Tendentieus, ongefundeerd & nodeloos kwetsend

Geldautomaat ING draait nog op Windows XP

TOTAALPANIEK DES DOODS! Ren mensen, ren. Nu het nog kan, als de sodemietert. U gaat er allemaal aan. Althans uw banksaldo. As we speak zit een 14-jarig blokhoofdje ergens op een tochtig zolderkamertje in Novosibirskograd met zijn Dell de hele boel te hax0rren en uw spaarcentjes via een nepaccount in Amsterdam-Zuid om te lussen naar een anonieme bankrekening op de Kaaiman Eilanden. Breng uw geld naar de Rabobank. Oh nee, wacht. Zeg maar dag tegen uw pensioentje, doei verkansiegeld, toedeledokie salarii & appeltje voor de dorst. Poef! Pats! Foetsie!
Wie had dat gedacht? Van een ING-bank, naar de voedselbank...
Persbericht: ING zegt 'niks aan de hand'. Dus dan is er niks aan de hand.

Reaguursels

Inloggen

XP Embedded != XP

michelr | 03-05-14 | 00:01


Volgens mij word tegenwoordig een AES protocol als Rijndael Enhanced gebruikt als transfer stream als je dit ook gebruikt met een custom Cypher en salt IV vector wel dan ben je dus echt wel redelijk veilig tenzij men de resources van de NSA tot hun beschikking hebben ..

Dus euhmmm hardware knaapjes hoe ga je vanaf je TCP stack Rijndael Enhanced Encrypted binary streams hacken ?

Oftewel als software developer kan ik dus bevestigen dat je dit wel degelijk vanaf de software kant kunt beveiligen zelfs al zou je het geheugen blok kunnen inzien dan is het nog steeds encrypted wat je ziet ..

Misschien dat de NSA er wat mee kan maar de gemiddelde puistenpuber script kiddy kan het toch echt wel vergeten met zijn Medion PC :-)

Amigo1973 | 02-05-14 | 19:54

@mrXL | 02-05-14 | 11:53
Ik heb niks bekend gemaakt wat een risico voor de beveiliging van de bank/pin automaat geeft.
En, nee, een pinautomaat gebruikt niet de VPN client van Windows zelf, maar dat kon je als je een beetje had opgelet in het filmpje al zien.

Scheetje Beef | 02-05-14 | 18:18

Krijg ik nu dan ook eens een keertje gratis geld?

Glas Koning | 02-05-14 | 15:46

Ach, who cares. Deze apparaten hebben nergens een connectie met het grote boze internet, alles loopt via afgeschermde verbindingen.
Sommige SNS-automaten lopen op OS/2 Warp. Ik heb ze ook gezien op Windows 2000.
Beveiliging voor hackers van buitenaf is gezien het ontbreken van een (bereikbare) interface compleet niet belangrijk.

Amstel | 02-05-14 | 14:45

Die automaten hangen echt niet aan het internet... niks aan de hand dus

Dingemanz | 02-05-14 | 13:46

@Parel van het Zuiden | 02-05-14 | 12:32
U bedoelt Cobol ?

Ing. eslapen | 02-05-14 | 13:32

Rabobank werkte 5 jaar geleden nog met NT3.5 op de PIN-automaten. Zou me overigens niets verbazen als dat nog steeds zo is.

frummel | 02-05-14 | 13:29

Dit is geen nieuws was allang bekend en ook heel dom van banken dat ze niet iets eerder aan het upgraden zijn geslagen
[email protected] | 02-05-14 | 12:40
.
Maakt helemaal niets uit. De beveiliging daarvan is prima in orde. Een pinautomaat is iets heel anders dan een workstation dat aan internet hangt. Die systemen kunnen theoretisch nog 20 jaar doordraaien zonder problemen.

Bytemaster | 02-05-14 | 12:57

jaha dit is high risk natuurlijk, ik ken die automaten en weet dat ze wel 300x per dag contact zoeken met p0rnsites.

Andersom dag | 02-05-14 | 12:56

** snel alles opmaken gaat **

AsEl | 02-05-14 | 12:42

Dit is geen nieuws was allang bekend en ook heel dom van banken dat ze niet iets eerder aan het upgraden zijn geslagen

De app specifiek geheugen toe laten kennen? Wat een onzin, memory allocation wordt door het OS gedaan, en daar heb je bar weinig over te zeggen. Punt is dat dat XP embedded een uitgeklede versie van XP Professional is en daarmee leer je heel veel over hoe en waar de OS dllen geladen worden en waar specifieke entry points zich bevinden. En er zijn voor xp heel wat meer hacks te vinden dan voor w7 vooralsnog. En als die hardware net zo oud is als het OS is het nog maar de vraag of DEP ondersteund wordt.

Bank is redelijk nalatig iig. Valt niet te rijmen met zo'n miljarden industrie.

mrXL | 02-05-14 | 12:38

Ghehehehe. En dan te bedenken dat de legacy systemen van de meeste banken een soort maatwerkbrij van Kobalt-programmatuur is die niemand meer durft aan te raken omdat men niet meer begrijpt hoe het in elkaar zit.

Parel van het Zuiden | 02-05-14 | 12:32

gatverdamme ... staaT ik de gehele tijd op mn keyboard te hakken en mezelf rijk te rekenen gebeurt er weer nix.

Centauri3 | 02-05-14 | 12:28

rara | 02-05-14 | 11:50

hebbie nog een ander spiegeltje ... ken ik eauk ff meehakken.

Centauri3 | 02-05-14 | 12:26

@bakoenin | 02-05-14 | 12:03
Als de beveiliging door een enkele stommiteit van een gebruiker om zeep geholpen kan worden dan is de beveiliging slecht.

Statements als "het lijkt me dat het risico wel meevalt' maken me altijd zenuwachtig. Je zegt dat je niet weet of het veilig is, en dat je denkt dat het risico wel meevalt. Terwijl je niet zeker weet hoe veilig het is.

rara | 02-05-14 | 12:23

En Miekrosoft geeft Explorer op XP tóch nog een update. Mietjes.

Geert Linkers | 02-05-14 | 12:18

wakkere_nederlander | 02-05-14 | 12:02
Ik denk dat je gelijk hebt. Nooit geen problemen mee gehad en altijd stabiel. Windows 7 gaat denk ik dezelfde kant uit. Windows 8 en 8.1 geen idee. Hoor er alleen maar klachten over vanwege bediening.

Graaf van Egmont | 02-05-14 | 12:14

Is XP-Embedded. Windows XP embedded zal in tegenstelling tot Windows XP Pro for Embedded Systems tot en met januari 2016 ondersteund worden. De ondersteuning gaat dan ook niet via Windowsupdate maar via partners van Microsoft of via directe support vanuit Microsoft zelf.

kloopindeslootjijook | 02-05-14 | 12:13

rara | 02-05-14 | 11:53
Nee, de app kan je zijn eigen geheugen gebieden toekennen. Dat is separaat te maken.
Al met al wordt het dan wel heel moeilijk, en meegenomen dat die dingen ook nog eens over hun eigen lijn communiceren lijkt het me dat het wel meevalt met dat risico. Of je moet toegang hebben tot het mainframe, of en dat is in 99% van de gevallen zo als computers gehackt worden, een gebruiker heeft weer eens iets doms gedaan.

bakoenin | 02-05-14 | 12:03

En alle beveiligingsexperts hierboven mogen even laten zien hoe ze dan precies van plan zijn het pinautomaat te hacken, met buit, zonder gearresteerd te worden. Hint: gaat je niet lukken. Het verhaal in Brazilië betreft een heel ander soort beveiligingsprobleem dat je hier niet gaat vinden.

Blasfemie | 02-05-14 | 12:03

Schande dat windows XP niet meer ondersteund wordt door Microsuck.
Het is het allerbeste O.S. dat ze ooit gemaakt hebben.

wakkere_nederlander | 02-05-14 | 12:02

TCP inbouwen in een app? Zoiets kan ja, maar als je dergelijke middelen gebruikt omdat je denkt dat je hiermee beter beveiligd bent, dan snap je het niet. En die eigen stack zou geen vulnerabilities kennen? Overigens valt heel snel te zien wat voor een stack er wordt gebruikt, die nmap.

@Mezelf: 1x goed inloggen met ander account waarvan je WEL het wachtwoord kent. Tot enkele jaren geleden werden er weinig eisen gesteld aan de ING wachwoorden, een standaard dictionary zou veel slachtoffers maken.

Nee, geloof mij nou, je vingers gekruisd houden werkt beter dan geloven dat het goed geregeld is...

mrXL | 02-05-14 | 12:01

@ bakoenin
Je praat peop. De netwerkkaarten worden door het os aangestuurd. De applicatie maakt gebruik van de hal, onderdeel van het os. Als dat niet het geval is, waarom dan een compleet os gebruiken terwijl alleen een bootstrap volstaat omdat de app (volgens jou bewering althans) alleen direct met de hardware praat en daarom niet vatbaar is voor lekken in het OS?
.
Het is wel veilig omdat:
1) alleen minimaal os, geheel dichtgespijkerd (voor zover bekend) gebruikt word.
2) geen input/output gebruikt kan worden behalve de toegelaten.
3) data encrypted over (leased line) of directe verbinding gaat.
4) Geen WiFi wordt gebruikt en niet via internet word gecommuniceerd met de bank.

Verwilder(s)t Niet | 02-05-14 | 12:01

mrXL | 02-05-14 | 11:53
Ik zit bij de ING en ik mag sinds vorig jaar 7 keer inloggen. Dus 6x fout en 1x goed. Heb navraag gedaan bij ING waarom dat was gedaan, maar kreeg toen als antwoord dat heel veel gebruikers aan die drie keer niet voldoende hadden.

Graaf van Egmont | 02-05-14 | 11:59

@ Frietje_Oorlog | 02-05-14 | 11:28
Eens, ik hoop dat ze het weer gaan invoeren.
Waarom zijn ze er eigenlijk mee gestopt?

Maya de Blij | 02-05-14 | 11:56

van_de_pot_gerukt | 02-05-14 | 11:50
Nou als jouw leven echt af hangt van plussen en minnen:
-126

Graaf van Egmont | 02-05-14 | 11:56

van_de_pot_gerukt | 02-05-14 | 11:50
Het staat niet keihard in de huisregels, maar GS gaat ervan uit dat je meerderjarig bent als je deze site bezoekt.

Mark Smith | 02-05-14 | 11:55

@bakoenin | 02-05-14 | 11:52
Procedures en processen lopen altijd mis vanwege de menselijke factor, dat het hier ook het geval is mag geen verbazing wekken. Dat zou bij het ontwerpen van de procedures en het technisch ontwerp meegenomen moeten zijn. Is dat gebeurd, of is dit wederom een attack vector?

rara | 02-05-14 | 11:55

@bakoenin | 02-05-14 | 11:50
Die schil heeft ook toegang tot de geheugengebieden die de app nodig heeft, dus is er een attack vector.

rara | 02-05-14 | 11:53

@Scheetje Beef: Fijn dat je even de details kenbaar maakt. Hacken begint altijd met informatie gathering. Jij denkt dat een VPN heilig is? Dan mag ik toch hopen dat het niet het ingebouwde brakke standaard Windows VPN is want ook dat heeft z'n zwakheden.

Maar mocht je dus op dat VPN komen, dan kun je moeiteloos alle ATM's hacken en voorzien van keylogger zonder bijbehorende admin privileges. Wel eens van Metasploit gehoord?

En nu we toch bezig zijn, kan me ook niet schelen wat voor kutbank dit betreft, je kunt heel simpel ING accounts bruteforcen omdat diezelfde brakke software alleen een account blokkeert na 3x fout inloggen, maar weer 'vrijgeeft' na 2x fout inloggen en 1x goed inloggen. En van wege de aard van de bank, is het niet moeilijk om een goede login te verkrijgen... Dit werkte althans tot een paar maanden geleden. Je offert 33% efficiency op om die beveiliging te omzeilen, zeer de moeite waard.

Ik heb me altijd afgevraagd wat voor kuikens die beveiliging en die software bouwen maar ik heb weer veel bijgeleerd vandaag. Al die banken verdienen het om failliet te gaan.

mrXL | 02-05-14 | 11:53

van_de_pot_gerukt | 02-05-14 | 11:50
-13

Simon_GS | 02-05-14 | 11:52

rara | 02-05-14 | 11:50
USB kan en mag niet geenabled zijn op een geldautomaat, in dit geval dus slordigheid als dit gebeurd is.

bakoenin | 02-05-14 | 11:52

tomaat ING draait nog op Windows XP en me tante heeft een grote snee...
..
NEXT

ENER-GY | 02-05-14 | 11:51

Geenstijl is toch een stuk minder leuk nu je niet meer kan participeren in het plussen en minnen.

van_de_pot_gerukt | 02-05-14 | 11:50

mrXL | 02-05-14 | 11:45 Inderdaad klok en klepel
TCP/IP is gewoon een standaard die heeft het OS maar kan je ook inbouwen in een app.
Die daarmee de communicatie overneemt,en direct van de onderliggende lagen gebruik maakt (OSI), en direct de netwerkkaart aanspreekt. het OS deden en doen ze helemaal niets mee, ook al is het nog zo veroudert, omdat het niets anders is als een schil om de app te laden.

bakoenin | 02-05-14 | 11:50

Als alle ICT-ers hier nou weer eens aan hun werk zouden gaan, kunnen wij, digibete reaguurders verder met Here Here roepen om zoveel onveiligheid.

Graaf van Egmont | 02-05-14 | 11:48

@Bakoenin: "Heb er jaren geleden aan meegeholpen dit spul te bouwen.
Het OS communiceert niet, alleen de app die er op draait."

Iets met klepel en luiden. Iedere app maakt gebruik van het OS om te communiceren. Dus als er b.v. een tcp stack vulnerability in het OS zit, dan ben je ook in dit geval de lul. Maar je geeft idd feilloos aan hoe het gesteld is met ING, de beveiliging en de kwaliteit van de software en de kennis van de medewerkers...

mrXL | 02-05-14 | 11:45

Scheetje Beef | 02-05-14 | 11:42
Juist, en ik werkte bij een leverancier van jullie.

bakoenin | 02-05-14 | 11:43

Jezus, wat een ophef om niks weer zeg.
Pinautomaten van nagenoeg IEDERE bank draaien nog op Windows XP (sommige zelfs nog op Windows 2000), deze automaten zitten via een zgn leased line of via een VPN verbonden met het hoofdkantoor en hebben GEEN toegang tot het internet.
Er worden zelfs geen updates uitgerold op deze machines en via policy is nagenoeg alles disabled.
En ja, ik weet waar ik het over heb, ben een oud medewerker van de ICT afdeling van de SNS Bank.

Scheetje Beef | 02-05-14 | 11:42

Bytemaster | 02-05-14 | 11:39
Je kan ze niet hacken, want je kunt er niet bij van buiten af.
Zelfs als je fysiek toegang hebt kan je ze niet hacken.

bakoenin | 02-05-14 | 11:41

Ze draaien op XP Embedded. Dat lijkt op XP maar is heel iets anders. Wordt ook nog jaren geüpdatet. Beetje research en jullie hadden dit ook zelf uit kunnen vinden.

broodje_kruidenboter | 02-05-14 | 11:41

Geenstijlfiguur | 02-05-14 | 11:30
Je hebt gelijk hoor, is wel XP Embedded.

Latrinalia | 02-05-14 | 11:39

@terror406 | 02-05-14 | 11:31
.
Ik kan me niet herinneren dat pinautomaten wereldwijd massaal gehackt zijn omdat er Windows XP op draait. Ook zijn pinautomaten niet massaal uitgevallen door vermeende instabiliteit van XP.
Zo slecht is het dus allemaal ook niet geweest.

Bytemaster | 02-05-14 | 11:39

Graaf van Egmont | 02-05-14 | 11:37
Ja hoor, aparte lijnen en Vlans.

bakoenin | 02-05-14 | 11:39

vraagstaart | 02-05-14 | 11:13

Diegene die er werken.

Klier van Bartholin | 02-05-14 | 11:38

Waarom zou men als bank überhaupt nog zijn best doen? Als je om dreigt te vallen dan roep je "too big to fail" en wordt je door de regering (lees: belastingbetaler) wel weer gered!

Al dat geld voor een fatsoenlijk computersysteem is natuurlijk beter besteedt aan bonussen.

Xirdalan | 02-05-14 | 11:38

Een dichtgetimmerd netwerk. Bestaan die nog?

Graaf van Egmont | 02-05-14 | 11:37

terror406 | 02-05-14 | 11:31
Dat standaard osje is helemaal niet interessant, daar kan je helemaal niets mee, alleen maar ingeval van storing opnieuw inspoelen.
Zelfs de geldautomaat monteurs kunnen niets.
Heb er jaren geleden aan meegeholpen dit spul te bouwen.
Het OS communiceert niet, alleen de app die er op draait.

bakoenin | 02-05-14 | 11:37

Nee dan de rabobank.
Oplichters.
Ze kennen de markt riepen ze jarenlang via de huistrut.
Ze kennen de trucjes om de rente te beinvloeden had ze moeten zeggen.

Terpen-tijn | 02-05-14 | 11:35

Wat tot voor kort niemand wist: pinautomaten zijn nivelleringsmachines.

tast in duitser | 02-05-14 | 11:35

Bij de openingstijden van uw ING filiaal staat te lezen: U kunt ook terecht op onze website of OP onze pinautomaat.

Mammeloe | 02-05-14 | 11:35

Frietje_Oorlog | 02-05-14 | 11:28
JAAAA!!!11!

On ding | 02-05-14 | 11:34

Frietje Oorlog 11:28
Kan wel, maar dat is voor jou niet interessant, jij wilt het liefst 100 plussen, die tijd is voorbij.

Terpen-tijn | 02-05-14 | 11:31

Het feit is dat de software gemaakt is door kneuters die zo incompetent zijn dat ze het alleen op een standaard desktop OS-je kunnen (met alle ellende vandien) is vele malen verontrustender.

terror406 | 02-05-14 | 11:31

@Bytemaster | 02-05-14 | 11:28
Oeps. Zwistal-foutje: moet eerst filmpje kijken, dan reaguren :-).

Geenstijlfiguur | 02-05-14 | 11:30

Nee, daar is niets aan de hand, het is een volledig gestripte versie van XP, helemaal dichtgetimmert, zonder verbinding met internet, met maar een paar communicerende protocollen over een vaste verbinding die alleen praten met een mainframe.

bakoenin | 02-05-14 | 11:29

Als de overheid en banken nog op xp draien, kun je zeggen dat het een hoax is dat het volk zich zorgen moet maken.
Want waarom vinden zij het belangrijk dat nu iedereen overstapt naar w7 of 8. Zou het niet kunnen zijn dat juist zij daar voordeel bij hebben dat u de overstap maakt (á €120,- incl 21% btw)

toetanchamon | 02-05-14 | 11:28

@Geenstijlfiguur | 02-05-14 | 11:17
.
Als je zelf even had gegoogled had je gezien dat XP Embedded een ander startscherm heeft. Dit betreft de gewone XP.

Bytemaster | 02-05-14 | 11:28

Mocht er toch een lek zijn dan gaat de ing alles vergoeden.
Zo zijn ze wel, ze laten mensen nooit in de kou staan na het uitkeren van de bonussen.

Terpen-tijn | 02-05-14 | 11:28

-weggejorist-

Frietje_Oorlog | 02-05-14 | 11:28

Maar goed.. Matras, kluis, 1 meter diep onder de grond. Allemaal uitstekende alternatieven geworden voor de bank. Uw geld, uw transacties, uw privacy-gevoelige gegevens allemaal in eigen hand. Grote extra plus, de fiscus kan er ook niet meer bij. Bijv. Lekker scheefwonen, zelf bepalen waar je geld naar toe gaat, het kan allemaal.
.
Zo geregeld hoor. Direct naar storting van salaris je geld ophalen en je ding doen.

Parel van het Zuiden | 02-05-14 | 11:27

Weest niet bang dadelijk kan je ook nog gebruik maken van het oude vertrouwde Windows XP op de stemmachines.

ROFL247 | 02-05-14 | 11:27

Doe de volgende keer eens in landscape filmen...

Air van Boven Dorens | 02-05-14 | 11:26

Ik zie een geldautomaat die buiten gebruik is. Een museumstuk dus.

Badderbeest! | 02-05-14 | 11:26

@rara | 02-05-14 | 11:18
Dat is waar, ik heb mijn dag niet.

Kaas de Vies | 02-05-14 | 11:25

Dit is een speciale versie van Windows XP die nog 2 jaar wordt ondersteund.
Kaas de Vies | 02-05-14
.
Nee, in het filmpje is duidelijk te zien dat dit de gewone XP is en niet de embedded-versie.

Bytemaster | 02-05-14 | 11:25

'All your ATM are belong to us'?

doedeljantje | 02-05-14 | 11:25

@Parel van het Zuiden | 02-05-14 | 11:23
Door XP heeft de ING niets meer om te verkopen...

Ing. eslapen | 02-05-14 | 11:24

Als het op Windows 8.1 zou draaien zou niemand het pinnen meer snappen.

Harry Turtle | 02-05-14 | 11:23

Tsja, had de ING gewoon hun klantdata laten verkopen aan derden. Dan was er in ieder geval een backup geweest. Handig toch? En "we" hebben nou eenmaal niets te verbergen, dus....

Parel van het Zuiden | 02-05-14 | 11:23

Xtragraties Pinnen?

Fart Fader | 02-05-14 | 11:21

-weggejorist-

De Hoer van Babylon | 02-05-14 | 11:20

Alle bankautomaten in Nederland draaien nog XP.

Onderwereldfiguur | 02-05-14 | 11:19

@Kaas de Vies | 02-05-14 | 11:14
Dat XP ondersteund wordt wil niet zeggen dat het plotseling wel een veilig besturingssysteem is geworden.

rara | 02-05-14 | 11:18

Valt me nog mee, ik dacht eerder dat ze nog windows '95 hadden lopen.

Albasalix | 02-05-14 | 11:17

Heel veel van die dingen (ook niet-ING) draaien op Windows XP Embedded. Zijn nog gewoon ondersteund.
Hoef je geen heuse onderzoeksjournalist voor te zijn, gewoon even Googlen.

Geenstijlfiguur | 02-05-14 | 11:17

Ik heb een downgrade gedaan naar Windhoos 3.11 , mij kan niets gebeuren.....

necrosis | 02-05-14 | 11:16

Banken betalen niet uit bij digitale fraude als je pc niet voldoende beveiligd is. Gaan ze nu standaard wel uitbetalen omdat hun geldautomaten niet meer te beveiligen zijn en ze dus nooit hard kunnen maken dat jij gepind hebt?

rara | 02-05-14 | 11:15

Dit is een speciale versie van Windows XP die nog 2 jaar wordt ondersteund.

Kaas de Vies | 02-05-14 | 11:14

Banksaldo? Wie hééft er überhaupt nog een positief banksaldo dan?

vraagstaart | 02-05-14 | 11:13

REAGEER OOK

bespaartips: Energie vergelijken | Autoverzekering vergelijken | Zorgverzekering vergelijken