Aravinda Korala y Kit Patterson (KAL)
con el soporte de Michael Moltke (Fortconsult), y Alex Gherman
8 de enero de 2018
El 3 de enero 2018, la noticia de los ataques a las vulnerabilidades de hardware, llamadas "Meltdown" y "Spectre", surgió en los medios. Estas vulnerabilidades de hardware, que afectan a los chip de Intel, AMD y ARM, fueron postuladas como amenazas inicialmente por Anders Fogh en un cibersitio alemán alrededor de julio del año pasado. La hipótesis de Fogh fue confirmada oficialmente la semana pasada. La noticia fue comunicada al instante secretamente a los proveedores de los principales Sistemas Operativos, permitiéndoles corregir sus sistemas operativos y poner inmediatamente a disposición correcciones de errores para proteger ordenadores y teléfonos.
Entonces, ¿Qué pasa con los cajeros automáticos (ATM)? Son potencialmente vulnerables a estos ataques...pero no hay nada que temer.
La vulnerabilidad Meltdown fue la primera a salir a la luz y es la amenaza más inmediata. Este método de ataque permite a un malware acceder a contenidos de la memoria almacenados en un ordenador con sistema operativo Windows, desde la memoria kernel de Windows hasta cualquier otra memoria física o memorias que pertenecen a otros procesos en el mismo ordenador. La mayoría de los ATM's en todo el mundo son ordenadores con sistema operativo Windows integrados y protegidos. Analicemos los riesgos y lo que necesitamos hacer para reducir estos riesgos en los ATM's.
Todos los tipos de ATM’s están expuestos a riesgos ya que el error está relacionado con el chip del hardware, y no es causado por una vulnerabilidad del SO. De cualquier manera, en el presente artículo nos centraremos en los ATM's que ejecutan Windows 7 o Windows XP (existen alrededor de 3 millones de este tipo en todo el mundo).
Ante todo, empecemos con las buenas noticias. El sector de los ATM's no almacena información privada de procesamiento de transacciones en el núcleo del ordenador del ATM, sino en teclas de encriptación del hardware (Encrypting Pin Pads, o EPPs). Esto significa que las claves de encriptación en que se basan los ATM's para realizar transacciones, se almacenan de forma segura dentro de los EPPs y, de consecuencia, no se ven afectadas por los nuevos métodos de ataque. Estas claves no sólo están protegidas dentro del EPP, sino se introducen en el EPP remotamente usando el "Remote Key Loading", una técnica que consideramos segura contra un ataque de Meltdown. El entorno interno de los EPP's es aislado y no hay riesgo de sufrir ataques de este tipo.
Sin embargo, lo mencionado anteriormente no protege los ATM's completamente. Si un usuario con intenciones delictivas consigue insertar un malware en un ATM, podría tener acceso a información sensible (como el número de cuenta al frente de la tarjeta del cliente), y potencialmente a ciertos tipos de contraseñas, como la contraseña de inicio de sesión del ATM que podría ser almacenada momentáneamente en la CPU. Otra interrogante es, si un hacker puede conseguir insertar un nuevo malware fácilmente en un ATM.
La mayoría de los ATM's están bien protegidos contra los malware. Generalmente, se utiliza una tecnología llamada "Whitelisting", que impide automáticamente al ATM ejecutar programas, bibliotecas y script no reconocidos. El Whitelisting bloquea automáticamente la ejecución de cualquier nuevo malware en un ATM y es una primera defensa excelente, pero no es utilizado por todos los Bancos.
Algunos Bancos utilizan software antivirus y otros, absurdamente, no utilizan ninguna protección contra los malware. El uso de antivirus (AV) nunca fue el método correcto para la protección de los ATM's, y en este caso, como la amenaza ha surgido muy recientemente, el software AV no dispone de las firmas necesarias para identificarlo. Como mínimo, las firmas antivirus tendrían que ser actualizadas en los ATM's, pero sería un proceso muy difícil porque el malware escrito para implementar estas amenazas aún no se ha identificado. Además, se piensa que el malware que utiliza esta técnica podría parecer demasiado semejante a un "software normal" y casi imposible de distinguir.
Otro factor negativo respecto a los Bancos es, que utilizan un antivirus en sus ATM's y los parches de seguridad de Microsoft creados para Meltdown serían bloqueados por muchos productos de antivirus proveídos por terceros. De hecho, éstos logran acceder a la CPU de maneras intrusivas y el nuevo parche los podría cerrar automáticamente. Entonces, los Bancos deben tener en cuenta que utilizar un software antivirus nunca es la solución correcta para proteger los ATM's y, particularmente en este caso, podría resultar en un aumento de la vulnerabilidad de los ATM's. Aconsejamos a los Bancos utilizar la tecnología de Whitelisting en todos los ATM's cuanto antes.
Sin embargo, a fin de proteger los ATM's contra Meltdown, aconsejamos a los Bancos también distribuir el nuevo parche de seguridad de Microsoft con número de serie "1801". Las dudas iniciales sobre el rendimiento de este parche no han sido confirmadas por estudios comparativos. Aunque el whitelisting por sí solo podría proveer protección contra cualquier nuevo malware, recomendamos también el parche "1801" como segunda línea de defensa por varias razones, entre estas, la amenaza de los "ataques internos". El Whitelisting podría ser comprometido por cualquier empleado bancario capaz de modificar las configuraciones de whitelisting. KAL recomienda no conceder a ningún empleado acceso de administrador a las configuraciones de los ATM's, porque Meltdown permitiría comprometer el software para los ATM’s muy fácilmente utilizando los privilegios administrativos.
Además, conceder derechos de acceso como administrador a las configuraciones de los ATM's a cualquier empleado bancario simplemente no es necesario porque todas las acciones de mantenimiento de un ATM pueden llevarse al cabo utilizando privilegios estándar. Entonces, cualquier empleado que tenga derechos de administrador a un ATM, podría instalar y ejecutar cualquier malware con facilidad, y no solo Meltdown.
Por otra parte, algunos Bancos todavía gestionan ATM's que ejecutan Windows XP. Microsoft no ha creado otros parches de seguridad oficiales para Windows XP. Si un Banco tiene ATM's que ejecutan Windows XP, tendría que pedirle a Microsoft que emitiera un parche inmediatamente para solucionar esta vulnerabilidad.
La buena noticia es que el parche de Windows 10 para Meltdown ya está disponible para las versiones de SO compatibles (enumerados aquí).
Para concluir, aunque Meltdown y Spectre deben tomarse en serio, es también importante recordar que hay muchos otros aspectos importantes para la seguridad de un ATM. Concentrándonos en los asuntos importantes y aplicando activamente todas las mejores técnicas de seguridad, es posible preveer todo tipo de amenaza.
Acerca de KAL
KAL es el proveedor líder mundial de software para ATM’s y ha sido elegida por muchos bancos internacionales y multinacionales en todo el mundo para administrar sus redes de ATM's, entre estas Citibank, UniCredit, ING, Westpac y China Construction Bank. KAL, permite a los bancos controlar su red de ATM's integralmente, reduciendo significativamente los costos, satisfaciendo todas las necesidades de seguridad y mejorando la capacidad competitiva. Teléfono: +44 131 659 4900 o envíanos un email
Acerca de FortConsult
FortConsult es parte del Grupo NCC y cuenta con uno de los equipos más experimentados de consultores de seguridad informática en el mundo. Junto con el Grupo NCC, contamos con más de 1,000 consultores y somos los asesores de confianza de más de 15,000 clientes en todo el mundo. Contamos con más de 35 oficinas en todo el mundo y asesoramos a clientes en una amplia gama de industrias en prácticamente cualquier asunto relacionado con la seguridad informática.