Российская группа хакеров под названием Che Burashka обьявила о намерении выпустить ПО, позволяющее любому создавать билеты на электрички.
Причём хакеры это делают с определенной целью: показать, что уязвимость есть, а разработчики «Микротех» напрасно игнорируют проблему. К слову, «Микротех» — компания-создатель программного обеспечения для РЖД.
Причём хакеры уже сделали приложение для мобильных устройств, имитирующее программу Пригородный билет. В нем бесплатно генерируется готовый билет для проезда на электричке, а сканеры контролеров это даже не замечают.
Как у них это получилось
Для разработки программы хакеры купили три турникета на Avito (кто бы мог подумать). К ним прилагалась документация и программное обеспечение на дискете.
Благодаря изучению нескольких десятков настоящих билетов, хакеры смогли распознать систему защиты.
Пример рабочей программы по подделке билетов РЖД
QR-коды и штрих-коды, расположенные на билете, имеют контрольный номер, генерируемый одним и тем же алгоритмом. При его использовании применяется одна и та же переменная, ежедневно загружаемая сотрудниками РЖД на кассовые и переносные терминалы.
Зная этот алгоритм и имея на руках свежий билет, купленный в кассе РЖД (или найдя его на помойке), можно создать актуальный QR/штрих-код, который и будет распознаваться техникой.
То есть я смогу сам делать себе билет на электричку?
Именно так. Хакеры подтвердили, что ПО уже практически готово для публичного релиза.
Дабы оно не «утекло» в Сеть, представителям «Микротех» нужно всего-лишь публично признать наличие уязвимости. В противном случае, любой сможет бесплатно кататься на пригородных электричках.
И что самое обидное — это студенческий исследовательский проект. Создатели фейковой программы не раз отметили, что при желании любой может взломать систему РЖД и создать свой аналог. Надеемся, что «Микротех» исправит недостатки в ближайшее время. [HabraHabr]
(7 голосов, общий рейтинг: 4.29 из 5)
Артём Баусов
@DralkerГлавный по новостям, кликбейту и опечаткам. Люблю электротехнику и занимаюсь огненной магией. По всем вопросам пишите в Telegram: @TemaBausov
24 комментариев
Форум →На них ФСБ, скорее, натравят и засудят, а не признают проблему. Как будто ребята забыли, в какой стране живут
@Muxaulo, и в какой стране мы живем? в которой для студенческого проекта можно купить несколько турникетов?)
@egoistabond, в той, в которой после таких слов в дверь тараном постучат вежливые работники ФСБ
@Muxaulo, вот когда постучат и все эти ребята резко пропадут со своим проектом, тогда можно будет говорить, а пока это всё бабка надвое сказала)
у меня лично больше вопросов было бы к продавцу турникетов, чем к хацкерам.
@egoistabond, а продавцу турникетов-то как раз ничего, его дело прибыль получать, назначение его продукции его должно мало волновать. Сделать его крайним могут, конечно, но это вряд ли. Если что-то и произойдёт, то виноваты будут ребята, скорее всего
@egoistabond, если институт не новомодная перделка и руководитель проекта – нормальный, то такое финансирование (в 50-200 тыс руб) очень легко получается. Большее – чуть сложнее.
Только очень мало таких студентов, кто готов реально работать. А жаль.
Ребята – Молодцы!
Красава :) побольше таких энтузиастов)
Мне интересно, Артём, вы намеренно упустили мотивационную часть этих ребят и такой плохой журналист поэтому, а не потому что вы просто не вникли в суть?
@Фугас, просветите свой поток, мутно как то
@Фугас, поддерживаю. “учёный изнасиловал журналиста”
Ребят посадят, уязвимость не исправят.
Причём…
Причём
Тавтология ?
ЗЫ. Студенты уж не те, могут себе позволить покупать турникеты, чтобы вычислить ежедневно меняющийся код ☝?
Надеемся что микротех ничего не сделает а по будет в свободном доступе)
22 век на носу, а билет на электричку все еще нельзя купить онлайн.
@fimoz, хрена се у тебя нос
@fimoz, почему нельзя? с 2017 года существует приложение Пригород, по которому народ ездит. Правда, мы ж всё таки в России))) таким образом, проход осуществляется по штрих-коду, которых высвечивается на экране смартфона, вот только поверхность сканера может быть утоплена в корпус турникета сантиметра на 1.5. Часто вижу, как народ крутит мобильники в руках, чтобы сканер всё-таки поймал нужный фокус.
@Okhlamon, московского региона нет в списке
@fimoz, Написал же человек, что в России, а не в Москве. На Стрелку или Тройку можно записать вроде.
@Luka_rus, можно, но не удаленно
@fimoz, 21 (и 22 видимо) век в России нельзя сравнивать с ним же в развитых странах. Вам ли не знать? Стабильность в России – только путин, и отсутствие дорог на 80% страны.
Такая программа была ещё лет 10-11 назад! Лично пробовал напечатать билеты, всё прекрасно работало.
И судя по фото на скриншоте именно та старая прога, на билетах обычный штрих код. А сейчас, если я не ошибаюсь, на билетах печатается QR код.
@mek321, так той самой программы нет в общем доступе, картинка приведена для примера такой программы
Это все происки контролеров, которых как собак на каждой станции. :) может им сокращениями, ввиду курса на автоматизацию, посулили, вот и вброс сделали, чтобы остаться на работе. :)
Нашли орфографическую ошибку в новости?
Выделите ее мышью и нажмите Ctrl+Enter.Почему на iPhone 11 нельзя расширить фото во время редактирования
Что означает ошибка «Профиль приложения больше не доступен» в iOS
Как на Mac поменять язык в определенном приложении, но не менять язык системы
Почему iPhone с iOS 14 не видит другие устройства в сети Wi-Fi
Как убрать нижнюю панель в Сообщениях на iPhone
Как произвести повторную калибровку аккумулятора iPhone в iOS 14.5
Какие приложения работают на iOS 10.3, а какие нет
Почему при открытии заметок в iCloud через браузер требуется подтверждение на iPhone