Confidence

Pavol Luptak

Temat: Public transport SMS ticket hacking

Bio:
Magister inżynier informatyki. Posiada certyfikaty CISSP, CEH oraz jest liderem Słowackiego Chapter’u OWASP. Właściciel CTO i główny konsultant bezpieczeństwa firmy specjalizującej się w bezpieceństwie sieciowym Nethemba s.r.o., która zorientowana jest na wykonywaniu testów penetracyjnych, audytów bezpieczeństwa, wdrażaniu bezpiecznych rozwiązań, VOIP, klastry. Szczegóły można znaleźć na stronie.

Abstrakt:
Głównym celem prezentacji jest przedstawienie poważnej podatności w systemie biletów SMS transportu publicznego, stosowanego w wielu dużych miastach.

Na początku zostanie przedstawiony udany atak na architekturę. W dalszej części wykładu zostanie omówiona propozycja ataku na architekturę sieciową, łącznie z hakowaniem serwera biletów SMS i klienta biletów SMS oraz komunikacji szyfrowanej między nimi.

Autor opisuje różne rozwiązania, które mogłyby naprawić istniejące podatności włączając instrukcję dla hackerów jak je ominąć (np. używają zdecentralizowane prywatne sieci P2P).

Na koniec wykładu zestawiony zostanie test porównawczy: bezpieczne bilety przez SMS bazujące na symetrycznej/niesymetrycznej kryptografii a zwiększenie bezpieczeństwa i jakości kontroli inspektorów.

Firmy korzystające z systemu zostały poinformowane o zaistniałej sytuacji oraz znają podatność ale ignorują fakt istnienia błędu.