segunda-feira, 14 de fevereiro de 2011

Hacker demonstra que caixas eletrônicos são extremamente vulneráveis

Hacker demonstra que caixas eletrônicos são extremamente vulneráveis


Barnaby Jack conseguiu um jackpot na Black Hat (conferência de segurança digital) na última quarta-feira (28/07). Duas vezes. Ao explorar falhas em duas máquinas ATM (caixas eletrônicos) diferentes, o pesquisador da IOActive foi capaz de extorquir dinheiro dos aparelhos e obter dados dos cartões de créditos de clientes que a utilizaram.
O hacker demonstrou sua habilidade em dois dispositivos adquiridos por conta própria – daqueles usualmente encontrados em bares e lojas de conveniência. Criminosos já vêm utilizando tal tática há anos, contratando profissionais para descobrir senhas de cartões ou, às vezes, simplesmente roubando as máquinas a fim de levá-las a um local mais seguro onde a mesma ação será colocada em prática.
Segundo Jack, no entanto, existe uma maneira ainda mais fácil para explorar o sistema: delinquentes podem se conectar ás máquinas simplesmente contatando-as com um telefone. Ele acredita que grande número delas pode ser controlada remotamente a partir de um simples telefonema.
Depois de experimentar com seus próprios aparelhos, Jack desenvolveu um método para derrubar o sistema de autenticação remota e instalar uma praga virtual também feita por ele. Batizada de Scrooge, ela torna possível a substituição do firmware do dispositivo. Mas, Jack não parou por aí: ele construiu um software de gerenciamento online, que lhe permitia manter contato com as máquinas infectadas, de modo a continuar a coletar os dados das pessoas que as utilizavam.
Criminosos poderiam encontrar caixas eletrônicos vulneráveis a partir do software open-source desenvolvido, fazendo com que ele ligasse para inúmeros aparelhos e apenas esperando a reposta daqueles que já estariam infectados. É uma tática parecida com aquela já utilizada para entrar, a partir da internet, no sistema de computadores responsáveis por transações comerciais.
Causa nobre
De acordo com Jack, sua demonstração foi só uma forma de provar o quão vulneráveis são os caixas eletrônicos. “O objetivo de meus atos é iniciar uma discussão sobre as melhores formas para corrigir o problema”, afirma. “Chegou a hora desses dispositivos serem atualizados. As companhias que os fabricaram não são a Microsoft; elas não sofreram dez anos de ataques contínuos”.
As máquinas as quais Jack infectou, no entanto, são baseadas em um sistema operacional da gigante dos softwares, o Windows CE.
 

Em uma convincente performance durante sua palestra na Black Hat, o hacker se conectou a um caixa eletrônico e executou o programa denominado Jackpot. O que se viu a seguir foi uma quantidade significativa de notas saindo do aparelho ao mesmo tempo que a palavra “Jackpot” era exibida em sua tela.
Na segunda parte, Jack caminhou até o dispositivo, invadiu seu sistema com uma senha obtida na internet e instalou seu firmware. Ele diz que uma simples chave pode abrir diversos caixas eletrônicos, ou seja, mais um problema de segurança dos mais preocupantes.
O curioso é que Jack havia planejado a palestra para a conferência do ano passado, mas, foi convencido por vendedores de caixas eletrônicos a adiar suas revelações. Eles pensavam que, com mais tempo, poderiam corrigir as falhas descobertas pelo hacker.

Nenhum comentário:

Postar um comentário

............