"Windows XP geldautomaten niet goed beveiligd"
Inmiddels gebruikt 70% van de geldautomaten Windows XP als besturingssysteem en dat maakt het betalingsverkeer kwetsbaar voor hackers. Waren de geldautomaten vroeger nog voorzien van exotische hardware en software, de afgelopen jaren is men overgestapt naar algemenere systemen zoals Windows. Daardoor zijn de machines in principe desktop PC's, die met dezelfde dreigingen te maken hebben als thuisgebruikers, zo beweert beveiligingsbedrijf NetworkBox.
Niet alleen zijn geldautomaten kwetsbaar voor wormen of denial of service aanvallen, malware zou bijvoorbeeld gegevens zoals kaartnummer, rekeningnummer, saldo en andere zaken kunnen stelen. Deze gegevens worden namelijk onversleuteld verstuurd en zijn daardoor eenvoudig te verzamelen. Alleen de pincode wordt versleuteld. Naast het stelen van informatie behoort zelfs het overnemen van de machine tot de mogelijkheden.
Dat dit een reële dreiging is bleek al uit het verleden, toen geldautomaten door de Nachi, Sasser en SQL Slammer wormen besmet raakten en 13.000 machines van de Bank of America uitschakelden. Menig geldautomaat is van een firewall voorzien, maar kan daarmee denial of service aanvallen niet voorkomen. Ook voorkomt dit niet dat het verkeer onversleuteld verstuurd wordt.
Gratis geld
"Als je een programmeur bent en je hebt enige ervaring met programmeren, dan is het een eitje. Als een exploit op een thuiscomputer werkt, werkt het ook op een geldautomaat", zegt consultant Gyan Chawdhary van IRM. En dat is een serieus probleem, want wat als een worm zich verspreidt. Hoe lang duurt het dan voordat die bij alle automaten patches zijn uitgerold?
Voor aanvallers die niet veel moeite willen doen zijn er ook andere opties, zoals het lezen van de handleiding. Onderzoekers van IRM lukte het om 2 op de 3 Britse geldautomaten via een standaard code die in de handleiding te vinden was, te openen, om daarna de inhoud van de kluis mee te nemen.
Ik bedoel, de bron is over het algemeen of een geinfecteerde verwisselbare
disk of internet.
Dit zou volgens mij nooit in dat automaten netwerk mogen komen...
Ik snap nog steeds niet dat die dingen geinfecteerd kunnen
raken.
Ik bedoel, de bron is over het algemeen of een geinfecteerde
verwisselbare
disk of internet.
Dit zou volgens mij nooit in dat automaten netwerk mogen
komen...
wereld van verschil. Dat noemen we realiteit ;-)
Ben het wel met je eens, het zou niet mogen gebeuren.
Overigens geldt dat ook voor bijvoorbeeld medische
apparatuur en allerhande control-systemen voor bijvoorbeeld
procescontrole. Daar is meer en meer windows te vinden. En
het wachten is natuurlijk op de eerste auto die zich random
gaat gedragen.
Ten eerste heb je alleen een pasjesinvoer in geldautomaten,
verder zit er per geldautomaat een verbinding naar een
centrale server bij InterPay. Je kan er vanuit gaan, dat die
centrale verbinding echt wel goed beveiligd is, en niet
iedereen erbij kan. Dus blijft er de pasjes-invoer over als
plaats waar je je hack uit moet voeren. Maar weinig mensen
is het gegeven om pasjes dusdanig te programmeren dat ze
geldautomaten kunnen infecteren.
Misschien dat het hele verhaal in Groot-Brittannië anders is
geregeld, dat weet ik niet. Maar hier in Nederland zijn dit
soort scenario's bijna onmogelijk (let wel: bijna!).
Neemt niet weg dat ik het belachelijk vind dat geldautomaten
met een Windows-versie worden uitgerust. Ongeacht de versie
van Windows is inmiddels wel aangetoond dat ze inherent
onveilig zijn en vaker security-updates nodig hebben dan een
aantal andere besturingssystemen.
eenvoudig uit de kluis te halen, waarom is de georganiseerde misdaad dan
geen overuren aan het draaien ?
Ik snap nog steeds niet dat die dingen geinfecteerd kunnen raken.
Ik bedoel, de bron is over het algemeen of een geinfecteerde verwisselbare
disk of internet.
Dit zou volgens mij nooit in dat automaten netwerk mogen komen...
Ik kan me het scenario ook moeilijk voorstellen.
Stel, ik sta voor een geld-automaat, en dan?
verbinding kan leggen met dat netwerk. vrijwel onmogelijk.
windows versie en daar hoor je ook niemand over.
Stel, ik sta voor een geld-automaat, en dan?
en daar had de bank adequate maatregelen getroffen.
Voordat die machines XP draaiden, draaiden ze OS/2 of Windows NT. En wat
heb je nou liever, een ATM met XP of met NT.
En inderdaad, het systeem werkt op het netwerk van Interpay (in NL) en de
mogelijkheid tot infecteren met je pas zijn m.i. beperkt.
hoop ik...;-P
Ik kreeg bijna twee jaar geleden foto's in handen van een
gecompromitteerde automaat in NL. Heb deze foto's ook
aangeboden aan de redactie destijds als ik mij het goed
herinner maar geen reactie op ontvangen. (niet geheel onlogisch)
Of het in NL mogelijk is om met een standaard code nog in de
machine te komen weet ik niet maar het mag niet meer voorkomen
aangezien dit verhaal zo'n 18 maanden geleden ook een onderwerp
was van discussie hier op security.nl.
Appie
Network Box believes that the best and probably only truly secure solution is a
multifunction device with
routing, firewall, IDS/IPS and VPN capabilities, positioned in front of, and
protecting, the ATM network.
En in de about:
Network Box Corporation Ltd was formed to provide businesses with a
cuttingedge
computer
network security solution that is effective yet affordable. Their flagship product
is the Network Box
Internet Threat Protection device.
Voordat die machines XP draaiden, draaiden ze OS/2 of
Windows NT. En wat
heb je nou liever, een ATM met XP of met NT.
(ondanks alle extra toegangsbeveiligingen) minder gevoelig
is voor hacks, trojans, virussen en andere troep?
dacht dat hier een apart OS voor ingericht was (is dit ook
zo bij systemen van het leger ect? alles op XP?)
gehackt eeuhh defect.
Ik keek op het scherm en wat dacht je, gewoon een xp scherm met
desktop achtergrond kunnen ze nou werkelijk geen serieus OS met
goed beveiligde applicaties op zo'n ding zetten.
Ik keek op het scherm en wat dacht je, gewoon een xp scherm met
desktop achtergrond kunnen ze nou werkelijk geen serieus OS met
goed beveiligde applicaties op zo'n ding zetten.
Misschien ligt de oorzaak in slecht onderhoud en slechte basisbeveiliging in
plaats van het besturingssysteem.
Het is tegenwoordig wel mode om in het kader van goedkope arbeidskrachten
belangrijke systemen op Windows te draaien, zie bijvoorbeeld Odisys
(donorregistratiesysteem) dat nu op Windows gaat draaien en aan het Internet
wordt gehangen.
http://www.computable.nl/artikel.jsp?rubriek=1272857&id=2354366
zelfs van JANUARI! Redelijk bejaard alweer :-/
hadden ze nou maar vista gebruikt!
op Windows
Sorry. Maar dit is echt grootste onzin. Knappe jongen wie
verbinding kan leggen met dat netwerk. vrijwel
onmogelijk.
Gewoon de kabel splitten en meeluisteren. Als het Vista is,
is het TCP-IP en dus mee te luisteren.
XP er op staat? Nooit? Wat voor geleuter is dit dan?
En Gutsy Gibbon: geef nou eens gewoon aan wat er dan precies fout is. Daar
hebben we meer aan dan dat gezeur over betere OS'en.
Hadden ze niet beter Linux of een bsd variant kunnen gebruiken.
Hadden ze dit probleem niet.
'pinpasjes' die je administrator toegang geven.
Na mijn werkzaamheden, zijn betreffende pasjes nooit meer
teruggevorderd; voor sommige mensen is het dus inderdaad
kinderspel zo'n doos te 'hacken'. ;)
PS; de verbinding naar o.a. Interpay (en nog 16 andere
organisaties) gaat over reguliere telefoonlijnen.
automaten met een bsod:
http://farm1.static.flickr.com/200/485029758_9db3a3537f.jpg
http://www.oss.cayey.upr.edu/blogs/tecno4all/wp-content/atmBSOD.jpg
tent plus laptop, en ander materiaal in de bosjes gelegen om
de telefoon kabel van een pinautomaat wat op windows 98
draaide op te graven.
Veel succes had ik niet, omdat de hele verbinding
versleuteld was, en bij het aftappen de verbinding soms werd
verbroken.
Zou de beveiliging nu echt minder zijn geworden ?
ik ga nog eens internetten met IE6 en dan met active X :) =>
spyware :P
Dat ze niet gewoon een heel basic systeem erop zetten? Gamen
doe je toch niet op een geldautomaat, of wel soms?
pff windows op een geldautomaat :o
ik ga nog eens internetten met IE6 en dan met active X :) =>
spyware :P
Dat ze niet gewoon een heel basic systeem erop zetten? Gamen
doe je toch niet op een geldautomaat, of wel soms?
Hahahahaha..... Halo 2 of STALKER op een geldautomaat, stel je dat eens
voor.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
