/ Security / 33C3: Bitcoin-Automaten sind noch kein lohnendes Angriffsziel

33C3: Bitcoin-Automaten sind noch kein lohnendes Angriffsziel

Moritz Rosenfeld on December 29, 2016 - 7:57 pm in Security

Sicherheitsexperten haben auf dem Hamburger Hackertreffen beklagt, dass bei klassischen Geldautomaten weiterhin große Sicherheitslücken bestehen. Bitcoin-Tauschmaschinen hingegen seien für Kriminelle noch uninteressant.

Bitcoin-Automaten haben im kanadischen Vancouver erstmals im kommerziellen Einsatz ihre Arbeit verrichtetet. In Europa hielten sie etwa in Berlin, Helsinki und Stockholm Einzug. Auf die Kryptowährung ausgerichtete Geräte stehen bislang aber offenbar nicht ernsthaft im Visier von Hackern. “Wir haben solche Geräte noch nicht untersucht”, erklärte Alexey Osipov von der IT-Sicherheitsschmiede Kaspersky Lab am gestrigen Mittwoch auf dem 33. Chaos Communication Congress (33C3) in Hamburg. Regelrechte Tauschmaschinen, an denen man gegen Bargeld Bitcoins erstehen kann, finde man noch sehr selten. Sie seien daher momentan “für Kriminelle wenig interessant”.

Das russische Anti-Viren-Unternehmen hatte im Frühjahr eine Analyse veröffentlicht, wonach fast alle klassischen Geldautomaten für direkte physische Zugriffe auch jenseits von Skimming sowie für Angriffe aus der Ferne anfällig sind. Dies habe unter anderem damit zu tun, dass auf jenen Geräten “meist Microsoft Windows und oft XP” laufe, erläuterte Osipovs Kollegin Olga Kochetova der versammelten Hackergemeinde. Die Standardversion dieses Betriebssystems wird seit 2014 nicht mehr mit Sicherheitsupdates versorgt. Dazu komme unter anderem eine mangelhafte Verschlüsselung.

Antiquitäten laden Hacker ein

Die Sicherheitsexpertin führte ein Demo-Video vor, in dem ein Angreifer eine alte Malware auf einem PC in einem Geldautomaten installierte, einen Raspberry-Pi-Kleinstcomputer über ein Netzwerkkabel anschloss und die Maschine so kontrollieren und zum Leerräumen mit beliebigen Karten und PINs freigeben konnte. “Jackpot”, signalisierte sie, da nach dem Aufräumen nicht mal physische Spuren für Ermittler vorhanden blieben.

Viel habe sich trotz der Publikation in den vergangenen Monaten in puncto Sicherheit nicht getan, meinte Osipov. Die Finanzinstitute hingen bei den Automaten am XFS-Dateisystem, das eng mit Windows verknüpft ist. Die verwendeten Altsysteme stünden einem Wechsel etwa hin zu Linux im Wege. Er gehe trotzdem davon aus, dass erste Automaten bald auf das freie Betriebssystem umgestellt würden. Ein Banker habe ihm zudem jüngst freudestrahlend berichtet, ein Upgrade auf Windows 7 geschafft zu haben. Unterdessen ist Microsoft jedoch längst bei Windows 10 angelangt.

Bitcoin-Wechsler
Bitcoin-Automaten wie dieser 2014 auf einer Veranstaltung in Boston (USA) aufgenommene Wechsler scheinen bislang noch kein lohnendes Ziel für Kriminelle zu bilden. Vergrößern
Bild: Martin E. Walder (CC BY-SA 3.0)
Insgesamt sieht der Fachmann Angreifer und die Geldhäuser in ein Katz-und-Maus-Spiel verwickelt, das nach wie vor attraktiv für Gangster sei. Die Geräte würden meistens im Baukastenstil aus immer wieder den gleichen verwundbaren Basiskomponenten zusammengeschraubt. Weder Hersteller noch Banken zeigten großes Interesse, sich über Probleme und Lösungsansätze auszutauschen. Die Branche sei eben sehr verschwiegen. Häufig würden zudem verfügbare Schutzfunktionen nicht implementiert. Kommunikationsports seien vielfach offen zugänglich. Einfache Penetrationstests reichten meist aus, um Angriffspunkte zu finden.

Osipov räumte ein, in den gezeigten Videos “Extremfälle” vorgeführt zu haben. Letztlich weise aber fast jeder Typ von Geldautomat die eine oder andere Schwäche auf: “Wir haben sichere Bankautomaten gesehen, aber nicht sehr sichere.” Der Techniker riet den Finanzeinrichtungen, sich vom Prinzip “Security by Obscurity” zu verabschieden und nicht weiter zu versuchen, die Funktionsweise der Geräte zu verschleiern. Letztlich bräuchten die Maschinen einen mehrstufigen Schutzschild, ähnlich wie ihn das Tor-Netzwerk mit dem Onion-Routing eingeführt habe. (psz)

Read more on: Source

Comments are disabled