Терминалы платежей.

Discussion in '"Железо"' started by vvs777, 19 Mar 2007.

  1. ME!S

    ME!S New Member

    Joined:
    12 Feb 2007
    Messages:
    12
    Likes Received:
    0
    Reputations:
    0
    Обсалютно согласен, на несуществющие номера типо "1111111111" выбивает "Ошибка при вводе номера", но хотя после 5-ти попыток проблекнула !чёрная мышь!. Эксперементировать дальше не стал, т.к. сильно палевное место.
     
  2. FoxMALDER

    FoxMALDER Elder - Старейшина

    Joined:
    26 Jul 2007
    Messages:
    43
    Likes Received:
    20
    Reputations:
    -1
    У меня ситуация немного другая была... Вечером, где-то в 9 часов после учёбы решил зайти в супермаркет скупиться и заодно пополнить счёт. На входе в супермаркет стоит терминал подобный Delta Key - 04/05, но без внешней антенны.

    Заметил глюки...
    1) При наборе номера курсор не попадал по кнопкам.
    2) Если пальцем попытаться провести по экрану, то курсор не движется, но после того как убрать палец с экрана - курсор начинает плавно двигаться строго влево до конца экрана.
    3) В момент перемещения курсора, если провести пальцем по экрану сверху-вниз - происходило выделение кнопок. После отпускания пальца с экрана курсор тупо улетал в левый угол экрана и выделение пропадало...

    Вот такие казусы чудо аппарата застал. Дальше эксперименты проводить не стал, так как помимо охраны возле кассы мент в броньке с автоматом дежурит...

    P.S.: Набрать номер удалось, вот только не помню сколько раз приходилось удалять предыдущую цифру... :)
     
  3. _Sniper_

    _Sniper_ Banned

    Joined:
    21 Jul 2007
    Messages:
    409
    Likes Received:
    147
    Reputations:
    -17
    [​IMG]

    Ток что принёс домой такой пустой Украинский аппарат. Сча буду проверять всё =)) Знакомый директор..я у него и попросил. Потом отпишу.
    [​IMG]
     
  4. groundhog

    groundhog Elder - Старейшина

    Joined:
    12 May 2007
    Messages:
    1,159
    Likes Received:
    425
    Reputations:
    180
    Я такие собирал... А как ты его домой донёс? Он же 80-100 кг. чистого весу...
     
  5. _Sniper_

    _Sniper_ Banned

    Joined:
    21 Jul 2007
    Messages:
    409
    Likes Received:
    147
    Reputations:
    -17
    Кореша помогли.

     
  6. groundhog

    groundhog Elder - Старейшина

    Joined:
    12 May 2007
    Messages:
    1,159
    Likes Received:
    425
    Reputations:
    180
    _Sniper_, классическая комплектуха...

    Это всё фигня... Отвёрткой его конечно не откроешь, но прямой удар выводит его из строя, и уже потом он легко открывается отвёрткой. Дрелью он вскрывается за пару минут.

    Это самый дешевый вариант купюроприёмника... Инфу, которую ты привёл слишком уж оптимистична... Он очень плохо работает со старыми купюрами... Так же он неадекватно себя ведёт при очень новых купюрах (которые блестят и хрустят). Вероятность, что он зажуёт старую купюру - процентов 80. Новые он просто выплёвывает. Проверка подлинности у него тоже не на высоте. При мне такие валидаторы хавали половину чирика, склеенную с полтаном. В виду простоты механизмов обработки купюры он ведёт себя гораздо хуже чем Cashcode SM-RU2513, т.е. CashCode SM 1500 представляет из себя крайне урезанную версию вышеозначенного...

    Этого нету.

    Я бы не сказал, что у неё прочный металлический корпус... Это скорее какое-то подобие жести... Кстати, эти два замка на кассете чисто для понта... После года работы с ними я научился открывать их голыми руками без инструментов... Как я уже говорил ранее, секрет прост - у кассеты нету рёбер жесткости, поэтому если отогнуть и оттянуть крышку кассеты в определённом направлении, она без труда откроется, правда закрыть без ключа уже не получится.

    На практике я такого не встречал... Есть фискальники, которые такое реализуют (втягивают невостребованный чек, или делают Z-отчёт внутрь специального хранилища, но у термопринтеров такого нету... По крайней мере я не застал... У принтеров крайне простая конструкция, реализующая самый простой механизм печати и отрезания бумаги.

    Никакого интеллектуального контроля качества тут нету. Это предельно простой контроллер, который раз в заданный интервал тупо передёргивает питание на модеме (вкл./выкл.). Встречаются, конечно, индивидуумы, которые посылают модему расширенные AT-команды, анализируют ответ (сила сигнала, оператор и т.д.) и уже на этой базе передёргивают питание.

    Те выдержки, которые ты привёл, это типичная реклама заманивающая дилера. Данная комплектация является самой дешевой. Такой ящик обойдётся где-то в 60-70 тыс. рублей.
     
    1 person likes this.
  7. _Sniper_

    _Sniper_ Banned

    Joined:
    21 Jul 2007
    Messages:
    409
    Likes Received:
    147
    Reputations:
    -17
    Проверил много купюр всё жуёт нормально. Подделать пока не смог. Смотри все уязвимости)))
     
  8. Dimo4ka14

    Dimo4ka14 Elder - Старейшина

    Joined:
    23 Dec 2005
    Messages:
    282
    Likes Received:
    117
    Reputations:
    5
    они по моему передают инфу не покабелю а если не по нему то через вайфай наверное если перехватить траффик то можно будет его и изменить и послать такой который нужен.Тоесь сабж то что нам надо будет это перевести деньги нам на счет.
     
  9. XHTTP

    XHTTP Elder - Старейшина

    Joined:
    24 Feb 2007
    Messages:
    180
    Likes Received:
    133
    Reputations:
    65
    От нечего делать взял пьезо элемент и начал тюкать по разным "дыркам" своего компа. Результат известен - действует как ресет)). Давно это было. Решил так же поглумиться над мультикассой. Взял тот же пьезоэлемент от зажигалки и прицепил проводок подлиннее с оголённым концом. Бил током как последний идиот два дня подряд(мля было интересно)))). Совал в купюроприёмник, в чековыдаватель, в звукоматершинники, бил током экран, корпус. У того злащастного апарата был не плотный стык в корпусе, куда и просунул. ЫЫЫ ребут! :). Автозагрузом спецпроге недал загрузиться стуча пальцем по экрану (оказалось двойной стук=вызов понельки видус))). Поседел в инете, хотел зарегить новый акк на ачате с новым мылом и собственно отписаться о этом приколе, но несудьба... - Ачат почему-то мудил с кодом проверки при регистрации:(

    Неголословен, у меня где-то в логах Ip апарата.

    Вот что показал мой сниф:
     
    #109 XHTTP, 11 Nov 2007
    Last edited: 11 Nov 2007
    1 person likes this.
  10. Student :)

    Student :) Elder - Старейшина

    Joined:
    9 Feb 2007
    Messages:
    278
    Likes Received:
    18
    Reputations:
    -15
    круто
     
  11. nc.STRIEM

    nc.STRIEM Members of Antichat

    Joined:
    5 Apr 2006
    Messages:
    1,036
    Likes Received:
    347
    Reputations:
    292
    все 12 страниц не читал, т.к. не осилел, но по сабжу, есле узнать структуру пакета и куда он улетает я думаю не составтит труда его подделать. хотя не исключенно (а я думю так и есть) что там идет фильтрация пакетов по ip. Хотя если есть физ доступ к самой платежки, всегда на него можно проксю поставить, или еще лучши троя написать простенького, который будет слать пакеты, писать лог в самаом банкмате чтоб подозрений не возникаол. таким образом все можно будет свалитьна баг купюроприемника.

    А ваше еслеб ктото инфу с жоского сдампил такой машины было бы заебись....
     
  12. Hsda2C

    Hsda2C New Member

    Joined:
    5 Nov 2007
    Messages:
    0
    Likes Received:
    2
    Reputations:
    0
    1)

    Есть термопринтеры которые затаскивают чек обратно если его не взяли в течении некоторого времени.

    2) Уже не тупо контроллер :)
    контроллер присоединен к ком порту и связан с питанием модема, в ПО прописан интервал пинга, и если не пингуется хост то контроллер передергивает модем.

    3) Все терминалы которые я видел работают через GPRS
    соединение.

    4) терминалы с которыми работаю я, работают через сертификаты, для каждого терминала он уникальный.

    5) че то писали про замок крутой.
    на новых терминалах нет почти ничего сильно защишенного, а вот на старых... есть один, так в нем один сейф с кэшкодом 70кг весит... и весь он около 300, там сталь 5мм. вроде.
     
    2 people like this.
  13. XHTTP

    XHTTP Elder - Старейшина

    Joined:
    24 Feb 2007
    Messages:
    180
    Likes Received:
    133
    Reputations:
    65
    Там много инфы, а скорость была ужасной - минут 8-10 регил почту на мэйле.ру...
    Есть вариант с троем который каждый день в заданное время будет выдавать часть за частью инфу куда-нибуть на фтп или почту.

    Первое что мешает - скорость жопореза
    Второе - обьём инфы =/

    Вообщем надо пробовать =)
     
  14. groundhog

    groundhog Elder - Старейшина

    Joined:
    12 May 2007
    Messages:
    1,159
    Likes Received:
    425
    Reputations:
    180
    Блин, да зайдите на сайт платёжной системы, которой принадлежит этот терминал, да скачайте ПО свободно.
     
    1 person likes this.
  15. j0nathan

    j0nathan Elder - Старейшина

    Joined:
    13 Jul 2006
    Messages:
    61
    Likes Received:
    6
    Reputations:
    0
    Там помойму все по построенны на xml (я юзаю на xml) и реестрах! Угнав реестры в них есть все данные о клиентах банка! Ещё есть logs в которых хранится все логи по оплате! Впринципе не нужная конфедициональная инфа за которую можно получить срок
     
  16. groundhog

    groundhog Elder - Старейшина

    Joined:
    12 May 2007
    Messages:
    1,159
    Likes Received:
    425
    Reputations:
    180
    Протокол обмена действительно представляет из себя специфичный для конкретной платёжки XML-протокол. А что даст угон реестра? Во-первых, что есть реестр? Реестр не хранится на терминале, т.к. он является функциональностью биллинга. Это биллинг должен отчитываться перед операторами на какую сумму, за какой период и на какие контракты были оказаны услуги, а не терминал. Максимум на терминале может храниться своего рода справочник - разбиение номерной ёмкости по регионам, соответствие банков районам города и т.д. В общем, никаких реестров с данными клиентов банка на платёжном терминале нету. Существует ряд требований для работы с банковской системой, исключающий такие тупые утечки информации, вместо того, чтобы пользователь вбивал номер своего банковского счёта, номер своей креды или ещё чего-то, на основании доп. соглашения пользователю выдаётся специфичный номер контракта с которым и работает ящик... А уже биллинг, или сервер поставшика услуги на основании этой информации идентифицирует клиента. На ящике нету файла с номерами кредиток, PIN-кодов к ним или какой-либо другой интересной информации...
     
  17. Hsda2C

    Hsda2C New Member

    Joined:
    5 Nov 2007
    Messages:
    0
    Likes Received:
    2
    Reputations:
    0
    Может он терминал оплаты с АТМ перепутал...
     
  18. Krevedko

    Krevedko Member

    Joined:
    9 Jun 2007
    Messages:
    12
    Likes Received:
    13
    Reputations:
    0
    up ^_^
    я тут подумал. что если взять деньгу 100 руб, приклеить ее к концу скотчем к такой же по размерам бумажке с расстоянием 5 см
    [100]===[бум]
    тогда автомат поидее должен сожрать 100, и ругаца на бумажку, которую выплюнет вместе с сотней?
    кто уже так пробовал?
     
    1 person likes this.
  19. ufoPlast

    ufoPlast Elder - Старейшина

    Joined:
    24 Feb 2007
    Messages:
    107
    Likes Received:
    52
    Reputations:
    0
    Я не пробовал, но идея интересная, отпиши если попробуеш))
     
  20. groundhog

    groundhog Elder - Старейшина

    Joined:
    12 May 2007
    Messages:
    1,159
    Likes Received:
    425
    Reputations:
    180
    Хватит детского сада... Когда купюра попадает в валидатор и проходит проверку всех степеней защиты, она попадает в кассету, где ОЧЕНЬ плотно придавливается прижимной пружиной. У валидаторов в терминалах оплаты нету функции "отрыжки" купюры из кассеты. Поэтому максимум что вы добьётесь - ящик заблокируется по причине того, что датчики обнаружат посторонний предмет в отсеке для проверки купюр.