Blog

Sembra incredibile che una delle aziende più innovative usi per le casse self service dei bistrot  windows XP, ormai fuori supporto dall'aprile  2014 e architetturalmente obsoleto.
Se vi recate al bistrot IKEA, per intenderci quello dove si possono acquistare hot dog, gelato, pizzette, dovete fare lo scontrino e pagare con le casse self service, non esiste più il cassiere da oltre un anno.

Attenzione però a usare la vostra carta fedeltà ma sopratutto ad usare la vostra carta di credito perché i preziosi dati della vostra carta sono gestiti da un sistema operativo, Windows XP, che quanta sicurezza e riservatezza dei dati non fornisce alcuna garanzia da oltre tre anni,   ma soprattutto non rispetta la legge italiana sulla privacy in particolare l'allegato B testo Unico privacy.  

Ne abbiamo le prove e le pubblichiamo sotto, infatti ci è capitato di scoprire il celato segreto in una domenica pomeriggio in IKEA dove una delle "macchinette" self service era bloccata e magicamente  il valoroso commesso si è preoccupato di riavviarla svelando Windows XP.

cassa self service

 

Usare un sistema Windows XP per i pagamenti e per le carte fedeltà è un po' come  voler guidare una moderna Formula 1 con oltre 800 cavalli, su un circuito con asfalti, cordoli, corsie, vie di fuga e guard rail  di 40 anni fa :nessuno sano di mente farebbe una cosa del genere, troppo pericolosa.

Eppure di casi come quello di IKEA ce ne sono ce ne sono tanti, basta pensare al mondo della sanità, ai chioschi multifunzione, al settore dell'automazione industriale;  sono ambiti assolutamente fuori legge,in cui trovare un Windows XP è normalissimo.

Anche se l'uso di software datati e non aggiornabili è ben diffuso in questi ambiti,  non ho ancora letto di alcuna iniziativa del Garante Privacy Italiano per "imporre" ai produttori di questi dispositivi le stesse regole di adeguamento e patching che dobbiamo rispettare noi nei nostri uffici e aziende. Parlare poi di ispezione del Garante Privacy nei confronti di colossi come IKEA o dei monopoli della sanità, o del mondo industriale è quasi un'eresia, casomai la dovessero fare....  li avvisano prima. 

In ogni caso se siete in IKEA  ricordatevi di pagare  con i soldi contanti, eviterete rischi inutili alla vostra carta di credito. Magari quel Windows XP della cassa self service usa anche un vecchio rilevatore di banconote false e forse accetta anche le banconote false da €50 che avete comprato su quel sito con estensione  .Onion al prezzo di €10 ciascuna,  proprio quelle che, almeno fino a qualche anno fa,superavano i controlli di falso  semplicemente perché le macchinette non controllavano la lunghezza della banconota che, nel caso specifico risultava più corta di 1,2 mm rispetto a quella vera.

Altro giro altra corsa sull'ottovolante della cyber insicurezza, per la serie continuiamo a rincorrere i problemi e non ad affrontarli strutturalmente vediamo quanti danni farà l'ennesimo ramsoware stile wannacry....
 
 
 
 

Dovrebbe essere saltato agli occhi di tutti, Microsoft da maggio con wannacry ha preso a rilasciare patch anche per Windows 2003 e XP, anche se commercialmente non esistono più per microsoft....o forse invece ne esistono ancora troppi?

I nostri desktop e portatili ormai sono Windows 7, 8 o per la maggiore Windows 10, ma il fatto che MS abbia deciso di rilasciare patch per due sistemi ormai chiusi da anni è significativo e ci deve far riflettere. Ovvero Microsoft sa di  per certo che c'è una parte "importante" di servizi  in cui ancora i vecchi window non riescono ad essere sostituiti, e quando ci sono eventi eccezionali... l'unica soluzione è riattivare il patching di questi prodotti ormai chiusi.

Ma quali sono gli ambienti in cui questi sistemi non riescono ad essere aggiornati e perché?  Ci sono ambienti in cui il software è fortemente "sedimentato" al punto che sostituire o aggiornare il sistema operativo corrisponde spesso a cambiare l'intero macchinario. Abbiamo provato a fare una lista non esaustiva di quelli che sono gli ambienti in cui i vecchi Windows sono ancora in funzione e non possono essere sostituiti

  • Macchine industriali certificate con Windows XP o con Windows 2003
  • Macchine a controllo numerico il cui software gira solo su queste piattaforme
  • Sistemi ATM (per la verità pochi in Italia ma in altre parti del mondo lo scenario è ben diverso...)
  • Registratori di cassa, magari con dispositivi barcode non più supportati 
  • Stazioni self service
  • Totem e pannelli informativi
  • Sistemi di Automazione industriale:
    •  controllo accesso varchi
    •  gestione illuminazione 
    • gestione climatizzazione
  • I dispositivi sanitari

 

in ognuno di questi ambiti spesso si è diffidati dal fare anche i normali aggiornamenti di sicurezza. Purtroppo l'impossibilità di aggiornare questi sistemi a versioni Windows più recenti è, nella maggior parte dei casi,  da addebitare al software che ci gira sopra, progettato specificatamente per operare con un certo ambiente e con cervt versioni di librerie di sistema. Un aggiornamento del sistema operativo nella migliore delle ipotesi causa un blocco di alcune funzioni e nella peggiore l'impossibilità di fare qualsiasi cosa.

E quindi le aziende si tengono le loro piattaforme comprate oltre 10, 15  anni fa  e pagate care, perché sostituire windows XP o Windows 2003 vorrebbe dire buttare via  e ricomprare tutto ex novo; un investimento che una grossa azienda può anche fare, ma che certo una PMI difficilmente si può sostenere. 

Mi domando, il Garante Privacy dove sta? le misure minime che prevedono "aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente" dove sono applicate in questi contesti? qualcuno mi dirà che sulle macchine a controllo numerico non ho un trattamento di dati personali o sensibili e quindi non ha senso, verissimo ma quella macchina potrebbe essere un vettore di attacco o infezione per quei sistemi che effettuano il trattamento. in caltri casi invece il trattamento di dati personali o sensibili è palese, come per il registratore di cassa o per tutto l'ambito sanitario. 

Sappiamo bene tutti che l'ufficio del Garante è sotto dimensionato, ma   invece di andare a fare ispezioni rigorosissime alle aziende che usano l'informatica come strumento per realizzare il loro business, forse... sarebbe il caso di andare a controllare se chi apparati appliance, allinone e  software che mette all'interno di tanti dispositivi si impegna a rilasciare aggiornamenti che permettano di mantenere aggiornato e in sicurezza il sistema.

Non possiamo pensare che il controllo accessi di un'azienda debba rimanere su Windows XP perché non esiste una versione per windows 10 e che l'alternativa sarebbe cambiare il sistema controllo accessi, né che una macchina per la molatura metalli a controllo numerico continui a girare su Window XP perchè altrimenti devo cambiare macchina, tantomeno possiamo accettare che il  registratore di cassa che accetta la nostra carte di credito e scannerizza la nostra tessera fedeltà giri solo su Windows XP, per non parlare del mondo sanitario dove sicuramente nessuno è disposto ad accettare che l'ecografo continui a funzionare ancora con il  Windows XP rilasciato il 21 ottobre 2001 trattando i nostri dati sanitari. Tutto questo  per non parlare di tutto l'Internt of Things!!!

 

Joomla templates by a4joomla