ATM Windows-CE vulnerables

ATM Windows-CE vulnerables
30 de julio, 2010

El experto en seguridad Barnaby Jack ha demostrado en directo en la Conferencia BlackHat las vulnerabilidades de algunos tipos de cajeros automáticos (ATM) con sistema operativo Windows CE. Una llave universal para abrir el cajero y un rootkit preparado al efecto lanzado desde un llavero Flash fue suficiente para que el cajero soltara dinero por doquier. La vulnerabilidad fue comunicada a los fabricantes hace meses y suponemos está corregida aunque el experto advierte de otros ATM vulnerables. 

 

La conferencia programada en el BlackHat de 2009 del investigador de seguridad Barnaby Jack sobre ataques por vulnerabilidad del software en cajeros automaticos, fue suspendida en 2009 ante las presiones de algunas compañías a su entonces empleador Juniper Networks.

 

 

Jack prometió volver en esta edición (ya no trabaja en Juniper) para mostrar ataques locales y remotos a estas máquinas que pierden anualmente 8.000 millones de dólares. Cifras estimadas por algunos investigadores ya que las oficiales son secretas por motivos obvios.

 

En la demostración en directo, Jack armado con una llave universal para acceder a la electrónica del cajero y un pendrive, consiguió fácilmente tras la ejecución de un rootkit programado al efecto tomar el control total de la máquina con una imagen que rezaba “Jackpot!” (premio gordo) en la pantalla.

 

 

Esta vulnerabilidad afecta al sistema operativo Windows CE y ya fue comunicada a fabricantes de cajeros automáticos como Trannax y Triton, aunque Jack advierte que otros cuatro tipos de ATM (no revelados) utilizados en Estados Unidos se podrían hackear de forma similar. Un fraude en cajeros que aumentó en Europa un 149 por ciento en 2008 según la Agencia Europea ENISA. Los ataques por vulnerabilidades de software en local y remotamente son posibles como vemos y se unen a otros como el empleo de cámaras espías en miniatura, superposición de teclados y lectores falsos o uso de portátiles con Bluetooth para recoger información de las tarjetas y el PIN.

  • Share This