¿Cómo podría alguien explotar el sistema operativo que está ejecutando un cajero automático?

20

Como estoy seguro de que muchos de ustedes han escuchado, el fin del soporte para Windows XP es el supuesto apocalipsis para cajeros automáticos en todo el mundo. Soy consciente de que esto garantiza que no se emitan más parches y que los bancos deben tomar esa amenaza en serio. Me está costando mucho identificar los posibles vectores de ataque y, para mí, parece que esto está siendo sensacionalista.

Sabemos que la mayoría de los ataques contra cajeros automáticos son contra el entorno de los cajeros automáticos (es decir, Card Skimming) y no con el software en sí. Esta amenaza nunca puede ser completamente erradicada. Dicho esto, ¿alguien puede indicar cómo el software que ejecuta el software podría servir como un exploit?

Quizás estoy siendo ingenuo, sin embargo, la máquina en sí misma ofrece interfaces físicas limitadas para explotar: sin puertos USB u otros puertos de bus, acceso a un puerto serie, etc. en el cajero automático, y el único vector que pude ver posiblemente explotado es la propia ranura de la tarjeta.

¿Cómo podría alguien explotar el sistema operativo en el que se ejecuta el cajero automático?

    
pregunta DKNUCKLES 19.03.2014 - 16:45
fuente

8 respuestas

13

Bueno, hay un par de posibles vectores de ataque que podrían ser relevantes.

Primero los puertos. Sorprendentemente, algunos cajeros automáticos sí tienen puertos USB y han sido atacados a través de ellos (más información here como ejemplo y también este presentación CCC sobre infectar cajeros automáticos con malware). Sin embargo, esperaría que los cajeros automáticos tengan una seguridad física decente para ayudar a mitigar esa clase de riesgo.

Luego está el ataque a través de la red. Una de las desventajas de Windows XP es que los servicios como SMB se están ejecutando y son prácticamente imposibles de deshabilitar sin dificultar la administración del sistema. Obviamente, podría desconectar el firewall de los cajeros automáticos, pero aún debe haber alguna conectividad de red para la administración y para transmitir transacciones.

Ahora esperaría que la red de cajeros automáticos de todos sea físicamente separada y no se pueda contactar con ninguna otra red, pero la idea de que las compañías mantendrán un buen espacio aéreo no es probable que se mantenga el 100% del tiempo en el mundo real (ver ¡En todos los problemas de SCADA que la gente pensaba que no ocurrirían debido a que todos los sistemas SCADA están vacíos de aire!)

Entonces, la respuesta realmente es que el software de cajeros automáticos será atacado de la misma forma en que lo serán otros sistemas Windows XP, puede ser más difícil de realizar pero no imposible.

    
respondido por el Rоry McCune 19.03.2014 - 17:44
fuente
9

Personalmente, no creo que el fin del soporte de Windows XP sea tan importante para sistemas integrados como cajeros automáticos. Le di una respuesta bastante detallada a esto aquí . Sin embargo, definitivamente es importante para el mercado de consumo.

Con respecto a su pregunta sobre cómo podrían explotarse estas cosas, consulte this entrada de blog para algunos ejemplos del pasado. Creo que tiene razón al afirmar que es difícil idear esquemas que ataquen directamente a los cajeros automáticos. No tienen nada, pero el teclado numérico para interactuar y no creo que puedas acceder a ellos directamente a través de la Internet pública.

La mayoría de los ataques tienen al menos algún tipo de componente social (por ejemplo, suplantación de personal de mantenimiento) o se trata de tarjetas de skimming y similares. Este último podría incluso prevenirse en la mayoría de los casos mediante el uso explícito de sistemas basados en chip en lugar de algún tipo de banda magnética.

    
respondido por el Karol Babioch 19.03.2014 - 16:52
fuente
2

El fin del soporte para XP no es una preocupación tan grande para la seguridad de los cajeros automáticos, como lo es la falta de soporte general para el sistema operativo. En este momento, cuando un fabricante de cajeros automáticos se encuentra con un problema con XP, no puede resolverlo, puede llamar al proveedor y obtener asistencia, una vez que XP finaliza su vida, Microsoft simplemente puede rechazar esa ayuda. Los fabricantes de cajeros automáticos que buscan incorporar nuevas funciones pueden verse limitados por esa falta de soporte.

Eso no quiere decir que no haya problemas de seguridad, ya que Ploutus muestra Ploutus es un malware utilizado por ladrones que pueden dividirse en un cajero automático y acceder a un puerto USB. Comenzó en México, pero ahora ha sido visto en Europa . Explota una vulnerabilidad de XP que será reparada mientras exista soporte para el sistema operativo. Una vez que el soporte continúe, las nuevas vulnerabilidades encontradas permanecerán abiertas, por lo que los fabricantes de cajeros automáticos no obtendrán ninguna ayuda.

    
respondido por el GdD 19.03.2014 - 18:31
fuente
1

Aléjate de los detalles y mira la pregunta más grande:

¿Se puede explotar un programa de computadora que acepta entradas?

La respuesta a esa pregunta siempre es sí. Siempre siempre siempre.

No significa que sucederá y no significa que sea fácil, pero existe el potencial de explotación.

Incluso un programa extremadamente simple escrito en un lenguaje muy bien definido es arriesgado porque tiene que ejecutarse a través de un compilador o intérprete (que probablemente sea complicado) y ser ejecutado por un sistema operativo (que probablemente sea complicado) y ejecutarse una CPU (que probablemente sea complicada).

Con eso en mente, volviendo a la pregunta específica ...

Los cajeros automáticos se ejecutan en sistemas operativos basados en código y ejecutan aplicaciones escritas en código. Ese código fue escrito por personas que son falibles.

Este es un posible escenario de ataque: manipular la fuente de alimentación del cajero automático y hacer que el host se apague y luego vuelva a encenderlo. A veces, cuando los sistemas se reinician, le dan la opción de iniciarse en un modo de usuario único o en modo de recuperación. ¿En ese estado, los botones que se presionan en el teclado del cajero automático llegarán al host como entrada de teclado?

    
respondido por el u2702 19.03.2014 - 23:16
fuente
1

Las "interfaces físicas limitadas" no son una gran limitación. Por ejemplo, este video muestra a alguien reprogramando completamente un videojuego de consola (Super Mario World) usando solo el juego controlador.

    
respondido por el Mark 20.03.2014 - 04:54
fuente
0

Además, la propia tarjeta también podría ser un vector de ataque. Recuerde que los datos en la tarjeta deben ser leídos por el cajero automático y serán analizados por un código potencialmente explotable.

EDITAR: Se eliminó un comentario erróneo sobre el formato de datos en las tarjetas bancarias.

    
respondido por el Tim Lamballais 19.03.2014 - 19:34
fuente
0
  

Sabemos que la mayoría de los ataques contra cajeros automáticos son contra el   Entorno del cajero automático (es decir, Card Skimming) y no con el software   sí mismo. Esta amenaza nunca puede ser completamente erradicada. Dicho esto, puede   Alguien señala cómo el software que ejecuta el software podría servir como   un exploit?

Hay ataques contra el software de cajeros automáticos, pero son diferentes de los ataques en el sistema operativo. Cuando se habla de raspar o empalmar tarjetas en el hardware, esas son preocupaciones separadas del sistema operativo. Un parche de seguridad del sistema operativo generalmente trata cosas como la escalada de privilegios, el acceso a la memoria protegida, etc. Dado que el cajero automático es esencialmente una computadora con una pantalla táctil y un lector de tarjetas, si puede tomar la computadora y forzarla a ejecutar un código, no tiene la intención de hacerlo. Modificar datos, capturar datos, cambiar la forma en que funciona el programa. Entonces, si el sistema no está parchado, quizás ahora pueda ejecutar comandos arbitrarios con los privilegios más altos y forzar al software de ATM a hacer algo diferente.

Creo que puede estar romantizando la complejidad y la seguridad de los despliegues de cajeros automáticos del Banco. Los cajeros automáticos pueden no estar en redes públicas, pero a menudo son accesibles para redes corporativas internas. Si necesita solucionar un problema con una caja, cargar software, etc., es probable que no desee enviar un Tech al campo. Por lo tanto, si compromete la red del Banco, puede pivotar a la red de cajeros automáticos potencialmente. Debería considerar a los iniciados maliciosos en el Banco aprovechando las fallas en el sistema.

Desde el punto de vista físico, puede ejecutar el software ATM en el hardware básico. Si un técnico sale al campo, por supuesto, puede conectar equipo, teclado, etc. Un atacante podría hacer lo mismo. Algunos bancos tienen cajeros automáticos integrados en el frente de la tienda, desde donde se puede acceder a la parte posterior desde dentro de la tienda. He visto ejemplos en los que hay un candado simple para protegerlo en el interior. No sería difícil obtener acceso físico.

Aquí hay un ejemplo: Supongamos que se aprovechó de algo como ms12-053 y desarrolló un exploit del mundo real. Dirigirá esta PC desde dentro de la red corporativa, o tal vez no estén cifrando su tráfico y usted empalme físicamente o de otra manera pueda acceder a nivel de red local o físicamente. Si puede ejecutar código arbitrario, quizás instale algún malware o herramientas de informes remotos. Si usted es un crimen organizado, tal vez tenga un exploit específico para ejecutar contra el software de cajeros automáticos o una versión maliciosa y simplemente reemplace el software de cajeros automáticos real.

Al final del día, no es diferente que si no hubiera instalado una PC o un servidor. La diferencia es que si puede comprometer este sistema, tendrá un mejor cambio de robo de dinero, robo de identidad, etc.

    
respondido por el Eric G 19.03.2014 - 23:38
fuente
0

No es raro que ATM esté en el mismo segmento de Ethernet que las PC locales. A menudo utilizan 802.1X / port security para "proteger" la red, pero es fácil de eludir agregando un concentrador simple al puerto (al menos las configuraciones más implementadas).

Este es un escenario de ataque: puede colarse en el banco e instalar un concentrador y un módem GSM / sistema pequeño / incorporado, luego iniciar sesión en su sistema de forma remota y esperar a que el puerto del conmutador se desbloquee por el personal del banco. . Después de eso, tienes una puerta trasera en el banco. Ahora solo es cuestión de explotar errores en Windows XP, lo que no debería ser tan difícil.

Dado el diseño de la red, por supuesto, puede intentar obtener acceso a través de wifi u obtener una puerta trasera en la PC de un empleado. Hay muchas opciones.

La cosa es: todos requieren que estés allí en persona para recuperar el dinero, supongo que es por eso que no vemos tales ataques con frecuencia.

    
respondido por el Johannes 'fish' Ziemke 20.03.2014 - 13:46
fuente

Lea otras preguntas en las etiquetas