Comments 203
И каковы возможные последствия такой уязвимости?
ФИО, возраст и паспортные данные — это хорошее подспорье для социальной инженерии
Ага! Теперь цыганки смогут более точно предсказывать ваше будущее =))
Такие данные продаются россыпью на форумах по 5$ за дюжину. Зачем кому либо охотиться за ними, таким извращённым способом ради СИ?
Включайте фантазию, а то без нее вот такие вопросы будете задавать. Допустим, ну улице вы видите красивую девушку, считываете ее данные, узнаете ее фамилию, через смартфон заходите в одноклассники, узнаете, кто у нее в друзьях. Подбегаете к девушке:" Здравствуйте Лена, вы меня не помните? Я учился на два класса старше вас. Не помните? Ну вот ваша подруга Аня Березовская, наверное меня точно помнит".
Хьюман файрвол пробит. Доверие получено.
Хьюман файрвол пробит. Доверие получено.
А без этого никак получить доверие нельзя, да?
Вашей фобии я могу ещё рассказать про поиск по фотографии в тех же одноклассниках.
Вашей фобии я могу ещё рассказать про поиск по фотографии в тех же одноклассниках.
Да, я знаю про поиск по фотографии. У меня есть такая прога, сам написал. Тут все умные :) Отвечаю на ваш вопрос, да можно получить доверие обычным способом, это более долгий путь и есть шанс, что она вам откажет. Ну это нормальная ситуация. Но если вы преследуете какую-то краткосрочную цель, и вам нужен 90% способ, при котором она не откажет вам, то это самый простой вариант.
Моя фобия основывается на моем опыте. Со мной такую штуку уже проделывали. Подбегал некий знакомый, который учился на класс младше и далее начинал по ушам ездить. Единственное, что у него не прокатило, что у меня охрененная память на лица. Так ему и сказал, он сдулся, вся его легенда полетела к чертям.
Моя фобия основывается на моем опыте. Со мной такую штуку уже проделывали. Подбегал некий знакомый, который учился на класс младше и далее начинал по ушам ездить. Единственное, что у него не прокатило, что у меня охрененная память на лица. Так ему и сказал, он сдулся, вся его легенда полетела к чертям.
Ну тут уже проблема не технологий, а тех, кто доверяет сомнительным людям, которые якобы учились в вашей школе на несколько лет младше. Вот вы не купились на такой развод. Я бы тоже не купился, ибо не особо доверяю людям, которых попросту не знаю.
А технологию вообще не причем. То что бомба ядерная, технологии не виноваты. :) Мошенники обладают уникальным талантом импровизировать на ходу. Почитайте книгу Кевин Митник «Искусство обмана». Написана на основе реального опыта.
Проблема в том, что личность в перестает быть сомнительной.
Пикап для IT-ишников. Только у нас.
UFO just landed and posted this here
Да простой перебор. Особенно, если учесть, что существуют сервисы, предоставляющие API для определения примерного возраста по фотографии. Пол мы знаем (ну я надеюсь, что верно его определили). Да и город в принципе тоже. Вот вам круг лиц, которых рассматриваем.
Смотрите в сторону face.com, там интересный API
обладатели социальных карточек в основном дети школьного возраста-дальше объяснять угрозу?!
Как вариант, чтобы выкладывать их россыпью на форумах по 5$ за дюжину.
такие же как от ношения ксерокопии своего паспорта на груди. Ничего смертельного нет, но неприятности создать может на пустом месте. Есть некие подозрения, что такое поведение создателей СКМ, как минимум не соответствует духу упомянутого закона о персональных данных.
Никогда не понимал людей, которые так боятся показать свой паспорт. Что я в нём такого должен увидеть? Как вас зовут? Вашу дату и место рождения? Или ваш пол? Не переоценивайте свою анонимность. Тем, кому это не надо даже смотреть не станут, а тем, кому надо, и без вашей помощи всё что надо узнают.
Один мой старый друг в прямом и переносном значении, ругается на то, что у него в интернете везде просят пароль к любому сайту, и вопросы такие задает: «Ну что мне скрывать?». А когда его комп заражается трояном, он задает другой вопрос: «Да кому я нужен? Что им от меня надо?».
Пример: паспортные данные + подсмотренный номер карты Сбера — знание всей необходимой информации для операций с картой по телефону. По умолчанию кодовое слово — полная дата рождения, о чем в отделении при выдаче карты даже не всегда предупреждают (а кого предупреждают — не все меняют).
Никогда не стоит недооценивать злоумышленников. А по поводу «кому надо, и без вашей помощи всё что надо узнают» — думаете, что для этого существуют суперхитрые методики? Да все делается в 90% случаев так же просто — там подсмотрели, тут подслушали. Это дешево, быстро и эффективно, если не приняты соответствующие меры.
Заматывать паспорт в фольгу, конечно, не стоит, но лишний раз лучше не светить.
Никогда не стоит недооценивать злоумышленников. А по поводу «кому надо, и без вашей помощи всё что надо узнают» — думаете, что для этого существуют суперхитрые методики? Да все делается в 90% случаев так же просто — там подсмотрели, тут подслушали. Это дешево, быстро и эффективно, если не приняты соответствующие меры.
Заматывать паспорт в фольгу, конечно, не стоит, но лишний раз лучше не светить.
>о чем в отделении при выдаче карты даже не всегда предупреждают
Что за бред простите. Без «кодового слова» даже сим-карты сейчас в центрах ОпСоСов не делают, а вы про карты, да ещё и в сбербанке.
Что за бред простите. Без «кодового слова» даже сим-карты сейчас в центрах ОпСоСов не делают, а вы про карты, да ещё и в сбербанке.
В втб24 по телефону, если забыл кодовое слово, просто уточняют паспортные данные.
Ну и придурки, что я могу сказать? Это же всё равно, что открыть ячейку первому встречному или выдать кредит по телефону.
Кстати, не всегда. Столкнулся буквально пару дней назад, забыл кодовое слово и все. Оператор говорит, мол, без кодового слова, даже по пасп. данным не имею права, идите в отделение банка. Пришлось идти.
Вы плохо представляете раз..раздобайство российских банков.
Ну блин, номер карточки-то я вас не прошу на грудь вешать. А банки, которые выдают кредит по ксерокопии паспорта, как ниже в комментариях писали, пусть сами разбираются со своим дибилизмом. У меня в профилях социальных сетей 100% верная информация. Сделать по ней поддельную ксерокопию не проблема.
Я не защищаю эти карточки, которые отдают информацию без ведома вашего. Но они не выдают ничего такого криминального. И суперхитрых методик тоже нет. Но узнать информацию о вас информацию я смогу и без вашего паспорта.
Я не защищаю эти карточки, которые отдают информацию без ведома вашего. Но они не выдают ничего такого криминального. И суперхитрых методик тоже нет. Но узнать информацию о вас информацию я смогу и без вашего паспорта.
На одном Известном Несуществующем Сайте буквально на днях было: мошенник, воспользовавшись сканом паспорта и реквизитами вебмани-аккаунта, «назанимал в долг» от имени пострадавшего.
Особенно показателен факт, што злоумышленник даже легенду не придумывал: занимал на лечение тяжело больного родственника — как и потерпевший, который в пылу цейтнота выложил свои реквизиты и скан.
Так што не надо про «кому надо тот найдёт» — облегчать задачу злоумышленникам не стОит.
Кстати, имея скан паспорта, можно получить много мелких кредитов. Это случается сплошь и рядом.
Особенно показателен факт, што злоумышленник даже легенду не придумывал: занимал на лечение тяжело больного родственника — как и потерпевший, который в пылу цейтнота выложил свои реквизиты и скан.
Так што не надо про «кому надо тот найдёт» — облегчать задачу злоумышленникам не стОит.
Кстати, имея скан паспорта, можно получить много мелких кредитов. Это случается сплошь и рядом.
Получить все данные паспорта, изготовить качественный дубликат, продать. Вон, в америке тоже есть универсальный идентификатор SSN, если его знать можно столько дел натворить.
«Можно заодно обернуться фольгой самому.» :) и не забудьте завернуть фольгой собственно паспорт! :)))
[paranoya]Заказал экранированный бумажник для карточки.[/paranoya]
А классно, дополнить такой считыватель блутус модулем, сделать простой клиент на телефон. А дальше фантазия разыгрывается: подходишь к девушке «хочешь я угадаю как тебя зовут?»… =)))
Меня всегда интересовал аспект безопасности беспроводных карт, однозначно идентифицирующих владельца.
Помимо несанкционированного доступа злоумышленников, есть еще вопрос считывания карт в местах, не предусмотренных стандартным кейсом использования карты, например, спецслужбами или правоохранительными органами. Организовать сбор статистической информации становится все проще…
Помимо несанкционированного доступа злоумышленников, есть еще вопрос считывания карт в местах, не предусмотренных стандартным кейсом использования карты, например, спецслужбами или правоохранительными органами. Организовать сбор статистической информации становится все проще…
Можно заодно обернуться фольгой самому
Пожалуй так и сделаю!
А если серьезно, то с нашим правительством в вопросах личной безопасности нужно надеяться только на себя! Особенно когда речь идет о «высоких технологиях».
я правильно подозреваю, что фамилий длиннее 40 символов не существует?
Защитите приватность своих детей, используйте для имени ребенка не менее 45 символов, из них не менее 1-ой заглавной, 1-ой строчной, 3-х цифр и 2-ух спецсимволов.
![[Her daughter is named Help I`m trapped in a driver`s license factory.]](https://habrastorage.org/getpro/habr/comment_images/63e/79c/978/63e79c978816f019a9bd2c029c20f9d8.png "Her daughter is named Help I`m trapped in a driver`s license factory.")
Надо отказываться от внутренних паспортов. При современном развитии техники идентификацию можно делать по ДНК.
Вы наверное слишком много смотрели Гаттаку.
Ну там немного о другом.
Просто там очень быстро и красиво идентифицировали по ДНК.
Красиво? Каждое утро протыкать палец, приходя на работу?
«Гаттаку» не смотрел, но подозреваю, что в реальности на месте таких пальцев к концу первого же года работы вспухло бы язвенное гноилище.
Бедные диабетики, ежедневно использующие карманные глюкометры…
UFO just landed and posted this here
Думаю в реальной жизни это гораздо более больное мероприятие.
В фильме не только палец протыкали. Главный герой еще подсыпал чужие волосы на свою клавиатуру. Так что палец был сделан для зрительного эффекта, в реальности можно волосы сдавать.
UFO just landed and posted this here
Читал что в iPhone собираются встроить RFID сканер. Так что еще чуть-чуть и ничего не надо будет докупать. Правда я не уверен что это именно тот RFID. Если кто-нибудь в курсе: разъясните пожалуйста.
Телефонные RFID сканеры требуют приблизить телефон практически вплотную к карточке, и секунду-другую подержать. И еще отключаются (на Самсунге, к примеру) если экран телефона выключен (типа защиты от самопроизвольного срабатывания).
так что ими не очень удобно данные воровать :-)
так что ими не очень удобно данные воровать :-)
На андроиде давно уже есть. Естественно, телефон должен иметь чип.
play.google.com/store/apps/details?id=net.cornplay.moscowsubwayticket
play.google.com/store/apps/details?id=net.cornplay.moscowsubwayticket
Вы, наверное, имеете в виду NFC. Да, кроме будущего айфона, наличие NFC в котором ещё под сомнением, уже есть Samsung Galaxy Nexus, Sony Xperia S, HTC One X (и некоторые другие устройства) с NFC-чипом PN65 компании NXP Semiconductors (дочка Philips). К слову, она же разработала сами стандарты Mifare 1K, 4K и Ultralight (стандартные проездные в московском метро).
PN65 состоит из двух частей: PN544 и модуль SmartMX. Дело в том, что для эмулирования карт и шифрования нужно иметь отдельный модуль, которым может являться сим-карта или этот самый чип SmartMX. К примеру, в Nokia N9 стоит PN544, который может практически всё с отдельным модулем, но его отсутствие в этом телефоне превращает NFC в безделушку. Телефоны, которые я перечислил выше, обладают полной поддержкой технологии (и электронных платежей тоже).
О возможностях мобильного NFC неплохо написали на 3DNews:
www.3dnews.ru/workshop/627178
Программу для считывания карт для Андроид написали в самой NXP и её можно скачать совершенно бесплатно.
play.google.com/store/apps/details?id=com.nxp.taginfolite
PN65 состоит из двух частей: PN544 и модуль SmartMX. Дело в том, что для эмулирования карт и шифрования нужно иметь отдельный модуль, которым может являться сим-карта или этот самый чип SmartMX. К примеру, в Nokia N9 стоит PN544, который может практически всё с отдельным модулем, но его отсутствие в этом телефоне превращает NFC в безделушку. Телефоны, которые я перечислил выше, обладают полной поддержкой технологии (и электронных платежей тоже).
О возможностях мобильного NFC неплохо написали на 3DNews:
www.3dnews.ru/workshop/627178
Программу для считывания карт для Андроид написали в самой NXP и её можно скачать совершенно бесплатно.
play.google.com/store/apps/details?id=com.nxp.taginfolite
Все Google Nexus`ы читают RFID, последние Samsung`и и т.д.
В общем все печально, и кому-то за такие проделки нужно дать п..., ну вы поняли. Т.к. есть куча контор которые позволят вам через интернет открыть кредитный счет и платить с него, достаточно ввести валидные паспортные данные и пройти верификацию. Теперь хакерам не нужно покупать «дропов», они сотнями катаются в метро…
В общем все печально, и кому-то за такие проделки нужно дать п..., ну вы поняли. Т.к. есть куча контор которые позволят вам через интернет открыть кредитный счет и платить с него, достаточно ввести валидные паспортные данные и пройти верификацию. Теперь хакерам не нужно покупать «дропов», они сотнями катаются в метро…
Купить базу паспортных данных существенно проще, чем прислонять сканеры к чужим карманам в метро
Ну и нафига туда воткнули CP-1251?? Почему не юникод??
Наверно потому что это однобайтовая кодировка русских букв? Странно было бы, если в российском паспорте имя/фамилия/отчество писались не русскими буквами. Тут уж либо KOI-8R, либо CP-1251, либо какая-нить жуткая экзотика.
А смысл? Экономить байтики? Нерусские буквы, а именно латиница, отлично живут и в 1251.
Неплохой задел на проблемы с кодировкой в дальнейшем.
Неплохой задел на проблемы с кодировкой в дальнейшем.
ну положим байтики там тоже надо экономить.
Да и официальный язык у нас пока один. И видимо лица имеющие эти карточки — граждане РФ. Что как бы намекает…
Да и официальный язык у нас пока один. И видимо лица имеющие эти карточки — граждане РФ. Что как бы намекает…
4096 — вполне солидный задел на хранение инфы. Удвоение байтов происходит исключительно в кириллических символах, которых в карте все же не так много. Итого: объема вполне достаточно, но для чего-то вводится ANSI-кодировка, от которых отказываются в операционных системах, вебе и базах данных. Подкладывают на будущее небольшую такую бомбочку. Устраивают трудности, с которыми придется бороться в дальнейшем.
4096 — это вся карточка. На личные данные там выделено только два сектора по 3*16 байт. Упомянутый недокументированный сектор с паспортными данными большой — он имеет 15*16 байт в размере. Не так уж и много. Строковые данные на карточках исключительно кириллические, т.е. удвоение будет происходить везде, если делать, как вы предлагаете.
отказываются в операционных системах, вебе и базах данныхОтказываются только там, где
а) Может понадобится мультиязычность
б) Объем данных и скорость не критичны
Здесь все же объем критичен, а мультиязычность понадобится не может в принципе.
Вообще у идеи «утф везде» есть логичное продолжение — отказаться от int, float и прочих дурацких форматов. Даешь текстовое представление и в утф что бы непременно. А то ведь есть еще римские цифры, а в будущем возможно придумают новый способ записи цифр — нужна универсальность!
А как же овер 170 языков российской федерации с письменностью на основе кириллицы, знаки которых в ср1251 никак не входят? Даже если не брать карельскй.
А в паспорте у них что нарисовано?
Не поверите, именно для экономии байтиков. Это тут у вас их миллиарды готовых к использованию, а там их всего 4096, да и к тому же, судя по тексту, планируют их частично раздать разным организациям.
Латинские буквы и в ASCII неплохо живут.
UFO just landed and posted this here
Дык экономия же, товарищ!
Ну и нафига туда воткнули CP-1251?? Почему не юникод??Инструменты, в т.ч. кодировки, надо использовать тогда, когда нужно, а не просто лепить всюду «модное и современное» иногда прибавляя «на всякий случай, мало ли что, вдруг нас захватит германия и китай». Учитывая ЦА карточек — utf-8 — избыточен, следовательно не нужен.
0x21 — код документа, удостоверяющего личность (паспорт гражданина)
Мужики интересуются, будут ли выдавать СКНМ?
Статья из серии «хакер в столовой». Прежде чем обвинять человека, привели бы хоть пару вариантов других технических решений
Тоже вспомнилось :)
здравый смысл как бы подсказывает:
- Не записывать на карту паспортные данные без надобности
- Если паспортные данные записываются, то это должно быть документировано. Сейчас это никак не отражено в документах
- Нельзя не полагаться на алгоритмы шифрования и защиты, принцип работы которых вам неизвестен
- Если уж в 2002 году по какой-то причине разработчики понадеялись на Mifare, то в 2008 г. после сообщений о реверс-инжиниринге алгоритмов (об этом кажется даже в спид-инфо писали), или в 2009г. после практического взлома карточек надо было начать срочно менять систему хотя бы для вновь выдаваемых карт
- Самое простое и проверенное решение — шифровать всё асимметрично, например по ГОСТу
- Закрытые ключи лучше регулярно менять (ну раз в неделю например), старые не хранить. Позволит в случае компроментирования какого-нибудь закрытого ключа менять не все карточки, а малую часть.
- Информация должна быть подписана, лучше вместе с железным номером карточки (уже тоже обходится, но всё же)
- Персональная информация вообще не должна удалённо читаться никак! Надо делать как на загранпаспортах: для чтения данных надо знать фамилию держателя или что-то написанное на карточке физически
Для прохождения BAC (Basic Authentication Control) и чтения основных сведений с загранпаспорта нужно знать номер паспорта, дату рождения владельца и дату истечения срока действия паспорта (то есть, только цифры). Но пройдя такую аутентификацию можно прочитать только те же данные, которые и так есть на странице — ФИО, фотография и т.д.
Не совсем, некоторые страны добавляют ещё данные. Отпечатки пальцев, например, или публичный ключ личной ЭЦП.
Доступ к биометрическим данным (отпечатки пальцев, 3D-фотография лица, изображение радужки глаза) осуществляется через EAC, прохождение которого — не такая уж и тривиальная задача. Хотя сводится, собственно говоря, к тому же использованию закрытого ключа и аутентификации подписанного считывателем запроса на считывателе. В качестве криптографического алгоритма по ИКАО — некая вариация на тему triple DES.
Безусловно, некоторые страны могут на эти требования и забить. Но таковы требования стандарта на эти самые загранпаспорта. При этом в ряде стран считывание биометрических данных выполняется с использованием национальных криптографических алгоритмов.
Безусловно, некоторые страны могут на эти требования и забить. Но таковы требования стандарта на эти самые загранпаспорта. При этом в ряде стран считывание биометрических данных выполняется с использованием национальных криптографических алгоритмов.
Можно заодно обернуться фольгой самому.
получается, имея СКМ + reader + writer + несколько Mifare Classic (20$ за 10 штук) можно творить чудеса.
UFO just landed and posted this here
Спасибо за последний абзац!
Картой именно такой не пользуюсь, но (куда нам без паранойи?!) порой так и хочется использовать последнюю рекомендацию этого абзаца :)
Отличная статья!
Картой именно такой не пользуюсь, но (куда нам без паранойи?!) порой так и хочется использовать последнюю рекомендацию этого абзаца :)
Отличная статья!
>Можно заодно обернуться фольгой самому.
Срочно затариваемся шапочками!
Срочно затариваемся шапочками!
«можно, восстановив ключи, перезаписать этот сектор, заполнив его мусором или паспортными данными соседа. » -> «а вот изменять, а тем более копировать на другие карты нельзя в соответствии со ст. 327 УК РФ.» :)
все же надо аккуратнее с советами на публичном ресурсе. вон, нынче власти заявляют что твиттер и фейсбук виноваты в народных волнениях.
Вообще, интересно (не разбирался с конкретными RFID) — перезапись возможна удаленно? Или только считывание?
То что есть RFID чипы которые удаленно можно переписывать — это факт, даже импланты уже разработаны.
Если возможна — то для «шалунишек» открывается широкий спектр веселых возможностей — проехаться в метро, проапдейтив куче народа ФИО / данные на «абурахманов ибн хотабычей» — это еще самый безобидный вариант.
все же надо аккуратнее с советами на публичном ресурсе. вон, нынче власти заявляют что твиттер и фейсбук виноваты в народных волнениях.
Вообще, интересно (не разбирался с конкретными RFID) — перезапись возможна удаленно? Или только считывание?
То что есть RFID чипы которые удаленно можно переписывать — это факт, даже импланты уже разработаны.
Если возможна — то для «шалунишек» открывается широкий спектр веселых возможностей — проехаться в метро, проапдейтив куче народа ФИО / данные на «абурахманов ибн хотабычей» — это еще самый безобидный вариант.
Вообще, это в принципе шикарная идея для стартапов — особенно всяких супер-сторов (моллы и прочее).
Идет человек мимо магазина, а ему робот (как в фильмах) — «здравствуйте, Василий Петрович! А у вас день рождения через месяц? А мы вам скидочку — вам же принарядиться надо…
Вы 3 недели назад носки покупали в другом магазине нашей сети — наверное поменять пора?
Кстати, у наших соседей еще и водка вкусная продается, вам бутылка (при покупке десяти) — в подарок!»
Технически — совершенно реально :)
Идет человек мимо магазина, а ему робот (как в фильмах) — «здравствуйте, Василий Петрович! А у вас день рождения через месяц? А мы вам скидочку — вам же принарядиться надо…
Вы 3 недели назад носки покупали в другом магазине нашей сети — наверное поменять пора?
Кстати, у наших соседей еще и водка вкусная продается, вам бутылка (при покупке десяти) — в подарок!»
Технически — совершенно реально :)
Рестораторы какие-то сделали. Выдавали бонусную карту с рфидом, человек проходит через дверь, а ему на встречу метрдотель выскакивает с воплем «Е… ть мой лысый череп! Кто к нам пришел! Семем Семеныч дорогой, вам как в прошлый раз вип-кабинет с гимназистками или вы сегодня жену выгуливаете?»
Тут скорее идея в том что это может быть глобальная система, которая еще и собирает информацию о том кто-где-что покупал, какие вкусы и предпочтения, и тд ;))
Фактически, становятся возможными вот такие анекдоты :)
«Письмо от компании, работающей с дисконтными картами.
Дорогой мистер Джонс,
Мы заметили, что Вы давно не покупали никаких презервативов в SpiffyMart.
(Последний раз это было 8 недель назад).
К тому же прекратили покупать предметы женской гигиены, но стали больше
покупать замороженной пиццы и обедов быстрого приготовления.
Из этого ясно, что миссис Сандерс покинула Вас.
(Может, это и к лучшему — она ведь покупала такие дешевые шампуни, которые
явно не добавляли ей привлекательности).
База данных почтового отделения подтверждает, что она сменила свой адрес.
Примите наши соболезнования. Мы полагаем, что горяченькое порно-видео
поможет Вам пережить этот стресс.
Если Вы чувствуете себя одиноким — просмотрите наш каталог.
Купите кассеты не откладывая и мы добавим 1 кассету бесплатно!
Искренне Ваш,
Менеджер по сбыту.
P.S. Помните ту блондинку, которую Вы угощали в прошлую субботу двойным
мартини в баре O`Dougles? Забудьте о ней! Она уже много месяцев чем-то
инфицирована и является постоянным клиентом аптеки Acme Pharmacy.
(Ее домашний компьютер в одной сети с нашим). И неизвестно, что можно от нее
подцепить. А наши видеокассеты совершенно безопасны.»
Фактически, становятся возможными вот такие анекдоты :)
«Письмо от компании, работающей с дисконтными картами.
Дорогой мистер Джонс,
Мы заметили, что Вы давно не покупали никаких презервативов в SpiffyMart.
(Последний раз это было 8 недель назад).
К тому же прекратили покупать предметы женской гигиены, но стали больше
покупать замороженной пиццы и обедов быстрого приготовления.
Из этого ясно, что миссис Сандерс покинула Вас.
(Может, это и к лучшему — она ведь покупала такие дешевые шампуни, которые
явно не добавляли ей привлекательности).
База данных почтового отделения подтверждает, что она сменила свой адрес.
Примите наши соболезнования. Мы полагаем, что горяченькое порно-видео
поможет Вам пережить этот стресс.
Если Вы чувствуете себя одиноким — просмотрите наш каталог.
Купите кассеты не откладывая и мы добавим 1 кассету бесплатно!
Искренне Ваш,
Менеджер по сбыту.
P.S. Помните ту блондинку, которую Вы угощали в прошлую субботу двойным
мартини в баре O`Dougles? Забудьте о ней! Она уже много месяцев чем-то
инфицирована и является постоянным клиентом аптеки Acme Pharmacy.
(Ее домашний компьютер в одной сети с нашим). И неизвестно, что можно от нее
подцепить. А наши видеокассеты совершенно безопасны.»
По прочтению почему-то вспомнился «Младший Брат» Кори Доктороу. Там в деталях расписано, как ммм… продвинутая молодёжь направо и налево пользовалась описанной здесь технологией.
Во-во. А меж тем, когда я советовал на Хабрахабре прочитать эту книгу, то мою блогозапись заминусовали — она не вышла на главную страницу и осталась непрочтённою широким кругом читателей Хабрахабра. А меж тем эта книга становится всё актуальнее. Вчерашняя штатовская хай-тек-драма — это реальность сегодняшней России; я читал, помнится, что это и Брюс Стерлинг некогда заметил.
ещё на книжную полку в тему будет habrahabr.ru/post/15363/
Ну тогда уж и Ночь RFID'ов туда же.
О, моя тема!
Давно хотел написать на Хабр, как просто читаются ключи на карте, но думал, не принесу ли я больше вреда, чем пользы. Автор вот не побоялся. (Почему вред: то, что безопасность в СКМ нулевая, те, кто в теме, знают давно. Ламеры получат простой способ взламывать данные, в конце концов поставщик системы запросит из бюджета огромные средства на доработку безопасности, которые будут освоены. Дополнительные затарты лягут на плечи пользователей — скажем, пассажиров метро. Может, я сгущаю краски, а может… и нет).
Из-за чего все это и как это возможно: немецкие студенты давно взломали Mifare Classic. Используемый там алгоритм Crypto-1 — проприетарный, выяснилось, что генерируемые случайные числа — вовсе не случайные, и получая ответы в ридер от карты, можно подобрать ключи.
Причем, даже если все сектора закрыты (т. е. не используются стандартные, т. н. «транспортные ключи»), все равно вскрыть ключи можно.
Подробнее читайте в статье "THE DARK SIDE OF SECURITY BY OBSCURITY".
Что касается СКМ (социальной карты москвича), то информация о том, как что кодируется и что куда записывается, определена в Постановлении Правительства Москвы от 6 августа 2002 г. N 602-ПП «О внедрении социальной карты для жителей города Москвы».
Не знаю, навскидку не нашел, но я в офиуиальных документах, других постановлениях, находил, как кодируется (в каких секторах, какой длины поле) фамилия имя держателя (вот, кое что нашел).
О том, как от всего этого защищаться: естественно, должен был позаботиться разработчик. Во-первых, можно было сделать систему распределенных ключей — у каждой карты должен быть свой уникальный ключ доступа к сектору, который высчитывается устройством считывания (ридером) по специальному алгоритму, например, на основе уникального номера чипа карты.
В этом случае просто так «сниффернуть» информацию с карты в толпе не получится (ключи-то других карт не известны).
Плюс аппаратный невосстанавливаемый счетчик можно поставить, прописав необходимые access conditions.
И, наконец, кто же данные в открытом виде хранит, нужно их тоже шифровать, подписывать ключом. Т..е даже прочтение битового набора ничего бы не дало.
Кстати, именно по такому принципу, насколько мне известно, построена система в Екатеринбурге.
В крайнем случае, эмитенту СКМ надо было перейти на карты, скажем Mifare Plus — пусть даже если бы они работали в режиме эмуляции Mifare Classic, но баг с псевдорандомными числами там закрыт, хотя бы. Правда, никто не знает, сколько времени осталось, прежде чем и его (Mifare Plus) вскроют…
Давно хотел написать на Хабр, как просто читаются ключи на карте, но думал, не принесу ли я больше вреда, чем пользы. Автор вот не побоялся. (Почему вред: то, что безопасность в СКМ нулевая, те, кто в теме, знают давно. Ламеры получат простой способ взламывать данные, в конце концов поставщик системы запросит из бюджета огромные средства на доработку безопасности, которые будут освоены. Дополнительные затарты лягут на плечи пользователей — скажем, пассажиров метро. Может, я сгущаю краски, а может… и нет).
Из-за чего все это и как это возможно: немецкие студенты давно взломали Mifare Classic. Используемый там алгоритм Crypto-1 — проприетарный, выяснилось, что генерируемые случайные числа — вовсе не случайные, и получая ответы в ридер от карты, можно подобрать ключи.
Причем, даже если все сектора закрыты (т. е. не используются стандартные, т. н. «транспортные ключи»), все равно вскрыть ключи можно.
Подробнее читайте в статье "THE DARK SIDE OF SECURITY BY OBSCURITY".
Что касается СКМ (социальной карты москвича), то информация о том, как что кодируется и что куда записывается, определена в Постановлении Правительства Москвы от 6 августа 2002 г. N 602-ПП «О внедрении социальной карты для жителей города Москвы».
Не знаю, навскидку не нашел, но я в офиуиальных документах, других постановлениях, находил, как кодируется (в каких секторах, какой длины поле) фамилия имя держателя (вот, кое что нашел).
О том, как от всего этого защищаться: естественно, должен был позаботиться разработчик. Во-первых, можно было сделать систему распределенных ключей — у каждой карты должен быть свой уникальный ключ доступа к сектору, который высчитывается устройством считывания (ридером) по специальному алгоритму, например, на основе уникального номера чипа карты.
В этом случае просто так «сниффернуть» информацию с карты в толпе не получится (ключи-то других карт не известны).
Плюс аппаратный невосстанавливаемый счетчик можно поставить, прописав необходимые access conditions.
И, наконец, кто же данные в открытом виде хранит, нужно их тоже шифровать, подписывать ключом. Т..е даже прочтение битового набора ничего бы не дало.
Кстати, именно по такому принципу, насколько мне известно, построена система в Екатеринбурге.
В крайнем случае, эмитенту СКМ надо было перейти на карты, скажем Mifare Plus — пусть даже если бы они работали в режиме эмуляции Mifare Classic, но баг с псевдорандомными числами там закрыт, хотя бы. Правда, никто не знает, сколько времени осталось, прежде чем и его (Mifare Plus) вскроют…
Ну о том, что СКМ — это Mifare Classic было написано в упомянутом постановлении и в печатной статье уважаемого товарища dark-simpson в Хакере несколько лет назад. Так что тайных знаний нет.
Спасибо за ссылку на документ с форматом открытых секторов — я когда-то давно на него натыкался в интернете, но сейчас не нашёл. Рекомендуется почитать там, как кодируется пол и век рождения — очень смешно.
Что касается доработки безопасности — в метро же давным давно есть одноразовые билетики, на которых безопасность вполне приличная. Хотя средства запросить это не помешает, это да.
Спасибо за ссылку на документ с форматом открытых секторов — я когда-то давно на него натыкался в интернете, но сейчас не нашёл. Рекомендуется почитать там, как кодируется пол и век рождения — очень смешно.
Что касается доработки безопасности — в метро же давным давно есть одноразовые билетики, на которых безопасность вполне приличная. Хотя средства запросить это не помешает, это да.
> Так что тайных знаний нет.
я что, утверждал обратное?
> Рекомендуется почитать там, как кодируется пол и век рождения — очень смешно
Действительно, забавно, хотя этому есть вполне логичные объяснения (ну, хотя бы, сравнительно логичные )) )
> Что касается доработки безопасности — в метро же давным давно есть одноразовые билетики, на которых безопасность вполне приличная
Не путайте Ultralight и Mifare Standard (Classic). В ультралайте вообще нет ключей, данные в открытом виде. Безопасность построена на том, что там есть т. н. OTP биты памяти («прожигаются» 1 раз — и потом переписать из нельзя). Но их количество ограничено. Я уже приводил на хабре, приведу еще раз ссылку на это видео («Ездим на метро, не теряя поездок»):
www.youtube.com/watch?v=E55Z7gj7GwU
Так что насчет вполне приличной безопасности Вы немного погорячились. Действительно, раньше (лет 5 назад), данные на ультралайтах вообще никак не шифровались. Потом, из-за большого количества фрода, «додумались», наконец, шифровать. Я даже знаю фирму, которая реализовывала им алгоритм шифрования (там «гостовское»).
я что, утверждал обратное?
> Рекомендуется почитать там, как кодируется пол и век рождения — очень смешно
Действительно, забавно, хотя этому есть вполне логичные объяснения (ну, хотя бы, сравнительно логичные )) )
> Что касается доработки безопасности — в метро же давным давно есть одноразовые билетики, на которых безопасность вполне приличная
Не путайте Ultralight и Mifare Standard (Classic). В ультралайте вообще нет ключей, данные в открытом виде. Безопасность построена на том, что там есть т. н. OTP биты памяти («прожигаются» 1 раз — и потом переписать из нельзя). Но их количество ограничено. Я уже приводил на хабре, приведу еще раз ссылку на это видео («Ездим на метро, не теряя поездок»):
www.youtube.com/watch?v=E55Z7gj7GwU
Так что насчет вполне приличной безопасности Вы немного погорячились. Действительно, раньше (лет 5 назад), данные на ультралайтах вообще никак не шифровались. Потом, из-за большого количества фрода, «додумались», наконец, шифровать. Я даже знаю фирму, которая реализовывала им алгоритм шифрования (там «гостовское»).
> и лично товарищу Гаеву
Пошел посмотреть, что за тип. Бывший начальник Московского метрополитена. И что, серьёзно, он виноват? Тогда уж чего сразу не Путин?
Люди в его кресле вообще не шарят во всём этом. И не должны. Они задают туманные направления вроде «нужно уменьшить расходы по XYZ, выполняйте», а все варианты решения и технические детали уже на исполнителях. На них же исследование рисков и соблюдение законов В конце проекта Гаеву кладут на стол описание, что будет сделано и необходимые средства, а он ставит подпись.
Виноват в этом тот, кто замолчал или проигнорировал или не до конца исследовал риск связанный со взломом. И скорее всего этот человек или внизу пирамиды или посередине. Схалтурил или захотел выслужиться успешным проектом.
А учитывая что паспортные данные были добавлены после, на лицо типичный пример, когда разработанная отвёртка используется для сверления дыр. Один отдёл разработал карточки и в доке написал «для важной информации не использовать! Защита гавно!», а другой отдел проигнорировал инструкцию и добавил туда паспортные данные. Всем пофиг. А Гаев, возможно, вообще не в курсе.
Пошел посмотреть, что за тип. Бывший начальник Московского метрополитена. И что, серьёзно, он виноват? Тогда уж чего сразу не Путин?
Люди в его кресле вообще не шарят во всём этом. И не должны. Они задают туманные направления вроде «нужно уменьшить расходы по XYZ, выполняйте», а все варианты решения и технические детали уже на исполнителях. На них же исследование рисков и соблюдение законов В конце проекта Гаеву кладут на стол описание, что будет сделано и необходимые средства, а он ставит подпись.
Виноват в этом тот, кто замолчал или проигнорировал или не до конца исследовал риск связанный со взломом. И скорее всего этот человек или внизу пирамиды или посередине. Схалтурил или захотел выслужиться успешным проектом.
А учитывая что паспортные данные были добавлены после, на лицо типичный пример, когда разработанная отвёртка используется для сверления дыр. Один отдёл разработал карточки и в доке написал «для важной информации не использовать! Защита гавно!», а другой отдел проигнорировал инструкцию и добавил туда паспортные данные. Всем пофиг. А Гаев, возможно, вообще не в курсе.
Особенно он не в курсе, что поставками этих самых карточек (как минимум ultralite), занимается его сын.
Где причина, а где следствие? Сын занимался поставками таких карточек, а отец решил их использовать, или отец решил их использовать и тогда сын внезапно занялся поставками? Я бы поставил на второй вариант :)
А ещё отец внезапно стал использовать высокотехнологичные карточки Mifare UL (которые поставляет его сын) для одноразовых билетиков на одну поездку. При себестоимости в 7р.
Сын занимался карточками в рамках дочки ситроникса. После чего заключен контракт на поставку карточек московскому метрополитену.
Гаев — генеральный конструктор этой системы. Зачем — очень большой вопрос. В упомянутом в посте постановлении, лично за ним закреплено много полномочий, так что это не почётное звание. У меня складывается впечатление, что СКМ проектировали люди, которые вообще не утруждали себя разбираться в вопросе, уж столько там идиотизма.
Мыши прибежали к сове генеральному конструктору:
— Генеральный конструктор, как сделать так чтобы нас не обижали?
— Станьте ёжиками, они колючие, их не трогают
Обрадовались мыши, но потом загрустили:
— А как нам стать ёжиками?
— Отстаньте со своей ерундой, я стратегией занимаюсь.
Люди его положения в детали не вникают, они работают с агрегированной информацией и задают общие направления: «Плохое шифрование? Не слышал. Вот контакт специалиста, который этим занимается.»
Я допускаю ситуацию, в которой вся команда была в меру ответственна и буквально вопила о возможном риске, предупреждение было написан красным по белому на титульном листе проекта, а Гаев просто проигнорировал это… но мой опыт говорит, что схалтурить могли везде.
Вообще чего это я тут адвокатом Дьявола нанялся. Завязываю с этим, спасибо за фидбек.
— Генеральный конструктор, как сделать так чтобы нас не обижали?
— Станьте ёжиками, они колючие, их не трогают
Обрадовались мыши, но потом загрустили:
— А как нам стать ёжиками?
— Отстаньте со своей ерундой, я стратегией занимаюсь.
Люди его положения в детали не вникают, они работают с агрегированной информацией и задают общие направления: «Плохое шифрование? Не слышал. Вот контакт специалиста, который этим занимается.»
Я допускаю ситуацию, в которой вся команда была в меру ответственна и буквально вопила о возможном риске, предупреждение было написан красным по белому на титульном листе проекта, а Гаев просто проигнорировал это… но мой опыт говорит, что схалтурить могли везде.
Вообще чего это я тут адвокатом Дьявола нанялся. Завязываю с этим, спасибо за фидбек.
Меня переубедили выше. Точно завязываю :)
> — Отстаньте со своей ерундой, я стратегией занимаюсь.
Извините, вынужден вмешаться. Другая версия этого анекдота, на мой взгляд, «более правильная» и чуть более смешная (хабрасообщество поймет, почему):
«Отстаньте со своей ерундой, я стратег, а не тактик!» )
Извините, вынужден вмешаться. Другая версия этого анекдота, на мой взгляд, «более правильная» и чуть более смешная (хабрасообщество поймет, почему):
«Отстаньте со своей ерундой, я стратег, а не тактик!» )
UFO just landed and posted this here
А из чего конверт-то? Явно не бумажный, раз блокирует радиоволны.
OFF: Гринкарту в лотерее выиграли?
есть другие способы ее получить?
UFO just landed and posted this here
так вот как она выглядит :)
Не знаю как в столице, но у нас в городе просто процветает бизнес продажи «анонимных» симкарт, которые регистрируют на разными способами полученные паспортные данные, а потом ничего не подозревающие люди получают письма с просьбой оплатить чужой долг.
Ну а в некоторых местах по ксерокопиям паспортов выдают кредиты, одна особо умная работница детского сада, если не ошибаюсь, таким образом несколько миллионов получила
Ну а в некоторых местах по ксерокопиям паспортов выдают кредиты, одна особо умная работница детского сада, если не ошибаюсь, таким образом несколько миллионов получила
> Полученные паспортные данные можно было бы использовать далее в преступных целях, если бы не ФЗ-152
Ага, а другие законы не дают воровать и убивать.
Ага, а другие законы не дают воровать и убивать.
Интересно почему 13 это 0х13 а не 0xD
Для компенсации стращания друг друга разнообразными статьями УК РФ, следует упомянуть также ст. 137 УК РФ (злоупотребления и незаконные действия с информационными данными о частной жизни), каковая, буде речь шла о какой-нибудь другой стране, была бы немедленно применена к эмитентам этих карт, то есть правительству г.Москвы, без вашего ведома записывающие на плохо защищённый носитель сведения о вашей частной жизни.
Тоже мне открытия! Я давно хожу в фольге и этих проблем не испытываю
Да, на автобусах и метро не езжу.
Да, на автобусах и метро не езжу.
Я буду носить свой паспорт в свинцовой оболочке =)
Ну, RFID паспорта нам пока еще долго не грозят, имхо :)
Ну, не знаю как нам, но в Южной Корее вроде уже начали апробацию…
В российских загранпаспортах давно стоит RFID чип.
Уже интересно :) — по вышеописанным методам его прочитать еще никто не пробовал?
Не получится, там другой чип стоит — он хорошо защищен. Случаев взлома, насколько знаю, пока не было.
Sign up to leave a comment.
Читаем паспортные данные студентов, школьников и пенсионеров у них из кармана