Штрихкод – дьявол внутри

 

источник http://www.s-bc.ru/

источник http://www.s-bc.ru/

Продолжаем цикл статей посвященных такой базововой теме, как штрих код. В предыдущей статье обсудили как выбрать тип штрихкода для прохода на события и почему лучше использовать только цифры. Подробно рассмотрели преимущества Code 128 C.

В качестве дисклеймера: данная статья носит чисто информационный характер и не содержит инструкций для нанесения вреда либо ущерба. Все данные получены исключительно из открытых источников. Злоумышленник рассматривается в образовательных целях для предотвращения потенциальных угроз для систем контроля доступа.

В этой статье мне бы хотелось обсудить безопасность информации, указанной на штрихкоде.

Всем давно очевидны преимущества электронного билета, но если отбросить все рассуждения про БСО, реквизиты и другую информацию, то что же такое билет. Фактически билет предоставляет право на посещение мероприятия или, другими словами, право на проход на событие. В случае с электронным билетом билет это штрихкод, вернее билет это некоторый уникальный идентификатор, который сохранен любым способом (бумага, nfc чип или метка, лицо человека и прочее). Мы должны помнить – только уникальный ШК на билете может гарантировать проход на событие, только один раз.

Всем понятно, что знать про эти идентификаторы может только 2 участника процесса:

  1. Покупатель
  2. Система продажи и/или контроля билетов

Очевидно, что мы не можем использовать последовательность цифр, например 1,2,3,4,5…. просто потому что Злоумышленник может напечатать билеты, напечатав штрихкоды по порядку. И дальше лотерея – продавай на авито валидные билеты, по которым есть шанс пройти первому безо всяких проблем, особенно в стоячий сектор )

Почему на картинке к этому посту использованы билеты одного известного футбольного клуба? Матч давно прошел, картинка никому не интересна и штрихкод нельзя украсть. Одно но – если прочитать штрихкоды на билетах и их цифровое представление мы найдем интересное:

  • Левый билет – ШК: 301214944023
  • Правый билет – ШК: 301214945023

Казалось бы, какая прекрасная последовательность: первые 8 цифр совпадают! И мы приходим к последовательности 1,2,3,4. Понятно что Потенциальный Злоумышленник может напечатать электронных билетов с валидными идентификаторами просто прибавляя единицу! И продавать их на авито за 10 процетов от номинала, и певый кто пришел пройдет по нему.

Дв, можно сказат,ь что нельзя покупать ЭБ с рук на авито, да, можно сказать что последовательность нелинейна и будет меняться. Но зачем она тут вообще нужна?

Штрихкод для прохода на событие должен быть уникальным без каких-либо повторений.

Это конечно данные за 2014 год и, скорее всего, все уже исправили.

Интересные находки можно найти не только у спортивных клубов, а например у крупнейшей концертной площадки страны Олимпийский в Москве.

Если хотите закодировать номер заказа, ID кассира или агента, если хотите по номеру понимать кто организатор, билетный оператор, где продали – читайте следующую статью.

 

 

Комментарии

Другие публикации