⚠️Wichtige Nachricht vom BlackBox Security DE und cRyPtHoN_INFOSEC_DE
#Bildungszwecke
Jeder Beitrag in diesem Kanal dient nur zu Bildungszwecken!
Alle Handlungen und / oder Aktivitäten im Zusammenhang mit dem in diesem Kanal enthaltenen Material liegen allein in Ihrer Verantwortung. Die Verwendung der Informationen in diesem Kanal kann zu Strafanzeigen gegen die betreffenden Personen führen.
Die Autoren und cRyPtHoN_INFOSEC_DE bzw BlackBox Security DE haften nicht, für den Fall, dass Strafanzeigen gegen Personen erhoben werden, die die Informationen in diesem Telegram Kanal missbrauchen, um gegen geltendes Recht zu verstoßen.
👁🗨Wichtige Nachricht von BlackBox Security DE und cRyPtHoN_INFOSEC_DE👁🗨 #Bildungszwecke
#Bildungszwecke
Jeder Beitrag in diesem Kanal dient nur zu Bildungszwecken!
Alle Handlungen und / oder Aktivitäten im Zusammenhang mit dem in diesem Kanal enthaltenen Material liegen allein in Ihrer Verantwortung. Die Verwendung der Informationen in diesem Kanal kann zu Strafanzeigen gegen die betreffenden Personen führen.
Die Autoren und cRyPtHoN_INFOSEC_DE bzw BlackBox Security DE haften nicht, für den Fall, dass Strafanzeigen gegen Personen erhoben werden, die die Informationen in diesem Telegram Kanal missbrauchen, um gegen geltendes Recht zu verstoßen.
👁🗨Wichtige Nachricht von BlackBox Security DE und cRyPtHoN_INFOSEC_DE👁🗨 #Bildungszwecke
Die seltene Form des maschinellen Lernens, die sogar Hacker erkennt, die bereits eingebrochen sind
Die unbeaufsichtigten Lernmodelle von Darktrace schlagen Alarm, bevor Eindringlinge ernsthaften Schaden anrichten können.
Im Jahr 2013 bemerkte eine Gruppe britischer Geheimdienste etwas Ungewöhnliches.
Während die meisten Anstrengungen zur Sicherung der digitalen Infrastruktur darauf ausgerichtet waren, bösartige Leute daran zu hindern, einzudringen, konzentrierten sich nur wenige auf das Gegenteil: Sie sollten sie daran hindern, Informationen auszusondern. Basierend auf dieser Idee gründete die Gruppe eine neue Cybersecurity-Firma namens Darktrace.
Das Unternehmen arbeitete mit Mathematikern an der University of Cambridge zusammen, um ein Werkzeug zu entwickeln, mit dem maschinelles Lernen zum Erkennen von internen Verletzungen verwendet werden kann. Anstatt die Algorithmen an historischen Beispielen für Angriffe zu trainieren, benötigten sie jedoch eine Möglichkeit für das System, um neue Fälle von anomalem Verhalten zu erkennen. Sie wandten sich dem unbeaufsichtigten Lernen zu, einer Technik, die auf einem seltenen maschinellen Lernalgorithmus basiert, bei dem der Mensch nicht genau angeben muss, wonach er suchen soll.
"Es ist dem körpereigenen Immunsystem sehr ähnlich", sagt Nicole Eagan, Co-CEO des Unternehmens. "So komplex es auch ist, es hat dieses angeborene Gefühl, was Selbst und nicht Selbst ist. Und wenn es etwas findet, das nicht dazugehört - das ist nicht Selbst -, hat es eine äußerst präzise und schnelle Antwort."
Die große Mehrheit der maschinellen Lernanwendungen beruht auf überwachtem Lernen. Dazu müssen einer Maschine riesige Mengen sorgfältig beschrifteter Daten zugeführt werden, um sie darin zu trainieren, ein eng definiertes Muster zu erkennen. Angenommen, Sie möchten, dass Ihre Maschine Golden Retriever erkennt. Sie füttern Hunderte oder Tausende von Bildern von Golden Retrievers und von Dingen, die nicht sind, und sagen dabei immer explizit, wer welche sind. Schließlich landen Sie mit einer ziemlich anständigen Golden-Retriever-Spotting-Maschine.
In der Cybersicherheit funktioniert das beaufsichtigte Lernen ziemlich gut. Sie trainieren eine Maschine in Bezug auf die verschiedenen Arten von Bedrohungen, denen Ihr System zuvor ausgesetzt war, und sie verfolgen sie unerbittlich.
Es gibt jedoch zwei Hauptprobleme. Zum einen funktioniert es nur mit bekannten Bedrohungen; unbekannte Bedrohungen schleichen sich immer noch unter dem Radar ein. Zum anderen funktionieren Algorithmen mit beaufsichtigtem Lernen am besten mit ausgewogenen Datensätzen, dh solchen, für die es gleich viele Beispiele gibt, wonach sie suchen und was sie ignorieren können. Cybersicherheitsdaten sind sehr unausgewogen: Es gibt nur wenige Beispiele für bedrohliches Verhalten, das in einem überwältigenden Maß an normalem Verhalten begraben ist.
Glücklicherweise übertrifft unüberwachtes Lernen, wenn beaufsichtigtes Lernen ins Wanken gerät. Letzteres kann riesige Mengen unbeschrifteter Daten betrachten und die Teile finden, die nicht dem typischen Muster folgen.
Dies kann dazu führen, dass Bedrohungen, die ein System noch nie gesehen hat, auftauchen können und dafür wenige anomale Datenpunkte erforderlich sind.
Wenn Darktrace seine Software bereitstellt, richtet es physische und digitale Sensoren im Netzwerk des Kunden ein, um seine Aktivitäten abzubilden. Diese Rohdaten werden auf über 60 verschiedene Algorithmen für unbeaufsichtigtes Lernen geleitet, die miteinander konkurrieren, um anomales Verhalten zu finden.
Die unbeaufsichtigten Lernmodelle von Darktrace schlagen Alarm, bevor Eindringlinge ernsthaften Schaden anrichten können.
Im Jahr 2013 bemerkte eine Gruppe britischer Geheimdienste etwas Ungewöhnliches.
Während die meisten Anstrengungen zur Sicherung der digitalen Infrastruktur darauf ausgerichtet waren, bösartige Leute daran zu hindern, einzudringen, konzentrierten sich nur wenige auf das Gegenteil: Sie sollten sie daran hindern, Informationen auszusondern. Basierend auf dieser Idee gründete die Gruppe eine neue Cybersecurity-Firma namens Darktrace.
Das Unternehmen arbeitete mit Mathematikern an der University of Cambridge zusammen, um ein Werkzeug zu entwickeln, mit dem maschinelles Lernen zum Erkennen von internen Verletzungen verwendet werden kann. Anstatt die Algorithmen an historischen Beispielen für Angriffe zu trainieren, benötigten sie jedoch eine Möglichkeit für das System, um neue Fälle von anomalem Verhalten zu erkennen. Sie wandten sich dem unbeaufsichtigten Lernen zu, einer Technik, die auf einem seltenen maschinellen Lernalgorithmus basiert, bei dem der Mensch nicht genau angeben muss, wonach er suchen soll.
"Es ist dem körpereigenen Immunsystem sehr ähnlich", sagt Nicole Eagan, Co-CEO des Unternehmens. "So komplex es auch ist, es hat dieses angeborene Gefühl, was Selbst und nicht Selbst ist. Und wenn es etwas findet, das nicht dazugehört - das ist nicht Selbst -, hat es eine äußerst präzise und schnelle Antwort."
Die große Mehrheit der maschinellen Lernanwendungen beruht auf überwachtem Lernen. Dazu müssen einer Maschine riesige Mengen sorgfältig beschrifteter Daten zugeführt werden, um sie darin zu trainieren, ein eng definiertes Muster zu erkennen. Angenommen, Sie möchten, dass Ihre Maschine Golden Retriever erkennt. Sie füttern Hunderte oder Tausende von Bildern von Golden Retrievers und von Dingen, die nicht sind, und sagen dabei immer explizit, wer welche sind. Schließlich landen Sie mit einer ziemlich anständigen Golden-Retriever-Spotting-Maschine.
In der Cybersicherheit funktioniert das beaufsichtigte Lernen ziemlich gut. Sie trainieren eine Maschine in Bezug auf die verschiedenen Arten von Bedrohungen, denen Ihr System zuvor ausgesetzt war, und sie verfolgen sie unerbittlich.
Es gibt jedoch zwei Hauptprobleme. Zum einen funktioniert es nur mit bekannten Bedrohungen; unbekannte Bedrohungen schleichen sich immer noch unter dem Radar ein. Zum anderen funktionieren Algorithmen mit beaufsichtigtem Lernen am besten mit ausgewogenen Datensätzen, dh solchen, für die es gleich viele Beispiele gibt, wonach sie suchen und was sie ignorieren können. Cybersicherheitsdaten sind sehr unausgewogen: Es gibt nur wenige Beispiele für bedrohliches Verhalten, das in einem überwältigenden Maß an normalem Verhalten begraben ist.
Glücklicherweise übertrifft unüberwachtes Lernen, wenn beaufsichtigtes Lernen ins Wanken gerät. Letzteres kann riesige Mengen unbeschrifteter Daten betrachten und die Teile finden, die nicht dem typischen Muster folgen.
Dies kann dazu führen, dass Bedrohungen, die ein System noch nie gesehen hat, auftauchen können und dafür wenige anomale Datenpunkte erforderlich sind.
Wenn Darktrace seine Software bereitstellt, richtet es physische und digitale Sensoren im Netzwerk des Kunden ein, um seine Aktivitäten abzubilden. Diese Rohdaten werden auf über 60 verschiedene Algorithmen für unbeaufsichtigtes Lernen geleitet, die miteinander konkurrieren, um anomales Verhalten zu finden.
Diese Algorithmen spucken dann ihre Ausgabe in einen weiteren Master-Algorithmus, der mithilfe verschiedener statistischer Methoden ermittelt, welche der 60 zu hören ist und welche von ihnen ignoriert werden sollen. All diese Komplexität wird in eine endgültige Visualisierung gepackt, die es Bedienern ermöglicht, mögliche Verstöße schnell zu erkennen und darauf zu reagieren. Während die Menschen herausfinden, was als Nächstes zu tun ist, arbeitet das System so, dass der Verstoß so lange unter Quarantäne gestellt wird, bis er behoben ist - beispielsweise indem er die gesamte externe Kommunikation des infizierten Geräts unterbindet.
Unüberwachtes Lernen ist jedoch keine Wunderwaffe. Je mehr Angreifer immer raffinierter werden, desto besser können sie Maschinen täuschen, unabhängig davon, welche Art von maschinellem Lernen sie verwenden. "Es gibt dieses Katz-und-Maus-Spiel, bei dem Angreifer versuchen können, ihr Verhalten zu ändern", sagt Dawn Song, eine Expertin für Cybersecurity und Machine Learning an der University of California, Berkeley.
Als Reaktion darauf hat sich die Cybersecurity-Community zu proaktiven Ansätzen entwickelt - "bessere Sicherheitsarchitekturen und -prinzipien, damit das System durch den Bau sicherer wird", sagt sie. Es ist jedoch noch ein weiter Weg, um alle Verstöße und betrügerischen Praktiken vollständig zu beseitigen. Sie fügt hinzu: "Das gesamte System ist so sicher wie das schwächste Glied.
TechnologyReview (Englisch)
DarkTrace
☣️ BlackBox Security DE ☣️
Unüberwachtes Lernen ist jedoch keine Wunderwaffe. Je mehr Angreifer immer raffinierter werden, desto besser können sie Maschinen täuschen, unabhängig davon, welche Art von maschinellem Lernen sie verwenden. "Es gibt dieses Katz-und-Maus-Spiel, bei dem Angreifer versuchen können, ihr Verhalten zu ändern", sagt Dawn Song, eine Expertin für Cybersecurity und Machine Learning an der University of California, Berkeley.
Als Reaktion darauf hat sich die Cybersecurity-Community zu proaktiven Ansätzen entwickelt - "bessere Sicherheitsarchitekturen und -prinzipien, damit das System durch den Bau sicherer wird", sagt sie. Es ist jedoch noch ein weiter Weg, um alle Verstöße und betrügerischen Praktiken vollständig zu beseitigen. Sie fügt hinzu: "Das gesamte System ist so sicher wie das schwächste Glied.
TechnologyReview (Englisch)
DarkTrace
☣️ BlackBox Security DE ☣️
Microsoft erweitert Windows Defender ATP
Microsoft hat mehrere Verbesserungen an seinem Advanced Defeat Protection (ATP) -Produkt von Windows Defender vorgestellt, um seine Schutzfunktionen zu verbessern.
Die Verbesserungen zielen auf verschiedene Aspekte der Endpoint Protection-Plattform ab, z. B. Reduzierung der Angriffsfläche, Erkennung und Reaktion nach einer Sicherheitsverletzung, Automatisierungsfunktionen, Sicherheitserkenntnisse und Bedrohungssuche, erklärt Moti Gindi, General Manager von Windows Cyber Defense.
Windows Defender ATP verfügt jetzt über neue Regeln zur Reduzierung der Angriffsfläche, mit denen verhindert werden soll, dass Office-Kommunikationsanwendungen (einschließlich Outlook) und Adobe Acrobat Reader untergeordnete Prozesse erstellen. Die neuen Regeln sollten dazu beitragen, eine Vielzahl von Angriffen zu verhindern, beispielsweise solche, die Makro- und Schwachstellen-Exploits einsetzen.
Das Unternehmen fügte außerdem verbesserte Anpassungen für Ausschlüsse und Zulassungslisten hinzu, die auf Ordner und sogar auf einzelne Dateien angewendet werden können, so Gindi.
Die Schutzplattform von Microsoft nutzt jetzt auch Sicherheitsupdates für Notfälle. Im Falle eines Ausbruchs kann das Windows Defender-ATP-Team Cloud-verbundene Unternehmensgeräte auffordern, dedizierte Intelligenzaktualisierungen direkt aus der Windows Defender-ATP-Cloud abzurufen, sodass Sicherheitsadministratoren keine Maßnahmen ergreifen müssen.
Laut Microsoft blockiert Windows Defender ATP jeden Monat 5 Milliarden Bedrohungen und nutzt dabei maschinelles Lernen und künstliche Intelligenz. Die Technologie ermöglicht es auch, bei verschiedenen Schutztests hohe Punktzahlen zu erreichen.
Dedizierte Erkennungen für Kryptowährungs-Mining-Malware sind jetzt auch in der Schutzplattform verfügbar. Außerdem hat Microsoft den Fokus verstärkt darauf gerichtet, Betrugsversuche mit technischer Unterstützung zu erkennen und zu unterbrechen. Vor kurzem hat der Virenschutz von Windows Defender ATP auch eine dedizierte Sandbox erhalten , um zu verhindern, dass Angreifer sie für ein Kompromisssystem einsetzen.
Um Sicherheitsanalysen mit Mitteln zum besseren Verständnis komplexer Sicherheitsereignisse bereitzustellen, hat Microsoft Windows Defender ATP um Vorfälle erweitert. Sie bietet eine aggregierte Ansicht des Kontextes eines Angriffs und kann dazu beitragen, verwandte Warnungen und Artefakte in den betroffenen Systemen zu identifizieren und sie über die Angriffszeitachse hinweg zu korrelieren.
"Durch die Umwandlung der Warteschlange von Hunderten von Einzelalarmen in eine überschaubarere Anzahl sinnvoller Aggregationen entfällt bei Incidents die Notwendigkeit, Warnungen sequenziell zu überprüfen und bösartige Ereignisse manuell im gesamten Unternehmen zu korrelieren, wodurch bis zu 80% der Zeit für Analysten eingespart werden", erklärt Gindi.
Windows Defender ATP kann auch speicherbasierte Angriffe, die auch als dateilose Angriffe bezeichnet werden, automatisch untersuchen und beheben. Anstatt einen solchen Angriff einfach nur zu melden, kann die Plattform eine vollautomatische Untersuchung des Vorfalls starten.
Technische Informationen zu Bedrohungen werden über ein Threat-Analyse-Dashboard sowie empfohlene Maßnahmen zur Eindämmung und Vermeidung spezifischer Bedrohungen sowie zur Erhöhung der Organisationsfähigkeit bereitgestellt. Darüber hinaus bietet Microsoft eine Bewertung der Auswirkungen von Bedrohungen auf die Umgebung einer Organisation sowie eine Übersicht über die Anzahl der geschützten und exponierten Maschinen.
Es stehen auch benutzerdefinierte Erkennungsregeln zur Verfügung, die auf den Abfragen basieren, die von Sicherheitsforschern mithilfe des GitHub-Community-Repository gemeinsam mit den integrierten Funktionen zur Erkennung und zum Schutz sensibler Daten auf Unternehmensendpunkten genutzt werden. Die Integration mit AIP-Datenermittlung (Azure Information Protection) ermöglicht die Erkennung.
Microsoft hat mehrere Verbesserungen an seinem Advanced Defeat Protection (ATP) -Produkt von Windows Defender vorgestellt, um seine Schutzfunktionen zu verbessern.
Die Verbesserungen zielen auf verschiedene Aspekte der Endpoint Protection-Plattform ab, z. B. Reduzierung der Angriffsfläche, Erkennung und Reaktion nach einer Sicherheitsverletzung, Automatisierungsfunktionen, Sicherheitserkenntnisse und Bedrohungssuche, erklärt Moti Gindi, General Manager von Windows Cyber Defense.
Windows Defender ATP verfügt jetzt über neue Regeln zur Reduzierung der Angriffsfläche, mit denen verhindert werden soll, dass Office-Kommunikationsanwendungen (einschließlich Outlook) und Adobe Acrobat Reader untergeordnete Prozesse erstellen. Die neuen Regeln sollten dazu beitragen, eine Vielzahl von Angriffen zu verhindern, beispielsweise solche, die Makro- und Schwachstellen-Exploits einsetzen.
Das Unternehmen fügte außerdem verbesserte Anpassungen für Ausschlüsse und Zulassungslisten hinzu, die auf Ordner und sogar auf einzelne Dateien angewendet werden können, so Gindi.
Die Schutzplattform von Microsoft nutzt jetzt auch Sicherheitsupdates für Notfälle. Im Falle eines Ausbruchs kann das Windows Defender-ATP-Team Cloud-verbundene Unternehmensgeräte auffordern, dedizierte Intelligenzaktualisierungen direkt aus der Windows Defender-ATP-Cloud abzurufen, sodass Sicherheitsadministratoren keine Maßnahmen ergreifen müssen.
Laut Microsoft blockiert Windows Defender ATP jeden Monat 5 Milliarden Bedrohungen und nutzt dabei maschinelles Lernen und künstliche Intelligenz. Die Technologie ermöglicht es auch, bei verschiedenen Schutztests hohe Punktzahlen zu erreichen.
Dedizierte Erkennungen für Kryptowährungs-Mining-Malware sind jetzt auch in der Schutzplattform verfügbar. Außerdem hat Microsoft den Fokus verstärkt darauf gerichtet, Betrugsversuche mit technischer Unterstützung zu erkennen und zu unterbrechen. Vor kurzem hat der Virenschutz von Windows Defender ATP auch eine dedizierte Sandbox erhalten , um zu verhindern, dass Angreifer sie für ein Kompromisssystem einsetzen.
Um Sicherheitsanalysen mit Mitteln zum besseren Verständnis komplexer Sicherheitsereignisse bereitzustellen, hat Microsoft Windows Defender ATP um Vorfälle erweitert. Sie bietet eine aggregierte Ansicht des Kontextes eines Angriffs und kann dazu beitragen, verwandte Warnungen und Artefakte in den betroffenen Systemen zu identifizieren und sie über die Angriffszeitachse hinweg zu korrelieren.
"Durch die Umwandlung der Warteschlange von Hunderten von Einzelalarmen in eine überschaubarere Anzahl sinnvoller Aggregationen entfällt bei Incidents die Notwendigkeit, Warnungen sequenziell zu überprüfen und bösartige Ereignisse manuell im gesamten Unternehmen zu korrelieren, wodurch bis zu 80% der Zeit für Analysten eingespart werden", erklärt Gindi.
Windows Defender ATP kann auch speicherbasierte Angriffe, die auch als dateilose Angriffe bezeichnet werden, automatisch untersuchen und beheben. Anstatt einen solchen Angriff einfach nur zu melden, kann die Plattform eine vollautomatische Untersuchung des Vorfalls starten.
Technische Informationen zu Bedrohungen werden über ein Threat-Analyse-Dashboard sowie empfohlene Maßnahmen zur Eindämmung und Vermeidung spezifischer Bedrohungen sowie zur Erhöhung der Organisationsfähigkeit bereitgestellt. Darüber hinaus bietet Microsoft eine Bewertung der Auswirkungen von Bedrohungen auf die Umgebung einer Organisation sowie eine Übersicht über die Anzahl der geschützten und exponierten Maschinen.
Es stehen auch benutzerdefinierte Erkennungsregeln zur Verfügung, die auf den Abfragen basieren, die von Sicherheitsforschern mithilfe des GitHub-Community-Repository gemeinsam mit den integrierten Funktionen zur Erkennung und zum Schutz sensibler Daten auf Unternehmensendpunkten genutzt werden. Die Integration mit AIP-Datenermittlung (Azure Information Protection) ermöglicht die Erkennung.
Windows Defender ATP kann auch in Microsoft Cloud App Security integriert werden, um die Schatten-IT in einer Organisation zu ermitteln. Dies vereinfacht die Einführung von Cloud App Security und stellt Microsoft Cloud App Security mit Verkehrsinformationen zu Client- und Browser-basierten Cloud-Apps und -Diensten bereit, die auf IT-verwalteten Windows 10-Geräten verwendet werden.
Kunden, die an den neuen Funktionen interessiert sind, können sich für eine kostenlose 60-Tage-Testversion von Windows Defender ATP anmelden. Die Windows Defender-Demo Seite und das Windows Defender-Sicherheitscenter-Portal ermöglichen es Interessenten außerdem, die Funktionen für eine Probe zu nutzen.
SecurityWeek
☣️ BlackBox Security DE ☣️
Kunden, die an den neuen Funktionen interessiert sind, können sich für eine kostenlose 60-Tage-Testversion von Windows Defender ATP anmelden. Die Windows Defender-Demo Seite und das Windows Defender-Sicherheitscenter-Portal ermöglichen es Interessenten außerdem, die Funktionen für eine Probe zu nutzen.
SecurityWeek
☣️ BlackBox Security DE ☣️
⚠️ Geld ohne Pin
Gängige Geldautomaten können in weniger als 20 Minuten gehackt werden
Die IT-Sicherheitsfirma Positive Technologies hat bei 26 Bankautomaten von NCR, Diebold Nixdorf und GRGBanking viele Schwachstellen gefunden.
Bankautomaten führender Hersteller bieten noch immer zahlreiche Angriffsflächen, die von Kriminellen innerhalb weniger Minuten vor Ort oder aus der Ferne ausgenutzt werden können. Dies hat die IT-Sicherheitsfirma Positive Technologies in einem Test von 26 Geldausgabemaschinen der Produzenten NCR, Diebold Nixdorf und GRGBanking herausgefunden.
Die entdeckten Schwachstellen stehen im Zusammenhang mit Netzwerksicherheit, dem Einsatz nicht mehr unterstützter Betriebssysteme, nicht sachgerechter Konfiguration oder einem mangelnden Schutz von Schnittstellen. Die getesteten Angriffsmethoden umfassten mehr oder weniger bekannte Ansätze zum Ausnutzen von Verwundbarkeiten und Tricks, mit denen Daten von Zahlungskarten ausgelesen und auf Blanko-Alternativen kopiert werden ("Skimming").
Weniger als 15 Minuten
85 Prozent der untersuchten Geräte waren unzureichend gegen Netzwerkattacken wie Spoofing geschützt, sodass sich ihre Authentifizierungs- und Identifikationsverfahren aushebeln ließen. Dazu war teils ein physikalischer Zugriff auf die Hardware nötig, um beispielsweise Ethernet-Kabel auszustöpseln oder anzuzapfen. Einige der Automaten kommunizierten laut der Analyse aber auch per GSM mit dem Banknetzwerk, wobei sich die eingesetzten Funkmodems oder Router als angreifbar erwiesen.
Insgesamt solle es möglich gewesen sein, bei 27 Prozent der Testobjekte dem Verarbeitungszentrum der Bank mit einem Zugang vor Ort vorzugaukeln, dass legitim Geld abgehoben werde. 58 Prozent der Geräte ließen sich fernsteuern. Um die entsprechenden Angriffe auf das Netzwerk durchzuführen, hätten die Prüfer in der Regel weniger als 15 Minuten gebraucht.
Windows XP
Mit durchschnittlich zehn Minuten gelangen den IT-Spezialisten nach eigenen Angaben "Black Box"-Attacken. Dabei verknüpfen Angreifer das Geldausgabemodul über die zugehörigen Kabel mit einem eigenen Kleincomputer wie einem Raspberry Pi, nachdem sie das Gehäuse aufgebohrt haben. Über die von ihnen kontrollierte Hardware können sie Befehle an die Kontrolleinheit schicken, damit diese Banknoten freigibt. 69 Prozent der einbezogenen Automaten waren für derlei Angriffe anfällig, bei 19 Prozent soll es gar keinen Schutz dagegen gegeben haben.
Bei 92 Prozent der Geräten war dem Bericht nach die Verschlüsselung der Festplatte nicht effektiv implementiert oder der Passwortschutz für das BIOS im Speicher der Hauptplatine nicht ausreichend. So sei es möglich gewesen, innerhalb von weniger als 20 Minuten den internen Rechner über eine eigene Festplatte zu starten und das Betriebssystem zu kontrollieren. Damit habe sich Geld abheben oder Skimming durchführen lassen. Die Geldautomaten liefen unter Windows XP, für das es keine regulären Sicherheitsupdates mehr gibt, Windows 7 und Windows 10.
Angriff über USB
Den "Kiosk-Modus" mit beschränkten Funktionen konnten die Experten bei 76 Prozent der Untersuchungsobjekte verlassen und so ebenfalls eigene Befehle an das Betriebssystem senden. Die meisten Automaten erlaubten es, eigene Geräte oder Tastaturen etwa über USB-Schnittstellen anzuschließen. Über die Eingabe gängiger Tastenkombinationen wie Alt+F4 zum Schließen eines aktiven Fensters habe sich darüber der voreingestellte Modus deaktivieren lassen. Auch Software von Drittanbieter habe Fehler enthalten, die man mit entsprechenden Ergebnissen habe ausnutzen können. Bei jedem geprüften Gerät sei es ferner möglich gewesen, Kartendaten abzufangen, während sie innerhalb des Systems etwa zwischen dem Kartenleser und dem Betriebssystem übertragen wurde.
Gängige Geldautomaten können in weniger als 20 Minuten gehackt werden
Die IT-Sicherheitsfirma Positive Technologies hat bei 26 Bankautomaten von NCR, Diebold Nixdorf und GRGBanking viele Schwachstellen gefunden.
Bankautomaten führender Hersteller bieten noch immer zahlreiche Angriffsflächen, die von Kriminellen innerhalb weniger Minuten vor Ort oder aus der Ferne ausgenutzt werden können. Dies hat die IT-Sicherheitsfirma Positive Technologies in einem Test von 26 Geldausgabemaschinen der Produzenten NCR, Diebold Nixdorf und GRGBanking herausgefunden.
Die entdeckten Schwachstellen stehen im Zusammenhang mit Netzwerksicherheit, dem Einsatz nicht mehr unterstützter Betriebssysteme, nicht sachgerechter Konfiguration oder einem mangelnden Schutz von Schnittstellen. Die getesteten Angriffsmethoden umfassten mehr oder weniger bekannte Ansätze zum Ausnutzen von Verwundbarkeiten und Tricks, mit denen Daten von Zahlungskarten ausgelesen und auf Blanko-Alternativen kopiert werden ("Skimming").
Weniger als 15 Minuten
85 Prozent der untersuchten Geräte waren unzureichend gegen Netzwerkattacken wie Spoofing geschützt, sodass sich ihre Authentifizierungs- und Identifikationsverfahren aushebeln ließen. Dazu war teils ein physikalischer Zugriff auf die Hardware nötig, um beispielsweise Ethernet-Kabel auszustöpseln oder anzuzapfen. Einige der Automaten kommunizierten laut der Analyse aber auch per GSM mit dem Banknetzwerk, wobei sich die eingesetzten Funkmodems oder Router als angreifbar erwiesen.
Insgesamt solle es möglich gewesen sein, bei 27 Prozent der Testobjekte dem Verarbeitungszentrum der Bank mit einem Zugang vor Ort vorzugaukeln, dass legitim Geld abgehoben werde. 58 Prozent der Geräte ließen sich fernsteuern. Um die entsprechenden Angriffe auf das Netzwerk durchzuführen, hätten die Prüfer in der Regel weniger als 15 Minuten gebraucht.
Windows XP
Mit durchschnittlich zehn Minuten gelangen den IT-Spezialisten nach eigenen Angaben "Black Box"-Attacken. Dabei verknüpfen Angreifer das Geldausgabemodul über die zugehörigen Kabel mit einem eigenen Kleincomputer wie einem Raspberry Pi, nachdem sie das Gehäuse aufgebohrt haben. Über die von ihnen kontrollierte Hardware können sie Befehle an die Kontrolleinheit schicken, damit diese Banknoten freigibt. 69 Prozent der einbezogenen Automaten waren für derlei Angriffe anfällig, bei 19 Prozent soll es gar keinen Schutz dagegen gegeben haben.
Bei 92 Prozent der Geräten war dem Bericht nach die Verschlüsselung der Festplatte nicht effektiv implementiert oder der Passwortschutz für das BIOS im Speicher der Hauptplatine nicht ausreichend. So sei es möglich gewesen, innerhalb von weniger als 20 Minuten den internen Rechner über eine eigene Festplatte zu starten und das Betriebssystem zu kontrollieren. Damit habe sich Geld abheben oder Skimming durchführen lassen. Die Geldautomaten liefen unter Windows XP, für das es keine regulären Sicherheitsupdates mehr gibt, Windows 7 und Windows 10.
Angriff über USB
Den "Kiosk-Modus" mit beschränkten Funktionen konnten die Experten bei 76 Prozent der Untersuchungsobjekte verlassen und so ebenfalls eigene Befehle an das Betriebssystem senden. Die meisten Automaten erlaubten es, eigene Geräte oder Tastaturen etwa über USB-Schnittstellen anzuschließen. Über die Eingabe gängiger Tastenkombinationen wie Alt+F4 zum Schließen eines aktiven Fensters habe sich darüber der voreingestellte Modus deaktivieren lassen. Auch Software von Drittanbieter habe Fehler enthalten, die man mit entsprechenden Ergebnissen habe ausnutzen können. Bei jedem geprüften Gerät sei es ferner möglich gewesen, Kartendaten abzufangen, während sie innerhalb des Systems etwa zwischen dem Kartenleser und dem Betriebssystem übertragen wurde.
Während der Analyse stießen die Tester ihren Angaben zufolge auf besonders gravierende "Zero Days"-Schwachstellen in aufgespielter Sicherheitssoftware wie GMV Checker ATM Security, Kaspersky Embedded Systems Security oder McAfee Application Control (Solidcore). Der russische Anti-Viren-Spezialist Kaspersky hatte 2016 in einem eigenen Bericht darauf hingewiesen, dass fast alle gängigen Bankautomaten unsicher seien.
Laut Positive Technologies sind die darauf eingesetzten Sicherheitsmechanismen nicht mehr als ein "Ärgernis" für Angreifer, da sie fast immer in recht kurzer Zeit zu umgehen seien. Da Banken die Geräte oft in großer Zahl gleich konfigurierten, könne eine erfolgreiche Attacke einfach im großen Maßstab wiederholt werden. Die Spezialisten raten Finanzinstituten, vor allem den physikalischen Zugriff auf die Automaten zu erschweren. Zudem sollten Sicherheitsvorfälle zumindest besser protokolliert werden, um schneller darauf reagieren zu können.
heise.de
☣️ BlackBox Security DE ☣️
Laut Positive Technologies sind die darauf eingesetzten Sicherheitsmechanismen nicht mehr als ein "Ärgernis" für Angreifer, da sie fast immer in recht kurzer Zeit zu umgehen seien. Da Banken die Geräte oft in großer Zahl gleich konfigurierten, könne eine erfolgreiche Attacke einfach im großen Maßstab wiederholt werden. Die Spezialisten raten Finanzinstituten, vor allem den physikalischen Zugriff auf die Automaten zu erschweren. Zudem sollten Sicherheitsvorfälle zumindest besser protokolliert werden, um schneller darauf reagieren zu können.
heise.de
☣️ BlackBox Security DE ☣️