neustes

AUS DEM BAUCH HERAUS Gesellschaft

Der 25-Dollar-Trick – oder: Wie man mit einem Spielzeug einen Laden austrickst

Messehalle, irgendwo in Europa, Frühjahr 2017. Es riecht nach Kabelbindern, frisch bedrucktem Prospektpapier und dem Schweiß tausender Besucher. Zwei Männer schlendern durch die Gänge, aber sie interessieren sich nicht für die glänzenden Exponate auf den Ständen. Sie suchen etwas anderes. Sie suchen eine Buchse.

Dmitry Chastuhin und Vladimir Egorov sind keine gewöhnlichen Messebesucher. Sie sind Sicherheitsforscher bei ERPScan, einer Firma, die sich darauf spezialisiert hat, die Software von Großkonzernen auseinanderzunehmen, um zu sehen, wo es quietscht und knirscht. Heute jagen sie kein großes Tier, kein Rechenzentrum, keine Cloud. Heute jagen sie ein Kassensystem.

Sie finden es schließlich an einem gut besuchten Stand. Ein handelsübliches Terminal, wie es in tausenden Geschäften auf der ganzen Welt steht. Ein Bildschirm, ein Kartenleser, ein Bondrucker. Und hinten dran, kaum sichtbar, versteckt unter einem Kabelsalat: eine freie Ethernet-Buchse.

Was dann passiert, ist keine Raketenwissenschaft. Es ist eher ein Versehen mit Ansage. Egorov zieht einen Raspberry Pi aus der Tasche – diesen kleinen, kreditkartengroßen Computer für 25 Dollar, den man eigentlich für Bastelprojekte mit LEDs und Sensoren kauft. Er steckt ihn in die Buchse, drückt den Einschaltknopf, und der Rechner blinzelt einmal kurz mit einer LED. Keine Alarmsirene. Kein Sicherheitsdienst. Nur der leise Lüfter des Kassenservers im Hinterzimmer.

Die beiden Forscher gehen gemütlich zum Ausgang. Der Hack ist gelungen. Der Raspberry Pi ist drin im Netz. Das Kaufhaus ist digital ausgehebelt – mit einem Gerät, das weniger kostet als das Abendessen in der Messe-Kantine.

1. Der Prolog – Die versteckte Buchse

Stell dir dieses Szenario vor, wenn du das nächste Mal an der Kasse stehst und der Piepton ertönt. Das Gerät vor dir, dieser graue oder schwarze Kasten, ist nur die Spitze eines Eisbergs. Irgendwo im Lager, oft einfach in einem Abstellraum zwischen Putzmitteln und Klopapier, steht der Server. Der denkt nicht, der rechnet nur. Er schickt Preise an die Kasse, speichert Transaktionen und gibt ab und zu ein Update raus.

Die Verbindung zwischen Kasse und Server? Meist ein einfaches, graues Netzwerkkabel, das über der abgehängten Decke liegt oder durch einen Kabelschacht in der Wand läuft. Es ist die unsichtbare Verbindung. Und genau da, im Unsichtbaren, hört die Sicherheit oft auf.

Dmitry und Vladimir wussten das. Sie hatten schon Hunderte von Kassensystemen unter die Lupe genommen, nicht nur von SAP, auch von Oracle und anderen. Und sie hatten ein Muster entdeckt: Alle starren auf die Türklinke, aber die Hintertür steht weit offen . Die Kasse hat eine Benutzeroberfläche, ein Schloss, einen Piepser, wenn die Karte durchgezogen wird. Aber das Kabel, das im Lager endet? Das spricht mit dem Server, als würden sie sich seit Jahren kennen. Kein Passwort, keine Verschlüsselung. Nur Vertrauen.

Und Vertrauen ist in der IT der größte Feind.

2. Der Mensch – Die zwei Tüftler aus dem Osten

Dmitry Chastuhin ist einer dieser Forscher, die man sich nicht in einem sterilen Labor vorstellt. Eher in einer Wohnung voller alter Rechner, Kabelrollen und ausgedruckter Protokolle. Er kommt aus der Schule derer, die wissen, dass Theorie grau ist, aber der Code grün leuchtet, wenn man ihn knackt. Zusammen mit Vladimir Egorov bildet er das Team, das für ERPScan die dunklen Ecken der Geschäftssoftware ausleuchtet .

Sie sind keine Hacker im klassischen Sinne, jedenfalls nicht die mit Kapuzenpulli und Maske. Sie sind Jäger. Sie bekommen einen Auftrag: Findet die Lücken, bevor die anderen sie finden. Ihr Jagdrevier ist SAP, diese monströse Software, die in den Hinterzimmern der Weltwirtschaft läuft. Wenn du bei einem großen Händler einkaufst, bist du fast sicher durch ein SAP-System geschleust worden. Es ist der unsichtbare Buchhalter der Nationen.

Die beiden Russen sind akribisch. Sie schlagen keine Kassen kurz, sie lesen keine Protokolle vom Bildschirm ab. Sie lesen den Code. Und sie haben ein feines Gespür für das, was man „architektonische Naivität“ nennen könnte. Sie fragen nicht: „Wo ist das Passwort?“ Sie fragen: „Warum gibt es hier gar keine Abfrage?“

Diese Frage führte sie an einem ganz gewöhnlichen Messestand zu einer Buchse und einem 25-Dollar-Computer.

3. Das Problem – Der Server, der mit jedem spricht

Die SAP POS Xpress Server Lösung ist eigentlich ein cleveres Stück Technik. Sie erlaubt es, Hunderte von Kassen in einem Laden zentral zu verwalten. Der Produktmanager im Hauptquartier ändert den Preis für Butter, und fünf Minuten später piept die Kasse in der Filiale den neuen Preis. Das ist effizient. Das ist modern.

Aber Effizienz und Sicherheit sind oft ungleiche Zwillinge.

Was die Forscher fanden, war erschreckend simpel: Der Server fragt nicht nach, wer da kommt. Er authentifiziert nicht . Wenn ein Gerät im selben Netzwerk eine Anfrage schickt und sagt „Hey, ich bin die Kasse Nummer 3, ich brauch den Preis für dieses Produkt“, dann gibt der Server die Antwort. Wenn aber jemand kommt und sagt „Hey, ich bin der Administrator, setz mal den Preis für das MacBook Pro auf 1 Dollar“, dann macht der Server das auch. Er vertraut jedem, der fragt, solange die Frage im richtigen Format kommt.

Das Problem sitzt tief in der Architektur. Die Entwickler haben sich vermutlich gedacht: „Wer soll denn schon in unser Netzwerk kommen? Das ist doch abgeschottet.“ Sie haben die physische Sicherheit des Ladens mit der digitalen Sicherheit verwechselt. Sie haben nicht bedacht, dass es an jeder zweiten Kasse einen freien Ethernet-Anschluss gibt, an den sich jeder anschließen kann, der aussieht, als würde er den WLAN-Router warten.

Chastuhin brachte es später auf den Punkt: „Die Verbindungen zwischen Kassenarbeitsplatz und Laden-Server entbehren oft der Grundlagen der Cybersicherheit – Autorisierungsverfahren und Verschlüsselung – und niemand kümmert sich darum“ .

4. Der Bau – Wie man mit 25 Dollar einkauft

Der Raspberry Pi ist ein Wunderwerk der Billigtechnik. Entwickelt, um Kindern das Programmieren beizubringen, ist er heute das Schweizer Taschenmesser jedes Bastlers und – ja – auch jedes Scriptkiddies. Er passt in jede Hosentasche, hat einen Netzwerkanschluss und läuft mit einem USB-Stromkeil, den man an jede Steckdose hängen kann.

Was die ERPScan-Forscher taten, war methodisch sauber und erschreckend einfach.

Schritt 1: Der Anschluss. Sie suchten sich einen freien Ethernet-Port. In jedem größeren Laden gibt es die. An unbenutzten Kassen, an Waagen in der Obstabteilung, an Informationsterminals, oft einfach in einer Ecke hinter einer Blume, wo mal ein Mitarbeiter-PC stand . Der Raspberry Pi wird eingesteckt. Er braucht keine Konfiguration, er holt sich per DHCP eine IP-Adresse und ist im Netz.

Schritt 2: Die Suche. Der kleine Rechner tastet das Netzwerk ab. Er muss nur einen einzigen Dienst finden: den SAP Xpress Server. Und weil der Server nicht versteckt ist, sondern brav auf Anfragen wartet, ist er schnell gefunden.

Schritt 3: Der Befehl. Jetzt kommt der eigentliche Clou. Die Forscher hatten eine kleine Software dabei, die genau das tat, was der Server erwartet: Sie sprach SAP. Sie schickte einen Befehl, um die Konfiguration zu ändern. Kein Hack im Sinne einer Sicherheitslücke, die ausgenutzt wird. Sondern ein Befehl, für den der Server von Haus aus gemacht ist – nur dass er normalerweise nur von autorisierten Administrationsrechnern kommen darf.

Schritt 4: Die Manipulation. In der Demo-Video, das später im Netz kursierte, sieht man, wie der Preis eines MacBook Pro von mehreren tausend Dollar auf einen einzigen Dollar geändert wird . Das System akzeptiert es. Keine Plausibilitätsprüfung, keine zweite Unterschrift. Der Server speichert den neuen Preis und wartet auf die nächste Anfrage.

Schritt 5: Der Kauf. Die Forscher gehen zur Kasse. Die Verkäuferin scannt den Barcode. Das System fragt beim Server nach dem Preis. Der Server sagt: 1 Dollar. Die Kasse zeigt 1 Dollar an. Die Forscher zahlen mit Karte, der Betrag wird abgebucht, sie gehen raus. Aus dem Laden. Aus dem Messegelände. Und haben ein paar tausend Dollar gespart.

5. Das Herzstück – Das fehlende „Darf der das?“

Das Geniale an diesem Angriff ist, dass er gar kein Angriff im klassischen Sinne ist. Es ist kein Buffer Overflow, kein Einschleusen von Schadcode, kein Aushebeln einer Verschlüsselung. Es ist einfach nur eine fehlende Abfrage.

Nennen wir es das „Darf der das?“-Prinzip.

In einer sicheren Architektur fragt der Server bei jedem Befehl: Wer bist du? Hast du das Recht, Preise zu ändern? Bist du vielleicht doch nur die Kasse von nebenan, die nur lesen, aber nicht schreiben darf?

Im SAP Xpress Server gab es diese Frage nicht . Jeder, der die richtige Netzwerk-Adresse hatte und das Protokoll beherrschte, konnte jeden Befehl absetzen. Das ist, als würde man in einer Bank den Tresor nicht mit einer Zahlenkombination sichern, sondern einfach das Schild „Bitte nicht öffnen“ dranhängen. Die meisten halten sich dran – aber wenn einer kommt, der lesen kann, ist er drin.

Die Forscher fanden gleich mehrere dieser Fehlstellen. Die erste Lücke erlaubte den Zugriff. Nachdem SAP im Juli 2017 einen ersten Patch veröffentlichte, schauten Dmitry und Vladimir nochmal hin – und fanden eine zweite Lücke, mit der man den Patch umgehen konnte . Ein Katz-und-Maus-Spiel, das zeigt, wie tief das Problem sitzt. Es ging nicht um einen einzelnen vergessenen Befehl. Es ging um ein System, das von Grund auf nicht darauf ausgelegt war, in einer feindlichen Umgebung zu überleben.

Alexander Polyakov, CTO von ERPScan, beschrieb die Gefahr so: „Kreditkartennummern stehlen, Preise und Sonderrabatte festlegen, POS-Terminals fernstarten und -stoppen – all diese Optionen stehen auf der Speisekarte des Hackers“ .

6. Das Ende – Der Patch und die Pointe

Was geschah mit der Lücke? SAP reagierte, wie Großkonzerne reagieren müssen. Sie nahmen die Meldung ernst. Im April 2017 informierten die Forscher den Hersteller. Im Juli kam der erste Patch (SAP Security Note 2476601). Doch als ERPScan den Patch testete, fanden sie: Der neue Autorisierungsmechanismus ließ sich umgehen – durch eine andere Lücke .

Also wieder eine Meldung, diesmal im August. Und diesmal dauerte es nur eine Woche, bis SAP nachbesserte (SAP Security Note 2520064) . Ein Sprecher von SAP betonte: „Wir empfehlen unseren Kunden dringend, ihre SAP-Landschaft zu sichern, indem sie die verfügbaren Sicherheitspatches sofort vom SAP Support Portal anwenden“ .

Das klingt nach einem Happy End. Ist es aber nicht. Denn das eigentliche Problem ist nicht der Patch. Das Problem ist die Architektur.

Die Forscher fanden ähnliche Schwachstellen nicht nur bei SAP, sondern auch bei anderen Systemen, wie Oracles MICROS. Chastuhin sagte deutlich: „Allgemein gesprochen ist das kein Problem von SAP. Viele POS-Systeme haben eine ähnliche Architektur und daher die gleichen Schwachstellen“ .

Die Lücke ist symptomatisch für eine Generation von Software, die in einer Welt gebaut wurde, in der Netzwerke noch freundliche Orte waren. Die Entwickler dachten an Funktionalität, an Geschwindigkeit, an Skalierbarkeit. Aber sie dachten nicht an den Mann mit dem 25-Dollar-Computer, der sich in den Abstellraum setzt.

7. Der Epilog – Was bleibt?

Was lernen wir aus dieser Geschichte?

Zuerst: Technik ist immer ein Kind ihrer Zeit. Die Kassensysteme von SAP wurden in einer Ära entworfen, als Hacking noch bedeutete, einen Geldautomaten mit einem Vorschlaghammer zu bearbeiten. Die digitale Hintertür war kein Thema, weil jeder wusste, wo die Tür war – und sie war verschlossen. Dass man sie mit einem einfachen Netzwerkkabel öffnen konnte, übersah man.

Zweitens: Der billigste Computer der Welt ist oft der gefährlichste. Ein Raspberry Pi kostet 25 Dollar. Eine Ethernet-Buchse ist kostenlos. Das Wissen, wie man den Pi programmiert, ist in unzähligen Foren frei verfügbar. Die Hemmschwelle für solch einen Angriff liegt also nicht im Material, sondern allein im Gewissen.

Und drittens: Vertrauen ist gut, aber Kontrolle ist besser. Die Ingenieure von SAP haben inzwischen dazugelernt. Die Patches sind da. Aber wie viele ähnliche Systeme laufen noch irgendwo in Hinterzimmern, mit veralteter Software, mit offenen Buchsen, mit dem Schild „Bitte nicht öffnen“? Wie viele Server vertrauen noch jedem, der freundlich fragt?

Wenn du das nächste Mal an der Kasse stehst und dein Smartphone aus der Tasche ziehst, denk an Dmitry und Vladimir. Und an den kleinen Raspberry Pi, der in einer verstaubten Ecke steckt und leise vor sich hin blinkt.

Der Hack ist gefixt. Aber die Haltung, die ihn möglich machte – diese Mischung aus Naivität und Bequemlichkeit – die lebt weiter. In tausend anderen Geräten, in tausend anderen Netzwerken. Warte nur, bis du hörst, was man mit einem 10-Dollar-Mikrocontroller in einem modernen Auto anstellen kann. Aber das ist eine andere Geschichte.

Ähnliche Beiträge

Kommentar abschicken

Das hast du vielleicht verpasst