Por Aravinda Korala e Kit Patterson (da KAL)
com o apoio de Michael Moltke (FortConsult) e Alex Gherman
8 de janeiro de 2018
Os ataques “Meltdown” e “Spectre” têm sido notícia de destaque desde 3 de janeiro de 2018. Estes ataques surgem de vulnerabilidades na segurança do hardware nos chips da Intel, AMD e ARM que foram inicialmente postulados por Anders Fogh numa página de internet cibernética alemã por volta de julho do ano passado como uma possível ameaça, mas foram subsequentemente demonstrados como uma ameaça real na semana passada. A boa notícia é que esta informação foi disponibilizada primeiramente de forma sigilosa aos principais representantes de Sistemas Operativos (SO), permitindo-lhes corrigir os respetivos sistemas operativos e dando-lhes a possibilidade de apressar reparações para ajudar a proteger os PCs e telefones.
Então qual qual é a situação das ATMs? As ATMs estão potencialmente vulneráveis a estes ataques? A resposta direta sim, mas não entre já em pânico.
A ameaça imediata é o ataque Meltdown. Este método de ataque permite ao malware potencialmente ler qualquer item de dados num PC Windows, incluindo a partir da memória central do Windows, qualquer memória física e qualquer memória que pertença a outros processos no mesmo PC. As ATMs globais são na sua maioria PCs Windows incorporados que são bloqueados cuidadosamente. Analisemos os riscos e quais as medidas necessárias a adotar para reduzir estes riscos nas ATMs.
O mundo possui cerca de 3 milhões de ATMs de classe bancária, a maioria das quais executam o Windows 7 ou o Windows XP. Todos os tipos de ATM estão em risco, dado que o defeito relaciona-se com o chip de hardware e não é causado por uma vulnerabilidade do SO. Neste artigo, iremos focar-nos nas ATMs de classe bancária que executam o Windows 7 ou o Windows XP.
Comecemos pelas boas notícias. A indústria de ATMs não guarda os seus segredos de processamento de transações no núcleo do PC da ATM – em vez disso, guarda-os no interior de Pin Pads de Encriptação (EPPs) do hardware. Isto significa que os códigos de encriptação dos quais as ATMs dependem para realizar transações são mantidos em segurança no interior do EPP e, consequentemente, não são afetados pelos novos métodos de ataque. Estes códigos estão não só protegidos no interior do EPP, mas o método de injeção remota destes códigos no EPP, utilizando aquilo que se conhece por "Carregamento de Código Remoto", é também seguro a nosso ver contra um ataque Meltdown. Os EPPs possuem um ambiente interno seguro isolado que não está em risco de ataques deste tipo.
Contudo, esse facto por si só não coloca as ATMs completamente a salvo. Se um invasor for capaz de inserir malware numa ATM, seria possível aceder a informações confidenciais (tais como o número de uma conta no cartão do cliente) e potencialmente determinados tipos de palavras-chave, tais como uma palavra-chave de login de supervisor da ATM que possa estar retida transitoriamente na memória. A questão passa a ser: será um hacker capaz de inserir facilmente malware novo numa ATM?
A maioria das ATMs está bem protegida contra malware. A regra de ouro é usar uma tecnologia denominada “Lista branca” que evita automaticamente que a ATM execute programas, bibliotecas e scripts não reconhecidos. A lista branca bloquearia automaticamente a execução de qualquer malware novo numa ATM e é uma excelente primeira linha de defesa.
Contudo, nem todos os bancos utilizam lista branca nas ATMs. Alguns bancos utilizam software antivírus e outros não utilizam qualquer proteção contra malware (o que, obviamente, não tem qualquer justificação). O antivírus (AV) nunca foi a resposta certa para a proteção de ATM e esta ameaça em particular realça esse facto muito claramente. Dado a ameaça ser bastante recente, o software AV não possui as assinaturas necessárias para identificar esta ameaça. Como requisitos mínimo, as assinaturas do AV teriam de ser atualizadas nas ATMs, mas tal é difícil de fazer uma vez que, tal como afirmámos, o malware efetivamente programado para implementar estas ameaças ainda não foi identificado. Mas pior ainda, julga-se no momento que o malware que utiliza esta técnica poderá assemelhar-se muito a "software normal" e, dessa forma, ser difícil de distinguir.
Existe uma última ironia para os bancos que utilizam AV nas ATMs. Tudo indica que o patch de segurança da Microsoft para o Meltdown será efetivamente bloqueado por muitos produtos AV de terceiros, dado que estes produtos acedem ao CPU de formas intrusivas que o novo patch irá fechar. Os bancos podem assim extrair uma lição sobre proteção de ATMs. O AV nunca foi a resposta certa para proteger as ATMs e, nesta ocasião, o software AV poderá na verdade tornar as suas ATMs mais vulneráveis. O conselho que damos aos bancos é implementar as suas ATMs para utilizar lista branca de imediato.
Contudo, essa não é a única tarefa urgente na proteção das ATMs de um banco. De modo a protegerem-se contra o Meltdown, os bancos devem também distribuir o novo patch de segurança da Microsoft para o Windows com data "1801". Existiam algumas preocupações iniciais em relação a um sucesso no desempenho deste patch, mas as referências não as confirmam. Embora a lista branca por si só pudesse proteger contra qualquer malware novo, recomendamos também o patch "1801" como uma segunda linha de defesa por vários motivos. Um desses motivos são os "ataques internos". A lista branca pode ser comprometida por pessoal bancário interno desonesto que pode modificar as definições da lista branca. A KAL recomenda sempre que não seja dado acesso admin a absolutamente ninguém mas, infelizmente, muitos bancos permitem o acesso admin de ATMs a funcionários. Esta é uma decisão de segurança que os bancos tomam, mas o Meltdown permitiria o fácil comprometimento do software de ATMs através do uso de privilégios admin.
Assim, a segunda recomendação determinante para damos aos bancos é nunca conceder acesso admin às ATMs a quaisquer funcionários. Simplesmente não é necessário. Todas as ações de manutenção válidas numa ATM podem ser realizadas utilizando privilégios padrão e, na verdade, qualquer funcionário que possua acesso admin a uma ATM pode instalar e executar qualquer malware nesta com facilidade – não somente o Meltdown.
Existe o elefante na sala que ainda não referimos - alguns bancos ainda executam o Windows XP nas ATMs. Oficialmente, a Microsoft já não está a criar mais patches de segurança para o Windows XP. Se o seu banco executa o XP nas suas ATMs, tem de perguntar se a Microsoft emite um patch imediatamente para reparar esta vulnerabilidade.
A boa notícia é que o patch do Windows 10 e Windows 7 para o Meltdown já está disponível para versões SO suportadas e estas estão listadas aqui
Assim, em geral, apesar de o Meltdown e o Spectre devam ser levados a sério, é importante lembrar que existe uma ampla variedade de aspetos únicos para a segurança de ATM. Ao concentrarmo-nos naquilo que é importante e ao aplicar ativamente todas as melhores técnicas de segurança, é possível antecipar-se às ameaças mesmo quando surgem novas ameaças como estas.
Sobre a KAL
A KAL é uma empresa de software para ATMs líder mundial e a fornecedora preferencial de grandes bancos mundiais, tais como o Citibank, UniCredit, ING, Westpac e China Construction Bank. O software da KAL concede aos bancos o controlo total sobre a sua rede de ATMs, reduzindo os custos, satisfazendo todas as necessidades de segurança e melhorando a competitividade. Contacte-nos através do +44 131 659 4900 ou envie-nos um e-mail para
Sobre a FortConsult
A FortConsult faz parte do Grupo NCC e conta com uma das equipas de consultores de TI mais experientes do mundo. Juntamente com o Grupo NCC, contamos com mais de 1000 consultores e somos consultores de confiança de mais de 15.000 clientes em todo o mundo. Temos mais de 35 escritórios em todo o mundo e aconselhamos clientes numa ampla diversidade de setores em virtualmente quaisquer matérias relacionadas com a segurança de TI.