image

India verbiedt gebruik van Windows XP voor geldautomaten

vrijdag 22 juni 2018, 15:46 door Redactie, 13 reacties

India heeft het gebruik van Windows XP voor geldautomaten verboden. Vanaf juni 2019 mogen er geen geldautomaten meer zijn die op het 16 jaar oude besturingssysteem draaien, zo melden Firstpost en The Times of India op basis van een richtlijn (pdf) van de Reserve Bank of India (RBI).

De RBI trok vorig jaar al aan de bel over het gebruik van Windows XP en andere niet meer ondersteunde besturingssystemen op geldautomaten, maar banken zouden traag zijn met het upgraden van de machines. Daarom wil de RBI dat banken in actie komen en verschillende beveiligingsmaatregelen gaan doorvoeren. Zo moeten voor augustus usb-poorten op geldautomaten worden uitgeschakeld en bios-wachtwoorden worden ingeschakeld.

Voor volgend jaar maart moeten alle geldautomaten in het land over anti-skimming en whitelisting-oplossingen beschikken. De anti-skimmingapparaten moeten voorkomen dat de betaalpassen van gebruikers worden gekopieerd. De whitelisting-oplossing zorgt ervoor dat alleen vertrouwde applicaties op de geldautomaten werken. Dit moet het gebruik van geldautomaten-malware tegengaan.

Wat betreft het upgraden van Windows XP zal dit gefaseerd plaatsvinden. In september moet een kwart van de machines zijn geüpgraded, gevolgd door vijftig procent in december van dit jaar. Volgend jaar maart moet driekwart van de geldautomaten in India op een ondersteund besturingssysteem draaien en vanaf juni 2019 moeten alle machines up-to-date zijn.

Image

Reacties (13)
22-06-2018, 16:32 door Anoniem
India loopt voor op de rest van de wereld ?
22-06-2018, 17:30 door Anoniem
Windows XP PosReady/embedded wordt door Microsoft ondersteunt tot in volgend jaar met beveiligingspatches.

Men is dus prima op tijd in India.

Het probleem in de praktijk zal wel zijn dat de patches niet altijd daadwerkelijk worden geinstalleerd. Windows Update onder Windows XP is ouderwets en verloopt via een http verbinding. Het is waarschijnlijk niet erg moeilijk een MitM aanval te gebruiken.
22-06-2018, 18:17 door Anoniem
Hè jammer, net 2 maanden te laat. Als ze Windows XP Embedded POSReady 2009 hiervoor gebruiken tenminste. Deze versie is ontworpen voor dit soort zaken maar de ondersteuning voor deze versie eindigt in April 2019.

Vraag me wel af waardoor ze het vervangen:
Windows Embedded POSReady 7;
Windows Embedded 8.1 Industry;
Windows 10 IoT Core;
Of switchen ze naar zo'n vreemde en onbetrouwbare Linux versie?
22-06-2018, 18:23 door karma4
Door Anoniem: India loopt voor op de rest van de wereld ?
Ze hebben grote biljetten cash ook verboden. Er zijn meer zaken zoals een verplichte overheidsregistratie met biometrie.
De dnb heeft met aanwijzingen en controles zitten slapen als je dat bedoeld. In ieder geval worden daar de banken wat opgedragen. Nu kijken wat de atm fabrikanten en atm brokers gaan doen.
22-06-2018, 22:01 door Anoniem
Door Anoniem:
Het probleem in de praktijk zal wel zijn dat de patches niet altijd daadwerkelijk worden geinstalleerd. Windows Update onder Windows XP is ouderwets en verloopt via een http verbinding. Het is waarschijnlijk niet erg moeilijk een MitM aanval te gebruiken.

Dat bedenk je nu ter plekke even op je zolderkamertje of daar zit een goede beargumentering achter?
Het gebruik van een http verbinding voor een update is helemaal niet onveilig hoor, en een MITM aanval zal niet lukken
omdat de updater zelf de signatures op de code controleert. Je kunt beter de payload controleren dan controleren of
de server waar je die vanaf haalt vertrouwd is! Daarmee maak je je zelf ook onkwetsbaar voor gehackte update servers.
Latere windows versies gebruiken ook gewoon http voor windows update, zelfs Windows 10 doet dat.
22-06-2018, 23:50 door Anoniem
Door Anoniem:
Door Anoniem:
Het probleem in de praktijk zal wel zijn dat de patches niet altijd daadwerkelijk worden geinstalleerd. Windows Update onder Windows XP is ouderwets en verloopt via een http verbinding. Het is waarschijnlijk niet erg moeilijk een MitM aanval te gebruiken.

Dat bedenk je nu ter plekke even op je zolderkamertje of daar zit een goede beargumentering achter?
Het gebruik van een http verbinding voor een update is helemaal niet onveilig hoor, en een MITM aanval zal niet lukken
omdat de updater zelf de signatures op de code controleert. Je kunt beter de payload controleren dan controleren of
de server waar je die vanaf haalt vertrouwd is! Daarmee maak je je zelf ook onkwetsbaar voor gehackte update servers.
Latere windows versies gebruiken ook gewoon http voor windows update, zelfs Windows 10 doet dat.

Signatures op de code? Windows XP heeft geen signatures op executables als je dat bedoelt.

Je hebt gelijkt dat het signen van updatepackages de beste manier is. Maar dat is alleen zo als je moet kiezen en dat is niet het geval, en daarom geen geldige argumentatie (valse keuze). Beveiliging die uit slechts 1 laag bestaat is veel makkelijker te verslaan. Het is veel beter meerlaags te beveiligen met vertrouwde certificaten en de verbinding onaanpasbaar te maken. Bedenk zelf maar eens waarom de oude crypto van Windows XP verslaanbaar zou kunnen zijn.
23-06-2018, 09:50 door Anoniem
Joh je moet bij Microsoft gaan werken. En meteen ook even de Linux distributeurs zoals Debian aanpakken.
Ze gebruiken allemaal http en dat is echt goed genoeg, https voegt niets toe.
23-06-2018, 12:12 door -karma4 - Bijgewerkt: 23-06-2018, 12:22
Door Anoniem: Joh je moet bij Microsoft gaan werken. En meteen ook even de Linux distributeurs zoals Debian aanpakken.
Ze gebruiken allemaal http en dat is echt goed genoeg, https voegt niets toe.

Over Debian's update mechanisme:

https://unix.stackexchange.com/questions/90227/why-there-is-no-https-transport-for-debian-apt-tool:

Your assumption is wrong: you can use HTTPS downloads. You just have to find a mirror that supports it, and put its URL in your list of sources. You'll need to install the apt-transport-https package.

Debian doesn't make HTTPS downloads easy because there is very little benefit. Debian package distribution already includes a mechanism to verify packages: all packages are signed with Gpg. If an active man-in-the-middle redirects your traffic to a server with corrupted packages, the corruption will be detected because the GPG signatures won't be valid. Using GPG rather than HTTPS has the advantage that it protects against more threats: not just against active man-in-the-middle on the end-user connection, but also against a rogue or infected mirror or other problems anywhere in the package distribution chain.

Zijn Microsoft Windows (XP) update packages met een digitale handtekening ondertekend? (Die meteen de inhoud van downloaded updates borgt.) Dan voegt http niets toe.
23-06-2018, 12:27 door Anoniem
Door Anoniem: Joh je moet bij Microsoft gaan werken. En meteen ook even de Linux distributeurs zoals Debian aanpakken.
Ze gebruiken allemaal http en dat is echt goed genoeg, https voegt niets toe.

Je denkt niet dat er verschil is in de kwaliteit van encryptie? Merkwaardig.

Op de man spelen en geen geldige argumenten geven en daadwerkelijke argumenten negeren is geen sterke "discussie".

Overigens, je kunt niet iets dat slecht is verdedigen met iets dat ook slecht is. Dat is als zeggen dat als Google de privacy schendt dat Microsoft het ook mag.
23-06-2018, 16:11 door karma4
Door Anoniem:
Overigens, je kunt niet iets dat slecht is verdedigen met iets dat ook slecht is. Dat is als zeggen dat als Google de privacy schendt dat Microsoft het ook mag.
Het zijn dd atm fabrikanten die de dozen afleveren. Bankemployee kopen die dozen massaal in.
In Nederland grootste uitdaging audies met plofkraken. Hierdoor verdwijnen atm's. Ze verhuizen op zijn best naar beperkt toegankelijke locaties.
23-06-2018, 19:46 door Anoniem
Door Anoniem:
Op de man spelen en geen geldige argumenten geven en daadwerkelijke argumenten negeren is geen sterke "discussie".

Jij vindt het kennelijk OK om een zelfverzonnen nonsense claim neer te zetten zonder enige onderbouwing?
(terwijl meerdere andere partijen het niet eens zijn met wat je claimt en daar zitten niet de minste tussen)
23-06-2018, 21:09 door Anoniem
Windows Update van Windows XP heeft een tijd lang niet gewerkt. Dat verloopt via de IE8 of oudere browser en ActiveX. Het vergde aandacht van een beheerder om een en ander weer werkend te krijgen.
27-06-2018, 14:47 door Anoniem
Door Anoniem:
Vraag me wel af waardoor ze het vervangen:
Windows Embedded POSReady 7;
Windows Embedded 8.1 Industry;
Windows 10 IoT Core;
Of switchen ze naar zo'n vreemde en onbetrouwbare Linux versie?

Windows 10 dus:
https://mspoweruser.com/rbi-instructs-banks-to-upgrade-their-atms-from-windows-xp-to-windows-10/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.