Казалось бы, причем тут Украина...⁠⁠

Сколько на это уйдёт? Пара рабочих дней?

Думаю около получаса, ну или час максимум. Жесткие заменены на SSD, так что развернуть будет быстро. Есть образ предыдущей конфигурации на загрузочном носителе, который сам всё сделает если воткнуть в USB перед включением питания компа. Есть инструкции и регламенты.

Сколько компания потеряет денег - за пару дней простоя розницы?

Нисколько, есть резервные кассы на андроиде. За ними идти до другого крыла ну... минут 10 туда-обратно.

заложенная в ПО для установки обновлений атака срабатывала сразу после установки

ПО не ставится на компьютер, а используется с флешки. На компе остаются только системные файлы, служба планировщика выключается, все левые процессы закрыты, а ненужные службы запрещены к запуску. Левую обнову поставить не выйдет, по крайней мере пока не научаться подписывать файлики сертификатом мелкософта, а такого я пока не видел.

На системах всегда одно и тоже количество процессов при старте. Единственное, что остаётся - подмена файла, который используется системой, например файлы активных служб. Только в этом случае не выйдет пройти проверку (sfc /scannow), вариантов остаётся не так много.

Чисто гипотетически можно допустить такое, согласен. По факту же, сужу по опыту, за годы работы - внезапное отключение электричества гораздо больше нанесло вреда, чем подобные поделки-утилиты. Причем это и простой розницы, и не розницы, и ещё риск повреждения оборудования и потери данных.

Это не танцы с бубном, это просто хобби, меня прикалывает. Я тоже не доверяю облакам и очень жалко коллег которые сейчас мигрируют с азура. У меня по большей части всё в ВМ, сервера в стойках. И если и переходить с базы в какой-то из ЦОДов, то лучше уж что-то локальное внутри страны, Москва-Питер.

Сам подумай, вот ребята крутят мощный HighLoad с BigData на азуре, уже который год. Всё норм. И тут мелкософт заявляет что закрывает азур для россиян и уходит из страны. ДА, базара нет, мелкософт чуть позже передумал и сообщил об этом. Но дело уже не в технологиях. Это ведь уже психология. Доверие то подорвали. Сегодня они передумали, завтра опять передумают, послезавтра снова передумают. Владелец поседеет от таких приколов. Конечно все начали миграцию, никто не хочет таких рисков, да и нервишки ни к черту при таком раскладе.

А 7ку на паре-тройке компов обновить это фигня. Прогу разобрать тоже фигня (да, можно дизассемблировать код самого файла, а не процесса, и "подумать"). Я же писал dehacker'ы к игрушкам и трейнеры, опыта хватает. Там нет ничего сложного если знаешь ассемблер. Тема не про это. Тема о том, что производители софта теряют доверие пользователей. Сегодня из-за Украины, завтра ещё из-за чего-нибудь. Сам факт того, что это в принципе возможно - очень печалит и злит. Я не хочу писать сплошную нецензурщину, хотя она намного более глубоко выразила бы моё мнение о происходящем пиздеце.

Что касательно updater'а - мне жаль автора проги, он сделал хуже только себе и своей репутации. Я теперь не буду даже скачивать новую версию, после этой таблички моё доверие автор утратил. Да и следующий раз обновлять не раньше осени, до этого момента придумаю как обновить. Есть мысль завернуть нативку в контейнер, развернуть  ВМ - там штатно обновить, и задеплоить обратно если всё норм.

Всего предусмотреть не выйдет, да и мозги пухнут порой от таких поворотов, но, как говорится, если хочешь сделать что-то полезное - сделай бэкап.

лол, я эти обновы ставлю только на автономные компы, они не подключены ни к интернету, ни к локальной сети. Это невозможно поломать не имея локального доступа. В остальном 7ки сейчас, увы, уже не используются и там этот апдейтер не нужен. На автономки пофиг, если не спасёт бэкап всегда можно задеплоить рабочий снапшот виртуалки. Выходов из этой ситуации на несколько порядков больше, чем возможностей эту самую ситуацию реализовать.

Я не собирался никому ничего тут доказывать :)

Не везде есть инет! Иногда он специально не подключен в целях соблюдения ТБ по ИТ. Это как раз тот случай. Можно ручками ставить обновы в нужном порядке (с флешки!), или тащить кабель (или модем 4G) и качать с инета с того компа. Но незачем так маятся когда добрый дядя сделал утилитку с паками обнов, которая сама в нужном порядке ставит нужные обновы. Экономия времени и простота использования.

Microsoft закрывает Azure, люди на миграциях миллионы уже потеряли. Сейчас трафик летит нонстоп по ЦОДам оттуда. Как? норм? Или всё ещё прога расстраивает? АУ чел, проснись! Огромный гигант с соглашениями и лицензией дал пинка тебе, насрал на все законы и всех подвёл, и ещё кинет на бабки. А ты боишься какой-то проги?

У меня важные компоненты надёжно защищены. Мне пофиг на Windows Embedded POSReady 7 установленную на кассовом системнике с ККТ и отключенным физически от сети. При необходимости разверну из бэкапа, оттуда всё равно ничего не выйдет никуда, сети то нет. Я обезопасил этот ПК от утечек, программным путём данные оттуда не достать, хоть ты тресни)))

всетаки подосрала

Чем же это? Я на виртуалке запустил, увидел окошко и дальше виртуалки прога не пошла. Да и она всего лишь окошко открывает и больше ничего. Чем она подосрала?) Настроение вам испортила?

Вспомните что сделал мелкософт, закрыв Azure. Компании миллионы потеряли только на миграции оттуда. А между прочим организация выпускает винду... но расстраивает вас конечно программа. Ну-ну...

Тогда нахрена вам **сторонняя** утилитка, хотя можно гарантированно чистой встроенной обновоялкой for %%f in (*.msu) do start /w wusa "%%~ff" /quiet /norestart без всяких троянов всё чисто установить?

Можно, только необходимо знать порядок установки и создавать списки, искать инфу, проверять как встанут промежуточные обновы, править реестр для обхода нежелательных обновлений (вместо того чтобы просто запустить чертов апдейтер и пойти к следующему компу нужно будет проделывать дополнительные манипуляции с системой). Я уже делал нечто подобное, ещё во времена XP'шки, тогда с инетом дела обстояли сложнее, качать долго, мало где возможно, мало где бесплатно (лимиты трафика), ещё и файлы повреждались на флешках. Потом попался мне autopacker, я его испытал и был доволен результатами его работы. С тех пор, тратить время на обновы самописных скриптов, ручной кач обнов, проверку файлов я перестал. Гораздо интереснее изучать как работает ПО и применять наилучшие методы в работе.

С тем же успехом можно спросить зачем вам скажем 7zip архиватор, чем не устраивает возможность винды создавать zip-папки? Встроенная в ОС возможность, "без всяких троянов всё".

Сейчас мне не до этих мелочей. Пост не про использование утилиты в узкой среде, и не о моих навыках, а об отношении создателей софта к людям и о взгляде на ситуацию со стороны IT. Мне не до этих мелочей уже, я обслуживаю и развиваю несколько инфраструктур, забот хватает по всем фронтам. Тем более сейчас. А такие "орешки" - скорее полезное хобби, нежели тяжелый труд.  

Вероятно, вы эти самые 16 лет пропили замест нормального айти-образования.

Я не пьющий. Вероятно, это всё же были вы.

updater скачан с сайта разработчика! всегда оттуда брал... и пока он работал - меня это радовало и я был благодарен автору

вин7 лицуха OEM

даже не позорься

И логику подтяни. У ПК доступен только холокост, он не подключен физически к сети. Что малварь там сделает? Снесёт всё?)) да пускай, я откачу в момент, мне не жалко. Невозможно без сетки ничего стащить если нет локального доступа к компу, эхх не позорился бы ты.

Ну да ладно, идём дальше, всё остальное работает под ESXi, просто крутятся ВМки, и да, там всё в ВМ, так что твоя драгоценная малварь ещё должна пройти хотя бы первое испытание - выявить что ВМ настоящая, а не снапшот крутящийся для теста. Не позорился бы. Хоть теорию подтяни, а то выходит что достаточно запустить весь кластер на ВМах без защиты, ибо

вся реальная малвара давно уже научилась определять что она внутри виртуалки и ничего после этого не делать

Есть специальное ПО для подобных задач. Логирование действий идёт в реальном времени, потом можно разобрать всё с помощью фильтров. Похоже на работу с дампом wireshark, сначала ждёшь, потом фильтруешь, следом изучаешь. Нудновато порой, но чаще есть интерес.

При грамотно настроенных фильтрах и понимании "куда смотреть" времени уходит не так много. Первично изучаешь что делает программа, настраиваешь фильтры, сохраняешь в пресет. После, при новых версиях ПО просто применяешь готовый пресет и всё схожее с предыдущей версией и так отсеивается. Изменения изучить гораздо быстрее, чем первично все взаимодействия.

На самом деле нюансов достаточно, но обрастая опытом как-то не замечаешь как на автомате всё делаешь. Вроде и не сильно затратно по времени уже выходит. С новым ПО только сильно дольше, потому что новая ветка, новая ВМ, настройка снапшотов ВМ чуть ли не на каждую перезагрузку и т.д.

после добавления каждой обновы для установки в программку?

Сами обновы можно сверить по MD5, потому тут всё и так чисто.

анализ поведения и изменения среды Вы производите заново в виртуальной среде после каждого обновления самой программы

Да.

т.е. вы дизассемблировали код и проверили его на закладки?

Не было нужды, пока нет таких подозрений. Процесс выполняется корректно и не вызывает ни одной подозрительной функции. Эвристика и анализ следов активности не показали ничего опасного. Анализ ОС после выполнения не выявил лишних процессов, задач (shedule), добавленных левых ключей реестра или чего-то подобного. Нет никаких подозрений, чтобы появилось намерение проверять код на закладки.

В этом софте нет ничего подозрительного, апдейтер просто выполняет обновления отсылая команды в саму ОС и используя по сути штатные методы путём опционального скриптинга. Анализ взаимодействия и анализ изменений не выявил никаких вмешательств в жизнедеятельность ОС. Нет обращения к памяти чужих процессов, нет левых команд. Даже попыток создать левый дескриптор или лишний поток нет.

Если бы что-то было, то я бы с вероятностью в 80% не стал бы использовать такой софт. И с 20% вероятностью, при отсутствии более безопасного аналога - применил бы свои навыки в "устранении неполадок" подобного софта, путём правки кода, ограничения исполнения, или патчинга в реальном времени (real-time execution allocated process memory patch).

В чём это костыль? В том что человек написал утилиту, которая лучше чем стандартная выполняет те же функции, и к тому же делает это быстрее и упрощает жизнь?

Может и 7zip архиватор тоже костыль? (ну а что, винда и так умеет открывать zip архивы, зачем вам сторонний архиватор? вы проверили его код на закладки? "Просто это в любом случае костыль, и костыль не из лучших.") Почините вашу логику, ей плохо.

Даже если допустить тот факт что занесётся "что-то" с обновами, то оттуда оно уже не выйдет, ибо сети на компе нет. Разверну бэкап сделанный до обнов, делов то. Старые ОС намного стабильнее работают, чем новые, особенно если это узкое применение.

Обновления на ОС не нужны фискальным регистраторам и онлайн кассам.

Верно. Однако, чтобы обновить кассовое ПО, которое является основой этого ПК - рекомендуется поставить обновы (те, что советует производитель кассового ПО). Кассовое ПО - это комплексное программное обеспечение, которое осуществляет взаимодействия с торговым оборудованием, и использует для этого драйвера торгового оборудования. И это ПО нужно обновлять, чтобы всё работало как полагается (согласно текущим законам, нормам и установленным ФНС порядкам и правилам взаимодействия по кассовой дисциплине). Потому, обновления ОС всё же рекомендуется ставить.

глюк от неисправленных ошибок, тем более, что на старые ОС сейчас только критические заплатки по безопасности выпускают

(см.скрин) Частично согласен. Да 7ка с полной поддержки ушла полгода назад, но обновы она будет получать ещё пару лет, а потом вероятнее всего её продлят. Мы докупали на эти компы расширенную поддержку, так что будем пользоваться до самого конца жизненного цикла ОС.

добавили теги по маркировке, с системами налогообложения были правки, но это не связано с ОС

Хотя, что я тут распинаюсь. 16 лет стажа )

Да, я начинал с 3.11 и 95/98(SE). И скажу, что до сих пор есть места где стоят 2/3 пни и бодро шуршат на вин95/98, выполняя свои роли в интранете (!), не обременённым выходом в глобальную паутину, и даже могут похвастать весьма не кислым аптаймом (под полтора-два года). Замкнутая, налаженная инфраструктура функционирует без проблем и доп.затрат по времени и ресурсам. Я прошёл почти весь путь винды, и знаю "как это работает" досконально. Не думайте, что я настолько глуп, чтобы заразить систему вирусом или обновлением. Мне достаёт опыта и навыков, чтобы протестировать сначала всё в виртуальной среде, и лишь после уже прибегать к нативным правкам, предварительно сделав оффлайн бэкап системы.

Вы риски правильно посчитайте.

Я правильно считаю риски. Существует только один, действительно 100% способ не допустить стороннего вторжения или утечки - физически не подключать комп к сети. Все остальные меры увеличивают риски.

Минимизация рисков. А обновы нужны для корректной работы кассового ПО, ибо оно тоже обновляется (руками) и обрастает своевременными изменениями согласно правок законодательства. Сеть на ПК не требуется включать.

Зачем мне так рисковать? У фискалки свой канал, с ПК она связана не сетью, а COM-портом. На ПК сеть не требуется. Не вижу смысла включать сетевуху.

он одним глазом смотрит в инет на сайт микрософта

ПК физически не подключен к инету!

Да они не левые. На компе инета нет и не предусмотрено (в целях соответствия требованиям безопасности по ИТ). Можно ручками ставить обновы в нужном порядке, или тащить кабель и качать с инета с того компа. Но незачем так маятся когда добрый дядя сделал утилитку с паками обнов, которая сама в нужном порядке ставит нужные обновы. Экономия времени и простота использования. Можно было и без мата, тема не для агрессии и споров.

Везде, где есть торговля, из-за ОФД должен быть интернет.

Нет. Неверно. Согласно ФЗ-54 необходимо лишь обеспечить своевременную передачу чеков из фискального оборудования в ФНС по средством ОФД. Для этого не требуется подключать к интернету ПК, необходимо лишь чтобы фискальное оборудование имело периодический доступ в сеть. Это реализуется путём добавления сервиса ОФД в белый список сетевых правил устройства. Незачем подключать ПК к сети.

всякое гавно от чела, который даже лицензионным соглашением не ограничен, можно ставить?

Не переживайте. Я сначала тестирую в виртуальной среде любое ПО, лишь после этого, предварительно сделав бэкап, ставлю нативно. Ранее проблем не вызывало, Updater действительно хорош, иначе я бы его не рекомендовал.

(Я могу и сам такой написать. Вы поймите, во-первых - изобретать уже существующий велосипед это необоснованная трата времени и глупость, ибо гораздо быстрее проанализировать существующий. Да и потом, все несведущие люди будут голословно лить помои уже на мои труды, не особо приятно морально. Доказывать что там нет левака тоже достаточно трудоёмкая задача. К сожалению, слишком много долбоёбов в инете, всем не доказать. Во-вторых, продукт нужно ещё и вести, а у меня другие заботы, времени и сил может не хватить, а люди то будут ждать и надеяться, всё же ответственность. Потому использую этот, причём давно уже.)

Видимо вы работает в другом направлении ИТ. Анализ исполнения ПО в реальном времени в виртуальных средах, пошаговое логирование действий, при необходимости дебаг и разбор страниц памяти исполняемого кода (memory page, allocated, execution), при острой необходимости (если найдено то, что может послужить угрозой, но можно устранить) белый хакинг и реверс инжиниринг (правка кода на ассемблере, как правило диалекты TASM/NASM, корректировки на лету во время исполнения ПО, правки исполняемых файлов и модулей в HEX-редакторе или патчинг), дописывание своего функционала (code cave и asm-injection).

Не обладая навыками базового анализа исполнения кода ваши заявления всё ещё звучат голословно.

потому что качать левый установщик обновлений, в который запихано хуйпоймичего

Я в ИТ уже 16 лет работаю. Прежде чем ставить и рекомендовать подобные утилиты - они тестируются мной в виртуальных средах (путём анализа поведения при выполнении программы, а также анализа изменений среды в которой она выполнялась). Ни в коем случае я не стал бы рекомендовать к использованию не проверенную лично утилиту. И на вашем месте я бы воздержался от голословных обвинений, как говорится - факты вперёд.

А вы тут еще топите за безопасность ИТ и машину, которая, по вашим словам, никогда не будет иметь доступ наружу! вынесите ее в общую сеть

100% защиту от вторжений извне можно получить только физически отключив компьютер от сети! Да, топлю, и не зря.

хотя я до сих пор не пойму, нахер ей обновы, если она не будет иметь никуда доступ

Обновления требуются для установки и корректной работы новой версии кассового ПО. Их обновления мы не можем не ставить, т.к. они работают напрямую с фискальным оборудованием и в соответствии с изменениями в законодательстве обновляют ПО. Мы соблюдаем законы и хотим чтобы наше оборудование всегда работало корректно, и в соответствии с установленными законами, особенно текущими требованиями и нормами ФНС в области фискализации. Кассовая дисциплина и безопасность очень важны.