Как хакеры взламывают РЖД, делая бесплатные билеты на электрички

|
FavoriteLoading В закладки
Как хакеры взламывают РЖД, делая бесплатные билеты на электрички

Российская группа хакеров под названием Che Burashka обьявила о намерении выпустить ПО, позволяющее любому создавать билеты на электрички.

Причём хакеры это делают с определенной целью: показать, что уязвимость есть, а разработчики «Микротех» напрасно игнорируют проблему. К слову, «Микротех» — компания-создатель программного обеспечения для РЖД.

Причём хакеры уже сделали приложение для мобильных устройств, имитирующее программу Пригородный билет. В нем бесплатно генерируется готовый билет для проезда на электричке, а сканеры контролеров это даже не замечают.

Как у них это получилось

Для разработки программы хакеры купили три турникета на Avito (кто бы мог подумать). К ним прилагалась документация и программное обеспечение на дискете.

Благодаря изучению нескольких десятков настоящих билетов, хакеры смогли распознать систему защиты.


Пример рабочей программы по подделке билетов РЖД

QR-коды и штрих-коды, расположенные на билете, имеют контрольный номер, генерируемый одним и тем же алгоритмом. При его использовании применяется одна и та же переменная, ежедневно загружаемая сотрудниками РЖД на кассовые и переносные терминалы.

Зная этот алгоритм и имея на руках свежий билет, купленный в кассе РЖД (или найдя его на помойке), можно создать актуальный QR/штрих-код, который и будет распознаваться техникой.

То есть я смогу сам делать себе билет на электричку?

Именно так. Хакеры подтвердили, что ПО уже практически готово для публичного релиза.

Дабы оно не «утекло» в Сеть, представителям «Микротех» нужно всего-лишь публично признать наличие уязвимости. В противном случае, любой сможет бесплатно кататься на пригородных электричках.

И что самое обидное — это студенческий исследовательский проект. Создатели фейковой программы не раз отметили, что при желании любой может взломать систему РЖД и создать свой аналог. Надеемся, что «Микротех» исправит недостатки в ближайшее время. [HabraHabr]

Поставьте оценку:

1 Звезд2 Звезды3 Звезды4 Звезды5 Звезд (Нет голосов)
Оставайся в теме. Подпишись на наш Telegram 👏
... и не забывай читать наш Facebook и Twitter 🍒
FavoriteLoading В закладки
undefined
iPhones.ru
Хакеры пообещали поделиться информацией со всеми.
Прокомментировать

🙈 Комментарии 24

  1. Muxaulo avatar
    Muxaulo24 января в 7:59
    20

    На них ФСБ, скорее, натравят и засудят, а не признают проблему. Как будто ребята забыли, в какой стране живут

    egoistabond avatar
    egoistabond24 января в 11:31
    1

    @Muxaulo, и в какой стране мы живем? в которой для студенческого проекта можно купить несколько турникетов?)

    Muxaulo avatar
    Muxaulo24 января в 15:37
    2

    @egoistabond, в той, в которой после таких слов в дверь тараном постучат вежливые работники ФСБ

    egoistabond avatar
    egoistabond24 января в 15:41
    0

    @Muxaulo, вот когда постучат и все эти ребята резко пропадут со своим проектом, тогда можно будет говорить, а пока это всё бабка надвое сказала)

    у меня лично больше вопросов было бы к продавцу турникетов, чем к хацкерам.

    Muxaulo avatar
    Muxaulo24 января в 16:54
    1

    @egoistabond, а продавцу турникетов-то как раз ничего, его дело прибыль получать, назначение его продукции его должно мало волновать. Сделать его крайним могут, конечно, но это вряд ли. Если что-то и произойдёт, то виноваты будут ребята, скорее всего

    t.r.o.n. avatar
    t.r.o.n.24 января в 16:56
    0

    @egoistabond, если институт не новомодная перделка и руководитель проекта – нормальный, то такое финансирование (в 50-200 тыс руб) очень легко получается. Большее – чуть сложнее.
    Только очень мало таких студентов, кто готов реально работать. А жаль.

    Ребята – Молодцы!

  2. tap04eg avatar
    tap04eg24 января в 8:01
    1

    Красава :) побольше таких энтузиастов)

  3. Фугас avatar
    Фугас24 января в 8:22
    5

    Мне интересно, Артём, вы намеренно упустили мотивационную часть этих ребят и такой плохой журналист поэтому, а не потому что вы просто не вникли в суть?

    potatoonair avatar
    potatoonair24 января в 8:47
    1

    @Фугас, просветите свой поток, мутно как то

    Message34 avatar
    Message3424 января в 9:16
    0

    @Фугас, поддерживаю. “учёный изнасиловал журналиста”

  4. tty01 avatar
    tty0124 января в 8:37
    1

    Ребят посадят, уязвимость не исправят.

  5. Ronash avatar
    Ronash24 января в 9:06
    5

    Причём…
    Причём
    Тавтология 😉
    ЗЫ. Студенты уж не те, могут себе позволить покупать турникеты, чтобы вычислить ежедневно меняющийся код ☝🏻

  6. beatinears avatar
    beatinears24 января в 9:35
    0

    Надеемся что микротех ничего не сделает а по будет в свободном доступе)

  7. fimoz avatar
    fimoz24 января в 10:26
    6

    22 век на носу, а билет на электричку все еще нельзя купить онлайн.

    Bloomsbury24 января в 11:28
    3

    @fimoz, хрена се у тебя нос

    Okhlamon avatar
    Okhlamon24 января в 11:49
    0

    @fimoz, почему нельзя? с 2017 года существует приложение Пригород, по которому народ ездит. Правда, мы ж всё таки в России))) таким образом, проход осуществляется по штрих-коду, которых высвечивается на экране смартфона, вот только поверхность сканера может быть утоплена в корпус турникета сантиметра на 1.5. Часто вижу, как народ крутит мобильники в руках, чтобы сканер всё-таки поймал нужный фокус.

    fimoz avatar
    fimoz24 января в 11:56
    0

    @Okhlamon, московского региона нет в списке

    Luka_rus avatar
    Luka_rus24 января в 16:03
    0

    @fimoz, Написал же человек, что в России, а не в Москве. На Стрелку или Тройку можно записать вроде.

    fimoz avatar
    fimoz24 января в 16:39
    0

    @Luka_rus, можно, но не удаленно

    Sokromishe avatar
    Sokromishe24 января в 11:51
    1

    @fimoz, 21 (и 22 видимо) век в России нельзя сравнивать с ним же в развитых странах. Вам ли не знать? Стабильность в России – только путин, и отсутствие дорог на 80% страны.

  8. mek321 avatar
    mek32124 января в 10:44
    1

    Такая программа была ещё лет 10-11 назад! Лично пробовал напечатать билеты, всё прекрасно работало.

  9. mek321 avatar
    mek32124 января в 10:49
    0

    И судя по фото на скриншоте именно та старая прога, на билетах обычный штрих код. А сейчас, если я не ошибаюсь, на билетах печатается QR код.

    Muxaulo avatar
    Muxaulo24 января в 15:38
    1

    @mek321, так той самой программы нет в общем доступе, картинка приведена для примера такой программы

  10. Eternal24 января в 16:30
    0

    Это все происки контролеров, которых как собак на каждой станции. :) может им сокращениями, ввиду курса на автоматизацию, посулили, вот и вброс сделали, чтобы остаться на работе. :)

Вы должны авторизоваться или зарегистрироваться для комментирования.

Нашли орфографическую ошибку в новости?

Выделите ее мышью и нажмите Ctrl+Enter.

Как установить аватар в комментариях?

Ответ вот здесь