicht so angesehen sein, mit dem Schutz der Wirtschaft lässt sich aber bestimmt gut argumentieren. Man stelle sich nur vor, das reißt ein und ein Großteil der Facebook-Nutzer erweist sich als Sockenpuppen der US-Behörden, das gibt dann aber mächtig Ärger mit den Werbepartnern! Davor muss die Wirtschaft ja wohl geschützt werden!

Carsten Eilers