Trojaans paard infecteert geldautomaat
Niet alleen thuisgebruikers moeten oppassen voor malware, ook banken zijn gewaarschuwd, onderzoekers hebben namelijk een Trojaans paard ontdekt dat geldautomaten infecteert en de betaalgegevens doorspeelt aan criminelen. Zelfs voor de onderzoekers kwam de ontdekking als een verrassing. "Als iemand me een paar dagen geleden had gevraagd over malware die geldautomaten infecteert, dan zou ik zeker weten dat ze weer een hoax hadden ontvangen en ze verzekerd dat er niets aan de hand is", aldus Sophos virusanalist Vanja Svajcer.
Tenslotte draaien geldautomaten geen standaard Windows versie, gebruiken ze ongedocumenteerde hardware en software interfaces, wat reverse engineering lastig maakt. Daarnaast bevinden de machines zich in een geïsoleerd netwerk en zijn ze van sensoren voorzien om in het geval van fysiek geknoei alarm te slaan. Volgens Svajcer levert malware voor standaard Windows desktops veel meer op en is daarom interessanter voor criminelen. Criminelen die zich toch op geldautomaten richten, gebruiken juist voorzetmondjes, camera's of geprepareerde toetsenborden om de gegevens van de betaalpas te stelen en geen malware.
Diebold Trojan
Een bankmedewerker benaderde Svajcer met de vraag of zulke malware echt niet bestaat, aangezien er geruchten rondgaan over een Trojaans paard dat Russische geldautomaten infecteert om creditcardgegevens te stelen. De onderzoeker zocht in de virusdatabase naar exemplaren die met Diebold te maken hebben, de fabrikant van de machines. Hij trof drie recent ontdekte bestanden aan, die er allemaal hetzelfde uitzagen en niet door het automatische analyse detectiesysteem als bijzonder werden opgemerkt.
De malware, Skimer.A genaamd, wijzigt de Protected storage service en installeert en laadt dan het kwaadaardige bestand lsass.exe. Tevens worden wat andere specifieke bestanden van de geldautomaat vervangen. Eenmaal actief kan de Trojan de informatie van de magnetische kaartlezer via ongedocumenteerde Diebold functies opslaan, injecteert die code in de processen van de geldautomaat, kaapt die transacties in Oekraiense, Russische en Amerikaanse valuta en gebruikt een printfunctie om de gestolen gegevens te printen. Svajcer is er ook zeker van dat een aantal instructies voor het keyboard worden gebruikt om de PINcode op te slaan
Insider
Een deel van de code is versleuteld en voorzien van een "alternatieve user interface", die waarschijnlijk katvangers toegang tot de gestolen informatie geeft. De "money mules" zouden de data wel in persoon moeten ophalen. Een aanvaller heeft ook fysieke toegang tot de geldautomaat nodig om de Trojan te installeren. Zorgwekkender is dat de onderzoeker denkt dat de malware het werk van een programmeur is die de werking van Diebold geldautomaten bijzonder goed kent. Toch verwacht Svajcer dat geldautomaat malware een bijzondere uitzondering blijft.
Ze zullen best wel weer een commercieel verantwoord inlog schermpje hebben toegevoegd ;)
Ik heb de dozen geïnstalleerd en geloof me het is misschien 'niet standaard' maar voor de rest is het gewoon windoos (2000).
Vanwege dezelfde reden waarom een pinautomaat linux of een andere embedded OS zou kunnen draaien; er is een operating system nodig om de software op uit te kunnen voeren.
"Niet omdat windows een K programma is maar omdat windows te veel kan en daardoor te veel gebruikt."
Gaat niet geheel op, omdat het over het algemeen gaat om volledig uitgeklede versies van het OS, waarbij heel veel (onnodige) functionaliteit is verwijderd; een embedded WinXP systeem kan bijvoorbeeld maar 15-20mb groot zijn in sommige appliances.
"Sorry hoor maar je gaat geen windows op een pinautomaat laten draaien."
Vrijwel iedere pinautomaat hier in Nederland draait ook op Windows (i.i.g. alle automaten van de ABN/AMRO).
;)
Het is dweilen met de kraan open. Maar dat geeft niet dat schept werk in de crisis.
Waarom zou je windows op een pinautomaat laten draaien? Een pin automaat hoeft maar 1 kunstje te kennen. Hier is een eenvoudige kernel met een basis programma voldoende. Sorry hoor maar je gaat geen windows op een pinautomaat laten draaien. Ik werk met meerdere computers die maar 1 kunstje hoeven te kunnen en geen enkele draait windows op. Niet omdat windows een K programma is maar omdat windows te veel kan en daardoor te veel gebruikt.
Ook zelfbedieningskassa's draaien op Windows. Het is nu eenmaal makkelijker om op een bestaand os dedicated software te bouwen, dan om op een kale machine aan de gang te gaan en alles zelf te moeten verzinnen. Overigens heb ik ook geldautomaten gezien, die bij een reboot een linux/unix-achtig verhaal vertoonden.
De programmeurs die vanaf schracth iets kunnen bouwen zijn nu eenmaal een zeldzaam volkje.
Vertel dat eens aan Skype en kijk niet zuur als ze je uitlachen om die uitspraak.
Wat zou je er moet bijvoorstelen, zo computer dat is een half
appraat en wordt aanstuurd door computer, kan je pinpass inslikken,
bonnetje afdrukken, communication verification pankgegevens ,
een programma word opgestart dat gescheven is door bank menu's en
aanmeld venster voor pincode. And if there happen something wrong
get Bleu death of screen. Special Service for dutch bank and made by dutch bank.
Dan weet ik niet welke documenten ik thuis heb liggen....
PS; incl. de benodigde autorisatie 'pasjes' ;)
(getekend; ex-installateur)
;)
tja doe er nog een rubbertje erom heen hé... :p
Schept geen vertrouwen lijkt me.
Denk vooral niet dat alle info die zich in de request en response pakketjes bevinden versleuteld zijn.. Moet je eens indenken dat zo'n pinautomaat aan het interne netwerk van de bank hangt. Dit zou het voor een aanvaller vele malen makkelijker maken dan wanneer hij/zij fysiek toegang nodig heeft tot het apparaat of het interne netwerk (bijvoorbeeld gesloten lijn) waar de data overheen gaat.
Over het algemeen gaat de pin geëncrypteerd over de lijn, maar denk bijvoorbeeld aan het pasnummer, verloopdatum ervan en je rekening balans. Hoe waardevol is die info? Het kan gebruikt worden om een kaart te dupliceren of voor handtekening-gebasseerde transacties of online aankopen. Het kan ook leiden tot identiteit diefstal. De aanvaller kan gewoon passief de data van de lijn sniffen zonder dat er ook maar 1 alarmbel gaat rinkelen..
De PIN code zelf, als deze gedecrypt wordt, kan gebruikt worden met de overige clear text info uit de overdracht om vanaf een willekeurige automaat geld op te nemen. Gelukkig is decryptie niet een 1-2-3-klusje. Anders als het versleutelen van de PIN, die naarmate van tijd gekraakt zou kunnen worden, wordt er een combinatie van het rekeningnummer en PIN geëcrypteerd en verzonden over de lijn waardoor brute force aanvallen (op alleen de PIN) aanzienlijk bemoeilijkt worden.
Vriendelijke groenten,
anonymous maximus
Het is aan het bedrijf (Diebold) om te kiezen welke delen van het OS noodzakelijk zijn voor hun software.
Als je dat goed doet is het behoorlijk veilig (net zo veilig als embedded doetnix en consorten).
Fysieke toegang tot het systeem is noodzakelijk, maar dan kun je dus overal wel bij als je authorisatie nodig hebt.
Het is dus niet de software, maar de procedure waar de kever zich bevindt en helaas, maar waar, das mensen eigen en heel moeilijk aan te passen.
Vertel dat eens aan Skype en kijk niet zuur als ze je uitlachen om die uitspraak.
Waarde collega,
Vergeet niet dat Skype haar voorsprong op de markt (in versleuteling van communicatie) misschien ook gebruikt voor het behalen van extra winst. Dit bijvoorbeeld door achterdeuren aan inlichtendiensten te verkopen die graag inzage hebben in het Skype verkeer.
Het is algemeen bekend dat meerdere diensten achter het decrypten van de Skype versleuteling aan zitten (De vraag is dus hoe de aandeelhouders er achter de schermen over denken). En wie zegt dat Skype uiteindelijk niet gekraakt kan worden. Zelf blijf ik bij het standpunt dat je een kluis zo groot en geavanceerd qua beveiliging kan maken maar dat het mogelijk blijft deze kruis te kraken zolang het ontworpen is om open te kunnen... Oftewel, het blijft een kwestie van tijd (lees: kat en muis spel).
In de rookgordijnen- en spiegelwereld die inlichtingen heten, kan het zijn dat opsporingsdiensten (of black hat's) al VoIP gesprekken af kunnen luisteren en dat ze simpelweg willen dat het geboefte (of Jan en alleman) VoIP gaat gebruiken in de hoop dat ze maar zo lang mogelijk geloven dat het onmogelijk is deze af te tappen. De geschiedenis van encryptie leert ons dat hoe encryptie technieken worden toegepast meestal belangrijker is dan hoe mooi de beveiliging misschien in theorie mag zijn.
- http://www.theregister.co.uk/2009/02/12/nsa_offers_billions_for_skype_pwnage/
- http://www.theregister.co.uk/2009/02/24/eurojust_voip_wiretap_probe/
(originele persbericht waar ze naar verwijzen is ondertussen verwijderd en "geüpdate" door http://www.eurojust.europa.eu/press_releases/2009/25-02-2009.htm)
- http://www.theregister.co.uk/2009/02/27/eurojust_abandons_skype/
(dit verhaal dus. weten ze zelf al wat ze willen voordat het beleid wordt?)
We hebben dankzij o.a. Microsoft Windows en de Mifare Classic mogen ervaren hoe geweldig "Security by Obscurity" is... toch?
Vriendelijke groenten,
anonymous maximus nicknamius
;)
tja doe er nog een rubbertje erom heen hé... :p
hihi...
Weet je in ieder geval zeker dat je nooit rood komt te staan....
Misschien kan je er zelfs miljonair mee worden...
;-)
JA of NEE..
Denk vooral niet dat alle info die zich in de request en response pakketjes bevinden versleuteld zijn.. Moet je eens indenken dat zo'n pinautomaat aan het interne netwerk van de bank hangt. Dit zou het voor een aanvaller vele malen makkelijker maken dan wanneer hij/zij fysiek toegang nodig heeft tot het apparaat of het interne netwerk (bijvoorbeeld gesloten lijn) waar de data overheen gaat.
Over het algemeen gaat de pin geëncrypteerd over de lijn, maar denk bijvoorbeeld aan het pasnummer, verloopdatum ervan en je rekening balans. Hoe waardevol is die info? Het kan gebruikt worden om een kaart te dupliceren of voor handtekening-gebasseerde transacties of online aankopen. Het kan ook leiden tot identiteit diefstal. De aanvaller kan gewoon passief de data van de lijn sniffen zonder dat er ook maar 1 alarmbel gaat rinkelen..
De PIN code zelf, als deze gedecrypt wordt, kan gebruikt worden met de overige clear text info uit de overdracht om vanaf een willekeurige automaat geld op te nemen. Gelukkig is decryptie niet een 1-2-3-klusje. Anders als het versleutelen van de PIN, die naarmate van tijd gekraakt zou kunnen worden, wordt er een combinatie van het rekeningnummer en PIN geëcrypteerd en verzonden over de lijn waardoor brute force aanvallen (op alleen de PIN) aanzienlijk bemoeilijkt worden.
Vriendelijke groenten,
anonymous maximus
Waarde collega,
De pincode encryptie is al al 6 jaar geleden gekraakt.
De hash die naar de bank retour gaat en de resterende gegevens van je magneetkaart zijn voldoende om een werkende kloon te maken.
Link naar artikel: http://www.theregister.co.uk/2003/02/21/how_to_get_an_atm/
Pdf met uitleg: http://www.cl.cam.ac.uk/TechReports/UCAM-CL-TR-560.pdf
Vertel dat eens aan Skype en kijk niet zuur als ze je uitlachen om die uitspraak.
Waarde collega,
Vergeet niet dat Skype haar voorsprong op de markt (in versleuteling van communicatie) misschien ook gebruikt voor het behalen van extra winst. Dit bijvoorbeeld door achterdeuren aan inlichtendiensten te verkopen die graag inzage hebben in het Skype verkeer.
Het is algemeen bekend dat meerdere diensten achter het decrypten van de Skype versleuteling aan zitten (De vraag is dus hoe de aandeelhouders er achter de schermen over denken). En wie zegt dat Skype uiteindelijk niet gekraakt kan worden. Zelf blijf ik bij het standpunt dat je een kluis zo groot en geavanceerd qua beveiliging kan maken maar dat het mogelijk blijft deze kruis te kraken zolang het ontworpen is om open te kunnen... Oftewel, het blijft een kwestie van tijd (lees: kat en muis spel).
In de rookgordijnen- en spiegelwereld die inlichtingen heten, kan het zijn dat opsporingsdiensten (of black hat's) al VoIP gesprekken af kunnen luisteren en dat ze simpelweg willen dat het geboefte (of Jan en alleman) VoIP gaat gebruiken in de hoop dat ze maar zo lang mogelijk geloven dat het onmogelijk is deze af te tappen. De geschiedenis van encryptie leert ons dat hoe encryptie technieken worden toegepast meestal belangrijker is dan hoe mooi de beveiliging misschien in theorie mag zijn.
- http://www.theregister.co.uk/2009/02/12/nsa_offers_billions_for_skype_pwnage/
- http://www.theregister.co.uk/2009/02/24/eurojust_voip_wiretap_probe/
(originele persbericht waar ze naar verwijzen is ondertussen verwijderd en "geüpdate" door http://www.eurojust.europa.eu/press_releases/2009/25-02-2009.htm)
- http://www.theregister.co.uk/2009/02/27/eurojust_abandons_skype/
(dit verhaal dus. weten ze zelf al wat ze willen voordat het beleid wordt?)
We hebben dankzij o.a. Microsoft Windows en de Mifare Classic mogen ervaren hoe geweldig "Security by Obscurity" is... toch?
Vriendelijke groenten,
anonymous maximus nicknamius
Het feit dat de NSA of beter bekend als No Such Agency veel geld uitlooft om het te kunnen afluisteren verteld genoeg hoe veilig men Skype houdt door 'Security by Obsecurity'. Dat anderen er niet in geslaagd zijn, wil niet zeggen dat het daarom niet kan werken. Als iedereen denkt dat het niet kan, hadden we dan ooit gevlogen? Was de wereld dan nog steeds plat?
Daar stond in het hotel ook een pin automaat Touchscreen.
Leuk met een utp kabel uit die pinautomaat naar een cisco 1800 series router met een GRPS/HSDPA module.
Toen gingen ze geld bijvullen, met de hand tellend open en bloot hele kisten met geld, zonder bewaking.
Maar het leukste, hotel kreeg power failures en hadden geen ups als backup dus device gaat rebooten, Xp prof start op.
Kan je gewoon in de xp omgeving werken de eerste 2 minuten, voordat de checks gedaan zijn en de applicatie live.
Hij start automagisch te pingen en je komt in een cmd screen, je hoeft alleen osk.exe te starten en je was live.
Ik weet alleen niet hoe je de enter doorvoert, je zou de osk.exe kunnen kopieren door letter voor letter in dat cmd scherm.
Maar hoe voer je het door?
En zo gemakkelijk heb je fysieke toegang tot een pin automaat, en dan nog denk is aan de hub die kan zetten tussen de atm en de cisco, lekker sniffen :D
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.