2010/08/28

Come farsi dare soldi dai bancomat [UPD 2010/08/31]

L'articolo è stato aggiornato dopo la pubblicazione iniziale. In particolare, il nome del ricercatore è stato corretto: era stato indicato come Branaby Jack perché varie fonti lo riportavano con questa grafia, ma sul sito della sua azienda il nome è Barnaby Jack.

Las Vegas, fine luglio scorso. Un uomo si avvicina a un bancomat, apre uno sportello, inserisce una penna USB, e lo sportello automatico inizia ad erogare soldi gratis, fra gli applausi dei presenti.

L'uomo è Barnaby Jack, direttore della ricerca sulla sicurezza della IOActive Labs, e non è stato arrestato per la semplice ragione che il suo insolito jackpot è stato effettuato su un palcoscenico come dimostrazione tecnica durante la conferenza di sicurezza Black Hat, tenutasi appunto a Las Vegas.

Jack ha saputo fare anche di meglio: mentre in questo attacco ha dovuto accedere fisicamente al bancomat aprendone il frontale, in un'altra dimostrazione è riuscito a riprogrammare l'apparecchio da remoto, senza neppure toccarlo.

Le dimostrazioni di Jack erano mirate ai bancomat di due marche specifiche, la Triton e la Tranax. Gli apparecchi di una di queste aziende, ha spiegato Jack a Wired, avevano una vulnerabilità nella funzione di monitoraggio remoto, che era attiva per default, era accessibile via Internet o telefonicamente e permetteva di scavalcarne i sistemi di autenticazione. Il monitoraggio remoto è stato disabilitato da poco dalla casa produttrice, anche in seguito alla segnalazione di Jack.

L'altra marca, invece, aveva una falla di sicurezza, successivamente corretta, che consentiva l'esecuzione di programmi non autorizzati.

Una delle scoperte più interessanti di Jack è che le serrature standard dei pannelli di manutenzione di tutti i bancomat di una delle marche coinvolte nella sua dimostrazione si aprono con una chiave universale, facilmente acquistabile via Internet per una decina di dollari (la ditta offre una serratura personalizzata solo come accessorio supplementare). Questo consente a qualunque malintenzionato di accedere facilmente alle parti interne dell'apparecchio, cosa che ha permesso a Jack di inserire una penna USB contenente del software ostile per Windows CE, il sistema operativo utilizzato da entrambe le marche.

Questo software, una volta installato, rimaneva in attesa di un codice di attivazione digitato sulla tastiera del bancomat. In alternativa, il malintenzionato poteva inserire una speciale tessera di controllo. Fatto questo, sullo schermo compariva un menu nascosto che consentiva di far erogare soldi allo sportello automatico.


Non si tratta di dimostrazioni ipotetiche: attacchi analoghi sono stati scoperti in Russia e in Ucraina l'anno scorso ai danni di sportelli della Diebold e della NCR, ma richiedevano un complice interno (per esempio un tecnico). Questo può succedere: all'inizio del 2010, un membro del personale informatico della Bank of America, Rodney Reed Caverly, è stato incriminato con l'accusa di aver installato software ostile sui bancomat del suo datore di lavoro, in modo da poter prelevare migliaia di dollari senza lasciare traccia delle transazioni.

Ma perché ricercatori come Barnaby Jack fanno queste rivelazioni? Non sarebbe più prudente stare zitti, affinché i ladri non possano approfittare delle tecniche divulgate? No, spiega Jack: le dimostrazioni pubbliche di vulnerabilità servono a convincere i responsabili delle ditte che producono sportelli automatici ad esaminare con maggiore attenzione la sicurezza dei loro apparati, troppo spesso venduti e usati dando per scontato che siano invulnerabili. Inoltre servono anche a noi consumatori, perché se veniamo colpiti da una frode di questo genere e non sappiamo che è possibile effettuarla, spesso spetta a noi dimostrare di essere vittime innocenti, perché le banche presumono che siamo stati noi a commettere qualche errore di sicurezza o a divulgare i nostri codici di accesso.

Nessun commento:

Posta un commento

Se vuoi commentare tramite Disqus (consigliato), vai alla versione per schermi grandi. I commenti immessi qui potrebbero non comparire su Disqus.

Pagine per dispositivi mobili