Hacker faz caixas eletrônicos 'cuspirem' dinheiro remotamente

Equipamentos também podem ser abertos com chaves comuns.

Especialista demonstrou as vulnerabilidades em Las Vegas, na Black Hat.

Altieres Rohr Especial para o G1

Pelo computador, hacker faz caixa eletrônico 'soltar' dinheiro. (Foto: AP)

Na tela do especialista em segurança Barnaby Jack há um botão rotulado “Jackpot!”. Ele clica e, imediatamente, um caixa eletrônico fabricado pela Tranax Technologies entrega o dinheiro que contém. Isso aconteceu durante a demonstração de Jack, que trabalha na empresa de segurança IOActive, na conferência de segurança Black Hat, que ocorreu entre os dias 24 e 27 de julho em Las Vegas, nos Estados Unidos.

O pesquisador também demonstrou um problema em caixas da Triton Systems. Ele conseguiu acessar as partes internas do equipamento usando uma chave padrão que pode ser facilmente comprada. Com isso, foi possível conectar um dispositivo USB e instalar um software malicioso no caixa eletrônico, capaz de roubar dados de cartões, senhas, e, claro, roubar o dinheiro.

A Federação Brasileira de Bancos (Febraban) informou ao G1 que desconhece a existência de caixas eletrônicas dessas marcas no mercado brasileiro.

'Dillinger'

Apesar de nenhum detalhe técnico ter sido publicado, a demonstração de Jack foi cancelada na conferência Black Hat do ano passado porque as brechas ainda não haviam sido corrigidas. Para realizar os ataques, o especialista criou um programa chamado Dillinger – nomeado em homenagem ao famoso ladrão de bancos dos Estados Unidos da década de 30.

Jack também colocou adesivos sobre as marcas dos caixas eletrônicos com o intuito de não revelar os fabricantes. Mas a audiência conseguiu facilmente identificar a marca da Tranax piscando na tela. A Triton revelou que era a fabricante do outro equipamento.

Segundo o especialista, um criminoso pode ser capaz de discar números de telefone aleatoriamente – uma prática conhecida como “war dialing” – para encontrar caixas eletrônicos, bem como varrer os IPs da internet. Ele disse que os caixas eletrônicos “atendem” as chamadas e as solicitações da rede de uma maneira específica, permitindo que hackers identifiquem um equipamento vulnerável. Embora apenas duas fabricantes tenham sido envolvidas na demonstração, Jack informou que não é difícil encontrar outras falhas semelhantes.

“O simples fato é que as empresas que fabricam esses equipamentos não são a Microsoft. Elas não têm 10 anos de ataques contínuos contra elas”, disse o pesquisador de segurança para a audiência de sua apresentação.

No início do ano passado, um vírus foi encontrado em caixas eletrônicos da Diebold, que é líder no mercado nacional. A praga tentava interferir com transferências bancárias americanas, ucranianas e russas. Não há registro desses ataques no Brasil; aqui, criminosos usam um dispositivo chamado Robocop para transmitir dados roubados via rede sem fio.

Fonte: http://g1.globo.com/tecnologia/noticia/2010/08/hacker-faz-caixas-eletronicos-cuspirem-dinheiro-remotamente.htm

Hacker usa Google Street View para localizar suas vítimas

Técnica usa sites com JavaScript para conseguir endereço MAC do roteador e logo depois o serviço de mapas do Google para achar a pessoa.

Um hacker chamado Samy Kamkar demonstrou durante a conferência de segurança Black Hat, uma técnica que usa dados de geolocalização e Javascript do Google Street View  para perseguir suas vítimas.

Em uma palestra intitulada “Como eu encontro sua namorada”,  Kamkar demonstrou seu projeto. Primeiramente, ele induz a vítima a entrar em um site que usa o JavaScript, para poder extrair o endereço de Media Access Control  (MAC) do roteador e que relate o identificador ao hacker.

A seguir, Kamkar insere o endereço MAC roubado no Google Location Services. Em segundos, ele tem um mapa mostrando a localização da vítima.

“Os navegadores são meios interessantes de se explorar”,  afirmou o hacker à platéia que acompanhava a sua conferência.

No entanto, Kamkar observou que algumas coisas precisam confluir para que o ataque funcione. Primeiro, o roteador precisa estar configurado com a sua senha de fábrica ou ele tem de ser um modelo que não exija credenciais para acessar a página de informações do sistema.  Além disso, o endereço MAC desse mesmo roteador tem de estar gravado no banco de dados do Google Street View, cujos carros contam com antenas que captam dados de redes Wi-Fi.

Mas, mesmo assim, a técnica é relativamente simples. Caso o código tenha sido escrito corretamente, o JavaScript fará uma varredura em dezenas de endereços IP até encontrar a localização do roteador.

Fonte: http://idgnow.uol.com.br/seguranca/2010/08/04/hacker-usa-google-street-view-para-localizar-suas-vitimas/

Segurança barra uso do Google Apps nas empresas

O Google gosta de se vangloriar de que mais de 2 milhões de empresas utilizam o Google Apps. Mas os profissionais de TI ainda estão preocupados sobre a segurança na nuvem e a funcionalidade limitada apresentada pelas ferramentas da companhia.
A computação em nuvem foi um dos principais temas abordados na conferência Catalyst Burton Group, que aconteceu na última semana, nos Estados Unidos. Mas, ao entrevistar o público presente no evento, as respostas sugerem que a gigante de buscas e outros provedores de computação ainda têm um caminho para percorrer, se quiserem a confiança dos especialistas de que o seu modelo de segurança é realmente adequado.
Primeiro é importante destacar que, embora considerem que os Google Apps ainda precisam de alguns recursos avançados já disponíveis no Microsoft Office, os profissionais de TI reconhecem que estão impressionados com as capacidades da ferramenta para colaboração na Web.
“A capacidade de colaboração em documentos em tempo real tem sido útil no trabalho. Mas as limitações do Google Docs se tornam logo aparentes para quem precisa de tabelas dinâmicas e planilhas com outras ferramentas especializadas”, disse Jonathan LaChance, gerente de rede global e telecom da National Instruments, em Austin (EUA).
Mas, durante a conferência, outros profissionais declararam que as preocupações de segurança relacionadas ao Gmail os impediriam de mudar o atual sistema de correio eletrônico interno.
"Há muitas coisas boas nos Google Apps para nossos alunos, mas para nossa faculdade e funcionários, por questões de segurança, preferimos manter nosso próprio sistema", declarou Eddie Sorensen, diretor sênior de serviços de infra-estrutura da Utah Valley University.

Fonte: