Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 112, views: 2.515 •
Bron: New Scientist, submitter: T.T.

Een aantal geldautomaten van een tweetal Amerikaanse banken is besmet geraakt met een wormvirus. De worm Welchia is in staat geweest om het sterk beveiligde netwerk van de banken binnen te dringen. De machines draaien op een embedded versie van het Windows XP besturingssysteem. Het is de eerste keer dat een virus daadwerkelijk in staat is geweest om het besturingssysteem van een geldautomaat te besmetten. Eerder dit jaar is het de Blaster-worm gelukt om een aantal geldautomaten buiten gebruik te stellen door het genereren van een enorme hoeveelheid netwerkverkeer. Welchia maakte gebruik van een niet gedicht veiligheidslek waarvoor wel een patch beschikbaar was:

GeldTo infect the ATMs, Welchia exploited a vulnerability in Windows XP called RPC DCOM. Diebold adapted Microsoft's RPC DCOM patch for its ATM machines and offered it to its customers. But the two financial institutions did not apply the patch and were infected, says Diebold spokesperson Mike Jacobsen.

Reacties (112)

Reactiefilter:-11120111+180+231+35
But the two financial institutions did not apply the patch and were infected
|:(
2 ontslagen systeembeheerders :>
offtopic:
lol, ik reageer voordat het nieuws gesubmit is :? :*)
Hoe doe jij dat? Jou reactie is geplaatst om 22:47 en de post is van 22:48. Jij reageert dus al voordat de post bestaat :?
Bij een edit van het nieuws bericht zal de datum waarschijnlijk aangepast worden.
geen idee,
en ik deed m'n offtopic tags ook al voor ik jou post zag.
zag het dus ook al ;)
offtopic:
Dat is nog s een echte first post! :D
anyway, erg handig om dit soort systemen niet goed bij te houden met securityfixes.
Geen +1 first post? :P }>
Ronduit schandalig dat er een overgehypte systeembeheerder daar de zaakjes niet op orde had/heeft.
Weet je hoe vaak je daar als SysAdmin gewoon de tijd niet voor krijgt...... </frustratiemodus-extra>

Vraag maar eens rond
Voor het zelfde geld waren de patches op woensdag beschikbaar en kon hij ze pas op maandagochtend installeren omdat hij de machines moest rebooten?
Een bank behoort veilig met zijn gegevens om te gaan. Tijd is geen issue; als je geen tijd hebt, dan maak je maar tijd.
@PVEN

Wie zegt er dat die systeembeheerders niet al de TIJD hadden vrijgemaakt om deze patches te testen, en dat deze besmetting tijdens de testfase heeft plaats gevonden??

Maakt niet uit wat voor een patch het is, op zo'n gevoelige live omgeving wil jij echt wel weten of jouw maatwerk applicatie dan nog wel correct werkt!

De grote van de organisatie kan daarnaast ook nog invloed hebben op de snelheid waarop er gereageerd wordt. Hoe groter de organisatie, des te meer bureaucratie je hebt om een simpele wijziging als een security patch door te drukken...

Just my 2§ cts :)
Er had gewoon een firewall op die geldautomaten moeten draaien. Verder vraag ik me af hoe die worm op het beveiligde netwerk is gekomen.
Het is windows, dus worm omzeilt die hele "beveiliging"
Denk maar niet dat die wurm een password heeft ofzo.
Tja, op het moment dat je zelfs geldautomaten moet gaan patchen... Waar gaat dit heen?
Als een geldautomaat een (soort van) OS draait en aan een netwerk hangt, dan moeten ze toch ook onderhouden worden? :z
Nee, die moeten vanaf dag 0 veilig zijn.
@Olaf

Dus jij beweerd dat een geldautomaat ontwikkeld wordt en nooit meer onderhoud nodig heeft betreft security ? :?
In de ideale situatie wel ja. In de praktijk schijnbaar niet.
Ja, maar wat moet een geldautomaat met Windows erop?? In Windows is 99.9% van alle features onnodig voor een geldoutomaat, terwijl elke extra feature de hackability van het systeem vergroot.

Ik zou *alles* uit het OS strippen wat niet nodig is voor die specifieke toepassing..
Ik zou *alles* uit het OS strippen wat niet nodig is voor die specifieke toepassing..
Ze hebben niet voor niets Windows Embedded op de automaten gezet hoor :7
denk je echt dat er niet aan hardening word gedacht ? maar zelfs dan kunnen security issues de kop op steken.
Ook zo handig om met een volledig kale kernel en verder niets anders op windowsupdate te komen.

Dat gestript zal dus wel weer op de MS-manier gebeurd zijn. Meer dan minesweeper en solitare zullen niet ontbreken.
De situatie bij grote organisaties met critische applicaties is ingewikkelder dan menigeen denkt. Je kunt niet zomaar een nieuwe patch doorvoeren wanneer deze net beschikbaar is. Dit moet eerst in een aparte omgeving getest worden voordat het op alle operationele systemen geplaatst wordt. Zo'n procedure kan maanden duren!

Toch zijn hier natuurlijk wel fouten gemaakt:

1. Waarom een toegankelijk OS zoals windows, waar iedere wannabee programeur een virus of worm voor kan maken?

2. Er is kennelijk geen gesloten netwerk met firewals (voor uitsluitend gecontroleerd verkeer) op cruciale punten. Had dit wel het geval geweest, dan had een worm nooit zomaar binnen kunnen komen en zich verspreiden.

Er zijn mogelijk meer fouten gemaakt t.a.v. conectivity, maar da's zonder onderzoek niet vast te stellen en zeker niet vanaf onze thuis-computers. Waar het precies mis ging blijft dus gissen voor ons. Maar zomaar roepen dat een beheerder gefaald heeft omdat een beschikbare patch niet geinstallerd is slaat nergens op. Beheerder zijn is meer dan de gehele dag patches downloaden en installeren op tal van systemen.
met je eerste punt ben ik het wel eens.. dat ze een gevoelig stukkie software als windows op een toch wel belangrijke plek laten draaien.. beetje twijfelachtig natuurlijk ik snap niet dat ze een gestripte versie van BSD draaien.

maar op je 2e punt.. wie zegt niet dat iemand een floppy of cd van een mailtje of wat dan ook van een computer in contact met het i'net op het interne netwerk heeft gebruikt? en zodoende het virus heeft overgedragen... je moet er wel vanuit gaan dat dit toch wel een aparte virus is aangezien het specifiek voor embedded systems gaat zo te lezen. verder zullen er heus wel wat firewalls enz. tussenstaan maar om een hoopje packages te blocken die heel misschien verdacht zijn maar net zo goed verborgen kunnen zijn in een serieuze stream van bijv. een overschrijving dat is echt wel moeilijk om op te merken
En dat is dus precies waarom er een beveiligd netwerk nodig is. Maar al te vaak vergeten mensen dat het interne netwerk net zo goed moet worden beveiligd als het externe netwerk. Als het niet de domme gebruiker is, dan is het wel de kwaadwillige voormalig werknemer waartegen je je netwerk moet beschermen. De geldautomaten moeten gewoon in een eigen, gesloten (door middel van firewalls, IDS's, et cetera) netwerk zitten. De enige manier waarop je er dan een virus inkrijgt is als deze moedwillig op een geldautomaat geladen wordt. En je daartegen beschermen is weer een deels fysieke beveiliging, deels softwarematig tegen de systeembeheerder met een kwade bui.
Ooit al eens aan gedacht dat jij misschien thuis wel perfect een patch kan downloaden en installen, het is maar je pc die je moet herinstallen als het mis gaat. In een bedrijf moet je een hele reeks van testen doorlopen, vooralleer je ook maar iets kan wijzigen in productie.

Vaak gaat het ook nog eens om third-party software die moet gecertifieerd zijn met die bepaalde patch door de producent van die soft.
Ik begrijp niet dat ze voor zo'n kritische apparaten geen apart "besturingssysteem" schrijven. Het is toch ongeoorloofd om dit op Windows te laten werken (althans, volgens mij)
een ready made OS gebruiken is makelijker als zelf je OS schrijven.
scheelt in de kosten dus.
teminste, in het de opzet/productie kosten.
maar aangezien windows onderhoud nodig heeft, zal het de onderhouds kosten van zo'n apperaat niet ten goede komen natuurlijk.
en zelf eens OS onderhouden kost geen geld :Y)
troll, elk OS heeft onderhoud nodig.
Ach daar hadden ze vroeger OS/2 voor (stond toen op bijna alle automaten). Helaas krijgt Redmond hier ook steeds meer voet aan de grond, en zie daar uw probleem :(
heel vroeger deed men alles in spijkerschrift, geen bug te vinden daar.
heel vroeger deed men alles in spijkerschrift, geen bug te vinden daar.
En als iemand onduidelijk spijkerde kwam de boodschap verkeerd over.
Communicatiefoutje, bugje :)
Begin een vermoeden te krijgen waar Bill Gates z'n fortuin vandaan krijgt als ATM machines op Windows draaien..... :P
Het is sowieso debiel om die dingen in verbinding te brengen met iets wat verbinding met internet heeft.
Inderdaad, verbinding met het internet is uit den boze lijkt me voor zo'n critische applicatie. Daarnaast lijkt mij een volledig eigen systeem geen overbodige luxe.

Als het dan toch een standaard Operating systeem moet zijn doe het dan met FreeBSD of OpenBSD ofzo. De laaste is volgens mij bedoeld om een zo veilig mogenlijk OS te creŽren.
Hoe wil je dan weten hoeveel geld er op je rekening staat? Elke bank gaat echt geen eigen kabels aanleggen naar al z'n automaten. :?

Al zouden ze dat doen dan moeten die kabels alsnog aan elkaar om bij bank A te pinnen, terwijl je bij bank B je rekening hebt. Als die in een nationaal netwerk aanelkaar hebt gekoppeld, dan moet je ook nog internationaal kunnen pinnen. Als ik in New York pin, en mijn vriendin pint met de andere pas in Antwerpen, dan wil de postbank wel controleren of dat geld er wel is. Internet is dan nog het enige netwerk wat dat kan.

Het internet is ook niet per definitie veilig of onveilig. Voor de volledigheid hebben we het waarschijnlijk over TCP-IP want ik weet niet of die dingen https of iets anders gebruiken. Het staat of valt bij de beide systemen die communiceren, als die allebei, op dezelfde manier, veilig zijn dan is dat veilig. Dat heeft niets met het internet an-sich te maken.

[analoog modus]En je hebt natuurlijk altijd de ramkraak nog... niets internet, gewoon een paar duizend PK! :+[/analoog modus]
om je rekening stand te weten moet je toch geen automaat raadplegen over internet. Als je wilt pinnen in een andere automaat, dat ze dan die automaten via een andere PC zijn gegevens verzendt, maar toch geen automaat rechtstreeks op inet !?
Internet is niet het enige wereldwijde netwerk hoor. Er bestaat ook nog zoiets als telefoonlijnen.
Euh de draaden tussen knoppunten en centrales zowel voor telefonie als voor internet, zijn vaak de zelfde als voor telefonie, alleen word er gebruik gemaakt van een ander protocol.

Bij internet praat je over een packet switch network.
Dit wil zeggen dat het communicatie path niet altijd de zelfde weg volgt maar kan wisselen per pakketje dat verstuurd word. Bij een telefoon gesprek gebeurt dit niet, een een keer opgezet path blijft staan zolang het telefoon gesprek duurt.

Deze twee verschillen geeft dus ook al gelijk aan waarom telefonie over internet moeizaam gaat, het is niet onmogelijk maar, de kwaliteit is nog niet optimaal.

Een aangezien geld automaten packetswitch werken is de keuze voor "internet based" logisch.
Omdat ze alleen maat een packetje sturen als dit nodig is.
Als jij werkelijk serieus denkt dat geldautomaten direct aan Internet hangen, mag ik je dan vriendelijk verzoeken om ver bij mijn bank vandaan te blijven?
Wat een flauwe kul... er zijn ook andere packet-switched netwerken dan alleen Internet. De geldautomaten maken gebruik van X.25 netwerken; ook packet-switched maar geen Internet. Bovendien heb je ook TCP/IP gebaseerde netwerken die ook geen Internet zijn; denk maar aan de netwerken van bedrijven waarmee verschillende vestigingen gekoppeld zijn.
Euh als je goed had gelezen vertel je dus niks nieuws.

X.25 is een ander protocol, die wil niet zeggen dat dit over een andere fiber of draad gaat dan het internet. want de draad is slecht een transport medium en de scheiding is het protocol.

Ook staat internet based tussen "" en dat betekent niet letterlijk.
Ik zei toch niet dat het over andere draden ging? Ik zei alleen dat het niet over internet ging.
Ik kan me voorstellen dat je niet een compleet eigen bestuuringssysteem schrijft. Maar zonder dat dit een M$/Linux veldslag wordt:

Is dit nou niet HET werkterrein van een opensource (Linux, BSD varianten, etc.) OS? Je hoeft niet meer een complete OS te schrijven, maar je kunt wel exact bepalen wat jouw OS kan en niet kan. Hoewel je nog niet automatisch een bugvrij systeem hebt (denk bv aan de AXIS Netcam lek) kun je het wel zeer klein houden...
Nee, dit is het werkterrein voor OS-en die specifiek gemaakt zijn voor embedded systemen...ik ken er twee (maar ben de namen vergeten :() waarvan de ene in bedrijfscritische industriele processen wordt gebruikt (oa smelterijen, CNC machines etc) en de ander (geheel open source, door een japanner geschreven) die in meer dan de helft van alle digitale systemen ter wereld zit (wasmachines, digitale camera's, mp3 spelers etc).
Dit zijn OS' die gebouwd zijn om embedded gebruikt te worden en om niet te crashen (self r4epairing; zodra een subsystem crasht re-load die dat process gewoon...en met multiple kernels in microcode zodat deze snel en niet te downen zijn).

Damn, waarom ben ik die namen kwijt :(?
Vrij veel automaten draaien in NL win NT4. Het doorvoeren van een patch is daar dus niet even downloaden instaleren en opnieuw booten. Elke patch wordt uitgebreid getest en gecontroleerd. En we weten allemaal hoeveel openheid MS geeft dus.....
Je moet wat als je alleen visual basic kan programmeren... :z
Vind het eerder vreemd dat zo'n worm er op kan komen!! Zit zo'n apparaat aan het internet vast ofzo? of is ie gekoppeld aan een lokaal open netwerk? Hoe komt zo'n worm daar. Je zou toch verwachten dat een geldautomaat een afgeschermd stuk netwerk gebruiken?
Wat doet die worm nog meer dan infecteren.. opslaan en doorgeven van pincodes ?? toetsaanslagen nagaan ofzo... Daar gebruikt men toch vaak creditcard of hebben ze daar ook een pinpas ? :)
In nederland draaien ze ook op windows...

Ik zie regelmatig abn pinautomaten met windows foutmeldingen. Tja, er moeten eerst klappen vallen voordat de automatiseerders/systeembeheerders wakker worden. Zo is het altijd. |:(
In Nederland draaien bijna alle banken cobol-systemen hoor..
Ik heb toch eens bij een ABN Amro automaat gestaan waar een mooi opstartscherm van winNT4.0 op te zien was hoor!
Cobol draait inderdaad op de centrale systemen maar dat is een programmeertaal, geen OS. Die centrale mainframes draaien meestal op MVS (IBM), VME (ICL) of GCOS (Bull).
Op de decentrale systemen is een behoorlijke diversiteit van programmeertalen te vinden die op verschillende platforms draaien (Unix, Windows en zelfs nog OS/2).
[edit: verkeerd gelezen.]
Heb op mn telefoon nog een fotootje staan van een geld automaat met de WindowsNT mededeling dat de computer nu veilig uitgezet kan worden, was een postbank automaat in Zaandam
Ik heb Postbank geldautomaten ook wel eens zien herstarten met Windows NT, mooi blauw bootscherm
"giroblauw past bij jou" zullen we maar zeggen
Ik heb zelf eens proberen te pinnen, en toen kreeg de postbank flappentapper een BSOD, na reboot (zat een moederbord met een vrij standaard AMI BIOS iig in ;)). Helaas zat op dat moment mijn pinpas er nog in...

Na het starten van het systeem en de selfcheck (ik hoorde het zelfde geratel als je geld geteld wordt maar dan langer) werd mijn pas gellukig weer uitgespuugt.

Was wel interesant om te zien :)
Ik zag laatst een ING-apparaat steeds rebooten, die draaide op OS/2 Warp en op een Pentium 133MHz.
(Jammer dat er geen del-knop op zat om ff in de BIOS te komen ;) )
Totaal off-topic, maar wel even grappig: Zit je in een Vaderlands Casino (...) loopt er een roulette automaat vast. Komt er zo'n knul bij kijken, herstart dat ding, wat schetst mijn verbazing? WinNT... Ik kijk sindsdien met hele andere ogen naar gokautomaten daar. Totaal onbetrouwbaar...
zal wel een reactie zijn op WimB neem ik aan anyway.. Windows is net zoals linux ook in de embedded versie niet bugvrij en zullen er dus updates gedaan moeten worden.. als die ze niet uitvoeren jammer dan... Het schrijven van windows exploites is alleen wat makkelijker dan voor een selfmade OS.. dus voor de veiligheid hadden ze beter voor het laatste kunnen gaan.. voor het kostenplaatje kiezen ze dan toch voor windows of linux..
Maar Linux had je tenminste nog kunnen strippen. RPC bijvoorbeeld is volgens mij nauwelijks nodig en zeker niet in een geldautomaat.
@olaf:

Je weet niet of RPC gebruikt wordt, zou best kunnen voor het beheer etc.
mmm, krijg je dadelijk geldmachines met p0rn popupbanners oid op je geldautomaat. Zal net je oma gaan pinnen! :Y)
je oma is een stuk volwassener dan jij, ik denk dat je t beter anders kunt stellen

zal je net als jonge man gaan pinnen
Een jonge man zal hier nog om kunnen lachen. Denkt dat mijn oma totaal in de stress schiet.
betalings verkeer gaat nog altijd over de isdn lijn. vooral omdat dit betrouwbaar en (toch niet) secure zou zijn. dat er windows op draait was mij allang bekend. Ooit wel een bij een rebootend pin apparaat gestaan? Ik heb zewlfs wel een op een postbank pin apparaat een BSoD gezien :*)
DPMBS als vervanging van het oude X.25 netwerk toevallig? ;)
Ik denk dan patches, ICF, filesecurity.

Ligt het dan aan het OS of aan de beheerder.
Bill Gates schuift dit duidelijk af op de beheerders. Die moeten maar op tijd patchen. |:(
Is toch ook zo.. Is bij linux ook zo.. indien het een bekend probleem is en er een patch voor bestaat is het niet de schuld van de programmeur maar van de beheerder.. Bill gates zus en zo hebben we nu wel gehad...
Bill Gates schuift dit duidelijk af op de beheerders. Die moeten maar op tijd patchen.
Dat is toch normaal? Moet Microsoft soms alle systemen patchen? Nee, dat is de taak van de lokale systeembeheerders.

We willen toch privacy e.d.? Dan moeten we zelf patchen. Hartstikke logisch :Y)
Volgens mij ligt het in eerste instantie aan de (programmeurs van de) worm. Daar zit mijns inziens nog altijd de oorzaak.
volgens mij ligt het aan het enige bedrijf wat op grote schaal last heeft van wormpjes. Er was een tijd dat OS/2 populairder was dan windows. Virussen bestonden ook al. Maar hoeveel OS/2-virussen zijn er in totaal?

Precies.
Moeilijk.

Het zal een combinatie zijn van 'beheerders' + 'OS' + 'wat-wil-het-management'.

De beheerders zouden moeten weten dat ze een OS gewoon moeten patchen. Maar als dat ding mmaar 1x per weken een reboot mag krijgen vanuit het management sta je toch echt met handen en voeten gebonden.

Dan kan je niet veel meer doen dan nog het management proberen te overtuigen van de risico's die niet direct met zich meebrengt. Maar als dat niet lukt houdt het op dus. Dan heb jij als beheerder je werk gedaan (reageren en informeren).
mocht dat zo zijn sta je NU als systeembeheerder iets sterker in je schoenen om het management te overtuigen :7
Een degelijk OS hoef je niet te rebooten.

Services stoppen, files vervangen en services terug starten... kan hooguit een paar seconden duren toch :?

Zie trouwens niet in waarom er niet gereboot zou mogen worden. Op 2-3 minuten is de ATM weer operationeel als het wat goed geconfigureerd is. Dit kan gerust 's nachts toch...
Ware het niet dat je nog before en after scripts moet draaien, de verbinding met de host-systemen weer op moet zetten, etc.

Kortom, een geldautomaat is niet een zelfstandig werkend geheel. Hij staat altijd in verbinding met een host om te controleren of jij wel geld op mag nemen (limieten), etc.

Kortom, voordat er een patch wordt toegepast, wil je deze wel eerst in de gehele keten testen... Het is namelijk knap lullig als je een patch uitvoerd en een paar duizend geldautomaten doen het niet meer...
Tuurlijk. Maar dat had allang gedaan kunnen zijn. Daarnaast zijn er meer factoren die een besmetting kunnen voorkomen zoals het hardenen van die systemen wat blijkbaar totaal niet is gebeurd en het beter beschermen van dat netwerkdeel. Toch wel een beetje vreemd dat die worm daar kon komen nietwaar
Het is namelijk knap lullig als je een patch uitvoerd en een paar duizend geldautomaten doen het niet meer.
Knap lullig voor jou misschien, maar dat betekent, dat er geen geld meer opgenomen kan worden, dus ook dat de bank meer rente over jouw geld kan ontvangen.
Maar als het fout gaat krijg jij de schult
Nehoor, als het fout gaat dan is het jammer. Als het goed is ben je wel aansprakelijk hiervoor, maar in beperkte maten. Ik iig wel op mijn werk.

Ik werk niet op zomaar een school maar op een zmokschool, daar zit je niet alleen met adresgegevens, maar ook psygische dosiers en meer gevoelige informatie.

Dat de geldautomaten op Windows draaien snap ik ook niet, ik had verwacht dat een mini-distro van linux wel voldoende was. Dit icm een auto-updater en klaar is de bank.

[edit]
Ook KPN internettelefoons(in amsterdam staan die o.a. volgendsmij) draaien op windows, en wel op Windows 98.
Dit icm een auto-updater en klaar is de bank

Want die mogen kennelijk wel updaten. Lekkere vergelijking, neem dan windows met auto updater.
Welke bank draait nu Windows op hun bankautomaten? :?
Kunde evengoed de kluis 's nachts openlaten...
de huidige generatie postbank automaten draait op NT4 iets. Ik ston eens voor een automaat waar ik ctrl-alt-del moet indrukken om in te loggen. Net op die momenten heb je dan weer geen digicam bij je :( en NEE het is me niet gelukt er geld uit te krijgen :)
gebeurt wel vaker, op utrecht cs amro bank zie je eens in de zoveel tijd weer eens een mooi startbalkje verschijnen, of een bluescreen :)

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBTablets

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013