SubwayTalks.ru

SerYoga писал(а):Недавно прошла новость о взломе Подорожника одним мальчиком на основе написанного им приложения, которое позволяло ехать на наземном транспорте бесплатно, то есть возвращало списанные поездки в режим активных. С метрополитеном рисковать он не стал, иначе бы карта была бы заблокирована через 2 часа. Так что руководство метро всё предугадало на шаг вперёд.

Я надеюсь когда потери города или перевозчиков от таких манипуляций начнут быть существенными они задумаются о том что надо что то менять. Ну и если они что то поменяют метрополитену придется тоже что то поменять.
Хотя .....

7?

nonedub писал(а):Юзали Mifare Plus (Подорожник) в режиме совместимости с Mifare Classic из-за метрополитена, которому было лень переделывать валидаторы на турникетах под более современную криптографию (AES). Теперь народ будет кататься даром в наземном транспорте.

Разве проблемы в полный рост не на наземном транспорте? Причем тут метро?

А ломал карту явно АвраамЛинкольн, засветившийся выше по конфе

как думаете, кончится ли это отменой Подорожника?

Worm писал(а):А ломал карту явно АвраамЛинкольн, засветившийся выше по конфе

Тоже имею такие подозрения.

Zhuravkov писал(а):как думаете, кончится ли это отменой Подорожника?

Обновится комитет -> захотят откатов -> придумают новую технологию оплаты -> заменят подорожник. Не удивлюсь. Вопрос времени.

Много новвоведений, но про ЛК пока ни слово.
Я уже предлагала раннее и предлагаю сново!
ПИШИТЕ КАК МОЖНО БОЛЬШЕ ВОПРОСОВ НА СОЗДАНИЕ ВЫПИСОК по поездкам!
Я только что два запроса, на себя и мужа написала. Если им будет в месяц приходит тысячами такие запросы, то они быстро запаряться и создадут ЛК, тем кто формирует выписки тоже необходимо ЗП платить, посчитают и выйдет дешевле ЛК!
Запрос создается здесь:
http://orgp.spb.ru/treatment/
Вот примерный текст запроса( можете скопировать):
Здравствуйте!
Прошу предоставить информационную выписку по карте Подорожник Номер:
номер карты свой
Мое ФИО: Иванов Петров Сидоров
контактный телефон: +7-000-000-00-00 (свой тел, я реальный указала)
период: с 01.01.2016 по 18.03.2017 для примера, думаю период чем больше, тем лучше
Выписку по возможности прошу предоставить по почте. (там сбоку ставится галочка как предоставить выписку, думаю по почте запарней всего, еще и на конверт попрятаться,

Даешь ЛК и как можно быстрее народу!!! ))))))

КомПоТ пока только так отреагировал:

Информация Комитета по транспорту
17 марта 2017 г.

В связи с появившимися в средствах массовой информации сообщениями об обнаружении уязвимости в системе защиты данных на электронной карте «Подорожник» Комитет по транспорту сообщает, что данная информация будет детально изучена и проверена специалистами. По итогам проверки будут приняты соответствующие меры.

При обнаружении поддельных билетов будут проводиться мероприятия по выявлению лиц, использующих поддельные проездные билеты, для обращения в правоохранительные органы, в том числе в отношении автора статьи, способствующего подделке проездных билетов (документов). Вместе с тем, Комитет по транспорту обращает внимание, что подделка проездных документов преследуется по закону.

http://gov.spb.ru/gov/otrasl/c_transport/news/108482/

При обнаружении поддельных билетов будут проводиться мероприятия по выявлению лиц, использующих поддельные проездные билеты,

Из уст КпТ это звучит неприятно - ждём новый шквал "перепроверок": по новой контуженных кондукторш + СКМщиков с валидаторами. Буду ругаться, если введут-таки. Только удалось успокоить это дремучее царство.

для обращения в правоохранительные органы, в том числе в отношении автора статьи, способствующего подделке проездных билетов (документов).

Совок неистребимый. Ну пригласите парня, пусть он вам НА ПАЛЬЦАХ объяснит все найденные уязвимости (раз у самих мозгов нет), перепроверьте данные. Может ещё чего дельного посоветует. Если серьёзные проблемы в безопасности подтвердятся - сделайте человеку приятный подарок (отблагодарите). И уже после всего этого строго предупредите (!) о недопустимости выкладывания таких вещей в интернете. Там всё не так просто, если кто и заморочится - то единицы. И сейчас есть шанс всё это пресечь.
А эти всё в средних веках сидят - поймать, пытать, допросить, публично казнить. Дикари.

P.S.

Вместе с тем, Комитет по транспорту обращает внимание, что подделка проездных документов преследуется по закону.

Подделка, это когда на принтере проездной печатали, лет 15 назад. "Подорожник" был самым настоящим, купленным в ПМ. И статья тут уже не "подделка", а "мошенничество". Не пора ли КпТ, ГУ ОП и Ко пытаться вылезти из СССР? Или им тоже Сталин нужен?

Они любят ссылаться на то, что "Подделка билетов преследуется по закону". И намекают на то, что незнание законов не освобождает от ответственности.
Можно сказать спасибо тому парню, что сам признался в интервью в СМИ. А так ведь могли по его стопам пойти другие люди, и проблема подделок стала бы массовой.

немножко оффтоп, но вдруг вспомнилось насчет подделок.
когда я был студентом, карточка была бумажной. ее мы рисовали пером и цветными карандашами. одна девочка рисовала не всю карточку, а половину, и спалилась как-то взяв рукой не за тот край. ей ничего не было, просто отобрали.
как мне потом адвокат объяснял, статья о подделке не работает, когда в качестве подделки фигурирует заведомо негодное нечто, вот как например карточка, нарисованная не полностью.
в случае с подорожником - видимо, будет уже не подделка, а мошенничество.
тут самый главный вопрос, можно ли что-то сделать технически, чтобы косяк убрать. если с этим сложности, наверно, стоит ожидать нашествие контролеров с более совершенной аппаратурой проверки карт.

Worm писал(а):Разве проблемы в полный рост не на наземном транспорте? Причем тут метро?

Пора уходить от феодально-совкового подхода, когда каждый перевозчик лепит "из того что было" собственную карточную систему. Должен быть один платежный оператор и множество транспортных операторов, которые занимаются своей прямой задачей - перевозкой пассажиров. И не заморачиваются карточками, валидаторами, криптографией и прочими несвойственными им задачами. По аналогии с банковской сферой: банков - миллионы, а платежных систем - единицы. И банки лишь эмитируют карты той или иной платежной системы.

MetroGnom писал(а):И уже после всего этого строго предупредите (!) о недопустимости выкладывания таких вещей в интернете. Там всё не так просто, если кто и заморочится - то единицы. И сейчас есть шанс всё это пресечь.

Так в Инет инфу о уязвимости Mifare Plus в режиме совместимости Mifare Classic выложили забугорные хакеры. И такие же забугорные хакеры реализовали эту уязвимость в виде софта для взлома ключей Mifare Plus. Те, кто интересуется данной темой - были в курсе взлома Подорожника задолго до появления данной статьи в рунете.

Zhuravkov писал(а):тут самый главный вопрос, можно ли что-то сделать технически, чтобы косяк убрать.

Против атаки "replay" на карточках памяти типа Mifare ничего не сделаешь. Либо почасовая онлайновая верификация баланса со стоп-листами, как в метрополитене. Либо замена криптографии на более стойкую. Первое труднореализуемо в НОТ. А для второго надо апгрейдить все валидаторы в метро и НОТ.

nonedub писал(а):Первое труднореализуемо в НОТ.

Ну не так уж и трудно. Установить в каждую единицу ПС терминал, со связью с единой базой через 3G/4G канал. Думаю это будет не дороже, чем установка телевизоров и Wi-Fi точек доступа, полезность которых сомнительна.

Zhuravkov писал(а):как думаете, кончится ли это отменой Подорожника?

Хакера вычислили и шьют ему дело, а Подорожники планируют "защитить" использованием новых чипов, сообщает Life78:

"Подорожник" защитят от хакеров после взлома карты петербургским студентом

На предприятии также готовят обращение в полицию на молодого человека, бесплатно ездившего на городском транспорте.
Для карты "Подорожник" разработают дополнительные меры защиты от нелегальных взломщиков, сообщил Лайфу директор "Организатора перевозок" Владислав Самойлов.
— В скором времени планируется переход на третий уровень безопасности, в рамках которого учреждение приступит к использованию возможностей новой модели микропроцессорных карт, которые закупаются в настоящее время, — уточнил Самойлов. По его словам, новые модели карт ускорят переход на следующий уровень безопасности, позволят пополнять баланс и отслеживать списание ресурса через мобильный телефон.
Напомним, петербургский студент подобрал ключи шифрования для карты "Подорожник" и бесплатно ездил на общественном транспорте. Юный хакер учится в Электротехническом университете, а программированием интересуется как хобби.

новой модели микропроцессорных карт, которые закупаются в настоящее время

и мне опять платить залоговую стоимость новой карты.
проклятие им всем с их электронными платежами, уроды.

не могу исключить такой вариант, что уязвимость была заложена, чтобы потом повод был:
1. наказать очередного хакера
2. взять денег

твари рогатые.

Zhuravkov писал(а):и мне опять платить залоговую стоимость новой карты.

Кстати, да. Мой подорожник с 2011 года. Теперь его заново покупать? Очередной "неуязвимый и надёжно защищённый"? А рожа не треснет там ни у кого (пора бы уже)?

Zhuravkov писал(а):твари рогатые.

magnum писал(а):а Подорожники планируют "защитить" использованием новых чипов,

А со старыми они что делать будут? Пока они принимаются к оплате, дырка закрыта не будет.
Их как-то из оборота вывести нужно и явно не просто аннулировать, а обменять. Непонятно, как это сделать легально и законно? Сколько это будет стоить? Интересно вообще, какое количество "Подорожников" сейчас обращается?

не могу исключить такой вариант, что уязвимость была заложена, чтобы потом повод был:

Ну, это уже паранойя какая-то. Уязвимости в таких системах обнаруживаются часто и не только в нашей стране. Вопрос лишь в корректности их устранения.

А интересно, уязвимость только в "Подорожнике" или в других проездных билетах тоже? На наземный транспорт, пенсионные, студенческие, ученические. Не придется ли и их менять?