Geldautomaten schlecht gesichert

Barnaby Jack hat auf der diesjährigen Black-Hat-Konferenz seinen Vortrag "Jackpotting Automated Teller Machines" nachgeholt, den sein ehemaliger Arbeitgeber Juniper Networks im Vorjahr nach der Intervention eines Automatenherstellers zurückgezogen hatte. Jack, inzwischen als Forschungsleiter bei IOActive Labs tätig, zeigte Medienberichten zufolge anhand zweier freistehender Geldautomaten der US-Hersteller Tranax und Triton das Ergebnis seiner Bemühungen: Nach einem Mausklick auf den Jackpot-Button seiner selbstentwickelten Software "Dillinger" begann einer der Automaten Banknoten auszuspucken, die sich kurz darauf vor der Geldmaschine anhäuften.

Beim Tranax-Automaten nutzte Jack eine Schwachstelle in der standardmäßig aktivierten Fernwartungsfunktion aus, die es ihm erlaubte, seine modifizierte Firmware ohne Passwortabfrage aus der Ferne in das Gerät einzuspielen. Auch ein Rootkit namens Scrooge hat der Sicherheitsexperte entwickelt. Es soll nahezu unsichtbar sein, bis man eine spezielle Tastenfolge eintippt oder eine bestimmte Magnetkarte in den Automaten schiebt.

In die Maschine von Triton konnte Jack nicht über externe Schnittstellen eindringen. Er entdeckte jedoch, dass zwar der eigentliche Tresor gut gesichert ist, man die PC-Hardware des Geldautomaten aber mit einem Generalschlüssel erreichen kann. Für den Schlüssel habe er im Internet 10,78 US-Dollar gezahlt. Mit einem präparierten USB-Stick gelang es ihm auch dort, modifizierte Firmware einzuspielen.

Auch Geräte anderer Hersteller soll man theoretisch auf diesem Wege manipulieren können. In vielen Geldautomaten kommt Windows CE zum Einsatz, das den Zugriff auf das Geldscheinausgabemodul über eine serielle Schnittstelle kontrolliert. Beide Automatenhersteller haben die Sicherheitslücken bereits geschlossen. Triton bietet seinen Kunden inzwischen Austauschschlösser mit individuellen Schlüsseln an, wie der Vize-Entwicklungschef der Firma auf der Konferenz laut einem Bericht von CNET verkündete. (rei)