<HELP> for explanation

Блог им. ya-marsel

Дырка в системе безопасности одного из банков Москвы

Случайно нашел дырку в системе безопасности одного из Московских банков, которая позволяет получить полный контроль к данным банкомата, а для более умелых людей думаю и не сложно будет этот банкомат обнулить.

Понятное дело как сознательный человек я этого не делал, а наоборот есть мысль сообщить службе безопасности банка о такой дырке, и о ее последствиях.

Что думаете, сообщать или просто пройти мимо, а если сообщать то просить ли какое-то вознаграждение?

 

Информацию на Хакер.ру!!! если это втб, сбер, или банк Москвы..., если Альфа или другой адекватный… тогда в службу безопасности…
avatar

Макс

Karaya1, там другой банк, по сайту вроде приличный такой :)
Марсель Тазетдинов, Если приличнй — надо сообщать.
Karaya1, а что думаешь насчет вознаграждения? есть смысл просить?
Марсель Тазетдинов, ну, напирать на это не стоит… хотя в начеле можно попробовать двусмсленно вопрос задать… вообще — подобная информация должна быть вознаграждена… ты сделал работу за отдел, который за информационную бесопасность отвечает, и судя по твоему сообщению — они со своей работой не српавились, а бабки получают.
Марсель Тазетдинов, почту на сайте уже не смотрим?
Или лучше тролить прилюдно?
Марсель Тазетдинов, приличный банк? Это как? ))) Есть такая книга — сборник рассказов разных авторов: «Убийства в которые я влюблен». Подборку сделал Альфред Хичкок. Так вот там есть один рассказ как раз про ваш случай, прямо один в один. Называется «Три способа ограбить банк». Обязательно прочтите, весьма поучительно.
Caylenc, fictionbook.ru/author/dyeniyels_garold_r/tri_sposoba_ograbit_bank/read_online.html?page=1
интересно было — вот ссыль на рассказ кому интересно. сижу сам сейчас читаю)
frxmax, щет. Второй странички нет. :)
escoman, почему нет?)
frxmax, я не знаю почему нет.
Нажимаю на вторую страницу, выпадает ошибка «The server encountered an internal error».
escoman, странно..)
frxmax, классный рассказ!)
Марсель Тазетдинов, ну если так — надо его наказать и слить его… сам бы и занялся этим или скажи нам название и мы вместе его опустим…
мне сообщи бигом!!! ыы шучу)) прикольный ты хакер)!
avatar

Wizard

обязательно нужно сообщить в систему безопасности банка. Те, в свою очередь, если не дураки, сами предложат либо работу, либо там вклад/кредит на спец. условиях
IT_mm_10, вы что реально в это верите? ничего вам не предложат. мой отец работал в отделе по безопасности. он смог доказать и найти людей, которые вывели десятки млн руб. ему сказали спасибо (на их даже уголовное дело не завели).
я бы забил болт и прошел мимо
вознаграждение тебе никто не даст
а неприятности могут быть в будушем
avatar

lambreken

lexakot, у меня тоже некоторые опасения есть поэтому и решил спросить здесь
Марсель Тазетдинов, я не очень давно плотно общался со службой безопасности 2х банков (по работе :) )
поэтому рискну дать именно такой совет — пройти мимо и забыть
сообщи мне за вознаграждение)
Андрей Шараевский, ахахахха) плюсанул в профиль)
Марсель Тазетдинов, синхронно с тобой и я плюсанул тебе))
Андрей Шараевский, халявная раздача плюсов? и мне тож плюсаните за компанию! ;))
lexakot, для тебя — все, что скажешь)
Андрей Шараевский, ))))
Хахахах, ещё один пассивный источник дохода.
если сообщать, то так, чтобы стало известно как минимум выше, чем службе безопасности — это их недоработка, начнут с самых недорогих методов решения и неподготовленному гражданину (или гражданке) наверняка этого хватит. а за бесплатно сообщить — себя неуважать.
продать уязвимость через руководство либо на сторону
avatar

ЁR

ЁR, на сторону продавать, естественно, с образовательной целью, а не чтобы кто-то воспользовался в корыстных интересах
avatar

ЁR

ЁR, это слишком сложно) искать покупателя какого-то возможно не существующего, договариваться и т.п.

да и это уже попахивает уголовным делом
Марсель Тазетдинов, Надеюсь ты с удаленного прокси суда пишешь, а-то может тебя уже сегодня возьмут в разработку"))
Как не будь узнай сколько за эту информацию можно получить с банка, и решай стоит ли связываться.
А на счет налево слить, подумай, Это ты не какой не будь «ИП» шке данные сливаешь)
Марсель Тазетдинов, можно посоветоваться с касперской-лаб или с этой конторой: www.group-ib.ru/about.html
avatar

ЁR

ЁR, спасибо за ссылку
Марсель Тазетдинов, ксати отличная контора, присоединяюсь к рекомендациям
передайте данные 123insaider, он проведет расследование и сделает выводы.
avatar

Kyb17

по опыту могу сказать… сообщай не сообщай всем пох
как народ делает…
шлет письмо в в службу бузопасности и через неделю подробную статью на хабр с резульатами работы службы безопасности…
в течении суток по такой схеме устраняют проблемы
avatar

Konstantin

Konstantin, т.е. сначала максимально придают огласку этому чтобы не стать жертвой?
Марсель Тазетдинов, нет… есть 2 типа СБ 1. получив сигнал сразу исправляют, вторые забивают болт на это дело… пока начальство не узнает из газет
вториых — больше
ЁR, спасибо за ссылку
Марсель Тазетдинов, банки точно ничего не заплатят. но вот есть конторы, которые их сертифицируют на соответствие pci dss или просто занимающиеся безопасностью, они могут.
ps: практически все безопасники в банках бывшие сотрудники всяких там фсб и т.п.
напиши www.dsec.ru/
MaxStark, сотрудники сб банков никакие не бывшие фсб и т.п. Это просто сотрудники сб и все.
avatar

Coxa

Coxa, понятно, что не все. только руководители :D
Марсель Тазетдинов, если это еще относится к определенной модели типа там ncr или diebold можешь попробовать им сообщить
Марсель Тазетдинов, семинары вести будешь? )))
BearStrikesBack, )))))
я тебе, как бывший банковский работник говорю: премию тебе дадут может 5тыс рублей )), а скорее всего — ничего. Лучше обратиться к людям, которые могут эти банкоматы обнулять. Только надо будет умело продать инфу, если она конечно стоит этого.
avatar

Coxa

Coxa, ну это криминал, поэтому не хочу связываться, а вот получить какую-то премию, почемуб нет)
\\\Случайно нашел дырку в системе безопасности одного из Московских банков\\\
Случайно, — это главный аргумент ).
avatar

Treidun

Treidun, )))))
Марсель Тазетдинов, думаю они слишком жадные будут чтобы воспринять эту ситуацию адекватно. Действительно лучше стороной )
Treidun, ну банк то московский все таки))
что за банк?
shark, я бы не хотел говорить какой)
Я бы написал в СБ банка, если не ответят — статью на хабр.
А денег за это выбивать — не знаю, имхо нереально.
Александр Малофеев, а какой смысл писать на хабр?
Марсель Тазетдинов, инвайт или карма.
Денег там тоже не дадут :)
Александр Малофеев, аа ну это мне точно не нужно)
Марсель Тазетдинов, для обращения к руководсву банка, минус мне кажется в том, что ты не знаешь, как в итоге завладеть деньгами. Просто, это был бы значимый аргумент, и тогда тебе либо предложили за деньги все отладить, как надо, либо они сами все сделали заплатив тебе.И главное, думаю в любом случае все вопросы только через руководителей банка, а не через СБ, тогда толку будет больше.
avatar

RRus

Как вариант — написать письмо в службу безопасности, и намекнуть об уязвимости и вознаграждении, либо просто забить и жить спокойно.
avatar

spekyljantka

spekyljantka, после письма в СБ, они не включая в это дело руководство первым делом сами начнут искать и исправлять, тогда смысл этого обращения. Только через непосредственное руководство банка надо действовать, тогда не получится все по тихому исправить и избежать наказания за огрехи в работе.
avatar

RRus

это зачем написано без картинок или доказательств?
avatar

Юлька

Юлька, зачем мне публиковать файлы файлы с чужого компьютера?
Марсель Тазетдинов, комп и банкомат — это вообще фантастика.
Вы бредите, уважаемый.
Цель Вашу не знаю.
Но с системами банкоматов имею честь общаться.
Юлька, банкомат какбы есть обычный компьютер на ОС Windows с некоторыми модулями типа принтера чеков, внешней оболочкой и тп, в общем это обсуждать не имеет смысла. Меня интересовал другой вопрос, который я обозначил, и получил ответы.
Марсель Тазетдинов, вы лол в этом вопросе. Нет там ОС Виндовз.
Даже платежные терминала в большинстве своем сидят на фрибзде.
Марсель Тазетдинов, Ты себе уже взял кусок денег? или пустобрёхство непонятное?
«обнулить банкомат» — совсем смешно.
Вы знаете многих производителей банкоматов (железо и софт) в мире, чтобы эта «дырка» была только у обнаруженного?
Почему не в оффтопе тема?
avatar

Юлька

Юлька, дырка в софте банка, а не банкомата.

Еслибы я знал как, то перенес
Марсель Тазетдинов, ох как круто. Банкоматы обнулить через дырку «ЯКОБЫ» на сайте?
ну-ну.
Одного из Московских банков.
ну-ну.
на 40 миллионов зелени они разорились, а на 150 тысяч не смогли.
БРЕД с непонятной целью, где не упоминается ни банк, ни хотя бы «прикол».
Цель поста не ясна. Что автор этим хотел напыщить на сайте — тоже непонятно.
avatar

Юлька

Юлька, какой-то безсмысленный троллинг, попытка незачлась :)
Марсель Тазетдинов, *бессмысленный
Марсель Тазетдинов, нет попвтки. Нет в банкоматах никаких виндовсов. Как и нет никакой дырки на сайте для снятия денег.
Юлька, «Нет в банкоматах никаких виндовсов» дальше не читал.
Марсель Тазетдинов, Значит дыры в том, что можно снять больше, чем есть на своем счете? или снять с чужих счетов?
Что за откровенная фигня написана?
Юлька, перечитай внимательней пост.
Марсель Тазетдинов, внимательно бред перчитан.
Особенно отрицание «позволяет получить полный контроль к данным банкомата, а для более умелых людей думаю и не сложно будет этот банкомат обнулить.».
Юлька, не хочу тебя называть некультурными словами.
Бездоказательно, да ещё и банкоматы с «виндовсом».
Это в ЮМОР надо тут выставлять.
Юлька, не позорься.
там обычная Windows XP стоит.
сверху оболочка и драйверы для работы с доп устройствами.
SSH протокол стоит для удалённой работы админов.
сам занимался банкоматами случаем.
avatar

VpnS

даже не думай никуда ничего сообщать.
денег не дадут, а прошлые/будущие проблемы могут повесить.
это россия, дружок!

ЮЛЬКА, хватит позориться, сам ставил ОС на банкоматы NCR.
WIN XP/
обычная виндоус, далее оболочка.
прописываешь адрес, через маршрутизатор, конечно.
ставишь SSH, обучаешь банкомат и дело в шляпе.
avatar

VpnS

Марсель Тазетдинов, мне нет сымсла с вами далее переписываться тут, потому что вы и в технологиях ничего не понимаете. и даже X.25 для вас совсем непонятное.
Юлька,

www.itsrb.ru/ru/equipment/atms/123

Изображение - savepic.su — сервис хранения изображений

насчет OC Windows в банкоматах, нашел в гугле за 5 минут. Теперь я понимаю откуда берутся дыры, если «специалисты» даже не в курсе вопроса :)
Марсель Тазетдинов, не вижу ничего про банкоматы, а тем более про банки.
Юлька, если ты не видишь перейдя по ссылке большую картинку банкомата и его начинку с указанием софта на котором он работает, я даже не знаю тогда.
Марсель Тазетдинов, да! Я не вижу банкомата, на котором картинка написанного скрина.
НЕТ В БАНКОМАТАХ ВИНДОВСА И НЕ МОЖЕТ БЫТЬ ИЗНАЧАЛЬНО.
БАНКИ ДО СИХ ПОР МНОГИЕ ПОЛЬЗУЮТ СТАРЫЙ ПРОТОКОЛ X.25ю
А виндовсы и прочие просто не пользуют.
Юлька, ну да, а обеспечение для банкоматов ставится на операционную систему под названием Windows, либо возможно Linux
Марсель Тазетдинов, ссылку в студию твоего утверждения слабо?
Юлька, Изображение - savepic.su — сервис хранения изображений

картинка кликабельна
Марсель Тазетдинов, нет тут с банкомата никакой картинки!!!
ПРОСТО НЕТ ЕЁ.
Юлька, тут черным по белому написано на чем этот банкомат работает, если для тебя это не аргумент, то предлагаю на этом остановится.
Марсель Тазетдинов,
1.

2. в РФ ставятся банкоматы 2х фирм, при том одна из них почти монополист.
3. Откровенная бездоказательная чушь в посте написана.
4. Пост про взлом банка, потом не банка, потом опустошить банкомат, а потом уже не про банк, а про банкоматы.
Вы — ТРОЛЬ!
Юлька, «Случайно нашел дырку в системе безопасности одного из Московских банков, которая позволяет получить полный контроль к данным банкомата»

помоему я сразу указал что и как
Юлька, Ну конечно. Смысл спорить если не права:) Сам не раз с банкоматами работал. Там ВИНДА!:)
Юлька, еще как есть. Придя как-то снять деньги в сберовский банкомат, узрел нерусифицированную XP со стандартными холмами на рабочем столе. Экран у банкомата не сенсорный, кнопки не работали. Посмотрел, хмыкнул, и пошел к другому банкомату.
Александр, без картинки с телефона не верю.
Александр, платежный терминал — не банкомат.
Банкоматы даже DOS на заре не использовали.
Юлька, Да ты троль.Теперь я понял.
СЛАБО У «Алексей Капускин» тут же на сайте спросить?
avatar

Юлька

Юлька, чтобы он там не нашел — в СБ идти не надо — потом замучают. Там все бывшие «из внутренних органов», так что люди изначально подозрительные и мутные.
zertan, он ничего не нашёл.
Иначе не путался бы.
Нет ничего. Просто тролит.
В ЖЖ он немного интереснее.
Ещё и пдоогнал «другов» минусы ставить, вместо ответов.
zertan, я про тоже, не имеет значения что за дырка, как я ее нашел, что она позволяет делать, мне всего-то было интересно мнение, писать в СБ или нет.
Марсель Тазетдинов, нет, не писать.
Марсель Тазетдинов, нет никакой дырки. И ничего ты не находил.
ТЫ лучше напиши как ты на лоу открыл, на хае закрыл.
Так же без доказательств.
Это будет то же самое.
Если ты не в теме про банкоматы и протоколы обменя данными в межбанке — то советую дальше не тролить.
Я не спец, но прекрасно знаю.
Приведу кучу тех, кто не трейдеры и не на этом сайте, что ты написал бездоказательный бред.
Максимум гугл запустил…
Юлька, «Я не спец, но прекрасно знаю.» — тоже очень аргументированно)))
zertan, могу с личке написать откуда знаю.
zertan, +1))
Юлька, что я на лоу открыл, а на хае закрыл?)
Марсель Тазетдинов, вкесь свой пост без картинки.
третьетрейдер.
МММ взламывай.
Юлька, пост купил лоу и на хае закрыл?)
Марсель Тазетдинов, без картинок ровно такой.
Юлька, требуется отчет о брокера?))))
Марсель Тазетдинов, *от
Марсель Тазетдинов, НЕТ ДЕНЕГ — НЕТ ДЫРКИ.
Нет открытой позиции — нет ни плюса, ни минуса.
Ломай дальше демобанки и демобанкоматы.
Юлька, НЕТ ДЕНЕГ — НЕТ ДЫРКИ — гимн феминизма)))
Zertan, ахахахх
Zertan, я могу в личке отписать откуда знаю и что именно.
Это не для тролевого поста.
Юлька, да мне не принципиально. Что так завелась? Не веришь ему — не верь. Не пиши в этот пост и все )
Zertan, не пишу. всё.
Писать смысла нет, потому:
Юлька, песня хорошая, но ты грубишь малыш )
Zertan, и не надо так оскорблять с намеками.
Юлька, не буду.
Сообщи и не проси вознагрождения.
avatar

pit_trader

вобще-то как минимум все diebold на winxp
avatar

MaxStark

Обязательно сообщить службе внутренней безопасности банка.
Надеюсь, это не Райффайзен, МДМ, Открытие или ХКБ…

PS
Банкоматов работающих на ОС Windows Embedded в России полным полно.
avatar

dx2003

dx2003, неа ниодин из перечисленных, какой-то внутренне московский, у себя в питере этого банка не встречал
+
0
даже не думай никуда ничего сообщать.
денег не дадут, а прошлые/будущие проблемы могут повесить.
это россия, дружок!

ЮЛЬКА, хватит позориться, сам ставил ОС на банкоматы NCR.
WIN XP/
обычная виндоус, далее оболочка.
прописываешь адрес, через маршрутизатор, конечно.
ставишь SSH, обучаешь банкомат и дело в шляпе!!!
avatar

VpnS

Большая часть банкоматов работает на винде, успокойтесь. Или молчите, если не знаете.
Несмотря на то, что на винде — дать команду на выдачу бабла, минуя команду из центра — практически невозможно.
Не вскрывая корпус — только через кейпад, сенсорный экран и боковые кнопки — модифицировать софт также практически невозможно.
Но снять данные с карточки — обычно как 2 пальца… Особенно не с чипованной.
avatar

Spekyl

Товарисч топикстартер. За каждоме «а я могу» обычно рано или поздно приходится ответить!!! Без обид. Вы или, или нетрезв, прошу прощения, или совсем пообщаться нескем на эту тему. Держи при себе, плиз, если не хочешь лишний опыт получать. Денег тебе никто не даст)))конечно))).Ну неужели не догадываешься как оно будет????) Ты еще напиши что бомобочки умеешь делать… Ну… сори… В офтоп в офтоп… офтоп....)))

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.

Залогиниться

Зарегистрироваться
....все тэги
Регистрация
UP