Törhetőre konfigoltad az ATM-et? Semmi gond! Az XP a hibás!

Flame

Az utóbbi időben hozzászokhattunk már, hogy a tech-média mindent megtesz annak érdekében, hogy hirdetőinek, támogatóinak extraprofit-érdekeit ne csak reklámokkal, de az olvasók véleményének manipulálásával, félelemkeltéssel is biztosítsák. Nem volt ez másként tegnap sem, mikor az mspoweruser.com lehozott egy cikket arról, hogyan hekkelhetőek meg bizonyos orosz ATM-ek a Shift gomb ötszöri lenyomásával (beragadó billentyű, Windows alapfunkció). Ez még így oké is lenne, és egy elég nagy rendszerintegrátori epic fail-t mutatna be, ha az egész nem ismét a Windows XP körüli félelemkeltés hangzatos buzzword-jeire, illetve az ezzel kapcsolatos idealizmusokra és demagógiákra lenne kihegyezve.

A cikk lényege és hírértéke összefoglalható az alábbi két, szép kerek, angol mondatban.

According to the employee, the ATM’s interface can be bypassed by pressing Shift 5 times which triggers Sticky Keys. Once done, the hacker can gain access to the whole Operating System and deploy malicious software or modify ATM boot scripts.

Alatta és fölötte megy a FUD a Wannacry-ról (témához semmi köze egyébként), illetve arról, hogy az ATM-ek még mindig XP-t használnak (ez sem igaz, mert a nagy részük POSReady 2009-et, ami még mindig támogatott, frissített és nem is volt sebezhető a Wannacry által), ezzel is leképezve az asszociációt, hogy ha valaki a Windows XP-re gondol, gondoljon egyből a pénze elvesztésére is, hiszen "inherent security vulnerabilities that can be easily exploited by hackers". Mert nagyon gonosz és furfangos hacker™ kell legyen az, aki képes megnyomni ötször a Shift-et. Arról nem is beszélve, hogy ha fölveszi a biztonsági kamera, akkor nem csak a billentyű lesz beragadó, hanem a hacker™ is, a börtönbe.

Gyakorlatilag, a cikk kétharmada a Windows XP gyalázása, rémisztgetés, illetve a Microsoft birkaterelése, hogy bár noszogatják a bankokat, de úgy tűnik, nem mindenki figyel oda rájuk.

While Microsoft has urged banks to upgrade the software to Windows 10, it looks like not everyone has listened and followed their instructions.

Majd hülyék lesznek felfrissíteni Windows 10-re, mikor frissítés sokkal gyakrabban jön és sokkal több ATM-et érintene, mint egy Shift-et nyomkodó hacker hülyegyerek. Arról nem is beszélve, hogy a Windows 10-ben is default működik a beragadó billentyűk ötszöri megnyomására felbukkanó panel, tehát önmagában a frissítés semmit nem oldana meg.

Jól szemlélteti a mai tech-médiavilág önmagából és a valóságból kifordult mivoltát, hogy egy konfigurációs beállításért egy szoftvermultiék által kidobandónak ítélt operációs rendszert tesznek felelőssé, nem azt a barmot, aki elfelejtette normálisan bekonfigurálni. Megoldásnak pedig egy szoftvermultiék által megvásárlandónak szánt operációs rendszert mutatnak be, nem egy kevésbé barmot, aki nem felejti el a rendszert normálisan bekonfigurálni.

Mindezek után abban is biztos vagyok, hogy ha ez egy Linux-os billentyűparancsról szólt volna (Ctrl+Alt+F1), netán egy jelszó nélküli vagy root-root bejelentkezésről, nem lett volna belőle semmilyen hír. Idáig süllyedtünk a nagy fejlődés™ közepette.

A cikket egyébként a PC World is lehozta magyarul, náluk is ment rendesen a Windows XP-zés, bár mentségére szóljon a cikkírónak, hogy csak lemásolta az eredetiben leírtakat, egy fokkal lightosabb verzióban, WannaCry és egyéb oda nem illő csúsztató marhaságok és demagógiák nélkül.

  • 1308 megtekintés

( Raynes v | 2017. 12. 28., cs – 02:47 )

A POSReady 2009 is XP, és amíg nem foltozták, az is támadható volt a Wannacry által, plusz ezeket az ATM-eket nem hinném, hogy rendesen frissítik. Félelmetes amatőrség, hogy nem csak a grafikus felület fut, de még billentyűzetet is kikészítenek a hekkeléshez, rendes teljes kiosztást Shift gombbal meg mindennel. Ennyi erővel egy kis vodkás teát is kirakhatnának szamovárban teasüteménnyel, meg télen valami radiátort sátorral, fotellel, hogy meglegyen a hackerek komfortja, mert hát oroszokról van szó, és ott elég hideg van, meg vendégszerető nép.

Elég gáz, hogy XP-t használnak. Ezzel az egésszel lejáratják magukat az ügyfelek előtt, akik a pénzüket rájuk bízzák. Mert ugyebár milyen bank az, amelyik az ATM-jein nem tudja megoldani, hogy korszerű, támadási felületet nem nyújtó OS fusson, vajon akkor hogy oldják meg az igazán bonyolult dolgokat? XP-t üzemeltetni Sticky Keys-zel egy általános iskolás is tud, jobb lenne, ha ezen a szinten már túllépnének. Ez még 2001-ben lehet elment, de most már 2018-at írunk 3 nap múlva. Nagyon remélem, hogy a következő 50 évben nem tervezik ezt a gyakorlatot folytatni, hanem addigra azért szép fokozatosan kihalnak az ilyen inkompetens emberek.

Volt erről már bőven topik itt a HUP-on. Az utolsóban írták is, hogy azért fut XP még mindig ezeken, mert a kártyakibocsátók csak olyan kártyaolvasót akkreditálnak, aminek erre a rendszerre van drivere. Ez is elég szomorú.

Az ilyen céleszközökre Linux lenne való. És nem, a Ctrl+Alt+F1 nem probléma, mert jelszóra van szükség a konzolban is. XP az ilyen eszközökre eleve nem való, otthoni/irodai OS-nek fejlesztették. Igazából Win10 sem lenne rá való, de valószínűleg idővel arra fognak upgrade-elni a bankok. Tényleg nem indokolja semmi Windows használatát ebben a környezetben, ATM-eket nem fognak Win Serverekkel tartományban üzemeltetni, meg nem játszanak rajtuk, meg nem futtatnak rajta Adobe-programcsomagokat, meg nem CAD-eznek. Grafikus felületnek meg desktop alkalmazásoknak sem lenne szabad fent lennie ilyen rendszereket, mert minden plusz felesleges dolog csak növeli a hardverigényt és a támadási felületet.

hajbazernek külön felhívom a figyelmét, hogy attól, hogy a bankok sok ilyen ATM-en XP-t / POSReady-t használnak, az nem jelenti sem azt, hogy az XP még mindig a király, meg azt sem, hogy ez indok lenne, hogy ő is ezt használjon, harmadszor az XP elterjedtsége mellett sem hír. Szimplán csak lustaság, rossz döntés eredménye, amit nem kéne senkinek követni. A POSReady sem vergődik már soká, 2019. április 9. nincs messze, nincs másfél év sem, aztán végképp reszeltek a még megmaradt Ikszpé Matyiknak, vagy upgrade-elnek Win7-re (ami szintén nem sokkal tovább támogatott, tehát nem éri meg +6 hónap támogatásért arra váltani), vagy Win8.1-re (2023-ig támogatott), vagy Win10-re, vagy áttérnek Linuxra, és villognak a Schönherz-koliban.

Arra is külön felhívnám hajbazer figyelmét, hogy XP-t akkor sem érné meg használni, ha támadhatatlan rendszer lenne, 0 vírussal, mert akkor is elavult. Szóval lehet az embernek magát hitegetni, hogy a POSReady milyen biztonságos, egyrészt nem az, másrészt meg némi szakértelemmel lehet még támadás/vírusmentesen használni, de ezzel a szakértelemmel pont azok nem rendelkeznek, akik kitartanak az XP mellett, pont azért nem váltanak. Amint megszereznék a szükséges tudást, belátnák, hogy nem éri meg mellette kitartani, mert bármi jobb alternatíva helyette.

P.S. hajbazert hívják abba a topikba, ahol a GDI kirajzolást tárgyaltuk, hogy még fussunk pár kört a linuxos amdgpu driverrel, mielőtt a Linuxot véglet eltemeti a laptopja miatt, és virágot is tesz a bloatsírra.

„Pár marék nerd-et leszámítva kutyát se érdekel már 2016-ban a Linux. Persze, a Schönherz koliban biztos lehet villogni vele, de el kéne fogadni, ez már egy teljesen halott platform. Hagyjuk meg szervergépnek…” Aron1988@PH Fórum

A POSReady 2009 is XP, és amíg nem foltozták, az is támadható volt a Wannacry által, plusz ezeket az ATM-eket nem hinném, hogy rendesen frissítik.

http://a.te.ervelesi.hibad.hu/szemelyes-ketely

Te nem hinnéd, de attól még a tények tények maradnak. A POSReady 2009 egy 2019-ig hivatalosan támogatott operációs rendszer, melyet rendszeresen ellátnak biztonsági frissítésekkel. Magad is megbizonyosodhatsz róla, bár nyilván nem fogsz. POSReady-t sem kell még telepíteni hozzá. Ha az XP registry-ben átbillented a POSReady flag-et, nagyjából hetente 1-2 frissítés érkezik is rá. Az valóban igaz, hogy volt olyan időszak, amikor a POSReady 2009 is sebezhető volt a WannaCry által. Akkor, amikor még a Microsoft nem fedezte fel a hibát. Akkor, amikor még a szuperbiztonságos™ Windows 7 és a hiperkorszerű™ Windows 10 is sebezhető volt. Tehát, ebből a szempontból semmivel nem jobb egy újabb Windows a POSReady 2009-nél.

Mert ugyebár milyen bank az, amelyik az ATM-jein nem tudja megoldani, hogy korszerű, támadási felületet nem nyújtó OS fusson, vajon akkor hogy oldják meg az igazán bonyolult dolgokat?

Sajnálattal veszem tudomásul, hogy te is beleesel abba a demagóg gondolkodási csapdába, amit a szóban forgó cikk írója is megtett. Bár leírtam a nyitó posztban is, de akkor ismételten emlékeztetlek, hogy a beragadó billentyűk által megvalósított támadási felületet nem csak egy Windows XP nyújtja, hanem egy szuperbiztonságos™ Windows 7 és egy hiperkorszerű™ Windows 10 is. Ha az ATM-en XP-nél újabb verziójú Windows lett volna, ott is ugyanúgy el lehetett volna játszani a Shift-nyomkodós hacket. Nem, nem járatják le magukat azzal, hogy XP-t használnak. Azzal járatják le magukat, hogy inkompetens emberekkel konfiguráltatják azt az XP-t. Amennyiben az XP megfelelően van védve, még mindenféle frissítgetés nélkül is tud stabil maradni. Ettől függetlenül, az részemről is megkérdőjelezhető, hogy miért nem a támogatott POSReady 2009 került ezekre az ATM-ekre, ami egyébként való rájuk. Szóval az inkompetencia kérdésében részben egyetértünk.

Ez még 2001-ben lehet elment, de most már 2018-at írunk 3 nap múlva.

2017-ben többször elment az, hogy a Windows 10 elhasalt a saját frissítéseitől. 2016-ban az is elment, hogy egy okostelefonnak nevezett, teszteletlen elektronikai hulladék kerül piacra, ami az első nagyobb leterheltségnél vagy töltésnél felrobban. Nagyon sok, a beragadó billentyűknél sokkal gázabb dolog elmegy ebben a világban, jórészt a technológiai ipar profitéhségének és a nemtörődömségnek köszönhetően. Az, hogy valami mennyire gáz, nem függ az évszámtól. Egy primitív, demagóg, szélsőségesen marketing-idealista koncepció az, hogy évszámokat villantunk egy attól független dolog megítélésével kapcsolatban. És nem, nem gondolom, hogy 2001-ben elment volna egy ilyen beragadó billentyűs móka.

(...) azért fut XP még mindig ezeken, mert a kártyakibocsátók csak olyan kártyaolvasót akkreditálnak, aminek erre a rendszerre van drivere. Ez is elég szomorú.

Ami szomorú, hogy az újabb verziójú Windows-okban képtelenek voltak megoldani, hogy a régi driver-ek valahogy futni tudjanak. Akár kompatíbilitási rétegen keresztül, sandbox-olva, de legalább működjenek. Ez a Microsoft szégyene. Több millió tonna elektronikai hulladékot köszönhetünk ennek. Hozzátartozik azonban még az is, hogy a POSReady 2009 2019-ig támogatott. Miért költenél feleslegesen az ATM-ekre, tesztelésre, integrációra, ha van egy stabil, több, mint 10 éve jól működő rendszered? Csak azért, mert korrszerű™? Egy bank nem így gondolkodik. Neki az a lényeg, hogy működjön, és hogy stabil legyen. A korszerűség egy illúzió és csak az átlagbirka szemét lehet kiszúrni vele.

Az ilyen céleszközökre Linux lenne való.

Egyetértünk. Tekintettel arra, hogy a POSReady 2009 és a Windows 7 támogatásának megszűnése után a Microsoft-nak nem lesz garantáltan stabil, csak javításokkal (és nem új feature-ökkel) frissített rendszere. Ezáltal alkalmatlanná válik az ATM-hez hasonló rendszerek igényeinek kielégítésére.

És nem, a Ctrl+Alt+F1 nem probléma, mert jelszóra van szükség a konzolban is.

De, probléma. Amennyiben szarul hasonlóképpen van bekonfigurálva a Linux, mondjuk könnyen kitalálható jelszóval, vagy úgy, hogy egyszerűen nem kér jelszót. Erre hívtam fel a figyelmet a nyitó posztban is. Ha egy inkompetens balfaszra bízod a Linux-od, aki végigkattintgatja valamely birka edition disztró telepítőjét, ugyanúgy nem lesz rajta biztonság, ahogy a beragadó billentyűs XP-n sem. Erről pedig egyáltalán nem az operációs rendszer tehet, hanem az inkompetens balfasz.

hajbazernek külön felhívom a figyelmét, hogy attól, hogy a bankok sok ilyen ATM-en XP-t / POSReady-t használnak, az nem jelenti sem azt, hogy az XP még mindig a király

Nem jelenti. Ahogy azt sem, hogy nem király. A "király" egy operációs rendszer esetében egy szubjektív fogalom. Nekem az XP a király, neked meg a Linux. Mindkettő király, de ennek köze nincs a bankokhoz. Sokkal inkább a személyes preferenciákhoz.

Szimplán csak lustaság, rossz döntés eredménye, amit nem kéne senkinek követni.

A POSReady 2009 használata nem a lustaság vagy rossz döntés, hanem annak az eredménye, hogy a bankok szeretnek stabil, nem sokat változó rendszereket használni. A még támogatással rendelkező Microsoft OS-ek közül a POSReady 2009 a legmegfelelőbb erre. Példának okáért megemlíteném még a régi IBM mainframe-eket MVS-sel, COBOL nyelven programozva. Ismerik a hibáikat, a gyenge pontokat. Egy nem változó rendszernél a tapasztalat sem avul el, így az ilyen infrastruktúrákkal foglalkozó rendszermérnökök tudása is többet ér. Mivel az IBM nem indított lejáratókampányt a saját régi terméke ellen, hogy az újat lenyomja a torkokon, így senkinek nem az jut eszébe egy régi mainframe-ről, hogy "bházzee, ennyit törődik a pénzem biztonságával a bankom". Ahogy egy POSReady-ről se ez kéne, hogy eszedbe jusson, de a Microsoft és a lakájmédiái sajnos tettek róla.

Végezetül pedig én is felhívnám Raynes figyelmét a következő dolgokra.

  • Az, hogy valamire odaragasztjuk az elavult™ címkét, nem indok amellett, hogy valamit érdemes vagy nem érdemes használni. Csak egy idealizmus. Általában akkor szokás odaragasztani ezt a címkét, amikor egy profitéhes vállalat marketingesei szeretnének eladni valamit, ami szerintük korszerű™. A bankokat nem az idealizmusok érdeklik, hanem az, hogy legyen egy stabil rendszerük (ATM), egy adott feladatra (pénzkiadás). Erre pedig a legalkalmasabb jelenleg a POSReady 2009. Ha újragondolnák az egész koncepciót és most vezetnék be az ATM-eket, akkor valószínűleg egy Red Hat Enterprise Linux, vagy ahhoz hasonló minél hosszabb ideig LTS támogatott rendszer lenne megfelelő.
  • Némi szakértelemmel egy Windows XP-t is lehet vírusmentesen használni. A némi szakértelem ott kezdődik, hogy nem kattintasz rá minden szarra a weben, nem indítgatsz el EXE-ket a berakott pendrive-okról, nem nyitsz meg gyanús e-mail csatolmányokat, backup-olsz és a rendszereden havonta teljes víruskeresést végzel, indítólemezről. 12 éve használok XP-t, ebből közel 4 éve támogatás nélkül. 6 éve víruskereső nélkül. Soha, egyetlen vírus nem volt a gépen és a ransomware-ek se támadtak be. Tudom, biztos "szerencsém" volt, meg "nem tudok róla, hogy már feltörtek".
  • Az XP-t használó "Matyiknak" és a szükséges tudást megszerzett marketing és FUD kampány által meghülyített felhasználóközönségnek semmi köze nincs az ATM-ekhez, sem a POSReady-hez. Ezt a témát már kiveséztük.
  • A POSReady 2009 gyárilag rendelkezik előredefiniált tiltásokkal a billentyűparancsokat illetően. Többek közt, le van tiltva a beragadó billentyűk kezelése. Tehát, elég lett volna annyi, hogy az orosz banki inkompetens rendszerintegrátor ürge POSReady-t rak a gépre, XP helyett. Máris nem lett volna belőle balhé.

Ennek a posztnak az első felében valóban írsz igazságokat. A Win10-ért sem vagyok oda, szerintem is egy nagy rakás szar, de akinek kell a Windows, mint platform, mert olyan szoftveres megoldásra van szüksége, ami csak azalatt fut normálisan, annak nincs más alternatívája, ha normálisan és tartósan támogatott megoldást akar használni. Cserébe meg le kell nyelje a MS frissítős baromságait, míg nem hajlandó más platformra váltani. Ez ilyen, kompromisszumok mindennel vannak, csak az XP-nél sokkal több ilyen van. Továbbra is tartom, hogy ATM-re nem való Windows, semmilyen formában, még Embedded XP sem. Ennyi erővel valami játékkonzol firmware-ét is felrakhatnák rá, és az ügyfél unatkozó idejében tudna rajta sonicozni, amolyan arcade gépes módra, egyszerűen agyrém. Az meg hogy full klaviatúrát is odakészítenek mellé, az meg egyenesen közröhej. Az nem érdekel, hogy nem a bank megoldása, akkor is rajta áll, hogy ilyenekre ne bízza rá az ügyfelek pénzét.

Azt nem tudtam, hogy POS Ready-ben nincs Sticky Keys. Bevallom még sose telepítettem, csak rendes XP-n láttam POS Ready hacket, hogy lejöjjenek az újabb frissítések. Shiftet már azon sem nyomkodtam, mivel az elsők között van, amit kikapcsolok az Asztal karbantartása varázsló meg hasonló hülyeségekkel egyetemben, egyszerűen idegesítő desktopon, hogy ha hosszabban nyomtam a Shiftet, mert gondolkoztam hogyan kezdjen a mondatot, mindig bekapcsolt az az okádék feature. De például attól a bumszli ablakkeretes, émelyítő kék, ződdomboshátteres Luna témától is 1 ms alatt elfog a hányinger, ilyen ízléstelen felület azóta is max. Windows 8-on volt a ModernUI. Persze mindezt ki lehet kapcsolni, csak nem értem azt a szociopatát, aki defaultra beleerőltette ezeket.

„Pár marék nerd-et leszámítva kutyát se érdekel már 2016-ban a Linux. Persze, a Schönherz koliban biztos lehet villogni vele, de el kéne fogadni, ez már egy teljesen halott platform. Hagyjuk meg szervergépnek…” Aron1988@PH Fórum

( Jason v | 2017. 12. 28., cs – 12:34 )

"While Microsoft has urged banks to upgrade the software to Windows 10 (...)"

A bankokat hiába, ugyanis általában outsource-olják/veszik az ATM-eket, így a bank csak feltölti pízzel, de magát a "solution"-t nem ők barkácsolják. Így a _bank_ nem is tudja frissíteni Win7-re.