News Fast alle Geldautomaten laufen noch mit Windows XP

[Yuuri]

krass, hätte nie gedacht das auf Geldautomaten Windows läuft öÔ

Na aber, selbst Fahrkartenautomaten von der Straßenbahn laufen auf XP.

Bei uns im Osten!

Also selbst bei uns im tiefsten Osten, laufen die Dinger schon mit nem XP. Gibts nen noch tieferen Osten (von der Situation her)?

Lustig ist, wenn der Automat chkdsk ausführt, weil er abgestürzt ist. Find leider das Bild gerade nicht.

 

[terraconz]

Der Artikel errinert mich an einen Tag als in Österreich bei der Bank Austria die Bankomaten ausgefallen sind im ganzen Land!
Da hast du in jedem Bankomaten einen schönen BSOD am screen gesehen der danach in einen bootscreen überging und das bootmedium nicht mehr finden konnte.

 

[0-0-0-0]

Versteh nicht warum deswegen so ein Theater gemacht wird. Solange die Kisten nicht am Internet angebunden sind bzw verbunden sind ist es genauso sicher wie ein modernes OS.

P.s: Die ganzen DB Fahrkartenautomaten laufen auch auf Win XP

 

[Sun_set_1]

[...]
Nun ja.. Wenn man einen Geldautomaten so konfiguriert, dass er zuerst vom USB Port bootet.. Dann hat man halt was falsch gemacht.. Der hack funktioniert übrigens bei fast jedem Automaten, man muss nur die Schlüssel Nummern kennen, um sich alles auszahlen zu lassen, was drin ist.. Der hack ist öffentlich verfügbar, um das Programm zu benutzen, muss man das aber vorher anmelden und dafür zahlen..

Stimmt so nicht ganz. Ausgenutzt wurde eine Lücke im USB Protokoll mit der Du volle Lese / Schreibrechte erreichst. Anschließend kannste vereinfacht gesagt die Bootreihenfolge überschreiben. Das traurige ist, das soweit ich das gelesen habe, die selbe Lücke bzw eine andere Variante der Lücke schon vor Jahren für Jailbreaks von i Geräten genutzt wurde. Man sollte also meinen genug Zeit um das Exploit auf Bankautomaten zu fixxen...

 

[PhilAd]

Das ist absoluter quatsch. Ein Rolling Release ändert nichts an den Problemen und selbst Subreleases, werden nicht ohne weiteres einfach blind eingespielt.
Linux ist im Enterpriseumfeld nicht kostenlos. Du brauchst Support, der nicht durch Sys-Admins und 1-3 Level Support im Unternehmen ersetzt werden kann. Das gilt auch für mySQL für DBs und und und ... ganz zu schweigen von den Kosten für die Softwareanpassung.

Aber auch die Anforderungen an ein Betriebssystem werden oft einfach nicht erfüllt. Was meint ihr warum viele große Unternehmen noch mit WinXP auf den Clients arbeiten? Weil es z.B. (Kann ein Grund von vielen sein) - so kurios es auch klingt - das geeignetste System zur Erfüllung der Anforderungen von Verschlusssachen war. Erst zum Q3 2013 hat die erste Verschlüsselungssoftware für Windows 7 die Zulassung dafür erhalten (TrustedDisk).

Ich hab immer den Eindruck, dass viele glauben, die Unternehmen wüssten nicht das es neue Betriebssysteme gibt oder neue Software ... neue Hardware oder schon längst neu eingeführte Standards. Natürlich wissen sie das, aber es steckt nunmal einfach deutlich mehr dahinter und es sind eben nicht nur Kosten die hier unterschätzt werden, sondern sehr oft auch Anforderungen die nicht erfüllt werden können und einer Einführung oder einem Wechsel im Wege stehen.

Bzgl. LTS: Es gibt einige Linux Distris, die auf dem Rolling Release Prinzip basieren und somit nicht an Supportzeiten pro Versionsnummer gebunden sind. Und verbunden mit ein paar Menschen, die sich damit auskennen, sollte das pi mal Daumen deutlich günstiger und insgesamt auch flexibler sein als diese Knebelverträge und Vorraussetzungen + Preise, welche man für Windows als System bei solchen Einsatzgebieten hat.


Bzgl. allg. Sicherheit der Systeme: Ja will ich auch net, wurde oft genug durchgekaut und ist sinnfrei, obwohl ich darauf auch gar nicht hinauswollte

 

[Daaron]

Aber gut, es mag vielleicht Provokant klingen, aber der Standard ITler, welcher in einem Unternehmen angestellt ist, geht den Weg des geringsten Widerstandes und der ist nun mal fertige Programme und System zu verwenden.

Es hat nix mit "geringstem Widerstand" zu tun. Jemand, der sein Handwerk versteht, egal ob in der IT oder woanders, wird sich im Zweifel für sichere und langfristige Lösungen entscheiden, nicht für ne Husch-Husch - Lösung auf MS-Basis, weils grad da ist.

Also selbst bei uns im tiefsten Osten, laufen die Dinger schon mit nem XP. Gibts nen noch tieferen Osten (von der Situation her)?

Na ja, es gibt immer noch den Raum Dresden... Weißt du nicht mehr, was ARD heißt?

Versteh nicht warum deswegen so ein Theater gemacht wird. Solange die Kisten nicht am Internet angebunden sind bzw verbunden sind ist es genauso sicher wie ein modernes OS.

XP hat eine ganze Latte Verwundbarkeiten hinsichtlich der USB-Ports. Da die Automaten einen USB-Port zur Wartung haben... das Missbrauchspotential ist zwar nicht so groß wie bei nem Angriff über das Internet, aber Insider-Jobs sind ja nun auch nix neues.

 

[Sun_set_1]

Das ist absoluter quatsch. Ein Rolling Release ändert nichts an den Problemen und selbst Subreleases, werden nicht ohne weiteres einfach blind eingespielt.
Linux ist im Enterpriseumfeld nicht kostenlos. Du brauchst Support, der nicht durch Sys-Admins und 1-3 Level Support im Unternehmen ersetzt werden kann. Das gilt auch für mySQL für DBs und und und ... ganz zu schweigen von den Kosten für die Softwareanpassung.

Aber auch die Anforderungen an ein Betriebssystem werden oft einfach nicht erfüllt. Was meint ihr warum viele große Unternehmen noch mit WinXP auf den Clients arbeiten? Weil es z.B. (Kann ein Grund von vielen sein) - so kurios es auch klingt - das geeignetste System zur Erfüllung der Anforderungen von Verschlusssachen war. Erst zum Q3 2013 hat die erste Verschlüsselungssoftware für Windows 7 die Zulassung dafür erhalten (TrustedDisk).

Ich hab immer den Eindruck, dass viele glauben, die Unternehmen wüssten nicht das es neue Betriebssysteme gibt oder neue Software ... neue Hardware oder schon längst neu eingeführte Standards. Natürlich wissen sie das, aber es steckt nunmal einfach deutlich mehr dahinter und es sind eben nicht nur Kosten die hier unterschätzt werden, sondern sehr oft auch Anforderungen die nicht erfüllt werden können und einer Einführung oder einem Wechsel im Wege stehen.

Nochmal - es handelt sich um eine Lücke im USB-Protokoll. Die wäre / war zu gewissen Zeiten auch unter Linux hackbar (exploitable) gewesen. Soweit ich das verstanden habe ist die Lücke ähnlich zu der, die bereits vor Jahren zum JB verwendet wurde. Über Apples Teilnahme an GPL dürfte der Fix mittlerweile auch seinen Weg in den Linux Kernel gefunden haben. Wenn aber nun Linux eingesetzt worden wäre und auch dieses vom Hersteller der Bankautomaten nicht mit den nötigen Kernelpatches versorgt worden wäre, wären diese Automaten genauso angreifbar gewesen wie ihre Windows XP Pedanten.

 

[hallo7]

Man sollte also meinen genug Zeit um das Exploit auf Bankautomaten zu fixxen...

Muss man nicht, der Zugang zu einem USB Port bei einem Geldautomaten sollte nicht möglich sein und ist es in den meisten Fällen auch nicht.
Die "gehackten" Automaten waren meist veraltete freistehende Modelle die (wenn auch nur die Verkleidung) sozusagen aufgebrochen wurden, sowas gibts in unseren Gefilden sowieso kaum (mir wäre keiner bekannt).
wenn du bei einem eingemauerten Automaten zum USB Port willst, kannst gleich den Automaten aufbrechen bzw. ihn mitnehmen. Wäre effizienter.

 

[zelect0r]

Wahnsinn was hier für eine Unruhe auf kommt.
Wieviel Quatsch hier eigentlich erzählt wird, nur weil auf Bankautomaten Windows XP läuft.
Kein Port ist frei zugänglich und am Internet hängen die auch nicht.
Ich glaube wenn das der Fall wäre, hätten wir schon viel früher vom Windows XP auf Bankautomaten und deren Risiko gehört.

Da könnte auch ein Windows XP ohne Updates drauf laufen, wie willst du da rankommen?
Ohne das Ding aus der Wand zu reissen.

 

[dgschrei]

wenn du bei einem eingemauerten Automaten zum USB Port willst, kannst gleich den Automaten aufbrechen bzw. ihn mitnehmen. Wäre effizienter.

Sehr richtig man muss sich mal durchdenken was für diesen Hack alles nötig war. Man musste:

- einen Teil des Gehäuses aufschneiden unbemerkt
- einen präparierten USB Stick in den Wartungsport darunter stecken unbemerkt
- Das ganze wieder so zukleben dass es nicht auffällt.
- anschließend den Automaten vom Stromnetz trennen, um einen Reboot zu forcieren. Auch das unbemerkt

Für den Großteil der Automaten die außerhalb von Bankfilialen angebracht sind, dürfte spätestens beim letzten Punkt Schluss sein, weil man keinen Zugang zum Stromanschluss hat, ohne die halbe Wand mit wegzureißen.

Für die Automaten in den Filialen dürfte es nahezu unmöglich sein, die 4 Schritte durchzuführen ohne dass das dem Personal auffällt.

Von daher ist dieser Angriff absolut uninteressant, weil das Risiko beim Durchführen des Hacks in keiner Relation zur zu erwartenden Beute steht. Man kann den Automaten ja nur einmal ausräumen. Spätestens wenn die Abrechnung des Automaten nicht stimmt, fällt es schließlich auf, dass irgendwas an dem Teil manipuliert wurde.

 

[Krik]

Na aber, selbst Fahrkartenautomaten von der Straßenbahn laufen auf XP.

Bei mir läuft da Linux drauf.


Dass auf einigen Bankautomaten Windows läuft, wusste ich. Ich war zufällig vor vielen Jahren mal in der Nähe als ein Techniker am Automaten rumgeschraubt hat. Die Hardware sah nach 486er oder ähnlich antikes aus. Und dann hat der Techniker die Maschine gebootet -> Windows Logo. Und etwas später habe ich gesehen, dass die "Banking-Anwendung" eigentlich ein IE-Fenster ist. Na ja, das ergibt Sinn, so läuft der eigentliche Kram nur auf dem Server.

Ich hätte aber vermutet, dass die Banken nur auf Windows CE oder Embedded setzen. Dass sie sich für das Otto-Normal-XP entschieden haben, wundert mich etwas.

 

[PhilAd]

dem wollte ich auch nicht widersprechen. allerdings sollte eine veränderte bootreihenfolge nicht dazu führen, dass man an die daten eines gestohlenen Notebooks kommt oder in dessen Netzwerk. Das es Personen gibt, die sich Zugang verschaffen können (Wartung) kann man leider fast nicht ausschließen. Die häufigste Ursache für 'verlorene' Daten ist nunmal der User hinterm PC, der per Social Engineering dem Angreifer unbewusst hilft oder der MA der bewusst etwas macht. Vor soetwas kann man sich nicht schützen. Ich wüsste zumindest nicht wie und da das Problem alle Brnachen betrifft, von staatlichen Einrichtungen bis hin zum Privatmann, scheint es dafür auch noch keine Ansätze zu geben. Strafverfolgung auf der einen Seite und Schulungen, Hinweise, Abfragen und Sicherheitsschleusen auf der anderen Seite, sind anscheinend nicht wirksam genug. Sie sind meist eher nervig für den MA, der nicht versteht, warum soetwas notwendig ist. Vorallem wenn ihm dann auch noch die USB Ports gesperrt werden bzw. Daten auf einen USB Stick nur verschlüsselt kopiert werden, sodass die Daten nur zwischen Firmenrechnern kopiert werden können. Dann werden leider noch fatalere Wege über Dropbox oder Ähnlichem gewählt.

Nochmal - es handelt sich um eine Lücke im USB-Protokoll. Die wäre / war zu gewissen Zeiten auch unter Linux hackbar (exploitable) gewesen. Soweit ich das verstanden habe ist die Lücke ähnlich zu der, die bereits vor Jahren zum JB verwendet wurde. Über Apples Teilnahme an GPL dürfte der Fix mittlerweile auch seinen Weg in den Linux Kernel gefunden haben. Wenn aber nun Linux eingesetzt worden wäre und auch dieses vom Hersteller der Bankautomaten nicht mit den nötigen Kernelpatches versorgt worden wäre, wären diese Automaten genauso angreifbar gewesen wie ihre Windows XP Pedanten.

 

[dayworker123]

es gibt weltweit nur 3.000.000 ec-automaten ? Wenn bei uns jede Finale 3-5 Automaten hat , und es gibt verschiedene Banken -gruppen.
Haben die nicht vielleicht ne 0 vergessen.

 

[Zaeggu]

Bei uns in der Schweiz giebt es auch noch Zigaretten-Automaten mit Windows XP! Aber die dinger sind ja auch nicht Online Verbunden, also da kommt sicherlich noch keine Panik auf!

 

[der_henk]

Na aber, selbst Fahrkartenautomaten von der Straßenbahn laufen auf XP.

Und auf Automaten der DB Windows NT.

Das war zumindest vor ein, zwei Jahren noch so.

 

[herby53]

Joar mir kam auch schon mal der Windows XP Desktop mit 2000 Aussehen zum Hervorscheinen und danach war die Kiste vorerst nicht zu verwenden. Zum Glück kam nach gefühlt 10 Minuten die Karte noch raus.

 

[Klassikfan]

Also ehrlich.... Wenn es darum geht, Kunden zu gängeln, ihnen nur die eigene Software zu verkaufen, die dann im möglichen Funktionsumfang auch noch deutlich eingeschränkt ist, kann das Betriebssystem gar nicht proprietär genug sein! Aber ausgerechnet bei Geldautomaten, die sicherheitsrelevant sind, nur wenige Rechenfunktionen benötigen,, nur in firmeneigenen Netzwerken laufen und über keinerlei Multimediaeignung verfügen müssen, läuft das Allerwelts-Consumer-OS Windows XP?????

Ich bin platt! Ganz ehrlich!

Ergänzung (20. Januar 2014)

Über die allgemeine Sicherheit der Systeme brauchen wir nun nicht streiten. Habe aber noch nicht großartig von gehackten Geldautomaten gehört.

Was nicht heißt, daß es das nicht gibt!
Von unsicheren Geldkarten hat man ja lange Zeit auch nichts gehört....

Ergänzung (20. Januar 2014)

Bitte jetzt mal die alten Windowssysteme, die unser Bankwesen nutzt, mit Prism verbinden...

Wer sagt dir, daß das noch nicht längst der Fall ist?
Die Geldströme zu überwachen, ist doch seit 9/11 Standardprozedur! Nur die Börsengewinne rund um 9/11 durften bis heute nicht analysiert werden...

 

[Krik]

@Klassikfan
Was hätten sie denn sonst nehmen sollen?
Ein Linux? Linux-Software verändert sich schnell und stark. Schon nach 1-2 Jahren können neuere Programmversionen komplett inkompatibel werden. Nach 3-5 Jahren betrifft das kann man kaum noch ein einfaches Sicherheitsupdate machen, ohne Gefahr zu laufen, das System komplett zu blockieren.

Eine Lösung wäre hier, auf ein Enterprise Linux (zB RHEL) zu setzen, da kauft man dann lange Lebenszeit. Aber wozu? Lange Lebenszeit gibt es bei Windows standardmäßig. Der Standardsupport läuft 6 Jahre und der Extended Support legt nochmal 5 Jahre drauf. 11 Jahre Support, such das mal im Linux-Umfeld.

Dass Windows verwendet wird, ist mir durch diesen Gedankengang klar. Warum haben sie aber nicht auf CE oder Embedded gesetzt? Zu teuer?

 

[Konsolengamer]

Schweizerische Bundesbahn, Bahnhof Gümligen bei Bern, Bahnhofunterführung, Infodisplay: Jeden Montagmorgen erscheint anstelle der Zugabfahrtszeiten eine Firefoxmeldung: Zeitüberschreitung der Anforderung. Zaubert mir jeden Montag Morgen ein Lächeln aufs Gesicht, die kriegen das wohl nie gebacken

 

[RagingBlast]

[...]Wer sagt dir, daß das noch nicht längst der Fall ist?
Die Geldströme zu überwachen, ist doch seit 9/11 Standardprozedur! Nur die Börsengewinne rund um 9/11 durften bis heute nicht analysiert werden...

War mehr eine Aufforderung von mir, das gedanklich zu verbinden.