EC-Karten: PIN-Klau am Kartenterminal möglich, Heise online 12.07.2012

POS-Terminals sind kleine Computer und besondere Eingabegeräte für die Zahlungskarten der Kunden einschließlich ihrer PIN, wenn das Abbuchungsverfahren durchgeführt wird. Die bisher bekannt gewordenen Angriffe erforderten von den Tätern solides Handwerk. Sie mussten in das Einzelhandelsgeschäft einbrechen, die vorhandenen POS-Terminals abbauen und ihr Innenleben (Hardware) umbauen. Zwischen dem Tastenfeld und der Platine darunter installierten sie eine Folie, mit der die Tastendrucke abgephisht werden, und an die vorhandene Elektronik wurde eine weitere Platine angeschlossen, mit der die Informationsverarbeitungsprozesse des Terminals abgegriffen werden können. Hinzu kommen noch ein Speichermodul und eine Bluetoothschnittstelle, mit der die Daten (mit einem handelsüblichen Handy besserer Bauart) abgerufen werden können.

Das jetzt demonstrierte Szenario ist ein Hackingangriff per Netz - und das macht mich misstrauisch. So einfach wie im Laborversuch dürfte der Angriff in der Praxis nicht sein.
 

 
Wer in die Elektronik eines POS-Terminals gelangt, kann prinzipiell alle dort verarbeiteten Daten abgreifen und an sich nehmen. Das ist klar.

Das Problem ist, in das Terminal hineinzukommen und die dort ablaufenden Verarbeitungsprozesse zu beobachten.

Am schwierigsten dürfte es sein, überhaupt zum POS-Terminal zu gelangen. Im Laborversuch ist das einfach: Dort gibt es kein Netz, sondern nur eine Kabelverbindung, die keine anderen Verbindungen zulässt.

POS-Terminals sind keine Intelligenz-Giganten. Ebenso wie Geldautomaten brauchen sie eine Anbindung an einen Server, der die weitere Verarbeitung des bargeldlosen Zahlungsverkehrs, die Buchhaltung der zahlungsempfangenen Einrichtung und das Inkasso gegen den Zahlungskartenaussteller übernimmt.

In einem geschlossenen Unternehmen ist zu erwarten, dass die Terminals in ein lokales Netz - LAN - eingebunden sind. Dort ist es relativ einfach, die Datenströme an den Verbindungskomponenten (Router, Switches) abzugreifen - wenn die Eingabedaten unverschlüsselt übermittelt werden. Der Angreifer muss sich entweder im lokalen Netz befinden oder als Hacker Zugriff auf die Verbindungskomponenten von außen erlangt haben. Insoweit stellt sich nur das Problem, den Datenstrom auf die relevanten Daten zu detektiern.

In aller Regel haben wir es aber beim Einzelhandel mit weiträumigen Ketten zu tun. Somit dürften wir es nicht mit physikalisch klar strukturierten LANs, sondern mit Overlay-Netzen zu tun haben, die sich durch spezielle Transportprotokolle und Verschlüsselungen sichern. Insoweit könnte der Angreifer zwar die Datenströme abfangen - wenn er denn weiß, welche für ihn bedeutsam sind, hätte aber das Problem mit der Verschlüsselung.
 

 
Bei der Demonstration wird gesagt, dass eine besondere Malware auf das POS-Terminal eingespielt wird. Das macht vieles einfacher. Wer im Verarbeitungsprozess die Eingabe beobachtet, hat keine Probleme mit der Verschlüsselung und kann sehr gezielt abgreifen, wenn er nicht selber beobachtet und dann neutralisiert wird (Virenscanner, Deep Protection). Dasselbe Problem haben die Botware und die Onlinebanking-Trojaner.

Nun mögen POS-Terminals zwar keine Intelligenz-Giganten sein, wohl aber informationsverarbeitende Systeme mit Speicher, Betriebssystem und Anwenderprogrammen. Im Interesse ihrer Anpassungsfähigkeit dürften sie auch fernwartungs- und updatefähig sein. Damit bieten sie die besten Voraussetzungen dafür, dass in sie eine Malware eingenistet wird. Der Abgriff selber ist dann - denklogisch - ein Kinderspiel.

Die eingangs genannten Beschränkungen bleiben. Gegen den produktiven Einsatz der Malware gibt es keine durchgreifenden Einwände. Sie muss aber zunächst ihr Ziel finden und sich dort einnisten.

Die POS-Terminals  empfangen keine E-Mails mit maliziösen Anhängen und surfen nicht zu infizierten Webseiten. Sie können also nur per Hacking infiziert werden. Ein direkter Angriff gegen das einzelne POS-Terminal, wenn es denn per TCP/IP und freiem Internet zugänglich wäre, ist sehr unwahrscheinlich, weil der Angreifer zunächst die Netzadresse erheben und dann auch noch als Fremder die Netzschnittstelle durchdringen müsste. Mit einer gießkannenartigen Detektion und ein bischen Knowhow ist das möglich, aber nicht sonderlich effektiv.

Effektiver ist es, zunächst die Verarbeitungsschnittstellen anzugreifen oder zu simulieren, also die Server, mit denen die POS-Terminals in Verbindung stehen. Kommt man in sie hinein, dann braucht man sich über die Verschlüsselung beim Übertragungsweg keine Gedanken mehr zu machen. Das Beispiel dafür ist der Night Dragon.

Die wichtigen Daten, also zum Beispiel die Kartendaten und die PIN, werden an der Verarbeitungsschnittstelle wahrscheinlich nicht entschlüsselt - außer: das Unternehmen will ganz sicher gehen und verfügt über eine tiefe Detektion. Wenn die nicht ganz sicher ist (eine perfekte Sicherheit gibt es nicht), öffnet sie eine neue Flanke für Angriffe.

Somit muss der Angreifer tatsächlich das POS-Terminal selber manipulieren. Das ist ein handwerkliches, aber kein prinzipielles Problem. Wenn das Endgerät update-fähig ist, dann lässt sich auf ihm auch jeder andere Mist installieren. Nur fest verdrahtete, IT-technisch gesehen wirklich dumme Komponenten lassen sich nur zerstören, nicht aber missbrauchen.

Über die Verarbeitungskomponente lässt sich deshalb Malware zum Endgerät verteilen und es wird das einfach nur als freundliches Update in Empfang nehmen.
 

 
Beim bargeldlosen Zahlungsverkehr gibt es mehrere Probleme, die hier nur im Allgemeinen angesprochen werden:

Das Endgerät ist die Eingabestelle. Wer hier die Eingaben abgreifen kann, hat gewonnen. Das gilt für Geldautomaten ebenso wie für POS-Terminals und dem Homebanking, selbst wenn dazu spezielle Eingabegeräte genutzt werden.

Beim Geldautomaten werden deshalb die Tastatureingaben bereits verschlüsselt, bevor sie zu seinem internen Rechner weiter gegeben werden. Das ist bei POS-Terminals nicht ohne weiteres möglich.

Erst der Magnetstreifen auf den Zahlungskarten machte den bargeldlosen Zahlungsverkehr im Onlineverfahren möglich. IT-technisch ist er genial gewesen, unter Sicherheitsgesichtspunkten katastrophal. Sein Inhalt lässt sich kopieren, die Kopie ist als solche nicht erkennbar und die Inhalte sind erst im Laufe der Zeit verschlüsselt und um weitere Prüfmechanismen ergänzt worden.

Der EMV-Chip hat eine fast perfekte physikalische Konstruktion. Er verfügt über einen Krypto-Prozessor, der aber nicht an der Schnittstelle selber angesiedelt ist. Daneben verfügt er über einen Prozessor, dem ein verdrahteter und ein programmierbarer Hauptspeicher Daten zuliefern. Der programmierbare Speicher ist das Problem. Der Angreifer, der es schafft, dort seine maliziösen Routinen abzuladen, hat den Chip im Griff. Hinzu kommt, dass die praktischen Anforderungen an den EMV-Chip ihn perforieren. Die Praxis fordert, dass er ausnahmsweise auch die Ableitung der PIN in Klarschrift zulässt. Das müsste der Krypto-Prozessor ausnahmslos verhindern. Darf er aber nicht, weil er auch diese Spezifikation zulassen muss.

Ein dummes POS-Terminal würde sich auf die Datenaufnahme und -weitergabe beschränken. Auf ihm könnte man keine Malware installieren, weil sie aus Nanobots bestehen müsste, die Drähte abklemmen und neu verlöten müssten.

Hier kommt ein Technik-philosophisches Problem zum Tragen. Man kann und muss vielleicht auch variablen Speicher zur Prozesssteuerung bereithalten. Warum muss er aber so groß sein, dass er die notwendige Kapazität weit überschreitet? Nur so bietet er maliziösen Funktionen die nötigen Freiräume.

In dem Filmbericht wird vom betroffenen Hersteller verlangt, die Sicherheit der POS-Terminals zu erhöhen. Das ist möglich durch Software, die jede Installation neuer Software im Wege der Fernwartung verhindert, oder sogar mit der Hardware, die schreibende Zugriffe verhindert. Dann wären die Terminals aber nicht mehr oder nur beschränkt Update-fähig.

Die andere Seite der Sicherheit betrifft die Netzkomponenten, mit denen die Terminals kommunizieren. Diese müssen besonders gegen Hackerangriffe gesichert werden.
 

 
Der bei Monitor gezeigte Angriff ist möglich, wenn es dem Angreifer gelingt, in die Verarbeitungskomponenten zu gelangen, mit denen die POS-Terminals kommunizieren, oder wenn er das Einnisten der Malware als Update tarnen kann. Dazu ist aber mehr nötig als der Filmbericht den Anschein erweckt.

Die aufbeschworene Gefahr, durch die Infiltration vieler POS-Terminals einen ständigen Datenstrom aus Kartendaten und PIN zu schaffen, um damit Zahlungskarten zu fälschen, ist nicht von der Hand zu weisen und alarmierend. Die Hersteller der Geräte sind in der Tat gefordert, ihr entgegen zu wirken.

Aber auch die Finanzwirtschaft wird sich fragen lassen müssen, warum sie nur zögernd und langsam immer wieder neuen Sicherheitslücken entgegen wirkt.

Deutschland ist Beispiel gebend für ein geniales Sicherheitskonzept: In jeder Zahlungskarte sind individuelle Merkmalstoffe - MM - eingebettet, deren Code gegen eine kodierte Prüfsumme auf dem Magnetstreifen und dem EMV-Chip geprüft wird. Das verhindert, dass die ausgespähten Daten von in Deutschland ausgegebenen Zahlungskarten an hiesigen Geldautomaten eingesetzt werden können. Das MM wird aber nur in Deutschland und dort auch nur an den Geldautomaten geprüft.

Deshalb fand das Cashing - auch nach der Einführung des EMV-Chips - zunächst überwiegend in Ost- und Südeuropa statt, weil dort die EMV-Daten nicht ausgelesen wurden, sondern nur die vom Magnetstreifen. Im europäischen Bankenverbund führte das zur Schadensersatzpflicht bei den geldausgebenden Banken, wenn sie nur den Magnetstreifen auslasen, die Originalkarte aber über einen EMV-Chip verfügte. Das wiederun führte zu einem heftigen Anspassungs- und Modernisierungsdruck mit den Ergebnissen, dass seit Ende 2010 der EMV-Chip in Europa flächendeckend eingesetzt wird und das Cashing hier nicht mehr stattfindet.

Einige Banken sind dazu über gegangen, auf die Magnetstreifen ganz zu verzichten. Der EMV-Chip reicht im europäischen Ausland aus und der Kunde, der nach Übersee reisen will, bekommt eine gesonderte Karte mit Magnetstreifen.

Das erschwert das Cashing. Zwar können auch die Daten aus dem EMV-Chip ausgelesen werden, die digitale Prüfziffer ist dort aber anders codiert als auf dem Magnetstreifen. Die Fälschung, die nur über einen Magnetstreifen verfügt, fällt sofort auf und bleibt erfolglos.

Der EMV-Chip wird noch immer im außereuropäischen Ausland und vor Allem in Nordamerika ignoriert. Dort wird heute gecasht. Die großen Kreditkartenunternehmen arbeiten erst noch an einem Zeitplan für die Migration.

Ungeachtet dessen bleibt die Frage, warum die Sicherheitsanforderungen an den EMV-Chip nicht strikter gefasst worden sind ( Schwachstellenbewertung). Laborversuche haben gezeigt, dass er ausnahmsweise auch die Durchleitung einer PIN im Klartext und bei der selbständigen Autorisierung im Chip der Freigabecode ebenfalls unverschlüsselt gemeldet werden kann.

Der Bericht bei Monitor lehrt jedenfalls, dass die sensiblen Kartendaten prinzipiell auch mit den Methoden des Hackings ausgespäht werden können. Das neue Beispiel und der 2008 durchgeführte Angriff gegen RBS World Pay zeigen, dass sich das Skimming auch auf Methoden erstreckt, die tief in der Cybercrime angesiedelt sind. Nur das lukrative Cashing bleibt Handwerk.

Kriminelle stehlen 9 Millionen Dollar in weltweitem Coup, Heise online 06.02.2009