Proponha uma correção, faça uma sugestão
Hacker expõe vulnerabilidade de segurança em caixas ATM
No nosso quotidiano, confiamos nos bancos para guardar e tomar as devidas medidas para manterem seguras as nossas poupanças. Um dos principais intermediários entre essas poupanças e nós, são as caixas ATM (mais vulgarmente designadas por caixas multibanco). Mas, será que este serviço, está devidamente seguro face aos desafios de ataques sofisticados de organizações dedicadas ao cyber crime?
Um investigador ligado à IOActive conseguiu através de um “hack” ter acesso a uma caixa ATM e fazer com que esta debitasse dinheiro sem qualquer limite bem como recolher informação de todas as pessoas que a usaram. O Hacker com o nome Barnaby Jack, mostrou o resultado do seu trabalho de investigação no certame Black Hat, um dos principais pontos de concentração anuais de hackers vindos de diferentes cantos do mundo.
Como nós sabemos os criminosos hábeis, têm encontrado ao longo dos anos vários mecanismos para tentar quebrar a segurança das máquinas ATM. Desde dispositivos ligados às mesmas, de modo a se fazerem passar por leitores de cartões originais (quando são dispositivos para registar dados do cartão e números pin), até ao método mais ortodoxo que está na moda de atrelar as mesmas a veículos pesados procedendo ao seu “arrastão”, de facto tem valido tudo.
Mas segundo Jack existe um método muito mais fácil e alarmante. Os criminosos com conhecimentos de informática podem se ligar por dial up a algumas máquinas, devido ao facto de muitas terem um mecanismo de gestão remota, que pode ser acedido pela linha telefónica. Depois da ligação ser estabelecida, basta executar um ataque para a segurança da caixa ser comprometida.
Depois deste hacker ter experimentado com duas máquinas, que adquiriu e estudou durante algum tempo, desenvolveu um processo de forma a circundar o sistema de autenticação remota das máquinas e instalar um rootkit que desenvolveu (de nome Scrooge), que lhe permitiu controlar o firmware do equipamento. Jack também desenvolveu uma ferramenta online de gestão, designada como Dillinger, que permitia manter o rasto das caixas comprometidas e guardar toda a informação dos cartões das pessoas que a utilizaram.
Segundo o investigador, tudo não passa de um “proof-of-concept” e refere que: “O objectivo é fomentar a discussão acerca da melhor forma de remediar estes pontos. Está na altura destes dispositivos serem renovados, as empresas que fabricam estes dispositivos não são a Microsoft. Elas não têm, 10 anos de ataques contínuos contra os seus sistemas.”
Apesar desta afirmação, ironicamente uma das máquinas ATM comprometidas, era baseada no Windows CE da Microsoft.
Numa das suas demonstrações, Jack conseguiu através de um programa que denominou Jackpot ligar-se a uma caixa ATM e fazer com que ela expelisse várias notas, enquanto tocava um som e mostrava no visor a palavra “Jackpot”.
Numa segunda demonstração, chegou perto de uma caixa ATM e abriu-a com uma "chave" que obteve da Internet, instalando manualmente o seu próprio firmware. Segundo o mesmo, trata-se de uma chave standard (uma espécie de chave mestra), que consegue abrir diferentes tipos de máquinas. O que prova outro problema, mais no campo da segurança física desta máquina.
Estes novos dados deixam-nos a pensar o seguinte, praticamente nos últimos 10 anos tudo evoluiu tecnologicamente, desde automóveis até computadores, passando por telemóveis. Mas olhamos para o caso das caixas ATM, como uma tecnologia, que apesar de ser fiável devido a sempre ter funcionado ao longo destes anos, pode não estar devidamente adequada aos padrões de segurança que a sociedade actual e tecnológica realmente o exige.
É certo que este investigador, demonstrou estas falhas depois de dar tempo às fabricantes das máquinas ATM de as corrigir e que em Portugal a segurança das caixas pode até ser menos alarmante. Mas se estas falhas tão grandes de segurança foram encontradas, que outras portas estão ainda por diagnosticar e à espera de serem exploradas por criminosos? ComputerWord
Este artigo tem mais de um ano
Loading ...
“… e que em Portugal a segurança das caixas pode até ser menos alarmante.” Qual é a base desta afirmação?
Os relatórios incidentes apresentados ano passado pela SIBS.
Em Portugal não há tantas pessoas com o aspecto de ‘macho-man’ daquele indivíduo da fotografia.
E o Zézé Camarinha?
“Numa segunda demonstração, chegou perto de uma caixa ATM e abriu-a com uma “chave” que obteve da Internet, instalando manualmente o seu próprio firmware. Segundo o mesmo, trata-se de uma chave standard (uma espécie de chave mestra), que consegue abrir diferentes tipos de máquinas.”
só eu não arranjo destas chaves…
Então não… basta saberes a marca da ATM e vasculhar a net… o que é que hoje não se “compra” na net?
Queres uma chave dessas ? procura por bump keys no google.
Incrível foi encontrar no Google um manual para abrir as máquinas… é incrível mesmo. Assim de repente o Google faz-me lembrar uma escola do crime, tipo o que se vê no Discovery Channel “atrás das grades” onde um tipo é preso por posse e tráfico de droga e sai de lá com um mestrado em crimes dos mais variados tipos.
Nada está seguro hoje em dia, tudo se resolve numa questão de tempo, mas as caixas ATM pelos vistos é um grande desafio para estes “Génios da Informática”.
Criar uma empresa para fazer infiltrações e quebrar sistemas de segurança parece-me que será uma boa ideia de se lucrar e fugir desta crise, não acham?
Acho que nisto tudo o mais estupido é o facto de poderes mandar vir uma chave mestra pela internet :s
Mas repara, isso é simples, basta um “funcionário” da empresa que fabrica essas máquinas, ter um “extra job” e “revende” essas chaves online… deve valer uma “pipa” de massa!
Lol pois, mas isso é sempre 😛
O problema aqui é mesmo elas terem chaves mestra :s
Adorei a publicação, aliás, todo o Blog está demais e todos os dias venho visitá-lo.
Mas o que gostei mais foram os comentários… Muito bem pensado!
Mas nós estamos num mundo que aos criminosos, já ninguém os pára… Aliás de a nossa polícia ser uma grande equipa.
Por exemplo, o roubo de telémoveis… Por dia, em Portugal mais de 10 telémoveis são roubados.
Eu penso que poderiam desenvolver uma secção de pessoas experientes e localizavam os telémoveis(onde possivelmente a pessoa tem mais deles ou mais coisas roubadas).
Talvez se fizessem isso subia 1% da taxa de desemprego em Portugal(no gozo).
Enfim, acho que foi das melhores postagens que já vi num Blog.
Ainda há mercado para telemóveis roubados? :O
realmente… com telemóveis touchscreen por 50, 75€ com garantia de 2 anos e oferecem cartão etc etc, e agora a optimus a vende-los desbloqueados… só compra roubado quem é burro ou ganancioso e não pensa nos outros
Pois, teem razão… Mas se o telémovel não fizer sucesso fica para eles não é?
hmmm é verdade que essa parte da chave mestra parece problemática, no entanto muita da segurança vem do facto de as ATM se encontrarem ligadas numa rede privada e para acederem a essa rede seria preciso ligarem um dispositivo qualquer entre a ATM e a rede… e isso não é muito fácil estando num local com bastantes pessoas e muitas vezes com seguranças( por exemplo shoppings) a passarem de um lado para o outro. As ATM não estão assim tão inseguras como parece… Agora a partir do momento em que esse dispositivo está colocado a história é outra 😛
Quando uma vez programei um sistema de pagamentos por entidade e referência que utilizava ligação directa à sibs, utilizando apenas uma simples api fornecida por um revendedor deles, encontrei 2 vulnerabilidades graves.
A nossa empresa contactou-os e levou algum tempo a corrigirem o problema, era um erro “server side” e não envolvia alterações por parte dos clientes nem modificações em sites etc. Durante esses dias, qualquer pessoa k tivesse conhecimentos poderia ter facilmente desviado fundos de pagamentos para nibs diferentes.
A verdade é que o erro foi corrigido e eles foram competentes, e a sensação que me continua a dar é que portugal nestes campos tecnológicos está muito à frente de paises como os estados unidos e companhia. resta-nos ter cabeça e manter esta vantagem e tirar proveito da nossa capacidade de desenvolvimento de productos tecnologicos
Não ponho as mãos no fogo pela nossa rede MB, mas a verdade é que é considerada uma das melhores do mundo, não só pela quantidade de serviços mas pelos avanços tecnológicos. Muito por causa de sermos um país pequeno onde foi possível unificar a rede multibanco, enquanto que lá fora encontras cada banco tem a sua rede. É provável que estas falhas encontradas não sejam possíveis de ser implementadas na nossa rede MB.
Pois, a sibs, então eles até têm uma pagina acessível através da Internet que dá para visualizar quase todas as suas transacções e nem é preciso fazer login 🙂 a única dificuldade está no nome do url que é mesmo grande 🙂
Qualquer dia até esse url aparece nas pesquisas do google 🙂
Tas enganado… para aceder ao site tens de ter uma ligacao dedicada a sibs e tens um sistema de autenticacao complexo os bancos com homebanking ainda nao disponibilizam esse modo de autenticacao porque e muito dispendioso a implementacao
As caixas multibanco e a via verde não foram um invento português?
Parece que me lembro de uma qualquer reportagem, em que dizia que tinham sido inventadas em Portugal.
Não e não.
A via verde é apenas foi pioneira em aplicar em todas as auto-estradas esse sistema, enquanto que noutros países não “pegou” digamos assim, quanto ao sistema é um RFID normalíssimo. Acho até que a empresa onde a via verde compra os equipamentos é finlandesa (se não estou em erro).
Quanto ao MB, Portugal foi um dos últimos países da Europa ocidental a instalá-lo, “o equipamento usado representou o que havia de mais avançado, baseado nas experiências de outros países, muitos dos quais gastam agora imenso dinheiro para substituir e actualizar máquinas obsoletas.”
Onde somos pioneiros é nas funcionalidades (+60) onde em outros países europeus permite apenas levantar dinheiro, ver o saldo, carregar o telemóvel e pouco mais.
Então devo de ter feito confusão com outra coisa.
São pioneiros é na diversidade na oferta de serviços pelo Multibanco… de tal forma que vieram de todo mundo delegações de bancos para conhecer o sistema português… não sei se no estrangeiro já começaram a copiar ou não… mas é muito tentador! Vejam… se as pessoas poderem fazer tudo pela máquina automática os bancos podem poupar e simultâneamente ganhar largos milhões de euros.
“método mais ortodoxo que está na moda de atrelar as mesmas a veículos pesados procedendo ao seu “arrastão””
Tecnicamente designado como “Hackrastão” 🙂
Ou Bare-Metal Hack 🙂
meldels, a vida imita a arte.
já estou até vendo uma cena do “Swordfish” na vida real.
Boas,
Hoje em dia, independente do sistema, um computador basta estar ligado à corrente e à net que deixa de ser seguro, nenhum sistema é 100% “à prova de bala” embora tenham alguns que são mais resistentes que outros.
Acho que as empresas/utilizadores deveriam ser mais responsabilizados pelas “tolices” que fazem… (instalar programitas tolos que até são engraçados mas vêm com muito spyware/adware, não ter antivírus no computador, software com cracks etc.)
Também acho piada os ISP’s que fazem netshaping por causa dos downloads “ilegais” e depois têm os servers todos atrofiados cheios de buracos e são os próprios ISP’s a espalhar vírus (digo ISP’s no geral pois infelizmente no meu caso o ISP que tinha anteriormente tinha uma falha nos servidores DNS que faziam sempre o tráfego fosse parar sabe-se lá onde, era estilo um bot/torjan(o que lhes quiserem chamar) lá enfiado, durou ainda uns dias e tudo porque não eram actualizados à anos…
Em portugal temos também alguns incidentes com caixas ATM, já não é a primeira vez que vejo um “erro” do windows lá escarrapachado ou um BSOD e isso não acontece por acaso.
A rede ATM da sibs (vulgo multibanco) não está ligada à Web.
Isto é tudo muito bonito e tal mas convém é esclarecer a malta que esta notícia não é sobre as ATM’s Portuguesas, aliás, por algum motivo, a rede SIBS e o seu parque de máquinas é considerado o melhor e mais seguro da Europa (aí os americanos nem entram para as contas porque o sistema deles é um Fail total).
Sobre as bump keys nas ATM de cá não servem de nada, uma vez que as máquinas são compostas por 2 módulos autónomos em que a parte “interessante” ao ladrãozeco não está acessível pelo uso dessas mesmas, e assim que a máquina for aberta por essa mesma via o módulo “interessante” fica bloqueado. Não vale a pena atirar para o ar, eu fruto do meu trabalho sei bem demais como funciona, se tiverem duvidas e conhecerem alguém no ramo questionem.
Para terminar, e como é referido por um user e muito bem, a rede das ATM’s não está na web e é gerida em simultâneo em 2 pólos e por entidades diferentes sendo sempre uma delas a SIBS.
Ainda aqui à um ano ou perto andaram por ai a rondar os manuais das ATM americanas. PDF, com as passwords default … enfim.
Neste aspecto, estamos de longe, à frente dos “bifes”… e nas telecomunicações também. Basta o simples exemplo do “L” detector de metais nas cabines telefónicas, invalida logo qualquer cartão “caseiro” feito com as PCB fininhas e um PICzito. E o Red Boxing, que em Portugal nunca existiu, etc, etc, etc 🙂
os bifes são Bretões não são ianques…
Se é para ser correcto… o termo Bretão não se aplica somente aos habitantes da Grã-Bretanha:
Aqui:http://pt.wikipedia.org/wiki/Bretão
E depois aqui: http://pt.wikipedia.org/wiki/Bretanha
Para quem conhecia o site milw0rm sabe muito bem que já havia disponivel uma serie de exploits de tudo e mais alguma coisa ( incluido as caixas ATM ) mas desde que o dono faleceu, que acabou… (infelizmente)
O dono não morreu!
Pensava que este “mito” já tivesse desaparecido.
Ele teve problemas com a policia e simplesmente “parou” o milw0rm. Inclusive ele proprio ainda escreve no twitter dele e afirmou que isso foi inventado por alguem.
Digo parou porque fez outros projectos com outros nomes. ha sites identicos ao milw0rm actualizados e a funcionar. faz uma pesquisa no google encontras logo
Às vezes é como se interpreta a “notícia”.
Claro que não morreu, mas nunca ouviste a expressão “parar é morrer” ?
Ele “parou” com o projecto, é como se uma parte dele morresse. daí o boato.