Hlavní navigace

Jak obelstít SMS jízdenku

16. 1. 2008 15:39 | mobilnistranky

Stohoven

Je obecně známo, že žádný elektronický systém nemůže být považován za absolutně bezpečný. Dnes si ukážeme na teoretickém případu, že se to týká i platebních systémů, kde nejde pouze o informace, ale i o peníze. To, že vývojáři neudělají chybu ve výrobě, neznamená, že chyba není v již návrhu. Mnoho systémů je zranitelných také na úrovni hmotného světa, kde postačí pákové nůžky pro nedovolený přístup k hardware. Na co je pak dobře nastavený firewall, když útočník napojuje kabely přímo na desky. Vyzkoušeli si to třeba České Televizi, v případě sněhového zpravodajství.

Zranitelnost SMS jízdenky

Rychle k věci. Jedním z potenciálních nebezpečí pro různé elektronické bezpečnostní systémy je fakt, že v určitých případech nestojí proti jedinému útočníku, ale celé skupině/síti lidí. V jednotě je síla. A to nemám na mysli žádné organizované zločinecké skupiny, spíše běžné uživatele, kteří se prostě skupinově rozhodnou nedodržovat pravidla. Jako v oblasti porušování autorských práv. I SMS jízdenka je v tomto směru reálně zranitelná.

SMS Jizdenka

Pro jednoduché ovládání SMS jízdenky doporučuji nástroj SMSjízdenka od Yoctosoft (viz. Obrázek). Instalace je zdarma a umožní jednoduché odeslání patřičné platební zprávy a nějaké další úkony. Vše podle pravidel ke spokojenosti podniku i zákazníků.

Podobně by ovšem mohla fungovat i aplikace jiná, komunitní a konspirační. Tato teoretická aplikace by každou přijatou SMS jízdenku evidovala online na serveru, a na místo nákupu by dalším uživatelům vystavila pouze její kopii. V případě, že by tedy existovala již nějaká jiná SMS jízdenka, doposud platná, každý další uživatel by ji mohl použít. Aplikace by se tvářila jako SMS inbox, přímo by se tedy při kontrole ukazoval duplikát a také by bylo k dispozici číslo, ze kterého byla SMS odeslaná. Číslo je potřeba znát pro důkladnou kontrolu za pomoci kapesního PC, kterým je každý revizor pražských dopravních podniků vybaven.

Toť vše, a nyní k obraně

Co mohou v Dopravním Podniku hl. m. Prahy udělat, pokud tato aplikace již existuje? (Vězte že její existence vůbec nemusí být věcí veřejnou, stačila by skupinka deseti lidí a už by se jízdní náklady výrazně redukovali, minimálně v dopravních špičkách.)

Revize 1

Není toho mnoho, například v případě podezření by mohl revizor jízdenek zavolat na ono číslo. Také by mohl požádat cestujícího o to, aby zavolal on. Otázka je, zda by tyto kontroli lidé snášeli. Ve vlacích není zrovna signál a nechat se 10 minut prověřovat s platnou jízdenkou by mnoho cestujících zdvořile odmítlo. Také je možno nějak evidovat kdy byla jízdenka kontrolována, případně na kterém telefonu a kde. To by ale zase zdvořile odmítli kontroloři svému zaměstnavateli. Považme také, že většina kontrol neprobíhá online.

Jako nejvíce možné je tedy dobře instruovat pracovníky kontroly, aby rozpoznali SMS zobrazenou v SMS inboxu, od té zobrazené v nějaké JAVA aplikaci. Co to mu říkáte, dá se něco takového 130 revizorů naučit?

Na závěr poučení

Každý si platí své pokuty sám. Pokud bere někdo jako sport, nebo přípravu na odboj, že využívá služeb MHD nelegálně, je to jeho věc a riziko. Samotná jízda takzvaně na černo je v rozporu s přepravními podmínkami. Padělání jízdenek je ale věc jiná. Určitě se na to dá najít mnoho právních názorů. Tak tedy berte toto pojednání jako technický pohled na platební systémy, než nějaký návod.