微软将从4月8日起终止支持Windows XP系统。因为升级到Win7代价高昂,很多金融机构依然犹豫不决,特别是大量的独立ATM运营商和小型的金融机构。同时,黑客们也在摩拳擦掌,准备一显身手。届时,这些机构可能会面临巨大的黑客袭击风险。
据财富中文网4月7日报道称,2014年4月8日以后,微软(Microsoft)将终止支持拥有13历史的Windows XP操作系统,同时也不会再提供自动安全补丁。大家或许觉得感到最大不便的应该是那些政府机构和大叔大爷们,但事实上另一批使用Windows XP系统的大户则是银行的自动柜员机以及信用卡销售系统,它们每天都处理着几十亿美元的交易。
尽管不少大型零售商和大型银行很可能已经准备好迎接XP时代的终结了,但是别忘了依托于XP的金融系统还包含着大量独立的ATM运营商和小型金融机构。除了发布空洞的警告之外,行业分析师和内幕人士们也认为,更换操作系统的高成本和它带来的不便将导致这些小企业在未来很多个月里继续使用已经过时的XP系统,而这也将给他们的系统带来严重的隐患。
杰瑞·内文斯是堪萨斯城一家名叫Snow & Co的鸡尾酒吧的老板,他现在就面临着这样的两难局面。他的酒吧不到一年前从支付服务提供商Micros公司处购买了一台销售点系统,才用了几个月就被告知需要升级至Windows 7系统,升级费用为1,700美元。幸运的是他的酒吧根据合同还在服务期内,所以这次升级是免费的。但是内文斯说:“如果你是一家小企业,这意料之外的1,700美元的费用让你不禁会想,还是碰碰运气,凑合着接着用吧。”另外内文斯还表示,等待系统升级的客户排了一条“超级长”的队,现在他正在祈祷他的系统能赶在4月8号的期限前完成升级。
水星支付系统(Mercury Payments Systems)的约翰·伯克利指出,不同的零售信用卡处理机的价格相差很远。“如果你有合格的硬件,只需要直接升级操作系统就可以了。但是对于有些商家来说,要从XP升级到Windows 7,就必须更换全新的硬件。”而这个价格就远远不是1,700美元能搞定的了。
而对于ATM机来说,软件升级带来的挑战更大。许多ATM厂商正在为基于XP系统的ATM机提供软件升级,有些还是最近一个月内才开始的。但是升级成本却高得另人咂舌。
FIS Global公司北美借记卡和ATM系统副总裁杰伊·韦伯说:“一台购买不到五年的ATM机……升级一次软件的费用是4,000到5,000美元。”软件成本之所以这样高,有一部分原因是由于ATM机的许多专门软件是基于Windows XP系统编写的,很难轻易嫁接到一个新的操作系统上。另外使用10年以上的ATM机则需要完全更换。韦伯表示,新的高端ATM机的价格至少都在每台5万到6万美元。
韦伯表示:究竟是否更新系统,选择权被抛给了ATM运营商和企业主。“很多企业都在研究升级软件的投资额,同时把它与潜在的风险进行权衡”,而且许多公司已经做好了赌一把的准备。伯克利说:“4月9号马上就要来了,等到这一天过了,还会有一些商家没有升级系统。”韦伯称这将是“一个细水长流的过程,一个较缓慢的更新过程”。许多系统都会选择不更新,而且将维持这种不安全的状态度过2014年年底。
另外,运营商们得到的一些错综复杂的消息可能会进一步强化这种犹豫心态。
美国支付卡行业安全标准委员会已经向零售商们发布了建议对销售点系统进行升级的警告,但是以他们现行的信用卡网络操作安全标准来看又不需要升级。韦伯本人对这个问题的态度比较乐观,他说:“这个风险很难量化,市场上有很多现成的技术能够有助于减轻这种风险。”比如现在大多数支付系统都在一个“相当封闭的电信环境”里运营。
不过,防恶意软件公司比特凡德(Bitdefender)的电子威胁高级分析师伯格丹·博泰扎图却非常不认同这个观点。他把这个问题比作一个父亲看着他十几岁的孩子第一次独自开车上路时的那种担心。“他们没慌,而就是这一点让我非常恐慌。”
为了考察可能的安全性风险,博泰扎图经常出没于地下的黑客论坛。他声称,等到微软正式终止支持Windows XP那一分钟一过,黑客们就会对不安全的XP机器发动突袭。他说:“当一个操作系统被宣布寿终正寝时,黑客们就会疯狂地开发它,因为现在他们可以无限利用它,这就像恶意软件的圣杯。”
为了利用这种情况获得最大利益,那些销售XP攻击程序的黑市厂商已经开始囤积这些程序,只等微软不再监控和修补安全漏洞就开始发布它们。虽然第三方安全机构仍会继续升级XP的防恶意软件程序,但是没有安装这些软件的用户可能将持续存在越来越大的安全风险。水星支付系统公司的伯克利也说:“如果一个黑客在XP终止支持的一两个月后发现了一个弱点,他们就会有更多的时间开发利用这个漏洞。”
这些攻击可能包括从小厂商那里窃取信用卡信息,甚至还包括更严重的盗窃方式。许多攻击手法可以轻易地绕开诸如半封闭式的支付网络等外部安全措施。博泰扎图表示,已经有报告显示黑客可以通过连接到ATM读卡器的手机来攻击ATM机。另外他还提到了2010年安全专家巴纳比·杰克在黑帽安全大会上展示的一项“特技”,当时他轻而易举地偷光了一个基于XP系统的ATM机里的所有现金。博泰扎图表示,杰克(死于2013年)生前从来没有透露这项攻击手法的性质,这也就意味着这个漏洞可能仍然存在基于XP的ATM机里。
博泰扎图认为,最令人担忧的是,各种不安全的XP电脑可能会被黑客改造成新的僵尸网络。在这种情况下,被攻击的系统的处理器会被种下连电脑的所有人都不知道的任务,从发动大规模的阻断攻击,到窃取像比特币这样的数字货币,几乎没有什么不能做的事情,而且最终会大大加深对整个互联网的风险。博泰扎图警告道:“我看到很多麻烦。”
4月9日到底会不会迎来一场ATM机的吐钱瘟疫,把许多电脑变成僵尸,或是窃取信用卡读卡器,现在还不得而知。博泰扎图似乎光是想想这些可能的情形就很恼火,他说:“这个操作系统是13年前发布的,大家应该从两三年前起就开始升级了”,以避免现在微软终止服务带来的一窝蜂的升级。他希望今天的这一幕至少能让用户长远地考虑一下未来。
博泰扎图说:“这个问题很快也会在其它操作系统上发生,现在应该开始从Windows 7升级到其它系统了。”
タタ
未经允许不得转载:综合资讯 » XP退休可能危及ATM安全