Um pesquisador de segurança chamado Barnaby Jack maravilhou os participantes da conferência de segurança Black Hat na semana passada, nos Estados Unidos, ao invadir caixas eletrônicos (ATM, na sigla em inglês) em uma apresentação intitulada “Jackpotting Automated Teller Machines Redux”. Há lições importantes a serem tiradas dos truques demonstrados por Jack, e elas se aplicam a mais do que máquinas ATM.

As invasões de Jack – uma que envolve acesso físico à máquina ATM usando uma chave-mestra disponível online, e outra que efetua uma ligação remota para ganhar acesso – têm como focos máquinas ATM da Triton e Tranax.

No entanto, a questão não está limitada necessariamente a essas duas. Jack explicou à sua audiência que ele ainda está para encontrar uma máquina ATM que não poderia ser invadida para sacar dinheiro.

É um feito impressionante. Quem não gostaria de simplesmente ir até uma máquina ATM e fazê-la cuspir dinheiro, como fosse um caça-níqueis premiado de Las Vegas? Mas o fato é que muitas empresas não têm essas máquinas. Então por que os administradores de TI deveriam ser preocupar com essa vulnerabilidade?

Exemplo sensacional
A resposta é que não se trata apenas de máquinas ATM. Elas são apenas um exemplo sensacional de segurança física pobre combinada com segurança digital fraca em uma plataforma de nicho ou legada. Há computadores em todo lugar, mas muitos deles deixam de ser protegidos por meio de monitoria de segurança ou de atualização em intervalos regulares.

O pesquisador de segurança da McAfee Toralv Dirro lembrou, em blog, que “a maioria das pessoas tende a ignorar o fato de que muitos aparelhos e máquinas atuais usam, por dentro, computadores e sistemas operacionais comuns. Máquinas ATM, carros, aparelhos médicos - até sua TV pode ter um computador internamente, com permissão para atualizações via rede. E software, infelizmente, tem falhas”.

Dirro contou que, quanto mais complexo for o sistema, mais provável será a ocorrência de falhas que poderão ser descobertas e exploradas, se o tempo necessário for dado. Muitos desses sistemas – especialmente como o software que roda na máquina ATM do posto de gasolina da esquina – são complexos e precisam ser atualizados periodicamente para serem considerados seguros e protegidos.

Segurança nacional
Há também implicações de segurança nacional. Muitas das empresas de serviços públicos, como as de água e eletricidade; instalações de indústrias químicas; fábricas, trens e metrôs; e tantos outros componentes da infraestrutura crítica que formam a espinha dorsal da produtividade, do comércio e da segurança de qualquer país baseiam-se em sistema legados arcaicos que não são atualizados frequentemente, apesar de terem brechas exploráveis por qualquer criminoso que procure com afinco.

Para piorar, muitos desses sistemas foram criados para funcionamento autônomo (standalone) mas passaram, com o tempo, a se conectar à Internet – o que tornou possível acessá-los e explorá-los remotamente. A invasão da máquina ATM demonstra a necessidade de fornecer melhor segurança para esses sistemas.

Não se pode esperar que esses sistemas legados e de nicho sejam constantemente atualizados. Rodar firewalls ou proteções comuns contra malwares também parece altamente impraticável.

Como ressalta Dirro, “a solução para fechar as brechas desses sistemas está no uso de Controles de Aplicação, Controles de Configuração e Controles de Mudanças; assim, você ainda poderá fazer atualizações e mudanças automáticas, mas sem permitir a execução de programas invasores não autorizados”.

(Tony Bradley)