In Filmen sieht man häufig irgendwelche ‘Hacker’, die sich von zu Hause aus in Terminals einwählen und dort nach Belieben schalten und walten. Gibts nicht, meinen Sie? Irrtum! Geldkarten-Terminals mit Windows 95 und PCAnywhere machens möglich.
In vielen McDonalds-Filialen stehen Terminals, an denen man für den bargeldlosen Hamburgerkauf seine Geldkarte aufladen kann. Das Gemeinschaftsprojekt von McDonalds und Sparkassen wurde 1998 als Meilenstein für die integrierte EC-Geldkarten-Lösung gefeiert: EC-Karte reinstecken, Betrag wählen, PIN eingeben und schon ‘überweist’ das Terminal den gewählten Betrag vom Girokonto auf die eingebaute Geldkarte. Doch genauso schnell wie der BigMac im Magen hätte dabei auch die PIN in fremden Händen landen können.
Da die Benutzer an der Ladestation ihre EC-Karten-PIN eingeben, sollten solche Terminals gegen Manipulationen jeglicher Art geschützt sein. Wie wir jedoch zufällig herausfanden, wiesen zumindest die bei McDonalds aufgestellten Talis-Terminals der Firma Verifone ein eklatantes Sicherheitsproblem auf.
Steckt im Kartenschacht eine unlesbare Karte, führt das Terminal einen Neustart durch. Und was dabei zum Vorschein kam, war kaum geeignet, das Vertrauen in die Geräte zu fördern: Es bootete ein ganz normales Windows 95, und in der Task-Leiste tauchte darüber hinaus das Fernwartungsprogramm PCAnywhere auf. Es war sogar möglich, dieses Programm in den Vordergrund zu holen und über den Touchscreen zu bedienen. Da die Terminals mit ISDN-Karten ausgerüstet sind, hätte sich ein geschickter Angreifer auf diesem Weg eine Hintertür zu dem Fernsteuerprogramm einbauen können, über die er von außen die volle Kontrolle über das Windows-System erhält.
Unsere ersten Nachfragen beim Hersteller Verifone wurden mit dem Hinweis abgeschmettert, das Gerät sei vom Zentralen Kreditausschuss (ZKA) zertifiziert und genüge den Sicherheitsanforderungen an ein PIN-Eingabegerät. Diese Aussage hat sich jedoch im Nachhinein als irreführend erwiesen. Der Hersteller hat zwar eine Zulassung für das Gerät erhalten - eine Sicherheitsprüfung erfordert diese jedoch nur für die eigentliche PIN-Eingabeeinheit.
Dieses ‘Hochsicherheitsmodul’ arbeitet in dem Terminal als abgeschottete Black-Box, nimmt über ein spezielles Eingabefeld die PIN entgegen und ist auch für die verschlüsselte Kommunikation mit den Servern der Betreiberbanken zuständig. Wie ein Mitarbeiter der Firma T-Systems, die die sicherheitsbezogene Begutachtung durchgeführt hat, bestätigte, bezogen sich die Tests nur auf dieses PIN Pad. Die Gutachter hatten das Komplettsystem nie zu Gesicht bekommen und zeigten sich ebenso überrascht wie wir, dass hier ein völlig ungesichertes Windows mit PCAnyhwere zum Einsatz kam.
Somit ist zwar die Eingabe am separaten Tastenfeld des PIN Pads gesichert - das heißt aber noch lange nicht, dass es einem geschickten Angreifer nicht möglich wäre, einem Benutzer seine PIN abzuluchsen. Er hätte dazu beispielsweise via PC- Anywhere ein Programm auf dem Terminal installieren können, das zur Eingabe der PIN auf dem Touchscreen auffordert, diese völlig ungesicherte Eingabe abspeichert und mit einer Fehlermeldung quittiert.
Dass hier eine Schwachstelle vorliegt, hat schließlich auch der Projektkoordinator sCard Service eingeräumt. Deshalb hat er die Terminals jetzt so modifizieren lassen, dass über den Touchscreen kein Zugang zur Task-Leiste und zum Task-Manager mehr möglich ist. Erste Versuche zeigen, dass damit die geschilderten, einfachen Angriffsszenarien nicht mehr möglich sind.
Der gesamte Vorgang wirft jedoch die grundsätzliche Frage auf, ob die gängige Zertifizierungspraxis der ZKA tatsächlich ausreicht, die Sicherheit elektronischer Bezahlsysteme zu gewährleisten. Dem Benutzer präsentiert sich ein solches Terminal als geschlossene Einheit. Er wird deshalb dem Gerät entweder als Ganzem vertrauen oder gar nicht. Von ihm zu erwarten, er müsse zwischen dem gesicherten PIN Pad und dem Touchscreen unterscheiden, ist realitätsfern. Folglich müsste auch das Gesamtsystem einer Sicherheitsprüfung unterzogen werden. Schließlich ist es längst eine Binsenweisheit, dass jedes Sicherheitskonzept nur so gut ist wie sein schwächstes Glied. (ju)
Version zum Drucken | Per E-Mail versenden | Heft bestellen
Permalink: http://heise.de/-288398
Kommentare lesen (13 Beiträge)
Das aktuelle Heft ist jetzt im Handel erhältlich.
Ältere Artikel können Sie über unser Zeitschriften-Archiv bestellen.
RSS
