zm.org.pl

Dlatego ja do wypożyczeń używam karty zbliżeniowej. Jako klucza (zamiast wpisywania numeru telefonu). Można użyć WKM, legitymacji studenckiej, karty BUW, karty lub gadżetu PayPass (gadżety - w moim przypadku breloczek - z niektórymi stacjami współpracują nieco goorzej), itd itd.

Veturilo, czyli nowy warszawski rower miejski “straszy” klientów brakiem HTTPS przy podawaniu danych karty kredytowej
Autor: redakcja | Tagi: atak, fail, kryptografia, MITM, SSL, SSL strip, Veturilo, Warszawa, web

Ruszył Veturilo (trudna nazwa) — projekt umożliwiający mieszkańcom Warszawy wypożyczenie roweru miejskiego. Aby skorzystać z roweru trzeba założyć (i doładować) swoje konto na stronie WWW. Stronę niestety zbudowano tak, że …odstrasza klientów. Już kilku czytelników zgłosiło nam w panice, że podczas rejestracji podawane przez nich dane karty kredytowej “nie są szyfrowane” (brak HTTPS). Czy kradzież danych karty z Veturilo jest możliwa? O tym poniżej.
Veturilo (Warszawa)

Na formularzu widać odznakę Secured by Tawthe (dlaczego to nas bawi?), ale w pasku adresowym jest tylko HTTP, a nie HTTPS jak moglibyśmy się spodziewać, kiedy w grę wchodzi przesyłanie danych karty kredytowej…
Veturilo – sama płatność kartą wygląda jeszcze bardziej przerażająco
Cieszy nas, że nasi czytelnicy są na tyle wyczuleni, że “szukają HTTPS-a” podczas wprowadzania danych swojej karty, ale uspokajamy — dane przesyłane przez forumularz rejestracyjny Veturilo są mimo wszystko przesyłane w sposób zaszyfrowany (co nie oznacza, że bezpieczny, ale o tym niżej).
W skrócie:
Tak, na Veturilo jest HTTPS. Formularz rejestracyjny osadzono bowiem na stronie poprzez iframe (via HTTPS). Bezpośredni, “bezpieczny”, link do formularza można zobaczyć klikając tutaj.
Nie, Veturilo nie zaimplementowało tego formularza poprawnie — tak nie powinno się robić. Dlaczego? O tym poniżej.
Nie, błąd nie jest krytyczny, a ryzyko ataku jest stosunkowo niskie. Co nie znaczy, że geneza błędu nie jest ciekawa, a potencjalne ataki interesujące (ale o tym poniżej)

Ale jednak wpadka Veturilo: ryzyka na jakie naraża Veturilo swoich klientów
Zaprezentowany na Veturilo sposób osadzania formularza jest zdecydowanie odradzany z 2 powodów.
Pierwszy — oczywisty błąd — to odstraszanie od swojej usługi “świadomych” klientów. O ile z podawaniem imienia i nazwiska po HTTP raczej nikt nie ma problemu, to już przy formularzach, gdzie w grę wchodzi płatność ludzie (na szczęście!) zwracają uwagę czy połączenie jest bezpieczne (obecność HTTPS:// na początku adresu) i jeśli nie jest, opuszczają stronę (a firma traci).
Celowo nie polecamy szukać “kłódki” — bo to może być bardzo zwodniczym działaniem. Cześć atakujących serwuje stronę po HTTP, a jako faviconę ustawia …obrazek kłódki. Większość klientów nie widzi różnicy, bo nie pamięta gdzie ich przeglądarka ma pokazać symbol kłódki, a w wielu instrukcjach bezpieczeństwa, np. na stronach banków, jest napisane “znajdź kłódkę” …i tyle.
Drugi popełniany przez programistów Veturilo błąd to podatność na atak SSL Strip. O co chodzi? Jeśli atakujący jest w tej samej sieci co ofiara (otwarta lub chroniona WEP-em sieć Wi-Fi albo dowolna sieć LAN umożliwiająca ataki ARP spoofingu), to może on co do zasady, przekierować połączenie ofiary do internetu przez swój komputer. Ofiara pobiera stronę Veturilo po HTTP, a więc jawnym tekstem, który widzi i może modyfikować atakujący. W kodzie jest instrukcja ładująca ramkę z formularzem rejestracyjnym po HTTPS, ale atakujący (ponieważ dane przechodzą przez jego komputer) ucina “S” z HTTPS, a więc przeglądarka ofiary nie będzie negocjowała szyfrowanego połączenia, a dane, które powinny być przesyłane jako zaszyfrowane, będą przesyłane otwartym tekstem.

Dodatkowo, Veturilo ma jeszcze jeden błąd implementacyjny, wykorzystywany przez nich “bezpieczny” formularz logowania daje się bez najmniejszych przeszkód załadować również po protokole HTTP (popatrzcie sami) a nie tylko po HTTPS. Gdyby serwer Veturilo nie pozwalał załadować formularza się po protokole HTTP, a udostępniał jedynie HTTPS (i nie dało się na niego wejść inaczej niż wpisując z palca https://veturilo.waw.pl), to atakujący zamiast ataku SSL Strip, czyli cichego ucięcia “s” z HTTPS, musiałby zespoofować certyfikaty — a to zawsze wiąże się z pokazaniem przez przeglądarkę ofierze alertu “Strona z którą próbujesz się połączyć ma błędny certyfikat“. (Ile osób ignoruje takie ostrzeżenia, to zupełnie inna sprawa i materiał na kolejny post… . Niestety takie podejście nie jest realne. Zawsze inna strona załadowana po HTTP może podlinkować/przekierować na serwer HTTPS i jeśli wtedy ktoś na drodze pakietów wykona atak SSL Strip, to ofiara nie będzie niczego świadoma. Dlatego na pewno warto dodatkowo wykorzystać protokoł HSTS (i DNSSEC) (to po stronie serwera) oraz rozszerzenia HTTPS Everywhere (to w przeglądarce klienta) — to pomoże ograniczyć ryzyko ataku SSL Strip.

Veturilo ratuje jednak to, że kolejny krok rejestracji, czyli obsługę kart, wykonuje zewnętrzny serwis w innej domenie, która pozwala załadować się jedynie po HTTPS. Niestety, nie znaczy to, że sprytniejszy atakujący nie pokusi się o podmianę linku do bezpiecznego formularza na inny, kontrolowany przez siebie — ale na tego typu ataki phishingowe narażony jest każdy serwis nie obsługujący całej sesji po HTTPS, nie tylko Veturilo.
Werdykt

Podsumowując, strona Veturilo, w obecnym kształcie, pod kątem bezpieczeństwa nie jest zaprojektowane najlepiej, mimo, że popełnione błędy nie są krytyczne. Implementacja formularza rejestracji danych uniemożliwia klientom weryfikację, czy znajdują się w bezpiecznym połączeniu (URL iframe jest niewidoczny). Co gorsza, da się także wymusić ładowanie podstawianych przez Veturilo formularzy bez szyfrowania, czyli po HTTP, a nie HTTPS (a nawet gdyby się nie dało, to pozostaje atak SSL Strip, na który podatne jest większość stron osadzających zasoby HTTPS via HTTP).
Na szczęście, dane kart kredytowych wprowadza się dopiero na formularzach hostowanym poza serwerami Veturilo — czyli na dużo bezpieczniejszym, zewnętrzny systemie Worldpay (aczkolwiek należy on do niezbyt stabilnego ostatnio Royal Bank of Scotland i kiedyś wyciekło z niego 15 milionów numerów kart kredytowych…).
Twierdzenie, że dane kart na Veturilo przesyłane są bez szyfrowania, nie jest więc prawdziwe ale do najwyższego poziomu bezpieczeństwa trochę jeszcze brakuje — np. cała obsługa konta na Veturilo — w tym zmiana PIN-u — jest po HTTP i może zostać podsłuchana w otwartych sieciach Wi-Fi, i w tych z WEP-em, i w sieciach LAN po ataku ARP spoofing — jeśli więc jesteś w Starbucksie, nie korzystaj z Veturilo .
Porada
Na koniec, sprawdźcie czy w swoich serwisach nie ładujecie ramek HTTPS z HTTP lub nie posiadacie na stronach serwowanych po HTTP formularzy z action ustawionym na HTTPS (to ten sam “błąd”). Rozważcie użycie HSTS i DNSSEC jako ochronę przed atakami SSL Strip.
A jeśli jesteście zainteresowani zagadnieniami bezpieczeństwa serwisów internetowych, to zapraszamy na nasze szkolenia — zostały jeszcze 2 ostatnie miejsca termin 30-31 sierpnia w Warszawie — uczestnikami naszych szkoleń w ciągu ostatnich 2 lat byli specjaliści z największych i zagranicznych polskich firm (Intel, Nokia, mBank, Inteligo, MSZ, Nasza-Klasa, Netia, Orange, Play, Allegro) i wystawili nam bardzo pozytywne oceny (na żądanie udostępniamy wybrane rekomendacje).

Hej chciałbym wypróbowac wypożyczenie ale pojezdzić z żoną i córką - da sie wziąć 3 rowery na jedno konto?

Rowerowy terroryzm się opłaca. Mniej korków i wypadków

Krzysztof Śmietana 04.08.2012 , aktualizacja: 04.08.2012 16:54 A A A Drukuj

Zwykle system rowerów publicznych jest wisienką na torcie, która uzupełnia system tras rowerowych, parkingów rowerowych. U nas ciągle tego nie ma, natomiast mamy system wypożyczalni. Ale może to Veturilo to będzie jakaś terapia szokowa dla miasta - mówi Aleksander Buczyński.

Krzysztof Śmietana: Będziesz korzystał z rowerów Veturilo?

Aleksander Buczyński, stowarzyszenie Zielone Mazowsze, od lat walczy o infrastrukturę rowerową w stolicy: Jeszcze nie, bo na razie na mojej trasie do pracy nie ma żadnych wypożyczalni. Musiałbym dojeżdżać tramwajem, potem kawałek rowerem i potem znowu tramwajem. Na razie pozostanę przy swoim rowerze, którym od dawna jeżdżę po Warszawie. Raczej nie jestem grupą docelową tego systemu.

Ci, którzy mają rowery, raczej nie będą z tego korzystać?

- System jest raczej dla tych, którzy z peryferii, np. z Białołęki czy Legionowa, dojeżdżają do centrum komunikacją - pociągiem czy metrem, i po Śródmieściu będą przemieszczać się na rowerze.

Co ten system może zmienić w mieście?

- To na razie wielka niewiadoma. Warszawa powiedziała "e", a nie zabrała się do a, b, c i d, jeśli chodzi o ruch rowerowy w mieście. Zwykle system rowerów publicznych jest wisienką na torcie, która uzupełnia system tras rowerowych, parkingów rowerowych. U nas ciągle tego nie ma, natomiast mamy system wypożyczalni Veturilo. Mam wrażenie, że część urzędników i specjalistów zaangażowanych w system transportowy Warszawy ma nadzieję, że to będzie jednak jakaś terapia szokowa. Myślą, że jeśli przez 15 lat Warszawa obijała się przy tworzeniu sieci dróg rowerowych, to może teraz nagle uda się to nadrobić. I może faktycznie coś się ruszy. Ale możliwy jest także scenariusz, że ten system skończy się wielką klapą i konfliktami, bo na ulice wyjadą nowi rowerzyści zachęceni tym, że mamy te 1000 rowerów. Co zrobią, jeśli mają się poruszać Marszałkowską, Al. Jerozolimskimi czy al. Jana Pawła II? Albo pojadą chodnikiem, albo buspasem, albo środkowym pasem jezdni i w każdym przypadku będzie dochodzić do konfliktów z pieszymi albo z kierowcami.

Niektórzy eksperci czy nawet pracownicy ZTM mówili, że nie ma co czekać na dobre drogi rowerowe, warto startować z wypożyczalniami.

- Przykłady miast europejskich pokazują, że zrobienie dobrej infrastruktury dla rowerzystów może potrwać trzy lata. W Warszawie to się nie udaje. Widać, że część urzędników jest zniecierpliwiona niewydolnością machiny administracyjnej i próbuje przeskoczyć pewien etap.

Skąd ta niewydolność?

To bardziej pytanie do władz miasta, dlaczego się tym nie interesują. Nie przejmują się np. tym, że przez sześć lat z rzędu nie były wydawane pieniądze na drogi rowerowe zaplanowane w budżecie. Dlaczego pani prezydent nie wyciągnęła w tej sprawie konsekwencji. Dlaczego instytucja, która zostało stworzona po to, żeby przyspieszyć budowę - Zarząd Miejskich Inwestycji Drogowych - od trzech lat buduje jedną ścieżkę rowerową wzdłuż Radzymińskiej i Jagiellońskiej i nie widać, żeby w ciągu najbliższych pięciu lat miała ją skończyć.

Coraz więcej słychać głosów: Przestańmy budować drogie ścieżki rowerowe, tylko wytyczajmy pasy na jezdniach. Będzie taniej i szybciej.

- Na pewno jest wiele ulic w Śródmieściu, gdzie nie da się zbudować ścieżek rowerowych. Wtedy jednym z rozwiązań jest uspokojenie ruchu samochodowego. Rowerzysta wówczas nie boi się jeździć obok aut. Pod tym względem jesteśmy jednak w lesie, nie tylko porównując się np. z Berlinem, ale także z Krakowem. Problem w tym, że miasto nie ma też pomysłu, co zrobić z większymi ulicami typu Marszałkowska czy Al. Jerozolimskie. Jeśli to miałyby być śródmiejskie ulice z mniejszą liczbą pasów dla aut i uspokojonym ruchem, to pasy rowerowe byłyby OK. Jeśli to będą nadal szerokie arterie przelotowe z trzema pasami ruchu w każdą stronę, to przy nich trzeba jednak budować wydzielone ścieżki rowerowe. Na pewno ruch dałoby się łatwo uspokoić wewnątrz kwartałów ograniczonych dużymi ulicami, np. Marszałkowską, Al. Jerozolimskimi, Koszykową i Chałubińskiego. Trzeba by tam wprowadzić strefę ograniczenia prędkości do 30 km/godz., podniesione tarcze skrzyżowań i dopuszczenie ruchu rowerów pod prąd. Wtedy np. ul. Żurawia czy Nowogrodzka byłaby alternatywą dla Alej Jerozolimskich, ale zaraz pojawia się problem, że dojeżdżamy do szerokiej Chałubińskiego, której nie ma jak przeciąć.

Takimi dużymi ulicami nie tylko niefajnie się jeździ, to także bariery, które trudno przejechać w poprzek.

A jednak wypożyczalnie rowerowe są już oblegane.

- System może być popularny, bo rower na krótkich dystansach jest szybki - szczególnie wzdłuż ulic, gdzie nie ma metra czy tramwajów. Np. w drodze z pl. Zawiszy na pl. Bankowy trudno znaleźć szybszy środek transportu niż rower. Teraz dochodzi jeszcze ciekawość, żeby spróbować nowego.

A jak wypada Warszawa w kwestii dróg i ułatwień dla rowerzystów na tle innych miast?

- Warszawa ma taką specyfikę, że sieci ścieżek ma głównie w peryferyjnych dzielnicach, a według naszego audytu nie ma żadnej trasy rowerowej z dużego osiedla do centrum. Jesteśmy też w lesie pod względem tanich rozwiązań - pasów czy śluz rowerowych. W innych miastach, np. we Wrocławiu czy w Krakowie, powstaje ich coraz więcej.

Gdzie szybko można by wytyczyć pasy rowerowe?

- Np. na Żelaznej, której jezdnia jest dość szeroka. W obszarze systemu Veturilo można by je wyznaczyć na Miodowej i Bonifraterskiej, co połączyłoby Trakt Królewski z istniejącymi pasami na Międzyparkowej. W kwietniu byliśmy zresztą zaproszeni do inżyniera ruchu Janusza Galasa i przekazaliśmy pakiet propozycji. Wśród nich były np. pasy dla rowerów na ul. Andersa, Tamce czy Grzybowskiej. Mieliśmy się spotkać po miesiącu, ale zapadła cisza.

Czy lokalizacje wypożyczalni są trafione?

- Jest w tym jakiś zamysł. Ludzie mają rozjeżdżać się spod stacji metra w różne punkty miasta. Trochę na wyrost jest jednak chlubienie się, że jest to największy system, bo mamy tysiąc rowerów. W rzeczywistości to są trzy podsystemy - Śródmieście, Bielany i Ursynów, między którymi rzadko ktoś będzie się przemieszczał. W każdym z nich jest 200-400 rowerów i to są liczby porównywalne np. z Wrocławiem. Efekt tzw. masy krytycznej zostanie osiągnięty, kiedy na wiosnę zostanie rozbudowany system w centrum. Co do szczegółów teraz można mieć zastrzeżenia. Np. z pierwszego etapu wypadł obszar od Dworca Centralnego do Politechniki. Ponoć dlatego, że na razie trudno jeździ się tu na rowerze. Żałuję też, że wypożyczalnia znalazła się tylko przy dolnym wyjściu ze stacji PKP Powiśle, a nie ma jej na górze.

Narzekają też prażanie.

- Stacje rowerowe mają się tam pojawić w drugim etapie, ale ich lokalizacje są niezbyt przemyślane. Będą w środku Pragi, ale nie dojdą do ronda Starzyńskiego, pl. Hallera, czyli tam, gdzie są ruchliwe punkty przesiadkowe.

W których miastach europejskich najlepiej żyje się teraz rowerzyście?

- Palmę pierwszeństwa wciąż dzierży Amsterdam. Bardzo pozytywnie zaskoczył mnie ostatnio Dublin. Pod względem pogody to miasto wyjątkowo nierowerowe, bo często leje. Ale jednak jeździ dużo rowerzystów. W części to użytkownicy roweru publicznego. Tylu cyklistów nie byłoby jednak, gdyby nie powstały liczne pasy rowerowe.

Są jednak głosy, że w takim Amsterdamie panuje terroryzm rowerowy. Wszystko podporządkowane jest rowerom.

- Okazuje się, że ten rzekomy terroryzm rowerowy jest dobry dla wszystkich użytkowników dróg, To miasto najmniej zakorkowane w Europie. Do tego jest tam najmniej na kontynencie wypadków z pieszymi. Widać, że taki terroryzm przynosi pozytywne rezultaty.

O wiele łatwiej zabrać rower ze stojaka (choćby nawet podglądając czyjś nr telefonu i PIN), niż kogoś napadać i wyrywać mu takie cudo. Ludzie wymyślają problemy, podczas gdy realne problemy są gdzie indziej.

Nie do końca. Dzisiaj dostałem takiego maila:

Prosimy o stosowanie się do naszych przepisów i cen dotyczących nieznalezionych rowerów.

Jeśli wybierzesz płatność kartą kredytową – przy rejestracji system obciąży Twój rachunek na karcie (kredytowej, nie płatniczej!)

Nie można znaleźć trasy pasującej do wybranej waluty. Zazwyczaj powodem są przerwy w działalności zdalnych systemów. Użyj innej kombinacji waluty/formy płatności lub ponów próbę później.