No nosso quotidiano, confiamos nos bancos para guardar e tomar as devidas medidas para manterem seguras as nossas poupanças. Um dos principais intermediários entre essas poupanças e nós, são as caixas ATM (mais vulgarmente designadas por caixas multibanco). Mas, será que este serviço, está devidamente seguro face aos desafios de ataques sofisticados de organizações dedicadas ao cyber crime?
Um investigador ligado à IOActive conseguiu através de um “hack” ter acesso a uma caixa ATM e fazer com que esta debitasse dinheiro sem qualquer limite bem como recolher informação de todas as pessoas que a usaram. O Hacker com o nome Barnaby Jack, mostrou o resultado do seu trabalho de investigação no certame Black Hat, um dos principais pontos de concentração anuais de hackers vindos de diferentes cantos do mundo.
Como nós sabemos os criminosos hábeis, têm encontrado ao longo dos anos vários mecanismos para tentar quebrar a segurança das máquinas ATM. Desde dispositivos ligados às mesmas, de modo a se fazerem passar por leitores de cartões originais (quando são dispositivos para registar dados do cartão e números pin), até ao método mais ortodoxo que está na moda de atrelar as mesmas a veículos pesados procedendo ao seu “arrastão”, de facto tem valido tudo.
Mas segundo Jack existe um método muito mais fácil e alarmante. Os criminosos com conhecimentos de informática podem se ligar por dial up a algumas máquinas, devido ao facto de muitas terem um mecanismo de gestão remota, que pode ser acedido pela linha telefónica. Depois da ligação ser estabelecida, basta executar um ataque para a segurança da caixa ser comprometida.
Depois deste hacker ter experimentado com duas máquinas, que adquiriu e estudou durante algum tempo, desenvolveu um processo de forma a circundar o sistema de autenticação remota das máquinas e instalar um rootkit que desenvolveu (de nome Scrooge), que lhe permitiu controlar o firmware do equipamento. Jack também desenvolveu uma ferramenta online de gestão, designada como Dillinger, que permitia manter o rasto das caixas comprometidas e guardar toda a informação dos cartões das pessoas que a utilizaram.
Segundo o investigador, tudo não passa de um “proof-of-concept” e refere que: “O objectivo é fomentar a discussão acerca da melhor forma de remediar estes pontos. Está na altura destes dispositivos serem renovados, as empresas que fabricam estes dispositivos não são a Microsoft. Elas não têm, 10 anos de ataques contínuos contra os seus sistemas.”
Apesar desta afirmação, ironicamente uma das máquinas ATM comprometidas, era baseada no Windows CE da Microsoft.
Numa das suas demonstrações, Jack conseguiu através de um programa que denominou Jackpot ligar-se a uma caixa ATM e fazer com que ela expelisse várias notas, enquanto tocava um som e mostrava no visor a palavra “Jackpot”.
Numa segunda demonstração, chegou perto de uma caixa ATM e abriu-a com uma “chave” que obteve da Internet, instalando manualmente o seu próprio firmware. Segundo o mesmo, trata-se de uma chave standard (uma espécie de chave mestra), que consegue abrir diferentes tipos de máquinas. O que prova outro problema, mais no campo da segurança física desta máquina.
Estes novos dados deixam-nos a pensar o seguinte, praticamente nos últimos 10 anos tudo evoluiu tecnologicamente, desde automóveis até computadores, passando por telemóveis. Mas olhamos para o caso das caixas ATM, como uma tecnologia, que apesar de ser fiável devido a sempre ter funcionado ao longo destes anos, pode não estar devidamente adequada aos padrões de segurança que a sociedade actual e tecnológica realmente o exige.
É certo que este investigador, demonstrou estas falhas depois de dar tempo às fabricantes das máquinas ATM de as corrigir e que em Portugal a segurança das caixas pode até ser menos alarmante. Mas se estas falhas tão grandes de segurança foram encontradas, que outras portas estão ainda por diagnosticar e à espera de serem exploradas por criminosos? ComputerWord