dil: (Default)
dil ([personal profile] dil) wrote2008-01-21 07:28 pm
  • Add Memory
  • Share This Entry
Entry tags:

Хакерам на заметку

http://www.schneier.com/blog/archives/2008/01/dutch_rfid_tran.html

Если вкратце, то за несколько месяцев при использовании публично доступных сведений и технологий была хакнута голландская система бесконтактных билетов для городского транспорта. Хотя её ещё даже толком запустить не успели, но зато уже успели потратить на неё 2 миллиарда евро. Британский Oyster, кстати, использует точно такие же RFID-карты.

Так я это к чему. Карты от московского метро еще никто не ковырял?
Flat | Top-Level Comments Only

[identity profile] guman0id.livejournal.com 2008-01-21 07:59 pm (UTC)(link)
Говорят, что там клиент-серверная система, так что их не зохакаешь…

[identity profile] dil.livejournal.com 2008-01-21 08:21 pm (UTC)(link)
клиент-серверная система сама по себе ещё ничего не гарантирует..

[personal profile] olegnet 2008-01-22 12:53 pm (UTC)(link)
в электричке контролеры пользуются мобильными терминалами, а значит точно не клиент-сервер.

правда, страшно представить, что полэлектрички при приближении контролеров, вместо того, чтобы выбежать из вагона и бежать в противоположный конец, освобождая людям места, будет продолжать на них сидеть :)

[identity profile] dil.livejournal.com 2008-01-22 03:12 pm (UTC)(link)
я не про электрички, а про метро. или в электричках такие же билеты теперь?

[identity profile] dinozavr.livejournal.com 2008-01-22 04:17 pm (UTC)(link)
Первый вопрос - насколько я понимаю, карта специалистами ломается без проблем.
Стоит ли риск денег? Именно за использованием карт следят бдительные бабки (и милиционер за спиной) в метро - кто и что именно прикладывает. Нелегитимных юзеров школьных проездных, в частности, очень много палят (их проще - звук сигнала на школьном проездном отличается).

Второй вопрос - AFAIK технически пластиковые карты для метро и электричек одинаковые. Первоначальная идея состояла в том, чтоб сделать ЭТО универсальной картой. AFAIK одно время они так и работали. Точно могу сказать, что при покупке моей первой жел.дор. пластиковой карты меня кассир спросил - мне карту только на ж.д., или на ж.д. и с возможностью использовать и в метро? Стоили они одинаково. Я взял вторую.

Но ведомства (электрички и метро) окончательно не договорились, и уже по меньшей мере 4 года кассиры категорически отказываются прошивать "не свою" карту - из другого ведомства. Они отличается рисунком и пунктом выдачи.

[personal profile] olegnet 2008-01-22 05:34 pm (UTC)(link)
у электричек ещё и другие ограничения:
- только проездной;
- прошивают только от станции продажи.

[identity profile] dil.livejournal.com 2008-01-22 08:44 pm (UTC)(link)
В данном случае оказалось, что и не-специалистами она тоже ломается без проблем. Хотя, казалось бы, сделай там не всю память читабельной - и уже сломать будет на порядок сложнее, потребуется вскрытие карты и вычитывание чипа ненормальными способами..

[identity profile] 1master.livejournal.com 2008-01-21 09:00 pm (UTC)(link)
Дык ты же понимаешь, что дьявол обычно в деталях.

[identity profile] dil.livejournal.com 2008-01-21 09:21 pm (UTC)(link)
Ага. В данном случае одноразовые карты просто полностью вычитывались штатными средствами, без всяких хаков, после чего склонировать их не составляло никакого труда. Студентов остановило только то, что срок подготовки диплома заканчивался, а они не успели найти чистые карты подходящего форм-фактора :)

[identity profile] webushka.livejournal.com 2008-01-21 09:02 pm (UTC)(link)
Хм.
http://mds.livejournal.com/198794.html

[identity profile] dil.livejournal.com 2008-01-21 09:27 pm (UTC)(link)
Да-да. this report focuses solely on the disposable paper OV-chipkaart, which is based on Mifare Ultralight technology. (http://staff.science.uva.nl/~delaat/sne-2006-2007/p41/report.pdf)

Плакалъ горючими слезами.

The Mifare Ultralight is used as cheap disposable paper ticket, intended for short term use such as single rides.
The Mifare Standard 4k is used as more durable plastic ticket, intended for permanent use such as fee-based travel and personalized cards.

Последние - это, часом, не те продлеваемые долговременные карты метро?

[identity profile] webushka.livejournal.com 2008-01-21 09:47 pm (UTC)(link)
Похоже на то.

[identity profile] dma.livejournal.com 2008-01-21 09:08 pm (UTC)(link)
К тем, кто ломает карты метро, Приезжают Лысые На Джипах

[identity profile] dixi.livejournal.com 2008-01-21 09:50 pm (UTC)(link)
хаха, в момент первого появления метрошных магнитных карт их ломали вообще дублированием.
но разработчики потом закрыли возможности ломки на пионерском уровне.

[identity profile] aol985.livejournal.com 2008-01-23 09:20 am (UTC)(link)
ну вот в московских ультралайтах какой-то пидорас не стал использовать otp-биты. Кто, кто все эти люди?!

А вообще-то mifare сама по себе офигенно хороша, дальше все от реализации зависит.

[identity profile] dil.livejournal.com 2008-01-23 11:53 am (UTC)(link)
Не, ну как, вот серийник вроде бы неперешиваемый. А совсем всё неперешиваемым делать нельзя, оно тогда работать не сможет.

[identity profile] aol985.livejournal.com 2008-01-23 05:37 pm (UTC)(link)
я в курсе :) но сейчас не о том -- там предусмотрено некоторое количество битов, программируемых только в одну сторону. Так вот, московское метро их не использует.
Flat | Top-Level Comments Only