B>в данной истории, если это был один человек, все же речь идет о платежном терминале видимо. они есть очень легкие. во
Есть терминалы весом более 140 кг, нифига легкие(хотя есть и 50). Хотя банкоматы еще тяжелее.
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.
UN>Зачем вилкой — фомкой — вы проходили ли когда-нибудь мимо банкоматов, когда там инкассаторы меняли кассеты — толщина дверки порядка 0,5 мм...
UN>Только зачем такие сложности... Большинство банкометов подключено по Wi-Fi сети, которая ломается подменой точки доступа с более сильным сигналом в два счета... Правда банкомат пропадает из сети — но обычно зависшие банкоматы мало кто отслеживает... но достаточно подойти к банкомату что завис — выдернуть их розетки и воткнуть обратно — перезагрузить... с точки зрения системы банкомат на месте... с точки зрения охраны магазина или заведения где он стоит — тоже — после чего ему выдается IP и подключается по удаленному доступу (Remote Desctop или VNC) — дальше запускаются тестовые утилиты, которые есть на каждом банкомате — выключается запись, и дается команда выдать деньги из кассеты... — все это технологические утилиты... все купюроприемники, каточко-приемники и запись видео работают от единой программы и управляются от туда... подходит человек вставляет карту и снимает деньги... — с точки зрения охраны магазина или заведения где он стоит — обыденное дело...
Это, как минимум, надо быть инсайдером, и вообще много знать. Пароль к RDP тот же(хотя для меня удивительно, что вообще доступ к удаленному рабочему столу разрешен — на прошлой конторе работали с терминалами, у нас все управление только по шифрованному каналу с двухсторонней авторизацией, причем ключи меняются каждые сутки — запаришься фейковый сервер делать, а любой ремоут отрублен(точнее, не установлен — Генту же, ssh отрублен, и вообще все порты закрыты наглухо)). Ну и вообще удивляет такое наплевательское отношение к безопасности.
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.
DOO>В общем, не знаю я, что за отмороженный банк ты видал, где такое раздолбайство, но то, что ты пишешь — это нарушение как ЦБшных требований (за что вообще-то и лицензии можно лишиться), так и PCI DSS — за что, теоретически, можно штраф схлопотать нехилый.
Да, про PCIDSS я как-то даже и не вспомнил, мне хватило просто обычной человеческой логики, чтобы ужаснуться такой дырище в банковском софте. Это реально отмороженный банк.
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.
Здравствуйте, Uzumaki Naruto, Вы писали:
UN>Зачем вилкой — фомкой — вы проходили ли когда-нибудь мимо банкоматов, когда там инкассаторы меняли кассеты — толщина дверки порядка 0,5 мм...
Я работал с банкоматами NCR. Толщина дверки там действительно такая, да еще и пластиковая. Вот только за этой дверкой стальная сейфовая дверь 3 класса устойчивости. Там и сталь непростая, болгаркой хрен распилишь. Кстати отсюда и основная масса в банкоматах.
UN>Только зачем такие сложности... Большинство банкометов подключено по Wi-Fi сети, которая ломается подменой точки доступа с более сильным сигналом в два счета... Правда банкомат пропадает из сети — но обычно зависшие банкоматы мало кто отслеживает... но достаточно подойти к банкомату что завис — выдернуть их розетки и воткнуть обратно — перезагрузить... с точки зрения системы банкомат на месте... с точки зрения охраны магазина или заведения где он стоит — тоже — после чего ему выдается IP и подключается по удаленному доступу (Remote Desctop или VNC) — дальше запускаются тестовые утилиты, которые есть на каждом банкомате — выключается запись, и дается команда выдать деньги из кассеты... — все это технологические утилиты... все купюроприемники, каточко-приемники и запись видео работают от единой программы и управляются от туда... подходит человек вставляет карту и снимает деньги... — с точки зрения охраны магазина или заведения где он стоит — обыденное дело...
Каков хитрец -) А в банках сидят олени... Гостевой доступ по VNC открыт, а банкомат выдает даньги, если в терминале набрать "dispense all your money, please".
UN>p.s. Знать как совершить преступление и совершить его — это разные вещи... Я категорически против, что бы кто-то совершал преступление... А вот банкам следует задуматься над тем, что бы защищаться от подобной схемы... UN>p.p.a. А что бы не было искушения — есть еще одна степень защиты — которую я не озвучу х) Что бы не было искушения...
Одна степень защиты? ну ну
Здравствуйте, Eugeny__, Вы писали:
E__>а любой ремоут отрублен(точнее, не установлен — Генту же, ssh отрублен, и вообще все порты закрыты наглухо)).
Генту? Windows XP частенько отсвечивает в банкоматах, с ошибкой какой-нить.
E__>Ты будешь смеяться, но в иных случаях платежный терминал взломать ооочень непросто(степень простоты очень сильно зависит от того, кто владелец данного терминала).
Согласен. Поскольку для терминалов (пока?) нет внешнего регулятора — сами выбирают меры. Для банкоматов есть требования сверху, да и сами банковские работники понимают, что класть пару миллионов в непонятно что — это идиотизм.
E__>Во многих терминалах купюроприемник со стекером для купюр находится в сейфе(который закрывается аппаратным ключем — конечно, опытный взломщик взломает, но станет ли заморачиваться?), и вскрытие крышки самого терминала(она действительно слабенькая) мало что даст. Можно попробовать утянуть сейф, но он очень геморройно отколупывается от корпуса, причем в разных моделях по-разному прикручен(а моделей over 9000), и при этом, сцуко, очень тяжелый.
Ну вот очень много есть моделей, где если сейф и имеется, то это условность одна — там тупо места нет физически нормальный сейф разместить.
Здравствуйте, Eugeny__, Вы писали:
E__>Здравствуйте, bastrakov, Вы писали:
B>>в данной истории, если это был один человек, все же речь идет о платежном терминале видимо. они есть очень легкие. во
E__>Есть терминалы весом более 140 кг, нифига легкие(хотя есть и 50). Хотя банкоматы еще тяжелее.
140 кг, если не прикручен к полу — один человек (без специальной подготовки! Я гарантирую это) сможет его погрузить в машину и увезти.
Здравствуйте, ntp, Вы писали:
ntp>Windows XP частенько отсвечивает в банкоматах, с ошибкой какой-нить.
Обычно ошибка типа "пора бы уже активировать вашу копию Windows"
MC>Я — занимаюсь (правда с перерывами получается).
Вот это как раз и есть самый что ни на есть средний мужчина. Ходил в зал (не всегда), бегает (иногда), делает что-то еще по мелочи (редко).
MC>Так к чему ваш пассаж?
Вот к этому: MC>Ну хз. Вы походу Шварценеггер. Обычный (средний) человек 100 кг штангу от земли не оторвёт
Как раз обычный средний здоровый мужчина (или вы женщин тоже зачем-то включаете) может оторвать от земли бОльшую массу, чем он сам весит. Я свободно оторву от земли 100 кг.. При том что моя спортивная форма, возможно, даже ниже среднего по Австралии — я подтянусь от силы десятка полтора.
Здравствуйте, DOOM, Вы писали:
DOO>Здравствуйте, Uzumaki Naruto, Вы писали:
DOO>>>Есть подозрение, что товарищ Наруто перепутал банкомат и платежный терминал — последний точно хоть вилкой вскрыть можно.
UN>>Зачем вилкой — фомкой — вы проходили ли когда-нибудь мимо банкоматов, когда там инкассаторы меняли кассеты — толщина дверки порядка 0,5 мм... DOO>
DOO>3. Требования, предъявляемые при установке банкоматов
DOO>3.1. Банкоматы могут устанавливаться в помещениях кредитных организаций, в помещениях других предприятий, организаций, учреждений, а также в стенах (проемах) зданий для обслуживания клиентов со стороны улицы.
DOO>3.2. При установке банкомата в помещении кредитной организации дополнительные требования к технической укрепленности этого помещения не предъявляются. Банкомат устанавливается в удобном для обзора и контроля работниками подразделения охраны месте. Сейф в таком банкомате должен иметь класс устойчивости к взлому не ниже I (ГОСТ Р 50862-96), а при круглосуточной работе банкомата — оборудоваться и охранной сигнализацией на “взлом”.
DOO>3.3. При установке банкоматов в других помещениях и в стенах (проемах) их сейфы должны иметь класс устойчивости к взлому не ниже III (ГОСТ Р 50862-96), а также оборудоваться охранной сигнализацией на “взлом”.
DOO>Третий класс взломостойкости означает, что полный доступ к сейфу можно получить только за 2 часа — с фомкой долго будешь ковыряться, так как при испытаниях на взломостойкость доступны и куда более мощные инструменты.
Здравствуйте, Eugeny__, Вы писали:
E__>Здравствуйте, Uzumaki Naruto, Вы писали:
UN>>Зачем вилкой — фомкой — вы проходили ли когда-нибудь мимо банкоматов, когда там инкассаторы меняли кассеты — толщина дверки порядка 0,5 мм...
UN>>Только зачем такие сложности... Большинство банкометов подключено по Wi-Fi сети, которая ломается подменой точки доступа с более сильным сигналом в два счета... Правда банкомат пропадает из сети — но обычно зависшие банкоматы мало кто отслеживает... но достаточно подойти к банкомату что завис — выдернуть их розетки и воткнуть обратно — перезагрузить... с точки зрения системы банкомат на месте... с точки зрения охраны магазина или заведения где он стоит — тоже — после чего ему выдается IP и подключается по удаленному доступу (Remote Desctop или VNC) — дальше запускаются тестовые утилиты, которые есть на каждом банкомате — выключается запись, и дается команда выдать деньги из кассеты... — все это технологические утилиты... все купюроприемники, каточко-приемники и запись видео работают от единой программы и управляются от туда... подходит человек вставляет карту и снимает деньги... — с точки зрения охраны магазина или заведения где он стоит — обыденное дело...
E__>Это, как минимум, надо быть инсайдером, и вообще много знать. Пароль к RDP тот же(хотя для меня удивительно, что вообще доступ к удаленному рабочему столу разрешен — на прошлой конторе работали с терминалами, у нас все управление только по шифрованному каналу с двухсторонней авторизацией, причем ключи меняются каждые сутки — запаришься фейковый сервер делать, а любой ремоут отрублен(точнее, не установлен — Генту же, ssh отрублен, и вообще все порты закрыты наглухо)). Ну и вообще удивляет такое наплевательское отношение к безопасности.
Ну я не инсайдер, а когда у меня банкомат зажевал карточку и завис — я позвонил в отделение одного из банка, меня попросили подойти к сетевому фильтру, выключить его и включить, после чего загрузился Windows Server 2000, человек подключился по Remote Admin с NTLM авторизацией в домене (!!!!) ввел логин и пароль и запустил 3 консольных утилиты, подключающие VPN сеть и потом запустил тестовую утилиту — обращения к картоприемнику, которая показала наличие карточки в приемнике и дал команду выдать карту, после чего запустил утилиту показывающую состояния кассет с деньгами и их номиналы, а среди прочего была кнопочка выдать N купюр с указанием количества... После чего технарь закрыл утилиту и запустил программу что видят все пользователи банкомата на полный экран, которая скрыла панельку Пуск и все запущенные 3 консольные утилиты х)
Насчет ключей и прочего... На банкомате этого же банка на экране с тач-скрином умудрялся вызвать кнопку Пуск... и доползти до утилиты что выдавала деньги... — мне не потребовалось делать никаких хитрых действий — система уже была залогинена, я ничего делать не стал... потому как не хотел совершать преступление.... Единственное что я посмотрел — настройки Wi-Fi — они допускали авторизацию по WCN — т.е. придя с более мощным роутером я мог нажать кнопку получения автопина пока банкомат будет искать сеть и подключить его к своему Wi-Fi...
Здравствуйте, Uzumaki Naruto, Вы писали:
UN>http://www.lenta.ru/news/2012/05/30/office/
И?
5 грабителей.
3.5 часа
2 банкомата и 10 офисов.
Поделились на 3 бригады — 2 на первый банкомат, 2 на второй и один офисы вскрывать.
2 часа работали 2 первых бригады, потом оставшиеся 1.5 часа офисы вскрывали впятером — все сходится
Здравствуйте, ntp, Вы писали:
ntp>Здравствуйте, Eugeny__, Вы писали:
E__>>а любой ремоут отрублен(точнее, не установлен — Генту же, ssh отрублен, и вообще все порты закрыты наглухо)). ntp>Генту? Windows XP частенько отсвечивает в банкоматах, с ошибкой какой-нить.
В банкоматах — да. Да и многие терминалы тоже на винде. У нас ПО было(ну, оно и есть, только меня там уже нет) на жабе, и в принципе, ему пофиг, под чем работать, но винду контора официально не поддерживала, т.е. агенты, желающие ставить себе на винду, делали это на свой страх и риск, и все системные проблемы устраняли своими силами, либо техниками компании за отдельную плату. А так — Генту, ибо для автономной работы 24/7 в качестве системы для терминала оплаты она подходит идеально, в отличие от винды(это десктопная система, и этим все сказано), с которой в таком режиме куча проблем даже если не считать безопасность.
Из банального — при любой проблеме винда выкидывает месседж бокс с ошибкой на экран. Оно надо на терминале?
Ну и еще мы ржали, когда сеть терминалов конкурента подхватила вирусняк(что немудрено — ХР без обновлений и антивируса же), и начала показывать вместо интерфейса пикантные картинки с голыми тетками и призывами зарегиться на порносайте(сайд-эффектом был факт выкачивания сотен мегабайт этих картинок на каждый терминал, что по жпрс влетает в копеечку).
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.
Здравствуйте, DOOM, Вы писали:
DOO>Здравствуйте, Eugeny__, Вы писали:
E__>>Ты будешь смеяться, но в иных случаях платежный терминал взломать ооочень непросто(степень простоты очень сильно зависит от того, кто владелец данного терминала). DOO>Согласен. Поскольку для терминалов (пока?) нет внешнего регулятора — сами выбирают меры. Для банкоматов есть требования сверху, да и сами банковские работники понимают, что класть пару миллионов в непонятно что — это идиотизм.
Да нет смысла в терминалах что-то регулировать. Денег там особо много не бывает(стекеры обычно на 1000 купюр, но это новых, в реале влезает около 800, большинство из которых некрупные, т.е. в кассе продуктового ларька денег больше), да и место расположения играет роль. Уличный лучше защитить, а стоящий посреди торгового центра — никакого смысла.
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.
Здравствуйте, Eugeny__, Вы писали:
E__>Да нет смысла в терминалах что-то регулировать. Денег там особо много не бывает(стекеры обычно на 1000 купюр, но это новых, в реале влезает около 800, большинство из которых некрупные, т.е. в кассе продуктового ларька денег больше), да и место расположения играет роль. Уличный лучше защитить, а стоящий посреди торгового центра — никакого смысла.
Тут уже писали, что делать с ворованным терминалом — формазонский рубль надо делать
А это уже достаточно серьезная угроза — накрутить 5000-кой достаточную сумму где-то в Яндекс.Деньгах недолго, вывести их потом в наличные — тоже быстро, причем если по пути пройти через какой-нибудь paypal или вообще bitcoin — то ищи свищи злоумышленника. Получается, что система электронных денег держится на доверии столь сомнительным девайсам...
Здравствуйте, DOOM, Вы писали:
E__>>Да нет смысла в терминалах что-то регулировать. Денег там особо много не бывает(стекеры обычно на 1000 купюр, но это новых, в реале влезает около 800, большинство из которых некрупные, т.е. в кассе продуктового ларька денег больше), да и место расположения играет роль. Уличный лучше защитить, а стоящий посреди торгового центра — никакого смысла. DOO>Тут уже писали, что делать с ворованным терминалом — формазонский рубль надо делать DOO>А это уже достаточно серьезная угроза — накрутить 5000-кой достаточную сумму где-то в Яндекс.Деньгах недолго, вывести их потом в наличные — тоже быстро, причем если по пути пройти через какой-нибудь paypal или вообще bitcoin — то ищи свищи злоумышленника. Получается, что система электронных денег держится на доверии столь сомнительным девайсам...
Ну, это тоже надо уметь, или украсть терминал с говнокупюроприемником, и без сейфа.
Дело в том, что нормальные купюроприемники не позволяют работу со снятым стекером(хотя можно засовывать по много купюр, открывать стекер(кстати, для этого еще надо сломать замок на нем, они закрываются на ключ, чтобы ушлые инкассаторы не тырили из них деньги), доставать, ставить на место, и по новой). Плюс к этому, снятый стекер без ввода кода инкассатора отображается как серьезный ворнинг в системе менеджмента терминалов(и для таких ворнингов предусмотрена смс-рассылка для тех агентов, которые этого желают), а блокируется терминал за секунды, если владелец понимает, что инкассаторов в это время у терминала быть не должно.
Ну, то есть, если агент не идиот, и нормально подошел к организации дела(нормальный купюрник, а не бу-шное говно из игровых автоматов, сейф, подписан на рассылку ворнингов, а если еще и поставил сигнальную систему, которая отслеживает открывание дверей — то вообще круто, хотя это редко кто делает, но возможность есть), то такая схема с ним не прокатит. Если изначально решил на всем этом экономить — ссзб, как всегда и везде.
Новости очень смешные. Зря вы не смотрите. Как будто за наркоманами подсматриваешь. Только тетка с погодой в завязке.
There is no such thing as a winnable war.
RSD>Каков хитрец -) А в банках сидят олени... Гостевой доступ по VNC открыт, а банкомат выдает даньги, если в терминале набрать "dispense all your money, please".
Здравствуйте, Uzumaki Naruto, Вы писали:
RSD>>Каков хитрец -) А в банках сидят олени... Гостевой доступ по VNC открыт, а банкомат выдает даньги, если в терминале набрать "dispense all your money, please". UN>http://lenta.ru/news/2012/05/31/banco/
