November 2019

S M T W T F S
      12
34 5 678 9
10111213141516
17181920212223
24252627282930

Navigation

Page Summary

Style Credit

Expand Cut Tags

No cut tags

Хакерам на заметку

dil: (Default)
[personal profile] dil
Monday, January 21st, 2008 07:28 pm
http://www.schneier.com/blog/archives/2008/01/dutch_rfid_tran.html

Если вкратце, то за несколько месяцев при использовании публично доступных сведений и технологий была хакнута голландская система бесконтактных билетов для городского транспорта. Хотя её ещё даже толком запустить не успели, но зато уже успели потратить на неё 2 миллиарда евро. Британский Oyster, кстати, использует точно такие же RFID-карты.

Так я это к чему. Карты от московского метро еще никто не ковырял?
Tags:
Flat | Top-Level Comments Only

[identity profile] guman0id.livejournal.com
Monday, January 21st, 2008 07:59 pm (UTC)
Говорят, что там клиент-серверная система, так что их не зохакаешь…

[identity profile] dil.livejournal.com
Monday, January 21st, 2008 08:21 pm (UTC)
клиент-серверная система сама по себе ещё ничего не гарантирует..

[personal profile] olegnet
Tuesday, January 22nd, 2008 12:53 pm (UTC)
в электричке контролеры пользуются мобильными терминалами, а значит точно не клиент-сервер.

правда, страшно представить, что полэлектрички при приближении контролеров, вместо того, чтобы выбежать из вагона и бежать в противоположный конец, освобождая людям места, будет продолжать на них сидеть :)

[identity profile] dil.livejournal.com
Tuesday, January 22nd, 2008 03:12 pm (UTC)
я не про электрички, а про метро. или в электричках такие же билеты теперь?

[identity profile] dinozavr.livejournal.com
Tuesday, January 22nd, 2008 04:17 pm (UTC)
Первый вопрос - насколько я понимаю, карта специалистами ломается без проблем.
Стоит ли риск денег? Именно за использованием карт следят бдительные бабки (и милиционер за спиной) в метро - кто и что именно прикладывает. Нелегитимных юзеров школьных проездных, в частности, очень много палят (их проще - звук сигнала на школьном проездном отличается).

Второй вопрос - AFAIK технически пластиковые карты для метро и электричек одинаковые. Первоначальная идея состояла в том, чтоб сделать ЭТО универсальной картой. AFAIK одно время они так и работали. Точно могу сказать, что при покупке моей первой жел.дор. пластиковой карты меня кассир спросил - мне карту только на ж.д., или на ж.д. и с возможностью использовать и в метро? Стоили они одинаково. Я взял вторую.

Но ведомства (электрички и метро) окончательно не договорились, и уже по меньшей мере 4 года кассиры категорически отказываются прошивать "не свою" карту - из другого ведомства. Они отличается рисунком и пунктом выдачи.

[personal profile] olegnet
Tuesday, January 22nd, 2008 05:34 pm (UTC)
у электричек ещё и другие ограничения:
- только проездной;
- прошивают только от станции продажи.

[identity profile] dil.livejournal.com
Tuesday, January 22nd, 2008 08:44 pm (UTC)
В данном случае оказалось, что и не-специалистами она тоже ломается без проблем. Хотя, казалось бы, сделай там не всю память читабельной - и уже сломать будет на порядок сложнее, потребуется вскрытие карты и вычитывание чипа ненормальными способами..

[identity profile] 1master.livejournal.com
Monday, January 21st, 2008 09:00 pm (UTC)
Дык ты же понимаешь, что дьявол обычно в деталях.

[identity profile] dil.livejournal.com
Monday, January 21st, 2008 09:21 pm (UTC)
Ага. В данном случае одноразовые карты просто полностью вычитывались штатными средствами, без всяких хаков, после чего склонировать их не составляло никакого труда. Студентов остановило только то, что срок подготовки диплома заканчивался, а они не успели найти чистые карты подходящего форм-фактора :)

[identity profile] webushka.livejournal.com
Monday, January 21st, 2008 09:02 pm (UTC)
Хм.
http://mds.livejournal.com/198794.html

[identity profile] dil.livejournal.com
Monday, January 21st, 2008 09:27 pm (UTC)
Да-да. this report focuses solely on the disposable paper OV-chipkaart, which is based on Mifare Ultralight technology. (http://staff.science.uva.nl/~delaat/sne-2006-2007/p41/report.pdf)

Плакалъ горючими слезами.

The Mifare Ultralight is used as cheap disposable paper ticket, intended for short term use such as single rides.
The Mifare Standard 4k is used as more durable plastic ticket, intended for permanent use such as fee-based travel and personalized cards.

Последние - это, часом, не те продлеваемые долговременные карты метро?

[identity profile] webushka.livejournal.com
Monday, January 21st, 2008 09:47 pm (UTC)
Похоже на то.

[identity profile] dma.livejournal.com
Monday, January 21st, 2008 09:08 pm (UTC)
К тем, кто ломает карты метро, Приезжают Лысые На Джипах

[identity profile] dixi.livejournal.com
Monday, January 21st, 2008 09:50 pm (UTC)
хаха, в момент первого появления метрошных магнитных карт их ломали вообще дублированием.
но разработчики потом закрыли возможности ломки на пионерском уровне.

[identity profile] aol985.livejournal.com
Wednesday, January 23rd, 2008 09:20 am (UTC)
ну вот в московских ультралайтах какой-то пидорас не стал использовать otp-биты. Кто, кто все эти люди?!

А вообще-то mifare сама по себе офигенно хороша, дальше все от реализации зависит.

[identity profile] dil.livejournal.com
Wednesday, January 23rd, 2008 11:53 am (UTC)
Не, ну как, вот серийник вроде бы неперешиваемый. А совсем всё неперешиваемым делать нельзя, оно тогда работать не сможет.

[identity profile] aol985.livejournal.com
Wednesday, January 23rd, 2008 05:37 pm (UTC)
я в курсе :) но сейчас не о том -- там предусмотрено некоторое количество битов, программируемых только в одну сторону. Так вот, московское метро их не использует.
Flat | Top-Level Comments Only