Но то, что я увидел несколько недель назад, побило все рекорды глупости и халатного отношения к безопасности в финансовой компании.
Мне нужно было снять деньги в банкомате, который находится в зоне 24/7 одного банка.
Так уж совпало, что я захотел посмотреть поближе на тот дисплей, на котором отображается курс валют (на картинке ниже Вы видите на нём иерогрифы).
Да, это был обычный светодиодный дисплей. Но мой взгляд упал ниже. Упала и челюсть — снаружи банка был открытый, неприкрытый никакой заглушкой, USB-разъём:
В сумке нашлась флешка с фото и я незамедлительно решил её вставить.
Итог: вместо курса валют на табло банка появляется надпись "????", что значит «диск без программы» или «флешка не показывает», в зависимости от Google или Яндекс.Переводчика.
А если бы я был злой хакер? А если бы на моей флешке был вирус? Вирус мог бы заразить это табло, а затем перейти на флешку сотрудника, который пришёл бы настраивать табло. Дальше вирус перешёл бы уже в систему банка. Всё, система банка скомпрометирована!
Поэтому я позвонил в поддержку банка и попросил решить проблему, а также уведомить меня звонком (несколько раз просил, чтобы перезвонили).
Через пару дней пришла смс вида «Ваше обращение 1234567 было обработано. Детали — в контакт-центре». Но я же просил позвонить.
Ладно, звоню в банк сам. Не сразу (несколько минут ожидания, несколько холдов и несколько сотрудников, которые переключали меня между собой), и мне говорят, что вопрос был решён, передан ответственным лицам или что-то стандартное, аналогичное.
Я говорю, что просил неоднократно мне перезвонить, а мне не перезвонили, и кроме сухого «спасибо» в такой трагикомичной ситуации ничего не получаю от банка — возможно, банк захочет меня отблагодарить денежно? Оператор сообщила, что данная услуга не предусмотрена, но я сказал, что хочу зафиксировать этот вопрос — я действительно устал просто так тратить своё время, делая людям добро и ничего не получая взамен.
Спустя неделю я не дождался ни звонка, ни смс, поэтому перезвонил сам. Оказалось, второй оператор не зафиксировал мой запрос.
— Окей, а хоть проблему-то решили?
— Да, — или что-то аналогичное по смыслу, отвечает мне третий оператор — Если хотите, я прямо сейчас зафиксирую Ваш запрос повторно.
— А есть ли смысл? Первый раз не позвонили, второй раз не зафиксировали.
— Я зафиксирую Ваш вопрос и Вы можете буквально через 10 минут перезвонить нам, чтобы удостовериться. Или просто ожидайте 5-7 дней, Вам поступит смс.
— А, может, мне есть смысл написать Вам на Фейсбуке, чтобы вопрос был решён быстрее?
— Как Вам угодно, но я зафиксирую Ваше обращение и Вам поступит смс в течении 5-7 дней.
— Ладно.
Проходит неделя, смс никакой нет (на звонок я уже не надеюсь), звоню снова сам.
Третий оператор зафиксировала моё обращение в комментариях к первоначальному запросу, который решён, поэтому… «Поэтому я сейчас оформлю новое обращение, и перезвоню Вам в течении пяти минут, чтобы сказать его номер», — говорит мне четвёртый оператор.
В общем, ещё неделю ждать бесполезно, между этими неделями ожиданий я снова был рядом с отделением банка: разъём всё также доступен на улице всем желающим, и после того, как туда вставить флешку, экран всё так же начинает показывать иероглифы.
Комментарии (50)
teamfighter
09.07.2015 17:18+7Аж два раза написанный пост о том, что человеку за добрую услугу не дали денег. Возмущение автора, видимо, глубоко)
А вообще, EnterSandman прав. Всем плевать. Хорошо, что еще не привлекли к ответственности за умышленное вредительство.Gorodnya Автор
09.07.2015 18:06Я думаю, вы понимаете, что статья из песочницы не могла появиться дважды на сайте по моей вине или прихоти; скрыл дубль.
А возмущение моё не то, чтобы велико. Просто потерять мои обращения, не отреагировать на них должным образом и не исправить ситуацию за несколько недель…
Понимаю, что такова реальность, но грустно.teamfighter
09.07.2015 19:05Конечно понимаю, просто забавная ситуация сама по себе. А вообще реальность в данном вопросе действительно удручает.
Suncheez
10.07.2015 23:48я однажды случайно обнаружил способ выйти на десктоп банкомата и сообщил об этом. Раз двенадцать. ПРоблему только через год пофиксили заменой банкомата.
Так что действительно «всем п… й».
vrmzar
09.07.2015 17:20+11Либо делаешь добро и кидаешь его в воду, либо не делаешь. А делать и ожидать благодарности — то ещё извращение, ничего кроме фрустрации не приносящее.
Voenniy
09.07.2015 17:25+13А если бы на моей флешке был вирус? Вирус мог бы заразить это табло, а затем перейти на флешку сотрудника, который пришёл бы настраивать табло. Дальше вирус перешёл бы уже в систему банка. Всё, система банка скомпрометирована!
А если там не Windows?
gmist
09.07.2015 17:28+12В сумке нашлась флешка с фото и я незамедлительно решил её вставить… А если бы на моей флешке был вирус?
А если бы на торчащем USB было 220v?
AndreyDmitriev
09.07.2015 17:54+1А тогда надо было бы применить симметричные санкции, и тут ещё вопрос — кто кого…
VBKesha
09.07.2015 17:31+13А если бы я был злой хакер? А если бы на моей флешке был вирус? Вирус мог бы заразить это табло, а затем перейти на флешку сотрудника, который пришёл бы настраивать табло. Дальше вирус перешёл бы уже в систему банка. Всё, система банка скомпрометирована!
А если там не винда? А если с флешки читается только определённый файл а записи вообще не предусмотрено?
Ну точит USB и что? Я лично не вижу проблему кроме как грязью забъётся, остальное просто додумано что может быть. Но мало того что вы решили что проблема 100% есть, и теперь достаёте банк, требуя чтобы вам позвонили и что то объяснили потратив на это своё время, и скорей всего зря.
PS. А флешку скорей всего на ночь забирают чтобы не сперли.Gorodnya Автор
09.07.2015 20:07-3Я не достаю банк, это их работа — реагировать на возможные проблемы и отвечать клиентам.
Почему, когда одни компании благодарят, а другие даже не удосуживаются перезвонить и теряют обращения?VBKesha
09.07.2015 21:00+3Я не достаю банк, это их работа — реагировать на возможные проблемы и отвечать клиентам.
У вас как у клиента были какие то реальные проблемы, а не домыслы как кто то может навредить банку?
Я не достаю банк, это их работа — реагировать на возможные проблемы и отвечать клиентам.
Пока они будут отвечать вам о том что ничего страшного в доступном USB нет, клиент с реальной проблемой будет ждать ответа.
Может я неправ но ИМХО если у вас проблема не как у клиента то вам никто ничего не должен, особенно перезванивать вам, и объяснять как работает тот или иной девайс.
Alexeyslav
10.07.2015 09:35Это не аргумент. Всегда можно найти такую комбинацию которая приведет к уязвимости. Даже если там запись запрещена программно, есть еще целая куча способов обойти этот программный запрет. Что будет, если на флешке окажется особым образом битая ФС которая приведет к исполнению некоего кода?
Наверняка начинка этого девайса не такой уж секрет, какая-нибудь встраиваемая система на основе линукса, или что-то вроде Малинки. Если сильно постараться то можно найти способ поселить на ней код который будет заражать флешки вредоносным кодом. Скорей всего с безопасностью этого «табло» всё очень печально — это же «всего лишь табло» что с ним может статься. К сожалению, не все понимают что оно может внезапно стать рассадником вируса. Как, к примеру, многие люди считают что на флешке из фотоаппарата 100% никогда не может быть вирусов, это же фотоаппарат! Увы… даже самая простая цифромыльница это целый микрокомпьютер со своими уязвимостями… только пока еще слишком дорого распространять вирусы через фотоаппараты(требуются довольно специфические знания), поэтому никто еще особо не брался за этот вопрос поскольку есть более простые, дешевые и массовые способы.VBKesha
10.07.2015 10:13+1С одной стороны да, с другой если система безопасности самого банка так «хороша» что любая заразная флешка поразит весь банк, то ИМХО этот информационный стенд последнее на что стоит обращать внимание.
SergeyGrigorev
09.07.2015 17:41+9Вот если бы вы действительно провели исследование и получили часть каких-то, пусть даже абсолютно безопасных для кого-либо данных оттуда, например «там крутится такая-то ОС, и если постараться, то автоматически запущенное приложение сможет посмотреть список открытых портов», ну и в том роде, было бы интересно почитать. И о чем задуматься. А так — преждевременные догадки, ничем не подкрепленные.
AndreyDmitriev
09.07.2015 18:09+1Да. В принципе если предположить, что там читается какой-то файл с определённым именем, то можно смастерить сниффер (это само по себе хорошее программно-аппаратное упражнение), который будет эмулировать пустую флешку и сообщит нам, какой именно там файл читается. Следующим шагом можно подсунуть банкомату этот файл и просто посмотреть, что получится. Если это какой-либо зашифрованный «firmware.bin», который не пройдёт проверку, то ничего страшного не случится, ну а если «update.exe», и он ещё и запустится тут же, то можно получить много интересной информации. Не уверен правда, где заканчивается легальная область подобных действий и начинается нелегальная.
amarao
09.07.2015 18:26+1Нельзя смастерить флешку, которая узнает, какой файл с неё хотят прочитать. Читается корневой каталог, а ОС выбирает из прочитанного нужное.
BupycNet
09.07.2015 19:50-1Можно смастерить USB-устройство, которое будет эмулировать флешку и логгировать проходящие запросы через USB. Разве нет?
VBKesha
09.07.2015 20:34+1Да можно, но это не поможет узнать какой файл нужен. Система прочитает нужный ей каталог например корневой не найдёт там нудного файла и дальше ничего делать не будет. Вы увидите что был доступ к секторам содержащим служебные структуры FS и всё.
monah_tuk
09.07.2015 21:52-3Попытаться стоит. На хабре была статья про реализацию config device через mass storage класс, можно допилить.
Alexeyslav
10.07.2015 10:03+1Даже и не стоит пытаться. Считыватель не посылает имя файла в флешку, он считывает корневой каталог и пытается по нему найти номер ячейки в FAT с цепочкой кластеров занятых файлом.
Естественно если нужного файла нет то весь процесс поиска останавливается после первого этапа и со стороны флешки будет зарегистрирована только попытка считать корневой каталог.monah_tuk
10.07.2015 15:46Да, перечитал статью. Действительно, не получится. Только если знать имя файла (а что, собственно и нужно узнать) и подсунуть свой маппинг (http://habrahabr.ru/post/247673/). Но так мы сможем только свой файл подсунуть, что можно сделать и обычной флешкой :)
Gorodnya Автор
09.07.2015 20:08-1Как написано ниже, «Не уверен, где заканчивается легальная область подобных действий» )
npechenkin
09.07.2015 18:18+1Вероятнее всего там контроллер FK для бегущих строк, например какой-нибудь FK-SU3 USB. В этом случае usb служит только для обновления ролика и у меня есть большие сомнения, что штатная прошивка вообще предназначена для того, чтобы хоть что-нибудь писать на носитель. Хотя, если обновление самого firmware происходит по такому же принципу, то…
amarao
09.07.2015 18:25+2Надо искать стейкхолдера. То есть того, кого это волнует. Очевидно, в колл-центре это никого не волнует. Я бы попросил переключить на отдел собственной безопасности банка.
Gorodnya Автор
09.07.2015 20:17На мои обращения приходила смс с номером — думаю, информация из колл-центра всё же передавалась далее.
А звонил я первоначально поздно вечером, поэтому соединить со службой безопасности не просил — просил, собственно, перезвонить мне, как раз для того, чтобы донести им, что открытый USB — небезопасно.
BeeZONE
09.07.2015 18:30Скорее всего внутри стоит подобный контроллер. Проблемы найти у китайцев софт к нему не составит большой проблемы.
npechenkin
09.07.2015 18:43+1Да, но не факт что получится обновить ролик — контроллер (по крайней мере упомянутый выше FK-SU3) проверяет пин-код, который должен быть в заголовке файла.
BalinTomsk
09.07.2015 19:01В ряде банкоматов сзади сетевой разьем — думаю можно халявным интернетом разжится.
А в USB воткнуть 20 баксный генератор биткоитов — нехай работает
slimper
09.07.2015 21:29+9А если бы на моей флешке был вирус? Вирус мог бы заразить это табло, а затем перейти на флешку сотрудника, который пришёл бы настраивать табло. Дальше вирус перешёл бы уже в систему банка. Всё, система банка скомпрометирована!
realscorp
10.07.2015 07:03+8Я вот как-то зашел в столовую. Смотрю — а там кассир из банка обедает! Просто так обедает, даже не проверяет свою еду!
Ведь, получается, ее можно отвлечь, и пока она не видит, спокойно чихнуть ей в борщ. А если она заразится гриппом и пойдет в банк, и если там заразит гриппом коллегу, а коллега заразит начальника? А начальник ведь может и высшее руководство заразить! И все, весь банк, считай, выведен из строя!Gorodnya Автор
10.07.2015 07:33-1Не стоит передёргивать. Уверен, каждый из вас читал статьи, где взломы систем происходили из-за какой-то, казалось бы, несущественной мелочи. Из последнего, что читал я — как парень перехватил контроль над пассажирским самолетом, используя уязвимость его развлекательной системы.
realscorp
10.07.2015 11:12+3Вам окружающие и я, в том числе, пытаются дать понять, что в вашем случае считать доступный usb-порт в светодиодном табло сколько-нибудь существенной угрозой безопасности инфраструктуры банка — до смешного необоснованная паранойя.
Gorodnya Автор
10.07.2015 13:15Возможно. Однако есть ситуации, когда лучше лишний раз обезопаситься (ссылок дать не могу): BadUSB, взлом самолёта через usb, взлом автомобиля через usb.
DrPass
10.07.2015 11:20Тут момент такой: если после регистрации вашего обращения ничего не изменилось, то либо проблемы не существует, либо всем пофигу. И в том, и другом случае нужно остановиться, и не доставать колл-центр банка своими подозрениями. Оператор банка регистрирует ваше обращение, а сам думает: «Господи, ко мне еще только по поводу доставки пиццы сегодня не обращались».
В самом деле, речь идет об электронном табло. Ну да, там есть возможность загрузки данных с USB-накопителя, это его естественная функция. Как вы предлагаете его обезопасить, если табло находится снаружи? Вандалоустойчивый корпус с замком под сигнализацией, и внутри вожделенный USB? Ради чего, ради гипотетического предположения, что кто-то провернет суперсложную многоходовку атаки через табло?Gorodnya Автор
10.07.2015 13:28+1Я вижу и знаю, что всем пофигу. И это печально. Я работал в колл-центре и мне были важны все звонки клиентов. Со стороны банка достаточно было бы перезвонить и сказать «Банк не видит в этом проблемы, извините» – и всё. А они этого не сделали.
К тому же, я посчитал нужным уведомить их о такой ситуации. «Не доставать колл-центр» – четыре звонка за 4 недели – не слишком большая нагрузка на линию. К тому же как, без звонка в КЦ, уведомить службу безопасности? Или мне нужно было просто пройти мимо, как ни в чём не бывало? Я просто ещё не встречал торчащих наружу портов.
Может, проблемы и нет, однако существует вероятность, что есть. И в случае, если есть хоть один процент негативного развития событий – лучше перепроверить и избежать этого процента (ссылок не могу дать, но ключевые слова те же: BadUSB, взлом самолёта через usb, взлом автомобиля через usb).DrPass
10.07.2015 13:51> Я работал в колл-центре и мне были важны все звонки клиентов
Вы знаете, я вам не верю. Дело в том, что я тоже работал в колл-центре процессингового центра в начале 2000-х. Я прекрасно помню, в чём разница между звонком клиента, у которого проблемы, и звонком кого-то, кто по всякой непонятной ерунде обращается. Могу себе представить, как оператор записывает в описании звонка: «Всё тот же клиент, которому не понравился USB-порт на нашем информационном табло. Успокоил клиента, сказал, что мы занимаемся проблемой». А затем закрывает тикет.
x128
10.07.2015 16:30+4[:|||||||||:] Хакер в столовой [:|||||||||:]
MichaelBorisov
10.07.2015 15:54+1По поводу бюрократии в банках есть великолепная история. В интернете много где гуляет, вот одна из первых найденных ссылок: abelomorov.livejournal.com/1542.html
Так что, автор, не отчаивайтесь! Не исключено, что через годик-другой в банке полетят головы из-за ваших обращений!Gorodnya Автор
10.07.2015 17:13Прекрасная история, читал её когда-то)
Но мне не нужно, чтобы головы летели, я не такой кровожадный)
Ivan_83
10.07.2015 17:37+3Какое унылое обсуждение, никакого креатива.
«А если вставить флешку? А как мы узнаем имя файла на флешке? А если там не венда?»…
Что, кроме флешек в USB больше ничего не влезает!?
Для USB куево-кукуево стандартных типов/классов устройств, для многих даже дров не надо!
Подключите туда хотя бы клаву с мышкой, всё веселее будет.
Ещё веселее будет подключить туда usb<->ethernet сетевуху, поднять на ноуте дхцп сервер и поснифать трафик, посканить порты, если оно туда адрес присвоит чтонибудь да найдётся. Может даже получится перехватить сетевой траф (ведь дефолтный шлюз сменится если оно дхцп клиента запустит на этом адаптере) и узнать по отпечатку что там за ОС и тп…
Можно и usb wifi, малоли.
Или блютус.
Или экзотику типа usb-com.
Или хаб с сидюком с загрузочным диском, клавой+мышкой и передёрнуть питание, можно словить… лулзов или подзатыльников от правоохранителей.vlivyur
11.07.2015 11:14Там наверняка простенький контроллер и он может быть не в курсе что есть сетевухи/клавы и пр. ему нужна простая флешка.
Alexeyslav
11.07.2015 11:21Такого понятия как простая флешка не бывает, их там несколько видов которые попадают под понятие «простая флешка» и всем им нужен разный подход и драйвера. Конечно, все современные флешки идут как MassStorage, но если взять какую-нибудь флешку 10-летней давности и подключить к девайсу который понимает только MassStorage может выйти облом.
EnterSandman
Потому что всем на всё плевать
habrastorage.org/files/ed5/b38/b54/ed5b38b54c404fc394c414c5db9f955c.jpg
сколько раз говорилось о том что у людей нет ответственности и еще столько же о том что спасибо нынче не услышишь
ivanych
Что это за картинка? Что означает?
EnterSandman
Кадр из фильма Ночной продавец, www.youtube.com/watch?v=Ti97Iit_Y1U