Geldautomaten in Verenigde Staten geleegd via malware
Voor het eerst hebben criminelen geldautomaten in de Verenigde Staten geleegd door gebruik te maken van malware, zo waarschuwen geldautomatenfabrikanten Diebold Nixdorf en NCR. Het stelen van geld uit de geldcassettes van geldautomaten middels malware wordt "jackpotting" genoemd.
Aanvallers weten fysieke toegang tot computer van de geldautomaat te krijgen en installeren vervolgens de malware. Via een speciale toetsencombinatie kunnen vervolgens de geldcassettes worden geleegd. Begin vorig jaar jaar werd bekend dat de Ploutus-malware, die speciaal voor geldautomaten is ontwikkeld en al sinds 2013 in omloop is, ook Windows 10 ondersteunt. De Ploutus-malware zou ook bij de aanvallen tegen de geldautomaten in de Verenigde Staten zijn ingezet, zo laat een bron tegenover it-journalist Brian Krebs weten.
Jackpotting-aanvallen komen ook in Europa voor, waaronder Nederland. Het zou echter voor het eerst zijn dat dergelijke aanvallen in de Verenigde Staten voorkomen. De Amerikaanse Secret Service waarschuwde banken en geldautomatenfabrikanten deze week voor de aanvallen. Hoeveel geld daarbij is gestolen is niet bekendgemaakt. In de waarschuwing laat de Secret Service weten dat geldautomaten die op Windows XP draaien met name kwetsbaar zijn en beheerders krijgen dan ook het advies om naar Windows 7 te updaten.
Verder laat de waarschuwing weten dat de aanvallers een endoscoop gebruiken om te kijken waar ze een kabel kunnen aansluiten om hun laptop met de computer van de geldautomaat verbinding te laten maken. Vervolgens kan de malware worden geïnstalleerd. Diebold Nixdorf en NCR adviseren instellingen die van hun geldautomaten gebruikmaken om de fysieke toegang tot de machines te beperken en aanvullende beschermingsmaatregelen te nemen, zoals het monitoren op het onverwachts openen van het bovenste gedeelte van de geldautomaat.
Als je flappentappen aan openbaar internet hangt vraag je om problemen, daar helpt geen OS tegen.
De kassa bij de middenstander is het volgende geliefde doelwit.
De weg van de minste weerstand hoogste opbrengst voor criminelen. De enige echte aanpak is de boeven aanpakken.
Als je flappentappen aan openbaar internet hangt vraag je om problemen, daar helpt geen OS tegen.
De kassa bij de middenstander is het volgende geliefde doelwit.
De weg van de minste weerstand hoogste opbrengst voor criminelen. De enige echte aanpak is de boeven aanpakken.
Wow, lastig verhaal om te volgen.
Open source protocol en open draadjes zijn echte probleem. Daarmee raak ik wat open liggende zenuwen.
Krebs vermeldt niet wat voor kabel wordt aangesloten, maar het lijkt om USB te gaan omdat een extern toetsenbord aansluiten deel van het verhaal is. We hebben het dan over de standaard USB-protocollen.
De open draadjes zijn hier het probleem, als je ze zo wilt noemen. Kennelijk is er bij ATM-kasten een mogelijkheid om, ik neem aan via de geldsleuf, met een endoscoop een USB-poort te bereiken en daar een kabeltje in te steken. Dat had afgeschermd moeten zijn. Dit is een ontwerpfout in het mechanische deel van het apparaat.
Heeft niks met open source te maken.
Wow, lastig verhaal om te volgen.
Open source protocol en open draadjes zijn echte probleem. Daarmee raak ik wat open liggende zenuwen.
Hoe is open source het echte probleem? Hoeveel onveiliger is dit dan closed source?
Wow, lastig verhaal om te volgen.
Open source protocol en open draadjes zijn echte probleem. Daarmee raak ik wat open liggende zenuwen.
'Open' kan nooit het probleem zijn. Er zit een fout in het protocol, er zit in fout in de implementatie etc.
Heeft niks met open source te maken.
Hoeft niet. Het is alleen zo dat je wel gespecialiseerde mensen moet hebben om het een en ander te ontwikkelen, en daarvoor word nog steeds niet voldoende budget vrijgemaakt. En het maakt niet uit of het een geldautomaat is, systeembeheer van een groot bedrijf of een bitcoin exchange. Lang leve de winstmaximalisatie! Het wordt tijd dat directie en eigenaren ook uitgekleed worden als daar grove fouten gemaakt worden. Beetje zoals ze dat willen doen in de UK met Carillion.
Wow, lastig verhaal om te volgen.
Open source protocol en open draadjes zijn echte probleem. Daarmee raak ik wat open liggende zenuwen.
Conflatie van termen en ideeën is ook een vak ;-)
Er is niets mis met publieke standaarden en protocollen - gelijk of dat nu seriële communicaties is per RS-232, of jouw mooie DSL- of glasvezelverbinding met daarop een IP-verbinding. Of het ontwerp van een standaard en protocol juist is, is uiteraard een tweede. Één mooi voordeel van publieke varianten: men kan vaststellen of er fouten zijn, waarna er verbeteringen kunnen worden doorgevoerd (analogie IP en dergelijke: IETF's RFC's).
Met het oog op informatiebeveiliging en cryptografie, verwijs ik graag naar het Principe van Kerckhoffs (er is zelfs een Wikipedia-lemma van, op te halen van diens server via de mooie, publieke standaard HTTP - https://nl.wikipedia.org/wiki/Principe_van_Kerckhoffs)
Gaatje boren in de behuizing?
aangezien dit een massa-geproduceerd stuk hardware is wat in een fabriek gemaakt moet worden, door monteurs
geinstalleerd en gerepareerd, door medewerkers getest/geaccepteerd en gevuld moet worden, enz enz.
Er hoeft maar 1 persoon te zijn die een foto'tje maakt van hoe dat er van binnen uitziet en (al dan niet duur) verkoopt
aan een roversbende en je bent weg.
Uiteraard zou de fabrikant er wel aandacht aan kunnen besteden dat de constructie zodanig is dat je er niet zo
gemakkelijk bij kunt. Maar dat gebeurt wellicht pas nadat dit noodzakelijk gebleken is.
Er is niets mis met publieke standaarden en protocollen - gelijk of dat nu seriële communicaties is per RS-232, of jouw mooie DSL- of glasvezelverbinding met daarop een IP-verbinding. Of het ontwerp van een standaard en protocol juist is, is uiteraard een tweede. ..
Je moet daarbij de voor en nadelen niet uit het oog verliezen.
Met het kerckhoff principe heb je ook net die uitzondering nodig wat niet bekend mag worden.
Er is niets mis met publieke standaarden en protocollen - gelijk of dat nu seriële communicaties is per RS-232, of jouw mooie DSL- of glasvezelverbinding met daarop een IP-verbinding. Of het ontwerp van een standaard en protocol juist is, is uiteraard een tweede. ..
Je moet daarbij de voor en nadelen niet uit het oog verliezen.
Met het kerckhoff principe heb je ook net die uitzondering nodig wat niet bekend mag worden.
De "uitzondering" van hetgeen niet bekend mag worden betreft de sleutel ;-)
Houd het zuiver, zo houdt een ieder het het langste uit.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
