14 августа 2019

Хакер жалуется на полицию: его автомобиль с номерным знаком NULL получил штрафов более чем на $12 000

Ненормальное программированиеТестирование IT-системОбработка изображенийТестирование веб-сервисов

Её дочь зовут Помогите! Меня заставляют подделывать паспорта

Специалист по безопасности под ником Droogie решил, что на его новом автомобильном номере должно быть написано NULL. В основном ради шутки, но был и скрытый смысл. Он надеялся, что благодаря такому хаку сможет избежать штрафов за превышение скорости (по понятной причине). Вышло совсем наоборот, о чём исследователь рассказал на хакерской конференции DEF CON 2019 в своём выступлении 11 августа (презентация "Go NULL Yourself or: How I Learned to Start Worrying While Getting Fined for Other’s Auto Infractions": pdf, зеркало).

В США вокруг автомобилей действует настоящий культ. Считается, что машина должна быть чуть ли не у каждого. Дороги и парковки занимают огромную площадь и ложатся бременем на горожан. Возле некоторых дорог даже нет пешеходных дорожек, а человек без машины воспринимается почти как неполноценный. Американцы всячески лелеют своих железных «коней»: наклеивают стикеры с лозунгами на бамперы и стёкла. А некоторые заказывают даже персональные номерные знаки.

Правила для персональных номерных знаков различаются в зависимости от штата регистрации автомобиля. Обычно правила оставляют достаточно свободы для самовыражения, но на хакерской конференции DEF CON 2019 в минувшие выходные прозвучала предостерегающая история из Калифорнии, которая говорит о рисках излишнего креатива.

«Я подумал: я крут, стану невидимкой, — говорит Droogie, который работает консультантом по безопасности в компании IOActive. — Вместо этого собрал все штрафы».


Droogie выступает на конференции DEF CON 2019. Фото: Jack Morse / Mashable

Droogie надеялся, что новый номерной знак сработает как в классической карикатуре «Мамины эксплоиты» на КДПВ. По его расчёту, база данных увидит NULL и не сможет обработать никакую квитанцию на штраф. К сожалению, произошло прямо противоположное.

Сначала хакер получил штраф за нарушение правил парковки. Затем, когда определённая база данных выданных штрафов связала номерной знак NULL с его адресом, она отправила ему все остальные штрафные квитанции, у которых не было реального номерного знака. Общая стоимость штрафов составила $12 049.


Фото: Jack Morse / Mashable

Droogie сказал аудитории DEF CON, что обратился с жалобой, но не получил сочувствия ни в Департаменте автомобильного транспорта Калифорнии (DMV), ни в полиции Лос-Анджелеса. Сотрудники обоих учреждений сказали ему просто сменить номерной знак на какой-нибудь другой. А хакер отказывается это делать и намерен добиваться справедливости, то есть исправления глючных компьютерных систем.

Droogie хотел перерегистрировать номерной знак на сайте DMV, но онлайновая система отказалась принимать NULL в качестве валидных входных данных (на скриншоте).


Фото: Jack Morse / Mashable

Хотя власти аннулировали первую порцию штрафов в размере 12 000 долларов, частная компания, которая управляет базой данных, не исправила проблему — и Droogie продолжает получать по почте новые штрафные квитанции. На текущий момент накопилось новых штрафов более чем на $6000.

P. S. В 1979 году (!) произошла похожая история. Парень подал заявление на регистрацию персонализированного номерного знака SAILING, там же в заявлении указал второй вариант BOATING. Оба варианта оказались заняты. Поскольку никаких других вариантов автовладелец не хотел, то далее указал NO PLATE — и ему действительно выдали номерной знак NO PLATE. В итоге ему пришло более 2500 квитанций об оплате штрафов за парковку, потому что если у нарушившей машины не было номерного знака, в компьютерную систему вносилось NO PLATE.

См. также:


P. S. Сам Droogie говорит, что его выступление на хакерской конференции посвящено экранированию входных данных, а журналисты выдрали один любопытный факт из контекста и не поняли суть презентации.


А суть презентации в том, что без надлежащего экранирования входных данных возможен взлом систем автоматического распознавания номерных знаков.
Теги:NULLраспознавание символовштрафные квитанцииДПС
Хабы: Ненормальное программирование Тестирование IT-систем Обработка изображений Тестирование веб-сервисов
+54
51,1k 17
Комментарии 82
Лучшие публикации за сутки

Минуточку внимания

Разместить