martes, 31 de agosto de 2010

"Espera que saco plata y agendo un análisis en el cajero" - (Banco Itaú)

El viernes pasado volvía a mi casa luego de ir al cine con mi novia y se me ocurrió sacar plata ya que pensábamos salir a comer algo por el barrio.

Luego de notar que mi banco se encontraba cerrado por reparaciones me dirigí al banco continuo, una sede del Itaú.

Por si no lo registran al banco, es aquél que hace poco instalo en sus sedes esas puertas corredizas al estilo Star Trek que se abren luego de deslizar la tarjeta.

Luego de este ingreso de "película" a dicha sede, me detengo estupefacto ante el mensaje que mostraba el cajero:


Así es, el cajero me preguntaba si quería confirmar la realización de un análisis programado por parte del antivirus que posee instalado, Trend Micro Office Scan.

Obviamente esta no es la normal pantalla de bienvenida de un cajero, ni tampoco una operación que un cliente del banco tenga que realizar antes de operar sobre su cuenta. Por el lado comercial esto podría afectar a la entidad financiera ya que el cliente podría perder confianza sobre la misma y a consecuencia una posibilidad real que considere incluso el cierre de su cuenta.

Pero no es el aspecto comercial el que nos interesa en este blog, sino el técnico. El hecho de que veamos dicha ventana nos indica que solución antivirus utiliza el banco y también la versión (Office Scan).

Antes de detallar el potencial peligro, me gustaría explicarles el termino "seguridad por oscuridad". Básicamente es un principio que plantea que un sistema o sistemas pueden basar su seguridad o parte de ella en el secreto de su existencia, ya sea a nivel diseño o implementación.

Normalmente uno no debería saber que antivirus utiliza un banco es sus cajeros, pero sabiendo esto y realizando una simple búsqueda en Google con los términos "Trend Micro Office Scan vulnerabilidad" damos con este interesante artículo. ¿Ven algún nombre en la lista que les parezca familiar?

Continuando con la anécdota, procedí a darle clic en "Ok" y luego utilice el cajero de al lado, el cual no tenia ninguna alerta atípica...solo por las dudas. :-)

PD: Sepan disculpar la calidad de las imágenes, pero solo tenia a mano la cámara de mi celular.


Ximo

8 comentarios:

  1. Pero mire Usted que loco! La verdad no sabía que los cajeros también usan antivirus (o que podían llegar a ser vulnerables a virus informáticos comunes) , lo cual, pensandolo bien se cae de maduro: son computadoras, estan conectadas a una red y...tienen montones de billetes! La presa ideal. Bueno, parece que los bancosa tambien subestiman la seguridad de sus cajeros y clientes.abrazo!

    ResponderEliminar
  2. hace poco encontraron un par de vulnerabilidades en los ATM yankees. Anyways... encontre este post que te puede llegar a interesar http://danielmiessler.com/blog/10-essential-firefox-plugins-for-the-infosec-professional.
    Saludos

    ResponderEliminar
  3. Muchas gracias Zombiestein por el link, muy interesante! Plugins muy útiles sin duda. Si, estaba al tanto de las vulnerabilidades encontradas en los ATM's y de las demos que se hicieron en las ultimas conferencias de seguridad. Si no me equivoco Barnaby Jack, quien encontró la falla, va a estar haciendo una demo en la Eko Party.

    ResponderEliminar
  4. Muchas gracias por tu comentario Milio y por seguir con tanto ahínco este humilde blog. Es cierto lo que dices, y aunque no lo creeas volvi a ese banco solo para encontrarme con cosas aún peores. Publicaré lo encontrado en estos días.

    ResponderEliminar
  5. Deberias cobrarle tus honorarios xDDD. Los otros dias fui a sacar unas entradas al lunapark, y el plasma que tenian mostrando la cartelera, tenia un alerta de conficker.

    Saludos
    unlocosuelto

    ResponderEliminar
  6. These things no happen in Bratislava, capital city of Slovakia! We have good systems!

    ResponderEliminar
  7. Muchas gracias por tu comentario "unlocosuelto", es increíble el alcance que tuvo Conficker, se comenta por la red que se metió hasta en un submarino militar de EEUU.

    "Anónimo" no tan anónimo: I belive what you say men, could this be 'cause there you a native enterprise that develops an AV solution? :P

    Cheers...

    ResponderEliminar
  8. Sports betting is expected to be the main phase out there market}. Based on devices, the market is categorized into desktop, cellular, and others (tablet, iPad, and so on.). When Insider spoke to Huang, he implied he wanted to cease gambling and confirmed Insider an e-mail he despatched to a gambling habit charity to get help. The employees usually stay outside China in international locations together with the Philippines or Cambodia, and are paid around $1000 코인카지노 a month, Ben Lee stated. "They need a virtual little military of younger Chinese youth to do the telemarketing," he added. However, David Lee, a gambling lawyer at Lin & Partners, says the legislation "does not explicitly point out whether the Chinese legislation enforcement can take actions towards gambling operators outside China."

    ResponderEliminar