Комментарии 126
Но это кому как удобней.
Кстати, очень интересно, откуда у них лицензионная Windows 7. По данным с сайта Microsoft продажи Windows 7 всех редакций закончились 31 октября 2013 г.
Вы как-то очень странно прочитали текст на странице сайта, куда ссылаетесь. Там написано, что 31 октября 2013 года MS перестала поставлять Win7 розничным (!) продавцам. К приобретению конечным потребителем программно-аппаратных комплексов с ОЕМ виндой на борту это не относится никаким боком.
Просто я недавно заходил в МФЦ, и заметил, что недалеко от терминала тусуется охранник, который косо поглядывал и пресекал неправомерные действия (ребенок попытался поклацать по железной клаве и трекболу). Не знаю, есть ли связь.
Отошел дешевый охранник пописать — и вся ИБ схлопнулась в небытие.
Перед тем как пойти пописать надо обесточить все терминалы. А после возвращения включить их заново.
Зависит от того, что он вышел писать.
Быть может он как раз налаживал инфраструктуру безопасности!
Но, возможно… просто налаживал...
безопасность силами ПО и сисадмина
- Доступ разрешен только к определенным сайтам.
- Нет прав на запуск исполняемых файлов, кроме разрешенных в белом списке.
До:
- IPD/IPS обнаружат подключение и заблокируют.
- Антивирус настроен на блокировку ПО для удаленного доступа.
Даже не понятно с какими именно мы сейчас правами, домена судя по всему нет и какие сетевые доступы у этой машины тоже не ясно.
Из вашего исследования можно сделать только один вывод, они не позаботились о том, чтобы надежно заблокировать нелигитимные действия на терминале.
Остальное — лишь домыслы, пока не провели тестирование на проникновение терминала по модели «посетитель».
Доступ разрешен только к определенным сайтам.
Нет прав на запуск исполняемых файлов, кроме разрешенных в белом списке.
Возможно, regedit у них в белом списке, я не уверен.
IPD/IPS обнаружат подключение и заблокируют.
А вот это вполне возможно.
Антивирус настроен на блокировку ПО для удаленного доступа.
Я там не нашёл антивируса, возможно, плохо искал.
Это далеко не все точки отказа, поэтому судить о защищенности терминала и о критичности возможных с ним манипуляций через экран, точно нельзя на основе статьи.
Кстати, очень интересно, откуда у них лицензионная Windows 7. По данным с сайта Microsoft продажи Windows 7 всех редакций закончились 31 октября 2013 г.
Есть возможность сделать даунгрейд на предыдущую версию
Волосы добом вставали, глядя на то, что твориться в их ИТ инфраструктуре.
Скажу так, МФЦшная среда, даже с учетом перечисленного автором, все равно на порядок «безопаснее» того, что было у ФМС (а ведь у них обрабатывается высшая категория ПД!).
Ух, нравится! Обожаю, когда при приёме на работу "сисадмину" выдвигают список требований, а по факту он отключает из сети терминал и возвращается к отмене документа в "очереди на печать" через перезагрузку.
Я делал подобный терминал именно для гос услуг на базе дебиан 8, голые иксы, минимальный ВМ, фаерфокс с плагином киоска. Фаерфокс запущен в цикле и растянут на все окно. Плагин блочит большинство функций.
Изначально использовал хромиум в режиме киоска, но потом оказалось, что доступ надо давать на выбор к нескольким сайтам, решилось через фаерфокс, в котором сбоку показывается панель в которой отображается статическая страница с ссылками на нужные сайты.
Блокировка на уровне ДНС с белым списком.
По идее это информационный терминал и должен быть во внешней сети, так что ни о каких ПД речь не идет.
Там есть и информационные терминалы, про них ничего не могу сказать.
Если свитч умный, он позволяет сделать две независимые сети… у обоих будет доступ к интернету, но не будет доступа друг к другу… или из сети А доступ к сети Б будет, а наоборот — нет… Это несложно настроить на продвинутых моделях…
Да в принципе даже имея глупые свитчи и один роутер можно этого добиться…
Надеюсь, не во всех МФЦ ситуация, как по указанной Вами ссылке.
Возможность запустить произвольный код/файл, в том числе скачанный из интернета — преступная халатность. Потенциальный злоумышленник может занести таким образом кейлогер и/или другой вирус, который украдёт данные для авторизации и/или персональные данные всех последующих пользователей терминала.
«А то ведь кнопку нажмут там и тут все МФЦ умрут»
Вот только ты ничего не скачаешь, т.к. заблокирован доступ в интернет через прокси.
На стенах режимного предприятия обычно есть предупреждающие надписи — это раз. Во вторых, есть колючая проволока, которая как бы намекает, что не надо тут перелезать через стены.
А что мы видим здесь? Положим, я хочу зайти в Госуслуги. Ставлю тачскрином фокус на поля ввода и вижу кнопку, предлагающую мне показать экранную клавиатуру. Показываю клавиатуру и пользуюсь ей дальше на своё усмотрение. Комбинации клавиш вроде никто не запрещал, рядом с терминалами никаких предупреждений нет.
Я думаю, что аналогия получше — это автомобиль с открытыми окнами или то же самое режимное учреждение, но только без стен и охраны. По этой же аналогии я, проходя мимо, решил заглянуть и запечатлеть на память.
Чего я не сделал, за что по идее можно получить наказание:
- Не получил доступ к закрытой информации
- Не сломал терминал
P.S. Но всё равно спасибо за беспокойство, подобные мысли нет-нет да приходят в голову.
Когда на терминале напишут, что его использование не в целях посещения госуслуг запрещено и сошлются при этом на соответствующую существующую норму закона, тогда можно будет привлекать к ответственности.
А пока уместна аналогия из земельного права: Если земельный участок не огорожен либо его собственник иным способом ясно не обозначил, что вход на участок без его разрешения не допускается, любое лицо может пройти через участок при условии, что это не причиняет ущерба или беспокойства собственнику.
Главное что бы вы не стали следователем или судьёй.
В этой статье процитирована официальная позиция представителя соответствующих структур, а не диванного юриста. Самого факта несанкционированного доступа к ПК для формирования состава преступления недостаточно. Нужно, чтобы помимо этого случилось копирование, модификация или удаление информации, либо в результате действий преступника кто-то получил значительный материальный ущерб.
Рассмотрим ситуацию автора статьи. Проник на территорию МФЦ он полностью законно. В ходе своей деятельности он не копировал никакую приватную информацию (на фотографиях обычный интерфейс винды, а не чьи-нибудь персональные данные), также не модифицировал (всё возвращается как было Alt + Tab, либо перезагрузкой) и не удалял. Ущерба, очевидно, тоже никто не понёс. Так что перед законом он абсолютно чист.
Вы можете привести всякие контрпримеры (например, с банкоматом). Но обратите внимание, что в ваших примерах помимо несанкционированного доступа к ПК ещё имеются и другие действия — например, проникновение на закрытую территорию, повреждение оборудования, кража денежных средств и т. д. А это уже вполне нормальные преступления.
занимался монтажем сети для одного из МФЦ в Лен.области. терминал действительно в общей сети со всем остальным оборудованием, и подключено это все в один свитч в 48 портов (неуправляемый). а подключали и настраивали трое, пьяных в стельку, выездных ИТ-шника
Что говорить о МФЦ, если у нас у Сбера амми можно было скачать. После этого в отделении отключили терминалы.
Однако стоит отметить, что фиксы выходят довольно быстро
Зачем в МФЦ Windows? Браузер на весь экран можно в любом Linux открыть. Собрать свой дистр и распространять его на все терминалы с настройками безопасности приходящими прямо от разработчиков данных терминалов.
Это да. Но не понятно как Windows = дешевле.
Ты иди к руководству МФЦ и расскажи о дырках, чего ты как маленький… Лишь бы пописать дать?
По порядку:
В чем смысл поста? Как вызвать диспетчер задач?
Судя по комментариям, каждый видит своё. Для меня суть поста была показать всем, насколько МФЦ плевать на защищённость наших ПД, и в частности продемонстрировать, как любой «уверенный пользователь ПК» (не шутка) может получить полный контроль над терминалом.
Выше vampire333 подтвердил мои опасения о том, что терминалы находятся в одной сети со всеми остальными устройствами. Поэтому это пост не о том, как вызвать диспетчер задач, а о том, насколько безалаберно в нашей стране относятся к нашим же с вами персональным данным.
Ты иди к руководству МФЦ и расскажи о дырках, чего ты как маленький…
Начнём с того, что это госучреждение, со всеми вытекающими отсюда последствиями. То есть мало того, что мне надо как-то попасть к этому руководству, ещё надо его убедить в том, что надо взять и по всей стране, во-первых, отключить терминалы, во-вторых, потратить немалую сумму денег на их перенастройку/переоборудование. И даже если мне это удалось бы (в чём лично я сильно сомневаюсь), начались бы бюджетные ритуалы — там согласовать, тут оказывается никто не закладывал таких затрат, и вообще ждите, может, в следующем году выделим деньги.
Далее. Я не хакер, как указал в статье — информационная безопасность вовсе не мой конёк. Я не исследователь защиты, и не надо ко мне применять «шляпные» понятия. Я нашёл проблему — я поделился ей с сообществом. Если конкретно вас (ой прости, тебя) не устраивает мой способ, можете сделать так, как считаете нужным, а я уж сам как-нибудь придумаю, что делать. Как в старом анекдоте — «не говорите мне, что делать» ну и т.д.
Лишь бы пописать дать?
К сожалению, уровень моего интеллектуального развития не позволяет мне понять, что ты имел ввиду этой фразой.
Твои домыслы о «как-то попасть к этому руководству, ещё надо его убедить в том, что надо взять и по всей стране, во-первых, отключить терминалы, во-вторых, потратить немалую сумму денег на их перенастройку/переоборудование» никого не волнуют. Ты лишь оправдываешь свою лень и собственную такую же безалаберность. Сегодня же зайду в МФЦ.
Ты, видимо, один из тех, кто видит насилие и идёт мимо, со словами «это не моё дело» или «они сами разберутся». Вот пока такие безучастные люди существуют мы и будет так же жить, когда каждый второй в своем никчемном бложике будет пописывать, что терминал не запаролен, пенсии маленькие и т.п. ТФУ!
Обязательно отпишите, что у вас получилось, будет интересно почитать.
Ты, видимо, один из тех, кто видит насилие и идёт мимо, со словами «это не моё дело» или «они сами разберутся». Вот пока такие безучастные люди существуют мы и будет так же жить, когда каждый второй в своем никчемном бложике будет пописывать, что терминал не запаролен, пенсии маленькие и т.п. ТФУ!
Своё личное мнение можете оставить при себе.
Что ты сделал для того, чтобы устранить косяк МФЦ?
Для начала объясните, а с чего я вообще должен устранять чей-то косяк? У меня, во-первых, есть работа. Есть семья и новорождённая дочь (не просто так же я попал в МФЦ, как вы думаете?), мне есть, на что тратить своё время. Есть люди, которые за это должны быть ответственны, и я вам скажу — это их проблемы, и даже более того, мне их ничуть не жалко. Надо нести ответственность за свои поступки, не так ли?
UPD. Кстати, весьма интересно, что вы не придумали ничего лучше, чем поливать меня грязью. Это ваш способ выражать своё мнение?
Нормальный (подчеркиваю) человек, найдя такого рода косяк, если реально заботится о ПД, сначала донес бы эту информацию до руководства. А после того, как пофиксили — можно выкладывать.
Опять же, это ВАШЕ понятие нормального человека, не распространяйте его на меня. Да и вообще, чем раньше вы поймёте, что не всё происходит так, как вы этого хотите, тем лучше будет для всех.
UPD. Теперь вы игнорируете мой вопрос.
На данный момент я вижу, что любой школотрон ТЕПЕРЬ может воспользоваться дырой, и стоять в три раза дольше в очереди в МФЦ за справкой для своей новорожденной дочери будешь не только ты. А виноват кто? Кто решил написать свою первую запись…
Я вам скажу вот что. Не думаю, что я единственный обладал сакральным знанием комбинации клавиш «Ctrl+Shift+Escape» и уже тем более навыком использования экранной клавиатуры. Чуть более чем уверен, что об этом знали и до моей публикации. Я предупредил всех, предупреждён — значит вооружён.
А вообще, мне немного даже обидно. Когда я участвовал в разработке терминалов, за любой такой косяк звонил клиент и вставлял по самое не хочу. «Почему на вашем терминале можно найти порно?» и ведь не объяснишь ему, что что мы не Google и у нас нет своего классификатора. Просто подходит школьник к терминалу и находит непотребные изображения и оставляет, а терминал стоит в крупном ТЦ, соответственно репутация клиента резко падает. И он резко реагирует, т. к. это его репутация и его доход, до общественности поэтому и не доходит. Здесь же обратный, вопиющий случай пофигизма.
А если тебе нужно разжевать конструктив, то держи — зачем плакаться о дырках, когда ты ничегошеньки не сделал для их устранения? Это ровно как ныть о своем ужасном финансовом и социальном положении, сидя дома и попивая пиво.
Твой пост только тогда будет заслуживать внимания и хороших мнений — когда ты разработаешь систему для закрывания этих дырок, предложишь руководству в письменном виде, добьешься внедрения и т.п.
А сейчас — пфффф. Суть поста — какой ты молодец и запустил диспетчер задач… Боже ж мой…
Какие твои вопросы? Это все чушь.
Этим всё сказано. Ваши вопросы, несомненно, ценны и очень важны, и на них необходимо отвечать. А мои вопросы — чушь.
С вами просто невозможно вести конструктивный диалог.
Твой пост только тогда будет заслуживать внимания и хороших мнений — когда ты разработаешь систему для закрывания этих дырок, предложишь руководству в письменном виде, добьешься внедрения и т.п.
Так и подмывает написать, а чего добился ты?
Несомненно, Вашему перу принадлежит несчётное количество отменных систем для закрывания дырок, и Вы не раз получали премии от руководства за своевременное выявление и устранение уязвимостей. Куда мне, простому смертному, до Вас. Поделитесь своей мудростью, а не то совсем заплутаю.
Интересно, а ТС готов повторить нечто подобное например в США? :)
Во-вторых, я не был в США и на своём опыте сказать ничего не могу. Но, насколько я помню, у них очень серьёзно относятся к вопросам безопасности ПД. Так что лично я не могу сказать, чем бы всё закончилось.
Немного о безопасности терминалов в МФЦ