BackDoor Room 13 Team Blog de informatica general... con estilo :)

Una vulnerabilidad de Windows CE descubierta por Jack Barnaby, director de investigación de IOActive Labs, fue puesta en evidencia cuando éste logro vaciar dos cajeros automáticos como parte de su presentación en el Black Hat Conference de las Vegas.

El año pasado la presentación de Jack fue cancelada de última hora, pues Juniper Networks, empresa para la que él laboraba cedió a la presión ejercida por los fabricantes de Cajeros Automáticos (ATM, por sus siglas en inglés) por lo que el famoso hacker no tuvo más remedio que volver este año y comprobar, en vivo y en directo, su hallazgo.

El primer cajero vulnerado pertenece a Triton, empresa basada en Mississippi, Estados Unidos que tiene más de 150,000 ATM instalados alrededor del mundo.

Para vulnerar el equipo, Jack utilizó un USB llave universal (master key), que compró en el mercado clandestino del web por menos de $10 dólares.

La llave le permitió, al director de investigación de IOActive Labs, instalar un código o programa malicioso en la tarjeta madre de la máquina, que sobrescribe el firmware del cajero automático a fin de poder manipular el equipo a su conveniencia.

De acuerdo con medios estadunidenses, Jack Barnaby sorprendió al auditorio del Black Hat, luego de que forzara al cajero a “escupir” billete por billete e incluso logró reproducir en el ATM una sinfonía similar a la que las máquinas de juego de Las Vegas tocan al momento que el jugador gana el Jackpot.

El desarrollador de cajeros automáticos Triton ya ha informado en su sitio web, que debido a esta vulnerabilidad parchó el error en el sistema y sus cajeros ATM correrán software certificado por la compañía.

El segundo ATM vulnerado por Barnaby fue manufacturado por Tranax, para éste el hacker utilizó una herramienta llamada Dillinger, la cual aprovechó una vulnerabilidad en el sistema de autenticación remota del cajero.

Esta falla le permitió instalar un Rootkit, bajo el nombre de Scrooge, el cual se oculta dentro del sistema y vive incluso por debajo de la lista de procesos de la máquina. Una vez dentro del equipo el programa ofrece la capacidad de vigilar y recolectar datos de las tarjetas de crédito y débito de las personas que utilicen el cajero.

Barnaby aseguró a los medios que el objetivo de su demostración era advertir sobre los problemas o vulnerabilidades en los sistemas embebidos, tales como los ATM, las máquinas de voto electrónico y los parquímetros.

Según la información revelada, los cajeros en peligro son aquellos que corren Windows CE sobre plataformas ARM o XScale, y los fabricantes fueron advertidos con anticipación a esta demostración en Las Vegas para que tomaran medidas.