Windows XP zelf is niet meer ondersteund, maar de embedded of PoS (Point of Sale) versie wel.

Je kunt eenvoudig Windows XP aanpassen zodat die wel security updates binnenhaalt.

Windows 7 is een alternatief voor Windows XP, al moet je wel alle telemetrie uitschakelen, net als bij andere Windows versies. Voordeel van Windows 7 is dat je standaard niet onder een beheerderaccount werkt.

Windows 10, daar zou ik niet aan beginnen, die zijn niet gemaakt voor gebruikers, maar voor Microsoft's verdienmodellen waarbij privacy niet van belang en telemetrie niet volledig uitschakelbaar is.

De bank zal schade oplopen in geval van een hack, die kosten rekenen ze dan weer door aan de klant.
Laten we vooral hopen dat ze nooit op W10 gaan draaien!

Heb je dit zelf vastgesteld? Want ook al is dat wellicht ergens in de wereld het geval, ik heb het in Nederland al lang niet meer gezien. Bron?

Op zich mag je er vanuit gaan dat dit soort apparaten op geen enkele manier zijn verbonden met het internet en een USB stickje zul je als gebruiker niet snel erin kunnen duwen, waarmee de kwetsbaarheid op die manier natuurlijk wel grotendeels wordt weggenomen. Grootste risico zit hem namelijk in dat jij als gebruiker bv. op een bepaalde site komt die een kwetsbaarheid aanspreekt, of dat via internet iets probeert jou aan te vallen op een kwetsbare poort.

En of je voor de gek wordt gehouden? Microsoft had prima dit systeem nog kunnen ondersteunen. Voor specifieke bedrijven doen ze dat ook nog. Maar die betalen dan wel veel en veel meer dan wat jou een update kost. Immers is het systeem meer dan 10 jaar oud en zijn vele beveiligingsconcepten achterhaald of gekraakt.
Vergelijk het met een auto van 10 jaar oud: die kan prima rijden, maar hij is echt niet zo veilig als eentje van dezelfde prijs vandaag. Helaas kun je die alleen upgraden door een nieuwe te kopen.

nog recent: https://www.security.nl/posting/532718/Europol+waarschuwt+voor+geldautomaten+met+Windows+XP
Je kunt een risico impact analyse doen op de bedreigingen. Dan is een audi(plofkraak) op dit moment voor een ATM onvergelijkbaar gevaarlijker dan XP.

Embedded systemen hebben een heel andere support life cycle dan desktop / administratieve systemen.
Bedenk eens hoeveel software er in een auto medische apparatuur vliegtuig of in fabriek met robots staat te draaien. Die apparatuur moet vele jaren mee. Veel langer dan in die andere omgevingen. Het is de fabrikant van die apparaten die er op aangesproken moet worden samen met de afnemer. Nee ik ga niet om de 3 jaar een nieuwe auto of wat dan ook kopen omdat de software en OS dat er in zit "out of support gaat".

Als je even kijkt naar het jaarsalaris van een hoge bank manager of (denk aan een miljoen of veel meer) zou je zeggen dat het bijhouden en investeren er af zou kunnen. Die mensen halen het geld nu net uit alle bezuinigingen.

Met ATM's denk je dat het van je bank af komt. Mis er zijn een paar grote leveranciers met een flink aantal bouwstenen.
Zelfs het beheer van ATM's wordt al lang niet door de bank gedaan, het is uitbesteed. De bank moet enkel de transacties verwerken (via clearing naar anderen). Zoek eens op ATM manufacturers.
Zo'n ding is ook uitgerust naast een computer voor verbinding met "home" met slimme randapparatuur.

Vind ik:
http://www.lkskiosk.com/sale-7294279-simp-easy-design-kiosk-atm-machine-anti-vandal-15-inch-touch-monitor.html
Die cash dispenser is het te hacken ding, wat voor software draait dat? Wifi Blue tooth en USB maar open voor het gemak.

Beetje gedateerde vraag, vaak in het nieuws geweest.
Als je meer dan een minuut je zoekmachine gebruikt krijg je meer dan een hele avond leesvoer.
https://www.scmagazineuk.com/windows-xp-and-usb-ports-making-cash-machine-vulnerable-to-attack/article/531761/
https://www.darknet.org.uk/2015/01/atm-hacked-using-samsung-galaxy-s4-usb-port/
https://gizmodo.com/hackers-can-force-atms-to-spit-out-money-with-a-text-me-1551119933
https://www.kaspersky.com/blog/4-ways-to-hack-atm/13126/
https://www.wired.com/2017/04/hackers-emptying-atms-drill-15-worth-gear/
https://www.wired.com/2013/12/whos-robbing-atms-usb-stick/
enzovoort

En er staat me zelfs bij dat er een type losstaande atm was dat aan de buitenkant zo'n poortje had, merk en jaar onbekend maar ze was oranje naar ik me herinner.
Maar wat is je doel met deze post, de zoveelste OS flame uitlokken?
Pas op hoor, de eerste vaste deelnemer heeft zich al gemeld.
Misschien moet je eens gaan googlen op atm's met een ander besturingssysteem (geen namen noemen want anders wordt er iemand hier weer schuimbekkend gek en zijn bui is al niet best vandaag).
Mocht je die andere veiliger atm gevonden hebben kan je kijken weke bank daarbij past en daar dan alleen nog klant worden.

Maar, pinnen op een winmachien hoeft op zich niet, de banken zien graag dat mensen alleen nog maar internetbankieren en chippen.
Probleem opgelost!

Tot 2002 of zo draaiden de ATM's die ik beheerde nog op OS2. Je kunt je voorstellen dat een upgrade naar XP een enorme operatie geweest moet zijn geweest. Met normaal betaald support zijn deze machines nog prima veilig, zolang basale dingen niet gedaan worden (netwerk/Bluethooth, USB).
Maar dat geldt voor alles; als mijn perfect bijgewerkte machine benaderd kan worden met keyboard of USB/Bluetooth dan houdt het gewoon op.

tl;dr : Windows XP embedded is niet het veiligheidsrisico, het is "fysieke" toegang.

Als je je huiswerk had gedaan kwam je het volgende tegen:
*extended support will end on April 9, 2019*

1. Dus banken, MITS ze nog XP gebruiken hebben nog genoeg tijd om te migreren naar een nieuwere versie
2. Ook zijn pinautomaten niet gekoppeld aan interne bank systemen en reporten alleen de status van de pinautomaat en inhoud en opnamen one-way naar monitoring software die ook los staat van interne bank systemen, deze data wordt na succesvolle transfer ook niet opgeslagen op de machine zelf.
3. Bij compromise van 1 pinautomaat kan hooguit de software worden aangepast zodat al het geld uit wordt gespuugd, of dat bepaalde gegevens over welke transacties worden gepleegd onderschept worden.

Dus verre van een doemscenario.

Ga naar een supermarkt waar een losse pin-automaat staat, meestal zijn dit gele kasten.
Zet dat apparaat uit en daarna weer aan, kijk dan hoe deze opstart, dat is toch echt XP !

Je bedoelt die gele dingen bij de jumbo? Want die zijn niet van een bank.

Je geeft exact het grootste veiligheidsrsisco aan: <b>Fysieke toegang</b>.
Als eigenaar van de machine kun je er in stoppen wat je wil kun je het laten doen wat je wil.
Ga met je eigen ding en wat monopoly geld en je kan laten zien dat die tellers en dispensers werken met jouw code.

Wie vult die ATM in de winkel? Niet de bank. https://www.gelderlander.nl/lingewaard/bemmelse-jumbo-pinners-krijgen-30-euro-cadeau~addc3101/ Ik heb meer van dat soort berichten gezien, alleen deze komt op.
Dan kom je snel hoe het vroeger ging, "Even opschrijven?" de betaling als verzamelbedrag eind van de week met de loonbetaling. Zo'n krediet zou tegenwoordig onder het vergrootglas gaan want risicovol.

OS flames moet je eens mee kappen. Een ATM uitzoeken met je voorkeurs OS en dan de bank er bij vinden. Hoe afgesloten op een OS moet je daarvoor zijn. Ga je ook de koffie uitkiezen op het OS in dat ding of ga je vlieg bestemming uitzoeken op merk en leeftijd vliegtuig met die en die stewardess. Dat is het vergeten van de doelbinding gebruik nut.

Topicstarter, waarom open je hier opnieuw een topic over, nadat nog geen maand geleden de redactie dit heeft gepost:
https://www.security.nl/posting/532718/Europol+waarschuwt+voor+geldautomaten+met+Windows+XP

Volgens mij zijn er sindsdien geen nieuwe wetenswaardigheden over bekend geworden.

Omdat dat bericht geen direct antwoord geeft op mijn vraag: waarom is xp voor banken WEL veilig genoeg maar voor de consument niet? (zal het volgende keer als reactie 258 plaatsen onder een bericht van een maand geleden)

Maar ik merk al wel dat de normale gang van zaken hier op het forum is om elkaar zo hard mogelijk af te zeiken.
En OS flame? Volgens mij flame ik helemaal niks. Gewoon een oprechte vraag. En dat xp op sterven ligt dat weet iedereen neem ik aan.

Je kan wel op anderen afgeven maar wat bedoel je hier dan mee en hoe oprecht is dit kwa inhoud en taalgebruik?

Met een dergelijke zin stuur je toch zelf aan op rellerij rondom windows?
Met dergelijk taalgebruik zet je zelf toch al een negatieve begintoon?
Je roept in ieder geval de vraag op wat nou de bedoeling is van je topic.
Wat is de relevantie eigenlijk van je laatste alinea ten opzichte van je pinautomatenverhaal?

Misschien is het een idee om niet teveel verschillende topics te openen maar meer inhoudelijke aandacht dus kwaliteit per topic te besteden en het vriendelijk te houden zonder verdachtmakingen.
Er is geen 'de normale gang van zaken' er zijn wel een paar mega reageerders met vele duizenden recaties die elke dag de anti toon zetten op een aantal vaste topics, maar dat zijn een paar vaste accounhouders waar alle andere lezers en reageerders weinig aan kunnen veranderen.
Dat is een kwestie van site-beleid waar wij geen invloed op lijken te hebben.

Denk je nu echt dat je een 'slimme' vraag stelt ofzo ?

1 - het wordt niet in dezelfde omstandigheden gebruikt als bij een consument
2 - de bank (of atm eigenaar) is wel bereid de schade te dragen als het misgaat met de automaat
3 - uiteindelijk hebben banken (of wie er ook de ATMs koopt) ook een beperkte keus aan fabrikanten van ATMs. Welk OS op de controller draait is één aspect bij de keuze, maar gegarandeerd niet de enige . Of de meest belangrijke. En bestaande automaten vervangen (of upgraden) kost ook echt geld .



Je stelt een zuigende en leidende vraag voor enorm verschillende omstandigheden . ('worden we voor de gek gehouden' ) En dan noem je het een 'oprechte vraag' .

Waarom zijn richtingaanwijzers en koplampen verplicht op auto's ? Formule 1 bolides rijden ook zonder. Op banden zonder profiel. Worden we voor de gek gehouden ?

Inderdaad, we zijn het eens.
Zelfs de netwerkkabel zit met een koppelstuk (supermarkt in de buurt), daar een stukje elektronica tussen zetten en er zijn veel dingen mogelijk, iedereen kan erbij !

Valtbest wel mee. Ze zijn goed afgeschermd. Maar de kans bestaat natuurlijk wel. Maar de kans is een stuk groter dan er een ramkraak voor gebruikt wordt. Veel sneller en effectiever.

Mag een bank zelf besluiten, bij een risico analyse of bijvoorbeeld XP wel/niet acceptabel is voor de ATM ?

De vraag of een bank dit gaat wijzigen, is een simpele kosten/baten analyse. Indien beter beveiligen meer kost, dan het oplevert, dan zal een bank snel het risico accepteren. Waarbij mogelijke schade wanneer het mis gaat, voor hun eigen rekening is.

Het zal mij werkelijk een rotzorg wezen op welk OS de pinautomaat draait, en welke patches ze installeren, zolang het risico wordt gedragen door de bank, en mogelijke schade wordt vergoed.

Het risico gedragen wordt door de bank, die weer wordt betaald door de klant.
Jij vindt het dus ook normaal, dat je geen rente meer krijgt op je rekening?

Ron625 dat is iets wat uit de macro-economie rolt.
Met een inflatie van 100% en rente van 80% wordt je helemaal niet blij. Vraag het eens aan gepensioneerde buitenlanders waar het pensioen daardoor waardeloos geworden is. Een stabiel financieel systeem met ongeveer gelijkblijvende koopkracht is het prettigst. Zet er nog wat algemene vrijheden bij en je hebt het best goed.

Uit het eerdere redactie artikel. Van de totale schade bij atms.
- 90% pishing en andere algemene vormen van oplichting.
- 9% fysieke aanvallen plofkraken ed.
- 1% cybersecurity misbruik.
Wil je de schade terugbrengen dan is cybersecurity de kleinste post. Security begint en eindigt met risico impact bepaling.

Overigens als je weet wat er binnen de bank geschoven wordt met geld en wat voor bonussen en salarissen betaald worden dan is dat wel zeer bevreemdend voor iets wat een systeemfunctie voor het volk is. Dat klopt voor geen meter maar is politiek besloten dat de markt het beter en goedkoper kan (liberaal dogma).

Wat een overdrijven weer. We zijn niet allemaal boeman hier, en je zou reactie 36 geweest zijn.
Maar belangrijker is dat het antwoord gewoon in dat artikel staat: ze worden ondersteund tot 8 januari 2019
en daarom bestaan ze nog. Heel iets anders dan onze eigen Windows XP computers, die hebben al sinds 8 april 2014 geen officiële ondersteuning meer. (onofficiële updates voor XP (bestemd voor POSready) zouden wel eens niet perfect kunnen werken!)
Ook heeft het de aandacht al dat banken nu eens aan de slag moeten om die XP-automaten te vervangen.

Je vraagt ook nog: Commercie heeft sowieso een mate van voor de gek houden in zich, maar niet "alleen maar".
XP was niet op 9 april 2014 volstrekt onveilig , maar wordt wel onveiliger naar mate de tijd vordert omdat kwetsbaarheden niet meer worden gerepareerd op enkele uitzonderingen na in een bijzondere situatie.
Maar rekening houdend daarmee, kan eventueel XP nog steeds worden gebruikt voor bepaalde doeleinden.
Het is tenslotte niet XP alléén die de veiligheid bepaalt, maar ook : wat doe je ermee, en welke
maatregelen heb je genomen, bijv. waardoor de impact van een eventuele aanval en het lekken of kwijtraken van op de PC aanwezige gegevens niet erg is. Daarbij kan men doen aan hardening bijv. onnodige functies van XP disablen, evenzo in de browser, een extra firewall e.d. Toch al snel te moeilijk voor de doorsnee gebruiker.
En niet te vergeten in sommige situaties is mogelijk geen XP-driver aanwezig voor eventuele nieuwe hardware.

Het massaal voortijdig afschrijven van automaten wegens 'XP' wordt _ook_ uiteindelijk betaald door de klant .

Waarom op windows???
Omdat het 'zo veilig' is?

Zo recht toe recht aan is het kosten/baten-plaatje van een bank helemaal niet. Inkomsten uit valutahandel (en die kunnen enorm zijn) zijn helemaal niet rechtstreeks aan klanten toe te schrijven en die kunnen best ingezet worden om verliezen bij geldautomaten te dekken.

En weet je wat? Verliezen zijn slecht voor de winst, dus die willen ze niet. Berekenen ze het dan rechtstreeks door aan klanten? Banken die dat niet doen kunnen lagere kosten of hogere rente bieden en hebben een betere concurrentiepositie. Het is helemaal geen goed idee om nonchalant risico's te nemen en de schade bij je klanten neer te leggen.

Wat overblijft is om in de kosten/baten-afweging de kosten zo laag mogelijk te houden. Daarbij leidt reputatieschade tot veel hogere kosten dan de directe schade, daar moeten ze dus verdomd voorzichtig mee zijn, en bij die directe schade wegen ze af hoe veel een niet-perfecte geldautomaat "lekt" tegen hoeveel het kost om die minder te laten lekken.

En dat zijn alleen nog maar de berekenende afwegingen. De graaimentaliteit die de laatste jaren zo in het nieuws is geweest is niet in alle geledingen van banken even sterk. Er is nog altijd een basis van mensen die heel ouderwets iets degelijks neer willen zetten. Die hebben, al blijven ze stil in de media, een positieve invloed op het eindresultaat.
Dat is een rechtstreeks gevolg van beleid van de Europese Centrale Bank, niet van nonchalant de schade bij klanten neerleggen door andere banken. Het is nog maar de vraag of banken zelf blij zijn met die lage rentestand.

Met een AUDI A/S6 hack schijnt het niet uit te maken op welke versie software je draait... ;)
<einde>

Tja, dat ook dat geld kost, en dat de bank daarbij een kosten/baten afweging maakt, dat snapt niet iedereen hier. Verder is embedded XP een produkt dat nog altijd aktief wordt ondersteund door Microsoft.

Misschien dat sommige reageerders aandelen hebben bij Microsoft, ze willen zo ontzettend graag dat de banken alle pinautomaten gaan upgraden naar een nieuwe Windows versie.... ;))

Windows XP - end of life
Windows XP embedded - aktief ondersteunt, met veiligheidsupdates

Je vergelijkt appels met peren.