Quanti utenti usano ancora regolarmente Windows XP?
È una domanda trabocchetto, ovviamente, perché la risposta è che milioni di persone lo fanno ogni volta che ritirano denaro dai bancomat; una parte significativa dei quali esegue ancora alcune varianti del vecchio sistema operativo.
È una constatazione che emerge da una nuova indagine sulla sicurezza dei bancomat da parte di Positive Technologies, che ha rilevato che 15 dei 26 testati eseguivano versioni embedded di XP.
La ricerca non distingue tra Windows XP e i vari prodotti Windows Embedded basati su di esso, ma in termini di tecnologia sono tutti obsoleti. XP ha esalato il suo ultimo respiro ad aprile 2014, così come Windows XP Professional per Embedded Systems. La fine del supporto è stata dichiarata per la maggior parte degli altri prodotti embedded basati su XP, e a quelli che resistono ancora aggrappati con le unghie restano solo pochi mesi.
Altri otto sportelli automatici tra quelli analizzati utilizzavano Windows 7, mentre solo tre usavano Windows 10. Anche se la sicurezza dei bancomat non deve essere ridotta a quale versione del sistema operativo è in uso, il fatto che più della metà ne utilizzi uno che anche Microsoft pensa sia in fin di vita sottolinea l’importanza di tenerli al sicuro.
Un rapido controllo su Naked Security mostra una serie di storie di compromissioni dei bancomat che risalgono alla notte dei tempi, incluso l’avviso di cashout multinazionale di agosto da parte dell’FBI e un’ondata di attacchi “jackpotting”.
Poi c’è la recente tendenza agli attacchi black box in cui viene fatto un buco nella macchina per collegare un mini-computer (Raspberry Pis) che insegna al bancomat a far fuoruscire i soldi.
Un po’ di confusione
Leggendo più a fondo nel rapporto di Positive, non è difficile capire perché gli attacchi continuino a verificarsi. I suoi ricercatori scoprono punti deboli ad ogni livello della loro sicurezza.
Solo due dei 26 presi in esame avevano il livello più basilare di sicurezza e cioè la crittografia dei dischi rigidi interni per impedire agli hacker di copiare il malware.
In un quarto degli sportelli automatici, è stato possibile bypassare la sicurezza connettendosi e avviando da un’unità esterna, modificando l’ordine di avvio in un BIOS vecchio stile (senza UEFI o autenticazione presente) e configurando il bancomat in modo che si avviasse da esso ed eseguisse il malware .
È possibile inoltre avviare in modalità provvisoria, modalità ripristino servizi directory o debug kernel, un modo semplice per evitare i controlli di sicurezza. Idem forzando un bancomat fuori dalla modalità kiosk, cosa che è stata possibile per 20 macchine.
Il team ha persino scoperto difetti precedentemente sconosciuti nel software di sicurezza che avrebbe dovuto proteggere gli sportelli automatici.
Che dire degli attacchi comuni?
Gli attacchi di spoofing sono un esempio in cui gli aggressori si inseriscono tra il bancomat e il centro di elaborazione per convincerlo a sputare denaro utilizzando falsi comandi: più di un quarto di essi ha vulnerabilità che lo potrebbero consentire.
Inoltre, leggere i dati delle carte dalla banda magnetica direttamente durante l’uso o successivamente mentre venivano trasferiti dallo sportello automatico a un processore, si è dimostrato possibile per ogni singolo bancomat testato.
Per quanto riguarda gli attacchi black box, 18 erano soggetti a questo tipo di violazione.
L’unica difesa che un produttore di bancomat potrebbe sostenere per questi test è che tutti richiedono un po’ di tempo – solitamente minuti – così come l’accesso indisturbato al cabinet bancomat dal lato anteriore.
Il capo della cyber-resilienza di Positive, Leigh-Anne Galloway dice:
Per ridurre il rischio di attacchi e accelerare la risposta alle minacce, il primo passo consiste nel rendere sicuri gli sportelli automatici fisicamente, nonché implementare la registrazione e il monitoraggio degli eventi di sicurezza sul bancomat e sull’infrastruttura correlata.
Il rapporto continua a raccomandare alcune precauzioni di uso comune: i dati scambiati con il lettore di schede devono essere crittografati e i produttori devono adottare misure per impedire l’esecuzione di codice arbitrario e attacchi man-in-the-middle tra il bancomat e il centro di elaborazione.
In altre parole: gli sportelli automatici alla fine sono solo computer (ma con un sistema operativo meno recente del tuo).
*Tratto dall’articolo How to rob an ATM? Let me count the ways… sul blog Sophos Naked Security