Firmware-hack laat valsgelddetector vals geld accepteren
Een beveiligingsonderzoeker is erin geslaagd om de firmware van een valsgelddetector te hacken en aan te passen, zodat het apparaat vervolgens vals geld accepteerde. Ruben Santamarta van beveiligingsbedrijf IOActive besloot de Secureuro te onderzoeken.
Deze valsgelddetector is zeer populair in Spanje, het geboorteland van Santamarta, maar wordt ook in Nederland aangeboden. Daarnaast was het mogelijk om de firmware van het apparaat via de website van de leverancier te downloaden. Via de Secureuro kunnen werknemers van winkels, supermarkten, postkantoren, banken en benzinestations de echtheid van eurobiljetten controleren.
Aan de hand van onder andere een YouTube-video analyseerde Santamarta de werking van het apparaat, bijvoorbeeld wanneer de lampjes aangaan of er een geluid wordt afgespeeld en welke berichten er in de display verschijnen. Ook bekeek de onderzoeker de handleiding van apparaat, waarin een aantal claims stonden die niet geheel of helemaal niet waar waren. Zo bleek dat de firmware met geen enkele vorm van encryptie was beschermd.
Firmware
Santamarta benadrukt dat hij geen trucs wil laten zien die criminelen kunnen gebruiken. Ook is het niet zijn bedoeling om valse biljetten goed te laten keuren. "Mijn enige doel is om uit te leggen hoe ik de code achter de [vals geld] controle identificeerde om zo een 'getrojaniseerde' firmware te maken die zelfs een eenvoudig papiertje als een geldig bankbiljet accepteert. We maken geen misbruik van een lek in het apparaat, alleen van het ontwerp."
In de firmware trof de onderzoeker een functie aan die bepaalt of bankbiljetten echt zijn of niet. Door het aanpassen hiervan accepteerde het apparaat toch valse biljetten als legitiem. "De impact is duidelijk. Een aanvaller met tijdelijke fysieke toegang tot het apparaat kan aangepaste firmware installeren en het apparaat vals geld laten accepteren", stelt Santamarta. Hij merkt op dat gezien de plekken waar deze apparaten zich bevinden, dit scenario wel degelijk realistisch is.
Zucht... Nee hij moet de JTAG afsluiting dicthen en af en doe eens een stukje A4 papier erdoorheen knallen,
http://www.youtube.com/feature=player_embedded
Overigens kun je heel makkelijk zelf controleren of een biljet echt is, vooral de ribbeltjes op de voorzijde in het midden zijn heel moeilijk na te maken. Even krassen met je nagel en je hebt al 99.9% zekerheid.
Dat is wat ik bedoelde met ''vals geld''. Biljetten die niet legitiem zijn. Wat voor biljetten dan ook. Als je maar ziet dat het apparaat niet op elk biljet groen licht geeft. Ik neem aan dat de standaard winkelier immers geen echt-gelijkend nagemaakt geld in bezit heeft.
Ja de link bevat geen identificatiecode van de video. Komt doordat hij ingelogd was terwijl hij de link kopieerde.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
