11:44
21/10/2015

2 dni temu odezwał się do nas czytelnik, który przesłał fotografię biletomatu z Rzeszowa. Zamiast aplikacji do sprzedaży biletów, maszyna wyświetlała film pornograficzny z serwisu redtube. Jak komuś udało się włamać na biletomat?

Zhackowany rzeszowski biletomat

Zhackowany rzeszowski biletomat

Przejęcie biletomatu nie jest trudne

Biletomat to tak naprawdę przykład infokiosku (z możliwością sprzedaży). Infokioski zazwyczaj podpięte są do internetu i pracują pod kontrolą dedykowanego systemu operacyjnego lub standardowego systemu operacyjnego z odpowiednią konfiguracją. Na ile sposobów można je zaatakować? Poniżej postaraliśmy się zebrać kilka “wektorów ataku”:

  1. Zdalne połączenie z urządzeniem. Infokioski często korzystają z dostępu do internetu i nie zawsze są schowane w prywatnej sieci. Czasem można więc wyszukać konkretny model urządzenia (np. za pomocą wyszukiwarki Shodan), podobnie jak ma to miejsce z domowymi kamerkami, i po prostu spróbować podłączyć się do urządzenia. Standardowe hasła producenta zazwyczaj znajdują się w instrukcji obsługi, do której dostęp można uzyskać “googlając” model urządzenia wypisany na tabliczce znamionowej.
    Ticomat

    Ticomat – jeden z modeli używanych w Krakowie

    Hasła można też łamać

  2. Nadużycie aplikacji. Ponieważ całość działa pod kontrolą systemu operacyjnego i “dedykowanej” aplikacji (w trybie full-screen), często można z niej “uciec” do systemu.
    Ticomat Gdańsk SKM

    Trójmiejski Ticomat przy SKM, fot. ???

    Jeśli infokiosk pozwala na przejście na dowolną stronę internetową, do ataku “ucieczki” skorzystać można ze świetnego frameworka iKAT. Jeśli możliwe jest przejście na ograniczony zestaw stron internetowych (np. FAQ, lub regulamin) warto rozejrzeć się, czy na tych stronach nie znajdują się np. linki do Google. Po przejściu na wyszukiwarkę możemy, wpisując odpowiednie zapytania, wyświetlić kolejne strony (o ile nie została nałożona blokada na domeny). Atak tego typu w praktyce prezentują studenci AGH.

  3. Szczęście (czyli przypadek). Czasem na maszynie pojawi się błąd. Np. związany z nieudaną aktualizacją, albo przeterminowaną licencją. To z reguły powoduje wyświetlenie paska zadań (na Windows) i zepchnięcie w tło aplikacji do sprzedaży biletów działającej na pełnym ekranie. Mając ekran dotykowy i pasek zadań… ;)

    Diebold

    Bankomat Diebold – błąd systemu ;)

Wreszcie, kontrolę nad infokioskami można przejąć nie atakując samych infokiosków, a serwer z którego pobierają treści. W ten sposób kilka lat temu przejęto infotablice na autostradzie A4.

Pozdrowienia dla redakcji Niebezpiecznika na jedym z krakowskich bannerów cyfrowych

Pozdrowienia dla redakcji Niebezpiecznika na jedym z krakowskich bannerów cyfrowych

Rzeszowskie MPK ma na swoim koncie ujawnienie informacji na temat serwerów zarządzających projektem infotablic. Może to było inspiracją dla osób niezdrowo zainteresowanych bezpieczeństwem? O problemie 2 miesiące temu informował nas jeden z czytelników:

Szanowni Państwo,

W Rzeszowie niedawno została zakończona realizacja Rzeszowskiego Transportu Miejskiego w którego skład wchodzi również system do zarządzania ruchem ulicznym. Program jest promowany na plakatach, które zawisły na większości przystanków MPK w Rzeszowie. Nie byłoby w tym nic dziwnego gdyby nie fakt, że na plakatach są zdjęcia ekranów z systemem do jego zarządzania. Widoczne są na nich adresy ip (i nie tylko ;)).

Rzeszowski-Transport-Miejski

RTM-VPN-CCTV

RTM-admin

Administratorzy systemu jak widać korzystają z sieci wewnętrznej i nie ma pewności czy dostęp jest możliwy z poza niej, ale mimo tego potrzeba ujawnienia tych danych przez ZTM wydaje się wątpliwa.

Bonus:
Tą część programu realizowała firma z Hiszpanii, co doskonale widać zaglądając nieco głębiej w kod js systemu (http://einfo.erzeszow.pl) i spoglądając na komentarze w większość napisane w j. hiszpańskim. Poniżej dwa najciekawsze fragmenty:

if (false) { // OFFLINE-ONLINE FUNCTIONALITY DISABLED FOR THIS DEMO

if(elemento){
var that = elemento;
}else
{
var that = this;
this.options.element = this.element;
}

Serwis Nowiny24 uzyskał wypowiedź rzeszowskiego urzędnika, który potwierdził, że wrzutka filmu pornograficznego była incydentalna i dotyczyła tylko jednego z biletomatów — przy ul. Dąbrowskiego. To sugeruje wektor ataku numer 2 lub 3 :)

Rzeszów nie pierwszy i nie ostatni…

Na koniec przypomnijmy, że podobny incydent miał miejsce 2 miesiące temu w Brazylii — nagie panie oglądali czekający na pociąg. Ale i tak najgorzej mieli mieszkańcy Moskwy. Pornograficzny film wyświetlony przez włamywaczy na tablicy reklamowej przy sporym skrzyżowaniu spowodował wypadki i ogromne korki.

PS. Tak, z racji dnia w którym rozgrywają się sceny z filmu “Powrót do Przeszłości (pun intended)”, nasz certyfikat SSL postanowił się również “cofnąć” w czasie. Błędy w obsłudze HTTPS mogą się pojawiać. Pracujemy nad rozwiązaniem problemu.


Przeczytaj także:

28 komentarzy

Dodaj komentarz
  1. Nie żebym się czepiał ale “Powrót do PRZYSZŁOŚCI” (Back to the future).

    • dzisiaj to raczej powrót do teraźniejszości :D

    • A widziałeś ty może `pun intended`???

  2. ..ale ten banner to chyba nie jest na autostradzie A-4, ale chyba w KRK koło Monte :-). A tak BTW- może wrzućcie linka do tego newsa o przejęciu tablic na A-4 :-)

  3. Muszę się przenieść na komunikację publiczną, gdyż omija mnie taka zabawa :)

  4. Robiłem to samo w punkcie informacyjnym miasta. Gdzie była załadowana dedykowana aplikacja ze stroną miasta, w stopce był odnośnik do mozilli, po otworzeniu dało się ją pobrać(domyślnie uruchomić) potem zainstalować, wejść na google, pobrać klawiaturę ekranową no i drzwi otwarte :)

  5. Jak słusznie zauważył czytelnik ze screena adresy IP sterowania i kamer są formatu użytkownik:HASŁO (plaintextem!)@adres. Tam jest niby vpn/ipsec, ale…
    ALE: nie cały RIST chodzi po vpnach! Chwilę temu pisaliśmy tutaj (przy okazji Korwina na tablicach) jak to jest zabezpieczone. Tablice wyświetlające info na drogach lecą “surowo” i to jest jedna z dwóch rzeczy, do których można mieć bezpośredni dostęp – ale też niezupełnie “z zewnątrz”, bo mając dostęp do wewnętrznej sieci systemu nie udało się nam połączyć ze “światem” – co sugeruje brak fizycznego linku z wanem na infra, co najwyżej w serwerowni (grubo przesadzone określenie – to jeden pełny rack sprzętu) na Trembeckiego, gdzie już faktycznie sieci się spotykają.
    Tutaj coś takiego: komputery pracowników mają dostęp do wana przez tunel, a do systemu przez IP z puli 10.128.0.0/10 właśnie. Ale tylko serwer i komputery pracowników, bo poszczególne “sekcje” się nie widzą – infotablice widzą tylko serwer, siebie nawzajem i autobusy/tablice przystankowe (to chodzi po “radiu” 5G z autorskim protokołem TDMA), biletomaty widzą tylko siebie, serwer *i dopiętego wana właśnie!*, skrzyżowania widzą tylko siebie i serwer, CCTV chodzi po vpnie do którego dostęp jest z każdej z tych sekcji (ale nie “tak sobie”, bo szyfrowany), a u pracowników właśnie jest wszystko bezpośrednio prócz wana i wszystko rozkodowane.
    Widać zakładała to firma, która miała pojęcie o switchach zarządzalnych, ale na “dniach otwartych RTM” zupełnie na legalu można się było wpiąć (na pytanie – czy jest tu internet) po skrętce (!) do gniazda w ich siedzibie (!) podłączonego do ROZKODOWANYCH (!) WSZYSTKICH (!) systemów.

    Trzy wytknięte przez nas podatności poprawili w ciągu tygodnia, trzech kolejnych wciąż nie i się o nich “nie mówi” – mowa o wspominanych już kiedyś podsłuchiwaniach sieci radiowej odpowiednio ustawionym routerboardem mikrotika.

    Nawiązując do biletomatów: jest taki moment w ciągu doby (lekko przed północą), kiedy wszystkie urządzenia NARAZ się kładą do rebootu – w tym czasie terminal kartowy zamyka dzień i przesyła rozliczenia, a komputer biletomatu rebootuje się i wstaje ze “świeżą” wersją aplikacji. Nie, nie chodzi o update’y, system jest zamrożony (WinEmbedded). Ciekawsze jest jak wygląda taki restart – zwyczajne zawołanie shutdown.exe – wyświetla się “siódemkowe” ostrzeżenie “System Windows zostanie zamknięty w ciągu mniej niż minuty” i… PASEK ZADAŃ! A tam: klawiatura ekranowa, wiersz poleceń, shutdown -a, IE… (:

  6. Nie wiem jak rzeszowskie, ale na przykład automaty Mennicy oraz Mery na pewno nie mają bezpośredniego połączenia z internetem.
    Komunikacja odbywa sie wyłącznie przez prywatnego APNa z routowaniem wyłącznie do wewnętrznych systemów zarządzających.
    Co do systemów to w starszych stoi XP Embedded a w nowszych – Ubuntu.

    • Rzeszowskie automaty owszem, stacjonarne są z Mennicy, ale problem w tym, że Rzeszów ich nie zakontraktował, ale kupił i załadował “własne” (tj. “hiszpańskie”) oprogramowanie. Tam siedzi Windows Embedded Standard 7, oprogramowanie MERONAsoft i oczywiście otwarty wan :)

  7. Pamiętam, że jak rok temu jechałem busem z uczelni, to na ekranie zamiast rozkładu był taki piękny i soczysty BSOD, innym razem błąd DOSowy, że nie dało się załadować GUI do jakiegoś distro linuxa.

    Jak widać w KZK-GOP co autobus to inny system.

    • Za to w autobusach MZK są Microtik’i nie zabezpieczone absolutnie żadnym hasłem ;)

  8. No to od razu nowy temat :)
    Link do tego artykułu jest blokowany przez messanger facebooka, z uwagi na użycie słowa “porno” w linku :)
    Facebook sugeruje, że jest to link z redtube.com :)

    • a nie jest ?

    • Można to obejść, np przez http://tinyurl.com/psnd772 :)

    • Podobno wiadomości obrażające “uchodźców” też blokuje… Najlepiej korzystać z jakiegoś szyfrowania. Na Androidzie można rozmawiać przez Facebooka za pomocą ChatSecure, na PC też są różne kompatybilne z nim aplikacje. Największym problemem jest przekonanie znajomych do korzystania z nich.

  9. a propo autostrady A4:
    http://hke246.internetdsl.tpnet.pl/
    http://hke244.internetdsl.tpnet.pl/
    skanowanie internetu ip po ip daje ciekawe rezultaty

  10. Co do tamtego kodu… WTF JS?!

  11. “SSL postanowił się również “cofnąć” w czasie. Błędy w obsłudze HTTPS mogą się pojawiać. Pracujemy nad rozwiązaniem problemu.”

    Nie tylko u was, możecie zdradzić coś więcej? Co było przyczyną?

  12. Przy okazji. Biletomaty mają wbudowane kamery? Kiedyś dwa razy trafiłem na artykuły na warszawskich portalach miejskich, że kamery w biletomatach nagrały gości, którzy płacili za bilety skradzioną kartą – z prośbą o identyfikację delikwentów. Aż obejrzałem sobie dokładnie fronty biletomatów i kamer nie dostrzegłem.

    • Zastanów się jaki jest sens montowania ukrytej kamery tak abyś ją widział ? Pracowałem kiedyś dla firmy sprzedającej kawę z automatu i już 10 lat temu istniały kamery o rozmiarze obiektywu wielkości główki od szpilki. Wiem bo sam je instalowałem w automatach aby łapać kretynów wlewających żywicę do wlotów monet (tak, tak ludzie są bardzo kreatywni w niszczeniu). Robiło się dziurkę w naklejce w miejscu środka literki O lub cyfry 0.
      Takie nagranie 10 lat temu było dowodem dla sądu, ciekawe jak jest teraz? Jeśli ktoś wie proszę o wyjaśnienie tej kwestii.

    • @sandalarz
      Na bankomatach nie kryją się z kamerami. Widziałem kamery montowane nad monitorem, które wyglądają dokładnie jak duży wizjer do drzwi (mini fisheye z szerokim metalowym obramowaniem). Ciekawe(!) jest to, że obiektyw na 100% obejmuje również klawiaturę.

      Co do ukrytych kamer, to chyba wolałbym żyć w mniej dzikim kraju, w którym kamera opatrzona informacjami “teren monitorowany” służy zapobieganiu niż przez sprytne ukrywanie spektakularnemu łapaniu z zaskoczenia i głoszeniu w mediach o kolejnym “sukcesie”. Coraz częściej można zobaczyć niusy o ukrytych kamerach. A to burmistrz na służbowym smartfonie z ukrytej kamer obserwuje zaśmiecany lasek, a to Veturilo takowe ukryte montuje w okolicach stacji, a to ochrona sklepowa looka zza lustra w przebieralni. Oczywiście wszystkie kamery, wg właścicieli, domyślnie są na wandali i złodziei. Chociaż, ironizując, oficjalnie mogłyby też być na uczciwych ludzi, bo tacy nie powinni mieć nigdy nic do ukrycia.

      Czekam jeszcze na kamery w oczkach fotokomórki na pisuarach w męskiej toalecie. 10 lat temu śmiałem się, że w takim tempie to kamery i w lasach zaczną montować – dziś wg danych są już tysiące + nieoficjalne prywatne (foto-pułapki) cyfrowych myśliwych, chcących z fotela nagrać jakiegoś zwierza, ale chętniej nieświadomą nastolatkę wypinającą się za potrzebą.

      Na koniec naszła mnie taka refleksja ;) Za XX lat, gdy mentalność ludzi zacznie się zmieniać, ale ilość kamer będzie już w milionach niezliczona… Gdy nikt już nie będzie pamiętał jakie, czyje i gdzie są ukryte… Miasta, wsie i lasy przejdą ekipy z wykrywaczami, i usuną tę zamordystyczną plagę, tak jak usuwa się miny po wojnie.

  13. to pewnie adminek systemu nie zauwazyl ze jest zalogowany do pulpitu zdalnego i zapragnal milo spedzic reszte dnia w pracy troche sie odprezacjac ogladajac zywa nature – wektor ataku 69

  14. Zupełny OT, ciekawostka’: artykuł o zaginionej dziewczynie, Super Express. “Widziałeś – kontaktuj się itd.” okraszone odpowiednią dawką dramy.. Zdjęcia wcześniej wspomnianej nie wyświetlają się bez wyłączania Adblocka i Disconnecta. Jak to określić pod względem.. etycznym, moralnym? Heh :P

  15. Cisza od 10 dni. Czyżby Pan Admin został raniony rykoszetem Polsilvera? ;)

  16. OT: Dlaczego szanowny Niebezpiecznik wciąż uporczywie milczy jak zaklęty na temat tzw. “telemetrii” (stosując bezczelnie eufemistyczną nowomowę producenta) w Windows 10 (a od pewnego czasu również zabackportowaną do 7 i 8.x)?

    http://www.techtimes.com/articles/102542/20151103/microsoft-says-it-cannot-stop-windows-10-from-spying-on-you-doesn-t-think-you-should-be-concerned.htm

    (Czyżby, jak to sugerowano gdzie indziej, przyczyną tego że Niebezpiecznik również najwyraźniej nie uważa aby był jakikolwiek powód do bycia “concerned” były rzeczywiście jakieś “transakcje wiązane”?)

  17. Od 2 tyg żadnego newsa. Ocb?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: