Windows на платежном терминале — к убыткам

17 Nov, 2014 pomodor 4

Специалисты по компьютерной безопасности исследовали платежные терминалы московского городского велопроката и обнаружили забавную уязвимость, позволяющую получить административный доступ к терминалу и всем пользовательским данным, включая номера кредитных карт.

Платежный терминал — так называемый паркомат — является по совместительству и информационным киоском, через который можно посмотреть карту пунктов велопроката на карте Google Maps.

Специалист, проводящий аудит безопасности, загрузил карту и увидел в самом низу ссылку, которая сразу привлекла его внимание — «Условия использования». При нажатии на эту ссылку был запущен браузер Internet Explorer. Одной из особенностей этого печально известного браузера является возможность перейти в панель управления прямо из настроек браузера. Далее специалист из панели управления перешел в раздел «Специальные возможности» и вызвал экранную клавиатуру. С помощью нее аудитор вызвал командный интерпретатор cmd.exe. К большому удивлению, интерпретатор запустился с правами администратора.

Наверное, не стоит объяснять, какие возможности для обогащения открывает для киберпреступников этот способ легко и быстро получить администраторские полномочия на платежном терминале.

Производитель паркоматов о проблеме уведомлен и в ближайшее время ожидается выпуск заплатки.

field_vote: 
Ваша оценка: Нет Средняя: 5 (4 оценки)
Главная тема: 
Основы
Оборудование
Безопасность
Дистрибутивы: 
Windows

Комментарии

pomodor

17 ноября, 2014 - 23:02

Не пойму, что заставляет людей покупать кучу дорогих лицензий на дырявый Вантуз, когда есть менее дырявый и бесплатный Линукс? Нравится тратить деньги, чтобы потом экстренно затыкать дырки, пока каккеры потрошат номера кредиток?

Оценка: 
Средняя: 2.3 (3 оценки)

Чингачгук

18 ноября, 2014 - 18:17

Тут проблема в том, что производитель этих аппаратов использует ПО, написанное для винды, а перекомпилить под линукс либо мозгов не хватает, либо желания. Зачем делать хорошую вещь, если хорошо продаётся плохая.

Оценка: 
Средняя: 5 (1 оценка)

pomodor

18 ноября, 2014 - 19:52

Зачем делать хорошую вещь, если хорошо продаётся плохая.

Это правило работало бы, если бы существовал только один производитель паркоматов. Если их 2 и более, то возникает такое явление, как конкуренция. Кто предложит товар по более выгодной цене и более высокого качества, тот и будет зарабатывать. Linux позволяет и цену снизить, и безопасность повысить. Конкретно, описанный выше алгоритм взлома в Linux бы не прошел.

Оценка: 
Средняя: 5 (1 оценка)

dk

20 ноября, 2014 - 08:52

Если их 2 и более, то возникает такое явление, как конкуренция. Кто предложит товар по более выгодной цене и более высокого качества, тот и будет зарабатывать.

В случае РФ — скорее кто больше предложит, а качество и прочая — постольку-поскольку.

Оценка: 
Пока без оценки

Комментировать

Более подробная информация о текстовых форматах

Filtered HTML

  • Use [fn]...[/fn] (or <fn>...</fn>) to insert automatically numbered footnotes.
  • Доступны HTML теги: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd> <blockquote> <strike> <code> <h2> <h3> <h4> <h5> <del> <img>
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и параграфы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и параграфы переносятся автоматически.