Что еще за drilled box

Общение на любые темы
Аватара пользователя
ceres
Местный
Сообщения: 160
Зарегистрирован: 15 фев 2014, 00:35
Авто: Lancer 9
Откуда: Ишим

Что еще за drilled box

Непрочитанное сообщение ceres »

https://ria.ru/society/20161018/1479508666.html
Что за дырочка и где сверлить? :-) И что значит: "мгновенно выкачиваются деньги"?
Аватара пользователя
Dan
Нач. отдела
Сообщения: 2817
Зарегистрирован: 29 окт 2010, 00:20
Благодарил (а): 44 раза
Поблагодарили: 96 раз

Re: Что еще за drilled box

Непрочитанное сообщение Dan »

Я тоже об этом спрашивал
http://bankomatchik.ru/forums/53/7044?p=93582#p93582
Scientists study the world as it is, engineers create the world that never has been
Аватара пользователя
ceres
Местный
Сообщения: 160
Зарегистрирован: 15 фев 2014, 00:35
Авто: Lancer 9
Откуда: Ишим

Re: Что еще за drilled box

Непрочитанное сообщение ceres »

Я там не авторизирован...
VIK007
Специалист
Сообщения: 233
Зарегистрирован: 07 ноя 2011, 17:20
Благодарил (а): 7 раз
Поблагодарили: 8 раз

Re: Что еще за drilled box

Непрочитанное сообщение VIK007 »

Dan писал(а):И что значит: "мгновенно выкачиваются деньги"?
Видимо открывается подпространственный канал между сейфом и вашей тумбочкой и они мгновенно выкачиваются.
Тут все в подробностях разжевано --> http://www.yaplakal.com/forum3/topic1473629.html :crazy:
glog
Новичок
Сообщения: 28
Зарегистрирован: 28 апр 2011, 17:58
Благодарил (а): 2 раза
Поблагодарили: 1 раз
Контактная информация:

Re: Что еще за drilled box

Непрочитанное сообщение glog »

ceres писал(а):Что за дырочка и где сверлить?
Тебе это не нужно.
Обратите внимание на цифру в тексте информсообщения. 5 месяцев назад...

Большой передел рынка сервисных услуг.
Похоже, что инженеров, оставшихся без работы, в Сбербанксервис не приняли, а деньги у них закончились.
darkus5410
Местный
Сообщения: 111
Зарегистрирован: 24 ноя 2012, 08:59
Авто: Lada Largus
Откуда: Ростовская область

Re: Что еще за drilled box

Непрочитанное сообщение darkus5410 »

ceres писал(а):Что за дырочка и где сверлить?
Этот способ справедлив только для одной, но довольно известной модели банкоматов fp:|
Примитивнее не придумаешь, затрат минимум. Единственное что меня смущает в нем, так это почему сигнализация не срабатывает :-) Да и по времени он не очень то и быстрый, если банкмат не пустой :shock:
glog писал(а):Похоже, что инженеров, оставшихся без работы
Вот с этим согласен. Способ придуман явно кем-то, кто " в теме" устройства той модели :good:
Аватара пользователя
Ex-OSB2006
Нач. отдела
Сообщения: 1135
Зарегистрирован: 23 авг 2011, 17:39
Благодарил (а): 17 раз
Поблагодарили: 36 раз

Re: Что еще за drilled box

Непрочитанное сообщение Ex-OSB2006 »

А с чего сигналка должна сработать? Только если спец. ПО отслеживает как там устройства поживают...
nc63
Специалист
Сообщения: 329
Зарегистрирован: 17 июн 2010, 22:44
Благодарил (а): 74 раза
Поблагодарили: 9 раз

Re: Что еще за drilled box

Непрочитанное сообщение nc63 »

Ну не такая уж там и мелкая "дырочка". В принципе не сложно "прекратить это безобразие"...Только кому это надо за спасибо? Сигнализаторщикам?
nonpar
Специалист
Сообщения: 272
Зарегистрирован: 30 сен 2011, 15:25
Благодарил (а): 3 раза
Поблагодарили: 15 раз

Re: Что еще за drilled box

Непрочитанное сообщение nonpar »

Эта уязвимость была давно предсказуема; но на практике реализовалась с полгода назад. Касается снятых с производства моделей. Информационные бюллетени (с фотографиями!) соответствующим службам банков рассылали.
nc63
Специалист
Сообщения: 329
Зарегистрирован: 17 июн 2010, 22:44
Благодарил (а): 74 раза
Поблагодарили: 9 раз

Re: Что еще за drilled box

Непрочитанное сообщение nc63 »

nonpar писал(а):Эта уязвимость была давно предсказуема; но на практике реализовалась с полгода назад. Касается снятых с производства моделей. Информационные бюллетени (с фотографиями!) соответствующим службам банков рассылали.
Да.Давно."Чухнулись" наконец-то...Когда в "зад" клюнуло...

Добавлено спустя 7 минут 20 секунд:
Знаешь..У нас как всегда! Спецов,ну там,ядерщиков,биохимиков,подводников..насокращают..Потом--блин! Извиняюсь.."Что за Жопа"!!??.Про 5000 не в курсе ещё? Как ИПТ валиатор "дёшево" нае...ли.. fp:|

Добавлено спустя 3 минуты 49 секунд:
валидатор. "д" хреново нажимается..на Клаве..
acsel
Специалист
Сообщения: 427
Зарегистрирован: 29 дек 2010, 16:35
Благодарил (а): 12 раз

Re: Что еще за drilled box

Непрочитанное сообщение acsel »

Вкратце суть: высверливаем отверстие в сервисной части и подключаемся к USB или шине управления диспенсером. Сигналка такое тупо не отследит, ибо слишком грубая. После чего своим софтом даем команду на выдачу. Задача, скажем так, не очень сложная, особенно для тех, кто в теме. Единственной мерой защиты вижу наложение ЭЦП на команды диспенсеру на выдачу денег, по аналогии с документами в клиент-банке. Вообще беда в том, что промышленное ПО и ПО для железа пишут люди, которые слабовато разбираются в самой разработке ПО, ибо для них важна железяка.
Telo
Местный
Сообщения: 198
Зарегистрирован: 04 фев 2011, 17:22
Авто: 11й автобус
Благодарил (а): 11 раз
Поблагодарили: 3 раза

Re: Что еще за drilled box

Непрочитанное сообщение Telo »

На мой взгляд, журналисты специально не стали употреблять устоявшееся название "black box" и заменили на что-то новое "drilled box", хотя параллели очевидны. Сделали так, чтобы не разводить ещё больше желающих воспользоваться этой уязвимостью. Хотя кто в теме, тот знает.
Про "выкачивание" денег через отверстие - журналисты написали для эффекта, а люди поверили в буквальном смысле, но это метафора)
ganz_golder
Прохожий
Сообщения: 1
Зарегистрирован: 21 окт 2016, 19:05
Авто: форд фокус

Re: Что еще за drilled box

Непрочитанное сообщение ganz_golder »

СБ перестанет эксплуатировать банкоматы 5600 Nautilus Hyosung?
Аватара пользователя
central
Модератор
Модератор
Сообщения: 2087
Зарегистрирован: 20 дек 2010, 04:59
Авто: Майбах
Благодарил (а): 32 раза
Поблагодарили: 90 раз

Re: Что еще за drilled box

Непрочитанное сообщение central »

ganz_golder, причем здесь наутилус 5600?
TROUBLE-SHOOTER
nc63
Специалист
Сообщения: 329
Зарегистрирован: 17 июн 2010, 22:44
Благодарил (а): 74 раза
Поблагодарили: 9 раз

Re: Что еще за drilled box

Непрочитанное сообщение nc63 »

Telo писал(а):Про "выкачивание" денег через отверстие - журналисты написали для эффекта, а люди поверили в буквальном смысле, но это метафора)
:good:
glog
Новичок
Сообщения: 28
Зарегистрирован: 28 апр 2011, 17:58
Благодарил (а): 2 раза
Поблагодарили: 1 раз
Контактная информация:

Re: Что еще за drilled box

Непрочитанное сообщение glog »

acsel писал(а):Единственной мерой защиты вижу наложение ЭЦП на команды диспенсеру на выдачу денег, по аналогии с документами в клиент-банке. Вообще беда в том, что промышленное ПО и ПО для железа пишут люди, которые слабовато разбираются в самой разработке ПО, ибо для них важна железяка.
Почему слабо разбираются?
Инженеры разработчики железа и контрольного софта выполнили все ТУ, которые им дал постановщик задачи. Просто разработчики даже в страшном сне не могли себе представить такое неожиданное стечение обстоятельств, что банкоматы окажутся в России, а инженеры, которые их лет 5 чинили и обслуживали, выкинутыми на улицу без выходного пособия.
А реализовать защиту просто как два пальца. Новая прошивка контроллера с десятком новых строк в коде и диспенсер выдает купюры в тестовом режиме, только после нажатия кнопки на контроллере.
Как собственно и сделано у всех приличных вендеров.
Причем эту "шляпу" показали еще одному менее известному вендеру, который не так давно решил покорить наш рынок. Но там все прониклись и проблему устранили до поставки банкоматов в Россию.

Добавлено спустя 4 минуты 37 секунд:
Россия это вам, ребята, не Африка. :hahaha:

Добавлено спустя 12 минут 13 секунд:
acsel писал(а):своим софтом даем команду на выдачу.
Свой софт у простого жулика ниоткуда не возьмется. Даже если неожиданно вдруг возьмется, типа нетбук инженер просохатил, то с ним (тестовым софтом) надо иметь навык работать. Ка-а-а-нкретный пацан с улицы во всем этом как бык в курятнике.
Так что это сделать мог узко ограниченный круг лиц.
Вычислят и посадят по любому.
Аватара пользователя
ceres
Местный
Сообщения: 160
Зарегистрирован: 15 фев 2014, 00:35
Авто: Lancer 9
Откуда: Ишим

Re: Что еще за drilled box

Непрочитанное сообщение ceres »

glog писал(а):Вычислят и посадят по любому.
Может быть.... Если злоумышленник все еще в пределах компетенции спецслужб.
Bura
Ведущий специалист
Сообщения: 927
Зарегистрирован: 05 фев 2011, 19:40
Авто: citrien c4 cedan
Откуда: Питер
Благодарил (а): 4 раза
Поблагодарили: 20 раз

Re: Что еще за drilled box

Непрочитанное сообщение Bura »

Дело в том что распространяют программу через инет и по левым реквизитам для предоплаты:)))
А те кто реально снимают деньги в принципе как раз научены по инструкции, что и где сверлить и как делать диспенс :)) Да же говорят у овечкина поймали пару людей, а толку:))))Мастерят защиту на системнике, а подключаются то непосредственно к шине контроллера:))
Беда приходит после инкассаторов :))
Перехожу в разряд невидимок, скоро забанят :)) НАВСЕГДА
acsel
Специалист
Сообщения: 427
Зарегистрирован: 29 дек 2010, 16:35
Благодарил (а): 12 раз

Re: Что еще за drilled box

Непрочитанное сообщение acsel »

glog писал(а):Почему слабо разбираются?
Инженеры разработчики железа и контрольного софта выполнили все ТУ, которые им дал постановщик задачи.
Ну это как раз и подтверждает мои слова: слабое понимание предмета. А кто там его слабо понимает - вторично. ПО написано плохо? Плохо. Писал его поставщик. Там есть свои тим лидеры и аналитики, которые должны подобное доносить до ответственных.
glog писал(а):Просто разработчики даже в страшном сне не могли себе представить такое неожиданное стечение обстоятельств, что банкоматы окажутся в России, а инженеры, которые их лет 5 чинили и обслуживали, выкинутыми на улицу без выходного пособия.
Опять же, кривое ПО. В идеале защита должна быть такой, чтобы ее не смог взломать человек, который все о ней знает. Для этого многие вменяемые конторы стараются заиметь себе в штате, грубо говоря, хакеров, цель которых взламывать разрабатываемое ПО, чтобы потом эти дыры можно было залатать. Тут не в том дело, что кто-то на улице оказался. При капитализме каждый сам за себя, бабло - вот главная цель. Остальное - вторично. Это может быть и в России, и в любой другой стране мира. Называется оптимизация расходов.
glog писал(а):А реализовать защиту просто как два пальца. Новая прошивка контроллера с десятком новых строк в коде и диспенсер выдает купюры в тестовом режиме, только после нажатия кнопки на контроллере.
Вот даже Вы чушь пишите: у Вас банкомат в режиме обслуживания клиентов требует нажатия кнопок? Нет. Т.е. злоумышленнику достаточно сымитировать команды штатного ПО банкомата. Насколько я понимаю, в тестовом ПО защита в виде нажатия кнопок/открытых дверей реализована на программном уровне самого этого тестового ПО.
glog писал(а):Свой софт у простого жулика ниоткуда не возьмется. Даже если неожиданно вдруг возьмется, типа нетбук инженер просохатил, то с ним (тестовым софтом) надо иметь навык работать. Ка-а-а-нкретный пацан с улицы во всем этом как бык в курятнике.
Так просто жулик будет банкомат в машину грузить или болгаркой пилить. Это уже не простые жулики, а ребята с мозгами. Тестовое ПО можно достать без проблем, даже на этом сайте выкладывались K-Diag и ATMDesk. А если человек поставит себе задачу найти ПО, то найдет: ATMDesk свободно продается, Doors свободно выкладывает свое тестовое ПО на этом сайте, ATMDesk вроде как свободно продается. Сейчас ломают без проблем кучу софта, а такой софт и подавно хороший спец за хорошие бабки ломанет, бо там защита от дурака по большей части.
Serzh
Новичок
Сообщения: 49
Зарегистрирован: 04 мар 2015, 18:39
Авто: нет

Re: Что еще за drilled box

Непрочитанное сообщение Serzh »

Не забывайте что уязвимость на одной линейке ... Которая уже давно снята с производства... И просто посмотрите когда появились боле менее приличные библиотеки шифрования... Не забывайте что шифровать нужно как со стороны микроконтроллера так и со стороны софта... Здесь кажется получилось что разработчики давно заняты разработкой новых моделей... А петух клюнул на стареньких...
Ответить