IT speciālisti brīdina: "Rīgas satiksmes" e-talonu sistēma ir viegli apkrāpjama
Vairāk nekā piecus gadus pēc "Rīgas satiksmes" sabiedriskā transporta biļešu sistēmas ieviešanas tajā pamanīta drošības ievainojamība, kas ļauj nokopēt e-talonus neierobežotai bezmaksas braukšanai, paziņoja kiberdrošības uzņēmuma "Possible.lv" valdes loceklis Jānis Jansons.
Pateicoties šai ievainojamībai, iespējams ar vienu vienreiz lietojamo papīra e-talonu braukt bezgalīgu skaitu reižu. "Viss, kas nepieciešams, lai izmantotu atklāto drošības ievainojamību, ir viedtelefons ar NFC iekārtu, kas mūsdienās nav retums, kā arī internetā par padsmit eiro iegādājama Ķīnā ražota klonēšanas karte," norādīja informācijas tehnoloģiju drošībnieks.
Uzņēmums "Possible.lv" par drošības nepilnību 22.jūlijā informējis Informācijas tehnoloģiju drošības incidentu novēršanas institūciju CERT.LV, bet sistēmas uzturētāji vairāk nekā divu mēnešu laikā nav veikuši uzlabojumus, kas novērstu vai ierobežotu atklāto drošības ievainojamību, un tas nozīmē, ka nepilnība joprojām ir izmantojama. Lai mazinātu nodarīto kaitējumu sabiedrībai un panāktu, ka atbildīgie ievainojamību novērš pēc iespējas ātrāk, līdz ar to apturot iespēju ievainojamību izmantot ļaundabīgi, "Possible.lv" par ievainojamību izlēmis ziņot plašākai sabiedrībai.
To, ka "Possible.lv" paziņojis par ievainojamību, apstiprina CERT.LV vadītāja Baiba Kaškina un norāda, ka "CERT.LV ir informējis e-talonu sistēmas uzturētājus un konsultējis par iespējām šo ievainojamību novērst.
Ievainojamībā tiek izmantota kartes simulācija, lai sazinātos ar transporta līdzeklī izvietoto e-talona termināli. E-talona terminālis šajā simulētajā kartē ieraksta visus nepieciešamos datus, kas apliecina biļetes reģistrēšanas jeb kompostrēšanas faktu. Gadījumā, ja sabiedriskajā transportā iekāpj kontrole, datus no kartes simulācijas ir iespējams ierakstīt īstajā e-talonā, ko sabiedriskā transporta kontrole pieņemtu kā derīgu. Ja kontrole neiekāpj, kartes simulāciju var atgriezt atpakaļ jebkurā iepriekšējā stāvoklī kopš pēdējās kontroles iekāpšanas reizes. Šajā gadījumā pasažieris samaksātu tikai par braucieniem, kuros biļetes pārbauda sabiedriskā transporta kontrole.
Tāpat arī kartes simulāciju iespējams nomaskēt ar citu e-talonu vai e-talona maciņu. Tādā gadījumā kontrolei iespējams uzrādīt kartes simulāciju. "Possible.lv" mājaslapā publicētā video redzams, kā ar viedtālruņa un "Mifare Ultralight" kartes simulācijas palīdzību iespējams veikt braucienu reģistrāciju un "attīšanu". Video redzamie e-talona dati tikuši "iztērēti" vairākas dienas pirms video uzņemšanas, tāpēc eksperti nosprieduši, ka e-talonu ''melnais saraksts'' jeb "blacklist" patiesībā neeksistējot.
Kā skaidroja SIA "Rīgas karte" pārstāvis Aleksandrs Brandavs, tehniski minēto talona simulāciju nevar veikt, jo ikvienam "Rīgas satiksmes" "dzeltenajam" e-talonam ir savs unikālais sērijas numurs, ko "Rīgas satiksmes" pārstāvji sistēmā var redzēt talona validācijas laikā. "Teorētiski visus datus var nokopēt, bet sērijas numuru nevar mainīt," sacīja uzņēmuma IT speciālists.
Katram talonam ir arī "ciparu paraksts", kuram neesot pieejas bez sistēmas atslēgas, tādēļ to neesot iespējams klonēt.
Viņš arī skaidroja, ka krāpniecības process tiek uzraudzīts šādi - katram unikālajam talonam tiek konstatēta gan pārdošana, gan validācija. Ja redzams, ka notikusi konkrēta talona validācija, bet nav notikusi pārdošana, ir skaidrs, ka notikusi krāpniecība. "Rīgas kartes" pārstāvji gan teic, ka tā vēl nekad nav noticis, arī šodien pārbaudīta sistēma, kur nekādi krāpniecības gadījumi neesot konstatēti.
"Rīgas kartes" pārstāvji arī piebilst, ka Rīgā izmantotā dzeltenā e-talona veids ir "Mifare Ultralight", kas ir plaši izmantota un zināma karte visā pasaulē. Elektroniskajā norēķinu sistēmā tiek izmantots kartona kartes datu nesējs, kurā iestrādāts minētais sērijas numurs un ciparu paraksts. Tāpat papildu datu aizsardzību nodrošina "one-time programming" (OTP) tehnoloģija. Patlaban pasaulē neesot zināmi "Mifare Ultralight" kartes uzlaušanas gadījumi, apgalvo "Rīgas karte".
Pēc "Rīgas kartes" pārstāvju domām, izskanējusī informācija liecina, ka ir iespējams veikt bezgalīgu e-talona papildināšanu, taču faktiski tiek "papildināts" nevis e-talons, bet gan cita karte, kuru sabiedriskā transporta kontrolieris noteikti pamanītu. "Rīgas karte" uzskata, ka visas šīs darbības ir bezjēdzīgas - tas ir tāpat, kā braukt bez biļetes. Ja kontrolierim tiek dots e-talons, zem kura atrodas cita karte - šī darbība ir pielīdzināma krāpšanai un par to var rakstīt iesniegumu policijai.
IT drošības uzņēmums "possible.lv" veic IT sistēmu drošības pārbaudes un drošības incidentu izmeklēšanu. Uzņēmuma juridiskais nosaukums ir SIA "1.", kas dibināta 2013.gadā. Uzņēmuma īpašnieki ir Kirils Solovjovs (90%) un Jānis Jansons (10%), liecina "Firmas.lv" informācija.
"Rīgas satiksme" elektronisko biļešu (e-talona) ieviešanai pilsētas sabiedriskajā transportā 2007.gada beigās izveidoja uzņēmumu "Rīgas karte". Elektroniskās biļetes tika ieviestas 2009.gada pavasarī, nomainot kompostierus un konduktorus.
Elektronisko biļešu ieviešana Rīgā izmaksāja aptuveni 15,65 miljonus eiro, bet sistēmas uzturēšana katru gadu prasa aptuveni 7,8 miljonus eiro, liecina aģentūras LETA arhīva informācija.
51% "Rīgas kartes" pieder "Rīgas satiksmei", bet 49% - ASV kompānijai "Affiliated Computer Services, Inc." (ACS), kas apkalpo pašvaldības un valsts iestādes 30 valstīs visā pasaulē.
LETA /Foto: Edijs Pālens, LETA