Děravé lahve, děravá republika

Sonda do lahví, strojů a lidí, Tomáš Thebys Biheler, 2019–20, poslední úprava 2024-09-15

Až 66.6 % procent supermarketů v České republice 🇨🇿 má zranitelný systém zpětného výkupu lahví (RVM). Takzvané lahvomaty pracují v režimu umožňujícím triviální falzifikaci lahvomatových lístků. Toto je dobrodružství o vracení pivních lahví a plastových přepravek, lahvomatech Tomra, čárových kódech, falzech a vodoznacích, na jehož konci se vyjeví zajímavý způsob tištění peněz. ⬇️⬇️⬇️

Více o zranitelnosti Vyzkoušet generátor lístků!

Teoretický úvod do vracení lahví 🍺 ➡️ 💰 🤑

Od lidí 🧍 ke strojům ⚙️

Když jsem vyrůstal v devadesátých letech dvacátého století ve střediskové obci ve východních čechách, občas jsem se vydal vrátit pivní lahve do místního nákupního střediska, tedy jednoty. Přebrala si je paní za pultem a na šedý, celkem mastný a velmi tvrdý papír napsala tužkou číslo, obvykle dělitelné třemi. S tímhle zvláštním a chudým ručně vytvořeným tokenem jsem si za svou cestu nakonec u pokladny obvykle mohl vybrat jablečné žvýkačky nebo tatranku. Výkup lahví byl v té době a na tom místě plně v režii lidí. Dnes jsme jinde.

Lahvomaty Tomra

Automatický lahvomat označovaný anglicky jako RVM (Reverse Vending Machine) pochází ze Skandinávie, kde byl poprvé vyroben firmou Wicanders a uveden do provozu v Oslu v obchodě Pera Fremstada v roce 1957. V té době se jednalo o velmi hlučný a celkem jednoduchý stroj, které kromě nemnohé práce, kterou zastal působil jako velmi atraktivní a moderní prvek, lákající zvědavé zákazníky. V roce 1972 založili bratři Tore a Petter Planke společnost Tomra. Portfolio jejich strojů se více i méně úspěšně rozšiřovalo a modernizovalo, vytvořili například plechovkomat Can-Can rozšířený v 80. letech nebo talířový lahvomat Tomra 400/410, který se objevil i ve filmu Vratné lahve Zdeňka Svěráka.
V roce 1997, k 25 výročí založení, společnost Tomra uvedla na trh veleúspěšný lahvomat Tomra 600, na který lze v české republice běžně narazit i v roce 2020. Jeho další varianty 605, 700, 710, 820 tvoří podstatnou a pravděpodobně dominantní část mechnizace výkupu lahví v ČR. Zajímavým detailem je, že lahvomaty napojené na síť má Norsko v rámci programu Resirk už od roku 1999 a používá jejich data (nejen) k nastavení daní. (Fallan 2013, s. 119–143) (Wikipedia contributors 2019b) (Infinitum nedatováno)

Nezabezpečený systém 🐛

Zranitelnost se týká lahvomatů, které pracují v režimu bez připojení na síť a informační systém pokladen. Nejde o zranitelnost čárového kódu jako takového, ten je transparentní a funkční. V prostředí výkupu lahví je však v současné době velmi často používán způsobem, který není bezpečný a je napadnutelný, což může v případě zneužití vést k finančním ztrátám provozovatelů. Předchozí výzkum naznačil, že informační spojení mezi lahovmatem a pokladním systémem neexistuje (Lindner 18 1. 2011).
Tuto hypotézu jsem experimentálně potvrdil. Je snadné zjistit, je-li prodejna zranitelná, stačí k tomu obvykle čtečka čárových kódů v chytrém telefonu a vrácení jedné lahve. I provozovatelé prodejny si takto mohou snadno zjistit, zda je jejich lahvomat zranitelný. Podle každého načteného kódu je ihned evidentní přítomnost zranitelnosti. Zjednodušeně, zranitelné kódy začínají číslicí 2, naopak kódy začínající číslicí 9 takto zranitelné nejsou. Sběr dat odhalil i výjimky. Za pozornost obvykle stojí, pokud je hodnota kódu vytištěna pod čárovým kódem, případně hodnota kódu obsahuje jakákoliv smysluplná data, obvykle silně připomínající například cenu, číslo lístku a číslo filiálky nebo číslo popisné.

Schéma (ne)zranitelnosti 📈

Virtuální lahvomat aneb udělej si sám 🖨️

Teď čistě prakticky…

Řetězec

Penny Market
Billa
Lidl (není zranitelný)

Hlavičky, číslo lístku, patičky (🖱️⬇️)

Počet lahví a přepravek

BILLA
Hradecka ul. 1141
Horice
Vykup lahvi
Listek 043227
23.00 
Lahve celk.
  7x 3.0 Pivo 0,50        1234.0
 
  7                         23.0
 Prepravky
Prep.pivo 100.0
 
  0                          0.0
Lístek lze uplatnit pouze v této
prodejně po dobu 30 dnů
Tomra 9
606657-90360001-06608-00
15:27:34 15-ZAR-2024

⚠️ Varování ⚠️

Tato aplikace neslouží k páchání trestné činnosti, nýbrž k identifikaci, potvrzení a mitigaci bezpečnostních zranitelností. Tuto aplikaci používáte na vlastní zodpovědnost a běží ve Vašem počítači. Tato aplikace vás může a nemusí sledovat.
Pokud nesouhlasíte, opusťte tyto stránky.

Video 📼 s uplatněním falza…

Další informace a fakta v bodech 🌐

  • 🐛 Common Vulnerability Score Určeno jako 4.7 (medium), detaily viz CVSS Calculator Vector
  • 💸 Autor studie se demonstrovaným způsobem obohatil na úkor společnosti Penny Market o 21 korun českých.
  • 👀 Zaměstnanci prodejen toto odmítli řešit, případně odkázali na vedení řetězců.
  • ⚖️ Pokus o responsible disclosure společnostem Billa a Penny Market 2/2020, bez odezvy.
  • 📣 Veřejná přednáška a demonstrace na konferenci TFM 2020 a CTJB 2024.
  • 🛡️ Obchodní řetězce Albert, Kaufland a Lidl byly otestovány a nejsou tímto typem útoku zranitelné.
  • 🔍 Pozoruhodné u výkupu lahví v Lidlu je, že ač tisknou data o ceně do čárového kódu Code128(GS1), tak pokladny úspěšně skenují pouze platné lístky (expirované, platné, duplicitní) a nikoliv falza, o kterých taktně mlčí. Zdá se, že Lidl používá datové spojení mezi lahvomatem a pokladnou.
  • 🧰 Náklady na provedení tohoto výzkumu (bez započítání lahví a přepravek) byly asi 3 000 korun českých.
    • 🖨️Nejsou zde zveřejněny žádné vodoznaky, ačkoliv je lze stejně triviálně zfalšovat pomocí jakékoliv barevné tiskárny.
  • 💳 Nejdražšími položkami byly kniha o skandinávském designu z Google Books a termotiskárna cashino PTP-2.
  • 🌡️ Můžete se zapojit do dalšího výzkumu. Zdrojové kódy aplikace resp. tohoto webu naleznete pro studijní účely zdarma v repozitáři na bitbucketu.
  • ✨ Hardwarovou, softwarovou a morální podporu projektu poskytuje Base48 Hackerspace Brno.

Bibliografie 📚

            ANON., 2019. GS1 General Specifications [online]. B.m.: GS1 AISBL. Dostupné z:
            https://www.gs1.org/docs/barcodes/GS1_General_Specifications.pdf

            FALLAN, Kjetil, 2013. Scandinavian Design: Alternative Histories [online]. B.m.: Berg. ISBN 9780857852182.
            Dostupné z: https://play.google.com/store/books/details?id=QcM4AAAAQBAJ

            INFINITUM, A. S., nedatováno. About us [online] [vid. 2020-01-04]. Dostupné z:
            https://infinitum.no/english/about-us

            LINDNER, Felix, 18 1. 2011. DEFCON 16: Toying with Barcodes [online] [vid. 2019-12-30]. Dostupné z:
            https://www.youtube.com/watch?v=qT_gwl1drhc

            MAIER-RIGAUD, Frank P. a Dovile VAIGAUSKAITE, 2006. Prokent/Tomra, a textbook case? Abuse of dominance under
            perfect information. Abuse of Dominance Under Perfect Information (May 3, 2011). EC Competition Policy
            Newsletter [online]. (2), 19–24. Dostupné z: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=1829990

            WIKIPEDIA CONTRIBUTORS, 2019a. International Article Number. Wikipedia, The Free Encyclopedia [online] [vid.
            2020-01-04]. Dostupné z:
            https://en.wikipedia.org/w/index.php?title=International_Article_Number&oldid=933092093

            WIKIPEDIA CONTRIBUTORS, 2019b. Tomra. Wikipedia, The Free Encyclopedia [online] [vid. 2020-01-03]. Dostupné
            z: https://en.wikipedia.org/w/index.php?title=Tomra&oldid=926953372

Kontakt

✉️ ⛓️ 📱