Onderzoekers kraken slimme kluis via USB-stick
Onderzoekers van het Amerikaanse beveiligingsbedrijf Bishop Fox zijn erin geslaagd een "slimme kluis" van fabrikant Brinks met niets meer dan een USB-stick open te krijgen. Het probleem speelt in de CompuSafe Galileo van Brinks, die maximaal 240.000 dollar kan bevatten.
De kluis beschikt over een touchscreen en internetverbinding en draait op een embedded versie van Windows XP. Zodra er geld in de kluis wordt geplaatst wordt dit automatisch door een lezer gescand en bij het totaalbedrag opgeteld. Informatie over de inhoud van de kluis kan worden geprint en wordt dagelijks ook via internet naar Brinks gestuurd. De slimme kluis heeft ook een USB-poort voor technici en het maken van back-ups. De onderzoekers schreven een kwaadaardig script dat vanaf een aangesloten USB-stick automatisch wordt uitgevoerd.
Om de kluisdeur te openen hoeft de USB-stick alleen te worden aangesloten, waarna na een minuut de kluisdeur vanzelf opengaat. Hiervoor moet een aanvaller wel fysieke toegang tot de kluis hebben. Om sporen van de diefstal te wissen kan ook de database die bijhoudt hoeveel geld er in de kluis is worden aangepast. De kwetsbaarheid werd meer dan een jaar geleden aan Brinks gemeld, maar volgens de onderzoekers heeft het bedrijf de problemen nog altijd niet verholpen, zo laten ze aan Wired weten. De onderzoekers zullen hun aanval dit jaar tijdens de Def Con hackerconferentie in Las Vegas demonstreren.
Zo te zien positioneert Brinks de kluis voor MKB, supermarkten e.d. Daar staat hij vaak in het kantoor en komt het geld er via de buizenpost "automatisch" in. Iedereen die in het kantoor kan komen, kan waarschijnlijk bij de kluis.
Als dat ding aan internet hangt, stuur dan bij iedere wijziging een bericht naar Brinks. Dan heb je extra logging dat valt te controleren als de kluis wordt leeggehaald.
De hele retail wereld lijkt nog op XP te draaien. Laatst nog een POS gezien met een XP screensaver.
Peter
Ben benieuwd of je ook verzekerd bent als er buiten jou "schuld" geld uit de kluis is verdwenen.
Peter
In dat geval is het technisch leuk dat als je er bij kan je er bij kan.
De strawman redenatie.
Nee want als het een embedded computer is die niet aan internet hangt dan kan dat prima werken. Vergelijk het maar met je rekenmachine, die hack je niet zomaar, ook al zou hij binnenin met Windows XP werken.
Maar ze hadden wel even die USB poort ellende goed moeten afschermen natuurlijk.
Alle apparaten met USB en een cpu zijn dus in principe kwetsbaar. De oplossing is: geen USB inbouwen.
De hele retail wereld lijkt nog op XP te draaien. Laatst nog een POS gezien met een XP screensaver.
Peter
Xp Embedded is geen probleem, support loopt nog tot eind 2016
Zo niet bij blokker wat extra Alu in gaan slaan.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
