image

Trojaans paard infecteert geldautomaat

woensdag 18 maart 2009, 09:37 door Redactie, 27 reacties

Niet alleen thuisgebruikers moeten oppassen voor malware, ook banken zijn gewaarschuwd, onderzoekers hebben namelijk een Trojaans paard ontdekt dat geldautomaten infecteert en de betaalgegevens doorspeelt aan criminelen. Zelfs voor de onderzoekers kwam de ontdekking als een verrassing. "Als iemand me een paar dagen geleden had gevraagd over malware die geldautomaten infecteert, dan zou ik zeker weten dat ze weer een hoax hadden ontvangen en ze verzekerd dat er niets aan de hand is", aldus Sophos virusanalist Vanja Svajcer.

Tenslotte draaien geldautomaten geen standaard Windows versie, gebruiken ze ongedocumenteerde hardware en software interfaces, wat reverse engineering lastig maakt. Daarnaast bevinden de machines zich in een geïsoleerd netwerk en zijn ze van sensoren voorzien om in het geval van fysiek geknoei alarm te slaan. Volgens Svajcer levert malware voor standaard Windows desktops veel meer op en is daarom interessanter voor criminelen. Criminelen die zich toch op geldautomaten richten, gebruiken juist voorzetmondjes, camera's of geprepareerde toetsenborden om de gegevens van de betaalpas te stelen en geen malware.

Diebold Trojan
Een bankmedewerker benaderde Svajcer met de vraag of zulke malware echt niet bestaat, aangezien er geruchten rondgaan over een Trojaans paard dat Russische geldautomaten infecteert om creditcardgegevens te stelen. De onderzoeker zocht in de virusdatabase naar exemplaren die met Diebold te maken hebben, de fabrikant van de machines. Hij trof drie recent ontdekte bestanden aan, die er allemaal hetzelfde uitzagen en niet door het automatische analyse detectiesysteem als bijzonder werden opgemerkt.

De malware, Skimer.A genaamd, wijzigt de Protected storage service en installeert en laadt dan het kwaadaardige bestand lsass.exe. Tevens worden wat andere specifieke bestanden van de geldautomaat vervangen. Eenmaal actief kan de Trojan de informatie van de magnetische kaartlezer via ongedocumenteerde Diebold functies opslaan, injecteert die code in de processen van de geldautomaat, kaapt die transacties in Oekraiense, Russische en Amerikaanse valuta en gebruikt een printfunctie om de gestolen gegevens te printen. Svajcer is er ook zeker van dat een aantal instructies voor het keyboard worden gebruikt om de PINcode op te slaan

Insider
Een deel van de code is versleuteld en voorzien van een "alternatieve user interface", die waarschijnlijk katvangers toegang tot de gestolen informatie geeft. De "money mules" zouden de data wel in persoon moeten ophalen. Een aanvaller heeft ook fysieke toegang tot de geldautomaat nodig om de Trojan te installeren. Zorgwekkender is dat de onderzoeker denkt dat de malware het werk van een programmeur is die de werking van Diebold geldautomaten bijzonder goed kent. Toch verwacht Svajcer dat geldautomaat malware een bijzondere uitzondering blijft.

Reacties (27)
18-03-2009, 09:50 door Anoniem
Diebold is een bedrijf wat al jaren de beveiliging niet op orde heeft. De stemcomputers met een Access database waren hier een schoon voorbeeld van. En in het verleden zijn er ook broncodes uitgelekt, dus waarschijnlijk is het personeel ook niet heel erg voorzichtig met de broncode van de pin apparaten. Maar goed speculeren mag niet. dus ik neem alles terug :)
18-03-2009, 09:52 door Anoniem
"geen standaard Windows versie"
Ze zullen best wel weer een commercieel verantwoord inlog schermpje hebben toegevoegd ;)
Ik heb de dozen geïnstalleerd en geloof me het is misschien 'niet standaard' maar voor de rest is het gewoon windoos (2000).
18-03-2009, 10:33 door [Account Verwijderd]
[Verwijderd]
18-03-2009, 10:52 door Darkman
Tenslotte draaien geldautomaten geen standaard Windows versie, gebruiken ze ongedocumenteerde hardware en software interfaces, wat reverse engineering lastig maakt.
Wisten ze daar nog niet dat "Security through obscurity" zeer onverstandig en achterhaald is?
18-03-2009, 11:08 door Anoniem
1 april joke
18-03-2009, 11:09 door Anoniem
"Windows in een pin automaat? Waarom zou je windows op een pinautomaat laten draaien? Een pin automaat hoeft maar 1 kunstje te kennen."

Vanwege dezelfde reden waarom een pinautomaat linux of een andere embedded OS zou kunnen draaien; er is een operating system nodig om de software op uit te kunnen voeren.

"Niet omdat windows een K programma is maar omdat windows te veel kan en daardoor te veel gebruikt."

Gaat niet geheel op, omdat het over het algemeen gaat om volledig uitgeklede versies van het OS, waarbij heel veel (onnodige) functionaliteit is verwijderd; een embedded WinXP systeem kan bijvoorbeeld maar 15-20mb groot zijn in sommige appliances.

"Sorry hoor maar je gaat geen windows op een pinautomaat laten draaien."

Vrijwel iedere pinautomaat hier in Nederland draait ook op Windows (i.i.g. alle automaten van de ABN/AMRO).
18-03-2009, 11:11 door Bitwiper
Is het een goed idee om een plakbandje over de magneetstrip op m'n pasje te plakken om te voorkomen dat dit virus zich via die magneetstrip verplaatst naar andere pino-tomaten?


;)
18-03-2009, 11:22 door Anoniem
Ach aan de andere kant was er een lading geldautomaten die elektronisch gemanipuleerd waren en alleen door de automaten te wegen de verschillen gezien konden worden.

Het is dweilen met de kraan open. Maar dat geeft niet dat schept werk in de crisis.
18-03-2009, 11:45 door Anoniem
Door DuckmanWindows in een pin automaat?
Waarom zou je windows op een pinautomaat laten draaien? Een pin automaat hoeft maar 1 kunstje te kennen. Hier is een eenvoudige kernel met een basis programma voldoende. Sorry hoor maar je gaat geen windows op een pinautomaat laten draaien. Ik werk met meerdere computers die maar 1 kunstje hoeven te kunnen en geen enkele draait windows op. Niet omdat windows een K programma is maar omdat windows te veel kan en daardoor te veel gebruikt.

Ook zelfbedieningskassa's draaien op Windows. Het is nu eenmaal makkelijker om op een bestaand os dedicated software te bouwen, dan om op een kale machine aan de gang te gaan en alles zelf te moeten verzinnen. Overigens heb ik ook geldautomaten gezien, die bij een reboot een linux/unix-achtig verhaal vertoonden.

De programmeurs die vanaf schracth iets kunnen bouwen zijn nu eenmaal een zeldzaam volkje.
18-03-2009, 11:50 door Jachra
Door Darkman
Tenslotte draaien geldautomaten geen standaard Windows versie, gebruiken ze ongedocumenteerde hardware en software interfaces, wat reverse engineering lastig maakt.
Wisten ze daar nog niet dat "Security through obscurity" zeer onverstandig en achterhaald is?

Vertel dat eens aan Skype en kijk niet zuur als ze je uitlachen om die uitspraak.
18-03-2009, 12:03 door Anoniem
De pinautomaat maakt gebruik van Windows XP Embedded.
Wat zou je er moet bijvoorstelen, zo computer dat is een half
appraat en wordt aanstuurd door computer, kan je pinpass inslikken,
bonnetje afdrukken, communication verification pankgegevens ,
een programma word opgestart dat gescheven is door bank menu's en
aanmeld venster voor pincode. And if there happen something wrong
get Bleu death of screen. Special Service for dutch bank and made by dutch bank.
18-03-2009, 12:03 door Anoniem
"ongedocumenteerde hardware en software interfaces" ?!
Dan weet ik niet welke documenten ik thuis heb liggen....
PS; incl. de benodigde autorisatie 'pasjes' ;)

(getekend; ex-installateur)
18-03-2009, 12:50 door Anoniem
Door BitwiperIs het een goed idee om een plakbandje over de magneetstrip op m'n pasje te plakken om te voorkomen dat dit virus zich via die magneetstrip verplaatst naar andere pino-tomaten?
;)

tja doe er nog een rubbertje erom heen hé... :p
18-03-2009, 12:59 door Anoniem
Ik heb wel eens een pinautomaat van de SNS bank gezien die een Windows NT4 DrWatson melding op het scherm toonde.
Schept geen vertrouwen lijkt me.
18-03-2009, 13:16 door [Account Verwijderd]
[Verwijderd]
18-03-2009, 13:30 door [Account Verwijderd]
[Verwijderd]
18-03-2009, 14:08 door Anoniem
Grote kolder. De PIN komt de pinpad niet uit.
18-03-2009, 14:53 door Anoniem
Ik heb al eens een BSD op een pinautomaat gezien. Dus vraag me af of het geen Windows is....
18-03-2009, 15:39 door Anoniem
Waarde collega's


Denk vooral niet dat alle info die zich in de request en response pakketjes bevinden versleuteld zijn.. Moet je eens indenken dat zo'n pinautomaat aan het interne netwerk van de bank hangt. Dit zou het voor een aanvaller vele malen makkelijker maken dan wanneer hij/zij fysiek toegang nodig heeft tot het apparaat of het interne netwerk (bijvoorbeeld gesloten lijn) waar de data overheen gaat.
Over het algemeen gaat de pin geëncrypteerd over de lijn, maar denk bijvoorbeeld aan het pasnummer, verloopdatum ervan en je rekening balans. Hoe waardevol is die info? Het kan gebruikt worden om een kaart te dupliceren of voor handtekening-gebasseerde transacties of online aankopen. Het kan ook leiden tot identiteit diefstal. De aanvaller kan gewoon passief de data van de lijn sniffen zonder dat er ook maar 1 alarmbel gaat rinkelen..
De PIN code zelf, als deze gedecrypt wordt, kan gebruikt worden met de overige clear text info uit de overdracht om vanaf een willekeurige automaat geld op te nemen. Gelukkig is decryptie niet een 1-2-3-klusje. Anders als het versleutelen van de PIN, die naarmate van tijd gekraakt zou kunnen worden, wordt er een combinatie van het rekeningnummer en PIN geëcrypteerd en verzonden over de lijn waardoor brute force aanvallen (op alleen de PIN) aanzienlijk bemoeilijkt worden.


Vriendelijke groenten,
anonymous maximus
18-03-2009, 15:46 door Anoniem
Zoals al aangegeven: het gaat om windows embedded, niet om vista ultimate.
Het is aan het bedrijf (Diebold) om te kiezen welke delen van het OS noodzakelijk zijn voor hun software.
Als je dat goed doet is het behoorlijk veilig (net zo veilig als embedded doetnix en consorten).
Fysieke toegang tot het systeem is noodzakelijk, maar dan kun je dus overal wel bij als je authorisatie nodig hebt.
Het is dus niet de software, maar de procedure waar de kever zich bevindt en helaas, maar waar, das mensen eigen en heel moeilijk aan te passen.
18-03-2009, 16:20 door Anoniem
Door Jachra
Door Darkman
Tenslotte draaien geldautomaten geen standaard Windows versie, gebruiken ze ongedocumenteerde hardware en software interfaces, wat reverse engineering lastig maakt.
Wisten ze daar nog niet dat "Security through obscurity" zeer onverstandig en achterhaald is?

Vertel dat eens aan Skype en kijk niet zuur als ze je uitlachen om die uitspraak.


Waarde collega,


Vergeet niet dat Skype haar voorsprong op de markt (in versleuteling van communicatie) misschien ook gebruikt voor het behalen van extra winst. Dit bijvoorbeeld door achterdeuren aan inlichtendiensten te verkopen die graag inzage hebben in het Skype verkeer.
Het is algemeen bekend dat meerdere diensten achter het decrypten van de Skype versleuteling aan zitten (De vraag is dus hoe de aandeelhouders er achter de schermen over denken). En wie zegt dat Skype uiteindelijk niet gekraakt kan worden. Zelf blijf ik bij het standpunt dat je een kluis zo groot en geavanceerd qua beveiliging kan maken maar dat het mogelijk blijft deze kruis te kraken zolang het ontworpen is om open te kunnen... Oftewel, het blijft een kwestie van tijd (lees: kat en muis spel).

In de rookgordijnen- en spiegelwereld die inlichtingen heten, kan het zijn dat opsporingsdiensten (of black hat's) al VoIP gesprekken af kunnen luisteren en dat ze simpelweg willen dat het geboefte (of Jan en alleman) VoIP gaat gebruiken in de hoop dat ze maar zo lang mogelijk geloven dat het onmogelijk is deze af te tappen. De geschiedenis van encryptie leert ons dat hoe encryptie technieken worden toegepast meestal belangrijker is dan hoe mooi de beveiliging misschien in theorie mag zijn.

- http://www.theregister.co.uk/2009/02/12/nsa_offers_billions_for_skype_pwnage/
- http://www.theregister.co.uk/2009/02/24/eurojust_voip_wiretap_probe/
(originele persbericht waar ze naar verwijzen is ondertussen verwijderd en "geüpdate" door http://www.eurojust.europa.eu/press_releases/2009/25-02-2009.htm)
- http://www.theregister.co.uk/2009/02/27/eurojust_abandons_skype/
(dit verhaal dus. weten ze zelf al wat ze willen voordat het beleid wordt?)

We hebben dankzij o.a. Microsoft Windows en de Mifare Classic mogen ervaren hoe geweldig "Security by Obscurity" is... toch?


Vriendelijke groenten,
anonymous maximus nicknamius
18-03-2009, 18:09 door Ilja. _V V
Door Anoniem
Door BitwiperIs het een goed idee om een plakbandje over de magneetstrip op m'n pasje te plakken om te voorkomen dat dit virus zich via die magneetstrip verplaatst naar andere pino-tomaten?
;)

tja doe er nog een rubbertje erom heen hé... :p

hihi...

Weet je in ieder geval zeker dat je nooit rood komt te staan....
Misschien kan je er zelfs miljonair mee worden...

;-)
18-03-2009, 18:25 door spatieman
uw pinpas staat op het punt om te worden ingeslikt.

JA of NEE..
18-03-2009, 22:16 door Jachra
Door AnoniemWaarde collega's


Denk vooral niet dat alle info die zich in de request en response pakketjes bevinden versleuteld zijn.. Moet je eens indenken dat zo'n pinautomaat aan het interne netwerk van de bank hangt. Dit zou het voor een aanvaller vele malen makkelijker maken dan wanneer hij/zij fysiek toegang nodig heeft tot het apparaat of het interne netwerk (bijvoorbeeld gesloten lijn) waar de data overheen gaat.
Over het algemeen gaat de pin geëncrypteerd over de lijn, maar denk bijvoorbeeld aan het pasnummer, verloopdatum ervan en je rekening balans. Hoe waardevol is die info? Het kan gebruikt worden om een kaart te dupliceren of voor handtekening-gebasseerde transacties of online aankopen. Het kan ook leiden tot identiteit diefstal. De aanvaller kan gewoon passief de data van de lijn sniffen zonder dat er ook maar 1 alarmbel gaat rinkelen..
De PIN code zelf, als deze gedecrypt wordt, kan gebruikt worden met de overige clear text info uit de overdracht om vanaf een willekeurige automaat geld op te nemen. Gelukkig is decryptie niet een 1-2-3-klusje. Anders als het versleutelen van de PIN, die naarmate van tijd gekraakt zou kunnen worden, wordt er een combinatie van het rekeningnummer en PIN geëcrypteerd en verzonden over de lijn waardoor brute force aanvallen (op alleen de PIN) aanzienlijk bemoeilijkt worden.


Vriendelijke groenten,
anonymous maximus

Waarde collega,

De pincode encryptie is al al 6 jaar geleden gekraakt.
De hash die naar de bank retour gaat en de resterende gegevens van je magneetkaart zijn voldoende om een werkende kloon te maken.

Link naar artikel: http://www.theregister.co.uk/2003/02/21/how_to_get_an_atm/
Pdf met uitleg: http://www.cl.cam.ac.uk/TechReports/UCAM-CL-TR-560.pdf

Door Anoniem
Door Jachra
Door Darkman
Tenslotte draaien geldautomaten geen standaard Windows versie, gebruiken ze ongedocumenteerde hardware en software interfaces, wat reverse engineering lastig maakt.
Wisten ze daar nog niet dat "Security through obscurity" zeer onverstandig en achterhaald is?

Vertel dat eens aan Skype en kijk niet zuur als ze je uitlachen om die uitspraak.


Waarde collega,


Vergeet niet dat Skype haar voorsprong op de markt (in versleuteling van communicatie) misschien ook gebruikt voor het behalen van extra winst. Dit bijvoorbeeld door achterdeuren aan inlichtendiensten te verkopen die graag inzage hebben in het Skype verkeer.
Het is algemeen bekend dat meerdere diensten achter het decrypten van de Skype versleuteling aan zitten (De vraag is dus hoe de aandeelhouders er achter de schermen over denken). En wie zegt dat Skype uiteindelijk niet gekraakt kan worden. Zelf blijf ik bij het standpunt dat je een kluis zo groot en geavanceerd qua beveiliging kan maken maar dat het mogelijk blijft deze kruis te kraken zolang het ontworpen is om open te kunnen... Oftewel, het blijft een kwestie van tijd (lees: kat en muis spel).

In de rookgordijnen- en spiegelwereld die inlichtingen heten, kan het zijn dat opsporingsdiensten (of black hat's) al VoIP gesprekken af kunnen luisteren en dat ze simpelweg willen dat het geboefte (of Jan en alleman) VoIP gaat gebruiken in de hoop dat ze maar zo lang mogelijk geloven dat het onmogelijk is deze af te tappen. De geschiedenis van encryptie leert ons dat hoe encryptie technieken worden toegepast meestal belangrijker is dan hoe mooi de beveiliging misschien in theorie mag zijn.

- http://www.theregister.co.uk/2009/02/12/nsa_offers_billions_for_skype_pwnage/
- http://www.theregister.co.uk/2009/02/24/eurojust_voip_wiretap_probe/
(originele persbericht waar ze naar verwijzen is ondertussen verwijderd en "geüpdate" door http://www.eurojust.europa.eu/press_releases/2009/25-02-2009.htm)
- http://www.theregister.co.uk/2009/02/27/eurojust_abandons_skype/
(dit verhaal dus. weten ze zelf al wat ze willen voordat het beleid wordt?)

We hebben dankzij o.a. Microsoft Windows en de Mifare Classic mogen ervaren hoe geweldig "Security by Obscurity" is... toch?


Vriendelijke groenten,
anonymous maximus nicknamius

Het feit dat de NSA of beter bekend als No Such Agency veel geld uitlooft om het te kunnen afluisteren verteld genoeg hoe veilig men Skype houdt door 'Security by Obsecurity'. Dat anderen er niet in geslaagd zijn, wil niet zeggen dat het daarom niet kan werken. Als iedereen denkt dat het niet kan, hadden we dan ooit gevlogen? Was de wereld dan nog steeds plat?
18-03-2009, 22:21 door Jachra
dubbele post.
18-03-2009, 22:26 door Napped
ik was vorige week op vakantie in egypte (hurghada).
Daar stond in het hotel ook een pin automaat Touchscreen.
Leuk met een utp kabel uit die pinautomaat naar een cisco 1800 series router met een GRPS/HSDPA module.
Toen gingen ze geld bijvullen, met de hand tellend open en bloot hele kisten met geld, zonder bewaking.
Maar het leukste, hotel kreeg power failures en hadden geen ups als backup dus device gaat rebooten, Xp prof start op.
Kan je gewoon in de xp omgeving werken de eerste 2 minuten, voordat de checks gedaan zijn en de applicatie live.
Hij start automagisch te pingen en je komt in een cmd screen, je hoeft alleen osk.exe te starten en je was live.
Ik weet alleen niet hoe je de enter doorvoert, je zou de osk.exe kunnen kopieren door letter voor letter in dat cmd scherm.
Maar hoe voer je het door?
En zo gemakkelijk heb je fysieke toegang tot een pin automaat, en dan nog denk is aan de hub die kan zetten tussen de atm en de cisco, lekker sniffen :D
21-03-2009, 23:25 door monica8
Wel grappig want de meest geskimde ATM in nederland is dit jaar de Diebold
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.