Pfandbehälter voll – Gebinde nicht erkannt – Marke wird vom Markt nicht akzeptiert: Gewiss haben auch Sie schon einmal eine frustrierende Situation mit Pfandautomaten erlebt. Aber können Pfandautomaten neben einer Gefahr für unsere Nerven auch eine Gefahr für die Sicherheit von sensiblen Daten darstellen?
Um genau diese Frage zu beantworten, steckten unsere Security Analysten Tobias Hamann und Luca Rupp vom usd HeroLab schon häufiger armtief in unzähligen verschiedenen Automaten. Dazu gehören Pfandautomaten, aber auch Check-in-Schalter, Ticketautomaten und E-Auto-Ladestationen. Alles im Namen von „more security“. Denn im Rahmen von Automaten-Pentests prüfen sie Point-of-Sale-Geräte, Ticket- und Kassensysteme und sonstige Automaten (im Folgenden „Automaten“) auf Herz und Nieren. Warum das notwendig ist, und wie so ein Pentest abläuft, berichten sie in diesem Beitrag.
Automaten-Pentest im Bus? Das steckt dahinter
Heutzutage steckt in fast jedem Automaten, mit dem wir als Kund*innen interagieren, eine ganze Menge an Informationstechnologie. Denn meist verbirgt sich irgendwo hinter der Verkleidung nichts anderes als ein handelsüblicher Computer mit einem Standard-Betriebssystem wie Windows. Häufig wird er noch ergänzt von spezieller Hardware, wie Drucker, Barcode-Scanner, Touchscreens und Bezahl-Terminals. Diese Geräte sind in der Regel für alle zugänglich – damit auch für potenzielle Angreifer.
Auch in modernen Fahrzeugen des ÖPNV, wie Stadtbussen, wird beispielsweise eine Vielzahl von Geräten betrieben. Dazu gehören neben Ticket-Automaten etwa Fahrgastzähler und Überwachungskameras. Diese müssen oft über verschiedene Netzwerke miteinander und dem Backend beim Betreiber kommunizieren, um ihre Funktionen korrekt ausführen zu können. Und wo es Netzwerke gibt, gibt es auch potenzielle Einfallstore für Angreifer. Deren Ziel: Zugriff auf das interne Unternehmensnetzwerk des Betreibers und dessen sensible Daten.
„Geräte wie Ticket-Automaten, Point-of-Sale (PoS) Systeme und E-Auto-Ladestationen stellen einen wichtigen Teil der Customer-Experience und eine Brücke zwischen der physischen und der digitalen Welt dar. Unsichere Kassensysteme können für Angreifer ein Einfallstor in das interne Unternehmensnetzwerk öffnen. Deshalb, auch wenn es auf den ersten Blick nicht naheliegend scheint: Lassen Sie auch Ihren Bus, Ihren Ticket-Automaten und Ihre E-Auto-Ladesäule pentesten.“
Tobias Hamann - Managing Consultant IT Security
So testen unsere Analyst*innen Point-of-Sale-Geräte und Automaten
Unsere einheitliche und erprobte Methodik erweitern unsere Analyst*innen bei Automaten-Pentests um spezifische Elemente:
Physische Checks
Unsere Analyst*innen greifen zunächst aus Sicht eines normalen Kunden auf das System zu. Software, die auf Automaten läuft, wird Kund*innen in der Regel nur im sogenannten Kiosk-Modus zur Verfügung gestellt, in dem die Rechte des Benutzers stark eingeschränkt sind. Unsere Analyst*innen versuchen, über den Touchscreen aus dem Kiosk-Modus auszubrechen und Zugriff auf den integrierten Computer zu erlangen.
Ein weiterer Test besteht darin, den physischen Aufbau des Gesamtsystems dahingehend zu prüfen, ob mechanische Zugriffsbeschränkungen überwunden werden können. Beispielsweise, indem Schlösser (gewaltsam) geöffnet oder Verkleidungen abmontiert werden.
„Es ist schon vorgekommen, dass wir das Gehäuse von Geräten mit lediglich einem Kugelschreiber aufbrechen konnten – es braucht dazu nicht immer Spezialwerkzeug. Manchmal stehen abschließbare Klappen aus praktischen Gründen einfach offen – etwa, weil nicht genügend Schlüssel für alle Mitarbeiter*innen vorhanden sind. So leicht darf es Angreifern natürlich nicht gemacht werden, in das physische Innere eines Geräts vorzudringen. Aber seien wir ehrlich: Die physische Schale ist immer nur ein Abschreckungshindernis. Viel wichtiger ist, dass das Computersystem dahinter angemessen gesichert ist.“
Tobias Hamann
Systemhärtung
Um die ausreichende Sicherheit der Systeme hinter den Automaten-Gehäusen sicherzustellen, überprüfen unsere Analyst*innen als nächstes die Härtungsmaßnahmen des integrierten Computersystems. Zunächst machen sie sich dazu ein umfassendes Bild der installierten Betriebssystem- und Softwarekomponenten und deren aktuellen Versionsständen. Darauf aufbauend versuchen sie dann, mit verschiedenen Methoden, ihre Rechte auf dem System lokal auszuweiten.
„Da hinter der Verkleidung von Automaten nur „ganz normale“ Systeme und Applikationen stecken, gehen wir ab hier ähnlich vor wie bei Pentests von Firmen-Notebooks oder anderen Computern, die von Mitarbeiter*innen im Unternehmen verwendet werden. Typische Schwachstellen, die wir dabei häufiger entdecken, sind beispielsweise Verwundbarkeiten in der Software von Drittanbietern, unsichere Konfigurationen des Betriebssystems oder offen lesbar gespeicherte Zugangsdaten.“
Luca Rupp, Senior Consultant IT Security
Checks am Backend
„Ein Automat steht selten isoliert im Supermarkt, im Bus oder der Abflughalle. Deshalb kann die Sicherheit nur im Gesamtkontext korrekt bewertet werden. Es reicht nicht, nur die Sicherheit der auf dem Touchscreen gezeigten Anwendung oder die Stärke des Schlosses im Gehäuse einzeln zu betrachten. Stattdessen muss gleichzeitig auch die Umgebung, in der der Automat aufgestellt wird, sowie die Anbindung ins Backend des Betreibers berücksichtigt werden.“
Luca Rupp
Deshalb schließen unsere Automaten-Pentests immer mit einer Überprüfung der Integration des Geräts in das Backend des Betreibers. Häufig kommunizieren Automaten gleichzeitig mit mehreren Systemen und Diensten im Backend. An diesen Schnittstellen prüfen unsere Analyst*innen, ob die Kommunikation verschlüsselt abläuft, ob die Dienste im Backend anfällig für Injektionsangriffe sind und ob die Authentifikations- und Autorisationsmechanismen zwischen dem Gerät und dem Backend dem Stand der Technik entsprechen.
Auf einen Blick: Das sind die häufigsten Schwachstellen
Um das Risiko durch Angriffe auf Automaten einzudämmen, suchen wir im Zuge eines Automaten-Pentests nach ganz unterschiedlichen Schwachstellen. Diese drei begegnen uns dabei besonders häufig:
- Ausbruch aus dem Kiosk-Modus: Über bestimmte Touchscreen-Gesten oder angeschlossene Peripherie-Geräte schafft es ein Anwender (im schlimmsten Fall ein Angreifer) aus dem für ihn vorgesehenen Modus mit eingeschränkten Funktionalitäten auszubrechen und Zugriff auf höherprivilegierte Funktionen zu erlangen.
- Umgehung von physischen Barrieren: Das Gehäuse kann leicht aufgebrochen, Schlösser leicht geknackt werden. Angreifer erhalten so Zugriff auf Hardware oder Schnittstellen wie Netzwerkdosen, zu deren Nutzung sie nicht autorisiert sind.
- Fehlende Systemhärtung: Der im Automaten integrierte Computer ist nicht mit ausreichenden Schutzmaßnahmen gegen Angriffe gesichert.
Schon einmal an einen Automaten-Pentest gedacht?
Lassen Sie nicht nur die Systeme und Anwendungen in Ihrer Firmenzentrale testen. Jeder Bus, Pfandautomat und jede E-Auto-Ladesäule kann ein Einfallstor in Ihr komplettes Unternehmensnetzwerk sein. Wir helfen Ihnen, Schwachstellen aufzudecken, bevor es Hacker tun. Kontaktieren Sie uns, wir sind gerne für Sie da.
