- Регистрация
- 4 Янв 2018
- Сообщения
- 10
- Реакции
- 0
Небольшая заметка о том, как не обладая сверх навыками можно уронить крупную компанию, нанести убыток и даже заработать на этом.
Атакующие:
1.Ноутбук с установленной ОС Linux
2.wifijammer
3.wi-fi адаптер, лучше несколько типа ALFA (Alfa Awus051NH v2 )
Цель атаки:
1.Компания, в которой имеется приемка, учет товара, логистика, инвентаризация, работа с ценниками при помощи ТСД
2.Терминал Сбора Данных
Вы такие могли видеть в крупных супермаркетах, моллах, гипермаркетах - обычно сотрудники с ними ходят по залу и проверяют ценники, остаток товара на складе (на ценнике есть штрих код по нему всю информацию и берут), срок годности, дата последней поставки, следующей поставки и т.д.
Супермаркеты электроники - сотрудники при отгрузке товара пробивают штрих:
Из скрытых от глаза места: зона приемки товара (бумаги отдаются в отдел по работе с приходом), а сотрудники приемки начинают через эти терминалы вести прием товара, особенно долгий процесс в продуктовых гиперах, если приходит 100 упаковок молока , все 100 надо пробить, что бы они появились в базе приемки.
Магазины спорт товаров, электроники, одежда, аптеки - в 90% все проводится через эти терминалы. Склады логистики, крупные интернет магазины - ВСЕ НА ТЕРМИНАЛАХ.
К примеру так обрабатывается заказ клиента в интернет магазине:
[/URL]
Улавливаете? Wi-Fi связь.
Теперь представим, что будет, если начать атаку на точки и клиентов (ТСД)
1.Невозможно принять товар, придется принимать в ручную - процесс долгий, часто, особенно в продуктах, есть график и время приема. Например в 7-00 - 8-00 поставщик Иванов, отгружает Молоко на Фреш рампу, в 8-10 - 9-10 встает Петров - сметана, одновременно Петров отгружает на холодную рампу овощи.
Важно заметить - все время прописано в договорах, любое отклонение, задержка - это неустойка, как для одних, так и для других. Если Иванов не смог разгрузиться во время по вине приемки, то ему выплатят компенсацию, потому что Иванов теперь опоздает на другую точку и будет там иметь проблемы.
2.Провести инвентаризацию или отгрузку. Логистический центр или магазин на букву U может просто встать и закрыться. Ладно магазин, руками можно будет пробивать в систему товар, что замедлит работу на 100%, а вот логистический центр, где по 1000 отгрузок за час?
3.Гипермаркет с большими залами. Товар никто не ведет на бумаге, все на ТСД и когда в зале кончиться, к примеру, мороженка Буренка, продавец будет щелкать штрих код, если на ТСД покажутся остатки их пойдут искать и выкладывать, а если нет, то положат товар который есть.
Выходные, большая проходимость людей, все разбирают быстро. Терминал не работает. Продавец уходит на огромный склад и начинает искать товар. А если это заморозка? Холодильник -30, все коробки запечатаны, несколько этажей. Как найти туже Буренку? Иногда коробки могут быть просто с мелкой надписью.
1) Заработать.
Злоумышленник может заключить договор с большой торговой сетью, к примеру на поставку охлажденной рыбы, прописать хорошую цену и объем. Когда поставщик новый, ему много не дадут в сеть влить, не больше 2 тонн на всю сетку по одном региону, поставка за свой счет, так как рыба будет упакована, перекидать со склада на склад не вариант, там свои заморочки.
2 тонны, пусть цена всей партии будет 400 000, в договоре будет пункт по неустойке для обоих сторон, причем для поставщика более жесткие, но в 90% будет пункт - что по вине торговой сети если товар будет принят позже или не принят по графику, товар будет считаться купленым либо % за неустойку 20-30% от стоимости. Для скоропортящихся товаров это нормально.
2 тонны это 6-10 магазинов сети.
Теперь представим - машина прибыла, а приемка ее принять не может, потому что там уже очередь из других машин. Итог? Водила разворачивается и уезжает. Далее - можно будет в 1,2 точках скинуть рыбу кг 150-200 и....и предъявлять неустойку.
Это значит можно изначально кинуть в машину 200 кг рыбы, изобразить из себя крупного поставщика и провернуть такую ерунду.
У этого вектора есть более глобальные ветки развития, я описал специально упустив важные моменты, что бы не было соблазна это сделать,под УК РФ это попадает по нескольким статьям: 159, 272, и 273 могут добавить?
2) УРОНИТЬ конкурента.
Далеко не секрет - торговые площади сейчас на каждом углу, бывает один гипер стоит в 300 метрах от другого. Вот такой атакой можно в праздники, когда выручка самая идет и положить на лопатки "соседа"?
3) под ЗАРАБОТАТЬ
Мелкие компании без постоянных админов могут стать жертвой - уронил точку, пришел и предложил услугу, "прошил" роутер, почистил от вирусов и снял пару тысяч.Тоже УК РФ.?
Вообще вывод простой - компании миллионы тратят на защиту своих сетей, а вот перевести терминалы на CDMA не все спешат, причем часто по терминалам идут данные покупателей ФИО номера телефонов и т.д - карточка покупателя, идут данные по кол-ву товара, стоимости закупочной, поставщику - инсайдинг процветает
Система трансляции, оповещения и фонового озвучивания для торгового центра.
1.Ручное и автоматическое оповещение о пожаре.
2.Автоматическое оповещение с городской станции службы ГО ЧС.
3.Организация фонового музыкального озвучивания.
4.Организация рекламного вещания.
5.Организация громкой голосовой связи.
Тут вопрос в другом, если все стандартно:
И никаких wi-fi не подразумевается, потому как, в функционал заложено и ПОЖАРНОЕ ОПОВЕЩЕНИЕ, а к этому особые требования. 99% ТЦ экономят и не видят смысла делать отдельные системы.
Сеть из Германии - работают на системе Dispos (который разработан Dacos Software GmbH / Globus SBW Holding для ОС Windows) - аналог 1С, чем то похож на R3.
Сеть с оценкой отличника - работа на системе Linux которую сами разработали, БД, софт все сами доработали под себя из опенов.
Сеть на букву U - работали на 1С
Логистики, крупные игроки - в 90% свои разработки, написанные по примеру сети из Германии.
Сеть из франции - Кривая разработка с задатками 1С, вообще не ясно что это, ощущение скрестили француза с 1С и полили сверху радиоактивными отходами.
Cеть которая магнитит - работают на линукс, вроде Suse, тоже софт написан самостоятельно.
Небольшие компании работают на 1С
Да я больше скажу - грядет волна коммерческого терроризма и вымогательства, с переплетом с детскими шалостями. Еще лет 10 и это будет весьма актуально.
Помимо ТСД есть другие устройства, к примеру логистические центры включают в рабочий процесс (В РФ - На Западе уже включили) роботов логистов (погрузчиков, сборщиков), дроны с камерами, не забываем панели с информацией, которые сейчас стоят на улице городов или больших центрах и
несут информацию.
Все это можно будет сломать, взломать, нарушить процесс, изменить задание.
Представьте себе, если нарушив работу робота логиста, вместо фена за 10 у.е на дропа придет ноутбук за 5 000 у.е, или целый контейнер уедет другим путем.
А может пару школьников, ради смеха, устроят битву роботов, а дроны уронят на голову.
Добавлю! В зону риска попадет и связь, а именно портативные телефоны (Wi-Fi IP )
Уронив точку доступа - можно лишить связь пол компании.
Атакующие:
1.Ноутбук с установленной ОС Linux
2.wifijammer
3.wi-fi адаптер, лучше несколько типа ALFA (Alfa Awus051NH v2 )
Цель атаки:
1.Компания, в которой имеется приемка, учет товара, логистика, инвентаризация, работа с ценниками при помощи ТСД
2.Терминал Сбора Данных
Вы такие могли видеть в крупных супермаркетах, моллах, гипермаркетах - обычно сотрудники с ними ходят по залу и проверяют ценники, остаток товара на складе (на ценнике есть штрих код по нему всю информацию и берут), срок годности, дата последней поставки, следующей поставки и т.д.
Супермаркеты электроники - сотрудники при отгрузке товара пробивают штрих:
Из скрытых от глаза места: зона приемки товара (бумаги отдаются в отдел по работе с приходом), а сотрудники приемки начинают через эти терминалы вести прием товара, особенно долгий процесс в продуктовых гиперах, если приходит 100 упаковок молока , все 100 надо пробить, что бы они появились в базе приемки.
Магазины спорт товаров, электроники, одежда, аптеки - в 90% все проводится через эти терминалы. Склады логистики, крупные интернет магазины - ВСЕ НА ТЕРМИНАЛАХ.
К примеру так обрабатывается заказ клиента в интернет магазине:
[/URL]
Улавливаете? Wi-Fi связь.
Теперь представим, что будет, если начать атаку на точки и клиентов (ТСД)
1.Невозможно принять товар, придется принимать в ручную - процесс долгий, часто, особенно в продуктах, есть график и время приема. Например в 7-00 - 8-00 поставщик Иванов, отгружает Молоко на Фреш рампу, в 8-10 - 9-10 встает Петров - сметана, одновременно Петров отгружает на холодную рампу овощи.
Важно заметить - все время прописано в договорах, любое отклонение, задержка - это неустойка, как для одних, так и для других. Если Иванов не смог разгрузиться во время по вине приемки, то ему выплатят компенсацию, потому что Иванов теперь опоздает на другую точку и будет там иметь проблемы.
2.Провести инвентаризацию или отгрузку. Логистический центр или магазин на букву U может просто встать и закрыться. Ладно магазин, руками можно будет пробивать в систему товар, что замедлит работу на 100%, а вот логистический центр, где по 1000 отгрузок за час?
3.Гипермаркет с большими залами. Товар никто не ведет на бумаге, все на ТСД и когда в зале кончиться, к примеру, мороженка Буренка, продавец будет щелкать штрих код, если на ТСД покажутся остатки их пойдут искать и выкладывать, а если нет, то положат товар который есть.
Выходные, большая проходимость людей, все разбирают быстро. Терминал не работает. Продавец уходит на огромный склад и начинает искать товар. А если это заморозка? Холодильник -30, все коробки запечатаны, несколько этажей. Как найти туже Буренку? Иногда коробки могут быть просто с мелкой надписью.
1) Заработать.
Злоумышленник может заключить договор с большой торговой сетью, к примеру на поставку охлажденной рыбы, прописать хорошую цену и объем. Когда поставщик новый, ему много не дадут в сеть влить, не больше 2 тонн на всю сетку по одном региону, поставка за свой счет, так как рыба будет упакована, перекидать со склада на склад не вариант, там свои заморочки.
2 тонны, пусть цена всей партии будет 400 000, в договоре будет пункт по неустойке для обоих сторон, причем для поставщика более жесткие, но в 90% будет пункт - что по вине торговой сети если товар будет принят позже или не принят по графику, товар будет считаться купленым либо % за неустойку 20-30% от стоимости. Для скоропортящихся товаров это нормально.
2 тонны это 6-10 магазинов сети.
Теперь представим - машина прибыла, а приемка ее принять не может, потому что там уже очередь из других машин. Итог? Водила разворачивается и уезжает. Далее - можно будет в 1,2 точках скинуть рыбу кг 150-200 и....и предъявлять неустойку.
Это значит можно изначально кинуть в машину 200 кг рыбы, изобразить из себя крупного поставщика и провернуть такую ерунду.
У этого вектора есть более глобальные ветки развития, я описал специально упустив важные моменты, что бы не было соблазна это сделать,под УК РФ это попадает по нескольким статьям: 159, 272, и 273 могут добавить?
2) УРОНИТЬ конкурента.
Далеко не секрет - торговые площади сейчас на каждом углу, бывает один гипер стоит в 300 метрах от другого. Вот такой атакой можно в праздники, когда выручка самая идет и положить на лопатки "соседа"?
3) под ЗАРАБОТАТЬ
Мелкие компании без постоянных админов могут стать жертвой - уронил точку, пришел и предложил услугу, "прошил" роутер, почистил от вирусов и снял пару тысяч.Тоже УК РФ.?
Вообще вывод простой - компании миллионы тратят на защиту своих сетей, а вот перевести терминалы на CDMA не все спешат, причем часто по терминалам идут данные покупателей ФИО номера телефонов и т.д - карточка покупателя, идут данные по кол-ву товара, стоимости закупочной, поставщику - инсайдинг процветает
Система трансляции, оповещения и фонового озвучивания для торгового центра.
1.Ручное и автоматическое оповещение о пожаре.
2.Автоматическое оповещение с городской станции службы ГО ЧС.
3.Организация фонового музыкального озвучивания.
4.Организация рекламного вещания.
5.Организация громкой голосовой связи.
Тут вопрос в другом, если все стандартно:
И никаких wi-fi не подразумевается, потому как, в функционал заложено и ПОЖАРНОЕ ОПОВЕЩЕНИЕ, а к этому особые требования. 99% ТЦ экономят и не видят смысла делать отдельные системы.
Сеть из Германии - работают на системе Dispos (который разработан Dacos Software GmbH / Globus SBW Holding для ОС Windows) - аналог 1С, чем то похож на R3.
Сеть с оценкой отличника - работа на системе Linux которую сами разработали, БД, софт все сами доработали под себя из опенов.
Сеть на букву U - работали на 1С
Логистики, крупные игроки - в 90% свои разработки, написанные по примеру сети из Германии.
Сеть из франции - Кривая разработка с задатками 1С, вообще не ясно что это, ощущение скрестили француза с 1С и полили сверху радиоактивными отходами.
Cеть которая магнитит - работают на линукс, вроде Suse, тоже софт написан самостоятельно.
Небольшие компании работают на 1С
Да я больше скажу - грядет волна коммерческого терроризма и вымогательства, с переплетом с детскими шалостями. Еще лет 10 и это будет весьма актуально.
Помимо ТСД есть другие устройства, к примеру логистические центры включают в рабочий процесс (В РФ - На Западе уже включили) роботов логистов (погрузчиков, сборщиков), дроны с камерами, не забываем панели с информацией, которые сейчас стоят на улице городов или больших центрах и
несут информацию.
Все это можно будет сломать, взломать, нарушить процесс, изменить задание.
Представьте себе, если нарушив работу робота логиста, вместо фена за 10 у.е на дропа придет ноутбук за 5 000 у.е, или целый контейнер уедет другим путем.
А может пару школьников, ради смеха, устроят битву роботов, а дроны уронят на голову.
Добавлю! В зону риска попадет и связь, а именно портативные телефоны (Wi-Fi IP )
Уронив точку доступа - можно лишить связь пол компании.
