23:01
21/2/2016

Jeden z czytelników, który przechadzał się ul. Chmielną w Warszawie zauważył, ze na kantorze (a dokładniej przerobionym na kantor bankomacie) trwają prace serwisowe. A ponieważ ekran kantora był dotykowy…

Oto nagranie pokazujące “zabawę” z kantorem:

Nikogo, kto miał cokolwiek do czynienia z bankomatami nie zdziwi, że urządzenie pracuje pod kontrolą starej wersji Windowsa, ale warto zwrócić uwagę na to, że zaledwie po 1% skanowania programem antywirusowym znaleziono 12 “problemów”:

kantor-kaspersky

W dodatku, wygląda na to, że na kantorze znajduje się wersja oprogramowania “nie do komercyjnego użytku”:

kantor-freeware

Jak informuje nas czytelnik:

Później okazało się, że ktoś (prawdopodobnie serwis) zalogowanyjest do niego zdalnie przez sesję teamviewer, udostępniając tym samym ekran osobom postronnym (potwierdzamy, czytelnik podesłał drugie nagranie na którym widać lekko zdezorientowane ruchy myszką — dop. red.). Podczas krótkiego rozeznania udało się ustalić, że urządzenie podłączone jest do internetu prawdopodobnie przez łącze komórkowe (skróty do obsługo modemu sieci Plus ekranie). Oprócz tego można zauważyć pełną listę zainstalowanego oprogramowania (w tym bazodanowego) i …. dane do sesji teamviewer. Wszytko wskazuje na to, ze dostęp do urządzenia był zestawiony przez internet (sic!) bez żadnych mechanizmów bezpieczeństwa. Wnioski każdy może wyciągnąć sam, ale w mojej ocenie bezpieczeństwo tego rozwiązania jest mocno dyskusyjne.

Pozdrawiamy wszystkie osoby korzystające z tego kantoru na ul. Chmielnej w Warszawie :)

kantor


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

53 komentarzy

Dodaj komentarz
  1. KDIAG ! miałeś włączyć KDIAG ;p Przy odrobinie szczęścia zrealizował byś nim wypłatę kasy… Ale zrypałeś ;p

    • Jak sobie zapisał dane do TeamViewera, to jeszcze nic straconego ;)

  2. a pieniądze to ten bankomat drukuje na miejscu?

    • Skoro to jest kantor to chyba musi mieć jakieś kasetki z kasą no nie ? A skoro to jest na nim KDIAG to już wiemy że to Wincorow-y sprzęcik pewnie jakiś starszy z demobilu ;] Bajzel w systemie oznacza że nie stawiał systemu producent tylko ktoś od kantoru ;] Pewnie kilka błędów przy tym czyniąc … ;]

    • Gdyby wytwarzał pieniądze na miejscu, to pewnie byłby bitomatem :D

    • @Seba, a kto wie czy ktoś tam “koparki” nie zainstalował?

  3. a jednak… tam jest potrzebny jeszcze VPN a zazwyczaj VPN jest na zewnętrznym routerze a nie w windowsie skonfigurowany. Sam TeamViewer nic ci nie da…

    • no ale tam jest iplus a nie router i przeciez tviewer obchodzi NAT…

    • Spróbuj a zobaczysz że nie dostaniesz się do niego – to że admin dostał się to tylko dlatego że pewnie routing ma doklikany na routerach . Twojego adresu IP raczej router mieć nie będzie i nie za bardzo będzie z tobą chciał rozmawiać ten kantor ;] Tak to zazwyczaj jest zrobione w sieciach bankowych .

    • Ty chyba tam na tym TV siedzisz, że tak bronisz. Każdy gimbazjalista wie, że RDPem takie rzeczy byś mógł zrobić. TeamViewerem nie łączysz się z siecią bankową bezpośrednio, więc ich router to pewno o konfiguracji nie słyszał. Tak jak Piotr napisał “Jak sobie zapisał dane do TeamViewera, to jeszcze nic straconego ;)”.

    • TeamViewer nic nie da bo hasło jakie by sobie zapisał jest generowane i zmieniane co jakiś czas. Jeśli natomiast jest tam utworzone konto to hasło do tego konta nie jest wyświetlane jawnym tekstem. Nie jest więc proste żeby przejąć ten komputer przy użyciu TV.

    • No właśnie miałem napisać, że to jest aż tak trudne…

  4. To może nie być zwykły XP, tylko Windows Embedded POSReady 2009. Tak naprawdę to przerobiona wersja XP, która ciągle dostaje aktualizacje.

    • taka ona przerobiona ze wystarczy wpisać w klucz WEP\PosReady\DWORD Installed=1 aby owe aktualizacje otrzymywać na zwykłym XP, Home, Pro, Tablet PC bez najmniejszego problemiku ;)

      Embedded to zwykły najzwyklejszy XP

    • @kiep
      czyli jednak jest sposób na dostawanie aktualizacji na XP? WOW

    • @gron & @kiep
      Dzięki za super tip z przedłużeniem updatów XP do 2019! :)

    • A można by coś bardziej dla laików z tą aktualizacją XP? Bo chciałbym skorzystać, a nie wiem gdzie się zmienia w tym kluczu tekst WEP\PosReady\DWORD Installed=1 ?

    • Panie takitam – wrzucić frazę “WEP\PosReady\DWORD Installed=1” w google to nawet taki laik jak ja potrafi i wszystkiego się dowie, więc i Panu powinno się udać :)

    • W edytorze rejestru (regedit.exe) ;-)

    • Z tego co pamietam, to te zmiany dzialaly tylko w przypadku wersji 32 bit?

    • KTO KORZYSTA Z 64 BITOWEGO XP

    • @kiep: “Embedded to zwykły najzwyklejszy XP”. Nie do konca. System Embedded generuje sie pod potrzeby konkretnej aplikacji specjalnym narzedziem, ktore wycina z systemu wszystkie biblioteki i uslugi, ktore do dzialania konkretnej aplikacji nie sa potrzebne. Na tak przygotowanym systemie masz jakies 50% szansy, ze przypadkowo wybrana aplikacja na XP zadziala, czy wrecz sie w ogole zainstaluje.
      Oczywiscie osoba generujaca system moze pojsc po linii najmniejszego oporu i wygenerowac system bedacy odpowiednikiem pelnych Windowsow XP, ale zazwyczaj sie tego nie robi z uwagi na to, ze systemy Embedded sa przeznaczone do dzialania w urzadzeniach, gdzie sa slabe CPU i malo RAM-u, dlatego trzeba je okroic jak sie tylko da, zeby zminimalizowac wymagania sprzetowe…

  5. Masakra – chyba już nigdy nie będę korzystać z bankomatu …

  6. Tak, te xp będą otrzymywać aktualizacje do 2019r.

  7. Kaspersky na starcie pokazuje jakieś problemy z konfiguracją systemy, więc niekoniecznie jest tam 12 wirusów.

  8. Dawno nie miałem do czynienia z bankomatami, ale wtedy gdy miałem obowiązywała podstawowa zasada: jakakolwiek specjalna wypłata (np. kartą serwisową) wymagała zmiany stanu przełącznika znajdującego się w sejfie urządzenia. Czyli – możesz sobie wypłacić kasę tylko jak masz otwarty sejf…
    Ale dostęp po publicznej sieci… WOW. Zakładam, że po publiczniej, skoro używają TV.

  9. Proponuję przestać promować takie kombinowanie bo dzieciaki się naczytają, a potem będą się dziwili że właściciel telebimu w którym zmienili obrazek bo nie był zahasłowany pozywa ich do sądu. Zasady są takie: widzę lukę lub brak zabezpieczeń – nie ruszam i ewentualnie zgłaszam właścicielowi. Może jeszcze strzelam fotkę na niebezpiecznika. Ale takie używanie czyjegoś komputera bez zgody właściciela, tylko dlatego że można, to chyba nie najlepszy pomysł. Weszlibyście do cudzego mieszkania poprzeglądać szafki, tylko dlatego że stoi otwarte?

    • Kiepskie porównanie:
      – swojego domu nie wystawiasz na korzystanie dla wszystkich
      – jeśli z powodu głupoty/niedbałości właściciela/mieszkańców ktoś się włamie/wejdzie do domu traci tylko ten właściciel (chyba, że dom sąsiaduje z bankiem ;) )

      “nie ruszam i ewentualnie” – ewentualnie? naprawdę mają propagować EWENTUALNIE?? poważnie??

      Śpiewałbyś inaczej jakbyś stracił kasę bo “ewentualnie” pryszczaty dzieciak z sąsiedztwa nic nie zgłosił, a jakaś szajka podstawionym śłupem wyczyściła Ci konto. Pogratulować pomyślunku.

    • Nie, ale bym uchylił drzwi, żeby właściciel miał kupę w majtach na sam widok. Takie cyrki najlepiej uczą odpowiedzialności :)

    • Był już wyrok SN w podobnej sprawie – “nie można przełamać czegoś, co nie istnieje”. W tym konkretnym przypadku mamy po prostu wolnostojący na ulicy komputer z wywalonym na wierzch pulpitem i wszystkimi aplikacjami. Żadnych zabezpieczeń łamać nie trzeba, bo komputer stoi sobie ot tak otwarty. To nie jest nawet porównywalne z “otwartym domem”, bo w “domu” są drzwi i mury, a nie szklane przeźroczyste ściany, ponadto dom to nieruchomość na terenie prywatnym, a nie ruchomość w miejscu publicznym jak to urządzenie.
      Prac konserwacyjnych na takich urządzeniach NIE robi się w taki sposób. Jak trwają prace konserwacyjne przy bankomacie, to bankomat wyświetla “bankomat nieczynny”, a nie pulpit; serwisant wszystko wykonuje zdalnie Powershellem albo RDP (cokolwiek się robi dowolną z tych technologii, monitor NIGDY nie pokaże pulpitu serwisanta!). Robienie czegokolwiek aplikacją firmy trzeciej, dodatkowo w sposób nielegalny (darmowa licencja TV zabrania komercyjnego użycia, a takim jest z definicji używanie przez przedsiębiorcę na należącej do niego stacji roboczej w związku z wykonywaniem działalności), łamie wszelkie przyjęte zasady bezpiecznego obiegu danych. Komunikacja tej rangi powinna zawsze odbywać się punkt-punkt i wysoce zalecanym jest używanie przy tym tunelu co najmniej IPSec, a w bardziej wymagających zastosowaniach L2TP/IPSec.

    • A po drugie ani niebezpiecznik, ani my, programiści i twórcy aplikacji, którzy cokolwiek myślą na temat bezpieczeństwa, nigdy nie podchodzimy do sprawy na zasadzie security-through-obscurity. Jawność i wysoka jakość użytych standardów przy tajności kluczy szyfrujących to dużo lepsze podejście.

    • Czekaj ale jakie łamanie zabezpieczeń jakie wejście bez zgody!
      Przecież to bankomat czy tam inne bydle dla klientów a więc podchodzę widzę system i próbuje użyć…
      A że system inny?
      Na każdym jednym jest inny skąd mam wiedzieć ze to nie jest tak prawidłowo?
      Może trzeba mieć wiedzę tajemną żeby kasę pobrać?
      To komputer dla klientów a więc wolno mi psuć do woli.

  10. Mam komercyjnego TV. Instalacja tv do odbierania polaczen nie wymaga posiadania licencji. W tym wypadku wlasciciel bankomatu nie łamie postanowien licencji.

    • wg. mnie ten “bankomat” to nie jest klient prywatny któremu zdalnie wykonujesz usługę legalnym tv – kiedy to klient pobiera tv na czas naprawy. Wtedy klient ma nielicencjonowany. Tutaj tv musi być wgrany na stałe gdyż raczej właściciel bankomatu każdorazowo nie zapina do niego aby pobrać tv i odpalić kiedy chciałby zdalnie popracować? Zresztą bankomat jest komercyjnie używany i osoba go naprawiająca to serwisant właściciela. Wg mnie używają tv niezgodnie z licencją.

  11. “skróty do obsługo modemu sieci Plus ekranie”
    wtf?

  12. 12 problemów nie oznacza 12 wirusów, sadze że tytuł artykułu jest mylący.
    Obejrzał bym też te drugie nagranie

  13. A już myślałem, że artykuł będzie o ilości wirusów na bankomacie w porównaniu do wirusów na desce klozetowej i klawiaturze. Swoją drogą to ciekawe – ile wirusów, bakterii itp jest na ekranie dotykowym takiego bankomatu, który wciąż jest macany a chyba rzadko czyszczony?

  14. TV i free to norma.
    Makabrycznie dużo serwisów używa tego softu bez zastanowienia.
    Można to używają.
    Nie zastanawiają się nad konsekwencjami.
    Dzisiaj byłem w firmie która nie ma pojęcia co to jest do czego służy i o co chodzi.
    Ot maja soft bo informatyk zainstalował.

    Darmowy? Ciekawym ile firm/ “informatyków” wykupiło licencję na użytek komercyjny.
    W firmach robią wielkie oczy jak daje im do podpisania umowę na zdalny dostęp w celach serwisowych i mówię że jakby policja wparowała to mają pokazać to i odesłać do mnie po licencję na dany soft.
    Należy pamiętać ze jeśli policja znajdzie soft w wersji free do nie komercyjnego na firmowym to domniema używanie w celach komercyjnych i zatrzyma w najlepszym razie dyski do analizy.
    Można niesamowitego smrodu komuś narobić nie przykładając do takich drobiazgów uwagi.

  15. Wszyscy tu dyskutują o TV, ale ja tam widzę inny program do zdalnego zarządzania – remote administrator (Radmin) jego ikona jest widoczna w tray.

  16. Oświeccie mnie co to jest ten kdiag?

    • Wpisz sobie do wyszukiwarki wincor KDIAG i będziesz wiedział :)

  17. @Johnny
    Statystyki na tema ilości bakterii na ekranie dotykowym bankomatow są ogólno dostępne, włosy na samą myśl mi się podnoszą, można zwarować.

    Co do tezy na temat zabezpieczeń, każdy ma prawo do stosowania zabezpieczeń przeciwko wtargnięciom niepożądanych gości. Zamki, klucze, licencje, umowy, etc. Technologie zależne od typu produktu dom/mieszkanie czy program komputerowy. Wniosek z tego taki: Jak nie chcesz sprzątać po czyiś butach zabezpiczaj sie na tyle ile to możliwe, wkońcu masz do tego prawo ;-)

  18. ” bezpieczeństwo tego rozwiązania jest mocno dyskusyjne.” Mniej więcej jak Bolek Wałęsy…

  19. Czy w taki sposób pracują wszyscy administratorzy Windows? I nie chodzi tylko o TV, ale o przestarzałe oprogramowanie, kupę niepotrzebnego softu, dostęp z Internetu itd.

  20. Transmisja TeamViewerem jest szyfrowana, nie można jej sobie “od tak” podejrzeć….
    Trzeba umiejętności i sporo zachodu….

    • Transmisja może i tak, ale dane dostępowe (ekran zestawiania połączenia) nie.

  21. – Witamy, czu u Was w firmie kradnie się oprogramowanie?
    – Ależ oczywiście…

    I pomyśleć, że wersja niekomercyjna jest zainstalowana na urządzeniu firmy obracającej gotówką. No chyba, że zapomnieli zarejestrować.

  22. Pracowałem w WincorNixdorf i mogę powiedzieć, że nie jest to na pewno bankomat preinstalowany przez nich. Takiego syfu na żadnym pulpicie bankomatu nigdy nie widziałem. Kolejne pytanie czy maszyna pracująca w izolowane sieci miałaby zainstalowany antywirus?

    • Hehe pracowałeś w WincorNixdorf i nie podpisałeś zobowiązania do nieujawniania informacji uzyskanych w związku z wykonywaniem pracy?

    • Według Ciebie kaper jaka informacja została tu ujawniona? Już bardziej bym się spodziewał tego, że posądzisz mnie o ratowanie dobrego imienia tej firmy jako jej obecny pracownik ;)

    • Pracuję w WN i mogę potwierdzić, że na każdym bankomacie jest standardowo instalowany antywirus, antyspamer, antywduper, Photoshop i Candy Crush Saga z podstawowymi levelami. Tutaj nie widzę ani CCS ani zdjęcia Dody na pulpicie.

  23. Dzwoniliscie do tej firmy zapytac o ten bankomat ? Jest telefon na filmie.

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: