Flaw abre cajeros automáticos a piratas informáticos

Barnaby Jack, investigador de seguridad del gigante de las redes informáticas Enebro , había planeado piratear un cajero automático (ATM) en vivo en el escenario de la Conferencia de Seguridad Black Hat en Las Vegas a finales de este mes. Pero su presentación, diseñada para demostrar la inseguridad de varios cajeros automáticos, atrajo la atención de la industria financiera, así como de los profesionales de la seguridad, y bajo la presión de los fabricantes de cajeros automáticos, Juniper canceló la presentación la semana pasada, citando preocupaciones de que las vulnerabilidades involucradas aún no se habían cumplido. reparado.





La vulnerabilidad que Barnaby iba a discutir tiene consecuencias de gran alcance, no solo para el proveedor de cajeros automáticos afectado, sino también para otros proveedores de cajeros automáticos y, en última instancia, para el público, escribió Brendan Lewis, director de relaciones corporativas en redes sociales de Juniper en un comunicado enviado a la compañía. blog oficial la semana pasada. Revelar públicamente los resultados de la investigación antes de que el proveedor afectado pudiera mitigar adecuadamente la exposición habría puesto en riesgo a sus clientes. Eso es algo que no queremos que suceda.

La presentación se habría centrado en explotar las vulnerabilidades en los dispositivos que ejecutan el sistema operativo Windows CE, incluidos algunos cajeros automáticos, según una fuente familiarizada con los detalles. Si bien la presentación se canceló para darles a los fabricantes más tiempo para corregir las vulnerabilidades, Juniper había notificado originalmente a la compañía hace casi ocho meses, dice la fuente, que pidió no ser identificada.

A otros expertos en seguridad no les sorprende que las vulnerabilidades estén ahí para encontrarlas. Hay muchas fallas significativas en los cajeros automáticos y las redes de cajeros automáticos, dice Nicholas Percoco, vicepresidente senior de TrustWave , una firma de cumplimiento y seguridad de la información que ha evaluado la seguridad de terminales de punto de venta, quioscos y redes de cajeros automáticos. Es muy, muy raro que un dispositivo llegue a nuestros laboratorios (de hecho, no creo que haya sucedido) que no encontremos una vulnerabilidad, dice Percoco.



Los cajeros automáticos también han sido el foco de una serie de incidentes de seguridad de alto perfil en los últimos 12 meses. En noviembre de 2008, los ladrones robaron casi $ 9 millones de más de 130 cajeros automáticos en cuestión de horas utilizando tarjetas de nómina falsas. El esquema, que se llevó a cabo en 49 ciudades de todo el mundo, se basó en que los piratas informáticos violaran la red de la firma financiera RBS WorldPay y recargaran las tarjetas para poder retirar un promedio de $ 90,000 por cuenta.

En enero de este año, el segundo mayor fabricante de cajeros automáticos, Diebold, advirtió a los clientes en un aviso que ciertos cajeros automáticos en Europa del Este habían sido cargados con software malicioso capaz de robar información financiera y los PIN secretos de los clientes que realizaban transacciones en cajeros automáticos. El software sigiloso, que infectó al menos 20 cajeros automáticos, permitió a los delincuentes imprimir los detalles de la tarjeta en los recibos de los cajeros automáticos y expulsar el cartucho de efectivo de los quioscos de los cajeros automáticos, según un análisis del software realizado por TrustWave.

Una vez que los atacantes ingresan a través de los sistemas de back-end, esencialmente acampan, dice Percoco. Es dinero en efectivo, por lo que es dinero real; no es como si estuvieran cargando a una tarjeta de crédito y tuvieran que vender los productos.



Entre las recomendaciones para sus clientes, Diebold pidió que los bancos y los propietarios de cajeros automáticos cambien periódicamente las contraseñas de administrador de los quioscos y se aseguren de que los cortafuegos estén activos. Diebold cree que los atacantes debían tener acceso físico a los sistemas para cargar el software malicioso en primer lugar. Según el conocimiento de la compañía, este es el primer incidente relacionado con un ataque físico y la instalación de software ilegal dentro de la unidad del cajero automático, dijo Diebold en un comunicado emitido en ese momento.

NCR, el proveedor líder de cajeros automáticos en todo el mundo, ha adoptado un enfoque de varios niveles para proteger sus cajeros automáticos. La compañía utiliza una tecnología, conocida como Solidcore, que evita que se ejecute código no autorizado en sus sistemas basados ​​en Windows, y recomienda que los clientes bloqueen el sistema operativo Windows XP mediante el firewall integrado y la red privada virtual. Otras características de seguridad incluyen medidas físicas para hacer evidente si un estafador conecta un dispositivo para robar información de la tarjeta en el cajero automático, un mecanismo para evitar que dichos dispositivos lean fácilmente las tarjetas bancarias y tinta que mancha el efectivo robado.

Sin embargo, los representantes de NCR y Diebold negaron que alguna de sus máquinas fuera el foco de la demostración de Juniper.



El sistema operativo utilizado en el sistema afectado, Windows CE, plantea obstáculos para una solución rápida. Microsoft recomienda que Windows CE se utilice para cajeros automáticos dispensadores de efectivo de gama baja, mientras que Windows XP Embedded y Windows XP Professional se utilizan en cajeros automáticos con más funciones, según un libro blanco en plataformas de sistemas operativos de quioscos y cajeros automáticos emitidas por el fabricante del software. Windows XP Embedded, cuya última versión es Windows Embedded Standard 2009, y Windows XP Professional son más seguros porque son más fáciles de actualizar, dice el gigante del software. Un representante de Microsoft declaró que el gigante del software no tenía información específica relacionada con Black Hat o la charla cancelada de Juniper.

Casi el 56 por ciento de los cajeros automáticos en los Estados Unidos ejecutan alguna forma del sistema operativo Windows y están conectados a alguna forma de red que puede facilitar las actualizaciones, según el TowerGroup , una consultoría financiera. Los dispositivos restantes ejecutan un sistema operativo más antiguo, OS / 2 de IBM, y normalmente no tienen conexión de red. Debido a que los cajeros automáticos suelen durar una década o más, las máquinas más antiguas basadas en OS / 2 permanecerán en uso hasta aproximadamente 2012, dice Nicole Sturgill, directora de investigación de canales de distribución en TowerGroup.

Sturgill espera que los ciberdelincuentes encuentren nuevas formas de atacar los cajeros automáticos. Es un juego continuo del gato y el ratón, dice. No importa lo bueno que lo tengas: los cajeros automáticos siempre serán un lugar para acceder al efectivo, por lo que los delincuentes siempre estarán interesados ​​en encontrar un nuevo agujero en los cajeros automáticos.



esconder