Информационная безопасность вендинга
Качественное развитие злонамеренного ПО (буду называть его вирусами) выражается не только в увеличении масштабов заражения, но и в расширении объектов атак. Раньше вирус назывался компьютерным, поскольку был нацелен на ПК. Сейчас объектами атак стали не только компьютеры (в том числе промышленные), планшеты и смартфоны, но и роутеры, телевизоры, системы АСУ, умного дома, в общем все, что имеет микрочип и может принести хакеру деньги или просто доставить удовольствие. На этом сайте есть статьи об атаках на АСУ ТП, когда промышленные роботы незаметно для глаза «немного» ошибаются. Об «умной розетке», в которую попал вирус и т.д. О вирусных атаках на атомные или электростанции. Раздел об информационной безопасности можно читать как занимательный военный роман. И до конца неясно, кто победит.
Хочу поделиться моим опытом работы по обеспечению информационной безопасности вендинга. Торговые автоматы ведь тоже имеют управляющую вычислительную систему, обманув которую можно подзаработать. Даже здесь на сайте встречаются сообщения о «джек-потах» от вендинга. Некоторые автоматы оснащаются сенсорными экранами, а значит компьютерами, становясь в один ряд с прочими мишенями хакеров. Вот фото и видео современного торгового автомата с большим экраном (интерактивной витриной):
http://www.igrotech.ru/product/vending/gold.htm
http://www.igrotech.ru/information/interfeis.htm#interfvitr
Для серьезного вендинга автоматы еще и объединяются в сеть, открывая хакеру дверь нараспашку. Конечно пока еще потери вендинга от вандализма, взлома и кадровых проблем значительно выше, чем от хакеров, но ведь и мобилы раньше не боялись вирусов.
Не буду «растекаться мысью по древу», поделюсь конкретным опытом.
Во-первых, вот примерный перечень уязвимостей торговых автоматов:
-он-лайн сервисы для учета и управления,
-управляющие компьютеры,
-платежная система,
-электронные и электрические схемы управления,
-гаджеты.
Первое не требует пояснений, поскольку уязвимости Инета описаны, как и борьба с ними. Если хозяин автоматов пожелал не только наблюдать за ними, но и управлять, например, изменять цену товаров, то может потерять товар или деньги. Об уязвимости компьютеров тоже помолчим - об этом сказано достаточно. Думаю, что защита от вирусов - это одна из причин, по которой разработчики вендинговых машин используют спец вычислители, а не ПК. Вот производитель кофе-машин Франке из Швейцарии заказал управляющие платы и видеомонитор аж в Японии. Небольшой тираж таких спецвычислителей делает работу хакера нерентабельной.
Платежная система - это самое заманчивое место для краж. Даже без вирусов. Купюроприемники, монетоприемники, диспенсеры и хопперы сдачи. Еще со времен широкого распространения игровых автоматов и в довирусную эпоху все эти гаджеты стали мишенью халявщиков. Удильщики вытягивали монетки за веревочку, а купюры за скотч. Всячески пытались обмануть программы распознавания номиналов купюр и монет. Производители этих гаджетов меняют прошивки редко, поэтому уязвимости распознавания жили долго. Казалось бы, импульсные купюрники, монетники и хопперы с импульсами 12 В защищены больше, чем 5 вольтовые схемы TTL, но умельцы приспособили пьезо-зажигалки и даже шокеры, чтобы высыпать из них деньги.
В последнее время вендинг следом за торговыми центрами стал использовать оплату картами (эквайринг), чем поставил себя в один ряд с банкоматами. А каналы VPN запретили. И последняя фенечка - бесконтактные карты и NFC смартфоны. Видел в Инете, да и на этом сайте, как такие карты считывают и клонируют зловредные мошенники с помощью нехитрых приспособлений.
В этом же ряду хочу упомянуть о кассовых аппаратах. Мало того, что государство дает заработать всяческим околопроцессинговым структурам, так еще и открывает дополнительный канал в Инете. И не только от вендинг-машины до ФНС, но и в «облачных кассах». Так и вижу склонившихся над клавиатурой хакеров, готовящих нам всем сюрпризы в этих облаках.
И какой вывод? Да почти ничего нового. Нужно только помнить, что вендинг, в отличие от сайтов, онлайн игр, корпоративных сетей и пр. может быть менее связан с компьютером, а значит и с вирусами. Понизив роль компьютера в автомате, вы снижаете и его вирусную уязвимость. Ну и, выбирая автомат, поинтересуйтесь на сайте разработчика, как он защитит вас от вирусов. Если на сайте есть раздел об информационной безопасности.
Информационная безопасность IT
1.4K постов25.5K подписчиков
Правила сообщества
Обязательно к прочтению для авторов:
1. Если вы добавляете пост, утверждающий об утечке данных или наличии дыр в системе, предоставьте ссылку на источники или технически подкованное расследование. Посты из разряда "Какой-то банк слил данные, потому что мне звонили мошенники" будут выноситься в общую ленту.
2. Все вопросы "Как обезопасить сервер\приложение\устройство" - в лигу "Компьютер это просто".
Обязательно к прочтению для всех:
Добавление ссылки разрешено если она не содержит описание коммерческих (платных) продуктов и/или идентификаторов для отслеживания перехода и для доступа не нужен пароль или оплата в т.ч. интернет-ресурсы, каналы (от 3-х тематических видео), блоги, группы, сообщества, СМИ и т.д.
Запрещены политические holy wars.
По решению модератора или администратора сообщества пользователь будет забанен за:
1. Флуд и оскорбление пользователя, в т.ч. провокация спора, флуда, холивара (высказывание без аргументации о конкретной применимости конкретного решения в конкретной ситуации), требование уже данного ответа, распространение сведений порочащих честь и репутацию, принижающих квалификацию оппонента, переходы на личности.
2. Публикацию поста/комментария не соответствующего тематике сообщества, в том числе обсуждение администраторов и модераторов сообщества, для этого есть специальное сообщество.
3. За обвинение в киберпреступной деятельности.
4. За нарушение прочих Правил Пикабу.