W dniu 28.08.2020 o 13:21, J.F. pisze:

Takie male ostrzezenie ... pytanie:

"kasowniki" we wroclawskich tramwajach i autobusach, zrobione zreszta przez Mennice Polską z Warszawy,
dzialaja tak, ze wybiera sie rodzaj biletu, przyklada karte platnicza,
on pobiera oplate, wyswietla "Milego dnia" i gdzies zapamietuje, ze dany bilet danej karcie sprzedal.

A tu od paru dni maly zonk - przykladam karte i sie wyswietla "karta zastrzezona w systemie, skontaktuj sie z biurem obslugi klienta".

To jest za drugim razem - np rano placilem za bilet, niby wszystko dobrze, a po południu karta zastrzezona.

Chyba nic dziwnego, biorac pod uwage, ze apka bankowa rano nic nie powiedziala o pobraniu pieniedzy.
W blokadach tez nic nie ma.
Czyli wyswietlili "Miłego dnia", a pieniedzy nie pobrali.

Po paru dniach sie jakos wyjasnia ... moze juz pobrali ?

O co tu chodzi ? Zwykly blad na laczach, czy polityka bezpieczenstwa niektorych bankow ?

Tak czy inaczej ostrzezenie dla turystow - trzeba miec kilka kart, lub kupowac bilety papierowe.
A w razie nabycia okresowego - sprawdzic, lub sfilmowac placenie, bo nie wiadomo jak kanarki zareaguja :-)

J.

Bilet powinien się zapisać na karcie płatniczej, a dodatkowo w systemie. Możliwe, że rozliczenie odbywa się raz dziennie w nocy. Możliwe też, że na niektórych kartach nie potrafią zrobić drugiego zapisu.
https://rzeszow-news.pl/zaplac-karta-za-bilet-w-kasowniku-nowa-usluga-w-autobusach-juz-dziala/

W dniu piątek, 28 sierpnia 2020 14:39:45 UTC+2 użytkownik AS napisał:

Bilet powinien się zapisać na karcie płatniczej, a dodatkowo w systemie. Możliwe, że rozliczenie odbywa się raz dziennie w nocy. Możliwe też, że na niektórych kartach nie potrafią zrobić drugiego zapisu.

Fiu, z tym "zapisaniem biletu na karcie płatniczej" to masz jakieś wsparcie, czy po prostu wymyśliłeś?

W dniu 28.08.2020 o 14:44, Dawid Rutkowski pisze:

W dniu piątek, 28 sierpnia 2020 14:39:45 UTC+2 użytkownik AS napisał:

Bilet powinien się zapisać na karcie płatniczej, a dodatkowo w systemie.
Możliwe, że rozliczenie odbywa się raz dziennie w nocy. Możliwe też, że
na niektórych kartach nie potrafią zrobić drugiego zapisu.

Fiu, z tym "zapisaniem biletu na karcie płatniczej" to masz jakieś wsparcie, czy po prostu wymyśliłeś?

Jedynie zgaduję z dużą dozą prawdopodobieństwa, że się to da zrobić. Kiedyś była aplikacja na androida, która przez NFC odczytywała listę kilka ostatnich zakupów kartą (czyli karta ma pamięć). Oprócz tego w podanym artykule jest info o terminalu płatniczym kontrolera, które to urządzenie potrafi odczytać bilet zapisany na karcie.

W dniu piątek, 28 sierpnia 2020 14:52:13 UTC+2 użytkownik AS napisał:

W dniu 28.08.2020 o 14:44, Dawid Rutkowski pisze:
> W dniu piątek, 28 sierpnia 2020 14:39:45 UTC+2 użytkownik AS napisał:
> >> Bilet powinien się zapisać na karcie płatniczej, a dodatkowo w systemie.
>> Możliwe, że rozliczenie odbywa się raz dziennie w nocy. Możliwe też, że
>> na niektórych kartach nie potrafią zrobić drugiego zapisu.
> > Fiu, z tym "zapisaniem biletu na karcie płatniczej" to masz jakieś wsparcie, czy po prostu wymyśliłeś?
> Jedynie zgaduję z dużą dozą prawdopodobieństwa, że się to da zrobić. Kiedyś była aplikacja na androida, która przez NFC odczytywała listę kilka ostatnich zakupów kartą (czyli karta ma pamięć).. Oprócz tego w podanym artykule jest info o terminalu płatniczym kontrolera, które to urządzenie potrafi odczytać bilet zapisany na karcie.

Raczej wymyślasz dość tanie SF ;P

Ta apka wciąż jest, ale odczytać to nie to samo co móc zapisać - poza tym akurat w przypadku ostatnich płatności to sama karta sobie zapisuje tą listę ostatnich zakupów - sama, wg własnego "widzimisię" (bo niektóre tego nie robią), a nie na rozkaz terminala - a to zasadnicza różnica.

Zaś urządzenie kontrolerskie wcale nie "odczytuje biletu zapisanego na karcie płatniczej" - przede wszystkim dlatego, że żaden bilet nie jest tam zapisywany - tylko sprawdza w centralnej bazie, czy za pomocą tej karty był ostatnio kupowany bilet (oczywiście kasownik/biletomat wysyła na bieżąco - o ile "jest w zasięgu" - informacje o sprzedanych biletach i dane karty, którymi za nie zapłacono).
Tak że taka kontrola przy "bilecie na karcie płatniczej" potrafi trwać o wiele dłużej niż kontrola np. miesięcznego zapisanego na karcie miejskiej - bo na karcie miejskiej rzeczywiście ten bilet jest zapisany.

Co swoją drogą prowadzi do ciekawych możliwości fraudu - swego czasu jeden taki cwaniak był w DC, odkrył, że jak się w odpowiednim momencie zabierze kartę z pola czytnika urządzenia do "ładowania kart", to urządzenie zgłosi błąd i ZTM nie będzie chciał od kioskarza kasy - ale mimo to bilet się na karcie zapisze. Wpadł niestety, bo nie przewidział, że te błędy zapisu też są do ZTM zgłaszane - no i wyszło, że jest jeden facet, co ma 1700 błędów w miesiącu i w ogóle nie lamentuje z tego powodu, a inni, jak mają jeden, to już "o la boga" dzwonią, jakby był koniec świata ;>
Inna sprawa, że te karty "wiejskie" w DC mają używają totalnie skompromitowanego systemu - złamanie klucza trwa poniżej sekundy - i lewe "ładowanie kart" jest jak najbardziej możliwe z użyciem zwykłego telefonu. Swego czasu ZTM porządnie się ośmieszył, próbując to ukrócić przez zmianę kluczy - nie pamiętam już dokładnie, ale chyba było to bardzo upierdliwe dla pasażerów, być może trzeba było czekać do końca ważności biletu, żeby wgrać nowy, albo iść do punktu obsługi, gdzie "przekodowywali" aktualny bilet - a ogólnie nic z tego nie wyszło, bo nowe klucze zaraz zostały złamane.
Ale system działa dalej, co poradzić.
Rozwiązaniem byłoby zrobienie białej listy w urządzeniach kontrolerskich (i ew. w bramkach metra - ale tu pewnie trzeba by powymieniać komputery we wszystkich bramkach) - i myślałem, że jak się pojawiła ich nowa generacja, która "wydaje ping" potwierdzający ważność karty z wyraźnym opóźnieniem, to właśnie to zrobili - czyli każde urządzenie ma codziennie aktualizowaną listę numerów kart, na których zapisane są (i aktywowane) bilety kupione legalnie. Pytanie oczywiście, co z kartami, na których bilet akurat danego dnia "wgrano" lub go aktywowano - tutaj bez łączności on-line się nie da. Więc w sumie nie wiem, czy zrobili z tym porządek.

W dniu 28.08.2020 o 15:26, Dawid Rutkowski pisze:

Raczej wymyślasz dość tanie SF ;P

Ta apka wciąż jest, ale odczytać to nie to samo co móc zapisać - poza tym akurat w przypadku ostatnich płatności to sama karta sobie zapisuje tą listę ostatnich zakupów - sama, wg własnego "widzimisię" (bo niektóre tego nie robią), a nie na rozkaz terminala - a to zasadnicza różnica.

Zaś urządzenie kontrolerskie wcale nie "odczytuje biletu zapisanego na karcie płatniczej" - przede wszystkim dlatego, że żaden bilet nie jest tam zapisywany - tylko sprawdza w centralnej bazie, czy za pomocą tej karty był ostatnio kupowany bilet (oczywiście kasownik/biletomat wysyła na bieżąco - o ile "jest w zasięgu" - informacje o sprzedanych biletach i dane karty, którymi za nie zapłacono).
Tak że taka kontrola przy "bilecie na karcie płatniczej" potrafi trwać o wiele dłużej niż kontrola np. miesięcznego zapisanego na karcie miejskiej - bo na karcie miejskiej rzeczywiście ten bilet jest zapisany.

Dzięki za wyjaśnienia i wyprostowanie mylnie wyciągniętych wniosków.

Dawid Rutkowski <drutkow1@wp.pl> writes:

Rozwiązaniem byłoby zrobienie białej listy w urządzeniach
kontrolerskich (i ew. w bramkach metra - ale tu pewnie trzeba by
powymieniać komputery we wszystkich bramkach) - i myślałem, że jak się
pojawiła ich nowa generacja, która "wydaje ping" potwierdzający
ważność karty z wyraźnym opóźnieniem, to właśnie to zrobili - czyli
każde urządzenie ma codziennie aktualizowaną listę numerów kart, na
których zapisane są (i aktywowane) bilety kupione legalnie.

To żadne rozwiązanie, ponieważ da się łatwo sklonować kartę.
--
Krzysztof Hałasa

W dniu piątek, 28 sierpnia 2020 23:19:23 UTC+2 użytkownik Krzysztof Halasa napisał:

Dawid Rutkowski writes:

> Rozwiązaniem byłoby zrobienie białej listy w urządzeniach
> kontrolerskich (i ew. w bramkach metra - ale tu pewnie trzeba by
> powymieniać komputery we wszystkich bramkach) - i myślałem, że jak się
> pojawiła ich nowa generacja, która "wydaje ping" potwierdzający
> ważność karty z wyraźnym opóźnieniem, to właśnie to zrobili - czyli
> każde urządzenie ma codziennie aktualizowaną listę numerów kart, na
> których zapisane są (i aktywowane) bilety kupione legalnie.

To żadne rozwiązanie, ponieważ da się łatwo sklonować kartę.

O, to byłoby dobre podsumowanie, ale czy masz na to jakieś źródła - szczególnie, że _łatwo_?
Bo to jednak MIFARE, a nie UNIQUE.
Tu już może być potrzebna fabryka kart, a nie tylko gotowe programowalne breloki i programator od chińczyka (u kogoś z takim zestawem dorobienie breloczka od nieszczęsnego domofonu kosztuje 15zł - a w administracji brelok 50zł).

Dawid Rutkowski <drutkow1@wp.pl> writes:

O, to byłoby dobre podsumowanie, ale czy masz na to jakieś źródła - szczególnie, że _łatwo_?
Bo to jednak MIFARE, a nie UNIQUE.

MIFARE classic 4k IIRC.

Tu już może być potrzebna fabryka kart, a nie tylko gotowe
programowalne breloki i programator od chińczyka (u kogoś z takim
zestawem dorobienie breloczka od nieszczęsnego domofonu kosztuje 15zł
- a w administracji brelok 50zł).

Zależy co chcemy uzyskać. Są (nielicencjonowane) karty, które pozwalają
na zapis bloku #0 (z ID) - poprzez zapis do ostatniego bloku. Nie wiem
dokładnie jak to wygląda w tej chwili, ale wcześniejsze karty zawsze
pozwalały na zapis tego bloku, co powodowało, że dałoby się je wykryć.

Można też wykonać własną kartę - będzie nieco grubsza, myślę że ok. 2
mm. Frausterzy używali (używają?) takich kart, zrobionych ze zwykłych
elementów SMD, do płacenia EMV.

Tak czy owak, to jest ew. rozwiązywalny problem technologiczny, nic
fundamentalnego.
--
Krzysztof Hałasa

W dniu 2020-08-29 o 18:49, Dawid Rutkowski pisze:

O, to byłoby dobre podsumowanie, ale czy masz na to jakieś źródła - szczególnie, że _łatwo_?
Bo to jednak MIFARE, a nie UNIQUE.

Od czasu jak w telefonach pojawiło się NFC karty Unique wydają się bardziej 'bezpieczne' niż mifare (jeśli chodzi tylko o odczytanie numeru karty).

Tu już może być potrzebna fabryka kart,

Albo apka na telefon. Jeśli karty nie trzeba nigdzie wsadzać, a tylko zbliżyć to telefon też się 'zmieści' i nikogo nie zdziwi.

a nie tylko gotowe programowalne breloki i programator od chińczyka (u kogoś z takim zestawem dorobienie breloczka od nieszczęsnego domofonu kosztuje 15zł - a w administracji brelok 50zł).

Nie widzę żadnego problemu, aby były też programowalne breloki mifare (dopóki chodzi tylko o numer karty).
P.G.

W dniu poniedziałek, 31 sierpnia 2020 10:49:53 UTC+2 użytkownik Piotr Gałka napisał:

W dniu 2020-08-29 o 18:49, Dawid Rutkowski pisze:

> O, to byłoby dobre podsumowanie, ale czy masz na to jakieś źródła - szczególnie, że _łatwo_?
> Bo to jednak MIFARE, a nie UNIQUE.

Od czasu jak w telefonach pojawiło się NFC karty Unique wydają się bardziej 'bezpieczne' niż mifare (jeśli chodzi tylko o odczytanie numeru karty).

Od odczytaniu numeru do sklonowania karty (a o klonowaniu mówimy, bo chodzi o sposób oszukania białej listy w urządzeniu kontrolerskim) długa droga.

Poza tym z moich zabaw wynikło, że nie ma (albo wtedy nie znalazłem) apki czytającej mifare - wykrywały zbliżenie, ale pisały, że mifare classic nie czytają (a czytały karty płatnicze i paszport - fajne to, nawet zdjęcie można odczytać i wyświetlić na ekranie, zabezpieczone są tylko odciski palców).

> Tu już może być potrzebna fabryka kart,

Albo apka na telefon. Jeśli karty nie trzeba nigdzie wsadzać, a tylko zbliżyć to telefon też się 'zmieści' i nikogo nie zdziwi.

Jednak zdziwi - bo chodzi o sytuację kontroli biletów. Do tego na karcie jest foto (kiedyś nie było i były fraudy) - i często kanar każe pokazać (powinien sprawdzić zawsze). Więc telefon odpada, "karta" zrobiona z SMD również.

Bo to nie Lizbona, gdzie żyją spokojni ludzie (a przede wszystkim jeżdżą metrem, gdzie i tak trzeba przyłożyć, żeby otworzyć bramkę - choć w Atenach jest metro bez tych kretyńskich bramek - jedyny sensowny efekt ich zastosowania to eliminacja z metra grubasów, zajmujących dwa siedzenia ;) - tzn. głównie babcie i dziadki - i zgodzili się przykładać miesięczne przy każdym wejściu do pojazdu. W DC też mieli taki plan, ale podniósł się taki zgiełk, że zrezygnowali.

Hehe, a w Gdańsku (będąc na wakacjach wyrobiłem też gdańską kartę) nawet nie ma w pojazdach kasowników czytających karty kiejskie ;>

Więc lewa karta ma mieć nie tylko numer sklonowany, ale też musi wyglądać jak prawdziwa.

>a nie tylko gotowe programowalne breloki i programator od chińczyka (u kogoś z takim zestawem dorobienie breloczka od nieszczęsnego domofonu kosztuje 15zł - a w administracji brelok 50zł).

Nie widzę żadnego problemu, aby były też programowalne breloki mifare (dopóki chodzi tylko o numer karty).

Ja też nie widzę teoretycznego.
Pytam o praktykę, czyli co można kupić od ręki od chińczyka.

Póki co można sobie naładować warszawską kartę lewym biletem mając telefon z NFC i piracką apkę (piratom trzeba zapłacić oczywiście).
Ale na to sposobem może być biała lista w urządzeniu kontrolerskim - i wygląda na to, że nie jest to "łatwe" do obejścia.

Użytkownik "Dawid Rutkowski"  napisał w wiadomości grup dyskusyjnych:855be9dd-ca7c-46de-9e3a-c799e8b805a2o@googlegroups.com...
W dniu poniedziałek, 31 sierpnia 2020 10:49:53 UTC+2 użytkownik Piotr Gałka napisał:

W dniu 2020-08-29 o 18:49, Dawid Rutkowski pisze:

> O, to byłoby dobre podsumowanie, ale czy masz na to jakieś > źródła - szczególnie, że _łatwo_?
> Bo to jednak MIFARE, a nie UNIQUE.

Od czasu jak w telefonach pojawiło się NFC karty Unique wydają się
bardziej 'bezpieczne' niż mifare (jeśli chodzi tylko o odczytanie numeru
karty).

Od odczytaniu numeru do sklonowania karty (a o klonowaniu mówimy, bo chodzi o sposób oszukania białej listy w urządzeniu kontrolerskim) długa droga.

Poza tym z moich zabaw wynikło, że nie ma (albo wtedy nie znalazłem) apki czytającej mifare - wykrywały zbliżenie, ale pisały, że mifare classic nie czytają (a czytały karty płatnicze i >paszport - fajne to, nawet zdjęcie można odczytać i wyświetlić na ekranie, zabezpieczone są tylko odciski palców).

A jak to jest z tymi platnosciami telefonem ?
Google Pay ponoc stosuje wirtualne numery kart czesto zmianiane, to sie do takiego wroclawsko-warszawskiego kasownika chyba nie nadaje.

A inne metody ... to telefon jakos potrafi sklonowac karte ?

Albo apka na telefon. Jeśli karty nie trzeba nigdzie wsadzać, a tylko
zbliżyć to telefon też się 'zmieści' i nikogo nie zdziwi.

Jednak zdziwi - bo chodzi o sytuację kontroli biletów. Do tego na karcie jest foto (kiedyś nie było i były fraudy) - i często kanar każe pokazać (powinien sprawdzić zawsze).

Bo u nas bilety okresowe sa imienne i bezimienne. Te drugie drozsze.
A ze sa kodowane na karcie miejskiej, to i wypada sprawdzac imiennosc ...

Więc telefon odpada, "karta" zrobiona z SMD również.

W dobie naklejek i telefonow wystarczy, ze to smd jakos zamaskujesz.
Np wsadzisz w obudowe przypominajaca smartfona, albo w pluszowego misia :-)

Bo to nie Lizbona, gdzie żyją spokojni ludzie (a przede wszystkim jeżdżą metrem, gdzie i tak trzeba przyłożyć, żeby otworzyć bramkę - choć w Atenach jest metro bez tych kretyńskich bramek - jedyny sensowny efekt ich zastosowania to eliminacja z metra grubasów, zajmujących dwa siedzenia ;) - tzn. głównie babcie i dziadki - i zgodzili się przykładać miesięczne przy każdym wejściu do pojazdu. W DC też mieli taki plan, ale podniósł się taki zgiełk, że zrezygnowali.

Hehe, a w Gdańsku (będąc na wakacjach wyrobiłem też gdańską kartę) nawet nie ma w pojazdach kasowników czytających karty kiejskie ;>
Więc lewa karta ma mieć nie tylko numer sklonowany, ale też musi wyglądać jak prawdziwa.

Karta miejska, bo platnicza to niekoniecznie ..

J.

Dawid Rutkowski <drutkow1@wp.pl> writes:

Od odczytaniu numeru do sklonowania karty (a o klonowaniu mówimy, bo
chodzi o sposób oszukania białej listy w urządzeniu kontrolerskim)
długa droga.

Sklonowanie MIFARE classic 4k jest proste.
Tyle że trzeba ją gdzieś "nagrać". Nie można nagrać na taką zwykłą, bo
block #0 jest R/O.

Poza tym z moich zabaw wynikło, że nie ma (albo wtedy nie znalazłem)
apki czytającej mifare - wykrywały zbliżenie, ale pisały, że mifare
classic nie czytają (a czytały karty płatnicze i paszport - fajne to,
nawet zdjęcie można odczytać i wyświetlić na ekranie, zabezpieczone są
tylko odciski palców).

MIFARE to jest 14443-3, ale nie -4. Scalaki 14443-A ale nie MIFARE
teoretycznie nie potrafią robić CRYPTO1. Można jednak nauczyć je robić
to programowo, można użyć libnfc z programowym CRYPTO1 albo napisać
samemu - to są proste rzeczy, od kiedy protokół jest znany.

Jednak zdziwi - bo chodzi o sytuację kontroli biletów. Do tego na
karcie jest foto (kiedyś nie było i były fraudy) - i często kanar każe
pokazać (powinien sprawdzić zawsze). Więc telefon odpada, "karta"
zrobiona z SMD również.

To ostatnie - wątpię. Dlaczego miałaby odpadać? No chyba że ze względu
na grubość - ale to by mnie raczej zdziwiło. Ponadto przypuszczalnie
można zrobić (prawie) tak samo cienką, trzeba poszukać elementów
w cienkich obudowach. Np. HVQFN32 - grubość 1 mm. Scalaka trzeba
zamontować w "dziurze", razem z zewnętrzną warstwa wyjdzie ile - 1,1 mm?
Jeśli to dla kogoś wciąż zbyt grubo, to pewnie można trochę zeszlifować
od góry (raczej szlifierką stołową).

Albo może jakiś mniej specjalizowany scalak, wiadomo że są
mikrokontrolery w "odpowiednich" obudowach o grubości np. 0,55 mm.
Trzeba dodać więcej prostych elementów, ale to też nie jest nic
specjalnie trudnego. Pewnie da się zmieścić w standardowej grubości.

Kwestia fotografii na karcie to chyba nie jest obecnie problem?

Więc lewa karta ma mieć nie tylko numer sklonowany, ale też musi
wyglądać jak prawdziwa.

Może wyglądać. BTW jest chyba wielu różnych "dostawców" takich kart -
zdaje się, że jakieś banki je wydają (razem z kartą płatniczą), są karty
dla dzieci, może jeszcze coś? Obawiam się, że łatwiej zmienić system
i zadbać o to, by np. zdjęcie było na karcie zapisane elektronicznie,
niż sprawdzać cechy fizyczne karty.
Oczywiście można także nic nie robić, bo koszty mogą być (znacznie?)
wyższe niż obecne straty.

Póki co można sobie naładować warszawską kartę lewym biletem mając
telefon z NFC i piracką apkę (piratom trzeba zapłacić oczywiście).
Ale na to sposobem może być biała lista w urządzeniu kontrolerskim - i
wygląda na to, że nie jest to "łatwe" do obejścia.

Biała lista czego? Nie widzę przydatności żadnej białej ani innej listy.

Zwykłą, oryginalną kartę MIFARE? Przecież te bilety miały być już dawno
podpisane - oczywiście wraz z numerem karty. Tego nie da się tak prosto
zrobić, trzeba wtedy sklonować całą kartę wraz z ID.

Aplikacji do grzebania w takich kartach jest chyba sporo, także
np. dla komputerów z libnfc (typowe czytniki USB), albo dla układów
tylko-MIFARE (i tylko active/initiator).
--
Krzysztof Hałasa

W dniu środa, 2 września 2020 00:41:28 UTC+2 użytkownik Krzysztof Halasa napisał:

Dawid Rutkowski writes:

> Od odczytaniu numeru do sklonowania karty (a o klonowaniu mówimy, bo
> chodzi o sposób oszukania białej listy w urządzeniu kontrolerskim)
> długa droga.

Sklonowanie MIFARE classic 4k jest proste.
Tyle że trzeba ją gdzieś "nagrać". Nie można nagrać na taką zwykłą, bo
block #0 jest R/O.

[cut]

Zwykłą, oryginalną kartę MIFARE? Przecież te bilety miały być już dawno
podpisane - oczywiście wraz z numerem karty. Tego nie da się tak prosto
zrobić, trzeba wtedy sklonować całą kartę wraz z ID.

No to się w końcu zdecyduj, czy jest to proste, czy jednak nie tak proste.

A kart podpisane musiały być od samego początku - tylko tu też pojawił się numer w postaci wyjątku w regulaminie dla "zapominalskich" - czyli jak nie miałeś biletu, to brałeś mandat, potem pożyczałeś od kogoś kartę, ścierałeś/zmywałeś jego nazwisko, wpisywałeś swoje, jechałeś do punktu ZTM, pokazywałeś kartę i wstawiałeś kit o "zapomnieniu" - i zamiast kilku stówek płaciłeś tylko 6,40zł "opłaty manipulacyjnej'.
Najpierw próbowali to rozwiązać w ten sposób, że ten pasek, na którym się podpisywało, pokrywali taką zmywalną warstwą z logo ZTM - ale widać to nie pomogło i wprowadzili karty z nadrukowanym zdjęciem i imieniem i nazwiskiem - a przede wszystkim zaczęli zapisywać w centralnej bazie, do kogo (PESEL) karta z danym numerem należy.

> Póki co można sobie naładować warszawską kartę lewym biletem mając
> telefon z NFC i piracką apkę (piratom trzeba zapłacić oczywiście).
> Ale na to sposobem może być biała lista w urządzeniu kontrolerskim - i
> wygląda na to, że nie jest to "łatwe" do obejścia.

Biała lista czego? Nie widzę przydatności żadnej białej ani innej listy.

Echh, od początku.
Problem: złamano szyfrowanie kart mifare i każdy może sobie teraz zapisać na takiej karcie "bilet".
Rezultat: podczas "klasycznej" kontroli -  czyli kanar przykłada do karty swoje urządzenie, które sprawdza, czy bilet jest ważny (tu też jest ciekawostka, z mojej historii można wnioskować, że choć na karcie zapisany jest "typ biletu", to niewiele on znaczy - bo nie jest zapisana data początku ważności, a koniec wylicza się z początku ważności + typu, tylko zapisany jest po prostu koniec ważności, a typ ma znaczenie tylko przy cenie nowego biletu w momencie przedłużania - a historia jest taka, że zapisał mi się na karcie bilet ważny do 2031 roku - szkoda, że już jej nie mam :( ) nie ma możliwości wykrycia oszustw.
Pomysł: nie sprawdzać tego, co jest zapisane na karcie, bo może to być fałszywka, tylko każde urządzenie kontrolerskie ma zapisaną "białą listę" kart, dla których kupiono ważne bilety. Jest to możliwe, bo od samego początku do centralnej bazy szły informacje o sprzedanych biletach - inaczej skąd ZTM miałby wiedzieć, ile kasy chcieć od kioskarzy? Jak sprzedawali papierowe bilety, to można było to rozliczać - a jak inaczej rozliczać zapisy na kartach (swoją drogą na początku miesięczne też były na kartonikach, bo było mało punktów sprzedaży z zapisem na karcie - wymagana była bowiem łączność netowa - dopiero po upowszechnieniu się GPRS pojawiło się zapisywanie biletów na kartach np. w kioskach).
Powstaje oczywiście problem update'u - ale obecnie to żaden problem, można przez GPRS. Plus jeszcze sytuacja, że ktoś sobie właśnie kupił/naładował kartę - w takiej sytuacji można albo sprawdzić w bazie przez GPRS albo przyjąć, że jak jest pierwszy dzień ważności, to przyjmujemy, że karta jest OK.

Można jeszcze pomyśleć o sprawdzaniu w drugą stronę - czyli urządzenie kontrolerskie zapisuje, jakie karty danego dnia sprawdziło, i jak ten log wyśle do centrali (nie musi to być codziennie, więc niekoniecznie GPRS, można to robić np. przy ładowaniu albo po prostu co parę dni) to można wykryć, które sprawdzone karty miały lewe bilety - i wysłać do takiego delikwenta (bo wiadomo, czyja to karta) policję.

No i są jeszcze "stacjonarne" urządzenie kontrolerskie, czyli bramki w metrze - ale je można po pierwsze ominąć, np. przeskakując lub wjeżdżając windą na peron, a po drugie wymagałyby wymiany komputerów.
Nie wiem, po co ktoś to w ogóle wymyślił, skoro i tak można omijać, a tylko powoduje zatory i problemy - w Atenach jest po prostu wyrysowana linia, przy której stoją kasowniki. A w metrze w DC i tak kanary jeżdżą i sprawdzają, bo przecież można bramki omijać...

Na koniec ciekawy przykład z linii tramwajowej w Istambule - tam w ogóle nie ma biletów papierowych czy kart, ale każdy przystanek jest ogrodzony, a wejście jest przez bramki (takie same kołowrotki jak w metrze w DC), do których wrzuca się żetony kupione w automacie. Żeby nie było gapowiczów, na każdym przystanku przy bramkach jest budka, w której siedzi gościu i pilnuje. Ciekawe, czy więcej potrzeba takich gości pilnujących czy kanarów jeżdżących (ale w Turcji dużo ludzi i mnóstwo młodych, przynajmniej mają robotę).
Za to w Moskwie takie kołowrotki (turnikiety) są zamontowane w drzwiach tramwajów - wysokopodłogowych, na schodach...
No ale takie cudo możliwe są w miastach, gdzie jeździ się metrem - a transport naziemny okupują emeryci.

Dawid Rutkowski <drutkow1@wp.pl> writes:

No to się w końcu zdecyduj, czy jest to proste, czy jednak nie tak
proste.

Przecież napisałem co jest proste, a co nie. Można w prosty sposób
podpisać np. bilet miesięczny na karcie, i nie da się tego w prosty
sposób (kopiując na inną "zwykłą" kartę) obejść. Aczkolwiek w ogóle da
się to obejść (dla mnie w prosty, choć może nieco pracochłonny sposób).

A kart podpisane musiały być od samego początku - tylko tu też pojawił
się numer w postaci wyjątku w regulaminie dla "zapominalskich" - czyli
jak nie miałeś biletu, to brałeś mandat, potem pożyczałeś od kogoś
kartę, ścierałeś/zmywałeś jego nazwisko, wpisywałeś swoje, jechałeś do

itd. Tyle że są różne rodzaje podpisów. Myślałem, że z kontekstu wynika
co mam na myśli, ale widocznie było to niejasne. Ty piszesz
o podpisywaniu fizycznej karty imieniem i nazwiskiem. Ja pisałem
o cyfrowym podpisie treści umieszczonych na karcie (w tym jej ID).

Te podpisy służą innym celom - podpis "fizyczny" (zdjęcie itp) ma
sprawić, że karty może używać tylko jej "prawowity" posiadacz, natomiast
podpis cyfrowy powinien uniemożliwić przenoszenie biletów (i po prostu
tworzenie ich) na kartach, do których nie zostały one wydane.

Problem: złamano szyfrowanie kart mifare i każdy może sobie teraz
zapisać na takiej karcie "bilet".

Ano. Przy czym wiadomo było, że to da się zrobić. Tyle że nie wymagało
to metod, jakich mogło wymagać (np. rozpuszczania w kwasie itd). No
i chyba klucze okazały się stałe, niezależne od karty.

Rezultat: podczas "klasycznej" kontroli - czyli kanar przykłada do
karty swoje urządzenie, które sprawdza, czy bilet jest ważny (tu też
jest ciekawostka, z mojej historii można wnioskować, że choć na karcie
zapisany jest "typ biletu", to niewiele on znaczy - bo nie jest
zapisana data początku ważności, a koniec wylicza się z początku
ważności + typu, tylko zapisany jest po prostu koniec ważności, a typ
ma znaczenie tylko przy cenie nowego biletu w momencie przedłużania -
a historia jest taka, że zapisał mi się na karcie bilet ważny do 2031
roku - szkoda, że już jej nie mam :( ) nie ma możliwości wykrycia
oszustw.

Ależ oczywiście, że są takie możliwości. Nie da się wykryć "całkowitych
klonów" tym sposobem, ale da się wykryć wszelkie trywialne ataki.
Tylko ktoś, to to wszystko projektuje, musi mieć jakieś pojęcie o tym,
co zamierza zrobić.

Pomysł: nie sprawdzać tego, co jest zapisane na karcie, bo może to być
fałszywka, tylko każde urządzenie kontrolerskie ma zapisaną "białą
listę" kart, dla których kupiono ważne bilety. Jest to możliwe, bo od
samego początku do centralnej bazy szły informacje o sprzedanych
biletach - inaczej skąd ZTM miałby wiedzieć, ile kasy chcieć od
kioskarzy?

Nikt w to chyba nie wątpi. Tyle że to wymaga niestety praktycznie
stałego połączenia z siecią, a dodatkowo zapewne spowolniłoby całą
operację. Ergo - bez sensu.

Powstaje oczywiście problem update'u - ale obecnie to żaden problem,
można przez GPRS. Plus jeszcze sytuacja, że ktoś sobie właśnie
kupił/naładował kartę - w takiej sytuacji można albo sprawdzić w bazie
przez GPRS albo przyjąć, że jak jest pierwszy dzień ważności, to
przyjmujemy, że karta jest OK.

I wtedy wszystkie "podrobione" karty będą miały zawsze pierwszy dzień
ważności biletu.
Niestety w bezpieczeństwie jest tak, że trzeba przewidywać przynajmniej
kilka kroków drugiej strony. Trochę jak w szachach. W każdym razie
doraźne, bezmyślne działania zwykle zdają się psu na budę.

Można jeszcze pomyśleć o sprawdzaniu w drugą stronę - czyli urządzenie
kontrolerskie zapisuje, jakie karty danego dnia sprawdziło, i jak ten
log wyśle do centrali (nie musi to być codziennie, więc niekoniecznie
GPRS, można to robić np. przy ładowaniu albo po prostu co parę dni) to
można wykryć, które sprawdzone karty miały lewe bilety - i wysłać do
takiego delikwenta (bo wiadomo, czyja to karta) policję.

Nie wiadomo czyja to karta i kto się nią (lub jej klonem) posługiwał.
Jedyne co można w ten sposób osiągnąć to jeszcze większy upadek
autorytetu policji. A, właściwie to to jest już chyba niemożliwe.

A w metrze w DC i tak kanary
jeżdżą i sprawdzają, bo przecież można bramki omijać...

IIRC to i w metrze w Atenach i w innych miastach jeżdżą. Mimo że
w niektórych omijanie bramek może być trudne i raczej bolesne.
Aczkolwiek sama argumentacja jest przypuszczalnie prawidłowa, tylko
argument o Atenach (itd.) nijak niepotrzebny.
--
Krzysztof Hałasa

W dniu 2020-08-31 o 15:36, Dawid Rutkowski pisze:

Poza tym z moich zabaw wynikło, że nie ma (albo wtedy nie znalazłem) apki czytającej mifare - wykrywały zbliżenie, ale pisały, że mifare classic nie czytają

Classic złamana ładnych parę lat temu, ale być może jakby apka z tego korzystała to ktoś by się narażał na jakieś konsekwencje - więc nie czyta.

(a czytały karty płatnicze i paszport - fajne to, nawet zdjęcie można odczytać i wyświetlić na ekranie, zabezpieczone są tylko odciski palców).

To co jest jawnie zapisane to chyba nikt nie może mieć podstaw do zakazywania czytania.

Nie widzę żadnego problemu, aby były też programowalne breloki mifare
(dopóki chodzi tylko o numer karty).

Ja też nie widzę teoretycznego.
Pytam o praktykę, czyli co można kupić od ręki od chińczyka.

Wydaje mi się, że kilka lat temu ktoś na grupie dawał linka do ofert chińczyka (czytnik/programator + 10 czy 20 czystych kart) zarówno dla Unique jak i Mifare (sam numer karty).
P.G.

Zaś urządzenie kontrolerskie wcale nie "odczytuje biletu zapisanego na karcie płatniczej" - przede wszystkim dlatego, że żaden bilet nie jest tam zapisywany - tylko sprawdza w centralnej bazie, czy za pomocą tej karty był ostatnio kupowany bilet (oczywiście kasownik/biletomat wysyła na bieżąco - o ile "jest w zasięgu" - informacje o sprzedanych biletach i dane karty, którymi za nie zapłacono).
Tak że taka kontrola przy "bilecie na karcie płatniczej" potrafi trwać o wiele dłużej niż kontrola np. miesięcznego zapisanego na karcie miejskiej - bo na karcie miejskiej rzeczywiście ten bilet jest zapisany.

Tak właśnie jest - niedawno próbowałem sprawdzić bilet zapisany na karcie (np. czas ważności). Trwało to na tyle długo, ze zostałem obsobaczony przez jakiegoś gościa, który chciał kupić bilet. Na ten czas bowiem kasownik jest blokowany.


--
Grzexs

Użytkownik "Grzexs"  napisał w wiadomości grup dyskusyjnych:rj5q80$1v9r$1@gioia.aioe.org...

Zaś urządzenie kontrolerskie wcale nie "odczytuje biletu zapisanego na karcie płatniczej" - przede wszystkim dlatego, że żaden bilet nie jest tam zapisywany - tylko sprawdza w centralnej bazie, czy za pomocą tej karty był ostatnio kupowany bilet (oczywiście kasownik/biletomat wysyła na bieżąco - o ile "jest w zasięgu" - informacje o sprzedanych biletach i dane karty, którymi za nie zapłacono).
Tak że taka kontrola przy "bilecie na karcie płatniczej" potrafi trwać o wiele dłużej niż kontrola np. miesięcznego zapisanego na karcie miejskiej - bo na karcie miejskiej rzeczywiście ten bilet jest zapisany.

Tak właśnie jest - niedawno próbowałem sprawdzić bilet zapisany na karcie (np. czas ważności). Trwało to na tyle długo, ze zostałem obsobaczony przez jakiegoś gościa, który chciał kupić bilet. Na ten czas bowiem kasownik jest blokowany.

Pare razy sprawdzalem i trwalo to szybko, choc nie zawsze.

No i byc moze jak sprawdzalem w tym samym kasowniku, to on pamieta jakie karty kasowal

P.S Blokady z 4 i 5 wrzesnia sie ciagle nie skasowaly/przetworzyly.
A to juz ponowione blokady -  jazda byla wczesniej. Wtedy blokad nie bylo.

Mam jeszcze stary przyklad - "realizacja transakcji" 17-08, w tytule 11-08.

J.