Bancomat con Windows XP, quanto allarmismo

Ad una settimana esatta dal ritiro definitivo di Windows XP, torniamo sull’argomento Bancomat (ATM). Nei giorni scorsi diverse testate online hanno pubblicato articoli dai toni allarmistici facendo riferimento all’eventualità che alcuni bancomat, basati su Windows XP, possano essere oggetto di attacchi informatici.

Quanto c’è di vero? Windows XP è ancora utilizzatissimo presso enti pubblici, istituti di credito ed aziende di piccole e grandi dimensioni, in tutto il mondo. Basti pensare che stando alle più recente statistiche, circa il 30% di tutti i sistemi utilizzati su scala planetaria sarebbero ancora basati su Windows XP e ben il 95% dei Bancomat farebbero uso dello stesso sistema operativo.

Come avevamo già evidenziato nei giorni scorsi, però, non è affatto semplice aggredire un Bancomat basato su Windows XP, neppure dopo l’8 aprile prossimo. Vediamo perché.

Versione di Windows XP utilizzata. I Bancomat, generalmente, non utilizzano le versioni di Windows XP tipicamente installate su desktop, notebook e workstation generale ma “montano” l’edizione “Embedded“. Come si evince anche consultando questa pagina sul sito ufficiale di Microsoft, l’unica versione “a rischio” è, in questo caso, Windows XP Professional for Embedded Systems perché, appunto, il supporto cesserà definitivamente l’8 aprile, insieme con Windows XP Professional e Windows XP Home Edition.

Le versioni “Embedded” successive, invece, andranno in pensione molto più tardi. Windows XP Embedded SP3, ad esempio, sarà ritirato il 12 gennaio 2016; Windows Embedded for Point of Service SP3 il 12 aprile 2016; Windows Embedded Standard 2009 l’8 gennaio 2019; Windows Embedded POSReady 2009 il 9 aprile 2019.
Per tutte queste versioni di Windows XP, quindi, non ci sarà alcun problema perché Microsoft continuerà a distribuire patch ed aggiornamenti di sicurezza.
Per quanto riguarda le versioni di Windows XP più vecchie, inoltre, alcuni istituti di credito hanno deciso di stipulare dei contratti di supporto esteso con Microsoft che garantiranno loro la disponibilità degli aggiornmenti di sicurezza fintanto che il processo di upgrade dell’infrastruttura informatica non sarà completamente ultimato.

Secondo Reuters tra le società vi sarebbero nomi molto noti; JP Morgan in testa. Anche nel Regno Unito numerose banche si sarebbero attivate per stipulare simili contratti con Microsoft: fra i nomi anglosassoni spiccano quelli di Lloyds Banking Group, Royal Bank of Scotland, HSBC, Barclays e Santander.
“Ci sono certamente aziende di grandi dimensioni che ancora non hanno completato la migrazione dei sistemi Windows XP e che stanno quindi acquistando supporto personalizzato“, ha confermato un portavoce Microsoft all’agenzia Reuters.

Bancomat protetti ed inaccessibili dall’esterno. I Bancomat sono sistemi molto controllati e poco esposti ad attacchi provenienti dall’esterno. Tipicamente, infatti, i Bancomat sono macchine autorizzate a comunicare solamente con certi indirizzi e a fare riferimento alla intranet dell’istituto di credito.
In particolare, i Bancomat fanno solitamente leva su una connessione VPN (Virtual Private Network) utilizzata per creare un canale di comunicazione cifrato fra client e server e nessuna macchina è direttamente esposta sulla rete Internet (non ha accesso alla Rete né può essere raggiunta da remoto).

Il pericolo più concreto per i correntisti arriva sempre da skimmer e microtelecamere montati sui Bancomat da parte di eventuali malfattori. Anche in questo campo, tra l’altro, le protezioni antiskimmer ed antitaccheggio hanno già permesso di scongiurare buona parte delle aggressioni nei confronti degli utenti finali.
In ogni caso, l’attenzione maggiore dovrebbe essere riposta proprio da chi effettua un prelevamento di denaro presso gli sportelli automatici verificando che sul Bancomat non siano presenti installazioni sospette (microtelecamere, tastiere applicate sopra quella “originale”, lettore posticcio applicato sopra quello dell’ATM,…) e nascondendo le dita mentre si digita il PIN.
Piuttosto che temere attacchi informatici rivolti all’infrastruttura informatica dell’istituto di credito, quindi, valgono quindi sempre le regole ed i suggerimenti per difendersi dalle aggressioni “tradizionali”.

Nel nostro articolo Windows XP dopo aprile 2014: come mettere in sicurezza il sistema operativo abbiamo illustrato una serie di metodologie per evitare di correre rischi dopo l’8 aprile prossimo.
Nell’articolo Aggiornare Windows XP a Windows 7, Windows 8.1 o Linux abbiamo invece presentato una serie di suggerimenti e strategie per valutare l’aggiornamento da Windows XP ad una più recente versioni di Windows oppure ad una delle tante distribuzioni Linux disponibili online.