Zelfs geldautomaten besmet met worm

Een aantal geldautomaten van een tweetal Amerikaanse banken is besmet geraakt met een wormvirus. De worm Welchia is in staat geweest om het sterk beveiligde netwerk van de banken binnen te dringen. De machines draaien op een embedded versie van het Windows XP besturingssysteem. Het is de eerste keer dat een virus daadwerkelijk in staat is geweest om het besturingssysteem van een geldautomaat te besmetten. Eerder dit jaar is het de Blaster-worm gelukt om een aantal geldautomaten buiten gebruik te stellen door het genereren van een enorme hoeveelheid netwerkverkeer. Welchia maakte gebruik van een niet gedicht veiligheidslek waarvoor wel een patch beschikbaar was:

To infect the ATMs, Welchia exploited a vulnerability in Windows XP called RPC DCOM. Diebold adapted Microsoft's RPC DCOM patch for its ATM machines and offered it to its customers. But the two financial institutions did not apply the patch and were infected, says Diebold spokesperson Mike Jacobsen.

Reacties (112)

dvdmeer 27 november 2003 00:22

Het is jammer dat altijd meteen geschreeuwd wordt dat de systeembeheerders slecht werk geleverd hebben en dat het onverantwoord was om die machines ongepatched te laten.
Er zijn echter wel een aantal factoren die belangrijk zijn:
1. Hoe lang was de patch al beschikbaar?
2. Hoe lang heeft de test-fase voor die patch geduurd die de systeembeheerders uitgevoerd hebben?
3. Hoeveel tijd kost het om de patch op alle machines uit te rollen?

Daarnaast kan het hebben van een centraal systeem toch z'n voordelen hebben. Hoewel velen massaal zeggen dat dit een onveilige situatie is hoeft dat niet zo te zijn natuurlijk. Als je een standalone server hebt die in kan bellen op de geldautomaten om zo daar een aantal updates uit te voeren dan zie ik dat niet als een beveiligings-risico. Mits er controles op het apparaat zitten zoals nummer controle (van waaraf gebeld wordt) en passwords dan denk ik dat het een hoop tijd kan besparen. De server kan veilig genoeg gemaakt worden. En dan kun je denken aan:
Geen schrijftoegang van buitenaf, dus iemand kan niet vanaf de geldautomaat bij de server komen als de verbinding tot stand gekomen is. En de server wordt alleen gebruikt om updates te pushen naar geldmachines.

Desondanks is het niet zo dat je zomaar een patch uitrolt. Deze zal eerst getest moeten worden. Microsoft heeft uiteraard eigenlijk kwaliteitscontroles en ik wil niet in gaan op de kwaliteit van die controles maar ze kunnen nooit alle situaties testen.
Stel dat een security-lek + fix op maandag bekend worden (Microsoft wacht namelijk vaak met het uitbrengen dat er een lek is totdat men daadwerkelijk ook een fix heeft), wat is dan een redelijke tijd voor het uitrollen van de patch? Nog dezelfde dag? Dinsdag? Woensdag?
Stel, men rolt de patch nog dezelfde dag uit. Je kan namelijk niet voorzichtig genoeg zijn met security lekken, toch? Nou is er een klein foutje in de patch geslopen. In bepaalde situaties raken er bestanden verminkt waardoor het systeem niet meer stabiel loopt. Gevolg: Overal in het land slaan de apparaten op hol.
Uiteraard komt het in het nieuws en dan komen er vragen waarom men niet eerst de patch zorgvuldig test voordat deze uitgerold wordt. Maar waar ligt de grens tussen zorgvuldig testen en het zo snel mogelijk uitrollen van beveiligingspatches???

mimic 27 november 2003 01:56

Maar niet alleen geld automaten draaien op windows achtige platvormen, die dingen die in de supermarkten staan, staat ook windows op, maar dat zijn ook meer echte pc's denk ik

Verwijderd 27 november 2003 08:16

Ik werk bij een bank (die van die boeren

) en ik kan je vertellen dat je in een grote organisatie en dan ook nog eens een bank echt niet zomaar eventjes de nieuwste patch op het systeem knallen mag. Dat remt systeembeheerders uiteraard ook met het snel even updaten omdat een gare update de boel net zo hard, of nog harder, kan verzieken. Een update doen in zo'n secure omgeving heeft veel voeten in de aarde en er zijn veel afdelingen bij betrokken (security, beheer, testomgevingen etc) om niet zomaar iets te doen.

smaij 26 november 2003 22:50

Wat doet die worm nog meer dan infecteren.. opslaan en doorgeven van pincodes ?? toetsaanslagen nagaan ofzo... Daar gebruikt men toch vaak creditcard of hebben ze daar ook een pinpas ?

Verwijderd @smaij • 26 november 2003 22:52

In nederland draaien ze ook op windows...

Ik zie regelmatig abn pinautomaten met windows foutmeldingen. Tja, er moeten eerst klappen vallen voordat de automatiseerders/systeembeheerders wakker worden. Zo is het altijd.

Djith @Verwijderd • 26 november 2003 22:55

In Nederland draaien bijna alle banken cobol-systemen hoor..

Verwijderd @Djith • 26 november 2003 23:07

Cobol draait inderdaad op de centrale systemen maar dat is een programmeertaal, geen OS. Die centrale mainframes draaien meestal op MVS (IBM), VME (ICL) of GCOS (Bull).
Op de decentrale systemen is een behoorlijke diversiteit van programmeertalen te vinden die op verschillende platforms draaien (Unix, Windows en zelfs nog OS/2).

bredend @Djith • 26 november 2003 22:59

Ik heb toch eens bij een ABN Amro automaat gestaan waar een mooi opstartscherm van winNT4.0 op te zien was hoor!

The PyroPath @Djith • 27 november 2003 01:16

Heb op mn telefoon nog een fotootje staan van een geld automaat met de WindowsNT mededeling dat de computer nu veilig uitgezet kan worden, was een postbank automaat in Zaandam

3dfx @Djith • 27 november 2003 08:43

Ik heb Postbank geldautomaten ook wel eens zien herstarten met Windows NT, mooi blauw bootscherm
"giroblauw past bij jou" zullen we maar zeggen

KoeKk @Djith • 27 november 2003 09:15

Ik heb zelf eens proberen te pinnen, en toen kreeg de postbank flappentapper een BSOD, na reboot (zat een moederbord met een vrij standaard AMI BIOS iig in

). Helaas zat op dat moment mijn pinpas er nog in...

Na het starten van het systeem en de selfcheck (ik hoorde het zelfde geratel als je geld geteld wordt maar dan langer) werd mijn pas gellukig weer uitgespuugt.

Was wel interesant om te zien

It_was_me @Djith • 27 november 2003 20:44

Totaal off-topic, maar wel even grappig: Zit je in een Vaderlands Casino (...) loopt er een roulette automaat vast. Komt er zo'n knul bij kijken, herstart dat ding, wat schetst mijn verbazing? WinNT... Ik kijk sindsdien met hele andere ogen naar gokautomaten daar. Totaal onbetrouwbaar...

TheLemon @Djith • 27 november 2003 13:43

Ik zag laatst een ING-apparaat steeds rebooten, die draaide op OS/2 Warp en op een Pentium 133MHz.
(Jammer dat er geen del-knop op zat om ff in de BIOS te komen

)

reinouts @Djith • 26 november 2003 23:50

[edit: verkeerd gelezen.]

smaij @Verwijderd • 26 november 2003 22:56

zal wel een reactie zijn op WimB neem ik aan anyway.. Windows is net zoals linux ook in de embedded versie niet bugvrij en zullen er dus updates gedaan moeten worden.. als die ze niet uitvoeren jammer dan... Het schrijven van windows exploites is alleen wat makkelijker dan voor een selfmade OS.. dus voor de veiligheid hadden ze beter voor het laatste kunnen gaan.. voor het kostenplaatje kiezen ze dan toch voor windows of linux..

KoeKk @smaij • 27 november 2003 09:18

@olaf:

Je weet niet of RPC gebruikt wordt, zou best kunnen voor het beheer etc.

Olaf van der Spek @smaij • 27 november 2003 01:01

Maar Linux had je tenminste nog kunnen strippen. RPC bijvoorbeeld is volgens mij nauwelijks nodig en zeker niet in een geldautomaat.

gmafs @Verwijderd • 27 november 2003 16:21

mmm, krijg je dadelijk geldmachines met p0rn popupbanners oid op je geldautomaat. Zal net je oma gaan pinnen!

StefanTs @gmafs • 27 november 2003 17:24

je oma is een stuk volwassener dan jij, ik denk dat je t beter anders kunt stellen

zal je net als jonge man gaan pinnen

It_was_me @gmafs • 27 november 2003 20:46

Een jonge man zal hier nog om kunnen lachen. Denkt dat mijn oma totaal in de stress schiet.

Verwijderd @smaij • 27 november 2003 09:32

betalings verkeer gaat nog altijd over de isdn lijn. vooral omdat dit betrouwbaar en (toch niet) secure zou zijn. dat er windows op draait was mij allang bekend. Ooit wel een bij een rebootend pin apparaat gestaan? Ik heb zewlfs wel een op een postbank pin apparaat een BSoD gezien

Diago @Verwijderd • 27 november 2003 10:13

DPMBS als vervanging van het oude X.25 netwerk toevallig?

MrJ 26 november 2003 22:58

Moeilijk.

Het zal een combinatie zijn van 'beheerders' + 'OS' + 'wat-wil-het-management'.

De beheerders zouden moeten weten dat ze een OS gewoon moeten patchen. Maar als dat ding mmaar 1x per weken een reboot mag krijgen vanuit het management sta je toch echt met handen en voeten gebonden.

Dan kan je niet veel meer doen dan nog het management proberen te overtuigen van de risico's die niet direct met zich meebrengt. Maar als dat niet lukt houdt het op dus. Dan heb jij als beheerder je werk gedaan (reageren en informeren).

WhiteDog @MrJ • 26 november 2003 23:16

Een degelijk OS hoef je niet te rebooten.

Services stoppen, files vervangen en services terug starten... kan hooguit een paar seconden duren toch

Zie trouwens niet in waarom er niet gereboot zou mogen worden. Op 2-3 minuten is de ATM weer operationeel als het wat goed geconfigureerd is. Dit kan gerust 's nachts toch...

Verwijderd @WhiteDog • 27 november 2003 00:15

Ware het niet dat je nog before en after scripts moet draaien, de verbinding met de host-systemen weer op moet zetten, etc.

Kortom, een geldautomaat is niet een zelfstandig werkend geheel. Hij staat altijd in verbinding met een host om te controleren of jij wel geld op mag nemen (limieten), etc.

Kortom, voordat er een patch wordt toegepast, wil je deze wel eerst in de gehele keten testen... Het is namelijk knap lullig als je een patch uitvoerd en een paar duizend geldautomaten doen het niet meer...

Verwijderd @Verwijderd • 27 november 2003 08:07

Tuurlijk. Maar dat had allang gedaan kunnen zijn. Daarnaast zijn er meer factoren die een besmetting kunnen voorkomen zoals het hardenen van die systemen wat blijkbaar totaal niet is gebeurd en het beter beschermen van dat netwerkdeel. Toch wel een beetje vreemd dat die worm daar kon komen nietwaar

YopY @Verwijderd • 27 november 2003 16:01

Het is namelijk knap lullig als je een patch uitvoerd en een paar duizend geldautomaten doen het niet meer.

Knap lullig voor jou misschien, maar dat betekent, dat er geen geld meer opgenomen kan worden, dus ook dat de bank meer rente over jouw geld kan ontvangen.

sweetdude @MrJ • 26 november 2003 23:10

mocht dat zo zijn sta je NU als systeembeheerder iets sterker in je schoenen om het management te overtuigen

Verwijderd 26 november 2003 23:44

Een kleine stap voor een persoon die deze worm schrijft, is het doorsturen van belangrijke (gevoelige) informatie. Zodra er weer een nieuwe exploit is gevonden,
zal de wormschrijver zijn of haar best doen om deze informatie te achterhalen.

De oplossing voor de problemen, is dus nog steeds een apart netwerk gebruiken.
Dit netwerk mag onder geen enkele voorwaarde in contact staat met het Internet.
Natuurlijk zijn de kosten te hoog en is de kans nihil, dat iemand een worm schrijft met die betreffende functie.

Zelf denk ik dat de banken meer mogen gaan nadenken over Internet en veiligheid.
Als je kijkt naar het “telebankieren” bij diverse grote banken.

Deze banken schieten ook tekort in het beveiligen hiervan.
Elk jaar krijgen ze zeker enkele keren te maken met fraude. Dit is dus ook wanneer men een SSL verbinding gebruikt. Gelukkig liggen de inkomsten hoger dan wat ze uiteindelijk aan deze acties verliezen, dus blijft het allemaal stil rond deze zaak.

Helaas kan ik mijn verhaal niet op een bron berusten.
Toch is het mogelijk met een “Man in the Middle” attack een SSL (Secure Sockets Layer) verbinding te forceren. Right ?!

Verwijderd @Verwijderd • 27 november 2003 00:07

Op zich klopt het dat een man-in-the-middle aanval mogelijk is.
Echter voor een man-in-the-middle attack heb je ook een tussenpersoon nodig via welke het verkeer loopt.
M.a.w. je hebt geen SSL verbinding met jouw bank maar met een derde partij.
Bij elke bank die ik ken zal dat dan ook nooit het geval zijn. Je hebt altijd een directe SSL verbinding met de betreffende bank. Daardoor blijven twee opties over: (1) fouten in de webbrowser of (2) decrypten van het verkeer. Overigens hebben de meeste banken ook nog een extra maatregel genomen, namelijk kennis+bezit. Maw je moet een calculator met je bankpas hebben en een pincode. Zonder deze zaken, krijg je geen toegang tot je rekening.

Fraude - los van internet - is inderdaad een regelmatig voorkomend probleem bij banken. Echter de meeste fraude zaken hebben gewoon met menselijk handelen te maken en niet met internet bankieren (tenminste in NL). De normale organisatorische maatregelen en controles vinden dan ook praktisch alle fraude zaken.

Olaf van der Spek @Verwijderd • 27 november 2003 01:06

Hoe weet jij zeker dat je een SSL verbinding opzet met de bank en niet met een man-in-the-middle?

Rembert @Olaf van der Spek • 27 november 2003 10:45

Magic word is hier: dubbele sleutel. De geldautomaat codeert de data voor de bank en signeert de data. De bank is de enige die de data kan decoderen en aan de signatuur kan de bank zien waar de data van afkomstig was.

Zwakste schakel: de private keys. Maar voordat je die te pakken hebt...

increddibelly 27 november 2003 12:48

even een wetenswaardigheidje over de geldautomaten -zoals je weet zitten er twee rijen van vier knoppen links en rechts van het display.. Toen onze plaatselijke flappentap ermee was gestopt heb ik een paar minuten staan spelen:
De knoppen links zijn, van boven naar beneden: F1 t/m F4 (ik kreeg een helpscherm van windows, en ook de ZOEKfunctie bleek te werken - F3),
Van de knoppen rechts weet ik alleen nog maar dat de onderste "escape" is (de zoekopdracht werd gecanceld als je deze knop indrukte).
Het deel waar je je pincode intikt is een numeriek keypad compleet met enter- en backspace toetsen :-)

* 786562 increddibelly

Verwijderd @increddibelly • 27 november 2003 13:19

Op die mannier wordt de wachtrij bij de pinautomaten nog langer, en, het leuk zal zijn dat je score in geld zal worden uit betaald.

Per gewonnen partij €10

Maar, zo'n virus kan wel gevaarlijk zijn. bv.
Toets uw pincode in: ****
Uw pincode en alle andere gegevens worden naar onze computer doorgestuurd. Wij zullen een kopie van uw pas maken en uw rekening leeghalen.

It_was_me @Verwijderd • 27 november 2003 20:57

Heb je niet een ctrl-alt-del combi kunnen vinden?

Verwijderd 27 november 2003 10:13

Het is me wat, tijd om de geldautomaat te upgraden met een Virusscanner.

WimB 26 november 2003 22:49

Ik begrijp niet dat ze voor zo'n kritische apparaten geen apart "besturingssysteem" schrijven. Het is toch ongeoorloofd om dit op Windows te laten werken (althans, volgens mij)

SkyFlyer

@WimB • 26 november 2003 23:53

Ik kan me voorstellen dat je niet een compleet eigen bestuuringssysteem schrijft. Maar zonder dat dit een M$/Linux veldslag wordt:

Is dit nou niet HET werkterrein van een opensource (Linux, BSD varianten, etc.) OS? Je hoeft niet meer een complete OS te schrijven, maar je kunt wel exact bepalen wat jouw OS kan en niet kan. Hoewel je nog niet automatisch een bugvrij systeem hebt (denk bv aan de AXIS Netcam lek) kun je het wel zeer klein houden...

MacD @SkyFlyer • 27 november 2003 00:12

Nee, dit is het werkterrein voor OS-en die specifiek gemaakt zijn voor embedded systemen...ik ken er twee (maar ben de namen vergeten

) waarvan de ene in bedrijfscritische industriele processen wordt gebruikt (oa smelterijen, CNC machines etc) en de ander (geheel open source, door een japanner geschreven) die in meer dan de helft van alle digitale systemen ter wereld zit (wasmachines, digitale camera's, mp3 spelers etc).
Dit zijn OS' die gebouwd zijn om embedded gebruikt te worden en om niet te crashen (self r4epairing; zodra een subsystem crasht re-load die dat process gewoon...en met multiple kernels in microcode zodat deze snel en niet te downen zijn).

Damn, waarom ben ik die namen kwijt

Countess @WimB • 26 november 2003 22:51

een ready made OS gebruiken is makelijker als zelf je OS schrijven.
scheelt in de kosten dus.
teminste, in het de opzet/productie kosten.
maar aangezien windows onderhoud nodig heeft, zal het de onderhouds kosten van zo'n apperaat niet ten goede komen natuurlijk.

RIP-airco @Countess • 26 november 2003 23:03

en zelf eens OS onderhouden kost geen geld

Verwijderd @Countess • 27 november 2003 11:56

troll, elk OS heeft onderhoud nodig.

_JGC_ @WimB • 26 november 2003 23:10

Het is sowieso debiel om die dingen in verbinding te brengen met iets wat verbinding met internet heeft.

opagrover @_JGC_ • 26 november 2003 23:38

Hoe wil je dan weten hoeveel geld er op je rekening staat? Elke bank gaat echt geen eigen kabels aanleggen naar al z'n automaten.

Al zouden ze dat doen dan moeten die kabels alsnog aan elkaar om bij bank A te pinnen, terwijl je bij bank B je rekening hebt. Als die in een nationaal netwerk aanelkaar hebt gekoppeld, dan moet je ook nog internationaal kunnen pinnen. Als ik in New York pin, en mijn vriendin pint met de andere pas in Antwerpen, dan wil de postbank wel controleren of dat geld er wel is. Internet is dan nog het enige netwerk wat dat kan.

Het internet is ook niet per definitie veilig of onveilig. Voor de volledigheid hebben we het waarschijnlijk over TCP-IP want ik weet niet of die dingen https of iets anders gebruiken. Het staat of valt bij de beide systemen die communiceren, als die allebei, op dezelfde manier, veilig zijn dan is dat veilig. Dat heeft niets met het internet an-sich te maken.

[analoog modus]En je hebt natuurlijk altijd de ramkraak nog... niets internet, gewoon een paar duizend PK! :+[/analoog modus]

GoBieN-Be @opagrover • 27 november 2003 00:05

om je rekening stand te weten moet je toch geen automaat raadplegen over internet. Als je wilt pinnen in een andere automaat, dat ze dan die automaten via een andere PC zijn gegevens verzendt, maar toch geen automaat rechtstreeks op inet !?

Olaf van der Spek @opagrover • 27 november 2003 00:59

Internet is niet het enige wereldwijde netwerk hoor. Er bestaat ook nog zoiets als telefoonlijnen.

Verwijderd @opagrover • 27 november 2003 09:43

Euh de draaden tussen knoppunten en centrales zowel voor telefonie als voor internet, zijn vaak de zelfde als voor telefonie, alleen word er gebruik gemaakt van een ander protocol.

Bij internet praat je over een packet switch network.
Dit wil zeggen dat het communicatie path niet altijd de zelfde weg volgt maar kan wisselen per pakketje dat verstuurd word. Bij een telefoon gesprek gebeurt dit niet, een een keer opgezet path blijft staan zolang het telefoon gesprek duurt.

Deze twee verschillen geeft dus ook al gelijk aan waarom telefonie over internet moeizaam gaat, het is niet onmogelijk maar, de kwaliteit is nog niet optimaal.

Een aangezien geld automaten packetswitch werken is de keuze voor "internet based" logisch.
Omdat ze alleen maat een packetje sturen als dit nodig is.

Verwijderd @opagrover • 27 november 2003 12:13

Wat een flauwe kul... er zijn ook andere packet-switched netwerken dan alleen Internet. De geldautomaten maken gebruik van X.25 netwerken; ook packet-switched maar geen Internet. Bovendien heb je ook TCP/IP gebaseerde netwerken die ook geen Internet zijn; denk maar aan de netwerken van bedrijven waarmee verschillende vestigingen gekoppeld zijn.

Verwijderd @opagrover • 27 november 2003 12:11

Als jij werkelijk serieus denkt dat geldautomaten direct aan Internet hangen, mag ik je dan vriendelijk verzoeken om ver bij mijn bank vandaan te blijven?

Olaf van der Spek @opagrover • 27 november 2003 16:15

Ik zei toch niet dat het over andere draden ging? Ik zei alleen dat het niet over internet ging.

Verwijderd @opagrover • 27 november 2003 12:41

Euh als je goed had gelezen vertel je dus niks nieuws.

X.25 is een ander protocol, die wil niet zeggen dat dit over een andere fiber of draad gaat dan het internet. want de draad is slecht een transport medium en de scheiding is het protocol.

Ook staat internet based tussen "" en dat betekent niet letterlijk.

s463042 @_JGC_ • 26 november 2003 23:35

Inderdaad, verbinding met het internet is uit den boze lijkt me voor zo'n critische applicatie. Daarnaast lijkt mij een volledig eigen systeem geen overbodige luxe.

Als het dan toch een standaard Operating systeem moet zijn doe het dan met FreeBSD of OpenBSD ofzo. De laaste is volgens mij bedoeld om een zo veilig mogenlijk OS te creëren.

Verwijderd @WimB • 26 november 2003 22:59

Ach daar hadden ze vroeger OS/2 voor (stond toen op bijna alle automaten). Helaas krijgt Redmond hier ook steeds meer voet aan de grond, en zie daar uw probleem

SED @Verwijderd • 26 november 2003 23:32

heel vroeger deed men alles in spijkerschrift, geen bug te vinden daar.

Verwijderd @SED • 27 november 2003 00:08

heel vroeger deed men alles in spijkerschrift, geen bug te vinden daar.

En als iemand onduidelijk spijkerde kwam de boodschap verkeerd over.
Communicatiefoutje, bugje

Warpozio @Verwijderd • 27 november 2003 10:51

yep: OS/2 Ruled

Verwijderd @Verwijderd • 27 november 2003 12:49

Begin een vermoeden te krijgen waar Bill Gates z'n fortuin vandaan krijgt als ATM machines op Windows draaien.....

Sircuri @WimB • 27 november 2003 12:16

Vind het eerder vreemd dat zo'n worm er op kan komen!! Zit zo'n apparaat aan het internet vast ofzo? of is ie gekoppeld aan een lokaal open netwerk? Hoe komt zo'n worm daar. Je zou toch verwachten dat een geldautomaat een afgeschermd stuk netwerk gebruiken?

Flatline @WimB • 27 november 2003 07:45

Vrij veel automaten draaien in NL win NT4. Het doorvoeren van een patch is daar dus niet even downloaden instaleren en opnieuw booten. Elke patch wordt uitgebreid getest en gecontroleerd. En we weten allemaal hoeveel openheid MS geeft dus.....

zeekoe @WimB • 27 november 2003 11:40

Je moet wat als je alleen visual basic kan programmeren...

markvt 26 november 2003 22:49

Ronduit schandalig dat er een overgehypte systeembeheerder daar de zaakjes niet op orde had/heeft.

Verwijderd @markvt • 26 november 2003 23:42

De situatie bij grote organisaties met critische applicaties is ingewikkelder dan menigeen denkt. Je kunt niet zomaar een nieuwe patch doorvoeren wanneer deze net beschikbaar is. Dit moet eerst in een aparte omgeving getest worden voordat het op alle operationele systemen geplaatst wordt. Zo'n procedure kan maanden duren!

Toch zijn hier natuurlijk wel fouten gemaakt:

1. Waarom een toegankelijk OS zoals windows, waar iedere wannabee programeur een virus of worm voor kan maken?

2. Er is kennelijk geen gesloten netwerk met firewals (voor uitsluitend gecontroleerd verkeer) op cruciale punten. Had dit wel het geval geweest, dan had een worm nooit zomaar binnen kunnen komen en zich verspreiden.

Er zijn mogelijk meer fouten gemaakt t.a.v. conectivity, maar da's zonder onderzoek niet vast te stellen en zeker niet vanaf onze thuis-computers. Waar het precies mis ging blijft dus gissen voor ons. Maar zomaar roepen dat een beheerder gefaald heeft omdat een beschikbare patch niet geinstallerd is slaat nergens op. Beheerder zijn is meer dan de gehele dag patches downloaden en installeren op tal van systemen.

n4m3l355 @Verwijderd • 27 november 2003 00:21

met je eerste punt ben ik het wel eens.. dat ze een gevoelig stukkie software als windows op een toch wel belangrijke plek laten draaien.. beetje twijfelachtig natuurlijk ik snap niet dat ze een gestripte versie van BSD draaien.

maar op je 2e punt.. wie zegt niet dat iemand een floppy of cd van een mailtje of wat dan ook van een computer in contact met het i'net op het interne netwerk heeft gebruikt? en zodoende het virus heeft overgedragen... je moet er wel vanuit gaan dat dit toch wel een aparte virus is aangezien het specifiek voor embedded systems gaat zo te lezen. verder zullen er heus wel wat firewalls enz. tussenstaan maar om een hoopje packages te blocken die heel misschien verdacht zijn maar net zo goed verborgen kunnen zijn in een serieuze stream van bijv. een overschrijving dat is echt wel moeilijk om op te merken

Verwijderd @n4m3l355 • 27 november 2003 08:23

En dat is dus precies waarom er een beveiligd netwerk nodig is. Maar al te vaak vergeten mensen dat het interne netwerk net zo goed moet worden beveiligd als het externe netwerk. Als het niet de domme gebruiker is, dan is het wel de kwaadwillige voormalig werknemer waartegen je je netwerk moet beschermen. De geldautomaten moeten gewoon in een eigen, gesloten (door middel van firewalls, IDS's, et cetera) netwerk zitten. De enige manier waarop je er dan een virus inkrijgt is als deze moedwillig op een geldautomaat geladen wordt. En je daartegen beschermen is weer een deels fysieke beveiliging, deels softwarematig tegen de systeembeheerder met een kwade bui.

Auteur

zomertje @markvt • 26 november 2003 22:51

Weet je hoe vaak je daar als SysAdmin gewoon de tijd niet voor krijgt...... </frustratiemodus-extra>

Vraag maar eens rond

pven @zomertje • 26 november 2003 22:54

Een bank behoort veilig met zijn gegevens om te gaan. Tijd is geen issue; als je geen tijd hebt, dan maak je maar tijd.

cuylfrits @pven • 26 november 2003 23:30

@PVEN

Wie zegt er dat die systeembeheerders niet al de TIJD hadden vrijgemaakt om deze patches te testen, en dat deze besmetting tijdens de testfase heeft plaats gevonden??

Maakt niet uit wat voor een patch het is, op zo'n gevoelige live omgeving wil jij echt wel weten of jouw maatwerk applicatie dan nog wel correct werkt!

De grote van de organisatie kan daarnaast ook nog invloed hebben op de snelheid waarop er gereageerd wordt. Hoe groter de organisatie, des te meer bureaucratie je hebt om een simpele wijziging als een security patch door te drukken...

Just my 2€ cts

Olaf van der Spek @pven • 27 november 2003 00:54

Er had gewoon een firewall op die geldautomaten moeten draaien. Verder vraag ik me af hoe die worm op het beveiligde netwerk is gekomen.

picobyte @pven • 27 november 2003 12:56

Het is windows, dus worm omzeilt die hele "beveiliging"
Denk maar niet dat die wurm een password heeft ofzo.

Verwijderd @zomertje • 26 november 2003 22:53

Voor het zelfde geld waren de patches op woensdag beschikbaar en kon hij ze pas op maandagochtend installeren omdat hij de machines moest rebooten?

Verwijderd @markvt • 27 november 2003 00:15

Ooit al eens aan gedacht dat jij misschien thuis wel perfect een patch kan downloaden en installen, het is maar je pc die je moet herinstallen als het mis gaat. In een bedrijf moet je een hele reeks van testen doorlopen, vooralleer je ook maar iets kan wijzigen in productie.

Vaak gaat het ook nog eens om third-party software die moet gecertifieerd zijn met die bepaalde patch door de producent van die soft.

dmantione @markvt • 26 november 2003 22:58

Tja, op het moment dat je zelfs geldautomaten moet gaan patchen... Waar gaat dit heen?

pven @dmantione • 26 november 2003 22:59

Als een geldautomaat een (soort van) OS draait en aan een netwerk hangt, dan moeten ze toch ook onderhouden worden?

Verwijderd @pven • 27 november 2003 01:49

@Olaf

Dus jij beweerd dat een geldautomaat ontwikkeld wordt en nooit meer onderhoud nodig heeft betreft security ?

Olaf van der Spek @pven • 27 november 2003 16:13

In de ideale situatie wel ja. In de praktijk schijnbaar niet.

Olaf van der Spek @pven • 27 november 2003 00:55

Nee, die moeten vanaf dag 0 veilig zijn.

Verwijderd @dmantione • 27 november 2003 00:00

Ja, maar wat moet een geldautomaat met Windows erop?? In Windows is 99.9% van alle features onnodig voor een geldoutomaat, terwijl elke extra feature de hackability van het systeem vergroot.

Ik zou *alles* uit het OS strippen wat niet nodig is voor die specifieke toepassing..

Verwijderd @Verwijderd • 27 november 2003 00:17

denk je echt dat er niet aan hardening word gedacht ? maar zelfs dan kunnen security issues de kop op steken.

burne @Verwijderd • 27 november 2003 01:03

Ook zo handig om met een volledig kale kernel en verder niets anders op windowsupdate te komen.

Dat gestript zal dus wel weer op de MS-manier gebeurd zijn. Meer dan minesweeper en solitare zullen niet ontbreken.

Verwijderd @Verwijderd • 27 november 2003 00:05

Ik zou *alles* uit het OS strippen wat niet nodig is voor die specifieke toepassing..

Ze hebben niet voor niets Windows Embedded op de automaten gezet hoor

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (112)

Sorteer op:

Weergave: