Иногда приятно удивляет изобретательность мошенников, которые хотят завладеть данными пластиковой карты: например, карточные воры придумали устанавливать скиммер в дверях (хотя об этом было написано на Хабрахабре ещё в 2011-м году). Однако люди сами часто бывают виноваты в том, что допускают возможность обокрасть себя: простые словарные пароли, неиспользуемая двухфакторная аутентификация, один пароль к нескольким сервисам и другое.

Но то, что я увидел несколько недель назад, побило все рекорды глупости и халатного отношения к безопасности в финансовой компании.

Мне нужно было снять деньги в банкомате, который находится в зоне 24/7 одного банка.

Так уж совпало, что я захотел посмотреть поближе на тот дисплей, на котором отображается курс валют (на картинке ниже Вы видите на нём иерогрифы).

image

Да, это был обычный светодиодный дисплей. Но мой взгляд упал ниже. Упала и челюсть — снаружи банка был открытый, неприкрытый никакой заглушкой, USB-разъём:

image



В сумке нашлась флешка с фото и я незамедлительно решил её вставить.

Итог: вместо курса валют на табло банка появляется надпись "????", что значит «диск без программы» или «флешка не показывает», в зависимости от Google или Яндекс.Переводчика.

А если бы я был злой хакер? А если бы на моей флешке был вирус? Вирус мог бы заразить это табло, а затем перейти на флешку сотрудника, который пришёл бы настраивать табло. Дальше вирус перешёл бы уже в систему банка. Всё, система банка скомпрометирована!

Поэтому я позвонил в поддержку банка и попросил решить проблему, а также уведомить меня звонком (несколько раз просил, чтобы перезвонили).

Через пару дней пришла смс вида «Ваше обращение 1234567 было обработано. Детали — в контакт-центре». Но я же просил позвонить.

Ладно, звоню в банк сам. Не сразу (несколько минут ожидания, несколько холдов и несколько сотрудников, которые переключали меня между собой), и мне говорят, что вопрос был решён, передан ответственным лицам или что-то стандартное, аналогичное.

Я говорю, что просил неоднократно мне перезвонить, а мне не перезвонили, и кроме сухого «спасибо» в такой трагикомичной ситуации ничего не получаю от банка — возможно, банк захочет меня отблагодарить денежно? Оператор сообщила, что данная услуга не предусмотрена, но я сказал, что хочу зафиксировать этот вопрос — я действительно устал просто так тратить своё время, делая людям добро и ничего не получая взамен.
потому как
Один раз я нашёл с друзьями пару лет назад пластиковую карту, торчащую из банковского терминала, но никто не захотел напрягаться, чтобы её вернуть. А я позвонил в колл-центр нелюбимого мной банка, дождался небыстрого ответа оператора, оставил, скрипя зубами, свои контактные данные, и когда вернул карту — даже «спасибо» звучало их уст утерявшего карту человека неубедительно — «а, там всё равно не было денег». Второй раз шёл со смены домой, нашёл кучу визиток, дисконтных и пластиковых карт, не ложился спать, но вернул — а даже пивом не угостили.


Спустя неделю я не дождался ни звонка, ни смс, поэтому перезвонил сам. Оказалось, второй оператор не зафиксировал мой запрос.
— Окей, а хоть проблему-то решили?
— Да, — или что-то аналогичное по смыслу, отвечает мне третий оператор — Если хотите, я прямо сейчас зафиксирую Ваш запрос повторно.
— А есть ли смысл? Первый раз не позвонили, второй раз не зафиксировали.
— Я зафиксирую Ваш вопрос и Вы можете буквально через 10 минут перезвонить нам, чтобы удостовериться. Или просто ожидайте 5-7 дней, Вам поступит смс.
— А, может, мне есть смысл написать Вам на Фейсбуке, чтобы вопрос был решён быстрее?
— Как Вам угодно, но я зафиксирую Ваше обращение и Вам поступит смс в течении 5-7 дней.
— Ладно.

Проходит неделя, смс никакой нет (на звонок я уже не надеюсь), звоню снова сам.

Третий оператор зафиксировала моё обращение в комментариях к первоначальному запросу, который решён, поэтому… «Поэтому я сейчас оформлю новое обращение, и перезвоню Вам в течении пяти минут, чтобы сказать его номер», — говорит мне четвёртый оператор.

В общем, ещё неделю ждать бесполезно, между этими неделями ожиданий я снова был рядом с отделением банка: разъём всё также доступен на улице всем желающим, и после того, как туда вставить флешку, экран всё так же начинает показывать иероглифы.

image

ещё фото
image

image

image

Комментарии (50)


  1. EnterSandman
    09.07.2015 16:54
    +5

    Потому что всем на всё плевать
    habrastorage.org/files/ed5/b38/b54/ed5b38b54c404fc394c414c5db9f955c.jpg

    сколько раз говорилось о том что у людей нет ответственности и еще столько же о том что спасибо нынче не услышишь


    1. ivanych
      09.07.2015 19:12
      +2

      Что это за картинка? Что означает?


      1. EnterSandman
        09.07.2015 19:21

        Кадр из фильма Ночной продавец, www.youtube.com/watch?v=Ti97Iit_Y1U


  1. teamfighter
    09.07.2015 17:18
    +7

    Аж два раза написанный пост о том, что человеку за добрую услугу не дали денег. Возмущение автора, видимо, глубоко)
    А вообще, EnterSandman прав. Всем плевать. Хорошо, что еще не привлекли к ответственности за умышленное вредительство.


    1. Gorodnya Автор
      09.07.2015 18:06

      Я думаю, вы понимаете, что статья из­ песочницы не могла появиться дважды на ­сайте по моей вине или прихоти; скрыл дубль.

      А возмущение моё не то, чтобы велико. Пр­осто потерять мои обращения, не отреагир­овать на них должным образом и не исправ­ить ситуацию за несколько недель…

      Понимаю, что такова реальность, но груст­но.


      1. teamfighter
        09.07.2015 19:05

        Конечно понимаю, просто забавная ситуация сама по себе. А вообще реальность в данном вопросе действительно удручает.


        1. Suncheez
          10.07.2015 23:48

          я однажды случайно обнаружил способ выйти на десктоп банкомата и сообщил об этом. Раз двенадцать. ПРоблему только через год пофиксили заменой банкомата.
          Так что действительно «всем п… й».


  1. vrmzar
    09.07.2015 17:20
    +11

    Либо делаешь добро и кидаешь его в воду, либо не делаешь. А делать и ожидать благодарности — то ещё извращение, ничего кроме фрустрации не приносящее.


  1. Voenniy
    09.07.2015 17:25
    +13

    А если бы на моей флешке был вирус? Вирус мог бы заразить это табло, а затем перейти на флешку сотрудника, который пришёл бы настраивать табло. Дальше вирус перешёл бы уже в систему банка. Всё, система банка скомпрометирована!


    А если там не Windows?


  1. gmist
    09.07.2015 17:28
    +12

    В сумке нашлась флешка с фото и я незамедлительно решил её вставить… А если бы на моей флешке был вирус?

    А если бы на торчащем USB было 220v?


    1. AndreyDmitriev
      09.07.2015 17:54
      +1

      А тогда надо было бы применить симметричные санкции, и тут ещё вопрос — кто кого…


  1. VBKesha
    09.07.2015 17:31
    +13

    А если бы я был злой хакер? А если бы на моей флешке был вирус? Вирус мог бы заразить это табло, а затем перейти на флешку сотрудника, который пришёл бы настраивать табло. Дальше вирус перешёл бы уже в систему банка. Всё, система банка скомпрометирована!

    А если там не винда? А если с флешки читается только определённый файл а записи вообще не предусмотрено?
    Ну точит USB и что? Я лично не вижу проблему кроме как грязью забъётся, остальное просто додумано что может быть. Но мало того что вы решили что проблема 100% есть, и теперь достаёте банк, требуя чтобы вам позвонили и что то объяснили потратив на это своё время, и скорей всего зря.
    PS. А флешку скорей всего на ночь забирают чтобы не сперли.


    1. Gorodnya Автор
      09.07.2015 20:07
      -3

      Я не достаю банк, это их работа — реагировать на возможные проблемы и отвечать клиентам.
      Почему, когда одни компании благодарят, а другие даже не удосуживаются перезвонить и теряют обращения?


      1. VBKesha
        09.07.2015 21:00
        +3

        Я не достаю банк, это их работа — реагировать на возможные проблемы и отвечать клиентам.

        У вас как у клиента были какие то реальные проблемы, а не домыслы как кто то может навредить банку?
        Я не достаю банк, это их работа — реагировать на возможные проблемы и отвечать клиентам.

        Пока они будут отвечать вам о том что ничего страшного в доступном USB нет, клиент с реальной проблемой будет ждать ответа.
        Может я неправ но ИМХО если у вас проблема не как у клиента то вам никто ничего не должен, особенно перезванивать вам, и объяснять как работает тот или иной девайс.


    1. Alexeyslav
      10.07.2015 09:35

      Это не аргумент. Всегда можно найти такую комбинацию которая приведет к уязвимости. Даже если там запись запрещена программно, есть еще целая куча способов обойти этот программный запрет. Что будет, если на флешке окажется особым образом битая ФС которая приведет к исполнению некоего кода?
      Наверняка начинка этого девайса не такой уж секрет, какая-нибудь встраиваемая система на основе линукса, или что-то вроде Малинки. Если сильно постараться то можно найти способ поселить на ней код который будет заражать флешки вредоносным кодом. Скорей всего с безопасностью этого «табло» всё очень печально — это же «всего лишь табло» что с ним может статься. К сожалению, не все понимают что оно может внезапно стать рассадником вируса. Как, к примеру, многие люди считают что на флешке из фотоаппарата 100% никогда не может быть вирусов, это же фотоаппарат! Увы… даже самая простая цифромыльница это целый микрокомпьютер со своими уязвимостями… только пока еще слишком дорого распространять вирусы через фотоаппараты(требуются довольно специфические знания), поэтому никто еще особо не брался за этот вопрос поскольку есть более простые, дешевые и массовые способы.


      1. VBKesha
        10.07.2015 10:13
        +1

        С одной стороны да, с другой если система безопасности самого банка так «хороша» что любая заразная флешка поразит весь банк, то ИМХО этот информационный стенд последнее на что стоит обращать внимание.


  1. SergeyGrigorev
    09.07.2015 17:41
    +9

    Вот если бы вы действительно провели исследование и получили часть каких-то, пусть даже абсолютно безопасных для кого-либо данных оттуда, например «там крутится такая-то ОС, и если постараться, то автоматически запущенное приложение сможет посмотреть список открытых портов», ну и в том роде, было бы интересно почитать. И о чем задуматься. А так — преждевременные догадки, ничем не подкрепленные.


    1. AndreyDmitriev
      09.07.2015 18:09
      +1

      Да. В принципе если предположить, что там читается какой-то файл с определённым именем, то можно смастерить сниффер (это само по себе хорошее программно-аппаратное упражнение), который будет эмулировать пустую флешку и сообщит нам, какой именно там файл читается. Следующим шагом можно подсунуть банкомату этот файл и просто посмотреть, что получится. Если это какой-либо зашифрованный «firmware.bin», который не пройдёт проверку, то ничего страшного не случится, ну а если «update.exe», и он ещё и запустится тут же, то можно получить много интересной информации. Не уверен правда, где заканчивается легальная область подобных действий и начинается нелегальная.


      1. amarao
        09.07.2015 18:26
        +1

        Нельзя смастерить флешку, которая узнает, какой файл с неё хотят прочитать. Читается корневой каталог, а ОС выбирает из прочитанного нужное.


        1. BupycNet
          09.07.2015 19:50
          -1

          Можно смастерить USB-устройство, которое будет эмулировать флешку и логгировать проходящие запросы через USB. Разве нет?


          1. VBKesha
            09.07.2015 20:34
            +1

            Да можно, но это не поможет узнать какой файл нужен. Система прочитает нужный ей каталог например корневой не найдёт там нудного файла и дальше ничего делать не будет. Вы увидите что был доступ к секторам содержащим служебные структуры FS и всё.


            1. monah_tuk
              09.07.2015 21:52
              -3

              Попытаться стоит. На хабре была статья про реализацию config device через mass storage класс, можно допилить.


              1. Alexeyslav
                10.07.2015 10:03
                +1

                Даже и не стоит пытаться. Считыватель не посылает имя файла в флешку, он считывает корневой каталог и пытается по нему найти номер ячейки в FAT с цепочкой кластеров занятых файлом.
                Естественно если нужного файла нет то весь процесс поиска останавливается после первого этапа и со стороны флешки будет зарегистрирована только попытка считать корневой каталог.


                1. monah_tuk
                  10.07.2015 15:46

                  Да, перечитал статью. Действительно, не получится. Только если знать имя файла (а что, собственно и нужно узнать) и подсунуть свой маппинг (http://habrahabr.ru/post/247673/). Но так мы сможем только свой файл подсунуть, что можно сделать и обычной флешкой :)


          1. amarao
            09.07.2015 21:11
            +1

            Нет. Флешка обслуживает блочный уровень, а не уровень fs.


    1. Gorodnya Автор
      09.07.2015 20:08
      -1

      Как написано ниже, «Не уверен, где заканчивается легальная область подобных действий» )


  1. npechenkin
    09.07.2015 18:18
    +1

    Вероятнее всего там контроллер FK для бегущих строк, например какой-нибудь FK-SU3 USB. В этом случае usb служит только для обновления ролика и у меня есть большие сомнения, что штатная прошивка вообще предназначена для того, чтобы хоть что-нибудь писать на носитель. Хотя, если обновление самого firmware происходит по такому же принципу, то…


  1. amarao
    09.07.2015 18:25
    +2

    Надо искать стейкхолдера. То есть того, кого это волнует. Очевидно, в колл-центре это никого не волнует. Я бы попросил переключить на отдел собственной безопасности банка.


    1. Gorodnya Автор
      09.07.2015 20:17

      На мои обращения приходила смс с номером — думаю, информация из колл-центра всё же передавалась далее.
      А звонил я первоначально поздно вечером, поэтому соединить со службой безопасности не просил — просил, собственно, перезвонить мне, как раз для того, чтобы донести им, что открытый USB — небезопасно.


      1. amarao
        09.07.2015 21:12
        +1

        Надо именно с безопасниками. Остальным пофигу.


  1. BeeZONE
    09.07.2015 18:30

    Скорее всего внутри стоит подобный контроллер. Проблемы найти у китайцев софт к нему не составит большой проблемы.
    image


    1. npechenkin
      09.07.2015 18:43
      +1

      Да, но не факт что получится обновить ролик — контроллер (по крайней мере упомянутый выше FK-SU3) проверяет пин-код, который должен быть в заголовке файла.


      1. BeeZONE
        09.07.2015 18:44
        +1

        Даже если и такой, то не удивлюсь, что там дефолтный пароль :)


  1. BalinTomsk
    09.07.2015 19:01

    В ряде банкоматов сзади сетевой разьем — думаю можно халявным интернетом разжится.

    А в USB воткнуть 20 баксный генератор биткоитов — нехай работает


    1. monah_tuk
      09.07.2015 21:55
      -1

      Кстати, а если туда разрядить чем-то? Тоже же приятного мало.


  1. Big-Boss
    09.07.2015 19:03
    +6

    Это просто бесплатная зарядка!


  1. slimper
    09.07.2015 21:29
    +9

    А если бы на моей флешке был вирус? Вирус мог бы заразить это табло, а затем перейти на флешку сотрудника, который пришёл бы настраивать табло. Дальше вирус перешёл бы уже в систему банка. Всё, система банка скомпрометирована!

    Image #2430038, 554.4 KB


  1. realscorp
    10.07.2015 07:03
    +8

    Я вот как-то зашел в столовую. Смотрю — а там кассир из банка обедает! Просто так обедает, даже не проверяет свою еду!
    Ведь, получается, ее можно отвлечь, и пока она не видит, спокойно чихнуть ей в борщ. А если она заразится гриппом и пойдет в банк, и если там заразит гриппом коллегу, а коллега заразит начальника? А начальник ведь может и высшее руководство заразить! И все, весь банк, считай, выведен из строя!


    1. Gorodnya Автор
      10.07.2015 07:33
      -1

      Не стоит передёргивать. Уверен, каждый из вас читал статьи, где взломы систем происходили из-за какой-то, казалось бы, несущественной мелочи. Из последнего, что читал я — как парень перехватил контроль над пассажирским самолетом, используя уязвимость его развлекательной системы.


      1. realscorp
        10.07.2015 11:12
        +3

        Вам окружающие и я, в том числе, пытаются дать понять, что в вашем случае считать доступный usb-порт в светодиодном табло сколько-нибудь существенной угрозой безопасности инфраструктуры банка — до смешного необоснованная паранойя.


        1. Gorodnya Автор
          10.07.2015 13:15

          Возможно. Однако есть ситуац­ии, когда лучше лишний раз обезопаситься (ссылок дать не могу)­: BadUSB­, взлом самолёта через usb, взлом автомо­биля через usb.


      1. DrPass
        10.07.2015 11:20

        Тут момент такой: если после регистрации вашего обращения ничего не изменилось, то либо проблемы не существует, либо всем пофигу. И в том, и другом случае нужно остановиться, и не доставать колл-центр банка своими подозрениями. Оператор банка регистрирует ваше обращение, а сам думает: «Господи, ко мне еще только по поводу доставки пиццы сегодня не обращались».
        В самом деле, речь идет об электронном табло. Ну да, там есть возможность загрузки данных с USB-накопителя, это его естественная функция. Как вы предлагаете его обезопасить, если табло находится снаружи? Вандалоустойчивый корпус с замком под сигнализацией, и внутри вожделенный USB? Ради чего, ради гипотетического предположения, что кто-то провернет суперсложную многоходовку атаки через табло?


        1. Gorodnya Автор
          10.07.2015 13:28
          +1

          Я вижу и знаю, что всем пофигу. И это пе­чально. Я работал в колл-центре и мне бы­ли важны все звонки клиентов. Со стороны­ банка достаточно было бы перезвонить и ­сказать «Банк не видит в этом проблемы, ­извините» – и всё. А они этого не сдела­ли.

          К тому же, я посчитал нужным уведомить и­х о такой ситуации. «Не доставать колл-ц­ентр» – четыре звонка за 4 недели – не с­лишком большая нагрузка на линию. К тому­ же как, без звонка в КЦ, уведомить служ­бу безопасности? Или мне нужно было про­сто пройти мимо, как ни в чём не бывало?­ Я просто ещё не встречал торчащих наруж­у портов.

          Может, проблемы и нет, однако существует­ вероятность, что есть. И в случае, если­ есть хоть один процент негативного разв­ития событий – лучше перепроверить и изб­ежать этого процента (ссылок не могу дат­ь, но ключевые слова те же: BadUSB­, взлом самолёта через usb, взлом автомо­биля через usb).


          1. DrPass
            10.07.2015 13:51

            > Я работал в колл-центре и мне бы­ли важны все звонки клиентов
            Вы знаете, я вам не верю. Дело в том, что я тоже работал в колл-центре процессингового центра в начале 2000-х. Я прекрасно помню, в чём разница между звонком клиента, у которого проблемы, и звонком кого-то, кто по всякой непонятной ерунде обращается. Могу себе представить, как оператор записывает в описании звонка: «Всё тот же клиент, которому не понравился USB-порт на нашем информационном табло. Успокоил клиента, сказал, что мы занимаемся проблемой». А затем закрывает тикет.


    1. x128
      10.07.2015 16:30
      +4

      [:|||||||||:] Хакер в столовой [:|||||||||:]

  1. MichaelBorisov
    10.07.2015 15:54
    +1

    По поводу бюрократии в банках есть великолепная история. В интернете много где гуляет, вот одна из первых найденных ссылок: abelomorov.livejournal.com/1542.html

    Так что, автор, не отчаивайтесь! Не исключено, что через годик-другой в банке полетят головы из-за ваших обращений!


    1. Gorodnya Автор
      10.07.2015 17:13

      Прекрасная история, читал её когда-то)
      Но мне не нужно, чтобы головы летели, я не такой кровожадный)


  1. Ivan_83
    10.07.2015 17:37
    +3

    Какое унылое обсуждение, никакого креатива.
    «А если вставить флешку? А как мы узнаем имя файла на флешке? А если там не венда?»…
    Что, кроме флешек в USB больше ничего не влезает!?
    Для USB куево-кукуево стандартных типов/классов устройств, для многих даже дров не надо!

    Подключите туда хотя бы клаву с мышкой, всё веселее будет.
    Ещё веселее будет подключить туда usb<->ethernet сетевуху, поднять на ноуте дхцп сервер и поснифать трафик, посканить порты, если оно туда адрес присвоит чтонибудь да найдётся. Может даже получится перехватить сетевой траф (ведь дефолтный шлюз сменится если оно дхцп клиента запустит на этом адаптере) и узнать по отпечатку что там за ОС и тп…
    Можно и usb wifi, малоли.
    Или блютус.
    Или экзотику типа usb-com.
    Или хаб с сидюком с загрузочным диском, клавой+мышкой и передёрнуть питание, можно словить… лулзов или подзатыльников от правоохранителей.


    1. vlivyur
      11.07.2015 11:14

      Там наверняка простенький контроллер и он может быть не в курсе что есть сетевухи/клавы и пр. ему нужна простая флешка.


      1. Alexeyslav
        11.07.2015 11:21

        Такого понятия как простая флешка не бывает, их там несколько видов которые попадают под понятие «простая флешка» и всем им нужен разный подход и драйвера. Конечно, все современные флешки идут как MassStorage, но если взять какую-нибудь флешку 10-летней давности и подключить к девайсу который понимает только MassStorage может выйти облом.