Filed under: codeslayer, Daily | Schlagwörter: 27C3, Bank, ccc, netbook, SpaKa
Tach zusammen,
heute morgen, auf dem Weg ins Büro, hab ich mir gedacht: „FUCK .. du musst deine Karten für den 27C3 noch bezahlen“. Also nix wie zur Sparkasse. Natürlich hatte ich die Überweisungs-Infos nicht ausgedruckt, aber mein Netbook dabei .. mit einem TXT-File drauf, wo der Kram drinsteht.
Also bin ich mit aufgeklapptem Netbook in die SpaKa, hab das Ding auf so ein SB-Terminal gestellt, das File auf und dann angefangen die Überweisung zu machen.
Auf einmal treten 2 Mitarbeiter an mich heran. Offensichtlich eine normale Mitarbeiterin und ein Security-Typ. Beide wirkten leicht aufgeregt.
Sie: Darf ich sie bitten mal einen Schritt zurück zu treten?
Ich: Klar. Schnapp mir das Netbook und gehe nen Schritt zur Seite.
Schneller „Skimming-Check“ von den beiden. Es wird an allem gerüttelt, was geht.
Das Terminal springt auf: „Berühr den Bildschirm, oder ich mach die Session zu“. Also lange ich mal eben an den Screen. Dabei fällt ihr Blick auf das Netbook. Der Schritzug „CCC – DETAILS“ springt ihr ins Auge (Ich hab Fontsize 14 auf dem Netbook).
Ich konnte die Panik in ihren Augen hochkommen sehen. Also dachte ich schon „das wird nu nett“
Ich: Das sind die Überweisungs-Daten … ich hatte die nicht ausgedruckt, darum hab ich das Netbook mit.
Sie: Sie wissen, das es illegal ist, sich Zugriff auf ein SB-Terminal zu verschaffen?
Ich: Ich schreibe vom Screen nur Daten ab, ich hack das Ding nicht!
Ich hab mich echt schon in einer laaaangen Diskussion gesehen. Die haben vor großen Leuten mit langen schwarzen Mänteln und Netbooks echt Angst …… aber dann kam der Security-Mensch zu Wort:
Er:(kurzer Blick auf das Netbook) Ah … 27C3 .. ich kann dieses Jahr leider nicht dabei sein .. hab keinen Urlaub bekommen (hab ich mir den grimmigen Blick zu Ihr nur eingebildet?) … Hoffentlich haben wir dich nicht bei der Recherche für nen Talk gestört, aber diese SB-Terminals haben kein WLAN oder Bluetooth. Und du hast kein Kabel … zu Ihr: Also keine Gefahr!.
Ich: THX!
Er: Viel Spass am Gerät! .. aber bitte nicht an diesen hier!
Ich hab also die Überweisung fertig gemacht und gut.
Bleibt nur das komische Gefühl, das an den SB-Terminals was geht …. wenn man ein Kabel dranklemmt. Nur so eine Idee ….
Schönen Tag noch, b@tchman
UPDATE:
Nochmal Tach zusammen,
nachdem ich gestern und heute via Twitter eine Menge SpaKa-Bashing gelesen habe, wollte ich dazu nochmal kurz was schreiben:
Ich fand das völlig OK, dass die beiden das Terminal gechecked haben. Auch der erste Kontakt war ganz freundlich.
Ich fand vor allem diese Panik in den Augen lustig, als der CCC ins Spiel gekommen ist. Und die Reaktion des Security-Menschen war priceless!!!
greetz, b@tchman
28 Kommentare so far
Hinterlasse einen Kommentar
batchblog 
…und das passiert an einem 23. !11!!111!!
scnr
Kommentar von kadnerhenry 23 November 2010 @ 16:59immerhin ist die sparkasse überhaupt aufmerksam. so ist es doch wünschenswert, auch wenn ich mich frage was die machen wenn ich außerhalb der öffnungszeiten mit einem txt-file oder per hypnose ein kassenterminal bearbeite…
die komputer der drogerieketten sind hingegen zum teil sehr unsolide geschützt… wenn bei rossmann im fach unter dem display der wartungs-USB-stick liegt…
Kommentar von kadnerhenry 23 November 2010 @ 17:02hmm.. mich hat während meines Studiums nie jemand angesprochen. Ich hab bestimmt 2-3 dutzend Mal in Zwickau in der Sparkasse gestanden und 2-3 Überweisungen abgetippt.
Kommentar von Dr. Azrael Tod 23 November 2010 @ 17:03Ich vermute auch mal, dass die bei meiner SpaKa vor kurzem eine Skimming-Schulung oder sowas bekommen haben.
Kommentar von b@tchman 23 November 2010 @ 20:13das war auch damals ™ noch „ne andere Zeit“.
Ist ja schon mindestens 4-6 Jahre her, da hatte man noch nicht ganz so angst vor allem… :D (schön wär’s)
Kommentar von Dr. Azrael Tod 23 November 2010 @ 23:15ROFL!
Kommentar von Joe 23 November 2010 @ 17:40ymmd!
Nice…so schnell wird man zum Hacker gemacht :)
Kommentar von knightsilver 23 November 2010 @ 18:09Beim nächsten mal eine kleine Fake-Applikation schreiben, oder schreiben lassen, mit Progressbalken und dem Schriftzug „Download Account Data…“, idearlweise noch in Prozent hochzählen lassen. Mal gucken, wie die gucken. ;-)
Kommentar von tageswahn 23 November 2010 @ 20:26Öhm… und nebenbei noch nen Serielleskabel runterbaumeln lassen und nen Turban aufsetzen… dann gucken die garantiert nicht nur :-)
Kommentar von Jesus 24 November 2010 @ 2:01Genau. Und wenn der Typ von der Security kommt: Zeigefinger der linken Hand hoch und „– ich habs gleich“ sagen ;)
Kommentar von nk 24 November 2010 @ 2:39Also unsere lokale Volksbank macht zur Zeit immer mehr Zweigstellen/Automaten dicht und in den Räumen bleibt eine Dose mit Strom und Netzwerk. Mal gucken
Kommentar von s2 23 November 2010 @ 21:35Stimme tageswahn zu… Hättste dich mal so richtig ertappt fühlen sollen und zu tun als ob…;) wäre bestimmt witzig gewesen
Kommentar von Ekel Alfred 23 November 2010 @ 21:38Hier hätte das Kabel was gebracht:
http://www.faq-o-matic.net/2010/08/07/it-sicherheit-der-physische-layer-und-warum-man-auch-banken-nicht-trauen-kann/
Kommentar von J 23 November 2010 @ 22:15Wollte ich auch gerade schreiben, das ist bei einer unserer Sparkassen naemlich auch der Fall und da ist nichts mit umstellen, das Terminal steht mitten im Raum…
Kommentar von K 23 November 2010 @ 22:51Die Sparkassenmitarbeiter haben schon korrekt gehandelt. Die physische Sicherung der Hardware ist nie falsch.
Kommentar von Piotr 23 November 2010 @ 22:20Der Sicherheitstyp ist allerdings auch cool. ».. ich kann dieses Jahr leider nicht dabei sein .. hab keinen Urlaub bekommen« ist doch das totale Äquivalent zu http://i362.photobucket.com/albums/oo66/unoriginalerin/brofist.jpg
Kommentar von WhiteHotaru 23 November 2010 @ 22:57Wie sich alle bei Twitter über die Sparkasse lustig machen… Und wenn dann ein Automat manipuliert wird und jemand die Karten skimmed, regen sich die selben Leute darüber auf, dass die Sparkasse nicht aufgepasst hat. #verlogen #fail
Kommentar von Philipp 23 November 2010 @ 23:49Spaßfakt: ich hatte so ein SB-Terminal mal um 2002 rum erlebt wie es in einer Endlosschleife NT versuchte zu booten. nachdem ich es durch den Festplattencheck gejagt hatte hatte ich kurz zugriff auf das darunterliegende System.
Kommentar von Bernd 24 November 2010 @ 2:02naja wenn ma daten vom bildschirm in einen anderen rechner eintippt heist es wohl:
Kommentar von sofias. 24 November 2010 @ 7:40„das physische layer, das bin ich!“
;)
ps: ja ich mach das auch öfters…
Kommentar von sofias. 24 November 2010 @ 7:41Tja es soll ja auch Terminals in der Wildnis geben wo keine Kamera ist und das DSL Modem gleich neben der Steckdosenleiste neben dem Gerät flakt … jaja die Verlockungen …
Kommentar von rudi 24 November 2010 @ 8:41In den USA hätten sie dich wahrscheinlich erst mal getazert ^^
Übrigens laufen die Bankautomaten wohl teilweise mit Windows XP als Hostsystem:
Kommentar von Aufschnürer 24 November 2010 @ 9:10http://twitpic.com/39o55e
Kein Wunder waren die besorgt >)
Vielleicht hatten sie auch Angst, dass da jemand etwas wie „Payback“ von der Demogruppe Haujobb installiert:
http://www.pouet.net/prod.php?which=55757
Kommentar von Venty 24 November 2010 @ 9:23Hola!
Nette Geschichte.. ich werde mit heute mal den Automaten genauer anschauen, da ich noch einige Überweisungen erledigen muss ;-)
PS: Von einem Security-Mitarbeiter hätte ich wohl am wenigsten erwartet, dass er CCC-Mitglied bzw. zum Congress fährt, aber daran sieht man doch immer wieder: Man kann einem Menschen nicht in den Schädel gucken.
Kommentar von no0ne 24 November 2010 @ 10:40Als Sparkassenkunde finde ich das Verhalten völlig in Ordnung. Solange die Leute freundlich bleiben und das technische Know-How haben wie der Sicherheitsmann, um schnell beurteilen zu können, ob es sich um einen Hackversuch handelt oder nicht, ist doch alles okay.
Wie Philipp geschrieben hat: diejenigen, die sich über diese Sicherheitsmaßnahme lustig machen und die Sparkasse vorführen wollen, sind dieselben, die im Falle eines erfolgreichen Hacks genau dieselbe Aufregung zeigen.
Kommentar von L-Roy 24 November 2010 @ 12:23Deine Bedenken mit dem Kabel sind naheliegend… Außerdem kam mir gleich in den Sinn dass der Wachmann einer Bank zum CCC-Treffen wollte (nur keinen Urlaub…)
–> Wachmann – Bank – Hackinginteresse –
Das ist doch einer von uns, oder?!
Tyler Durden
Kommentar von Tyler Durden 24 November 2010 @ 14:06Also zumindest die Panik in ihren Augen war echt, denke ich …. ob der Wachmann da nun wirklich „echt“ war, das kann ich nicht beurteilen … aber ich hab eh ein wachsames Auge auf mein Konto … nun erst recht (mehr wegen dem evtl. Kabel-based Angriff, als wegen dem Wachmann). Aber wenn ich auf den Fahrplan schaue, denke ich das dieser Talk da mehr Grund zur Sorge ist …
Kommentar von b@tchman 24 November 2010 @ 14:43Hehehe,
wäre doch mal eine lustige Idee für ’nen Flashmob… Alle mit Netbooks an die Terminals in die Banken laufen. Ob das zur nächsten Wirtschaftskrise führt ?
Aber die Bank werden dann sicher gerettet *lol*…
Und was wird unser Innenminister dann fordern ? Verbot von Gewaltspielen und Computer in der Öffentlichkeit. So wie das Verbot von Spiegel-Reflex-Kameras in Kuwait (via Fefe) : http://blog.fefe.de/?ts=b2129234 …
Kommentar von Kerberos 24 November 2010 @ 23:20