0

Карта «Тройка»: что, опять взломали?

Автор: Александр Сальников, опубликовано 26.08.2017 в рубрике Маркетинг территорий

В начале апреля я писал о взломе карты «Тройка», которая используется для оплаты проезда в московском метро и наземном транспорте. Взлом осуществил хакер-идеалист — Игорь Шевцов, было это в мае 2016 года.

Точнее говоря, самого взлома не было. Автор просто считывал содержимое карты перед поездкой с помощью мобильного телефона, а после поездки — тем же телефоном восстанавливал содержимое карты. Это, в общем-то, обычная операция по созданию резервной копии и последующему восстановлению данных из нее, которая используется в IT-отрасли везде, и против которой карта «Тройка» оказалась бессильной.

Карта «Тройка» для проезда на общественном транспорте в Москве, 2017 г.

Карта «Тройка» для проезда на общественном транспорте в Москве, 2017 г.

В соответствии с неписаным кодексом хакерства, человек, обнаруживший уязвимость, известил хозяев системы — московский метрополитен. Две недели чиновники молчали, на запросы не отвечали, дыру закрыть даже не пытались. В результате Игорь выложил на сайте «Хабрахабр» подробную инструкцию по «бэкапу» карточек «Тройка». Реакции от метрополитена снова не последовало.

Только в январе 2017 года — через восемь месяцев — какая-то прокуратура обратилась в суд с требованием заблокировать сайт «Хабрахабр», поскольку информация в статье может быть использована для совершения преступлений, «предусмотренных статьей 327 — „Подделка документов“». Восемь месяцев думали — восемь, Карл! Прокуратура, кстати, была не московская — из какой-то глухой сибирской деревни, что тоже немало доставляет: порядок в Москве наводят прокуроры, сидящие от нее за две тысячи километров.

Статью с «Хабра», разумеется, удалили, доступ к сайту не блокировали, эккаунт Швецова закрыли. Можно считать, что обошлось.

Думали, за восемь месяцев дыру в системе карт «Тройка» закрыли? Да ни фига. Прокурор — птица гордая: пока не пнешь — не полетит. С «дырой» надо было что-то делать, потому что прознав о ней, пол-Москвы станет ездить на халяву. Обращаться в местные — московские — правоохранительные органы с заявлением означает полное признание лажовости всей системы «Тройка», созданной, кстати, на бюджетные деньги. Подозреваю, что кто-то позвонил тюменским прокурорам и попросил «найти» злополучную статью. Те, естественно, обрадовались: «палка» сама пришла, и шестеренки закрутились.

О затыкании «дыры» никто не думал — проще же прокурорских напрячь. А между тем в системе еще одну дыру нашли, и ситуация, похоже, повторяется, и повторяется в полном соответствии с теорией Гегеля: первый раз была комедия, над которой ржал весь интернет, на второй — трагедия.

Как пишет «Медуза», в Москве начался процесс над Денисом Казьминым, Юрием Путиным и Павлом Андрюшининым. По версии следствия, они «… получили доступ к локальной сети ЦППК с помощью заранее созданной и внедренной вредоносной программы. Полученные при взломе данные позволили им самостоятельно пополнять транспортные карты. Часть таких карт они продавали, часть — использовали для поездок сами…» (ЦППК — структура РЖД, организующая пригородные перевозки в Московскую область; там теперь тоже можно использовать карты «Тройка»).

Русский медведь с КалашомОбвиняемые своей вины, естественно, не признают, а ситуация вокруг «Тройки» становится весьма двусмысленной: то ли на этих троих решили повесить все убытки от мошенничества (Шевцов из первой части эпопеи был первым, кто опубликовал технологию взлома, но был ли он первым, кто уязвимость обнаружил?), то ли сама инфраструктура «Тройки» дырява как столетнее решето?

Сдается мне, что второе. На систему потратили туеву хучу денег, ее проверили всякие ФСБ и ФСТЭК, потому что «Тройка» хранит персональные данные льготных пассажиров, на «железо» и на программное обеспечение лицензированными конторами составлены всякие стратегии предупреждения угроз — и после таких мероприятий система с легкостью «проглатывает» «вредоносную программу»…

По-моему, это полная деградация госсектора IT-отрасли, ориентированного исключительно на «освоение бюджетов». А еще данная история — показательный кейс тотальной бесполезности ФСБ и всех подобных структур: требования, которые они придумывают и на соответствие которым проводятся проверки, — просто очередной механизм выкачивания бабла из реального сектора экономики, с безопасностью не имеющий ничего общего. Впрочем, в остальных госсекторах ситуация аналогичная — тотальный беспросветный п…ц.

R.I.P. Ruthenia.

Не забывайте лайкать:

Добавить комментарий

Copyright © 2013 – 2018 Александр Сальников Все права защищены.
Сайт использует тему «Деск Месс Мирроред» из «Бай Нау Шоп». | Соглашение об использовании сайта.