"Infizierte Bankkarte"

sick · 11.07.2012

Hallo Leute!
Gestern miterlebt, wie ein Kunde eine Kasse ausser Betrieb gesetzt hat.
Also folgendes ist passiert, Kunde kauft ein, will mit seiner Bankkarte zahlen, versucht es einmal, dann das zweitemal und schwubs war die Kasse ausser Funktion.
Da ging mir plötzlich eine Frage durch den Kopf

. Jetzt meine dumme Frage.

Ist es möglich das jemand eine "infizierte Bankkarte" benutzt um mit dieser Schaden an zu richten?

Ich meine eine Bankkarte herstellt, oder manipuliert, um damit Schaden zu verursachen.
Natürlich ist alles möglich, das sollte man nicht vergessen

.

haiko · 11.07.2012

sick schrieb:
Natürlich ist alles möglich, das sollte man nicht vergessen.

damit gibst du dir doch selbst schon die antwort

du müßtest natürlich eine entsprechende schwachstelle im kassensystem finden, die du ausnutzen kannst, zb sql injection.
würd mich nicht wundern, daß die systeme da nicht 100%ig gegen abgesichert sind, da niemand damit rechnete als die systeme erstellt wurden.

Kieler · 11.07.2012

http://de.wikipedia.org/wiki/Magnetstreifen#Aufbau
Üblich ist der Aufbau des Magnetstreifens nach der ISO-Norm 7811. Nach dieser Norm verfügt der Magnetstreifen über eine Speicherkapazität von ca. 1024 Bit auf drei Spuren. Die Spuren 1 und 2 sind nur für den Lesebetrieb spezifiziert, auf der Spur 3 können Daten gelesen und geschrieben werden.
Spur 1: 76 Nutzzeichen (alphanumerisch 7 Bit/Zeichen)
Spur 2: 37 Nutzzeichen (numerisch 5 Bit/Zeichen)
Spur 3: 104 Nutzzeichen (numerisch 5 Bit/Zeichen)

also es ist eher nicht möglich da der angreifer nicht weiss was das für ein system im laden ist (windows oder linux) und andere probleme.

Stefan · 11.07.2012

Na klar ist das möglich. Viele Entwickler verlassen sich da (zu unrecht) darauf, dass die Karten schon dem Standard entsprechen werden - und schreiben die Daten dann ungeprüft ihn ihren Speicher. Wenn da ein paar mehr Bits als erwartet kommen oder in einem anderen Format als gedacht kann das schnell zu Abstürzen führen.
Gab doch kürzlich erst einen Bug in den Kassensystemen einer großen Supermarktkette wo ein bestimmter Betrag zu nem Deadlock der Kasse geführt hat. Wenn ich mich recht erinnere war es ein negativer Betrag, der früher nicht möglich war aber inzwischen mit den Pfandbons möglich geworden ist - auch ein Punkt, den die Programmierer damals nicht entsprechend geprüft haben, wie eigentlich bei allen Bugs...

Wenn dann mal RFID verbreitet ist wirds noch lustig

Kieler · 11.07.2012

StGaensler schrieb:
Gab doch kürzlich erst einen Bug in den Kassensystemen einer großen Supermarktkette wo ein bestimmter Betrag zu nem Deadlock der Kasse geführt hat. Wenn ich mich recht erinnere war es ein negativer Betrag, der früher nicht möglich war aber inzwischen mit den Pfandbons möglich geworden ist - auch ein Punkt, den die Programmierer damals nicht entsprechend geprüft haben, wie eigentlich bei allen Bugs...

ja mit ware und pfand auf genau null euro kommen. das war im lidl. :applaus:

BioaSharky · 11.07.2012

ot:

StGaensler schrieb:
...
Gab doch kürzlich erst einen Bug in den Kassensystemen einer großen Supermarktkette wo ein bestimmter Betrag zu nem Deadlock der Kasse geführt hat...

2008 bei Lidl
Youtube1
Youtube2

Kam also eher daher, dass man Kunden trotz Buchungen nicht mit 0 € aus dem Laden gehen lassen wollte.

haiko · 11.07.2012

Kieler schrieb:
http://de.wikipedia.org/wiki/Magnetstreifen#Aufbau
Üblich ist der Aufbau des Magnetstreifens nach der ISO-Norm 7811. Nach dieser Norm verfügt der Magnetstreifen über eine Speicherkapazität von ca. 1024 Bit auf drei Spuren. Die Spuren 1 und 2 sind nur für den Lesebetrieb spezifiziert, auf der Spur 3 können Daten gelesen und geschrieben werden.
Spur 1: 76 Nutzzeichen (alphanumerisch 7 Bit/Zeichen)
Spur 2: 37 Nutzzeichen (numerisch 5 Bit/Zeichen)
Spur 3: 104 Nutzzeichen (numerisch 5 Bit/Zeichen)

wird denn tatsächlich nur der magnetstreifen beim bezahlen mit karte ausgelesen?
nichts vom chip?
wofür is der dann eigentlich auf der karte? nur für die unnütze geldkartenfunktion?

fox99 · 11.07.2012

haiko schrieb:
wird denn tatsächlich nur der magnetstreifen beim bezahlen mit karte ausgelesen?
nichts vom chip?
wofür is der dann eigentlich auf der karte? nur für die unnütze geldkartenfunktion?

ich denke wir sind in einer umstellungsphase von magnetstreifen hin zum chip. der magnetstreifen ist als fallback noch überall drauf (falls das mit dem chip mal nicht funktionieren sollte)

sick · 12.07.2012

Ich hab mir nur deshalb die Frage mit der infizierten Bankkarte gestellt, weil alle anderen Kassen die daneben standen nicht betroffen waren, läuft zwar alles über ein System aber alle Kassen natürlich unabhängig von einander.
Kartenlesegerät hatte die Karte über den Chip gelesen, seitlich an dem Gerät war noch ein Schlitz für den Magnetstreifen.
Aber gut zu wissen das so was möglich ist

.

Eine Bankkarte die der Kasse einen Geldbetrag vortäuscht, wäre noch besser

.

"Infizierte Bankkarte"

sick

haiko

Kieler

Stefan

Kieler

BioaSharky

haiko

fox99

sick

"Infizierte Bankkarte"

ANGEBOTE & SPONSOREN

Neueste Beiträge

Statistik des Forums