What’s in a Boarding Pass Barcode?

S

sarcastrix

New member
Intressant och läsvärd artikel!



What’s in a Boarding Pass Barcode? A Lot — Krebs on Security





bpdecoded.png
 
LOL - killen har inte direkt koll på flygindustrin. Han är helt insnöad på att United inte skriver ut hela FFP-numret på boardingkorten och därför kan man hitta "hemligheter" genom att avkoda streckkoden.



Han hävdar även att han med den info han fick från streckkoden (PNR och efternamn) kunde se alla kommande flighter via Lufthansa.com - det är väl inte sant? För att se kommande flighter måste man väl logga in på sitt konto, eller..?



Den största behållningen är länken till IATA-dokumentet som beskriver hur informationen är kodad i streckkoden. Hans säkerhetsanalys ger jag inte mycket för - den är giltig i vissa fall, men i de flesta fallen är den helt irrelevant eftersom all info redan står utskriven på boardingkortet.
 
agehall skrev:Han hävdar även att han med den info han fick från streckkoden (PNR och efternamn) kunde se alla kommande flighter via Lufthansa.com - det är väl inte sant? För att se kommande flighter måste man väl logga in på sitt konto, eller..?Klicka för att utvidga...
Click to expand...
Han kanske blandar ihop det med att du kan se alla kommande flighter (och byta säte osv) som finns i samma reservation. Den kan ju sträcka sig en god bit framåt om man har en multi-hop resa.



Sedan kan man ju generellt sett hålla med om att säkerheten är usel på den biten egentligen. Efternamnet är ju publik information, och "lösenordet" är begränsat till exakt 6 tecken bara uppercase och siffror. Jag undrar hur många kombinationer man hinner brute-force-scanna med efternamn=Agehall, bokningsnr=<sekvens> innan några säkerhetssystem slår ifrån. Om du bara har en ensam framtida bokning så behövs ju inte mer än drygt 200 miljoner försök för att gå igenom alla, vilket är ganska lite... (Och just den där Agehall lär ju ha mer än en resa bokad, så det tar kortare tid än så att faktiskt hitta en)



Men inte riktigt så usel som han påstår data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7 Och den informationen finns ju som sagt utskriven i textformat på bordingkortet också, så det är ingen skillnad där.
 
mha321 skrev:Han kanske blandar ihop det med att du kan se alla kommande flighter (och byta säte osv) som finnsi samma reservation. Den kan ju sträcka sig en god bit framåt om man har en multi-hop resa.Sedan kan man ju generellt sett hålla med om att säkerheten är usel på den biten egentligen. Efternamnet är ju publik information, och "lösenordet" är begränsat till exakt 6 tecken bara uppercase och siffror. Jag undrar hur många kombinationer man hinner brute-force-scanna med efternamn=Agehall, bokningsnr=<sekvens> innan några säkerhetssystem slår ifrån. Om du bara har en ensam framtida bokning så behövs ju inte mer än drygt 200 miljoner försök för att gå igenom alla, vilket är ganska lite... (Och just den där Agehall lär ju ha mer än en resa bokad, så det tar kortare tid än så att faktiskt hitta en)Men inte riktigt så usel som han påstårOch den informationen finns ju som sagt utskriven i textformat på bordingkortet också, så det är ingen skillnad där.Klicka för att utvidga...
Click to expand...


Sen så är ju inte efternamn unika heller. Om man nu inte är ute efter att attackera just @agehall utan nöjer sig med att hitta en godtycklig giltig bokning så kan man ju sätta efternamnet till Johansson eller Smith när man gör sin scanning.
 
agehall skrev:LOL - killen har inte direkt koll på flygindustrin. Han är helt insnöad på att United inte skriver ut hela FFP-numret på boardingkorten och därför kan man hitta "hemligheter" genom att avkoda streckkoden.Klicka för att utvidga...
Click to expand...


Utan att ha dubbelkollat den här artikeln; var försiktig med att för snabbt förkasta nånting Krebs skriver. Han är rätt duktig på det han gör.



Det finns rätt gott om dålig säkerhet när det gäller bonusprogram, och det senaste året eller två har det varit ett uppsving i intrång på bonuskonton. Inkräktarna använder dem för att boka bonusbiljetter som säljs genom fejkresebyråer på nätet.
 
lnixon skrev:Utan att ha dubbelkollat den här artikeln; var försiktig med att för snabbt förkasta nånting Krebs skriver. Han är rätt duktig på det han gör.Klicka för att utvidga...
Click to expand...


Problemet här, är att han är insnöad på ett visst fall, dvs hur United hanterar saker på boardingkort. I sak har han rätt - det är usel säkerhet på det hela, men det hänger inte på att det går att avkoda streckkoden, vilket man kan tro när man läser hans artikel.
 
Thornado skrev:Sen så är ju inte efternamn unika heller. Om man nu inte är ute efter att attackera just@agehallutan nöjer sig med att hitta en godtycklig giltig bokning så kan man ju sätta efternamnet till Johansson eller Smith när man gör sin scanning.Klicka för att utvidga...
Click to expand...
Fast det finns ju en poäng med att gå på just @agehall - man vill ju komma åt folk som bokar business eller first om man vill "boka om" deras resa till sig själv data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7
 
Tror ändå att chansen att du hittar en biljett att sno är större om du tar Johansson eller något annat efternamn som är vanligt. Agehall finns det en bokning med en viss dag, Johansson finns det kanske 10. Då kapar du sökutrymmet till en tiondel vilket gör att du mycket snabbare hittar en resa att kapa.
 
agehall skrev:Tror ändå att chansen att du hittar en biljett att sno är större om du tar Johansson eller något annat efternamn som är vanligt. Agehall finns det en bokning med en viss dag, Johansson finns det kanske 10. Då kapar du sökutrymmet till en tiondel vilket gör att du mycket snabbare hittar en resa att kapa.Klicka för att utvidga...
Click to expand...
Det ger garanterat större chans, men risken tråkigare resultat är påtaglig data:image/gif;base64,R0lGODlhAQABAIAAAAAAAP///yH5BAEAAAAALAAAAAABAAEAAAIBRAA7
 
You must log in or register to reply here.
Back
Top