Sicherheitsgedanken von

Transkript

1 Sicherheitsgedanken von Open Door Policy bei ec-geldautomaten? ec-geldautomaten Mark Semmler Antago GmbH

2 Ein ganz normaler Freitag... Freitag, gegen 21 Uhr: Das soziale Leben holt mich ein. Treffen mit netten Leuten. Und ganz sicher keine Gespräche über Sicherheit oder IT. Nur noch kurz Geld holen. Die Filiale der Postbank AG am Luisenplatz in Darmstadt liegt auf dem Weg. Als ich gewohnheitsmäßig den Geldautomaten auf Skimming untersuche bevor ich ihm meine Karte anvertraue fällt mir etwas auf. Sehen Sie es?

3 Bist Du der Schlüsselmeister von Gosa? Im Automaten steckt ein Schlüssel. Der erste Gedanke: Dat gibt es nich! Ein näherer Blick bestätigt aber...

4 Manchmal gibt es wirklich Paralleluniversen...

5 Volltreffer: GA-Service Schlüssel Auf dem Anhänger steht GA-Service Schlüssel Der Schlüssel ist sehr einfach aufgebaut, hat keine eingestanzte Nummer - jeder Schlüsseldienst würde eine ohne Nachfrage eine Kopie anfertigen:

6 Die Nagelprobe... 3, 2, 1... meins! Nach dem Einstecken und einem Rechtsdreh schwingt die komplette Abdeckung des Automaten nach oben......und seine Innereien liegen offen.

7 Deckel auf: Willkommen Supervisor! Nach dem öffnen des Deckels schaltet das System in den Supervisor-Modus. Und eröffnet die erwarteten Möglichkeiten wie z.b. die Kassettenverwaltung... Die Möglichkeiten für einen Angreifer sind nach einer kurzen (durchaus oberflächlichen) Analyse beträchtlich...

8 Hast Du einen (Schlüssel), hast Du alle (Automaten)? Der Schlüssel passte an allen Automaten dieser Filiale. Und es würde mich nicht wundern, wenn es um einen Generalschlüssel für alle Geldautomaten (eines bestimmten Gebiets?) handeln würde...

9 Show me the way to your internal network... Leider auf dieser Aufnahme nur sehr schlecht zu sehen: Es liegen Netzwerkanschlüsse offen und sehr einfach zugänglich im Gerät. Jeder Angreifer hätte das Gerät jetzt umfassend manipulieren können und hätte darüber hinaus Zugang zum Netz hinter dem Geldautomat erhalten.

10 Wie ging es weiter? Mit der Zeit haben sich weitere interessierte Zeitgenossen eingefunden. Hier habe ich natürlich auf die Bremse getreten, um niemanden auf falsche Gedanken zu bringen. Wir haben zusammen die Polizei informiert und zwei Beamte haben den Schlüssel abgeholt (wollten aber irgendwie nicht fotografiert werden). That's all folks!

11 Fazit Dieser Sicherheitsvorfall deckt nach meiner Meinung einige Schwachstellen auf: Das Schloß der untersuchten Geldautomaten ist als primitiv zu bezeichnen. Der GA-Service Schlüssel war nicht gekennzeichnet und würde von jedem Schlüsseldienst anstandslos kopiert werden. Der Schlüssel hebelt zwei Sicherheitsmaßnahmen aus (physikalische Sicherheit und Supervisor-Rolle). Der Schlüssel passt auf mehr als einen Geldautomaten. Der Schlüssel kann vergessen werden (ein großer Schlüsselanhänger hätte das Vergessen verhindert). Am schwersten wiegt in meinen Augen die Tatsache, dass die Netzwerkanschlüsse nach dem Öffnen des Gerätes einfach zugänglich sind und so einfach missbraucht bzw. manipuliert werden können.

12 Kein Einzelfall? Anfang September Gleiches Unternehmen, andere Filiale (in Darmstadt). Ein Kontoauszugsdrucker steht unbeobachtet für mehr als zehn Minuten offen. Erst dann kommt ein Servicetechniker und schließt das Gerät... Auch diese Geräte besitzen einen Zugang zur internen ITInfrastruktur der Bank.

13 Dürfen wir uns vorstellen? Antago: Unternehmen und Portfolio

14 Wer ist Antago? Wir sind kein......systemhaus Wir haben kein Interesse daran, Ihnen Sicherheitslösungen (Firewalls, Virenscanner,...) zu verkaufen....reseller/integrator Wir sind unabhängig von Herstellern....fremdfinanziertes Unternehmen Wir sind unabhängig von Geldgebern....Tochterunternehmen Wir sind an keinen Konzern gebunden.

15 Was bietet Ihnen Antago? Die Antago GmbH ist ein europaweit tätiges Unternehmen im Bereich der IT- und Informationssicherheit. Wir sorgen für die strukturierte, bedarfsorientierte Absicherung von Informationen. Unabhängig, kompetent und fair bieten wir Ihnen: Security Scans von Systemen, Netzen und Applikationen Kompetente Sicherheitsuntersuchungen inkl. Risikoanalyse und Maßnahmenkatalog Informationssicherheitsmanagmentsysteme (ISMS) Analyse und Erarbeitung bedarfsorientierter Sicherheitskonzepte (auch gem. IT-Grundschutz / ISO 27001) IT-Forensic Gerichtsfeste Beweissicherung und Untersuchungen von IT-Sicherheitsvorfällen. Security Awareness Sensibilität im Unternehmen schaffen die Sicherheitslücke Nr. 1 adressieren. Livehackings und Schulungen Know-How aus erster Hand.

16 Unsere Kontaktdaten wir freuen uns auf Sie! Sie haben Fragen? Sie benötigen weitere Informationen oder ein unverbindliches Angebot? Wir freuen uns auf Sie! Antago GmbH Robert Bosch Straße 7 D Darmstadt Internet: Phone: Fax: sicherheit[at]antago.info

17