- Portál imhd.sk citoval prednášku z medzinárodnej konferencie Confidence v Krakove a nikde neuvádza, že sa tento spôsob využitia chyby systému týka aj DPB. Je preto pozoruhodná alergická reakcia DPB, ktorý napriek neuvedeniu miest, kde by bolo možné k takémuto zneužitiu dôjsť, reaguje ako keby sa zneužitie týkalo aj Bratislavy. Buď to znamená, že DPB neuvedenie Bratislavy "prehliadol", alebo potvrdil, že sa tento problém týka aj Bratislavy.
- V článku sa uvádzajú aj postupy, ako sa dá možnému zneužitiu SMS lístkov účinne brániť. Denník SME ani Branislav Zahradník túto informáciu vôbec neuviedli.
- Branislav Zahradník na jednej strane tvrdí, že "akúkoľvek odchýlku by systém zachytil a odhalil", na druhej strane je podľa neho článok na imhd.sk možné "považovať za navádzanie na páchanie trestnej činnosti". Nezodpovedanou zostáva otázka, ako je možné páchať trestnú činnosť, keď ju údajne nezraniteľný systém vlastne ani neumožňuje.
- Pred zverejnením článku na imhd.sk bol oslovený bratislavský aj košický dopravný podnik so žiadosťou o vyjadrenie k materiálu o možnosti hacku SMS lístka, ktorý pochádza z krakovskej konferencie o bezpečnosti informačných technológií. Zatiaľ čo košický dopravný podnik poslal kvalifikované stanovisko dodávateľa služby, DPB otázky imhd.sk odignoroval, čím sa sám pripravil o možnosť reagovať ešte pred zverejnením článku. Podotýkame, že stránky imhd.sk denne navštevuje viac ako 40000 ľudí, prevažne zákaznikov DPB, avšak pre DPB zjavne tento počet nie je dostatočný na to, aby svojich zákazníkov informoval. Je zvláštne, že denníku SME už DPB stanovisko k rovnakej téme poskytol.
"Vyjadrenie Branislava Zahradníka považujeme za ďalší zo série útokov DPB voči nezávislému odbornému spravodajstvu na portáli imhd.sk. Po blokovaní prístupu na imhd.sk zo siete DPB a hrození zamestnancom postihmi, ak slobodne napíšu svoj názor na DPB, najnovšie dopravný podnik zvažuje podanie trestného oznámenia. Je smutné, ak podnik namiesto nápravy nedostatkov radšej podniká kroky na zastrašovanie kritikov. Pripomína nám to doby minulé," uvádza sa vo vyjadrení občianskeho združenia mhd.sk, prevádzkovateľa stránok imhd.sk. Dopravný podnik Bratislava je 100-percentnou akciovou spoločnosťou mesta a je dotovaný z mestského rozpočtu.
Z diskusie k článku uvedenému v denníku SME vyberáme reakciu autora prednášky o zraniteľnosti SMS lístkov Pavla Luptáka:
"Ja osobne som autor, ktorý analyzoval uvedenú bezpečnostnú zraniteľnosť a napísal o tom technickú prezentáciu, k dispozícii na adrese http://www.nethemba.com/SMS-ticket-hack4.pdf. Ide o úplne reálnu zraniteľnosť (kto si prečíta tú prezentáciu, určite pochopí, že to netreba podceňovať). O uvedenej bezpečnostnej zraniteľnosti som prednášal na svetových bezpečnostných konferenciách Metalab Viedeň (5.5.2009) a Confidence Krakow (15.5.2009). Ďalšiu prednášku o tom mám 13. - 16.8.2009 v Holandsku na konferencii HAR 2009 (https://har2009.org/). To, že mi príspevok akceptujú na serióznych bezpečnostných konferenciách znamená, že nehovorím bludy, ale ide o reálnu zraniteľnosť, chybný design celého systému, kedy sa SMS lístok mapuje s číslom cestujúceho, nie s jeho osobnou identitou.
Mojim cieľom nebolo uvedený systém zneužiť (v tomto prípade by som o tom nehovoril a oficiálne to nepublikoval na bezpečnostných konferenciách). Mojim cieľom bolo popísať reálnu bezpečnostnú zraniteľnosť vo verejne používanom systéme. Súčasne som navrhol aj dve riešenia ako to opraviť (viď prezentáciu). Tieto riešenia sú očividne veľmi nákladné, takže DP ich zrejme odmietol/odmietne a nebude realizovať.
Bratislavský dopravný podnik som o uvedenej zraniteľnosti informoval EŠTE PREDTÝM, ako SMS lístky boli v Bratislave reálne nasadené - takže oni s plným vedomím tejto zraniteľnosti nasadili už zraniteľný systém. Dopravný podnik na môj e-mail vôbec vôbec nezareagoval. Zareagoval na to oficiálne Dopravný podnik v Prahe, ktorý sa podobne ako ten bratislavský začal vyhrážať žalobou za napomáhanie trestnému činu.
Z hore uvedeného vyplýva, že ak by dopravné podniky pokladali uvedenú zraniteľnosť za nezmyselnú (čo pokladajú), tak určite ma nechcú zažalovať (čo sa očividne vyhrážajú). Na tomto všetkom ma mrzí najviac to, že dopravný podnik namiesto toho, aby uznal, že uvedená zraniteľnosť tam reálne existuje a začal sa baviť o konštruktívnom riešení, tak sa vyhráža žalobou za napomáhanie trestnému činu. V prvom rade by mi mali poďakovať (čo samozrejme nespravili), nakoľko som ich informoval o zraniteľnosti, ktorú môže niekto masívne zneužívať (a samozrejme im o tom nepovedať).
Ja som dodržal všetky zásady "responsible disclosure", informoval som ich o tom niekoľko mesiacov predtým, ako som tento dokument zverejnila navrhol som im aj funkčné opravy. Pevne verím, že zvíťazí ľudský rozum a demokracia slobodného vyjadrovania namiesto toho, aby sa mi zúfalo vyhrážali za napomáhanie trestnému činu, uzná, že uvedený systém je zraniteľný a bude sa hľadať konštruktívne riešenie.
Pred pár mesiacmi doktorandi z Holandskej univerzity odhalili, že londýnska Oyster card, založená na Mifare Classic je kompletne zraniteľná (je možné rozbiť proprietárnu Crypto1 šifru a kartu naklonovať). Tento svoj článok samozrejme akademicky publikovali. Londýnsky dopravný podnik ich samozrejme zažaloval za napomáhanie trestnému činu a veľké finančné straty (podobne ako sa vyhráža Dopravný podnik Bratislava). Samozrejme, že holandský súd rozhodol, že v práve sú doktorandi na univerzite, nakoľko predsa žijeme v demokracii a každý si môže publikovať čo chce. Mimochodom, viete o tom, že DPB používa tiež Mifare Classic karty s úplne rovnakou zraniteľnosťou."
