Diebold Nixdorf will zukünftig Geldautomaten auf Windows 10 umstellen, so die kurze Botschaft einer Pressemitteilung, die vor einigen Wochen ausgesandt wurde. Eine gute Gelegenheit, das Thema hochzuspülen.
Anzeige
Der Fakt …
Die Nachricht habe ich erstmals bei banklesstimes.com am 7. April 2017 gesehen. Bei heise.de hat man es hier ein paar Tage später thematisiert. Ganz stolz kündigt das Unternehmen in einer Pressinformation an, dass es der erste Geldautomatenanbieter sei, der dieses Microsoft Windows 10 Betriebssystem verwende.
"We are not only the first ATM manufacturer readily available to support Windows 10, but have been shipping processors that are Windows 10 compatible since mid-2014," senior vice president, systems Ulrich Näher said. "This is a true testament to our company's 'future-proof' development mentality and protecting our customers' investments – that meet the needs of today and anticipate those of tomorrow."
Also, der gute Ulrich Näher ist ganz stolz darauf, dass man der erste (Depp) ist, der Windows 10 in Geldautomaten unterstützt. Er posaunt auch heraus, dass seine Geldautomaten seit 2014 mit Chips/CPUs ausgeliefert werden, die kompatibel mit Windows 10 seien. Und dann folgt der übliche Bullshit:
"We have been working diligently with other industry groups to ensure our customers are better prepared and to make this migration as easy as possible," senior vice president, software Alan Kerr said. "Migrating to Windows 10 is an important next step for any financial institution interested in leading the future of consumer transactions and we are uniquely positioned to support them."
Man kann also den Banken den Umstieg auf Windows 10 anbieten …
Warum ich die Meldung gerade heute bringe?
Die obige Meldung ist doch Schnee von vorgestern – wieso nochmals aufwärmen? Tja, zum Wochenende hat die Ransomware WannaCrypt Administratoren weltweit in Atem behalten. Weltweit wurden IT-Netzwerke durch den Verschlüsselungstrojaner lahm gelegt. Die spanische Bank Santander scheint wohl darunter zu sein – wobei ich nicht weiß, ob Geldautomaten betroffen sind. Aber in China hat WannaCrypt wohl Geldautomaten lahm gelegt (Quelle).
Anzeige
#WanaCypt0r#wannacrypt #infosec#China@hackerfantastic @HackRead
Bank of China Automatic teller machine in the blackmail software virus pic.twitter.com/LzcRa4sjU8
— 95cn (@95cnsec) 13. Mai 2017
Auch dieser Tweet zeigt einen Geldautomaten mit dem Trojaner. In Foren spottet man, dass Banken Geldautomaten noch mit Windows XP betreiben. Und dann feiern sich die Diebold Nixdorfs für ihren Umstieg auf Windows 10 – ein Betriebssystem, dessen LTSB gerade einmal 10 Jahre hält und neue CPUs nicht mehr unterstützt. Aber vermutlich setzt man keine LTSB-Variante ein und darf alle 18 Monate spätestens ein Feature-Upgrade installieren (falls die Maschinen mitmachen), wenn man noch Updates erhalten will.
Ich weiß ja nicht, wie es auch geht – meine Industrietätigkeit ist fast ein viertel Jahrhundert her. Ein Geldautomat braucht nur rudimentäre Softwarefunktionen – etwas Kommunikation, etwas Bildschirmansteuerung und etwas Steuerung der Geldausgabefunktionen (wobei ich davon ausgehe, dass dafür Subprozessoren zuständig sind). Wozu in aller Welt braucht es da ein Windows 10 mit Social Media und Cloud-Integration samt Telemetriedatenerfassung? Ein paar Infos zum Thema Sicherheit von Geldautomaten finden sich in diesem Kasperky-Lab-Dokument. Dass man da ein Windows 10 braucht, um nicht angreifbar zu sei, konnte ich nicht finden. Und dieses Dokument stimmt mich auch nicht gerade hoffnungsvoll. Kommt mir so vor, als ob jemand ein Feuer löschen will, indem er noch mehr Benzin drauf kippt.
Anzeige
Ich hab jetzt die ganzen verlinken Artikel nicht gelesen, aber auf den Geldautomaten wird doch mit Sicherheit kein Windows 10 Professional oder Enterprise mit GUI zum Einsatz kommen, wie wir es kennen.
Dort kommt mit Sicherheit eine Windows 10 IoT Variante zum einsatz…. ich würde mal auf Windows 10 IoT Core in der LTSB Variante tippen. Und die lässt sich eben auf das beschränken, was auf einem Geldautomaten eben benötigt wird. Keine Gui, kein Schnick Schnack.
Und Windows 10 mit seinen zahlreichen Sicherheits Features ist für Geldautomaten sicher besser geeignet wie Windows XP. Und die Geldautomaten hängen sicher auch nicht im öffentlichen Internet.
anstatt eine kleine bekannte Lücke mit vorhandenen Lösungen auch für XP auf vorhandener Hardware zeitnah zu schließen, wird die 10 eingeführt…
10 mal experimentieren und nicht sofort lösen
10 mal aufwendiger im Mehrjahresprojekt komplett umstellen
10 mal komplexer und weniger nachhaltig neu aufsetzen
10 mal unsicherer angehen, was die Zukunft wirklich bringt
10 mal mehr Marketing ohne Programmtesting
aber neue Hard- und Software verkaufen, die morgen mit den gleichen falschen Argumenten wieder patchlos abgeschossen wird
WannaCrypt ist EINE Lücke in Windows XP. Da gibt es sicher noch mehr und es wird nicht die letzte bleiben.
Ich habe nicht geschrieben, dass Windows 10 die ideale Lösung für Geldautomaten ist. Aber Windows XP ist es mit Sicherheit auch nicht.
Ich hatte nur geschrieben, dass auf den Geldautomaten mit Sicherheit kein herkömmliches Windows 10 Enterprise mit GUI zum Einsatz kommt und deshalb eben viele Annahmen aus dem Artikel von Günter Born nicht 100% zutreffen.
"WannaCrypt ist EINE Lücke in Windows XP"
WannaCrypt nutzt eine SMB v1 Lücke in Windows XP.
Dieser Zero-Day Exploit ist aber auf ungepatchten Systemen bis Windows 10 ebenfalls möglich. Bisher sind jedoch keine infizierten Windows 10 Installationen bekannt. Auf den zahlreichen Bilder, die aktuell im Netz dazu kursieren, ist zu erkennen, dass es sich nicht nur um Windows XP handelt.
Zumindestens würde der Einsatz von Windows 10 auf Geldautomaten es für sehr viele Leute wesentlich einfacher machen.
Das "Geheim" kann man dann streichen, und es heißt dann einfach nur noch "Nummer".
Diese wird dann auch vereinheitlicht, z. B. in 0000 oder 1234, da MS eh alle Daten abgreift, und/oder in der Cloud speichert.
Kein Nachdenken mehr beim Geldabheben.
Für ganz doofe wird die "Standardnummer" beim Dialog zusätzlich eingeblendet, als fest angeschraubtes Schild am Automaten, oder noch besser direkt auf die Karte gedruckt.
Vielleicht könnte man es auch so machen, dass man gar kein Geld mehr abheben kann, ohne sich vorher mit seinem MS Account am Geldautomaten eingeloggt zu haben.
MS wird schon dafür sorgen.
Der Weltmaktführer weiß nämlich genau, was für uns das Beste ist.
Herr Näher wird sicherlich auch nicht zu geringe monäre Zuwendungen von MS erhalten haben, um dies zu propagieren.
Genau so wie die Amigos in München.
Ironie ist das eine, aber man sollte doch mit eine wenig mehr Ernsthaftigkeit an das Thema gehen. Du glaubst doch nicht im Ernst, dass ein Geldautomat irgendwelche Daten an Microsoft übermittelt.
Erstens kommt dort kein normales Windows 10 zum Einsatz und zweites hängt das Gerät nicht im Internet und hat damit gar keine Verbindung zu Microsoft.
Und wie ist dann dieser Virus auf die Geldautomaten gekommen?
Wir konnten hier eindeutig nachweisen, das z.B. sogar unsere LTSB nach Hause telefoniert.
Ich traue MS alles zu, alles!
Du vermutest nur das MS keine Daten übermittelt.
Belege mit Fakten Deine Behauptung!
Am besten eidesstattlich.
Ein sehr gutes Beispiel für eine Bank, in der die Administratoren offenbar ihr Handwerk nicht verstehen.
Dort kam wie du selber lesen kannst XP zum Einsatz. Da ist schon mal per se unsicher. Wie der Virus dort drauf kam, keine Ahnung…. entweder per USB, dann ist es grob fahrlässig. Oder per Internet, auch dann ist es grob fahrlässig, weil man solche Geräte vom Internet strikt abschotten sollte. Oder der Virus kam per internem Netzwerk auf die Geräte, wovon ich jetzt mal ausgehe. Aber auch dann lief da einiges schief, weil die Geräte und das interne Netz nicht ausreichend geschützt waren.
Toll, wenn ihr eindeutig nachweisen konntet, dass die LTSB Variante Daten nach Hause schickt. Es bestreitet doch kein Mansch, dass die LTSB Variante Daten an Microsoft schickt. Aber ich wiederhole mich gerne nochmal, wenn man es richtig macht, kommt auf einem Geldautomaten keine normale LTSB Variante zum Einsatz, sondern eine angepasste "IoT Core" Variante.
Und nochmal, ein Geldautomat sollte nicht im Internet hängen, sondern in einem abgeschotteten Netzwerk. Selbst wenn das Betriebssystem Daten sammeln sollte, verlassen die Daten dann dieses abgeschottete Netz nicht. Da braucht es keine eidesstattliche Versicherung, das ist Informatik und Netzwerktechnik erstes Lehrjahr.
Ich habe nicht behauptet, das der Geldautomat direkt mit dem Internet verbunden ist. Dieser ist lediglich mit der Bank und dessem Server verbunden. Wie es dort weitergeht ist eine andere Geschichte. Aber irgendwo wird es dort einen Zugang zum Internet geben. Dieser kann dann komprimitiert werden, und erhält damit den Zugriff auf das dahinterliegende Netzwerk. Und die Hacker sind MS meilenweit voraus. Im Darknet kannst Du Sicherheitslücken für MS Betriebssysteme kaufen, von denen noch nicht einmal MS weiß. Warum ist denn WannaCrypt so weit gekommen? MS wusste schon seit langem davon, hatte es aber nicht nötig gehalten bis auf die Service Kunden andere davon zu informieren. Erst muss der worst case eintreten. Das sagt einem doch alles über MS.
Wie lange ist Dein "Informatik und Netzwerktechnik Lehrjahr" schon her? Gab es da noch Robotron? :-)
schon mitbekommen, dass solche Automaten nicht am Netz hängen – niemals und auch nicht auf Umwegen, noch nie, und wozu auch?!
Da ist nüscht mit login, "Daten abgreifen" und dergleichen. Das sind und werden keine Win10 sein, wie es die "normal-Consumerlies" kennen. Das sind auf Spezialaufgaben zugeschnittene BS – ein "embedded-XP" eines aktuellen Geldautomaten ist auch nicht mit normalem XP vergleichbar. Sowas ist Unsinn!
Obs unbedingt ein win10 für den Geldautomaten braucht, kA., aber nochmal, es werden wenn, keine normalen win10e sein. Und XP-embedded ist nu wirklich nicht sinnvoller. Eine Linux-Basis vermutlich aber schon…
Die hängen nicht am Netz?
Wo lebst Du denn?
Wie werden denn dann Updates eingespielt?
https://www.heise.de/security/meldung/Kommandozeilen-Zugriff-Sicherheitsluecke-in-Geldautomaten-der-Sparkasse-2867559.html
Informiert euch doch bitte , bevor Ihr so einen Unsinn schreibt.
Du musst die Artikel die du selber verlinkst unbedingt besser durchlesen.
In dem Artikel steht doch, dass die Geldautomaten falsch konfiguriert waren. Also wie bei der russischen Bank in dem Artikel den du weiter oben verlinkt hast waren auch hier Administratoren tätig, die ihr Handwerk nicht verstanden haben.
Du kannst die Teile noch so sicher machen, auch mit Linux als Betriebssystem. Wenn dann die Admins solche Bugs einbauen, bringt dir die ganze Sicherheit nichts.
Und wenn du dir dann auch noch die Bilder anschaust, dann siehst du, dass der Zugriff lokal direkt am Geldautomat möglich war, weil dort eben ein Kommandozeilen Fenster aufging. Kein Zugriff über das Internet!!!
Und bitte unterscheiden…. Nur weil die Geräte im Netz hängen, haben die Geräte noch lange kein Zugriff auf das Internet.
Noch mal.
Es ging um die Vernetzung.
Und die Automaten sind vernetzt!
Ich habe nie behauptet, dass die Automaten direkt am Internet hängen!
Was ich nicht verstehen will ist, das immer noch große Firmen auf Windows setzten.
Seit vielen Jahren werden von weltweiten Unternehmen, für ähnliche Anwendungen, das bessere UNIX verwendet.
Weil den Firmen offensichtlich das passende Personal mit dem notwendigen Fachwissen fehlt.
Da ist es eben einfacher, schon vorhandene steinalte Systeme einzusetzen und diese bestenfalls ein wendig anzupassen, damit sie unter Windows 10 laufen.
Eine Neuentwicklung auf UNIX/Linux Basis wäre für dieses Anwendungsgebiet mit Sicherheit besser. Aber die Banken scheuen eben den Aufwand (zeitlich, personell und finanziell)
Sehr ehrlich betrachtet ist UNIX schon in den 80er Jahren in vielen Sachen weiter gewesen, als es Windows 10 vielleicht mal werden kann. Niemand kam auf die Idee, DOS oder Windows in eine sichere Firmenrechnerumgebung zu lassen. Erst die intelbasierten Personalcomputer haben zögerlich u.a. wegen Lotus 1-2-3 den Weg geöffnet. CAD-Spezialisten oder Produktionstechniker haben verzweifelt die Hände über dem Kopf zusammengeschlagen, wenn dort solche Lösungen eingeführt werden sollten.
…und so ist es unter Linux als Fortentwicklung geblieben. Ob Googlesuchanfragen, Amazonbestellungen, Routerlösungen, NAS IoT…. Überall dominiert Linux und ist jahrzehntelanges fortentwickeltes Detailwissen im Hintergrund eines sterbenden und wenig leistungsfähigen Windows-Desktops. Gut Excel hat Lotus verdrängt, aber LibreOffice verdrängt gerade die ganze MS-Office-Welt. Wer wenig will und als Insider Fehleranfälligkeit liebt, der soll mit Windows 10 seine Spielchen machen, aber seriöser und preiswerter Support nach Kundenwünschen und -nutzen geht nun mal anders, als Millionen Hobbyköche zur Selbstanfertigung eines 5-Sterne-Menüs einzuladen.
Lotus 1-2-3 auf Compaq-PCs wurde von Shell in Amsterdam in der Prozeßsteuerung genutzt.
Das weiß ich sicher, weil ich es selbst gesehen habe.
Damals hiessen die Koninklijke Shell Laboratorium Amsterdam.
P.S. "LibreOffice verdrängt gerade die ganze MS-Office-Welt"
Wovon träumst du? Ganz im Gegenteil. Leider.
Und inzwischen machen die auch den Menüband-Mist (Ribbons) nach.
Ribbons sind alternative und keine verpflichtende Angebote in den neuesten Versionen, damit sich jeder was aussuchen kann.
Das im Produktionsfeld nie Tabellenkalkulation eingezogen ist, sollte auch nicht behauptet werden. Es hat dort nur etwas länger gedauert…
@Rolf Dieter
Danke. Das wahre Leben wird oft übertroffen von Hollywood. Und ohne Ironie wäre dieses Leben heutzutage manchmal unerträglich.
Der o. verlinkte Kaspersky Artikel ist in englisch.
Die deutsche Version davon zu lesen- ist geradezu erschreckend:
Quelle: https://de.securelist.com/analysis/veroffentlichungen/71316/malware-and-non-malware-ways-for-atm-jackpotting-extended-cut/
kurze Anmerkung: umgekehrt ist es richtig. Hollywood wird oft übertroffen vom wahren Leben. Sorry.
Man kann auch einen Geldautomaten kompromittieren, der nicht in einem Netzwerk hängt. Dazu schneidet man einfach ein Loch in die Verkleidung bis man an einen der USB-Anschlüsse gelangt. Dort wird dann ein spezielles USB-Device angeklemmt.
Siehe https://www.golem.de/news/jackpotting-geldautomaten-in-deutschland-mit-usb-stick-ausgeraeumt-1510-117190.html
http://www.spiegel.de/netzwelt/web/diebstahl-per-usb-stick-a-941824.html
Die dort beschriebene Fälle ist zwar schon einige Jahre her, aber ich denke, dass es immer noch möglich sein sollte.
Wenn Du so weit kommst, hilft einem aber überhaupt kein Betriebssystem mehr.
Egal wie sicher es gepatcht ist.
Es sei denn, man hat noch PS/2 /COM/ LPT Anschlüsse am Mainboard, und die USB Anschlüsse sind deaktviert, oder mit Heißkleber funktionsuntüchtig gemacht worden. :-)
Meines Erachtens hat ein nach außen geführter USB-Anschluss sowieso nichts an einem Steuercomputer eines Geldautomaten verloren.
Dazu gibt es viel zu viele potentielle Sicherheitslücken an dieser Schnittstelle gerade in Verbindung mit Windows.
Weiter ist es problematisch, wenn das Gehäuse solcher Automaten Manipulationen keinen großen Widerstand entgegen setzt.