Strona 12 z 47

: 10 kwie 2012, 9:27
autor: asq
rowery na bemowie to chyba osobny system od rowerów ztmu?

http://m.warszawa.gazeta.pl/warszawa/1, ... werow.html

: 10 kwie 2012, 10:01
autor: Miki996
asq pisze:rowery na bemowie to chyba osobny system od rowerów ztmu?

http://m.warszawa.gazeta.pl/warszawa/1, ... werow.html
Tak. Natomiast co do tej karty, to myślę że po wprowadzeniu takiej opcji, karty mogły by być wydawane przez np: urząd miasta

: 10 kwie 2012, 11:51
autor: Spock
asq pisze:kontraktem 0xfe. zreszta ztcw kanar ma obowiązek "zalogować się" w pojeździe ktory sprawdza - pewnie tak są rozliczani.
A tak z ciekawości - jaki jest adres (0x?) gdzie trzymany jest typ konraktu i data ważności ?

Pozdr,

: 10 kwie 2012, 11:54
autor: asq
0x40 0x80 0xc0

: 10 kwie 2012, 12:10
autor: Spock
asq pisze:0x40 0x80 0xc0
Dziwna ta ichnia redundancja - przecież standard definiuje jak zapewnić podstawową spójność danych w ramach jednego bloku danych. A ważność kontraktu ?

Dzięki.

: 10 kwie 2012, 12:15
autor: asq
0x40 nr kontraktu, w pozostałych dwóch jest ważność. to nie jest zrobione przez MAD - to jakiś ichni format :)
i to nie jest powtórzone dla redundancji, oprócz kontraktu tam są zapisane dane dot. skasowania.

: 10 kwie 2012, 12:25
autor: px33
Piottr pisze: Niedasie, bo ztcp w pierwszym sofcie systemu, czarna lista miała tylko 1024 pozycje. Nie wiem, czy to zmieniono od czasu, kiedy miałem z tym systemem styczność.
1024?! Rozumiem względy wydajnościowe (chociaż wystarczyłoby żeby serwer wysyłał tylko pozycje dodane od ostatniej aktualizacji) i sprzętowe (sterownik i kasowniki kupione dawno dawno temu kosztowałyby pewnie krocie gdyby zamontować tam jakiegoś większego flasha), ale 1024 zgłoszenia zablokowania karty pewnie są wystawiane w miesiąc.

Może po prostu urządzenia kanarskie, biletomaty i sieć sprzedaży mają większą blacklistę, a w pojazdach są blokowane ostatnie wprowadzone 1024 karty

: 14 kwie 2012, 9:48
autor: SławekM
http://www.se.pl/wydarzenia/warszawa/wa ... 51123.html
WARSZAWA: Uwaga! HAKERZY atakują PASAŻERÓW autobusów i metra. JAK to ROBIĄ - SKANUJĄ KARTĘ MIEJSKĄ

Publikacja: 13.04.2012 02:00 | Aktualizacja: 13.04.2012 08:09


Warszawiacy, uważajcie! Hakerzy znaleźli sposób, żeby skopiować waszą kartę miejską. Co więcej, nie wymaga to żadnego specjalistycznego sprzętu. Cyberoszust może to zrobić w ciągu sekundy w czasie jazdy autobusem czy metrem.

Uwaga! Hakerzy atakują pasażerów

Dla statystycznego warszawiaka opłaty za bilety to nie lada wydatek. Zakodowanie karty miejskiej na 3 miesiące kosztuje 220 zł. Jak się jednak okazuje, cwaniacy nie muszą płacić. Hakerzy oszukują stołeczny system komputerowy obsługujący karty miejskie i opłaty za parkowanie. Mało tego, chwalą się tym w Internecie i pokazują filmy ze swoich dokonań. Tłumaczą też innym, jak to zrobić.

- Na tę chwilę można klonować kartę, wgrać kontrakt na kartę, wgrać dowolne kredyty na parkowanie. Zajmuje to sekundę po zgraniu kart odpowiednim czytnikiem - wyjaśnia haker na forum stołecznej komunikacji.

A jak działają? Wystarczy, że cyberoszust z laptopem z odpowiednim oprogramowaniem i czytnikiem stanie obok nas w autobusie, a skopiuje naszą kartę! Choć to zupełnie nowy rodzaj przestępstwa, policjanci nie mają wątpliwości, że takie działanie jest nielegalne.

- Fałszowanie karty miejskiej może być traktowane jak fałszowanie każdego innego dokumentu i grozi za to do 5 lat więzienia. Również posługiwanie się kartą kupioną od fałszerza jest przestępstwem - wyjaśnia asp. Mariusz Mrozek (40 l.) ze stołecznej policji.

Hakerzy chwalą się swoimi dokonaniami w internecie:

"Czytnik z małym laptopem mieści się w kieszeni/torbie/plecaku, więc uważajcie w tłoku w metrze, bo wasz kontrakt może się niespodziewanie zmienić (...) Na część zdmową [ZDM] karty można wgrać 500 zł (tyle pozwalają automaty) albo nawet 6553,50 zł [...] sprzedaj 100 kart na allegro za 10% wartości i kup sobie za to ładny samochód"


: 14 kwie 2012, 10:20
autor: px33
SławekM pisze:Wystarczy, że cyberoszust z laptopem z odpowiednim oprogramowaniem i czytnikiem stanie obok nas w autobusie, a skopiuje naszą kartę!
Uwaga na cyberoszustów z laptopami (dobrze że nie wiedzą, że można też użyć smartfona, wtedy pół autobusu byłoby zagrożeniem :> )

: 14 kwie 2012, 12:25
autor: asq
jakby nie mógł tego laptopa do torby schować :)
liczyłem na szum, ale nie na sensację - brawo superexpress ](*,)

: 15 kwie 2012, 6:18
autor: Adam G.
asq pisze:jakby nie mógł tego laptopa do torby schować :)
liczyłem na szum, ale nie na sensację - brawo superexpress ](*,)
No i po co było pisać takie szczegóły na forum?
Wystarczyło napisać, że WKM nie jest bezpieczna i tyle. Teraz prędzej czy później będziesz mieć dodatkowe atrakcje. Skoro Policja szuka piratów drogowych na Youtube, to i potencjalnego hakera z pewnością zaproszą na miłą rozmowę...

: 15 kwie 2012, 15:25
autor: asq
mili panowie moga sobie co najwyzej wpasc na herbatke. mam legalna kwartalna swkmke, co nawet widac na jednym ze screenshotow. z PMow wynika ze coraz wiecej osob ma czytniki wiec cały ten szum to ma byc sygnał dla Ruty, Krajnowa i spółki, żeby się ogarnęli.

: 15 kwie 2012, 21:02
autor: MZ
asq pisze:cały ten szum to ma byc sygnał dla Ruty, Krajnowa i spółki, żeby się ogarnęli.
:arrow: Rzecznik prasowy nie jest zazwyczaj osobą decyzyjną, a jego zadaniem jest przekazywanie informacji (nawet takich, z którymi czasami może prywatnie się nie zgadzać), więc proponowałbym nie pociągać go do odpowiedzialności za decyzje, które podejmowane są wyżej.

: 15 kwie 2012, 21:22
autor: asq
od dobrego rzecznika wymaga się transparentności w przekazywaniu informacji o decyzjach jakie podejmuje spółka, zwłaszcza finansowana z publicznych pieniędzy. a wzmiankowany pan akurat ściemnia jak mało kto (piszę na podstawie własnych kontaktów mailowych i facebookowych). trochę nam temat dryfuje z techniki na politykę, więc proponuję go dalej tu nie ciągnąć :)
Według naukowców, najsłabszą badaną kartą jest Warszawska Karta Miejska, gdyż tam używane są domyślne elementy uwierzytelnienia. Jak zapewniają jednak przedstawiciele warszawskiego ZTM, instytucja ta pracuje nad poprawą zabezpieczenia karty i jeszcze w tym roku będzie ona podpisana algorytmem 3DES.
http://www.securitystandard.pl/artykuly ... wacja.html - tekst z połowy 2009 roku. przyznasz, że coś jest nie tak, skoro nie byli w stanie w prawie 3 lata się z tym ogarnąć?
"Te klucze zawierają powtarzające się motywy, co znacznie zmniejsza ich efektywną długość i jest wyraźnym wynikiem niedbałości o bezpieczeństwo danych. Największy problem polega jednak na tym, że sektor 0 jest zaszyfrowany za pomocą klucza producenta, co pozwala na odzyskanie wszystkich innych kluczy w czasie zaledwie 45 próbnych autentykacji! Cały atak nie wymaga więcej niż 2 sekund, aby odzyskać wszystkie klucze Warszawskiej Karty Miejskiej" - piszą naukowcy w swoim raporcie.
w normalnej, poważnej, prywatnej firmie za takie wdrożenie i brak niezależnego audytu zewnętrznego prezesa by dawno upupili.

lista (publicznie wygooglana w ciągu minuty) domyślych kluczy: http://pastebin.com/h6qJwJ9f

z solidarnościowych zapędów twórcy klucza śmieje się już od lat międzynarodowa publiczność:
Obrazek

: 15 kwie 2012, 22:01
autor: Premo
Większość osób tu wchodzących nie rozumie fachowego języka którego używasz. Co "haker" może w tym momencie zrobić z WKM?