domingo, 1 de agosto de 2010

Cajero Violado


¿Han tenido un sueño en donde el cajero automático se vuelve loco y les avienta un billete tras otro sin parar? Barnaby Jack ha hecho esto posible, presentando en su conferencia de Black Hat una demostración de cómo hacer que estos cajeros automáticos (ATM) “se vuelvan locos”.

Black Hat es un evento (de los más importantes en su ramo) donde se presentan una serie de conferencias de seguridad con diferentes temas. En esta ocasión nos concentraremos en la que hizo Barnaby.

El investigador obtuvo dos cajeros de las marcas Tranax y Triton. Después de analizarlos por más de un año (iba a hacer esta presentación en 2009), pudo hackearlos y adueñarse de ellos. Estas marcas de cajeros no son de un banco en específico, al menos en EUA se usan como las típicas ATM que se encuentran en súpers o restaurantes.

Para el caso de Tranax, se explotó una debilidad en el software del cajero que permitía evadir los controles de autenticación e instalar así cualquier programa (obvio, no se ejecutó cualquier programa sino uno especialmente diseñado para controlar la ATM). Este ataque se puede llevar a cabo sin tocar al cajero, es decir, por Internet o por dial-up.

Jack nos dice que para realizar el ataque, se necesita saber la dirección IP del cajero o su “número telefónico” (se puede hacer un wardialing -barrido- y descubrir a los cajeros de esta marca, por ejemplo). Una vez que se tiene al cajero en la mira, se le instala un rootkit vía red, Barnaby codifico uno y lo bautizó como Dillinger. A partir de ese momento, se puede ordenar al cajero sacar todo el dinero o simplemente grabar la información de las tarjetas que a partir de ahora se inserten en él. El cajero ha cambiado de dueño.

Para el caso del cajero marca Triton, se debe de interactuar con el cajero. Éste se abre con el fin de conectar una memoria USB, la cual infecta al cajero con un troyano. La llave para abrir esos cajeros cuesta 10 dólares en EUA y es una llave maestra para todos los cajeros de esa marca. ¿Así o más fácil?

¿Qué significa todo esto? Que al menos esas marcas de ATM y me atrevo a decir que otras también, carecen de una seguridad medianamente aceptable. ¡Ah! Por cierto. ¿Mencioné que usan el sistema operativo Windows CE? ¿No? Pequeño detalle.

Para mi gusto, el error principal es la siguiente fórmula: Cajeros=PC. Desgraciadamente estos cajeros no cuentan con mucha tecnología “propia”, es decir, me parece que se limitaron a transformar una computadora en cajero. Tiene todos los elementos: Windows, puertos USB, son programables, etc. Es lo más barato, ciertamente, pero al menos pueden echarle neuronas para hacerlo más seguro y de paso hasta eficiente.

Lo he dicho antes y lo repito ahora. No tengo nada en contra de Windows, sino del uso extendido que se le da para todo tipo de sistemas. Desde el sector militar, hasta equipos destinados para seguridad nacional, administración de infraestructura (agua, electricidad) y hasta en cajeros automáticos podemos encontrar “ventanas”.

Si usas el mismo operativo que usan millones de personas, estás sujeto a las “mil y una” debilidades encontradas y usadas por los hackers. Es decir, un cuate con Windows puede experimentar con él todo lo que quiera, y sabrá que sus ataques funcionan en sistemas críticos en todas partes del mundo. Es como darles un ambiente de pruebas para atacar nuestros ambientes de producción.

Y también como he dicho antes, el problema no es tanto el hecho de usar Windows, sino que se instala y configura sin tener a la seguridad en mente. Si vas a poner Windows en un cajero, al menos endurécelo y deshabilita los USB; no es infalible pero al menos habrás avanzado un tanto y no te cuesta.

Puedes buscar videos de estos hackeos a los cajeros en Youtube (buscar por “Barnaby ATM”) y encontrarás un par.

#NoTechHack: Aquí se hacen hackeos más primitivos: “sopletean” a los cajeros; quién necesita encontrar debilidades en el software cuando el mismo objetivo$ se puede alcanzar? Supongo que es “the mexican way”.