środa, 23 stycznia 2013

Jak oszukać system i jeździć za darmo komunikacją miejską w Trójmieście?

Na łamach portalu trojmiasto.pl pojawił się interesujący wywiad z Panem Adamem [imię fikcyjne], informatykiem pasjonatem który opowiada w jaki sposób udało mu się skutecznie doładować kartę miejską używaną w Trójmieście. Prezentowany błąd ukazuje lukę w logice biznesowej firmy ZMT, natomiast jej dyrektor bagatelizuje sprawę.
Za pomocą NFC i oprogramowania obsługującego technologię Smart Grid odpowiednio przetestował działanie systemu. Pokazał doładowany bilet na kwotę ponad 2,5 tys zł, który, zarówno biletomat jak również kontroler biletów używany przez służby sprawdzające, odczytuje poprawnie.

ZTM wydał kilkadziesiąt tysięcy Kart Miejskich, do tego dochodzą jeszcze tysiące kart Dużej Rodziny, działających w oparciu o ten sam system.


W swojej wypowiedzi Pan Adam informuje jakie kwestie bezpieczeństwa zostały pominięte:
  • użycie technologi Mifare,
  • użycie własnościowego standardu szyfrowania w warstwie aplikacyjnej,
  • brak łączności online z bazą danych,
  • brak monitorowania systemu (wykożystanie nadużyć),
  • użycie kluczy dostepnych w dokumentacji.
Pan Adam zgłosił się do redakcji trojmiasto.pl, która w jego imieniu udała się do dyrektora ZMT Jerzego Dobaczewskiego, którego rekcja jest bardzo zaskakująca. Z jednej strony informuje, że koszty wykorzystania luki w przypadku jej upublicznienia poniesie ZMT z drugiej jednak bagatelizuje całą sytuację.

Karta miejska funkcjonuje już tyle lat, nic się z nią nie działo do tej pory i sądzę, że nic się nie dzieje.       
~~Jerzy Dobaczewski, dyrektor ZMT
Atak najprawdopodobniej odbył się na zasadzie porównywania zmiennych wartości zapisanych danych: aktualnych na karcie oraz tych po zmianie (przeprogramowaniu). Różnice wartości (przy znanej metodzie dystrybucji PKI) pozwalają na walidację danych w samym automacie, który to zawsze odczytuje właściwie informacje. 

Wszystkie zebrane informacje zostały wysłane przez Pana Adama w formie dokumentacji do zarządu Sygnity - firmy, która zajmuje się tworzeniem oprogramowanie do kart miejsckich i automatów biletowych.
Producent oprogramowania - firma NTX - informuje, że błąd jest znany. Dodaje także, że w swoich produktach zaimplementowali dodatkowe mechanizmy bezpieczeństwa, np monitoring systemu, który polega na sprawdzaniu przez system nieprawidłowości poprzez porównanie aktualnej wartości biletu (zapisanej) zmienionej na karcie oraz salda konta przypisanego dla danej karty w systemie. 
Swoją drogą systemy elektronicznej komunikacji miejskiej zostały wprowadzone (poza Trójmiastem) w wielu miastach, tj: Warszawa, Poznań, Kraków a nawet Wrocław. Biletomat we Wrocławiu jest bliźniaczo podobny do tego z Trójmiasta. Jednak urządzenia kontrolerów biletów komunikują się z bazą danych w celu sprawdzenia salda, a jak jest u Was?

Można zauważyć, że pan dyrektor nie zauważa istoty sytuacji.  W każdym razie wypowiadać publicznie się nie powinien. PR fail roku, a mamy dopiero styczeń.
  • Dlaczego dyrektor jest nieświadomy konsekwencji?
  • Dlaczego w Polsce nie ma przepisów obligujących do konieczności testowania nie tylko podstawowych funkcjonalności systemów ale i przede wszystkim bezpieczeństwa? 
  • Dlaczego nie bierze się przykładu z lepszych korzystając z metod najlepszych praktyk? Wykonując okresowe audyty bezpieczeństwa czy testy penetracyjne?
  • Dlaczego cena odgrywa tak znaczną rolę w przypadku zamówień publicznych? Czy naprawdę wszystkiemu winna jest czarna dziura budżetowa?
  • Dlaczego...?

Bardzo dobry merytorycznie wywiad z Panem Adamem przeprowadzony przez panią Marzenę Kilmowicz Sikorską dostępny jest na portalu trójmiasto.pl - źródło

środa, 16 stycznia 2013

0day Linksys WRT54GL

0day atak wykorzystujcy podatność omienięcia uwierzytelniania i pełny dostęp do konsoli routera.

Exploit nie jest jeszcze znany Firma DefenseCode (link) zapowiedziała upublicznienie go w ciagu najbliższyego tygodnia dajac tym samym czas który Cisco powinien wykorzystać możliwie szybko. Jak wiadomo Cisco zbytnio się nie kwapi do łatania swoich produktów. Czy dobra praktyka prezentacji działania podatności przed jej upublicznieniem w tym przypadku odniesie sukces?
Filmik prezentujacy działanie exploita zaprezentowanego przez DefenseCode na łamach portalu youtube

Kogo dotyczy podatność?

Jak podaje źródło sprzedano podad 70,000,000 routerów Cisco Linksys WRT54GL. Kto mimo wszystko jeszcze ciagle używaja oprogramowania w wersji 4.30.14 lub starszej staje się podatny na atak.  Tylko czy aby napewno skala problemu dotyczy wszystkich? Wiele osob świadomie wybiera to sprawdzone urzadzenie ze względu na jego ogrnomne funkcjonalności, ktore sa dostępne dopiero po zmianie oryginalnego oprogramowania.

Co można zrobić aby się zabezpieczyć?

1. Zaktualizować frimware routera zawierajcy dostępna już paczkę
2. Wyłaczyc zdalne zarzadzanie routerem przez panel administracyjny określajc możliwość zarzadzania jedynie od strony LAN.
3. Zmienić oprogramowanie na OpenSource Tomato lub DD-Wrt

sobota, 1 grudnia 2012

Słowem wstępu

Mam zamiar przybliżyć niektóre interesujące rzeczy związanie głownie z szeroko rozumianym bezpieczeństwem. Aplikacje, sieci i systemy.Nie chcę zanudzać definicjami z wikipedii, ponieważ tyle każdy jest w stanie we własnym zakresie znaleźć.
Będę się starał przybliżać, to co moim zdaniem warte jest uwagi. Niestety nie wyobrażam sobie pokazywania praktycznych przykładów bez posiadania minium podstaw wiedzy teoretycznej.

Po­wiedz mi, a za­pomnę. Po­każ mi, a za­pamiętam. Pozwól mi zro­bić, a zrozumiem.  
~Konfucjusz

Chciałbym też z góry zaznaczyć, że moim celem nie jest dokształcanie script-kiddies i nie po to ten blog powstaje. 
W miarę czasu i możliwości postaram się podzielić z wami ciekawymi linkami, skryptami oraz opisem całych narzędzi które spotkałem i może zarówno mnie jak i was- zmuszą do lepszego zgłębienia tematu i sięgnięcia dalej do literatury.

Zaznaczam też, że secNG.blogspot.com jest pierwszą formą mojego blogowania i podchodzę do tego na luzie, dlatego też wszelkie słowa krytyki będą mile widziane.