11:23
14/7/2012

Dwójka Niemców z firmy SRL zhackowała popularny sklepowy terminal POS do płatności kartą debetową/kredytową wykorzystywany w wielu sklepach w Europie. Jako dowód, że mogą z nim zrobić co chcą, zagrali na nim w ponga…

Hackowanie terminali płatniczych

Niemcy zdradzili, że od 6 miesięcy prowadzą dialog z producentem terminala — firmą VeriFone dotyczący dziury. Niestety, współpraca nie układa się gładko, więc teraz, aby popędzić firmę, badacze zdecydowali się zdradzić części informacji dotyczących dziury.

Verifone terminal hacked (pong)

Verifone terminal hacked (pong)

W skład zespołu badaczy, który znalazł luki w terminalach płatniczych wchodzi Karsten Nohl, znany m.in. z udanych ataków łamiących zabezpieczenia telefonii komórkowej i umożliwiających podsłuchiwanie rozmów.

Badacze nie ujawnili co prawda szczegółów technicznych ataku na terminal, ale zdradzili, że chodzi o model Artema Hybrid Terminal (sprzedawany pod różnymi nazwami w różnych krajach) i możliwą do wykorzystania zdalnie podatność typu buffer overflow, która powoduje nadpisanie pamięci urządzenia kodem atakującego. To z kolei skutkuje całkowitym przejęciem kontroli nad terminalem (modyfikacja transakcji, spoofing, kradzież danych karty wraz z PIN-em) co umożliwia sklonowanie karty (znamy nie tylko dane z paska, ale także PIN).

VeriFone wystosowało tylko krótkie oświadczenie, w którym oznajmiło brak realnych ataków na świecie i zapewniło, ze dane klientów nie są zagrożone. Firma wynajęła jednak zewnętrznych ekspertów, którzy mają zweryfikować atak SRL. VeriFone to jedna z największych firm, w branży płatności elektronicznych. Nie dalej jak 4 dni temu wygrała 35 milionowy kontrakt na obsługę płatności dla taksówek w Waszyngtonie.

O słabościach terminali płatniczych pisaliśmy już na łamach Niebezpiecznika wielokrotnie, ale podkreślmy, że do tej pory ataki na terminale płatnicze w dużej mierze sprowadzały się do podmiany prawdziwych terminali na lewe, odpowiednie spreparowane przez skimmerów. Teraz udowodniono, że zdalna exploitacja terminala przez sieć jest możliwa…

Przeczytaj także:

27 komentarzy

Dodaj komentarz
  1. No wiadomo, jak gdzieś jest kod, szczególnie z jakąś komunikacją, to są i dziury. Znalezienie ich to kwestia czasu i odpowiednich ludzi, którzy tym się zajmą… A zamkniętość kodu tylko sprawę tuszuje w razie problemów…

  2. Mam pytanie, może niezbyt powiązane z tą sprawą, ale mnie nurtujące. Posiadam kartę paypass z Getin Online. Po otrzymaniu karty chciałem zmienić pin. Przez to w ogóle rozregulowałem wszystko tak ,że nie działał ani nowy, ani stary pin. Musiałem dzwonić do banku by wydali mi nowy pin (0801 i 74 gr/min). Od tej pory mam na terminalach (gdy płacę za pomocą pinu) napis “ostatnia szansa” (lub coś w tym stylu). Czy ilość prób nie powinna się resetować po wpisaniu właściwego pinu ? Mam do tego dziwne przeczucie, że 3 błędne próby (nawet z rzędu) mogłem już kiedyś przekroczyć (wtedy gdy miałem problem z pinem) a mimo to wszystko działa.

    • ja u siebie też mam ten napis, a wpisałem może raz źle pin

    • Zapytaj w banku. Getin chyba ma infolinię? Jak bank cię oleje, zmień bank.

    • W zasadzie po włożeniu karty do czytnika chipowego do karty powinny dojść dane z banku z nowym pinem. Te problemy wynikają stąd, że część kart (np. karty mBanku i możliwe, że Getinu) umożliwia autoryzację pinu offline na wypadek użycia w terminalach elektronicznych pozbawionych stałego połączenia online (samolot, prom). Jeśli na karcie jest zapisany stary pin i nie dojdzie nowy wychodzi problem z akceptacja pinu. Jednak słyszałem, że w terminalu online dane te zostaną zaktualizowane. Można też włożyć kartę do bankomatu, podać pin i zrobić cokolwiek lub zrezygnować z jakiejkolwiek operacji. W bankomacie powinien się zaktualizowac pin na karcie.

    • A soją drogą o Getinie mówi się, że olewa klientów. To polski bank, ale niestety nie najlepszy.

    • Getin może przesłać nowy pin listem zwykłym na kartce. Co do kontaktu – mam konkretnie getin online (to nie to samo co zwykły getin). Mailami raczej nic (szybko) nie załatwisz, przez telefon jak poczekasz to już jest dużo lepszy kontakt (tylko nie dzwonić z komórki na 801 bo to przynajmniej w play fresh kosztuje 74 gr/min. Tylko gdzie znajdę lepszy bank który nie kasuje mnie w żaden sposób za kartę (wcześniej miałem w mbanku i nie korzystałem na tyle by było to darmowe) ?

    • Też zauważyłem to jakiś czas temu. Pomimo napisu próby cały czas masz 3 (przeprowadziłem już test). Dzwoniłem nawet z tym do banku, ale mówili że z ich strony wszystko wygląda w porządku, więc na dobrą sprawę przestałem sobie zawracać tym głowę
      Może chcą w jakiś sposób zniechęcić osoby, które w niepowołany sposób przejęłyby kartę? ;)

    • “ostatnia próba wprowadzania” – to błąd oprogramowania terminali, nie należy się tym przejmować. W żadnym wypadku nie ma to związku z Waszą kartą.
      Serwisanci się smieją, że ludzie sieją panikę właśnie z tego powodu – ostatniej próby ;)

    • Lokata w getinie na 5.85% z opcja autoodnawiania, mysle sobie jest autoodnawianie to nie bede kontrolowal czasu zakonczenia lokaty skoro i tak bede chcial ja przedluzyc … efekt? Autoprzedluzenie dziala dobrze, ale jakims magicznym sposobem oprocentowanie spada do 4% bez zadnej infromacji …

    • W końcu ktoś to napisał! Brawo XnoZ – to błąd oprogramowania terminali.

    • Tak jak poprzednicy napisali – masz PIN OFFLINE na karcie (zapisany na chipie). Idź do bankomatu getinu, sprawdź saldo i PIN powinien się zaktualizować. Tak samo jest na kredytówkach CitiBanku.

      “Ostatnia próba” to nie do końca błąd – świadczy o tym, że PIN na karcie może być inny niż ten online :)

  3. @kepak
    ale z ciebie hakier!!!

  4. Na terminalach sklepowych (prawie) za każdym razem spotykam się z komunikatem “ostatnia próba wprowadzania” mimo, że nie przypominam sobie kłopotów z odtworzeniem pinu. Myślę, że to programowe ograniczenie ilości prób na terminalach.

  5. Bo to terminal Hypercom’a (a właściwie Thalesa, którego Hajperzłom wchłonął a sam później został pożarty przez VeriFone’a) – na Linuchu… Śmieszne, że nawet JTAG jest wyprowadzony i wg tego co ci panowie napisali, nie zablokowany.

    Niech się zmierzą z prawdziwym VeriFone’m – z terminalami na Verixie (V/EOS).

  6. Chyba większość terminali łączy się z centrum przez tunel VPN i ich adresy IP nie są ogłlnie znane a zapewne nawet są to adresy prywatne typu 192.168… Nie wspominając o terminalach przenośnych 3G/GPRS, które łączą się z dedykowanym APN-em operatora więc izolacja od publicznej sieci jest zapewniona na warstwie łącza danych (protokół PPP).

  7. Akurat tego modelu w Polsce nie widziałem. Natomiast w Niemczech może być popularny, gdyż czytnik u góry wykorzystywany jest do odczytu m.in. kart GeldKarte (takie lokalne karty chipowe sprzed ery zbliżeniówek bez wymogu podawania pinu). Artema nie wygląda na najnowszy model. Ciekawe na ile tą podatnością są obarczone inne (w tym nowsze) modele, które można spotkać w Polsce i nie tylko.

  8. Artykuł mógłby być ciut dokładniejszy – po przejęciu Hypercom’a i Gemalto, VeriFone stal się praktycznym monopolistą na rynku infrastruktury do obsługi transakcji karcianych.

    • Wie Pan, liczy się to, że w wielu miejscach można spotkać dziurawe urządzenia. A jeżeli ktoś jest zainteresowany głębiej, chociażby genezą firmy to w google znajdzie wszystko ;)

      pozdrawiam

  9. Z tym pongiem to nie taka trudna sprawa, chlopaki od terminali zintegrowali 2 gry w niektorych Vx’ ach w UK z (tetris + pong ), terminale lykaja wszystko, i to wcale nie trzeba sie do nich dobierac, wystarczy nadpisac adres servera z updatem i podesac nowy .bin

    • ciekawsze byłoby gdyby się dało terminal zhackować spreparowaną kartą płatniczą :)

  10. “Zdalna exploitacja” – litości…

  11. @Nyczaj – wracaj na Kartyonline. No i nie kupuj terminali na Allegro, bo policja do Ciebie zapuka ;)
    Artema to nie taki tam “staroć”, a VFI po przejęciu HYCa będzie go rozwijać, bo niemiecki rynek się do niego przyzwyczaił. A terminale które mamy w Polsce nie mają z Artemą nic
    wspólnego (choć parę sztuk tego sprzętu było chyba w PKP w kasach).

    @Bulira – i wcześniejszych przejęciach Lipmana i Trintecha (właściwie “Payware”)… A monopolistą wcale nie jest, bo globalnie z Ingenico idzie prawie “łeb w łeb”. W Europie poza Polską VFI nie było tak popularne.

    @pcx – jakiś link ? ;) Ciekawe jak “nadpisywali” adres servera z updatem. Na Evo podmiana .out nie przejdzie bo już nie podpiszesz domyślnym certyfikatem – a PCI 3.0 też wymusi i na Vx-ach podpisywanie wszystkiego.

  12. […] Złodziej, mając dostęp do karty (np. w momencie płatności przez klienta w sklepie kontrolowanym przez mafię), testuje ją na swoim terminalu, z którego wysyła na kartę UN, o którym wie, że pojawi się w konkretnym czasie na konkretnym bankomacie oraz dane dotyczące transakcji (m.in. kwotę i datę). W odpowiedzi otrzymuje od karty MAC, który potem może być użyty w bankmacie jako odpowiedź pochodząca niby od oryginalnej karty. Minus: zawczasu trzeba znać m.in. kwotę i datę złodziejskiej transakcji.  Jeśli zastanawiacie się, jak złodziej może zmusić swój terminal do generowania dowolnego UN — poczytajcie nasze poprzednie artykuły o hackowaniu terminali POS. […]

  13. piszecie o eksploitach o atakach na te urządzenia – a przyjrzyjcie się funkcjom serwisowym terminali i możliwością ich wykorzystania ot choćby przez nieuczciwego pracownika który uzyska dostęp do poziomu serwisowego, lub o nieuczciwym serwisancie … było kilka takich spraw w ciągu ostatnich lat…

  14. […] problemach “zbliżeniówek” pisaliśmy wiele. Niektóre z ataków działają tylko na pewne typy kart (niekoniecznie wydawanych przez […]

  15. […] albo …pociupać w ponga: […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.