Máquinas de pagamento eletrônico podem ser suscetíveis a ataques

Simulações de ataques a equipamentos buscam identificar e alertar, com antecedência, sobre riscos de segurança

Compartilhar no FacebookCompartilhar no Google+Tweet about this on TwitterImprimir esta páginaEnviar por e-mail
Dispositivo poderia ser instalado para captar e transmitir dados sem a necessidade de violar máquinas de pagamento – Foto: Cecília Bastos / USP Imagens

.
Na Internet das Coisas (IoT), sensores colocados em objetos captam informações e, por meio de um dispositivo de transmissão, tornam-nas disponíveis on-line. A tecnologia, cada vez mais acessível, também pode ser utilizada para atacar máquinas de pagamento e “roubar” informações, como senhas de cartões, ao captar o som do acionamento das teclas, alerta pesquisa da Escola Politécnica (Poli) da USP. O estudo do doutor em engenharia elétrica Gerson de Souza Faria mostra que é possível instalar dispositivos para captar e transmitir dados sem necessidade de violar equipamentos. As simulações de ataques realizadas na pesquisa têm o objetivo de identificar e alertar com antecedência sobre problemas de segurança dos equipamentos, para que haja desenvolvimento de máquinas mais seguras.

As máquinas de pagamento por cartão seguem normas internacionais de segurança bastante rigorosas. “Por exemplo, se você abrir o equipamento para inserir uma estrutura maliciosa como fios e chips, o próprio dispositivo destrói as chaves criptográficas que permitem o seu funcionamento”, diz Faria. “No entanto, como as máquinas funcionam de modo semelhante a um telefone celular, alguns modelos possuem um espaço para o chip SAM Card e baterias, que precisa ser aberto para serem instalados. Ali há espaço suficiente para colocar sensores que capturam informações, como senhas de cartões, sem precisar violar o equipamento.”

Som de teclas é transmitido para computador e a análise identifica a senha digitada na máquina – Foto Cecília Bastos/USP Imagens

.

A IoT consiste em sensores que obtêm informações sobre diversas quantidades físicas, tais como som, vibração, localização geográfica, temperatura e umidade, que podem ser disponibilizadas na internet por meio de dispositivos de transmissão de dados. “Embora a evolução destes sensores e sua integração à internet tragam uma série de facilidades para o dia a dia, na medida em que muitos equipamentos podem ser controlados por meio do telefone celular, ela também traz problemas de segurança”, afirma o pesquisador. “Como a tecnologia está disponível a todos, um sensor pode ser colocado maliciosamente em uma máquina de pagamentos para ‘roubar’ senhas sem deixar rastros, como um ‘chupa-cabras’ de terceira geração.”

Embora haja registros do uso de sensores para capturar senhas digitadas em telefones celulares, não se conhece nenhum caso de seu uso em máquinas de pagamento. No entanto, a evolução da IoT tem tornado os sensores e seus sistemas auxiliares, que possuem código e hardware abertos, menores, mais baratos e mais acessíveis, de forma a difundir a tecnologia. “Na IoT, segurança não é considerada um valor agregado, mas um custo. Desse modo, primeiro as tecnologias dos sensores e de comunicação são disponibilizadas para serem difundidas”, observa o pesquisador. “Somente quando aparecem os problemas é que se pensa em questões de segurança, como no caso das babás eletrônicas e bonecas que transmitiam dados violando a privacidade das famílias.”

Ataques
A pesquisa simulou três tipos de ataques não invasivos a máquinas de pagamento com cartão. Um deles consistiu no roubo de senhas pela captação dos sons emitidos pelo acionamento das teclas. “Pelas normas internacionais desse tipo de equipamento, estabelecidas pela organização Payment Card Industry (PCI), ele não deveria permitir nenhum tipo de captação de informação pelo som das teclas, emissões eletromagnéticas ou qualquer outro tipo de medição”, relata Faria. “O ‘bip’ que é emitido durante o uso do teclado não permite diferenciar que tecla foi acionada. No entanto, em alguns tipos de teclado mecânico, cada tecla ao ser acionada emite um ruído característico, devido à construção do mecanismo de acionamento. É esse som que é captado pelos sensores e permite identificar a senha. No entanto, o dispositivo não tem acesso direto aos dados do cartão no sistema da máquina e teriam de ser capturados de outro modo.”
.

Trabalho foi desenvolvido na Poli pelo pesquisador Gerson Faria (esq.) e orientado pelo professor Hae Yong Kim – Foto: Cecília Bastos / USP Imagens

Outros ataques simulados durante a realização da pesquisa utilizaram tipos diferentes de sensores para obter senhas: acelerômetros, usados para estimar a posição da tecla pressionada a partir da vibração que o acionamento provoca dentro da máquina, e, por fim, células de carga, uma espécie de balança com sensores de pressão que medem a força exercida nas teclas ao serem acionadas, permitindo sua identificação.

A ideia das simulações é descobrir o funcionamento dos ataques antes que aconteçam em situações reais. “Por exemplo, no caso de alguns teclados mecânicos, é preciso modificar o design do teclado para que ele não emita ruídos quando acionado, o que não acontece em teclados tipo touch. Em caixas eletrônicos, é mais difícil o uso de sensores, pois os teclados são colocados em compartimentos blindados”, aponta o pesquisador. Em algumas máquinas, também seria necessário eliminar compartimentos para colocação de chips, onde dispositivos maliciosos podem ser colocados.

Parte dos resultados da pesquisa foi reunida em artigo publicado nos anais da IEEE International Conference on Systems, Man and Cybernetics (SMC 2015), realizada em Hong Kong, e no periódico Computers & Security, em 2016. As conclusões do estudo também foram comunicadas ao Banco Central do Brasil, ao Federal Reserve (banco central dos Estados Unidos), à Financial Conduct Autoriy (FCA), autoridade reguladora do sistema financeiro no Reino Unido, e à operadora de cartões Visa.

De acordo com a empresa de consultoria Gartner, em 2020, o mercado negro de informações capturadas de forma ilegal por sensores da Internet das coisas movimentará cerca de 5 bilhões de dólares em todo o mundo. “Isso equivale ao valor total arrecadado pelas exportações da indústria eletroeletrônica brasileira no ano de 2016”, destaca. A pesquisa é descrita na tese de doutorado Novos ataques de canal secundário a dispositivos de entrada manual de dados confidenciais, apresentada no Departamento de Engenharia de Sistemas Eletrônicos da Escola Politécnica, orientada pelo professor Hae Yong Kim.
.

.
Mais informações: gerson.faria@gmail.com, com Gerson de Souza Faria

Compartilhar no FacebookCompartilhar no Google+Tweet about this on TwitterImprimir esta páginaEnviar por e-mail

Textos relacionados