Неизвестные студенты одного из московских вузов, именующие себя «исследовательской группой Che Burashka», в среду 17 января опубликовали на Pastebin ссылку на файл с описанием уязвимостей в системе продажи билетов на московские электрички.

По словам авторов публикации, их основная цель — привлечь внимание производителя, компании «Микротех», к проблеме с оборудованием и программным обеспечением. В то же время они выступают в поддержку Дениса Казьмина и Юрия Путина, осужденных осенью 2017 года за взлом транспортной карты «Тройка» от того же разработчика.

Компания «Микротех» выпускает турникеты для сети пригородных железных дорог, а также программное обеспечение для них. В рамках студенческого исследовательского проекта трое программистов решили проверить, насколько надежно система защищена от безбилетников.

Для этого они купили на Avito три подержанных турникета вместе с документацией на дискетах, а также задавали вопросы на специализированных выставках, беседовали с техническими специалистами «Микротех» по телефону и исследовали купленные в кассах билеты.

В результате взломщики смогли распознать систему защиты информации, разработанную еще в 1990-е годы. Билеты блокируются при несовпадении проверочной информации, при неправильной дате, ошибочном направлении, а также в тех случаях, когда номер кассы не совпадает с номером станции отправления. Эта информация кодируется.

Все штрихкоды, расположенные на билете, имеют контрольный номер, а их проверка осуществляется при помощи контрольной суммы. Контрольный номер ежедневно меняется, однако при наличии свежего билета РЖД можно создать актуальный QR-код, который будет распознаваться техникой.

По словам студентов, распечатанные и нарезанные билеты использовать безопасно: «Никто из контролеров, стоящих рядом с турникетами, не проверяет, сам ты его печатал и резал ножницами, или он настоящий. С контролерами внутри электрички, конечно, такой билет использовать нельзя».

Но на этот случай исследователи разработали прототип приложения для Android 7, имитирующий уже созданное компанией «Микротех» приложение «Пригородный билет». В него встроена возможность опознания контрольного числа «путем чтения штрихкода с любого билетика, который вы поднимете с земли и сфотографируете на камеру телефона».

Для того чтобы фейковая программа не утекла в сеть, компании «Микротех» необходимо признать наличие уязвимости. Хакеры предупреждают, что «если в ближайшее время, хотя бы через два-три месяца, мы не увидим, что уязвимости исправлены, мы заполним пробелы и опубликуем полную информацию для всеобщего сведения».

Категории: Уязвимости, Хакеры