Warszawa, Poznań, a teraz Gdańsk. Wszystkie te miasta zainwestował grube miliony w systemy informatyczne, które zdolny informatyk może łatwo obejść. I doładowywać nieograniczoną liczbę kart miejskich biletami za tysiące złotych, albo uzupełniać kartę parkingową i co dnia mieć niej nawet 500 zł. Po zainwestowaniu ok. 50 zł i paru godzinach przed komputerem...
Z każdym kolejnym dniem postępującej cyfryzacji naszego życia pole dla popisu dla zdolnych informatyków jest coraz większe. Ostatnio dowiódł tego pewien gdańszczanin, któremu zaledwie kilka godzin pracy przed komputerem i zakup prostego czytnika kart bezstykowych za ok. 50 zł pozwoliły doładowywać gdańskie Karty Miejskie biletami okresowymi za dowolną kwotę. Na oczach trójmiejskich dziennikarzy hacker doładował bilet do... lipca 2016 r. Czyli za kwotę ponad 2,5 tys. zł.
Na szczęście dla gdańskiego Zarządu Transportu Miejskiego mężczyzna złamał zabezpieczenia wartego ok. 1 mln zł systemu, który stworzono specjalnie dla gdańskiej komunikacji, jedynie hobbystycznie. Jak donosi Trójmiasto.pl, mężczyzna na co dzień jest bowiem informatykiem i pracuje w międzynarodowej firmie. W szeroko pojęty hacking jedyni się bawi. Firmie Sygnity, która wykonała gdański system biletowy, natychmiast przekazał szczegółową dokumentację dotyczącą luk w ich oprogramowaniu.
Gdyby tylko chciał zaryzykować, mógłby jednak zarobić krocie. Jednocześnie odbierając miastu nawet setki tysięcy złotych wpływów z biletów. Tyle uczciwości nie mieli poznańscy informatycy. Tam już w maju ubiegłego roku w światku komputerowym zrobiło się głośno o prostym sposobie na oszukanie biletomatów. Ktoś odkrył bowiem, że maszyny chętnie oszukują miasto i pozwalają doładować KOMkartę na kwotę 100 zł za jedyne... 20 zł. Niektórym udało się podobno zrobić doładowanie nawet za darmo. Gdy o wszystkim napisał wreszcie portal ePoznan.pl, poznański ZTM w panice zablokował możliwość doładowywania biletów w automatach.
Jeszcze dalej poszli hackerzy ze stolicy. Oni swoimi dokonaniami w bezpłatnym przedłużaniu ważności biletów okresowych przechwalali się nawet na popularnym Forum Warszawskiej Komunikacji - WAWkom.waw.pl. Co więcej, warszawiacy opanowali nawet sztukę blokowania kasowników. Wbrew pozorom nie ma to wielkiego sensu, ale okazuje się, iż staje się przydatne na wypadek ewentualnej kontroli biletowej, gdy można tłumaczyć, że nie było gdzie skasować biletu.
Cena ważniejsza od bezpieczeństwa
Znacznie więcej od stołecznej komunikacji przez elektronicznych oszustów mógł stracić jednak Zarząd Dróg Miejskich. Drożyzna warszawskich stref płatnego parkowania sprawiła, że kierowcy ze zdolnościami informatycznymi w pewnym momencie nauczyli się doładowywać karty parkomatowe kwotami w wysokości nawet 500 zł dzięki metodzie podobnej do tej zastosowanej przez informatyka z Gdańska. Czyli wydatku rzędu 50 zł w postaci czytnika kart i - zależnego od zdolności - nakładu czasu spędzonego przed komputerem. A na to trzeba coraz mniej, bo w Polsce dominuje standard Mifare - najpopularniejszy, stosowany w kartach zbliżeniowych na całym świecie. Tym samym, najbardziej podatny na sukcesy hackerskie.
Jak mówi naTemat Piotr Konieczny, szef zespołu bezpieczeństwa portalu Niebezpiecznik.pl, zabezpieczenie byłoby z pewnością lepsze, gdyby tylko w zamówieniach publicznych nie dominowała zasada, że decydujące są przede wszystkim koszty. W tym konkretnym przypadku wszyscy, których bulwersuje słabość miejskich systemów, powinni wziąć też pod uwagę fakt, że lepsze zabezpieczenia przed hackerami-gapowiczami oznaczałby... droższe bilety. - Pytanie, jak wtedy zareagowałaby opinia publiczna - zastanawia się ekspert. Dodaje jednak, że problem może stać się naprawdę poważny, jeśli wiedza na temat łamania miejskich zabezpieczeń stanie się powszechna pod strzechami.
Skoro tyle osób w domowych warunkach jest w stanie złamać systemy zabezpieczeń, na które władze wydają miliony złotych, trudno nie obawiać się, na jakie niebezpieczeństwo wystawione będzie nasze państwo, gdy powszechne staną się elektroniczne "książeczki ubezpieczeniowe" czy dowody tożsamości.
- W tym, że ktoś naładował kartę miejską, nie doszukiwałbym nie wiadomo jakiego skandalu. To, że takie "zabezpieczenia" da się złamać jest oczywiste. Właśnie dlatego jestem gorącym przeciwnikiem np. pomysłów na "wybory przez internet". Chyba tylko wiarą w magiczność elektronicznych zabezpieczeń mogę próbować wyjaśniać sobie, dlaczego wciąż tak wiele osób wierzy, że takie wybory online są dobre dla demokracji - komentuje dla naTemat mecenas Piotr Waglowski, autor serwisu VaGla.pl Prawo i Internet.
- W większości publicznych projektów z jakimi miałem do czynienia, bezpieczeństwo było spychane na drugi plan. Zamawiający w ogóle nie uwzględniali testów bezpieczeństwa w specyfikacji. Kiedyś uczestniczyliśmy jako Niebezpiecznik.pl w ocenie jednego z rozwiązań informatycznych dla służby zdrowia na prośbę jednej z placówek publicznych. W chwili odbierania oprogramowania od wykonawcy zidentyfikowaliśmy zaskakująco dużą liczbę podstawowych, wręcz podręcznikowych błędów bezpieczeństwa które w pewnych przypadkach mogły narazić na szwank zdrowie pacjentów - wspomina Piotr Konieczny.
- Wydaje mi się, że czasami firmy informatyczne biorące udział w publicznych przetargach wykorzystują po części inne oprogramowanie stworzone dla poprzednich klientów, niejako sklejając różne niekompatybilne ze sobą fragmenty kodu w ogóle nie uwzględniając aspektów takich jak wydajność pracy czy bezpieczeństwo - tłumaczy informatyk.
Piotr Waglowski podkreśla natomiast, że w przypadku tego typu oszustw zastanawiać powinniśmy się więcej nad odpowiedzialnością państwa za zabezpieczenia funkcjonujących dla niego systemów teleinformatycznych, a nie sposobem na łapanie hackerów.
- Od demokratycznego państwa prawnego oczekuję, że uprawnione, a nawet zobowiązane do tego organy kontrolujące sposób wydawania publicznych i samorządowych pieniędzy będą robiły swoją robotę. Obywatele zaś będą się przyglądać temu, jak kontrolujący będą tę robotę wykonywać i domagać się będą publikowania wyników takich kontroli - mówi mec. Waglowski.
Popularny prawnik i specjalista od nowych technologii dodaje też, że władze nie mogą być zdziwione, iż komuś nie tylko udało się, ale w ogóle chciało łamać takie zabezpieczenia. Takiego zdziwienia nie mogli bowiem ukryć w Gdańsku ani w ZTM, ani w spółce Renoma, która sprawdza bilety. - Gdybym miał jakoś to tłumaczyć, to spróbowałbym się posłużyć przykładem ludzi, którzy rozwiązują krzyżówki. Jakoś nie dziwi nas to, że tacy ludzie są, a nawet dookoła ich hobby istnieje rynek wydawniczy - ironizuje mecenas.
Wszystkim hobbystom warto jednak przypomnieć, że w zależności od tego, czego przed komputerem dokonają, na jaką kwotę i skalę, grozi im odpowiedzialność karna w związku z szeregiem różnych przestępstw. Wśród których zagrożone karą pozbawienia wolności do lat 5 za oszustwo, czy wyłudzenia elektroniczne opisane w art. 287 kk należą do najłagodniej karanych.
Wydaje mi się, że czasami firmy informatyczne biorące udział w publicznych przetargach wykorzystują po części inne oprogramowanie stworzone dla poprzednich klientów...
Piotr "Vagla" Waglowski
prawnik, znawca nowych technologii
Od demokratycznego państwa prawnego oczekuję, że uprawnione, a nawet zobowiązane do tego organy kontrolujące sposób wydawania publicznych i samorządowych pieniędzy będą robiły swoją robotę. Obywatele zaś będą się przyglądać temu, jak kontrolujący będą tą robotę wykonywać i domagać się będą publikowania wyników takich kontroli.