E o foco, novamente, cai sobre os ATMs e sua péssima segurança. Na conferência deste ano da Black Hat, Barnaby Jack fez uma apresentação entitulada "Jackpotting Automated Teller Machines". De acordo com relatos da mídia, Barnaby Jack, que acaba de se tornar diretor do Security Research na IOActive Labs, utilizou dois ATMs isolados (standalone), cada um produzido pelos fabricantes Tranax e Triton, para demonstrar os resultados de sua pesquisa: após um clique no botão de jackpot do "Dillinger", o software desenvolvido por Jack, o ATM começou a "cuspir" dinheiro, que rapidamente começou a se acumular na frente da máquina.
Para hackear a máquina produzida pela Tranax, Jack explorou uma vulnerabilidade na funcionalidade de manutenção remota que vem habilitada por padrão. Essa funcionalidade permitiu a injeção remota de um firmware produzido por jack, sem nenhuma autorização via senha. Jack também desenvolveu um rootkit chamado Scrooge. O mesmo é dito ser totalmente invisível até que uma combinação específica de teclas é executada, ou que um cartão magnético específico seja inserido no ATM.
Vale ressaltar que a máquina da Triton não permitia que Jack fizesse uma intrusão via interface externa. Entretanto, o especialista em segurança descobriu que enquanto a caixa por si é segura, o hardware do PC é acessível via chave-mestra. jack informou que pagou míseros US$ 10,78 por uma chave na Internet, e com a chave, ele foi capaz de injetar o firmware modificado em um ATM Triton utilizando um pen-drive USB especialmente produzido para a ação.
Com relação aos ATMs de outros fabricantes, é provável que os mesmos sejam vulneráveis a esse tipo de ataque. Muitos ATMs no mercado utilizam o Windows CE, que controla o acesso dom módulo de distribuição de dinheiro através de uma interface serial. Até o momento, ambos os fabricantes de ATM (Tranax e a Triton) já informaram ter fechado essas vulnerabilidades que foram expostas por Jack. De acordo com um relatório da CNET, o vice-presidente de engenharia da Triton, disse em plena conferência que a sua empresa agora já oferece substituições opcionais de trancas com chaves únicas.
E esse é um caso raro de uma empresa participando e promovendo a segurança de seus equipamentos em conjunto a especialistas e eventos. O curioso é que essa mesma apresentação foi retirada da conferência do ano passado pela própria Juniper Networks, a empresa para qual Jack trabalhava. O motivo? Uma queixa apresentada por um fornecedor de ATM. Casos como esse, de fabricantes intervindo em conferências sobre segurança parecem ter se transformado em lugar-comum. A última notícia sobre o assunto foi noticiada aqui no Under-Linux esse ano. Na ocasião, Raoul Chisea, um especialista em segurança italiano, foi ameaçado de prisão na conferência Hack In The Box, caso participasse como palestrante no evento. O assunto da palestra? A segurança dos terminais de atendimento bancário utilizados para transações financeiras (os conhecidos ATMs).
Chisea trabalha para várias organizações, incluindo a ENISA (European Network and Information Security Agency) e a UNICRI (United Nations Interregional Crime and Justice Research Institute). Ele pŕetendia dar uma palestra sob o tema "The Underground Economy" (em tradução literal, "A Economia do Submundo"), mostrando como criminosos são capazes de obter dinheiro explorando vulnerabilidades de segurança em ATMs.
Esse mercado parece querer andar na contra-mão da segurança de software e hardware, além de cometer atitudes que poderiam ser consideradas crimes perante as leis de cada país, como ameaças de prisão de palestrantes. para quem quiser ler o texto na íntegra, siga o link abaixo:
Notícias Relacionadas:
- Especialista em Segurança Ameaçado de Prisão
Links de Interesse:
- ATMs badly secured
Mensagem do Sistema