Немного о безопасности терминалов в МФЦ

Всем привет!

Недавно занесла меня нелёгкая в МФЦ (для тех, кто вдруг не в курсе, МФЦ — это многофункциональный центр по предоставлению государственных и муниципальных услуг, т. е. всевозможные бумажки делаются здесь). Пока ждал своей очереди, мозг усиленно искал какой-нибудь способ провести время с интересом и с пользой. И тут мой взгляд упал на одиноко стоящие терминалы для доступа к Госуслугам:


(на фотографии терминал уже после моих манипуляций).

Лирическое отступление


Несколько лет я проработал в компании, основным видом деятельности которой является создание терминалов на любой вкус — начиная от корпусов и заканчивая программным обеспечением. Перед отправкой клиенту каждый терминал проходит через отдел технического контроля, который следит за тем, чтобы отправляемый товар соответствовал определённым критериям качества. Особенно строго следили за безопасностью — антивандальные корпуса и кнопки со стороны железа, настройка операционной системы (как правило, MS Windows 7 и выше), свой shell и своя настраиваемая экранная клавиатура со стороны программного обеспечения. Соответственно, я по привычке решил подойти и «пощупать их привилегии», посмотреть, что же сделали поставщики терминалов для МФЦ в плане безопасности.

Ничего


Начнём с того, что терминал оборудован кастомной клавиатурой. К сожалению, отдельно клавиатуру я не запечатлел (фотографирование чего-либо вообще не было моей целью, так что местами качество откровенно не очень), но выглядит всё это примерно так:



На клавиатуре отсутствуют клавиши Alt и Win. Таким образом, сразу отпадают такие комбинации, как Ctrl+Alt+Del, Alt+Tab, Win+D, Win+R, Win+E и им подобные. Приглядываемся повнимательнее — и замечаем, что клавиши Ctrl, Shift и Esc зачем-то решили оставить. Пробуем Ctrl+Shift+Esc — вуаля! Диспетчер задач открыт с первой попытки. Вместе с диспетчером задач появляется и панель задач с кнопкой «Пуск». При помощи тачпада открываем меню, в поиске вводим «Экранная клавиатура», запускаем при помощи тачпада или клавиши Enter:



Теперь нам доступны все клавиши, которые вообще могут потребоваться, и терминал полностью в нашем распоряжении. На самом деле, на этом можно было бы закончить, но мне уже стало интересно, что с этим можно сделать.

Что с этим можно сделать


Запускаем редактор реестра — Win+R+regedit+Enter:



Запускаем internet explorer (Win+R+iexplore+Enter) и переходим на любую нужную нам страницу:



Смотрим информацию о системе:



Кстати, очень интересно, откуда у них лицензионная Windows 7. По данным с сайта Microsoft продажи Windows 7 всех редакций закончились 31 октября 2013 г.
UPD.: Окончание продаж компьютеров с предустановленной Windows 7 Professional 31 октября 2016 г.

Пока я думал, что бы ещё предпринять, к терминалу всё-таки подошёл мужчина, видимо, системный администратор, и начал предпринимать действия по возвращению терминала в исходное состояние. На мои попытки завести разговор он никак не отреагировал. Через 20 минут терминал выглядел так:



Как говорится, нет терминала — нет проблемы.

Остальные терминалы я не трогал, т. к. ими всё-таки пользуются люди. По этим причинам не удалось проверить, отключен ли Long Touch (открывает контекстное меню), и скачать что-либо на терминал тоже не успел.

К слову, оказалось совсем необязательно открывать диспетчер задач. Видимо, никто не догадался отключить стандартную экранную клавиатуру:





Таким образом, любой, кто пытается воспользоваться терминалом по назначению, может открыть экранную клавиатуру и делать что угодно.

Какие можно сделать выводы


А вот выводы из этой ситуации можно сделать очень печальные. С большой долей вероятности терминалы подключены к внутренней сети МФЦ (я не проверял). Я далеко не специалист в сфере IT безопасности, но могу предположить следующий вектор атаки, например:

  1. Залить shell/backdoor/rootkit/что-нибудь ещё в этом духе на любой файлообменник
  2. Открыть на терминале браузер, скачать и запустить, вернуть всё как было.
  3. ????
  4. PROFIT

Для особо ленивых можно зайти на официальный сайт TeamViewer и скачать оттуда TeamViewer для Windows (так сказать, способ без предварительной подготовки), разрешить управление и записать id и пароль.

Ну а дальнейшие действия ограничены только вашим воображением. По понятным причинам сам я так делать не буду и вам настоятельно не рекомендую. Но сам факт такого отношения к безопасности терминалов МФЦ, а соответственно, и внутренней сети, вызывает ужас. Мало ли к каким данным можно получить доступ таким образом.

P.S. В остальном впечатления от посещения МФЦ остались отличные.
Поделиться публикацией
AdBlock похитил этот баннер, но баннеры не зубы — отрастут

Подробнее
Реклама
Комментарии 126
  • 0
    Открыв диспетчер задач, можно было там вбивать запуск новых процессов, без нажатия на Win+ и не запускать виртуальную клавиатуру.
    Но это кому как удобней.
    • 0
      Не спорю. Но, честно говоря, попадать по пунктам меню, используя тачскрин, занятие не для слабонервных.
      • +1
        А там рядом с клавиатурой что-то похожее на тачпад? Или я ошибаюсь?
        • +2
          Я думаю, это трекбол, он был популярен в 90-х в портативном сегменте…
          Типичный ноутбук из 90-х
          image
          и относительно популярен сейчас…
          Huawei U8230
          вот эта штука снизу посередине image
          Каков принцип действия? Вы крутите шарик своими пальцами, а курсор на экране повинуется вашим движениям.
          • 0
            Это трекбол, я имел ввиду, что на экране есть чувствительная к нажатиям плёнка.
            • +2
              Ну так и я о том же, если есть трекбол, то зачем тыкать пальцем в экран?
              • 0
                Хм, лично для меня трекбол — не самое удобное устройство ввода, но вообще да, можно было.
                • +1
                  Думаю, удобство того или иного метода ввода — лишь сила привычки.
                • +2
                  крутил я как-то антивандальный трекбол в одном банке… кривым тачем попасть легче намного!)
        • +4
          Рисковый Вы человек однако…
          • +2
            Кстати, очень интересно, откуда у них лицензионная Windows 7. По данным с сайта Microsoft продажи Windows 7 всех редакций закончились 31 октября 2013 г.

            Вы как-то очень странно прочитали текст на странице сайта, куда ссылаетесь. Там написано, что 31 октября 2013 года MS перестала поставлять Win7 розничным (!) продавцам. К приобретению конечным потребителем программно-аппаратных комплексов с ОЕМ виндой на борту это не относится никаким боком.

            • 0
              Да, вы правы. Окончание продаж компьютеров с предустановленной Windows 7 Professional — 31 октября 2016 г., недоглядел.
              • 0
                А еще согласно лицензии OLP для компанияй которые приобрели Windows согласно этой лицензии можно делать Downgrade и ставить более раннюю ОС в OLP даются ключи по запросу на предыдущие версии, а так же если у вас лицензия PRO/Business то можно по телефону получить ключ активации более ранней версии и она становится лицензионной.
                • +1
                  ПО OLP нельзя купить декстопную ОС, только «легализатор».
              • +2
                Судя по скриншотам, дело происходило в июле?
                Просто я недавно заходил в МФЦ, и заметил, что недалеко от терминала тусуется охранник, который косо поглядывал и пресекал неправомерные действия (ребенок попытался поклацать по железной клаве и трекболу). Не знаю, есть ли связь.
                • +11
                  Информационная безопасность (ИБ) силами физического человека — это результативно и, главное, надежно.
                  • +16
                    А при нынешней стоимости труда охранника — еще и намного выгоднее чем информационная безопасность силами ПО и сисадмина :)
                    • +5
                      К сожалению, выгода != эффективность и уж тем более != результативность.
                      Отошел дешевый охранник пописать — и вся ИБ схлопнулась в небытие.
                      • +3
                        Предлагаю такой патч для охранника для закрытия этой дыры:
                        Перед тем как пойти пописать надо обесточить все терминалы. А после возвращения включить их заново.
                        • –1

                          Зависит от того, что он вышел писать.
                          Быть может он как раз налаживал инфраструктуру безопасности!
                          Но, возможно… просто налаживал...

                          • 0
                            Охранники настолько суровые люди, что они не писают на работе)
                          • +2
                            Главное, что ИБ в виде охранника в форме — это гораздо зримее для вышестоящего начальства, чем
                            безопасность силами ПО и сисадмина
                        • 0
                          Нет, 14 сентября.
                          • 0

                            аналогично. Только в моем случае было еще эффективнее: терминал стоял рядом с ресепшном, за которым сидела строгая тетенька, сразу интересующаяся причинами посещения.


                            Так что, похоже, во многих МФЦ вполне в курсе проблем с безопасностью.

                          • +1
                            Побольше таких статей. Возможно руководители данных организаций читают хабр (надеюсь) и обратят свои взоры на данные проблемы. У нас обычно начинают шевелиться когда о проблеме «орут», а не говорят лично. Автор молодец, что не скучал в очереди!
                            • +1
                              На это я и надеюсь, если честно.
                              • 0
                                Господа! Вы как будьто на марсе живёте. У нас 2 месяца искали человека. Руководитель в МФЦ полный ноль в ИТ. Закупали оборудование экономики на всем что можно. В первую очередь на компьютерах. И вообще до порядка ещё работать и работать… хорошо если есть кому. Ещё вы тут ходите и все ломаете :-)
                                • 0
                                  Спасибо, но никто ничего не ломает. Руководитель МФЦ и не должен разбираться в IT, он должен руководить. Где-то же закупали эти терминалы и софт, кто-то же принимал их?
                                  • 0
                                    Разбираться может и не должен, но иметь представление наверное обязан. Терминал скорее всего был приобретен без программного обеспечения, а местный админ лепил его из того что было. Да и безопасность в первую очередь должна быть на бумаге
                                • 0
                                  Ты сам в это веришь? Там сидит дед, который очки еле находит по утрам. Имеющие на Хабре люди так бы не сделали. Это все таки ИТ сообщество. Автор выплакал нам свою историю как запустить Диспетчер задач.
                                  • 0
                                    Ахах, внизу поныл и сюда пришёл :) Ладно, так уж и быть, на следующий ваш комментарий не буду отвечать, оставьте за собой последнее слово.
                                • +2
                                  В алгоритме представленном в выводах вижу тысячу и одну точку отказа от:
                                  • Доступ разрешен только к определенным сайтам.
                                  • Нет прав на запуск исполняемых файлов, кроме разрешенных в белом списке.

                                  До:
                                  • IPD/IPS обнаружат подключение и заблокируют.
                                  • Антивирус настроен на блокировку ПО для удаленного доступа.

                                  Даже не понятно с какими именно мы сейчас правами, домена судя по всему нет и какие сетевые доступы у этой машины тоже не ясно.

                                  Из вашего исследования можно сделать только один вывод, они не позаботились о том, чтобы надежно заблокировать нелигитимные действия на терминале.
                                  Остальное — лишь домыслы, пока не провели тестирование на проникновение терминала по модели «посетитель».

                                  • +3
                                    Доступ разрешен только к определенным сайтам.


                                    Нет прав на запуск исполняемых файлов, кроме разрешенных в белом списке.

                                    Возможно, regedit у них в белом списке, я не уверен.
                                    IPD/IPS обнаружат подключение и заблокируют.

                                    А вот это вполне возможно.
                                    Антивирус настроен на блокировку ПО для удаленного доступа.

                                    Я там не нашёл антивируса, возможно, плохо искал.
                                    • 0
                                      В этот момент писал уточнение, которое опубликовал ниже.
                                      Это далеко не все точки отказа, поэтому судить о защищенности терминала и о критичности возможных с ним манипуляций через экран, точно нельзя на основе статьи.
                                      • +1
                                        Зато можно судить по личному опыту. Сходите в свободное время в МФЦ и потыкайтесь в терминале, там конь не валялся в плане защиты вообще чего-либо. Я говорю как человек, принимавший прямое участие в разработке терминалов, скажем так, это моё субъективное мнение.
                                    • 0
                                      Поправка в первом пункте имел ввиду доступ на скачивание файлов, которые проходят через прокси.
                                      • 0
                                        Вообще да, к сожалению, это не успел проверить, о чём честно написал в статье. Вы сходите лучше сами посмотрите, что там творится.
                                        • 0
                                          К сожалению, прав на тестирование на проникновение мне никто не давал. А так бы с радостью, ежедневно занимаюсь подобным у Заказчиков.
                                      • 0
                                        При этом у них есть весь функционал в виде SRP и firewall (windows 7 pro), этого бы хватило для начала. Это бесплатно и делается в пару кликов.
                                        • 0
                                          Взяли школьника Васю настраивать, он и настроил.
                                      • 0
                                        Кстати, очень интересно, откуда у них лицензионная Windows 7. По данным с сайта Microsoft продажи Windows 7 всех редакций закончились 31 октября 2013 г.

                                        Есть возможность сделать даунгрейд на предыдущую версию
                                        • –2
                                          да дыряво както
                                          • +2
                                            Доводилось заниматься обслуживаением ФМС (до их слияния с МВД), которые уже давно поголовно переехали в эти МФЦ.
                                            Волосы добом вставали, глядя на то, что твориться в их ИТ инфраструктуре.
                                            Скажу так, МФЦшная среда, даже с учетом перечисленного автором, все равно на порядок «безопаснее» того, что было у ФМС (а ведь у них обрабатывается высшая категория ПД!).
                                            • +2
                                              Про ФМС вообще отдельная история, туда я тоже хожу :)
                                              • 0
                                                Пилигрим, Меридиан…
                                                • +1
                                                  Я работал в дочке одной крупной структуры на этапе разделения (закупка оборудования, создание инфраструктуры в том числе и сетевой). И когда мне я связался с их ИТ директором и сказал что делаю на AD и мне нужны списки юзеров для VPN — он почти дрожащим голосом переспросил: «AD?»… Для них это дикость была. И ещё, эта структура до сих пор связь по аналогу пробрасывает внутри собственных зданий…
                                                • 0

                                                  Ух, нравится! Обожаю, когда при приёме на работу "сисадмину" выдвигают список требований, а по факту он отключает из сети терминал и возвращается к отмене документа в "очереди на печать" через перезагрузку.

                                                  • 0
                                                    ЕМНИП regedit запускается с правами обычного юзера. Во время повышения прав/устаноки прогремм UAC запросит пароль админской учетки. (Только если UAC включен конечно)
                                                    • 0
                                                      Да, интереснее всего — были ли права администратора у этой учётной записи. Что-то мне подсказывает, что были.
                                                      • 0
                                                        Изменякт, если uac включен, то он сразу всплывает при запуске regedit. Делаем вывод — он выключен.
                                                        • 0
                                                          Изменякт, если uac включен, то он сразу всплывает при запуске regedit. Делаем вывод — он выключен.

                                                          Если прав администратора не было, то regedit запустится с правами пользователя, без запроса UAC, отсюда мой вопрос.
                                                      • +2

                                                        Я делал подобный терминал именно для гос услуг на базе дебиан 8, голые иксы, минимальный ВМ, фаерфокс с плагином киоска. Фаерфокс запущен в цикле и растянут на все окно. Плагин блочит большинство функций.
                                                        Изначально использовал хромиум в режиме киоска, но потом оказалось, что доступ надо давать на выбор к нескольким сайтам, решилось через фаерфокс, в котором сбоку показывается панель в которой отображается статическая страница с ссылками на нужные сайты.
                                                        Блокировка на уровне ДНС с белым списком.

                                                        • 0
                                                          Хм… я тоже делал терминал на базе Debian Jessie, тоже отказался от хромиума в пользу фирефокс из-за наличия плагина киоска…
                                                          Правда не для гос-услуг, но тоже для некоторого государственного органа…
                                                          Вы, случайно, не из AT-Consulting? :)
                                                        • +1
                                                          Просто не купили нормальную программу для публичных киосков. Судя по процессам, что-то самописное, поэтому и не перехватывает кучу вещей.

                                                          По идее это информационный терминал и должен быть во внешней сети, так что ни о каких ПД речь не идет.
                                                          • 0
                                                            Если бы это был информационный терминал, никаких проблем бы не было. Но, если вы обратите внимание на две последних фотографии, то поймёте, что основное предназначение конкретно этих терминалов — доступ к Госуслугам:

                                                            Там есть и информационные терминалы, про них ничего не могу сказать.
                                                            • 0
                                                              Судя по моему опыту — это как раз доступ к сайту gosuslugi.ru, который свободно висит в сети. Поэтому вполне возможно, что он не подключен к внутренней сети МФЦ, только к интернету
                                                              • 0
                                                                Никто же не говорит, что Госуслуги — это внутренний сайт. Вы же понимаете, что терминалы подключены в какой-то обший свитч, например. Посмотрите для разнообразия вот этот комментарий. Более того, я уверен, что рабочие места сотрудников тоже в той или иной форме требуют доступ в интернет.
                                                                • +1
                                                                  Прошу прощения, писал с телефона, невнимательно прочитав Ваш и предыдущий комментарий.
                                                                  Если свитч умный, он позволяет сделать две независимые сети… у обоих будет доступ к интернету, но не будет доступа друг к другу… или из сети А доступ к сети Б будет, а наоборот — нет… Это несложно настроить на продвинутых моделях…
                                                                  Да в принципе даже имея глупые свитчи и один роутер можно этого добиться…

                                                                  Надеюсь, не во всех МФЦ ситуация, как по указанной Вами ссылке.
                                                                  • 0
                                                                    Если даже считать, что это просто общедоступный компьютер, имеющий доступ только к интернету и поставленный с целью предоставить людям доступ к конкретному веб-сайту, возможность использовать его в любых других целях — мягко говоря недоработка. Если я правильно понял, gdt говорит именно об этом.
                                                                    Возможность запустить произвольный код/файл, в том числе скачанный из интернета — преступная халатность. Потенциальный злоумышленник может занести таким образом кейлогер и/или другой вирус, который украдёт данные для авторизации и/или персональные данные всех последующих пользователей терминала.
                                                          • 0
                                                            По своей практике «строительства» МФЦ — у них есть требования на наличие в зале 2 терминалов — один работает непосредственно с электронной очередью (в этой подсети в инет выйти практически нельзя), а вот второй терминал — требуют специально для доступа ко всяким ГосУслугам, Консультантам и т.п. Кроме того, в некоторых местах(налоговые) еще специально ставят рабочие места еще и с принтером — чтобы человек мог прийти, подредактировать и распечатать декларацию. С точки зрения антивирусников — там обычно все в порядке, а вот по поводу «цензуры» на доступ в инет — тяжелее.
                                                            • 0
                                                              Скорее всего на NAT-e разрешены все порты во вне, не говоря уже об www-хостах — это тоже очень поле для действий.
                                                              • 0
                                                                А как же высочайшее повеление перевести всё и вся на отечественный софт.
                                                                «А то ведь кнопку нажмут там и тут все МФЦ умрут»
                                                                • +1
                                                                  Буквы везде русские, соответственно можно втирать, что и софт отечественный.
                                                                • –1

                                                                  Вот только ты ничего не скачаешь, т.к. заблокирован доступ в интернет через прокси.

                                                                  • +1
                                                                    Можно поподробнее про заблокированный доступ в интернет? Потому что лично я ничего такого не увидел.
                                                                  • –2
                                                                    Неужели вы не осознаете, что ваши действия противоправны? Они совершенно аналогичны, например, перелезанию через стену режимного предприятия и последующей попытке порулить установленным там оборудованием, пользуясь отсутствием поблизости персонала. При правильной постановке дела, привлечь вас к ответственности ничего не стоит. Чем тратиться на компьютерную безопасность, государству было бы куда проще и дешевле применить закон в нескольких подобных случаях по всей строгости, и предать это огласке через СМИ.
                                                                    • +3
                                                                      Автор не перелезал через стену, он прошел через отсутствующую по недосмотру секцию забора.
                                                                      • +2
                                                                        Вы правы только отчасти. Ваша аналогия некорректна и вот почему.
                                                                        На стенах режимного предприятия обычно есть предупреждающие надписи — это раз. Во вторых, есть колючая проволока, которая как бы намекает, что не надо тут перелезать через стены.
                                                                        А что мы видим здесь? Положим, я хочу зайти в Госуслуги. Ставлю тачскрином фокус на поля ввода и вижу кнопку, предлагающую мне показать экранную клавиатуру. Показываю клавиатуру и пользуюсь ей дальше на своё усмотрение. Комбинации клавиш вроде никто не запрещал, рядом с терминалами никаких предупреждений нет.
                                                                        Я думаю, что аналогия получше — это автомобиль с открытыми окнами или то же самое режимное учреждение, но только без стен и охраны. По этой же аналогии я, проходя мимо, решил заглянуть и запечатлеть на память.
                                                                        Чего я не сделал, за что по идее можно получить наказание:

                                                                        1. Не получил доступ к закрытой информации
                                                                        2. Не сломал терминал


                                                                        P.S. Но всё равно спасибо за беспокойство, подобные мысли нет-нет да приходят в голову.
                                                                        • 0
                                                                          Статья 272 УК РФ часть 1. «Неправомерный доступ к охраняемой законом компьютерной информации, то есть информации на машинном носителе, в электронно-вычислительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети»
                                                                          • +2
                                                                            Лично я там ничего не нарушил. Alt+Tab обратно на приложение (кстати да, оооооооочень сложная поделка — форма с WindowStyle=None и браузер контролом) и всё. Нарушил там работу админ, после меня всё работало.
                                                                            • +1
                                                                              Чтобы вас задержать по подозрению, приведенной формулировки достаточно. А дальше будете иметь дело с государственной машиной, которая работает далеко не так предсказуемо, как компьютер. А у админа, вне зависимости от его квалификации, доступ правомерный.
                                                                              • 0
                                                                                Как-то вы очень угрожающе выражаетесь :) Случайно не в МФЦ работаете? А то я чувствую, кому-то очень больно по шапке может прилететь за такое.
                                                                                • +2
                                                                                  Скорее переживаю за вас и таких же)
                                                                                  • 0

                                                                                    Ненужны тут переживания, просто надо ставить такую систему чтобы ни одна "муха" не смогла это сделать.

                                                                          • 0
                                                                            Вы, скорее всего, ничего не нарушили, но сами подумайте, у начальства госуслуг будет выбор между а) тратиться на перенастройку терминалов; б) в назидание всем шибко умным, арестовать вас от греха подальше на время следствия о том, нарушалась 272 или не нарушалась, — как по-вашему, какой выбор примут?
                                                                            • +1
                                                                              Я трезво смотрю на вещи и понимаю, что нельзя просто так взять и переоборудовать терминалы по целому ряду причин. Вариантов выбора в этой ситуации на самом деле больше, чем два, так что я рассчитываю на лучшее.
                                                                          • +1

                                                                            Когда на терминале напишут, что его использование не в целях посещения госуслуг запрещено и сошлются при этом на соответствующую существующую норму закона, тогда можно будет привлекать к ответственности.


                                                                            А пока уместна аналогия из земельного права: Если земельный участок не огорожен либо его собственник иным способом ясно не обозначил, что вход на участок без его разрешения не допускается, любое лицо может пройти через участок при условии, что это не причиняет ущерба или беспокойства собственнику.

                                                                            • +1
                                                                              На банкоматах тоже не пишут, что из них нельзя красть деньги) Для правоприменителя понятие «это противозаконно» — первично, даже если никаких защитных мер не принимается. Мы же не ходим в бронежилетах, чтобы нас не убивали. А в сфере IT многие ведут себя как дети в игрушечной комнате, считая, что все, что технически возможно, можно и нужно попробовать. Пора осознать, что это не так.
                                                                              • 0
                                                                                Вообще-то пишут, что ведётся видеонаблюдение, стоит красящая кассета и т.п. Плюс сделать что-то с банкоматом, не обладая соответствующей квалификацией и инструментами практически невозможно. Навскидку могу вспомнить только баг с придерживанием карты при снятии денег (когда банкомат считал, что деньги не выданы, а по факту выдавал).
                                                                                • 0
                                                                                  Пишут лишь с целью минимизировать свой ущерб, уменьшив вероятность противоправных действий. В случае же их совершения, подобные предупреждения влияют на применение закона лишь с точки зрения доказательства осознанности таких действий, что учитывается при выборе наказания.
                                                                                • 0

                                                                                  Главное что бы вы не стали следователем или судьёй.

                                                                              • +3
                                                                                www.penzainform.ru/questions/law/predusmotrena_kakaya-libo_otvetstvennost_za_vzlom_chuzhogo_wi-fi_15f3.html

                                                                                В этой статье процитирована официальная позиция представителя соответствующих структур, а не диванного юриста. Самого факта несанкционированного доступа к ПК для формирования состава преступления недостаточно. Нужно, чтобы помимо этого случилось копирование, модификация или удаление информации, либо в результате действий преступника кто-то получил значительный материальный ущерб.

                                                                                Рассмотрим ситуацию автора статьи. Проник на территорию МФЦ он полностью законно. В ходе своей деятельности он не копировал никакую приватную информацию (на фотографиях обычный интерфейс винды, а не чьи-нибудь персональные данные), также не модифицировал (всё возвращается как было Alt + Tab, либо перезагрузкой) и не удалял. Ущерба, очевидно, тоже никто не понёс. Так что перед законом он абсолютно чист.

                                                                                Вы можете привести всякие контрпримеры (например, с банкоматом). Но обратите внимание, что в ваших примерах помимо несанкционированного доступа к ПК ещё имеются и другие действия — например, проникновение на закрытую территорию, повреждение оборудования, кража денежных средств и т. д. А это уже вполне нормальные преступления.
                                                                              • 0
                                                                                солонка
                                                                                • 0
                                                                                  Апельсин, мы же в слова играем?
                                                                                • 0
                                                                                  Я думаю, вы немного преувеличиваете. Вот немного ниже товарищ vampire333 подтверждает мои слова. А ещё можно кейлоггер поставить на терминал и иметь немного данных для входа в госуслуги, да и вообще применений тонна. В даркнете есть сервисы по «работе» с ПД, я думаю, они могут использовать вот такие вот дыры в безопасности.
                                                                                  • +1
                                                                                    Данный рассказ отнюдь не повод впадать в другую крайность и утверждать, что информационная безопасность не нужна совсем.
                                                                                  • +4

                                                                                    занимался монтажем сети для одного из МФЦ в Лен.области. терминал действительно в общей сети со всем остальным оборудованием, и подключено это все в один свитч в 48 портов (неуправляемый). а подключали и настраивали трое, пьяных в стельку, выездных ИТ-шника

                                                                                    • 0
                                                                                      Вот это поворот :)
                                                                                    • 0

                                                                                      Что говорить о МФЦ, если у нас у Сбера амми можно было скачать. После этого в отделении отключили терминалы.

                                                                                      • +1
                                                                                        И после этого вы еще на свобде?))
                                                                                        • 0
                                                                                          Я не думаю, что сделал что-то такое, за что можно лишить человека свободы. В конце концов, там обрабатываются наши с вами персональные данные, а это вам не шубу в трусы заправлять. Это касается каждого (кто живёт в РФ).
                                                                                          • +1
                                                                                            в нашей стране все возможно. лижбы человек был, но я бы наоборот выдал премию
                                                                                        • 0

                                                                                          В ФНС Санкт-Петербурга такая-же ситуация, просто всем пофиг

                                                                                          • +2
                                                                                            О безопасности отдельных центров говорить не приходится, тк разработчики основного сайта МФЦ.РФ имеют ряд уязвимостей на сайте + сервере. В этом лично убедился twitter.com/u13Sec/status/889122328378003456
                                                                                            Однако стоит отметить, что фиксы выходят довольно быстро
                                                                                            • 0
                                                                                              Вы зарплаты в тех МФЦ видели? Вы чего хотите от людей которые там работают? Не знаю как в незалежной, а в провинции режьте половину от средней. Какие там спецы работать будут?
                                                                                              • 0
                                                                                                Те кто работают в МФЦ, страдают выборочной потерей памяти в момент выдачи премий ;) А так да — 18-20 тыр
                                                                                                • 0
                                                                                                  Автор вряд ли предъявляет личные претензии к конкретному специалисту, он скорее говорит о профессиональном уровне. Кроме того, если использовать низкую зарплату как аргумент в защиту непрофессионализма, поостерегитесь ходить в государственные медучреждения. Это самое мягкое, что приходит в голову при виде такого аргумента.
                                                                                                • +2

                                                                                                  Зачем в МФЦ Windows? Браузер на весь экран можно в любом Linux открыть. Собрать свой дистр и распространять его на все терминалы с настройками безопасности приходящими прямо от разработчиков данных терминалов.

                                                                                                  • +1
                                                                                                    Там скорее думали как можно по дешевле сделать и распилить тендер.
                                                                                                    • +2

                                                                                                      Это да. Но не понятно как Windows = дешевле.

                                                                                                      • 0
                                                                                                        Это я понимаю как что знает в том и работаем.
                                                                                                        • 0

                                                                                                          Просто к Windows привыкли простые граждане, поэтому и используют. (Это мое личное мнение которое может не совпадать с мнением администрации МФЦ)

                                                                                                        • +1
                                                                                                          а оно и не должно быть дешевле, оно должно быть откатоёмким
                                                                                                          • 0
                                                                                                            Госучреждения имеют дисконт на ПО Майкрософт. Кроме того, как и во многих других сферах экономия на штате, обслуживающем более «понятное» и распространённое ПО перекрывает издержки на закупку ПО.
                                                                                                      • –1
                                                                                                        Статья о том, как человек нажал Ctrl+Shift+Escape. Познавательно, спасибо.
                                                                                                        • 0
                                                                                                          Многие не могут и этого, видимо.
                                                                                                        • –1
                                                                                                          В чем смысл поста? Как вызвать диспетчер задач?
                                                                                                          Ты иди к руководству МФЦ и расскажи о дырках, чего ты как маленький… Лишь бы пописать дать?
                                                                                                          • 0
                                                                                                            Ты сам-то понял, что написал?
                                                                                                            По порядку:
                                                                                                            В чем смысл поста? Как вызвать диспетчер задач?

                                                                                                            Судя по комментариям, каждый видит своё. Для меня суть поста была показать всем, насколько МФЦ плевать на защищённость наших ПД, и в частности продемонстрировать, как любой «уверенный пользователь ПК» (не шутка) может получить полный контроль над терминалом.
                                                                                                            Выше vampire333 подтвердил мои опасения о том, что терминалы находятся в одной сети со всеми остальными устройствами. Поэтому это пост не о том, как вызвать диспетчер задач, а о том, насколько безалаберно в нашей стране относятся к нашим же с вами персональным данным.
                                                                                                            Ты иди к руководству МФЦ и расскажи о дырках, чего ты как маленький…

                                                                                                            Начнём с того, что это госучреждение, со всеми вытекающими отсюда последствиями. То есть мало того, что мне надо как-то попасть к этому руководству, ещё надо его убедить в том, что надо взять и по всей стране, во-первых, отключить терминалы, во-вторых, потратить немалую сумму денег на их перенастройку/переоборудование. И даже если мне это удалось бы (в чём лично я сильно сомневаюсь), начались бы бюджетные ритуалы — там согласовать, тут оказывается никто не закладывал таких затрат, и вообще ждите, может, в следующем году выделим деньги.
                                                                                                            Далее. Я не хакер, как указал в статье — информационная безопасность вовсе не мой конёк. Я не исследователь защиты, и не надо ко мне применять «шляпные» понятия. Я нашёл проблему — я поделился ей с сообществом. Если конкретно вас (ой прости, тебя) не устраивает мой способ, можете сделать так, как считаете нужным, а я уж сам как-нибудь придумаю, что делать. Как в старом анекдоте — «не говорите мне, что делать» ну и т.д.
                                                                                                            Лишь бы пописать дать?

                                                                                                            К сожалению, уровень моего интеллектуального развития не позволяет мне понять, что ты имел ввиду этой фразой.
                                                                                                            • –1
                                                                                                              Что ты сделал для того, чтобы устранить косяк МФЦ?
                                                                                                              Твои домыслы о «как-то попасть к этому руководству, ещё надо его убедить в том, что надо взять и по всей стране, во-первых, отключить терминалы, во-вторых, потратить немалую сумму денег на их перенастройку/переоборудование» никого не волнуют. Ты лишь оправдываешь свою лень и собственную такую же безалаберность. Сегодня же зайду в МФЦ.
                                                                                                              Ты, видимо, один из тех, кто видит насилие и идёт мимо, со словами «это не моё дело» или «они сами разберутся». Вот пока такие безучастные люди существуют мы и будет так же жить, когда каждый второй в своем никчемном бложике будет пописывать, что терминал не запаролен, пенсии маленькие и т.п. ТФУ!
                                                                                                              • 0
                                                                                                                Желаю вам удачи, проходите мимо, не задерживайтесь.
                                                                                                                Обязательно отпишите, что у вас получилось, будет интересно почитать.
                                                                                                                Ты, видимо, один из тех, кто видит насилие и идёт мимо, со словами «это не моё дело» или «они сами разберутся». Вот пока такие безучастные люди существуют мы и будет так же жить, когда каждый второй в своем никчемном бложике будет пописывать, что терминал не запаролен, пенсии маленькие и т.п. ТФУ!

                                                                                                                Своё личное мнение можете оставить при себе.
                                                                                                                • –1
                                                                                                                  Игнор моего вопроса подтверждает мои догадки. Пост для привлечения к себе внимания, не более. Как мелко…
                                                                                                                  • 0
                                                                                                                    Не суди, да не судим будешь.
                                                                                                                    Что ты сделал для того, чтобы устранить косяк МФЦ?

                                                                                                                    Для начала объясните, а с чего я вообще должен устранять чей-то косяк? У меня, во-первых, есть работа. Есть семья и новорождённая дочь (не просто так же я попал в МФЦ, как вы думаете?), мне есть, на что тратить своё время. Есть люди, которые за это должны быть ответственны, и я вам скажу — это их проблемы, и даже более того, мне их ничуть не жалко. Надо нести ответственность за свои поступки, не так ли?
                                                                                                                    UPD. Кстати, весьма интересно, что вы не придумали ничего лучше, чем поливать меня грязью. Это ваш способ выражать своё мнение?
                                                                                                                    • –1
                                                                                                                      Ты, видимо, реально не понимаешь и считаешь свой поступок хорошим? Ты нашел дырку и сразу пошел кричать об этом в крупном сообществе. Нормальный (подчеркиваю) человек, найдя такого рода косяк, если реально заботится о ПД, сначала донес бы эту информацию до руководства. А после того, как пофиксили — можно выкладывать. А иначе ты просто мелкий проказник, не более того. С болезнью дефицита внимания.
                                                                                                                      • 0
                                                                                                                        Я не считаю свой поступок вообще никаким. Хороший, плохой — всё это оценочные суждения, что одному хорошо — то другому плохо. Я сделал так, как посчитал нужным. Вы со мной несогласны. Ок, и что дальше? Оскорблять оппонента? Вы со всеми людьми так разговариваете?
                                                                                                                        Нормальный (подчеркиваю) человек, найдя такого рода косяк, если реально заботится о ПД, сначала донес бы эту информацию до руководства. А после того, как пофиксили — можно выкладывать.

                                                                                                                        Опять же, это ВАШЕ понятие нормального человека, не распространяйте его на меня. Да и вообще, чем раньше вы поймёте, что не всё происходит так, как вы этого хотите, тем лучше будет для всех.
                                                                                                                        UPD. Теперь вы игнорируете мой вопрос.
                                                                                                                        • 0
                                                                                                                          Чем раньше люди начнут думать впрок — тем будет лучше. А когда делают все так КАК ХОТЯТ, не задумываясь о других — вот так и будет, как сейчас.
                                                                                                                          На данный момент я вижу, что любой школотрон ТЕПЕРЬ может воспользоваться дырой, и стоять в три раза дольше в очереди в МФЦ за справкой для своей новорожденной дочери будешь не только ты. А виноват кто? Кто решил написать свою первую запись…
                                                                                                                          • 0
                                                                                                                            Вот оно в чём дело :) Первая запись, как же.
                                                                                                                            Я вам скажу вот что. Не думаю, что я единственный обладал сакральным знанием комбинации клавиш «Ctrl+Shift+Escape» и уже тем более навыком использования экранной клавиатуры. Чуть более чем уверен, что об этом знали и до моей публикации. Я предупредил всех, предупреждён — значит вооружён.

                                                                                                                            А вообще, мне немного даже обидно. Когда я участвовал в разработке терминалов, за любой такой косяк звонил клиент и вставлял по самое не хочу. «Почему на вашем терминале можно найти порно?» и ведь не объяснишь ему, что что мы не Google и у нас нет своего классификатора. Просто подходит школьник к терминалу и находит непотребные изображения и оставляет, а терминал стоит в крупном ТЦ, соответственно репутация клиента резко падает. И он резко реагирует, т. к. это его репутация и его доход, до общественности поэтому и не доходит. Здесь же обратный, вопиющий случай пофигизма.
                                                                                                                            • 0
                                                                                                                              Мда…
                                                                                                                              • 0
                                                                                                                                Вы не ответили ни на один мой вопрос, и в вашей критике напрочь отсутствует конструктив.
                                                                                                                                • 0
                                                                                                                                  Какие твои вопросы? Это все чушь.
                                                                                                                                  А если тебе нужно разжевать конструктив, то держи — зачем плакаться о дырках, когда ты ничегошеньки не сделал для их устранения? Это ровно как ныть о своем ужасном финансовом и социальном положении, сидя дома и попивая пиво.

                                                                                                                                  Твой пост только тогда будет заслуживать внимания и хороших мнений — когда ты разработаешь систему для закрывания этих дырок, предложишь руководству в письменном виде, добьешься внедрения и т.п.

                                                                                                                                  А сейчас — пфффф. Суть поста — какой ты молодец и запустил диспетчер задач… Боже ж мой…
                                                                                                                                  • 0
                                                                                                                                    Какие твои вопросы? Это все чушь.

                                                                                                                                    Этим всё сказано. Ваши вопросы, несомненно, ценны и очень важны, и на них необходимо отвечать. А мои вопросы — чушь.
                                                                                                                                    С вами просто невозможно вести конструктивный диалог.
                                                                                                                                    Твой пост только тогда будет заслуживать внимания и хороших мнений — когда ты разработаешь систему для закрывания этих дырок, предложишь руководству в письменном виде, добьешься внедрения и т.п.

                                                                                                                                    Так и подмывает написать, а чего добился ты?
                                                                                                                                    Несомненно, Вашему перу принадлежит несчётное количество отменных систем для закрывания дырок, и Вы не раз получали премии от руководства за своевременное выявление и устранение уязвимостей. Куда мне, простому смертному, до Вас. Поделитесь своей мудростью, а не то совсем заплутаю.
                                                                                                                                    • 0
                                                                                                                                      Да, твои вопросы чушь, не относящаяся к делу.
                                                                                                                                      Твой пост — тебе на вопросы и отвечать.
                                                                                                                                      Да, я доводил дело о найденных дырах до конца. Но тебе, смертному и безучастному, не понять.
                                                                                                                                      • 0
                                                                                                                                        Распечатаю и повешу в рамку эту ветку.
                                                                                                          • 0
                                                                                                            Если к терминалу подошел охранник и пресек дальнейшие беспредельные действия, то не все так безнадежно…
                                                                                                            Интересно, а ТС готов повторить нечто подобное например в США? :)
                                                                                                            • 0
                                                                                                              Во-первых, к терминалу подошёл не охранник. Я не стоял всё время за ним, а подходил и каждый раз уходил в шоке. В один из разов к нему подошёл, скорее всего, администратор.
                                                                                                              Во-вторых, я не был в США и на своём опыте сказать ничего не могу. Но, насколько я помню, у них очень серьёзно относятся к вопросам безопасности ПД. Так что лично я не могу сказать, чем бы всё закончилось.

                                                                                                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.