Da will man schnell noch heise.de als gute Nacht Lektüre lesen und dann steht da
so ein Kracher - leider mit Quellenangabe, aber ohne Link dahin - wieso eigentlich? Kreditkartenbetrug, indem man die Lesegeräte schon bei der Produktion mit einem Extrachip versieht, der nach Hause telefoniert -
im Original beim Wall Street Journal (hätte ich heute Slashdot gelesen, wäre es mir
auch schon früher aufgefallen). Das Gerät scheint ziemlich intelligent konzipiert zu sein, wenn man die spärlichen Informationen liest. Zum einen besitzt es einen Stealth Modus, zum anderen kann es sich beim Hochladen der Kreditkartendaten wohl auch mit neuen Pattern bestücken, welche Daten gespeichert werden sollen. Sehr nett. Auch die Auswahl der Geräte war intelligent. Wal-Mart und Tesco sind große Fische in den UK. Und herausgekommen ist es durch Zufall, weil ein Sicherheitsmitarbeiter anscheinend Störungen mit seinem Handy hatte. Gefunden wurden schon mehrere hundert Maschinen - gefährlich schwammig formuliert. Das führt jetzt natürlich mal zu mehreren Überlegungen:
- Wie sieht es eigentlich mit QA in einem derart sensitiven Sektor aus? Falls die Produktion outgesourced wird (wenn sie das nicht wurde, ist das Sicherheitsproblem intern zu suchen. Da ist es wirklich dreckig), werden anscheinend lediglich Funktionstests gemacht mit den Geräten. Und die interessante Frage: Wer fängt jetzt an, seine Geräte beim Kunden zu checken? Wäre ja auch irgendwie peinlich wenn man da was findet. Interessant wäre trotzdem zu wissen, wie dieser Chip - der ja stark angepasst sein muss - seinen Weg in das Gerät gefunden hat. Austausch der Baupläne? Nachträgliche Manipulation? Leicht abgeänderte Produktion in der Fabrik? Ich hoffe, das wird veröffentlicht. So recht dran glaub mag ich aber nicht.
- Wie sehr trauen wir unseren Endgeräten? Ich tippe hier gerade auch auf einem Erzeugnis fernöstlicher Produktion, und mir würde es garantiert nicht auffallen, wenn mein Laptop ein paar Gramm schwerer wäre.
- Wie sehr dürfen wir vor allem Endgeräten trauen, die sich fernab unserer Aufsicht befinden? Beispiele wie Geldautomaten, Kreditkartenleser, Zigarettenautomaten, elektronische Zugangs- und Abrechnungssysteme (wie in U-Bahnen), Lesegeräte für Versicherungskarten (man platziere einen solches Lesegerät in einer schönen Privatklinik und kann dann die Kunden mit einem dezenten Hinweis auf die Schweigepflicht finanziell erleichtern). Welche Geräte sind da schon indem Land produziert, in dem auch die Firma residiert bzw. generell unter Aufsicht?
- Streiten sich demnächst ein in Hardware gegossener Bundestrojaner sowie das chinesische Implantant um die Passwörter, so dass beide nicht mehr funktionieren? Dann hätte die Sache wenigstens etwas gutes.
