09.07.2010 12:16
Visa: Regelmäßiges Wiegen der Kartenterminals schützt vor Manipulationen
Visa hat die Sicherheitszulassung für zwei Kartenterminals (3070MP01 und i3070EP01) des Herstellers Ingenico zurückgezogen (PDF). Auslöser war offenbar eine erfolgreiche Manipulation durch Skimmer, die durch zusätzliche Elektronik die Kreditkartendaten sowie die eingebenen PIN mitlesen, speichern und später auslesen konnten. Bei den kompromittierten Terminals (engl. PIN Entry Device, PED) soll es sich um Geräte älterer Bauart handeln, die vornehmlich in den USA zum Einsatz kommen. Visa hat eine Liste weiterer, aber nicht PCI-konformer Geräte veröffentlicht, die häufiger bei Skimming-Attacken eine Rolle spielen sollen.
Derartige Angriffe sind zwar nicht neu, überraschend ist nach Branchenkennern aber die Art, wie Visa nun reagiert. Erstmals wird laut Bericht ein konkreter Hersteller genannt, und erstmals gibt Visa zu, dass ein PCI-konformer Händler Opfer eines Angriffs wurde. Der Payment Card Industry Data Security Standard (PCI DSS) formuliert mehrere Sicherheitsanforderungen, die vor erfolgreichen Angriffen auf Rechner und Kreditkartensysteme schützen sollen.
Zwar steigen derzeit offenbar die Zahlen kompromittierter PEDs, Visa will die Zulassungen laut eines internen Memos jedoch nur als Vorsichtsmaßnahme zurückgezogen haben. Daneben rät Visa Händlern, grundsätzlich die Identität von Wartungstechnikern zu verifizieren und deren Arbeit zu überwachen. Daneben soll man seine Terminals periodisch wiegen, um Abweichungen durch zusätzlich eingebaute Elemente zu erkennen.
Schutz soll auch ein Authentifizierungssystem für PEDs bieten, bei dem ein Host kontinuierlich die interne Seriennummer, die Verfügbarkeit und dessen Integrität prüft. Dann soll zum Beispiel auch kein heimlicher Austausch mehr möglich sein.
Manipulationen von Terminals müssen aber nicht erst im Geschäft stattfinden, Ende 2008 kamen US-Ermittler und MasterCard Kriminellen auf die Schliche, die Kartenterminals schon ab Werk manipulierten. Trotzdem durchliefen die Geräte die Sicherheitsprüfungen und wurden in Europa laut einem Bericht des Telegraph zu hunderten ausgeliefert. Die gesammelten Daten wurde per Mobilfunk an einen Kriminellen in Pakistan geschickt. MasterCard schickte daraufhin mehrere Teams auf Europareise, die mit einer Waage bewaffnet die Plagiate identifizieren sollte.
(dab)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
