28 marzo 2014

Windows XP: Consumir preferentemente antes de: 8 de Abril



Una de las muchas noticias de seguridad que han sido la comidilla de los últimos días, con repercusión internacional, es el ataque que se ha descubierto para extraer dinero, de determinados cajeros automáticos, cuya aplicación funciona sobre un sistema operativo Windows XP.

El ataque tiene cierta complejidad puesto que, para su éxito se necesita conectar físicamente un teléfono móvil al puerto USB de la máquina que gestiona el cajero, e inyectar el malware Ploutus, tal y como publicó Symantec. A partir de aquí, mediante el envío de mensajes de texto, es posible decirle al ATM cuánto dinero debe dispensar, ir al cajero y recoger el dinero. Es decir, que se puede hacer en remoto y enviar diferentes “mulas” a “cargar con la cosecha”.

En este sentido, hay que tener en cuenta que Windows XP termina su soporte para cualquier tipo de parche por parte del propio fabricante, Microsoft, el 8 de Abril de 2014 (es decir, que quedan menos de dos semanas). Me gustó mucho la reflexiones que hacía ayer Chema Alonso en El Lado del Mal, en las que calificaba muy acertadamente, a mi parecer, como "negligencia" que determinados puestos de trabajo como los de Administración Pública y empresas que manejan nuestros datos sigan utilizando Windows XP, más allá de la fecha prevista. Coincido con él que en cuanto a sistema operativo de escritorio, es sangrante que no se haya hecho una migración total a Winodws 7 (que en mi opinión, es como Windows Vista, pero sin el proceso que se come todo el sistema).

Sin embargo, para sistemas tan herméticos como un cajero automático, me asaltan las siguientes dudas:

1.-) ¿ Qué han estado haciendo los fabricantes de cajeros automáticos durante este tiempo? 

Siendo que la fecha del fin de soporte y publicación de actualizaciones y parches de seguridad para Windows XP era más que conocida desde hacía años ¿por qué empresas serias como Nixdorf, Bull o NCR no han tenido a bien poner en producción, con tiempo suficiente, nuevos cajeros basados en otro sistema operativo. ¿Van a esperar al 9 de Abril para hacerlo? Lo normal sería que, si tienen pensado poner en producción el sistema en un sistema operativo con soporte, se hubiesen distribuido ya a las diferentes entidades

2.-) ¿ Por qué utilizar un sistema operativo generalista, conocido, accesible por millones de usuarios de todo el mundo? 

Sé de buena tinta que los sistemas operativos que utilizan son versiones más securizadas, y no la versión genérica del mismo. Recuerdo que en el Ethical Hacking Conference en Santa Cruz de la Sierra en Bolivia, asistí a una charla en la que se hablaba de los cajeros de uno de estos fabricantes. Entre otras cosas se hablaba de un módulo intermedio, y cómo a partir de una vulnerabilidad con parches publicados por Microsoft mucho tiempo atrás,  se llegaba a tener control total del mismo. Es decir, que desde este punto de vista, y siendo el sistema operativo Windows como es, que cada parche que se publica, no es posible saber con anterioridad qué ficheros va a modificar y si va a sobrescribir alguna librería que deje inoperativos los cambios que haya hecho cada suministrador de cajeros automáticos. Se presupone que cada entidad bancaria ya protege el ATM a nivel físico de manera que no sea posible su manipulación, más allá de la pantalla táctil para las operaciones del ATM,… y si no hay fallos ahí, no se aplican otros parches.

Ya habló Yago, tiempo atrás, sobre su punto de vista ante la utilización de sistemas operativos “generalistas” o “no especializados”, para el control de determinados elementos de infraestructuras críticas, y dejaba abierta la oportunidad a partir de un sistema operativo que sea más específico, personalizable, modular y que disponga de una base más sólida que un Windows XP: es decir, algo basado en alguna distribución Linux con soporte (¿alguien ha dicho RedHat?) o algún BSD.

3.-) ¿Cuántos exploits 0-Day habrá para Windows XP escondidos esperando al 9 de Abril?

Tengo claro que si tuviese un 0-Day “de alto impacto” para XP, me lo guardaría para el 9 de Abril, cuando estos cajeros se encontrarán "sólos ante el peligro” sin posibilidad que el fabricante solucione un problema gordo. ¿Cuántos de vosotros esperáis solucionar vuestras deudas a partir del 9 de Abril? 

4.-) ¿Han tenido en cuenta los bancos este hecho en su provisión anual de fraude? 

Las entidades financieras, todos los años disponen de un presupuesto destinado a pagar el fraude que tengan que asumir. Normalmente, los bancos disponen de medidas de seguridad elevadas, procesos revisados, redundancia de sistemas, altas inversiones en auditoría y desarrollo seguro. Sin embargo, con el tema de los cajeros, supongo que la responsabilidad final ante un fraude de las características descritas con los ATMs, será responsabilidad de ambas partes, puesto que si la entidad bancaria no aplica las medidas necesarias a la protección física de los cajeros, ataques como Ploutus será igualmente viable. En cualquier caso, ¿habrán tenido en cuenta las entidades financieras que la negligencia de seguir usando Windows XP en los cajeros puede incrementar el coste del presupuesto de fraude? 

5.-) Al igual que hacen los gobiernos ¿Se rendirá Microsoft a los encantos de la banca?


Leí hace unos días (no recuerdo dónde) que había varias empresas que estaban proponiendo pagar a Microsoft por un soporte extra para sus infraestructuras. Al final, es siempre el dinero que hay encima de la mesa quien toma estas decisiones, y si a Microsoft le parece rentable, estoy seguro que “hará la excepción necesaria” para seguir manteniendo el que parece que se va a consolidar como el COBOL de los sistemas operativos.

6 comments :

JuanQ dijo...

He leido que muchos bancos por hacer las cosas tarde y mal han negociado con MS la ampliación de soporte para XP en sus cajeros automáticos a partir del 8 de Abril

WindowsForever dijo...

Si todavía hay cajeros con Windows NT funcionando y hasta hace dos días (el 2008) se vendía Windows 3.11 para sistemas empotrados, ¿a qué viene ahora esta paranoia con el Windows XP?

Sacado de la Wikipedia: "Curiosamente Microsoft, dejó de vender licencias de este sistema operativo [Windows 3.11] en 2008. Sin embargo el soporte oficial terminó en 2001. Todavía se sigue usando sobre todo la Versión 3.11, en algunos sistemas embebidos como cajeros automáticos, terminales de punto de venta e incluso, en sistemas de información en vuelo o entretenimiento de diversas líneas aéreas como Virgin o Qantas."

manolotena dijo...

HELP!!, Virus desconocido que toma control de mi red... ¿qué puedo hacer (windows vista)?... gracias, soy un usuario con poca experiencia...

anonimillo dijo...

manolo, tocar madera claro.

Freddy dijo...

virus de skynet...^^ rebelion de las computadoras

P11-G545 dijo...

Instalar W8 y tener cuidado en internet.