El caso de los cajeros de Citibank revela problemas en la seguridad de los números secretos (PIN)

Enviado por admin el 2. Julio 2008 - 12:16.

Hace unos días informamos en Kriptópolis de la existencia de una intrusión en los servidores de Citibank que controlan las transacciones de sus cajeros en la cadena comercial 7-Eleven, que fue denunciada por el banco al FBI el pasado 1 de febrero.

Pues bien; los detalles que se van conociendo no resultan muy tranquilizadores para los usuarios de cajeros automáticos.

Al parecer los intrusos esta vez ni siquiera tuvieron que tocar los cajeros, sino que interceptaron los PIN (números secretos personales) inexplicablemente sin cifrar en el lado de los ordenadores que procesan las transacciones, que cada vez con más frecuencia utilizan Microsoft Windows (esto no lo digo yo, sino The New York Times ;)...

Aunque los estándares de la industria obligan a utilizar cifrado fuerte, se sospecha que algunos operadores no lo están empleando adecuadamente.

Queda por explicar cómo los intrusos ganaron acceso a los ordenadores que autorizan y procesan las operaciones de los cajeros, pero existe una progresiva tendencia a que estas máquinas puedan ser diagnosticadas y reparadas de forma remota a través de Internet.

 

Referencias:

»

Comentarios

Selecciona arriba tu forma preferida de visualizar
los comentarios y pulsa el botón para guardar tus
preferencias. Éstas sólo se recordarán para tus
próximas visitas si eres usuario registrado.

Santander no se queda atras...

Enviado por anónimo el 2. Julio 2008 - 18:58.

Aca en México, yo creo que los cajeros mas lentos é inestables son los de Santander... continuamente nos dejan ver sus "flamantes pantallas de windows"

Con que confianza puedes usar un cajero cuando te esta mostrando el SO y lo puedes medio manipular con el escueto teclado del aparato!!!!!

mal mal mal

Santander no se queda atras...

Enviado por anónimo el 23. Julio 2008 - 12:17.

Eso cuando están en Windows, cuando están en OS/2 y sin cifrado es más grave, lo puedes capturar con un keyborad logger cualquiera....

Es un desastre...

En Europa sería imposible

Enviado por anónimo el 3. Julio 2008 - 0:05.

Trabajo en el servicio técnico de una empresa fabricante de la mayoría de cajeros de vemos por la calle y os puedo asegurar que eso aquí es imposible que pase. Hace unos años si era posible, pero desde 2005 todas las máquinas que quieran operar en redes tipo Servired, Euro 6000, 4b... tienen que cumplir una normativa de seguridad (EMV) que incluye un teclado que cifra toda la información tecleada con triple DES o RSA, la información nunca viaja en limpio por el cable.

Incluso hace unos años, donde los teclados eran simples matrices de pulsadores, para poder efectuar el tipo de ataque que se describe en la entrada, se necesitaría acceso físico al PC que controla el cajero, cosa bastante complicada si tenemos en cuenta que ese PC está dentro del blindaje de la máquina.

Eso no te sirve de nada si el servidor está comprometido

Enviado por anónimo el 3. Julio 2008 - 13:34.

Claro. Los pines van cifrados por la red y salen cifrados desde el teclado mismo. Perfecto. Pero si al final del recorrido, el servidor que descifra ese pin para compararlo con el que tiene en el disco ha sido comprometido, se acabó la seguridad. Si el servidor que hace eso, tiene un sistema operativo que una y otra vez ha demostrado tener más agujeros que un colador. Y que para colmo, los administradores tienen miedo de aplicar los parches del fabricante porque frecuentemente causan más problemas que los que solucionan... ya te imaginarás.

Por otro lado... ¿me dan permiso para ser el abogado del diablo un ratito? Supongamos que quiero robar números de tarjeta y pines de un cajero automático. Como tiene windows, y con seguridad no ha recibido actualizaciones de seguRidad desde el dia en que se instaló, tendrá más de un agujero de seguridad. Si lograra de alguna manera tener acceso a la red donde está conectado ese cajero, probablemente podría llegar a manipular su software.

¿Que cómo accedemos a esa red? Bueno... si el cajero estuviera conectado a la red local de la sucursal del banco, esto sería tan sencillo como enviar un email malicioso. Total, ningún antivirus detectaría un caballo de Troya hecho específicamente para esto, y con total seguridad el mail sería abierto con outlook así que ya sabemos el resultado.

Ahora el problema del cifrado. Bueno, si bien esos teclados tienen la capacidad de cifrar lo que envían, suelen tener también un modo para trabajar sin cifrar. Esto requeriría una modificación al programa del cajero pero... sabemos perfectamente que hay gente con capacidad más que suficiente para hacer eso: lo demuestran todos los días parchando programas para eliminar complicadas protecciones anticopia diseñadas para ser difíciles de anipular. Con más razón podría hacerse en un programa que no ha sido hecho específicamente para ser complicado. Quedaría agregar una rutina que haga el cifrado por software para no despertar sospechas de que el cajero haya sido manipulado. Habría que saber con qué clave cifrar los datos. Esto podría ser un problema pero en los sistemas que yo he visto, parte de las claves para cifrar se transmitían por la misma red para hacerlas variables. El resto podría obtenerse ya sea teniendo acceso directo a ellas (alguien las carga en los teclados así que alguien las sabe), por ingeniería social simplemente preguntándoselas a quien las sabe, o hasta por fuerza bruta, ya que se posee una parte de la clave el resto podría ser más fácil de obtener.

¿Y para recuperar los datos capturados? Bueno habría varias maneras, pero habiendo manipulado el software bastaría con alguna secuencia de eventos en particular que activara un volcado en pantalla o impresora de la información capturada.

En fin... como posible, parece posible. Aunque esta gente que atacó al Citybank utilizó el método fácil: si tienen servidores windows es mucho más fácil atacar al servidor que a los cajeros.

De todas formas, la decisión del banco de usar windows parece correcta. Cualquiera puede encontrar programadores que trabajen en windows y .net. El ahorro de dinero seguramente paga las pérdidas que hayan tenido. Sobre todo si las pérdidas se las pueden pasar a sus clientes.

esta bastante equivocado

Enviado por anónimo el 4. Julio 2008 - 13:15.

- los cajeros no estan conectados a la red local del banco

- Ningún banco almacena los pines en ninguna bbdd.Eel pin de envia cifrado y el banco emisor de la tarjeta, en tiempo real, vuelve a calcular el pin y lo compara con el pin recibido. Lo que si almacenan es el OFFSET (diferencia entre el pin natural, pin original de la tarjeta y el actual pin que tiene el usuario). El OFFSET suele ser 0 en la mayoria de los casos ya que un usuario no suele cambiar el pin. Si este lo cambia, se almacena su OFFSET, que como dato suelto. no sirve para nada. Se recibe el pin cifrado, se descifra y se compara con el pin natural que se calcula en ese momento + OFFSET almacenado. Todo dentro de un hardware criptográfico dedicado (HSM) conectado e un HOST corriendo OS_390 o Z_OS o similar, nada de windows.

No me extraña...

Enviado por fjmcasas el 3. Julio 2008 - 10:43.

Esta siempre ha sido una de mis mayores sospechas, creo que últimamente aparte de la sofisticación de hackear un cajero cambiando el teclado. Creo que es en los servidores de los bancos donde se producen los mayores casos de uso fraudulento. En mi caso me voy a Hungria y lo único que hice fue ver el estado de mi cuenta en un cajero dentro del mismo banco, cuando volví ya me habian cargado el máximo disponible de la tarjeta al dia siguiente, y repito un cajero en perfecto estado y el único uso que hice de la tarjeta, o que el cajero estaba trucado ( pero estaba dentro del edificio del banco al lado de la caja y de los empleados, vamos un sitio impensable para que le hagan alguna chapuza, por eso elegí ese cajero). Bien al final no me hice cargo y el banco me lo devolvió, pero el cabreo no me lo quitó. Bien pues mas reciente mente más de lo mismo esta vez con otra tarjeta, solo la usé una vez en un comercio en todo el año, bueno pues al cabo de 4 meses me llega un cargo desconocido... ¿coincidencia? solo la usé una vez (lo declaré en la policia incluso donde fué) y os aseguro que no perdí de vista la tarjeta, y al cabo de 4 meses me cargan una cantidad... puede que fuese el comercio o.... el servidor del banco, ¿por que no? Como despues no te dan ninguna explicación...

sistema operativo

Enviado por anónimo el 3. Julio 2008 - 19:17.

Yo creo que el simple hecho de usar windows debería ser prueba suficiente de negligencia por parte del banco. Demuestra un claro desconocimiento de la tecnología que necesitan para prestar el servicio.

Ya sabemos .....

Enviado por anónimo el 3. Julio 2008 - 16:26.

Bueno parece que ya sabemos quienes son a los que les han dado guate.
La seguridad alla en spain, me parece envidiable.. espero que sirva de ejemplo para todos los demas paises que aspiran a tener una seguridad como la gente, que para esto es obligatorio.

buena la new! (y vale.. citibank, ya te corriste.)

En España todos los cajeros

Enviado por anónimo el 3. Julio 2008 - 18:29.

En España todos los cajeros 4B usan Unix. En cambio euro 6000 usan windows modificados

Cajeros = Unix es falso.

Enviado por anónimo el 4. Julio 2008 - 10:15.

Que un cajero use unix o windows no depende del Banco o Caja en cuestión. Depende del proveedor que tiene el contrato de instalación y mantenimiento de los Cajeros en dicha entidad financiera. Por ejemplo, NCR monta sus últimos cajeros con ciertas versiones de Windows. Otras empresas tambien montan, por ejemplo, actualizadores de libretas, tambien con versiones de Windows.

Por otro lado, pediría a la gente que no conoce todo, reitero, todo el circuito de funcionamiento de un cajero que no aporte datos erroneos que sirven para crear incertidumbre en otras personas. Verdaderamente, quien conoce dicho circuito tiene muy claro que casos como el explicado en la noticia publicada es IMPOSIBLE en España; o al menos en la entidad financiera en la que trabajo.

Saludos.

123siguientefinal

Opinar

Los comentarios publicados en este sitio expresan sólo la opinión de su autor, quien será el único responsable de los mismos. La publicación de cualquier comentario no supone en absoluto la conformidad del responsable de este sitio con su contenido.

Como norma general, en este sitio no se publican comentarios que incluyan datos personales, ni direcciones de correo, ni ninguna otra forma de establecer contactos privados o comerciales, así como comentarios que no aportan nada, fuera de tema o que no se ajustan a la netiqueta, la ortografía o la educación.

Para poder enviar tus comentarios has de permitir las cookies del sitio.

Por favor, escribe arriba el resultado de la operación planteada. Gracias.
  • Etiquetas HTML permitidas: <a> <em> <strong> <ul> <ol> <li> <p> <u> <br><strike> <blockquote> <div>

Más información sobre las opciones de formato...