skip to main | skip to sidebar
43 commenti

Come farsi dare soldi dai bancomat [UPD 2010/08/31]

L'articolo è stato aggiornato dopo la pubblicazione iniziale. In particolare, il nome del ricercatore è stato corretto: era stato indicato come Branaby Jack perché varie fonti lo riportavano con questa grafia, ma sul sito della sua azienda il nome è Barnaby Jack.

Las Vegas, fine luglio scorso. Un uomo si avvicina a un bancomat, apre uno sportello, inserisce una penna USB, e lo sportello automatico inizia ad erogare soldi gratis, fra gli applausi dei presenti.

L'uomo è Barnaby Jack, direttore della ricerca sulla sicurezza della IOActive Labs, e non è stato arrestato per la semplice ragione che il suo insolito jackpot è stato effettuato su un palcoscenico come dimostrazione tecnica durante la conferenza di sicurezza Black Hat, tenutasi appunto a Las Vegas.

Jack ha saputo fare anche di meglio: mentre in questo attacco ha dovuto accedere fisicamente al bancomat aprendone il frontale, in un'altra dimostrazione è riuscito a riprogrammare l'apparecchio da remoto, senza neppure toccarlo.

Le dimostrazioni di Jack erano mirate ai bancomat di due marche specifiche, la Triton e la Tranax. Gli apparecchi di una di queste aziende, ha spiegato Jack a Wired, avevano una vulnerabilità nella funzione di monitoraggio remoto, che era attiva per default, era accessibile via Internet o telefonicamente e permetteva di scavalcarne i sistemi di autenticazione. Il monitoraggio remoto è stato disabilitato da poco dalla casa produttrice, anche in seguito alla segnalazione di Jack.

L'altra marca, invece, aveva una falla di sicurezza, successivamente corretta, che consentiva l'esecuzione di programmi non autorizzati.

Una delle scoperte più interessanti di Jack è che le serrature standard dei pannelli di manutenzione di tutti i bancomat di una delle marche coinvolte nella sua dimostrazione si aprono con una chiave universale, facilmente acquistabile via Internet per una decina di dollari (la ditta offre una serratura personalizzata solo come accessorio supplementare). Questo consente a qualunque malintenzionato di accedere facilmente alle parti interne dell'apparecchio, cosa che ha permesso a Jack di inserire una penna USB contenente del software ostile per Windows CE, il sistema operativo utilizzato da entrambe le marche.

Questo software, una volta installato, rimaneva in attesa di un codice di attivazione digitato sulla tastiera del bancomat. In alternativa, il malintenzionato poteva inserire una speciale tessera di controllo. Fatto questo, sullo schermo compariva un menu nascosto che consentiva di far erogare soldi allo sportello automatico.


Non si tratta di dimostrazioni ipotetiche: attacchi analoghi sono stati scoperti in Russia e in Ucraina l'anno scorso ai danni di sportelli della Diebold e della NCR, ma richiedevano un complice interno (per esempio un tecnico). Questo può succedere: all'inizio del 2010, un membro del personale informatico della Bank of America, Rodney Reed Caverly, è stato incriminato con l'accusa di aver installato software ostile sui bancomat del suo datore di lavoro, in modo da poter prelevare migliaia di dollari senza lasciare traccia delle transazioni.

Ma perché ricercatori come Barnaby Jack fanno queste rivelazioni? Non sarebbe più prudente stare zitti, affinché i ladri non possano approfittare delle tecniche divulgate? No, spiega Jack: le dimostrazioni pubbliche di vulnerabilità servono a convincere i responsabili delle ditte che producono sportelli automatici ad esaminare con maggiore attenzione la sicurezza dei loro apparati, troppo spesso venduti e usati dando per scontato che siano invulnerabili. Inoltre servono anche a noi consumatori, perché se veniamo colpiti da una frode di questo genere e non sappiamo che è possibile effettuarla, spesso spetta a noi dimostrare di essere vittime innocenti, perché le banche presumono che siamo stati noi a commettere qualche errore di sicurezza o a divulgare i nostri codici di accesso.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (43)
Branaby o Barnaby?
PS: bentornato
Nel 2007 sono stati prelevati dei soldi dal mio conto tramite operazioni bancomat.
Il direttore della banca disse che difficilmente sarei stato rimborsato, perché evidentemente avevo smarrito il PIN perché fosse possibile il prelievo bancomat.

Il bancomat era proprio quello in cui mi servivo più spesso, ma non ci ero andato da un mese perché lo avevo trovato strano, forse manomesso e avendo avvertito all'interno dell'agenzia mi avevano risposto che era tutto regolare.

Gli SMS ricevuti riportavano il nome della banca di più di un anno prima, quando ancora non era passata ad Intesa, erano doppi o tripli ed erano arrivati con un'ora di ritardo rispetto alle operazioni.

Feci una denuncia completissima di estratti conto, SMS, e la dichiarazione che il pin lo sapevo solo io.
Per fortuna dopo tre mesi sono stato rimborsato completamente.

P.S.
Già finita la vacanza?
in Italia non ne ho sentito parlare. qui da noi, nella Nazione padana non capita mai. di questo sono certo
Qui da noi, in terra elvetica, capita spesso.

Non bisogna aver paura ma soltanto stare un poco attenti

;)

Ps: ben tornato Paolo
Ovviamente se uno può manomettere il sistema, può farlo anche per intercettare il MIO bancomat.
Ma finché si limita a far erogare soldi al bancomat, questi non sono legati al conto di nessuno e, quindi, il danno ricade tutto sulla banca.
Bentornato!!!
Bentornato!
Piccolo refuso:"insoluto jackpot"
Bentornato!!! I Frank Abagnale si sono evoluti, a quanto vedo.
Tempo fa in un bancomat della citta' dove abito avevano scoperto l'azione di alcuni truffatori.
La banca ha quindi deciso in via prudenziale di bloccare tutte le tessere che erano state usate in quello sportello negli ultimi tempi e di riemetterne di sostitutive.
Tutto molto bello, peccato che NON avessero detto niente di niente agli utenti, ad esempio a me.
Morale: compero qualcosa su ebay, non riesco a pagare con la mia carta di credito (che faceva anche da bancomat) e non capisco come mai.
Era un sabato.
Dopo due giorni sento la banca e mi raccontano la storiella di quanto sono stati bravi e prudenti. La mia tessera era inattiva da giorni e giorni e ovviamente avranno pensato che fosse troppo pensare di dirlo anche a me.
Con tanto di venditore su Ebay che pensava che non volessi pagare e che le mie fossero solo scuse... e io che ricevetti l'oggetto in ritardo perche' riuscii a pagarlo solo dopo un tot di giorni :(((

Era banca intesa, _ero_ loro correntista.

Troppo spesso le banche dimenticano che senza noi correntisti loro sarebbero tutti a casa a fare la fame, ci considerano come se fossimo dati per scontati e ci trattano (alcune) come esseri di infima importanza.

Troppo spesso ignoriamo (anche se penso non valga per la maggior parte degli utenti di un blog come questo) che nel mondo del consumismo, l'unica punizione e' non comperare, o andarsene.

E dire che non ci vuole tanto per lavorare meglio in questi casi, basterebbe... lavorare!
Roberto.

PS: la stessa ex banca, due anni fa ero a Praga e ho usato il bancomat. Poi non funzionava piu'. PANICO, come pago l'hotel?? Chiamo la banca, mi dicono "si, la sua carta di credito e' stata usata in repubblica ceca, l'abbiamo prontamente bloccata per sicurezza".
...
...nessun problema, dico loro, sono IO e effettivamente mi trovo a Praga. Potete riattivarmela?
...
...no, ehm... e' impossibile... non siamo noi... e' un altro ufficio...
...
...comunque PUO' VENIRE A RITIRARE LA TESSERA NUOVA QUANDO VUOLE.

Si. Comodo, se fossi stato in Italia...

Servizio a qualita' massima davvero... mi fa arrabbiare ancora adesso mentre ci ripenso :-||
@ Motogio

Qui da noi, in terra elvetica, capita spesso.

Merito/colpa del fatto che qui uno può prelevare soldi ovunque gli pare, in qualsiasi angolo della nazione.
Proprio notizia di oggi...
http://www.ticinonews.ch/articolo.aspx?id=201304&rubrica=2
@Roberto Camisana in un paese diverso dall'Italia il tuo racconto avrebbe potuto/dovuto stupire, invece no.
Chissà perchè? :-(
A me anni fa successe che per un bug il monitor del bancomat entrò in modalità terminale. Intendo dire proprio schermo alfanumerico, caratteri bianchi su sfondo nero, prompt ">". Non scherzo! A metà dell'immissione del PIN sbagliai tasto e premetti "Conferma". Azione evidentemente non prevista dai programmatori...
Refuso sistemato, grazie!

E grazie a tutti del bentornato. Sì, le vacanze sono finite :-)
Windows CE ... basta la parola ...

Poi non venitemi a parlare di trollate o di flammate; usare Windows in ambiti così delicati è un suicidio!
Bentornato Paolo :)


OT: http://www.gadgetblog.it/post/11646/nike-brevetta-le-scarpe-che-si-auto-allacciano

A quando la carta antipolvere e, soprattutto, il volopattino hoverboard? :P
usare windows come S/O per un qualcosa che richiede massima sicurezza mi sembra un po' suicida... è come usare il mio superténéré come moto da strada per fare le curve in piega a 200... non è il caso... :)
Sei già tornato :O
Sei uno stakanovista!
@santana, @guido: Nutriamo il troll, invece! :p

Usare QUALSIASI sistema operativo in QUALSIASI ambiente che richieda sicurezza è rischioso.
L'unico computer sicuro è quello spento, chiuso in cassaforte, eccetera..

Se il bancomat è configurato per poter essere usato da remoto, e da remoto sono possibili operazioni tipo fargli sputare fuori i soldi, qualsiasi sistema operativo usi, se gli date le istruzioni giuste LO FA.

Windows CE è in pratica un OS embedded, come tutti i sistemi operativi di quel tipo funziona benissimo in situazioni in cui devi farci girare un solo programma. Se poi il programma è mal progettato perchè non tiene conto di alcune possiblità di interazione illecita, come attaccare qualcosa a una porta USB o interagire in modo particolare via rete, il sistema operativo c'entra come i cavoli a merenda.

Cercate "shellcode" su wiki ;) Tutti i vari "jailbreak", per fare un altro esempio, usano bug del sistema operativo.
Android è Linux, eppure puoi sfruttare un bug per avere l'accesso root che normalmente non è previsto per l'utente: per questo linux fa schifo? Direi di no.
questo video devi assolutamente metterlo sul blog!
http://tinyurl.com/33l6yw4
per 2 motivi almeno
1. A chi piace la scienza, lo spazio in particolare lo troverà molto interessante e piacevole
2. Duemiladodicini e scienza-allergici si impauriranno a vedere quanti sono gli oggettini rossi ...

di cosa parlo?
guardate il video!
il fatto è che linux gode di un supporto leggermente più ampio di quello di windows, il fatto di essere OO permette che eventuali bug, falle & co. vengano scovati molto più rapidamente, paradossalmente se tu svangassi il kernel di windows per correggere una vulnerabilità staresti commettendo reato... poi ovvio che puoi avere il sistema operativo migliore del mondo ma se lo configuri a TdG è come non averlo però tra winzozz e linux scusa ma ce ne corre ;)
@Mousse:
Ma c'è rischio e rischio.
E guarda caso i problemi saltano fuori con Windows e TCP/IP, mai con MVS e SNA.
Guarda caso gli AS e gli MVS non li buca nessun esterno mentre Windows è un colabrodo.

E...sì, un sistema che ti permette grazie ad un suo baco di avere un accesso completo al sistema fa schifo.
Se ne ha molti di questi bachi fa più schifo ancora.

Dire che un sistema sicuro al 99,99999%, uno sicuro al 99% ed uno sicuro al 90% sono tutti insicuri è la strada migliore per fare saving di cui poi ci si pente amaramente (se ovviamente la sicurezza è una esigenza primaria).

Ciao

Carson
Bentornato, spiacente (per te) che la vacanza sia stata così breve...
visto come spesso clonano, ritenere noi responsabili.....è molto comodo!
@Giovanni: Beata ingenuità.
IL fatto che TU non ne abbia sentito parlare NON significa che non succeda.
In realtà in Italia le truffe con i bancomat sono molte, ma TU non ne senti parlare. Chi si occupa di sicurezza, invece, lo sa.
Tra parentesi la fantomatica "Nazione Padana" è quella più interessata da truffe con i bancomat
Per Mikhail Lanart-Hastur

Beata ingenuità.
IL fatto che TU non ne abbia sentito parlare NON significa che non succeda.
In realtà in Italia le truffe con i bancomat sono molte, ma TU non ne senti parlare. Chi si occupa di sicurezza, invece, lo sa.


Quando il metodo di prelievo col bancomat si stava diffonendo anche in Italia, inizio anni Ottanta, avevo sentito una voce secondo la quale erano le banche a mettere a tacere i casi di malfunzionamento e di carte clonate per non diffondere diffidenza verso questo sistema, che obiettivamente è bene per tutte che sia diffuso.
Solo voci, sia chiaro, e per di più valide negli anni Ottanta. Sarebbe interessante sapere da responsabili della sicurezza delle banche se queste dicerie sono plausibili.
@Guido: "un supporto maggiore" non vuol dire niente, In queste applicazioni diciamo "mission critical" proprio il fatto che Linux sia aperto a una comunità così ampia diventa un difetto. Si crea una quantità enorme di codice non integrato e ancora meno verificato dal punto di vista delle interazioni con il codice esistente.

Tre quarti del lavoro di sviluppo di un sistema operativo è controllare che delle modifiche in un punto del codice non facciano casino da qualche altra parte.

Da questo punto di vista, molto meglio una cosa tipo OpenBSD, in cui le release vengono testate estensivamente e per intero prima di essere distribuite.

Si, magari io avrei messo QNX nei bancomat, ma probabilmente le licenze di WinCE costavano meno, ed è pià facile trovare programmatori che conoscano le API di WinCE piuttosto che QNX.
Non solo, c'è anche da considerare il tipo di infrastruttura in cui queste macchine devono operare... insomma se hanno scelto Windows CE non l'hanno fatto solo "perchè sono scemi".

Giusto per, il più clamoroso caso di bug coinvolse una macchina per radioterapia (sono morti sei pazienti per intossicazione acuta da radiazioni) che era gestita da un Digital PDP-11.
Sono un altro ex correntista di Intesa (o nei molti modi in cui si è chiamata in questi anni) e anche a me negli anni sono successe cose molto strane con estratticonto, carte e bancomat. A memoria ricordo una volta che dovevo pagare l'IVA, era l'ultimo giorno e la mia filiale era chiusa per riunione sindacale, sono corso in un'altra filiale e qui stavano ancora 'avviando le macchine' e non riuscivo a fare il pagamento con il bancomato (unica possibilità secondo loro non avendo il contante e non essendo nella mia filiale), a un certo punto è arrivata una impiegata che mi ha fatto entrare dalla parte degli impiegati e con una 'chiave speciale' che aveva al collo e che serviva ad abilitare probabilmente qualche funzione riservata ad uno dei loro terminali, ho battuto il codice in più tentativi, ma niente, l'impiegata era visibilmente nervosa perchè io ero incavolato (avrei dovuto essere da un cliente e già i giorni prima avevo avuto problemi con il pagamento per 'colpa della pioggia'), a un certo punto l'operazione è avvenuta, però senza che io battessi il codice nell'imbarazzo dell'impiegata e nel mio stupore ...

Altra volta: vado in filiale a ritirare il mio PIN che viene stampato su quei foglietti speciali ripiegati in due che impediscono all'impiegato di vedere cosa viene stampato, l'impiegato batte una volta invio, ma non succede niente, allora batte una seconda volta e parte a stampare, ma siccome il sistema era solo lento e ha stampato con un po' di ritardo lo stesso codice due volte: un impiegato scorretto avrebbe potuto usare questa tecnica per fregarmi il PIN inserendo al carta bianca la seconda volta solo dopo che mi fossi allontanato dal banco.

Ultima che mi viene in mente: mi accorgo di pagamenti con la mia carta di credito fatti in Australia evidentemente non da me (anche se ci ero stato un paio di anni prima): si poteva dedurre che fossero le spese di una famigliola per una gita fuori porta, quindi secondo me niente di fraudolento, ma solo un errore di qualche sistema telematico, chiamo il servizio di segnalazione abusi della carta di credito (la carta era non più valida e le spese erano stranamente relative all'ultimo mese di validità dopo che avevo avvisato la banca che non intendevo più rinnovare la carta e che volevo chiudere il conto) che dice che la mia carta era valida ancora per alcuni mesi, io dicevo che l'avevo davanti agli occhi e che la data stampata era quella che sostenevo io. Alla fine mi hanno restituito tutto, ho solo dovuto rinviare di qualche mese la chiusura del conto, però non facendo quello che mi diceva la banca, ma quello che mi hanno consigliato alla stazione dei carabinieri in maniera molto più competente e dettagliata (abbiamo concordato un appuntamento con un ufficiale che dopo essersi informato dei dettagli del mio caso mi ha aiutato a compilare la querela che mi ha permesso di avere indietro tutto, quindi occhio ai passi che fate!).

Questi sono solo degli esempi, ne avrei molti altri relativi a gestione allegra di password loro, errori delle spese sugli estratti conto (sempre a loro vantaggio), mancato invio di scalari, SMS di avviso operazioni non più inviati, SMS vecchi di anni e già ricevuti arrivati tutti in un colpo (ero in treno ed ero terrorizzato perchè non avevo capito che erano vecchi), massimali bancomat cancellati, ritardi di settimane nell'adeguare la quantità di certe azioni possedute, carta di credito rifiutata senza motivo in Irlanda (problemi a pagare l'ostello e prendere il biglietto del treno con il rischio di perdere l'aereo), impossibilità di digitare la password per i servizi telefonici in quanto composte anche da lettere e loro consiglio di usare un cellulare con il T9 (?!?!?) senza sapere neanche che il loro numero verde funziona solo da fisso ...

Il Gruppo TNT era meglio messo del loro dipartimento IT.
@Mousse:
Giusto per, il più clamoroso caso di bug coinvolse una macchina per radioterapia (sono morti sei pazienti per intossicazione acuta da radiazioni) che era gestita da un Digital PDP-11.

Da appassionato di retrocomputing - e di PDP-11 in particolare - ci tengo a sottolineare che la macchina in questione, il Therac-25, non era prodotta dalla DEC, piuttosto usava un PDP-11/23 come parte centrale del sistema. Gli errori che portarono alle sei morti non dipesero da problemi hardware del PDP, ma da un misto di bachi nel software; il Therac-25 poi non usava un sistema operativo standard, ma un software apposito, i cui sorgenti non furono mai mostrati ai tecnici ospedalieri, né a quelli delle varie autorità di controllo (per esempio la FDA), nemmeno dopo le morti. D'altra parte, come sempre accade in questi casi, il problema non era unicamente nel software, ma anche in una progettazione che non teneva nel giusto conto le conseguenze di un errore nei programmi e non implementava le sicurezze meccaniche necessarie.

A margine, mentre i vari PDP-11 erano piuttosto diffusi nelle applicazioni che richiedono risposte in tempo reale (e ancora oggi potete leggere su internet di qualche azienda dove sono ancora gloriosamente in servizio), che io sappia, l'unica macchina prodotta direttamente da DEC per la medicina nucleare è il GAMMA-11, un PDP-11/34A dotato di un po' di hardware dedicato e su cui girava una versione modificata di RT-11. Se non ricordo male serviva per la PET e si interfacciava alle alle "gamma camera" standard dell'epoca, quindi non emetteva radiazioni, a parte scaldare un sacco. ;^D
FridayChild,

è Barnaby. Ho corretto il refuso, grazie.
@FDD: nemmeno i bancomat sono prodotti da Microsoft, però fanno automaticamente schifo se c'è sopra Windows.

Giusto per dire che non è l'hardware o il software ad essere "male", ma dipende da come lo usi!

Volevo solo far notare questa incongruenza.
@mousse
software non integrato? Parlo di ubuntu per esempio, c'è il software mantenuto da canonical e quello sei sicuro che non faccia casino, e comunque più la postazione è critica e più è importante che vulnerabilità, exploit, bugs vengano corretti... se il sorgente è aperto tutti possono verificare che non ci siano troiai, o addirittura malware integrato nel S/O (si è successo)... la sicurezza tramite oscurità lo sappiamo tutti che è solo una chimera... (come mai la maggioranza dei server web usano linux? :P)
@Guido: "c'è il software mantenuto da canonical e quello sei sicuro che non faccia casino" Eh, io non capisco questa presunta infalliblità di Linux... tra l'altro non è sicuro che il software mantenuto da Canonical vada d'accordo con quello mantenuto da altri.

La mia esperienza con Linux purtroppo mi dice che ogni update è un salto nel buio.

"tutti possono verificare che non ci siano troiai" Non so perchè ma mi sembra tanto un "mito"..

Se tu sei in grado di farlo in una cosa complessa come un sistema operativo beh, complimenti davvero. Ma non credo che ci sia molta gente in grado di farlo.

E comuqnue all'utente medio di questo non gliene può fregare di meno. All'utente medio interessa solo che il computer faccia quello che gli serve senza farlo diventare scemo. Windows lo fa. Mac lo fa. Linux purtroppo non ancora. La cosa peggiore è che non lo fa nemmeno in situazioni in cui potrebbe (vedi Xandros sul primo eeePC) e anzi dovrebbe.

Tra parentesi in una roba come un bancomat, ho il vago sospetto che meno gente sa com'è il sistema operativo e meglio è.

Insomma, se ci fosse una convenienza a usare open source invece di closed, non credete che i fabbricanti di bancomat lo userebbero? Come mai non lo fanno?
Forse sono OT, ma visto che si parla di sicurezza di Linux e che mi apre ci siano molti esperti ci provo lo stesso.

Vengo dal mondo Microsoft e per lavoro mi è capitato di imbattermi in una macchina LAMP che ospita diversi siti web e virtual host, ho visto che da qualunque account con spazio web con estrema facilità è possibile leggere e modificare gli script degli altri account con un banale script PHP, e la cosa più grave andarsi a leggere le credenziali di accesso a MySql degli altri utenti. UNa soluzione è attivare il safe mode, ma oltre ad essere aggirabile presenta molti inconvenienti soprattutto con i principali CMS e verrà tolto in prossime release di PHP. Visto l'enorme quantità di server LAMP con account multipli presenti al mondo è possibile che esista questo enorme problema? E' risolvibile in qualche modo?

Grazie
@Mousse
Tra parentesi in una roba come un bancomat, ho il vago sospetto che meno gente sa com'è il sistema operativo e meglio è.
Questa cosa che dici tu si chiama "Security through obscurity". E` male. Molto male.

E poi se ci metti Windows prima o poi si viene a sapere. Come? Dai msgbox di windows che ti dicono che e` finita la memoria virtuale e simili...

Ho una collezione di foto di bancomat in questo stato.

Insomma, se ci fosse una convenienza a usare open source invece di closed, non credete che i fabbricanti di bancomat lo userebbero? Come mai non lo fanno?
Certo che c'e` una convenienza. Lo sviluppo del software costa meno.

Poi pero` lo paghi in sicurezza.
@guido: sarà che linux è free? La licenza di windows costa.. oltretutto spesso sono setup standard preconfigurati.

@gino: come utente finale mi cambia niente. Basta che chi mi vende l'os sappia cosa fa. Non mi metto certo a farmi dare i progetti del motore quando compro un auto perchè "non mi fido e voglio vedere se i freni son progettati come dico io". Presumere che linux sia più sicuro è rischioso esattamente come usare windows senza pensare alla sicurezza. Non so i dettagli ma scommetto che l'exploit del bancomat non sfrutta una falla di windows ma del programma di gestione della macchina.
Ma noooo cavoli, ero a las vegas il mese scorso!!
@Mousse
Basta che chi mi vende l'os sappia cosa fa.

Che e` esattamente il motivo per cui non e` il caso di prendere Windows.

Tornando al paragone del motore... dipende da cosa devi fare con l'auto.

Se devi andarci da casa al lavoro, va bene quello che trovi dal concessionario.

Se devi blindarla perche' hai motivo di ritenere che possano spararti addosso, devi mettere mano al motore e alle sospensioni per considerare il peso extra.

Se devi correre il GP di Monza non stai nemmeno a passare dal concessionario... ti progetti l'auto su misura.
@Gino: beh allora a questa stregua alla Diebold e alla NCR sono tutti incompetenti perchè usano Windows CE e non Linux. Non so perchè ma non mi sembra che funzioni come teoria.
@Gino
Se devi correre il GP di Monza non stai nemmeno a passare dal concessionario... ti progetti l'auto su misura.

Sai quanti Gran Premi di Monza l'hanno vinto auto con un banalissimo Ford Cosworth (un prodotto, per la F1 di quegli anni, di serie) e quante batoste ha rifilato a Ferrari, Renault ecc.ecc.
@Mousse
Sulla NCR non mi pronuncio. Sei sicuro che usino proprio Windows CE? Mi sembra una volta di aver visto il messaggio della memoria virtuale finita su un NCR.

Sulla Diebold, invece, mi pronuncio. Non sono degli incompetenti. Sono degli incompetenti criminali. E` diverso. La loro roba e` la meno sicura che ci sia in giro. Ma perche' non hanno la minima idea di cosa sia la sicurezza. Sarebbero capaci di fare cose insicure anche con un sistema operativo piu` sicuro. Diebold e`, in assoluto, la ditta su cui ho sentito piu` horror stories. E parlo solo del campo dei bancomat, perche' quella ditta ha purtroppo le mani in pasta anche in un altro campo, dove puo` fare ancor piu` danni.
Parlo delle macchine per gestire le elezioni. Diebold non e` l'unico a fornire macchine del genere (in USA ogni contea si organizza come gli pare anche per le elezioni nazionali) ma e` spesso citata come un esempio negativo da coloro che si oppongono all'uso indiscriminato di macchinari elettorali. Ti dico solo due cose: alcune macchine per votazioni Diebold avevano connessioni di rete non dichiarate, e la Diebold ha piu` volte cambiato il software sulle macchine suddette senza farlo ricertificare.

Non mi parlare di Diebold, per favore. Una ditta davvero Diebolica...

@Explobot:
No, non lo so, ma dubito che qualunque vettura di serie avesse alcuna chance nel gran premio di monza di formula 1 dagli anni '70 in poi.
@Gino

ma dubito che qualunque vettura di serie avesse alcuna chance nel gran premio di monza di formula 1 dagli anni '70

Se devi correre un gran premio non usi un auto di serie, questo mi sembra evidente, ma nel progettare la tua auto da corsa (il tuo bankomat) puoi anche ricorrere a componenti standard per quel tipo di auto come il motore (il tuo sistema operativo).

Il Cosworth 8 cilindri aspirato è stato abbondantemente usato da marche come Lotus, McLaren, Brabham, Williams, Tyrrel che hanno fatto con successo la storia della F1.

Slegarsi dall'impegno progettuale riguardo il motore ha permesso a questi costruttori di concentrarsi meglio su telaio e scocca proponendo soluzioni a volte geniali (e a volte disastrose).

Analogamente potremo dire che adottare Windows CE permette di concentrarsi meglio sulla realizzazione del software applicativo, con risultati a volte vincenti e a volte disastrosi.

Informazioni qui:
http://it.wikipedia.org/wiki/Ford_Cosworth_DFV

e riguardo il GP di Monza qui:
http://it.wikipedia.org/wiki/Gran_Premio_d'Italia

Ciao
Dimentichi la "mitica" Ford Sierra Cosworth :D Certo, il motore c'entrava niente con quello della F1 ma i progettisti erano quelli.

Ma com'è che siam finiti a discutere di Formula 1? Ah si, Windows CE.. A quanto pare comunque l'exploit di cui stiamo parlando non riguarda l'OS ma il software (infatti è stato corretto dal produttore del bancomat e non da Microsoft).

Resta il fatto che a me sembra un tantino che Diebold che fa terminali ATM da 40 anni faccia "colabrodi dal punto di vista della sicurezza" come qualcuno ha scritto senza che nessuno lo sappia. Con la quantità di macchine Diebold in giro, problemi di sicurezza finirebbero sui giornali.

Italia, terra di allenatori di calcio, economisti e da oggi anche ingegneri informatici.
@Explobot:
Ok sull'usare anche pezzi di serie (pensavo che tu stessi parlando di veicoli di serie, scusa).
Ma quando usi pezzi di serie per fare una macchina F1, scegli il migliore (motore Cosworth 8 cilindri / sistema operativo OpenBSD o QNX) o quello che ha meno costi associati (motore Fire / sistema operativo WinCE) ?

Analogamente potremo dire che adottare Windows CE permette di concentrarsi meglio sulla realizzazione del software applicativo, con risultati a volte vincenti e a volte disastrosi.
Haha!
In questo caso, direi che non e` successo cosi`. La volonta` di tagliare i costi infatti significa che alla fine fai male pure lo sviluppo.

E` vero, questo problema non era (probabilmente) colpa del sistema operativo. Ma una cattiva scelta di sistema operativo e` indice di propensione alle cattive scelte in tutte le fasi della progettazione.

@Mousse:
Con la quantità di macchine Diebold in giro, problemi di sicurezza finirebbero sui giornali.
E secondo te come faccio io a saperlo? Mica leggo le informative segrete dei rettiliani.
Leggo i giornali.

Italia, terra di allenatori di calcio, economisti e da oggi anche ingegneri informatici.
Non nego che ci siano molti miei colleghi, qui in Italia, che userebbero WinCE su un sistema che dovrebbe essere ad alta affidabilita`. Ma per quanto posso, cerco di disconoscerli :-)