[OWASP-PB] Fwd: Falha de segurança permite fraudar bilhete único de SP em apenas 5 segundos

Nielson Rolim nielson.rolim at gmail.com
Mon Feb 13 20:36:53 UTC 2012


Ops... Foi mal :)

--
Nielson Rolim
contato at nielsonrolim.com


On 13/02/2012, at 17:29, Thiago C. de França <thiago.redes.ifpb at gmail.com> wrote:

> Encaminhando mensagem de Nielson, ele respondeu pra mim, mas provavelmente era pra Magno / Lista.
> 
> []'s
> 
> Att.
> 
> 
> -- 
> Thiago C. de França
> Tecnolando em Redes de Computadores
> 
> 
> ---------- Mensagem encaminhada ----------
> De: Nielson Rolim <nielson.rolim at gmail.com>
> Data: 13 de fevereiro de 2012 17:02
> Assunto: Re: [OWASP-PB] Falha de segurança permite fraudar bilhete único de SP em apenas 5 segundos
> Para: "\"Thiago C. de França\"" <thiago.redes.ifpb at gmail.com>
> 
> 
> Precisa de q pra começar? =]
> 
> --
> Nielson Rolim
> contato at nielsonrolim.com
> 
> 
> On 13/02/2012, at 13:58, Thiago C. de França <thiago.redes.ifpb at gmail.com> wrote:
> 
>> Um tempo atrás quando começaram a colocar bilhetagem eletrônica nos ônibus de bayeux, tivemos que andar por um bom tempo com dois cartões, o de João Pessoa e o de Bayeux. Certo dia ao pegar um ônibus atrás do IFPB, Sem querer passei o cartão de Bayeux ao invés do de João Pessoa, o leitor reiniciou na mesma hora. =D hehehe
>> 
>> Hoje em dia não sei se ainda acontece isso. Pois já é possível passar um cartão em todas as cidades metropolitanas de João Pessoa.
>> 
>> []'s
>> 
>> 
>> -- 
>> Thiago C. de França
>> Tecnolando em Redes de Computadores
>> 
>> 
>> 
>> Em 13 de fevereiro de 2012 12:56, Magno Logan <magno.logan at owasp.org> escreveu:
>> Pessoal,
>> 
>> Há algum tempo atrás, quando surgiu o Passe Legal em João Pessoa, o meu primeiro pensamento foi que eu queria testar este sistema para verificar se era possível "andar de ônibus gratuitamente". Infelizmente não tinha as ferramentas nem os recursos necessários na época e acabei nunca testando. Quem sabe agora com esta notícia eu me motive em testar  a segurança do sistema de pagamento do transporte público de João Pessoa. Se alguém estiver interessado em participar e me auxiliar nesta pesquisa é só entrar em contato.
>> 
>> []'s
>> 
>> -- 
>> Magno (Logan) Rodrigues
>> OWASP Paraiba - Chapter Leader
>> Twitter: @owasppb / @magnologan
>> 
>> -------------------------------------------------------------
>> 
>> Falha de segurança permite fraudar bilhete único em apenas 5 segundos
>> Prefeitura investiga problema há uma semana e não divulgou o que fará. 
>> Já adiantou, porém, que trocará todo o sistema ainda neste ano
>> 12 de fevereiro de 2012 | 22h 00
>> http://www.estadao.com.br/noticias/cidades,falha-de-seguranca-permite-fraudar-bilhete-unico-em-apenas-5-segundos,835002,0.htm 
>> 
>> Apontado como "infalível" há 7 anos e fonte de uma receita de quase R$ 310 milhões por mês, o bilhete único de São Paulo tem uma falha de segurança que permite fraudá-lo em apenas cinco segundos. A brecha foi descoberta por um pesquisador, que enviou todos os detalhes para a São Paulo Transporte (SPTrans), empresa da Prefeitura que administra os ônibus.
>> 
>> A SPTrans investiga o problema há uma semana e ainda não divulgou que medidas vai tomar – entretanto, já anunciou que fará a troca de todos os 25 milhões de bilhetes ativos da cidade neste ano. O bilhete único paulistano é considerado o segundo maior sistema de bilhetagem eletrônico do mundo, atrás apenas do cartão Octopus do transporte público de Hong Kong.
>> 
>> A falha foi descoberta pelo pesquisador de informática Gabriel Lima, de 21anos, sócio da empresa de segurança da informação Pontosec, especializada em detectar ameaças e falhas em sites e redes virtuais.
>> 
>> Depois de três semanas analisando o sistema interno de armazenamento de dados do bilhete único, ele conseguiu uma forma de burlar a recarga do cartão. Para isso, precisou apenas de um programa de computador desenvolvido por ele mesmo e um leitor de cartão importado da China que custa cerca de R$ 70.
>> 
>> A brecha permite salvar uma cópia virtual dos créditos de um bilhete único e usá-los indefinidamente. Em termos práticos: se uma pessoa tem um bilhete único com R$ 15, é possível salvar aquele crédito no computador e, depois do uso normal, recarregar o cartão em casa, com o valor gravado antes. E refazer o processo infinitamente, sem nunca mais gastar um centavo para andar nos ônibus e metrôs de São Paulo.
>> 
>> A reportagem do Estado testemunhou esse processo na segunda-feira, dia 6. O cartão usado havia sido adquirido no mesmo dia e suas informações foram acessadas em 15 minutos, quando uma cópia dos dados foi feita. Em seguida, o cartão foi usado até ficar sem créditos. Depois disso, a empresa que descobriu a fraude conseguiu em apenas cinco segundos regravar no bilhete a informação dos créditos salva anteriormente – e o cartão voltou a ser aceito na catraca, o que em tese seria impossível.
>> 
>> Fragilidade. Lima disse ter decidido investigar a segurança do cartão paulistano após colher informações de problemas parecidos ocorridos em outras cidades do mundo.
>> 
>> "Esse sistema foi quebrado no mundo todo. Eu pensei: ‘Só aqui que não?’ E comecei a pesquisar, fazendo a engenharia reversa para descobrir como o cartão funcionava", diz ele. "Fiz isso nas horas vagas", alerta. Em três semanas, ele descobriu a falha e montou o programa que permitia o esquema.
>> 
>> Os sócios da empresa chegaram a gravar um vídeo explicando a fragilidade do bilhete único, para que a falha pudesse ser debatida entre a comunidade brasileira de programadores de computador. "Obviamente não vamos divulgar o programa que criamos, o que queremos é evitar fraudes", diz Vinícius Camacho, de 29 anos, sócio de Lima. Após serem contatados pela SPTrans, que teve duas reuniões com os sócios da Pontosec, os jovens desistiram da publicação do vídeo.
>> 
>> Histórico. Lima e seus outros dois sócios procuraram a SPTrans no dia 1.º e repassaram um relatório da falha e o vídeo explicativo. Mas o primeiro contato da Prefeitura com o grupo ocorreu após o Estado cobrar explicações sobre a falha. Os sócios da Pontosec garantiram à SPTrans que vão ajudar na identificação da falha e não vão vazar nenhum tipo de informação na internet que possa facilitar golpes no bilhete único. A SPTrans diz ainda não ter informado o governo do Estado sobre o problema – Metrô e Companhia Paulista de Trens Metropolitanos (CPTM) também aceitam créditos do bilhete único.
>> 
>> A fragilidade do bilhete único pode ficar mais preocupante quando se lembra que o Brasil é tido, internacionalmente, como grande celeiro de hackers, especializados em fraudar sistemas de computador.
>> 
>> Levantamento da empresa Symantec, uma das líderes mundiais de proteção de sistemas, mostra que só em 2011 o País teve prejuízo direto de R$ 25,3 bilhões por crimes virtuais. O número de ocorrências foi o triplo do registrado em 2010. Foram 399,5 mil registros, ante 142 mil no ano anterior.
>> 
>> _______________________________________________
>> OWASP-Paraiba mailing list
>> OWASP-Paraiba at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-paraiba
>> 
>> 
>> 
>> 
>> 
>> 
>> 
>> _______________________________________________
>> OWASP-Paraiba mailing list
>> OWASP-Paraiba at lists.owasp.org
>> https://lists.owasp.org/mailman/listinfo/owasp-paraiba
> 
> 
> 
> 
> 
> 
> 
> _______________________________________________
> OWASP-Paraiba mailing list
> OWASP-Paraiba at lists.owasp.org
> https://lists.owasp.org/mailman/listinfo/owasp-paraiba
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.owasp.org/pipermail/owasp-paraiba/attachments/20120213/66ee17fd/attachment-0001.html>


More information about the OWASP-Paraiba mailing list