Почему не воруют прокатные самокаты?
Живу в г. Набережные Челны. С неделю назад появился у нас в городе сервис whoosh, кикшеринг электросамокатов.
Вот интересно, почему они не боятся, что их кто-то угонит или разобьет? Как организована безопасность у них?
Воруют, а иначе как прожить, честным мошенникам?
Внутри самоката, установлены GPS маячки и сигнализация которая работает онлайн. И многие начинающие преступники её бояться. Но если подойти к проблеме, с научной точки зрения, то можно красть эти самокаты пачками.
К примеру, оборудовать кузов газели, клеткой Фарадея и фольгированным экраном. Тогда после помещения бесхозных самокатов вовнутрь кузова, сигналы GPS маячков и сотовые сигналы не смогут пробиваться в эфир, и хозяин этих ненужных самокатов не сможет отследить их перемещение и придти за ними с сотрудниками полиции. Далее там есть звуковая сигналка, её стоит отрезать в самом начале, вместе с рулевой колонкой.
Самое ценное в этих самокатах, это аккумулятор, контроллер и мотор колесо, после их извлечения, стоит выкинуть остатки самоката в ближайшую канаву и забыть о нём.
Основное что нужно для кражи, это экранированный кузов газели и минимальный набор инструментов, болгарка и несколько ключей, можно разводных.
Угоняют ли электросамокаты, что стоят на улицах?
Кто живет в крупных городах, наверное, видите, что на улицах стоят электросамокаты?
Там через приложение можно по QR авторизоваться и взять такой самокат в аренду на нужное количество минут.
Интересно, а их не угоняют?
А то они вот так просто, как бесхозные, стоят по всему городу и даже в не очень благополучных районах города.
Если покупать себе (не в аренду, а в собственность) электросамокат, то какие шансы наткнуться на такой вот угнанный и переделанный, "перепрошитый" самокат из такого сервиса?
Почему не воруют прокатные электросамокаты на улице?
Воруют. За сезон по статистике пропадает 1,5% прокатных самокатов. Это, конечно, не много, но риск такой есть. Как правило, это делают люди, которые не понимают как работает шеринг. Они не знают, что в технике установлены навигационные датчики, которые срабатывают при любом перемещении. Кроме датчиков помогает избежать кражи то, что станции располагают в людных местах, под присмотром камер. Ну и пристегивают самокаты очень прочным тросом.
Мало физически украсть самокат, нужно его «взломать», то есть войти в аккаунт, а для этого воры должны быть технически подкованы. Встроенные GSM-модемы, сенсоры постоянно сообщают о локации самоката и его состоянии, его легко отследить. Воры используют глушилки для подавления сигнала, но они не очень эффективны. Так что воровать электросамокаты просто бессмысленно.
Потому что в такие самокаты встроены навигационные датчики, отключить которые непросто, поэтому как только владелец сообщит о краже, полиция сразу же приедет к вам домой.
Воруют, но как правило неопытные воры, которые не знают, что в самокаты встроены датчики слежения, и поэтому их местонахождение сразу вычисляют и задерживают. К тому же воровать самокаты просто бессмысленно. Даже если украсть шеринговый самокат, получить из этого выгоду сложно. Разве что продать детали или за копейки на металлолом — шеринговые модели отличаются от потребительских, у них своя специфическая сборка. В краже очень мало смысла, а риск наказания — большой.
Потому что это крайне рискованно, самокаты оборудованы устройствами слежения, которые постоянно транслируют свое местоположение, поэтому даже если спрятать самокат в изолирующем помещении, вас найдут по истории перемещения.
Кража шерингового самоката крайне рискованное дело, при этом риск неоправданный. Все, что вор может сделать с самокатом — это сдать его на металлолом, потому что без активации самокат не работает, а электроника у него сильно защищена. Эти самокаты воруют только по неведению или наивности, причем сразу оказываются задержанными полицией.
В самокате установлен GPS датчик, который показывает хозяину где самокат находиться в данный момент.
Потому что не смысла, там же стоит система отслеживания, вычислят за пять минут
Воруют, но только незнанию, так как самокаты оборудованы геолокатором с GPS. Был случай, когда одна пенсионерка увидела как мужчина оставил самокат у подъезда, а сам зашел во внутрь, она решила его к себе затащить, в итоге — 2 года условно и штраф. Также в Новосибирске молодые люди пытались украсть два электросамоката, используя оборудование для подавления сигнала GPS. Сейчас горе-хакеры под следствием.
Их воруют, но владельцы их находят, т. к они отслеживаемые
Возможно, по нескольким причинам:
1. Электросамокаты защищены системой GPS/GLONASS, которая позволяет отслеживать месторасположение каждого скутера в режиме реального времени. Это позволяет быстро обнаружить украденный скутер и уведомить полицию.
2. При использовании прокатного электросамоката пользователь оставляет личные данные (номер телефона, email и т.д.), что может упростить задачу полиции в заме нахождения украденного транспорта.
3. Кроме того, уличные камеры, которые устанавливаются в городах, могут также быть использованы для обнаружения вора и нахождения украденного электросамоката.
4. Воровать электросамокат может быть сложно, потому что они довольно большие и тяжелые, поэтому их трудно украсть и далеко унести.
«У нас воруют — мы находим, процент примерно одинаковый». Как устроена система безопасности шеринга самокатов Юрент
Кибератаки, воровство и вандализм — сервисы аренды самокатов — кикшеринги кажутся довольно уязвимыми, но так ли это? В одном из недавних проектов команда Бастион проверяла защиту Юрент — это отличный повод узнать подробности из первых уст.
Мы попросили директора по IT Юрент Андрея Калинина рассказать о том, почему пенсионеры угоняют самокаты, сталкиваются ли в компании с киберугрозами и как устроена система безопасности шеринговых сервисов.
Взлом не оправдывает цель
Как и многие другие публичные сервисы, мы регулярно фиксируем парсинг открытых портов, кто-то прощупывает наш периметр, случаются DDoS-атаки. Некоторые пользователи ищут уязвимости в приложениях. Обычно, чтобы бесплатно покататься, но это редкие случаи.
Другой возможный вектор атак направлен на соединение между нами и самокатом. В теории злоумышленник может попытаться встать в разрыв, «притвориться» сервером и перехватить контроль — отправлять запросы: включить-выключить. Но связь идет через сотовую сеть и тут, как с любой хакерской атакой, на первый план выходит целесообразность. Атаковать оператора сотовой связи, чтобы бесплатно покататься на самокате? Это примерно как купить машину, чтобы получить блокнотик в подарок.
Есть способы и попроще. Так, некоторые хитрецы пытаются абузить акции. Они заводят виртуальные номера, прокатывают бонусы, которые даются за регистрацию и ввод промокодов, бросают аккаунт, а на следующий день заводят новый. Заметив это, мы ввели лимиты на промокоды, чтобы их нельзя было вводить один за другим. Злоупотреблять ими стало сложнее и число мошенников уменьшилось. Оставшихся не так много, чтобы с ними нельзя было справиться вручную: мы блокируем доступ к сервису по IP или ограничиваем скорость, если мошенник уже успел взять самокат в аренду.
Наша основная проблема и головная боль — защита транспорта, ведь он всегда на виду и буквально разбросан по всей стране.
«Оно же тут бесхозное стоит»
Велосипеды (слева), с которых мы начинали, и зона для парковки на набережной Адлера (такая наглядная разметка помогает поддерживать порядок на парковках)
Транспорт пытаются своровать постоянно, с первого дня работы. Мы начинали с велосипедов, поставили их на Розе Хутор в 2018 году — не прошло и дня, как их унесла группа товарищей без гражданства. Когда пропажу нашли, оказалось, что украли просто так, можно сказать, из любопытства: «Оно же тут бесхозное стоит».
Сейчас, в общем-то, ничего не изменилось. Никакой системы у преступников не прослеживается. Группировок, ворующих самокаты ради батареек, я, если честно, не видел. Из них вытаскивают «мозги» — трекер для удаленного управления самокатом, превращают транспорт в «гражданский» и перепродают. Чтобы самокаты было сложнее продать, мы отказались от наклеек на стойку и стали их красить.
К тому же, со временем наклейки обдирались естественным путем и выглядели уже не так эстетично
Впрочем, бывают и другие мотивы. Помню, запустили прокат в одном региональном городе с красивой набережной. Начиналось все хорошо, а потом самокаты с набережной стали загадочно перемещаться в кусты и подворотни.
Оказалось, что пара пенсионеров пошла войной на «этих буржуев», которые своими самокатами обдирают людей как липку. Они прятали самокаты в полной уверенности, что спасают честных граждан от жадных капиталистов. Ни дать ни взять, Робин Гуды.
После покраски самокаты выглядят намного симпатичнее и не так привлекательны для угонщиков
Воровство неизбежно. В кикшеринге это фактически часть бизнес-модели, — мы закладываем на кражи отдельный бюджет. Но это не значит, что мы ничего не делаем, чтобы обезопасить наши активы.
От скрининга пользователей к наблюдению за самокатами
Когда мы только начинали работать, идея кикшеринга многим казалась авантюрой. Просто поставить самокаты на улице и без охраны? В России?!
Мы и сами беспокоились на этот счет и сперва тестировали разные схемы: брали предоплату, верифицировали клиентов — запрашивали фото паспорта и в полуавтоматическом режиме искали данные о пользователе в стоп-списках вроде базы приставов. Но быстро поняли, что это тормозит развитие: предоплата сужает воронку продаж, а верификация блокирует работу поддержки.
Тогда решили рискнуть: убрали сложную регистрацию, перестали снимать деньги заранее. Теперь клиентский путь устроен так: скачать приложение, авторизоваться и привязать банковскую карту. Чтобы арендовать самокат, нужно отсканировать QR-код на руле. Затем сервис зарезервирует на счете сумму, которая пойдет на оплату поездки. Завершить аренду можно в любой зоне парковки, отмеченной на карте в приложении. Через него же выключается сам самокат. Сервис списывает сумму, равную стоимости поездки, и возвращает остаток на счет.
Мы больше не собираем персональные данные. Со стороны клиента все устроено максимально просто: приложение запрашивает только номер телефона и согласие с пользовательским соглашением, в котором прописаны правила использования сервиса. Вместо того, чтобы пытаться подстраховаться за счет клиентов, мы полагаемся на систему мониторинга состояния и контроля местоположения самокатов.
Высоконагруженный мониторинг
Управление арендой реализовано через классические веб-запросы, которые поступают из приложения на сервер. Сервер, в свою очередь, обращается к трекеру, установленному на самокате.
Закрепленный на стойке трекер — это «мозги» шерингового электросамоката
Трекер — то, что отличает шеринговый самокат от обычного. Это блок, который управляет самокатом и передает телеметрию: положение самоката в пространстве (стоит или лежит), температурные показатели, уровень заряда и мощность сигнала сотовой сети. Некоторые трекеры позволяют удаленно обновлять и перепрошивать ПО, другие — открывать деку, в которой находится батарея. Именно трекер позволяет регулировать скорость электросамоката, например, замедлять его в зонах с повышенной концентрацией пешеходов.
Внутри каждого трекера — GPS и GSM-модуль с внешней SIM-картой. Такой блок можно купить отдельно и установить самостоятельно. Адрес сервера зашивается в прошивку.
Когда-то мы именно так и делали: брали обычные самокаты и перепрошивали буквально на коленке.
Сейчас чаще покупаем самокаты с уже предустановленными трекерами, но интеграций по-прежнему много. Их внедряет научно-инженерный отдел. Это необходимость: у нас большой разнообразный парк, а трекеры не всегда идеально подходят ко всем моделям самокатов.
Для каждого типа трекеров мы пишем отдельную группу микросервисов — драйверы. Они нужны для того, чтобы разобрать проприетарный протокол конкретного вендора, преобразовать и направить в шину на базе RabbitMQ. Драйвер передает данные по AMQP в бэкенд на базе .Net.
Когда с самокатом что-то происходит, например, меняется его местоположение, трекер посылает запрос наверх. Примерно 75 тыс. самокатов отправляют сообщения на сервер в среднем раз в минуту. Во время движения частота обращений составляет один раз в 1–5 секунд. Нашу платформу вполне можно назвать высоконагруженной.
Раньше у нас была большая красивая карта, на которой цветными метками отображались самокаты, но по мере роста парка, данных стало так много, что UI перестал справляться. Да и разобраться во всех этих точках было совершенно невозможно.
Сейчас операторы следят за таблицами, где отображаются только те самокаты, с которыми происходит что-то подозрительное. Нам пришлось разработать систему фильтров и подобрать константы, чтобы в эти списки не попадали самокаты, которые на полсекунды потеряли связь с сервером или сдвинулись на полметра. Кстати, эта же система позволяет следить за зарядом, поломками и координировать работу техподдержки.
Если выключенный транспорт перемещается за пределы парковочной зоны или перестает посылать статусы, поднимается тревога. Тогда в дело вступает служба безопасности, которая занимается угонами. У них прямая связь с правоохранительными органами и бывшие оперативники в штате. Отработана процедура доступа к городским камерам.
В результате безопасность самокатов напрямую зависит от того, насколько хорошо мы обрабатываем телеметрию. Одно время с этим были проблемы.
Самое узкое место в этой системе — драйвера, у которых есть физическое соединение с самокатом. Если микросервис драйвера умирает, мы можем одномоментно потерять все TCP-соединения. Или, если не хватит мощности, появится второй pod, который не сможет принять нужные коннекты, и ребалансировка не произойдет. Так или иначе, мы потеряем массу информации о том, что происходит с нашим парком. Чтобы решить эту проблему, в прошлом году мы перевели самокаты на MQTT-протокол и теперь кладем в него весь TCP-трафик. Если один из драйверов «умирает», MQTT как обычный брокер копит очередь, пока не поднимется новый сервис, готовый принять эти сообщения. Три драйвера могут обслуживать примерно 10 тыс. самокатов, потому что, в отличие от четких TCP-соединений, балансировка идет равномерно.
Безопасность, как процесс
Мне кажется, у нас получился отлаженный рабочий механизм и статистика это подтверждает. Большинство украденных самокатов все равно к нам возвращается. У нас воруют — мы находим, процент примерно одинаковый. Однако, безопасность, в том числе и информационная, — это не состояние, а процесс и мы продолжаем его совершенствовать.
Мы работаем над автоматизацией инструментов для работы с угрозами. Например, сейчас некоторые вещи делаются вручную: есть системы мониторинга, алерты, которые подсвечивают инциденты, но решения по ним принимают люди. Планируем создать систему, которая автоматизирует реагирование: например, автоматически включит ограничение скорости и заблокирует самокат после того, как пользователь остановится.
Мы серьезно занялись внутренней безопасностью. У нас распределенные команды, и удаленка была заложена в фундамент компании еще до того, как это стало мейнстримом. Основные сервисы — внутренние базы данных, тестовые хранилища, 1С — закрыты VPN, но на текущем этапе необходимо решать вопрос с разграничением моделей доступа. Дело в том, что по мере роста все сложнее контролировать потенциальные утечки, особенно в сезон, когда много сотрудников работают «в полях».
В этом году усилим команду, отвечающую за кибербезопасность: планируем проводить регулярные пентесты, анализировать результаты и собирать бэклог для команды поддержки. Сейчас это одна из ключевых задач: компания перешла из категории стартапа в зрелый проект, мы становимся более заметными с точки зрения рынка. В таком взрывном росте есть как плюсы, так и минусы: всегда найдется кто-то, кто захочет проверить тебя на прочность.