Dit kleine apparaat kan point-of-sale-systemen infecteren en hotelkamers ontgrendelen

Miljoenen kassasystemen en hotelkamersloten kunnen worden gehackt door tijdelijk een klein, goedkoop apparaat te plaatsen enkele centimeters verwijderd van hun kaartlezers.

Het apparaat, dat zondag op de DEF CON-conferentie in Las Vegas zal worden gepresenteerd, is de oprichting van Weston Hecker, een senior veiligheidsingenieur bij Rapid7. Het is geïnspireerd door MagSpoof, een ander apparaat dat vorig jaar is gemaakt door security-onderzoeker Samy Kamkar.

MagSpoof kan de meeste standaardkaartlezers misleiden door te geloven dat een bepaalde kaart werd weggevaagd door een sterk elektromagnetisch veld te genereren dat de gegevens op de magnetische strip van de kaart simuleert . Kamkar presenteerde het als een manier om al je kaarten te vervangen door een enkel apparaat, maar Hecker nam het idee en onderzocht wat er nog meer mee gedaan kon worden.

[Meer informatie: Hoe verwijder je malware van je Windows-pc]

Hij begon met het kijken naar kassasystemen en ontdekte dat veel van hen de kaartlezers behandelen als standaard USB menselijke invoerapparaten en daarom ook toetsenbordinvoer via hen accepteren.

Hecker creëerde een apparaat dat vergelijkbaar is met MagSpoof en dat , wanneer geplaatst in de buurt van een kaartlezer, stuurt het kwaadwillende toetsenbordopdrachten die zullen worden uitgevoerd op het kassasysteem. Dit betekent dat een aanvaller een dergelijk apparaat kan gebruiken om op afstand een opdrachtprompt op het systeem te openen en het vervolgens kan gebruiken om geheugenschrapend malware te downloaden en installeren met de benodigde toetsenbordopdrachten.

Weston Hecker / Rapid7

Dit magnetische kaartspooferapparaat kan kaartlezers van enkele centimeters verder weghalen.

Het beveiligingslek is niet specifiek voor de leverancier, de aanval heeft invloed op de meeste PoS-systemen waarop Windows wordt uitgevoerd en is ontworpen om met een toetsenbord te werken, aldus Hecker. Dit ontwerp is populair en dergelijke betaalsystemen zijn wijdverspreid.

Een aanvaller moet het apparaat binnen anderhalve centimeter van de lezer plaatsen om ervoor te zorgen dat er geen interferentie en pakketverlies is. Omdat het apparaat ongeveer de grootte van een stapel kaarten heeft, kan het gemakkelijk worden verborgen in de mouw van de aanvaller of in een lege telefoonbehuizing. Dan is het alleen een kwestie van een situatie creëren waarin de PoS een paar seconden onbeheerd blijft, zoals de kassier vragen om de manager op te roepen. Rapid7 meldde de ontwerpfout bij US-CERT, die bezig is met het identificeren en informeren getroffen leveranciers. Jammer genoeg duurt het lang voordat het probleem is opgelost, zelfs als leveranciers een softwarepatch ontwikkelen, omdat veel PoS-apparaten handmatig moeten worden bijgewerkt door een technicus. Hecker vond ook een manier om zijn apparaat te gebruiken voor elektronische hoteldeursloten, die ook typisch zijn werk met magnetische kaarten. In tegenstelling tot de PoS-aanval, waarbij het doel was om het systeem te infecteren, is het in het geval van hoteldeursloten om de gegevens die zijn gecodeerd op de bijbehorende sleutelkaart bruut te forceren.

De gegevens op kamertoegangskaarten zijn niet gecodeerd en bestaat uit een door het hotel gegenereerde record-ID wanneer een gast incheckt, het kamernummer en de uitcheckdatum.

De datum kan eenvoudig worden bepaald of geraden omdat een hotelverblijf meestal beperkt is tot een paar dagen, en de record-ID, of folionummer, kan brute-geforceerd zijn met behulp van het apparaat van Hecker, omdat het meestal kort is en bij elke nieuwe gast opeenvolgend wordt verhoogd. Dit betekent dat een aanvaller een goed idee kan hebben van het bereik van te testen getallen door gegevens van een andere kaart te lezen - bijvoorbeeld die van hemzelf.

Hecker schat dat brute een typisch kamerslot dwingt in een hotel met 50 tot 100 kamers zou ongeveer 18 minuten duren. Bruut dwingende een speciale sleutel, zoals die gebruikt door meiden en personeel, zou ongeveer een half uur duren.

Het leuke van de aanvaller is dat hij het apparaat zelfs aan de deur kan laten werken en op zijn mobiele telefoon wanneer de juiste gegevenscombinatie is gevonden.

Dit is een andere ontwerpfout die veel verkopers lijkt te treffen, zei Hecker. De beste oplossing is om folio-aantallen groter te maken en willekeurig toe te wijzen aan nieuwe gasten. Versleuteling aan het proces toevoegen zou beter zijn, maar zou bijna zeker het vervangen van het bestaande systeem door nieuwe voor encryptie geschikte sloten vereisen, zei hij.