Исследование безопасности транспортной системы Тбилиси — или как кататься на транспорте и зарабатывать

[eshirshov]

«Нету у вас методов на Костю Сапрыкина» Ц

[Xadok]

В Европе за дела сажают, а в Грузии взятку дать некому, если поймают. Я не рискнул дела делать, хотя «заработать» можно много.

[atomAltera]

Скорее всего они просто эксплуатируют бесплатные полтора часа, которые даются после платного проезда.

[Jebrail]

Льготы они эксплуатируют. 20 т. вместо стандартных 50 т.

[L0NGMAN]

В ближайшем будущем соберяются обновить всю систему и добавить оплату через любую банковскую карту (особенно удобно для туристов). И надеюсь заодно закроют и эту дыру :)

[darksimpson]

Ага, ага. Делали мы для них «обновленную» систему. Ну, конкретно, часть ее — ридер, на котором исполняется бизнес-логика (и как автономный, и как терминальный — универсальное решение такое). С блекждеком и шлюхами, разумеется (ну в смысле с ассиметричной криптографией и различными приемами, не позволяющими просто так вот «расправляться» с картами). В результате проект свернули в угоду «политически верным» поставщикам текущего оборудования. Не вдаваясь в политические нюансы, в общем-то обычный распил и откат случился. Просто выиграли «те», а не «эти». Еще и потом развалили подразделение, которое занималось непосредственно новым проектом и всех хороших людей поувольняли. С нами, правда, за разработку расплатились, надо отдать должное, никаких вопросов. Так что ничего нигде там никто не закроет, как были дырки, так и будут, все в среднем останется так же. Всем насрать :(

[L0NGMAN]

Ну это всеравно лучше чем ничего (имею ввиду жетоны, оплата наличными и т.д.)

[dmitrmax]

Оплату банковскими картами сделали, а дыра так и осталась. В трёх блоках кажется изменились ключи на запись, впрочем, я другой тип карточки проверил сегодня - проездной на месяц.

[Xadok]

Интересный прогресс за 5 лет :)

[Anshlag000]

Если система не сливает оплату по сети, то каким образом узнают про мою оплату в транспорте проверяющие с терминалами на конечных остановках?

[Xadok]

Не совсем понял, проверяющим ж карту даёшь. По крайней мере тем, что я встречал этого было достаточно. Либо бумажный билет.

[atomAltera]

Я думаю на карте просто записывается время и идентификатор последнего использованного транспортного средства.

[catharsis]

На Тройке именно так и есть.
Свой последний проход можно посмотреть телефоном с NFC, например приложением «Просмотр билета».

[gasizdat]

Примечательно, что референсные статьи выпилены из хабра. Благо сохабр все помнит.

[LoadRunner]

Скорее всего просто убраны в черновики самими авторами.

[a1ien_n3t]

На самом деле возможно спроектировать безопасную систему на mifare plus в sl3 режиме. Во всяком случае на порядок более защищенную чем текущие.

[Dikoy]

Попросили запостить: forum.ixbt.com/topic.cgi?id=48:12007:6698#6698

1. Соответствующие статьи в УК есть (№284-286), даже за неправомерный доступ, который ничего не испортил, просто за сам факт доступа, можно получить до 2х лет. (я лично входил в консультационную группу, когда их принимали, в середине 90х)

2. Система пополнения и учёта баланса- псевдо оффлаин, считывание происходит раз в 24 часа, эмнис, в 2 часа ночи, когда все реисы прибыли в депо, и снимаются показания с ридеров в маршрутках и автобусах. Так что, помухлевав с карточкой, или сделав её клон, вы ей попользуйтесь только в течений 24 часов, потом карточка будет забанена.

3. Тот самый пейбокс, которым можно пополнить баланс карточки, в момент пополнения баланса, также делает ваше фото, себе на память.

4. И еще много нюансов. Короче, автор статьи мнит себя Кевином Митником, а Грузинов считает профанами в области присвоения того, что плохо лежит, что мягко говоря, не совсем правда, исходя хотя бы из количества воров, которых Грузия исправно поставляет на экспорт.

[Xadok]

1. Каким образом вы докадете факт доступа к доступа к такому носителю информации? Нашёл карту на улице.
2. Проверка осуществлялась в течение недели. Почему карту не забанили мне непонятно.
3. Камера в пейбоксе же направлена строго в одном направлении
4. Уточните пожалуйста, что вы имеете ввиду.

[HiroX]

пришла в голову статья из 2013, тоже про БСК общественного транспорта, только в России
habrahabr.ru/post/175557

[sirrosh]

Тот анонимусавтор с ixbt мнит себя минимум Шивой в вопросах безопасности. Это непрофессионально.

А автор статьи пусть посоветует тому анонимному джедаю, хозяину руки на фото, кушать больше кальция. Иначе по рисунку белых пятен на ногтях легко может и деанон произойти ;)

[Veva]

Сама компания пишет, что примет меры, если использование этой уязвимости станет статистически существенной.

[naise]

ТС, а этот джедай всё ещё в грузии, а то у моего знакомого(тоже джедай), совершенно случайно оказалась такая карточка. Ну в общем он на коленке приложение на дроид нарисовал, которое позволяет по этому методу балан править.
Только у него в 1м секторе 0й блок не совпадает с 1м… вот такая засада

[Xadok]

Джедай в Грузии говорит, что совпадают эти блоки до первой поездки, далее меняются они различными образами.

[naise]

Ну так и в какой же всётаки актуальный баланс? Не говорит?

[Xadok]

Так что мешает посмотреть? Пробиваем карту, выдается чек, на котором указан оставшийся баланс, сравниваем и узнаем в каком он блоке. Автор статьи менял оба блока, что тоже допустимо.

[MINYSMOAL]

>Также здесь есть небольшой нюанс, такую карту можно сдать в кассу с возвращением всей суммы на ней (!) и залоговой стоимости в течение 30 дней с момента покупки при предъявлении чека и самой карты.

То есть кассир не сможет отследить было ли реальное пополнение? -.-

[atomAltera]

Ну он проверяет балланс записанный на карте, оффлайн

[dmitrmax]

На текущий момент надо констатировать, что какие-то усилия по противодействию mifare-picking'у имеются. Один ключ (B на секторе 1) не известен и карты кажется имеют некоторую защиту от key recovery. По крайней мере mfoc, mfcuk и mfoc_hardnested успеха в recovery этого ключа не принесли.