"Miért ennyire hackelhetőek a McDonald's önkiszolgáló kioszkjai?"

HUP cikkturkáló

Részletek itt.

  • 1356 megtekintés

( trey | 2022. 07. 25., h – 11:40 )

tl;dw:

  • Windows 7
  • Administrator account
  • ha feltörik, és malware-t telepítenek rá, lehalászhatják a bankkártyák adatait stb.

trey @ gépház

A ráakasztott POS terminál egy teljesen függetlenül működő eszköz. Szerintem nem adja át a bankkártyaadatokat, csak a tranzakció eredményét és a bizonylat nyomtatási adatait (kártyaszám utolsó 4 jegye)

"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

A POS terminál nem ad át bankkártyaadatot a pénztárgép (kioszk) felé, kizárólag maszkolva. A maszkolás módja térhet el kártyánként (utolsó négy jegy látszik, első hat jegy látszik, első hat jegy és utolsó négy látszik), az alapértelmezett az utolsó négy jegy megtartása, minden más csillagozása.

( hajbazer v | 2022. 07. 25., h – 11:56 )

Szerkesztve: 2022. 07. 25., h – 11:57

Igen, természetesen itt is a Windows 7 a hibás™, nem a webökrök és babzsákfejlesztők által szarul-húgyul összetákolt és zokni-papucsos, pizzazabáló rendszergazdák által félrekonfigurált, csiligány, animációbuzi rendszerük.

Déjà vu: https://hup.hu/node/157072

Legyünk őszinték: sokkal-sokkal egyszerűbb lebutított kiosk-cuccot Linux alapon csinálni, mint Windows 7 alapon. Mert ez utóbbiban ott a retek sok junk, amit ki kell herélni belőle, aminek persze a M$ ellenfeszül, mertugye akkor nem az van, amit ők akarnak, hanem amit a gép tulajdonosa szeretne, és ez nem megengedhető elhajlás. Linuxon meg elindítok egy üres X szervert, benne egy szál full screen alkalmazással, aztán próbálkozzon csak a csicska hacker...

Ugye itt a kérdés hogy ki vállal garit… ha a bank azt mondja, az ő POS-át akár egy RHEL is meghajthatja mert az IBM vállalt rá garit, hogy nem lesz baj, nincs probléma.

De pont az ilyen esetek miatt az “as is” jellegű licenszek (mint pl GPL) értelmezhezetlenek egy nagyforgalmú fizetést bonyolító rendszerben egy nagyvállalatnál.

Az MS mindenfele licencei is kizarnak mindent. Raadasul az ilyen hajbi-feleken kivul szerintem senki nem gondolja, hogy mondjuk egy XP-vel biztonsagosabb lesz, mint egy random Linux disztroval (sok helyen meg XP van). Ennel a win7 is csak egy kicsivel jobb (nem remenytelenul elavult, csak mersekelten).

A strange game. The only winning move is not to play. How about a nice game of chess?

A M$ még az érintetlen, gyári állapotú Windows 7-re se vállal garit, nemhogy a random valaki által széjjelkúrt, kiherélt verzióra.

A POS-t amúgy bármivel meg lehet hajtani (akár egy 8-bites mikrokontrollerrel is), mert szabványos, definiált interfészt nyújt. Az onnantól kezdve a túloldal problémája, hogy ezt az interfészt hogyan használja.

Hát ugye Aadaam vetett fel a dolgot, tehát tőle kell megkérdezni, hogy mégis milyen garit kérhetne számon bárki egy oprendszerre...

Viszont nekem itt két mondandóm volt: mivel a Windows 7 EOSL, így bármi érdemi vállalást is tekintünk garanciának, azt a gyártó már tuti nem nyújtja.

Illetve még ha volna is valami számonkérhető vállalása a gyártónak, az tuti nem vonatkozik egy, az ő instrukcióitól eltérően széjjelhekkelt rendszerre, mert ez biztosan a "nem rendeltetésszerű használat" kategóriába esik.

Ezek jogosak amiket mondasz, bár a WinXP-nek is van mai napig “vanazapénz” supportja, nyilván a legtöbben inkább migrálnak, 

másrészt ez a széjjelhekkelés gyakran az MS tudtával, mi több, asszisztenciájával zajlik, ha leülnék velük tárgyalni, hogy sziasztok, ti lennétek a mcdonalds fő értékesítési csatornája az évtizedben (tudtommal ezek a kioszkok többet visznek már mint a pultosok), adtok-e speckó licenszet, akkor adnak.

Edit: eme official széjjelhekkelt változat még 2 évig supportált: https://docs.microsoft.com/en-us/lifecycle/products/windows-embedded-po…

az ilyen esetek miatt az “as is” jellegű licenszek (mint pl GPL) értelmezhezetlenek

Megkockáztatom, hogy (ezt is) rosszul értelmezik. A GPL itt is csak annyit mond, hogy a fejlesztő/terjesztő nem vállal felelősséget, de nem tiltja meg másnak, hogy pl. pénzért cserébe fejlesztést/üzemeltetést vállaljon, szerződésben rögzített rendelkezésre állással meg egyéb követelményekkel. Másként nem lehetne GPL-es szoftvert tartalmazó megoldásokra SLA-t vállalva szolgáltatni. (Hab a tortán, hogy akár az eredeti fejlesztő is szerződhet támogatásra, ha hajlandó rá.)

Jaja, kérdés, hogy a RedHat (a Suse, a Canonical, tetszőleges for profit disztribútor) vállal-e ételrendelő, POS terminálos kioszkra support licenszet, nekem fogalmam nincs, még nem próbáltam.

Az biztos hogy itt kell lennie egy blame chainnek, azaz ha valami para van, akkor a meki először a kioszk szállítóját cseszi le, az pedig megy tovább akihez éppen tud…

ott a retek sok junk, amit ki kell herélni belőle, aminek persze a M$ ellenfeszül, mertugye akkor nem az van, amit ők akarnak

Legyünk őszinték: Pontosan ugyanígy van a Red Hat szutykait megörökölt desktop Linuxokon. Systemd, pulseaudio, GNOME, GTK stb. Csak míg egy Windows-on GPO-ból és registry-ből ezernyi beállítási lehetőséged van, addig desktop Linux fronton csak a butítgatás és az invazív fejlesztgetés megy.

Ja hogy lecsupaszított Linux + minimál DE (Raynes, hol vagy?)? Ilyen összerakásához érteni is kell, sajnos. Szakértelemre meg már nem telik a Mekinek (vagy a beszállítójának) a sajtburger-milliárdokból. Ha a Windows-hoz értett volna, aki csinálta a mostani Kiosk-okat, semmi probléma nem lenne velük.

Csak míg egy Windows-on GPO-ból és registry-ből ezernyi beállítási lehetőséged van

a) persze, miután reverse engineeringelted a Windowst, mert ugye a rendes, teljes dokumentáció ezekről csak a Holdban van
b) a fő kifogás, hogy bizonyos dolgokat nem lehet még így se állítani, se gpo-ból, se registryből
c) Linuxon konkrétan mindent át tudsz állítani, ami egészen biztosan több, mint amit Windowson meg lehet csinálni - és még ki is lehet belőle dobni azokat a dolgokat, amit nincs kedved átállítgatni

Ja hogy lecsupaszított Linux + minimál DE

Pontosítsunk: nem minimál DE, hanem NO DE ("ami nincs, az nem tud elromlani" jeligére)

Ha a Windows-hoz értett volna, aki csinálta a mostani Kiosk-okat, semmi probléma nem lenne velük.

Ja, azt vakargatom, hogy a Windowshoz ezen a szinten a M$ mérnökei tudnak érteni csak. Ergó a "ha a Windowshoz értett volna" a gyakorlatban nem járható út.

( BlinTux v | 2022. 07. 25., h – 17:33 )

Ugyan nem hack, de megmosolyogtató, hogy pl. egy sajtburgerből olyan szinten kiszedhetsz mindent, hogy csak egy karika uborka marad!
Egy ismerősöm így rendelte meg és szépen becsomagolva ki is vitték neki az egy karika uborkát!
Persze a kiszolgálók is jót röhögtek rajta, le is fényképezték :D