skip to main | skip to sidebar
7 commenti

Bancomat russi violabili premendo Shift cinque volte

Quando si pensa a violazioni informatiche di bancomat o sportelli bancari automatici in generale, ci si immagina di solito chissà quali abilità e diavolerie tecniche. Ma a volte queste cose sono incredibilmente facili, soprattutto quando chi realizza questi dispositivi non pensa a fondo alla sicurezza.

Prendete per esempio la banca russa Sberbank: i suoi bancomat usano ancora Windows XP. Funziona, che bisogno c’è di aggiornarlo? Windows XP ha sedici anni e ormai non è più supportato da Microsoft, a parte gli aggiornamenti che coprono gravi emergenze, e Microsoft consiglia di usare Windows 10 per ATM per queste applicazioni delicate, ma fa niente.

Secondo quanto raccontato da Techworm.net (che cita il blog russo Habrahabr), questi sportelli bancari automatici erano violabili semplicemente premendo il tasto Shift sulla tastiera, come mostra questo video.


Il Windows XP installato su questi bancomat, infatti, aveva abilitata l’opzione Sticky Keys (Tasti permanenti nella versione italiana), che fa parte degli ausilii per chi ha problemi di accessibilità: quando il sistema chiede di premere due tasti contemporaneamente (per esempio per digitare una lettera maiuscola o comporre un carattere speciale), con quest’opzione si possono premere i due o più tasti in sequenza, quindi anche con una mano sola.

Per richiamare questa funzione basta premere il tasto Shift cinque volte in rapida successione. A questo punto compare la Taskbar e il menu Start, e questo significa che su un bancomat con schermo tattile come quelli di Sberbank è possibile accedere a Windows e prenderne il controllo.

Lo scopritore della falla ha registrato il video dimostrativo e poi è stato responsabile: ha chiamato subito la banca per avvisare del problema e non ne ha approfittato. Ma altri avrebbero potuto farlo, anche compiendo solo un sabotaggio molto banale: sarebbe bastato togliere dallo schermo la schermata del programma di gestione delle transazioni per rendere inservibile quel bancomat alla stragrande maggioranza degli utenti.

E detto fra noi, anche sapendo come riportare un bancomat alla schermata standard, mi guarderei bene dall’inserire la mia carta di credito in un aggeggio che manifesta una vulnerabilità colossale del genere.

La banca ha successivamente corretto la falla e ringraziato il suo scopritore con un regalo molto generoso (si fa per dire): un’agenda e un portafogli.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati manualmente da un moderatore a sua discrezione: è scomodo, ma è necessario per mantenere la qualità dei commenti e tenere a bada scocciatori, spammer, troll e stupidi.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui e/o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (7)
La banca ha successivamente corretto la falla e ringraziato il suo scopritore con un regalo molto generoso (si fa per dire): un’agenda e un portafogli.

spero che il portafogli fosse almeno pieno di cartamoneta (di corso legale) :-)
> La banca ha successivamente corretto la falla e ringraziato il suo scopritore con un regalo molto generoso (si fa per dire): un’agenda e un portafogli.

Vuoto?
Anni fa mi capitava ogni tanto di vedere schermi del bancomat (funzionanti, non crashati) con "pezzi" del desktop di Windows XP visibili, adesso ho capito perché.
Dai ammettiamolo, chi oggi non ha provato e premere SHIFT come un forsennato al bancomat? :)
Sia chiaro, fosse mai accaduto qualcosa di anomalo sarei entrato in filiale ad avvisare, o in orario di chiusura avrei chiamato la Finanza. Meglio precisare.

Ma non è successo niente, (meglio precisare anche questo).

Però SHIFT come un forsennato l'ho premuto, ah se l'ho premuto! :)
Fino a poco tempo ho trovato ampio numero si bancomat a Milano con OS/2 warp.... altro che xp... e penso che ancora ce ne siano in giro.
Il problema è è causato si dall'uso di un sistema operativo malconfigurato e vetusto, ma è anche colpa di chi ha optato per una soluzione con tastiera completa (ovviamente riconosciuta come periferica di input standard) al posto di un banale pad numerico
Tanti anni fa inserendo il PIN in un bancomat, dopo il terzo numero per errore spinsi, credo, "conferma" o un tasto vicino. Partì una lunga sequenza di messaggi d'errore e infine comparì un prompt simil-DOS su schermo nero. Probabilmente avevo scoperto una vulnerabilità simile, ma non feci altri tentativi.