Судя по комментариям, каждый видит своё. Для меня суть поста была показать всем, насколько МФЦ плевать на защищённость наших ПД, и в частности продемонстрировать, как любой «уверенный пользователь ПК» (не шутка) может получить полный контроль над терминалом.
Выше vampire333подтвердил мои опасения о том, что терминалы находятся в одной сети со всеми остальными устройствами. Поэтому это пост не о том, как вызвать диспетчер задач, а о том, насколько безалаберно в нашей стране относятся к нашим же с вами персональным данным.
Ты иди к руководству МФЦ и расскажи о дырках, чего ты как маленький…
Начнём с того, что это госучреждение, со всеми вытекающими отсюда последствиями. То есть мало того, что мне надо как-то попасть к этому руководству, ещё надо его убедить в том, что надо взять и по всей стране, во-первых, отключить терминалы, во-вторых, потратить немалую сумму денег на их перенастройку/переоборудование. И даже если мне это удалось бы (в чём лично я сильно сомневаюсь), начались бы бюджетные ритуалы — там согласовать, тут оказывается никто не закладывал таких затрат, и вообще ждите, может, в следующем году выделим деньги.
Далее. Я не хакер, как указал в статье — информационная безопасность вовсе не мой конёк. Я не исследователь защиты, и не надо ко мне применять «шляпные» понятия. Я нашёл проблему — я поделился ей с сообществом. Если конкретно вас (ой прости, тебя) не устраивает мой способ, можете сделать так, как считаете нужным, а я уж сам как-нибудь придумаю, что делать. Как в старом анекдоте — «не говорите мне, что делать» ну и т.д.
Лишь бы пописать дать?
К сожалению, уровень моего интеллектуального развития не позволяет мне понять, что ты имел ввиду этой фразой.
Я трезво смотрю на вещи и понимаю, что нельзя просто так взять и переоборудовать терминалы по целому ряду причин. Вариантов выбора в этой ситуации на самом деле больше, чем два, так что я рассчитываю на лучшее.
Я не думаю, что сделал что-то такое, за что можно лишить человека свободы. В конце концов, там обрабатываются наши с вами персональные данные, а это вам не шубу в трусы заправлять. Это касается каждого (кто живёт в РФ).
Я думаю, вы немного преувеличиваете. Вот немного ниже товарищ vampire333 подтверждает мои слова. А ещё можно кейлоггер поставить на терминал и иметь немного данных для входа в госуслуги, да и вообще применений тонна. В даркнете есть сервисы по «работе» с ПД, я думаю, они могут использовать вот такие вот дыры в безопасности.
Вообще-то пишут, что ведётся видеонаблюдение, стоит красящая кассета и т.п. Плюс сделать что-то с банкоматом, не обладая соответствующей квалификацией и инструментами практически невозможно. Навскидку могу вспомнить только баг с придерживанием карты при снятии денег (когда банкомат считал, что деньги не выданы, а по факту выдавал).
Лично я там ничего не нарушил. Alt+Tab обратно на приложение (кстати да, оооооооочень сложная поделка — форма с WindowStyle=None и браузер контролом) и всё. Нарушил там работу админ, после меня всё работало.
Вы правы только отчасти. Ваша аналогия некорректна и вот почему.
На стенах режимного предприятия обычно есть предупреждающие надписи — это раз. Во вторых, есть колючая проволока, которая как бы намекает, что не надо тут перелезать через стены.
А что мы видим здесь? Положим, я хочу зайти в Госуслуги. Ставлю тачскрином фокус на поля ввода и вижу кнопку, предлагающую мне показать экранную клавиатуру. Показываю клавиатуру и пользуюсь ей дальше на своё усмотрение. Комбинации клавиш вроде никто не запрещал, рядом с терминалами никаких предупреждений нет.
Я думаю, что аналогия получше — это автомобиль с открытыми окнами или то же самое режимное учреждение, но только без стен и охраны. По этой же аналогии я, проходя мимо, решил заглянуть и запечатлеть на память.
Чего я не сделал, за что по идее можно получить наказание:
Не получил доступ к закрытой информации
Не сломал терминал
P.S. Но всё равно спасибо за беспокойство, подобные мысли нет-нет да приходят в голову.
Если бы это был информационный терминал, никаких проблем бы не было. Но, если вы обратите внимание на две последних фотографии, то поймёте, что основное предназначение конкретно этих терминалов — доступ к Госуслугам:
Там есть и информационные терминалы, про них ничего не могу сказать.
Зато можно судить по личному опыту. Сходите в свободное время в МФЦ и потыкайтесь в терминале, там конь не валялся в плане защиты вообще чего-либо. Я говорю как человек, принимавший прямое участие в разработке терминалов, скажем так, это моё субъективное мнение.
По порядку:
Судя по комментариям, каждый видит своё. Для меня суть поста была показать всем, насколько МФЦ плевать на защищённость наших ПД, и в частности продемонстрировать, как любой «уверенный пользователь ПК» (не шутка) может получить полный контроль над терминалом.
Выше vampire333 подтвердил мои опасения о том, что терминалы находятся в одной сети со всеми остальными устройствами. Поэтому это пост не о том, как вызвать диспетчер задач, а о том, насколько безалаберно в нашей стране относятся к нашим же с вами персональным данным.
Начнём с того, что это госучреждение, со всеми вытекающими отсюда последствиями. То есть мало того, что мне надо как-то попасть к этому руководству, ещё надо его убедить в том, что надо взять и по всей стране, во-первых, отключить терминалы, во-вторых, потратить немалую сумму денег на их перенастройку/переоборудование. И даже если мне это удалось бы (в чём лично я сильно сомневаюсь), начались бы бюджетные ритуалы — там согласовать, тут оказывается никто не закладывал таких затрат, и вообще ждите, может, в следующем году выделим деньги.
Далее. Я не хакер, как указал в статье — информационная безопасность вовсе не мой конёк. Я не исследователь защиты, и не надо ко мне применять «шляпные» понятия. Я нашёл проблему — я поделился ей с сообществом. Если конкретно вас (ой прости, тебя) не устраивает мой способ, можете сделать так, как считаете нужным, а я уж сам как-нибудь придумаю, что делать. Как в старом анекдоте — «не говорите мне, что делать» ну и т.д.
К сожалению, уровень моего интеллектуального развития не позволяет мне понять, что ты имел ввиду этой фразой.
На стенах режимного предприятия обычно есть предупреждающие надписи — это раз. Во вторых, есть колючая проволока, которая как бы намекает, что не надо тут перелезать через стены.
А что мы видим здесь? Положим, я хочу зайти в Госуслуги. Ставлю тачскрином фокус на поля ввода и вижу кнопку, предлагающую мне показать экранную клавиатуру. Показываю клавиатуру и пользуюсь ей дальше на своё усмотрение. Комбинации клавиш вроде никто не запрещал, рядом с терминалами никаких предупреждений нет.
Я думаю, что аналогия получше — это автомобиль с открытыми окнами или то же самое режимное учреждение, но только без стен и охраны. По этой же аналогии я, проходя мимо, решил заглянуть и запечатлеть на память.
Чего я не сделал, за что по идее можно получить наказание:
P.S. Но всё равно спасибо за беспокойство, подобные мысли нет-нет да приходят в голову.
Там есть и информационные терминалы, про них ничего не могу сказать.