batchblog


Ich, mein Netbook, die Sparkasse und der 27C3
23 November 2010, 10:16
Filed under: codeslayer, Daily | Schlagwörter: , , , ,

Tach zusammen,

heute morgen, auf dem Weg ins Büro, hab ich mir gedacht: „FUCK .. du musst deine Karten für den 27C3 noch bezahlen“. Also nix wie zur Sparkasse. Natürlich hatte ich die Überweisungs-Infos nicht ausgedruckt, aber mein Netbook dabei .. mit einem TXT-File drauf, wo der Kram drinsteht.

Also bin ich mit aufgeklapptem Netbook in die SpaKa, hab das Ding auf so ein SB-Terminal gestellt, das File auf und dann angefangen die Überweisung zu machen.

Auf einmal treten 2 Mitarbeiter an mich heran. Offensichtlich eine normale Mitarbeiterin und ein Security-Typ. Beide wirkten leicht aufgeregt.

Sie: Darf ich sie bitten mal einen Schritt zurück zu treten?
Ich: Klar. Schnapp mir das Netbook und gehe nen Schritt zur Seite.
Schneller „Skimming-Check“ von den beiden. Es wird an allem gerüttelt, was geht.
Das Terminal springt auf: „Berühr den Bildschirm, oder ich mach die Session zu“. Also lange ich mal eben an den Screen. Dabei fällt ihr Blick auf das Netbook. Der Schritzug „CCC – DETAILS“ springt ihr ins Auge (Ich hab Fontsize 14 auf dem Netbook).
Ich konnte die Panik in ihren Augen hochkommen sehen. Also dachte ich schon „das wird nu nett“

Ich: Das sind die Überweisungs-Daten … ich hatte die nicht ausgedruckt, darum hab ich das Netbook mit.
Sie: Sie wissen, das es illegal ist, sich Zugriff auf ein SB-Terminal zu verschaffen?
Ich: Ich schreibe vom Screen nur Daten ab, ich hack das Ding nicht!

Ich hab mich echt schon in einer laaaangen Diskussion gesehen. Die haben vor großen Leuten mit langen schwarzen Mänteln und Netbooks echt Angst …… aber dann kam der Security-Mensch zu Wort:

Er:(kurzer Blick auf das Netbook) Ah … 27C3 .. ich  kann dieses Jahr leider nicht dabei sein .. hab keinen Urlaub bekommen (hab ich mir den grimmigen Blick zu Ihr nur eingebildet?) … Hoffentlich haben wir dich nicht bei der Recherche für nen Talk gestört, aber diese SB-Terminals haben kein WLAN oder Bluetooth. Und du hast kein Kabel … zu Ihr: Also keine Gefahr!.
Ich: THX!
Er: Viel Spass am Gerät! .. aber bitte nicht an diesen hier!

Ich hab also die Überweisung fertig gemacht und gut.

Bleibt nur das komische Gefühl, das an den SB-Terminals was geht …. wenn man ein Kabel dranklemmt. Nur so eine Idee ….

Schönen Tag noch, b@tchman

 

UPDATE:

Nochmal Tach zusammen,
nachdem ich gestern und heute via Twitter eine Menge SpaKa-Bashing gelesen habe, wollte ich dazu nochmal kurz was schreiben:

Ich fand das völlig OK, dass die beiden das Terminal gechecked haben. Auch der erste Kontakt war ganz freundlich.
Ich fand vor allem diese Panik in den Augen lustig, als der CCC ins Spiel gekommen ist. Und die Reaktion des Security-Menschen war priceless!!!

greetz, b@tchman


28 Kommentare so far
Hinterlasse einen Kommentar

…und das passiert an einem 23. !11!!111!!

scnr

Kommentar von kadnerhenry

immerhin ist die sparkasse überhaupt aufmerksam. so ist es doch wünschenswert, auch wenn ich mich frage was die machen wenn ich außerhalb der öffnungszeiten mit einem txt-file oder per hypnose ein kassenterminal bearbeite…

die komputer der drogerieketten sind hingegen zum teil sehr unsolide geschützt… wenn bei rossmann im fach unter dem display der wartungs-USB-stick liegt…

Kommentar von kadnerhenry

hmm.. mich hat während meines Studiums nie jemand angesprochen. Ich hab bestimmt 2-3 dutzend Mal in Zwickau in der Sparkasse gestanden und 2-3 Überweisungen abgetippt.

Kommentar von Dr. Azrael Tod

Ich vermute auch mal, dass die bei meiner SpaKa vor kurzem eine Skimming-Schulung oder sowas bekommen haben.

Kommentar von b@tchman

das war auch damals ™ noch „ne andere Zeit“.

Ist ja schon mindestens 4-6 Jahre her, da hatte man noch nicht ganz so angst vor allem… :D (schön wär’s)

Kommentar von Dr. Azrael Tod

ROFL!
ymmd!

Kommentar von Joe

Nice…so schnell wird man zum Hacker gemacht :)

Kommentar von knightsilver

Beim nächsten mal eine kleine Fake-Applikation schreiben, oder schreiben lassen, mit Progressbalken und dem Schriftzug „Download Account Data…“, idearlweise noch in Prozent hochzählen lassen. Mal gucken, wie die gucken. ;-)

Kommentar von tageswahn

Öhm… und nebenbei noch nen Serielleskabel runterbaumeln lassen und nen Turban aufsetzen… dann gucken die garantiert nicht nur :-)

Kommentar von Jesus

Genau. Und wenn der Typ von der Security kommt: Zeigefinger der linken Hand hoch und „– ich habs gleich“ sagen ;)

Kommentar von nk

Also unsere lokale Volksbank macht zur Zeit immer mehr Zweigstellen/Automaten dicht und in den Räumen bleibt eine Dose mit Strom und Netzwerk. Mal gucken

Kommentar von s2

Stimme tageswahn zu… Hättste dich mal so richtig ertappt fühlen sollen und zu tun als ob…;) wäre bestimmt witzig gewesen

Kommentar von Ekel Alfred


Wollte ich auch gerade schreiben, das ist bei einer unserer Sparkassen naemlich auch der Fall und da ist nichts mit umstellen, das Terminal steht mitten im Raum…

Kommentar von K

Die Sparkassenmitarbeiter haben schon korrekt gehandelt. Die physische Sicherung der Hardware ist nie falsch.

Kommentar von Piotr

Der Sicherheitstyp ist allerdings auch cool. ».. ich kann dieses Jahr leider nicht dabei sein .. hab keinen Urlaub bekommen« ist doch das totale Äquivalent zu http://i362.photobucket.com/albums/oo66/unoriginalerin/brofist.jpg

Kommentar von WhiteHotaru

Wie sich alle bei Twitter über die Sparkasse lustig machen… Und wenn dann ein Automat manipuliert wird und jemand die Karten skimmed, regen sich die selben Leute darüber auf, dass die Sparkasse nicht aufgepasst hat. #verlogen #fail

Kommentar von Philipp

Spaßfakt: ich hatte so ein SB-Terminal mal um 2002 rum erlebt wie es in einer Endlosschleife NT versuchte zu booten. nachdem ich es durch den Festplattencheck gejagt hatte hatte ich kurz zugriff auf das darunterliegende System.

Kommentar von Bernd

naja wenn ma daten vom bildschirm in einen anderen rechner eintippt heist es wohl:
„das physische layer, das bin ich!“
;)

Kommentar von sofias.

ps: ja ich mach das auch öfters…

Kommentar von sofias.

Tja es soll ja auch Terminals in der Wildnis geben wo keine Kamera ist und das DSL Modem gleich neben der Steckdosenleiste neben dem Gerät flakt … jaja die Verlockungen …

Kommentar von rudi

In den USA hätten sie dich wahrscheinlich erst mal getazert ^^

Übrigens laufen die Bankautomaten wohl teilweise mit Windows XP als Hostsystem:
http://twitpic.com/39o55e
Kein Wunder waren die besorgt >)

Kommentar von Aufschnürer

Vielleicht hatten sie auch Angst, dass da jemand etwas wie „Payback“ von der Demogruppe Haujobb installiert:

http://www.pouet.net/prod.php?which=55757

Kommentar von Venty

Hola!
Nette Geschichte.. ich werde mit heute mal den Automaten genauer anschauen, da ich noch einige Überweisungen erledigen muss ;-)

PS: Von einem Security-Mitarbeiter hätte ich wohl am wenigsten erwartet, dass er CCC-Mitglied bzw. zum Congress fährt, aber daran sieht man doch immer wieder: Man kann einem Menschen nicht in den Schädel gucken.

Kommentar von no0ne

Als Sparkassenkunde finde ich das Verhalten völlig in Ordnung. Solange die Leute freundlich bleiben und das technische Know-How haben wie der Sicherheitsmann, um schnell beurteilen zu können, ob es sich um einen Hackversuch handelt oder nicht, ist doch alles okay.

Wie Philipp geschrieben hat: diejenigen, die sich über diese Sicherheitsmaßnahme lustig machen und die Sparkasse vorführen wollen, sind dieselben, die im Falle eines erfolgreichen Hacks genau dieselbe Aufregung zeigen.

Kommentar von L-Roy

Deine Bedenken mit dem Kabel sind naheliegend… Außerdem kam mir gleich in den Sinn dass der Wachmann einer Bank zum CCC-Treffen wollte (nur keinen Urlaub…)
–> Wachmann – Bank – Hackinginteresse –
Das ist doch einer von uns, oder?!

Tyler Durden

Kommentar von Tyler Durden

Also zumindest die Panik in ihren Augen war echt, denke ich …. ob der Wachmann da nun wirklich „echt“ war, das kann ich nicht beurteilen … aber ich hab eh ein wachsames Auge auf mein Konto … nun erst recht (mehr wegen dem evtl. Kabel-based Angriff, als wegen dem Wachmann). Aber wenn ich auf den Fahrplan schaue, denke ich das dieser Talk da mehr Grund zur Sorge ist …

Kommentar von b@tchman

Hehehe,

wäre doch mal eine lustige Idee für ’nen Flashmob… Alle mit Netbooks an die Terminals in die Banken laufen. Ob das zur nächsten Wirtschaftskrise führt ?
Aber die Bank werden dann sicher gerettet *lol*…

Und was wird unser Innenminister dann fordern ? Verbot von Gewaltspielen und Computer in der Öffentlichkeit. So wie das Verbot von Spiegel-Reflex-Kameras in Kuwait (via Fefe) : http://blog.fefe.de/?ts=b2129234

Kommentar von Kerberos




Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s



%d Bloggern gefällt das: