Хакер жалуется на полицию: его автомобиль с номерным знаком NULL получил штрафов более чем на $12 000

^[1]
Её дочь зовут Помогите! Меня заставляют подделывать паспорта

Специалист по безопасности под ником Droogie ^[2] решил, что на его новом автомобильном номере должно быть написано NULL. В основном ради шутки, но был и скрытый смысл. Он надеялся, что благодаря такому хаку сможет избежать штрафов за превышение скорости (по понятной причине). Вышло совсем наоборот, о чём исследователь рассказал ^[3] на хакерской конференции DEF CON 2019 в своём выступлении 11 августа.

В США вокруг автомобилей действует настоящий культ. Считается, что машина должна быть чуть ли не у каждого. Дороги и парковки занимают огромную площадь и ложатся бременем на горожан ^[4]. Возле некоторых дорог даже нет пешеходных дорожек, а человек без машины воспринимается почти как неполноценный. Американцы всячески лелеют своих железных «коней»: наклеивают стикеры с лозунгами на бамперы и стёкла. А некоторые заказывают даже персональные номерные знаки.

Правила для персональных номерных знаков различаются в зависимости от штата регистрации автомобиля. Обычно правила доставляют достаточно свободы для самовыражения, но на хакерской конференции DEF CON 2019 в минувшие выходные прозвучала предостерегающая история из Калифорнии, которая говорит о рисках излишнего креатива.

«Я подумал: я крут, стану невидимкой, — говорит ^[5] Droogie, который работает консультантом по безопасности в компании IOActive. — Вместо этого собрал все штрафы».

Хакер жалуется на полицию: его автомобиль с номерным знаком NULL получил штрафов более чем на $12 000 - 2
Droogie выступает на конференции DEF CON 2019. Фото: Jack Morse / Mashable ^[5]

Droogie надеялся, что новый номерной знак сработает как в классической карикатуре «Мамины эксплоиты» ^[1] на КДПВ. По его расчёту, база данных увидит NULL и не сможет обработать никакую квитанцию на штраф. К сожалению, произошло прямо противоположное.

Сначала хакер получил штраф за нарушение правил парковки. Затем, когда определённая база данных выданных штрафов связала номерной знак NULL с его адресом, она отправила ему все остальные штрафные квитанции, у которых не было реального номерного знака. Общая стоимость штрафов составила $12 049.

Хакер жалуется на полицию: его автомобиль с номерным знаком NULL получил штрафов более чем на $12 000 - 3
Фото: Jack Morse / Mashable ^[5]

Droogie сказал аудитории DEF CON, что обратился с жалобой, но не получил сочувствия ни в Департаменте автомобильного транспорта Калифорнии (DMV), ни в полиции Лос-Анджелеса. Сотрудники обоих учреждений сказали ему просто сменить номерной знак на какой-нибудь другой. А хакер отказывается это делать и намерен добиваться справедливости, то есть исправления глючных компьютерных систем.

Droogie хотел перерегистрировать номерной знак на сайте DMV, но онлайновая система отказалась принимать NULL в качестве валидных входных данных (на скриншоте).

^[6]
Фото: Jack Morse / Mashable ^[5]

Хотя власти аннулировали первую порцию штрафов в размере 12 000 долларов, частная компания, которая управляет базой данных, не исправила проблему — и Droogie продолжает получать по почте новые штрафные квитанции. На текущий момент накопилось новых штрафов более чем на $6000.

P. S. В 1979 году (!) произошла похожая история ^[7]. Парень подал заявление на регистрацию персонализированного номерного знака SAILING, там же в заявлении указал второй вариант BOATING. Оба варианта оказались заняты. Поскольку никаких других вариантов автовладелец не хотел, то далее указал NO PLATE — и ему действительно выдали номерной знак NO PLATE. В итоге ему пришло более 2500 квитанций об оплате штрафов за парковку, потому что если у нарушившей машины не было номерного знака, в компьютерную систему вносилось NO PLATE.

См. также:

P. S. Сам Droogie говорит ^[10], что его выступление на хакерской конференции посвящено экранированию входных данных, а журналисты выдрали один любопытный факт из контекста и не поняли суть презентации.

It's fascinating when a reporter puts a spin on a facetious scenario and completely ignores the /real story/, apparently it's gone over quite a few heads... I wonder how long it will take for people to finally get it

— droogie (@droogie1xp) August 13, 2019 ^[11]

А суть презентации в том, что без надлежащего экранирования входных данных возможен взлом систем автоматического распознавания номерных знаков.

Автор: alizar

Источник ^[12]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/obrabotka-izobrazhenij/327047

Ссылки в тексте:

[1] Image: https://xkcd.com/327/

[2] Droogie: https://twitter.com/droogie1xp

[3] рассказал: https://www.defcon.org/html/defcon-27/dc-27-speakers.html#droogie

[4] ложатся бременем на горожан: https://www.citylab.com/transportation/2018/07/parking-has-eaten-american-cities/565715/

[5] говорит: https://mashable.com/article/dmv-vanity-license-plate-def-con-backfire/

[6] Image: https://habrastorage.org/webt/i0/il/dg/i0ildgz0rnljcwybjdvcgv6jt0s.jpeg

[7] похожая история: https://www.snopes.com/fact-check/auto-no-plate/

[8] Сотрудник по фамилии Нуль обрушил корпоративное ПО: https://habr.com/ru/post/142956/

[9] Дженнифер Нуль и другие неудачные фамилии: https://habr.com/ru/post/357650/

[10] говорит: https://twitter.com/droogie1xp/status/1161112523573092352

[11] August 13, 2019: https://twitter.com/droogie1xp/status/1161112523573092352?ref_src=twsrc%5Etfw

[12] Источник: https://habr.com/ru/post/463679/?utm_campaign=463679&utm_source=habrahabr&utm_medium=rss

Нажмите здесь для печати.