Fakty i opinie
  • Kino
  • Mapa
  • Ogłoszenia
  • Forum
  • Komunikacja
  • Raport
Wiadomości
Dodaj raport
Fakty i Opinie Wiadomości
Facebook E-mail Messenger WhatsApp Kopiuj link Więcej

Luka w systemie pozwala ładować karty miejskie biletami na wiele lat i za darmo

Marzena Klimowicz-Sikorska
23 stycznia 2013 (artykuł sprzed 11 lat) 
Opinie (342)

Nasz czytelnik zaprezentował, jak ominąć zabezpieczenie na karcie miejskiej i "doładować" ją biletami miesięcznymi ważnymi do 2016 r. za łączną kwotę 2,5 tys. zł, nie wydając przy tym ani złotówki.


Czy karty miejskie, które w Trójmieście są nośnikami m.in. biletów na komunikację, są dobrze zabezpieczone? Nasz czytelnik udowodnił, że nie. Korzystając z programu komputerowego z Internetu i czytnika kart, który można kupić za kilkanaście dolarów, złamał zabezpieczenie karty miejskiej i doładował ją biletami ważnymi do 2016 roku. Dyrektor gdańskiego ZTM od nas dowiedział się o problemie.



ZTM wydał kilkadziesiąt tysięcy Kart Miejskich, do tego dochodzą jeszcze tysiące kart Dużej Rodziny, działających w oparciu o ten sam system. ZTM wydał kilkadziesiąt tysięcy Kart Miejskich, do tego dochodzą jeszcze tysiące kart Dużej Rodziny, działających w oparciu o ten sam system.

ZTM wydał kilkadziesiąt tysięcy Kart Miejskich, do tego dochodzą jeszcze tysiące kart Dużej Rodziny, działających w oparciu o ten sam system.

Karty miejskie, które są nośnikami m.in. biletów okresowych na komunikację miejską, pojawiły się w Gdańsku w 2006 r. Od tej pory wydano ich kilkadziesiąt tysięcy. Każdą z nich można doładować biletem wartym od kilkudziesięciu do ponad 100 zł. Ale kilka dni temu przekonaliśmy się, że można też uzupełnić ją biletem znacznie bardziej kosztownym, nic przy tym nie płacąc.

Pan Adam [prawdziwe imię i nazwisko do wiadomości redakcji] jest z wykształcenia informatykiem, pracuje w międzynarodowej firmie. Nieco ponad rok temu, trochę kierując się zawodową ciekawością, a trochę swoim własnym hobby, zainteresował się systemem zapisującym bilety miesięczne na kartach miejskich w Gdańsku. Systemem - dodajmy - na którego kupno miasto wydało 7 lat temu blisko 1 mln zł.

Czy skorzystał(a)byś z biletu wiedząc, że jest sfałszowany?

Potrzebował trzech miesięcy na znalezienie luki w oprogramowaniu, ale gdyby przeliczyć to na godziny, wyszedłby raptem tydzień pracy przez 8 godzin dziennie. Nie musiał jednak wyważać otwartych drzwi, bo zabezpieczenia kart wykonanych w tej technologii już wcześniej omijali Amerykanie (2008 r.), a w 2010 r. to samo udało się belgijskim studentom, którzy złamali karty niemal identyczne do tych, z jakich korzystają mieszkańcy Trójmiasta.

- Lukę w oprogramowaniu gdańskich kart miejskich znalazłem w marcu zeszłego roku. Wykonałem do niej dokumentację, którą wysłałem do zarządu firmy Sygnity [ta firma dostarcza ZTM-owi oprogramowanie do kart miejskich i automatów biletowych, za produkcję oprogramowania odpowiada natomiast firma NTX - przyp. red] - relacjonuje pan Adam.

Ta dokumentacja to kilkunastostronicowe opracowanie, które wygląda jak solidnie wykonana praca zaliczeniowa napisana przez zdolnego studenta wydziału ETI na Politechnice Gdańskiej. Sprawia dużo poważniejsze wrażenie, niż sprzęt, jakiego użył pan Adam do "oszukania" gdańskiej karty miejskiej.

- Skorzystałem z lekko zmodyfikowanego programu dostępnego w Internecie i czytnika kart bezstykowych na USB, które całkowicie legalnie są oferowane w sklepach z elektroniką za równowartość ok. 15 dolarów - tłumaczy.

A jednak dzięki temu zestawowi, w ciągu kilku minut, na naszych oczach, "doładował" kartę miejską biletami okresowymi za łączną kwotę 2551 zł, na których można by jeździć do 2016 r. (jak tego dokonał, zobaczysz w materiale wideo).

***


Postanowiliśmy sprawdzić, jak działa spreparowana przez pana Adama karta. Nie wsiedliśmy jednak do tramwaju, lecz odwiedziliśmy biuro Renomy przy Dworcu Głównym PKP w Gdańsku. Kontrolerzy sprawdzili ją czytnikiem wykorzystywanym przy rutynowych kontrolach i potwierdzili, że na karcie są ważne, choć mocno nietypowe, bilety.

- Bilet 30-dniowy, ulgowy, od poniedziałku do piątku, od 12.10.2012 r. do 16.07.2016 r., na kwotę 2551 zł, na liniach zwykłych i nocnych. W Gdańsku. Na okaziciela. Ale są tu też bilety normalne, miesięcznie. Są łącznie trzy doładowania - odczytywał z ekranu coraz bardziej zdumiony kontroler. - Proszę pogratulować temu panu, pierwszy raz coś takiego widzę.

***


W swojej dokumentacji pan Adam zamieścił listę popełnionych przez programistów błędów projektowych: (m.in.) "(...) Użycie technologii Mifare, pomimo odkrytych problemów z bezpieczeństwem, użycie własnościowego standardu szyfrowania, brak mechanizmów kryptograficznych w warstwie aplikacyjnej (zarówno szyfrowania, jak i sum kontrolnych), brak łączności w czasie rzeczywistym z centralną bazą danych biletów, brak monitorowania systemu, użycie kluczy dostępnych w dokumentacji(...)"

Sporo tego.

Nic dziwnego, że przedstawiciel firmy Sygnity skontaktował się z naszym czytelnikiem i doszło do spotkania.

- Od razu powiedziałem, że nie mam zamiaru upubliczniać tych informacji. Podczas rozmowy padła luźna sugestia współpracy nad rozwiązaniem problemu z luką w oprogramowaniu, jednak nie były to wiążące deklaracje. Ja na nic konkretnego nie liczyłem, mam pracę, jestem dobrze sytuowany. Zależało mi na tym, żeby ktoś konstruktywnie wykorzystał moje spostrzeżenia - tłumaczy pan Adam. - Zająłem się tym, ponieważ irytuje mnie, gdy miejska instytucja wydaje pieniądze na coś, co ma tak słabe zabezpieczenia.

Więcej spotkań jednak nie było, firma nie skontaktowała się już z panem Adamem.

***


We wtorek zapytaliśmy firmę Sygnity o informatyka z Gdańska i dziurę w zabezpieczeniu oprogramowania, które obsługuje gdański ZTM.

- Temat trafił już bezpośrednio do jednostki zajmującej się wdrożeniem systemu w Trójmieście, ale nie wszyscy są dzisiaj obecni - poinformowała nas Lidka Kłosowska, rzecznik firmy. - Sprawdzamy w tej chwili szczegóły. Skontaktujemy się, jak tylko Sygnity będzie gotowe do zajęcia oficjalnego stanowiska w tej sprawie.

Firma miała blisko rok na uporanie się z dziurawym systemem, ale jak udowodnił pokaz naszego czytelnika, najprawdopodobniej nie wprowadzono dodatkowych zabezpieczeń.

***


Materiał filmowy pokazujący, w jaki sposób pan Adam naładował kartę miejską biletami ważnymi do 2016 roku pokazaliśmy dyrektorowi ZTM w Gdańsku, Jerzemu Dobaczewskiego. Był bardzo zaskoczony tym, co zobaczył, ale uznał, że problem nie jest poważny.

- O ile w 2011 roku przewieźliśmy 157 mln pasażerów, to w zeszłym roku przewieźliśmy ich już 162 mln, a więc o 5 mln więcej. Gdyby większość z nas potrafiła złamać takie zabezpieczenie, to odnotowalibyśmy spadek, a nie wzrost. Może ten pan jest pasjonatem, może rzeczywiście złamał zabezpieczenie na karcie, a może to tylko kwestia jego fantazji - mówi Jerzy Dobaczewski. - Na podstawie tego materiału ciężko mi się odnieść do problemu, za mało znam konkretów. Karta miejska funkcjonuje już tyle lat, nic się z nią nie działo do tej pory i sądzę, że nic się nie dzieje.

Cały komentarz ZTM znajduje się w materiale wideo powyżej.

Nieco inaczej na nasze informacje zareagował pracownik Metropolitalnego Związku Komunikacyjnego Zatoki Gdańskiej (MZKZG), który korzysta z tego samego systemu do obsługi biletów metropolitalnych.

- To nie jest pierwsza osoba, która złamała algorytm karty - przyznaje Krzysztof Nalewajko, inspektor ds. funkcjonowania biletu metropolitalnego z MZKZG. Jego zdaniem po tym, jak błąd wykryli studenci z Belgii, a ich uczelnia opublikowała opracowanie na ten temat, producent oprogramowania, firma NTX, zaleciła prowadzenie monitoringu transakcji na kartach.

- I my to robimy, a dodatkowo wprowadziliśmy wiele innych zabezpieczeń. Dzięki temu jeżeli taka nielegalnie doładowana karta pokaże się w systemie, to dowiemy się o tym - podkreśla Nalewajko.

Potwierdza to Grzegorz Grabowski, dyrektor gdańskiego oddziału Renomy. - Podczas pierwszej kontroli takiej karty przez naszego pracownika czytnik pokaże, że bilet jest ważny. Jednak po kilku godzinach system odkryje fałszywkę. Porówna dane z kontroli z bazą danych kart i sprzedanych biletów i odkryje, że ta karta powinna być pusta. Przy kolejnej kontroli czytnik ją zdemaskuje.

Czyli teoretycznie ze sfałszowanej karty można korzystać bez ryzyka jedynie do czasu pierwszej kontroli. Czy jednak gdyby nie błąd w oprogramowaniu, można by wyprodukować kartę idealnie zabezpieczoną przed włamaniem do niej?

- To jest nie do uniknięcia. Można zabezpieczać karty, ale do jakiego stopnia? Zawsze znajdzie się ktoś, kto złamie do niej klucz - przyznaje Nalewajko.

O komentarz poprosiliśmy Piotra Koniecznego, kierownika zespołu bezpieczeństwa portalu Niebezpiecznik.pl

Podobne błędy zostały już w poprzednim roku zidentyfikowane w systemie Warszawskiej Karty Miejskiej. Także w Poznaniu występował problem z biletomatami, które pozwalały na darmowe doładowanie biletów okresowych.

Działania polegające na przełamywaniu zabezpieczeń mogą być penalizowane, zwłaszcza jeśli na ich podstawie sprawca osiąga korzyści materialne. Dlatego wszystkim, którzy chcą szukać błędów bezpieczeństwa polecam firmy, które wprost proszą każdego chętnego o testowanie swoich zabezpieczeń w ramach tzw. programów bug-bounty (posiada je Google, Facebook czy PayPal). Znalezione w ramach bug-bounty błędy są weryfikowane i następnie nagradzane finansowo.
Szukanie błędów w ramach tzw. "niezamówionych testów" zawsze będzie wiązało się z ryzykiem prawnym, zwłaszcza jeśli znalezione błędy są poważne (dają dostęp do danych klientów lub pozwalają na uzyskanie korzyści materialnych), a zgłaszający błąd próbuje sugerować wynagrodzenie za podesłany opis luki.

Życzyłbym sobie, aby polskie firmy doceniały dobrą wolę swoich klientów i szybko obsługiwały zgłaszane im incydenty dotyczące bezpieczeństwa - takie podejście jest najkorzystniejsze, ponieważ osoba zgłaszająca błąd, który zostanie zignorowany zapewne prędzej czy później i tak opisze swoje znaleziska anonimowo w internecie lub podeśle je do mediów. I wtedy, zamiast kosztu obsługi błędów, firmie lekceważącej komunikaty dojdą także koszty obsługi PR oraz koszty ewentualnej obsługi prawnej (pozwy klientów, którzy poczuli się zagrożeni na skutek błędów).

Z kolei samozwańczym poszukiwaczom błędów życzę pokory - nie znam żadnej firmy, która łagodnie potraktowałaby osobę dopuszczającą się szantażu w wiadomości zgłaszającej błędy bezpieczeństwa.

Miejsca

Zobacz także

Luka w systemie kart miejskich ZTM (9)

Opinie (342) ponad 20 zablokowanych

  • 2013-01-23 10:43

    Kolejny narzekacz nikt ztego i tak by nie skorzystał!I niebedzie ryzykował za 3 zł !!

    i co stego ze moze sobie naładowac karte jak by tak zrobił to odrazu wpadnie bo nikt takiego doładowania nierobi.druga sprawa ze nawet jak by raz sie ydało przejechac za 3 zł to nastepnym razem ta kata wsadzi go juz zakradki za okradanie miasta Dlatego własnie nikt tego nie robi to to jest nieoplacalne!! Gdyby było oplacalne to by złodzieje sprzedawali doładowanie kart za 30% wartosci .Ale chetnych niema bo sie nieo placa i ryzyko za wielkie.mozesz sobie nawet biletem misiecznym doładowac ale i tak karte tylko raz użyjesz bo nastepnym razem wpadniesz.
    Problemów niebrakuje w rajskiej zielonej wyspie Tuska a ten wyglada jak temat zastepczy

    problemów wr ajskiej wyspie niebrakuje

    11 lat

    • 1 6

  • 2013-01-23 11:08

    ha no rzeczywiście są artykuły jak złamać klucz do karty Mifare

    zamawiam czytnik kart i biorę się do roboty :)

    11 lat

    • 4 1

  • 2013-01-23 11:14

    Niefortunnie się dyrektor wyraził (3)

    Sprawa nie jest nowa. 7 lat temu taka karta to był standard. Zlamano zabezpieczenia karty 3 lata temu, ale system wykrywa niezgodności i blokuje karty podejrzane więc ukraść milionów się nie da tak łatwo. chociaż sa już na rynku karty pozwajace na stworzenie 100% klonów.
    Główny problem to brak rozwoju systemu biletowego co by pozwoliło na systematyczne podnoszenie bezpieczeństwa. Jedynym na dzisiaj skutecznym wyjściem jest zmiana karty na lepiej zabezpieczona. Ztm o zagrozeniu wiedział zapewne od dawna. Rozumiem tez "irytację" pana Adama. Nie zrobił nic odkrywczego , a na dodatek nikt nie chciał mu zapłacić. System ma 7 lat i kosztował milion. Zwrócił się z ukrocenia papierowych falszywek już pewnie 20 razy. Generalnie problem jest, ale panikowanie nie ma sensu. Tłum falszerzy nie rzuci się do pracy. Jak w systemie nie ma info i kasy z doladowania a jest bilet to karta idzie na czarna listę i tak się kończy "hakowanie".

    Klops

    11 lat

    • 4 2

    • 2013-01-23 11:19

      (2)

      A nie uważasz, że najpoważniejszym błędem projektowym było użycie własnościowego rozwiązania? I brak kryptografii w warstwie aplikacyjnej? Naprawdę, do tego nie trzeba było bardzo wyjątkowych umiejętności. Pozostałaby tylko opcja klonowania kart, ale tutaj można dorzucić np. hologram do każdej karty i mamy system znacznie bezpieczniejszy bez ponoszenia poważniejszych kosztów.

      Poza tym czy nie uważasz, że sprawa jest tym bardziej żenująca, że problem nie jest wcale nowy, a problemy z Mifare są znane od kilku ładnych lat?

      lalala

      11 lat

      • 1 0

      • 2013-01-23 11:56

        Odp (1)

        A co to jest to własnościowe rozwiazanie ? Nie wiem tez jak wyglada kryptografii w aplikacji. Wiem, ze klona można zrobić ale system tego typu zwykle wykrywa niezgodności i blokuje karty do wyjaśnienia następnego dnia. To po cholerę falszowac. Karta mifare Classic ma 48bit kod dostępu. A co do hologramow to nie jest to hit. Sa na rynku firmy oferujące hologramy bardzo podobne do używanych a nikt me ma czasu na szkło powiekszajace. Wystarczy po prostu przejść na lepsza kartę? Inne pytanie to skąd i jakie karty kupuje ZTM. Może byle taniej kupują klony z Chin.

        Klops

        11 lat

        • 1 0

        • 2013-01-24 11:10

          Klops z takimi wypowiedziami...

          @Klops. No widzisz, sam przyznajesz, że się na tym nie znasz, ale opinię wypowiedziałeś z bijącą z niej niezachwianą pewnością. Co gorsza, po prostu pleciesz:
          1. System wykrywa niezgodność, *jeśli* w nim taką funkcję zaprogramowano;
          2. Długość "kodu dostępu" nie ma nic do rzeczy, bo ogranicza tylko możliwość tworzenia *nowych* fałszywych kart, a tu bierze się karty dobre, niesfałszowane;
          3. Hologram jest potrzebny tylko po to, aby nie można było klonować kart *dobrych*, jeśli odróżnienie ich od fałszywek jest niemożliwe lub zbyt kłopotliwe (klonować = tu: tworzyć kopie nieodróżnialne metodami elektronicznymi od oryginałów); w tym przypadku wykrywanie klonów w tej chwili nie jest potrzebne, bo klonowanie nie jest potrzebne do oszukiwania systemu - byłoby, gdyby poprawić zabezpieczenia systemu, i dopiero wtedy trzeba byłoby wprowadzić hologramy.
          4. To o "kupowaniu klonów z Chin" - LOL!

          witrak()

          11 lat

          • 0 0

  • 2013-01-23 11:22

    Co się czepiacie biednego 'derektora'

    on ma tylko pojęcie o tym co mu asystentka na/pod biurko przyniesie. Przygotowany ma szablon i nim strzela:
    "O ile w 2011 roku przewieźliśmy 157 mln pasażerów, to w zeszłym roku przewieźliśmy ich już 162 mln, a więc o 5 mln więcej. Gdyby większość z nas ........., to odnotowalibyśmy spadek, a nie wzrost."

    Przykład:
    - czy pasażerowie ZTM są zadowoleni - w miejsce kropek wstaw "była niezadowolona"
    - czy ceny biletów nie sa za wysokie - w miejsce kropek wstaw "była niezadowolona"

    iiii tak dalej

    11 lat

    • 8 1

  • 2013-01-23 11:32

    w jaki sposób Sygnity ma zaksięgować pracę danego teamu nad rozwiązaniem problemu?

    a w jaki sposób Sygnity ma zaksięgować pracę danego teamu nad rozwiązaniem problemu???
    przecież produkt został już wdrożony, wszystkie przelwy poszły, podpisy zebrane.

    z drugiej strony jak ZKM ma zlecić dodatkową pracę firmie Sygnity, by zdiagnozować i naprawić problem?
    oni również mieli na to budżet, a w tym roku żadnych dodatkowych środków na to nie mają i mieć nie będą.

    trochę dziwna tutaj polemika Redkacji odnośnie odpowiedzialności na tle moralnym.
    to jest biznes. tutaj warto by było otworzyć dyskusję w oparcie o prawo, kto powinien za taką usterkę ponieść koszty, bo to wcale nie jest takie oczywiste.

    kriz

    11 lat

    • 1 1

  • 2013-01-23 11:36

    Taksowki

    W gdyni nie oplaca się jeździć autobusami, taniej wychodza taksowki gdy się jezdzi w minimum 3 osoby. Polecam admir taxi.

    Rad

    11 lat

    • 3 1

  • 2013-01-23 11:37

    Postawa Pana dyrektora ZTM, po prostu żałosna.

    Zamiast przyznać się do błędu, to wjeżdża na człowieka który złamał zabezpieczenia, na miejscu tego Pana, po słowach dyrektora jeszcze tego samego dnia wrzuciłbym instrukcję łamania szyfru do internetu. Prawdopodobnie poszła niezła lewizna przy szyfrowaniu kart, a wiadomo że najlepszą obroną jest atak, widać jaki zdenerwowany jest dyrektor.

    11 lat

    • 3 1

  • 2013-01-23 11:37

    (1)

    skoro ZTM problemu nie widzi to ja poproszę o namiar do tego speca od kart i pokażę im problem w praktyce

    rdx

    11 lat

    • 2 1

    • 2013-01-23 11:39

      Poszukaj :)

      petn

      11 lat

      • 1 0

  • 2013-01-23 11:40

    Dlaczego ten człowiek nadal pracuje!!!???

    Boże co za ludzie, co za kraj. Przygłu....

    Karol

    11 lat

    • 8 1

  • 2013-01-23 11:41

    Stary cawaniak, chciał zarobic ale nikt mu nie chciał dać to dal to na portalu. (1)

    Polska dziki kraj

    11 lat

    • 1 5

    • 2013-01-24 11:14

      ...

      To, że Ty byś tak zrobił, nie znaczy, że każdy...

      witrak()

      11 lat

      • 0 0

7
8
9
10
11

alert Portal trojmiasto.pl nie ponosi odpowiedzialności za treść opinii.

Najnowsze

więcej wiadomości (9)

Najczęściej komentowane

W sobotę półmaraton, zmiany na drogach od piątku

W sobotę półmaraton, zmiany od piątku

Poczta Polska. Akcja protestacyjna i "stan śmierci klinicznej"

Poczta Polska. Akcja protestacyjna

więcej

Najczęściej czytane