We Wrocławiu ruszył dziś nowy system biletowy. Jaka jest cena „nowoczesności”?

Polska branża płatnicza nie kryje okrzyków dumy i radości.Zwykli wrocławianie entuzjazm ten podzielają znacznie mniej.Dzisiaj oficjalnie aktywowany system biletowy w stolicy DolnegoŚląska ogłoszono „najnowocześniejszym na świecie”, ponieważcałkowicie eliminuje materialny ślad jako dowód wniesienia opłaty.Wszystko odbywa się cyfrowo, zbliżeniowo, programistycznie.Papierowe bilety pozostawiono na otarcie łez w stacjonarnychautomatach biletowych, w pojazdach komunikacji miejskiej zachowanozaś dla tych papierowych biletów elektromechaniczne kasowniki, aleto wszystko. Docelowo każdy ma mieć przecież kartę zbliżeniową,każdy ma chętnie przykładać swoją kartę płatniczą doprzenośnych terminali kontrolnych w rękach ludzi podających sięza uprawnionych kontrolerów biletów.

Śledząc opinie w regionalnych grupkach Wrocławia na Facebookutrudno znaleźć jakieś pozytywne wypowiedzi o nowym systemiebiletowym. Można powiedzieć, że już na starcie jego operator,Mennica Polska, zaliczył spektakularną porażkę PR-ową. Ludzie poprostu się boją, że nowy system pozwoli łatwo okradać ich zpieniędzy, nie mają pojęcia jak on właściwie działa. Zamiastakcji edukacyjnej i publicznego udostępnienia technikaliów dowglądu dostaliśmy jedynie okrągłe słowa, ogólnikowe zapewnieniai wesołą akcję pożegnania starych kasowników, którym przydanocech antropomorficznych i opatrzono smutnymi napisami, że to jużkoniec. Zrób sobie ze mną ostatnie selfie, prosi stary żółtykasownik.

W tramwajach i autobusach wrocławskiej komunikacji miejskiej wciągu ostatnich kilku miesięcy zainstalowano 3300 kasoterminalibliżej nieznanego producenta. Poprzez interfejs graficzny wyświetlany naekranie dotykowym pozwalają one wybrać rodzaj biletu i uiścić zaniego płatność. Można to zrobić za pomocą karty płatniczej lubkarty miejskiej Urbancard, obsługującej standard komunikacjizbliżeniowej Mifare, oraz telefonu z przypiętą wirtualną kartąkredytową, obsługującego technologie NFC/HCE (simcentrycznepłatności mobilne).

Kasownik wykorzystuje numer karty płatniczej, numer kursu i datętransakcji do wygenerowania tokenu, który zostaje przesłany docentrali, obsługiwanej przez firmę First Data Polcard, będącejoficjalnym agentem rozliczeniowym i procesorem płatności dlaMennicy Polskiej. Centrala autoryzuje transakcję i rozlicza ją zbankami – wystawcami kart płatniczych.

Kontrola biletów polega teraz na sprawdzeniu, czy w centraliznajduje się token odpowiadający danej karcie płatniczej wokreślonym czasie i kursie. W tym celu kontroler sprawdzić musioczywiście numer karty płatniczej za pomocą zbliżeniowegoczytnika. I tu zaczyna się panika, ponieważ bardzo wielu pasażerówprzekonanych jest, że oprócz sprawdzenia tokenu może stać sięcoś jeszcze – np. ich konto zostanie obciążone niewymagającąpinowego potwierdzenia kwotą. Ludziom też się nie podoba, żepotencjalnie z kart płatniczych można odczytać ich dane osobowe,oraz kilka ostatnich transakcji.

W lutym br. Niebezpiecznik opublikował obszernytekst poświęcony bezpieczeństwu tego systemu biletowego,generalnie w uspokajającym tonie – nie ma się czego obawiać,wszystko jest dobrze. Nasi koledzy zdają się wierzyć wbezpieczeństwo transakcji bezdotykowych, twierdząc zgodnie zaktualnym stanem wiedzy, że karty zbliżeniowej nie da sięsklonować na podstawie odczytanych z niej bezprzewodowo danych…choć w 2014 roku mogliśmy zobaczyć androidową aplikacjęaustralijskiego hakera Petera Filmore’a, która za pomocązmodyfikowanego smartfonu Nexus 4 pozwala sklonować kartyzbliżeniowe, wykorzystując w tym celu słabości związane zestarszym systemem pasków magnetycznych. Jak wówczas stwierdziłFilmore, zbliżeniowe interfejsy są pełne błędów wimplementacjach i jedynie brak dostępnego i niedrogiego sprzętu dotestów ograniczył aktywność badaczy w tej dziedzinie.

Drugi atak, czyli nabicie transakcji na 49,99 zł, też ma byćraczej niegroźny. Nie powinniśmy obawiać się odczytywania kartprzez ukryte mobilne czytniki Paypass, ponieważ każdy terminal musibyć zarejestrowany u agenta rozliczeniowego, a procedura weryfikacjiakceptanta jest bardzo szczegółowa. W tym momencie jednak musimyjuż zwątpić – bezpieczeństwo przez gwarancje instytucji tożadne bezpieczeństwo, to tylko ludzkie opowieści, każdy mawłasne.

Trzeba jednak pamiętać o trzecim ataku, natury cyberfizycznej:na karcie podane są wszystkie ważne dane, pozwalające za jejpomocą na przeprowadzanie płatności w Internecie. Numer karty,data ważności, imię i nazwisko posiadacza oraz umieszczony z tyłutrzycyfrowy kod bezpieczeństwa CVV2. Ulepszony terminal kontrolnynapastników może korzystać z wbudowanego układu kamer, którypodaną przez pasażera kartę płatniczą odpowiednio obfotografuje,z przodu i z tyłu, przechwytując także kod CVV2. Nie wymyśliliśmytego jako pierwsi, o takim fotografowaniu wspominają brytyjscybadacze w swoim artykulept. Practical Attack on Contactless Payment Card.

Jedyny sposób, w jaki możemy się przed takim atakiemzabezpieczyć, to całkowite osłonięcie karty płatniczej futerałempodczas procedury kontroli biletów. Nie możemy być pewni, żeszybko zbliżając kartę do czytnika zasłonimy ją palcem akurattak, by wrażliwe dane były niewidoczne.

Na koniec omówienia tych kwestii bezpieczeństwa zastanowimy sięgłośno nad bezpieczeństwem w drugą stronę. A co, jeśli czytnikkontrolera dostałby numer karty kredytowej w formie, której niepotrafiłby poprawnie parsować? Jakiś mały błąd przepełnieniabufora, na podobieństwo problemów z uzłośliwionymi kodami QR napapierowych biletach kolejowych? Biorąc pod uwagę zapleczetechniczne i informatyczne Wrocławia wierzymy, że już ktoś gdzieśmoże eksperymentować z deweloperskimi kartami do zbliżeniowychpłatności. Czytniki kontrolerów do eksperymentów pewnie teżgdzieś się pojawią w drugim obiegu.

Sprawy bezpieczeństwa zostawmy w tym momencie na boku, wrócimydo nich gdy usłyszymy o jakichś konkretnych atakach. Tym conajbardziej uderza w nowym, nowoczesnym systemie biletowymjest to, że dla zwykłego pasażera jest on rozwiązaniem gorszym.Zobaczmy, co po wprowadzeniu tego systemu płatności staje sięniemożliwe lub niewygodne:

• Jadąc w grupie, w której ludzie wysiadają na różnychprzystankach, tracimy możliwość kupienia każdemu biletów jednątransakcją – jako że wszystkie bilety są przywiązane do jednejkarty płatniczej, posiadacz tej karty musiałby wysiąść jakoostatni, by uniknąć ryzyka kontroli dla tych, których bilety„przechowuje”.
• Znika możliwość kupienia biletów „na zapas”, i to wróżnych konfiguracjach, np. biletu jednorazowego i biletuczasowego. Bilet zakupiony elektronicznie jest automatycznie biletem„skasowanym”. W podróży z przesiadkami za każdym razem musimykupować nowy bilet.
• Zakupienie biletu czasowego nie pozwala łatwo sprawdzić, ilejeszcze możemy „legalnie” jechać. Z papierowym biletemwystarczyło sprawdzić wydrukowaną przez kasownik godzinę, anastępnie spojrzeć na zegarek. Teraz musimy przepychać się zakażdym razem do kasoterminala – co w godzinach szczytu doprzyjemnych zajęć nie należy.

W tej sytuacji na plus nowego systemu można zaliczyć jedyniedwie rzeczy… z czego jedna wydaje się być plusem tylko dlaoperatora płatności. Pierwsza rzecz to oczywiście ograniczeniemarnotrawienia papieru. Zakładając że rocznie wrocławskie MPKprzewozi 150 mln pasażerów, z których 50% kasuje jednorazowebilety, ważące około 0,2 grama każdy, to idzie na nie około 15ton papieru. Podobno to odpowiednik 255 drzew. Nawet gdyby naszeobliczenia tu były błędne o dwa rzędy wielkości, to i takścięcie nawet dwóch drzew na takie bzdury nie jest niczym dobrym.

Druga sprawa to Big Data. Operator systemu nowych płatnościbędzie teraz dysponował jeszcze większą ilością numerów kartkredytowych. Oczywiście to wszystko anonimowe itd., ale co z tegotak naprawdę? Budowanie modeli przewidywań zachowań konsumenckichbazuje właśnie na ogromnej ilości takich anonimowych danych. Amodele takie mogą być w przyszłości więcej warte, niż przychódz samych biletów komunikacji miejskiej.

Na koniec jedna ciekawostka. Od 1 stycznia 2018 roku obowiązująwe Wrocławiu nowe, wyższe ceny biletów komunikacji miejskiej. Zabilet normalny na linię zwykłą trzeba zapłacić o 40 groszywięcej, tj. 3,40 zł. Podniesienie ceny przejazdu o ponad 11procent, w sytuacji gdy wdraża się system, który podobno maprzynieść oszczędności na papierze oraz serwisowaniudotychczasowych biletomatów, nie wydaje się wyjątkowo przemyślanymposunięciem PR-owym.