Окончание поддержки Windows XP Embedded угрожает банкоматам
Многие из 65 тыс. британских банкоматов станут менее безопасными после того, как Microsoft завершит расширенную поддержку встроенной версии ОС Windows XP Embedded. С 12 января 2016 года Microsoft перестанет выпускать обновления для этой операционной системы, использующейся в большинстве банкоматов Соединенного королевства в частности, и многих других странах в целом. Часть экспертов предупреждает, что окончание поддержки резко повысит ИБ-риски банкоматов. В то же время другие специалисты, в том числе сотрудники компании Imperva, утверждают, что окончание поддержки ОС вовсе не означает, что хакеры прямо на следующий день начнут совершать на банкоматы успешные атаки.
«Любой банк, который следует ИБ-процедурам, имеет многослойную систему защиты, и защита ОС — только один из слоев. Кроме того, банкоматы пользуются обособленными сетями (separate network) с установленными файерволами. В целом, злоумышленники будут остановлены задолго до того, как попадут в систему», - утверждают в Imperva.
Несмотря на столь успокаивающие речи экспертов случаи похищения денег хакерами через банкоматы имеют место. Так, Ассоциация EAST (European ATM Security) сообщает, что в 2014-м году в Западной Европе произошел 51 инцидент, связанный с хищениями хакерами из банкоматов средств с помощью вредоносного ПО. Общий ущерб составил 1,23 млн евро. Издание PC World при этом указывает, что основной проблемой в этих случаях было использование ОС Windows XP.
Эксперты напоминают, что устаревшие ОС — проблема не только банкоматов. Многие промышленные системы работают в старых средах, которые не обновляются, потому что это будет стоить слишком дорого. В целом в настоящее время ОС Windows XP все еще установлена на 10,59% ПК в мире. Так, эта ОС все еще работает в управлении Военно-Морских сил США (US Navy), в результате чего ведомство платит Microsoft ежегодно $9 млн за поддержку. Число ПК, на которых все еще работает эта ОС, в ВМФ США достигает 100 тыс.
Летом текущего года ассоциация ATMIA (ATM Industry Association) рекомендовала операторам банкоматов переходить сразу с Windows XP на Windows 10, минуя версии 8 и 8.1.
Отметим, что издание The Inquirer сообщает, со ссылкой на главу ассоциации ATMIA Майка Ли (Mike Lee), что в будущем банкоматы могут массово перейти на Linux или Android.
Комментарии.
Павел Федоров,
управляющий партнер Digital Compliance, специализирующейся на ИБ-комплаенсе дочерней компании Digital Security:
В России подавляющее большинство банкоматов используют не Windows XP Embedded, а обычную версию – Professional, поддержка которой закончилась уже более полутора лет назад. Поэтому большинство банков уже приняло меры для того, чтобы сохранить уровень безопасности, несмотря на это событие. К сожалению, для многих используемых сейчас банкоматов обновление до Windows 7 затруднительно из-за более высоких системных требований последней, поэтому приходится использовать дополнительное ПО для снижения рисков. Ведь несмотря на то, что банкомат, как сказано, имеет многослойную защиту, возможность использования бреши хотя бы в одном из этих слоев может серьезно упростить задачу злоумышленника.
Замена версии ОС в банкоматах зачастую невозможна из-за слабого аппаратного обеспечения, однако в тех случаях, когда это допустимо, вендоры предлагают такое решение, и некоторые банки им пользуются. Однако, в основном решившиеся на обновление банки меняют банкоматы целиком. И новая версия ПО почти всегда – Windows 7. Но в основном банки оставляют старые банкоматы, с помощью тех или иных мер уменьшая риски и сохраняя соответствие стандарту PCIDSS.
Конечно, Windows XP – система, безопасность которой изучена в значительной степени за годы ее существования, однако риск обнаружения новых уязвимостей есть всегда, поэтому, безусловно, нельзя говорить о том, что необходимость обновления – чистый маркетинг. С другой стороны, банкоматы и банкоматное ПО – это та область, в которой сложно сделать что-то действительно быстро, поэтому лучше всего оценить ресурсы и найти оптимальное решение, которое позволит нивелировать именно реальные риски.
В ближайшей перспективе вряд ли возможен переход банкоматов под управление ОС Linux или Android, производители банкоматов и банкоматного ПО пока что ориентированы на Windows-системы, и не так легко сменить используемую платформу. Кроме того, существует вопросы специфичного аппаратного обеспечения банкоматов и драйверов для них, а также необходимости содержания штата сотрудников, способных администрировать Linux-банкоматы. С другой стороны, при достаточной проработке образа ПО вендором, многие задачи по администрированию банкоматов бы упростились, поэтому, если кто-либо из вендоров уделит этому решению достаточно ресурсов, в средней и долгосрочной перспективе шансы на успех у подобного решения есть. При этом, хочу обратить внимание, что речь не идет о периодически поднимаемой теме «установить нетребовательный Linux вместо устаревшего Windows XP» - актуальные версии что Linux, что Android вряд ли будут работать достаточно проворно на том «железе», которое комфортно для XP.
Валентин Крохин,
директор по маркетингу компании Solar Security:
"Проблема так называемых «наследуемых» систем действительно существует, но она по факту преувеличена с точки зрения безопасности. Если мы говорим об удобстве эксплуатации, тут все понятно: трудно обслуживать устаревшую систему, по которой нет специалистов. Но чаще всего такие системы живут в закрытых контурах, т.е. по мимо самой операционной системы есть еще наложенные средства безопасности, которые чаще всего нормально обновляются, работают и могут обеспечить вполне вменяемую защиту. Конечно, постепенно происходит миграция, но нужно понимать, что миграция – это вопрос сложный, требующий длительного тестирования системы, перед ее окончательным обновлением.
Если говорить конкретно о банкоматах, перед тем как злоумышленник доберется до ОС и сможет использовать ее уязвимости, ему придется преодолеть многоуровневую защиту, что не так просто, если учитывать, что в российский банках достаточно высокий уровень ИБ".
Алексей Лукацкий,
эксперт по ИБ компания Cisco:
«Банкомат является устройством, выполняющим вполне конкретные функции, и в отличие от универсального ПК, на банкомате должно быть запущено совсем немного процессов и приложений. Поэтому все остальное, возможно имеющее уязвимости, можно отключить, тем самым повышая защищенность устройства, выдающего деньги. Это дает возможность осуществить поэтапную замену ОС на устройствах. Но делать это все равно придется, так как помимо приложений, уязвимости могут присутствовать и в ядре ОС, которое невозможно будет ни отключить, ни обновить. Частичным решением проблемы станет установка на банкоматы специального защитного ПО, отражающего атаки на различные уязвимости Windows XP. Тем более, что требование установки такого ПО и так существует в обязательных нормативах Банка России».
Павел ВОЛЧКОВ,
эксперт Центра ИБ компании «Инфосистемы Джет»:
К сожалению, процесс замены Windows XP в российских банкоматах на другие версии ОС Windows продвигается достаточно медленно. Причиной этого является совокупность многих факторов, среди которых: использование устаревших моделей банкоматов, на которых более современные версии ОС Windows просто не смогут работать; необходимость доработки банкоматного софта для работы на новых версиях ОС; экономический фактор – отсутствие необходимых средств для проведения модернизации; логистический фактор – часть банкоматов российских банков расположена в географически удаленных районах. Их обслуживание/замена квалифицированными IT-специалистами сложная задача с точки зрения логистики. Однако, несмотря на все это, процесс хоть и медленно, но идет.
ИБ банкомата складывается из многих факторов: физическая защита, антискиминг, межсетевое экранирование, защита канала связи, обновление и настройка ОС, использование антивирусных средств и т.д. Использование поддерживаемой ОС лишь один из факторов, который сам по себе не может обеспечить защиту банкомата. С этой точки зрения показателен пример стандарта PCI DSS, который требует использования поддерживаемых версий ОС. Однако и допускает возможность использования неподдерживаемых ОС, в случае реализации дополнительных компенсирующих мер. Надо понимать, что со временем данная проблема будет только нарастать, так что оттягивать замену вечно нельзя.
Переход банкоматов под управление ОС Linux или Android в перспективе, безусловно, возможен. Более того, разговоры об этом стали вестись не только из-за использования неподдерживаемых ОС, но и в свете общего тренда на импортозамещение в области ИТ.
Однако в ближайшем будущем этого точно не случится (пока можно говорить только о возможном появлении единичных тестовых банкоматов под управлением Linux), так как необходима не только значительная работа по тестированию банкоматного софта на Linux, но и по переустановке ОС на самих банкоматах. А это влечет за собой большие финансовые затраты. Кстати, в настоящий момент на рынке практически нет ПО, сертифицированного по стандарту PA-DSS под ОС Linux для работы банкоматов.
Смотреть все статьи по теме "Информационная безопасность"
Опубликовано 10.12.2015