image

Kaspersky: geldautomaten kwetsbaar door Windows XP

dinsdag 26 april 2016, 15:19 door Redactie, 8 reacties

Volgens het Russische anti-virusbedrijf Kaspersky Lab laat de beveiliging van geldautomaten te wensen over, wat onder andere komt omdat de meerderheid op Windows XP draait en sommige banken zelfs programma's zoals Acrobat Reader 6.0, Radmin en TeamViewer op de apparaten installeren.

"De engineers die geldautomaten onderhouden denken vaak dat als de geldautomaat werkt het beter is om hem 'met rust te laten', oftewel geen updates te installeren. Als gevolg daarvan hebben sommige geldautomaten nog steeds het ernstige beveiligingslek MS08-067 waardoor willekeurige code kan worden uitgevoerd", zegt Olga Kochetov. Deze kwetsbaarheid werd onder andere door de beruchte Confickerworm gebruikt om miljoenen computers wereldwijd te infecteren.

Hardware

Naast de software hekelt Kaspersky Lab ook de hardware. Zo is het eenvoudig om een geldautomaat open te maken of bijvoorbeeld de usb-poort te benaderen en zo het systeem te infecteren. In sommige gevallen is het geldautomatensysteem zelfs zonder de automaat te openen toegankelijk, bijvoorbeeld via communicatiekabels of routers die aan de geldautomaat hangen. Na de infectie door malware kan de inhoud van de geldcassettes via bepaalde toetsencombinaties worden geleegd.

Een ander kritiekpunt is de XFS-standaard. Om met de geldautomaat te communiceren gebruikt de malware een aantal application programming interfaces (api's) genaamd XFS, wat staat voor "extensions for financial services". Via deze api's kan de apparatuur in de automaat met elkaar communiceren. Op deze manier is het voor de malware mogelijk om zonder autorisatie geld uit te laten geven of de geldcassettes te openen.

Kochetov adviseert fabrikanten van geldautomaten dan ook om de XFS-standaard te herzien. Zo zou er meer nadruk op veiligheid moeten liggen en zou er tweewegs-authenticatie tussen de onderdelen en legitieme software moeten worden gebruikt. Ook zou er encryptie moeten worden gebruikt voor alle data die tussen de hardware-onderdelen van de geldautomaat en de computer binnenin worden uitgewisseld. Banken krijgen het advies om fabrikanten aan te moedigen veilige producten te ontwikkelen en kwetsbaarheden snel te patchen.

Reacties (8)
26-04-2016, 16:19 door Anoniem
enige wat kaspersky wil is die devices beschermen op dit moment en mooi licenties kunnen verkopen.

Helaasje voor Kaspersky: dit zijn voornamelijk xp sp2 machines en je zou het bijna niet gokken: maar daar draait hun product helemaal niet op!

Ook nog een leuk weetje:
ATMs in Rusland en Europa zijn heel verschillend...
26-04-2016, 18:00 door Anoniem
Door Anoniem: enige wat kaspersky wil is die devices beschermen op dit moment en mooi licenties kunnen verkopen.

Helaasje voor Kaspersky: dit zijn voornamelijk xp sp2 machines en je zou het bijna niet gokken: maar daar draait hun product helemaal niet op!
Tenzij je gelooft dat ze zelf niet weten waar hun software wel of niet op draait kan je daaruit toch alleen maar concluderen dat ze geen licenties voor die automaten proberen te verkopen, en dat jij ongelijk hebt. Het lijkt me waarschijnlijker dat dit soort onderzoeken dient om hun reputatie te versterken en daar indirect meer verkopen door te genereren.
Ook nog een leuk weetje:
ATMs in Rusland en Europa zijn heel verschillend...
Weet je het zeker? Ze hebben het over automaten wereldwijd, en als je even een zoekmachine raadpleegt kom je erachter dat in 2014 (dat is pas eerverleden jaar), toen de ondersteuning voor XP stopte, 95% van de Nederlandse geldautomaten op XP draaide en dat bij een fors deel daarvan de hardware niet geschikt was voor Windows 7. Is dat inmiddels allemaal opgelost? Ik heb daar zo snel niets over kunnen vinden.
26-04-2016, 18:00 door Hans_US
Door Anoniem: enige wat kaspersky wil is die devices beschermen op dit moment en mooi licenties kunnen verkopen..

En waarom is dat verkeerd?



Ook nog een leuk weetje:
ATMs in Rusland en Europa zijn heel verschillend...

Waarschijnlijk wel maar er draait nog genoeg XP in Europa, VS en mogelijk de rest van de wereld:
VS/GB: http://info.rippleshot.com/blog/windows-xp-still-running-95-percent-atms-world
GB: http://www.theregister.co.uk/2015/12/08/xp_embedded_atm_security_cutoff_panic/
VS: http://money.cnn.com/2014/03/04/technology/security/atm-windows-xp/
26-04-2016, 19:46 door Anoniem
Beveiliging is het beheersen van risico's. Banken zijn zich in Europa / Noord America meestal heel bewust van die risico's en rekenen dat om in financiele schade. Daar draait de gebruiker hoe dan ook voor op doordat die (meer) moet betalen voor de betaalproducten. Fiks deel is winst, rest schadepost. Het is niet zo dat je als klanten opeens minder zal gaan betalen als de geldautomaten niet meer op XP draaien of een USB-poort minder makkelijk te benaderen is voor een onbetrouwbare cassetteverwisselaar.
26-04-2016, 20:05 door karma4
Door Hans_US:
Door Anoniem: enige wat kaspersky wil is die devices beschermen op dit moment en mooi licenties kunnen verkopen..
En waarom is dat verkeerd?
Omdat ze niet de kwaliteit voor de geldopnemer (consument) voorop stellen maar hun eigen belang. Jij wordt er alleen slechter van.
ATM's leuk om in weer eens in te duiken. http://www.atmmarketplace.com/articles/xfs-hype-versus-reality/ komt het OS/2 debacle weer langs. Geen ander reel alternatief dan... juist.
XFS https://en.wikipedia.org/wiki/CEN/XFS is een open CEN standaard omdat elke leverancier op zich een te kleine markt heeft om iets behoorlijks te doen. Het voorkomen van een vendor-lockin (hardware) lijkt me een goed streven. http://www.cen.eu/work/areas/ict/ebusiness/pages/cwa13449.aspx stamt al uit 1998 er is ook een J/XFS voor Java aangestuurde machines. Het ziet er voor mij uit als hardware aansturing vanuit 1 machine. Dat zou een Pi mogen zijn.

Idee van Kasperksy? Als je elk onderdeel als aparte computereenheid gaat zijn onderling verbonden via (draadloos) internet dan gaat het het er anders uitzien. Dan ook nog eens leveranciers ieder met zijn eigen API.. Of je dat zou moeten willen? Ja als derder partij (kaspersky) komen er veel meer martk-opties in beeld.

ATM"'s die je zwaar beveiligd (wegens de inhoud) niet aan publiekelijk internet moet hangen en dan die uitgangspunten vergeten uit gemak / doorlopende zichtbare kosten? tja. tegen domheid is niets bestand.
27-04-2016, 12:12 door Anoniem
Hele domme vraag misschien. Maar waarom draait er XP op een pinautomaat? Of beter waarom zijn ze overgestapt op XP? Een pinautomaat is toch niet zo heel moeilijk?
Is het niet veel verstandiger om met een micro kernel (Minix achtig) te werken en dan eigen drivers etc te schrijven. Zo verklein je de kans dat boefjes thuis kunnen proberen hoe je een pin automaat over neemt.
Of nee alles op XP laten draaien is veel goed koper (op de korte termijn).
28-04-2016, 08:06 door Anoniem
Ha, weer een lijk uit de kast die Windows XP heet....

Hoeveel nog voor bedrijven security serieus nemen?
28-04-2016, 12:00 door Anoniem
Door Anoniem:
Door Anoniem: enige wat kaspersky wil is die devices beschermen op dit moment en mooi licenties kunnen verkopen.

Helaasje voor Kaspersky: dit zijn voornamelijk xp sp2 machines en je zou het bijna niet gokken: maar daar draait hun product helemaal niet op!
Tenzij je gelooft dat ze zelf niet weten waar hun software wel of niet op draait kan je daaruit toch alleen maar concluderen dat ze geen licenties voor die automaten proberen te verkopen, en dat jij ongelijk hebt. Het lijkt me waarschijnlijker dat dit soort onderzoeken dient om hun reputatie te versterken en daar indirect meer verkopen door te genereren.
Ook nog een leuk weetje:
ATMs in Rusland en Europa zijn heel verschillend...
Weet je het zeker? Ze hebben het over automaten wereldwijd, en als je even een zoekmachine raadpleegt kom je erachter dat in 2014 (dat is pas eerverleden jaar), toen de ondersteuning voor XP stopte, 95% van de Nederlandse geldautomaten op XP draaide en dat bij een fors deel daarvan de hardware niet geschikt was voor Windows 7. Is dat inmiddels allemaal opgelost? Ik heb daar zo snel niets over kunnen vinden.

Doe maar eens een controle, zul je zien dat het aantal banken met ATMs op xp sp3 een stuk lager uitvalt als op SP2.

En over die verschillen: Ja dat weet ik zeker.
Met eigen ogen gezien.

Dat de hardware niet geschikt is voor Windows 7 lijkt mij een zorg voor de bank en niet voor mij als consument.
De enige manier om dat probleem op te lossen is nieuwe ATMs, en zoals we allen weten: Dat kost geld en tijd en dat wil men in Nederland niet spenderen lijkt het.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.