Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Geldautomaten: Skimming an der…

Zugängliche Netzwerkbuchsen...

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Zugängliche Netzwerkbuchsen...

    Autor: Sharra 16.02.16 - 12:57

    Erst einmal hat KEINE Buchse von aussen zugänglich zu sein, egal was es für eine ist. Insofern hat hier der Gerätehersteller schon geschlampt, es sei denn natürlich, er untersagt das Aufstellen der Geräte freistehend, sondern erlaubt nur die Montage mit verdeckter Peripherie.

    Und wenn eine Bank so ein Ding frei aufstellt, sollte sie, pauschal, für alles haften, was daherkommt, ob es jetzt gerechtfertigt ist, oder nicht. Dummheit gehört einfach bestraft.

  2. Re: Zugängliche Netzwerkbuchsen...

    Autor: RichardEb 16.02.16 - 13:11

    Sehe ich eigentlich nicht so. Andersrum wird ein Schuh draus.

    Ein System sollte niemals einfach so angreifbar sein, egal welche Schnittstellen frei zugänglich sind. (Schnittstellen, nicht Hardware!)

    Vor allem bei Ethernet kann der Angriff an jeder Stelle und nicht nur am Gerät selber erfolgen. Eine unsichere Verschlüsslung wird nicht dadurch sicher, dass man ne Box um den Netzwerkstecker baut.



    1 mal bearbeitet, zuletzt am 16.02.16 13:11 durch RichardEb.

  3. Re: Zugängliche Netzwerkbuchsen...

    Autor: .02 Cents 16.02.16 - 13:21

    "Aussen" ist schon so eine Sache - nach meinem Dafürhalten ist nicht in erster Linie der Hersteller der Geräte, sondern es muss der Aufsteller dafür verantwortlich sein, das "Innen" und "Aussen" hinreichend getrennt und abgeschirmt sind. Wenn der Aufsteller wie zum Beispiel die Bank irgendwelche Teil-verkleideten Komponenten kauft, und diese dann frei zugänglich rumstehen läst, anstatt sie - wenigstens mehr oder weniger - fest zu verbauen, ist das sicher nicht in Verantwortung des Hardware Lieferanten.

    Darüber hinaus muss man sich schon fragen: wenn hier unsichere Protokolle verwendet werden, ist ja ganz sicher nicht nur der Netzwerk Anschluss direkt am Gerät betroffen. Jeder Netzwerk lokale Netzwerkanschluss an dem Netz, an dem der Automat hängt, sollte reichen. Sprich: Der Social Engineering "Trick", einfach irgendwo im "Empfangsbereich" ein WLAN Adapter an das interne Netzwerk / Strom anzuschliessen als Angriffspunkt für das "Intranet" sollte hier im Zweifelsfall auch ausreichen ...

    Wobei: wer solche "Sicherheitsstandards" umsetzt, hat vermutlich auch keine Hemmschwelle, die Daten des Geldautomaten auch über das eigene WLAN zugreifbar zu machen ...

  4. Re: Zugängliche Netzwerkbuchsen...

    Autor: nixidee 16.02.16 - 13:24

    Vielleicht wird ja ein Schuh daraus wenn man beides umsetzt. Ist ja beides kein Voodoo.

  5. Re: Zugängliche Netzwerkbuchsen...

    Autor: chefin 16.02.16 - 13:29

    Die Bank haftet doch auch. Nur kann sie kein Geld bezahlen, das sie nicht eingenommen hat.

    ich finde das mmer wieder belustigend wenn Menschen fordern das eine Firma bezahlen soll ohne zu merken das sie das dann selbst bezahlen. Und weil das inzwischen soviele machen wird aus 10 ct die von einer Forderung kommen 100 Euro weil von vielen "Umlagen" jeder bei jedem mitbezahlt. Wir zahlen Versicherungen noch und nöcher statt selbst die Augen auf zu machen und auch mal beim Nachbarn genau hinzuschauen.

    Ja, völlig idiotisch Geräte so anzubinden. Aber wer rennt den immer zum billigsten? Onlinebanken die Geldautomaten von Dritten nutzen und deswegen billiger sein können. Und was ein Geschrei, als es hies, das man für Bargeld dann auch was zuzahlen müsse. Tja und nun wurde am Automat gespart.

    Ob nun im Einzelfall der Einzelne mal den Schaden trägt oder er wie heute meistens auf die Allgemeinheit umgelegt wird, Zahlen tun es wir.

  6. Re: Zugängliche Netzwerkbuchsen...

    Autor: tingelchen 16.02.16 - 14:09

    Wenn man Zugang zu den Schnittstellen hat, hat man schon ausreichend Zugang zur Hardware um diese zu manipulieren. In diesem Fall will man allerdings nichts manipulieren, sondern mitschneiden.

    Auch TLS ist angreifbar. Es gibt keine Verschlüsselung die absolute Sicherheit bietet. Mehrere Wochen gespeicherten verschlüsselten Traffic, bietet einem genug Material für umfangreiche Analysen um genau jene zu brechen. Insbesondere wenn bekannt ist um welche es sich handelt.

    Darüber hinaus muss durch die Unterbrechung der Netzwerkverbindung eben diese neu aufgebaut werden. Ein vollkommen transparentes Stück Hardware kann so den Schlüsselaustausch ebenfalls mit schneiden. Womit die Verbindung leicht angreifbar wird.

    Die Unzugänglichmachung von Schnittstellen ist das A und O bei der Absicherung solcher Geräte.

  7. Re: Zugängliche Netzwerkbuchsen...

    Autor: -benediction- 16.02.16 - 14:10

    Die Banken, die durch deinen Beitrag hier in Schutz genommen werden verdienen Milliarden und sparen vor allem bei den Kunden und ganz offensichtlich auch bei ihrer eigenen IT-Sicherheit. Insofern kann ich den Standpunkt absolut nicht nachvollziehen, wenn ein Geldinstitut zulässt, dass diese Art Schlampigkeit auf dem Rücken der Kundschaft ausgetragen wird, dann hat sie die Konsequenzen auch zu tragen. Die Allgemeinheit dann für die Banken zahlen zu lassen bzw. den Banken auch noch zu gestatten diese Art der Gebührenerhebung einzuführen wird in die nächste sichere Krise führen, vielleicht sollte das Umdenken so langsam auch mal an die sogenannten Entscheider herangetragen werden.

    Was bitte ist denn damit gemeint, dass ich bei meinem Nachbarn auch noch genau hinschauen soll? Das Bezahlsystem ist von den Banken eingeführt worden, um sich noch schneller bedienen zu lassen, wenn ich jemandem eine Ware anbiete muss ich auch selbst dafür gerade stehen, dass die auch der angebotenen Beschreibung entspricht.

    Zur Sicherheit lasse ich Dir aber noch einen <°)))>< da

  8. Re: Zugängliche Netzwerkbuchsen...

    Autor: RichardEb 16.02.16 - 14:43

    tingelchen schrieb:
    --------------------------------------------------------------------------------
    > Wenn man Zugang zu den Schnittstellen hat, hat man schon ausreichend Zugang
    > zur Hardware um diese zu manipulieren.

    Nein hat man nicht. USB Ports und ähnliches sollten vom OS nicht mal gemountet werden, wenn der GA nicht im korrekten Wartungsmodus ist.

    Ausgehende Daten wie Ethernet sollten durch Verschlüsselung gesichert sein.

    Und gäbe es diese dämlichen Magnetstreifen nicht mehr, gäbe es auch kein Karten Skimming.


    Mir fällt kein Angriffsszenario auf Schnittstellen ein, das man nicht technisch abwehren könnte. (Ich meine wirklich Schnittstellen und nicht das Austauschen der Festplatte des GA oder ähnliches)

  9. Re: Zugängliche Netzwerkbuchsen...

    Autor: RichardEb 16.02.16 - 14:47

    tingelchen schrieb:
    --------------------------------------------------------------------------------

    > Darüber hinaus muss durch die Unterbrechung der Netzwerkverbindung eben
    > diese neu aufgebaut werden. Ein vollkommen transparentes Stück Hardware
    > kann so den Schlüsselaustausch ebenfalls mit schneiden. Womit die
    > Verbindung leicht angreifbar wird.

    Ein Mittschneiden der Kommunikation reicht bei TLS nicht aus um an den Schlüssel zu kommen. Der Handshake selber findet ebenfalls verschlüsselt statt.



    1 mal bearbeitet, zuletzt am 16.02.16 14:47 durch RichardEb.

  10. Re: Zugängliche Netzwerkbuchsen...

    Autor: Nullmodem 16.02.16 - 15:35

    tingelchen schrieb:
    --------------------------------------------------------------------------------

    > Die Unzugänglichmachung von Schnittstellen ist das A und O bei der
    > Absicherung solcher Geräte.

    Ein derart abgesichertes Gerät lässt sich mit einer Crimpzange, einem Switch und zwei RJ45 Stecker innerhalb von 20 Sekunden in ein nicht abgesichteres verwandeln.


    nm

  11. Re: Zugängliche Netzwerkbuchsen...

    Autor: Nullmodem 16.02.16 - 15:40

    tingelchen schrieb:
    --------------------------------------------------------------------------------

    > Darüber hinaus muss durch die Unterbrechung der Netzwerkverbindung eben
    > diese neu aufgebaut werden.
    Ja.

    > Ein vollkommen transparentes Stück Hardware
    > kann so den Schlüsselaustausch ebenfalls mit schneiden.
    Ja.

    > Womit die
    > Verbindung leicht angreifbar wird.
    Nein.

    https://de.wikipedia.org/wiki/Diffie-Hellman-Schl%C3%BCsselaustausch
    "Deshalb kann jemand, der beide Nachrichten mithört, daraus im Allgemeinen nicht den geheimen Schlüssel berechnen. "


    nm



    1 mal bearbeitet, zuletzt am 16.02.16 15:41 durch Nullmodem.

  12. Re: Zugängliche Netzwerkbuchsen...

    Autor: RichardEb 17.02.16 - 07:08

    Nullmodem schrieb:

    > de.wikipedia.org
    > "Deshalb kann jemand, der beide Nachrichten mithört, daraus im Allgemeinen
    > nicht den geheimen Schlüssel berechnen. "


    Grundsätzlich ja, ist bei SSL aber nur die halbe Wahrheit. Die Sicherheit basiert vor allem darauf, dass der Schlüsseltausch verschlüsselt oder wenigstens signiert abläuft und die Identität der Gegenstelle prüfbar ist. Diffie Hellman selber ist per Man in the middle angreifbar.

  13. Re: Zugängliche Netzwerkbuchsen...

    Autor: M.P. 17.02.16 - 09:16

    Naja, wenn das Netzwerkkabel von unten durch einen einbetonierten Bodentank dem freistehenden Automaten zugeführt wird, braucht man zumindest noch einen Hubwagen o. Ä. um an das Kabel zu kommen ....

    Ich denke, es dürfte GAR KEINE sichtbaren Kabel geben, die in den Geldautomaten hineinführen...

  14. Re: Zugängliche Netzwerkbuchsen...

    Autor: Nullmodem 17.02.16 - 09:24

    RichardEb schrieb:
    --------------------------------------------------------------------------------
    > Nullmodem schrieb:
    >
    > > de.wikipedia.org
    > > "Deshalb kann jemand, der beide Nachrichten mithört, daraus im
    > Allgemeinen
    > > nicht den geheimen Schlüssel berechnen. "
    >
    > Grundsätzlich ja, ist bei SSL aber nur die halbe Wahrheit. Die Sicherheit
    > basiert vor allem darauf, dass der Schlüsseltausch verschlüsselt oder
    > wenigstens signiert abläuft und die Identität der Gegenstelle prüfbar ist.
    > Diffie Hellman selber ist per Man in the middle angreifbar.

    Natürlich ist es das. Aber das war nicht der Kontext. Im Kommentar, auf den ich mich beziehe, ist aber nicht von einem MITM Die Rede, sondern es wird behauptet, das der Schlüssel durch reines Abhören 'leicht angreifbar' ist:
    "Ein vollkommen transparentes Stück Hardware kann so den Schlüsselaustausch ebenfalls mit schneiden. Womit die Verbindung leicht angreifbar wird."

    Und das ist ja nun mal per se nicht der Fall.


    nm

  15. Re: Zugängliche Netzwerkbuchsen...

    Autor: tingelchen 17.02.16 - 11:40

    Ich schrieb aber auch: "...durch die Unterbrechung der Netzwerkverbindung....", was impliziert dass das Gerät sich nach bester MITM Manier zwischen Sender und Empfänger hängt. Somit könnte sich das Gerät sogar als Gegenstelle ausgeben.

    Zumal hier ja nicht einmal TLS verwendet wird. Sondern veraltete Standards, die nicht mehr als Sicher gelten. Wer geschickt ist und Mehraufwand nicht scheut, kann hier die ganze Verschlüsselung sogar mit einem FPGA in Echtzeit knacken.

    Der Punkt ist, wenn Zugriff auf die Hardware möglich ist, ist eine Absicherung nicht mehr gewährleistet. Daher ist der erste Schritt bei derartigen Geräten, die Absicherung der Hardware selbst. Das schließt Kabelverbindungen mit ein. Und ja... auch die Stromversorgung ;)

    Der nächste Schritt ist, jegliche Schnittstellen, am besten seitens Hardware ab zu löten, aber min. im Bios zu deaktivieren. Auch das OS darf keine neue Hardware ungefragt initialisieren.

    Wenn Netzwerkverbindungen bestehen, dürfen die Geräte bei einer Unterbrechung diese nicht einfach so neu aufbauen. Denn gerade bei einem Geldautomaten muss man davon ausgehen das sich wer in diese einklinken will.

    Man kann nicht sagen... huii... mein Geldautomat nutzt Verschlüsselung, jetzt kannst den auch mit Freiluftkabel verbinden... der ist sicher.

  16. Re: Zugängliche Netzwerkbuchsen...

    Autor: RichardEb 17.02.16 - 12:15

    tingelchen schrieb:
    --------------------------------------------------------------------------------
    > Wenn Netzwerkverbindungen bestehen, dürfen die Geräte bei einer
    > Unterbrechung diese nicht einfach so neu aufbauen.

    Dann ist die neue Hass-Nachricht am GA nicht mehr "Automat leer" sondern, "Aufgrund einer kurzen Internet-Fluktuation ist dieser GA nicht mehr verfügbar. Der Techniker ist Verständigt und wird sich in <2> Tagen um das Problem kümmern. Der nächste nicht ausgefallene GA ist lediglich <67> km entfernt."

    "Kabel einbetonieren" "GA bei Internet-Störung abschalten" ist alles nur Symptom-Bekämpfung und teilweise zusätzlich recht unpraktikabel. So funktioniert "Neuland" nun mal nicht. Um eine vernünftige Verschlüsselung kommt man nicht rum.

    Das die Bank es nicht schafft eine ordentliche Verschlüsselung zu nutzen ist das eigentliche Trauerspiel. Nicht das die GA nicht bis zum Display-Rand in Beton gegossen werden.

  17. Re: Zugängliche Netzwerkbuchsen...

    Autor: tingelchen 17.02.16 - 12:34

    Es muss nicht unbedingt Beton sein ;)

    Es reicht, wenn der Automat in einer Metallhülle steckt und fest im Boden oder der Wand verankert ist. Die Kabelverbindungen kommen dann entweder aus dem Boden oder aus der Wand hinter dem Automaten. In beiden Fällen hat man keinen freien Zugriff auf die Kabel.

    Es ist halt fahrlässig wenn man die Netzwerkverbindung frei zugänglich für die Öffentlichkeit hängen lässt. Verschlüsselung hin oder her.

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Anzeige
Stellenmarkt
  1. Bright Solutions GmbH, Darmstadt
  2. Deutsche Hypothekenbank AG, Hannover
  3. Elizabeth Arden GmbH, Wiesbaden
  4. Daimler AG, Böblingen

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 379€
  2. (u. a. Asus Gaming-Monitor 299€, iPhone 8 64 GB 799€, Game of Thrones, Konsolen)
  3. (u. a. 5 Blu-rays für 25€, 3-für-2-Aktion und Motorola Moto G5 für 129€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


4K UHD HDR: Das ZDF hat das Internet nicht verstanden
4K UHD HDR
Das ZDF hat das Internet nicht verstanden
  1. Cisco und Lancom Wenn Spionagepanik auf Industriepolitik trifft
  2. Encrypted Media Extensions Web-DRM ist ein Standard für Nutzer

King's Field 1 (1994): Die Saat für Dark Souls
King's Field 1 (1994)
Die Saat für Dark Souls
  1. Blade Runner (1997) Die unsterbliche, künstliche Erinnerung
  2. SNES Classic Mini im Vergleichstest Putzige Retro-Konsole mit suboptimaler Emulation

Amazon Video auf Apple TV im Hands on: Genau das fehlt auf dem Fire TV
Amazon Video auf Apple TV im Hands on
Genau das fehlt auf dem Fire TV
  1. Amazon Verkaufsbann für Apple TV bleibt bestehen
  2. Smartphone-Speicherkapazität Wie groß der Speicher eines iPhones sein sollte
  3. Mate 10 Pro im Test Starkes Smartphone mit noch unauffälliger KI

  1. GTA 5: Goldener Revolver für Red Dead Redemption 2 versteckt
    GTA 5
    Goldener Revolver für Red Dead Redemption 2 versteckt

    Es gibt die erste Extrawaffe für Red Dead Redemption 2: Nicht Vorbesteller, sondern findige Konsolenspieler können einen goldenen Revolver im Onlinemodus von GTA 5 freispielen und ihn dann später auch im Wild-West-Spektakel von Rockstar Games verwenden.

  2. Geldwäsche: EU will den Bitcoin weniger anonym machen
    Geldwäsche
    EU will den Bitcoin weniger anonym machen

    Mit dem Kampf gegen Terrorismusfinanzierung begründet die EU neue Maßnahmen, durch die etwa Bitcoin-Verkaufsplattformen die Identität ihrer Kunden besser überprüfen müssen.

  3. Soziale Medien: Facebook-Forscher finden Facebook problematisch
    Soziale Medien
    Facebook-Forscher finden Facebook problematisch

    Schlechte Laune, aber auch ernsthafte Erkrankungen wie Depressionen: Forscher von Facebook haben sich zu den Risiken des Netzwerks für die geistige Gesundheit geäußert. Wer den Gefahren entgehen möchte, müsse ihrer Meinung nach nicht abschalten - sondern besonders aktiv sein.


  1. 14:17

  2. 13:34

  3. 12:33

  4. 11:38

  5. 10:34

  6. 08:00

  7. 12:47

  8. 11:39