9:15
9/6/2015

166816 lub Z66816 to, jak się okazuje, używany domyślnie od 1990 roku kod serwisowy, pozwalający każdemu na rekonfigurację czytników kart płatniczych firmy Verifone. Badacze informujący o zagrożeniu co prawda weryfikowali je jedynie na terenie sklepów w USA, ale terminale VeriFone są powszechnie obecne także w rodzimych sklepach — zastanawiamy się więc, czy ten trik zadziała w Polsce…

Od 25 lat ten sam ./kodzik

Informacje o kodzie na światło dzienne wyciągnął w prezentacji na konferencji RSA Charles Henderson. Według niego, “wbicie” tego kodu pozwala na całkowite przejęcie kontroli nad czytnikiem kart i infekcję terminala złośliwym oprogramowaniem, co oczywiście doprowadzi do kradzieży informacji płatniczych.

Kasa samoobsługowa w krakowskim Realu

Kasa samoobsługowa w krakowskim Realu

Przyczynę korzystania z domyślnego hasła Charles upatruje w ścieżce dystrybucji terminala do sklepu. Jest on produkowany przez producenta, następnie przekazywany odpowiedniemu dystrybutorowi, a ten dopiero sprzedaje urządzenia do sklepów. Wygląda na to, że każdy z tymczasowych posiadaczy urządzenia uważa, że za jego konfigurację odpowiada ktoś inny.

Przedstawiciele Verifone uspokajają, że do tej pory nie odnotowali żadnych ataków za pomocą kodu serwisowego i że jego znajomość nie jest wystarczająca, aby zainfekować terminal złośliwym oprogramowaniem. Natomiast na wszelki wypadek, firma wystosowała apel do posiadaczy jej urządzeń, aby czym prędzej zmienili domyślny kod na inny (jest więc szansa, że teraz będzie nim 111111 albo 123456).

Terminal to komputer — można go zhackować

Przypomiamy, że terminal obsługujący transakcje płatnicze to w zasadzie mały komputer. Można go więc przeprogramować …i np. pograć na nim we Flappy Birds:

albo …pociupać w ponga:

HP_Photo_21941-Edit-1-640x959

O słabościach terminali płatniczych pisaliśmy już na łamach Niebezpiecznika wielokrotnie, ale podkreślmy, że do tej pory ataki na terminale płatnicze w dużej mierze sprowadzały się do podmiany prawdziwych terminali na lewe, odpowiednie spreparowane przez skimmerów albo skimmingu — oto przykład skimmera w czytniku kart — zauważylibyście go?

Skimmer zamontowany w terminalowym czytniku paska magnetycznego

Skimmer zamontowany w terminalowym czytniku paska magnetycznego

Przeczytaj także:

23 komentarzy

Dodaj komentarz
  1. Nie znam się, ale czy kart nie można by zaprogramować tak, ze dane z niej można odczytać np po minucie od ostatniego czytania? I jeżeli taki pos czy atm nie mógłby odczytać dany z karty to wyświetlił by odpowiedni komunikat. Wtedy odrazu wiadome by było, ze sprzęt jest zainfekowany jakimś ustrojstwem.

    • a co jak wprowadzisz błędny pin? zdarza się i w ten sposób blokujesz kasę na tę minutę przykładowo, niby można ale trochę irytujące to będzie dla obsługi po którymś razie nie uważasz?

    • No OK. Ale co to ma rozwiązać/wykryć? Jak ja bym zainfekował terminal, to bym nie blokował przecież transakcji ani nic podobnego, tylko numer karty (czy co tam jest zapisywane) wysłał sobie na swój serwer i zakupy robił online po jakimś czasie.
      Po za tym, jak możesz przeprogramować terminal, to możesz zapewne już dość dowolnie go przeprogramować, w tym wyłączyć/zablokować/ukryć twoje zabezpieczenie w terminalu.

      A po za tym 95% ludzi jak zobaczy komunikat, że ktoś obcy ma dostęp do karty, to i tak się będą kłócić, że przecież mają pieniądze na koncie nie czytając komunikatu.

  2. Karty nie znają jako takie pojęcia czasu, bo nie mają własnego zegara. Więc terminal, szczególnie zainfekowany, nie powie im właściwej godziny, tylko taką jaka mu odpowiada.

  3. Skimmer w terminalu O.o Szanuję projektanta całym serduszkiem.

    Czy teraz oprócz dziurawienia kart na antenach nfc trzeba też zdrapywać paski? :) wie ktoś czy bankomaty czytają chip czy chip+pasek? Może w sumie sprawdzę, a jak coś zgłoszę do banku, że się zepsuło

    // PS (spalcie po przeczytaniu;)) – zróbcie jakiś inny formularz komentarzy, bo po błędzie braku maila i hasła trzeba pisać od nowa…

    • …hasła? o.0

    • Badają chip i pasek, nie musisz niszczyć karty ;)

    • Sam używam karty ze zniszczonym mechanicznie paskiem i nfc. Sytuacja jest taka, że – póki co – wszystkie bankomaty Euronetu kartę akceptują. Natomiast zdarzyło mi się próbować jakichś lokalnych banków spółdzielczych, których bankomaty najwyraźniej nie mają fejsu do czipa i te uznawały kartę za niesprawną. Dla mnie nie jest to problemem, a widok przedziurawionej karty potrafi być przyczynkiem do rozmowy zwiększającej świadomość personelu obsługującego kasy ;)

  4. Matkus – o karcie pisałem nie o terminalu. Btw gdyby terminal miał skimmer zamontowany i każda karta po kolei by miała problem z płatnością to chyba dobrze nie? Ze nikt nie mógłby zapłacić. I odrazu wiadomo by było ze coś jest nie tak.

  5. hmm…
    1. domyślny ‘kod serwisowy’ np. do verifona vx520 to 1 [alpha] [alpha] 66831 i żadna to tajemnica, można to przeczytać na stonie producenta:;
    http://support.verifone.com/fstore/0a463145bbfccb42_7ca4a207_135ffd7b912_-53c7/VX_520_Reference_Guide.pdf

    2. to operator (np. First Data, Elavon itd) zabezpiecza terminal czy pinpad swoją sekwencją i jeśli zostawi domyślne producenta to pojawi się menu serwisowe, tylko co z tego? z palca nie wyedytuje nic ciekawego… i do żadnych informacji dot. kart i transakcji nie będzie miał dostępu!

    3. być może w stanach właścicielem sprzętu jest sklep. w polsce o ile mi wiadomo sklep tylko dzierżawi sprzęt od operatora i dostępu do menu nie posiada.

    • Ad 2 – jesteś pewien ? ;) /OK – to już przeszłość/

  6. A czy przypadkiem do domofonów na klatkach nie ma również jednego takiego uniwersalnego kodu? ]:->

    • Owszem, jest. “Dzwonisz” do dowolnego mieszkania i jak ktoś po drugiej stronie odbierze to musisz podać tajną sekwencję otwierającą: “dzindobry, poczta!” – w każdym bloku działa.

  7. Jeden Alfa Alfa Sześć Sześć Osiem Trzy Jeden. Śni mi się po nocach, tak jak i ten drugi kod do SC5K. 8* ;)

    I co z tego, że będziemy mieli dostęp do menu serwisowego – jak nic nie wgramy. No dobra – wgramy, ale to co najważniejsze nie przejdzie autentykacji. Choć stare terminale często jechały na produkcji na developerskim certyfikacie, więc podmienić aplikację się dało. Tyle, że to historia… /teoretycznie – bo na Freelaner.com co jakiś czas ktoś zgłasza zapotrzebowanie na aplikację na stary terminal, która będzie zbierać ścieżki z karty oraz PIN/

    Na nowy terminalach można co najwyżej w pewnym zakresie pozmieniać konfigurację – o ile się wie jak to zrobić (bo “co kraj to obyczaj”). I jeśli aplikacja wciąga” ją z “config.sys’a” – a przecież nie musi.

    Zagrożenie – hmmm… i tak będzie wiadomo kto w tym palce maczał.

  8. Żeby uściślić.

    1. Kod jest nieprawidłowy, chociaż zbliżony do prawidłowego (domyślam się że celowo podaliście zły, i nie podaliście sekwencji wejścia do VTM – to dobrze).

    2. Terminale umożliwiają zmianę tego kodu i ogromna większość właścicieli terminali ma w procedurach deploymentu zmianę tego kodu, mając świadomość zagrożenia.

    3. Znając ten kod nie można dograć nic wykonywalnego do terminala, nie posiadając jeszcze jednej, fizycznej rzeczy (ludzie z branży wiedzą jakiej).

    • Ad 1. Kod jest publicznie dostępny – o czym już tu wspomniano. Cóż, tak to jest jak dokumentację techniczną / developerską trzyma się w “głębokim ukryciu”.

      Ad 2. Nie dotyczy USA. Te dane Trustwave są dla mnie jak najbardziej wiarygodne w tej kwestii (90% terminali na hasłach producenta, pewnie i na certyfikacie developerskim – ale oni nawet pewnie nie wiedzieli jak to sprawdzić).

      Ad 3. W kwestii tej jednej fizycznej rzeczy – tak, trzeba mieć kabelek :P Ale dokumentacja przecież jest w “głębokim ukryciu” ;)
      A serio – wszyscy zmigrowali już na Evo ? Jak wciąż są oferty pracy dla ludzi od Tranzów ?

  9. Trochę żenada (żadna nowość i żadna tajemnica), także w wykonaniu pana z Trustwave. Niby zajmują się PCI DSS oraz PCI PA-DSS i naganianiu miała chyba służyć ta prezentacja, ale to, co napisał o nieznajomości kryptologii przez stosowanie szyfrów symetrycznych jest całkowitą ignorancją lub zwykłą demagogią.
    O niestosowaniu podstawowych zasad ochrony informacji przez zarówno klientów, jak i wszelakiej maści dostawców można długo mówić, ale wypada zastanowić się, czy warto do jednego wora wrzucać całą branżę z jej standardami, które najczęściej nie powstały przypadkiem i nie są vulnerable by design, choć nieumiejętna implementacja każdy system może narazić na dodatkowe podatności.

    • M, co z tym piwem ? :P Dużo ciekawostek z pierwszej ręki z UK mam ;)

    • jutro? numer ten sam?

  10. Zdjęcie do artykułu nieaktualne:
    1) to nie jest już Real tylko Auchan
    2) tych kas nie ma od ponad roku

  11. Dla Verifone SC5000, używanych na przykład w sieci sklepów McColls w Wielkiej Brytanii, kod serwisowy to 166831.

  12. @MG Gorzej jak podczas płatności wywali komunikat o konieczności użycia czytnika magnetycznego. Pracuję na kasie i widzę go codziennie (statystycznie przy 3% dziennych transakcji kartą). Terminal też potrafi być zawzięty ;)

    Codziennie widzę też jak klienci, którzy zapomnieli PINu wyciągają z portfela małą uroczą karteczkę ;)

Odpowiadasz na komentarz cienki_bolo

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: