Hackerspiele mit Geldautomaten

Allgemein

Banküberfälle waren gestern. Der intelligente Geldräuber geht online und sucht sich das Passwort eines Geldautomaten, um sein Geld durch Umprogrammierung statt mit roher Gewalt zu erbeuten.

Ein Geldautomat gab neun Tage lang 20-Dollar-Noten anstelle von 5-Dollar-Noten aus. Erst dann meldete sich ein ehrlicher Kunde. Die wundersame Geldvermehrung um satte 300 Prozent hatte ein Panzerhacker ausgelöst, der sich bei der Umprogrammierung des willigen Geldspenders sogar hatte filmen lassen. Das Video wurde von CNN gesendet und ist hier bei YouTube zu sehen.
Diese Aufnahmen sah auch der Sicherheitsexperte Dave Goldsmith von Matasano Security. Er ging den enthaltenen Hinweisen nach, dann genügte ihm eine 15-Minuten-Recherche im Internet mit nur vier Google-Suchworten, um hinter die Methode zu kommen. Er fand das online verfügbare Handbuch des Geldautomaten-Herstellers mit einem Kapitel über die Programmierung der Automaten sowie den vorgegebenen Passwörtern, über die die Geräte im Auslieferungszustand ansprechbar sind. Offenbar sind die unsicheren Geldspender meistens auch danach mit Hilfe dieser Passwörter zu programmieren, da die Automatenaufsteller die Eingabe eines neuen Passworts gerne vergessen.
Schätzungen zufolge sind mehr als 200.000 Automaten verschiedener Hersteller in den USA von dem Problem betroffen. Ein Firmware-Patch soll nun die Vergabe neuer Passwörter erzwingen, doch das soll es erst in einigen Monaten geben. Braucht vielleicht jemand noch ein paar Scheine? (bk)

Linq
eWeek