System Pobierania Opłat za Przejazdy ZTM

Moderator: JacekM

asq
Posty: 202
Rejestracja: 14 lis 2011, 0:16

Post autor: asq » 10 kwie 2012, 9:27

rowery na bemowie to chyba osobny system od rowerów ztmu?

http://m.warszawa.gazeta.pl/warszawa/1, ... werow.html

Miki996
Posty: 192
Rejestracja: 28 mar 2012, 16:41
Lokalizacja: Warszawa Mokotów/Służewiec

Post autor: Miki996 » 10 kwie 2012, 10:01

asq pisze:rowery na bemowie to chyba osobny system od rowerów ztmu?

http://m.warszawa.gazeta.pl/warszawa/1, ... werow.html
Tak. Natomiast co do tej karty, to myślę że po wprowadzeniu takiej opcji, karty mogły by być wydawane przez np: urząd miasta

Spock
Posty: 7
Rejestracja: 07 kwie 2012, 19:17
Kontakt:

Post autor: Spock » 10 kwie 2012, 11:51

asq pisze:kontraktem 0xfe. zreszta ztcw kanar ma obowiązek "zalogować się" w pojeździe ktory sprawdza - pewnie tak są rozliczani.
A tak z ciekawości - jaki jest adres (0x?) gdzie trzymany jest typ konraktu i data ważności ?

Pozdr,

asq
Posty: 202
Rejestracja: 14 lis 2011, 0:16

Post autor: asq » 10 kwie 2012, 11:54

0x40 0x80 0xc0

Spock
Posty: 7
Rejestracja: 07 kwie 2012, 19:17
Kontakt:

Post autor: Spock » 10 kwie 2012, 12:10

asq pisze:0x40 0x80 0xc0
Dziwna ta ichnia redundancja - przecież standard definiuje jak zapewnić podstawową spójność danych w ramach jednego bloku danych. A ważność kontraktu ?

Dzięki.

asq
Posty: 202
Rejestracja: 14 lis 2011, 0:16

Post autor: asq » 10 kwie 2012, 12:15

0x40 nr kontraktu, w pozostałych dwóch jest ważność. to nie jest zrobione przez MAD - to jakiś ichni format :)
i to nie jest powtórzone dla redundancji, oprócz kontraktu tam są zapisane dane dot. skasowania.

px33
Posty: 1787
Rejestracja: 07 lut 2011, 17:43

Post autor: px33 » 10 kwie 2012, 12:25

Piottr pisze: Niedasie, bo ztcp w pierwszym sofcie systemu, czarna lista miała tylko 1024 pozycje. Nie wiem, czy to zmieniono od czasu, kiedy miałem z tym systemem styczność.
1024?! Rozumiem względy wydajnościowe (chociaż wystarczyłoby żeby serwer wysyłał tylko pozycje dodane od ostatniej aktualizacji) i sprzętowe (sterownik i kasowniki kupione dawno dawno temu kosztowałyby pewnie krocie gdyby zamontować tam jakiegoś większego flasha), ale 1024 zgłoszenia zablokowania karty pewnie są wystawiane w miesiąc.

Może po prostu urządzenia kanarskie, biletomaty i sieć sprzedaży mają większą blacklistę, a w pojazdach są blokowane ostatnie wprowadzone 1024 karty

SławekM
(solaris8315)
Posty: 14369
Rejestracja: 15 gru 2005, 20:57
Kontakt:

Post autor: SławekM » 14 kwie 2012, 9:48

http://www.se.pl/wydarzenia/warszawa/wa ... 51123.html
WARSZAWA: Uwaga! HAKERZY atakują PASAŻERÓW autobusów i metra. JAK to ROBIĄ - SKANUJĄ KARTĘ MIEJSKĄ

Publikacja: 13.04.2012 02:00 | Aktualizacja: 13.04.2012 08:09


Warszawiacy, uważajcie! Hakerzy znaleźli sposób, żeby skopiować waszą kartę miejską. Co więcej, nie wymaga to żadnego specjalistycznego sprzętu. Cyberoszust może to zrobić w ciągu sekundy w czasie jazdy autobusem czy metrem.

Uwaga! Hakerzy atakują pasażerów

Dla statystycznego warszawiaka opłaty za bilety to nie lada wydatek. Zakodowanie karty miejskiej na 3 miesiące kosztuje 220 zł. Jak się jednak okazuje, cwaniacy nie muszą płacić. Hakerzy oszukują stołeczny system komputerowy obsługujący karty miejskie i opłaty za parkowanie. Mało tego, chwalą się tym w Internecie i pokazują filmy ze swoich dokonań. Tłumaczą też innym, jak to zrobić.

- Na tę chwilę można klonować kartę, wgrać kontrakt na kartę, wgrać dowolne kredyty na parkowanie. Zajmuje to sekundę po zgraniu kart odpowiednim czytnikiem - wyjaśnia haker na forum stołecznej komunikacji.

A jak działają? Wystarczy, że cyberoszust z laptopem z odpowiednim oprogramowaniem i czytnikiem stanie obok nas w autobusie, a skopiuje naszą kartę! Choć to zupełnie nowy rodzaj przestępstwa, policjanci nie mają wątpliwości, że takie działanie jest nielegalne.

- Fałszowanie karty miejskiej może być traktowane jak fałszowanie każdego innego dokumentu i grozi za to do 5 lat więzienia. Również posługiwanie się kartą kupioną od fałszerza jest przestępstwem - wyjaśnia asp. Mariusz Mrozek (40 l.) ze stołecznej policji.

Hakerzy chwalą się swoimi dokonaniami w internecie:

"Czytnik z małym laptopem mieści się w kieszeni/torbie/plecaku, więc uważajcie w tłoku w metrze, bo wasz kontrakt może się niespodziewanie zmienić (...) Na część zdmową [ZDM] karty można wgrać 500 zł (tyle pozwalają automaty) albo nawet 6553,50 zł [...] sprzedaj 100 kart na allegro za 10% wartości i kup sobie za to ładny samochód"


px33
Posty: 1787
Rejestracja: 07 lut 2011, 17:43

Post autor: px33 » 14 kwie 2012, 10:20

SławekM pisze:Wystarczy, że cyberoszust z laptopem z odpowiednim oprogramowaniem i czytnikiem stanie obok nas w autobusie, a skopiuje naszą kartę!
Uwaga na cyberoszustów z laptopami (dobrze że nie wiedzą, że można też użyć smartfona, wtedy pół autobusu byłoby zagrożeniem :> )

asq
Posty: 202
Rejestracja: 14 lis 2011, 0:16

Post autor: asq » 14 kwie 2012, 12:25

jakby nie mógł tego laptopa do torby schować :)
liczyłem na szum, ale nie na sensację - brawo superexpress ](*,)

Adam G.
Posty: 4878
Rejestracja: 15 gru 2005, 19:56
Lokalizacja: Żoliborz

Post autor: Adam G. » 15 kwie 2012, 6:18

asq pisze:jakby nie mógł tego laptopa do torby schować :)
liczyłem na szum, ale nie na sensację - brawo superexpress ](*,)
No i po co było pisać takie szczegóły na forum?
Wystarczyło napisać, że WKM nie jest bezpieczna i tyle. Teraz prędzej czy później będziesz mieć dodatkowe atrakcje. Skoro Policja szuka piratów drogowych na Youtube, to i potencjalnego hakera z pewnością zaproszą na miłą rozmowę...
noidea

asq
Posty: 202
Rejestracja: 14 lis 2011, 0:16

Post autor: asq » 15 kwie 2012, 15:25

mili panowie moga sobie co najwyzej wpasc na herbatke. mam legalna kwartalna swkmke, co nawet widac na jednym ze screenshotow. z PMow wynika ze coraz wiecej osob ma czytniki wiec cały ten szum to ma byc sygnał dla Ruty, Krajnowa i spółki, żeby się ogarnęli.

Awatar użytkownika
MZ
Słońce Radomia
Posty: 8442
Rejestracja: 15 gru 2005, 14:25
Lokalizacja: Radom
Kontakt:

Post autor: MZ » 15 kwie 2012, 21:02

asq pisze:cały ten szum to ma byc sygnał dla Ruty, Krajnowa i spółki, żeby się ogarnęli.
:arrow: Rzecznik prasowy nie jest zazwyczaj osobą decyzyjną, a jego zadaniem jest przekazywanie informacji (nawet takich, z którymi czasami może prywatnie się nie zgadzać), więc proponowałbym nie pociągać go do odpowiedzialności za decyzje, które podejmowane są wyżej.

asq
Posty: 202
Rejestracja: 14 lis 2011, 0:16

Post autor: asq » 15 kwie 2012, 21:22

od dobrego rzecznika wymaga się transparentności w przekazywaniu informacji o decyzjach jakie podejmuje spółka, zwłaszcza finansowana z publicznych pieniędzy. a wzmiankowany pan akurat ściemnia jak mało kto (piszę na podstawie własnych kontaktów mailowych i facebookowych). trochę nam temat dryfuje z techniki na politykę, więc proponuję go dalej tu nie ciągnąć :)
Według naukowców, najsłabszą badaną kartą jest Warszawska Karta Miejska, gdyż tam używane są domyślne elementy uwierzytelnienia. Jak zapewniają jednak przedstawiciele warszawskiego ZTM, instytucja ta pracuje nad poprawą zabezpieczenia karty i jeszcze w tym roku będzie ona podpisana algorytmem 3DES.
http://www.securitystandard.pl/artykuly ... wacja.html - tekst z połowy 2009 roku. przyznasz, że coś jest nie tak, skoro nie byli w stanie w prawie 3 lata się z tym ogarnąć?
"Te klucze zawierają powtarzające się motywy, co znacznie zmniejsza ich efektywną długość i jest wyraźnym wynikiem niedbałości o bezpieczeństwo danych. Największy problem polega jednak na tym, że sektor 0 jest zaszyfrowany za pomocą klucza producenta, co pozwala na odzyskanie wszystkich innych kluczy w czasie zaledwie 45 próbnych autentykacji! Cały atak nie wymaga więcej niż 2 sekund, aby odzyskać wszystkie klucze Warszawskiej Karty Miejskiej" - piszą naukowcy w swoim raporcie.
w normalnej, poważnej, prywatnej firmie za takie wdrożenie i brak niezależnego audytu zewnętrznego prezesa by dawno upupili.

lista (publicznie wygooglana w ciągu minuty) domyślych kluczy: http://pastebin.com/h6qJwJ9f

z solidarnościowych zapędów twórcy klucza śmieje się już od lat międzynarodowa publiczność:
Obrazek

Awatar użytkownika
Premo
Posty: 5439
Rejestracja: 15 kwie 2006, 14:58

Post autor: Premo » 15 kwie 2012, 22:01

Większość osób tu wchodzących nie rozumie fachowego języka którego używasz. Co "haker" może w tym momencie zrobić z WKM?

Zablokowany