Suchen

ATM-Live-Hack auf Black Hat abgesagt Schwachstellen-Fixes statt Hacking-Angriff auf Geldautomaten-Software

Redakteur: Stephan Augsten

Auf die Bitte eines Geldautomaten-Herstellers hin verzichtet Juniper Networks im Rahmen der Black Hat Briefings auf eine Hacking-Präsentation. Ein Sicherheitsforscher des Unternehmens plante, in einem Live-Hack die Schwachstellen der Software aktueller SB-Automaten aufzuzeigen. Betroffene Hersteller bekommen die Zeit, die Sicherheitslücken vorab zu schließen.

Firmen zum Thema

Aus grauer Vorzeit: Ersetzen Hacking-Attacken künftig das Ausspähen von Daten? Ein Live-Hack sollte Schwachstellen in Geldautomaten zeigen.
Aus grauer Vorzeit: Ersetzen Hacking-Attacken künftig das Ausspähen von Daten? Ein Live-Hack sollte Schwachstellen in Geldautomaten zeigen.
( Archiv: Vogel Business Media )

Allein der vielversprechende Titel „Jackpotting Automated Teller Machines“ hätte am 30. Juli 2009 wohl dafür gesorgt, dass sich reichlich Zuhörer bei der Hacking-Präsentation von Baranaby Jack einfinden. Doch nun wurde die im Rahmen der Black Hat Briefings angekündigte Veranstaltung auf Ersuchen eines Geldautomaten-Herstellers abgesagt.

Während seines Vortrags wollte Jack belegen, dass die Software neuer, aber weit verbreiteter Geldautomaten (Automated Teller Machines, ATMs) lokal und remote angreifbar ist. Zum Ende der Präsentation war zusätzlich ein Live-Hack auf einen (echten und unmodifizierten) Geldautomaten angekündigt. Während traditionelle Methoden zum Prellen von SB-Geräten auf Karten-Fälschungen (Dubletten) oder tatsächlichem Diebstahl basieren, ist die Hacking-Technik eine neue Methode.

In einer Stellungnahme unterstreicht Juniper, dass es die Präsentation seines Sicherheitsforschers in einem öffentlichen Forum für sehr wichtig erachtet. „Allerdings hat der betroffene ATM-Hersteller seine Bedenken gegenüber einer Veröffentlichung geäußert, bevor seine Geldautomaten vollkommen abgesichert sind.“

In Anbetracht der Tragweite und möglichen Auswirkungen – auch auf andere Geldautomaten – wolle man ATM-Herstellern die Zeit geben, die Probleme zu adressieren. „Wir bieten den Herstellern an, bei der zeitnahen und umfassenden Beseitigung der Sicherheitsrisiken und Schwachstellen zu helfen.“

Nach etlichen Angriffen stehen die Geldautomaten-Hersteller nun unter noch massiverem Druck, ihre SB-Modelle tiefgreifend abzusichern. Unter anderem hatte im März ein Vorfall in Russland für Aufsehen gesorgt, bei dem Kriminelle Trojaner auf zahlreichen Geldausgabe-Automaten installiert hatten.

(ID:2022776)