Rémhírek terjedtek el a pénzfelvétel körül

Hackerek martalékává váló bankautomatákat vizionált a CNBC amerikai hírcsatorna és több nemzetközi hírportál azt követően, hogy az NCR nevű, bankautomatákat gyártó cég közölte: a világszerte működő ATM-ek 95 százalékán az április 8-án nyugdíjba vonuló Windows XP operációs rendszer fut. Az XP támogatásának megszűnése azt jelenti, hogy nem jelennek meg a rendszerhez biztonsági javítások, így az operációs rendszer könnyen támadhatóvá válik a benne felfedezett biztonsági réseken keresztül. Az NCR arra számít, hogy az április eleji határidőig legfeljebb az automaták harmadát állítják át frissebb, védett operációs rendszerre, és a következő években még rengeteg ATM fogja az elavult XP-t használni.

A legtöbbször XP-t nyomkod a magyar is pénzkivételkor

Az Origo megkereste a legtöbb bankautomatát működtető hazai bankokat, amelyek közül csak a CIB-nél árultak el részleteket a Windows XP támogatásának megszűnésével kapcsolatban. A CIB-től megtudtuk, hogy automatáin a Windows XP második javítócsomagját tartalmazó szoftvereket használnak. A Windows 7-re való átállás jelentős költséggel járna, mert a hardveres fejlesztés mellett szoftveres fejlesztéseket igényelne, például az automaták kártyatársasági tanúsítványait is újból meg kellene vásárolni. Ugyanakkor a banknál nem számítanak kiemelt biztonsági kockázatra, mert a biztonságot egyéb szoftverek biztosítják, ráadásul az automaták az internettől elkülönülő, zárt hálózaton kommunikálnak a banki központtal.

Hogyan lehet a régi szoftvert használó automatákat életben tartani? Balázs Zoltán, az MRG Effitas nevű biztonsági tanácsadó cég szakértője az Origónak elmagyarázta, hogy az otthon vagy cégeknél használt, internetre kapcsolt Windows XP-s számítógépeket nem szabad összekeverni a bankautomatákkal. Saját tapasztalatai szerint a bankautomaták esetében a gyártóik hagyják jóvá a frissítéseket, így eleve gyakori, hogy a biztonsági javítások csak jelentős késéssel kerülnek fel az ATM-ekre. Ez azért nem jelent közvetlen kockázatot – legalábbis Magyarországon –, mert a bankautomaták sosem kapcsolódnak közvetlenül az internetre, hanem egy zárt hálózaton vagy védett kapcsolaton át kommunikálnak a bankok központi rendszereivel – ahogy azt a CIB is említette.

Van, aki frissít, van, aki nem

A szakember szerint a hazai automaták többségén eleve nem a hagyományos Windows XP, hanem a Windows XP Embedded nevű szoftver fut, amelyhez 2016-ig még megjelennek frissítések. Ráadásul a nem Embedded verziók frissítéséhez a Microsoft nagyvállalati partnerei még vásárolhatnak biztonsági támogatást (ez az otthoni felhasználók számára már nem elérhető).

Nem mindegyik hazai pénzintézet marad a Windows XP-nél, az Erste Banktól megtudtuk, hogy mindössze tizenöt automatájukon fut a régi rendszer, a többit már átállították Windows 7-re. Az támogatás megszűnéséig ezeket az ATM-eket is Windows 7-re kapcsolják át. Az Erste gépei is saját, az internettől elkülönített hálózaton kommunikálnak.

Az Origónak az UniCreditnél azt mondták, hogy XP-t használnak, de az internettől elkülönülő kommunikáció miatt nem számolnak extra biztonsági veszélyekkel. A K&H Bank is marad az XP-nél, mert nem számít extra kockázatokra, a technikai felkészülés módját azonban üzleti titokra hivatkozva nem árulta el. Az OTP-től cikkünk közléséig – kétnapos határidővel – nem kaptunk választ.

Burokba zárják az ősszoftvert

Nem kell apokalipszisre számítani a tizenkét éve megjelent Windows XP nyugdíjba küldése miatt Gombás László, a biztonsági szoftvereket fejlesztő Symantec magyarországi képviseletének rendszermérnöke szerint sem. Ő az Origónak azt magyarázta el, hogy többek között vállalata, de más cégek is kifejlesztettek olyan biztonsági szoftvereket, amelyeket kifejezetten az XP-t futtató pénzkiadó automaták védelmére szánnak.

Ezek ugyan valamelyest hasonlítanak egy vírusirtó programra, de más a működési elvük: a rendszer működésének magatartását vizsgálják, nem pedig frissítendő vírusmintákat hasonlítgatnak a rendszerfájlokkal. Ezek a szoftverek arra is alkalmasak, hogy egy virtuális burokban futtassák a nyugdíjas Windowst, megvédve akár a biztonsági réseit is. Mivel a bankautomatákon használt rendszerek döntő többsége Windowsra készült, sokkal bonyolultabb lenne platformot váltani, ezekkel a megoldásokkal továbbra is működtethetők a pénzkiadó gépek.

Hogyan törnek fel egy bankautomatát? Előfordul, hogy az egész gépet kirántják a falból, bár ha a széfet erőszakkal nyitják ki, a pénz közé rejtett festékpatronok felrobbanva megjelölik, így felhasználhatatlanná teszik a bankókat. Balázs Zoltánnak olyan külföldi esetről is tudomása van, amelynek végrehajtói az automatákat karbantartó szerelő pendrive-ját fertőzték meg, ezt ugyanis a karbantartás során bedugta a kinyitott automatába. Egy másik – európai – eset során a kiberbűnözők maguk vágtak lyukat egy pénzkiadó automatán, hogy hozzáférjenek az USB-csatlakozójához. A gép átprogramozásával képesek voltak elérni, hogy a mindig kiadja számukra a széfjében lévő bankjegyeket. De ilyen durva beavatkozással nemcsak egy Windows XP-s, hanem bármilyen más szoftvert futtató automatát is kijátszhattak volna.

A nem védett PC-k lesznek a célpontok

Gombás László szerint napjainkban sokkal egyszerűbb elérni az internetezők számítógépein az online fizetéshez használt adatokat, mint egy bankautomatát módosítani. Ugyanakkor mivel az internetezők csaknem harminc százaléka még mindig Windows XP-t használ, az ő védtelenné váló gépeik heteken belül a kiberbűnözők fókuszába kerül majd. Ezek a PC-k lesznek ugyanis a leggyengébb célpontok, réseik ugyanis sosem lesznek betömködve, védelmi képességeik pedig többé nem javíthatók.