image

Geldautomaten eenvoudige prooi voor beveiligingsonderzoekers

vrijdag 16 november 2018, 11:30 door Redactie, 13 reacties

Geldautomaten bevatten verschillende kwetsbaarheden waar aanvallers eenvoudig misbruik van kunnen maken om de inhoud te legen of de kaartgegevens van gebruikers te kopiëren, zo hebben onderzoekers van securitybedrijf Positive Technologies tijdens een beveiligingstest aangetoond.

Voor de test werden 26 geldautomaten van fabrikanten NCR, Diebold Nixdorf en GRGBanking onderzocht. De geldautomaten draaiden op aangepaste versies van Windows XP, Windows 7 en Windows 10, waarbij Windows XP de meestgebruikte Windowsversie was. Al jaren zijn geldautomaten het doelwit van aanvallen, waarbij aanvallers via fysieke toegang of het netwerk van de geldautomaat toegang tot de geldcassettes weten te krijgen. Zo zijn er meerdere incidenten bekend waarbij een geldautomaat met malware werd besmet, waardoor de inhoud van de geldcassettes kon worden geleegd.

Voor hun onderzoek kwamen de onderzoekers met verschillende aanvalsscenario's gebaseerd op echte aanvallen. Zo bleek 85 procent van de geteste geldautomaten kwetsbaar voor een aanval via het netwerk. Een aanval die binnen 15 minuten is uit te voeren. Ook bleken de netwerkdiensten van 58 procent van de geldautomaten kwetsbaar en was iets meer dan een kwart kwetsbaar voor spoofing, omdat de data tussen de geldautomaat en de verwerker niet was beveiligd.

Een ander probleem werd aangetroffen bij de kioskmode. Een normale gebruiker gebruikt één applicatie op de geldautomaat, die informatie op het scherm toont en invoer van de gebruiker verwerkt. Deze applicatie draait in de kioskmode, waardoor de gebruiker geen andere programma's of het besturingssysteem kan benaderen. Door het verlaten van de kioskmode kan een aanvaller deze beperkingen omzeilen en commando's op het besturingssysteem van de geldautomaat uitvoeren. Bij 76 procent van de geteste automaten was het mogelijk om de kioskmode te verlaten.

92 procent van de geldautomaten was daarnaast kwetsbaar voor aanvallen op de harde schijf. Wanneer de harde schijf niet is versleuteld kan een aanvaller malware op het systeem kopiëren en aan de applicatie-whitelist toevoegen door configuratiebestanden aan te passen. Wanneer de geldautomaat wordt herstart kan de aanvaller zijn malware uitvoeren.

Een ander risico is het opstarten vanaf een externe schijf. De bootvolgorde staat in het BIOS vastgelegd, dat met een wachtwoord beveiligd zou moeten zijn. Bij 23 procent van de geldautomaten was het BIOS-wachtwoord eenvoudig te raden en 8 procent had helemaal geen wachtwoord ingesteld.

Over de hele linie ontdekten de onderzoekers kwetsbaarheden zoals ongepatchte beveiligingslekken, het niet gebruik van schijfversleuteling, de mogelijkheid om willekeurige usb-apparaten aan te sluiten, slechte firewallbescherming en configuratiekwetsbaarheden. Aanwezige beveiligingsmaatregelen waren in bijna alle gevallen te omzeilen.

De onderzoekers roepen fabrikanten dan ook op om de fysieke beveiliging van geldautomaten te verbeteren. De meeste aanvallen vereisen namelijk fysieke toegang tot de computer en aansluitpoorten van de geldautomaat. Een andere maatregel is het loggen en monitoren van beveiligingsincidenten.

Image

Reacties (13)
16-11-2018, 11:45 door Tha Cleaner
Back to the drawing board.
Want de meeste issues zijn vrij gemakkelijk op te lossen.
16-11-2018, 11:56 door Anoniem
Door Tha Cleaner: Back to the drawing board.
Want de meeste issues zijn vrij gemakkelijk op te lossen.
Ja, maar waarom zijn die na 15+ jaar dan nog steeds niet opgelost? Maakt weer duidelijk hoe goed bedrijven met beveiliging omgaan. Dan wel geen flauw benul hebben wat er allemaal mogelijk is.

En het is vaak policy en geen technische limitatie. Bios wachtwoorden zijn er al vanaf de begin dagen (20+ jaar geleden). Het niet instellen is een menselijke keuze en geen technische issue.

Er wordt vooral gekeken naar de winsten en verliezen... en beveiliging kost geld..

TheYOSH
16-11-2018, 11:57 door -karma4 - Bijgewerkt: 16-11-2018, 12:34
Door Tha Cleaner: Back to the drawing board.
Want de meeste issues zijn vrij gemakkelijk op te lossen.

Echt waar? Vertel! (Met jouw oplossingen zullen de fabrikanten van die geldautomaten ook erg blij zijn!). N.B. met 'back to the drawing board' wordt niet het 'fixen' van problemen in een bestaande oplossing bedoeld.

Zie voor een meer realistische insteek: https://www.security.nl/posting/587375/Re%3A+BlackBerry+koopt+securitybedrijf+Cylance+voor+1%2C4+miljard+dollar
16-11-2018, 12:01 door Anoniem
Fysieke of netwerk aanvallen kun je niet zoveel tegen doen.
16-11-2018, 12:36 door Anoniem
In sommige supermarkten staan "cashautomaten" vaak open (maar dan zonder cash). Hopelijk zijn deze wel goed beveiligd tegen de fysieke aanvallen.
16-11-2018, 13:26 door Anoniem
Je moet nog altijd fysieke of netwerk toegng hebben. Hoe vaak zijn deze kwetsbaarheden daadwerkelijkmisbruikt? Nog altijd kiezen criminelen voor een plofkraak. Blijkbaar zijn deze kwetsbaarheden moeilijker te misbruiken.
16-11-2018, 13:31 door Anoniem
Door Anoniem: Fysieke of netwerk aanvallen kun je niet zoveel tegen doen.

Ohh? Tuurlijk wel: netwerk filteren, encrypten en monitoren, en het apparaat van goede sloten en afscherming voorzien.
16-11-2018, 13:35 door Anoniem
Als het aanvallen van geldautomaten via bekende vulnerabilities zo eenvoudig is, waarom kiest de gemiddelde boef dan toch gewoon voor een plofkraak? Zou 't gewoon veel sneller en makkelijker zijn om zo'n geldautomaat op te blazen in plaats van te proberen malware op de bootsector te prutsen?

TheHOSH
16-11-2018, 14:27 door -karma4
Door Anoniem: Als het aanvallen van geldautomaten via bekende vulnerabilities zo eenvoudig is, waarom kiest de gemiddelde boef dan toch gewoon voor een plofkraak? Zou 't gewoon veel sneller en makkelijker zijn om zo'n geldautomaat op te blazen in plaats van te proberen malware op de bootsector te prutsen?

TheHOSH

Over de zin en onzin van bv. versleuteling: https://imgs.xkcd.com/comics/security.png
16-11-2018, 14:46 door karma4
https://www.ecb.europa.eu/pub/pdf/cardfraud/ecb.cardfraudreport201809.en.pdf
Atm fraude daalt hard.
Het grootste probleem is de fysieke kwetsbaarheid ofwel plofkraken. Het is de aanleiding om ze weg te halen.

https://www.atmmarketplace.com/blogs/new-threats-demand-renewed-attention-to-atm-physical-security/
"114 black box attacks reported in Europe" …
" the number of physical attacks .. , with a total of 1,700 cases." Dat is 15 keer zoveel met een flinke andere schadepost er boven op.

De atm's zouden wel eens onbenaderbaar gemaakt kunnen zijn door die fysieke aanvallen voordat de black box aanvallen apart een belangrijk punt geworden zijn.
16-11-2018, 15:51 door Anoniem
Dat document gaat over fraude met kaarten. De kaartfraude bij ATMs daalt hard omdat de chipkaart (EMV) is ingevoerd. Dit zegt niets over zwakheden in ATMs die losstaan van de kaarten.
16-11-2018, 16:26 door karma4
Door Anoniem: Dat document gaat over fraude met kaarten. De kaartfraude bij ATMs daalt hard omdat de chipkaart (EMV) is ingevoerd. Dit zegt niets over zwakheden in ATMs die losstaan van de kaarten.
Het zegt iets over de totale geleden schade door zwakheden in het gehele systeem. Er staat wel degelijk ATM en pos genoemd om te vergelijken.
Waar de schade het grootst is zul je de meeste aandacht aan preventie gaan geven.
De voordeur wijd open laten staan en je zorgen maken over een achterdeur, is niet weloverwogen.
16-11-2018, 20:30 door Anoniem
Door karma4:
Door Anoniem: Dat document gaat over fraude met kaarten. De kaartfraude bij ATMs daalt hard omdat de chipkaart (EMV) is ingevoerd. Dit zegt niets over zwakheden in ATMs die losstaan van de kaarten.
Het zegt iets over de totale geleden schade door zwakheden in het gehele systeem. Er staat wel degelijk ATM en pos genoemd om te vergelijken.
Waar de schade het grootst is zul je de meeste aandacht aan preventie gaan geven.
De voordeur wijd open laten staan en je zorgen maken over een achterdeur, is niet weloverwogen.

Het rapport van deze kwetsbaarheden is geen afwegen van totale risico's maar alleen van die binnen het expertise gebied (en verkoopgebied) van het security bedrijf .

Het is wel hinderlijk hoeveel hype er soms gemaakt wordt door researchers voor zichtbaarheid - dan roepen ze wel heel graag 'ATM' ,'ziekenhuis', 'vliegtuig' of 'kinderen' (creditcard ligt niemand meer wakker van) - het maakt het nog wel eens lastig om uit de grootste hype ook de grootste problemen te halen.

Je hoopt/verwacht dat degenen die moeten betalen voor het verbeteren van 'ATM security' ongeacht het type wel hun prioriteit in volgorde van risico stellen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.