Jak obelstít SMS jízdenku
Je obecně známo, že žádný elektronický systém nemůže být považován za absolutně bezpečný. Dnes si ukážeme na teoretickém případu, že se to týká i platebních systémů, kde nejde pouze o informace, ale i o peníze. To, že vývojáři neudělají chybu ve výrobě, neznamená, že chyba není v již návrhu. Mnoho systémů je zranitelných také na úrovni hmotného světa, kde postačí pákové nůžky pro nedovolený přístup k hardware. Na co je pak dobře nastavený firewall, když útočník napojuje kabely přímo na desky. Vyzkoušeli si to třeba České Televizi, v případě sněhového zpravodajství.
Zranitelnost SMS jízdenky
Rychle k věci. Jedním z potenciálních nebezpečí pro různé elektronické bezpečnostní systémy je fakt, že v určitých případech nestojí proti jedinému útočníku, ale celé skupině/síti lidí. V jednotě je síla. A to nemám na mysli žádné organizované zločinecké skupiny, spíše běžné uživatele, kteří se prostě skupinově rozhodnou nedodržovat pravidla. Jako v oblasti porušování autorských práv. I SMS jízdenka je v tomto směru reálně zranitelná.
Pro jednoduché ovládání SMS jízdenky doporučuji nástroj SMSjízdenka od Yoctosoft (viz. Obrázek). Instalace je zdarma a umožní jednoduché odeslání patřičné platební zprávy a nějaké další úkony. Vše podle pravidel ke spokojenosti podniku i zákazníků.
Podobně by ovšem mohla fungovat i aplikace jiná, komunitní a konspirační. Tato teoretická aplikace by každou přijatou SMS jízdenku evidovala online na serveru, a na místo nákupu by dalším uživatelům vystavila pouze její kopii. V případě, že by tedy existovala již nějaká jiná SMS jízdenka, doposud platná, každý další uživatel by ji mohl použít. Aplikace by se tvářila jako SMS inbox, přímo by se tedy při kontrole ukazoval duplikát a také by bylo k dispozici číslo, ze kterého byla SMS odeslaná. Číslo je potřeba znát pro důkladnou kontrolu za pomoci kapesního PC, kterým je každý revizor pražských dopravních podniků vybaven.
Toť vše, a nyní k obraně
Co mohou v Dopravním Podniku hl. m. Prahy udělat, pokud tato aplikace již existuje? (Vězte že její existence vůbec nemusí být věcí veřejnou, stačila by skupinka deseti lidí a už by se jízdní náklady výrazně redukovali, minimálně v dopravních špičkách.)
Není toho mnoho, například v případě podezření by mohl revizor jízdenek zavolat na ono číslo. Také by mohl požádat cestujícího o to, aby zavolal on. Otázka je, zda by tyto kontroli lidé snášeli. Ve vlacích není zrovna signál a nechat se 10 minut prověřovat s platnou jízdenkou by mnoho cestujících zdvořile odmítlo. Také je možno nějak evidovat kdy byla jízdenka kontrolována, případně na kterém telefonu a kde. To by ale zase zdvořile odmítli kontroloři svému zaměstnavateli. Považme také, že většina kontrol neprobíhá online.
Jako nejvíce možné je tedy dobře instruovat pracovníky kontroly, aby rozpoznali SMS zobrazenou v SMS inboxu, od té zobrazené v nějaké JAVA aplikaci. Co to mu říkáte, dá se něco takového 130 revizorů naučit?
Na závěr poučení
Každý si platí své pokuty sám. Pokud bere někdo jako sport, nebo přípravu na odboj, že využívá služeb MHD nelegálně, je to jeho věc a riziko. Samotná jízda takzvaně na černo je v rozporu s přepravními podmínkami. Padělání jízdenek je ale věc jiná. Určitě se na to dá najít mnoho právních názorů. Tak tedy berte toto pojednání jako technický pohled na platební systémy, než nějaký návod.
-
Související články na ostatních blozích
-
Hej UK! Sigh Hail a rozumíme si! 7. 10. 2010 8:24
-
katalog-cz-firem.cz (podvodník) 22. 9. 2010 10:47
-
Rybaření na doméně VOLNY.CZ (nová verze) 18. 9. 2010 17:25
-
Jak vypnout antispam filter na Gmail.com (Google Apps) 2. 9. 2010 16:56
-
Pokročilá analýza webu (s pomocí Google Analytics) 23. 3. 2010 10:36
-
Červené tlačítko, až bych zvracel 9. 2. 2010 13:46
-
-
Související články na serveru Lupa.cz
-
Regulace podle NIS2: Banky dosáhly u DORA změkčení lhůt 5. 11. 2024 6:30
-
Celý rozsah IP adres Wedosu se dostal na blacklist, zákazníkům se ztrácela pošta 9. 10. 2024 6:30
-
Regulace podle NIS2: Na Slovensku hrozí kyberbezpečnostnímu zákonu zdržení kvůli porušení pravidel 3. 9. 2024 6:30
-
Regulace podle NIS2: Portál NÚKIBu napoví rozsah nových povinností 6. 8. 2024 6:30
-
Krátké vlny: Europol kyberpátrá, radí a informuje 1. 8. 2024 6:30
-
CrowdStrike: budíček proti bezmyšlenkovitému nasazování bezpečnostních nástrojů 31. 7. 2024 6:30
-
-
Lukas (neregistrovaný)
Možná by bylo dobré si napřed nastudovat funkčnost systému a až potom vymýšlet konspirační teorie :-) Každá kontrola SMS jízdenky probíhá on-line a vždy revizor kontroluje unikátní kód, který každá SMS obsahuje. Opravdu si každý konspirátor myslí, že nikoho v DP Praha nenapadla možnost zneužití systému?
-
Ladislav Soukup (neregistrovaný)
A co takto...
Podle prepravnich podminek staci prokazat, ze jsem odeslal pozadavek na zakoupeni jizdenky (SMS) a dostal jsem potvrzeni o doruceni.
Takze si proste napisu aplikaci, ktera mi mezi odeslane SMS vlozi pozadavek a do inboxu vlozi dorucenku. Pokud DPP nekontaktuje meho operatora nema sanci zjistit, ze jsem tuto SMS neodeslal! A popravde... bez asistence policie CR nema DPP narok po operatorovi tuto informaci zadat.
Timto postup obejdu nutnost mit unikatni kod - budu tvrdit, ze se musi jednat o chybu systemu pro elektonicke jizdenky - ja preci udelal vse, co jsem udelat mel (= odeslal jsem SMS s pozadavkem).Pro Windows Mobile / Symbian je podobna aplikace otazkou cca. 10ti minut programovani.
A ted trochu jinak...
1. Hodnotim DPP za to, ze konecne zavedl elektronicke jizdne. Ted uz jen staci vytlacit ty deb***ni kupony a umoznit nakup predplacenych "kuponu" elektronicky pomoci platebni karty / prevodu.2. Hodnotim, ze nekdo v DPP investoval spoustu penez do reklamni kampane na SMS jizdenky za 20,- aby za necele dva mesice investoval dalsi penize do pretisku vsech plakatu na cenu 26,-
3. Hodnotim, ze od zdrazeni jizdneho na 26,- doslo zaroven k prodlouzeni intervalu (tzn. dvojite zvyseni zisku) a zaroven k ubytku revizoru - uz se asi boji vlezt mezi lidi.
4. Hodnotim, ze minimalne na polovine stanic metra funguje alespon polovina eskalatoru - viz IP Pavlova, kde za minuly rok jeden (a stale ten stejny) eskalator opravovali snad 5x a pokazde to trvalo skoro mesic. Kdyz nahodou jezdil, opravoval se jiny eskalator.
-
Ladislav Soukup (neregistrovaný)
[13] ano jste, ale u SMS jizdneho opravdu staci prokazat, ze jste pozadavek o jizdenku odeslal a dostal potvrzenku o doruceni (vaseho pozadavku) - coz se da snadno podvrhnout a SMSku vcetne dorucenky mam v normalnim inboxu a ne v zadnem "falesnem".
Na druhou stranu, jelikoz mam rocni kupon, tak tohle opravdu neresim... Jak jsem napsal, jedine po cem touzim poslednich nekolik let je moznost predplatit si MHD pomoci platebni karty / prevodu.
[8] hodnoceni dopadlo tak, ze by se v DPP meli trosku zamyslet nad tim, jak vyuziji penize navic... a to hodne rychle - cenou dohani (a nekdy i predhani) MHD v ruznych Evropskych ale i Americkych mestech... Jen ta kvalita se od Evropy nejak stale vzdaluje a propada :(
-
Ladislav Soukup (neregistrovaný)
[15] od doby, co se DPP stava (a je to pomerne casto), ze SMS jizdenka jaksi nedorazi existuje i moznost prokazat se prave dorucenkou od poslaneho pozadavku na SMS jizdenku - bere se pak cas odeslani ono pozadavku. Predpokladam, ze az se povede zarucit, ze SMS jizdenky prijde vzdy, pak tohle urcite prestane platit... Jenze zatim se nezda, ze by DPP dokazali doruceni zajistit.
Asi nejvice me pobavilo stopnuti teto sluzby o Vanocich... Spolehlivost klesla prilis nizko ;)
ČLÁNKY DO MAILU