Si al final vas a pasar a windows 10 en ATMs déjame decirte porqué debes preocuparte de la seguridad

Si los motivos de ahorro de costes no son suficientes y así y todo quieres pasarte a windows 10 para los cajeros Diebold y NCR que tienes en la red, dejame decirte que necesitas una auditoria de seguridad por que las ultimas imagenes de Windows 10 que hemos revisado para ATMs de Diebold y algunas pruebas de NCR literalmente la imagen está instalada por defecto.

Nadie se está preocupando de las muchas funciones nuevas que tiene windows 10 que están quedando olvidados y sus instalaciones se efectúan por defecto, esta nueva versión de windows habilita muchas nuevas características tanto de funcionalidad como de seguridad pero si con el post anterior de por que debes cambiarte a linux no has quedado convencido entonces aquí hablaremos sobre los riesgos que no estas considerando al migrar a windows 10

Primero la placas serán todas con soporte Core i5 esto habilita y da soporte a funciones Intel AMT y funciones ME:

Esto quiere decir que no solo hay que preocuparse del control de bios remoto sino de las funciones nuevas del intel AMT para la gestión completamente remoto ya que vienen con INTEL AMT 7 o superior con las nuevas placas

Segundo obviamente el Windows 10 se vienen más funciones de seguridad y también más funciones de de facilidad de gestión para el usuario esto quiere decir que debes preocuparte por que lo técnicos tendrán más funciones para hacer lo mismo por ams vectores
En casos de Agilis y APTRA los XFS seguirán compilados desde windows 7 sin cambiar hasta la siguiente OEM no es una vulnerabilidad pero si quedaran soportes de funciones relegadas que no es necesario que estén presentes.
Soporte de soluciones de seguridad no existe ningún problema pero no solucionaran todo el espectro una sola solución de seguridad
Las nuevas board vendrán con UEFI y soporte TPM quien cree que no se le puede filtrar un token de acceso de algun tecnico y bueno te deja completamente habilitado todo el ATM (esto ya a pasado en windows 7) por que no pasará en windows 10.
Las arquitecturas de XFS cambiarán a arquitecturas de orientación de servicios y comunicaciones por servicios por TCP local quien dice que en los cambios de nuevas arquitecturas de comunicación en los XFS no se escapen bugs que más adelante veremos aprovechados por algún atacante o malware.
Confío en que los protocolos de cifrado entre CPU y dispensador quedaran igual puesto que no cambiarán ya que solo portaran el soporte de win7 a win10, pero en algunos casos requieren de cambiar el dispensador por que ya no ofrecen soporte, quien asegura que no existirán fallas de seguridad como en las versiones 1 y 2 o 3 de cada protocolo de seguridad del dispensador.
Empiezan los juegos de Tarjetas de acercamiento a ATM (NFC cards) enrolar APPs a ATMs mediante publicación de servicios bancarios y otros "new features".

Recuerdo una publicación de DARPA mencionada en este blog donde por cada 1000 líneas nuevas de código se introducen de promedio de 1 a 5 fallas , esto son estudios serios de la agencia DARPA de EEUU

por lo tanto con nuevas funciones, nuevas arquitecturas de software , nuevos XFS, nuevas APPS nuevo S.O para ATMS quien dice que no se repitan fallas o se creen nuevas fallas?

Por lo tanto :

Una revisión de seguridad como auditoría puede servir y de forma constante al menos 2 al año como recomienda PCI es perfecto para minimizar riesgos y revisar actualizaciones y trabajos de implementación de mejora continua de seguridad.
Revisar los ATMs con expertos gente que tenga experiencia comprobada en el campo siempre ayuda , este no es un campo donde la experiencia se encuentra en la universidad de ATMs o en el libro comprado de amazon sobre seguridad de redes o facilmente en internet, que el proveedor de seguridad Tenga ATMs pues comprueba un poco su importancia de atender el mercado y no solo de ser un oportunista temporal
No depender de 1 solo proveedor para todo generalmente recomiendo que existan al menos 3 proveedores de alguna solución conviviendo en los ATMS

Por nombrar algunos ejemplos:

Puede ser 1 de software y hardware y 2 proveedores de seguridad
Puede ser 1 de hardware , un proveedor de software y uno de seguridad lógica y otro proveedor de seguridad física.
o pueden tener 1 proveedor de software y hardware de ATM, un proveedor de seguridad lógica, un proveedor de seguridad física y otro proveedor de seguridad para la protección de clonación de tarjetas

EN LA VARIEDAD ESTÁ EL GUSTO! y las diferentes opiniones ;) pueden ayudar en tiempos de crisis a darle claridad a la crisis y enfocar desde distintos puntos que puedan dar una solución más efectiva.

O en definitiva re-piensatelo y pasate a linux

Desde luego este post va en formato de una recomendación si es verdad que en definitiva un pase a windows 10 no solo es una certificación de funcionalidad hoy en día sino que involucra muchísimo más en riesgos y funciones a analizar antes de ponerse en producción.

saludos

Si al final vas a pasar a windows 10 en ATMs déjame decirte porqué debes preocuparte de la seguridad

Rafael Revert

Rafael Revert

GEN3XFS Multi-vendor solution by cyttek part I

Vectores de ataques multivendor en cajeros automáticos (ATM) - Cyttek Group

One Token to manage them all (ATMs)

Cyttek - Android Sdk Security

Diebold Agilis Exposed Windows Features vulnerability

Subscribe to Cyttek Group

Subscribe to Cyttek Group