India verbiedt gebruik van Windows XP voor geldautomaten
India heeft het gebruik van Windows XP voor geldautomaten verboden. Vanaf juni 2019 mogen er geen geldautomaten meer zijn die op het 16 jaar oude besturingssysteem draaien, zo melden Firstpost en The Times of India op basis van een richtlijn (pdf) van de Reserve Bank of India (RBI).
De RBI trok vorig jaar al aan de bel over het gebruik van Windows XP en andere niet meer ondersteunde besturingssystemen op geldautomaten, maar banken zouden traag zijn met het upgraden van de machines. Daarom wil de RBI dat banken in actie komen en verschillende beveiligingsmaatregelen gaan doorvoeren. Zo moeten voor augustus usb-poorten op geldautomaten worden uitgeschakeld en bios-wachtwoorden worden ingeschakeld.
Voor volgend jaar maart moeten alle geldautomaten in het land over anti-skimming en whitelisting-oplossingen beschikken. De anti-skimmingapparaten moeten voorkomen dat de betaalpassen van gebruikers worden gekopieerd. De whitelisting-oplossing zorgt ervoor dat alleen vertrouwde applicaties op de geldautomaten werken. Dit moet het gebruik van geldautomaten-malware tegengaan.
Wat betreft het upgraden van Windows XP zal dit gefaseerd plaatsvinden. In september moet een kwart van de machines zijn geüpgraded, gevolgd door vijftig procent in december van dit jaar. Volgend jaar maart moet driekwart van de geldautomaten in India op een ondersteund besturingssysteem draaien en vanaf juni 2019 moeten alle machines up-to-date zijn.
Men is dus prima op tijd in India.
Het probleem in de praktijk zal wel zijn dat de patches niet altijd daadwerkelijk worden geinstalleerd. Windows Update onder Windows XP is ouderwets en verloopt via een http verbinding. Het is waarschijnlijk niet erg moeilijk een MitM aanval te gebruiken.
Vraag me wel af waardoor ze het vervangen:
Windows Embedded POSReady 7;
Windows Embedded 8.1 Industry;
Windows 10 IoT Core;
Of switchen ze naar zo'n vreemde en onbetrouwbare Linux versie?
De dnb heeft met aanwijzingen en controles zitten slapen als je dat bedoeld. In ieder geval worden daar de banken wat opgedragen. Nu kijken wat de atm fabrikanten en atm brokers gaan doen.
Het probleem in de praktijk zal wel zijn dat de patches niet altijd daadwerkelijk worden geinstalleerd. Windows Update onder Windows XP is ouderwets en verloopt via een http verbinding. Het is waarschijnlijk niet erg moeilijk een MitM aanval te gebruiken.
Dat bedenk je nu ter plekke even op je zolderkamertje of daar zit een goede beargumentering achter?
Het gebruik van een http verbinding voor een update is helemaal niet onveilig hoor, en een MITM aanval zal niet lukken
omdat de updater zelf de signatures op de code controleert. Je kunt beter de payload controleren dan controleren of
de server waar je die vanaf haalt vertrouwd is! Daarmee maak je je zelf ook onkwetsbaar voor gehackte update servers.
Latere windows versies gebruiken ook gewoon http voor windows update, zelfs Windows 10 doet dat.
Het probleem in de praktijk zal wel zijn dat de patches niet altijd daadwerkelijk worden geinstalleerd. Windows Update onder Windows XP is ouderwets en verloopt via een http verbinding. Het is waarschijnlijk niet erg moeilijk een MitM aanval te gebruiken.
Dat bedenk je nu ter plekke even op je zolderkamertje of daar zit een goede beargumentering achter?
Het gebruik van een http verbinding voor een update is helemaal niet onveilig hoor, en een MITM aanval zal niet lukken
omdat de updater zelf de signatures op de code controleert. Je kunt beter de payload controleren dan controleren of
de server waar je die vanaf haalt vertrouwd is! Daarmee maak je je zelf ook onkwetsbaar voor gehackte update servers.
Latere windows versies gebruiken ook gewoon http voor windows update, zelfs Windows 10 doet dat.
Signatures op de code? Windows XP heeft geen signatures op executables als je dat bedoelt.
Je hebt gelijkt dat het signen van updatepackages de beste manier is. Maar dat is alleen zo als je moet kiezen en dat is niet het geval, en daarom geen geldige argumentatie (valse keuze). Beveiliging die uit slechts 1 laag bestaat is veel makkelijker te verslaan. Het is veel beter meerlaags te beveiligen met vertrouwde certificaten en de verbinding onaanpasbaar te maken. Bedenk zelf maar eens waarom de oude crypto van Windows XP verslaanbaar zou kunnen zijn.
Ze gebruiken allemaal http en dat is echt goed genoeg, https voegt niets toe.
Ze gebruiken allemaal http en dat is echt goed genoeg, https voegt niets toe.
Over Debian's update mechanisme:
Your assumption is wrong: you can use HTTPS downloads. You just have to find a mirror that supports it, and put its URL in your list of sources. You'll need to install the apt-transport-https package.
Debian doesn't make HTTPS downloads easy because there is very little benefit. Debian package distribution already includes a mechanism to verify packages: all packages are signed with Gpg. If an active man-in-the-middle redirects your traffic to a server with corrupted packages, the corruption will be detected because the GPG signatures won't be valid. Using GPG rather than HTTPS has the advantage that it protects against more threats: not just against active man-in-the-middle on the end-user connection, but also against a rogue or infected mirror or other problems anywhere in the package distribution chain.
Zijn Microsoft Windows (XP) update packages met een digitale handtekening ondertekend? (Die meteen de inhoud van downloaded updates borgt.) Dan voegt http niets toe.
Ze gebruiken allemaal http en dat is echt goed genoeg, https voegt niets toe.
Je denkt niet dat er verschil is in de kwaliteit van encryptie? Merkwaardig.
Op de man spelen en geen geldige argumenten geven en daadwerkelijke argumenten negeren is geen sterke "discussie".
Overigens, je kunt niet iets dat slecht is verdedigen met iets dat ook slecht is. Dat is als zeggen dat als Google de privacy schendt dat Microsoft het ook mag.
Overigens, je kunt niet iets dat slecht is verdedigen met iets dat ook slecht is. Dat is als zeggen dat als Google de privacy schendt dat Microsoft het ook mag.
In Nederland grootste uitdaging audies met plofkraken. Hierdoor verdwijnen atm's. Ze verhuizen op zijn best naar beperkt toegankelijke locaties.
Op de man spelen en geen geldige argumenten geven en daadwerkelijke argumenten negeren is geen sterke "discussie".
Jij vindt het kennelijk OK om een zelfverzonnen nonsense claim neer te zetten zonder enige onderbouwing?
(terwijl meerdere andere partijen het niet eens zijn met wat je claimt en daar zitten niet de minste tussen)
Vraag me wel af waardoor ze het vervangen:
Windows Embedded POSReady 7;
Windows Embedded 8.1 Industry;
Windows 10 IoT Core;
Of switchen ze naar zo'n vreemde en onbetrouwbare Linux versie?
Windows 10 dus:
https://mspoweruser.com/rbi-instructs-banks-to-upgrade-their-atms-from-windows-xp-to-windows-10/
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
