:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/30/30/3030b66cc91bdc748d53ddfa98603890/0114242796.jpeg "Der sichere Betrieb von SAP-Systemen erfordert die individuelle Absicherung des Systems und auch den sicheren Betrieb der gesamten SAP-Landschaft. (Bild: yingyaipumi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/2b/8b2b54e445a1feb1e0c7e80adaa0f064/0112150345.jpeg "Im Security-Talk besprechen wir weit mehr als Pleiten, Pech und Patches. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b1/19/b119dde55e2269c94ef94a6d1d0a291e/0114244104.jpeg "Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4b/9b/4b9b0e03c93f35253e7bdc638d8c1985/0114368367.jpeg ""Sichere Digitalisierung im Maschinenbau", ein Interview von Oliver Schonschek, Insider Research, mit Christoph Schambach von secunet Security Networks AG. (Bild: Vogel IT-Medien / secunet Security Networks AG / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/ca/c2/cac291e0070a2c8ed93aa4c2b15ced0c/0114113039.jpeg ""Daten sichern mit Daten - Die Zukunft der Cybersicherheit", ein Interview von Oliver Schonschek, Insider Research, mit Matthias Canisius von SentinelOne. (Bild: Vogel IT-Medien / SentinelOne / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c2/12/c212e1f2d8d9ec50fa8c1c40f8aecb22/0114324694.jpeg "Oft totgesagt und trotzdem quicklebendig: Passwörter sind trotz Alternativen noch immer allgegenwärtig und ein willkommenes Ziel für Cyberkriminelle. (Bild: sasun Bughdaryan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/4d/df4dddc448214d8fcc5545d729fc566d/0114322223.jpeg "Digitale Identitäten können den Zugang in die digitale Welt erleichtern und auch Gegenstände identifizierbar machen. (Bild: vegefox.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/f1/6b/f16b94ff7c9056c68539d3beb864080f/0114259975.jpeg "CISOs verstehen menschenzentrierte Sicherheit in erster Linie als das, was man dazu auf dem Markt einkaufen kann: nämlich Awareness- und Phishing-Simulationen. (Bild: leowolfert - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Man-in-the-Middle Angriff auf Chipkarten demonstriert Kreditkartenbetrug mit Hardware-Hack
Auf der Sicherheitskonferenz IT-Defense zeigten Computerexperten in München einen Man-in-the-middle-Angriff auf Kreditkarten. Eine elastische Platine und geeignet programmierte Chips beseitigen die lästige PIN und sorgen so für Bargeld.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/118100/118185/65.jpg "VIT_Logo_Akademie.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
Ein Mikrochip prangt seit 2010 auf allen neuen Kreditkarten. Er soll vor Dieben schützen. Nun zeigten Hacker: er nutzt weit weniger als erhofft. Dazu bauten sie einen ultradünnen Datendieb, um einen sogenannte „man-in-the-middle“ Angriff zu starten.
Solche Angriffe sind nichts Neues. Dazu klinkt sich ein Unbefugter, meist ein Computerprogramm, in den Datenverkehr zwischen zwei Teilnehmern und liest Informationen mit. Den Bitstrom rein physikalisch zu unterbrechen, ist aus der Mode gekommen. Die amerikanische Hacker-Legende Adam Laurie und die jungen Italiener Andrea Barisani und Daniele Bianco probierten es trotzdem.
Angriff mit hauchdünner Chipkarte
Dazu schrumpften sie das Angriffswerkzeug auf die halbe Größe und halbe Dicke einer Kreditkarte. Die doppelseitig durchkontaktierte, hochflexible Leiterplatte schmiegt sich an die Kreditkarte an und ist so dünn, dass man sie, zusammen mit der Karte, problemlos in ein handelsübliches Bezahlgerät einführen kann.
Das Terminal versorgt die Karte während des Angriffs mit Strom. So kann sie alle Befehle mitlesen und verarbeiten, da der gesamte Datenverkehr über die Platine läuft. Diese Bezahlterminals für Kreditkarten sind weit verbreitet. Es gibt sie in unterschiedlichen Größen und Qualitätstufen, vom stationären Geldautomaten mit ständiger Datenanverbindung bis zum Kleingerät für Geschäfte und Restaurants.
Angriffsziel der drei Hacker ist der so genannte Sicherheits- oder EMV-Chip der Kreditkarte. Dieser Chip ist eine "intelligente" Smart Card mit einem gekapselten Mikrocomputer, der auf dem Plastikkärtchen klebt. Er enthält eine persönliche PIN, die der Nutzer in das Bezahlterminal eintippen muss, will er Geld sehen oder etwas kaufen. Dank man-in-the-middle gibt es aber auch ohne PIN Bares. Dies demonstrierten die drei Hacker im Rahmen der IT-Sicherheitskonfernez “IT-Defense 2012” der Beratungsfirma Cirosec in München.
Die Hacker nutzen dabei die Tatsache aus, das es Karten und Terminals in unterschiedlichen Modi betrieben werden können, um den Anforderungen in den diversen Ländern und den unterschiedlichsten Bezahlsituationen gerecht zu werden. Der Bezahlvorgang soll nach dem Willen der ausgebenden Organisationen auch mit alten und preiswerten Geräten möglich bleiben.
Hardware zwingt Kreditkarte auf niedrigsten Sicherheitslevel
Beim Angriff zwingt die Leiterplatte Karte und Terminal auf den niedrigsten Sicherheitslevel. Sie leitet dann alle unverfänglichen Fragen des Bezahlsystems durch, und beantwortet alle kritischen mit “ja”. Welche Codes genau ausgetauscht werden, darüber schweigt Laurie, nur so viel verrät er: der Bezahlautomat akzeptiert den Buchungsvorgang anschließend auch ganz ohne PIN. Der Genehmigungscode "0x9000" gilt aber seit langem als Schwachstelle des EMV-Chips und dürfte auch hier verwendet worden sein, um die PIN auszuhebeln.
Ebenso unverzeihlich wie technisch fraglich ist die nach wie vor bestehende Option, die PIN unverschlüsselt vom Bezahlterminal an den EMV-Chip zu schicken, was abhorchen erleichtert. Schnelle Hilfe ist nicht in Sicht.
„Das EMV-System ist einfach zu komplex“, erklärt Master Card EMV Experte Jan Lundequist. Der Sicherheitschip hatte schon mehrfach für Ärger gesorgt. Erst 2010 in der Fläche eingeführt, benötigten 30 Millionen Karten noch im selben Jahr ein Softwareupdate, da sie wegen eines Programmierfehlers mit dem Jahr 2010 nicht klarkamen. Dass es der Chip zulässt, von außen umprogrammiert zu werden, halten Experten für ein zusätzliches Sicherheitsmanko.
Immer mehr Angriffe auf Kreditkarten möglich
Langsam sollten bei Banken und ihren Versicherern die ersten grauen Haare wachsen, denn die Angriffe auf das Plastikgeld häufen sich. Die Sorge wächst, dass organisierte Kriminelle die Idee aufgreifen könnten. Ähnliches wurde im Falle von gefälschten Fernsehkarten beobachtet. Auch damals wurden aus einem Hobbyprojekt schnell ein Großserienprodukt.
Dann dürften die Labormuster von Heute professionellen Spionage-Platinen mit Original-Kreditkarten Logo weichen, um unauffällig Kasse machen zu können. Geschulte Finger dürften dann beides unauffällig vor den Augen eines arglosen Juweliers in den Bezahlautomaten fummeln, und Glitzersteine für Lau einsacken. Den Ärger hat der bestohlenen Kreditkartenbesitzer, denn offiziell gilt das Verfahren immer noch als sicher und die Beweislast liegt bei ihm.
10 Jahre IT-Defense
Seit 2003 leistet sich die Sicherheits-Beratungsfirma Cirosec eine eigene Konferenz der besonderen Art. Ohne Eigenwerbung, Sponsoren und Werbevorträge. Das Programm ist eine Mischung aus technischen Grundlagenvorträgen, Berichten über aktuelle Hacks, strategischen Präsentationen und unterhaltsamen Referenten. Letztere sind oft Hacker-Legenden, die auch schon mal aus ihrer Zeit im Gefängnis berichten.
Die Anzahl der Teilnehmer ist auf 200 begrenzt, was die Veranstaltung übersichtlich hält. Industrie, Militär und Verwaltung haben das Konzept sofort dankbar angenommen. Die Gespräche mit den Kollegen während der Kaffeepausen sind für viele ein weiteres Argument, auch im nächsten Jahr vorbei zu schauen. Einen Platz im Auditorium zu ergattern ist für Spätbucher allerdings gar nicht so einfach, denn die meist auf den Februar terminierte Konferenz ist regelmäßig ab Weihnachten ausgebucht.
(ID:32023880)
:quality(80)/p7i.vogel.de/wcms/76/7e/767e9ebaf5ac5af2773bed55ed4c5c74/0114009152.jpeg "Mit seiner fortschrittlichen digitalen Infrastruktur und der weiten Verbreitung von Online-Banking und E-Commerce ist Deutschland ein attraktives Ziel für Cyberkriminelle. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/6f/d16f5118941ec3c3fa492f7b132d91ff/0112964242.jpeg "Lassen Sie sich Ihre wohlverdiente Freizeit nicht durch Kriminelle und Cyberbedrohungen verderben! (Bild: olezzo - stock.adobe.com)")