Comments 207
Полагаю, это неправильная конфигурация одного банкомата, а не системы в целом
Там стояло три терминала, у всех трёх такая проблема. Со слов сотрудницы банка, их настраивают удалённо, так что насчёт системы знать не могу. Да если даже и одного терминала, по телефону я сообщил его номер, можно было бы и исправить.
Проблема наблюдается во многих терминалах. Специалисты, о которых было сказано, скорее всего просто напросто забывают о такой элементарной вещи. Банкоматов то много-много, думайте специалист на них один? :) Вот и работают они по разному. Скорее всего и по разному относятся к своей работе.
Если они каждый раз руками настраивают терминал, а не раскатывают с образа, то это жесть. Все таки я не думаю, что все на столько плохо.
YunusovTimur а есть статистика по этому поводу?)
UFO just landed and posted this here
Может быть ничего серьёзного
Ну если проявить немного фантазии, то можно что-нибудь придумать. Очевидное решение — загрузить вредоносный код из сети, но для того чтобы он сработал надо представлять как устроена система и вообще это уголовно наказуемо. А вот, скажем, если создать сайт имитирующий интерфейс банкомата, а на банкомате открыть его и развернуть браузер на полный экран, то подобное доказать уже сложнее, как мне кажется. Правда и возможности сильно меньше.
UFO just landed and posted this here
Открыть блокнот и набрать :)
В XP можно набрать короткий com файл, сбрасывающий пароль BIOS Setup, например. Что самое замечательное — он запустится и под user'ом.
Насколько я помню, даже сохранить не даст с текущими правами пользователя.
Вообще, я работал в сбере до 2010 и тогда уже были подобные косяки, но что либо конкретное сделать… посмотреть — да, можно, но ни записать ни отправить куда0то не получится.
И если этой проблемой столько лет не занимаются, то видимо хлопот не доставляет.
Вообще, я работал в сбере до 2010 и тогда уже были подобные косяки, но что либо конкретное сделать… посмотреть — да, можно, но ни записать ни отправить куда0то не получится.
И если этой проблемой столько лет не занимаются, то видимо хлопот не доставляет.
1. Это терминал, а не банкомат. 2. Софт для него называется Единое Государственное Программное Обеспечение. Выводы делайте сами)
Можно собрать USB-устройство, которое представится клавиатурой и наберет кучу текста за короткое время. Относительно недавно вроде пробегала новость о таком
Если я бы был зловредом (с учетом моих скудных познаний в зловредстве):
заранее заготовил бы html(может css прикрутил банковский), написал бы там что чтобы после ввода перенаправлялось на другую страницу из локалхост, а там номер телефона.
На трубке сидела бы девушка, которая заправишала номер карты и свв, может кто-то и клюнет.
Я не местный, риски vs вероятность удачи не считал :) просто как возможный вариант…
Или например хоть в блокноте набрать добротно-маркетингово «Типа Сбер закрывается переходите в банк Бла-Бла»… можно двум банкам насолить )
заранее заготовил бы html(может css прикрутил банковский), написал бы там что чтобы после ввода перенаправлялось на другую страницу из локалхост, а там номер телефона.
На трубке сидела бы девушка, которая заправишала номер карты и свв, может кто-то и клюнет.
Я не местный, риски vs вероятность удачи не считал :) просто как возможный вариант…
Или например хоть в блокноте набрать добротно-маркетингово «Типа Сбер закрывается переходите в банк Бла-Бла»… можно двум банкам насолить )
А можно просто майнить… че железке простаивать… ;)
UFO just landed and posted this here
В банкоматах такие мощности что только крипту и майнить. Хотя если пару десятков тыщ таким образом озадачить — то что-то ощутимое и будет. но такой вариант мало продуктивен, уязвимость физическая. Даже просто обойти и перенастроить пару тыщ уже проблема, не говоря уже о возросшей вероятности спалиться.
Сильно сомневаюсь что у них есть интернет.
Но с клавиатуры что-то набрать можно конечно. Ну и всякие сканеры-кардридеры и прочие PoS устройства можно попробовать использовать как путь для заливки текста «быстрее чем с экранной клавиатуры». Ну а дальше уже на что фантазии хватит. Или фишинг или атака по внутренней сети…
Но с клавиатуры что-то набрать можно конечно. Ну и всякие сканеры-кардридеры и прочие PoS устройства можно попробовать использовать как путь для заливки текста «быстрее чем с экранной клавиатуры». Ну а дальше уже на что фантазии хватит. Или фишинг или атака по внутренней сети…
Сильно сомневаюсь что у них есть интернет.а VPN до банка по-вашему через что поднимается?
Ну сколько я встречал что-то подобное — приватная сетка поднималась на уровне провайдера или на отдельном «железном» роутере. Нет, понятно, что в банках деятели разные бывают, особенно в сберах, но тем не менее — наличие Интернета на машине это скорее исключение чем то что ожидается увидеть по умолчанию.
Банкоматы не всегда возможно воткнуть «прямо в впн» — в каждый торговый центр свой линк не потащишь. Но в роутере внутри банкомата действительно поднимается впн.
Про сеть и интернет в платёжных терминалах:
Отсюда: "5 нажатий на экран терминала — и открывается любая папка"
Отсюда: "5 нажатий на экран терминала — и открывается любая папка"
Ну банки и 3G модемами не брезгают. Даже домашние модели в редких случаях ставят.
UFO just landed and posted this here
А кто-нибудь помнит такую программу: Art-Money? Думаю, если ее изучить изнутри, то вполне можно провернуть такое же ручками. Поменять данные на внесение наличных: вносишь 500р, затем еще 500, находишь нужную переменную, подменяешь на 100500 — профит.
Чуть не забыл последний пункт — отбываешь наказание в зависимости от суммы хищения:
до 100 000 — до двух лет
до 10 000 000 — до 5 лет
до 50 000 000 — до 10 лет
от 50 000 000 — год условно (или пару месяцев домашнего ареста, а то может и вовсе простят)
Чуть не забыл последний пункт — отбываешь наказание в зависимости от суммы хищения:
до 100 000 — до двух лет
до 10 000 000 — до 5 лет
до 50 000 000 — до 10 лет
от 50 000 000 — год условно (или пару месяцев домашнего ареста, а то может и вовсе простят)
Не выйдет.
Банкомат сохраняет информацию по каждой операции, каждой купюре и каждой карте.journal.tinkoff.ru/inside-atm
В связном вот получилось провернуть
Раньше терминалы ломали вводом
в любое поле ввода, тогда правда XP стояла.
<a href="ya.ru">asdasdsa</a> в любое поле ввода, тогда правда XP стояла.
Можно запустить косынку и залипнуть у терминала? :)
Уязвимость доступа к системе, а дальше что? Использовать встроенный софт? Попытаться скачать софт из интернета? Это маловероятно, сеть у сбера скорее всего закрытая, с белым списком и прочими фаерволами, но если это сделать можно — поздравляю, вы нашли дыру в безопасности и если вам не всё равно — пишите во все инстанции с максимальной оглаской. Не захотят фиксить причину сами — обязательно будут фиксить последствия.
Если не получится вылезти в интернет, значит получится залезть в «защищенную» сеть банкоматов. Тоже хорошо.
Банально вешается объявление на экране банкомата: «если банкомат не работает, просьба сообщить о неисправности за вознаграждение: тел. 911-223-332, сайт любимыйклиент.ру. А дальше уже насколько фантазии хватит: разводить на данные кредитки по телефону, использовать номер с платными услугами, хакать посетителей на сайте и т.д. Подаваться всё это будет под брендом банка (его же банкомат), поэтому многие купятся. Я бы не сказал, что это пустяковая уязвимость.
Учитывая то, что на банкоматах до сих пор стоит дырявая как сыр XP, фиксить они ничего не будут. И, видимо, выгоднее терять, чем менять устаревшую и дырявую систему.
Если нет интернета и доступа внешним дискам то можно написать программу или код вируса используя виртуальную клавиатуру. В шестнадцатеричном виде не компилируя.
UFO just landed and posted this here
Например, debug.exe.
На Win XP он был ещё, если правильно помню.
На Win XP он был ещё, если правильно помню.
Если там установлен .NET Framework, то компилятор есть в стандартном рантайме.
Слишком хорошего мнения вы о сбере.
Одно время у них точно был обычный инет+vpn. рвем впн, получаем инет, качаем что надо.
Одно время у них точно был обычный инет+vpn. рвем впн, получаем инет, качаем что надо.
Все зависит от настройки политик безопасности, от того можно ли запустить командную строку и.т.д.
Недавно была у меня подобная ситуация в Бургер Кинге, на терминале отвалилась заглушка и обнажилась винда с красующимся на рабочем столе тимвьюером. Недолго думая попробовал ломанутся с телефона. Спокойно законнектившись подозвал манагера, показал ему сие безобразие, на что он мне ответил «Так ведь не каждый может сделать, по этому ничего страшно», улыбнулся и пошел дальше обслуживать заказы. Ну, а я что, развернул заглушку с надпись аппарат не исправен, которая по какой то причине была свернута и пошел восвояси.
Недавно была у меня подобная ситуация в Бургер Кинге, на терминале отвалилась заглушка и обнажилась винда с красующимся на рабочем столе тимвьюером. Недолго думая попробовал ломанутся с телефона. Спокойно законнектившись подозвал манагера, показал ему сие безобразие, на что он мне ответил «Так ведь не каждый может сделать, по этому ничего страшно», улыбнулся и пошел дальше обслуживать заказы. Ну, а я что, развернул заглушку с надпись аппарат не исправен, которая по какой то причине была свернута и пошел восвояси.
Ха!
Я подобным образом запустил в в эээ… 2008-ом году Дум на каком-то информационном терминале (не в России). Похожим (но не таким) образом можно было попасть в windows explorer, там уже по диску пройтись, и оп-па, лежала копия Дума.
Я подобным образом запустил в в эээ… 2008-ом году Дум на каком-то информационном терминале (не в России). Похожим (но не таким) образом можно было попасть в windows explorer, там уже по диску пройтись, и оп-па, лежала копия Дума.
Интересно, представитель Сбера отпишется?
Сомневаюсь, что SMM-щик сбера достаточно компетентен в этих вопросах, учитывая, как они реагировали на наличие внешних скриптов в их Сбербанк-Онлайне…
То что Сбер самый отстойный банк уже давно не новость.
Мы поставляли фронт для торговли. Один раз конкуренты продемонстрировали нашему клиенту «выход за пределы песочницы» — Печать/Настройка принтера/Помощь — и т.п. и нам тогда здорово досталось…
Это была Windows NT 4.0
Пришлось очень серьезно ковыряться с политиками, правами на исполнение, самописными диалоговыми окнами открытия файлов и печати, отключать лазейки со специальными возможностями. Помниться, коллеги соревновались, кто еще найдет дыру…
Прошло 20 лет…
Это была Windows NT 4.0
Пришлось очень серьезно ковыряться с политиками, правами на исполнение, самописными диалоговыми окнами открытия файлов и печати, отключать лазейки со специальными возможностями. Помниться, коллеги соревновались, кто еще найдет дыру…
Прошло 20 лет…
Максимум, что может потерять Сбер в данном случае — это репутационные риски. Но поскольку репутация у него и так ниже плинтуса, то всем откровенно пофиг.
Чтобы загрузить туда вирус или фишинговую страница, нужно иметь доступ к начинке терминала, а ключ не у всех есть и, как было замечено выше, это уже уголовно наказуемо.
ДА хоть откройте блокнот и ЖОПА там напишите, поржёт народи всё. Сетка терминалов и банкоматов отделена у Сбера + разумеется там всякие белые списки и файерволлы стоят.
Может ли получиться через какойнить эксплоит повысить себе права и отключить фаер?
Как Вы себе это представляете?
И-нета там нет и при всё желании не будет. А чтобы туда подгрузить эксплоит, нужно вскрывать корпус на что а) среагирует сигналка б)камеры 3) сотрудники отделения.
Связь там есть, иначе — как терминал делает всякие переводы и платежи? Правкой хитровыветнутых конфигов нельзя повысить свои привилегии, без внешней программы?
Ну и хардкор — набрать бинарный код в блокноте с бумажки, а потом записать как com и запустить :)
Ну и хардкор — набрать бинарный код в блокноте с бумажки, а потом записать как com и запустить :)
Ну вряд ли там всё просто, ка вы описываете.
Платежи там все проходят через определённый сберовский шлюз, а оттуда уже в процессинг, шлюз во внутренней сети банка. Неограниченного доступа в нет там нет и не будет.
Я склонен предполагать худшее, со Сбером возможно все…
шлюз во внутренней сети банка
Так а как к интернету отдельно стоящие банкоматы подключаются? Т.е. там отдлеьно стоит Ethernet/3G-модем-роутер, который поднимает коннект до сберовской сетки, а проц банкомата к нему по ethernet/etc подключаются и на этом интерфейсе нет ничего, кроме внутренней сетки банкоматов, или же как?
Вот с удалённо стоящими банкоматами не скажу, но там должен быть хороший и стабильный канал связи.
Несколько лет назад был такой банк «Альта-Банк». Там к банковской сети VPN-канал (тут могут быть вариации) прокидывался посредством GPRS-модема, а уже к этому модему по ethernet/usb подключался сам банкомат. При этом механизмы взаимодействия «модем-сеть» были полностью от сотрудников скрыты, их настройкой по удалёнке занимались специальные люди из процессинга, т.е. они даже не являлись персоналом банка.
Кроме того, если я правильно помню, есть банкоматы, которые вообще общаются не с сетью банка, а напрямую по шифрованному каналу через интернет с сетью процессинга. Плюс, ещё раньше были x.25 сети, работающие через телефонные сети, как там всё организовано я вообще хз.
P.S. А, и да, канал связи «банкомат-сеть процессинга» зачастую там был ооочень плохой. А про пропадании коннекта, вместо вызова ГБР (как в фильмах) тупо включалась заглушка.
Кроме того, если я правильно помню, есть банкоматы, которые вообще общаются не с сетью банка, а напрямую по шифрованному каналу через интернет с сетью процессинга. Плюс, ещё раньше были x.25 сети, работающие через телефонные сети, как там всё организовано я вообще хз.
P.S. А, и да, канал связи «банкомат-сеть процессинга» зачастую там был ооочень плохой. А про пропадании коннекта, вместо вызова ГБР (как в фильмах) тупо включалась заглушка.
Лет пять назад проделывал примерно то же самое, что и ТС (только при помощи Ctrl+S, это был терминал без картоприёмника, на котором крутился браузер с главной страницей сбера, кроме которой по идее ничего открывать был не должен). Так вот, там интернет был — ютуб работал, сайт MS, откуда можно было скачать Process Explorer — тоже был доступен. Не думаю, что что-то кардинально поменялось
В свое время нас водили по выставке банкоматов (компания занималась их разработкой) и рассказывали историю, что в одном удаленном от благ цивилизации пункте использовали банкоматный интернет для выхода в сеть
В другой раз принесли нам образ банкомата — на десктопе ярлык на интернет-магазин
В другой раз принесли нам образ банкомата — на десктопе ярлык на интернет-магазин
Любопытно, а что за выставка? Сейчас проводится?
У компании, которая банкоматы делала была собственная экспозиция. Сейчас компании нет — Сбер купил
Да чему вы удивляетесь, на тех же самых терминалах иконки соц. сетей всё ещё остались?
3 года назад с товарищами-студентами пытались зарепортить проблему, что по ним спокойно можно перейти в их группу вк, там в поске найти свою страничку там уже пройти по любой ссылке.
Так мы закидывали ссылку на zalil.com, на котором есть кнопка «загрузить файл», с помощью которой можно спокойно побродить по файловой системе, увидеть всевозможные файлы логов, и, возможно, их куда-нибудь закачать, чего мы от греха делать не стали…
Через полгода воз был там же, сейчас — хз…
3 года назад с товарищами-студентами пытались зарепортить проблему, что по ним спокойно можно перейти в их группу вк, там в поске найти свою страничку там уже пройти по любой ссылке.
Так мы закидывали ссылку на zalil.com, на котором есть кнопка «загрузить файл», с помощью которой можно спокойно побродить по файловой системе, увидеть всевозможные файлы логов, и, возможно, их куда-нибудь закачать, чего мы от греха делать не стали…
Через полгода воз был там же, сейчас — хз…
Согласен с тем что, это для них не уязвимость, а халатное отношение к настройкам. Скорее всего их ПО работает под урезанным пользователем и даже открыв блокнот, написав там какой-нибудь vbs скрипт, ничего не даст. Хотя, если и повезет — но это уже противозаконно.
Гмм. была похожая ситуация со сберовским терминалом.
Значит с кентом пошли снять денег, подходим к банкомату а там админская часть какая-то развернута, ну мы потыкали реально работает, выписку предлагает режим инкассации по моему назывался, ну стоим как два истукана, че делать то… Денег то не снять… Подходит девушка, тоже потыкала похихикала и ушла. Ну мы с кентом посовещались решили набрать в их колл-центр, нас долго по специалистам кидали, куча вопросов мол, кто, от куда, зачем и т. д. Ну разговор завершился особо ничем. Забыл сказать дело было часов в 9 вечера. На следующий день по моему безопасники их звонили с расспросами.
А так на мой взгляд компетенции у персонала не всегда хватает, вот и получаются подобные ляпы…
PS Прошу прощения за вольный пересказ, просто слишком жизненно и знаком :)
Значит с кентом пошли снять денег, подходим к банкомату а там админская часть какая-то развернута, ну мы потыкали реально работает, выписку предлагает режим инкассации по моему назывался, ну стоим как два истукана, че делать то… Денег то не снять… Подходит девушка, тоже потыкала похихикала и ушла. Ну мы с кентом посовещались решили набрать в их колл-центр, нас долго по специалистам кидали, куча вопросов мол, кто, от куда, зачем и т. д. Ну разговор завершился особо ничем. Забыл сказать дело было часов в 9 вечера. На следующий день по моему безопасники их звонили с расспросами.
А так на мой взгляд компетенции у персонала не всегда хватает, вот и получаются подобные ляпы…
PS Прошу прощения за вольный пересказ, просто слишком жизненно и знаком :)
можно было просто удалить sethc.exe из системы, в терминале оно явно не нужно
СБ отвратительно работает. У меня были проблемы со сменой пароля, с зависанием 1000 руб. на карте — не мог снять/перевести. Каждый раз оформляли жалобу и ни разу не получил ответа, а проблемы остались.
Кто вообще придумал делать терминалы на винде? Уже не первый раз подобные проблемы возникают, когда можно выйти из приложения терминала и прогуляться по системе.
Предлагаете вернуться на OS/2? В принципе недавно новая версия вышла, так что…
при чём тут OS/2?
Притом, что банкоматы, в своём развитии, прошли несколько стадий. Windows 95 на них использовалась редко, в основном в те годы банкоматы под OS/2 жили. Ещё лет 5 назад подавляющее большинство банкоматов OS/2 использовали. А вот уже когда перефирия на USB перешла — пришлось что-то делать.
ArcaOS 5.0 поддерживает USB прекрасно, так что логично будет вернуться на OS/2… ну если исходить из логики «работает — не трогай».
ArcaOS 5.0 поддерживает USB прекрасно, так что логично будет вернуться на OS/2… ну если исходить из логики «работает — не трогай».
UFO just landed and posted this here
На игровых автоматах что-то винда не стояла,Ну так и на банковатах она не сразу появилась.
хотя казалось бы, писать игры на дотнете куда легче, чем писать их на сях под rtos…Именно поэтому современные атоматы — под виндой. Уже довольно давно.
Когда владельцы бизнеса реально боялись что их обманут игроки или сотрудники, заказывали у вендора и кучу защит, и кастомные прошивки, и чего там только не было напихано.Странно. Все независимые исследования ATM'ом и автоматов для голосования (их одни фирмы делают), насколько я знаю, делилились на две группы в смысле безопасности: часть говорила, что это сито, а часть — что дуршлаг.
На предыдущем месте работы писал игры для автоматов (те что однорукие бандиты). Наши автоматы все на Linux были.
А что за игры? Странно это: насколько я знаю современные игровые автоматы в основном под виндой, потому что стоимость лицензии, на фоне стоимости железа, слабо заметна — а зато инструментов разработки куча. Что это были за игры такие, что для них это оказалось неважно???
К примеру вот эта http://www.ksi.ru/index.php?cat=228
зато инструментов разработки куча
Хаха. Ахаха!
Что из инструментов? VisualStudio?
Мне консоль нужна, потому что ни один GUI не умеет делать git rebase нормально. Мне нужен docker (недавно под win появился, да), что бы у меня была target система аналогичная той, что на аппарате. Я не хочу собирать библиотеки из исходников или качать непонятные бинарики, когда я могу поставить всё что нужно через пакетный менеджер. Мне imagimagic нужен, bash, android-ndk, grep.
Понятия не имею о каких инструментах разработки вы говорите, но явно не о тех, что используются в разработке.
Все перечисленное вами кроме докера есть под виндой уже давно.
Вот только устанавливать это не удобно, обновлять это не удобно, пользоваться этим не удобно. Что бы это можно было запускать из консоли, нужно для каждой программы прописать PATH в переменные окружения.
Ну и часто ли вам надо обновлять grep?
А в PATH установщики пути сами пропишут. Обычно на винде наоборот проблема — как бы все лишнее оттудова убрать…
А в PATH установщики пути сами пропишут. Обычно на винде наоборот проблема — как бы все лишнее оттудова убрать…
UFO just landed and posted this here
Zsh. Bash просто нарицательное имя.
Но вы мне предлагаете из Windows сделать Linux.
Но я не могу понять — зачем. Какие инструменты мне даст windows?
Главный инструмент вы уже сами назвали, только почему-то предпочли отбросить его. Студия.
Она не перевешивает тех неудобств, которые приходится терпеть на windows.
Что бы подключить библиотеку, нужно её скачать, указать пути к хидерам и dll.
В linux я ставлю нужную библиотеку через пакетный менеджер. Мне не нужно указывать никакие пути, потому что всё стандартизировано. Хидеры всегда кладутся в одно место, *.so в другое. В худшем случае за меня это сделает cmake.
Мне не нужно тащить библиотеки в конечный дистрибутив проекта, потому что я могу собрать пакет и указать в нём его зависимости, которые при установке подтянутся.
Система сборки — qmake, automake, cmake, да даже голый make. Всё это можно легко править руками и всё всегда на виду. Не нужно лазить по сотне окнам, что бы понять например какие флаги включены или какие библиотеки подключены.
А что даёт мне студия? Файл проекта в xml? Какие у неё преимущества относительно QtCreator, KDevelop или CLion?
Что бы подключить библиотеку, нужно её скачать, указать пути к хидерам и dll.
Устаревшая информация, для этих целей давно есть nuget.
В худшем случае за меня это сделает cmake.
Именно по этому в виденных мною cmake-файлах километровые конфиги вида "попробуй искать этот файл вот здесь, вот здесь и вот здесь"? :-)
Мне не нужно тащить библиотеки в конечный дистрибутив проекта, потому что я могу собрать пакет и указать в нём его зависимости, которые при установке подтянутся.
Мы все еще говорим о терминалах? Сколько приложений вы туда собираетесь устанавливать? Конкретно для этой задачи выбор куда класть библиотеку — в системную папку или в папку приложения — не имеет смысла.
Не нужно лазить по сотне окнам, что бы понять например какие флаги включены или какие библиотеки подключены.
Там не "сотня окон", а всего одно. Но если вам настолько не нравится GUI — всегда можно открыть файл проекта в текстовом редакторе и все увидеть.
А что даёт мне студия? Файл проекта в xml? Какие у неё преимущества относительно QtCreator, KDevelop или CLion?
С перечисленными вами IDE не работал, потому что ушел с линуксов и из C++ в то время когда про них мало кто слышал. так вот, в то время главным преимуществом студии был тот факт что она… просто работала! Можно было просто создать проект и без плясок начать писать код! Не надо полдня составлять makefile, а потом еще два дня править в нем ошибки...
PS
Она не перевешивает тех неудобств, которые приходится терпеть на windows.
Так сразу и пишите: вам просто не нравится windows. Потому что, представляете, есть те кто windows использует, а не "терпит".
У меня вот с Убунтой как-то не срослось — но я же не выдумываю как на линуксе все плохо и как линуксоиды там страдают?..
Можно попросить раскрыть мысль? Интересует как так сделать такое на примере ubuntu 1604. Понимаю, что диск можно зашифровать, но куда положить ключ и как его передать, чтобы не перехватили? Предполагаю, что пользователь может иметь доступ к мат.плате, к её разъемам, но деструктивные действия с ней делать не будет.
Я недавно видел на каком-то терминале вывод терминала линуха… Боюсь не в винде дело…
Я не эксперт в области информационной безопасности и не могу судить о том, какой урон может нанести эта «фича», но, судя по вялой реакции — никакой.
Судя по тому что там написано «завершение сеанса Администратор», то урон может быть самый серьёзный, но конечно это может быть обычная учётная запись с сильно урезанными правами и названием администратор.
сообщаю о весёлой акции «СберШифт»Очень звучное название уязвимости)
Удачное название уязвимости — уже половина дела того, чтобы о ней заговорили, или хотя-бы запомнил. Вспомните hearthbleed, wannacry итп. Всегда удивлялся, как придумывают такие интересные названия)
Надеюсь что там отработан сценарий «а что если клиент получит доступ к по системы». По крайней мере, это первое что приходит на ум, если бы я делал что-то подобное.
UFO just landed and posted this here
Не про Сбер, но лет десять назад я так же попал в один терминал. Ради интереса начал смотреть, что интересного есть. В списке последних программ была «тестирование биллассептора», запустилась… А там кнопка — очистить. Ну терминал все из себя и «очистил» мне в руки. Долго думал что делать, сдержался — не сбежал. Позвонил, дождался, объяснил, банкноты все сдал, при мне сверку сделали, посчитали. На работу потом взяли.
А где устанавливаются терминалы Сбербанка с полноразмерной клавиатурой? Я припоминаю что-то похожее только в отделениях, так там менеджер рядом почти всегда.
Почему на терминалах ставят так часто винду? В чем проблема поставить в качестве платформы *nix систему, есть какая-то сакральная причина использовать винду с ее вытекающими?
Думаю, что лень переписывать софт. Или это будет дорого стоить.
Тогда нужно будет для их обслуживания нанимать людей, умеющих в линукс. А им и платить больше надо. А так наняли студентов, умеющих со ZverCD винду накатить — и все в выигрыше.
Куча банковского железа имеет драйвера только под винду, включая многое из того, что используется в банкоматах и терминалах. Даже если конкретный терминал не требует винды, то нужны будут отдельные админы, умеющие в линукс, нужно будет развернуть сеть мониторинга и удалённого доступа для линукса, и изучить все грабли, на которые на линуксе можно наступить.
Ко всему прочему могут вылезти требования к сертификации конкретного аппаратно-программного комплекса, а также переписывания используемого ПО на линукс, что добавит ещё кучу головной боли и затрат…
Ко всему прочему могут вылезти требования к сертификации конкретного аппаратно-программного комплекса, а также переписывания используемого ПО на линукс, что добавит ещё кучу головной боли и затрат…
Я был на встрече с Евгением Касперским в стенах МГУ, осень 2015-го. Посчастливилось задать ему вопрос (тянул руку минут 40 :)) Он говорил в своей речи, что львиную долю деятельности во времена становления компании составляла защита банкоматов. Поэтому, я просил: «Если бы банкоматы были бы не на Windows, а на более безопасность-ориентированной системе (не ограничиваясь, к слову, UNIX'ами), то были бы технические и маркетинговые аспекты деятельности компании в те времена другими?» И надо сказать, ответил он на этот вопрос так, будто он был самым несерьезным их всех (самым-самым вопросом он назвал «Почему вы любите Камчатку?»), ответ был оочень коротким, в отличие от остальных ответов. Но не о том речь. Ответ был: «Разумеется, нет, вы же не думаете, что Windows взломать проще, чем… Android?» (вольная интерпретация ответа). К чему клоню? Это либо некомпетентность (во что я слабо верю, сами знаете, где Е.К. учился). Значит, это не из области логики, а… Маркетинга, бизнеса?..
P.S. ИМХО.
P.S.2. Я не считаю, что взломать Android сложнее, именно поэтому я считаю ответ странным. Я ведь спросил о реально специализированных системах…
P.S. ИМХО.
P.S.2. Я не считаю, что взломать Android сложнее, именно поэтому я считаю ответ странным. Я ведь спросил о реально специализированных системах…
P.S.2. Я не считаю, что взломать Android сложнее, именно поэтому я считаю ответ странным. Я ведь спросил о реально специализированных системах…А его ответ был как раз разумным, так как в банкоматах перешли с «реально специализированных систем» на Windows потому, что дешевле. Был бы не Windows, а Android — перешли бы на Android.
Потому что не в винде проблема, а в тех, кто ее готовит. Стоял бы там линукс — ну с таким отношением к делу там терминал горячими клавишами запустить можно было бы, или при перезагрузке в GRUB пошалить или еще что-то. Винду можно неплохо защитить, просто надо знать, уметь и, главное, хотеть.
Потому, что у банка нет целей защитить деньги от кражи. Ну точнее от совсем наглой они конечно защитят, а вот что похитрее уже будет проблемой клиента. Сколько уже историй на эту тему было. Сейчас цель банков собрать с клиентов деньги путём хитрых договоров, а в случаи каких проблем перевести стрелки опять на клиента. В этом не слишком сложном бизнес-плане нету просто места для ИБ. Ну а производителям банкоматов и софта для них, какой резон заниматься тем, что сами банки не интересует? Вот и клепают под Win.
Не ходивара ради (на дэсктопе сам в Visual Studio пописываю, и на копроративном сервере Windows Server мне кажется почти незаменимым), но реально любопытно: а зачем вообще люди в наше прогрессивное время используют винды на терминалах/банкоматах? Почему не вбабахать какой-нибудь ARM SoC c Linux или BSD и не избавить себя от кучи подобных приколов, всяких WannaCry/Petya и тому подобного?
Софт потому что
А почему вендоры не напишут соответствующий клиентский софт под перспективную платформу? Ничего безумно сложного, мне кажется, в этом нет. Таки никому не нужно? Даже после «Пети» не задумался никто?
Потому что безопасность. Вернее цирк вокруг безопасности.
Любое изменение требует кучи бумаг, потому принцип работает — не трогай незыблем.
Когда-то давно, когда софт на базе CP/M и DOS использовался это даже, возможно, и работало (так как кода мало, новых ошибок не вносились, а многомесячное тестирование позволяло известные дыры отловить), но потом произошел переход на OS/2 и Windows… А подход не изменился…
Любое изменение требует кучи бумаг, потому принцип работает — не трогай незыблем.
Когда-то давно, когда софт на базе CP/M и DOS использовался это даже, возможно, и работало (так как кода мало, новых ошибок не вносились, а многомесячное тестирование позволяло известные дыры отловить), но потом произошел переход на OS/2 и Windows… А подход не изменился…
Вероятно, тут как с часами: пока работает — не лезь.
Большое кол-во периферийных устройств — драйвера. Нижний уровень ПО — слой производителя. ПО верхнего уровня — масштабный проект не на один год с отладкой и доводкой. Отдельные центральные отделы ИТ со знанием никс. Поддержка на местах — тысячи техников со знанием никс. Готовы инвестировать в это повышением стоимости услуг банком?
Потому что доля терминалов на линуксе или любой другой ос либо мала, либо составляет 0,00%. От того и не пишут. От того что терминалы это расходы В первую очередь они нужны клиентам больше чем банку ( мое имхо строго). Переводить на другой софт это затраты, вендоры не продают их как хлеб, их конечно периодически меняют, т.к. что-то устаревает, та же винда были банкоматы на XP. Если мне память не изменяет, то согласно требованиям pci dss необходимо использовать ОС и ПО которое сопровождается, выпускаются обновления для устранения уязвимости. Сейчас требование как минимум windows 7 ( до тех пор пока она поддерживается Microsoft'ом
UFO just landed and posted this here
Да, только это отдельная ос так и называется Windows XP Embedded, хоть и построено на одном ядре и технологиях, фактически отдельная ос, которую Microsoft поддерживает, а windows XP pro нет. В банкоматах которые использовались нашим банком стояла XP pro. Всех подробностей не скажу, т.к. не мое направление, но была в итоге замена банкоматов, на которых стоят Windows 7 pro. Почему не используют embedded не знаю.
У меня в Сбербанк онлайн около 30 минут не пересчитывается баланс, когда приходит внешнее пополнение. При этом в истории платежей показывается, что да, был платеж.
При этом тысячи человек работают в Сбертехе. Что они там делают?
При этом тысячи человек работают в Сбертехе. Что они там делают?
При этом тысячи человек работают в Сбертехе. Что они там делают?Уж точно не сбербанк онлайн.
P.S. Надо понимать, что современная финансовая система устроена очень и очень странным способом. Вот всё то, что вы видите — банкоматы, Сбербанк онлайн и прочее — это всё проходит чуть ли не по категории «реклама». Так как прибыли не приносит. Прибыль приносят разная активность на бирже и работа с крупными клиентами. И вот там как раз и концентрируются умные люди с достаточной компетенцией.
Вот всё то, что вы видите — банкоматы, Сбербанк онлайн и прочее — это всё проходит чуть ли не по категории «реклама». Так как прибыли не приносит.
Пруф?
Вы не правы, прибыль там есть и не малая. Банкоматы, СбербанкОнлайн и прочее является дополнительным стимулом нести деньги в банк, а также пользоваться банковскими картами (Visa, Mastercard и пр.) — банки имеют не плохую комиссию с торговых точек. Не даром карты предлагают на каждом углу, а если карта кредитная/овердрафтная, то банк вообще в шоколаде. В случае дебетовой карты рисков для банка тут вообще нет, а в случае кредитной — они перекрываются грабительскими процентами.
Вы не правы, прибыль там есть и не малая.Хде?
Банкоматы, СбербанкОнлайн и прочее является дополнительным стимулом нести деньги в банк, а также пользоваться банковскими картами (Visa, Mastercard и пр.)Ну дык эта. Если что-то само по себе прибыли не приносит, но убеждает клиента пользоваться чем-то другим — то это должно входить в категорию «реклама» — разве нет?
банки имеют не плохую комиссию с торговых точек.Банки имеют комиссию с торговых точек, банки могут использовать деньги, которые граждане разместили на депозитах для выдачи кредитов и прочая — но сами по себе онлайн-услуги денег приносят не так много, а банкоматы — так и вообще как бы не убыточны.
Какое отношение имеет комиссия с торговых точек к банкоматам.
Ну так прибыль нельзя считать. Это неотъемлемая часть банковской деятельности.
Если что-то само по себе прибыли не приноситЕсли следовать вашей логике, то выдача кредита — тоже прибыли не приносит, и еще загоняет банк в минус(на какое-то время).
А вот погашение кредита и процентов — вот тут уже прибыль появляется: «А давайте сосредоточимся на сборе платежей за кредиты, но не будем их выдавать!»
У вас логика хромает.
Выдача кредита — штука сложная и опасная, но без этого нельзя собрать платежи. Никак.
А вот без банкоматов — можно. Без онлайн-банка — тоже можно. Да даже и без карточек, с одной «сберкнижкой» — тоже!
А давайте сосредоточимся на сборе платежей за кредиты, но не будем их выдавать!Откуда возьмутся платежи, если у вас нет кредитов?
Выдача кредита — штука сложная и опасная, но без этого нельзя собрать платежи. Никак.
А вот без банкоматов — можно. Без онлайн-банка — тоже можно. Да даже и без карточек, с одной «сберкнижкой» — тоже!
но без этого нельзя собрать платежи. Никак.Если очень надо, то можно, и способов не один.
1) можно выкупить действующие кредиты у других банков. Обычно выкупают просроченные кредиты с большим дисконтом, скажем за 1% или 5% от суммы долга. Получается кредит не выдавали, а проценты забираем. Вполне вписывается под вашу логику зарабатывания денег только на том, что даёт прибыль.
2) можно купить/поглотить банк. В таком случае, все обязательства банка перед клиентами, и клиентов перед банком переходят новому владельцу. Кредит банк выдавал? -нет. Доход с процентов получает? Да.
3) лень дальше кормить тролля
Вопрос успешности и доходности такого мероприятия мы выносим за рамки этого обсуждения, ведь вы сами вынесли за рамки то, что банку не нужен мобильный банк, карты итд…
У вас логика хромает
И нет у меня проблем с логикой, это вам нужно расширять свой кругозор, прежде чем троллить.
А вот без банкоматов — можно. Без онлайн-банка — тоже можно. Да даже и без карточек, с одной «сберкнижкой» — тоже!что-то вы рано остановились. Расширяем кругозор — можно вообще без банка обходиться! Зачем нам банк, если можно деньги наличкой носить, зарплату просить выдавать наличкой! Тогда и сбер не нужен!
Если что-то само по себе прибыли не приносит, но убеждает клиента пользоваться чем-то другим — то это должно входить в категорию «реклама» — разве нет?
Очень напоминает рассуждения менеджмента в организации, где я когда-то работал, — те на полном серьёзе попрекали айтишников, что ИТ-департамент не приносит никакой прибыли, чисто расходное подразделение и его вообще чуть ли не из милости содержат.
И менеджмент был, в общем-то прав. ИТ-подразделение, если только фирма не ИТ-шная и услуги ИТ не продаёт, это — вспомогательное подразделение.
Ни о какой «благотворительности» речь не идёт, конечно, ИТ-подразделение экономит работу многих тысяч человек, которых бы пришлось нанять, если бы не было компьютеров.
Но прибыли оно не приносит, да.
Ни о какой «благотворительности» речь не идёт, конечно, ИТ-подразделение экономит работу многих тысяч человек, которых бы пришлось нанять, если бы не было компьютеров.
Но прибыли оно не приносит, да.
Это вопрос терминологии — если сэкономили время людей, те работают более эффективно, приносят больше прибыли. Т.е. уволить ИТ в таком случае — это прийти к недополученной прибыли.
Т.е. уволить ИТ в таком случае — это прийти к недополученной прибыли.Совершенно верно. Но считать тут нужно всегда в терминах основной деятельности. То есть не «мы запустили 10 серверов, ура», а «наши 10 серверов позволили нам обработать тем же составом в 10 раз больше бумажек, радуйтесь».
А если выши «улучшения» так и не вылились в что-то, заметное вне ИТ-отдела, то за что вам, собственно, деньги платят?
Напрямую не приносит, но глупо этим попрекать айтишников, или считать, будто ИТ неважно.
У каждого продажника на рабочем столе стоит компьютер, с клиентами они общаются по электронной почте и телефону, всё это тесно завязано на 1С.
Но деньги, конечно же, продажник приносит сам по себе, а ИТ-департамент в этом вообще никак не участвует!
У каждого продажника на рабочем столе стоит компьютер, с клиентами они общаются по электронной почте и телефону, всё это тесно завязано на 1С.
Но деньги, конечно же, продажник приносит сам по себе, а ИТ-департамент в этом вообще никак не участвует!
Но деньги, конечно же, продажник приносит сам по себе, а ИТ-департамент в этом вообще никак не участвует!Если ИТ-отдел не докажет отбратно, то так и будет считаться.
Посчитайте алтьтернативу (если вместо электронной почты и телефона будет использоваться, скажем, сервисы Гугла) и сравните. Экономия — это ваши достижения, не забывайте о них напоминать…
Не приносит дохода, но прибыль это разность между доходами и расходами, а не доход. "Вспомогательные подразделения" обычно сокращают расходы, а не генерируют доходы, но прибыль они приносят. А без некоторых таких подразделений типа бухгалтерии, законная деятельность вообще была бы невозможна.
Вот это — замечание по делу, да. Извиняюсь, ошибка-то детская.
Но всё остальное словоблудие… На Хабре… типа «элитном ресурсе»… начинаешь разочаровываться в человечестве…
Но всё остальное словоблудие… На Хабре… типа «элитном ресурсе»… начинаешь разочаровываться в человечестве…
Добавлю, что вспомогательные подразделения не только сокращают расходы, но и могут создавать новые потенциалы для получения доходов.
Многие приносящие деньги процессы без ИТ не то, что стали бы более затратными, а вообще не смогли бы работать.
Многие приносящие деньги процессы без ИТ не то, что стали бы более затратными, а вообще не смогли бы работать.
Большинство проблем в организации начинается после слов: «Давайте уволим админа, у нас все равно ничего не ломается, а он только сидит, нифига не делает и получает зарплату»
Даже интересно стало, а что является основным/вспомогательным в строительной фирме например?
Вот водители — они же не строят дома? Проектировщики — туда же? Сметчик, бухгалтер… Да что бухгалтер — директор! Директор же не приносит прибыли и не строит дома, дармоед!
Остается только строительная бригада. Но бригада эта тоже не приносит деньги, если не водителя, сметчика, бухгалтера, проектировщика и директора.
Если говорить по существу и про ИТ, то (как не раз обсуждалось на хабре) если ИТ встроен в бизнес-процесс — занимается автоматизацией, интеграцией, то это уже совсем не вспомогательное подразделение.
Вот водители — они же не строят дома? Проектировщики — туда же? Сметчик, бухгалтер… Да что бухгалтер — директор! Директор же не приносит прибыли и не строит дома, дармоед!
Остается только строительная бригада. Но бригада эта тоже не приносит деньги, если не водителя, сметчика, бухгалтера, проектировщика и директора.
Если говорить по существу и про ИТ, то (как не раз обсуждалось на хабре) если ИТ встроен в бизнес-процесс — занимается автоматизацией, интеграцией, то это уже совсем не вспомогательное подразделение.
Деньги приносят только риэлтеры. Все остальное только убытки (сарказм).
Остается только строительная бригада. Но бригада эта тоже не приносит деньги, если не водителя, сметчика, бухгалтера, проектировщика и директора.Прекрасно приносит. Шабашники вполне себе строят (по крайней мере строили в прошлом) дома без водителя, сметчика, бухгалтера, проектировщика и директора.
Другое дело, что размер домов и их качество при наличии только строительной команды — ограничены. С недавних пор — и законом запрещено дома строить без соблюдения определённых процедур.
Но даже после всего этого — вспомогательные службы не приобретут одинаковый статус: команда, показывающая красивые модельки потенциальным покупателям, вроде как, совсем «к делу не относится», но прибыль увеличивает куда сильнее, чем любой, самый грамотный сметчик…
Сбебанк онлайн делали изначально 5 человек.
На презентации одного из именитых мировых производителей СХД нам рассказывали, что из всей России только Сбербанк из-за огромных нагрузок на свои базы данных заказывает самые топовые железки всех вендоров за квинтильёны денег. Видимо, и в вашем случае какие-то затыки с производительностью.
Греф занят блокчейном и бигдатой, ему не до этой ерунды)
Тоже смотрел этот терминал, там клавиатура такая же, как в МФЦ (правда, у нас в городе стоят немного другие терминалы, с трекболом) (см. пост), но сам терминал настроен значительно лучше. У меня получилось свернуть приложение чем-то вроде Ctrl+F4, но добиться чего-то большего, к сожалению, не удалось.
Даже если ничего нельзя записать/запустить на таком банкомате, его можно банально выключить (пуск -> завершение работы).
«Не нужны сегодня программисты. У нас огромное количество программистов, с которыми мы боремся» © Греф.
Самая мякотка, что функция sticky keys в старых виндах (включая 2003) реализована через отдельный исполняемый файл sethc.exe, который запускается после пяти нажатий на шифт; Эта волшебная функциональность работает даже на экране логина, причем на экране логина она запускается от администратора системы. Если подменить экзешник (будет ругаться SFC) или, что более правильно — назначить свой экзешник как дебаггер для sethc.exe через Image File Execution Options, то можно сделать мегабэкдор. С тех пор, как я как-то раз нашел у клиента такую штуку, всегда по инерции на экране логина пять раз жму шифт :)
В старых? Да вроде по сей день так же и работает.
Если подменить экзешник (будет ругаться SFC)
Дык для этого сначала нужно получить привилегии администратора в системе, либо получить физический доступ и подменить exe, загрузившись с внешнего носителя. Если у вас есть такие возможности, зачем вообще возиться с подменой файлов?
На экране логина можно в новых системах вызвать utilman.exe, отвечающий за специальные возможности (голосовой диктор, лупа и т.д.). Всё тот же трюк с подменой работает даже в последней десятке.
Это все интересно, но… Я хожу по своему городу и вижу у некоторых (многих) банкоматов, что ИБП стоят снаружи… Видимо не влезли по габаритам.
А мне как раз бесперебойник хочется на Новый Год.
А мне как раз бесперебойник хочется на Новый Год.
Ну сказал же Греф, что закончился век программистов. А вы все лезете и лезете!
Греф. «Программисты не нужны, мы с ними боремся.»
Сейчас на банкоматах в бол-ве случаев стоит Windiws Embedded edition, т.к. верно многие знающие люди подметили это банально выгоднее бизнесу. НЕ надо перепиливать кучу софта, драйверов и прочее, а также повышать квалификацию персонала.
Кто до сих пор не понял, почему там не никсы, тот либо троллит, либо просто идиот.
> НЕ надо перепиливать кучу софта
Какого софта? На банкоматах софт специализированный. Выбор платформы должен осуществляться, когда этот софт начинают пилить.
> драйверов и прочее
То же самое. Железо специализированное, драйвера пишет (заказывает), скорее всего, производитель железа. Почему производитель железа выбрал винду, хотелось бы, конечно, его мнение услышать.
> а также повышать квалификацию персонала.
Какого именно персонала? Банкоматы обслуживают эникейщики с квалификацией «поставить офис, заменить картридж»? Нет, ну я допускаю, конечно, что может быть и такое. Но в этом случае у банкоматов с безопасностью явно проблемы более серьёзные, чем используемая ОС.
Какого софта? На банкоматах софт специализированный. Выбор платформы должен осуществляться, когда этот софт начинают пилить.
> драйверов и прочее
То же самое. Железо специализированное, драйвера пишет (заказывает), скорее всего, производитель железа. Почему производитель железа выбрал винду, хотелось бы, конечно, его мнение услышать.
> а также повышать квалификацию персонала.
Какого именно персонала? Банкоматы обслуживают эникейщики с квалификацией «поставить офис, заменить картридж»? Нет, ну я допускаю, конечно, что может быть и такое. Но в этом случае у банкоматов с безопасностью явно проблемы более серьёзные, чем используемая ОС.
Вы, вероятно, не совсем верно меня поняли.
Я имел ввиду то, что бизнесу невыгодно при сложении всех затрат ставить туда никсы. Софт давно весь написан и работает штатно, эникейщики ка ВЫ выразились «поставить офис, заменить картридж» катаются (на самом деле внутри банкомата не всё так просто, как вам кажется), деньги Сбер получает.
Как только текущие потери начнут превышать заложенные, то Сбер задумается.
Вам так и сообщили, что проблема «зафиксирована». То есть, ничего меняться не будет, всё зафиксировано )
UFO just landed and posted this here
Жизненный опыт показывает, что на обращение через «банки ру» в разы (на порядок, минимум) действеннее, чем звонки по горячим линиям сбера.
Вот хорошая статья. Напоминает события 2013 года… Гиганты любят повыёживаться и потом потерять чуть-чуть миллионов учётных записей пользователей.
Прочитал свой комментарий, понял что он не очень поясняет суть происходящего, того времени. Переписка сохранилась частями, которые я выложил тогда на форуме. Я тогда тоже сильно обозлился и выложил на каком то хакерском форуме. Я тогда не вёл подробности переписок, скринов и т.д. Но факт, есть факт, после окончания выёживания появился и сертификат и замочек.
Добавлю свои 5 копеек: банкоматы стоят на улице или в заведениях. К ним тянется только питание. Соответственно где-то на корпусе прилеплена антенна. Т.е. явно имеется модем. А если есть модем, то скорее всего схема включения такая: Интернет от сотового оператора + VPN. Так что получив доступ к раб.столу вполне возможен сценарий залить чего весёлого через интернет отключив предварительно VPN. Можно в принципе написать какого зловреда ворующего данные карт с целью последующего хищения денег у граждан. Так что ИМХО сама по себе дырка с пятью шифтами уже неприятность, а если добавить абы как настроенное всё остальное, то вырисовывается весьма пугающая картина…
Sign up to leave a comment.
СберШифт: пять раз нажимай и в систему попадай