ישראלי בן 17 פרץ את כרטיס הנסיעה האלקטרוני רב-קו - עולמי - TheMarker
 

אתם מחוברים לאתר דרך IP ארגוני, להתחברות דרך המינוי האישי

טרם ביצעת אימות לכתובת הדוא"ל שלך. לאימות כתובת הדואל שלך  לחצו כאן

תיק מניות

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

לרשימת הקריאה המלאה לחצו כאן

ישראלי בן 17 פרץ את כרטיס הנסיעה האלקטרוני רב-קו

יוסי דהן, הפורץ בן ה-17, מציין כי מטרתו היתה להוכיח באיזו קלות ניתן לפרוץ למאגרי מידע, ובעיקר למאגר הביומטרי

תגובות

כרטיס הרב-קו, אשר החליף את כרטיסיות הניקוב באוטובוסים ומאפשר לנוסעים לשלם באופן אלקטרוני בנסיעות בתחבורה ציבורית, נפרץ על ידי צעיר ישראלי. יוסי דהן, בסך הכל בן 17 וכבר מנהל חברת תוכנה לפיתוח אפליקציות לאייפון, Appmobil. "בעזרת קוד שכתבתי, ובעזרת קורא כרטיסים חכמים פשוט, הצלחתי לנתח את כל המידע שיש בכרטיס הרב-קו, ואפילו להחליפו במידע קיים. עם עוד מעט עבודה אוכל בלי בעיה לטעון את הכרטיס בכמה נסיעות שאני רוצה, ואפילו לשנות פרטים". דהן מציין כי מטרתו בפריצה היתה להוכיח באיזו קלות ניתן לפרוץ למאגרי מידע, ובעיקר למאגר הביומטרי. "המאגר הביומטרי כולל בתוכו גם תעודות זהות חכמות שאמורות להוות פריצת דרך. תעודת זהות כזו נפרצה בבריטניה ב-12 דקות. אולי לי לקח זמן רב לעבוד על כרטיס הרב-קו, מכיוון שאני יחסית חדש בתחום הכרטיסים, אך חכמים ממני יוכלו לעשות זאת גם לתעודת הזהות החכמה", אומר דהן.

הכרטיס החכם של רב-קו מיוצר במפעל צרפתי על ידי חברת ASK, אחת החברות הגדולות בעולם בתחום הכרטיסים החכמים בעיקר לתחבורה ציבורית. הכרטיס מבוסס על תקן קליפסו (Calypso) שהוא בעצם תקן כירטוס אלקטרוני המגדיר את הדו-שיח המאובטח בין הכרטיסים לבין המסוף. דהן אומר כי הצליח לזהות ה-Keys הדרושים לתהליך "לחיצת היד" בין קורא הכרטיסים לכרטיס בשביל לשנות את המידע.

אחת הבעיות של כרטיס הרב-קו היא שבעת ההנפקה הלקוח מספק פרטים אישיים ומצולם. "מה שאתה מקבל בתמורה, זה כרטיס שמותאם אישית למצב שלך (נקרא "חוזה"). אם אתה סטודנט, יש לך בכרטיס חוזה המותאם לסטודנט. X נסיעות בתמורה ל-X שקלים, וככה גם לתלמידים או מבוגרים. חברת דן מקבלת בתמורה מידע מדויק על כל מי שנוסע באוטובוסים שלה - היא יודעת בדיוק מי הם (שם ותעודת זהות), איפה הם גרים, ושאר המידע שאפשר להוציא אם יש לך ת.ז של מישהו: גיל, ארץ מוצא, מספר ילדים וכהנה וכהנה - בקיצור מידע דמוגרפי ואישי מלא עליך", אומר דהן.

"ההבדל העיקרי בין חברות אחרות שיש להן מאגר מידע של לקוחות, לבין חברות התחבורה הוא שהן לא רק יודעת מי נוסע באוטובוסים שלהן, הן יודעות בדיוק היכן ומתי. בכל פעם שאתה משתמש באוטובוס, אתה מעביר את הרב-קו על מכשיר הכרטוס. עכשיו אתה יכול להיות בטוח שמכשיר הכרטוס שומר תיעוד של כל הכרטיסים שעברו דרכו. דבר זה מאפשר לדעת בסוף היום, אילו אנשים השתמשו באוטובוס באותו היום (ומתי). ואם לוקחים את המידע מכל מכשירי הכרטוס מכול האוטובוסים, אפשר לדעת בדיוק מי נסע לאיפה בכל היום. חוץ מנתונים ספציפים של קווים יהיה אפשר להסיק מסקנות רחבות יותר מהצלבת המידע שכל האוטובוסים אוספים, כגון: מהם סוגי האוכלוסיות באזורים שונים ולאן הם נוסעים, ועוד ניתוחים סטיטיסטים מסוג הזה.

"לחברות התחבורה הציבורית יהיה מאגר מידע שיהיה אפשר להריץ עליו הרבה סוגי ניתוחים שונים, ולקבל מסקנות חשובות. מי יודע למי הם ימכרו את תוצאות הניתוחים הללו, ואיך החברות הללו ישתמשו בהם. אבל חוץ מניצול של המידע הזה לצרכים דמוגרפיים, לי הרבה יותר מפריעה האפשרות לנצל את המידע הזה לצרכי מעקב אחרי אנשים: בסוף כל יום, החברות יודעות בדיוק היכן ומתי עלית לכל אוטובוס שהשתמשת בו באותו היום. בעזרת נתון זה, בתוספת הכתובת שלך, היא יכולה לשרטט מפה של התנועה שלך באותו היום (כולל הזמנים המדויקים). ניתוח לאורך זמן יכול לגלות מידע על ההרגלים שלך, כגון איפה אתה עובד, איפה אתה עושה קניות ואפילו היכן החברים שלך גרים.

"ומה יקרה כשהמידע הזה יגיע לידי המשטרה? תאר לעצמך איך תרגיש שיזמנו אותך לחקירה בגלל שביקרת קרוב לזירת פשע. ואני אפילו לא חושב על מה שיקרה אם הנתונים הללו יגיעו לעולם הפשע. פושעים יוכלו לדעת איפה אתה מסתובב, ולתפוס אותך שם. או לחלופין לדעת מתי אתה לא נמצא בדירה ולפרוץ אליה. או להגיע לקרובים שלך על ידי מעקב פשוט. אבל יותר מזה, מה אם המכשירים הללו ישדרו בזמן אמת את נתוני השימוש בהם לתחנה המרכזית? אנחנו יודעים שיש היום באוטובוסים תיקשרות דיגיטלית עם התחנה, כמו שקורה למשל במדינות אחרות, ושבחלקם יש גם מערכות GPS. מה שיקרה, זה שיהיה אפשר לאתר בזמן אמת כל בן-אדם שמשתמש בכל אוטובוס בעיר. אולי אנשים יחשבו שזו שטות, כי בעידן של סלולר, יכולים לעקוב אחריך בלי בעיה, אבל הדברים אפשריים".

איתן פיקסמן, דובר חברת דן מסר בתגובה: "פנייתכם הועברה לאנשי משרד התחבורה האמונים על הכרטיס החכם ה"רב קו". להלן התייחסותם לסוגיה: לפי מה שהבנתי הכתב הצליח לקרוא את הנתונים על הכרטיס ולפענח את משמעותם. נחמד, וזאת גם כוונת משרד התחבורה לאפשר לעשות זאת לכל דכפין. הרב-קו וסטנדרט הקליפסו מלכתחילה מאפשרים את קריאת הנתונים והצגתם, כל זאת מתוך ראיה עתידית שתהיינה אפליקציות נוספות על הכרטיס החכם ובעל הכרטיס החכם ירצה מידי פעם להציג על אביזרי קריאה סטנדרטיים מה מכיל הכרטיס החכם. מערך הכרטוס החכם יצר הגנות מרביות בפני כתיבה, עדכון ומחיקה של נתונים".


עוד בנושא:

מאיר שטרית: "יש בישראל מאגרים ביומטריים של מיליוני אזרחים. איפה הייתם?"
 השר ישי: "מוכן להשקיע זמן בשכנוע על בטיחותו של המאגר"
 "לא בכדי רוב המדינות לא מחזיקות במאגר" 

כל מה שצריך לדעת על קריירה בהייטק
כנסו למתחם


תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר TheMarker

סדר את התגובות

כתבות ראשיות באתר

כתבות שאולי פיספסתם

*#