СберШифт: пять раз нажимай и в систему попадай

    Скриншот запроса включения функции залипания клавиш

    Помните одну из тех самых надоедливых возможностей Windows, особенно знакомую геймерам, когда пятикратное нажатие Shift вызывает специальное окошечко, предлагающее включить режим залипания клавиш? Эта «фича» дожила аж до Windows 10, к слову. Ну так вот, я, стоя у терминала Сбербанка с полноразмерной клавиатурой и ожидая ответа оператора по телефону, от скуки решил понажимать этот самый Shift, наивно полагая, что без функциональных клавиш это ни к чему не приведёт. Как бы не так! Пятикратное быстрое нажатие этой клавиши выдало мне то самое окошечко, к тому же обнажив панель задач со всем банковским ПО. Остановив работу пакетного файла (см. панель задач на видео ниже), а затем и всего банковского ПО, можно сломать терминал.



    «Такое себе» — подумал я и попытался сообщить о найденной проблеме. Подобное желание у меня возникло впервые, поэтому я не придумал ничего лучше как обратиться к сотруднику Сбербанка с вопросом о том, кому можно сообщить. Девушка довольно неохотно ответила, что она ничего не знает, на вопросы о том, как связаться с начальством, ответила лаконичным молчанием и посоветовала обратиться в службу поддержки по телефону, написанному на самом терминале. Окей, звоним. К сожалению, записи разговора нет, осталась лишь картиночка-скриншот с датой звонка.

    Скриншот с телефона из журнала звонков

    В техподдержке приветливая девушка после того, как я сказал, что хочу сообщить об уязвимости, сразу переключила меня на какого-то другого специалиста. Тот сначала спросил как ко мне можно обращаться и номер терминала, затем о сути проблемы, потом я достаточно долго слушал музыку, и, в конце концов, парень сказал, что проблема зафиксирована. На вопрос о том, полагаются ли какие-то бонусы за сообщение о подобных проблемах, он ответил, что такой информацией не располагает. На этом разговор был окончен, однако я решил попытать счастье в третий раз и обратился к девушке, которая помогает клиентам с терминалами. Она тоже посмотрела на выскакивающее окошко, после чего посоветовала позвонить инкассаторам, на просьбу дать их номер я получил невнятные ответы.

    Всё это происходило шестого декабря. Спустя две недели я решил проверить, что там с терминалом. Всё-таки, как-никак они сказали, что «зафиксировали» проблему, наверное же должны были её уже устранить, но нет — воз и ныне там, окошко всё так же всплывает. Я не эксперт в области информационной безопасности и не могу судить о том, какой урон может нанести эта «фича», но, судя по вялой реакции — никакой. Посему за фактом бездействия Сбербанка сообщаю о весёлой акции «СберШифт» вам, дражайшие хабровчане.

    UPDATE от 29.12.2017
    TL;DR: уязвимость устранили, окошко больше не открывается. Проверил лично. За это дали ежедневник и кардхолдер.

    Через день после данного поста со мной по электронной почте с домена sberbank.ru связался человек-представитель Сбербанка, собиравшийся «поднять вопрос о качестве консультации и проверить куда улетел отложенный вопрос». Связавшийся попросил мой номер телефона и дату, в которую было сделано обращение. Я ему сообщил эти данные, и через день после этого было сообщено, что работники Сбера уже исправляют проблему.
    Далее, 22 декабря мне на мобильный телефон позвонили из местного отделения Сбербанка с просьбой прийти в головной офис для получения «извинительного подарка». В качестве такого подарка были вручены фирменный ежедневник и кошелёк для банковских карт. В этот же день я не поленился и сходил «в гости» к терминалу Сбербанка, потыкав ему Shift вновь. Реакции не последовало, а значит и проблема решена.

    Сегодня же со мной связался Sberbank и попросил написать этот апдейт. Честно говоря, я давно намеревался это сделать, но учёба постоянно отвлекала. Сегодня же выдался свободный денёк. Собственно, цитирую с сохранением орфографии комментарий Сбербанка, который компания попросила сюда добавить:
    Данная информация уже не является актуальной на сегодняшний день. К настоящему моменту описанная уязвимость устранена на всех аналогичных информационно-платежных терминалах Сбербанка, оборудованных расширенной полноразмерной клавиатурой. Также отмечаем, что описанная уязвимость не несла за собой каких-либо рисков для безопасности устройств. Применяемые средства защиты не позволяют произвести на терминале или банкомате каких-либо неправомерных действий, которые могли бы нанести вред клиентам или банку.
    При этом, мы благодарны нашим клиентам за внимательность и обратную связь по обнаруженным особенностям конфигурации наших систем. В свою очередь, стараемся реагировать максимально оперативно и учитывать ваши пожелания по работе всех наших систем и сервисов.
    Поделиться публикацией
    Ой, у вас баннер убежал!

    Ну. И что?
    Реклама
    Комментарии 207
      0
      Полагаю, это неправильная конфигурация одного банкомата, а не системы в целом
        +3
        Там стояло три терминала, у всех трёх такая проблема. Со слов сотрудницы банка, их настраивают удалённо, так что насчёт системы знать не могу. Да если даже и одного терминала, по телефону я сообщил его номер, можно было бы и исправить.
          +5
          — Шеф, у нас дыра в безопасности!
          — Ну хоть что-то у нас в безопасности.
          +2
          Проблема наблюдается во многих терминалах. Специалисты, о которых было сказано, скорее всего просто напросто забывают о такой элементарной вещи. Банкоматов то много-много, думайте специалист на них один? :) Вот и работают они по разному. Скорее всего и по разному относятся к своей работе.
            +12

            Если они каждый раз руками настраивают терминал, а не раскатывают с образа, то это жесть. Все таки я не думаю, что все на столько плохо.

              +1
              Не уверен, скажет ли это о чём-то конкретном, но на разных терминалах разная тема оформления Windows: где-то «классическая», а где-то та самая «экспишная» голубая. Следовательно, можно предположить, что, по крайней мере, у них два разных образа.
                +29
                Я видел в Клину терминал с темой от ZverCD. То есть вообще пиратка с чьей-то частной сборкой.
                  +7
                  в Барнауле встретил в банкомате ломаный Total Commander и antiWPA в папке Cracks. Тоже как-то развлекался, как автор, было интересно что там стоит.
            +2
            YunusovTimur а есть статистика по этому поводу?)
              +1

              Это попытка призвать в тред Тимати или хабровчанину действительно повезло быть тезкой рэпера?

                +3
                Это рэперу повезло быть тёзкой хабровчанина.
                0
                А он разве получит уведомление, если просто написать его никнейм? Знаю, в твиттере и телеге есть такая фича, о хабре не слышал
                  0
                  В трекере закладка «упоминания». Там пишется где тебя упомянули.
                  Плюс в зависимости от настроек нотификейшенов приходят письма вида «Бум упомянул Вас в таком-то топике».
              +13
              Я не эксперт в области информационной безопасности и не могу судить о том, какой урон может нанести эта «фича», но, судя по вялой реакции — никакой.

              Может быть ничего серьёзного, но даже не с точки зрения безопасности, а с точки зрения типичного наплевательства — наплевали тут, наплюют и где-то ещё, что плюсом «Сбербанку» точно не будет. На такие ситуации им надо реагировать, тем более, что это не автомат с игрушками/конфетами.
                +1
                Может быть ничего серьёзного

                Ну если проявить немного фантазии, то можно что-нибудь придумать. Очевидное решение — загрузить вредоносный код из сети, но для того чтобы он сработал надо представлять как устроена система и вообще это уголовно наказуемо. А вот, скажем, если создать сайт имитирующий интерфейс банкомата, а на банкомате открыть его и развернуть браузер на полный экран, то подобное доказать уже сложнее, как мне кажется. Правда и возможности сильно меньше.
                  0
                  Не думаю, что в банкомат так легко можно было бы что-то загрузить — даже в теории это риск запредельный. Но как-то напакостить можно было бы при желании точно.
                    +7

                    Открыть блокнот и набрать :)

                      0
                      В XP можно набрать короткий com файл, сбрасывающий пароль BIOS Setup, например. Что самое замечательное — он запустится и под user'ом.
                        0
                        Насколько я помню, даже сохранить не даст с текущими правами пользователя.
                        Вообще, я работал в сбере до 2010 и тогда уже были подобные косяки, но что либо конкретное сделать… посмотреть — да, можно, но ни записать ни отправить куда0то не получится.
                        И если этой проблемой столько лет не занимаются, то видимо хлопот не доставляет.
                          0
                          Все зависит от настроек; сам был свидетелем запуска такого файла.
                          0
                          1. Это терминал, а не банкомат. 2. Софт для него называется Единое Государственное Программное Обеспечение. Выводы делайте сами)
                          –1
                          Можно собрать USB-устройство, которое представится клавиатурой и наберет кучу текста за короткое время. Относительно недавно вроде пробегала новость о таком
                            +3
                            И куда вы его вставите?
                            0
                            Хорошая идея при наличии доступного USB-порта.
                        +7
                        Если я бы был зловредом (с учетом моих скудных познаний в зловредстве):
                        заранее заготовил бы html(может css прикрутил банковский), написал бы там что чтобы после ввода перенаправлялось на другую страницу из локалхост, а там номер телефона.
                        На трубке сидела бы девушка, которая заправишала номер карты и свв, может кто-то и клюнет.
                        Я не местный, риски vs вероятность удачи не считал :) просто как возможный вариант…
                        Или например хоть в блокноте набрать добротно-маркетингово «Типа Сбер закрывается переходите в банк Бла-Бла»… можно двум банкам насолить )
                          +6
                          Только злоумышленником, а не зловредом. Зловред в «компьютерном» контексте — это программа, вольный перевод слова malware.
                          +16
                          А можно просто майнить… че железке простаивать… ;)
                            0
                            Ну да, Греф же майнинг одобряет, заставим все его банкоматы добывать крипту
                              0
                              В банкоматах такие мощности что только крипту и майнить. Хотя если пару десятков тыщ таким образом озадачить — то что-то ощутимое и будет. но такой вариант мало продуктивен, уязвимость физическая. Даже просто обойти и перенастроить пару тыщ уже проблема, не говоря уже о возросшей вероятности спалиться.
                            +1
                            Сильно сомневаюсь что у них есть интернет.
                            Но с клавиатуры что-то набрать можно конечно. Ну и всякие сканеры-кардридеры и прочие PoS устройства можно попробовать использовать как путь для заливки текста «быстрее чем с экранной клавиатуры». Ну а дальше уже на что фантазии хватит. Или фишинг или атака по внутренней сети…
                              +3
                              Сильно сомневаюсь что у них есть интернет.
                              а VPN до банка по-вашему через что поднимается?
                                +3
                                Ну сколько я встречал что-то подобное — приватная сетка поднималась на уровне провайдера или на отдельном «железном» роутере. Нет, понятно, что в банках деятели разные бывают, особенно в сберах, но тем не менее — наличие Интернета на машине это скорее исключение чем то что ожидается увидеть по умолчанию.
                                  0
                                  Банкоматы не всегда возможно воткнуть «прямо в впн» — в каждый торговый центр свой линк не потащишь. Но в роутере внутри банкомата действительно поднимается впн.
                                    +1
                                    Про сеть и интернет в платёжных терминалах:
                                    image

                                    Отсюда: "5 нажатий на экран терминала — и открывается любая папка"
                                      0
                                      Ну банки и 3G модемами не брезгают. Даже домашние модели в редких случаях ставят.
                                  +1
                                  А вот, скажем, если создать сайт имитирующий интерфейс банкомата, а на банкомате открыть его и развернуть браузер на полный экран, то подобное доказать уже сложнее

                                  Да как раз наоборот. Если узнают кто, то будет срок. Ибо умысел есть и статья найдется.
                                  +29
                                  А кто-нибудь помнит такую программу: Art-Money? Думаю, если ее изучить изнутри, то вполне можно провернуть такое же ручками. Поменять данные на внесение наличных: вносишь 500р, затем еще 500, находишь нужную переменную, подменяешь на 100500 — профит.
                                  Чуть не забыл последний пункт — отбываешь наказание в зависимости от суммы хищения:
                                  до 100 000 — до двух лет
                                  до 10 000 000 — до 5 лет
                                  до 50 000 000 — до 10 лет
                                  от 50 000 000 — год условно (или пару месяцев домашнего ареста, а то может и вовсе простят)
                                    0
                                    Не выйдет.
                                    Банкомат сохраняет информацию по каждой операции, каждой купюре и каждой карте.
                                    journal.tinkoff.ru/inside-atm
                                      +1
                                      В связном вот получилось провернуть
                                        0
                                        Вы путаете какой-то там софт в Связном, предназначенный для продажи товаров и банкомат/платежный терминал, который связан с процессингом.
                                        И потом, если у вас есть такой доступ к банкомату, что можно запустить ArtMoney, то проще его заставить выдать деньги другими, менее палевными способами.
                                  +2
                                  Раньше терминалы ломали вводом

                                  <a href="ya.ru">asdasdsa</a> 

                                  в любое поле ввода, тогда правда XP стояла.
                                    0
                                    Кстати, физическая клавиатура в полях для ввода строк не работает, даже если принудительно «тыкнуть» в поле, тем самым попытавшись установить фокус. И, да, на тех терминалах тоже стоит XP.
                                      0
                                      так есть экранная клавиатура)
                                        0
                                        Она неудобная, а та металлическая аппаратная — вполне себе сносная, особенно когда терминал просит ввести ФИО и адрес, где нужен разный регистр и знаки препинания.
                                      +1
                                      Ну дык и сейчас XP стоит, судя по видео.
                                      +12
                                      Можно запустить косынку и залипнуть у терминала? :)
                                        +4
                                        А еще сапера и вообще не отойти?
                                          +70
                                          А если не получается, то позвонить в МВД и сказать, что банкомат заминирован. Когда приедут саперы, попросить помочь.
                                            0
                                            Прям диалог с баша 10-летней давности, я аж прослезился
                                              0
                                              Сегодня прочитал, что уголовку за ложные сообщения дума увеличила до 10 лет.
                                              Ваш коммент, наверное, прочитали.
                                            +7
                                            Так вот почему народ так долго у терминала стоит )
                                              +14
                                              или с особым цинизмом майнить на банкоматах?
                                              –3
                                              Уязвимость доступа к системе, а дальше что? Использовать встроенный софт? Попытаться скачать софт из интернета? Это маловероятно, сеть у сбера скорее всего закрытая, с белым списком и прочими фаерволами, но если это сделать можно — поздравляю, вы нашли дыру в безопасности и если вам не всё равно — пишите во все инстанции с максимальной оглаской. Не захотят фиксить причину сами — обязательно будут фиксить последствия.
                                                0
                                                Если не получится вылезти в интернет, значит получится залезть в «защищенную» сеть банкоматов. Тоже хорошо.
                                                  –1
                                                  а дальше? присесть на бутылку за то, что попинговал соседний терминал — так себе перспектива.
                                                    –1
                                                    Да откуда ж вы эти фантазии про бутылки черпаете?
                                                    (вопрос риторический, знать я не хочу)
                                                      –1
                                                      не желание знать источника этих, как вы выразились «фантазий», не может гарантировать того, что вы их избежите проживая в этой стране, даже не делая ничего противозаконного
                                                        –3
                                                        Безусловно, от тюрьмы да от сумы.
                                                        Но если мне что-то понадобится узнать про тюрьму, то я пойду на тюрем.нет, а не на двач.
                                                  +8
                                                  Банально вешается объявление на экране банкомата: «если банкомат не работает, просьба сообщить о неисправности за вознаграждение: тел. 911-223-332, сайт любимыйклиент.ру. А дальше уже насколько фантазии хватит: разводить на данные кредитки по телефону, использовать номер с платными услугами, хакать посетителей на сайте и т.д. Подаваться всё это будет под брендом банка (его же банкомат), поэтому многие купятся. Я бы не сказал, что это пустяковая уязвимость.
                                                    0
                                                    Опять же, за пустяковый скам с высокой вероятностью получать срок — так себе перспектива. Чем больше терминалов «нашифтил» — тем больше вероятность неблагоприятных последствий.
                                                    0
                                                    Учитывая то, что на банкоматах до сих пор стоит дырявая как сыр XP, фиксить они ничего не будут. И, видимо, выгоднее терять, чем менять устаревшую и дырявую систему.
                                                      0
                                                      XP там скорее всего для терминалов, поэтому не более дырявая, чем десятка.
                                                      0
                                                      Если нет интернета и доступа внешним дискам то можно написать программу или код вируса используя виртуальную клавиатуру. В шестнадцатеричном виде не компилируя.
                                                        0
                                                        А сохранять вы её чем будете? Мало что будет работать после сохранения в win-1251 стандартным блокнотом.
                                                        +1
                                                        Если там установлен .NET Framework, то компилятор есть в стандартном рантайме.
                                                        0
                                                        Слишком хорошего мнения вы о сбере.
                                                        Одно время у них точно был обычный инет+vpn. рвем впн, получаем инет, качаем что надо.
                                                        0
                                                        Все зависит от настройки политик безопасности, от того можно ли запустить командную строку и.т.д.
                                                        Недавно была у меня подобная ситуация в Бургер Кинге, на терминале отвалилась заглушка и обнажилась винда с красующимся на рабочем столе тимвьюером. Недолго думая попробовал ломанутся с телефона. Спокойно законнектившись подозвал манагера, показал ему сие безобразие, на что он мне ответил «Так ведь не каждый может сделать, по этому ничего страшно», улыбнулся и пошел дальше обслуживать заказы. Ну, а я что, развернул заглушку с надпись аппарат не исправен, которая по какой то причине была свернута и пошел восвояси.
                                                          +1
                                                          В Бургер Кинге достаточно просто попытаться выдернуть панель уведомлений справа.
                                                            +2
                                                            Когда-то раньше в бургер кинге можно было открыть экранную клавиатуру и нажать на ней alt+tab.
                                                            Фотка
                                                            image
                                                            +3
                                                            Ха!
                                                            Я подобным образом запустил в в эээ… 2008-ом году Дум на каком-то информационном терминале (не в России). Похожим (но не таким) образом можно было попасть в windows explorer, там уже по диску пройтись, и оп-па, лежала копия Дума.
                                                              +5
                                                              Интересно, представитель Сбера отпишется?
                                                                +4
                                                                Сомневаюсь, что SMM-щик сбера достаточно компетентен в этих вопросах, учитывая, как они реагировали на наличие внешних скриптов в их Сбербанк-Онлайне…
                                                                +1
                                                                То что Сбер самый отстойный банк уже давно не новость.
                                                                  +12
                                                                  Мы поставляли фронт для торговли. Один раз конкуренты продемонстрировали нашему клиенту «выход за пределы песочницы» — Печать/Настройка принтера/Помощь — и т.п. и нам тогда здорово досталось…
                                                                  Это была Windows NT 4.0
                                                                  Пришлось очень серьезно ковыряться с политиками, правами на исполнение, самописными диалоговыми окнами открытия файлов и печати, отключать лазейки со специальными возможностями. Помниться, коллеги соревновались, кто еще найдет дыру…
                                                                  Прошло 20 лет…
                                                                    +6

                                                                    Максимум, что может потерять Сбер в данном случае — это репутационные риски. Но поскольку репутация у него и так ниже плинтуса, то всем откровенно пофиг.
                                                                    Чтобы загрузить туда вирус или фишинговую страница, нужно иметь доступ к начинке терминала, а ключ не у всех есть и, как было замечено выше, это уже уголовно наказуемо.
                                                                    ДА хоть откройте блокнот и ЖОПА там напишите, поржёт народи всё. Сетка терминалов и банкоматов отделена у Сбера + разумеется там всякие белые списки и файерволлы стоят.

                                                                      0
                                                                      Может ли получиться через какойнить эксплоит повысить себе права и отключить фаер?
                                                                        0

                                                                        Как Вы себе это представляете?
                                                                        И-нета там нет и при всё желании не будет. А чтобы туда подгрузить эксплоит, нужно вскрывать корпус на что а) среагирует сигналка б)камеры 3) сотрудники отделения.

                                                                          0
                                                                          Связь там есть, иначе — как терминал делает всякие переводы и платежи? Правкой хитровыветнутых конфигов нельзя повысить свои привилегии, без внешней программы?

                                                                          Ну и хардкор — набрать бинарный код в блокноте с бумажки, а потом записать как com и запустить :)
                                                                            0

                                                                            Ну вряд ли там всё просто, ка вы описываете.
                                                                            Платежи там все проходят через определённый сберовский шлюз, а оттуда уже в процессинг, шлюз во внутренней сети банка. Неограниченного доступа в нет там нет и не будет.

                                                                              +2
                                                                              Я склонен предполагать худшее, со Сбером возможно все…
                                                                                0

                                                                                НУ это да, но вопиющих проколов на терминалах всё же вроде как не наблюдается...

                                                                                0
                                                                                шлюз во внутренней сети банка

                                                                                Так а как к интернету отдельно стоящие банкоматы подключаются? Т.е. там отдлеьно стоит Ethernet/3G-модем-роутер, который поднимает коннект до сберовской сетки, а проц банкомата к нему по ethernet/etc подключаются и на этом интерфейсе нет ничего, кроме внутренней сетки банкоматов, или же как?

                                                                                  0

                                                                                  Вот с удалённо стоящими банкоматами не скажу, но там должен быть хороший и стабильный канал связи.

                                                                                    0
                                                                                    Несколько лет назад был такой банк «Альта-Банк». Там к банковской сети VPN-канал (тут могут быть вариации) прокидывался посредством GPRS-модема, а уже к этому модему по ethernet/usb подключался сам банкомат. При этом механизмы взаимодействия «модем-сеть» были полностью от сотрудников скрыты, их настройкой по удалёнке занимались специальные люди из процессинга, т.е. они даже не являлись персоналом банка.

                                                                                    Кроме того, если я правильно помню, есть банкоматы, которые вообще общаются не с сетью банка, а напрямую по шифрованному каналу через интернет с сетью процессинга. Плюс, ещё раньше были x.25 сети, работающие через телефонные сети, как там всё организовано я вообще хз.

                                                                                    P.S. А, и да, канал связи «банкомат-сеть процессинга» зачастую там был ооочень плохой. А про пропадании коннекта, вместо вызова ГБР (как в фильмах) тупо включалась заглушка.
                                                                                    +1
                                                                                    Лет пять назад проделывал примерно то же самое, что и ТС (только при помощи Ctrl+S, это был терминал без картоприёмника, на котором крутился браузер с главной страницей сбера, кроме которой по идее ничего открывать был не должен). Так вот, там интернет был — ютуб работал, сайт MS, откуда можно было скачать Process Explorer — тоже был доступен. Не думаю, что что-то кардинально поменялось
                                                                                  +1
                                                                                  В свое время нас водили по выставке банкоматов (компания занималась их разработкой) и рассказывали историю, что в одном удаленном от благ цивилизации пункте использовали банкоматный интернет для выхода в сеть
                                                                                  В другой раз принесли нам образ банкомата — на десктопе ярлык на интернет-магазин
                                                                                    0

                                                                                    Любопытно, а что за выставка? Сейчас проводится?

                                                                                      0
                                                                                      У компании, которая банкоматы делала была собственная экспозиция. Сейчас компании нет — Сбер купил
                                                                                        0

                                                                                        Жаль. Я бы посмотрел на NCR или DIEBOLD в прошлом.

                                                                                          0
                                                                                          Там были банкоматы только их фирмы, но поскольку линейка была большая — было да, очень интересно. Очень много агрегатов в повседневной жизни не встречающихся
                                                                                            0

                                                                                            Понятно, эх, я бы посмотрел на музей банкоматов и банковской техники.

                                                                                              0
                                                                                              В личку скинул имя компании. Если сильно интересно, могу по личным старым контактам спросить жив ли музей

                                                                                              А странно действительно. Музеи всего есть — а банкоматов нету
                                                                                                0

                                                                                                Да, видел, спасибо.
                                                                                                Ну не то, чтобы прямо сильно-сильно, но экспозиция была бы весьма занимательной.

                                                                              +1
                                                                              Да чему вы удивляетесь, на тех же самых терминалах иконки соц. сетей всё ещё остались?
                                                                              3 года назад с товарищами-студентами пытались зарепортить проблему, что по ним спокойно можно перейти в их группу вк, там в поске найти свою страничку там уже пройти по любой ссылке.
                                                                              Так мы закидывали ссылку на zalil.com, на котором есть кнопка «загрузить файл», с помощью которой можно спокойно побродить по файловой системе, увидеть всевозможные файлы логов, и, возможно, их куда-нибудь закачать, чего мы от греха делать не стали…
                                                                              Через полгода воз был там же, сейчас — хз…
                                                                                0
                                                                                На терминалах — это вряд ли. Как тут уже не раз писалось, доступа к интернету в банкоматах и и платежных терминалах нет. Вот информационные киоски — это да, там (по крайней мере раньше) такая возможность была. Но это совсем другой случай.
                                                                                0
                                                                                Согласен с тем что, это для них не уязвимость, а халатное отношение к настройкам. Скорее всего их ПО работает под урезанным пользователем и даже открыв блокнот, написав там какой-нибудь vbs скрипт, ничего не даст. Хотя, если и повезет — но это уже противозаконно.
                                                                                  +4
                                                                                  Гмм. была похожая ситуация со сберовским терминалом.
                                                                                  Значит с кентом пошли снять денег, подходим к банкомату а там админская часть какая-то развернута, ну мы потыкали реально работает, выписку предлагает режим инкассации по моему назывался, ну стоим как два истукана, че делать то… Денег то не снять… Подходит девушка, тоже потыкала похихикала и ушла. Ну мы с кентом посовещались решили набрать в их колл-центр, нас долго по специалистам кидали, куча вопросов мол, кто, от куда, зачем и т. д. Ну разговор завершился особо ничем. Забыл сказать дело было часов в 9 вечера. На следующий день по моему безопасники их звонили с расспросами.

                                                                                  А так на мой взгляд компетенции у персонала не всегда хватает, вот и получаются подобные ляпы…

                                                                                  PS Прошу прощения за вольный пересказ, просто слишком жизненно и знаком :)
                                                                                    +1
                                                                                    можно было просто удалить sethc.exe из системы, в терминале оно явно не нужно
                                                                                      +8
                                                                                      вы приняты!
                                                                                        0
                                                                                        А можно и подменить на что-то веселое. Если бы был доступ к интернету или чему-нибудь, через что можно вводить информацию. Но не нужно
                                                                                        +1
                                                                                        СБ отвратительно работает. У меня были проблемы со сменой пароля, с зависанием 1000 руб. на карте — не мог снять/перевести. Каждый раз оформляли жалобу и ни разу не получил ответа, а проблемы остались.
                                                                                          +2
                                                                                          Кто вообще придумал делать терминалы на винде? Уже не первый раз подобные проблемы возникают, когда можно выйти из приложения терминала и прогуляться по системе.
                                                                                            +2
                                                                                            Предлагаете вернуться на OS/2? В принципе недавно новая версия вышла, так что…
                                                                                              +1
                                                                                              при чём тут OS/2?
                                                                                                +3
                                                                                                Притом, что банкоматы, в своём развитии, прошли несколько стадий. Windows 95 на них использовалась редко, в основном в те годы банкоматы под OS/2 жили. Ещё лет 5 назад подавляющее большинство банкоматов OS/2 использовали. А вот уже когда перефирия на USB перешла — пришлось что-то делать.

                                                                                                ArcaOS 5.0 поддерживает USB прекрасно, так что логично будет вернуться на OS/2… ну если исходить из логики «работает — не трогай».
                                                                                                +1
                                                                                                Билдрут с киоском + подписанная корневая со всеми security-наворотами + подписанный и шифрованный загрузчик + ключ в проце. Сама корневая в оперативке, в initrd. Только так. Любое изменение просто не даст загрузиться терминалу. Терминал — не банкомат, ему не надо быть на винде из-за проблем с дровами кастомного оборудования…
                                                                                                Описанное в статье — раздолбайство. На игровых автоматах что-то винда не стояла, хотя казалось бы, писать игры на дотнете куда легче, чем писать их на сях под rtos… Когда владельцы бизнеса реально боялись что их обманут игроки или сотрудники, заказывали у вендора и кучу защит, и кастомные прошивки, и чего там только не было напихано. А сберу видимо просто пофиг — традиционное «и так сойдет».
                                                                                                  0
                                                                                                  На игровых автоматах что-то винда не стояла,
                                                                                                  Ну так и на банковатах она не сразу появилась.
                                                                                                  хотя казалось бы, писать игры на дотнете куда легче, чем писать их на сях под rtos…
                                                                                                  Именно поэтому современные атоматы — под виндой. Уже довольно давно.

                                                                                                  Когда владельцы бизнеса реально боялись что их обманут игроки или сотрудники, заказывали у вендора и кучу защит, и кастомные прошивки, и чего там только не было напихано.
                                                                                                  Странно. Все независимые исследования ATM'ом и автоматов для голосования (их одни фирмы делают), насколько я знаю, делилились на две группы в смысле безопасности: часть говорила, что это сито, а часть — что дуршлаг.
                                                                                                    0

                                                                                                    На предыдущем месте работы писал игры для автоматов (те что однорукие бандиты). Наши автоматы все на Linux были.

                                                                                                      0
                                                                                                      А что за игры? Странно это: насколько я знаю современные игровые автоматы в основном под виндой, потому что стоимость лицензии, на фоне стоимости железа, слабо заметна — а зато инструментов разработки куча. Что это были за игры такие, что для них это оказалось неважно???
                                                                                                        –2

                                                                                                        К примеру вот эта http://www.ksi.ru/index.php?cat=228


                                                                                                        зато инструментов разработки куча

                                                                                                        Хаха. Ахаха!
                                                                                                        Что из инструментов? VisualStudio?


                                                                                                        Мне консоль нужна, потому что ни один GUI не умеет делать git rebase нормально. Мне нужен docker (недавно под win появился, да), что бы у меня была target система аналогичная той, что на аппарате. Я не хочу собирать библиотеки из исходников или качать непонятные бинарики, когда я могу поставить всё что нужно через пакетный менеджер. Мне imagimagic нужен, bash, android-ndk, grep.


                                                                                                        Понятия не имею о каких инструментах разработки вы говорите, но явно не о тех, что используются в разработке.

                                                                                                          0
                                                                                                          Все перечисленное вами кроме докера есть под виндой уже давно.
                                                                                                            0

                                                                                                            Вот только устанавливать это не удобно, обновлять это не удобно, пользоваться этим не удобно. Что бы это можно было запускать из консоли, нужно для каждой программы прописать PATH в переменные окружения.

                                                                                                              0
                                                                                                              Ну и часто ли вам надо обновлять grep?

                                                                                                              А в PATH установщики пути сами пропишут. Обычно на винде наоборот проблема — как бы все лишнее оттудова убрать…
                                                                                                                0

                                                                                                                Каждую неделю обновляю :-) Но вопрос не в этом.


                                                                                                                о каких инструментах разработки вы говорите
                                                                                                                0
                                                                                                                Bash on Windows?
                                                                                                                  0

                                                                                                                  Zsh. Bash просто нарицательное имя.


                                                                                                                  Но вы мне предлагаете из Windows сделать Linux.
                                                                                                                  Но я не могу понять — зачем. Какие инструменты мне даст windows?

                                                                                                                    0
                                                                                                                    Главный инструмент вы уже сами назвали, только почему-то предпочли отбросить его. Студия.
                                                                                                                      0

                                                                                                                      Она не перевешивает тех неудобств, которые приходится терпеть на windows.


                                                                                                                      Что бы подключить библиотеку, нужно её скачать, указать пути к хидерам и dll.


                                                                                                                      В linux я ставлю нужную библиотеку через пакетный менеджер. Мне не нужно указывать никакие пути, потому что всё стандартизировано. Хидеры всегда кладутся в одно место, *.so в другое. В худшем случае за меня это сделает cmake.


                                                                                                                      Мне не нужно тащить библиотеки в конечный дистрибутив проекта, потому что я могу собрать пакет и указать в нём его зависимости, которые при установке подтянутся.


                                                                                                                      Система сборки — qmake, automake, cmake, да даже голый make. Всё это можно легко править руками и всё всегда на виду. Не нужно лазить по сотне окнам, что бы понять например какие флаги включены или какие библиотеки подключены.


                                                                                                                      А что даёт мне студия? Файл проекта в xml? Какие у неё преимущества относительно QtCreator, KDevelop или CLion?

                                                                                                                        0
                                                                                                                        Что бы подключить библиотеку, нужно её скачать, указать пути к хидерам и dll.

                                                                                                                        Устаревшая информация, для этих целей давно есть nuget.


                                                                                                                        В худшем случае за меня это сделает cmake.

                                                                                                                        Именно по этому в виденных мною cmake-файлах километровые конфиги вида "попробуй искать этот файл вот здесь, вот здесь и вот здесь"? :-)


                                                                                                                        Мне не нужно тащить библиотеки в конечный дистрибутив проекта, потому что я могу собрать пакет и указать в нём его зависимости, которые при установке подтянутся.

                                                                                                                        Мы все еще говорим о терминалах? Сколько приложений вы туда собираетесь устанавливать? Конкретно для этой задачи выбор куда класть библиотеку — в системную папку или в папку приложения — не имеет смысла.


                                                                                                                        Не нужно лазить по сотне окнам, что бы понять например какие флаги включены или какие библиотеки подключены.

                                                                                                                        Там не "сотня окон", а всего одно. Но если вам настолько не нравится GUI — всегда можно открыть файл проекта в текстовом редакторе и все увидеть.


                                                                                                                        А что даёт мне студия? Файл проекта в xml? Какие у неё преимущества относительно QtCreator, KDevelop или CLion?

                                                                                                                        С перечисленными вами IDE не работал, потому что ушел с линуксов и из C++ в то время когда про них мало кто слышал. так вот, в то время главным преимуществом студии был тот факт что она… просто работала! Можно было просто создать проект и без плясок начать писать код! Не надо полдня составлять makefile, а потом еще два дня править в нем ошибки...




                                                                                                                        PS


                                                                                                                        Она не перевешивает тех неудобств, которые приходится терпеть на windows.

                                                                                                                        Так сразу и пишите: вам просто не нравится windows. Потому что, представляете, есть те кто windows использует, а не "терпит".


                                                                                                                        У меня вот с Убунтой как-то не срослось — но я же не выдумываю как на линуксе все плохо и как линуксоиды там страдают?..

                                                                                                                          0
                                                                                                                          Устаревшая информация, для этих целей давно есть nuget

                                                                                                                          На момент начала проекта его и в помине было.


                                                                                                                          но я же не выдумываю как на линуксе все плохо

                                                                                                                          Да я не выдумываю. Я же только свой опыт описываю, а не за всех говорю.
                                                                                                                          У вас с Linux не срослось, у меня с Windows. Вполне нормальная ситуация.

                                                                                                      0
                                                                                                      Можно попросить раскрыть мысль? Интересует как так сделать такое на примере ubuntu 1604. Понимаю, что диск можно зашифровать, но куда положить ключ и как его передать, чтобы не перехватили? Предполагаю, что пользователь может иметь доступ к мат.плате, к её разъемам, но деструктивные действия с ней делать не будет.
                                                                                                    +1
                                                                                                    Я недавно видел на каком-то терминале вывод терминала линуха… Боюсь не в винде дело…
                                                                                                    +2
                                                                                                    Я не эксперт в области информационной безопасности и не могу судить о том, какой урон может нанести эта «фича», но, судя по вялой реакции — никакой.

                                                                                                    Судя по тому что там написано «завершение сеанса Администратор», то урон может быть самый серьёзный, но конечно это может быть обычная учётная запись с сильно урезанными правами и названием администратор.
                                                                                                      0
                                                                                                      Скорее всего там винда загружена с образа диска в режиме только для чтения. Хотя можно что угодно ожидать от таких…
                                                                                                      +4
                                                                                                      сообщаю о весёлой акции «СберШифт»
                                                                                                      Очень звучное название уязвимости)
                                                                                                      Удачное название уязвимости — уже половина дела того, чтобы о ней заговорили, или хотя-бы запомнил. Вспомните hearthbleed, wannacry итп. Всегда удивлялся, как придумывают такие интересные названия)
                                                                                                        +1
                                                                                                        У вирусов тоже красивые имена. Особенно нравятся Porex и Sality.
                                                                                                          0
                                                                                                          А вот вирусам часто и густо имена придумывают вирусные аналитики, насколько я знаю. :)
                                                                                                        0
                                                                                                        Надеюсь что там отработан сценарий «а что если клиент получит доступ к по системы». По крайней мере, это первое что приходит на ум, если бы я делал что-то подобное.
                                                                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                            +19
                                                                                                            Не про Сбер, но лет десять назад я так же попал в один терминал. Ради интереса начал смотреть, что интересного есть. В списке последних программ была «тестирование биллассептора», запустилась… А там кнопка — очистить. Ну терминал все из себя и «очистил» мне в руки. Долго думал что делать, сдержался — не сбежал. Позвонил, дождался, объяснил, банкноты все сдал, при мне сверку сделали, посчитали. На работу потом взяли.
                                                                                                              +2
                                                                                                              Мне кажется, Вам очень повезло.
                                                                                                              +1
                                                                                                              А где устанавливаются терминалы Сбербанка с полноразмерной клавиатурой? Я припоминаю что-то похожее только в отделениях, так там менеджер рядом почти всегда.
                                                                                                                0
                                                                                                                Почему на терминалах ставят так часто винду? В чем проблема поставить в качестве платформы *nix систему, есть какая-то сакральная причина использовать винду с ее вытекающими?
                                                                                                                  0
                                                                                                                  Думаю, что лень переписывать софт. Или это будет дорого стоить.
                                                                                                                    +1
                                                                                                                    Тогда нужно будет для их обслуживания нанимать людей, умеющих в линукс. А им и платить больше надо. А так наняли студентов, умеющих со ZverCD винду накатить — и все в выигрыше.
                                                                                                                      +2
                                                                                                                      Куча банковского железа имеет драйвера только под винду, включая многое из того, что используется в банкоматах и терминалах. Даже если конкретный терминал не требует винды, то нужны будут отдельные админы, умеющие в линукс, нужно будет развернуть сеть мониторинга и удалённого доступа для линукса, и изучить все грабли, на которые на линуксе можно наступить.
                                                                                                                      Ко всему прочему могут вылезти требования к сертификации конкретного аппаратно-программного комплекса, а также переписывания используемого ПО на линукс, что добавит ещё кучу головной боли и затрат…
                                                                                                                        +1
                                                                                                                        Я был на встрече с Евгением Касперским в стенах МГУ, осень 2015-го. Посчастливилось задать ему вопрос (тянул руку минут 40 :)) Он говорил в своей речи, что львиную долю деятельности во времена становления компании составляла защита банкоматов. Поэтому, я просил: «Если бы банкоматы были бы не на Windows, а на более безопасность-ориентированной системе (не ограничиваясь, к слову, UNIX'ами), то были бы технические и маркетинговые аспекты деятельности компании в те времена другими?» И надо сказать, ответил он на этот вопрос так, будто он был самым несерьезным их всех (самым-самым вопросом он назвал «Почему вы любите Камчатку?»), ответ был оочень коротким, в отличие от остальных ответов. Но не о том речь. Ответ был: «Разумеется, нет, вы же не думаете, что Windows взломать проще, чем… Android?» (вольная интерпретация ответа). К чему клоню? Это либо некомпетентность (во что я слабо верю, сами знаете, где Е.К. учился). Значит, это не из области логики, а… Маркетинга, бизнеса?..

                                                                                                                        P.S. ИМХО.
                                                                                                                        P.S.2. Я не считаю, что взломать Android сложнее, именно поэтому я считаю ответ странным. Я ведь спросил о реально специализированных системах…
                                                                                                                          0
                                                                                                                          P.S.2. Я не считаю, что взломать Android сложнее, именно поэтому я считаю ответ странным. Я ведь спросил о реально специализированных системах…
                                                                                                                          А его ответ был как раз разумным, так как в банкоматах перешли с «реально специализированных систем» на Windows потому, что дешевле. Был бы не Windows, а Android — перешли бы на Android.
                                                                                                                            +1
                                                                                                                            И подходы Лаборатории Касперского при этом не изменились бы? :) А если банкоматы остались бы на «специализированных системах» (допустим, более дорогих) — тоже, не изменились бы?

                                                                                                                            Он ответил, что это ни на что не повлияло бы. А почему так, и что выгоднее — такого вопроса с моей стороны не было.
                                                                                                                          +4
                                                                                                                          Потому что не в винде проблема, а в тех, кто ее готовит. Стоял бы там линукс — ну с таким отношением к делу там терминал горячими клавишами запустить можно было бы, или при перезагрузке в GRUB пошалить или еще что-то. Винду можно неплохо защитить, просто надо знать, уметь и, главное, хотеть.
                                                                                                                            0

                                                                                                                            Потому, что у банка нет целей защитить деньги от кражи. Ну точнее от совсем наглой они конечно защитят, а вот что похитрее уже будет проблемой клиента. Сколько уже историй на эту тему было. Сейчас цель банков собрать с клиентов деньги путём хитрых договоров, а в случаи каких проблем перевести стрелки опять на клиента. В этом не слишком сложном бизнес-плане нету просто места для ИБ. Ну а производителям банкоматов и софта для них, какой резон заниматься тем, что сами банки не интересует? Вот и клепают под Win.

                                                                                                                            0
                                                                                                                            Не ходивара ради (на дэсктопе сам в Visual Studio пописываю, и на копроративном сервере Windows Server мне кажется почти незаменимым), но реально любопытно: а зачем вообще люди в наше прогрессивное время используют винды на терминалах/банкоматах? Почему не вбабахать какой-нибудь ARM SoC c Linux или BSD и не избавить себя от кучи подобных приколов, всяких WannaCry/Petya и тому подобного?
                                                                                                                              +1
                                                                                                                              Софт потому что
                                                                                                                                0
                                                                                                                                А почему вендоры не напишут соответствующий клиентский софт под перспективную платформу? Ничего безумно сложного, мне кажется, в этом нет. Таки никому не нужно? Даже после «Пети» не задумался никто?
                                                                                                                                  +4
                                                                                                                                  Потому что безопасность. Вернее цирк вокруг безопасности.

                                                                                                                                  Любое изменение требует кучи бумаг, потому принцип работает — не трогай незыблем.

                                                                                                                                  Когда-то давно, когда софт на базе CP/M и DOS использовался это даже, возможно, и работало (так как кода мало, новых ошибок не вносились, а многомесячное тестирование позволяло известные дыры отловить), но потом произошел переход на OS/2 и Windows… А подход не изменился…
                                                                                                                                    0
                                                                                                                                    Вероятно, тут как с часами: пока работает — не лезь.
                                                                                                                                      +1
                                                                                                                                      Большое кол-во периферийных устройств — драйвера. Нижний уровень ПО — слой производителя. ПО верхнего уровня — масштабный проект не на один год с отладкой и доводкой. Отдельные центральные отделы ИТ со знанием никс. Поддержка на местах — тысячи техников со знанием никс. Готовы инвестировать в это повышением стоимости услуг банком?
                                                                                                                                        0

                                                                                                                                        Потому что доля терминалов на линуксе или любой другой ос либо мала, либо составляет 0,00%. От того и не пишут. От того что терминалы это расходы В первую очередь они нужны клиентам больше чем банку ( мое имхо строго). Переводить на другой софт это затраты, вендоры не продают их как хлеб, их конечно периодически меняют, т.к. что-то устаревает, та же винда были банкоматы на XP. Если мне память не изменяет, то согласно требованиям pci dss необходимо использовать ОС и ПО которое сопровождается, выпускаются обновления для устранения уязвимости. Сейчас требование как минимум windows 7 ( до тех пор пока она поддерживается Microsoft'ом

                                                                                                                                          0
                                                                                                                                          Если мне память не изменяет, то согласно требованиям pci dss необходимо использовать ОС и ПО которое сопровождается, выпускаются обновления для устранения уязвимости.

                                                                                                                                          XP для встраиваемых систем будет поддерживаться до 2019.
                                                                                                                                            0

                                                                                                                                            Да, только это отдельная ос так и называется Windows XP Embedded, хоть и построено на одном ядре и технологиях, фактически отдельная ос, которую Microsoft поддерживает, а windows XP pro нет. В банкоматах которые использовались нашим банком стояла XP pro. Всех подробностей не скажу, т.к. не мое направление, но была в итоге замена банкоматов, на которых стоят Windows 7 pro. Почему не используют embedded не знаю.

                                                                                                                                    +1
                                                                                                                                    У меня в Сбербанк онлайн около 30 минут не пересчитывается баланс, когда приходит внешнее пополнение. При этом в истории платежей показывается, что да, был платеж.
                                                                                                                                    При этом тысячи человек работают в Сбертехе. Что они там делают?
                                                                                                                                      +2
                                                                                                                                      При этом тысячи человек работают в Сбертехе. Что они там делают?
                                                                                                                                      Уж точно не сбербанк онлайн.

                                                                                                                                      P.S. Надо понимать, что современная финансовая система устроена очень и очень странным способом. Вот всё то, что вы видите — банкоматы, Сбербанк онлайн и прочее — это всё проходит чуть ли не по категории «реклама». Так как прибыли не приносит. Прибыль приносят разная активность на бирже и работа с крупными клиентами. И вот там как раз и концентрируются умные люди с достаточной компетенцией.
                                                                                                                                        +1
                                                                                                                                        Вот всё то, что вы видите — банкоматы, Сбербанк онлайн и прочее — это всё проходит чуть ли не по категории «реклама». Так как прибыли не приносит.

                                                                                                                                        Пруф?
                                                                                                                                          0
                                                                                                                                          Вы не правы, прибыль там есть и не малая. Банкоматы, СбербанкОнлайн и прочее является дополнительным стимулом нести деньги в банк, а также пользоваться банковскими картами (Visa, Mastercard и пр.) — банки имеют не плохую комиссию с торговых точек. Не даром карты предлагают на каждом углу, а если карта кредитная/овердрафтная, то банк вообще в шоколаде. В случае дебетовой карты рисков для банка тут вообще нет, а в случае кредитной — они перекрываются грабительскими процентами.
                                                                                                                                            +2
                                                                                                                                            Вы не правы, прибыль там есть и не малая.
                                                                                                                                            Хде?

                                                                                                                                            Банкоматы, СбербанкОнлайн и прочее является дополнительным стимулом нести деньги в банк, а также пользоваться банковскими картами (Visa, Mastercard и пр.)
                                                                                                                                            Ну дык эта. Если что-то само по себе прибыли не приносит, но убеждает клиента пользоваться чем-то другим — то это должно входить в категорию «реклама» — разве нет?

                                                                                                                                            банки имеют не плохую комиссию с торговых точек.
                                                                                                                                            Банки имеют комиссию с торговых точек, банки могут использовать деньги, которые граждане разместили на депозитах для выдачи кредитов и прочая — но сами по себе онлайн-услуги денег приносят не так много, а банкоматы — так и вообще как бы не убыточны.

                                                                                                                                            Какое отношение имеет комиссия с торговых точек к банкоматам.
                                                                                                                                              –1
                                                                                                                                              Ну так прибыль нельзя считать. Это неотъемлемая часть банковской деятельности.
                                                                                                                                                –2
                                                                                                                                                Нет. Есть банки без банкоматов. Есть банки вообще не работающие с физиками.

                                                                                                                                                Так что ни о какой «неотъемлемой части» речь не идёт. Полезна ли эта деятельность? Да — иначе бы никто этим не занимался. Клиентов без неё сложнее получить.

                                                                                                                                                Но для существования банка — она необязательна.
                                                                                                                                                0
                                                                                                                                                Если что-то само по себе прибыли не приносит
                                                                                                                                                Если следовать вашей логике, то выдача кредита — тоже прибыли не приносит, и еще загоняет банк в минус(на какое-то время).
                                                                                                                                                А вот погашение кредита и процентов — вот тут уже прибыль появляется: «А давайте сосредоточимся на сборе платежей за кредиты, но не будем их выдавать!»
                                                                                                                                                  –1
                                                                                                                                                  У вас логика хромает.

                                                                                                                                                  А давайте сосредоточимся на сборе платежей за кредиты, но не будем их выдавать!
                                                                                                                                                  Откуда возьмутся платежи, если у вас нет кредитов?

                                                                                                                                                  Выдача кредита — штука сложная и опасная, но без этого нельзя собрать платежи. Никак.

                                                                                                                                                  А вот без банкоматов — можно. Без онлайн-банка — тоже можно. Да даже и без карточек, с одной «сберкнижкой» — тоже!
                                                                                                                                                    0
                                                                                                                                                    но без этого нельзя собрать платежи. Никак.
                                                                                                                                                    Если очень надо, то можно, и способов не один.
                                                                                                                                                    1) можно выкупить действующие кредиты у других банков. Обычно выкупают просроченные кредиты с большим дисконтом, скажем за 1% или 5% от суммы долга. Получается кредит не выдавали, а проценты забираем. Вполне вписывается под вашу логику зарабатывания денег только на том, что даёт прибыль.
                                                                                                                                                    2) можно купить/поглотить банк. В таком случае, все обязательства банка перед клиентами, и клиентов перед банком переходят новому владельцу. Кредит банк выдавал? -нет. Доход с процентов получает? Да.
                                                                                                                                                    3) лень дальше кормить тролля

                                                                                                                                                    Вопрос успешности и доходности такого мероприятия мы выносим за рамки этого обсуждения, ведь вы сами вынесли за рамки то, что банку не нужен мобильный банк, карты итд…

                                                                                                                                                    У вас логика хромает

                                                                                                                                                    И нет у меня проблем с логикой, это вам нужно расширять свой кругозор, прежде чем троллить.
                                                                                                                                                      +1
                                                                                                                                                      А вот без банкоматов — можно. Без онлайн-банка — тоже можно. Да даже и без карточек, с одной «сберкнижкой» — тоже!
                                                                                                                                                      что-то вы рано остановились. Расширяем кругозор — можно вообще без банка обходиться! Зачем нам банк, если можно деньги наличкой носить, зарплату просить выдавать наличкой! Тогда и сбер не нужен!
                                                                                                                                                    0
                                                                                                                                                    Если что-то само по себе прибыли не приносит, но убеждает клиента пользоваться чем-то другим — то это должно входить в категорию «реклама» — разве нет?


                                                                                                                                                    Очень напоминает рассуждения менеджмента в организации, где я когда-то работал, — те на полном серьёзе попрекали айтишников, что ИТ-департамент не приносит никакой прибыли, чисто расходное подразделение и его вообще чуть ли не из милости содержат.
                                                                                                                                                      –1
                                                                                                                                                      И менеджмент был, в общем-то прав. ИТ-подразделение, если только фирма не ИТ-шная и услуги ИТ не продаёт, это — вспомогательное подразделение.

                                                                                                                                                      Ни о какой «благотворительности» речь не идёт, конечно, ИТ-подразделение экономит работу многих тысяч человек, которых бы пришлось нанять, если бы не было компьютеров.

                                                                                                                                                      Но прибыли оно не приносит, да.
                                                                                                                                                        0
                                                                                                                                                        Это вопрос терминологии — если сэкономили время людей, те работают более эффективно, приносят больше прибыли. Т.е. уволить ИТ в таком случае — это прийти к недополученной прибыли.
                                                                                                                                                          –1
                                                                                                                                                          Т.е. уволить ИТ в таком случае — это прийти к недополученной прибыли.
                                                                                                                                                          Совершенно верно. Но считать тут нужно всегда в терминах основной деятельности. То есть не «мы запустили 10 серверов, ура», а «наши 10 серверов позволили нам обработать тем же составом в 10 раз больше бумажек, радуйтесь».

                                                                                                                                                          А если выши «улучшения» так и не вылились в что-то, заметное вне ИТ-отдела, то за что вам, собственно, деньги платят?
                                                                                                                                                            –1
                                                                                                                                                            Да, но не имеет смысла обсуждать ситуацию, когда отдел балду пинает, это само собой разумеется.
                                                                                                                                                          +1
                                                                                                                                                          Напрямую не приносит, но глупо этим попрекать айтишников, или считать, будто ИТ неважно.
                                                                                                                                                          У каждого продажника на рабочем столе стоит компьютер, с клиентами они общаются по электронной почте и телефону, всё это тесно завязано на 1С.
                                                                                                                                                          Но деньги, конечно же, продажник приносит сам по себе, а ИТ-департамент в этом вообще никак не участвует!
                                                                                                                                                            –1
                                                                                                                                                            Но деньги, конечно же, продажник приносит сам по себе, а ИТ-департамент в этом вообще никак не участвует!
                                                                                                                                                            Если ИТ-отдел не докажет отбратно, то так и будет считаться.

                                                                                                                                                            Посчитайте алтьтернативу (если вместо электронной почты и телефона будет использоваться, скажем, сервисы Гугла) и сравните. Экономия — это ваши достижения, не забывайте о них напоминать…
                                                                                                                                                            +2

                                                                                                                                                            Не приносит дохода, но прибыль это разность между доходами и расходами, а не доход. "Вспомогательные подразделения" обычно сокращают расходы, а не генерируют доходы, но прибыль они приносят. А без некоторых таких подразделений типа бухгалтерии, законная деятельность вообще была бы невозможна.

                                                                                                                                                              –1
                                                                                                                                                              Вот это — замечание по делу, да. Извиняюсь, ошибка-то детская.

                                                                                                                                                              Но всё остальное словоблудие… На Хабре… типа «элитном ресурсе»… начинаешь разочаровываться в человечестве…
                                                                                                                                                                +1
                                                                                                                                                                Добавлю, что вспомогательные подразделения не только сокращают расходы, но и могут создавать новые потенциалы для получения доходов.
                                                                                                                                                                Многие приносящие деньги процессы без ИТ не то, что стали бы более затратными, а вообще не смогли бы работать.
                                                                                                                                                                  0

                                                                                                                                                                  Это да. Те же онлайн-сервисы для многих бизнесов создают если не основной, то очень значительный источник доходов и роль других подразделений сводится к обслуживанию технологического ИТ-процесса :) Парадокс может быть — не ИТ-компания, но основной доход приносят ИТ-процессы.

                                                                                                                                                                0
                                                                                                                                                                Большинство проблем в организации начинается после слов: «Давайте уволим админа, у нас все равно ничего не ломается, а он только сидит, нифига не делает и получает зарплату»
                                                                                                                                                                  0
                                                                                                                                                                  Даже интересно стало, а что является основным/вспомогательным в строительной фирме например?
                                                                                                                                                                  Вот водители — они же не строят дома? Проектировщики — туда же? Сметчик, бухгалтер… Да что бухгалтер — директор! Директор же не приносит прибыли и не строит дома, дармоед!
                                                                                                                                                                  Остается только строительная бригада. Но бригада эта тоже не приносит деньги, если не водителя, сметчика, бухгалтера, проектировщика и директора.

                                                                                                                                                                  Если говорить по существу и про ИТ, то (как не раз обсуждалось на хабре) если ИТ встроен в бизнес-процесс — занимается автоматизацией, интеграцией, то это уже совсем не вспомогательное подразделение.
                                                                                                                                                                    +1
                                                                                                                                                                    Деньги приносят только риэлтеры. Все остальное только убытки (сарказм).
                                                                                                                                                                      –1
                                                                                                                                                                      Остается только строительная бригада. Но бригада эта тоже не приносит деньги, если не водителя, сметчика, бухгалтера, проектировщика и директора.
                                                                                                                                                                      Прекрасно приносит. Шабашники вполне себе строят (по крайней мере строили в прошлом) дома без водителя, сметчика, бухгалтера, проектировщика и директора.

                                                                                                                                                                      Другое дело, что размер домов и их качество при наличии только строительной команды — ограничены. С недавних пор — и законом запрещено дома строить без соблюдения определённых процедур.

                                                                                                                                                                      Но даже после всего этого — вспомогательные службы не приобретут одинаковый статус: команда, показывающая красивые модельки потенциальным покупателям, вроде как, совсем «к делу не относится», но прибыль увеличивает куда сильнее, чем любой, самый грамотный сметчик…
                                                                                                                                                            0
                                                                                                                                                            Сбебанк онлайн делали изначально 5 человек.
                                                                                                                                                              0
                                                                                                                                                              На презентации одного из именитых мировых производителей СХД нам рассказывали, что из всей России только Сбербанк из-за огромных нагрузок на свои базы данных заказывает самые топовые железки всех вендоров за квинтильёны денег. Видимо, и в вашем случае какие-то затыки с производительностью.
                                                                                                                                                              +1
                                                                                                                                                              Греф занят блокчейном и бигдатой, ему не до этой ерунды)
                                                                                                                                                                0
                                                                                                                                                                Тоже смотрел этот терминал, там клавиатура такая же, как в МФЦ (правда, у нас в городе стоят немного другие терминалы, с трекболом) (см. пост), но сам терминал настроен значительно лучше. У меня получилось свернуть приложение чем-то вроде Ctrl+F4, но добиться чего-то большего, к сожалению, не удалось.
                                                                                                                                                                  –1
                                                                                                                                                                  Даже если ничего нельзя записать/запустить на таком банкомате, его можно банально выключить (пуск -> завершение работы).
                                                                                                                                                                    +3
                                                                                                                                                                    «Не нужны сегодня программисты. У нас огромное количество программистов, с которыми мы боремся» © Греф.
                                                                                                                                                                      +4
                                                                                                                                                                      Самая мякотка, что функция sticky keys в старых виндах (включая 2003) реализована через отдельный исполняемый файл sethc.exe, который запускается после пяти нажатий на шифт; Эта волшебная функциональность работает даже на экране логина, причем на экране логина она запускается от администратора системы. Если подменить экзешник (будет ругаться SFC) или, что более правильно — назначить свой экзешник как дебаггер для sethc.exe через Image File Execution Options, то можно сделать мегабэкдор. С тех пор, как я как-то раз нашел у клиента такую штуку, всегда по инерции на экране логина пять раз жму шифт :)
                                                                                                                                                                        +1
                                                                                                                                                                        В старых? Да вроде по сей день так же и работает.
                                                                                                                                                                          0
                                                                                                                                                                          Если подменить экзешник (будет ругаться SFC)

                                                                                                                                                                          Дык для этого сначала нужно получить привилегии администратора в системе, либо получить физический доступ и подменить exe, загрузившись с внешнего носителя. Если у вас есть такие возможности, зачем вообще возиться с подменой файлов?
                                                                                                                                                                            +1
                                                                                                                                                                            На экране логина можно в новых системах вызвать utilman.exe, отвечающий за специальные возможности (голосовой диктор, лупа и т.д.). Всё тот же трюк с подменой работает даже в последней десятке.
                                                                                                                                                                            +9
                                                                                                                                                                            image
                                                                                                                                                                              0
                                                                                                                                                                              Это все интересно, но… Я хожу по своему городу и вижу у некоторых (многих) банкоматов, что ИБП стоят снаружи… Видимо не влезли по габаритам.
                                                                                                                                                                              А мне как раз бесперебойник хочется на Новый Год.
                                                                                                                                                                                0
                                                                                                                                                                                Ну сказал же Греф, что закончился век программистов. А вы все лезете и лезете!
                                                                                                                                                                                  0
                                                                                                                                                                                  Греф. «Программисты не нужны, мы с ними боремся.»
                                                                                                                                                                                    0

                                                                                                                                                                                    Сейчас на банкоматах в бол-ве случаев стоит Windiws Embedded edition, т.к. верно многие знающие люди подметили это банально выгоднее бизнесу. НЕ надо перепиливать кучу софта, драйверов и прочее, а также повышать квалификацию персонала.
                                                                                                                                                                                    Кто до сих пор не понял, почему там не никсы, тот либо троллит, либо просто идиот.

                                                                                                                                                                                      0
                                                                                                                                                                                      > НЕ надо перепиливать кучу софта
                                                                                                                                                                                      Какого софта? На банкоматах софт специализированный. Выбор платформы должен осуществляться, когда этот софт начинают пилить.
                                                                                                                                                                                      > драйверов и прочее
                                                                                                                                                                                      То же самое. Железо специализированное, драйвера пишет (заказывает), скорее всего, производитель железа. Почему производитель железа выбрал винду, хотелось бы, конечно, его мнение услышать.
                                                                                                                                                                                      > а также повышать квалификацию персонала.
                                                                                                                                                                                      Какого именно персонала? Банкоматы обслуживают эникейщики с квалификацией «поставить офис, заменить картридж»? Нет, ну я допускаю, конечно, что может быть и такое. Но в этом случае у банкоматов с безопасностью явно проблемы более серьёзные, чем используемая ОС.
                                                                                                                                                                                        0

                                                                                                                                                                                        Вы, вероятно, не совсем верно меня поняли.
                                                                                                                                                                                        Я имел ввиду то, что бизнесу невыгодно при сложении всех затрат ставить туда никсы. Софт давно весь написан и работает штатно, эникейщики ка ВЫ выразились «поставить офис, заменить картридж» катаются (на самом деле внутри банкомата не всё так просто, как вам кажется), деньги Сбер получает.
                                                                                                                                                                                        Как только текущие потери начнут превышать заложенные, то Сбер задумается.

                                                                                                                                                                                      0
                                                                                                                                                                                      Вам так и сообщили, что проблема «зафиксирована». То есть, ничего меняться не будет, всё зафиксировано )
                                                                                                                                                                                        0
                                                                                                                                                                                        Стабильность — признак мастерства!
                                                                                                                                                                                        –1
                                                                                                                                                                                        Какие вы тут все-таки мелочные. Сбербанк — на переднем фронте науки, банк скоро сам будет инженерам IBM рассказывать про кубиты, а вы тут о каких-то кнопочках… Ну несерьёзно!
                                                                                                                                                                                          +1
                                                                                                                                                                                          Жизненный опыт показывает, что на обращение через «банки ру» в разы (на порядок, минимум) действеннее, чем звонки по горячим линиям сбера.
                                                                                                                                                                                            0
                                                                                                                                                                                            Да, и так для большинства розничных банков.
                                                                                                                                                                                              0
                                                                                                                                                                                              тоже несколько раз жаловался на банкоматы через банки ру и реакция самих банков на жалобу была весьма впечатляюще быстрой. И отвечали на сайте и банкоматы чинили.
                                                                                                                                                                                              0
                                                                                                                                                                                              Вот хорошая статья. Напоминает события 2013 года… Гиганты любят повыёживаться и потом потерять чуть-чуть миллионов учётных записей пользователей.
                                                                                                                                                                                                0
                                                                                                                                                                                                Прочитал свой комментарий, понял что он не очень поясняет суть происходящего, того времени. Переписка сохранилась частями, которые я выложил тогда на форуме. Я тогда тоже сильно обозлился и выложил на каком то хакерском форуме. Я тогда не вёл подробности переписок, скринов и т.д. Но факт, есть факт, после окончания выёживания появился и сертификат и замочек.
                                                                                                                                                                                                  0
                                                                                                                                                                                                  Добавлю свои 5 копеек: банкоматы стоят на улице или в заведениях. К ним тянется только питание. Соответственно где-то на корпусе прилеплена антенна. Т.е. явно имеется модем. А если есть модем, то скорее всего схема включения такая: Интернет от сотового оператора + VPN. Так что получив доступ к раб.столу вполне возможен сценарий залить чего весёлого через интернет отключив предварительно VPN. Можно в принципе написать какого зловреда ворующего данные карт с целью последующего хищения денег у граждан. Так что ИМХО сама по себе дырка с пятью шифтами уже неприятность, а если добавить абы как настроенное всё остальное, то вырисовывается весьма пугающая картина…

                                                                                                                                                                                                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.