Sicherheitsrisiko

Hacker knackt Bankautomaten

Bestimmte Bankautomaten lassen sich recht einfach hacken und spucken dann so lange Geld, bis sie leer sind.

Der Security-Experte Barnaby Jack hat an der Hackerkonferenz "Black Hat" in San Francisco gleich zweimal den Jackpot geknackt. Durch die Ausnutzung von Software-Fehlern in zwei Bankautomattypen hat der Forscher der Security-Firma IOActive die Maschinen dazu veranlasst, ihm Bares auszugeben, ohne dass sein Konto belastet worden wäre. Zudem gelang es ihm, sensible Kontoinformationen von Leuten auszuspionieren, die die Bankautomaten ebenfalls benutzten.

Gezeigt wurden die Attacken auf zwei Systemen, die Jack gekauft hatte und die typischerweise in Geschäften sowie Einkaufszentren aufgestellt werden. Diese Arten von Bankautomaten sind schon verschiedentlich das Ziel von Angriffen gewesen, etwa indem Diebe Lesegeräte installierten und Magnetstreifeninfos zusammen mit den PIN der Nutzer sammelten, oder indem die nicht verankerten Geräte einfach mit einem Lieferwagen abtransportiert wurden.

Gefährlicher ist allerdings, was Jack an der Black Hat demonstrierte. Er hackte die Management-Software der Geräte, rief danach die Bankautomaten an, installierte ein Rootkit und überschrieb abschließend die Firmware. Daneben entwickelte Jack sein eigenes Management-Werkzeug für die Geldautomaten. Mit dem Dillinger getauften Tool war es anschließend möglich, die Daten der Nutzer der Bankautomaten zu sammeln.

Um zu demonstrieren, wie sehr er die komprimierten Geldautomaten, die alle unter Windows CE liefen, im Griff hat, ließ er auf ihnen die selbstgeschriebene Software "Jackpot" laufen. Und siehe da, der Bankautomat spuckte die grünen Dollar-Scheine munter aus, während das Gerät eine Melodie spielte und auf dem Bildschirm der Schriftzug "Jackpot" erschien.

Wie Jack betonte, handle es sich bei allen von ihm gezeigten Tools um sogenannte "Proof of Concept"-Programme, die also noch nicht in falsche Hände geraten seien. Mit seiner Demonstration wolle er lediglich die Diskussion über die Sicherheit der Geldmaschinen anregen.

"Es ist an der Zeit, dass diese Maschinen überarbeitet werden", fordert Jack aber klar. (Computerworld.ch/hal)