Что еще за drilled box

[ceres]

https://ria.ru/society/20161018/1479508666.html
Что за дырочка и где сверлить? И что значит: "мгновенно выкачиваются деньги"?

[Dan]

Я тоже об этом спрашивал
http://bankomatchik.ru/forums/53/7044?p=93582#p93582

[ceres]

Я там не авторизирован...

[VIK007]

И что значит: "мгновенно выкачиваются деньги"?

Видимо открывается подпространственный канал между сейфом и вашей тумбочкой и они мгновенно выкачиваются.
Тут все в подробностях разжевано --> http://www.yaplakal.com/forum3/topic1473629.html

[glog]

Что за дырочка и где сверлить?

Тебе это не нужно.
Обратите внимание на цифру в тексте информсообщения. 5 месяцев назад...

Большой передел рынка сервисных услуг.
Похоже, что инженеров, оставшихся без работы, в Сбербанксервис не приняли, а деньги у них закончились.

[darkus5410]

Что за дырочка и где сверлить?

Этот способ справедлив только для одной, но довольно известной модели банкоматов
Примитивнее не придумаешь, затрат минимум. Единственное что меня смущает в нем, так это почему сигнализация не срабатывает Да и по времени он не очень то и быстрый, если банкмат не пустой

Похоже, что инженеров, оставшихся без работы

Вот с этим согласен. Способ придуман явно кем-то, кто " в теме" устройства той модели

[Ex-OSB2006]

А с чего сигналка должна сработать? Только если спец. ПО отслеживает как там устройства поживают...

[nc63]

Ну не такая уж там и мелкая "дырочка". В принципе не сложно "прекратить это безобразие"...Только кому это надо за спасибо? Сигнализаторщикам?

[nonpar]

Эта уязвимость была давно предсказуема; но на практике реализовалась с полгода назад. Касается снятых с производства моделей. Информационные бюллетени (с фотографиями!) соответствующим службам банков рассылали.

[nc63]

Эта уязвимость была давно предсказуема; но на практике реализовалась с полгода назад. Касается снятых с производства моделей. Информационные бюллетени (с фотографиями!) соответствующим службам банков рассылали.

Да.Давно."Чухнулись" наконец-то...Когда в "зад" клюнуло...

Добавлено спустя 7 минут 20 секунд:
Знаешь..У нас как всегда! Спецов,ну там,ядерщиков,биохимиков,подводников..насокращают..Потом--блин! Извиняюсь.."Что за Жопа"!!??.Про 5000 не в курсе ещё? Как ИПТ валиатор "дёшево" нае...ли..

Добавлено спустя 3 минуты 49 секунд:
валидатор. "д" хреново нажимается..на Клаве..

[acsel]

Вкратце суть: высверливаем отверстие в сервисной части и подключаемся к USB или шине управления диспенсером. Сигналка такое тупо не отследит, ибо слишком грубая. После чего своим софтом даем команду на выдачу. Задача, скажем так, не очень сложная, особенно для тех, кто в теме. Единственной мерой защиты вижу наложение ЭЦП на команды диспенсеру на выдачу денег, по аналогии с документами в клиент-банке. Вообще беда в том, что промышленное ПО и ПО для железа пишут люди, которые слабовато разбираются в самой разработке ПО, ибо для них важна железяка.

[Telo]

На мой взгляд, журналисты специально не стали употреблять устоявшееся название "black box" и заменили на что-то новое "drilled box", хотя параллели очевидны. Сделали так, чтобы не разводить ещё больше желающих воспользоваться этой уязвимостью. Хотя кто в теме, тот знает.
Про "выкачивание" денег через отверстие - журналисты написали для эффекта, а люди поверили в буквальном смысле, но это метафора)

[ganz_golder]

СБ перестанет эксплуатировать банкоматы 5600 Nautilus Hyosung?

[central]

ganz_golder, причем здесь наутилус 5600?

[nc63]

Про "выкачивание" денег через отверстие - журналисты написали для эффекта, а люди поверили в буквальном смысле, но это метафора)

[glog]

Единственной мерой защиты вижу наложение ЭЦП на команды диспенсеру на выдачу денег, по аналогии с документами в клиент-банке. Вообще беда в том, что промышленное ПО и ПО для железа пишут люди, которые слабовато разбираются в самой разработке ПО, ибо для них важна железяка.

Почему слабо разбираются?
Инженеры разработчики железа и контрольного софта выполнили все ТУ, которые им дал постановщик задачи. Просто разработчики даже в страшном сне не могли себе представить такое неожиданное стечение обстоятельств, что банкоматы окажутся в России, а инженеры, которые их лет 5 чинили и обслуживали, выкинутыми на улицу без выходного пособия.
А реализовать защиту просто как два пальца. Новая прошивка контроллера с десятком новых строк в коде и диспенсер выдает купюры в тестовом режиме, только после нажатия кнопки на контроллере.
Как собственно и сделано у всех приличных вендеров.
Причем эту "шляпу" показали еще одному менее известному вендеру, который не так давно решил покорить наш рынок. Но там все прониклись и проблему устранили до поставки банкоматов в Россию.

Добавлено спустя 4 минуты 37 секунд:
Россия это вам, ребята, не Африка.

Добавлено спустя 12 минут 13 секунд:

своим софтом даем команду на выдачу.

Свой софт у простого жулика ниоткуда не возьмется. Даже если неожиданно вдруг возьмется, типа нетбук инженер просохатил, то с ним (тестовым софтом) надо иметь навык работать. Ка-а-а-нкретный пацан с улицы во всем этом как бык в курятнике.
Так что это сделать мог узко ограниченный круг лиц.
Вычислят и посадят по любому.

[ceres]

Вычислят и посадят по любому.

Может быть.... Если злоумышленник все еще в пределах компетенции спецслужб.

[Bura]

Дело в том что распространяют программу через инет и по левым реквизитам для предоплаты:)))
А те кто реально снимают деньги в принципе как раз научены по инструкции, что и где сверлить и как делать диспенс ) Да же говорят у овечкина поймали пару людей, а толку:))))Мастерят защиту на системнике, а подключаются то непосредственно к шине контроллера:))

[acsel]

Почему слабо разбираются?
Инженеры разработчики железа и контрольного софта выполнили все ТУ, которые им дал постановщик задачи.

Ну это как раз и подтверждает мои слова: слабое понимание предмета. А кто там его слабо понимает - вторично. ПО написано плохо? Плохо. Писал его поставщик. Там есть свои тим лидеры и аналитики, которые должны подобное доносить до ответственных.

Просто разработчики даже в страшном сне не могли себе представить такое неожиданное стечение обстоятельств, что банкоматы окажутся в России, а инженеры, которые их лет 5 чинили и обслуживали, выкинутыми на улицу без выходного пособия.

Опять же, кривое ПО. В идеале защита должна быть такой, чтобы ее не смог взломать человек, который все о ней знает. Для этого многие вменяемые конторы стараются заиметь себе в штате, грубо говоря, хакеров, цель которых взламывать разрабатываемое ПО, чтобы потом эти дыры можно было залатать. Тут не в том дело, что кто-то на улице оказался. При капитализме каждый сам за себя, бабло - вот главная цель. Остальное - вторично. Это может быть и в России, и в любой другой стране мира. Называется оптимизация расходов.

А реализовать защиту просто как два пальца. Новая прошивка контроллера с десятком новых строк в коде и диспенсер выдает купюры в тестовом режиме, только после нажатия кнопки на контроллере.

Вот даже Вы чушь пишите: у Вас банкомат в режиме обслуживания клиентов требует нажатия кнопок? Нет. Т.е. злоумышленнику достаточно сымитировать команды штатного ПО банкомата. Насколько я понимаю, в тестовом ПО защита в виде нажатия кнопок/открытых дверей реализована на программном уровне самого этого тестового ПО.

Свой софт у простого жулика ниоткуда не возьмется. Даже если неожиданно вдруг возьмется, типа нетбук инженер просохатил, то с ним (тестовым софтом) надо иметь навык работать. Ка-а-а-нкретный пацан с улицы во всем этом как бык в курятнике.

Так просто жулик будет банкомат в машину грузить или болгаркой пилить. Это уже не простые жулики, а ребята с мозгами. Тестовое ПО можно достать без проблем, даже на этом сайте выкладывались K-Diag и ATMDesk. А если человек поставит себе задачу найти ПО, то найдет: ATMDesk свободно продается, Doors свободно выкладывает свое тестовое ПО на этом сайте, ATMDesk вроде как свободно продается. Сейчас ломают без проблем кучу софта, а такой софт и подавно хороший спец за хорошие бабки ломанет, бо там защита от дурака по большей части.

[Serzh]

Не забывайте что уязвимость на одной линейке ... Которая уже давно снята с производства... И просто посмотрите когда появились боле менее приличные библиотеки шифрования... Не забывайте что шифровать нужно как со стороны микроконтроллера так и со стороны софта... Здесь кажется получилось что разработчики давно заняты разработкой новых моделей... А петух клюнул на стареньких...