En la película Terminator 2, John Connor burlaba la seguridad de un cajero automático utilizando una tarjeta (robada) conectada a una Atari Portfolio para obtener el PIN de acceso y así conseguir dinero fácil. De acuerdo Barnaby Jack, investigador en seguridad informática de IOActive Labs, esto es posible explotando una vulnerabilidad en el software de los cajeros.
PUBLICIDAD
Hace un año Jack anunció que lo demostraría durante la conferencia Black Hat 2009, pero la charla fue cancelada de último momento. Esto ayudo a reforzar su investigación y este año espera mostrar nuevos trucos a través de dos nuevos modelos de cajero automático (ATM), para demostrar que los ataques de software local y remoto se traducen en grandes desembolsos.
Jack escribió que los ataques más frecuentes en los cajeros automáticos suelen exigir el uso de card skimmers (robo de información de tarjetas de crédito para legitimar las transacciones) o el robo físico de las propias máquinas. Rara vez vemos algún ataque dirigido al software.
Aunque no reveló la marca de cajeros automáticos, el software o sistema operativo subyacente que permite este exploit, se conoce un caso en donde hackers rusos instalaron software malicioso en varios de los cajeros automáticos modelo Opteva en Rusia y Ucrania, para saquear al menos 20 cajeros. Estos cajeros utilizaban el software de Diebold (la misma compañía de las polémicas maquinas de votación electrónica) basado en el sistema operativo Windows, por lo que Diebold tuvo que lanzar una alerta urgente [PDF].
De acuerdo con el laboratorio de seguridad SpiderLabs, el ataque requería información privilegiada – como un técnico de cajeros automáticos o cualquier otra persona con una llave de la máquina – para colocar el malware en el cajero. Una vez hecho esto, los atacantes podían insertar una tarjeta de control dentro del lector para activar el malware y darles el control de la máquina a través de una interfaz personalizada y keypad.
El malware capturaba PINs y números de cuenta de las transacciones de la maquina y luego los entregaba al ladrón en un recibo impreso en un formato encriptado o en un dispositivo de almacenamiento insertado en el lector de tarjetas. De esta manera, un ladrón podría sacar todo el dinero de un cajero con capacidad para 600 mil dólares.
Este año durante la conferencia Black Hat 2010 (28-29 Julio, Las Vegas), Barnaby Jack se propone a exponer la fallas de seguridad en su charla llamada “Jackpotting Automated Teller Machines Redux” y revelar un rootkit ATM multi-plataforma, así como discutir los mecanismos de protección que los fabricantes de cajeros automáticos pueden aplicar para evitar estos ataques.
PUBLICIDAD
Links:
– ATM Vendor Halts Researcher’s Talk on Vulnerability (Wired)
– ATM security flaws could be a jackpot for hackers (Reuters)