9:51
9/5/2012

Pasażerowie poznańskiej komunikacji miejskiej korzystający z biletów elektronicznych na tzw. komkartach mogą — ze względu na błąd w oprogramowaniu biletomatów — doładowywać je za darmo.

Hackowanie biletomatów w Poznaniu

O sprawie pisze epoznan.pl, którego czytelniczka wspomina, iż przed biletomatami stoją ludzie, którzy wykonują doładowania komkart na kwotę 100 PLN za prowizją o wysokości 20 złotych (mimo, że doładowanie biletu, na skutek błędu w oprogramowanie, de facto nic nie kosztuje). Jeden z czytelników przesłał do nas następujący filmik (Aktualizacja: poniższy filmik pokazuje inny błąd niż opisywany w tym artykule):

Zarząd Transportu Miejskiego w Poznaniu jest zdziwiony, że “tak się da“, ale obiecał nawiązać kontakt z dostawcą oprogramowania w celu wyjaśnienia sprawy. Jeśli oprogramowanie zostało wyposażone w taką funkcję logowania, która będzie potrafiła skorelować fałszywą transakcję z identyfikatorem komkarty, sprawą ma również zająć się poznańska policja (na razie funkcjonariusze nie otrzymali żadnych zgłoszeń w tej sprawie).

PS. Nie tylko oprogramowanie biletomatów w Poznaniu posiada błędy pozwalające na zakup biletów po kosztach… W innym dużym mieście można (było?) przepełnić wartość zmiennej z ceną i zamiast kilkuset złotych za bilety zapłacić kilka… w prawie każdym da się zrobić coś takiego:

Ticomat Gdańsk SKM

Trójmiejski Ticomat przy SKM, fot. ???

Szerzej o problemach biletomatów i infokiosków z bepzieczeństwem pisaliśmy w artykule pt. Ataki na biletomaty i infokioski.

Przeczytaj także:


39 komentarzy

Dodaj komentarz
  1. Ten filmik jest z tamtego roku. Data uploadingu: 15 maj 2011, więc to nie ten błąd, o którym piszecie.

    • Tak, z tego co wiem to można sobie było sobie doładować za darmo, to na pewno inny sposób.

  2. Zobaczymy co zrobią jak połowa Poznania od ponad 3 tygodni korzystała z tej luki, aż dziwne że dopiero teraz się o tym dowiedzieli (albo w sumie niedziwne?)

  3. Mi wczoraj proponowano doładowanie za 10zł ale uczciwy ze mnie chłopak… No i myślę, że mają logi każdej transakcji a komkarta zapisuje ich ID.

    • Może i są logi, ale są też komkarty “na okaziciela” :) W takim wypadku szukaj wiatru w polu.

    • Wiatru w polu powiadasz… wystarczy zblacklistować nr seryjny karty, to prędzej czy później w trakcie kontroli się napatoczy. No, chyba, że ktoś ma dosyć dużego farta. Ale tacy to pewnie i tak bez biletu jeżdżą.

    • Ale w czym wina kupującego, że biletomat źle nalicza koszt? Chcę być uczciwy i co wepchnę mu na siłę brakujące pieniądze? Nie, zapłacę tyle ile żąda i sobie pójdę. Nie mogą w żaden sposób obwinić użytkowników.

  4. Z tego co wiem, to mozliwosc doladowywania komkart w Poznaniu jest juz zablokowana.

  5. Ten filmik ukazuje jakiegoś innego buga. Natomiast opisany w artykule działa inaczej. Żeby nie powiedzieć za dużo: biletomat da się oszukać przez odpowiednie skorelowanie w czasie pewnej(-ych) czynności ;) Na przekręcenie licznika pewnie przyjdzie czas kiedy załatają tą lukę.

  6. Poznań stosuje karty NXP Mifare 1K, których algorytm i zabezpieczenia zostały złamane kilka lat temu. Do doładowania karty nie trzeba wogóle żadnego biletomatu – wystarczy czytnik NFC za 30EUR (ot np. http://www.adafruit.com/products/364) + trochę czasu. Reverse engineering Warszawskiej Karty Miejskiej zajął mi 3 dni + kolejne 2 na stworzenie biblioteki do modyfikacji kart. Ba – testowałem na telefonach z NFC – radzą sobie z obsługą kart WKM bez problemu :)
    Biletomaty, kasowniki i kontrolerzy bezproblemowo akcepują takie samóbki karty – system nie jest on-line i jeśli zauważa jakieś robieżności to po paru miesiącach ..
    Polecam wątek na forum wawkom w którym jest trochę dyskusji o tym.

    Problem jest dużo szerszy niż to. Po prostu osoby decydujące o takich projektach sprawiają wrażenie nie mających pojęcia o bezpieczeństwie takich produktów.

    • tu taniej i w ładnej obudowie: http://store.touchatag.com/acatalog/touchatag_starter_pack.html :)

      o wkm miałem coś napisać w lutym, ale z braku czasu nie wyszło… :)

    • takie same karty stosuje też białostocki BKM

    • Osoby decyzyjne mają pojecie o bezpieczeństwie, ale również o kasie. Ale niestety bezpieczeństwo kosztuje dlatego prawie wszędzie możemy podziwiać najtańsze Mifary . Po drugie wydaje mi się, że takich osób jak Spock jest dosyć mało. Nie będzie masowego krakowania kart dopóki w internecie nie pojawi się soft do tego.

      Z drugiej strony implementacja; obsługa różnych protokołów, typów itd jest dosyć skomplikowana, więc jak coś nie działa, to nikt nie podejrzewa ataku na system. Myślą, że znowu karta producenta x nie zgrała się z czytnikiem producenta y, bo inaczej zrozumieli jakieś tam zdanie w standardzie ISO 1500 100 900, W rzeczywistości taka jest przyczyna 90% problemów. Po drugie mamy dużo przekłamań. W obiegu są systemy w których tylko 30% komend jest poprawnie interpretowanych ( istnieją przekłamania w warstwie fizycznej). W takich warunkach trudno udowodnić, że taka karta akurat należy do pana X. więc ataki pozostają bezkarne. A ze swojego doświadczenia powiem, że jak coś zadziałało nie tak, to trudno jest powiedzieć dlaczego. Analiza takiego problemu kosztuje w tysiącach zł.

      PS. To jest komentarz do Spock. Błąd z artykułu jest po stronie hosta i nie ma nic wspólnego z kartami.

    • wczoraj ktoś mi się chwalił że naładował już sto kart. nawet się nie wysila w reverse – po prostu klonuje raz kupioną “złotą kartę” z biletem na okaziciela i kredytami na parking. to już duża skala jest czy jeszcze nie?

    • @Pablito:

      Rozumiem, twoje rozumowanie – sam zawodowo mam doczynienia z różnymi implementacjami tej samej normy i jak różni producenci potrafią interpretować definicję “must”, “should”, “optional” w standardach :)

      IMHO stosowanie technologii, która jest podatna na atak niewymagajacy interakcji z systemem właściciela jest niedopuszczalna, bo późniejsze koszty upgrade’u są kolosalne.
      System można było wziąść starszy ale karty powinny być wydawane chociażby MIFARE Plus, lub jak jest kasa Desfire. W takiej sytuacji można w przyszłości robić upgade systemu krok po kroczku.
      W aktualnej sytuacji nie wyobrażam sobie łatwego rozwiązania problemu.
      A problem się wcześniej czy później na pewno wzrośnie. Przecież wystarczy, jedna większa prezentacja na jakimś Confidence czy innym forum.
      Hipotetyczna sytuacja – co robi WKM jak znajdzie się “RobinHood” z telefonem czy laptotem z czytnikiem NFC i masowo zacznie “rozdawać” czy zamieniać wszystkim kontrakty na 3 miesięczne ? Przecież złapanie takiego człowieka jest nie możliwe. Policja bedzie sprawdzać aplikacje na telefonach pasażerom ? :) :) Szacuje, że napisanie aplikacji typu “RoobinHood” na telefon dla kogoś mającego doświadczenie z aplikacjami na Androida to tydzień czasu max.

      Pomijam, że ZTM ma mały problem – większy mają osoby odpowiedzialne za parkowanie – tam rzeczywiście można wykorzystywać błedy i sobie ładować kartę i parkować za darmo, dopóki kontrola parkowania sprowadza się do obejrzenia czy jest bilecik za szybą.

      Pracuje zawodowo w branży gdzie również muszę dbać o poufność błedów/ pewnych specyfikacje, ale przynajmniej my tutaj zdajemy sobie sprawę, że żyjemy w czasach o tak fenomenalnym przepływie informacji, że czasem jedna publikacja na jakimś blogu i już jest po wszystkim jeśli chodzi o bezpieczeństwo czegoś :) A potencjalne pozywanie potem człowieka to tylko chyba aby się wykazać przed przełożonymi – problemu to nie rozwiązuje..

      P.S Aktualnie nie posiadam auta to i sektorów (7 i 8) nie analizowałem.

    • Asq, jak diler sprzedaje narkotyki stu osobom to już go mają. Jeżeli te 100 osób same w domu produkuje sobie speeda, to już niekoniecznie.
      Żeby sklonować mifare, elementarną wiedzie trzeba mieć. Np wejść na forum i poczytać jak cały świat śmieje się z Warszawy za passw0rd który sobie ustawili : )

      Moje podejrzenia są również takie, że ZTM Warszawa to postkomunistyczny relikt, gdzie lepiej zrobić przetarg na 10000 nowych parkometrów od pana Zdzisia, niż poprawiać bugi. Zresztą kogo obchodzi efektywne wykorzystanie Państwowych pieniędzy? buahaha na pewno nie tych co je wydają…

    • @Spock
      a podzielilbys sie wiedza jak skopiowac wwska karte miejska na tel?
      nie chodzi mi o ladowanie sobie biletu, ale o otwieranie bramek w metrze telefonem, bez wyjmowania karty

  7. Nie tylko Poznań ma byki w sofcie w maszynach.
    Podobnie jest w Krakowie, Warszawie, Wrocławiu.
    I firmy wiedzą od początku, że ich maszyny są zabłędowane – było to omawiane jeszcze na etapie produkcji maszyn. Skąd wiem? A stąd, że pracowałem w firmie robiącej swego czasu te systemy. Podobne “kkFFiatki” można znaleźć w automatach np. ICE (robione dla PKP), w “Mp3_matach” dla Empiku, a nawet jest dość fajny babol w systemie bankomatowym w BZWBK.
    Tak, te systemy mają opcję zarządzania zdalnego, nawet umożliwiającą całkowitą zmianę oprogramowania w maszynach i/lub danej sieci dds.
    Operator znający dane dostępu, może dostać się do systemów nawet stojąc niedaleko maszyny – dostęp jest również przez wi-fi.

    • Teraz wiadomo, czemu w Kielcach nie ma biletów zbliżeniowych, choć kasowniki są do nich przygotowane. Maszyny na kieleckich przystankach to popularne Ticomaty http://www.rg.com.pl/rg/index.php/ticomat-945.html, ale bez czytnika kart płatniczych. Nad ich estetyką spóśćmy zasłonę milczenia.

  8. Skoro możliwość doładowywania komkart została już zablokowana, to pozwolę sobie napisać, o co chodzi. Cały dowcip polega na tym, że najpierw bilet zostaje zapisany na komkarcie, a dopiero później transakcja zostaje zapisana. W momencie, gdy anuluje się doładowanie przed rozliczeniem, na komkarcie bilet pozostanie zapisany, ale kasa zostanie zwrócona. IMNSHO “beknąć” powinien producent oprogramowania za taki szkolny wręcz błąd (por. http://pl.wikipedia.org/wiki/Transakcja_(informatyka) ).

    • W krakowie wybierasz bilet, płacisz i pozniej dostajesz komunikat “Trwa Zapisywanie, Prosze nie wyciagac karty”

  9. jeżdzisz za darmo? MZK nie dostaje pieniędzy.
    MZK nie dostaje pieniędzy, MZK podwyższa ceny bieltów.
    Podwyższają ceny biletów? liczba chętnych spadam albo liczba kombinatorów wzrasta
    I finał jest taki że MZK pada… i wszyscy na tym tracą

    • Poza tymi, którzy jeżdżą za darmo ;p “Tfoja logika porarza mięę” :P

    • I tak nieustannie podnoszą bilety :)

    • Typowy dylemat społeczny

    • Nikt tutaj podejrzewam nie jeździ za free dlaa frajdy. Jeszcze na bilet mnie stać :) Jak dla mnie reverse engineerin to frajda i satysfakcja z poznania jak działa system i nic więcej.
      Zazwyczaj jak coś znajde to informuje właściciela. Czesto niestety własciciel olewa zgłoszenia. I jak to zwykle bywa wrzucenie kodu na git’a pomaga :)

    • ad SPOCK: jeszcze gorzej, gdy nie kompletnie reagują na zgłoszenie luki, a po upublicznieniu jej wysyłają listy z pogróżkami typu “spotkamy się na sali rozpraw” :)

      ad heh: krzywa Laffera (tak, najbardziej adekwatne jest porównanie do podatku, ponieważ systemy komunikacji należą do spółek miejskich, a nie prywatnych).
      A poza tym, mimo, że znam metodę okantowania biletomatu, nie korzystam z niej.

  10. Nie mam czasu na komentowanie lecę do biletomatu ! :D

  11. Z tego co wiem to trik polegał na wyjęciu komkarty w odpowiednim momencie podczas doładowywania. Bug istnieje od bardzo dawna, chyba od pierwszych biletomatów…

  12. Całorocznego niewidocznego to już nikt nie używa?

  13. Zamiast doładowywać i nic nie mówić, bo i tak z cenami lecą w ch*ja to zawsze ktoś musi nagłośnić sprawę, żeby dalej obywateli ru**li w du*e. Co za naród.

    • Kolega to jest z tych, co krytykuje koleżankę w komentarzach na epoznan.pl, co? jak dla mnie postąpiła słuszne :)

  14. a ja ten blad przez przypadek wykrylem, kumpel mi dla zartow wyciagnal kom karte i maszyna mi oddala pieniadze, wlozylem by znow doladowac a tu okazalo sie ze juz jest bilet :)) moj usmiech na twarzy – bezcenne, akurat wtedy bylem bez kasy, kompletnie bez kasy i te 8 dyszek bylo dla mnie jak zbawienie…

  15. Tak było w Krakau. MOżna było za ponad 500 zł nakupić biletów wydając tylko w złocisze.

    • Kiedyś jeden gość pisał o tym, ale to już chyba nieaktualne, albo ściemniał bo nie doczekałem się choć w przybliżeniu jak by to miał zrobić. Podobno raz w tramwaju się to udało, a wcześniej ponoć można było też coś w dużych automatach wykombinować..

  16. przypomniałeś mi, że muszę bilet kupić

  17. Trytrytry.Ja ja ja blad w oprogramowauniu,raczej brak doswiadczenia goscia co pisal protokól wymiany danych w obsludze kart.I teraz zarabia mafia podworkowa z programatorami na przystankach autobusowych a MZK traci.Informatycy w poznaniu do ukranania.

    • To Niemcy byli :)

  18. […] maju tego roku w Poznaniu błąd w oprogramowaniu biletomatów pozwalał natomiast doładowywać komkarty za […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: