Descubren como sacar dinero de cajeros automáticos con tarjeta y sin necesidad de la clave
Los tiempos de crisis son siempre épocas donde se agudiza el ingenio. Sin embargo parece que este 2010 no va a ser el año de Banca. Una de las estrategias utilizadas en seguridad es lo que denominamos "seguridad por oscuridad" y se basa en suponer que el atacante desconoce los mecanismos internos de protección y por ello, tiene más difícil vulnerarlos.
Un equipo de investigadores de Cambridge University en el Reino Unido han descubierto una manera "extremadamente sencilla" en engañar a cualquier cajero automático para que debite dinero de una cuenta, incluso sin el estafador saber la clave (o "PIN") del dueño de la tarjeta.
En el conocido "Arte de la guerra" de Sun Tzu se insiste en la necesidad de conocerse a si mismo, pero también al enemigo. Por tanto, siempre he considerado que cuanta menos información tenga tu adversario mejor. Esto ha venido siendo la estrategia utilizada por la Banca hasta que ha llegado Internet y ahora es mucho más complicado poder ocultar las cosas.
Si además se suman las investigaciones de las Universidades para tratar de encontrar ellos las vulnerabilidades antes que "los malos" el panorama se pone mucho peor. En el fondo, este goteo incesante de "malas noticias" es simplemente la consecuencia de no haber pensado en la seguridad de forma robusta y completa desde el diseño, la falta de un análisis holístico de amenazas antes de introducir la solución en el escenario productivo. Sólo hay que hacerse algunas preguntas ¿Cuanto tiempo llevan las tecnologías de firma digital desarrolladas? ¿Por qué la Banca no termina de adoptarlas en todos sus medios de pago si realmente son un método robusto de autenticación?
La respuesta creo que puede ser simplemente un posible análisis costo/beneficio entre la inseguridad y el precio de las medidas a adoptar. Es la manera tradicional que tiene la Banca de razonar. Sin embargo, hay un factor que quizás no se contempló en ese momento y que puede ser el tiempo de migración de una tecnología a otra, una vez que el mecanismo de seguridad falla.
Tenemos un claro ejemplo en los casos de phishing. ¿Cuánto tiempo ha tenido que pasar para que se tomen medidas? ¿Cuales han sido las pérdidas que se han tenido que asumir? ¿Realmente el tiempo que han tardado en llegar y el impacto económico del fraude es menor que lo que hubiera costado haber adoptado las medidas preventivas?
Todas estas preguntas quedan en el aire, dado que la Banca también juega a la seguridad por oscuridad, pero en materia de incidentes y resultados negativos de sus impactos. Si un Banco tuviera que confesar las pérdidas por fraude se estaría poniendo una diana en la cabeza para que el resto de "los malos" fueran a por él dado que aquel que más pérdidas acumule puede ser por ser la víctima más facil.
La noticia de hoy y que he conocido vía meneame.net es que se descubre una vulnerabilidad que "podría" permitir sacar dinero de cajeros sin PIN. aunque el titular llama la atención bastante, Descubren manera de sacar dinero de cajeros automáticos, y sin clave por suerte para la Banca todavía la vulnerabilidad no se ha popularizado.
El reportaje de la BBC que a estos contenidos les aplica bastante rigor informativo está accesible ya en Youtube y también se puede consultar la fuente de la noticia en EMV PIN verification “wedge” vulnerability.
Las preguntas ahora abiertas son, ¿cuanto tiempo puede tardar en migrar la tecnología de los medios de pago? ¿Cuanta pasta podrían trincar los chorizos mientras la brecha de seguridad no se soluciona?
A veces, el coste/beneficio puro y duro puede no dar una visión global de las consecuencias de asumir "ciertos riesgos" sobre todo, si vienen acompañados de otros "costes ocultos" y "riesgos ocultos".
Los investigadores aun no quieren dar detalles del ataque por motivos obvios (aunque se sospecha que la técnica ya se conocen en el mercado negro, dado casos de personas que reportan que dinero mágicamente desaparece de sus cuentas), pero el ataque consiste de primero clonar una tarjeta de cualquier persona (algo que hoy día es totalmente trivial y que lo puede hacer incluso alguien con muy pocos conocimientos técnicos), y después utilizar un software especial conectada a una laptop.
Lo que sucede en el próximo paso es que de la laptop sale conectado por medio de un fino cable la tarjeta clonada, que se inserta en el cajero automático. En este momento, el cajero automático pide el PIN del usuario, y es aquí en donde viene el gran problema: Los investigadores han descubierto una falla fatal en los sistemas de verificación de PIN en los cajeros automáticos que permite que uno no necesite la clave para sacar dinero. En otras palabras, en este punto el cajero acepta cualquier clave como valida.
Para demostrar la veracidad y seriedad del caso, reporteros de la BBC de Londres visitaron a los investigadores de Cambridge y sacaron de sus carteras un par de tarjetas de débito, las cuales fueron inmediatamente clonadas, insertadas en un cajero cercano, y ciertamente sacaran dinero de las cuentas sin ningún problema. Como dicen, oh oh...
La seriedad del caso es que como dicen los mismos investigadores: "Esta es una falla en un sistema que es utilizado por cientos de millones de personas, por decenas de miles de bancos y millones de vendedores."
Y como agrega el Profesor Ross Anderson, uno de los investigadores principales de este descubrimiento: "Creemos que esta es una de las mas graves fallas que hemos descubierto - que se han descubierto jamás - en sistemas de pagos, y yo he estado en este negocio [de descubrir fallas de seguridad] por 25 años."
En otras palabras, solo esperemos que las instituciones financieras de todo el mundo se percaten de este problema y empiecen a implementar una solución lo antes posible. Mientras tanto, si se les esfuma el dinero de sus cuentas de manera "mágica", ya pueden apuntarle este artículo a sus bancos como evidencia de que algo feo podría estar ocurriendo...
Autor: Javier Cao Avellaneda
Fuente: Apuntes de Seguridad de la Información y Eliax a partir de la noticia de la BBC y Universidad de Cambridge
Un equipo de investigadores de Cambridge University en el Reino Unido han descubierto una manera "extremadamente sencilla" en engañar a cualquier cajero automático para que debite dinero de una cuenta, incluso sin el estafador saber la clave (o "PIN") del dueño de la tarjeta.
En el conocido "Arte de la guerra" de Sun Tzu se insiste en la necesidad de conocerse a si mismo, pero también al enemigo. Por tanto, siempre he considerado que cuanta menos información tenga tu adversario mejor. Esto ha venido siendo la estrategia utilizada por la Banca hasta que ha llegado Internet y ahora es mucho más complicado poder ocultar las cosas.
Si además se suman las investigaciones de las Universidades para tratar de encontrar ellos las vulnerabilidades antes que "los malos" el panorama se pone mucho peor. En el fondo, este goteo incesante de "malas noticias" es simplemente la consecuencia de no haber pensado en la seguridad de forma robusta y completa desde el diseño, la falta de un análisis holístico de amenazas antes de introducir la solución en el escenario productivo. Sólo hay que hacerse algunas preguntas ¿Cuanto tiempo llevan las tecnologías de firma digital desarrolladas? ¿Por qué la Banca no termina de adoptarlas en todos sus medios de pago si realmente son un método robusto de autenticación?
La respuesta creo que puede ser simplemente un posible análisis costo/beneficio entre la inseguridad y el precio de las medidas a adoptar. Es la manera tradicional que tiene la Banca de razonar. Sin embargo, hay un factor que quizás no se contempló en ese momento y que puede ser el tiempo de migración de una tecnología a otra, una vez que el mecanismo de seguridad falla.
Tenemos un claro ejemplo en los casos de phishing. ¿Cuánto tiempo ha tenido que pasar para que se tomen medidas? ¿Cuales han sido las pérdidas que se han tenido que asumir? ¿Realmente el tiempo que han tardado en llegar y el impacto económico del fraude es menor que lo que hubiera costado haber adoptado las medidas preventivas?
Todas estas preguntas quedan en el aire, dado que la Banca también juega a la seguridad por oscuridad, pero en materia de incidentes y resultados negativos de sus impactos. Si un Banco tuviera que confesar las pérdidas por fraude se estaría poniendo una diana en la cabeza para que el resto de "los malos" fueran a por él dado que aquel que más pérdidas acumule puede ser por ser la víctima más facil.
La noticia de hoy y que he conocido vía meneame.net es que se descubre una vulnerabilidad que "podría" permitir sacar dinero de cajeros sin PIN. aunque el titular llama la atención bastante, Descubren manera de sacar dinero de cajeros automáticos, y sin clave por suerte para la Banca todavía la vulnerabilidad no se ha popularizado.
El reportaje de la BBC que a estos contenidos les aplica bastante rigor informativo está accesible ya en Youtube y también se puede consultar la fuente de la noticia en EMV PIN verification “wedge” vulnerability.
Las preguntas ahora abiertas son, ¿cuanto tiempo puede tardar en migrar la tecnología de los medios de pago? ¿Cuanta pasta podrían trincar los chorizos mientras la brecha de seguridad no se soluciona?
A veces, el coste/beneficio puro y duro puede no dar una visión global de las consecuencias de asumir "ciertos riesgos" sobre todo, si vienen acompañados de otros "costes ocultos" y "riesgos ocultos".
Los investigadores aun no quieren dar detalles del ataque por motivos obvios (aunque se sospecha que la técnica ya se conocen en el mercado negro, dado casos de personas que reportan que dinero mágicamente desaparece de sus cuentas), pero el ataque consiste de primero clonar una tarjeta de cualquier persona (algo que hoy día es totalmente trivial y que lo puede hacer incluso alguien con muy pocos conocimientos técnicos), y después utilizar un software especial conectada a una laptop.
Lo que sucede en el próximo paso es que de la laptop sale conectado por medio de un fino cable la tarjeta clonada, que se inserta en el cajero automático. En este momento, el cajero automático pide el PIN del usuario, y es aquí en donde viene el gran problema: Los investigadores han descubierto una falla fatal en los sistemas de verificación de PIN en los cajeros automáticos que permite que uno no necesite la clave para sacar dinero. En otras palabras, en este punto el cajero acepta cualquier clave como valida.
Para demostrar la veracidad y seriedad del caso, reporteros de la BBC de Londres visitaron a los investigadores de Cambridge y sacaron de sus carteras un par de tarjetas de débito, las cuales fueron inmediatamente clonadas, insertadas en un cajero cercano, y ciertamente sacaran dinero de las cuentas sin ningún problema. Como dicen, oh oh...
La seriedad del caso es que como dicen los mismos investigadores: "Esta es una falla en un sistema que es utilizado por cientos de millones de personas, por decenas de miles de bancos y millones de vendedores."
Y como agrega el Profesor Ross Anderson, uno de los investigadores principales de este descubrimiento: "Creemos que esta es una de las mas graves fallas que hemos descubierto - que se han descubierto jamás - en sistemas de pagos, y yo he estado en este negocio [de descubrir fallas de seguridad] por 25 años."
En otras palabras, solo esperemos que las instituciones financieras de todo el mundo se percaten de este problema y empiecen a implementar una solución lo antes posible. Mientras tanto, si se les esfuma el dinero de sus cuentas de manera "mágica", ya pueden apuntarle este artículo a sus bancos como evidencia de que algo feo podría estar ocurriendo...
Autor: Javier Cao Avellaneda
Fuente: Apuntes de Seguridad de la Información y Eliax a partir de la noticia de la BBC y Universidad de Cambridge
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!