#1
|
|||
|
|||
Хакеpы взломали монитоpы в киевском метpо и pазместили изобpажения кото
Valentin Kuznetsov написал(а) к All в May 16 14:00:18 по местному времени:
Пpивет, All! Хоpошо хоть, что не научили стpелки мяукать: ===BEG=== Echo : RU.NEWS Date : 27 May 16 13:30:59 From : NewsRobot 2:5053/51 To : All Subj : Хакеpы взломали монитоpы в киевском метpо и pазместили изобpажения кото ============================================ Lenta.ru: https://lenta.ru/news/2016/05/27/hacker 27.05.2016 11:21 Хакеpы взломали монитоpы в киевском метpо и pазместили изобpажения котов В Киевском метpополитене хакеpы взломали видеомонитоpы, pасполагающиеся в вагонах поездов. Об этом в пятницу, 27 мая, сообщает `112 Укpаина`. Неизвестные вывели на экpаны изобpажения котов. Инцидент пpоизошел вечеpом в четвеpг, 26 мая, уточняет телеканал. Отмечается, что в янваpе этого года в подземке укpаинской столицы был зафиксиpован подобный случай. Тогда на экpанах pазместили фотогpафию актеpа Эндpю Скотта в обpазе злодея Джима Моpиаpти из бpитанского сеpиала `Шеpлок` и подписью `Miss me?` (`Соскучились по мне?`). Снимки опубликовало сообщество `Наш Киев` в Twitter. Хакеpы взломали систему монитоpов в киевском метpо, pазместив там фото пpофессоpа Моpиаpти из сеpиала "Шеpлок Холмс" pic.twitter.com/h0BiwSz6mU Ч Наш Киев (@nashkiev) 15 янваpя 2016 г. _ NewsRobot V0.14e/OS2 (C) W2M PROGRAMMING, 02.2014-04.2016 x Origin: CONCORD BBS (2:5053/51.0) ===END=== --- WebFIDO/OS2 V0.13931g |
#2
|
|||
|
|||
Re: Хакеpы взломали монитоpы в киевском метpо и pазместили изобpажения
Yurij Djatlov написал(а) к Valentin Kuznetsov в May 16 12:58:51 по местному времени:
Привет, Valentin ! 27 Май 16 14:00, Valentin Kuznetsov пишет All : VK> Lenta.ru: https://lenta.ru/news/2016/05/27/hacker VK> 27.05.2016 11:21 Хакеpы взломали монитоpы в киевском метpо и VK> pазместили изобpажения котов http://moslenta.ru/article/2016/05/27/trojka/ Хакер взломал систему оплаты карты <Тройка> Уязвимость позволяет пользоваться транспортом бесплатно Опытный программист выявил уязвимость приложения <Мой проездной>, которое служит владельцам смартфонов для пополнения карты <Тройка>. Баг позволяет ездить на всех видах московского транспорта, в том числе аэроэкспрессах и велосипедах, фактически бесплатно, посещать планетарий и делать многое другое. Более того - программист разработал приложение под Android, которое позволяет пополнять электронный кошелек виртуальными деньгами. UPD: Через несколько часов после выпуска статьи пресс-служба Московского метрополитена сообщила, что устранила уязвимость в системе. Для этого разработчики даже связались с программистом, который нашел баг. Две недели и 10 рублей Информация о приложении и дефекте системы оплаты появилась на одном из популярных сайтов, изучающих уязвимости программ. <Были найдены уязвимости, позволяющие выполнить подделку баланса, записанного на электронном кошельке карты Тройка, - сообщил пользователь под именем Игорь Шевцов. - В результате чего стало возможным использование систем, поддерживающих карту, без оплаты>. В ходе исследования, которое продолжалось всего 14 дней и выполнялось одним человеком в свободное время, Шевцов выяснил, что карта ни капельки не защищена от подделки баланса электронного кошелька. Системы проверки подлинности электронных подписей не соответствуют современным требованиям и легко обходятся одним-единственным вмешательством. Для взлома системы Игорь Шевцов использовал приложение для смартфонов <Мой проездной>, которое разработано <Банком Москвы> для гаджетов Android, и проездной>позволяет пополнять карту с помощью смартфона с функцией NFC. проездной><Несмотря на применяемые системы защиты, такие как ключи доступа проездной>к карте и криптографическая подпись в секторе электронного проездной>кошелька, подделка баланса оказалась возможна>, - мягко замечает проездной>программист. Скриншот исследования с указанием дефектного кода Больше всего времени заняло изучение структуры данных в памяти карты. Доступ к ним оказался открыт: все данные, в том числе дата, время и место прохода через считывающие устройства, размер и место списания и многое другое хранятся в незашифрованном виде. Но просто шифровка этой информации, по мнению исследователя, не решает проблему. <В случае, если бы данные в памяти карты были зашифрованы, вероятнее всего, потребовалось бы физическое проникновение в системы, работающие с картой, что делает атаку существенно сложнее>, - уверен Шевцов. Более того, затратив всего десять рублей, программист сумел найти ячейки, в которых хранятся данные о балансе: всего-то и надо было, что десять раз пополнить <Тройку> на рубль, внимательно изучая изменения кодов. <Путём подбора возможных форматов хранения данных было выяснено, что значение баланса электронного кошелька хранится в области памяти от младших 4 бит 8 байта до старших 3 бит 10 байта и рассчитывается по формуле:>, - пишет программист. Соответственно, изменение именно этих цифр в памяти карты <Тройка> позволило пополнить баланс карты, не потратив ни копейки. Итогом исследования стало приложение TroykaDumper, которое позволяет легко пополнить баланс карты, фактически не потратив ни копейки. А поскольку приложение устанавливается на мобильный телефон с ОС Android, то электронный кошелёк наполняется вполне реальными деньгами в любом месте в любое время. Автор исследования также даёт вполне кликабельную ссылку на скачивание программы. Что думает производитель Редакция МОСЛЕНТЫ связалась с производителем карты <Тройка> и выяснила, что программа <Мой Проездной> разработана специалистами одного из крупных российских банков и сертификацию не проходила, так как <производители автомобилей не сертифицируют бензин>. Информацией об экспертной оценке качества программ конкретного Банка фирма-производитель не обладает - кредитное учреждение защищено имиджем. В настоящее время получить комментарий от банка редакции МОСЛЕНТЫ не удалось. С уважением. Yurij Djatlov. --- djatlov@mail.ru - авось дойдет |
#3
|
|||
|
|||
Хакеpы взломали монитоpы в киевском метpо и pазместили изобpажения
Anton Barabanov написал(а) к Yurij Djatlov в May 16 13:29:28 по местному времени:
Приветствую, Yurij! Как ваше и-го-го? 28 Май 16 года, в 12:58, Yurij Djatlov (2:6055/7.1) -> Valentin Kuznetsov: YD> Хакер взломал систему оплаты карты <Тройка> Читать надо в оригинале, а не набрасывать от журноламеров. https://habrahabr.ru/post/301832/ Приём случай далеко не первый. Пока. Anton. ... В любом из нас спит гений. И с каждым днём всё крепче. --- И. В. Сталин: Если наши враги нас ругают, значит мы всё делаем правильно! |
#4
|
|||
|
|||
Re: Хакеpы взломали монитоpы в киевском метpо и pазместили изобpажения
Yurij Djatlov написал(а) к Anton Barabanov в May 16 00:46:16 по местному времени:
Привет, Anton ! 28 Май 16 13:29, Anton Barabanov пишет Yurij Djatlov : YD>> Хакер взломал систему оплаты карты <Тройка> AB> Читать надо в оригинале, а не набрасывать от журноламеров. AB> https://habrahabr.ru/post/301832/ AB> Приём случай далеко не первый. Правильнее было бы сформулировать несколько вежливее, но для тебя сойдёт. За ссылку на первоисточник спасибо. С уважением. Yurij Djatlov. --- djatlov@mail.ru - авось дойдет |
#5
|
|||
|
|||
Хакеpы взломали монитоpы в киевском метpо и pазместили изобpажения
Anton Barabanov написал(а) к Yurij Djatlov в May 16 11:32:24 по местному времени:
Приветствую, Yurij! Как ваше и-го-го? 29 Май 16 года, в 00:46, Yurij Djatlov (2:6055/7.1) -> Anton Barabanov: YD> Правильнее было бы сформулировать несколько вежливее, но для тебя YD> сойдёт. Опыт показывает, что если, например, сантехнику-алкоголику объяснять задачу на уровне инженера, то он мало того, что нифига не поймёт, так ещё и будет полностью уверен, что объясняющий - идиот. Задачу же на уровне пэтэушника, да ещё и на его жаргоне, он схватит гораздо быстрее. Ибо не должно быть сильной разницы в уровне общения. Точно так же и к тебе применён индивидуальный подход, который многократно себя оправдал. YD> За ссылку на первоисточник спасибо. Вот и результат. Максимально быстро и эффективно. Вежливое же общение с тобой приводит к ненужной демагогии и софистике с твоей стороны. Так что либо тебя игнорить, либо сразу ставить на место. Остальные подходы приводят к вышеописанному, что подтверждается наблюдением за твоим общением не только со мной. Пока. Anton. ... И всех доброжелателей подальше посылай... --- И. В. Сталин: Если наши враги нас ругают, значит мы всё делаем правильно! |