0

Карта «Тройка»: как решить проблему через суд

Автор: Александр Сальников, опубликовано 09.04.2017 в рубрике Маркетинг территорий

Сначала, как водится, сама новость:

Ишимский городской суд Тюменской области запретил статью об уязвимости карты «Тройка», которой оплачивают проезд в московском транспорте. Статья была размещена на сайте «Хабрахабр».

История вопроса.

Для тех, кто не в курсе происходящего, рассказываю историю вопроса.

Карта «Тройка» для проезда на общественном транспорте в Москве, 2017 г.

Карта «Тройка» для проезда на общественном транспорте в Москве, 2017 г.

Несколько лет назад в Москве запустили очередной проект «электронных» билетов на общественный транспорт. Пассажиру выдается карточка, на которой хранятся записи о купленных билетах. Во время поездки карта прикладывается к специальному устройству — валидатору, который и решает, что делать с человеком — то ли не пускать в вагон или автобус, то ли пустить и списать поездку.

В начале 2016 года простой программист Игорь Шевцов решил поискать уязвимости в системе оплаты. Оказалось, что вся система — это одна большая дыра в безопасности. Технология взлома… Нет, «взлома» — назвать нормальным взломом этот способ язык не поворачивается. Так вот, «взлом» заключался в том, что перед поездкой данные карты считываются в память какого-то устройства, а после поездки — записываются на карту обратно. Получается, что на карте снова столько же поездок, сколько было в самом начале — содержимое карты просто восстанавливается.

Для проведения этой процедуры не требуется сверхдорогое или суперредкое оборудование — достаточно недорогого смартфона. Для упрощения процедуры автор даже написал приложение для «Андроида» (увы, в «Айфонах» стоит несовместимая с картами микросхема NFC). В общем, оказалось, что карта «Тройка» — это такая бесконтактная флэшка с файлами: хочу — пишу, хочу — стираю. Очень крутая система безопасности, учитывая, что она предназначена для работы с деньгами…

В мае 2016 года автор, закончив процедуру взлома, честно написал в московское метро о найденной дыре: это только хакеры с патриотизмом головного мозга в терминальной стадии тупо ломают все подряд, не думая о последствиях, у приличных же хакеров есть этический кодекс — взлом делается исключительно бескорыстно, а хозяин взломанной системы — извещается о «дыре», часто — с рекомендациями по «затыканию». Никто из представителей метрополитена так и не ответил, и недели через две Игорь Шевцов выложил на сайте «Хабрахабр» — со всеми подробностями процедуры реверс-инжиниринга и использования технологии взлома на практике.

Примерно полгода статью не трогали — она висела в открытом доступе, собирая множество комментариев. В январе 2017 года какая-то прокуратура обратилась в суд с требованием внести эту статью в реестр запрещенных сайтов, т. к. с помощью информации, изложенной Шевцовым, можно совершать преступления, предусмотренные статьей 327 (подделка документов). Статью с «Хабрахабра» убрали, эккаунт самого Игоря заблокировали.

Разбор кейса.

Этот кейс — еще одно подтверждение того, что Россия — это плохое место для ведения бизнеса. В сфере IT — в первую очередь.

Захотел человек себя пропиарить — получил кучу проблем, ибо работы в сфере информационной безопасности в России невозможны. Думаю, сидит сейчас Игорь Шевцов и радуется, что история закончилась просто блокировкой эккаунта. Все, что он смог заработать — это много-много лайков, потому как сама статья публиковалась не денег ради, а для исключительно для создания имиджа серьезного специалиста в области безопасности.

Еще очень странным выглядит место рассмотрения дела: ломали московский метрополитен, а дело рассматривали в каком-то глухом райцентре Тюменской области, где метро никогда не было и не будет никогда. Впрочем, по данным «Роскомсвободы», этот суд часто используется для подобных делишек: чуть ли не 100% сайтов, внесенных в «запретный» список, попадали туда именно через Ишимский городской суд. Судебная аномалия? Или просто политика надзирателей? Ведь не каждый владелец сайта поедет за тридевять земель отстаивать свои попраную свободу слова…

Впрочем, такого решения суда следовало ожидать: свобода слова нынче не в моде, в трэнде — судебный произвол, который еще много-много раз обернется негативом для российской экономики. А вот реакция метрополитена меня, честно говоря, удивила. Некто добровольно и за свои деньги находит изъян в твоей системе, причем изъян прямо касающийся твоих денег и твоей прибыли, да еще и извещает тебя об этом — а ты… Правильно, ты подаешь в суд — думаю, неспроста прокурорские в какой-то тюменской деревне зашевелились. Волосы дыбом встают от такой «бизнес-практики».

А еще метрополитен вроде как заявил, что уязвимость устранена. В свете этих заявлений мне становятся непонятными две вещи.

Во-первых, как эту «дыру» можно закрыть? Она существует не просто так и опирается исключительно на свойства самих карт. Закрыть эту уязвимость можно только одним способом: перейти на другие бесконтактные карты, которые не просто хранят данные, а имеют свой модуль шифрации с собственными ключами. Кстати, с такой же «дырой» работают и транспортные карты в Санкт-Петербурге («Подорожник»), и в Ярославле (потому что систему оплаты проезда у нас внедряли петербуржскую). Ни один из городов пока что не объявил замену карт.

Во-вторых, если «дыру» закрыли, то зачем нужно было суетиться с блокировкой страницы, да еще и через суд? Ведь информация, изложенная в статье, уже стала неактуальной, и ее можно использовать только как учебное пособие для программистов (из серии «как не надо делать»). Сдается мне, что на самом деле никаких работ по закрытию уязвимости не было, следовательно, любой мог повторить описанное в статье — и кататься на общественном транспорте по Москве абсолютно бесплатно. Потому статью и заблокировали.

Вместо выводов.

Выводы из кейса, думаю, каждый уже сделал — и для себя, и для своего бизнеса. Бизнес-перспективы в стране, где подобным образом относятся и безопасности в IT-сфере, и к свободе слова, тоже очевидны. Остается только вспомнить знаменитую цитату Евгения Чичваркина о Нигерии и месте, где много снега.

А еще интересно будет почитать о взломе ярославских карточек — у нас, правда, есть особенность этих карт, но раз пошла такая пьянка, то, думаю, ждать их взлома долго не придется…

 

Не забывайте лайкать:

Добавить комментарий

Copyright © 2013 – 2018 Александр Сальников Все права защищены.
Сайт использует тему «Деск Месс Мирроред» из «Бай Нау Шоп». | Соглашение об использовании сайта.