Её дочь зовут Помогите! Меня заставляют подделывать паспорта
Специалист по безопасности под ником Droogie решил, что на его новом автомобильном номере должно быть написано NULL. В основном ради шутки, но был и скрытый смысл. Он надеялся, что благодаря такому хаку сможет избежать штрафов за превышение скорости (по понятной причине). Вышло совсем наоборот, о чём исследователь рассказал на хакерской конференции DEF CON 2019 в своём выступлении 11 августа (презентация "Go NULL Yourself or: How I Learned to Start Worrying While Getting Fined for Other’s Auto Infractions": pdf, зеркало).
В США вокруг автомобилей действует настоящий культ. Считается, что машина должна быть чуть ли не у каждого. Дороги и парковки занимают огромную площадь и ложатся бременем на горожан. Возле некоторых дорог даже нет пешеходных дорожек, а человек без машины воспринимается почти как неполноценный. Американцы всячески лелеют своих железных «коней»: наклеивают стикеры с лозунгами на бамперы и стёкла. А некоторые заказывают даже персональные номерные знаки.
Правила для персональных номерных знаков различаются в зависимости от штата регистрации автомобиля. Обычно правила доставляют достаточно свободы для самовыражения, но на хакерской конференции DEF CON 2019 в минувшие выходные прозвучала предостерегающая история из Калифорнии, которая говорит о рисках излишнего креатива.
«Я подумал: я крут, стану невидимкой, — говорит Droogie, который работает консультантом по безопасности в компании IOActive. — Вместо этого собрал все штрафы».
Droogie выступает на конференции DEF CON 2019. Фото: Jack Morse / Mashable
Droogie надеялся, что новый номерной знак сработает как в классической карикатуре «Мамины эксплоиты» на КДПВ. По его расчёту, база данных увидит NULL и не сможет обработать никакую квитанцию на штраф. К сожалению, произошло прямо противоположное.
Сначала хакер получил штраф за нарушение правил парковки. Затем, когда определённая база данных выданных штрафов связала номерной знак NULL с его адресом, она отправила ему все остальные штрафные квитанции, у которых не было реального номерного знака. Общая стоимость штрафов составила $12 049.
Фото: Jack Morse / Mashable
Droogie сказал аудитории DEF CON, что обратился с жалобой, но не получил сочувствия ни в Департаменте автомобильного транспорта Калифорнии (DMV), ни в полиции Лос-Анджелеса. Сотрудники обоих учреждений сказали ему просто сменить номерной знак на какой-нибудь другой. А хакер отказывается это делать и намерен добиваться справедливости, то есть исправления глючных компьютерных систем.
Droogie хотел перерегистрировать номерной знак на сайте DMV, но онлайновая система отказалась принимать NULL в качестве валидных входных данных (на скриншоте).
Фото: Jack Morse / Mashable
Хотя власти аннулировали первую порцию штрафов в размере 12 000 долларов, частная компания, которая управляет базой данных, не исправила проблему — и Droogie продолжает получать по почте новые штрафные квитанции. На текущий момент накопилось новых штрафов более чем на $6000.
P. S. В 1979 году (!) произошла похожая история. Парень подал заявление на регистрацию персонализированного номерного знака SAILING, там же в заявлении указал второй вариант BOATING. Оба варианта оказались заняты. Поскольку никаких других вариантов автовладелец не хотел, то далее указал NO PLATE — и ему действительно выдали номерной знак NO PLATE. В итоге ему пришло более 2500 квитанций об оплате штрафов за парковку, потому что если у нарушившей машины не было номерного знака, в компьютерную систему вносилось NO PLATE.
См. также:
P. S. Сам Droogie говорит, что его выступление на хакерской конференции посвящено экранированию входных данных, а журналисты выдрали один любопытный факт из контекста и не поняли суть презентации.
А суть презентации в том, что без надлежащего экранирования входных данных возможен взлом систем автоматического распознавания номерных знаков.
Комментарии (79)
Dmitry88
14.08.2019 18:28+2Поиск по NULL и поиск по строковому значению NULL разве не суть разные вещи?
red_andr
14.08.2019 19:09+1Похоже в данном случае это одно и то же. Для номера машины в базе данных выделена строковая переменная, в которую заносят значение «NULL» если номер не определён. Программисты ступили, конечно, надо было использовать какое то другое значение, которое точно не может быть номером.
Mogwaika
14.08.2019 19:35А зачем вообще это в одну переменную пихают, а не заводят отдельный бит валидности?
Наверняка же есть ещё куча параметров содержимого таблицы?red_andr
14.08.2019 21:59Для простоты конечно же. Только вот подумать, чем эта простота обернётся, уже не могут.
alexkmbkdr1
16.08.2019 08:04Зачем вообще в этом случае что-то писать в поле номера. Номер не определен -пустое значение.
ybqwer
16.08.2019 16:02надо различать значение null и значение строки «null», в нормальном я.п. нет такой проблемы.
deseven
14.08.2019 22:22'NULL' != NULL
Иначе у них реально отсуствует экранирование.
Greendq
16.08.2019 11:57Я вам больше скажу, в SQL даже NULL!=NULL :)
Wesha
16.08.2019 15:52Для SQL есть такое мнемоническое правило: NULL — он как ведьмин студень: превращает в себя всё, до чего только дотрагивается, поэтому (12345 = NULL) -> NULL.
roscomtheend
15.08.2019 10:51
Тут, похоже, на библиотеку разбора входящего XML/JSON, где вместо отсутствующего значения передаётся строка NULL и при встрече него зачем-то заносится NULL вместо строкового значения. Менять протокол обмена не хотят, поскольку это может быть обновление ещё и все камер (килер для хакера дешевле выйдет, Механик — редкий специалист, который в сервисе убьёт машину так, что будет выглядеть как поломка и она никогда не попадёт на дороги).
shark14
14.08.2019 19:17В PostgreSQL JSON — нет, например, поиск по not null значениям так записывается:
where data->'someProperty' != 'null'vnai
15.08.2019 07:24Может просто так надо: where data->>'someProperty' is not null
SlavniyTeo
16.08.2019 10:12Совершенно неожиданно, но
'null'::jsonbэто совершенно не тот NULL, который Вы ожидаете пруф где-то здесь
select (('{"a":2, "b": null}'::JSONB) -> 'c') is null -- TRUE select (('{"a":2, "b": null}'::JSONB) -> 'b') is null; -- FALSEvnai
16.08.2019 12:08Если речь о текстовых полях, то почему не используется оператор ->> для получения текстового представления? В этом случае нет никаких проблем и проверка на null будет проводиться корректно.
В вашем примере же всё логично, оператор -> выдаёт null, если поле отсутствует в json и 'null'::json, если оно имеет значение null. Иначе бы было невозможно различить две этих ситуации.
johnfound
14.08.2019 18:47+1Экранирование входных данных, это весьма неоднозначный путь.
Просто никогда не создавайте SQL запросы в рантайме. Используйте SQL параметры и не будут проблемы.
Peacemaker
15.08.2019 15:37Я бы с радостью использовал параметры, если бы мог, используя параметры, записать выражение вида «SELECT * FROM table t WHERE t.Id IN (@Argument_name);
Если так можно, то научите, пожалуйста.Bolterer
16.08.2019 07:11Проблема как я понимаю в том что количество параметров заранее неизвестно? Если так, то стандартное решение сгенерировать коллекцию параметров и подставить в строку запроса имена параметров, а не их значения, например "select * from table where id in (@p1,@p2,...,@pn)". В этом случае использование параметров получается более громоздким чем обычно что раздражает программистов, но что поделать, безопасность требует жертв.
denis-19
14.08.2019 19:05Ссылка на полную презентацию хакера в pdf (DEFCON-27-droogie-go-null-yourself.pdf 48.2 MiB 2019-Jul-29 00:37).
ibragames
14.08.2019 19:33+2«А некоторые заказывают даже персональные номерные знаки.»
Вот чудные американцы, где еще такое увидишь)
gatoazul
14.08.2019 23:49На Украине тоже можно заказывать знаки с произвольными надписями
RiseOfDeath
15.08.2019 08:41В РФ ПДД тоже предусматривает существование таких знаков. Правда я вживую видел это только один раз (видимо дорого)
artemerschow
15.08.2019 10:51В РФ ПДД тоже предусматривает существование таких знаков
Простите, но нет. Номерные знаки обязаны иметь вид соответствующий действующему госту. И ГОСТ Р 50577-2018, как и его предшественники, подобное не предусматривает. В живую вы могли видеть сувенирные номера, которые водитель навесил вместо своих в нарушение закона.
m00r3ik
15.08.2019 14:44Да, но к ним в комплекте всегда идут еще и «обычные» (именной к ним привязан), которые желательно возить в багажнике на случай пересечения границы или оформления ДТП
thesun2003
17.08.2019 10:32Например в Новой Зеландии. Можно заказать свой номер — стоит денег, но люди пользуются. Само собой, есть какие-то критерии и цены различные. Популярная штука.
nick_gabpe
14.08.2019 20:11+2А что если проехать под камерой с номером DROP TABLES Penalties;? :)
w0den
14.08.2019 20:27+2DROP DATABSE TABLICE
pewpew
14.08.2019 20:55+8У меня был забавный случай. На одной из прошлых работ банк выдал мне зарплатную карточку, нормер которой оканчивался на 0000. Как правило, это не представляло проблем. Но вот на заправке Лукойл терминал не принимал эту карту. Кассиры разводили руками и звали старших. Так, выяснилось, что на кассе есть расширенный режим, в который входят через F12. В этом режиме карта принималась. Этим знанием я иногда удивлял кассиров-практикантов.
burzooom
15.08.2019 09:37Я подозреваю, что на самом деле F12 делает сброс всей системы. Хорошая попытка, но нет
iig
14.08.2019 22:07"Я подумал: я крут, стану невидимкой, — говорит Droogie, который работает консультантом по безопасности в компании IOActive"
Интересно, какого результата этот консультант ожидал? Что во всех полицейских базах произойдет деление на 0?
Loggus66
14.08.2019 22:52На что он надеялся:
SELECT id, sum, plate, address WHERE plate IS NOT NULL; //формирование списка штрафов за сегодня по всем должникам и рассылка.
Как было реально: по номеру система сформировала штраф и собрала в кучу все значения с NULL в поле, правда, как указали выше, так не дожлно быть, но на практике случилось.iig
15.08.2019 12:47Не могу представить условий, в которых 'NULL' (строка) превратится в NULL (литерал).
Скорее всего все он понимал, и задача стать невидимкой успешно выполнена. Его 'NULL ' успешно теряется среди тысяч нераспознанных номеров. Если бы он просто прицепил картонку с надписью NULL — прокатило бы (до первого живого полицая).
Ob-iVan
14.08.2019 22:42+1Произошедшее с героем статьи можно описать одним простым словом: довыпендривался ;)
Wesha
14.08.2019 23:55"И почему только в нашей стране слова "сильно умный нашёлся" являются оскорблением? " (с)
Ob-iVan
15.08.2019 15:58Быть умным и быть выпендрежником — не одно и то же, Вы не находите?
Лично у меня среди знакомых есть и те, и другие. И это разные люди.
Если бы этот «хакер» был умным, то видимо у него были бы нулевые штрафы, а не те, которые он получил в результате. Разве нет?Wesha
16.08.2019 02:09Если бы этот «хакер» был умным, то видимо у него были бы нулевые штрафы
А у Вас при попытке вмешаться в работу незнакомой Вам системы всё-всё с первого раза получается именно так, как Вы планировали?
Длительное время я, приступая к анализу какой-либо системы, начинал с чего-то вроде "если бы мне нужно было решить задачу, которую решает эта система, я бы написал код так-то и так-то". Как я ошибался! Практически каждый раз выяснялось, что в исследуемой системе использовалось гораздо
более дебильноеменее элегантное и более дырявое решение :( Теперь я начинаю с посылки "как бы эту задачу решилжертва ЕГЭсредний идиот". (Как видите, в рассматриваемой системе/базе произошло именно это — сравнение со строковым значением "NULL" вместо типа NULL.) Возможно, хакер из статьи просто ещё не дорос до понимания этого.Ob-iVan
16.08.2019 13:14-1Вы, на самом деле, все правильно написали. Если бы права позволяли, поставил бы стрелку вверх.
Вы абсолютно правы в том, что хакер из статьи не дорос до анализа того, как может повести себя неизвестная ему система при поступлении в нее сформированных им исходных данных. Будь он более опытен, он бы легко пришел к выводу, что с определенной вероятностью суммы штрафов могут как уменьшиться, так и возрасти. Да и вообще может произойти много всего непредвиденного. Слишком непредвиденного, чтобы экспериментировать на своем «реальном аккаунте».
Значит, одно из двух: либо он неадекватно оценил собственные силы, либо желание эффектно «понтануться» оказалось сильнее голоса разума.
Оба этих варианта прекрасно подходят к портрету типичного «выпендрежника». В чем я данного персонажа и подозреваю.
ybqwer
15.08.2019 07:24молодец, буквально хакнул сам себя)) все хакерские умные штуки разбиваются о усколобость программеров для которых NULL это строка))
RiseOfDeath
15.08.2019 09:41Товарищ сам себе злобный Буратино.
[offtopic]
Как в старом анекдоте:
Поломал хакер Вася своего провайдера, и сидит как дурак без интернета.
[/offtopic]
nfw
15.08.2019 08:42То есть в системе раз в месяц(?) собирается штрафов на 12000$ буквально никому, но всем плевать и никто даже не пытается их проверять?
AstarothAst
15.08.2019 10:39Это может быть валидным кейсом — часть знаков не распознается из-за грязи, на каких-то машинах знаков вовсе нет, какие-то оказываются частично скрыты другими автомобилями. То есть машина есть, нарушение есть, а знака нет.
chapai22
15.08.2019 12:10Обычное дело — машина после дилершипа (только что купленная) имеет временный номер на месяц, напечатанный на обычной бумажке у дилера. Которую кладут под заднее стекло или лепят куда попало а не на номерное место (оторвется же). В принципе всем пофиг.
Вобще чувак попал адски. Если в полиции что то можно доказать (потеряв минимум полдня и предъявив машину) то штрафы передаются для обработки в частную компанию которой удалять и править совсем не упало (удалятся же реальные штрафы и значит процент). А потом это все передается на коллекшн и тем доказывать вообще дохлый номер — только через суд. По каждому штрафу. Каждому. И той частной — только суд.
мало того что это дорого и очень затратно но даже по времени много. А машину у суда парковать геморрой.
Штрафы из других штатов не передаются — но если заехать в Аризону или Неваду и там что то висит на NULL — то остановит первый же патруль который обратит внимание на номер. Причем разбираться на дороге не станет а отконвоирует. А за злостную неуплату вообще то тюрьма может и засветить. Вполне реально, особенно если через толл проехали или с криминалом связано.
Как в ногу себе выстрелить только хуже.
drobzik
15.08.2019 15:40+1Вобще чувак попал адски
Или нет, если найдет достаточно ушлого адвоката, чтобы стрясти с полиции компенсацию за моральный ущерб и потерянное время.chapai22
15.08.2019 15:55Не стоит фантазировать на основе голливуда. Адвокат не окурок, на улице не валяется. Это минимум 400 баксов в час. И таких часов будет много, и все из своего кармана.
За потерянное время никто компенсаций не платит, как и за моральный ушерб.
Что вообще такое "моральный"? И причем здесь полиция.А реальный доказать надо.
Причем даже если номер сменит, его адрес и имя уже связали с нулем — отмазываться долго. А по тому, что он хотел за спидинг тикетов не получать — настоящее приключение впереди.
Так что как в стишке "его пример другим наука" и "на всякую хитрую попу что то найдется.."
LeoXX
15.08.2019 17:01Если товарищ официально у своего государства заказал персональный номерной знак и этот знак был согласован к выдаче и получен то с какого, извините, рожна человек должен отвечать за косяки внутренней кухни по выписке штрафов?
chapai22
16.08.2019 06:18Не всегда попытка хака системы будет безнаказанной.
Был такой плакат — "не стой под стрелой" именно для такого случая.
Представьте иной сценарий. Вам нравится военная форма и прочее хаки. Ходите только в этом и это круто. Но! не растет борода. Покупаете накладную, черную и густую, наклеиваете на суперклей и теперь хорошо.
Затем по приколу меняете имя. Это законно, проблем нет, государство делает. Для полного веселья выбираете Шамиль Басаев. Нуачо? Имея ввиду всех надинамить — прийдет Омон/ФСБ а вы им в лицо "ха-ха-ха!" и они прикольно утрутся.
Затем внезапно ночью к вам вламывается группа захвата, выносят окна и двери и мнут ребра. И никаких "хахаха" не получается. Глядь — ошибочка вышла. А через пару дней опять рейд и опять распластывают. И снова лицо синеет. Оказывается не так весело как задумывалось.
На жалобу резонно говорят, да ошибка, — смените имя и не играйте с огнем и не подставляйтесь. Система задумывалась не для игрунов и хакеров а для дела.
Но вы желаете быть шамилем басаевым и точка.
Спрашивается, кто виноват? Государство что выдало вам новое имя? Или омон который исполняет свою работу, ее часть, не желая вам зла. Или программисты систем, которые реагируют на шамильбасаева (подтвержденного: форма, борода) посылкой сообщения омону.
Или то, что система несовершенна как и все системы, но так как делали для другого то до вас лично, нарочно ищушего дырку, проблем не было.
Суд вас пошлет, потому как органы вправе и обязаны реагировать, а ошибка ваша вина.
Именно поэтому Митнику дали не медаль, а срок. И всем прочим хакерам.
Возвращаясь к оригинальному случаю — государство имеет право выписывать штрафы и вам присылать. У вас есть законом даденая возможность оспорить и не платить. Что он и делал. Ушерба денежного нет.
Компенсаций за ошибочно выписанный штраф и усилия на его оспаривание законом не предусмотрены (что логично, мало ли кто как устал при оспаривании).
А в систему выписывания левых штрафов она сам залез, по доброй воле, причем не случайно.
Seawind
15.08.2019 13:55Возможно, нераспознанные фото обрабатывались вручную, до появления этого чувака.
SIDS
15.08.2019 12:39У меня др 29 февраля. Однажды году так в 2005 я ехал в Одессу на поезде. На границе с Украиной пограничник пытался зарегистрировать мой паспорт используя некий переносной терминал. Терминал не желал принимать дату рождения и ругался, что ее не существует.
Пограничник тогда говорил, что если терминал дату не принимает — значит такой не существует, и у меня паспорт не действительный и вообще я — шпион.
Иногда сложно распознать шутит ли пограничник или нет, сами знаете)) Но в страну пустили
mig126
15.08.2019 17:53Т.е. день рождения вы отмечаете раз в четыре года? Не весело было наверное в детстве в такие моменты. :-/
DarkWolf13
15.08.2019 15:27с нашими системами распознавания номерных знаков такой фокус не случиться, но и экслоит тоже не получиться использовать. А может все-таки зря?
shalm
16.08.2019 01:31Теоретически можно сделать эксперимент с наклейкой на заднее стекло размером с номер и надписью типа NULL, это не запрещено, и может быть если система найдёт наклейку на фотке раньше номера и загрузит её в базу и что-то пойдёт не так как задумано разработчиками, при этом правила не будут нарушены.
DarkWolf13
16.08.2019 09:18систему-то найдет, но проблемные фото проходят «человеческую» обработку, неспроста фото машины спереди или сзади охватывает как минимум половину машины, если не больше. И то с чем приходилось сталкиваться мне, это когда штраф выписывался с отметками сделанными вручную на бланке системы, в том случае знак был слегка прикрыт грузом, на котором были похожие маркировки, торчащим из багажника.
shalm
16.08.2019 10:06Система должна понять, что фотка проблемная прежде чем отправить её чекать вручную. Если есть способ избежать такого поворота, то будет работать. Кстати возможно все выписанные штрафы просматриваются вручную перед отправкой, а не какие-то особенные. Тут же стоит вопрос, можно ли заставить алгоритм ошибиться и не выписать штраф, потому что 1) вместо номера она распознала наклейку 2) текст на наклейке вызывает сбой. По идее до человека не должна потом дойти фотка, которая подлежит проверке.
mig126
16.08.2019 13:53На всёх(в России, на сколько я знаю) «автоматических» штрафах ставиться подпись человека. Другое дело что их обычно подписывают стопкой не глядя. Из за чего периодически случаются казусы, с тенью за сплошной или превышение скорости езды машины погруженной на эвакуатор.
DarkWolf13
17.08.2019 14:43а минусует похоже товарищ из конторы заколачивающей на камерах деньги и опасающийся, что разбор системы распознавания помешает им бороться с безопасностью «зашибая» на ровных местах «бабки».
OldGrumbler
17.08.2019 10:25Мне давно уже интересно, что будет с сись-темами распознавания знаков при виде машины, расписанной разными случайными буквами и цифрами того же размера… («умный человек прячет дерево в лесу») )))
ks0
Моя фамилия Итого!
p0gank
Не ходите с такой фамилией в налоговую.
MaxVetrov
А с фамилией «Вычет» можно?
mig126
Один раз можно, но потом налоговая сама к вам придёт.
joffer
на вас навесят Огого!)