Jackpot!

Auf der diesjährigen Black Hat Konferenz in Las Vegas führten zwei Vortragende vor, wie sich Geldautomaten überlisten lassen. Im einen Fall wurde eine Schwachstelle in der Authentifizierung bei Fernzugriffen ausgenutzt. Je nach Einstellung des Geräts ist so ein Zugriff über Internet oder über eine Telefonleitung möglich. Hierfür ist es notwendig, die IP-Adresse bzw. die Telefonnummer des Automaten zu kennen. Diskutiert wurde, ob mit Hilfe des alten “Wardialing”, bei dem systematisch Telefonnummern durchprobiert werden (früher insbesondere um in Erfahrung zu bringen, ob ein Modem, z.B. für eine Mailbox, oder ein Mensch antwortete) sich derartige Geräte nicht verhältnismäßig schnell auffinden ließen.

Die zweite Schwachstellendemonstration setzte auf eine Sicherheitslücke in dem System, das die Codeausführung kontrollieren sollte. In beiden Fällen liefen die Geldautomaten übrigens unter Windows CE.