2 dni temu odezwał się do nas czytelnik, który przesłał fotografię biletomatu z Rzeszowa. Zamiast aplikacji do sprzedaży biletów, maszyna wyświetlała film pornograficzny z serwisu redtube. Jak komuś udało się włamać na biletomat?

Biletomat to tak naprawdę przykład infokiosku (z możliwością sprzedaży). Infokioski zazwyczaj podpięte są do internetu i pracują pod kontrolą dedykowanego systemu operacyjnego lub standardowego systemu operacyjnego z odpowiednią konfiguracją. Na ile sposobów można je zaatakować? Poniżej postaraliśmy się zebrać kilka “wektorów ataku”:

Jeśli infokiosk pozwala na przejście na dowolną stronę internetową, do ataku “ucieczki” skorzystać można ze świetnego frameworka iKAT . Jeśli możliwe jest przejście na ograniczony zestaw stron internetowych (np. FAQ, lub regulamin) warto rozejrzeć się, czy na tych stronach nie znajdują się np. linki do Google. Po przejściu na wyszukiwarkę możemy, wpisując odpowiednie zapytania, wyświetlić kolejne strony (o ile nie została nałożona blokada na domeny). Atak tego typu w praktyce prezentują studenci AGH .

Wreszcie, kontrolę nad infokioskami można przejąć nie atakując samych infokiosków, a serwer z którego pobierają treści. W ten sposób kilka lat temu przejęto infotablice na autostradzie A4.

Rzeszowskie MPK ma na swoim koncie ujawnienie informacji na temat serwerów zarządzających projektem infotablic. Może to było inspiracją dla osób niezdrowo zainteresowanych bezpieczeństwem? O problemie 2 miesiące temu informował nas jeden z czytelników:

Szanowni Państwo,

W Rzeszowie niedawno została zakończona realizacja Rzeszowskiego Transportu Miejskiego w którego skład wchodzi również system do zarządzania ruchem ulicznym. Program jest promowany na plakatach, które zawisły na większości przystanków MPK w Rzeszowie. Nie byłoby w tym nic dziwnego gdyby nie fakt, że na plakatach są zdjęcia ekranów z systemem do jego zarządzania. Widoczne są na nich adresy ip (i nie tylko ;)).

Administratorzy systemu jak widać korzystają z sieci wewnętrznej i nie ma pewności czy dostęp jest możliwy z poza niej, ale mimo tego potrzeba ujawnienia tych danych przez ZTM wydaje się wątpliwa.

Bonus:

Tą część programu realizowała firma z Hiszpanii, co doskonale widać zaglądając nieco głębiej w kod js systemu (http://einfo.erzeszow.pl) i spoglądając na komentarze w większość napisane w j. hiszpańskim. Poniżej dwa najciekawsze fragmenty:

if (false) { // OFFLINE-ONLINE FUNCTIONALITY DISABLED FOR THIS DEMO

if(elemento){

var that = elemento;

}else

{

var that = this;

this.options.element = this.element;

}