<HELP> for explanation

Блог им. ya-marsel

Дырка в системе безопасности одного из банков Москвы

Случайно нашел дырку в системе безопасности одного из Московских банков, которая позволяет получить полный контроль к данным банкомата, а для более умелых людей думаю и не сложно будет этот банкомат обнулить.

Понятное дело как сознательный человек я этого не делал, а наоборот есть мысль сообщить службе безопасности банка о такой дырке, и о ее последствиях.

Что думаете, сообщать или просто пройти мимо, а если сообщать то просить ли какое-то вознаграждение?

 

Информацию на Хакер.ру!!! если это втб, сбер, или банк Москвы..., если Альфа или другой адекватный… тогда в службу безопасности…
avatar

Макс

Karaya1, там другой банк, по сайту вроде приличный такой :)
avatar

Marsel Tazetdinov

Марсель Тазетдинов, Если приличнй — надо сообщать.
avatar

Макс

Karaya1, а что думаешь насчет вознаграждения? есть смысл просить?
avatar

Marsel Tazetdinov

Марсель Тазетдинов, ну, напирать на это не стоит… хотя в начеле можно попробовать двусмсленно вопрос задать… вообще — подобная информация должна быть вознаграждена… ты сделал работу за отдел, который за информационную бесопасность отвечает, и судя по твоему сообщению — они со своей работой не српавились, а бабки получают.
avatar

Макс

Марсель Тазетдинов, почту на сайте уже не смотрим?
Или лучше тролить прилюдно?
avatar

Юлька

Марсель Тазетдинов, приличный банк? Это как? ))) Есть такая книга — сборник рассказов разных авторов: «Убийства в которые я влюблен». Подборку сделал Альфред Хичкок. Так вот там есть один рассказ как раз про ваш случай, прямо один в один. Называется «Три способа ограбить банк». Обязательно прочтите, весьма поучительно.
avatar

Caylenc

Caylenc, fictionbook.ru/author/dyeniyels_garold_r/tri_sposoba_ograbit_bank/read_online.html?page=1
интересно было — вот ссыль на рассказ кому интересно. сижу сам сейчас читаю)
avatar

Скальпёр

frxmax, щет. Второй странички нет. :)
escoman, почему нет?)
avatar

Скальпёр

frxmax, я не знаю почему нет.
Нажимаю на вторую страницу, выпадает ошибка «The server encountered an internal error».
escoman, странно..)
avatar

Скальпёр

frxmax, классный рассказ!)
avatar

Скальпёр

Марсель Тазетдинов, ну если так — надо его наказать и слить его… сам бы и занялся этим или скажи нам название и мы вместе его опустим…
avatar

mrTrader

мне сообщи бигом!!! ыы шучу)) прикольный ты хакер)!
avatar

Wizard

обязательно нужно сообщить в систему безопасности банка. Те, в свою очередь, если не дураки, сами предложат либо работу, либо там вклад/кредит на спец. условиях
avatar

На Все Плечи

IT_mm_10, вы что реально в это верите? ничего вам не предложат. мой отец работал в отделе по безопасности. он смог доказать и найти людей, которые вывели десятки млн руб. ему сказали спасибо (на их даже уголовное дело не завели).
avatar

Мурен(а)

я бы забил болт и прошел мимо
вознаграждение тебе никто не даст
а неприятности могут быть в будушем
avatar

lambreken

lexakot, у меня тоже некоторые опасения есть поэтому и решил спросить здесь
avatar

Marsel Tazetdinov

Марсель Тазетдинов, я не очень давно плотно общался со службой безопасности 2х банков (по работе :) )
поэтому рискну дать именно такой совет — пройти мимо и забыть
avatar

lambreken

сообщи мне за вознаграждение)
Андрей Шараевский, ахахахха) плюсанул в профиль)
avatar

Marsel Tazetdinov

Марсель Тазетдинов, синхронно с тобой и я плюсанул тебе))
Андрей Шараевский, халявная раздача плюсов? и мне тож плюсаните за компанию! ;))
avatar

lambreken

lexakot, для тебя — все, что скажешь)
Андрей Шараевский, ))))
avatar

lambreken

Хахахах, ещё один пассивный источник дохода.
если сообщать, то так, чтобы стало известно как минимум выше, чем службе безопасности — это их недоработка, начнут с самых недорогих методов решения и неподготовленному гражданину (или гражданке) наверняка этого хватит. а за бесплатно сообщить — себя неуважать.
продать уязвимость через руководство либо на сторону
avatar

ЁR

ЁR, на сторону продавать, естественно, с образовательной целью, а не чтобы кто-то воспользовался в корыстных интересах
avatar

ЁR

ЁR, это слишком сложно) искать покупателя какого-то возможно не существующего, договариваться и т.п.

да и это уже попахивает уголовным делом
avatar

Marsel Tazetdinov

Марсель Тазетдинов, Надеюсь ты с удаленного прокси суда пишешь, а-то может тебя уже сегодня возьмут в разработку"))
Как не будь узнай сколько за эту информацию можно получить с банка, и решай стоит ли связываться.
А на счет налево слить, подумай, Это ты не какой не будь «ИП» шке данные сливаешь)
avatar

F L I N T

Марсель Тазетдинов, можно посоветоваться с касперской-лаб или с этой конторой: www.group-ib.ru/about.html
avatar

ЁR

ЁR, спасибо за ссылку
avatar

Marsel Tazetdinov

Марсель Тазетдинов, ксати отличная контора, присоединяюсь к рекомендациям
avatar

lambreken

передайте данные 123insaider, он проведет расследование и сделает выводы.
avatar

Kyb17

по опыту могу сказать… сообщай не сообщай всем пох
как народ делает…
шлет письмо в в службу бузопасности и через неделю подробную статью на хабр с резульатами работы службы безопасности…
в течении суток по такой схеме устраняют проблемы
avatar

Konstantin

Konstantin, т.е. сначала максимально придают огласку этому чтобы не стать жертвой?
avatar

Marsel Tazetdinov

Марсель Тазетдинов, нет… есть 2 типа СБ 1. получив сигнал сразу исправляют, вторые забивают болт на это дело… пока начальство не узнает из газет
вториых — больше
avatar

Konstantin

ЁR, спасибо за ссылку
avatar

Marsel Tazetdinov

Марсель Тазетдинов, банки точно ничего не заплатят. но вот есть конторы, которые их сертифицируют на соответствие pci dss или просто занимающиеся безопасностью, они могут.
ps: практически все безопасники в банках бывшие сотрудники всяких там фсб и т.п.
напиши www.dsec.ru/
avatar

MaxStark

MaxStark, сотрудники сб банков никакие не бывшие фсб и т.п. Это просто сотрудники сб и все.
avatar

Coxa

Coxa, понятно, что не все. только руководители :D
avatar

MaxStark

Марсель Тазетдинов, если это еще относится к определенной модели типа там ncr или diebold можешь попробовать им сообщить
avatar

MaxStark

Марсель Тазетдинов, семинары вести будешь? )))
BearStrikesBack, )))))
avatar

Marsel Tazetdinov

я тебе, как бывший банковский работник говорю: премию тебе дадут может 5тыс рублей )), а скорее всего — ничего. Лучше обратиться к людям, которые могут эти банкоматы обнулять. Только надо будет умело продать инфу, если она конечно стоит этого.
avatar

Coxa

Coxa, ну это криминал, поэтому не хочу связываться, а вот получить какую-то премию, почемуб нет)
avatar

Marsel Tazetdinov

\\\Случайно нашел дырку в системе безопасности одного из Московских банков\\\
Случайно, — это главный аргумент ).
avatar

Treidun

Treidun, )))))
avatar

Marsel Tazetdinov

Марсель Тазетдинов, думаю они слишком жадные будут чтобы воспринять эту ситуацию адекватно. Действительно лучше стороной )
avatar

Treidun

Treidun, ну банк то московский все таки))
avatar

Marsel Tazetdinov

что за банк?
shark, я бы не хотел говорить какой)
avatar

Marsel Tazetdinov

Я бы написал в СБ банка, если не ответят — статью на хабр.
А денег за это выбивать — не знаю, имхо нереально.
avatar

Александр М

Александр Малофеев, а какой смысл писать на хабр?
avatar

Marsel Tazetdinov

Марсель Тазетдинов, инвайт или карма.
Денег там тоже не дадут :)
Александр Малофеев, аа ну это мне точно не нужно)
avatar

Marsel Tazetdinov

Марсель Тазетдинов, для обращения к руководсву банка, минус мне кажется в том, что ты не знаешь, как в итоге завладеть деньгами. Просто, это был бы значимый аргумент, и тогда тебе либо предложили за деньги все отладить, как надо, либо они сами все сделали заплатив тебе.И главное, думаю в любом случае все вопросы только через руководителей банка, а не через СБ, тогда толку будет больше.
avatar

RRus

Как вариант — написать письмо в службу безопасности, и намекнуть об уязвимости и вознаграждении, либо просто забить и жить спокойно.
avatar

spekyljantka

spekyljantka, после письма в СБ, они не включая в это дело руководство первым делом сами начнут искать и исправлять, тогда смысл этого обращения. Только через непосредственное руководство банка надо действовать, тогда не получится все по тихому исправить и избежать наказания за огрехи в работе.
avatar

RRus

это зачем написано без картинок или доказательств?
avatar

Юлька

Юлька, зачем мне публиковать файлы файлы с чужого компьютера?
avatar

Marsel Tazetdinov

Марсель Тазетдинов, комп и банкомат — это вообще фантастика.
Вы бредите, уважаемый.
Цель Вашу не знаю.
Но с системами банкоматов имею честь общаться.
avatar

Юлька

Юлька, банкомат какбы есть обычный компьютер на ОС Windows с некоторыми модулями типа принтера чеков, внешней оболочкой и тп, в общем это обсуждать не имеет смысла. Меня интересовал другой вопрос, который я обозначил, и получил ответы.
avatar

Marsel Tazetdinov

Марсель Тазетдинов, вы лол в этом вопросе. Нет там ОС Виндовз.
Даже платежные терминала в большинстве своем сидят на фрибзде.
avatar

Юлька

Марсель Тазетдинов, Ты себе уже взял кусок денег? или пустобрёхство непонятное?
avatar

Юлька

«обнулить банкомат» — совсем смешно.
Вы знаете многих производителей банкоматов (железо и софт) в мире, чтобы эта «дырка» была только у обнаруженного?
Почему не в оффтопе тема?
avatar

Юлька

Юлька, дырка в софте банка, а не банкомата.

Еслибы я знал как, то перенес
avatar

Marsel Tazetdinov

Марсель Тазетдинов, ох как круто. Банкоматы обнулить через дырку «ЯКОБЫ» на сайте?
ну-ну.
Одного из Московских банков.
ну-ну.
на 40 миллионов зелени они разорились, а на 150 тысяч не смогли.
avatar

Юлька

БРЕД с непонятной целью, где не упоминается ни банк, ни хотя бы «прикол».
Цель поста не ясна. Что автор этим хотел напыщить на сайте — тоже непонятно.
avatar

Юлька

Юлька, какой-то безсмысленный троллинг, попытка незачлась :)
avatar

Marsel Tazetdinov

Марсель Тазетдинов, *бессмысленный
avatar

Marsel Tazetdinov

Марсель Тазетдинов, нет попвтки. Нет в банкоматах никаких виндовсов. Как и нет никакой дырки на сайте для снятия денег.
avatar

Юлька

Юлька, «Нет в банкоматах никаких виндовсов» дальше не читал.
avatar

Marsel Tazetdinov

Марсель Тазетдинов, Значит дыры в том, что можно снять больше, чем есть на своем счете? или снять с чужих счетов?
Что за откровенная фигня написана?
avatar

Юлька

Юлька, перечитай внимательней пост.
avatar

Marsel Tazetdinov

Марсель Тазетдинов, внимательно бред перчитан.
Особенно отрицание «позволяет получить полный контроль к данным банкомата, а для более умелых людей думаю и не сложно будет этот банкомат обнулить.».
avatar

Юлька

Юлька, не хочу тебя называть некультурными словами.
Бездоказательно, да ещё и банкоматы с «виндовсом».
Это в ЮМОР надо тут выставлять.
avatar

Юлька

Юлька, не позорься.
там обычная Windows XP стоит.
сверху оболочка и драйверы для работы с доп устройствами.
SSH протокол стоит для удалённой работы админов.
сам занимался банкоматами случаем.
avatar

VpnS

даже не думай никуда ничего сообщать.
денег не дадут, а прошлые/будущие проблемы могут повесить.
это россия, дружок!

ЮЛЬКА, хватит позориться, сам ставил ОС на банкоматы NCR.
WIN XP/
обычная виндоус, далее оболочка.
прописываешь адрес, через маршрутизатор, конечно.
ставишь SSH, обучаешь банкомат и дело в шляпе.
avatar

VpnS

Марсель Тазетдинов, мне нет сымсла с вами далее переписываться тут, потому что вы и в технологиях ничего не понимаете. и даже X.25 для вас совсем непонятное.
avatar

Юлька

Юлька,

www.itsrb.ru/ru/equipment/atms/123

Изображение - savepic.su — сервис хранения изображений

насчет OC Windows в банкоматах, нашел в гугле за 5 минут. Теперь я понимаю откуда берутся дыры, если «специалисты» даже не в курсе вопроса :)
avatar

Marsel Tazetdinov

Марсель Тазетдинов, не вижу ничего про банкоматы, а тем более про банки.
avatar

Юлька

Юлька, если ты не видишь перейдя по ссылке большую картинку банкомата и его начинку с указанием софта на котором он работает, я даже не знаю тогда.
avatar

Marsel Tazetdinov

Марсель Тазетдинов, да! Я не вижу банкомата, на котором картинка написанного скрина.
НЕТ В БАНКОМАТАХ ВИНДОВСА И НЕ МОЖЕТ БЫТЬ ИЗНАЧАЛЬНО.
БАНКИ ДО СИХ ПОР МНОГИЕ ПОЛЬЗУЮТ СТАРЫЙ ПРОТОКОЛ X.25ю
А виндовсы и прочие просто не пользуют.
avatar

Юлька

Юлька, ну да, а обеспечение для банкоматов ставится на операционную систему под названием Windows, либо возможно Linux
avatar

Marsel Tazetdinov

Марсель Тазетдинов, ссылку в студию твоего утверждения слабо?
avatar

Юлька

Юлька, Изображение - savepic.su — сервис хранения изображений

картинка кликабельна
avatar

Marsel Tazetdinov

Марсель Тазетдинов, нет тут с банкомата никакой картинки!!!
ПРОСТО НЕТ ЕЁ.
avatar

Юлька

Юлька, тут черным по белому написано на чем этот банкомат работает, если для тебя это не аргумент, то предлагаю на этом остановится.
avatar

Marsel Tazetdinov

Марсель Тазетдинов,
1.

2. в РФ ставятся банкоматы 2х фирм, при том одна из них почти монополист.
3. Откровенная бездоказательная чушь в посте написана.
avatar

Юлька

4. Пост про взлом банка, потом не банка, потом опустошить банкомат, а потом уже не про банк, а про банкоматы.
Вы — ТРОЛЬ!
avatar

Юлька

Юлька, «Случайно нашел дырку в системе безопасности одного из Московских банков, которая позволяет получить полный контроль к данным банкомата»

помоему я сразу указал что и как
avatar

Marsel Tazetdinov

Юлька, Ну конечно. Смысл спорить если не права:) Сам не раз с банкоматами работал. Там ВИНДА!:)
avatar

Gravizapa

Юлька, еще как есть. Придя как-то снять деньги в сберовский банкомат, узрел нерусифицированную XP со стандартными холмами на рабочем столе. Экран у банкомата не сенсорный, кнопки не работали. Посмотрел, хмыкнул, и пошел к другому банкомату.
avatar

Александр

Александр, без картинки с телефона не верю.
avatar

Юлька

Александр, платежный терминал — не банкомат.
Банкоматы даже DOS на заре не использовали.
avatar

Юлька

Юлька, Да ты троль.Теперь я понял.
avatar

Gravizapa

СЛАБО У «Алексей Капускин» тут же на сайте спросить?
avatar

Юлька

Юлька, чтобы он там не нашел — в СБ идти не надо — потом замучают. Там все бывшие «из внутренних органов», так что люди изначально подозрительные и мутные.
zertan, он ничего не нашёл.
Иначе не путался бы.
Нет ничего. Просто тролит.
В ЖЖ он немного интереснее.
avatar

Юлька

Ещё и пдоогнал «другов» минусы ставить, вместо ответов.
avatar

Юлька

Юлька, ))
zertan, я про тоже, не имеет значения что за дырка, как я ее нашел, что она позволяет делать, мне всего-то было интересно мнение, писать в СБ или нет.
avatar

Marsel Tazetdinov

Марсель Тазетдинов, нет, не писать.
Марсель Тазетдинов, нет никакой дырки. И ничего ты не находил.
ТЫ лучше напиши как ты на лоу открыл, на хае закрыл.
Так же без доказательств.
Это будет то же самое.
Если ты не в теме про банкоматы и протоколы обменя данными в межбанке — то советую дальше не тролить.
Я не спец, но прекрасно знаю.
Приведу кучу тех, кто не трейдеры и не на этом сайте, что ты написал бездоказательный бред.
Максимум гугл запустил…
avatar

Юлька

Юлька, «Я не спец, но прекрасно знаю.» — тоже очень аргументированно)))
zertan, могу с личке написать откуда знаю.
avatar

Юлька

zertan, +1))
avatar

Marsel Tazetdinov

Юлька, что я на лоу открыл, а на хае закрыл?)
avatar

Marsel Tazetdinov

Марсель Тазетдинов, вкесь свой пост без картинки.
третьетрейдер.
МММ взламывай.
avatar

Юлька

Юлька, пост купил лоу и на хае закрыл?)
avatar

Marsel Tazetdinov

Марсель Тазетдинов, без картинок ровно такой.
avatar

Юлька

Юлька, требуется отчет о брокера?))))
avatar

Marsel Tazetdinov

Марсель Тазетдинов, *от
avatar

Marsel Tazetdinov

Марсель Тазетдинов, НЕТ ДЕНЕГ — НЕТ ДЫРКИ.
Нет открытой позиции — нет ни плюса, ни минуса.
Ломай дальше демобанки и демобанкоматы.
avatar

Юлька

Юлька, НЕТ ДЕНЕГ — НЕТ ДЫРКИ — гимн феминизма)))
Zertan, ахахахх
avatar

Marsel Tazetdinov

Zertan, я могу в личке отписать откуда знаю и что именно.
Это не для тролевого поста.
avatar

Юлька

Юлька, да мне не принципиально. Что так завелась? Не веришь ему — не верь. Не пиши в этот пост и все )
Zertan, не пишу. всё.
avatar

Юлька

Писать смысла нет, потому:
avatar

Юлька

Юлька, песня хорошая, но ты грубишь малыш )
Zertan, и не надо так оскорблять с намеками.
avatar

Юлька

Юлька, не буду.
Сообщи и не проси вознагрождения.
avatar

pit_trader

вобще-то как минимум все diebold на winxp
avatar

MaxStark

Обязательно сообщить службе внутренней безопасности банка.
Надеюсь, это не Райффайзен, МДМ, Открытие или ХКБ…

PS
Банкоматов работающих на ОС Windows Embedded в России полным полно.
avatar

dx2003

dx2003, неа ниодин из перечисленных, какой-то внутренне московский, у себя в питере этого банка не встречал
avatar

Marsel Tazetdinov

+
0
даже не думай никуда ничего сообщать.
денег не дадут, а прошлые/будущие проблемы могут повесить.
это россия, дружок!

ЮЛЬКА, хватит позориться, сам ставил ОС на банкоматы NCR.
WIN XP/
обычная виндоус, далее оболочка.
прописываешь адрес, через маршрутизатор, конечно.
ставишь SSH, обучаешь банкомат и дело в шляпе!!!
avatar

VpnS

Большая часть банкоматов работает на винде, успокойтесь. Или молчите, если не знаете.
Несмотря на то, что на винде — дать команду на выдачу бабла, минуя команду из центра — практически невозможно.
Не вскрывая корпус — только через кейпад, сенсорный экран и боковые кнопки — модифицировать софт также практически невозможно.
Но снять данные с карточки — обычно как 2 пальца… Особенно не с чипованной.
avatar

Spekyl

Товарисч топикстартер. За каждоме «а я могу» обычно рано или поздно приходится ответить!!! Без обид. Вы или, или нетрезв, прошу прощения, или совсем пообщаться нескем на эту тему. Держи при себе, плиз, если не хочешь лишний опыт получать. Денег тебе никто не даст)))конечно))).Ну неужели не догадываешься как оно будет????) Ты еще напиши что бомобочки умеешь делать… Ну… сори… В офтоп в офтоп… офтоп....)))
avatar

Иванов Иван


Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.

Залогиниться

Зарегистрироваться
....все тэги
Регистрация
UPDONW