Login Barrapunto
Software de escritorio en cajeros automáticos: una combinación peligrosa
editada por inniyah
el Jueves, 06 Marzo de 2008, 13:31h
desde el dept. cajeros-automaticos-inseguros
desde el dept. cajeros-automaticos-inseguros
kilarin nos cuenta: «Distintas compañías de seguridad hablan sobre los problemas de seguridad que sufren los cajeros automáticos basados en Windows, desde poder usar en ellos las contraseñas por defecto del fabricante, hasta instalarles troyanos o software de monitorización.
Aunque creo que los culpables son los bancos en última instancia.»
Alguno de los comentarios:
- Crea numerosos problemas de seguridad porque un cajero se convierte en un PC con algunos dispositivos añadidos. Ha de ser actualizado constantemente con correcciones y parches ("It creates a lot of security issues because an ATM becomes like a PC with attached devices - it has to be kept up to date with hot fixes and patches")
- La industria de los cajeros automáticos se encuentra con los mismos problemas de seguridad que cualquier estación de trabajo conectada a Internet. Un cajero comprometido puede terminar forzando la caída de una red, la pérdida de datos de clientes y el robo de identidades. ("The ATM industry is presented with the same security issues that we all face with our workstations that are connected to internet. A compromised ATM could result in a network being forced offline, and/or lost customer data and stolen identities")
- Actualmente se requieren muy pocos conocimientos de programación para romper la seguridad de los cajeros una vez que se ha conseguido acceso a su sistema (it now only requires minimal programming knowledge to hack ATM machines successfully once access had been gained to its system)
- Si sabes programar y tienes algo de experiencia, es un juego de niños. Si un exploit funciona en casa o en el ordenador de la oficina, funcionará también en estos cajeros ("If you are a programmer and you have some programming experience then it is a cakewalk. If an exploit will work on a home or office computer then it will work on these ATMs")
- La estabilidad de los cajeros basados en Windows es peor que la de sus predecesores basados en OS/2, algunos cajeros están caídos hasta un 30 por ciento del tiempo (The stability of the Windows-based ATMs was worse than their OS2-based predecessors, saying some ATMs suffered downtime of up to 30 per cent)
- Los firewalls por software que se usan para proteger los cajeros son vulnerables a ataques de denegación de servicio o al robo de información personal al circular ésta por la red del banco (The software firewalls used to protect ATMs are not able to prevent DoS attacks or harvesting of consumer's personal data after the data travels through the bank's network)
- La forma más efectiva de protegerse de estas amenazas es usar un dispositivo multifunción que permita realizar el enrutado, firewall, detección de intrusos y tenga capacidades de red privada virtual (VPN) situado enfrente del cajero y protegiendo su red (the most effective way to protect from these new threats is to use a multifunction device with routing, firewall, intrusion detection system/intrusion prevention system and VPN capabilities, positioned in front of, and protecting, the ATM network)
- Este dispositivo debe ser separado del resto de la red del banco, y todo el tráfico que salga del cajero debería estar cifrado (This device should be separated from the rest of the bank's network and that all traffic coming out of the ATM should be encrypted)
« Publicado OpenXava 3.0: un marco de trabajo Java no MVC | "El Periódico de Catalunya" publica un sondeo electoral en Andorra »
Software de escritorio en cajeros automáticos: una combinación peligrosa
|
Log in/Crear cuenta
| Top
| 58 comentarios
| Buscar hilo
Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.
Si bueno
(Puntos:2)( http://es.geocities.com/julio_sao | Última bitácora: Domingo, 06 Abril de 2008, 13:58h )
Re:OS/2
(Puntos:4, Interesante)( http://es.geocities.com/julio_sao | Última bitácora: Domingo, 06 Abril de 2008, 13:58h )
Como ejemplo tenemos a MS-DOS que ha estado (y está) en muchísimas cajas de supermercados desde hace mucho tiempo, si si, hoy dia se usa MS-DOS en muchas cajas. Y hasta ahora ha funcionado bien ¿por que cambiarlo? Fácil, cada vez que se van necesitando cosas nuevas va haciendo falta más memoria, como mucho de ese código está pensado para funcionar en modo real, no se tiene mas de un mega... Así que a cambiar de SO.
OS/2 Habrá sido un SO muy bueno, no lo dudes, pero hace mucho que no se actualiza y poco a poco van sacando drivers y demás que van forzandolo hasta limitar sus capacidades.
Como nota en la bios de mi PC hay una opción que te pregunta si tienes OS/2 y más de 64Mb de ram, así que por ahi pueden ir los tiros, por lo visto la maneja de un modo algo especialito, si no no pondrían esa opción.
El "si funciona no lo toques" no tiene por que cumplirse a rajatabla, más bien diría "si funciona ve buscando alguna alternativa para cuando falle" y si han elegido windows alguna razón habrán tenido (técnica o económica o vete tu a saber) por ejemplo donde curro las cajas de los supermercados las estamos migrando a linux por que había una version para un unix que era bastante parecido y a partir de ahi hemos tirado.
¿Y los frontends?
(Puntos:3, Informativo)( http://sexy.pandas.es/ )
Cuando estuve en una debconf ...
(Puntos:1)¿Y por qué no...
(Puntos:2)( http://zup.madpage.com/blof )
I have traveled across the universe and through the years to find Her. Sometimes going all the way is just a start...
Otros usos
(Puntos:2, Divertido)bah
(Puntos:1, Divertido)Para mi churras y merinas
(Puntos:2, Interesante)( http://barrapunto.com/ )
- Si el atacante tiene acceso físico al dispositivo a proteger ninguna medida a nivel lógico puede solucionar la brecha de seguridad.
Por lo tanto la primera línea de defensa de un cajero automático es limitar el acceso físico al equipo. Si no se cumple esa medida el resto son absurdas.
- La seguridad por obscuridad no es seguridad.
Que el atacante pueda o no conocer el sistema operativo sobre el que funciona el cajero no es una medida de seguridad. Es irrelevante.
Según el artículo un sistema operativo que esté al alcance de todos, que lo puedas tener en casa, es por definición menos seguro que uno que no use casi nadie. Esa afirmación es completamente falsa.
La saturación o caída de la red debido a uno de los cajeros no es responsabilidad del sistema operativo del cajero (es el causante, no el responsable) sino de la definición de la red. Un único equipo (o varios) no deben poder hacer caer la red. El cajero jamás podrá considerarse un equipo seguro al estar al alcance de los atacantes (a nivel físico, atacantes externos o internos).
La estabilidad de un equipo basado en Windows, bien gestionado, puede ser tan alta como la de otros sistemas operativos. Normalmente el problema de las inestabilidades del Windows se deben a una mala programación de las aplicaciones de terceros (la prueba de ello es que un equipo windows instalado, sin programas de terceros y sin conexión a ninguna red es completamente estable).
Un equipo windows conectado a una red no segura puede ser vulnerable y ser inestable debido a vulnerabilidades conocidas. Es evidente que si una red de cajeros permite el acceso no autorizado a su red el problema esta básicamente en la inseguridad de la red. Un cortafuegos en cada cajero puede eliminar ese riesgo.
Los firewalls por software de windows no son una solución firewall adecuada, por lo que problema está en un diseño de red deficiente, no en el sistema operativo.
Basar la seguridad en el sistema operativo, cuando esté está bajo el control del atacante (aunque solo sea por el teclado) es un error de diseño.
Aunque las conclusiones que saca el artículo son mas o menos discutibles sus argumentaciones son de lo mas absurdas.
Re:Es complicado por no decir imposible
(Puntos:2, Informativo)Re:Es complicado por no decir imposible
(Puntos:1)