24.07.2017 | 08:44

Adam Haertle

Zgłosił błąd w dziurawym systemie biletów miejskich, został zatrzymany

Czasem na rynku pojawiają się aplikacje, których miejsce jest w kolejce do testów, a nie we wdrożeniu na produkcji. Świetnym przykładem takiej sytuacji może być system miejskich biletów, wdrożony niedawno w Budapeszcie.

Gdy goni termin i zespół odpowiedzialny za wdrożenie poddawany jest różnym naciskom, dzieją się rzeczy, o których filozofom się nie śniło. Architekt bezpieczeństwa nie ma nic do powiedzenia, deweloperzy idą na skróty, testy skracane są do weryfikacji czy system się uruchamia i ogłaszane jest zwycięstwo. Niestety skutki takich działań prędzej czy później okazują się opłakane.

Szybkie wdrożenie

Laszlo Marai opisuje smutną historię budapesztańskiego systemu biletu miejskiego, wdrożonego przez miejską spółkę transportową wspólnie z firmą T-Systems Hungary. System ruszył pierwszego dnia mistrzostw świata w pływaniu, które odbywały się w Budapeszcie. Jego premiera była zaskoczeniem – nikt nie słyszał o żadnych wcześniejszych testach. System został oparty o witrynę WWW – rozwiązanie przyjazne użytkownikom, ale będące dużym wyzwaniem dla twórców aplikacji z punktu widzenia bezpieczeństwa. Nie będzie chyba dla Was zaskoczeniem, że już w pierwszych dniach działania nowego systemu znaleziono w nim trochę błędów.  Niestety słowo „trochę” jest tutaj dużym niedomówieniem, ponieważ okazało się, że:

  • system przechowuje hasła użytkowników otwartym tekstem i odsyła je emailem w procesie odzyskiwania hasła,

  • manipulacja parametrami wywoływanych linków pozwalała na wyświetlanie danych innych użytkowników takich jak imię, nazwisko, adres i numer dokumentu tożsamości,
  • wejście na stronę shop.bkk.hu nie skutkowało jej wczytaniem, bo ktoś zapomniał ustawić przekierowanie http -> https,
  • hasło administratora systemu zostało szybko ustalone, ponieważ brzmiało adminadmin,
  • kupione bilety można było bez problemu kopiować między urządzeniami i okazywać do kontroli,
  • serwis korzysta z CAPTCHA, które można zwyczajnie odczytać programowo.

Brzmi jak spektakularna katastrofa, prawda? Ale to nie koniec, ponieważ pewien 18-letni uczeń odkrył, że jeśli zmodyfikuje żądanie do serwera WWW podmieniając np. cenę kupowanego biletu miesięcznego z 9500 forintów na 50 forintów, to bilet otrzyma, tylko dużo taniej. Uczeń zgłosił swoje odkrycie właścicielowi systemu i w odpowiedzi dowiedział się, że kupiony w ten sposób bilet został unieważniony. Na tym jednak korespondencja się zakończyła. Kiedy – pewnie za sprawą odkrywcy – historia trafiła do prasy, zaczął się prawdziwy cyrk.

Spółka zarządzająca systemem transportowym wraz z wykonawcą systemu ogłosiły, że system padł ofiarą ataków hakerów (a firewall zatrzyma wiele z nich), oskarżyli społeczeństwo o niedojrzałe zachowanie oraz poinformowali, że każdy system może zostać zhakowany a ich nie jest wyjątkiem. Twórca systemu na konferencji prasowej poinformował, że chętnie przyjmuje zgłoszenia o błędach oraz że jeden z przypadków włamania został zgłoszony organom ścigania. Niestety okazało się, że dotyczyło to przypadku wspomnianego wcześniej 18-latka. Odkrywca błędu został zatrzymany przez policję i dopiero po kilku godzinach wypuszczony. Społeczeństwo zareagowało wystawiając spółce transportowej niskie oceny na Facebooku, z których każda ma w opisie tę samą historię 18-latka, który chciał tylko zgłosić błąd.

Sprawa jest świeża, zatem nie znamy jeszcze dalszych losów odkrywcy błędu. Pozostaje mieć nadzieję, że ktoś pójdzie po rozum do głowy i błędy naprawi, a badaczy je wskazujących potraktuje jako pomocników, a nie wrogów. Na szczęście w Polsce przynajmniej od strony przepisów problem ten wygląda nieco lepiej.

Wszystkie opisane powyżej błędy – oraz wiele więcej omawiamy na naszych szkoleniach z atakowania i obrony aplikacji WWW. Najbliższy termin już na początku września w Warszawie.

Bezpieczeństwo aplikacji WWW - atak i obrona

Warsaw-center-free-license-CC0
Warszawa, 6 – 8 września 2017
(do 30 lipca 2017 10% rabatu!)

Czas trwania: 3 dni (21h), Prowadzący: Adam z z3s, Mateusz Kocielski
Liczba uczestników: maksymalnie 12 osób, cena: 3900 PLN netto

Szczegółowy opis szkolenia
Powrót

Komentarze

  • 2017.07.24 08:47 Karol

    Dlatego nigdy nie wolno niczego zgłaszać. Zamknij się albo sprzedaj informację temu kto potrafi ją wykorzystać.

    Odpowiedz
    • 2017.07.24 09:11 John Sharkrat

      Raczej temu kto potrafi docenić wartość znaleziska.

      Odpowiedz
    • 2017.07.24 09:15 grekus

      A co jeżeli chcesz korzystać z danego rozwiązania, ale nie chcesz żeby było dziurawe jak sito?
      Albo nie jesteś skurwysynem, tylko chcesz po ludzku komuś pomóc?

      Odpowiedz
      • 2017.07.24 11:58 Karol

        To nie działa. Zgłaszałem, zawsze byłem zastraszany. Rzeczywiście jest wyjątek – oficjalne bug bounty. Jeżeli go nie ma, nie marnujcie swojego czasu.

        Odpowiedz
      • 2017.07.24 13:02 ~~

        Jeśli chcesz mieć miękkie serce, to musisz mieć twardą d.pę.

        Odpowiedz
    • 2017.07.24 09:54 aaa

      Zgłaszać można, ale anonimowo…

      Odpowiedz
      • 2017.08.31 11:21 hw

        Właśnie miałem to napisać.

        Odpowiedz
    • 2017.07.24 09:57 mamrot

      Jest mi naprawdę przykro, gdy czytam takie demoralizujące komentarze. Nawet jeśli są ironiczne, to niestety mogą wprowadzać w nastrój typu „jest źle i nie da się nic z tym zrobić, pogódźmy się z tym”. Motywujące?

      Odpowiedz
      • 2017.07.24 14:09 Monter

        A nie uważasz, że w sytuacji, w której chyba tylko groźba amputacji cojones mogłaby zmusić niektórych do pracy (za jaką wzięli pieniądze), w tym zrobienia wszystkiego jak trzeba oraz wykonania testów, naprawdę nie da się już nic zrobić? Bo metody inne niż radykalne już raczej nie zadziałają.

        Kompletna bezkarność i zero odpowiedzialności w korporacyjnym rozmydleniu jest rakiem toczącym nie tylko korporacje i rządy, ale także mniejsze firmy z branży IT tworzące jakiekolwiek programy i aplikacje. Już za samo zwalenie winy na uczynnego nastolatka powinno spowodować strącenie odpowiedzialnych za to pustych łbów – tak na początek. Wszystkie lżejsze „kary” będą w rzeczywistości tym samym, co Unijne Pierdu-Pierdu lub transmisje z obrad Sejmu – pustym ple-ple-ple.

        Odpowiedz
        • 2017.07.24 14:41 ~~

          „groźba amputacji cojones”
          MSPANC: jak to powiedział Bazyl Fawlty – „musiałbyś je najpierw przyszyć”.

          Odpowiedz
        • 2017.07.24 18:32 Damian

          Zgadzam się z Twoim komentarzem. Takie sytuacje mają miejsce w miejscach gdzie istnieje ścisły podział ról. Idź do ZUS-u i jak ci Pani powie, że masz iść dwa pokoje dalej, to ją poproś żeby to zrobiła. Już widzę, jak kończy kawę, odkłada pączka i idzie :-)

          Jak znam życie, to robienie tego systemu to było 5 lat przetargów, setki nerwów, masa biegania, jakieś nieprawidłowości i inne cuda, ale się udało. I nagle się zjawia gówniarz, który to psuje. Co należy zrobić ? Ukarać gówniarza, to nie będzie psuł. Przecież to proste.

          A tak na serio, z ręką na sercu, to w której firmie, albo instytucji tak silnie zchierarchizowanej istnieje normalna obsługa błędów i problemów, która jest normalnie opisana, nawet dla człowieka z zewnątrz ?

          Odpowiedz
  • 2017.07.24 09:42 G1n10L

    „Każdy dobry uczynek zostaniesz prędzej czy później ukarany” // Ignacy Karpowicz

    Odpowiedz
    • 2017.07.24 12:17 Karol

      +1

      Nie pomagajcie za darmo, białorycerze. To jest biznes.

      Odpowiedz
  • 2017.07.24 10:05 zx

    Szukając coś więcej o tej sprawie, natknąłem się na coś takiego o Polsce xD http://imgur.com/a/vqxna
    https://news.ycombinator.com/item?id=14835515

    Odpowiedz
  • 2017.07.24 10:48 Jasny7

    Jakie rakowisko w komentarzach o ja prdl. Ludzie czy ey jesteście jacyś chorzy czy co, warto pomagac, ale w tym przypadku ten student źle zgłosił problem. A debilne społeczeństwo rzucił o się na portal i shejtowało go. Ja zaraz dodam 100K pozytywnych opinni z bota i będzie sprawiedliwie. Banda kretynów, którzy niszczą ludziom życie

    Odpowiedz
    • 2017.07.24 13:04 ~~

      Oczywiście, że źle zgłosił. Powinien zgłosić komuś, kto go za to wynagrodzi.

      Odpowiedz
  • 2017.07.24 10:58 Duży Pies

    Szkoda że w organach ścigania pracuje tylu kretynów.
    Gdyby uruchomili myślenie to by młodego nagrodzili zamiast aresztować. Teraz 18-letni uczeń się zrazi do praworządności i niczego już więcej za darmo nie zgłosi albo przejdzie na Ciemną Stronę Mocy.

    Odpowiedz
    • 2017.07.24 12:45 B&B

      I tak właśnie społeczeństwo same tworzy antysystemowych black hatow.

      Odpowiedz
  • 2017.07.24 11:11 Gjye

    To gdzie to było ? Na Węgrzech ? Tam jeszcze APT66 nie atakowało jak zaczną to będą rozważać bagbounty

    Odpowiedz
  • 2017.07.24 12:06 hmmm

    A cala ta historyjka to tak odnosnie pytania pod jednym z wczesniejszych artykulow co nalezy robic ze znalezionymi bledami.
    18 letni uczen zle odpowiedzial na tamto pytanie…

    Odpowiedz
  • 2017.07.24 13:22 jarek

    Błędy należy zgłaszać ale trzeba to robić mądrze. Niestety najczęściej błędów w systemie instytucji lub firmy nie można zgłaszać do działu, który jest bezpośrednio odpowiedzialny za tę tematykę. Wydaje się to dziwne ale to właśnie ten dział odpowiada za prawidłowe działanie systemu, wdrożenie nowego pobrał za to stosowane premie i zapewnia wszystkich wokół, że był to sukces. Szczególnie dotyczy to instytucji publicznych lub powiązanych z nimi, gdzie o obsadzie stanowisk kierowniczych nie zawsze decydują względy merytoryczne. I kiedy zgłasza się taki błąd do tych ludzi to wcale nie jest to w ich interesie aby cokolwiek z tym robić ponieważ to bije w nich. Tego typu błędy należy raczej zgłaszać jak najwyżej, wówczas jest szansa, że nie zostanie to zamiecione pod dywan (choć nie zawsze) lub do prasy o ile ta będzie tym zainteresowana.

    Odpowiedz
    • 2017.07.24 14:26 ~~

      „szczególnie instytucji publicznych” – no i spadłem z krzesła. Chyba nie pracowałeś w korpo.

      Odpowiedz
    • 2017.07.24 15:38 sfjkdgcv

      Najlepiej zgłaszać do prasy od razu, do takiej Z3S czy niebezpiecznika – gdzie wiadomo, że oni się skontaktują z właścicielem zabugowanego systemu oraz wiadomo, że nikt się ich nie czepi i nie będzie straszył.

      Odpowiedz
      • 2017.07.24 18:23 Damian

        Niestety nie oznacza to, że błąd zostanie naprawiony, a nawet jeśli to w jakimś sensownym i akceptowalnym terminie. Zwłaszcza, że przypadek o którym mówimy miał miejsce w Budapeszcie. Może tam nie ma Z3S :-)

        Odpowiedz
  • 2017.07.24 15:33 q

    po wpisaniu shop.bkk.hu strona nadal nie dziala

    Odpowiedz
  • 2017.07.24 16:05 ya

    Założyłem ostatnio hosting na amerykańskim serwerze. Razem z sql serwerem. Instancja jest współdzieloną Robią to tak, ze widać bazy innych userow, ale się niema do nich dostępu. Do jednej miałem. Pisze do supportu, a oni „nie nic takiego nie może się dziać to normalne ze widzi pan inne bazy, ale nie da się modyfikowac. To im zrobiłem screenshoty jak dodałem komuś tabelkę. Odpowiedz prawie kopiuj wklej z poprzedniej. Po paru minutach patrzę, dostęp odcięty, bez słowa „dzięki za zgłoszenie”

    Odpowiedz
  • 2017.07.25 11:25 fedek6

    Można haksować i naprawiać błędy xD Jak ten człek co zrobił botnet z routerów po to żeby je załatać.

    Good guy haxor.

    Odpowiedz
  • 2017.07.25 12:37 m__b

    A kto w ogóle prosił stulejarza, żeby dłubał przy systemie? Stojące na ulicy samochody też próbuje ukraść? Wyciąga losowym ludziom portfel z kieszeni i patrzy czy się nie zorientują?

    Odpowiedz
  • 2017.07.25 14:26 K

    Mam przed sobą plik excela z ponad 4 tysiącami nazwisk pacjentów pewnej prywatnej instytucji medycznej, w tym kilku znanych polskich piłkarzy z reprezentacji… teraz pytanie: Której gazecie mam to sprzedać żeby zarobić najwięcej? Do tej pory grzecznie dzwoniłem do takich firemek z informacją o „problemie” ale po paru razach straszenia sądem mam to w…. a żyć z czegoś trzeba ;)

    Odpowiedz
    • 2017.08.17 15:36 kez87

      Zapewne brukowcom.Oczywiście w miarę anonimowe konto do kontaktu z redakcją,zapłata w BTC i te sprawy ;) Chociaż mając dostęp do czegoś takiego,to ja bym po prostu przemyślał obstawianie meczy w STSach -> trzeba by kogoś kto się na tym zna + dane poufne o piłkarzach = miodzio,pewniaki. Gdybym był hackerem i miał dostęp do baz danych banku (read-only) to insider trading na giełdzie rulez – zysk prawie bez ryzyka.

      Odpowiedz
  • 2017.10.16 09:51 PiotrLenarczyk

    Bartosz Żółtak – zanim opublikował VMPC, był w ABW, z uprzejmą prośbą o jałmużnę za całkiem niezły algorytm szyfrujący na wyłączność. W odpowiedzi kazali mu spadać, bo oni to tam na emeryturę czekają, a nie zajmują się bezpieczeństwem (chyba, że chodzi o zakaz wnoszenia Muszynianki na kozienalia, tudzież poszpanowanie szerokimi plecami na zatrzymaniu konkurencyjnej dystrybucji dopalaczy). Niestety nasze służby to raptem kilkadziesiąt osób z pensjami po 4k PLN. Moim zdaniem, reszta to pisze przemówienia na konferencje prasowe, ściga nieliczne już babcie z mlekiem na rogu, tudzież broni licencjat na p(op)rawnym zapotrzebowaniu tonera do drukarki:D

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Zgłosił błąd w dziurawym systemie biletów miejskich, został zatrzymany

Komentarze