La semana pasada se celebró una nueva edición de RootedCON, el evento de ciberseguridad que crece año tras año en asistencia y popularidad, y que este año de hecho planteó dos hilos paralelos de conferencias para dar cabida aún a más contenidos.
Hubo muchas charlas interesantes, y en una de ellas pudimos comprobar como la seguridad de los cajeros automáticos es muy discutible. No nos referimos a los sistemas para recolectar nuestra tarjeta y PIN, sino a ataques informáticos que hacen que sea posible controlar ingresos y reintegros a voluntad del ciberatacante.
La RootedCON, cita imprescindible para expertos de ciberseguridad
Las dos salas del Kinépolis de Ciudad de la Imagen (Madrid) han estado repletas de gente este jueves, viernes y sábado de celebración de RootedCON. Ha habido conferencias multitudinarias en asistencia, y por ejemplo en una de ellas titulada "¡¡OOOSINT nena!! Vamos a por ti Mr. Ripley" Selva Orejón Lozano (@selvaorejon) y Eduardo Sánchez (@eduSatoe) contaban cómo habían utilizado la llamada "Open Source Intelligence" (OSINT) —datos recolectados de fuentes públicas— para lograr ayudar al arresto de Rodrigo Nogueira, el célebre estafador que llevaba meses a la fuga y que parecía muy difícil encontrar.
Fuente: Ananda en Twitter
Omar Benbouazza (@omarbv), uno de los organizadores, nos contaba cómo la feria ha crecido en todo, incluido el número de asistentes (difícil de dar un número exacto, pero rondan los 1.500) y el de charlas: tienen tantas candidatas que este año por primera vez habían abierto dos salas (la 25 y la 19 de Kinépolis) para que en buena parte del evento se pudiera elegir tanto la sección de seguridad pura como la de "Devops".
La asistencia, indicaba Benbouazza, se nutre sobre todo de profesionales (muchos de ellos jóvenes), aunque también hay asistencia de estudiantes que comienzan a tomar interés en unas conferencias con temas técnicos pero también prácticos y que analizaban la realidad de este segmento. La charla 'De casa se viene llorado', de David Meléndez (@TaiksonTexas) exploró esa condena del mundo de la ciberseguridad en el que en España se pagan sueldos de risa por puestos en los que la cualificación es excepcional. Eso, claro, hace que muchos expertos acaben buscando opciones en otros países.
Precisamente ampliar a esas dos sesiones hizo que los organizadores tuvieran cierto estrés. Román Ramírez (@patowc), principal responsable de la organización, nos confesaba cómo toda la presión desapareció cuando vio lo que ocurría en la primera conferencia del evento tras la keynote inaugural. Mikko Hypponen llenó la sala 25 hasta la bandera con su 'World War I': los asistentes tuvieron que incluso sentarse en las escaleras para poder escuchar lo que este experto contaba sobre ese panorama global del mundo de la ciberseguridad.
Ciberseguridad e inseguridad: los cajeros automáticos destripados
Nosotros asistimos por ejemplo a otra de las charlas que se llenaron hasta arriba de asistentes. En 'TLOTA - The Lord Of The ATMs" Rubén Garrote y Rubén Ródenas (@Eldoctorbugs) analizaron en detalle la arquitectura software de un cajero automático convencional. No solo eso: llevaron un cajero físico al evento, aunque finalmente no hubo tiempo para una demostración en vivo de lo que era posible hacer al atacar sus puntos débiles.
Estos dos expertos en ciberseguridad contaron con el apoyo de su empresa, Deloitte, para lograr comprar un cajero y hacer auditoría interna en unas máquinas que como contaron son realmente difíciles de conseguir en el mercado. "Esto no lo vas a encontrar en un chino", bromeaban durante la charla, y explicaron que incluso desesperados llegaron a buscar "ATM" en Amazon.
Finalmente una persona de Turquía que se dedicaba a reacondicionarlos les vendió uno (el coste ronda los 2.500 euros incluyendo transportes y aduanas), lo que permitió que pudiesen comenzar a hacer ingeniería inversa con la limitada documentación disponible y el malware que se había descubierto por parte de anteriores expertos en ciberseguridad.
Todos los cajeros hacen uso de una arquitectura y componentes más o menos iguales, aunque obviamente cada fabricante introduce sus propios protocolos. En ellos se integra un sistema operativo (normalmente Windows, y en algunos casos "Windows 98, qué buena idea", bromeaban de nuevo Garrote y Ródenas) con aplicaciones como antivirus, software de gestión remota (DameWare, TeamViewer) y las aplicaciones bancarias propias.
El análisis de la estructura lógica del sistema operativo dejaba claro que existían diversos vectores de ataque, tanto en las APIs XFS como en el XFS SPI, la capa que existe por debajo y que se comunica directamente con el núcleo del sistema operativo. "Primero atacamos las XFS API, y si eso no hubiera funcionado hubiéramos atacado al XFS SPI o, en último lugar, al driver", explicaban estos expertos.
Hace tiempo que existe malware específico para cajeros automáticos, con ejemplos que van desde el Ploutus de octubre de 2013 a Ripper, que apareció en septiembre de 2016 y que era especialmente sofisticado. Uno de ellos, Tyupkin, fue el causante de que una red de ciberdelicuentes saquease recientemente una buena cantidad de cajeros en toda Europa gracias a este malware disponible para ciertos cajeros de NCR.
Estos malware acaban haciendo posible el desarrollo de clientes XFS desarrollados específicamente para el control de cajeros, y tenemos a un buen ejemplo a DispenseAll, un desarrollo que apareció publicado en GitHub y que permitía, como el propio nombre indica, dispensar todo el dinero de un cajero. El código desapareció de GitHub hace apenas un mes por petición exigencia de la DMCA (Digital Millenium Copyright Act).
Los ataques físicos, contaban estos expertos, también han evolucionado, y ahora abrir los cajetines del cajero es factible a través de técnicas de lockpicking y de impresoras 3D que permitan replicar llaves fácilmente.
En su auditoría interna lograron analizar el acceso directo a la SPI para acabar programando TLOTA, una sencilla utilidad de auditoría en Python con la que aprovechar las vulnerabilidades detectadas y lograr hacer todo lo que quisieran en el cajero. Es posible sacar todo el dinero de sus cajetines, y para ello los ciberdelincuentes hacen uso de una "mula" (como la llamaban estos expertos) que se pasa por el cajero un domingo a las 4 de la madrugada, por ejemplo.
Este es uno de los cajetines en los que se guardan los fajos de billetes.
Es entonces cuando se conectan al cajero para ordenar esa operación, y luego la "mula" lleva el dinero a los ciberdelincuentes. Ese ataque es un simple ejemplo, porque también se pueden hacer operaciones en cuenta e ingresos falsos de dinero que hagan que parezca que ingresas 50 pero en tu cuenta aparezcan 500 o 5.000... por poner una cantidad cualquiera.
Aunque no hubo demostración en directo de esa funcionalidad, los asistentes sí pudimos ver cómo es un cajero por dentro y cómo en el caso del ejemplo el ordenador que lo controla todo es un Pentium 4 que está conectado al sistema de cajetines en los que están los distintos tipos de billete.
Esta es la parte posterior de un cajero: el PC a la izquierda (un Pentium 4 con su disquetera, su unidad de DVD y sus puertos colocados al revés) se conecta por ejemplo a un panel de control de operador (con el teclado numérico de teclas blancas y la pantalla LCD básica) para las opciones del cajero.
Algo curioso: este cajero dispone de un sistema antivandalismo que echa tinta sobre los billetes para volverlos inservibles en casos de ataques a la fuerza. Eso, por supuesto, no parece preocupar mucho a los ciberdelincuentes, que como quedó demostrado tienen muchas opciones a la hora de que los cajeros obedezcan todas sus órdenes.
Más información | RootedCON
En Xataka | Si eres paranoico respecto a la seguridad y la privacidad, tenías razón
Ver 32 comentarios
32 comentarios
jlmartin
Yo he trabajado en mantenimiento y reparación de cajeros automáticos, cajeros que lleven windows 98 en europa ni los hay, ni los ha habido, ahora todos llevan un XP embebido con algunas cosas modificadas, antes la mayoría llevaban Windows 2000 y otros pocos Windows NT, hay unas normativas a nivel europeo que te dicen que sistema y como ha de ser el software que lleva un cajero.
Si, un cajero es un PC con un par de impresoras, un lector de tarjetas y un dispensador de dinero, y no, no esta conectado a internet, esta conectado a la red interna del banco.
El modelo de la foro es un NCR antiguo, muy usado por kutxa, por ultimo una curiosidad, los cajeros de Kutxa llevan un sistema de extinción de incendios en su interior.
Usuario desactivado
Yo sobre esto tengo 2 opiniones.. La primera es que antes de usar todos estos "programitas" necesitas tener acceso al cajero o fisico o virtual, no vale ir a lo "Terminator 2" con una moto y lo vacias en 3 segundos... Y una cosa es una conferencia sobre Cyberseguridad, y otra mucho mas distinta es "incentivar" y darle las pautas a seguir a criminales para desguazar los cajeros de medio mundo.. A ver.. No es nada nuevo lo de estos sistemas.. Pero vamos.. Siendo malo.. Yo soy un delincuente de 3 al cuarto, leo la noticia y veo que puedo sacar tajada, me quedo con la copla de los nombres "Rubén Garrote y Rubén Ródenas", y les hago una visita con mis colegas a ver si saco algo.. Y lo que comenzo siendo una burla contra los bancos y el sistema, pasa a ser algo mas peligroso, yo creo que esta gente a veces no mide realmente la gravedad de sus actos por culpa de sus egos y busqueda de renombre.. Un autentico Hacker jamas saldra en las noticias, y menos en una conferencia..
avenger337
Se supone que tienen muchas alarmas. Yo trabajaba en la parte de seguridad y en estos lados de Latinoamérica, los ladrones intentaban arrancarlos de la base e incluso, pasarle soplete como se dió en unos casos de mi país. Pero desde luego reprogramarlos no es nada difícil para alguien que sepa del tema.
Renato
El tema de hackear los cajeros es un tópico recurrente en estas conferencias, acompañado con las burlas por el uso de un sistema más viejo que Matusalén.
Pero para ser un tema tan común ya, supongo que son poquísimos los que saben como atacar un cajero, porque el método de robo más común era y sigue siendo la fuerza bruta.
Eso, o entonces se omite la dificultad de ganar acceso físico al sistema para hackearlos.
Lo que al final se traduce que en estas ferias lo mas importante es ser el más chulo envez de hablar de tópicos que realmente afecten nuestras vidas.
danielvivas
Mira el AEROADMIN, es una herramienta mas facil para esto. Sin instalacion ni configuracion. Y soporta multiusuario
xynite
muy graciosetes los chavales... no será tan sencillo si la banda que más éxito ha tenido en centro y norte de europa los estaba robando mediante detonaciones con inyecciones de gas (cargándose en muchas ocasiones las estructuras de los edificios que los contenían...)
discos encriptados, puertos invertidos para evitar conexiones de dispositivos, programas de listas blancas, listas negras, conexión por cable a red que no tiene acceso inalámbrico, task managers deshabilitados, versiones embebidas que generan cuentas de usuario especiales...
Windows 98? como bien dicen en otro comentario, ni ncr ni diebold ni wincor ni fujitsu han trabajado nunca con windows98 (ni siquiera de la rue papelaco...).