Простое снятие «навороченной» защиты kraftway credo vv18
По государственной программе нам на предприятие выделили несколько таких тонких клиентов. Многие были рады, что он занимает мало места (крепится сзади на монитор), абсолютно бесшумно работает в отсутствие вентиляторов и сравнительно шустро работает по сравнению со старыми компьютерами которые стояли раньше. Самое интересное началось позже, когда пользователи стали терять ключи eToken.
Без него запуск устройства был не возможен, при запуске компьютер просил ключ, отключить TSL защиту тоже не возможно, доступ в BIOS также запрещен (если ключи утеряны/заблокированы). Совсем TSM защиту отключить не разрешается из соображений безопасности. Документы, оставшиеся в памяти устройства также не возможно достать, так как на накопитель ставился пароль (а не имея PC3000 вынуть их оттуда думаю не получится) и другие компьютеры его не определяли. К данной терминальной станции поставлялось 2 eToken-а, один наделялся администраторскими другой пользовательскими правами. Пользователям, потерявшим свой ключ, под расписку выдавались админские ключи, которые на веревочку они крепили к корпусу устройства, чтобы не потерять, но успешно забывали пароли от ключей и при неверном вводе (15 раз!) блокировали ключ и соответственно само устройство. Делать не чего, пришлось лезть в интернет искать способы разблокировки, коих не нашлось, прочитать гору обзоров, в которых заявлялось насколько крута защита данного тонкого клиента вот только кусочек описания.
Заметьте данные нельзя извлечь даже при наличии полного доступа к железу терминальной станции. Пришлось звонить в их компанию, где дали несколько номеров авторизованных центров в нашем городе. Практически все обзвоненные СЦ уже не работали с компьютерами, а кто то и вообще закрылся. Наконец наткнувшись на работающий, приехал к ним в офис и отдал станцию в ремонт. Спустя недели 2 позвонили и сказали ее забрать. Как выяснилось, они ее так и не отремонтировали, а так как случай не гарантийный дали номер тех специалиста из крафтвея. Позвонив этому специалисту, он назначил цену за ремонт в 12т.р. (. ) в который входила замена материнской платы(!) плюс надо было оплатить ее доставку в оба конца. Немного офигев от цены, а эта станция новая стоит не намного дороже начальник сказал бросить ее в дальний угол, типа купим новую, но попозже. В угол я конечно не кинул, не пропадать же добру подумал что неплохо было бы ее попробовать разблокировать, а если не выйдет пустить ее на запчасти. Вскрыв корпус, обнаружил вполне обычную, для неттопов материнку, только что вместо жестяка стоял флешь-диск на 4 гига.
Материнская плата устройства
Она же со снятым радиатором (фото перед пайкой)
Флешь диск не читается по причине описанной выше.
Имея некоторый опыт по ремонту компьютерной техники, решил сначала перепрошить flash наметанный глаз определит эту микросхему практически сразу.
Закрыл фольгой пластиковые элементы
Отпаяв феном микросхему (cFeon q16-100hip), вставил ее в программатор и сохранил родную прошивку. Прошивку для этой микросхемы в тырнете я не обнаружил, пришлось потрошить рабочую, точно такую же станцию забрав у пользователя под видом проверки на вирусы. После успешной перепрошивки flash впаял на место и запустил станцию, которая попросила eToken, пришлось опять бежать до того юзера и брать у него ключ. Распознав ключ, станция завелась как новая. Вот так был разбит миф о защите этой станции, в описании к которой между-прочем говорилось, что даже при полном аппаратном доступе к компьютеру злоумышленник данные прочитать не сможет. И конечно такой ремонт ну никак не тянет на 12т.р. Если кто-то попал в такую же ситуацию, ниже я выложил чистую прошивку со снятой защитой TSM, после перепрошивки станция с ней будет работать без ключей. Пароли на eToken можно поменять в программе eToken PKI Client 5.1. Имея вот такой переходник можно не выпаивать микрохему
Также есть еще один способ снять TSM защиту в bin файле прошивки заменить (выделено красным шрифтом)
В этом случае информация о ключах останется и при не осторожном включении защиты в BIOS-е, терминальная станция опять заблокируется
Надеюсь, статья была полезна, если у кого мало опыта в пайке или подобном ремонте позже могу снять видео, касающиеся замены и перепрошивке микросхемы такого типа. При любых манипуляциях с flash обязательно сохраняйте прошивку. Всем спасибо за внимание! PS – извиняюсь за качество снимков снимал на старенький телефон, но это думаю не важно.
Ниже некоторые кадры процесса прошивки специально снес в низ так как не представляют практической ценности.
прошивка сFeon q16-100hip полностью снята TSM защита, перепрошиваете ею flash и в случае необходимости снова настраиваете eTocken для TSM.
PS: статья валялась в песочнице 2 года и честно говоря я на ее уже забил. С трудом нашел фотографии и восстановил доступ к аккаунту (спасибо ребятам с техподдержки), статью дополню фотографиями чуть позже так как некоторые найти не могу. Дамп с флеш памяти обновил, его можно скачать.
Kraftway credo vv22 установка windows
Адрес этой статьи в Интернете: http://www.thg.ru/business/kraftway_credo/
Kraftway Credo: современные терминальные решения
Kraftway Credo | Введение
По убеждению многих людей, исторические события прошлого часто напоминают картину настоящего, в котором живём мы с вами. Недаром говорят: «Всё новое — это хорошо забытое старое». А учёные-историки даже вводят понятие «исторический цикл», подразумевающее повторяемость исторических процессов. В области информационных технологий, несмотря на молодость этой сферы деятельности человека, такое явление также имеет место. Сегодня мы расскажем вам о терминальных решениях, прообразы которых уже встречались на пути истории несколько десятков лет назад, однако ушли в прошлое по тем или иным причинам, а сейчас возрождаются вновь. Кроме того, в сегодняшней статье мы представим вашему вниманию, с одной стороны типичного, представителя, а с другой — очень особенный продукт — терминальную станцию Kraftway Credo.
Kraftway Credo | Прошлое и настоящее терминального доступа
Каких-то 30 лет назад, а кое-где и меньше, вычислительные мощности были представлены большими вычислительными комплексами (IBM-360, ЕС-ЭВМ). Пользователи получали возможность использовать их ресурсы, осуществляя доступ посредствам множества терминалов — по сути клавиатуры и принтера (на нём распечатывалась реакция систем в ответ на действия пользователя, дисплеи тогда мало кто мог себе позволить). Подобная модель вычислений называлась централизованной. На смену ей пришла модель распределённых вычислений, а вместе с ней и персональные компьютеры — люди были уверены, что для решения их небольших задач мощности ПК вполне хватит. И вот сейчас модель централизованных вычислений переживает своё второе рождение. Это отнюдь не связано с тем, что задачи пользователей стали настолько «тяжёлыми», что их нельзя решить на ПК. Просто обслуживание огромного парка компьютеров становится трудоёмкой задачей, увеличиваются затраты на электричество, да и защитить критически важную информацию от несанкционированного доступа на нескольких машинах сложнее. Поэтому многие производители предлагают сейчас программно-аппаратные решения для организации централизованной модели вычислений. Они представляют собой сервер приложений и подключаемые к нему по сети «тонкие» клиенты. Каждый такой «тонкий» клиент представляет собой терминальную станцию — компактный бездисковый ПК. В его конфигурацию входят малопроизводительные компоненты, обладающие при этом хорошими показателями энергоэффективности. К станции подключаются обычные периферийные устройства: монитор, клавиатура, мышь, настольные динамики. Для пользователя создаётся полная иллюзия наличия полноценного ПК. Однако станция производит лишь минимум вычислительной работы и, в основном, выполняет функции взаимодействия с пользователем, общения с сервером приложений и отображения информации на мониторе.
Преимущества централизованной модели очевидны. Во-первых, существенно упрощается управление всей ИТ-инфраструктурой: администрировать необходимо лишь сервер, сами терминальные станции требуют минимального обслуживания, которое может быть осуществлено удалённо. Во-вторых, это решение выигрышно в финансовом плане: терминалки потребляют практически в 10 раз меньше электроэнергии, нежели полноценные офисные ПК. Представьте, сколько можно сэкономить на электроэнергии, если оснастить все рабочие места крупного офиса терминальными станциями. Кроме того, лицензии на программное обеспечение потребуются лишь для сервера. Это, наверное, самая существенная часть экономии, если учесть стоимость лицензий на современное ПО. Третьим преимуществом можно назвать высокую защищённость данных. Все данные могут храниться централизованно на сервере, а потому требуется организовать лишь его защиту от угроз несанкционированного доступа. Трафик в сети шифруется, а работа пользователя полностью контролируется. Традиционные десктопы при повседневной работе загружены в среднем всего на 5-20%. В итоге большая часть вычислительной мощности офисного ПК остаётся невостребованной. Консолидация ресурсов на сервере позволяет эффективно использовать его вычислительные ресурсы. Это, пожалуй, основные преимущества использования терминальных станций, хотя здесь можно было обсудить и их компактный эстетичный внешний вид, и их бесшумность, удобство.
На российском рынке присутствует ряд терминальных станций от отечественных производителей. Конечно, их выпускают и заграничные гиганты (в первую очередь Wyse и HP), однако спрос на них у нас не высок из-за дорогого сервиса/обслуживания и слабого представительства в регионах. Несмотря на то, что рынок терминальных решений до сих пор остаётся небольшим, он стремительно развивается в последние годы. И это, прежде всего, связано с преимуществами, описанными выше. Предлагаемые на сегодняшний день продукты в основном однообразны — внутри можно встретить одни и те же комплектующие. Отличаются они чаще всего встроенными операционными системами. Производители предлагают сборки Windows под те или иные условия эксплуатации. Однако разработка прошивки на базе Windows осложняется рядом факторов, среди которых и закрытость большей части кода, и дефицит специалистов архитектуры именно этой ОС. При этом получаемые прошивки не отличаются особой оригинальностью — даже прошивки от разных производителей похожи друг на друга как две капли воды, так как собираются одним конструктором от Microsoft. С этих позиций интереснее смотрятся прошивки на базе Linux. Ведь здесь открытых альтернатив для решения одних и тех же задач существует несколько, и каждая из них обладает поддержкой большого сообщества. Это значительно упрощает разработку, а решения претендуют на оригинальность.
Одно из таких решений мы и предлагаем сегодня рассмотреть. Представляем вашему вниманию терминальные станции Kraftway Credo. Многие спросят, почему именно Kraftway? Во-первых, среди отечественных производителей компания является лидером на рынке тонких клиентов. Во-вторых, решения Kraftway обладают той самой оригинальностью, о которой говорилось выше — в качестве прошивки в них используется Kraftway Terminal Linux, собственная ОС на базе OpenSource-решений.
Kraftway Credo | Аппаратное обеспечение
В отношении аппаратной конфигурации нет никаких сюрпризов. Большинство современных терминальных клиентов основано либо на платформах VIA, либо на AMD. В первых используются процессоры VIA C-3, VIA C-7, а в последних — AMD Geode. На данный момент конкурентов этим двум производителям в данной рыночной нише не существует. Хотя попытки войти на этот рынок сейчас предпринимает даже Intel, однако массовых решений на рынке пока нет. «Тонкие» клиенты на базе решений AMD являются более дорогими. В «терминалках» Kraftway применяется платформа VIA Nehemiah. Разумное решение, учитывая низкую стоимость, достаточную производительность и высокую энергоэффективность.
Сейчас в модельном ряду компании есть два «тонких» клиента. «Младшая» модель VV12 позиционируется компанией для выполнения типовых офисных задач, в то время как модель VV23 больше подойдёт для торговых систем. Основное отличие кроется в характеристиках аппаратной начинки и количестве интерфейсов для подключения периферии.
«Сердцем» терминалок является микропроцессор VIA C7 — пусть не самый производительный, зато очень холодный. Процессор, в отличие, допустим, от десктопов, впаян в материнскую плату. Ведь менять его нет необходимости, потому что производительность при работе полностью зависит только от сервера приложений. На чипсет и процессор установлены алюминиевые радиаторы — этого достаточно для охлаждения. Применяемый форм фактор материнских плат (mini-ITX), наилучшим образом обеспечивает компактность терминальной станции. Конечно, при этом количество слотов расширения PCI сокращается до одного, однако большее их количество вряд ли необходимо «тонким клиентам».
Kraftway Credo — вид изнутри: можно видеть материнскую плату форм-фактора mini-ITX, под большим радиатором скрывается чипсет и ЦП, пара портов SATA, два PATA и один PCI. Под память DDR2 предназначен один слот. Нажмите на картинку для увеличения.
Движущихся механических частей у «терминалки» нет совсем. Это можно также считать довольно большим плюсом, так как механические части требуют соответствующего обслуживания и обладают относительно низким показателем наработки на отказ. Ввиду отсутствия подобных частей, «тонкие» клиенты имеют очень продолжительный срок службы. Блок питания является внешним — в таком компактном корпусе нет места дополнительным источникам тепла. В качестве накопителя используется флэш-память, подсоединяемая через переходник к ATA-порту. Операционная система устанавливается на неё в виде прошивки.
Флэш-память подключается через переходник к PATA порту. У разобранной нами терминальной станции объём флэш-памяти составлял 1 Гбайт. Нажмите на картинку для увеличения.
В целом можно сказать, что аппаратная начинка терминальной станции обеспечивает выполнение её функций при сохранении максимальной энергоэффективности. Нам удалось провести замеры энергопотребления терминальных станций. Результаты впечатляющие. Ниже представлены два графика: на первом можно увидеть потребление энергии рядовым представителем офисных ПК — компьютером Kraftway Credo KC35, а на втором — энергопотребление терминальной станции (модель VV12). Как можно увидеть, в первом случае энергопотребление составило порядка 100 Вт. Нестабильное поведение кривой в начале вызвано изменением энергопотребления в процессе включения/загрузки ПК. «Терминалка» же потребляет стабильно в десять (. ) раз меньше — всего 10 Вт.
Энергопотребление офисного ПК, оснащённого слабеньким процессором Celeron и интегрированным видео. Нажмите на картинку для увеличения.
Энергопотребление терминальной станции. Нажмите на картинку для увеличения.
При всём при этом «терминалка» сохраняет абсолютную бесшумность, а благодаря малому количеству выделяемого компонентами тепла стало возможным создание таких компактных моделей без активных охлаждающих элементов.
Kraftway Credo | Kraftway Terminal Linux
Если в отношении аппаратной начинки терминальных станций Kraftway и нет никаких особенностей, то программное обеспечение делает продукцию компании в некотором смысле уникальной.
Терминальные станции Kraftway Credo существуют в трёх версиях — с операционными системами Windows CE 5, Windows XP embedded и Linux. Решения на Windows XP embedded являются более дорогими и предназначены для тех заказчиков, которым хотелось бы сохранить все достоинства XP в тонком клиенте, сохранить поддержку большого количества периферийного оборудования. Создание сборки для терминальных станций на основе ОС от Microsoft и Linux существенным образом отличается. Если разработка Windows-версии часто ограничена рамками, установленными Microsoft, а лицензирование может занять продолжительное время, то при создании Linux-версии у программистов руки развязаны полностью. Да и использование ОС Windows в «терминалке» сказывается на её стоимости. Именно поэтому одним из приоритетных направлений компании в данный момент является развитие Linux-решений. В итоге продолжительной работы в компании была разработана собственная версия Linux для терминальных станций, получившая название Kraftway Terminal Linux (KTL). Ей мы и предлагаем вам уделить особое внимание, расскажем о возможностях и особенностях KTL.
Многих, наслышанных о ОС Linux, может смутить бытующее в массах мнение о том, что все основанные на ней дистрибутивы слишком сложные для обычного пользователя, коими являются офисные сотрудники. Поэтому внедрение их на местах является тяжёлой задачей — требуется проводить обучение и затем долго мучиться с последствиями ломки представлений о мире «в стиле Windows». Однако, не стоит делать поспешных выводов. Прелесть подобных решений в том, что они очень гибкие. Умелыми руками программист может создать необходимую сборку и сконфигурировать её таким образом, что интерфейс пользователя будет не менее дружественным, чем в распространённой ОС от Microsoft. По этому пути и пошли программисты Kraftway. В итоге KTL обладает не только необходимой функциональностью, но и дружественным интерфейсом, который максимально приближен к столь привычному для многих пользователей интерфейсу Windows. Поэтому KTL удовлетворяет требованиям даже самых консервативных пользователей.
Интерфейс пользователя предельно близок к классическому интерфейсу Windows. Нажмите на картинку для увеличения.
Kraftway Credo | Режим пользователя KTL
Работа с тонким клиентом осуществляется в одном из двух режимов — пользователя или администратора. Конкретный режим можно выбрать при загрузке «терминалки». Предусмотрена парольная защита административного режима.
Режим пользователя является основным. Большую часть времени тонкий клиент будет работать именно в данном режиме. Он является ограниченным, то есть вы не сможете получить доступ к расширенным настройкам — будут доступны лишь базовые. Естественно, можно запустить терминальную сессию, в рамках которой начать работу с необходимыми вам приложениями. KTL поддерживает подключение к наиболее распространенным терминальным серверам: CITRIX, X-Window и Windows Terminal Server.
Вы имеете возможность выбрать тип сервера, к которому хотите подключиться. Нажмите на картинку для увеличения.
Выбрав пункт «Менеджер печати» в меню «Пуск», вы сможете настроить доступ к локальному или сетевому принтеру. Поддержка принтеров операционной системой впечатляет — для большинства моделей от современных производителей найдётся свой встроенный драйвер. Конечно, если вы обладатель какого-то особенного печатающего устройства, вы сможете вручную добавить необходимый драйвер (если у вас есть драйвер под UNIX-подобную ОС).
Настройка принтера.
Терминальный клиент также может использоваться и как автономный web-браузер. Запускать терминальную сессию для этого совсем не обязательно — в KTL для этих целей встраивается браузер FireFox.
Запущен браузер FireFox с открытой страничкой производителя. Нажмите на картинку для увеличения.
В режиме пользователя можно также произвести настройку звуковых параметров.
Настройки звука. Нажмите на картинку для увеличения.
Kraftway Credo | Режим администратора KTL
Режим администратора предназначен для тонкой настройки терминальной станции и доступен обслуживающему ИТ-персоналу организации. Данный режим обеспечивается парольной защитой для предотвращения переконфигурирования «тонкого» клиента посторонними лицами.
Ранее, в предыдущих прошивках, тонкая настройка клиента была организована через удобную утилиту конфигурирования, обладавшую интуитивно понятным графическим интерфейсом на русском языке. Однако программисты Kraftway нашли пути дальнейшего совершенствования, и в прошивке за номером 3.1 появились некоторые новшества. Основным нововведением является то, что вся процедура настройки переведена на web-платформу. Что это даёт? Прежде всего, то, что теперь терминальной станцией можно управлять удалённо через web-браузер. Основные возможности остались прежними, однако теперь появилась возможность не только конфигурировать, но и просматривать информацию о состоянии ресурсов терминальной станции. То есть теперь режим администратора позволяет выполнять не только управление, но и функции мониторинга. Давайте рассмотрим всё подробнее.
Все возможные функции, которые можно производить с системой, подразделены на четыре раздела. Раздел «Информация» выполняет упомянутую выше функцию мониторинга. Здесь можно узнать информацию о состоянии ресурсов системы: процессора, оперативной памяти, флэш-накопителя. Кроме того, довольно полезным является наблюдение за нагрузкой сетевого интерфейса. Отображение происходит в удобном для восприятия виде — графиками и диаграммами. Это позволяет оценить динамику изменения нагрузки на ресурсы.
Индикация использования запоминающих устройств «тонкого» клиента. Нажмите на картинку для увеличения.
Информация о сетевом интерфейсе. Нажмите на картинку для увеличения.
Хронология загрузки центрального процессора «терминалки». Нажмите на картинку для увеличения.
Нагрузка на сетевой интерфейс. Изменение во времени. Над графиком расположены управляющие ссылки, позволяющие переключать режимы отображения: автомасштабирование /фиксированный масштаб, единицы измерения в кбит/с или байт/c. Нажмите на картинку для увеличения.
На отдельной вкладке расположена информация о подключенной USB-периферии и накопителях (в разделе «Смонтировано»). Нажмите на картинку для увеличения.
С помощью вкладки «Система» можно управлять общими настройками операционной системы. Здесь можно установить время (как вручную, так и с помощью протокола NTP), настроить защиту паролем или отключить её вовсе. Также администратор может перезагрузить «терминалку» удалённо. Одним из очень важных нововведений является возможность так же из-под web-интерфейса обновлять прошивку. Для этого надо лишь указать путь к размещению образа обновлённой прошивки KTL. Таким образом, администратор может проводить централизованное удалённое обновление встроенного ПО всего парка терминальных станций, разместив образ на сервере.
Настройка времени с помощью сервера NTP. Нажмите на картинку для увеличения.
То же самое, только вручную. Нажмите на картинку для увеличения.
Настройка защиты паролем учётной записи администратора. Нажмите на картинку для увеличения.
Есть возможность удалённо перезагрузить «терминалку». Нажмите на картинку для увеличения.
. или обновить её прошивку. Нажмите на картинку для увеличения.
Для более тонкой настройки устройств терминальной станции и подключённой периферии используется вкладка «Устройства». Нам показалось странным, что настройки звука вынесены на отдельную страничку, а настройки всех остальных устройств размещены вместе. На наш взгляд было бы логично совсем не разбивать устройства для размещения на разных страничках. Администратор может настроить монитор, работу с накопителями USB, принтеры, сканеры и порты. Любое устройство можно перенаправить в терминальную сессию, запущенную на сервере. Разнообразие параметров придаёт гибкости в настройке тонкого клиента, а пояснения делают этот процесс очень простым.
Нажмите на картинку для увеличения.
Настройка отдельных устройств. Нажмите на картинку для увеличения.
Настройки звука вынесены на отдельную страницу. Нажмите на картинку для увеличения.
В отдельный раздел вынесены настройки сети. Можно выбрать метод получения IP-адреса (вручную — тогда следует указать все необходимые параметры, либо через DHCP), указать сервер DNS, а также настроить подключение терминального клиента к серверу при включении. При настройке автоматического подключения необходимо указать необходимые параметры сервера. Тогда при включении терминальной станции и загрузке KTL в режиме пользователя произойдёт автоматический запуск терминальной сессии.
Настройка параметров TCP/IP. Нажмите на картинку для увеличения.
Добавление серверов имён локальной сети. Нажмите на картинку для увеличения.
Настройка автоматического запуска терминальной сессии при загрузке KTL. Нажмите на картинку для увеличения.
Kraftway Credo | Заключение
Терминальные решения компании Kraftway являются весьма интересными. Прежде всего, это объясняется собственным программным обеспечением, разрабатываемым в компании. Собственная сборка операционной системы, обеспечивающая простоту работы для пользователя и удобство конфигурирования и управления для администратора, делает решения компании уникальными в своём роде.
Вот на таком «кластере» из терминальных станций программисты Kraftway тестируют программное обеспечение. Нажмите на картинку для увеличения.
Kraftway Terminal Linux (KTL) является отличной альтернативой сборкам на основе Windows. Новая утилита конфигурирования приобрела функции мониторинга, а управление «терминалкой» теперь может осуществляться удалённо. Надо упомянуть так же, что в последней прошивке появилась поддержка электронных USB-ключей, позволяющих дополнительно повысить безопасность вашей ИТ-инфраструктуры. Теперь сотруднику не потребуется запоминать громоздкие пароли — аутентификация осуществляется на основе зашифрованной в небольшом USB-носителе информации. Отлучаясь от рабочего места, работник вынимает носитель, а сессия блокируется до момента повторного предоставления ключа обладателем.
