(cc) thinkpanama
Una vulnerabilidad de Windows CE y la poca rigurosidad de los fabricantes de cajeros automáticos permitieron que Barnaby Jack consiguiera dinero como si se hubiese ganado el premio mayor en las máquinas del casino.
Jack es director de investigación de seguridad para IOActive y por suerte para los bancos y la gente de cajeros, logró este sueño de los ladrones en la Conferencia de Seguridad BlackHat que se realiza en Las Vegas.
Sobre el escenario de la conferencia, Jack hackeó dos cajeros comunes y corrientes, que los ladrones tradicionales roban con el menos sutil método de atarlos a una camioneta y arrastrarlos hasta que escupan el dinero.
Primero, Jack utilizó una llave universal para abrir el compartimiento electrónico del cajero y luego ejecutó un rootkit que fabricó él mismo (llamado Scrooge) usando un pendrive USB, que le permite tomar control de la máquina y hacer que entregue sus billetes (también podría haber hecho otras cosas, como ver una película, jugar, etc).
También desarrolló un sistema de administración online que le permite vigilar las máquinas y recolectar datos de las tarjetas de personas que utilicen ese equipo.
Los cajeros en peligro son los que corren usando Windows CE sobre plataformas ARM o XScale, y los fabricantes fueron advertidos con anticipación a esta demostración en Las Vegas para que tomaran medidas. Aún así, Jack indicó que todavía hay cajeros que son vulnerables a este ataque cuyos fabricantes no habían podido ser identificados como para alertar de esta vulnerabilidad.
Link: ATM hack gives cash on demand (PCWorld vía CHW)