Terminals können übernommen werden

Die mangelhaften Sicherheitsmechanismen von ZVT ermöglichen ausweislich einer Präsentation des Hacks, die uns vorliegt, auch die komplette Übernahme von Terminals. Angreifer könnten das Terminal so umprogrammieren, dass die Einnahmen an sie und nicht den eigentlichen Betreiber gesendet werden. Dazu ist es notwendig, das Passwort des Terminals zu kennen. Das ist jedoch kein allzu großes Problem: Viele Terminals benutzen ein einheitliches, statisches Passwort - das vor einigen Jahren zusammen mit einem Handbuch der Geräte veröffentlicht wurde.

Der Angriff von Nohl und seinen Kollegen geht jedoch über den lokalen Zugriff auf die Geräte hinaus: Das Poseidon-Protokoll sorgt für die Anbindung an den Zahlungsdienstleister über das Netz. Auch hier gibt es große Sicherheitsprobleme. "Die beiden Angriffe sind voneinander unabhängig" sagt Nohl, aber sie könnten natürlich kombiniert werden. Poseidon nutzt vorab getauschte Schlüssel, ähnlich wie viele VPNs. Viele Terminals benutzen jedoch genau den gleichen vorab getauschten Schlüssel - wer also Zugriff auf ein Gerät hat, kann viele andere ebenfalls manipulieren. Poseidon ist nach Angaben der Hacker der De-Facto-Standard in Deutschland, wird aber auch in Frankreich, Luxemburg und Island genutzt. Für den Hack werden drei Informationen benötigt: das bekannte Passwort, die ID des anzugreifenden Terminals und der TCP-Port.

Das Passwort gibt es bei Google

Das Passwort lässt sich ergoogeln. Auch die Geräte-ID ist leicht herauszubekommen: Auf jedem Kassenzettel steht, wenn mit Karte bezahlt wurde, die Geräte-ID des jeweiligen Terminals. Angreifer könnten sich diese ID zunutze machen, um ein Terminal im eigenen Besitz als legitimes Gerät auszugeben. Den TCP-Port schließlich ermitteln die Forscher durch eine nicht näher beschriebene Brute-Force-Attacke.

Sind die Voraussetzungen gegeben, kann der Angreifer sich selbst im Namen des Terminals Gutschriften ausstellen. Denn die Geräte prüfen nicht, ob für eine Gutschrift zuvor wirklich eine Einzahlung beziehungsweise eine Transaktion vorgelegen hat. Die Gutschriften können auf vom Angreifer angegebene Bankkonten erfolgen. Alternativ ist es auch möglich, Prepaid-Guthaben für Mobiltelefone zu generieren.

Die Deutsche Kreditwirtschaft (DK) sieht keine großen Gefahren durch den Hack. Zeit Online sagten sie: Beim 32C3 sollen "Angriffsszenarien auf Kartenzahlungsterminals vorgestellt werden, die unter Laborbedingungen, das heißt theoretisch, möglich sind. Die DK hat diese Angriffe geprüft." Schäden für Karteninhaber seien jedoch ausgeschlossen. Tatsächlich sind in den vorgestellten Angriffsszenarien vor allem die Händler die Geschädigten.

Noch haben die Banken Zeit, die Probleme zu lösen

Nohl kommentiert die Antwort wie folgt: "Die Banken sollten froh sein, dass es bislang keine Angriffe gibt. Noch haben sie vermutlich einige Wochen oder Monate lang Zeit, um die Probleme zu beheben." Als kurzfristige Lösung schlagen die Sicherheitsforscher vor, die Möglichkeit zum Ausstellen von Gutschriften nur dann zu aktivieren, wenn sie wirklich gebraucht wird - sie ist voreingestellt immer aktiv.

Auch die Funktion zum Ausstellen von Prepaid-Guthaben kann deaktiviert werden. Die anderen notwendigen Änderungen würden wohl etwas mehr Zeit benötigen. Nohl freut sich auf internationale Hacker, die verschiedene Implementationen des Iso-Standards 8583, auf dem Poseidon basiert, testen. "Bis zum Beginn des 32C3 kann da noch viel passieren", sagt er.