Forum: Offtopic H5000 software Störung oder was ist da los?

Wenn du die Kartenterminals meinst: Da ist lediglich nach 10 Jahren ein 
Zertifikat abgelaufen.

Echt jetzt? Wie dämlich und peinlich...

In denjenigen Artikeln, welche ich gelesen habe, war von dem Zertifikat 
keine Rede, nur hilfloses Gestammel. Die Ursache mit dem abgelaufenen 
Zertifikat mag wohl niemand zugeben.

"Aufgrund eines Zertifikatsfehlers wird es nach aktuellem Stand nötig 
sein, auf allen H5000-Terminals neue Softwareupdates einzuspielen"
https://www.t-online.de/digital/internet-sicherheit/internet/id_100010016/bundesweite-stoerungen-bei-kartenzahlungen-in-supermaerkten.html

"Update vom 25.12.21 wurde nicht ausgerollt."
https://twitter.com/1GermanChef/status/1530181519599362048

Der Clou daran: Wenn das übliche Update-Verfahren seinerseits vom 
Zertifikat abhängt und deshalb scheitert, dann könnte das in Arbeit 
ausarten.

Ich hatte insgeheim gedacht, dass die gehackt und alles lahmgelegt 
wurde.

Rainer Z. schrieb:
> war von dem Zertifikat
> keine Rede, nur hilfloses Gestammel. Die Ursache mit dem abgelaufenen
> Zertifikat mag wohl niemand zugeben.

Zu bist zu ungeduldig. Information muss reifen. Medienkunde 101.

(prx) A. K. schrieb:
> Zu bist zu ungeduldig. Information muss reifen. Medienkunde 101.

Okay, hast Recht.

Spiegel online spricht nun auch von einem Zertifikatfehler:
https://www.spiegel.de/netzwelt/web/verifone-bezahlterminals-weiter-bundesweite-probleme-bei-kartenzahlungen-a-70cf4d50-0393-4a1e-9c2e-3bc02a9efd22

(prx) A. K. schrieb:
> Der Clou daran: Wenn das übliche Update-Verfahren seinerseits vom
> Zertifikat abhängt und deshalb scheitert, dann könnte das in Arbeit
> ausarten.

Sieht ganz danach aus:

https://www.heise.de/news/Stoerungen-bei-Kartenzahlung-Zertifikatsfehler-erfordert-manuellen-Eingriff-7123668.html

"Der Zahlungsdienstleister erwartet nicht, dass das angekündigte 
Software-Update schnell umgesetzt werden kann, da – bisherigen 
Informationen zufolge – ein manueller Eingriff an den Terminals nötig 
ist."

Das wird ein teurer Spaß...

Da sieht man wieder wie wichtig Bargeld ist. Als Rückfallposition sollte 
das immer gepflegt werden.

Mehr Details:
https://www.borncity.com/blog/2022/05/27/strung-der-verifone-h5000-ec-kartenlesegerte-einige-insights-zur-zertifikateproblematik/

(prx) A. K. schrieb:
> 
https://www.borncity.com/blog/2022/05/27/strung-der-verifone-h5000-ec-kartenlesegerte-einige-insights-zur-zertifikateproblematik/

Seite verlangt zwingend und nicht abwählbar Zugriff auf automatisch 
gesendete Geräteeigenschaften zur Identifizierung, präzise 
Geolokalisierungsdaten und Daten, die durch aktive Abtastung der 
Vorrichtung erhalten werden, Merkmale zur Identifizierung ohne 
gesonderte Offenlegung und/oder Opt-in.

LG, Sebastian

Sebastian W. schrieb:
> Seite verlangt zwingend und nicht abwählbar Zugriff auf ...

Danke, wieder was gelernt. Ich wusste bisher nicht, dass der Lynx 
Browser das alles hergibt. ;-)

(prx) A. K. schrieb:
> Lynx Browser

:)

LG, Sebastian

Im HQ von Cisco:

Seht ihr!! Und darum haben wir fest einprogrammierte Hintertüren. Uns 
kann das nicht passieren. Wir können jederzeit remote da drüber 
installieren.

Für mich als nackerbazi was das angeht:
Wo kommt das boot Problem her? Nutzen die das selbe Zertifikat, um ihre 
Firmware zu laden?

Warum käuft so etwas so ab? - gerade hier hat der Hersteller doch 
Zugriff auf beide Seiten und könnte jeder Box ein einzigartiges, 
dauerhaftes Zertifikat mitgeben. - der Zertifikatetausch erzeugt doch 
neue Probleme.

Sg und Danke

Da kann man sich ausmalen, was Händler für Umsatzeinbußen wegen solch 
eines Fehlers haben.

Vorhin im Baumarkt, war keine Kartenzahlung möglich, jemand der also 
eine größere Anschaffung tätigen wollte hatte Pech.

So ähnliche Fehler kannte ich mal von anderen Terminals, da war auch 
irgendetwas cryptomäßiges abgelaufen, sodass der Kartenleser die 
Verbindung zum Pinpad verlor. Da half dann nur ausbauten, tauschen, 
einschicken.

Immer ein recht großer Aufwand und vorallem recht teuer!

Nun stelle man sich mal vor, es gäbe kein Bargeld mehr und dann legt so 
ein Fehler die Bezahllandschaft lahm... Vorallem hat man es ja den 
Leuten immer schmackhafter gemacht bargeldlos und vorallem auch 
berührugslos zu zahlen.

Sven L. schrieb:
> Vorallem hat man es ja den
> Leuten immer schmackhafter gemacht bargeldlos und vorallem auch
> berührugslos zu zahlen.

Und der Staat mischt kräftig mit, der 500-Euro-Schein ist ein 
Auslaufmodell und wird aktiv aus dem Verkehr gezogen. Mein Banker 
berichtete, für den 200-Euro-Schein sei dies in Planung.

Grund laut Banker: Der Staat vermute hinter jeder Bargeldzahlung Mafia, 
Steuerhinterziehung, Prostitution/Zuhälterei, Schwarzarbeit, 
Drogenhandel, Geldwäsche. So weit ist es leider gekommen.

Rainer Z. schrieb:
> Mein Banker berichtete, für den 200-Euro-Schein sei dies in Planung.

Das ist auch ohne staatliche Paranoia erklärbar.

Das ist wie (damals) mit der Vorratsdatenspeicherung - jeder steht 
erstmal unter Generalverdacht....

Zum Thema:
Aber was machste, wenn Du dir für 1500 Euro eine Garteneinrichtung 
kaufen willst und EC nicht geht... Zur Bank fahren, Bargeld holen und 
irgendwann 3 Jahre später musst Du dem Finanzamt dann erklären, wieso du 
am dd.mm.yyyy 1500 Euro vom Konto geholt hast.

"Wir möchten betonen, dass das Problem nicht mit dem Ablauf eines 
Zertifikats oder einer Sicherheitslücke zusammenhängt und keine 
Sicherheitsbedrohung darstellt"
https://www.sueddeutsche.de/wirtschaft/kartenzahlung-stoerung-girocard-1.5593194

Das bekannte Jahr-2022-Problem? Oder klingt ein Softwareproblem, kennt 
ja jeder als unausweichlichem Bracheneffekt, lediglich besser als "zu 
doof"?

Max M. schrieb:
> Habe gerade heute Morgen an einem H5000 bezahlt.
> An der Kasse daneben gleiches Gerät, aber gestört.
> Scheint also nicht alle zu betreffen.

Dann war das, was ging vielleicht mal zwischenzeitlich getauscht worden.

Das Problem, die Terminals, die beim Kunden sind, datet in der Regel 
niemand ab, da das Ganze sehr sehr lange dauert und eher aufwendig ist.

Gewisse Updates kann die Kasse, so sie es tut und implementiert hat 
antriggern. Das sind dann aber eher Dinge wie akzeptierte Karten 
laden...

Bei Automatenterminals bspw. hat man auch immer nur dann Updates 
gemacht, wenn Probleme bekannt waren. Da steht dann aber auch nicht 
dran, in welchem Step sich das Terminal befindet oder wie lange es 
dauert, es dauert einfach...

Sehen können die beim Provider eventuell was, vor Ort sieht man nix.
Teilweise meint man das Terminal ist schon wieder da, dabei ist es noch 
mitten im Update. Das rebootet dann halt irgendwann nochmal...

Rainer Z. schrieb:
> Grund laut Banker: Der Staat vermute hinter jeder Bargeldzahlung Mafia,
> Steuerhinterziehung, Prostitution/Zuhälterei, Schwarzarbeit,
> Drogenhandel, Geldwäsche. So weit ist es leider gekommen.

Es gab vor einigen Tagen einen Presseartikel im RND (Funke-Medien), dass 
ein Mädchen sein als Spenden gesammeltes Bargeld nicht einzahlen konnte, 
da ging es um gerade mal 100 Euro. Angeblich dürfe die Bank das nur von 
bekannten Kunden annehmen, von wegen Geldwäschegesetz.

Max M. schrieb:
> Habe gerade heute Morgen an einem H5000 bezahlt.
> An der Kasse daneben gleiches Gerät, aber gestört.
> Scheint also nicht alle zu betreffen.

Richtig, das ist die einzige Wahrheit bisheriger Berichte. Es ist zwar 
nur ein Typ betroffen, aber nicht alle dieses Typs.

Der Spekulation auf ein abgelaufenes Zertifikat wird widersprochen, 
aber, ohne eine andere Erklärung zu liefern:
https://heise.de/-7125173

Max M. schrieb:
> Ich habe mich schon immer gefragt warum noch niemand die SW eines
> beliebten Kartenterminals gehackt hat um sich zu bereichern.

Weil das nicht mit einem Hoodie und einer Dose Cola geht, wie in den 
Hacker-Filmen die du anscheinend schaust.
Die verwendete Krypto kannst du nicht knacken, also bleibt nur eine 
Schwachstelle in der Infrastruktur drum herum oder eine menschliche 
Schwachstelle.
Es scheint, Omas anzurufen und einfach zu fragen ob die einem Geld vor 
die Tür legen ist deutlich lukrativer in der Gesamtschau.

Max M. schrieb:
> Ich habe mich schon immer gefragt warum noch niemand die SW eines
> beliebten Kartenterminals gehackt hat um sich zu bereichern.

Alles schon lange gemacht worden. Die selbe Firma die heute wieder Ärger 
mit ihrem Gerümpel hat ist schon mehrfach aufgefallen. Z.B.

https://netzpolitik.org/2012/ec-karten-weit-verbreitetes-terminal-gehackt-pin-klau-auch-ubers-internet-moglich/

https://www.forbes.com/sites/thomasbrewster/2020/12/10/millions-of-payment-terminals-are-vulnerable-to-credit-card-theft-hacks/

Ich erinnere mich auch an einen Hack bei dem Hardware in Kartenterminals 
eingebaut wurde. Die Geschichte habe ich auf die Schnelle nicht 
gefunden.

Ich habe hier vor einiger Zeit mal einen Rant über den Bedien-Müll von 
Kartenterminals geschrieben. Wurde von einem Moderator gelöscht. Das die 
Teile schrottig zusammengemurkst sind ist nicht überraschend, auch wenn 
man über die Qualität nicht reden darf.

Zur Unterhaltung, eine ältere, unterhaltsam aufgemachte Geschichte eines 
Kassenhacks https://darknetdiaries.com/episode/32/ Komplett mit Secret 
Service, Darknet-Handelsplätzen und russischem FSB.

Neues von Born - er bleibt offensichtlich an der Sache dran.
https://www.borncity.com/blog/2022/05/29/strung-der-verifone-h5000-ec-kartenlesegerte-neue-infos-29-5-2022/

Hannes J. schrieb:
> Ich erinnere mich auch an einen Hack bei dem Hardware in Kartenterminals
> eingebaut wurde. Die Geschichte habe ich auf die Schnelle nicht
> gefunden.

Auf die Geschichte bin ich gespannt.
Es gibt teilweise ältere Bezahlterminals bei IT Remarketing Firmen zu 
kaufen. Mach das mal und öffne eins. Die sind alle voll vergossen.

Zumindest alle die ich bisher in der Hand hatte. Drum wird es auch 
spannend was damit gemeint ist das an den Terminals händisch 
eingegriffen werden muss.

Sven L. schrieb:
> Aber was machste, wenn Du dir für 1500 Euro eine Garteneinrichtung
> kaufen willst und EC nicht geht... Zur Bank fahren, Bargeld holen und
> irgendwann 3 Jahre später musst Du dem Finanzamt dann erklären, wieso du
> am dd.mm.yyyy 1500 Euro vom Konto geholt hast.

Muss ich einen großen Fernseher unbedingt mit Karte bezahlen?
Wenn ich das Geld erarbeitet habe, dann darf ich das auch ausgeben.
Es sei denn, ich stehe woanders in der Kreide.

Manuel X. schrieb:
> Hannes J. schrieb:
>> Ich erinnere mich auch an einen Hack bei dem Hardware in Kartenterminals
>> eingebaut wurde. Die Geschichte habe ich auf die Schnelle nicht
>> gefunden.
>
> Auf die Geschichte bin ich gespannt.

Vereinfacht: Unbemerkter Einbruch mit Manipulation des Lesegerätes. Mit 
den erbeuteten Kartendaten und der Pin wurde dann Geld abgebucht. Ein 
paar mal hat das wohl funktioniert und dann wurden die Täter 
eingefangen.

> Es gibt teilweise ältere Bezahlterminals bei IT Remarketing Firmen zu
> kaufen. Mach das mal und öffne eins. Die sind alle voll vergossen.

Der Vorgang reicht bis 15 Jahre zurück. Daher funktioniert leider auch 
der von mir gespeicherte Link auf einen entsprechenden Artikel beim SWR 
nicht mehr.

> Zumindest alle die ich bisher in der Hand hatte. Drum wird es auch
> spannend was damit gemeint ist das an den Terminals händisch
> eingegriffen werden muss.

Soweit ich mich erinnere wurde die Pin mittels Sensorfolie unter der 
Tastatur abgegriffen. Die Kartendaten vermutlich am Magnetstreifenleser.

Sven L. schrieb:
> irgendwann 3 Jahre später musst Du dem Finanzamt dann erklären, wieso du
> am dd.mm.yyyy 1500 Euro vom Konto geholt hast.

Das ist dem Finanzamt völlig egal. Die interessieren sich für 
BarEINzahlungen, weil das Ziel bei der Geldwäsche ist, illegal 
erhaltenes Geld in den legalen Kreislauf zu bekommen.

Wenn ein wenig besuchtes Restaurant gigantische Barumsätze aufs Konto 
einzahlt, ist das für die deutlich interessanter.

Manuel X. schrieb:
> Drum wird es auch
> spannend was damit gemeint ist das an den Terminals händisch
> eingegriffen werden muss.

Das H5000 hat einen USB-Host-Anschluss, über den man wohl auch neue 
Firmware einspielen kann. Die Frage ist, ob einem auch dabei das 
abgelaufene Zertifikat in die Quere kommt.

Michael L. schrieb:
> Vereinfacht: Unbemerkter Einbruch mit Manipulation des Lesegerätes. Mit
> den erbeuteten Kartendaten und der Pin wurde dann Geld abgebucht.

Heise hatte seinerzeit einen Artikel dazu, leider auch ohne technische 
Details:

https://www.heise.de/newsticker/meldung/Kartenbetrueger-manipulieren-EC-Terminals-148451.html

https://www.wn.de/welt/wirtschaft/discounter-nach-terminaltausch-kartenzahlung-wieder-moeglich-2578874

Hier im Rossmann war mit dem H5000 nur eine Zahlung möglich bei Karte 
einstecken und Unterschreiben. Kontaktlos und/oder PIN geht nicht, sagte 
die Verkäuferin. Immerhin. Hofft man, dass es keinen Stromausfall gibt 
bis das Gerät getauscht ist.

Weil du gerade Commerzbank schreibst:
2005 oder so wollte ich in einer stuttgarter Filiale Geld beheben. Ging 
nur langsam, die hatten einen "Paperday" Drill. Alles wird ohne Computer 
abgewickelt. Um mir mein Geld auszahlen zu können wurde in der 
buchführenden Filiale angerufen und die Auszahlung von dort bestätigt.

Keine Ahnung, aber ich denke nicht dass das Telefon noch bei ernsten 
Computerproblemen funktioniert und ob die das immer noch machen weiß ich 
nicht.

War aber spannend zu sehen

Sg

(prx) A. K. schrieb:
> Neues von Born - er bleibt offensichtlich an der Sache dran.
> 
https://www.borncity.com/blog/2022/05/29/strung-der-verifone-h5000-ec-kartenlesegerte-neue-infos-29-5-2022/

Um hier mal einzuhaken: Im Artikel wird beschrieben, das es Standards 
für Terminals gibt (PCI 3).

Regelmäßig werden bis dato zertifizierte Gerätegenerationen, die irgend 
wann nicht mehr dem Aktuellem Standard entsprechen gegen neue Versionen 
ausgetauscht.

Das ist mit Viel Aufwand verbunden, wenn man gerade auch an 
Automatenterminals wie bei MC Donalds, Tankautomaten oder bei 
E-Ladesäulen denkt.

Gerade bei Automatenterminals wo Pinpad und Kartenleser keine feste 
Einheit bilden, geht dann eine IBN nur mit Hotline, die aus 
Zufallszahlen, Seriennummern und anderem einen Freischaltcode generiert.

Da kam es auch ab und an vor, das sich die beiden Geräte nicht 
verheiraten liesen, wegen eines Zertifikatfehlers etc.

Das IT-Abteiliungen das alles nicht so auf dem Schirm haben liegt daran, 
das das alles eine recht verschlossene Blackboxlösung ist, auf die man 
in Vielen Fällen gar keinen Einfluss hat.