Карты оплаты проезда в общественном транспорте Грузии оказались незащищенными

У карточек оплаты проезда в общественном транспорте Тбилиси отсутствует защита. Дыру в безопасности обнаружили интернет-пользователи. Компания-разработчик говорит, что проблема есть, но опасности она пока не представляет.

Пластиковые карты, при помощи которых можно оплатить проезд в общественном транспорте столицы Грузии, оказались плохо защищены. Брешь в защите обнаружили пользователи соцсетей. По их словам, любой человек, мало-мальски разбирающий в технических нюансах, может взломать карту и добавить на счет несуществующую сумму.

Общественный транспорт Тбилиси включает автобусы, метро и маршрутные такси. Проезд в автобусах и метро стоит 0,5 лари (около $0,2 – прим. DR), в маршрутных такси – 0,8 лари ($0,35). Оплатить проезд в любом из этих видов транспорта можно картой Metromoney. Ее стоимость составляет 2 лари ($0,85), после чего на карту вносится сумма, которая впоследствии идет на оплату проезда. В течение 30 дней со дня покупки карту можно сдать – чтобы вернули ее залоговую стоимость надо предъявить в кассу пластик и чек оплаты.

В тбилисском муниципальном транспорте используются карты типа Mifare Classic. Технологию и систему защиты разработала и запатентовала компания NPX. «Она удобна в работе и используется в общественном транспорте большинства крупных городов. Но еще в 2007 году разработанную NPX защиту смогли взломать, что позволило расшифровывать содержимое карты и изменять его», – говорит грузинский ИТ-специалист Звиад Киквидзе. Взломав карту, можно вручную вписать в нее любую сумму. Правда, тратить ее можно будет только, расплачиваясь за проезд в транспорте – обналичить деньги не удастся.

О слабой защите транспортных карт пишет и интернет-пользователь Xadoс. Путем нехитрых манипуляций он определил тип RFID-метки, нашел ключи и обнаружил, что отсутствует шифрование. «Это значит, все, что нам остается сделать – прописать в блоке значений, где указывается сумма, любую нужную нам – но не более 2000 лари, потому что ущерб выше этой суммы карается законом. Системы онлайн-проверки карт в Грузии нет, турникеты в автобусах и метро, а также терминалы оплаты в Грузии работают с транспортными картами оффлайн», – объясняет он.

Проблема есть, но она не опасна

Карточки для компании «Тбилисский транспорт» разработала компания AzRy. Ее представители говорят, что о слабом звене в системе безопасности знают, но до тех пор, пока ущерб от нее не достигнет больших цифр, опасности она не представляет. «Производитель чипа для карт NXP еще в ноябре 2008 года сообщил нам о проблеме и дал рекомендации. За прошедшее время зафиксировано всего несколько случаев, когда владельцы карт воспользовались слабостью в системе безопасности и нелегально исправили информацию на карте. Как правило, цель таких действий – удовлетворение интереса либо привлечение внимания. Сегодня такие взломанные карты не блокируют – это связано с определенными техническими причинами и комфортом пользователя. Но если статистика нелегального доступа к картам вырастет, блокировка карт не представляет собой проблемы», – объясняют в AzRy.

Подобного мнения придерживаются и эксперты. ИТ-специалист Иракли Гвенетадзе говорит, что любое технологическое решение основано на анализе рисков, и случай с транспортными картами – не исключение. «Кибербезопасность и вообще безопасность в целом – это вопрос сопоставления рисков и пропорциональных им инвестиций. Если бизнес теряет из-за нарушения системы безопасности, но эти потери меньше, чем инвестиции, необходимые для решения проблемы, – это приемлемый подход. Например, компания Visa в США долгое время не меняла обычные карты на карты с чипом. Свое решение она объясняла тем, что инвестиционные расходы смены карт превышают убытки в несколько сотен раз. Так что если риски оценены, и принятое решение основано на их анализе (на что я надеюсь), то серьезной опасности проблема не представляет», – объясняет Гвенетадзе.

Специалисты успокаивают и приводят в пример международный опыт – транспортные системы во многих странах в той или иной степени небезопасны. Однако они подчеркивают, что использование устаревших решений делает карточки еще более уязвимыми. Слабая защита может принести вред, если примет массовый характер, поэтому о решении проблемы надо думать уже сейчас. «Рано или поздно это может произойти. Некоторые города мира уже столкнулись с такой проблемой. Им пришлось перейти на новый тип карточек. Например, в Дублине перешли на карточки Mifare DESFire, но они стоят дороже Mifare Classic. Хотя и их защиту можно взломать, но сделать это сложнее», – говорит Киквидзе.