10-07-34
In der Hackerkonferenz "Black Hat" hat ein Mitarbeiter einer Sicherheitsfirma demonstriert, wie sich Geldautomaten hacken und manipulieren lassen. Er hackte die Management-Software der Geräte, rief danach die Bankautomaten an, installierte ein Rootkit und überschrieb abschließend die Firmware. (1) Anschließend spielte er sein Programm "Dillinger" auf und verwirklichte damit tiefe Hackerträume: Der Bankautomat spuckte die grünen Dollar-Scheine munter aus, während das Gerät eine Melodie spielte und auf dem Bildschirm der Schriftzug "Jackpot" erschien.

Er installierte auch eine von ihm abgewandelte Version der Management-Software, die die Kartendaten und PIN der Kunden protokollierte. Solche Angriffe wurden bereits aus Russland gemeldet (2). Einfacher geht das Ausspähen beim Skimming nicht.

Den Zugang zu den beiden Geldautomaten verschiedener Bauart erhielt der Sicherheitsexperte in einem Fall durch eine Schnittstelle zur Fernwartung und im anderen mit einem Generalschlüssel, den er für 10,78 US-Dollar gekauft hatte (3).
 

10-07-35
Das BSI warnt vor einer neuen Homebanking-Malware, die beim Aufruf von Bankportalen die angezeigten Inhalte manipuliert, um vom Kunden die Kreditkartendaten, Prüfnummern und schließlich TANs abzufragen (4). Über eine selbständige Phishing-Funktion wird nicht berichtet (5): Die auf dem Computer installierte Schadsoftware leitet diese Informationen an die Täter weiter, welche die Daten entweder persönlich gewinnbringend einsetzen oder damit handeln können.

Neu ist in der Tat, dass eine Malware neben den Kreditkartendaten, die zum Online-Bezahlen missbraucht werden können (Kartennummer und Prüfnummer), gleichzeitig auch die Daten für das Onlinebanking ausspäht.
 

10-07-36
Die informative Serie Tatort Internet in der Computerzeitschrift gibt spannende Einblicke darin, wie sich Malware einnistet und wie sie funktioniert ( Übersicht). Zuletzt erschien der vierte Aufsatz, dieses Mal von Sergei Shevchenko über eine Malware in einem angeblichen Shockwave-Video (6).

Aufsatz Nummer 3 von Thorsten Holz über PDF-Dokumente ist jetzt online erschienen (7).
 

10-07-37
Im Kampf gegen die wachsende Internetkriminalität hat Bayern als erstes Bundesland eine Sonderlaufbahn für Computerspezialisten geschaffen. Um erfolgreich nach den weltweit verstreuten Tätern fahnden zu können, die auf höchstem technischen Niveau operieren, wird das Personal des Bayerischen Landeskriminalamts (LKA) künftig mit jungen Informatikern von Fachhochschulen aufgestockt (8), meldet Spiegel online. Grund dafür seien zunehmende Fälle der Industriespionage.

Die Schaffung einer eigenen Laufbahn für Informatiker im Polizeidienst ist neu, dass Informatiker als Angestellte eingestellt werden, ist hingegen schon seit Jahren gängige Praxis bei verschiedenen Polizeien.

Wie erfolgreich sie international fahnden werden, wird sich zeigen. Der Schritt des bayerischen LKA jedenfalls ist richtig.
 

10-07-38
Nicht immer löst der BGH nur schwierige Rechtsfragen, sondern wendet sich auch mit wohlwollenden Praxistipps an die Vorderrichter und sogar an die Staatsanwaltschaft:

Die Form der Anklageabfassung im vorliegenden Fall gibt Anlass darauf hinzuweisen, dass es der Klarheit der Anklage dient, wenn die einzelnen Taten im konkreten Anklagesatz jeweils mit einer Ordnungsziffer versehen werden und deshalb ohne beschreibende Zusätze voneinander zu unterscheiden sind. (9)

Wer hätte das gedacht?
 

(1) Hacker knackt Bankautomaten, tecchannel 29.07.2010

(2) Skimming an der Quelle, 20.03.2009

(3) Geldautomaten schlecht gesichert, Heise online 29.07.2010

(4) Neue Schadsoftware spioniert Kreditkarten- und Online-Banking-Daten aus, BSI 28.07.2010

(5) Phishing mit Homebanking-Malware, 22.10.2008; Gegenspionage wider 'ZeuS' und 'Nethell', 19.12.2008

(6) Killervideo, 17.07.2010

(7) Thorsten Holz, PDF mit Zeitbombe,, c't 15/2010, S. 164
 

 
(8) Bayern bildet Informatiker zu Cyber-Cops aus, Spiegel online 24.07.2010

(9) BGH, Urteil vom 24.06.2010 - 3 StR 69/10