Sicherheit Angriffe auf Server der Banken lohnen sich

Deepsec 2011 Penetration-Tester Mitja Kolsek findet in fast jeder Bank Sicherheitslücken. Mit diesen lässt sich Geld aus dem Nichts erzeugen, durch Rundungsfehler eine Rente sichern oder negative Beträge verschenken. Die Angriffe fallen allerdings meist auf.

Anzeige

Mitja Kolseks Aufgabe ist es, Sicherheitslücken aufzuspüren, vorzugsweise in Banken. Er hat auf der Deepsec einige erfolgreiche Techniken vorgestellt, ohne allerdings Namen der Banken zu nennen, die er in ihrem Auftrag angegriffen hat. Dabei entdeckt er noch immer in Einzelfällen die Möglichkeit, per einfacher URL-Manipulation auf die Konten anderer Nutzer (IDs) zuzugreifen. Der Angriff auf Nutzer einer Bank ist laut Kolsek allerdings nicht besonders vielversprechend - zumindest, wenn es darum geht, viel Geld zu stehlen.

Angriffe auf Nutzer in Firmenumgebungen haben demgegenüber einen großen Vorteil: Transfers großer Summen lassen die Bank nicht misstrauisch werden. Außerdem lassen sich über öffentlich zugängliche Verzeichnisse (LDAP) beispielsweise Nutzer ermitteln, für die eine Bank ein Zertifikat für Bankaktivitäten ausgestellt hat, inklusive einer E-Mail-Adresse. Das erfordert allerdings Social Engineering. Kolsek beobachtet solche Angriffe bereits.

Angriffe auf Server ersparen Arbeit an Social Engineering

Die Arbeit am Social Engineering kann sich ein Angreifer sparen, wenn er die Online-Banking-Server, oder besser die Backend-Server angreift. Banken beteuern zwar, dass diverse Angriffstechniken von Kolsek nicht funktionierten, er kommt aber nach eigenen Angaben fast immer an einen Punkt, an dem es für die Bank gefährlich wird.

Dazu gehören auch einfache SQL-Injections oder mangelnde Kontrolle der Parameter. Interessante Beispiele bot Kolsek beispielsweise beim Transfer negativer Beträge. Ein Angreifer schenkt einem Opfer -100 Euro. Über das Online-Banking-Interface wäre das nicht möglich, Javascript-Überprüfungen verhindern dies bereits. Die lokale Überprüfung lässt sich aber umgehen. Wenn der Server dann keine Kontrolle vornimmt, ist es tatsächlich möglich, Geld mit einem Transfer zu stehlen.

Geld ist unendlich

Laut Kolsek ist dies sogar bei den eigenen Konten möglich. Voraussetzung sind ein Sparkonto und ein Girokonto. Für den Beispielfall haben beide 0 Euro gelistet. Vom Girokonto werden nun -100 Euro auf das Sparkonto gutgeschrieben. Das Sparkonto kann negative Beträge nicht ausweisen. Damit bleibt das Sparkonto bei 0 Euro und das Girokonto erhält 100 Euro. Der Angriff auf die eigenen Konten erzeugt also Geld aus dem Nichts.

Ein weiterer Fehler bei Banken ist mangelnde Kontrolle der Parameter. Wenn ein Kontoinhaber einen Transfer startet und ihn zur Bank schickt, wird er noch einmal an den Nutzer zur Bestätigung zurückgeschickt. Der Nutzer kann aber in einigen Fällen mit der Bestätigung der Transaktion andere Daten schicken, da der Server Vertrauen in diesem Fall impliziert. So lässt sich im Nachhinein etwa ein positiver Betrag negativ setzen. Damit wird die erste Kontrolle, die serverseitig auf negative Beträge prüft, umgangen. Es ist bei einigen Banken sogar möglich, die Konten zu modifizieren. Die Bestätigung bezieht sich also auf ein anderes Konto, das beim ersten Versenden nicht aufgelistet wurde. Solche "Fehler in der Businesslogik" lassen sich auch ausnutzen, um etwa Überweisungslimits zu umgehen.

Auch HTTP-Parameter-Pollution ist bei einigen Banken möglich gewesen. An /transfer?Source=1&dest=2&amount=100 wird dann etwa ein &source=42 angehängt, um etwa Geld von einem fremden Konto abzuheben. Das funktioniert allerdings nicht in den von Kolsek getesteten Fällen. Er konnte aber per HTTP Parameter Pollution den Wert des Geldes verändern, zum Beispiel ins Negative oder etwas höher als das Überweisungslimit. Solche Angriffe fallen allerdings irgendwann bei der Bank auf.

Mit Rundungsfehlern zur Rente

Dazu gehört auch eine Möglichkeit, sich eine Rente zu verschaffen. Aufgrund von Rundungsfehlern beim Umrechnen von Kursen gelang es Kolsek, bei seiner Bank einen Cent zu erzeugen. Er ließ dafür 0,01 US-Cent in Euro wechseln. 2.300 Euro Gewinn sollen so pro Tag möglich sein. Allerdings dürfte die Bank dies schnell merken. Die Gegenmaßnahme, die er den Banken empfiehlt ist einfach: Das Wechseln des Geldes sollte immer mindestens eine Währungseinheit der wertvolleren Währung benötigen.

Kolsek vermutet, dass in der Zukunft die Backend-Server angegriffen werden. Diese haben häufig den Vorteil, dass sie den Online-Banking-Servern vertrauen. Außerdem lässt sich dort Geld erzeugen, ohne dass es anderen Kunden der Bank gestohlen werden muss. Damit fällt ein Angreifer weniger auf. Er habe auch schon Fälle gesehen, bei denen das möglich gewesen sei, sagte Kolsek. Möglichkeiten Geld wegzuschaffen, ohne Spuren zu hinterlassen, gebe es genug. Schließlich nutzten Kriminelle bereits einige Banken, die wenige Spuren hinterlassen und heuerten unbedarfte Nutzer an, um gegen Provision Geld zu transferieren.

Zudem werden immer mehr Bankverfahren automatisiert. Kolsek rechnet beispielsweise damit, dass Mikrokredite automatisiert vergeben werden. Solche neuen Möglichkeiten machen neue Angriffe möglich.

Kommentarübersicht
Re: clientseitige Überprüfung mit Javascript...
Zaphod 23. Nov 2011

Ich glaube nicht, das es nur an diesem Script hängt. Ordentliche HTML Formulare werden...

Re: unglaubwürdig.
noblomov 19. Nov 2011

wenn z.b. der geldverkehr, eines instituts, einer gemeinde, eines unternehmens etc durch...

Re: Bekannte Probleme in neuer Form
tilmank 18. Nov 2011

Weitere Punkte hinter einem Punkt auch ! ... Denen gefällt es dort ganz...

Re: "Mit diesen lässt sich Geld aus dem Nichts...
firehorse 18. Nov 2011

der Gedanke ist noch nicht einmal schlecht. Mit den richtigen Verbindungen lassen sich so...

Hauptsache die Banken sind online
firehorse 18. Nov 2011

Bezahlen darf dies immer der Kunde und besonders jene die keine großen Vermögen haben...

Kommentieren

Trackbacks
Anzeige
Stellenmarkt
  1. Mitarbeiter B2B Service (m/w) International Polen
    Trusted Shops GmbH, Köln
  2. Informatiker / Fachinformatiker IT Support (m/w)
    CROWN Gabelstapler GmbH & Co. KG, München
  3. Fachinformatiker / Programmierer (m/w) Anwendungsentwicklung C#, VB, VBA
    KRAUSE-Werk GmbH & Co. KG, Alsfeld
  4. IT Ingenieur/-in Fachgebiet Desktop Basic
    ZF Friedrichshafen AG, Friedrichshafen

 

Detailsuche

Folgen Sie uns
       
Videos
Blasenroboter mit Laserantrieb Blasenroboter mit Laserantrieb
Meistgelesen
  1. Blackberry

    RIM plant Massenentlassungen
  2. Libreoffice

    "Wir wollen Nutzer in die ODF-Welt ziehen"
  3. Renesas

    Chiphersteller will ein Drittel der Beschäftigten loswerden
  4. Browser

    Kauft Facebook Opera?
  5. Samsung Galaxy S3

    Siri braucht sich nicht zu fürchten
Meistkommentiert
  1. USB-Sticks und Speicherkarten: Hersteller wehren sich gegen neue "Mondtarife"

    Kommentare: 173 | letzter Beitrag 27.05. 23:42

  2. Bernd Schlömer: Twittern und Mailen für die Piratenpartei im Dienst verboten

    Kommentare: 94 | letzter Beitrag 26.05. 19:45

  3. Libreoffice: "Wir wollen Nutzer in die ODF-Welt ziehen"

    Kommentare: 83 | letzter Beitrag 02:00 Uhr

  4. Samsung Galaxy S3: Siri braucht sich nicht zu fürchten

    Kommentare: 71 | letzter Beitrag 27.05. 22:20

  5. Datenschutz: Neue EU-Regeln zu Cookies treten in Kraft

    Kommentare: 66 | letzter Beitrag 02:26 Uhr

Mehr

Ticker
  1. Renesas

    Chiphersteller will ein Drittel der Beschäftigten loswerden

  2. Blackberry

    RIM plant Massenentlassungen

  3. Browser

    Kauft Facebook Opera?

  4. Datenschutz

    Neue EU-Regeln zu Cookies treten in Kraft

  5. Libreoffice

    "Wir wollen Nutzer in die ODF-Welt ziehen"

  6. Golem.de guckt

    Freundesmassen

  7. SpaceX

    Dockingmanöver an der ISS abgeschlossen

  8. iOS

    Untethered Jailbreak für iOS 5.1.1 erschienen

  9. CSU-Vizechefin

    Aussagen zur Internetsucht sind absurd

  10. Schmerzlos

    MIT-Forscher entwickeln Injektor mit Lorentzkraft-Antrieb

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Lockheed Martin
Lockheed Martin: US-Soldaten in Afghanistan bekommen Exoskelett
Lockheed Martin
US-Soldaten in Afghanistan bekommen Exoskelett

Lockheed Martin hat eine neue Version des Exoskeletts Hulc vorgestellt, das es einem Menschen ermöglicht, schwere Lasten zu heben und zu tragen. Der Hersteller will das System im Spätsommer testen und, wenn alles gutgeht, danach an US-Soldaten in Afghanistan ausliefern.

  1. Rüstung Ramsch-Technik aus China in US-Waffensystemen
Google Project Glass
Project Glass: Videoaufnahme mit der Google-Brille
Project Glass
Videoaufnahme mit der Google-Brille

Immer wieder zeigt Google seine Project Glass genannten Datenbrillen, ohne aber bislang konkrete Ankündigungen zu machen. Neben zahlreichen Fotos, die mit der Brille gemacht wurden, stellte Google nun auch ein erstes Video, das mit der Brille aufgenommen wurde, ins Netz.

  1. Gedämpfte Erwartungen Google-Brille mit reduziertem Interface
  2. Google-Brille Ein Blick, ein Foto
  3. Project Glass Googles Datenbrille auch für Fehlsichtige
Überwachung
PGP vs. Geheimdienste: "PGP ist weiterhin sicher"
PGP vs. Geheimdienste
"PGP ist weiterhin sicher"

Symantec hat sich zu den Aussagen der Bundesregierung geäußert, nach denen Geheimdienste in der Lage seien, SSH oder PGP zu knacken oder zu umgehen. Mathematisch gesehen sei kein wirksamer Angriff bekannt.

  1. Bundesregierung Deutsche Geheimdienste können PGP entschlüsseln
  2. Mobilfunk Achtung, Eltern lesen mit!
  3. Überwachungskameras Aldi-Manager zoomten Kundinnen unter den Rock
Forumsbeiträge »
  1. Datenschutz Neue EU-Regeln zu Cookies treten in Kraft

    Re: Wieder so eine Regel von Schwachmaten, welche...

    zwutz | 02:26

  2. Renesas Chiphersteller will ein Drittel der Beschäftigten loswerden

    Re: Großes Problem

    satan0rx | 02:07

  3. Libreoffice "Wir wollen Nutzer in die ODF-Welt ziehen"

    Re: Währe ein gemeinsames Office nicht besser?

    matbhm | 02:00

  4. iOS Untethered Jailbreak für iOS 5.1.1 erschienen

    Re: wieso brauch man das eigentlich????

    Robokopp | 01:46

  5. Libreoffice "Wir wollen Nutzer in die ODF-Welt ziehen"

    Re: Vielleicht etwas OT: Warum Office Software?

    matbhm | 01:42

Ticker »
  1. Renesas Chiphersteller will ein Drittel der Beschäftigten loswerden

    15:41

  2. Blackberry RIM plant Massenentlassungen

    13:23

  3. Browser Kauft Facebook Opera?

    14:48

  4. Datenschutz Neue EU-Regeln zu Cookies treten in Kraft

    14:29

  5. Libreoffice "Wir wollen Nutzer in die ODF-Welt ziehen"

    14:24

  6. Golem.de guckt Freundesmassen

    12:30

  7. SpaceX Dockingmanöver an der ISS abgeschlossen

    12:23

  8. iOS Untethered Jailbreak für iOS 5.1.1 erschienen

    18:49

Zum Artikel