Klávesové zkratky na tomto webu - základní
Přeskočit hlavičku portálu

Manipulovat s Plzeňskou kartou se nevyplatí, míní provozovatel systému

aktualizováno  0:32
Plzeňské městské dopravní podniky vědí, že lze s Plzeňskou kartou manipulovat. Od počátku provozu ale firma zaznamenala jen deset případů, kdy musela kartu zablokovat. Manipulace s elektronickou peněženkou se podle ní nevyplatí.

Manipulace s elektronickou peněženkou Plzeňské karty se podle dopravních podniků nevyplatí | foto: iDNES.cz

Za snahou ukázat na bezpečnostní chybu tak šéf projektu Plzeňská karta Vladimír Kvarda vidí spíše snahu o diskreditaci. Plzeňské městské dopravní podniky (PMDP) totiž manipulovanou kartu během několika dní zablokují.

Stačí šikovný mobil a v Plzni budete jezdit zadarmo

Díky mobilu s NFC lze snadno manipulovat s kreditem Plzeňské karty

Díky rychlosti takového zjištění je pak podle Kvardy téměř vyloučeno, aby někdo manipulací s kreditem v elektronické peněžence získal výrazný finanční profit. "Plzeňská jízdenka, na které jste problém demonstrovali, je již od 14.4.2011 na seznamu zakázaných karet, a to právě díky neoprávněným transakcím z 10.4.2011," nastínil pružnost systému Kvarda.

Jak lze s kartou manipulovat?

1. lze číst bez vědomí uživatele osobní údaje z karty (datum narození, jméno uživatele, číslo karty)

2. lze neomezeně manipulovat s kreditem v elektronické peněžence (nabíjet, mazat atp.)

3. lze kartu bez vědomí uživatele deaktivovat a tím dočasně znehodnotit

Za pokusy o zmanipulování dat uložených na kartě a následnou medializací vidí spíše konkurenční snahu o získání výhody na trhu, případně lobby některé z technologických firem. "Jsme nejspíše svědky prostého konkurenčního boje (...), v současné době totiž probíhá jedna významná zakázka na dodávku a provozování kartového systému jednoho z krajů a PMDP se jí účastní," dodal.

O prolomení karet víme, není to ale jen o nich

Firma ví o prolomení technologie Mifare Classic, kterou Plzeňská karta a jízdenka používají. První takový případ zaznamenala v roce 2009 a ihned o něm informovala na svých stránkách. Od počátku fungování projektu pak zaznamenala jen deset pokusů o manipulaci s ní. Letos takto zablokovala šest karet, námi použitá jízdenka k demonstraci problému byla jubilejní desátá.

"Bezpečnost systému není založena pouze na zabezpečení čipové karty, ale její stěžejní část je v zúčtovacích systémech mimo vlastní čipovou kartu," vysvětluje Kvarda. Pokud tedy útočník zmanipuluje kredit uvedený na kartě, dostane jej do nesouladu se zůstatkem karty v zúčtovacím systému, což má za následek její zablokování a kontaktování jejího držitele, dodal.

Škody, které takto manipulované karty firmě způsobily, jsou prý minimální. "Úhrnem znamenají škodu na jízdném v řádu stovek korun," tvrdí Kvarda. I proto firma nevidí důvod, proč urychlit přechod na novější technologii Mifare DESFire, která je dnes považována za bezpečnou. Ten plánuje na rok 2013.

Na zabezpečení karet před vandaly máme pouzdro

"Zde si je třeba uvědomit, že přechod na novou technologii čipových karet není jenom o vydávání nových karet, ale je to zejména o na kartu navazujících systémech. S počtem navazujících systémů roste investiční náročnost přechodu na novou technologii," vysvětluje postoj firmy šéf Plzeňské karty.

Navíc upozorňuje, že při přechodu je nutné pracovat s rizikem, že dříve než bude celý systém dokončen, dojde k  prolomení i nové čipové technologie. "Proto musí bezpečnost systému multifunkčních čipových karet mít své těžiště mimo vlastní čipovou kartu, stejně jako je tomu v systémech bankovních karet," dodal.

Z pohledu dalšího rizika, které je s prolomením zabezpečení karty spojeno, tedy možnost čtení osobních údajů z karty, má firma jednoduché řešení: "PMDP mají v nabídce speciální bezpečnostní pouzdro na čipovou kartu, které naprosto spolehlivě zamezuje jakýmkoli manipulacím s daty na kartě i čtení dat z nich."

Divné pohnutky aneb Proč s kartou manipulovat?

Ing. Vladimír Kvarda, ředitel úseku Plzeňská karta, odhaduje účely manipulace s daty na kartě. Zjevné pohnutky útočníka jsou podle něj následující:

a) Chce se obohatit a používat elektronické peníze neoprávněně nahrané na kartu k úhradě (nebo tak bude činit někdo jemu známý). Pak se dopouští trestného činu. I v případě, že se jej nepodaří odhalit, karta mu bude ze strany vydavatele karty oprávněně zablokována. A protože jde o kartu určenou pro mikroplatby, zjistí, že se mu její napadání ekonomicky nevyplatí (poměr ceny karty a využití neoprávněně nahraných peněz).

b) Chce poškodit jiné osoby, např. při cestě MHD, protože z toho má dobrý pocit (pocit důležitosti, radost z poškození někoho jiného apod.). Poškození držitelé karet pak zjistí, že jim někdo s kartou manipuloval, nahlásí to na PMDP a na kartu jim bude následně vrácen zdarma jejich skutečný zůstatek elektronických peněz. Tj. jde o vandalismus - záměrné poškozování cizí věci, a protože je pro takovou "zábavu" nutná vzdálenost mezi čtečkou čipových karet (což může být i mobilní telefon s NFC) a čipovou kartou do 10 cm, bude takový útočník poměrně nápadný.

c) Chce poškodit dobré jméno vydavatele karty, aby z toho pro sebe mohl získat prospěch (chce pro vydavatele implementovat nový systém nebo mu nabídnout lepší zabezpečení, chce pro sebe získat konkurenční výhodu, tj. např. zpochybnit obchodní aktivity vydavatele karty apod.).  Právě tento důvod je nejčastějším důvodem proč zejména IT firmy upozorňují na nebezpečnost starších řešení.

Autor:




Nejčtenější

Hlasová asistentka Applu posílá zájemce o prostiututky do sportovního baru
V jeho baru hledají prostitutky. Může za to hlasová asistentka Applu

Ať už s tímto objevem přišli vtipálci, nebo to někdo opravdu myslel vážně, zjistilo se, že když se hlasové asistentky Applu Siri někdo zeptá na prostitutky,...  celý článek

Android O
Google odhaluje nový Android O, změny budou hlavně v pozadí

S velkým předstihem před chystanou vývojářskou konferencí I/O odhalil Google novou připravovanou verzi svého operačního systému Android. Nese označení O a...  celý článek

Logo společnosti Vodafone (Ilustrační sníme´k)
Vodafone má další nové, daty našlápnuté tarify. Ukrývá je před zraky všech

Od představení rodinného tarifu s velkou porcí dat uplynul teprve měsíc a půl a Vodafone už do své nabídky zahrnul další obdobné speciality. Tentokrát ovšem v...  celý článek

TAG Heuer Connected Modular 45 jsou podle tvůrců věčné.
První nesmrtelné chytré hodinky s revoluční konstrukcí má TAG Heuer

TAG Heuer představila druhou generaci svých chytrých hodinek. Název Connected zůstal, přibyl ale přídomek Modular 45. Jde o vůbec první modulární chytré...  celý článek

Huawei P10 Lite
Nový Huawei P10 Lite má větší displej než dospělejší sourozenec

Huawei po modelech P10 a P10 Plus oficiálně představil i odlehčenou verzi P10 Lite. Výbava superlativy nehýří, design se drží v zajetých liniích. Elegantní je...  celý článek

Další z rubriky

Android O
Google odhaluje nový Android O, změny budou hlavně v pozadí

S velkým předstihem před chystanou vývojářskou konferencí I/O odhalil Google novou připravovanou verzi svého operačního systému Android. Nese označení O a...  celý článek

Ježek si zamiloval hraní her na telefonu
Ježek rád olizuje smartphone jeho majitelky, sleduje ho 200 000 lidí

Neobvyklého hráče her má doma německá studentka vysoké školy. Není to člověk, ale neobvyklý domácí mazlíček. Je to ochočený ježek, který rád olizuje smartphone...  celý článek

Jan Matura (vlevo) a Václav Nývlt (vpravo) v diskusním pořadu iDNES.tv...
ROZSTŘEL: Hloupé mobily neumřely, říkají redaktoři Mobilu a Technetu

Barcelonský veletrh MWC ukázal, že i v době smartphonové má co říct obyčejný mobil. Speciálně, když je to nástupce legendy. V dnešním Rozstřelu jsme mluvili s...  celý článek

Palačinky z ovesných vloček
Palačinky z ovesných vloček

Sladká a zdravá rychlovka. :)

Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.