Хостинг, который использует TopHope.RU более 2-х лет

Хостинг, который использует TopHope.RU более 2-х лет

Сайт для программистов

Да здравствуют зайцы-хакеры

Тема в разделе "Безопасность", создана пользователем sailas32, май 31, 2016.

  1. sailas32

    sailas32 Старший модератор Команда форума Старший модератор

    Сообщения:
    192
    Симпатии:
    435
    Баллы:
    1,100
    Хакер создал приложение, позволяющее бесплатно ездить в московском метро и наземном транспорте

    Пользователь ресурса «Хабрахабр» рассказал об уязвимости в системе карты «Тройка», а также создал приложение, которое позволяет бесплатно пополнять баланс. «Взломанная» карта может использоваться для оплаты проезда в общественном транспорте.

    [​IMG]
    Разработчик Игорь Шевцов пояснил, что целью его исследования была проверка защищенности системы от подделки баланса, а также оценка безопасности инфраструктуры, работающей с картой. Вся работа была проведена без использования специальных технических средств — ему понадобился только смартфон с NFC-чипом. На поиск уязвимости у него ушло 15 дней. Для взлома системы Игорь Шевцов использовал мобильное приложение «Мой проездной», через которое он смог получить доступ к памяти карты и изучить структуру хранения данных.

    «Больше всего времени заняло изучение структуры данных в памяти карты. Это оказалось возможным из-за того, что данные хранятся в незашифрованном виде. В случае, если бы данные в памяти карты были зашифрованы, вероятнее всего, потребовалось бы физическое проникновение в системы, работающие с картой, что делает атаку существенно сложнее», – пишет Шевцов.

    В результате, найденные «дыры» в системе позволили выполнить подделку баланса, который записан на электронном кошельке карты «Тройка». Программист также создал приложение под названием TroikaDumper, которое можно скачать с GitHub, и дал рекомендации, как избежать финансовой блокировки. Он отметил, что предоставляет эти материалы «исключительно в ознакомительных целях.
    [​IMG]
    «Не оперируйте суммами баланса более 100 рублей. Никогда не проходите в метро два раза с одинаковым временем последнего прохода. После записи дампа обновите текущее время на карте, используя валидатор в наземном транспорте. То есть, перед каждым проходом в метро нужно выполнить списание через желтый валидатор в автобусе или трамвае», – отметил хакер.

    Как заявил разработчик, для исправления недочетов системы «необходимо усовершенствование формата хранения данных в памяти карты и обновление программного обеспечения всех систем, работающих с картой». Представитель Департамента транспорта и развития дорожно-транспортной инфраструктуры заявил, что об уязвимостях им ничего не известно.
     
    l3x3l нравится это.
  2. l3x3l

    l3x3l Part of ZeroLevel Team

    Сообщения:
    148
    Симпатии:
    177
    Баллы:
    1,068
    поставил лайк только потому что у хацкера этого моя фамилия )))