Дырка в системе безопасности одного из банков Москвы
Случайно нашел дырку в системе безопасности одного из Московских банков, которая позволяет получить полный контроль к данным банкомата, а для более умелых людей думаю и не сложно будет этот банкомат обнулить.
Понятное дело как сознательный человек я этого не делал, а наоборот есть мысль сообщить службе безопасности банка о такой дырке, и о ее последствиях.
Что думаете, сообщать или просто пройти мимо, а если сообщать то просить ли какое-то вознаграждение?
Марсель Тазетдинов, ну, напирать на это не стоит… хотя в начеле можно попробовать двусмсленно вопрос задать… вообще — подобная информация должна быть вознаграждена… ты сделал работу за отдел, который за информационную бесопасность отвечает, и судя по твоему сообщению — они со своей работой не српавились, а бабки получают.
Марсель Тазетдинов, приличный банк? Это как? ))) Есть такая книга — сборник рассказов разных авторов: «Убийства в которые я влюблен». Подборку сделал Альфред Хичкок. Так вот там есть один рассказ как раз про ваш случай, прямо один в один. Называется «Три способа ограбить банк». Обязательно прочтите, весьма поучительно.
обязательно нужно сообщить в систему безопасности банка. Те, в свою очередь, если не дураки, сами предложат либо работу, либо там вклад/кредит на спец. условиях
IT_mm_10, вы что реально в это верите? ничего вам не предложат. мой отец работал в отделе по безопасности. он смог доказать и найти людей, которые вывели десятки млн руб. ему сказали спасибо (на их даже уголовное дело не завели).
Марсель Тазетдинов, я не очень давно плотно общался со службой безопасности 2х банков (по работе :) )
поэтому рискну дать именно такой совет — пройти мимо и забыть
если сообщать, то так, чтобы стало известно как минимум выше, чем службе безопасности — это их недоработка, начнут с самых недорогих методов решения и неподготовленному гражданину (или гражданке) наверняка этого хватит. а за бесплатно сообщить — себя неуважать.
продать уязвимость через руководство либо на сторону
Марсель Тазетдинов, Надеюсь ты с удаленного прокси суда пишешь, а-то может тебя уже сегодня возьмут в разработку"))
Как не будь узнай сколько за эту информацию можно получить с банка, и решай стоит ли связываться.
А на счет налево слить, подумай, Это ты не какой не будь «ИП» шке данные сливаешь)
по опыту могу сказать… сообщай не сообщай всем пох
как народ делает…
шлет письмо в в службу бузопасности и через неделю подробную статью на хабр с резульатами работы службы безопасности…
в течении суток по такой схеме устраняют проблемы
Марсель Тазетдинов, нет… есть 2 типа СБ 1. получив сигнал сразу исправляют, вторые забивают болт на это дело… пока начальство не узнает из газет
вториых — больше
Марсель Тазетдинов, банки точно ничего не заплатят. но вот есть конторы, которые их сертифицируют на соответствие pci dss или просто занимающиеся безопасностью, они могут.
ps: практически все безопасники в банках бывшие сотрудники всяких там фсб и т.п.
напиши www.dsec.ru/
я тебе, как бывший банковский работник говорю: премию тебе дадут может 5тыс рублей )), а скорее всего — ничего. Лучше обратиться к людям, которые могут эти банкоматы обнулять. Только надо будет умело продать инфу, если она конечно стоит этого.
Марсель Тазетдинов, для обращения к руководсву банка, минус мне кажется в том, что ты не знаешь, как в итоге завладеть деньгами. Просто, это был бы значимый аргумент, и тогда тебе либо предложили за деньги все отладить, как надо, либо они сами все сделали заплатив тебе.И главное, думаю в любом случае все вопросы только через руководителей банка, а не через СБ, тогда толку будет больше.
spekyljantka, после письма в СБ, они не включая в это дело руководство первым делом сами начнут искать и исправлять, тогда смысл этого обращения. Только через непосредственное руководство банка надо действовать, тогда не получится все по тихому исправить и избежать наказания за огрехи в работе.
Юлька, банкомат какбы есть обычный компьютер на ОС Windows с некоторыми модулями типа принтера чеков, внешней оболочкой и тп, в общем это обсуждать не имеет смысла. Меня интересовал другой вопрос, который я обозначил, и получил ответы.
«обнулить банкомат» — совсем смешно.
Вы знаете многих производителей банкоматов (железо и софт) в мире, чтобы эта «дырка» была только у обнаруженного?
Почему не в оффтопе тема?
Марсель Тазетдинов, ох как круто. Банкоматы обнулить через дырку «ЯКОБЫ» на сайте?
ну-ну.
Одного из Московских банков.
ну-ну.
на 40 миллионов зелени они разорились, а на 150 тысяч не смогли.
Марсель Тазетдинов, внимательно бред перчитан.
Особенно отрицание «позволяет получить полный контроль к данным банкомата, а для более умелых людей думаю и не сложно будет этот банкомат обнулить.».
Юлька, не позорься.
там обычная Windows XP стоит.
сверху оболочка и драйверы для работы с доп устройствами.
SSH протокол стоит для удалённой работы админов.
сам занимался банкоматами случаем.
даже не думай никуда ничего сообщать.
денег не дадут, а прошлые/будущие проблемы могут повесить.
это россия, дружок!
ЮЛЬКА, хватит позориться, сам ставил ОС на банкоматы NCR.
WIN XP/
обычная виндоус, далее оболочка.
прописываешь адрес, через маршрутизатор, конечно.
ставишь SSH, обучаешь банкомат и дело в шляпе.
Марсель Тазетдинов, мне нет сымсла с вами далее переписываться тут, потому что вы и в технологиях ничего не понимаете. и даже X.25 для вас совсем непонятное.
Марсель Тазетдинов, да! Я не вижу банкомата, на котором картинка написанного скрина.
НЕТ В БАНКОМАТАХ ВИНДОВСА И НЕ МОЖЕТ БЫТЬ ИЗНАЧАЛЬНО.
БАНКИ ДО СИХ ПОР МНОГИЕ ПОЛЬЗУЮТ СТАРЫЙ ПРОТОКОЛ X.25ю
А виндовсы и прочие просто не пользуют.
Марсель Тазетдинов,
1.
2. в РФ ставятся банкоматы 2х фирм, при том одна из них почти монополист.
3. Откровенная бездоказательная чушь в посте написана.
Юлька, еще как есть. Придя как-то снять деньги в сберовский банкомат, узрел нерусифицированную XP со стандартными холмами на рабочем столе. Экран у банкомата не сенсорный, кнопки не работали. Посмотрел, хмыкнул, и пошел к другому банкомату.
Юлька, чтобы он там не нашел — в СБ идти не надо — потом замучают. Там все бывшие «из внутренних органов», так что люди изначально подозрительные и мутные.
Марсель Тазетдинов, нет никакой дырки. И ничего ты не находил.
ТЫ лучше напиши как ты на лоу открыл, на хае закрыл.
Так же без доказательств.
Это будет то же самое.
Если ты не в теме про банкоматы и протоколы обменя данными в межбанке — то советую дальше не тролить.
Я не спец, но прекрасно знаю.
Приведу кучу тех, кто не трейдеры и не на этом сайте, что ты написал бездоказательный бред.
Максимум гугл запустил…
+
0
даже не думай никуда ничего сообщать.
денег не дадут, а прошлые/будущие проблемы могут повесить.
это россия, дружок!
ЮЛЬКА, хватит позориться, сам ставил ОС на банкоматы NCR.
WIN XP/
обычная виндоус, далее оболочка.
прописываешь адрес, через маршрутизатор, конечно.
ставишь SSH, обучаешь банкомат и дело в шляпе!!!
Большая часть банкоматов работает на винде, успокойтесь. Или молчите, если не знаете.
Несмотря на то, что на винде — дать команду на выдачу бабла, минуя команду из центра — практически невозможно.
Не вскрывая корпус — только через кейпад, сенсорный экран и боковые кнопки — модифицировать софт также практически невозможно.
Но снять данные с карточки — обычно как 2 пальца… Особенно не с чипованной.
Товарисч топикстартер. За каждоме «а я могу» обычно рано или поздно приходится ответить!!! Без обид. Вы или, или нетрезв, прошу прощения, или совсем пообщаться нескем на эту тему. Держи при себе, плиз, если не хочешь лишний опыт получать. Денег тебе никто не даст)))конечно))).Ну неужели не догадываешься как оно будет????) Ты еще напиши что бомобочки умеешь делать… Ну… сори… В офтоп в офтоп… офтоп....)))
Сергей Сомов,
Рост ввп за октябрь +3,2% За год рост ВВП 3,8%. Безработица 2% Какой кризис вы о чем?
Производительность труда растет ТОЛЬКО ТОГДА, когда уровень зарплат непомерно высокий и бизн...
Нет, у них никогда не было стадии «все офисы в столице», подобная концентрация типична для сырьевых и коррумпированных систем.
Постепенно из за сверхконцентрации в Москве и жесткой нехватки...
"Т-ТЕХНОЛОГИИ" В III КВАРТАЛЕ ПОЛУЧИЛИ 37,8 МЛРД РУБ. ЧИСТОЙ ПРИБЫЛИ ПО МСФО (ПРОГНОЗ - 30,7 МЛРД РУБ.) «Т-ТЕХНОЛОГИИ» В III КВАРТАЛЕ ПОЛУЧИЛИ 37,8 МЛРД РУБ. ЧИСТОЙ ПРИБЫЛИ ПО МСФО (ПРОГНОЗ ...
ВТБ В ОКТЯБРЕ УВЕЛИЧИЛ ЧИСТУЮ ПРИБЫЛЬ ПО МСФО НА 10,4% Г/Г, ДО 29,7 МЛРД РУБ. - БАНК ВТБ В ОКТЯБРЕ УВЕЛИЧИЛ ЧИСТУЮ ПРИБЫЛЬ ПО МСФО НА 10,4% Г/Г, ДО 29,7 МЛРД РУБ. — БАНК Авто-репост. Читать в блоге &...
Производители крупной бытовой техники поднимают цены в среднем на 10% — Ъ Иностранные и российские производители бытовой техники, такие как Beko, Tefal, Kuppersberg и др., поднимают для торговых сетей...
Дмитрий Панов, ну кстати да…
Экс-председателя правления и секретаря партийного комитета одного из крупнейших банков мира Bank of China (Банк Китая) Лю Ляньгэ приговорили к смертной казни за в...
Или лучше тролить прилюдно?
интересно было — вот ссыль на рассказ кому интересно. сижу сам сейчас читаю)
Нажимаю на вторую страницу, выпадает ошибка «The server encountered an internal error».
вознаграждение тебе никто не даст
а неприятности могут быть в будушем
поэтому рискну дать именно такой совет — пройти мимо и забыть
продать уязвимость через руководство либо на сторону
да и это уже попахивает уголовным делом
Как не будь узнай сколько за эту информацию можно получить с банка, и решай стоит ли связываться.
А на счет налево слить, подумай, Это ты не какой не будь «ИП» шке данные сливаешь)
как народ делает…
шлет письмо в в службу бузопасности и через неделю подробную статью на хабр с резульатами работы службы безопасности…
в течении суток по такой схеме устраняют проблемы
вториых — больше
ps: практически все безопасники в банках бывшие сотрудники всяких там фсб и т.п.
напиши www.dsec.ru/
Случайно, — это главный аргумент ).
А денег за это выбивать — не знаю, имхо нереально.
Денег там тоже не дадут :)
Вы бредите, уважаемый.
Цель Вашу не знаю.
Но с системами банкоматов имею честь общаться.
Даже платежные терминала в большинстве своем сидят на фрибзде.
Вы знаете многих производителей банкоматов (железо и софт) в мире, чтобы эта «дырка» была только у обнаруженного?
Почему не в оффтопе тема?
Еслибы я знал как, то перенес
ну-ну.
Одного из Московских банков.
ну-ну.
на 40 миллионов зелени они разорились, а на 150 тысяч не смогли.
Цель поста не ясна. Что автор этим хотел напыщить на сайте — тоже непонятно.
Что за откровенная фигня написана?
Особенно отрицание «позволяет получить полный контроль к данным банкомата, а для более умелых людей думаю и не сложно будет этот банкомат обнулить.».
Бездоказательно, да ещё и банкоматы с «виндовсом».
Это в ЮМОР надо тут выставлять.
там обычная Windows XP стоит.
сверху оболочка и драйверы для работы с доп устройствами.
SSH протокол стоит для удалённой работы админов.
сам занимался банкоматами случаем.
денег не дадут, а прошлые/будущие проблемы могут повесить.
это россия, дружок!
ЮЛЬКА, хватит позориться, сам ставил ОС на банкоматы NCR.
WIN XP/
обычная виндоус, далее оболочка.
прописываешь адрес, через маршрутизатор, конечно.
ставишь SSH, обучаешь банкомат и дело в шляпе.
www.itsrb.ru/ru/equipment/atms/123
насчет OC Windows в банкоматах, нашел в гугле за 5 минут. Теперь я понимаю откуда берутся дыры, если «специалисты» даже не в курсе вопроса :)
НЕТ В БАНКОМАТАХ ВИНДОВСА И НЕ МОЖЕТ БЫТЬ ИЗНАЧАЛЬНО.
БАНКИ ДО СИХ ПОР МНОГИЕ ПОЛЬЗУЮТ СТАРЫЙ ПРОТОКОЛ X.25ю
А виндовсы и прочие просто не пользуют.
картинка кликабельна
ПРОСТО НЕТ ЕЁ.
1.
2. в РФ ставятся банкоматы 2х фирм, при том одна из них почти монополист.
3. Откровенная бездоказательная чушь в посте написана.
Вы — ТРОЛЬ!
помоему я сразу указал что и как
Банкоматы даже DOS на заре не использовали.
Иначе не путался бы.
Нет ничего. Просто тролит.
В ЖЖ он немного интереснее.
ТЫ лучше напиши как ты на лоу открыл, на хае закрыл.
Так же без доказательств.
Это будет то же самое.
Если ты не в теме про банкоматы и протоколы обменя данными в межбанке — то советую дальше не тролить.
Я не спец, но прекрасно знаю.
Приведу кучу тех, кто не трейдеры и не на этом сайте, что ты написал бездоказательный бред.
Максимум гугл запустил…
третьетрейдер.
МММ взламывай.
Нет открытой позиции — нет ни плюса, ни минуса.
Ломай дальше демобанки и демобанкоматы.
Это не для тролевого поста.
Надеюсь, это не Райффайзен, МДМ, Открытие или ХКБ…
PS
Банкоматов работающих на ОС Windows Embedded в России полным полно.
0
даже не думай никуда ничего сообщать.
денег не дадут, а прошлые/будущие проблемы могут повесить.
это россия, дружок!
ЮЛЬКА, хватит позориться, сам ставил ОС на банкоматы NCR.
WIN XP/
обычная виндоус, далее оболочка.
прописываешь адрес, через маршрутизатор, конечно.
ставишь SSH, обучаешь банкомат и дело в шляпе!!!
Несмотря на то, что на винде — дать команду на выдачу бабла, минуя команду из центра — практически невозможно.
Не вскрывая корпус — только через кейпад, сенсорный экран и боковые кнопки — модифицировать софт также практически невозможно.
Но снять данные с карточки — обычно как 2 пальца… Особенно не с чипованной.