Na łamach portalu trojmiasto.pl pojawił się interesujący wywiad z Panem Adamem [imię fikcyjne], informatykiem pasjonatem który opowiada w jaki sposób udało mu się skutecznie doładować kartę miejską używaną w Trójmieście. Prezentowany błąd ukazuje lukę w logice biznesowej firmy ZMT, natomiast jej dyrektor bagatelizuje sprawę.
Za pomocą NFC i oprogramowania obsługującego technologię Smart Grid odpowiednio przetestował działanie systemu. Pokazał doładowany bilet na kwotę ponad 2,5 tys zł, który, zarówno biletomat jak również kontroler biletów używany przez służby sprawdzające, odczytuje poprawnie.
W swojej wypowiedzi Pan Adam informuje jakie kwestie bezpieczeństwa zostały pominięte:
- użycie technologi Mifare,
- użycie własnościowego standardu szyfrowania w warstwie aplikacyjnej,
- brak łączności online z bazą danych,
- brak monitorowania systemu (wykożystanie nadużyć),
- użycie kluczy dostepnych w dokumentacji.
Pan Adam zgłosił się do redakcji trojmiasto.pl, która w jego imieniu udała się do dyrektora ZMT Jerzego Dobaczewskiego, którego rekcja jest bardzo zaskakująca. Z jednej strony informuje, że koszty wykorzystania luki w przypadku jej upublicznienia poniesie ZMT z drugiej jednak bagatelizuje całą sytuację.
Karta miejska funkcjonuje już tyle lat, nic się z nią nie działo do tej pory i sądzę, że nic się nie dzieje.
~~Jerzy Dobaczewski, dyrektor ZMT
Atak najprawdopodobniej odbył się na zasadzie porównywania zmiennych wartości zapisanych danych: aktualnych na karcie oraz tych po zmianie (przeprogramowaniu). Różnice wartości (przy znanej metodzie dystrybucji PKI) pozwalają na walidację danych w samym automacie, który to zawsze odczytuje właściwie informacje.
Wszystkie zebrane informacje zostały wysłane przez Pana Adama w formie dokumentacji do zarządu Sygnity - firmy, która zajmuje się tworzeniem oprogramowanie do kart miejsckich i automatów biletowych.
Producent oprogramowania - firma NTX - informuje, że błąd jest znany. Dodaje także, że w swoich produktach zaimplementowali dodatkowe mechanizmy bezpieczeństwa, np monitoring systemu, który polega na sprawdzaniu przez system nieprawidłowości poprzez porównanie aktualnej wartości biletu (zapisanej) zmienionej na karcie oraz salda konta przypisanego dla danej karty w systemie.
Swoją drogą systemy elektronicznej komunikacji miejskiej zostały wprowadzone (poza Trójmiastem) w wielu miastach, tj: Warszawa, Poznań, Kraków a nawet Wrocław. Biletomat we Wrocławiu jest bliźniaczo podobny do tego z Trójmiasta. Jednak urządzenia kontrolerów biletów komunikują się z bazą danych w celu sprawdzenia salda, a jak jest u Was?
Można zauważyć, że pan dyrektor nie zauważa istoty sytuacji. W każdym razie wypowiadać publicznie się nie powinien. PR fail roku, a mamy dopiero styczeń.
- Dlaczego dyrektor jest nieświadomy konsekwencji?
- Dlaczego w Polsce nie ma przepisów obligujących do konieczności testowania nie tylko podstawowych funkcjonalności systemów ale i przede wszystkim bezpieczeństwa?
- Dlaczego nie bierze się przykładu z lepszych korzystając z metod najlepszych praktyk? Wykonując okresowe audyty bezpieczeństwa czy testy penetracyjne?
- Dlaczego cena odgrywa tak znaczną rolę w przypadku zamówień publicznych? Czy naprawdę wszystkiemu winna jest czarna dziura budżetowa?
- Dlaczego...?
Bardzo dobry merytorycznie wywiad z Panem Adamem przeprowadzony przez panią Marzenę Kilmowicz Sikorską dostępny jest na portalu trójmiasto.pl - źródło