Комментарии 185
Mifare Classic не ломал только ленивый, сейчас это действительно уровень школьников. Хотя мне пришлось разрабатывать проездные на их базе, и могу с гордостью сказать что наш вариант школьники бы не взломали ? достаточно добавить шифрование каким нибуть aes-256 данных в блоке - и удачи это ломануть. Максимум можно сделать клон карты, но это лечится блеклистами и их периодическими обновлениями.
Просто у Бостона старая, слабо поддерживаемая система и минимальные риски настоящего взлома, на котором можно потерять деньги. Если бы ребята сделали бы и распространяли аппликуху для бесплатного прохода, или же продавали бы свои карты - тогда финал истории был бы совсем другой...
P.S. И платите за проезд. С этих денег платят зарплаты водителям и кондукторам, механикам и уборщикам. С этих денег покупается новый транспорт и ремонтируется существующий. Если вам нужен общественный транспорт - заплатите за него.
совершенно не понятно, что мешало разработчикам системы изначально использовать алгоритмы шифрования с известной криптостойкостью, а не городить собственный не стойкий алгоритм кодирования?...
Тогда они бы не создали самый известный пример того, что нельзя городить свои крипто алгоритмы и что security thrue obscurity не работает. За это им спасибо ?
Конечные терминалы приема. Все это очень древнее. В какой ни будь старый mc/avr с 16Кб памяти ничего толком и не запихнуть.
Да и смысл. Ну взломали. Утерянная выгода от проезда 5-10 человек на общем фоне это смешно.
Шифрование по-моему даже не обязательно, достаточно современный алгоритм подписи.
(утечка серификата сомнительна, но промежуточный сертификат можно менять периодически)
>при реализации системы оплаты поездок не следует хранить деньги на карт
а где их хранить, с учётом того, что каждый турникет обязан продолжать работать даже если на всей станции нет доступа в сеть? Конечно же данные о балансе должны находиться на карте, это единственный источник данных для офлайн турникета. А отказываться от офлайн турникетов это огромный даунгрейд в юзабилити.
Поэтому это нормально, что рано или поздно цифровую систему оплаты общественного транспорта взломают, и будет такая история. Эти риски просто должны быть заложены в проект. Просто надо оперативно обновляться и менять алгоритмы шифрования, а не пытаться закрывать и прятать инфу об уязвимостях. Что они и осознали, судя по истории.
вы абсолютно правы. и добавлю, что бессмысленно делать хранение какого либо долговременного ключа в турникете (который должен иметь возможность работать автономно) - поскольку к нему всегда будет доступ посторонних. ну а если к железяке есть свободный доступ - то её можно и механически посмотреть что внутри.
почитайте про аппаратные средства хранения ключей. Вы механически ничего не сможете посмотреть.
Ну то есть прорыть под землёй многокилометровые тоннели с коммуникациями - это вполне выполнимая инженерная задача, а развернуть внутреннюю отказоустойчивую сеть, которой в интернет даже не нужно смотреть на постоянке - уже лапки?
на сервере
1 раз в сутки, 2 раза в сутки синхронизировать базы данных
2 раза в сутки синхронизировать базы данных
... и после покупки/пополнения карты нужно подождать 12 часов
Зачем? Находиться расхождение, карта в подозреваемые, второй раз - блочиться.
То есть за две поездки за первые 12 часов новые легитимные карты будут блочится, но при этом можно будет 12 или 24 часа ездить по фейковой карте до её блока? Утром карту сгененировал и катайся?
Удобно.
С какой стати легитимные карты будут блокировать?
У турникета есть информация, что по карте такой-то было совершено X поездок. На легитимной карте будет информация что было совершено либо X (если турникет успешно синхронизирован), либо больше.
Блокировать будут те карты, на которых оказалось меньше совершённых поездок, чем в БД турникета.
Фейковую карту можно использовать только на несинхронизированых терминалах, при этом после такой поездки и её синхронизации блокируется оригинальная карта, поэтому при залоговой стоимости больше стоимости поездки финансовую выгоду мошеннику получить проблематично.
И результат? Например, Легитимный пользователь (А) в первый день с утра прошел турникет. Где-то в транспорте к нему пристроился фрик (Б) со считывателем и получил данные с карты А, клонировал в карту Б и целый день катался, используя данные карты А. На следующий день, по предложенной Вами схеме карта Б будет заблокирована, но также будет заблокирована и карта А (легитимная), поскольку, с высокой долей вероятности, в указанной БД единственным параметром, идентифицирующем карту, будет только её номер. В итоге пользователь А остается с заблокированной картой А, негодует, ругается, требует жалобную книгу. Ну а дальше... новая модификация системы оплаты.
Это только если можно клонировать чужую карту бесконтактным считывателем в полевых условиях - а это уж такая дыра в безопасности, что за неё нужно увольнять всех разработчиков карты. Тут же на взлом нужен целый час, который ваш фрик (стоя над душой легитимного пользователя) потратил на клонирование одной-единственной карты, и для того, чтобы он "целый день катался", ему нужно весь этот "целый день" проходить исключительно через оффлайн терминалы.
В реальности у пользователя А на карте окажется максимум пара неучтённых поездок, так что ему разблокируют карту в любой кассе, перепрошив её с другими данными (может быть, потребовав штраф в виде стоимости этой пары поездок).
Хмм, в нерезиновой была такая система? Раньше было несколько раз: берешь проездной на месяц, через пару дней карта дохнет, сдаёшь на проверку в кассу метро - тебя шлют нафиг, покупай мол новое... Стал каждый раз сдавать старую карту и брать новую, типа риск размагничивания меньше, но не панацея. Сейчас не знаю, как обстоят дела, стал редко кататься, пользуюсь разовыми поездками, записанными на "тройку". Есть статистика где-то в свободном доступе, интересно?
У меня году так в 2016 была история: стою на остановке, жду автобуса до метро. На карте 50 рублей, поездка вроде 32 рубля, в общем на метро не хватит. С помощью проги на телефоне закидываю на Тройку 100 рублей. Оплата проходит, прога предлагает сразу записать пополнение на карту через NFC. Тут подходит автобус, захожу, прикладываю карту к валидатору, 32 рубля списываются, остаётся 18. Прикладываю карту к телефону, проходит пополнение, баланс карты становится 150 рублей (то есть автобус получился бесплатно). Но тогда ещё в автобусах не было онлайн-валидаторов, сейчас такой метод вряд ли сработает.
Блокировать будут те карты, на которых оказалось меньше совершённых поездок, чем в БД турникета.
Да, и можно получить кучу ложных блокировок, если вдруг не вся информация о поездках с турникетов попала в систему (например, по причине его физической поломки, или поломки роутера и .т п.)
Фейковую карту можно использовать только на несинхронизированых терминалах, при этом после такой поездки и её синхронизации блокируется оригинальная карта, поэтому при залоговой стоимости больше стоимости поездки финансовую выгоду мошеннику получить проблематично.
Нет, вы заблокируете только после того, как данные попадут в систему, а они могут идти и несколько часов, и несколько дней, в зависимости от обстоятельств. А за это время можно наездить больше, чем одну поездку.
Собственно, потому на наземном транспорте это более всего актуально. с метро и физической связью по проводу проще, но тоже не особо - надо тогда на серверах обрабатывать большие массивы информации, быстро их рассылать на турникеты и т. п. Тоже нетривиальная задача.
именно такие системы и проектируют многие поставщики. я когда потом с этим разбираюсь, просто о.... удивляюсь, короче. Им даже до уровня бостонских школьников расти и расти.
Это только если нет подключения к интернету. А вообще возможно сделать такую систему: Вы пополнили карту с телефона - сервис пополнения сообщает вам секретный токен, валидность которого можно проверить без интернета - вы обновляете данные в системе, которая находится оффлайн. При работе сети - данные обновляются сами и ничего самому делать не придётся.
Всегда изумляли новости о том что "хакеры проникли в сеть пентагона" или "в сеть управления дорожным движением" ну и всякое такое.
Не понимал каким боком связаны интернет и подобная сеть. Но если подобные системы разрабатывают люди с идеями подобными вашим, то многое становится понятным.
К.м.к. проще использовать интернет и поверх него какуй-нибудь vpn, чем свою сеть городить. И да, у такой системы не очень нужен выход в мир, но если вам нужно управлять хоть-сколько нибудь удаленно - то без глобального интернета будет больно. И светофоры находится не очень близко, кабель проводить дорого (я так думаю). Думаю privateLTE будет тоже не дёшево. А использовать общедоступную сеть 4g - получится просто и быстро. А вообще я не эксперт и не претендую, просто поделился мнением.
Ну системы московского транспорта точно находится в интернете. Вы-же можете с телефона пополнять "тройку". А при отсутсвии выхода в глобальный интернет - теряется такая возможность. Пополнение только на станции, продление социальных карт - тоже. Так что я считаю, что на теоретический (или не очень) риск взлома стоит идти ради комфорта пассажиров.
Ну навскидку можно сделать так: на карте храним ее идентификатор и криптографическую подпись. Турникет имеет публичный ключ для проверки подписи.
Если у турникета связь с сервером есть, то проверяет подпись и запрашивает сервер для списания денег за проход. Если связи нет, пропускает так, но в локальной БД отмечает проход и списание отправляет позже.
Конечно, в случае отсутствия связи, смогут проходить люди с заблоченными картами или без денег (и тогда их загонит в минус), но это аварийная ситуация и таких "умных" будет не слишком много.
Примерно так реализованы транспортные карты в Ташкенте. Для доп.защиты, каждый турникет в метро (и каждый валидатор в автобусах) имеет локальную базу заблокированных карт, которые обновляются каждые 15 (если не ошибаюсь) минут. Если связи с сервером нет, турникет работает оффлайн, как только связь восстанавливается, транзакции синхронизируются с сервером и обновляется база заблокированных карт.
https://habr.com/ru/companies/bastion/articles/772222/comments/#comment_26132348
и ассиметричное шифрование в туникете - это только вопрос цены - вернее цены/риска потерь
Если использовать ассиметричный алгоритм, то на публичный ключ можно хоть засмотреться. И терминал хоть по молекулам разобрать и понять как оно работает. Но это ничем не поможет в принципе.
... то на публичный ключ можно хоть засмотреться ...
неоднозначная тема в современном мире
см. https://ru.wikipedia.org/wiki/Алгоритм_Шора
и мои публикации
- [Изучаем Q#. Обучаем перцептрон](https://habr.com/p/772172/)
- [Изучаем Q#. Статистическое сравнение двух последовательностей чисел](https://habr.com/p/769148/)
- [Изучаем Q#. Алгоритм Гровера. Не будите спящего Цезаря](https://habr.com/p/768666/)
- [Изучаем Q#. Делаем реализацию биноминального распределения](https://habr.com/p/766512/)
- [Первые шаги в Q#. Алгоритм Дойча](https://habr.com/p/759352/)
Слишком категорично. Стойка в 200GPU и годный алгоритм подбирут ключ, который может поместиться в карточку. Конечно, при доступе к краденому турникету. Поэтому механизм обновления ключей каждый месяц отлично дополнит эту схему. (старые ключи остаются валидными пока живы их карточки, то есть максимум год для годовых абониментов)
В карточку и RSA 4096 можно кмк засунуть или что-то из ECDsa, главное чтобы памяти хватило. В данном случае карточка тупо бесконтактная флешка, а все расчеты на терминале.
200 GPU правда могут подобрать приватный ключ AES-128 за разумное время?
Стойка в 200GPU и годный алгоритм подбирут ключ, который может поместиться в карточку.
Банковские карты и другие смарт-карты передают привет.
Стойка в 200GPU и годный алгоритм подбирут ключ, который может поместиться в карточку.
Миниатюра "Хакер в столовой". Ради фана можно, практический смысл примерно нулевой.
Стойка в 200GPU
Даже если не учитывать стоимость самой стойки, потраченная электроэнергия с лихвой покроет выгоды от бесплатнооо проезда. А ключ поменять, если что, не проблема. Подбирайте заново.
но это аварийная ситуация и таких "умных" будет не слишком много.
Вы как раз описали, как работает оплата банковскими картами в транспорте и, внезапно, таких "умных" вроде как бы и немного, но за год набегают внушительные суммы
Транспорт, если вы про автобусы и прочие мобильные повозки, не имеет проводного соединения, а только мобильный интернет, причем не очень стабильный и не на всех участках трассы. В таком случае отсутствие связи с сервером - штатная ситуация.
Речь же про турникеты в метро. К которым можно подвести кабель и для которых отсутствие связи - как раз аварийная ситуация.
Вы мне зачем рассказываете очевидное? Вы же про это не подумали, когда писали, что помимо метро есть и наземный транспорт.
В таком случае отсутствие связи с сервером - штатная ситуация.
Да, и поэтому можно ездить бесплатно, но вы считаете почему-то, что таких немного. Смотря с чем сравнивать
К которым можно подвести кабель и для которых отсутствие связи - как раз аварийная ситуация.
И что будете делать при отсутствии связи (при "аварийной ситуации")? Пропала связь (а еще бывает, и сервера падают) - аттракцион невиданной щедрости наступает?
Не находите такой систему порочной саму по себе, "бай дизайн".
Нет, я предвижу аргументы "не бывает ничего надежного" и т. п.
Бывает. Если система спроектирована верно, то она не будет допускать финансовых потерь от отсутствия связи.
А вот оплата банковскими системами и "хранение денег не на карте", как предлагают школьники, как раз такое предполагает. Только про то, кто покрывает эти потери, скромно умалчивают, хотя догадаться совсем не сложно
Ну с банковскими ж картами сделали вполне себе работающий офлайн (пусть и ограниченный по сумме) который при этом ломать - устанешь. Вопрос правда стоимости болванки банковской карты и стоимости вот этого.
Банковские карты кстати хранят какие то данные об остатке на счете? Просто иногда оплата проходит настолько быстро что кажется будто терминал читает баланс не запросом в банк а с карты напрямую.
Нет, не хранит. Офлайн при этом есть. Просто есть во первых блеклист, раз в день обновляемый. Более дорогая комиссия транзакции, с увеличенной страховкой. Ну и в худшем случае просто баланс в банке уйдет в минус, который ты все равно пополнишь, если планируешь дальше картой пользоваться. Но баланса на карте в принципе нет, я это знаю точно ?
Тогда вопрос: в Питере контролёры в ОТ каким образом видят на своих сканерах банковских карт совершенную транзакцию? Подтверждение списания практически мгновенно.
Может, сканер берет данные с местных терминалов оплаты?
Не удивлюсь, если списание происходит по офлайн флоу (чтобы не задерживать очередь например), которое сразу после списания верифицируется онлайн (при наличии сети). А терминалы контроллёров уже подтягивают эту информацию тоже по сети.
Списание точно происходит оффлайн. Я за последние пару лет на ОТ катался буквально пару-тройку раз. И каждый раз списания с карты приходили поздно вечером. Очевидно когда заканчивалась смена.
Не знаю, как в Питере, но в других городах бывает по разному. Может быть и чистый онлайн, и сброс данных каждый раз на конечной остановке, и синхронизация через мобильную сеть всякий раз, когда она доступна.
У меня было пару раз, что списание и вовсе не происходило. Через 3-4 недели происходил возврат зарезервированных терминалом транспорта средств. Видимо, терминал так и не дождался интернета до того, как у него переполнился буфер. Оба раза ехал рано утром
В СПб списание - офлайн 100%, а потом терминал синхронизируется, когда интернет появляется (или в зоне уверенного приема, если есть модем на борту, или в парке - по WiFi)
Что за сканеры банковских карт? Вы покупаете билет условной Визой или Миром и потом приходит контроллер и чекает вашу карту? Тогда вариантов много:
Я видел проездной и банковскую карту на одном куске пластика. Но думаю что вы бы тогда об этом знали.
Скорее всего - быстрая онлайн оплата, к сожалению не помню точного термина. Аналогично бесконтактной оплате. И сканнер у контроллера получает список уже оплаченных транзакций и карт, с которых это было сделано с сервера через 4/5G. А прочитать номер карты и сравнить со списком можно и без финансовой лицензии.
Ну и офлайн вариант - платежи идут в офлайне, с надеждой что деньги у вас все таки найдутся. Контроллер при входе синхронизирует сканнер с сервером автобуса(это может вполне быть платежный терминал) и получает тот же список карт. А дальше все как и во втором случае.
Сканер - небольшая коробка с 3 пачки сигарет, дисплей и в торце сканер.
Проверяются как проездные так и банковские карты (виза, мастер, мир). Валидаторы списывают деньги не моментально судя по времени прихода пуш уведомления. И засада в том что одной картой нельзя оплатить проезд нескольким людям (например семья с детьми). А оплату 'мир пеем' со смартфона этими сканерами почему-то не проверяют: контролер машет рукой и говорит ок.
И засада в том что одной картой нельзя оплатить проезд нескольким людям (например семья с детьми).
Во многих городах точно можно. Нужно только выждать несколько минут между оплатами, или пока кто-то другой не оплатит. Там что-то вроде защиты от случайной двойной оплаты.
А оплату 'мир пеем' со смартфона этими сканерами почему-то не проверяют: контролер машет рукой и говорит ок.
У нас просят показать оплату в приложении. Это можетбыть потому, что программа передает не данные карты, а случайно сгенерированный одноразовый пакет. А потому проверочный терминал не увидит тождества между двумя касаниями. Другая возможная причина в том, что протокол оплаты несколько отличается от протоккола идентиф;икации. Я пес его знает, как оно там реально реализовано в терминалах и мирпэе.
Хмм. Вы меня заинтриговали =)
Гуглпэй (подозреваю, что Эплпэй так же) выдает номер карты, только не сохраненной, а другой, судя по идентификатору, выданной американским банком, номер не меняется при нескольких считываниях. А Мирпэй, при попытке считать номер карты, выдает ошибку - "Невозможно совершить оплату. Попробуйте позже." и считыватель выдает ошибку.
Да, похоже, что разработчики Мирпэй не допили эмуляцию.
Про какую-то платежную систему (не помню какую) вроде как раз писали, что уникальная "карта", которую она генерирует вместо вашей, привязанной, всегда разная.
Да, похоже, что разработчики Мирпэй не допили эмуляцию.
Возможно, что они ее и не пилили никогда, а используют свой протокол. Про СБП пэй пишут, что оно вообще никаких данных в терминал не передает, только устанавливает соединение, и, наоборот, читает из терминала ту же информацию, которую бы приложение считало из QR кода на терминале.
СБП к оплате картой не имеет никакого отношения, поэтому оно так и работает. NFC, в данном случае, аналогично считыванию QR камерой. А Мирпэй, все-таки, эмуляция карты, т.к. работает, в теории, с любым POS-терминалом, принимающим карты МИР. А СБПпэй, работает только с теми, где с прошивке добавлен СБП, как способ оплаты, и только при активном интернет соединении
в нашем Челябинске можно и без "промежуточных платежей" - на валидатор выводится вопрос "провести оплату еще раз?".
Есть мифические валидаторы с дисплеем и меню, где, перед оплатой, можно выбрать количество человек. А при оплате смартфоном у меня контроллер попросил показать транзакцию в приложении, когда приложение банка не загрузилось из-за проблем со связью, предложил провести оплату смартфоном "повторно", мол в валидаторах защита от дублей платежей и повторно денег не спишут - так и оказалось, в итоге произошло списание стоимости только одной поездки.
получает список уже оплаченных транзакций и карт
Есть такой смешной документ: PCI DSS, без прохождения сертификации на соответствие которому доступа к номерам карт у вас не будет. А одним из условия соответствия этому стандарту является хранение PAN (номеров карт) в маскированном виде.
Так что этот вариант исключаем.
В некоторых городах система оплаты с валидаторами реализована Сбербанком. У него сертификация должна быть. Впрочем, сравниваться могут не сами номера карт, а их хэши или что-то еще производное.
доступа к номерам карт у вас не будет
Зато будет доступ к clipped PAN. Это четыре последние цифры номера, их видно на каждом чеке оплаты, и это значение никак не зашифровано.
Для решения задачи "проверить факт оплаты автобусного билета" этих 4 цифр вполне достаточно.
Первое попавшееся приложение из Google Play вполне неплохо читает PAN средствами NFC. PN532 кстати тоже. Так что все зависит от конкретной реализации. Ну а то что что-то где-то реализовано через одно место и не соответствует стандартам - ну что поделать. В Красноярске с терминалами оплаты такая же тема. У меня даже статья на тему есть как это можно использовать.
Всё чуть проще, сканер контролера предварительно синхронизируется с валидатором в абобусе и с него берёт свеженькую локальную базу.
На самой банковской карте хранится история последних транзакций
Один раз проглядел, расплатился картой, на которой не хватало для оплаты (банковской). "Оплата" прошла мгновенно на терминале, но потом уже была попытка списания с карты, минут через 5. Карту в системе заблочили до оплаты задолженности. Причем не важно как оплачивать. Через приложение, через терминал кондуктора или через терминал на поручне.
Как вариант, смотрят историю транзакций, сохраненную на карте
При отсутствии связи накапливать данные в самом терминале, потом синхронизировать при появлении такой возможности. Также периодически обновлять список заблокированных карт.
Ну можно читать баланс карты с сервера, если есть связь с сервером. Тогда для успешного взлома потребуется не только перезаписать карту, но и нарушить связь турникета с сервером, что на порядок сложнее.
В Нидерландах деньги хранятся на карте и периодически синхронизируются с сервером. В случае расхождения ищут зайца. Уже несколько "хакеров" попали на серьезные суммы.
Турникет все-таки не в поезде, подвести к нему связь вообще не проблема. В том числе с резервными каналами.
Хуже с трамваями, автобусами и т. Д.
Даже при оплате банковской картой, деньги будут пытаться списать, когда транспорт приедет в депо.
Как это решено в EMVCO ( в том числе в Apple Pay и Google Pay). Баланс на карте не хранится, и всё что делает терминал -это проверяет сертификат карты. Сертификат карты подписан ключом банка, а сертификат банка подписан ключом платежной системы ( Мастер Кард, Виза, ... Таким образом терминалу нужно хранить только public keys платежных систем.
Платеж посылается в банк позже ( к примеру, раз в сутки).
Если Балан превышен, карту можно внести в чёрный список.
а где их хранить, с учётом того, что каждый турникет обязан продолжать работать даже если на всей станции нет доступа в сеть?
Вот когда пропадет доступ в сеть, тогда и использовать сумму на карточке. А пока доступ есть - проверять онлайн.
Mifare Classic не ломал только ленивый, сейчас это действительно уровень школьников. Хотя мне пришлось разрабатывать проездные на их базе, и могу с гордостью сказать что наш вариант школьники бы не взломали ? достаточно добавить шифрование каким нибуть aes-256 данных в блоке - и удачи это ломануть. Максимум можно сделать клон карты, но это лечится блеклистами и их периодическими обновлениями.
Просто у Бостона старая, слабо поддерживаемая система и минимальные риски настоящего взлома, на котором можно потерять деньги. Если бы ребята сделали бы и распространяли аппликуху для бесплатного прохода, или же продавали бы свои карты - тогда финал истории был бы совсем другой...
P.S. И платите за проезд. С этих денег платят зарплаты водителям и кондукторам, механикам и уборщикам. С этих денег покупается новый транспорт и ремонтируется существующий. Если вам нужен общественный транспорт - заплатите за него.
Да за проезд по моему и так платят все, кроме студентов-общажников (которые умудряются жить на 3000 в месяц) и алкашей, у которых и столько нет, и гостей с Юга. По крайней мере очереди зайцев в дыру с ж/д платформы состоят только из этих категорий.
Ну вот я регулярно стою в эту очередь. Хотя тоже плачУ. Бегать лень. Просто там я выхожу сразу и без очереди, а не пытаюсь пройти в составе всей электрички в три еле работающих турникета. На некоторых станциях народ еще за две-три остановки занимает стратегическое положение в дверях, ближайших к выходу, чтобы не тратить прорву времени на эту пробку.
тут странное: в московском метро платят примерно все, а на выходе из пригородных электричек очень часто пытаются прижаться, причем не только описанные категории. Зайцев в районе 9-10 утра на платформе Серп и Молот как бы не треть.
С этих денег платят зарплаты водителям и кондукторам, механикам и уборщикам. С этих денег покупается новый транспорт и ремонтируется существующий. Если вам нужен общественный транспорт - заплатите за него.
Это ложь. Еще ни у кого в мире не получилось сделать нормальный коммерческий ОТ.
В большинстве случаев финансирование идет из городского бюджета.
Иначе получаются либо маршрутки либо Нью-Йоркское метро.
Так тут и не написано, что зарплаты платятся только из денег за билеты. Но какая-то часть - совершенно точно.
Кроме того, финансирование из городского бюджета обычно привязано к количеству купленных билетов: в самом простом виде - как доплата за каждый проданный билет (хотя здесь нужна защита от махинаций).
Кроме того, про продажам билетов оценивается нужность маршрута, и если билетов продается мало - значит, маршрут не нужен, он закрывается, и водители с кондукторами увольняются.
Все именно так.
Так тут и не написано, что зарплаты платятся только из денег за билеты. Но какая-то часть - совершенно точно.
Тогда какое до этого дело водителям и уборщикам? Это головная боль городского бюджета.
Кроме того, финансирование из городского бюджета обычно привязано к
количеству купленных билетов: в самом простом виде - как доплата за
каждый проданный билет (хотя здесь нужна защита от махинаций).
Тогда не было бы такой лютой войны водителей/собственников с терминалами в транспорте. У нас по итогу доходило до того что если терминал не работает то пассажир имеет право не платить за проезд. Только после этого дело как-то сдвинулось с мертвой точки.
Кроме того, про продажам билетов оценивается нужность маршрута, и если
билетов продается мало - значит, маршрут не нужен, он закрывается, и
водители с кондукторами увольняются.
Обычно нужность оценивается по тому сколько маршрут приносит прибыли. За прибыльные маршруты идут войны, не прибыльные спихивают администрации.
Финансирование кстати идет под эгидой "при такой стоимости проезда мы доедаем последний без соли, и будем вынужденны поднимать стоимость проезда" на что администрация отвечает "постойте постойте, мы готовы какую-то часть компенсировать..".
А еще, я слышал, что за нужные решения кому то из администрации бывает компенсируют эти усилия. Ложь разумеется, всякому понятно.
Тогда не было бы такой лютой войны водителей/собственников с терминалами в транспорте.
Война с терминалами - это война за неучтённый нал, а не просто за деньги. Тридцать рублей от пассажира наличкой без выдачи билета ценнее, чем те же тридцать рублей на счету ООО "Маршрутка". И даже с выдачей билета - ценнее.
Городок с маршрутками?
"из городского бюджета": вы сейчас удивитесь, но в городской бюджет деньги поступают из вашего кармана.
В данном контексте, подразумевается, что вся система ОТ убыточна по своей природе. И да, Вы правы - она дотируется из муниципальных бюджетов, которые формируются из налогов собранных, в том числе, с ФЛ.
Почти так, только не "в том числе", а "исключительно с физиков". Ибо в конечном итоге бюджет получается только из денег людей. Про убыточность - понятно, откуда она берётся. Если сделать 100% оплату за проезд, то это будет слишком дорого. Будут сложности со сбором этой платы и сложности с недовольством граждан. Поэтому система ищет и находит баланс между "оплата" и "дотация".
Вы, возможно, забыли о налогах с ЮЛ.
Вы тоже сейчас удивитесь, но у юриков деньги берутся оттуда же. Просто потому, что юрлица не могут печатать деньги. Прокачка денег через юрлиц обеспечивается тоже физлицами. Косвенно (через госзаказы в частности и подряды вообще) или прямо (продажи/услуги гражданам).
Так это в сферической рыночной экономике должно работать. А в банановой республике возможно, что бюджет пополняется в большей степени за счет продажи "бананов" госмонополиями, и потом государство через бюджетные трансферты дотирует общественный транспорт. И в первом случае взлом метро равносилен воровству у соседа, то во втором это воровство у государства, что многие могут посчитать справедливостью, робингудством.
Тут есть о чём поговорить, но только я ж не настоящий экономист:) Но точно стоит отметить (коряво и своими словами, извините), что продажа бананов не может пополнить бюджет, ибо в обмен на бананы приходит валюта, а бюджет состоит из тугриков. Государство не может выдавать зарплату в валюте, например. Т.е. в сферической экономике увеличение объёмов продаж бананов должно приводить к удешевлению импортных товаров, но не влиять на зарплаты.
Государство либо продает на рынке бананодоллары, чтобы граждане потом купили себе айфоны либо скатались на курорты, либо печатает свою деревянною валюту в эквиваленте поступившей валюты, что будет уже похуже , т.к. увеличивает денежную массу и в может разогнать инфляцию. В любом случае у государства появляются лишние деревянные деньги, которые оно может тратить, в том числе и на дотации транспорта.
Я правильно понимаю что если будет меньше зайцев, то у меня будут ниже налоги?
Еще ни у кого в мире не получилось сделать нормальный коммерческий ОТ
Можно пруф? У нас вот ОТ - одна из гордостей города: быстрый "зелёный" транспорт с кондиционерами, пандусами и багажниками для велосипедов, выделенные полосы, билетоматы внутри и на остановках, велодорожки, куча приложений, билеты и проездные на любой вкус, а с картой горожанина ещё и дешевле. Всё чистенько и ухожено. И управляется всё это дело акционерным обществом, в которое вполне себе инвестируют, транспорт постоянно обновляется
Так города или коммерсов? и сколько дотаций от города на эти билетоматы и остановки? неужели 0, и только налоги стригут?
Так города или коммерсов?
С чего вдруг у вас это взаимоисключающие параграфы? Другие мои вопросы и ответы на все ваши вопросы вы найдёте в моём первом комментарии
В этой ветке коммент на который я ответил - Ваш первый. Да и вообще на всей странице. У вас мультиакк? под каким имеенем ваш первый комментарий?
А в том комментарии написано ОТ- гордость города. Но не ОТ - окупающаяся вещь (то есть окпупающаяся за счет билетов естественно. Получать кучу бабла от государства и работать в минус по билетам - это не "нормальный коммерческий ОТ")
Город в студию.
И управляется всё это дело акционерным обществом
Погодите, для того чтобы автобус ездил туда-сюда, точно нужны сложные финансовые инструменты?
В Японии отличный коммерческий общественный транспорт - чистый, быстрый, удобный. Насколько я знаю, в основном существует с собственной прибыли. В Токио только "Токийское метро" (это имя собственное) наполовину принадлежит городу и на ту же половину финансируется из городского бюджета, всё остальное метро (не имя собственное, а вид транспорта) поделено между частными организациями и бюджетных денег не получает - спрашивал людей, знающих за JR East, Tokyu Railways Company и, собственно, "Tokyo Metro" - никто из них, правда, не близок к финансовой верхушке этих компаний, но данные по финансированию как бы ни разу не секретные.
Это то самое метро, где существуют специально обученные "утрамбовщики", запихивающие людей в вагон? Или я что-то путаю?
Да, на особо людных станциях в часы пик бывают такие, несколько раз наблюдал, хоть самому ни разу не посчастливилось быть ими утрамбованым. Вопрос задан из праздного любопытства или как аргумент, что метро плохое?
Просто для уточнения. В Москве, кстати, иногда таких не хватает.
Но таки да. В моем понимании это не "нормальный ОТ", ибо не всегда справляется с пассажиропотоком без перегрузок. Но, как я писал в другом комментарии, нормального ОТ не бывает.
По такой логике, утверждение "нормального ОТ не бывает" не фальсифицируемо и, как следствие, бессмысленно. Всегда можно до чего-то докопаться и заявить, что "А вот, яжеговорил, яжеговорил!" Не нужны утрамбовщики - можно возмутиться, что сидячих мест на всех не хватает. Ах, хватает? А чо тогда в вагоне симпатишные девочки виски не разносят и бесплатный массаж пяток не делают? И вообще, по-сравнению с гипотетическим телепортом в каждый дом, мгновенно перемещающим в любую точку мульти-вселенной, эти ваши поезда просто каменный век... (проведут телепорт в каждый дом - есть полная уверенность, что и тогда найдут повод повозбухать)
"Ни один истинный шотландец"
Но это в споре, где можно жонглировать границами терминов чтобы одержать формальную победу. А в случае про ОТ - массаж пяток было бы хорошо, но у каждого есть свое внутреннее представление про "нормальный ОТ" и пятки там не требуются. Требуется либо (в идеале) свободные сидячие места в 90% случаев, либо (вполне терпимо) комфортно-стоячие (по паспортной вместимости транспорта).
Вот токийское метро, где меня будут запихивать в вагон - мне не нравится. Этот пример для меня убедителен. А вот "плохое токийское метро", потому что там нет массажа пяток - как-то звучит, но не убеждает.
Вот токийское метро, где меня будут запихивать в вагон
Не ездили вы по утрам на Выхино или еще каком месте, где сходятся метро, электричка и автобусный парк пригородных маршрутов... Я б пихателю был бы рад, тогда, глядишь, не в четвертый поезд сел, а во второй :) При этом в Москве очень хороший ОТ.
Требуется либо (в идеале) свободные сидячие места в 90% случаев, либо (вполне терпимо) комфортно-стоячие (по паспортной вместимости транспорта).
Еще одно обязательное, но недостаточное само по себе условие - строжайшее следование опубликованному и мало волатильному графику (расписанию). В некоторых странах я могу спланировать маршрут на общественном транспорте с точностью до где-то минуты не потому, что мне важна такая точность сама по себе, а потому, что я заранее знаю, когда на какую остановку подадут какой маршрут. Это критически важно в двух случаях - редко ходящий маршрут, например ночной, и маршрут с пересадками, когда нужно понимать, на какой остановке сколько у тебя есть времени на пересесть с одного маршрута на другой, иногда не один раз за всю поездку. А в некоторых странах я вообще не знаю, приедет ли хоть что-то, а если и приедет, то не прожду ли я дольше, чем дойти пешком до конечного пункта или, как минимум, до казалось бы менее удобного маршрута где-то в стороне.
Насколько я знаю, в основном существует с собственной прибыли.
От трети (JR) до двух третей(JR Kyushu) всех их доходов идёт от коммерческой недвижимости а не с билетов, плюс при приватизации железной дороги правительство забрало себе 14 триллионов йен долгов (это примерно 4 года расходов всех японцев.на весь общественный транспорт)
Так что с прибыли именно "общественного транспорта" он там существует с очень большой натяжкой.
И вот так всегда, если покопаться.
К сожалению, здесь спорщики и минусаторы могут разве что докопаться до выбора слов ("не полность, а частично").
У меня из "экспертов" в шаговой доступности щас только жена, действующий сотрудник JR East - сходил, спросил.
70% прибыли идёт с железной дороги, остальные 30% - с недвижимости (столько заведений в пристанционных зданиях, и все отстёгивают, а ещё у них отели свои есть). И они эти 30% планируют довести до 50%, то есть будет 50/50. Тем не менее, до ковида транспортное направление было и само по себе прибыльно, во время ковида вся компания впервые со своей приватизации в 1987 году понесла убытки, в прошлом году опять вышла в прибыль, но суммарную, транспортные операции остались убыточны, этот год ещё не завершён, но уже по расчётам и транспортное направление опять стало прибыльным. Пассажиропоток достиг 80-90% от доковидного уровня. По этому пункту я никакой "очень большой натяжки" не вижу - вполне распространённая коммерческая практика рубить бабло не только на основном бизнесе, но и на сопутствующих товарах и услугах. Опять же, именно наличие там загруженной пассажирами железной дороги в значительной мере и делает эту недвижимость такой привлекательной для сторонних бизнесов, что они туда лезут, несмотря на драконовскую таксу (вроде, у них не фиксированная арендная плата, а часть прибыли должны отстёгивать, и хорошую часть, чуть не половину). Даже будь собственно перевозка пассажиров сама по себе убыточной - а она нет - в целом бизнес-модель прибыльная, обе части работают в симбиозе, какие тут могут быть вопросы?
JR, насколько я понял, создавался на государственные деньги и на 1987 год имел 37 триллионов йен долга (я не осилю перевести это ни в рубли, ни даже в нынешние доллары, с учётом курса и инфляции, поэтому не буду даже пытаться, но сумма сильная, крепкая такая). Потом этот единый JR поделили на 6 региональных компаний и ещё одну компанию-грузоперевозчика без собственной ж/д инфраструктуры, и в таком виде приватизировали, оставив им 5.9 триллионов йен долга на всех, до сих пор выплачивают. Часть из оставшихся 31 триллионов взяло на себя государство, а на кого повесили оставшуюся часть, я понять не смог. Достаточно ли этого, чтобы признать его "ненормальным" и "некоммерческим"? Я считаю, недостаточно. Если бы требовал постоянных государственных вливаний, прожигал их и ещё просил - тогда да. А тут не тот случай: реорганизовали, себя обеспечивает, прибыль приносит. Что государство поучаствовало - а в каком бизнесе сравнимого масштаба государство так или иначе не поучаствовало? Даже небо, даже Аллах, даже Илон Маск...
70% прибыли идёт с железной дороги
Только не прибыли а доходов, что очень большая разница. Прибыль, как вы сами указали, от именно транспортной деятельности пока что колеблется около нулевой отметки.
какие тут могут быть вопросы
Такие, что им подарили на 14 триллионов йен недвижимости, доходы с которой могли пополнять государственный бюджет, а не частные карманы.
наличие там загруженной пассажирами железной дороги в значительной мере и делает эту недвижимость такой привлекательной
Общественный транспорт всегда так работает - всю прибыль получают владельцы недвижимости, которую этот транспорт делает доступной, сами же пассажирские перевозки - убыточны. Только стандартная форма сбора этой прибыли - через налоги государству (которое из них и субсидирует ОТ), а не в карман частнику. Тут же классическое "государству - убытки, частнику - прибыль".
Прибыль, как вы сами указали, от именно транспортной деятельности пока что колеблется около нулевой отметки.
Беглое гугление навело меня на следующие финансовые отчёты, что-то похожее на интересующие нас данные я нашёл в документе "Non-consolidated Financial Statements". Скачиваем CSV-файл, открываем, сравниваем значения в строке "Operating Revenues / Revenues from Railway Operations" со значениями в строке "Operating Expenses". Сравнение неидеально, но это, во-первых, лучшее, что я нашёл (приведите лучшие данные, если у вас есть), а во-вторых, ошибка будет в сторону уменьшения доходности железнодорожных операций, а не наоборот. "Operating Revenues" - это, как я понимаю, все деньги, которые к нам приходят с бизнеса, "Operation Expenses" - все деньги, которые мы тратим на ведение бизнеса, когда мы вычтем из первого второе, мы получаем плюс-минус прибыль. Но я не нашёл строки с расходами именно на железнодорожные операции, поэтому из доходов только с железнодорожных операций буду вычитать все операционные расходы вообще. Взяв, для вящей репрезентативности, годы с 2015 по 2023, получаем следующие грубые значения прибыли от транспортной деятельности, в миллиардах йен:
282, 336.1, 309.4, 312.5, 307, 202.2, -572.1, -319, -66.2
Как видим, только в 2021, 2022 и 2023 гг. выходят операционные убытки, а до этого всё прибыль была, а всего в таблице данные с 1988 года, и за все года прибыль есть. Именно прибыль, не доход.
Вот ещё такие данные удалось найти, там в левой таблице, озаглавленной "Consolidated", раздел "Operation Income", строка "Transportation", 2019-23 гг., в миллиардах йен:
341.9, 250.5, -548.5, -285.3, -24.0
Числа несколько другие, потому что Consolidated, ну и операционные расходы, видимо, там правильные вычли, а не как у меня - в результате, как я и предположил выше, прибыли больше, убытки меньше. Порядок чисел и тенденции те же. Не колеблется оно около нулевой отметки - резкий провал 21 года есть разовый форс-мажор, ситуация постепенно выправляется.
"Ну, Колобок, парируйте." (с) КВН
Тут больше волнует другое: 14 триллионов образовались не на пустом месте - государство построило на них всяких тоннелей, мостов и прочего.
И у них есть срок службы ( обычно порядка 40-60 лет) - после чего мосты надо перестраивать, а тоннели - капитально ремонтировать, причём за очень большую копеечку, вполне сопоставимую с исходной стоимостью.
Соответственно, если строительство было в 1980х, то в этой или следующей декаде как раз подходит их срок... Есть ли у этих компаний средства на этот дорогостоящий капитальный ремонт?
Вроде бы в таких случаях принимается решение о банкротстве, частный ОТ в очередной раз форсится как убыточный, и продается за хорошие деньги государству. Схема рабочая, еще в Российской империи применялась во времена строительства Транссиба или еще чуть раньше.
Прибыль (...) от именно транспортной деятельности пока что колеблется около нулевой отметки.
Так по этому пункту слив засчитывать?
14 триллионов образовались не на пустом месте - государство построило на них всяких тоннелей, мостов и прочего.
Эти триллионы долга образовались из-за того, что государство не позволяло своей госкомпании Japanese National Railways сокращать количество железных дорог в районах, становящихся убыточными вследствие депопуляции и автомобилизации, более того, заставляя, наоборот, расширяться в ещё более убыточные районы; из-за того, что туда в массово-приказном порядке набрали дембельнувшихся с полей Второй мировой, не считаясь с экономической целесообразностью; из-за ещё всяких таких действий, продиктованных ни разу не коммерческими, а, напротив, социально-политическими мотивами (и даже несмотря на это вот всё, пишут, что JNR была прибыльна до 1957 и, как минимум, безубыточна до 1964). Как-то не очень похоже на то, что государство взяло и в чистом виде облагодетельствовало коммерческие компании-преемники, списав им эти 14 или сколько там этих триллионов.
мосты надо перестраивать, а тоннели - капитально ремонтировать
Постоянно что-то обслуживают, ремонтируют и перестраивают, и капитально, и некапитально - а как иначе-то, в этой стране землетрясения чуть не каждую неделю. Линии новые строят, станции новые строят, синкансены новые запускают - тут вам и мосты, тут вам и тоннели, тут вам и многокилометровые высоченные бетонные эстакады. Да, это всё стоит до хрена денег - то-то у JR East в хороший год доход с перевозок в районе двух триллионов йен, а прибыль в районе трёхсот миллиардов.
Еще ни у кого в мире не получилось сделать нормальный коммерческий ОТ.
Тут все упирается в трактовки слов "нормальный", и "коммерческий".
Во-первых, коммерсы вполне могут претендовать на дотации из бюджета. Считаем таких дотационных коммерсантов коммерсантами? Ведь, если что, у них контракт на перевозку пассажиров с городом, от него деньги и получают (вроде даже местами полностью, с людей вообще ничего не берут).
Во-вторых, кому-то и неработающий в непопулярные часы, переполненный, не ходящий по непопулярным направлениям транспорт вполне нормален.
Главная проблема в нормальном (с моей точки зрения) ОТ как раз в том, что если он работает постоянно (в том числе ночью ходит не реже раза в час) и везде (в том числе в малонаселенных районах) с высокой плотностью остановок (чтобы не пришлось несколько километров до ближайшей переться), то автоматически становится убыточным как раз из-за очень низкой загрузки в определенное время и на определенных направлениях при относительно низкой платежеспособности части населения (цену не особо задерешь).
Опять же, для одних автобус пустой, если может втиснуться еще один человек, а для других переполненный, если все сидячие места заняты. Какой уровень заполненности считаем критерием ненормальности?
Впрочем, с моими критериями нормальности нормальный ОТ не может существовать по определению, даже с дотациями из бюджета, ибо даже дотационные ночью не везде катаются.
Еще ни у кого в мире не получилось сделать нормальный коммерческий ОТ.
Чтобы подтвердить или опровергнуть этот тезис, хочется понять ваши критерии нормальности. Например, таксопарки - это же типичный коммерческий общественный транспорт, что с ними не так?
В большинстве случаев финансирование идет из городского бюджета.
Тогда это муниципальный общественный транспорт, а не коммерческий. Особенно рельсовый, но и колесный, конечно тоже туда же. Вот тут действительно возникает вопрос, что такой транспорт необязательно выходит на самоокупаемость, и ответ на этот вопрос может лежать в сугубо политической плоскости - а с этим спорить бессмысленно, потому что политика, по крайней мере в этом контексте, это попытки властей угодить электорату ценой перекладывания проблем с больной головы на здоровую - путем, например, предоставления нерыночно низких тарифов и льгот маргинальным слоям населения за счет прочих налогоплательщиков.
Иначе получаются либо маршрутки
Здесь мы снова возвращаемся к политике, потому что если лицензия, или как оно там называется, за каждый отдельный маршрут утверждается через взятки чиновникам от городской администрации, а не на приобретается на открытом тендере, а также если в угоду электорату устанавливаются граничные тарифы на проезд, то вместо конкурирующих между собой качеством перевозок перевозчиков с относительно современным и относительно безопасным подвижным составом на линиях, правда скорее всего дороже, чем в муниципальном транспорте, вы получите саморазрушающиеся быдловозки с шансоном.
либо Нью-Йоркское метро
Нью Йорк вообще неудачный пример потому, что в отличие от довольно многих других мегаполисов и агломераций это город, как минимум некоторые его районы, который не может разрастаться вширь по объективным причинам, от чего вынужден расти только вверх. Из-за этого, из-за объективного дефицита места, там возникают более чем серьезные проблемы с наземным транспортом любого рода - мало места для проезда и еще меньше места для стояния. Жизнь в Нью Йорке - очевидно осознанный выбор, чем-то субъективно продиктованный компромисс для тех, кто выбирает такую жизнь. И подземное метро пусть и не решение, но хоть какая-то помощь, потому что решения как бы и нет в том числе из-за legacy - слишком много существует уже построенных зданий, в которых либо вообще не предусмотрены парковки, либо число доступных паркомест недостаточно, а будь даже число паркомест достаточным, так пропускная способность транспортной сети ограничена и не может быть расширена из-за уже существующей застройки. Но, повторюсь, для жителей - это осознанный компромисс, потому что жертвуя чем-то одним, они, видимо, приобретают что-то другое.
Тогда это муниципальный общественный транспорт, а не коммерческий.
Муниципальный он тогда, когда полностью принадлежит городским властям. Если коммерсанты подписывают договор с властями, то он таки коммерческий.
путем, например, предоставления нерыночно низких тарифов и льгот маргинальным слоям населения за счет прочих налогоплательщиков.
Т.е. "всякое быдло пусть ходит пешком".
Только маргинальные слои населения в этом случае получаются в основном из всяких там пенсионеров, инвалидов, людей с маленькой зарплатой и т.п.. Можно, конечно, платить сразу им, чтобы могли кататься на более дорогом ОТ по "рыночным" ценам, но платить сразу перевозчикам проще. Можно послать их ходить пешком, но в ответ можно получить социальную напряженность, которая частенько выливается в погромы дорогой собственности уважаемых граждан, ОТ не пользующихся.
При этом тарифы вполне рыночные (то, что платит пассажир, + то, что доплачивают власти из бюджета). Перевозчик ведь на них соглашается добровольно. Никто его не принуждает заниматься перевозкой людей на таких условиях. Торг ведь идет не между перевозчиком и пассажирами, а между перевозчиком и властями. Если никто за такую цену перевозить не хочет, властям придется поднять тарифы (и таки поднимают).
потому что если лицензия, или как оно там называется, за каждый отдельный маршрут утверждается через взятки чиновникам от городской администрации, а не на приобретается на открытом тендере
В реальности тендер (в случае коммерческого ОТ) там какой-то проводится. Вопрос только в том, как он проводится, но это совсем другая история. И если там реально взятки, то ниша, получается, достаточно прибыльная для коммерсантов, чтобы имел смысл дополнительно платить чиновникам. А муниципальному ОТ тендер не нужен.
Нью Йорк вообще неудачный пример потому, что в отличие от довольно многих других мегаполисов и агломераций это город, как минимум некоторые его районы, который не может разрастаться вширь
Проблема с ОТ характерна для всех городов. Если нет проблем с ростом вширь, то есть проблемы с прокладкой магистралей, которые рано или поздно просто перестают нормально вмещать транспортные потоки, его становится нереально полностью покрыть вменяемой сетью ОТ (требуется слишком много разных маршрутов, и не факт, что они будут всегда и везде нормально заполняться, чтобы окупить перевозки, или не факт, что будет платежеспособный спрос, если сделать цену достаточной для окупаемости). Проблему эту пытаются решить тем или иным образом, но, в зависимости от выбранных приоритетов, возникают различные проблемы. В Нью-Йорке они свои, в Москве - другие, в каком-нибудь старом провинциальном городе - третьи.
Я тут временно релоцировался ажно в Washington DC, и чо-то как ни пойду в метро - там сплошные хакеры. Методы их ещё более ленивы, чем взлом Mifare Classic: те, что поэнергичнее да поподжарее, взламывают систему приёмом, похожим на прыжок через козла с опорой на брусья, те, что покорпулентнее, в несколько приёмов переваливают носимый жировой запас через дверцы турникета, но, так или иначе, проходят бесплатно все желающие. Их - внимание! - запрещено ловить, задерживать, наказывать - нельзя, законом запрещено (говорят, от того, что когда ещё можно было ловить и их ловили - почти одни негры попадались). И вот поезд проехал, толпа хакнула турникеты, "а я один, вроде, лох получаюсь" - стою и прикладываю карточку к считывающему устройству уже рез десятый (ибо устройства эти у них херового качества), чтобы с этих денег пратили зарплаты водителям и т. п...
С этих денег платят зарплаты водителям и кондукторам, механикам и уборщикам. С этих денег покупается новый транспорт и ремонтируется существующий. Если вам нужен общественный транспорт - заплатите за него.
Вводные условия. В городе работает общественный транспорт. Его обеспечивает автобусная компания. Каждый год в январе проходит конкурс, на котором побеждает новая компания, не та, которая работала год назад. Все эти компании иногородние, даже из других областей, и все работают со своими автобусами. В каждый следующий год автобусы хуже, чем в предыдущий.
Вопрос. Как правильно платить за проезд, чтобы в следующем году другая компания, которая победит на следующем конкурсе, купила новые автобусы?
Спасибо.
Вопрос. Как правильно платить за проезд, чтобы в следующем году другая компания, которая победит на следующем конкурсе, купила новые автобусы?
Ответ: на ближайших и всех последующих выборах голосовать за тех представителей, которые вместо обещать дешевый проезд, будучи избранными, примут отказ от граничных тарифов и введут рыночные методы регулирования общественных перевозок, которые, повторюсь, исключают явно или опосредовано установленные граничные тарифы, но включают явно установленные нижние пределы качества обслуживания. К нижним пределам качества обслуживания относится и состояние подвижного состава, которое должно по четким и однозначным критериям превосходить минимум, установленный законами и правилами о дорожном движении по части технического состояния. То есть то, что автобус успешно проходит обязательный технический осмотр - разумеется обязательное, но совершенно недостаточное условие. Нужны еще критерии. Предлагайте их своим представителям, которых вы избираете на выборах.
Спасибо! Из ваших слов видно, что для улучшения работы автобусного перевозчика не нужно платить за проезд. Никакой связи между оплатой проезда и качеством работы нету.
И ваш представитель никогда не будет избран, поскольку большинству важнее дешевый доступный транспорт, а не его состояние. Главное, чтобы как-то ездил.
Хотя мне пришлось разрабатывать проездные на их базе, и могу с гордостью сказать что наш вариант школьники бы не взломали ? достаточно добавить шифрование каким нибуть aes-256 данных в блоке - и удачи это ломануть. Максимум можно сделать клон карты, но это лечится блеклистами и их периодическими обновлениями.
Хочу Вас расстроить - если карту можно легко клонировать (а mifare classic клонируется на раза два), то используйте вы хоть 512-битное шифрование, вас взломали.
И никакими блэклистами это не лечится, потому что блокировка идет уже после того, как по клонированной карте проехали, при этом вы еще и блокируете оригинал, который может быть не виноват ни в чем. Во-вторых - после сложных вычислений, формирования блок-листов, рассылки их на устройства и других сложных операций все, что нужно "кулхацкеру", это сделать клон еще одной карты, а ваши усилия - насмарку.
Задача в таких случаях - не избежать взлома любыми средствами, а сделать так, чтобы взлом был невыгоден. Если один хакер будет себе клонировать карты - много он не наездит. А масштабировать это очень трудно. А по пунктам:
1. оригинал блокировать надо, в крайнем случае можно вернуть деньги. Банковскую карту тоже блочат, если она скомпроментирована. Ну и человек придет, оставит свои данные. Если он так через день будет приходить - можно провести расследование. Тем более что в транспорте камеры стоят, не проблема посмотреть что за люди пробивают билеты. Так то карты анонимные, не хотелось возится с правильным хранением данных. Но школьников и пенсионеров теоретически можно пробить через соотвествующие ведомства.
2. Карты блочатся в конце дня, оригинал и все клоны будут заблокированы, сменить код карты невозможно, он под шифром. Сколько можно за день реалистично проездить? 2-4 раза?
3. В транспорт периодически заходят контроллеры, которые проверяют сканнером билеты. Если дать им белый пластик - будут вопросы =) Значит для подделки нужно еще и напечатать с двух сторон чего нибудь похожее на оригинал.
Получается что можно взломать максимум на 1 день, с большими издержками на производство и небольшой выгодой. И с реальным сроком, если что - это подделка документов в самом явном виде. Никто не будет этим заниматся, таких дураков нет - что и требовалось в ТЗ =) На практике действительно часто бывает, что можно не заниматся криптопанком, а достаточно просто сделать взлом невыгодным и трудоемким, сделать неприемлемым соотношение риска и награды за взлом, чтобы защита была достаточной.
В транспорт периодически заходят контроллеры, которые проверяют сканнером билеты. Если дать им белый пластик - будут вопросы =) Значит для подделки нужно еще и напечатать с двух сторон чего нибудь похожее на оригинал
В общем, с Вашим посылом согласен, но вот ни в метро, ни в автобусах, ни даже в электричках я не достаю свою карту из кошелька... вернее, недавно доставал - не ту половину кошелька пытался "предъявить", и терминал у контролёра, видимо, офигел от пачки банковских карт, что аж перезагружать пришлось, но это 1 раз за полтора десятка лет...
Так-то оно хорошо, но в чём проблема на АлиЭкспрессе за 200 рублей купить карты со сменяемым uid?
Хотя взлом транспортных карт незаконен, на этот раз транспортное агентство не стало подавать в суд.
Огласите весь список, пожалуйста, причастных к составлению обращения в MBTA. На пустом месте они бы не стали собирать демо-стенд.
Я помню, вероятно, самый изящный взлом «транспортных карт» из 1990-х при помощи скотча. Нет-нет, никакого насилия над работниками транспорта не было.
Когда в московском метро появились карты с магнитной полосой, быстро стало известно, что на них в открытом виде записано количество оставшихся поездок. Вероятно, для повышения надежности оно было записано дважды — на первую половину длины полосы и на вторую.
Если данные не читались с первой половины полосы, считыватель брал их со второй. Затем новое значение записывалось на обе половины, но без последующего проверочного чтения.
Что делали ушлые бедные студенты?
Покупалась карточка на 10 поездок. Аккуратно заклеивалась первая половина магнитной полосы. Турникет читал данные со второй половины и туда же записывал, поскольку с первой половиной он ничего не мог сделать физически. Так студент ездил 10 раз. Поездки заканчивались.
Скотч отклеивался, турникет радостно читал 10 с первой половины и тут же записывал 9 сразу на первую и на вторую половину. Это еще одна поездка.
Снова заклеивалась первая половина, и студент ездил еще 9 раз.
Операции повторялись до полного исчерпания запаса поездок в количестве
10+1+9+1+8+1+7+1+6+1+5+1+4+1+3+1+2+1+1+1=65 штук.
Потом фишку просекли, и алгоритм записи изменили. В новом стандарте данные были перемешаны по всей длине полосы, так что просто заклеить кусок стало невозможно.
В Питере магнитные проездные метро были с полосой по центру, чтобы можно было вставлять их любой стороной. Данные справа и слева дублировались, только отличались направлением записи.
Такую карту можно было разрезать вдоль, приклеить половинку от другой, использованной карты, предварительно размагнитив ее, и удвоить количество поездок. Из неудобств - надо было помнить, какой стороной вставлять карту в валидатор и карта все время норовила сложиться по разрезу и/или отвалиться от скотча.
Потом нашелся способ элегантней - поверх магнитной полосы карты наклеивался размагниченный кусок пленки от видеокассеты, использовалась одна поездка, и пленка переклеивалась на календарик/визитку подходящего размера
Точняк, работало)
Было такое дело. Я даже отсидел за это в обезьяннике (отделался штрафом).
Ну, я подобным образом студенческие единые клонировал. Потом как-то получил ***STOP*** на обратной полосе, перестал клонировать )))
В Новосибирском метро если на карте не хватило денег, то пытаются списать позже в этот же день, если не получилось, то карта уходит в бан. Никакой информации об этом у вас нет, поэтому утром вполне вероятно вы будете с картой на руках, которую вы пополнили вечером, но которая в бане и не обслуживается. На станции этот вопрос не решаем в принципе, даже если вам повезло и касса открыта. Касса к этим картам типа отношения не имеет и отправляют разбираться по адресу в городе, адрес этот работает условно с 10 до 17, по выходным отдыхают, то есть работающий человек туда никогда не попадёт. Они потом запилили сайт, где можно был снять бан повторив оплату, но даже если вы сняли бан, то это не гарантирует что конкретный турникет будет в курсе. За 8 лет я сменил 6-10 карт, благо банки их буквально раздают. На многих станциях не работает NFC с телефоном, поэтому хоть и пользуюсь NFC но вожу ещё и карту. Казалось бы - оформи транспортную карту, но нет, проблемы с баном у неё такие же, как и проблемы с разбаниванием.
В Самаре такая же система. И я как-то влип в то, что при оплате через Google Pay что-то не прошло (на балансе деньги были, совершенно точно), и на следующий день эта карта оказалась заблокированной.
Решилась проблема тем, что я удалил карту из Google Pay и привязал заново - у неё обновился виртуальный номер, и в блек-листе нового номера естественно не было.
Так что теоретически можно вообще ездить бесплатно - привязал новую карту, "оплатил" нулевым балансом, на следующий день отвязал и привязал заново.
Опять кто то использует Mifare Classic, опять нет нормальной криптографии и опять нет списков карт. И ожидаемый взлом.
при реализации системы оплаты поездок не следует хранить деньги на карте
Некомпетентная рекомендация на самом деле. Я понимаю, что безопасность, но эти хакеры ездили на автобусе в час пик с двумя баулами в руках, по пригородному маршруту с неустойчивым 4G покрытием?
Я пользовался подобными транспортными картами, оффлайн считыватели списывают оплату мгновенно, даже радует, что хоть что-то электронное не лагает в нашем XXI веке.
А зачем в современном мире вообще какие-то транспортные карты? Приложил бесконтактную банковскую карту к обычному терминалу и проходи. Проблема офлайновых платежей для них, надо полагать, уже решена, ничего не надо изобретать.
В московском метро и подмосковном транспорте так и есть. Но нюанс в том, что по карточке дешевле где-то в 1,5-3 раза
У банковских карт есть комиссия за транзакцию, а свои транспортные карты работают "бесплатно".
Кроме того, на транспортной карте можно реализовать льготный проезд (для всяких пенсионеров и студентов), проездные на определенный срок без ограничения числа поездок и тарифные зоны.
Покупка и пополнение транспортных карт наверняка будет происходить с тех же банковских карт с теми же комиссиями. Для всего остального не вижу принципиальных отличий транспортной карты от банковской: все, что можно привязать к транспортной карте можно привязать и к банковской.
В Эдинбурге, например, в автобусах платишь картой бесконтактно. Причем, есть дневные/недельные (может месячные) лимиты: если в день/неделю накатываешь больше, чем на x денег, снимают только x. Причем дневные лимиты очень "демократичные", выбираются буквально за 3-4 поездки.
Покупка и пополнение транспортных карт наверняка будет происходить с тех же банковских карт с теми же комиссиями
Даже без учета тех, кто будет пополнять транспортные карты за наличные, у многих систем комиссия считается по принципу "фиксированная сумма + процент от транзакции", поэтому одно большое пополнение для перевозчика получается выгоднее, чем несколько маленьких
Поэтому же при оплате непосредственно картой часто практикуются оффлайн-транзакции со списанием наезженной суммы раз в несколько дней
Я бы такое же хотел при оплате в магазинах. Но почему-то такой популизм работает только в транспорте, в итоге скидку дали (fare capping называется), а за что и какая выгода перевозчику - хз. В итоге, скидка и так закладывается в тариф (скидка с наценки)
Кроме того, на транспортной карте можно реализовать льготный проезд (для
всяких пенсионеров и студентов), проездные на определенный срок без
ограничения числа поездок и тарифные зоны.
В некоторых регионах это проделали с обычными банковскими картами. Берешь любую карту "МИР", регистрируешь на специальном сайте или в МФЦ, если надо, предъявив документы на предмет прав на льготы, пополняешь и пользуешься как транспортной. При этом той же картой можно в магазинах платить (в том числе с учетом льготных скидок). Именуется это безобразие "Карта жителя <наименование города/региона>". В некоторых регионах под это дело банки даже карты специального дизайна делают.
Мне кажется, с точки зрения безопасности, не очень хорошая идея платить банковской картой на турникете, карты обычно лежат в кошельке и вытаскивать его каждый раз(особенно в пик) это повышать шанс его потерять. С телефоном еще хуже, рано или поздно он у вас обязательно грохнется на пол.
Я всегда пользуюсь классической Тройкой(Москва), это безопасно и не жалко потерять.
Транспортная карта обычно тоже лежит в кошельке. Странно, имея кошелек, носить карту за его пределами.
У меня когда-то была куртка с карманом для скипасса в рукаве. Поскольку я ненавижу зимние виды спорта, в карман клал транспортную карту — и полгода про нее не вспоминал даже, всегда с собой и наготове.
С точки зрения безопасности, конечно, так себе решение, но в те времена про сканеры карт никто еще даже не слышал. А потом куртка сносилась.
Можно сделать отдельную банковскую карту для оплаты транспорта.
В некоторых банках можно дополнительную дебетовую карту с отдельным счетом без комиссии получить.
Да в целом надо минимизировать риски и мне нравится идея "проксей" ("тоннелей", в логическом, но не в сетевом смысле) для всего. Например с почтой: Нужно подписаться где-то, ввести почту - вводите адрес прокси-почтового ящика, и с него почта идет к вам. Все хорошо, вашу почту никто не знает. Если что-то пошло не по плану (например, из сети магазинов утекла база клиентов) - просто "взрываете тоннель" и все, между украденным прокси-адресом и вами нет никакой связи, можно хоть уписаться на тот адрес - вам ничего не придет.
Так же и с платежными средствами. Функция карты в метро - просто как-то оплатить проезд (достаточно недорогой). Для этого не нужна функция связи с вашей личностью. Не нужна функция связи с вашим счетом в банке, на котором миллионы лежат и *каждый раз* выходя из дома с картой вы немного рискуете...
Я бы вообще хотел какие-нибудь несколькоразовые карты, чтобы их можно было легко взять (хоть просто в терминале, как шоколадку), пополнить (с телефона, через QR код) и рассчитываться. Или вообще, использовать QR код, и как вариант - бумажный. Распечатал и ходишь. Хранить в ближнем кармане, из которого удобно доставть. При всех неприятностях (украли, потерял, про56ал по пьяни) - рискуешь только той суммой, которую выделил на этот кошелек.
Еще, как вариант, при таком множестве кошельков можно их разграничивать. Вот этот кошелек ребенку - он может с него оплачивать проезд по городу, продукты, но не может покупать алкоголь-сигареты.
Как раз проблема оффлайна ни разу не решена, а перекладывается на перевозчика, то есть на пассажиров, в конечно итоге. Плюс оплата банковской картой - это отсутствие продуманной системы скидок. Это выше издержки и риски, за которые как раз и платит пассажир.
Сейчас такое насаждается во всем мире, пассажиру действительно кажется удобным, только он за все это, в итоге, и платит, а кроме быстрого расставания с деньгами ничего не получает взамен.
А платежные системы насаждают это потому, что получаются с каждой транзакции комиссию. Все радуются удобству и хлопают в ладоши, но как только потом садятся считать, и вдруг становится грустно и стыдно публиковать результаты
Стив Джобс тоже с чего-то такого начинал, но с телефонными компаниями.
А японские Suica пробовали взломать?
В далёком 2015-ом году ездил а МИФИ на конференцию. В автобусе рядом с институтом видел то, что не встречалось больше ни в какой части города - живого контроллера. Автобусникам пришлось на это пойти, потому что среди МИФИ-шников уже тогда взлом транспортных карт был массовым развлечением.
Никто не пробовал в тройку записать полис ОМС?
Исследователей пригласили на совещание в головной офис управления и выслушали их рекомендации. По сути они сводятся к следующему:
при реализации системы оплаты поездок не следует хранить деньги на карте;
стоит использовать готовые защищённые системы наподобие Apple и Google Pay;
данные о картах, транзакциях и пользователях желательно хранить в отдельной базе данных;
подобные системы необходимо поддерживать и регулярно модернизировать после развертывания.
Итак, студенты заюзали известную с 2008 г. уязвимость и всё, они теперь спеицалисты?при реализации системы оплаты поездок не следует хранить деньги на карте;
Вы удивитесь, но на карте деньги не хранятся. Не верите - попробуйте их снять с банкомата или расплатиться деньгами на транспортной карте в магазине. Ой.
На транспорте, по сути, хранятся данные о купленных поездках. И сделано это потому, что студентам не пришло, естественно в голову, чтобы быстро проверять наличие поездок, а не лезть на сервер каждый раз, а в часы пик каждая миллисекунда буквально дорога.
И если нет связи - всё, коллапс, трнасопрт встал?
Поэтому начинают стыдливо применять периодическую синхронизацию и т. п. (потом, когда уже поняли, что облажались, "не храня деньги на карте") и вдруг выясняется, что надо перекачивать большие объемы, по сути, одонтипных данных (номера карт - то в стоп листе, то не в стоп листе), при чем, чем больше работает система, тем данных становится больше и вдруг выясняется, что они уже не влезают на устройства и приходится затевать обновление и покупку новых девайсов (может, ради этого всё и затевалось, начининают закрадываться подозрения).
Но дело даже не в этом, а в том, что стоп-лист формируется ПОСЛЕ совершенной поездки с картой с недостаточным балансом. То есть стоп-лист - это попытка минимизировать потери, но не убирает их полностью.
Собственно, рекомендация стоит использовать готовые защищённые системы наподобие Apple и Google Pay;
того же порядка, граничащего с некомпететностью.
Вдруг выясняется, что эти системы тоже не безопасны, потому что принцип тот же - работать в онлайн, либо периодически пускать без онлайна и потом проверять и синхранизировать.
В общем, как обычно - гордо предлагается решение, которое проблемы-то не решает, но создает новые.
Что же на самом деле нужно было сделать:
1. перейти хотя бы на новое поколение Mifare Classic с true RNG - их сложнее взломать (но все равно можно).
2. Юзать карты с 7-байтными уидами.
3. Закрыть все сектора нестандартными ключами, потому что mfoc юзает уязвимость, когда известен хотя бы один ключ.
4. Использовать диверсифицированные ключи, и тогда приходилось бы взламывать КАЖДУЮ карту, а не взломав одну, получаешь взлом ВСЕХ.
5. Данные на карте макировать серьезным алгоритмом, тоже завязанным на uid и другие параметры карты.
Ну и, конечно же, перейти надо на современные карты, тот же Mifare Plus но не в режиме Classic, а SL3 где ключи aes-ные.
Тут кто-то хвалился, какой он молодец, данные на классике шифровал aes - так это никакой проблемы не решает, раз можно сделать 100500 клонов и ст. з. системы они будут такими же ,как оригинал.
Я делал так, что можно вообще без ключей или на откртых ключах размещать данные, только склонировать нельзя - максимум можно попортить данные, но тогда эта карта просто не сработает.
Как человек участвовавший в проектировании и разработке карточных систем для общественного транспорта, я перевидал, перечитал документацию, прошивал и попробовал дюжину разных видов карт и никак не могу пройти мимо этой статьи.
Во-первых, как верно указали в комментариях, речь идёт об уязвимости почти 15-летней давности. Казалось бы, можно было сказать, что сейчас это уже никакого отношения к реальности не имеет, но нет. Подобные системы карт, так же как и карты в СКУДах, к сожалению, нередко завязываются на конкретное оборудование и экосистему, от которой потом крайне сложно отказаться и крайне болезненно уходить. Задачу свою она выполняет, а штучные "ломатели карт", как правило, не являются слишком большой проблемой, вот и тянутся эти проблемы из десятилетия в десятилетие, а во многих системах в ходу карты 15, 20, а то и 30 летней давности.
Корни этой проблемы тянутся из прошлого. К пониманию необходимости защиты карт, и отказа от использования принципа "security by obscurity" человечество пришло далеко не сразу, а карт и оборудования для них уже навыпускали. Компании спешили поскорее выкатить продукт на рынок, а не задумываться о том что в будущем у каждого студента будет в кармане проксмарк/флиппер/телефон с NFC который сможет взаимодействовать с их оборудованием, поэтому защиту в карты даже не закладывали.
Возьмите, например, те же СКУДы, где до сих пор массово используют emmarine карты, они вообще не предполагают никакой защиты и копируются в один тык на китайские болванки за пару десятков рублей. Плохо ли это с точки зрения безопасности? Однозначно! Такие системы используются в бизнес центрах, предприятиях, офисах компаний, и т.д. Но, как часто бывает, карта не является единственным фактором аутентификации, поэтому бизнес и государсто продолжают закрывать глаза на проблему и митигируют её сторонними способами. Например в московском транспорте отлично работает антифрод система, которая почти моментально заблокирует использование и оригинальной карты и дубликата. Ну а копировать карты с магнитной полосой - это вообще избиение младенцев. Разумеется данные на них никак не защищены.
Во-вторых, существуют современные карты, которые уже давно не болеют подобными детскими болезнями. Протокол общения с ними предполагает принудительную двухстороннюю аутентификацию, использование признаваемой надёжной во всём мире криптографии, шифрование и подпись каждого отправляемого apdu, причём расчёт криптограмм используемых в процессе, делегируется отдельным аппаратным модулям безопасности, так что никто, включая злоумышленника получившего контроль над клиентским оборудованием, или даже оборудованием оператора транспортной системы, или даже непосредственно самих турникетов не может получить доступа к ключам карты и несанкционированно записать туда что-то. Пока что с подобными картами существует проблема - несмотря на то что они уже очень много лет существуют на рынке, они мало распространены, хотя по себестоимости зачастую выходят даже дешевле карт тридцатилетней давности с нулевой защитой. Виной всему та же огромная "инертность" технологий в этой сфере, но их время обязательно придёт.
Также, поскольку я много работал с картами NXP mifare, могу сказать что проблема с crypto1 уже также давно решена. Этот алгоритм был своеобразной пробой пера среди массово используемых карт в плане аутентификации включающей в себя криптографию, выработки сессии и дальнейшее шифрование всех передаваемых данных. Да, реализован он был слабо, особенно в плане оборудования карты. Напомню, что внутри карты находится маленький компьютер размером с четверть рисового зёрнышка, и заставить его выполнять вычислительно "тяжёлые" криптографические операции - это далеко не то же самое что делать подобное на полноценном компьютере. Инженеры экономили ресурсы как могли и просчитались не столько на самой криптографии, сколько на невозможности организовать на подобных мощностях криптографически стойкий аппаратных ГПСЧ (это куда сложнее чем кажется на первый взгляд). Тем не менее, спустя некоторое время они выпустили новый тип карт, который после прошивки можно было перевести в режим работы, который полностью повторял интерфейс оригинальных mifare classic, но при этом уже имел стойкий ГПСЧ без вышеупомянутой уязвимости и дополнительные плюшки типа защиты от фаззинга команд и брутфорса ключа. Так что теперь даже эти карты возможно использовать относительно безопасно, хотя в современных реалиях они обладают уже пожалуй слишком короткой длинной ключа, и если вы прямо сейчас разрабатываете современную систему использующую карты, то лучше возьмите хотя бы mifare plus ev1 от тех же NXP, используйте их в максимально защищённом режиме и всё будет хорошо и правильно.
Ну а от гениев использующих открытый 7-байтный UID карты в качестве идентификатора любая безопасность бессильна, т.к. этот UID вообще-то нужен для чисто технических задач типа разрешения коллизии карт и т.д. и вообще может возвращаться случайный в некоторых случаях. Это НЕ прикладные данные и полагаться на них нельзя
Этот алгоритм был своеобразной пробой пера среди массово используемых карт в плане аутентификации включающей в себя криптографию, выработки сессии и дальнейшее шифрование всех передаваемых данных.
Для своего времени - 1997 год, это был прорыв, и основы, заложенные тогда, и сейчас работают, просто на современной криптографии (напр., трехходовая взаимная аутентификация).
Просто поставщикам плевать - впаривают заказчикам в втридорога устаревшие технологии. Заказчик не разбираются, да и многие поставщики тоже, на разработках мохнатых годов сидят.
но при этом уже имел стойкий ГПСЧ без вышеупомянутой уязвимости и дополнительные плюшки типа защиты от фаззинга команд и брутфорса ключа
да не, проблема в самом протоколе, если сниффернуть обмен реальными данными, то ключ можно достать.
Надо в SL3 или SL2 юзать - там хоть aes 128 применяется.
Но тоже есть оргпроблемы с применением в отечественных государственных системах
Например в московском транспорте отлично работает антифрод система, которая почти моментально заблокирует использование и оригинальной карты и дубликата
я бы не был столь категоричен...
Взламываем транспортные карты: чит на бесконечные деньги