c't 2/2016
S. 22
News
32C3
Aufmacherbild

Allgemeine Verunsicherung

Hacker zwischen Sicherheits-Katastrophen und Big-Data-Alpträumen

Bezahlterminals, RFID-Schließanlagen und Banking-Apps standen auf der „Abschussliste“ der Sicherheitsexperten beim Stelldichein der Hacker-Szene, zu dem der Chaos Computer Club (CCC) zum 32. Mal geladen hatte. Warnungen vor Hardware-Trojanern und Schwachstellen im Internet der Dinge durften genauso wenig fehlen wie vor undurchsichtigen Algorithmen.

Wer glaubte, dass die Industrie durch das umstrittene neue IT-Sicherheitsgesetz und aus unzähligen Dateneinbrüchen gelernt hat, konnte sich auf dem 32. Chaos Communication Congress (32C3) in Hamburg vom Gegenteil überzeugen: Dem CCC verbundene Forscher zeigten schwere Sicherheitslücken en masse auf, zum Teil in Anwendungen, die direkt ans Geld oder an den Schutz der eigenen vier Wände gehen.

Karsten Nohl und seine Mitarbeiter von Security Research Labs präsentierten, wie sich ein über eBay erstandenes Kreditkartenzahlungs-Terminal hacken lässt. Dem Team gelang es, Zahlungen schier beliebig umzuleiten und den PIN-Schutz zu umgehen, wenn Zugang zum internen WLAN eines Händlers oder Hotels bestand. Ursache sind nachlässig oder gar nicht implementierte Sicherheitsmechanismen in den Übertragungsprotokollen Poseidon und ZVT. Die Forscher fanden heraus, dass alle Geräte mit den gleichen Schlüsseln ausgestattet waren und diese sich problemlos auslesen ließen.

Kommentieren

Weitere Bilder

Allgemeine Verunsicherung (1 Bilder)

Ein billig auf eBay ersteigertes Bezahlterminal lässt sich schnell zum Klonen eines tatsächlich eingesetzten Terminals umfunktionieren.