XP退休可能危及ATM安全.docVIP

XP退休可能危及ATM安全 ?作者:?David Z. Morris??? 时间:?2014年04月03日??? 位置：?商业科技????? ??尽管不少大型零售商和大型银行很可能已经准备好迎接XP时代的终结了，但是别忘了依托于XP的金融系统还包含着大量独立的ATM运营商和小型金融机构。除了发布空洞的警告之外，行业分析师和内幕人士们也认为，更换操作系统的高成本和它带来的不便将导致这些小企业在未来很多个月里继续使用已经过时的XP系统，而这也将给他们的系统带来严重的隐患。 ??杰瑞?内文斯是堪萨斯城一家名叫Snow Co的鸡尾酒吧的老板，他现在就面临着这样的两难局面。他的酒吧不到一年前从支付服务提供商Micros公司处购买了一台销售点系统，才用了几个月就被告知需要升级至Windows 7系统，升级费用为1700美元。幸运的是他的酒吧根据合同还在服务期内，所以这次升级是免费的。但是内文斯说：“如果你是一家小企业，这意料之外的1700美元的费用让你不禁会想，还是碰碰运气，凑合着接着用吧。”另外内文斯还表示，等待系统升级的客户排了一条“超级长”的队，现在他正在祈祷他的系统能赶在4月8号的期限前完成升级。 ??水星支付系统（Mercury Payments Systems）的约翰?伯克利指出，不同的零售信用卡处理机的价格相差很远。“如果你有合格的硬件，只需要直接升级操作系统就可以了。但是对于有些商家来说，要从XP升级到Windows 7，就必须更换全新的硬件。”而这个价格就远远不是1700美元能搞定的了。 ??而对于ATM机来说，软件升级带来的挑战更大。许多ATM厂商正在为基于XP系统的ATM机提供软件升级，有些还是最近一个月内才开始的。但是升级成本却高得另人咂舌。 ??FIS Global公司北美借记卡和ATM系统副总裁杰伊?韦伯说：“一台购买不到五年的ATM机……升级一次软件的费用是4000到5000美元。”软件成本之所以这样高，有一部分原因是由于ATM机的许多专门软件是基于Windows XP系统编写的，很难轻易嫁接到一个新的操作系统上。另外使用10年以上的ATM机则需要完全更换。韦伯表示，新的高端ATM机的价格至少都在每台5万到6万美元。 ??韦伯表示：究竟是否更新系统，选择权被抛给了ATM运营商和企业主。“很多企业都在研究升级软件的投资额，同时把它与潜在的风险进行权衡”，而且许多公司已经做好了赌一把的准备。伯克利说：“4月9号马上就要来了，等到这一天过了，还会有一些商家没有升级系统。”韦伯称这将是“一个细水长流的过程，一个较缓慢的更新过程”。许多系统都会选择不更新，而且将维持这种不安全的状态度过2014年年底。 另外，运营商们得到的一些错综复杂的消息可能会进一步强化这种犹豫心态。美国支付卡行业安全标准委员会（the Payments Card Industry Security Standards Council）已经向零售商们发布了建议对销售点系统进行升级的警告，但是以他们现行的信用卡网络操作安全标准来看又不需要升级。韦伯本人对这个问题的态度比较乐观，他说：“这个风险很难量化，市场上有很多现成的技术能够有助于减轻这种风险。”比如现在大多数支付系统都在一个“相当封闭的电信环境”里运营。 不过，防恶意软件公司比特凡德（Bitdefender）的电子威胁高级分析师伯格丹?博泰扎图却非常不认同这个观点。他把这个问题比作一个父亲看着他十几岁的孩子第一次独自开车上路时的那种担心。“他们没慌，而就是这一点让我非常恐慌。” ?为了考察可能的安全性风险，博泰扎图经常出没于地下的黑客论坛。他声称，等到微软正式终止支持Windows XP那一分钟一过，黑客们就会对不安全的XP机器发动突袭。他说：“当一个操作系统被宣布寿终正寝时，黑客们就会疯狂地开发它，因为现在他们可以无限利用它，这就像恶意软件的圣杯。” ????为了利用这种情况获得最大利益，那些销售XP攻击程序的黑市厂商已经开始囤积这些程序，只等微软不再监控和修补安全漏洞就开始发布它们。虽然第三方安全机构仍会继续升级XP的防恶意软件程序，但是没有安装这些软件的用户可能将持续存在越来越大的安全风险。水星支付系统公司的伯克利也说：“如果一个黑客在XP终止支持的一两个月后发现了一个弱点，他们就会有更多的时间开发利用这个漏洞。” ??这些攻击可能包括从小厂商那里窃取信用卡信息，甚至还包括更严重的盗窃方式。许多攻击手法可以轻易地绕开诸如半封闭式的支付网络等外部安全措施。博泰扎图表示，已经有报告显示黑客可以通过连接到ATM读卡器的手机来攻击ATM机。另外他还提到了2010年安全专家巴纳比?杰克在黑帽安全大会上展示的一项“特技”，当时他轻而易举地偷光了一个基于XP系统的ATM机里的所有现金。博泰扎图表示，