Помните одну из тех самых надоедливых возможностей Windows, особенно знакомую геймерам, когда пятикратное нажатие Shift вызывает специальное окошечко, предлагающее включить режим залипания клавиш? Эта «фича» дожила аж до Windows 10, к слову. Ну так вот, я, стоя у терминала Сбербанка с полноразмерной клавиатурой и ожидая ответа оператора по телефону, от скуки решил понажимать этот самый Shift, наивно полагая, что без функциональных клавиш это ни к чему не приведёт. Как бы не так! Пятикратное быстрое нажатие этой клавиши выдало мне то самое окошечко, к тому же обнажив панель задач со всем банковским ПО. Остановив работу пакетного файла (см. панель задач на видео ниже), а затем и всего банковского ПО, можно сломать терминал.
«Такое себе» — подумал я и попытался сообщить о найденной проблеме. Подобное желание у меня возникло впервые, поэтому я не придумал ничего лучше как обратиться к сотруднику Сбербанка с вопросом о том, кому можно сообщить. Девушка довольно неохотно ответила, что она ничего не знает, на вопросы о том, как связаться с начальством, ответила лаконичным молчанием и посоветовала обратиться в службу поддержки по телефону, написанному на самом терминале. Окей, звоним. К сожалению, записи разговора нет, осталась лишь картиночка-скриншот с датой звонка.
В техподдержке приветливая девушка после того, как я сказал, что хочу сообщить об уязвимости, сразу переключила меня на какого-то другого специалиста. Тот сначала спросил как ко мне можно обращаться и номер терминала, затем о сути проблемы, потом я достаточно долго слушал музыку, и, в конце концов, парень сказал, что проблема зафиксирована. На вопрос о том, полагаются ли какие-то бонусы за сообщение о подобных проблемах, он ответил, что такой информацией не располагает. На этом разговор был окончен, однако я решил попытать счастье в третий раз и обратился к девушке, которая помогает клиентам с терминалами. Она тоже посмотрела на выскакивающее окошко, после чего посоветовала позвонить инкассаторам, на просьбу дать их номер я получил невнятные ответы.
Всё это происходило шестого декабря. Спустя две недели я решил проверить, что там с терминалом. Всё-таки, как-никак они сказали, что «зафиксировали» проблему, наверное же должны были её уже устранить, но нет — воз и ныне там, окошко всё так же всплывает. Я не эксперт в области информационной безопасности и не могу судить о том, какой урон может нанести эта «фича», но, судя по вялой реакции — никакой. Посему за фактом бездействия Сбербанка сообщаю о весёлой акции «СберШифт» вам, дражайшие хабровчане.
Комментарии (182)
JohnnyBlack
19.12.2017 11:40+1Я не эксперт в области информационной безопасности и не могу судить о том, какой урон может нанести эта «фича», но, судя по вялой реакции — никакой.
Может быть ничего серьёзного, но даже не с точки зрения безопасности, а с точки зрения типичного наплевательства — наплевали тут, наплюют и где-то ещё, что плюсом «Сбербанку» точно не будет. На такие ситуации им надо реагировать, тем более, что это не автомат с игрушками/конфетами.Loki3000
19.12.2017 11:48Может быть ничего серьёзного
Ну если проявить немного фантазии, то можно что-нибудь придумать. Очевидное решение — загрузить вредоносный код из сети, но для того чтобы он сработал надо представлять как устроена система и вообще это уголовно наказуемо. А вот, скажем, если создать сайт имитирующий интерфейс банкомата, а на банкомате открыть его и развернуть браузер на полный экран, то подобное доказать уже сложнее, как мне кажется. Правда и возможности сильно меньше.JohnnyBlack
19.12.2017 12:27Не думаю, что в банкомат так легко можно было бы что-то загрузить — даже в теории это риск запредельный. Но как-то напакостить можно было бы при желании точно.
VolCh
19.12.2017 13:35Открыть блокнот и набрать :)
MacIn
19.12.2017 20:17В XP можно набрать короткий com файл, сбрасывающий пароль BIOS Setup, например. Что самое замечательное — он запустится и под user'ом.
sergarcada
19.12.2017 21:15Насколько я помню, даже сохранить не даст с текущими правами пользователя.
Вообще, я работал в сбере до 2010 и тогда уже были подобные косяки, но что либо конкретное сделать… посмотреть — да, можно, но ни записать ни отправить куда0то не получится.
И если этой проблемой столько лет не занимаются, то видимо хлопот не доставляет.
nonpar
20.12.2017 18:491. Это терминал, а не банкомат. 2. Софт для него называется Единое Государственное Программное Обеспечение. Выводы делайте сами)
alix_ginger
20.12.2017 10:14Можно собрать USB-устройство, которое представится клавиатурой и наберет кучу текста за короткое время. Относительно недавно вроде пробегала новость о таком
TOLK
19.12.2017 15:03Если я бы был зловредом (с учетом моих скудных познаний в зловредстве):
заранее заготовил бы html(может css прикрутил банковский), написал бы там что чтобы после ввода перенаправлялось на другую страницу из локалхост, а там номер телефона.
На трубке сидела бы девушка, которая заправишала номер карты и свв, может кто-то и клюнет.
Я не местный, риски vs вероятность удачи не считал :) просто как возможный вариант…mayorovp
19.12.2017 18:54Только злоумышленником, а не зловредом. Зловред в «компьютерном» контексте — это программа, вольный перевод слова malware.
SaM1808
19.12.2017 16:15А можно просто майнить… че железке простаивать… ;)
57ar7up
20.12.2017 18:49Ну да, Греф же майнинг одобряет, заставим все его банкоматы добывать крипту
Tufed
22.12.2017 13:19В банкоматах такие мощности что только крипту и майнить. Хотя если пару десятков тыщ таким образом озадачить — то что-то ощутимое и будет. но такой вариант мало продуктивен, уязвимость физическая. Даже просто обойти и перенастроить пару тыщ уже проблема, не говоря уже о возросшей вероятности спалиться.
Mendel
19.12.2017 16:20Сильно сомневаюсь что у них есть интернет.
Но с клавиатуры что-то набрать можно конечно. Ну и всякие сканеры-кардридеры и прочие PoS устройства можно попробовать использовать как путь для заливки текста «быстрее чем с экранной клавиатуры». Ну а дальше уже на что фантазии хватит. Или фишинг или атака по внутренней сети…Zolg
19.12.2017 20:39Сильно сомневаюсь что у них есть интернет.
а VPN до банка по-вашему через что поднимается?Mendel
19.12.2017 21:26Ну сколько я встречал что-то подобное — приватная сетка поднималась на уровне провайдера или на отдельном «железном» роутере. Нет, понятно, что в банках деятели разные бывают, особенно в сберах, но тем не менее — наличие Интернета на машине это скорее исключение чем то что ожидается увидеть по умолчанию.
sergarcada
20.12.2017 10:29Банкоматы не всегда возможно воткнуть «прямо в впн» — в каждый торговый центр свой линк не потащишь. Но в роутере внутри банкомата действительно поднимается впн.
Gorodnya
20.12.2017 11:09Про сеть и интернет в платёжных терминалах:
Отсюда: "5 нажатий на экран терминала — и открывается любая папка"
evgenWebm
20.12.2017 02:03А вот, скажем, если создать сайт имитирующий интерфейс банкомата, а на банкомате открыть его и развернуть браузер на полный экран, то подобное доказать уже сложнее
Да как раз наоборот. Если узнают кто, то будет срок. Ибо умысел есть и статья найдется.
Per_Ardua
19.12.2017 19:02А кто-нибудь помнит такую программу: Art-Money? Думаю, если ее изучить изнутри, то вполне можно провернуть такое же ручками. Поменять данные на внесение наличных: вносишь 500р, затем еще 500, находишь нужную переменную, подменяешь на 100500 — профит.
Чуть не забыл последний пункт — отбываешь наказание в зависимости от суммы хищения:
до 100 000 — до двух лет
до 10 000 000 — до 5 лет
до 50 000 000 — до 10 лет
от 50 000 000 — год условно (или пару месяцев домашнего ареста, а то может и вовсе простят)SinsI
20.12.2017 05:56Не выйдет.
Банкомат сохраняет информацию по каждой операции, каждой купюре и каждой карте.
journal.tinkoff.ru/inside-atmAntonioKharchenko
21.12.2017 01:22В связном вот получилось провернуть
sergarcada
21.12.2017 11:49Вы путаете какой-то там софт в Связном, предназначенный для продажи товаров и банкомат/платежный терминал, который связан с процессингом.
И потом, если у вас есть такой доступ к банкомату, что можно запустить ArtMoney, то проще его заставить выдать деньги другими, менее палевными способами.
ProTreo
19.12.2017 11:44+1Раньше терминалы ломали вводом
<a href="ya.ru">asdasdsa</a>
в любое поле ввода, тогда правда XP стояла.
namikiri Автор
19.12.2017 11:44Кстати, физическая клавиатура в полях для ввода строк не работает, даже если принудительно «тыкнуть» в поле, тем самым попытавшись установить фокус. И, да, на тех терминалах тоже стоит XP.
Lordbl4
19.12.2017 12:09+1Уязвимость доступа к системе, а дальше что? Использовать встроенный софт? Попытаться скачать софт из интернета? Это маловероятно, сеть у сбера скорее всего закрытая, с белым списком и прочими фаерволами, но если это сделать можно — поздравляю, вы нашли дыру в безопасности и если вам не всё равно — пишите во все инстанции с максимальной оглаской. Не захотят фиксить причину сами — обязательно будут фиксить последствия.
yurror
19.12.2017 14:06Если не получится вылезти в интернет, значит получится залезть в «защищенную» сеть банкоматов. Тоже хорошо.
Lordbl4
19.12.2017 14:20+1а дальше? присесть на бутылку за то, что попинговал соседний терминал — так себе перспектива.
muon
20.12.2017 09:28Да откуда ж вы эти фантазии про бутылки черпаете?
(вопрос риторический, знать я не хочу)vanburg
20.12.2017 18:06не желание знать источника этих, как вы выразились «фантазий», не может гарантировать того, что вы их избежите проживая в этой стране, даже не делая ничего противозаконного
muon
21.12.2017 01:11-2Безусловно, от тюрьмы да от сумы.
Но если мне что-то понадобится узнать про тюрьму, то я пойду на тюрем.нет, а не на двач.
altai2013
19.12.2017 16:55Банально вешается объявление на экране банкомата: «если банкомат не работает, просьба сообщить о неисправности за вознаграждение: тел. 911-223-332, сайт любимыйклиент.ру. А дальше уже насколько фантазии хватит: разводить на данные кредитки по телефону, использовать номер с платными услугами, хакать посетителей на сайте и т.д. Подаваться всё это будет под брендом банка (его же банкомат), поэтому многие купятся. Я бы не сказал, что это пустяковая уязвимость.
Lordbl4
19.12.2017 19:04Опять же, за пустяковый скам с высокой вероятностью получать срок — так себе перспектива. Чем больше терминалов «нашифтил» — тем больше вероятность неблагоприятных последствий.
sondern
19.12.2017 21:02Если нет интернета и доступа внешним дискам то можно написать программу или код вируса используя виртуальную клавиатуру. В шестнадцатеричном виде не компилируя.
UrbanRider
19.12.2017 23:57Слишком хорошего мнения вы о сбере.
Одно время у них точно был обычный инет+vpn. рвем впн, получаем инет, качаем что надо.
FrontierX
19.12.2017 12:10Все зависит от настройки политик безопасности, от того можно ли запустить командную строку и.т.д.
Недавно была у меня подобная ситуация в Бургер Кинге, на терминале отвалилась заглушка и обнажилась винда с красующимся на рабочем столе тимвьюером. Недолго думая попробовал ломанутся с телефона. Спокойно законнектившись подозвал манагера, показал ему сие безобразие, на что он мне ответил «Так ведь не каждый может сделать, по этому ничего страшно», улыбнулся и пошел дальше обслуживать заказы. Ну, а я что, развернул заглушку с надпись аппарат не исправен, которая по какой то причине была свернута и пошел восвояси.namikiri Автор
19.12.2017 12:12В Бургер Кинге достаточно просто попытаться выдернуть панель уведомлений справа.
grishkaa
19.12.2017 12:24+1Когда-то раньше в бургер кинге можно было открыть экранную клавиатуру и нажать на ней alt+tab.
Фотка
rezdm
19.12.2017 12:29Ха!
Я подобным образом запустил в в эээ… 2008-ом году Дум на каком-то информационном терминале (не в России). Похожим (но не таким) образом можно было попасть в windows explorer, там уже по диску пройтись, и оп-па, лежала копия Дума.
AlexShevch
19.12.2017 12:44Интересно, представитель Сбера отпишется?
hssergey
19.12.2017 12:48Сомневаюсь, что SMM-щик сбера достаточно компетентен в этих вопросах, учитывая, как они реагировали на наличие внешних скриптов в их Сбербанк-Онлайне…
olegy
19.12.2017 13:40+1Мы поставляли фронт для торговли. Один раз конкуренты продемонстрировали нашему клиенту «выход за пределы песочницы» — Печать/Настройка принтера/Помощь — и т.п. и нам тогда здорово досталось…
Это была Windows NT 4.0
Пришлось очень серьезно ковыряться с политиками, правами на исполнение, самописными диалоговыми окнами открытия файлов и печати, отключать лазейки со специальными возможностями. Помниться, коллеги соревновались, кто еще найдет дыру…
Прошло 20 лет…
Nicks_TechSupport
19.12.2017 13:43Максимум, что может потерять Сбер в данном случае — это репутационные риски. Но поскольку репутация у него и так ниже плинтуса, то всем откровенно пофиг.
Чтобы загрузить туда вирус или фишинговую страница, нужно иметь доступ к начинке терминала, а ключ не у всех есть и, как было замечено выше, это уже уголовно наказуемо.
ДА хоть откройте блокнот и ЖОПА там напишите, поржёт народи всё. Сетка терминалов и банкоматов отделена у Сбера + разумеется там всякие белые списки и файерволлы стоят.
vconst
19.12.2017 13:53Может ли получиться через какойнить эксплоит повысить себе права и отключить фаер?
Nicks_TechSupport
19.12.2017 14:03Как Вы себе это представляете?
И-нета там нет и при всё желании не будет. А чтобы туда подгрузить эксплоит, нужно вскрывать корпус на что а) среагирует сигналка б)камеры 3) сотрудники отделения.vconst
19.12.2017 14:10Связь там есть, иначе — как терминал делает всякие переводы и платежи? Правкой хитровыветнутых конфигов нельзя повысить свои привилегии, без внешней программы?
Ну и хардкор — набрать бинарный код в блокноте с бумажки, а потом записать как com и запустить :)Nicks_TechSupport
19.12.2017 14:13Ну вряд ли там всё просто, ка вы описываете.
Платежи там все проходят через определённый сберовский шлюз, а оттуда уже в процессинг, шлюз во внутренней сети банка. Неограниченного доступа в нет там нет и не будет.vconst
19.12.2017 14:15Я склонен предполагать худшее, со Сбером возможно все…
Nicks_TechSupport
19.12.2017 22:23НУ это да, но вопиющих проколов на терминалах всё же вроде как не наблюдается...
KorDen32
19.12.2017 21:35шлюз во внутренней сети банка
Так а как к интернету отдельно стоящие банкоматы подключаются? Т.е. там отдлеьно стоит Ethernet/3G-модем-роутер, который поднимает коннект до сберовской сетки, а проц банкомата к нему по ethernet/etc подключаются и на этом интерфейсе нет ничего, кроме внутренней сетки банкоматов, или же как?
Nicks_TechSupport
19.12.2017 22:36Вот с удалённо стоящими банкоматами не скажу, но там должен быть хороший и стабильный канал связи.
Psychosynthesis
20.12.2017 12:31Несколько лет назад был такой банк «Альта-Банк». Там к банковской сети VPN-канал (тут могут быть вариации) прокидывался посредством GPRS-модема, а уже к этому модему по ethernet/usb подключался сам банкомат. При этом механизмы взаимодействия «модем-сеть» были полностью от сотрудников скрыты, их настройкой по удалёнке занимались специальные люди из процессинга, т.е. они даже не являлись персоналом банка.
Кроме того, если я правильно помню, есть банкоматы, которые вообще общаются не с сетью банка, а напрямую по шифрованному каналу через интернет с сетью процессинга. Плюс, ещё раньше были x.25 сети, работающие через телефонные сети, как там всё организовано я вообще хз.
P.S. А, и да, канал связи «банкомат-сеть процессинга» зачастую там был ооочень плохой. А про пропадании коннекта, вместо вызова ГБР (как в фильмах) тупо включалась заглушка.
kilogramm
20.12.2017 13:35+1Лет пять назад проделывал примерно то же самое, что и ТС (только при помощи Ctrl+S, это был терминал без картоприёмника, на котором крутился браузер с главной страницей сбера, кроме которой по идее ничего открывать был не должен). Так вот, там интернет был — ютуб работал, сайт MS, откуда можно было скачать Process Explorer — тоже был доступен. Не думаю, что что-то кардинально поменялось
teecat
19.12.2017 14:52В свое время нас водили по выставке банкоматов (компания занималась их разработкой) и рассказывали историю, что в одном удаленном от благ цивилизации пункте использовали банкоматный интернет для выхода в сеть
В другой раз принесли нам образ банкомата — на десктопе ярлык на интернет-магазинNicks_TechSupport
19.12.2017 14:53Любопытно, а что за выставка? Сейчас проводится?
teecat
19.12.2017 15:01У компании, которая банкоматы делала была собственная экспозиция. Сейчас компании нет — Сбер купил
Nicks_TechSupport
20.12.2017 15:55Жаль. Я бы посмотрел на NCR или DIEBOLD в прошлом.
teecat
20.12.2017 16:18Там были банкоматы только их фирмы, но поскольку линейка была большая — было да, очень интересно. Очень много агрегатов в повседневной жизни не встречающихся
Nicks_TechSupport
20.12.2017 16:20Понятно, эх, я бы посмотрел на музей банкоматов и банковской техники.
teecat
20.12.2017 16:24В личку скинул имя компании. Если сильно интересно, могу по личным старым контактам спросить жив ли музей
А странно действительно. Музеи всего есть — а банкоматов нетуNicks_TechSupport
20.12.2017 16:27Да, видел, спасибо.
Ну не то, чтобы прямо сильно-сильно, но экспозиция была бы весьма занимательной.
Germanets
19.12.2017 13:57Да чему вы удивляетесь, на тех же самых терминалах иконки соц. сетей всё ещё остались?
3 года назад с товарищами-студентами пытались зарепортить проблему, что по ним спокойно можно перейти в их группу вк, там в поске найти свою страничку там уже пройти по любой ссылке.
Так мы закидывали ссылку на zalil.com, на котором есть кнопка «загрузить файл», с помощью которой можно спокойно побродить по файловой системе, увидеть всевозможные файлы логов, и, возможно, их куда-нибудь закачать, чего мы от греха делать не стали…
Через полгода воз был там же, сейчас — хз…sergarcada
20.12.2017 10:36На терминалах — это вряд ли. Как тут уже не раз писалось, доступа к интернету в банкоматах и и платежных терминалах нет. Вот информационные киоски — это да, там (по крайней мере раньше) такая возможность была. Но это совсем другой случай.
encore-show
19.12.2017 14:00Согласен с тем что, это для них не уязвимость, а халатное отношение к настройкам. Скорее всего их ПО работает под урезанным пользователем и даже открыв блокнот, написав там какой-нибудь vbs скрипт, ничего не даст. Хотя, если и повезет — но это уже противозаконно.
nezdhanov
19.12.2017 14:06+1Гмм. была похожая ситуация со сберовским терминалом.
Значит с кентом пошли снять денег, подходим к банкомату а там админская часть какая-то развернута, ну мы потыкали реально работает, выписку предлагает режим инкассации по моему назывался, ну стоим как два истукана, че делать то… Денег то не снять… Подходит девушка, тоже потыкала похихикала и ушла. Ну мы с кентом посовещались решили набрать в их колл-центр, нас долго по специалистам кидали, куча вопросов мол, кто, от куда, зачем и т. д. Ну разговор завершился особо ничем. Забыл сказать дело было часов в 9 вечера. На следующий день по моему безопасники их звонили с расспросами.
А так на мой взгляд компетенции у персонала не всегда хватает, вот и получаются подобные ляпы…
PS Прошу прощения за вольный пересказ, просто слишком жизненно и знаком :)
third112
19.12.2017 14:34СБ отвратительно работает. У меня были проблемы со сменой пароля, с зависанием 1000 руб. на карте — не мог снять/перевести. Каждый раз оформляли жалобу и ни разу не получил ответа, а проблемы остались.
devalone
19.12.2017 14:47+1Кто вообще придумал делать терминалы на винде? Уже не первый раз подобные проблемы возникают, когда можно выйти из приложения терминала и прогуляться по системе.
khim
19.12.2017 16:18Предлагаете вернуться на OS/2? В принципе недавно новая версия вышла, так что…
devalone
19.12.2017 16:36при чём тут OS/2?
khim
19.12.2017 17:23Притом, что банкоматы, в своём развитии, прошли несколько стадий. Windows 95 на них использовалась редко, в основном в те годы банкоматы под OS/2 жили. Ещё лет 5 назад подавляющее большинство банкоматов OS/2 использовали. А вот уже когда перефирия на USB перешла — пришлось что-то делать.
ArcaOS 5.0 поддерживает USB прекрасно, так что логично будет вернуться на OS/2… ну если исходить из логики «работает — не трогай».
Konachan700
19.12.2017 21:35Билдрут с киоском + подписанная корневая со всеми security-наворотами + подписанный и шифрованный загрузчик + ключ в проце. Сама корневая в оперативке, в initrd. Только так. Любое изменение просто не даст загрузиться терминалу. Терминал — не банкомат, ему не надо быть на винде из-за проблем с дровами кастомного оборудования…
Описанное в статье — раздолбайство. На игровых автоматах что-то винда не стояла, хотя казалось бы, писать игры на дотнете куда легче, чем писать их на сях под rtos… Когда владельцы бизнеса реально боялись что их обманут игроки или сотрудники, заказывали у вендора и кучу защит, и кастомные прошивки, и чего там только не было напихано. А сберу видимо просто пофиг — традиционное «и так сойдет».khim
19.12.2017 21:52На игровых автоматах что-то винда не стояла,
Ну так и на банковатах она не сразу появилась.
хотя казалось бы, писать игры на дотнете куда легче, чем писать их на сях под rtos…
Именно поэтому современные атоматы — под виндой. Уже довольно давно.
Когда владельцы бизнеса реально боялись что их обманут игроки или сотрудники, заказывали у вендора и кучу защит, и кастомные прошивки, и чего там только не было напихано.
Странно. Все независимые исследования ATM'ом и автоматов для голосования (их одни фирмы делают), насколько я знаю, делилились на две группы в смысле безопасности: часть говорила, что это сито, а часть — что дуршлаг.
molnij
19.12.2017 16:56Я недавно видел на каком-то терминале вывод терминала линуха… Боюсь не в винде дело…
devalone
19.12.2017 14:52Я не эксперт в области информационной безопасности и не могу судить о том, какой урон может нанести эта «фича», но, судя по вялой реакции — никакой.
Судя по тому что там написано «завершение сеанса Администратор», то урон может быть самый серьёзный, но конечно это может быть обычная учётная запись с сильно урезанными правами и названием администратор.mayorovp
19.12.2017 19:07Скорее всего там винда загружена с образа диска в режиме только для чтения. Хотя можно что угодно ожидать от таких…
TimsTims
19.12.2017 15:01сообщаю о весёлой акции «СберШифт»
Очень звучное название уязвимости)
Удачное название уязвимости — уже половина дела того, чтобы о ней заговорили, или хотя-бы запомнил. Вспомните hearthbleed, wannacry итп. Всегда удивлялся, как придумывают такие интересные названия)
Voenniy
19.12.2017 15:18Надеюсь что там отработан сценарий «а что если клиент получит доступ к по системы». По крайней мере, это первое что приходит на ум, если бы я делал что-то подобное.
zedalert
19.12.2017 15:57Имел опыт настройки режима киоска (правда для других целей, причём куда более безопасных, чем у банкомата) — через реестр можно все F кнопки и ctrl/alt/shift/win отключить, отчего в банкоматах так не сделано?.. Небось ещё и VPN нет, всё через TeamViewer делают (да ещё и с бесплатной учёткой).
Efrem3112
19.12.2017 15:58+1Не про Сбер, но лет десять назад я так же попал в один терминал. Ради интереса начал смотреть, что интересного есть. В списке последних программ была «тестирование биллассептора», запустилась… А там кнопка — очистить. Ну терминал все из себя и «очистил» мне в руки. Долго думал что делать, сдержался — не сбежал. Позвонил, дождался, объяснил, банкноты все сдал, при мне сверку сделали, посчитали. На работу потом взяли.
alex_ptr
19.12.2017 15:58А где устанавливаются терминалы Сбербанка с полноразмерной клавиатурой? Я припоминаю что-то похожее только в отделениях, так там менеджер рядом почти всегда.
saskasa
19.12.2017 16:00+1Почему на терминалах ставят так часто винду? В чем проблема поставить в качестве платформы *nix систему, есть какая-то сакральная причина использовать винду с ее вытекающими?
fireSparrow
19.12.2017 16:23Тогда нужно будет для их обслуживания нанимать людей, умеющих в линукс. А им и платить больше надо. А так наняли студентов, умеющих со ZverCD винду накатить — и все в выигрыше.
Germanets
19.12.2017 16:39Куча банковского железа имеет драйвера только под винду, включая многое из того, что используется в банкоматах и терминалах. Даже если конкретный терминал не требует винды, то нужны будут отдельные админы, умеющие в линукс, нужно будет развернуть сеть мониторинга и удалённого доступа для линукса, и изучить все грабли, на которые на линуксе можно наступить.
Ко всему прочему могут вылезти требования к сертификации конкретного аппаратно-программного комплекса, а также переписывания используемого ПО на линукс, что добавит ещё кучу головной боли и затрат…
kuraga333
19.12.2017 16:45Я был на встрече с Евгением Касперским в стенах МГУ, осень 2015-го. Посчастливилось задать ему вопрос (тянул руку минут 40 :)) Он говорил в своей речи, что львиную долю деятельности во времена становления компании составляла защита банкоматов. Поэтому, я просил: «Если бы банкоматы были бы не на Windows, а на более безопасность-ориентированной системе (не ограничиваясь, к слову, UNIX'ами), то были бы технические и маркетинговые аспекты деятельности компании в те времена другими?» И надо сказать, ответил он на этот вопрос так, будто он был самым несерьезным их всех (самым-самым вопросом он назвал «Почему вы любите Камчатку?»), ответ был оочень коротким, в отличие от остальных ответов. Но не о том речь. Ответ был: «Разумеется, нет, вы же не думаете, что Windows взломать проще, чем… Android?» (вольная интерпретация ответа). К чему клоню? Это либо некомпетентность (во что я слабо верю, сами знаете, где Е.К. учился). Значит, это не из области логики, а… Маркетинга, бизнеса?.. P.S. ИМХО.
khim
19.12.2017 17:26P.S.2. Я не считаю, что взломать Android сложнее, именно поэтому я считаю ответ странным. Я ведь спросил о реально специализированных системах…
А его ответ был как раз разумным, так как в банкоматах перешли с «реально специализированных систем» на Windows потому, что дешевле. Был бы не Windows, а Android — перешли бы на Android.kuraga333
19.12.2017 17:40И подходы Лаборатории Касперского при этом не изменились бы? :) А если банкоматы остались бы на «специализированных системах» (допустим, более дорогих) — тоже, не изменились бы?
Он ответил, что это ни на что не повлияло бы. А почему так, и что выгоднее — такого вопроса с моей стороны не было.
realscorp
20.12.2017 07:47Потому что не в винде проблема, а в тех, кто ее готовит. Стоял бы там линукс — ну с таким отношением к делу там терминал горячими клавишами запустить можно было бы, или при перезагрузке в GRUB пошалить или еще что-то. Винду можно неплохо защитить, просто надо знать, уметь и, главное, хотеть.
Sheti
20.12.2017 18:50Потому, что у банка нет целей защитить деньги от кражи. Ну точнее от совсем наглой они конечно защитят, а вот что похитрее уже будет проблемой клиента. Сколько уже историй на эту тему было. Сейчас цель банков собрать с клиентов деньги путём хитрых договоров, а в случаи каких проблем перевести стрелки опять на клиента. В этом не слишком сложном бизнес-плане нету просто места для ИБ. Ну а производителям банкоматов и софта для них, какой резон заниматься тем, что сами банки не интересует? Вот и клепают под Win.
johnnymmc
19.12.2017 16:04Не ходивара ради (на дэсктопе сам в Visual Studio пописываю, и на копроративном сервере Windows Server мне кажется почти незаменимым), но реально любопытно: а зачем вообще люди в наше прогрессивное время используют винды на терминалах/банкоматах? Почему не вбабахать какой-нибудь ARM SoC c Linux или BSD и не избавить себя от кучи подобных приколов, всяких WannaCry/Petya и тому подобного?
Naglec
19.12.2017 16:09Софт потому что
johnnymmc
19.12.2017 16:14А почему вендоры не напишут соответствующий клиентский софт под перспективную платформу? Ничего безумно сложного, мне кажется, в этом нет. Таки никому не нужно? Даже после «Пети» не задумался никто?
khim
19.12.2017 16:26Потому что безопасность. Вернее цирк вокруг безопасности.
Любое изменение требует кучи бумаг, потому принцип работает — не трогай незыблем.
Когда-то давно, когда софт на базе CP/M и DOS использовался это даже, возможно, и работало (так как кода мало, новых ошибок не вносились, а многомесячное тестирование позволяло известные дыры отловить), но потом произошел переход на OS/2 и Windows… А подход не изменился…
vdvvdv
19.12.2017 16:54Большое кол-во периферийных устройств — драйвера. Нижний уровень ПО — слой производителя. ПО верхнего уровня — масштабный проект не на один год с отладкой и доводкой. Отдельные центральные отделы ИТ со знанием никс. Поддержка на местах — тысячи техников со знанием никс. Готовы инвестировать в это повышением стоимости услуг банком?
den_rad
19.12.2017 17:25У меня в Сбербанк онлайн около 30 минут не пересчитывается баланс, когда приходит внешнее пополнение. При этом в истории платежей показывается, что да, был платеж.
При этом тысячи человек работают в Сбертехе. Что они там делают?khim
19.12.2017 17:29При этом тысячи человек работают в Сбертехе. Что они там делают?
Уж точно не сбербанк онлайн.
P.S. Надо понимать, что современная финансовая система устроена очень и очень странным способом. Вот всё то, что вы видите — банкоматы, Сбербанк онлайн и прочее — это всё проходит чуть ли не по категории «реклама». Так как прибыли не приносит. Прибыль приносят разная активность на бирже и работа с крупными клиентами. И вот там как раз и концентрируются умные люди с достаточной компетенцией.
vvzvlad
19.12.2017 20:45Вот всё то, что вы видите — банкоматы, Сбербанк онлайн и прочее — это всё проходит чуть ли не по категории «реклама». Так как прибыли не приносит.
Пруф?
hurgadan
20.12.2017 00:46Вы не правы, прибыль там есть и не малая. Банкоматы, СбербанкОнлайн и прочее является дополнительным стимулом нести деньги в банк, а также пользоваться банковскими картами (Visa, Mastercard и пр.) — банки имеют не плохую комиссию с торговых точек. Не даром карты предлагают на каждом углу, а если карта кредитная/овердрафтная, то банк вообще в шоколаде. В случае дебетовой карты рисков для банка тут вообще нет, а в случае кредитной — они перекрываются грабительскими процентами.
khim
20.12.2017 01:51Вы не правы, прибыль там есть и не малая.
Хде?
Банкоматы, СбербанкОнлайн и прочее является дополнительным стимулом нести деньги в банк, а также пользоваться банковскими картами (Visa, Mastercard и пр.)
Ну дык эта. Если что-то само по себе прибыли не приносит, но убеждает клиента пользоваться чем-то другим — то это должно входить в категорию «реклама» — разве нет?
банки имеют не плохую комиссию с торговых точек.
Банки имеют комиссию с торговых точек, банки могут использовать деньги, которые граждане разместили на депозитах для выдачи кредитов и прочая — но сами по себе онлайн-услуги денег приносят не так много, а банкоматы — так и вообще как бы не убыточны.
Какое отношение имеет комиссия с торговых точек к банкоматам.institor
20.12.2017 06:42Ну так прибыль нельзя считать. Это неотъемлемая часть банковской деятельности.
khim
20.12.2017 17:00Нет. Есть банки без банкоматов. Есть банки вообще не работающие с физиками.
Так что ни о какой «неотъемлемой части» речь не идёт. Полезна ли эта деятельность? Да — иначе бы никто этим не занимался. Клиентов без неё сложнее получить.
Но для существования банка — она необязательна.
TimsTims
20.12.2017 09:01Если что-то само по себе прибыли не приносит
Если следовать вашей логике, то выдача кредита — тоже прибыли не приносит, и еще загоняет банк в минус(на какое-то время).
А вот погашение кредита и процентов — вот тут уже прибыль появляется: «А давайте сосредоточимся на сборе платежей за кредиты, но не будем их выдавать!»khim
20.12.2017 17:03У вас логика хромает.
А давайте сосредоточимся на сборе платежей за кредиты, но не будем их выдавать!
Откуда возьмутся платежи, если у вас нет кредитов?
Выдача кредита — штука сложная и опасная, но без этого нельзя собрать платежи. Никак.
А вот без банкоматов — можно. Без онлайн-банка — тоже можно. Да даже и без карточек, с одной «сберкнижкой» — тоже!TimsTims
20.12.2017 20:47но без этого нельзя собрать платежи. Никак.
Если очень надо, то можно, и способов не один.
1) можно выкупить действующие кредиты у других банков. Обычно выкупают просроченные кредиты с большим дисконтом, скажем за 1% или 5% от суммы долга. Получается кредит не выдавали, а проценты забираем. Вполне вписывается под вашу логику зарабатывания денег только на том, что даёт прибыль.
2) можно купить/поглотить банк. В таком случае, все обязательства банка перед клиентами, и клиентов перед банком переходят новому владельцу. Кредит банк выдавал? -нет. Доход с процентов получает? Да.
3) лень дальше кормить тролля
Вопрос успешности и доходности такого мероприятия мы выносим за рамки этого обсуждения, ведь вы сами вынесли за рамки то, что банку не нужен мобильный банк, карты итд…
У вас логика хромает
И нет у меня проблем с логикой, это вам нужно расширять свой кругозор, прежде чем троллить.
TimsTims
20.12.2017 21:35А вот без банкоматов — можно. Без онлайн-банка — тоже можно. Да даже и без карточек, с одной «сберкнижкой» — тоже!
что-то вы рано остановились. Расширяем кругозор — можно вообще без банка обходиться! Зачем нам банк, если можно деньги наличкой носить, зарплату просить выдавать наличкой! Тогда и сбер не нужен!
fireSparrow
20.12.2017 09:08Если что-то само по себе прибыли не приносит, но убеждает клиента пользоваться чем-то другим — то это должно входить в категорию «реклама» — разве нет?
Очень напоминает рассуждения менеджмента в организации, где я когда-то работал, — те на полном серьёзе попрекали айтишников, что ИТ-департамент не приносит никакой прибыли, чисто расходное подразделение и его вообще чуть ли не из милости содержат.khim
20.12.2017 17:06И менеджмент был, в общем-то прав. ИТ-подразделение, если только фирма не ИТ-шная и услуги ИТ не продаёт, это — вспомогательное подразделение.
Ни о какой «благотворительности» речь не идёт, конечно, ИТ-подразделение экономит работу многих тысяч человек, которых бы пришлось нанять, если бы не было компьютеров.
Но прибыли оно не приносит, да.MacIn
20.12.2017 17:20Это вопрос терминологии — если сэкономили время людей, те работают более эффективно, приносят больше прибыли. Т.е. уволить ИТ в таком случае — это прийти к недополученной прибыли.
khim
20.12.2017 18:39Т.е. уволить ИТ в таком случае — это прийти к недополученной прибыли.
Совершенно верно. Но считать тут нужно всегда в терминах основной деятельности. То есть не «мы запустили 10 серверов, ура», а «наши 10 серверов позволили нам обработать тем же составом в 10 раз больше бумажек, радуйтесь».
А если выши «улучшения» так и не вылились в что-то, заметное вне ИТ-отдела, то за что вам, собственно, деньги платят?MacIn
20.12.2017 19:33Да, но не имеет смысла обсуждать ситуацию, когда отдел балду пинает, это само собой разумеется.
fireSparrow
20.12.2017 17:22Напрямую не приносит, но глупо этим попрекать айтишников, или считать, будто ИТ неважно.
У каждого продажника на рабочем столе стоит компьютер, с клиентами они общаются по электронной почте и телефону, всё это тесно завязано на 1С.
Но деньги, конечно же, продажник приносит сам по себе, а ИТ-департамент в этом вообще никак не участвует!khim
20.12.2017 18:45Но деньги, конечно же, продажник приносит сам по себе, а ИТ-департамент в этом вообще никак не участвует!
Если ИТ-отдел не докажет отбратно, то так и будет считаться.
Посчитайте алтьтернативу (если вместо электронной почты и телефона будет использоваться, скажем, сервисы Гугла) и сравните. Экономия — это ваши достижения, не забывайте о них напоминать…
VolCh
21.12.2017 09:41+1Не приносит дохода, но прибыль это разность между доходами и расходами, а не доход. "Вспомогательные подразделения" обычно сокращают расходы, а не генерируют доходы, но прибыль они приносят. А без некоторых таких подразделений типа бухгалтерии, законная деятельность вообще была бы невозможна.
khim
21.12.2017 15:05Вот это — замечание по делу, да. Извиняюсь, ошибка-то детская.
Но всё остальное словоблудие… На Хабре… типа «элитном ресурсе»… начинаешь разочаровываться в человечестве…
fireSparrow
21.12.2017 15:53+1Добавлю, что вспомогательные подразделения не только сокращают расходы, но и могут создавать новые потенциалы для получения доходов.
Многие приносящие деньги процессы без ИТ не то, что стали бы более затратными, а вообще не смогли бы работать.VolCh
21.12.2017 16:20Это да. Те же онлайн-сервисы для многих бизнесов создают если не основной, то очень значительный источник доходов и роль других подразделений сводится к обслуживанию технологического ИТ-процесса :) Парадокс может быть — не ИТ-компания, но основной доход приносят ИТ-процессы.
vconst
21.12.2017 11:54Большинство проблем в организации начинается после слов: «Давайте уволим админа, у нас все равно ничего не ломается, а он только сидит, нифига не делает и получает зарплату»
sergarcada
21.12.2017 12:19Даже интересно стало, а что является основным/вспомогательным в строительной фирме например?
Вот водители — они же не строят дома? Проектировщики — туда же? Сметчик, бухгалтер… Да что бухгалтер — директор! Директор же не приносит прибыли и не строит дома, дармоед!
Остается только строительная бригада. Но бригада эта тоже не приносит деньги, если не водителя, сметчика, бухгалтера, проектировщика и директора.
Если говорить по существу и про ИТ, то (как не раз обсуждалось на хабре) если ИТ встроен в бизнес-процесс — занимается автоматизацией, интеграцией, то это уже совсем не вспомогательное подразделение.khim
21.12.2017 15:11Остается только строительная бригада. Но бригада эта тоже не приносит деньги, если не водителя, сметчика, бухгалтера, проектировщика и директора.
Прекрасно приносит. Шабашники вполне себе строят (по крайней мере строили в прошлом) дома без водителя, сметчика, бухгалтера, проектировщика и директора.
Другое дело, что размер домов и их качество при наличии только строительной команды — ограничены. С недавних пор — и законом запрещено дома строить без соблюдения определённых процедур.
Но даже после всего этого — вспомогательные службы не приобретут одинаковый статус: команда, показывающая красивые модельки потенциальным покупателям, вроде как, совсем «к делу не относится», но прибыль увеличивает куда сильнее, чем любой, самый грамотный сметчик…
realscorp
20.12.2017 07:52На презентации одного из именитых мировых производителей СХД нам рассказывали, что из всей России только Сбербанк из-за огромных нагрузок на свои базы данных заказывает самые топовые железки всех вендоров за квинтильёны денег. Видимо, и в вашем случае какие-то затыки с производительностью.
gdt
19.12.2017 18:15Тоже смотрел этот терминал, там клавиатура такая же, как в МФЦ (правда, у нас в городе стоят немного другие терминалы, с трекболом) (см. пост), но сам терминал настроен значительно лучше. У меня получилось свернуть приложение чем-то вроде Ctrl+F4, но добиться чего-то большего, к сожалению, не удалось.
Seawind
19.12.2017 21:03Даже если ничего нельзя записать/запустить на таком банкомате, его можно банально выключить (пуск -> завершение работы).
pwm73
19.12.2017 21:03«Не нужны сегодня программисты. У нас огромное количество программистов, с которыми мы боремся» © Греф.
PeterZha
19.12.2017 21:03+1Самая мякотка, что функция sticky keys в старых виндах (включая 2003) реализована через отдельный исполняемый файл sethc.exe, который запускается после пяти нажатий на шифт; Эта волшебная функциональность работает даже на экране логина, причем на экране логина она запускается от администратора системы. Если подменить экзешник (будет ругаться SFC) или, что более правильно — назначить свой экзешник как дебаггер для sethc.exe через Image File Execution Options, то можно сделать мегабэкдор. С тех пор, как я как-то раз нашел у клиента такую штуку, всегда по инерции на экране логина пять раз жму шифт :)
realscorp
20.12.2017 07:55Если подменить экзешник (будет ругаться SFC)
Дык для этого сначала нужно получить привилегии администратора в системе, либо получить физический доступ и подменить exe, загрузившись с внешнего носителя. Если у вас есть такие возможности, зачем вообще возиться с подменой файлов?
DaemonGloom
20.12.2017 08:12На экране логина можно в новых системах вызвать utilman.exe, отвечающий за специальные возможности (голосовой диктор, лупа и т.д.). Всё тот же трюк с подменой работает даже в последней десятке.
sergarcada
20.12.2017 10:45Это все интересно, но… Я хожу по своему городу и вижу у некоторых (многих) банкоматов, что ИБП стоят снаружи… Видимо не влезли по габаритам.
А мне как раз бесперебойник хочется на Новый Год.
background_space_jpg_no-r
20.12.2017 13:38Ну сказал же Греф, что закончился век программистов. А вы все лезете и лезете!
Nicks_TechSupport
20.12.2017 16:06Сейчас на банкоматах в бол-ве случаев стоит Windiws Embedded edition, т.к. верно многие знающие люди подметили это банально выгоднее бизнесу. НЕ надо перепиливать кучу софта, драйверов и прочее, а также повышать квалификацию персонала.
Кто до сих пор не понял, почему там не никсы, тот либо троллит, либо просто идиот.
DanilaRyabkov
20.12.2017 18:55Вам так и сообщили, что проблема «зафиксирована». То есть, ничего меняться не будет, всё зафиксировано )
vadimpl
21.12.2017 01:16-1Какие вы тут все-таки мелочные. Сбербанк — на переднем фронте науки, банк скоро сам будет инженерам IBM рассказывать про кубиты, а вы тут о каких-то кнопочках… Ну несерьёзно!
Bo0oM
Полагаю, это неправильная конфигурация одного банкомата, а не системы в целом
namikiri Автор
Там стояло три терминала, у всех трёх такая проблема. Со слов сотрудницы банка, их настраивают удалённо, так что насчёт системы знать не могу. Да если даже и одного терминала, по телефону я сообщил его номер, можно было бы и исправить.
munster
— Шеф, у нас дыра в безопасности!
— Ну хоть что-то у нас в безопасности.
enotovski
Проблема наблюдается во многих терминалах. Специалисты, о которых было сказано, скорее всего просто напросто забывают о такой элементарной вещи. Банкоматов то много-много, думайте специалист на них один? :) Вот и работают они по разному. Скорее всего и по разному относятся к своей работе.
acmnu
Если они каждый раз руками настраивают терминал, а не раскатывают с образа, то это жесть. Все таки я не думаю, что все на столько плохо.
namikiri Автор
Не уверен, скажет ли это о чём-то конкретном, но на разных терминалах разная тема оформления Windows: где-то «классическая», а где-то та самая «экспишная» голубая. Следовательно, можно предположить, что, по крайней мере, у них два разных образа.
Kastrulya0001
Я видел в Клину терминал с темой от ZverCD. То есть вообще пиратка с чьей-то частной сборкой.
altai2013
в Барнауле встретил в банкомате ломаный Total Commander и antiWPA в папке Cracks. Тоже как-то развлекался, как автор, было интересно что там стоит.
Bo0oM
YunusovTimur а есть статистика по этому поводу?)
pehat
Это попытка призвать в тред Тимати или хабровчанину действительно повезло быть тезкой рэпера?
Squoworode
Это рэперу повезло быть тёзкой хабровчанина.
w9w
А он разве получит уведомление, если просто написать его никнейм? Знаю, в твиттере и телеге есть такая фича, о хабре не слышал
Mendel
В трекере закладка «упоминания». Там пишется где тебя упомянули.
Плюс в зависимости от настроек нотификейшенов приходят письма вида «Бум упомянул Вас в таком-то топике».