-
31. Data: 2020-08-31 04:35:04
Temat: Re: wroclawskie biletomaty
Od: "J.F." <j...@p...onet.pl>
Dnia Fri, 28 Aug 2020 20:56:35 +0200, cef napisał(a):
> W dniu 2020-08-28 o 13:21, J.F. pisze:
[...]
> Akurat tak się składa, że dziś musiałem korzystać z komunikacji
> i kupowałem bilet w dwóch kolejnych tramwajach.
> Płaciłem kredytówką millennium w odstępach 15min -
> i przeszły obie płatności - apka nie widziała żadnego śladu,
> więc pewnie poszło offline. Do tej chwili ani w aplikacji ani w systemie
> w banku nie ma żadnego śladu, ani blokady.
To teraz bys musial sprawdzic kolejny raz.
15 minut ... moze za malo czasu na "zablokowanie"
> Ale małżonka, która częściej korzysta z komunikacji zeznaje, że
> ten system mennicy się sypie od jakiegoś czasu - wcześniej jak ona
> płaciła telefonem (karta Inteligo) to widziała to apka i od razu było widać
> jak długo ważny bilet a od jakiegoś czasu nie da się zapłacić za bilet
> telefonem
> -było to reklamowane w banku i odpisali, ze naprawili,
> ale jest pewnie problem po stronie mennicy też,
> bo telefon płaci juz normalnie w innych puktach a w MPK nadal nie.
Bo oni czasem offline i zawsze bez pin ...
J.
-
32. Data: 2020-08-31 07:02:59
Temat: Re: wroclawskie biletomaty
Od: cef <c...@i...pl>
W dniu 2020-08-31 o 04:35, J.F. pisze:
> Dnia Fri, 28 Aug 2020 20:56:35 +0200, cef napisał(a):
>> W dniu 2020-08-28 o 13:21, J.F. pisze:
> [...]
>> Akurat tak się składa, że dziś musiałem korzystać z komunikacji
>> i kupowałem bilet w dwóch kolejnych tramwajach.
>> Płaciłem kredytówką millennium w odstępach 15min -
>> i przeszły obie płatności - apka nie widziała żadnego śladu,
>> więc pewnie poszło offline. Do tej chwili ani w aplikacji ani w systemie
>> w banku nie ma żadnego śladu, ani blokady.
>
> To teraz bys musial sprawdzic kolejny raz.
>
> 15 minut ... moze za malo czasu na "zablokowanie"
Do dziś nie ma żadnego śladu - powinno dzisiaj się pokazać.
>> Ale małżonka, która częściej korzysta z komunikacji zeznaje, że
>> ten system mennicy się sypie od jakiegoś czasu - wcześniej jak ona
>> płaciła telefonem (karta Inteligo) to widziała to apka i od razu było widać
>> jak długo ważny bilet a od jakiegoś czasu nie da się zapłacić za bilet
>> telefonem
>> -było to reklamowane w banku i odpisali, ze naprawili,
>> ale jest pewnie problem po stronie mennicy też,
>> bo telefon płaci juz normalnie w innych puktach a w MPK nadal nie.
>
> Bo oni czasem offline i zawsze bez pin ...
To nieistotne jak działało czy z PIN czy bez czy offline czy online,
ale telefonem można było kupić bilet.
A teraz nie da się, więc procedury i sposób autoryzacji zmienili.
-
33. Data: 2020-08-31 08:02:38
Temat: Re: wroclawskie biletomaty
Od: cef <c...@i...pl>
W dniu 2020-08-31 o 07:02, cef pisze:
> W dniu 2020-08-31 o 04:35, J.F. pisze:
>> Dnia Fri, 28 Aug 2020 20:56:35 +0200, cef napisał(a):
>>> W dniu 2020-08-28 o 13:21, J.F. pisze:
>> [...]
>>> Akurat tak się składa, że dziś musiałem korzystać z komunikacji
>>> i kupowałem bilet w dwóch kolejnych tramwajach.
>>> Płaciłem kredytówką millennium w odstępach 15min -
>>> i przeszły obie płatności - apka nie widziała żadnego śladu,
>>> więc pewnie poszło offline. Do tej chwili ani w aplikacji ani w systemie
>>> w banku nie ma żadnego śladu, ani blokady.
>>
>> To teraz bys musial sprawdzic kolejny raz.
>>
>> 15 minut ... moze za malo czasu na "zablokowanie"
>
> Do dziś nie ma żadnego śladu - powinno dzisiaj się pokazać.
Aaa, raczej chodzi o próbę użycia karty ponowną.
A to może nawet dziś albo jutro będę próbował.
-
34. Data: 2020-08-31 10:49:49
Temat: Re: wroclawskie biletomaty
Od: Piotr Gałka <p...@c...pl>
W dniu 2020-08-29 o 18:49, Dawid Rutkowski pisze:
> O, to byłoby dobre podsumowanie, ale czy masz na to jakieś źródła - szczególnie, że
_łatwo_?
> Bo to jednak MIFARE, a nie UNIQUE.
Od czasu jak w telefonach pojawiło się NFC karty Unique wydają się
bardziej 'bezpieczne' niż mifare (jeśli chodzi tylko o odczytanie numeru
karty).
> Tu już może być potrzebna fabryka kart,
Albo apka na telefon. Jeśli karty nie trzeba nigdzie wsadzać, a tylko
zbliżyć to telefon też się 'zmieści' i nikogo nie zdziwi.
>a nie tylko gotowe programowalne breloki i programator od chińczyka (u kogoś z takim
zestawem dorobienie breloczka od nieszczęsnego domofonu kosztuje 15zł - a w
administracji brelok 50zł).
Nie widzę żadnego problemu, aby były też programowalne breloki mifare
(dopóki chodzi tylko o numer karty).
P.G.
-
35. Data: 2020-08-31 15:36:08
Temat: Re: wroclawskie biletomaty
Od: Dawid Rutkowski <d...@w...pl>
W dniu poniedziałek, 31 sierpnia 2020 10:49:53 UTC+2 użytkownik Piotr Gałka napisał:
> W dniu 2020-08-29 o 18:49, Dawid Rutkowski pisze:
>
> > O, to byłoby dobre podsumowanie, ale czy masz na to jakieś źródła - szczególnie,
że _łatwo_?
> > Bo to jednak MIFARE, a nie UNIQUE.
>
> Od czasu jak w telefonach pojawiło się NFC karty Unique wydają się
> bardziej 'bezpieczne' niż mifare (jeśli chodzi tylko o odczytanie numeru
> karty).
Od odczytaniu numeru do sklonowania karty (a o klonowaniu mówimy, bo chodzi o sposób
oszukania białej listy w urządzeniu kontrolerskim) długa droga.
Poza tym z moich zabaw wynikło, że nie ma (albo wtedy nie znalazłem) apki czytającej
mifare - wykrywały zbliżenie, ale pisały, że mifare classic nie czytają (a czytały
karty płatnicze i paszport - fajne to, nawet zdjęcie można odczytać i wyświetlić na
ekranie, zabezpieczone są tylko odciski palców).
> > Tu już może być potrzebna fabryka kart,
>
> Albo apka na telefon. Jeśli karty nie trzeba nigdzie wsadzać, a tylko
> zbliżyć to telefon też się 'zmieści' i nikogo nie zdziwi.
Jednak zdziwi - bo chodzi o sytuację kontroli biletów. Do tego na karcie jest foto
(kiedyś nie było i były fraudy) - i często kanar każe pokazać (powinien sprawdzić
zawsze). Więc telefon odpada, "karta" zrobiona z SMD również.
Bo to nie Lizbona, gdzie żyją spokojni ludzie (a przede wszystkim jeżdżą metrem,
gdzie i tak trzeba przyłożyć, żeby otworzyć bramkę - choć w Atenach jest metro bez
tych kretyńskich bramek - jedyny sensowny efekt ich zastosowania to eliminacja z
metra grubasów, zajmujących dwa siedzenia ;) - tzn. głównie babcie i dziadki - i
zgodzili się przykładać miesięczne przy każdym wejściu do pojazdu. W DC też mieli
taki plan, ale podniósł się taki zgiełk, że zrezygnowali.
Hehe, a w Gdańsku (będąc na wakacjach wyrobiłem też gdańską kartę) nawet nie ma w
pojazdach kasowników czytających karty kiejskie ;>
Więc lewa karta ma mieć nie tylko numer sklonowany, ale też musi wyglądać jak
prawdziwa.
> >a nie tylko gotowe programowalne breloki i programator od chińczyka (u kogoś z
takim zestawem dorobienie breloczka od nieszczęsnego domofonu kosztuje 15zł - a w
administracji brelok 50zł).
>
> Nie widzę żadnego problemu, aby były też programowalne breloki mifare
> (dopóki chodzi tylko o numer karty).
Ja też nie widzę teoretycznego.
Pytam o praktykę, czyli co można kupić od ręki od chińczyka.
Póki co można sobie naładować warszawską kartę lewym biletem mając telefon z NFC i
piracką apkę (piratom trzeba zapłacić oczywiście).
Ale na to sposobem może być biała lista w urządzeniu kontrolerskim - i wygląda na to,
że nie jest to "łatwe" do obejścia.
-
36. Data: 2020-08-31 15:50:54
Temat: Re: wroclawskie biletomaty
Od: "J.F." <j...@p...onet.pl>
Użytkownik "Dawid Rutkowski" napisał w wiadomości grup
dyskusyjnych:855be9dd-ca7c-46de-9e3a-c799e8b805a2o@g
ooglegroups.com...
W dniu poniedziałek, 31 sierpnia 2020 10:49:53 UTC+2 użytkownik Piotr
Gałka napisał:
> W dniu 2020-08-29 o 18:49, Dawid Rutkowski pisze:
>> > O, to byłoby dobre podsumowanie, ale czy masz na to jakieś
>> > źródła - szczególnie, że _łatwo_?
>> > Bo to jednak MIFARE, a nie UNIQUE.
>
>> Od czasu jak w telefonach pojawiło się NFC karty Unique wydają się
>> bardziej 'bezpieczne' niż mifare (jeśli chodzi tylko o odczytanie
>> numeru
>> karty).
>Od odczytaniu numeru do sklonowania karty (a o klonowaniu mówimy, bo
>chodzi o sposób oszukania białej listy w urządzeniu kontrolerskim)
>długa droga.
>Poza tym z moich zabaw wynikło, że nie ma (albo wtedy nie znalazłem)
>apki czytającej mifare - wykrywały zbliżenie, ale pisały, że mifare
>classic nie czytają (a czytały karty płatnicze i >paszport - fajne
>to, nawet zdjęcie można odczytać i wyświetlić na ekranie,
>zabezpieczone są tylko odciski palców).
A jak to jest z tymi platnosciami telefonem ?
Google Pay ponoc stosuje wirtualne numery kart czesto zmianiane, to
sie do takiego wroclawsko-warszawskiego kasownika chyba nie nadaje.
A inne metody ... to telefon jakos potrafi sklonowac karte ?
>> Albo apka na telefon. Jeśli karty nie trzeba nigdzie wsadzać, a
>> tylko
>> zbliżyć to telefon też się 'zmieści' i nikogo nie zdziwi.
>Jednak zdziwi - bo chodzi o sytuację kontroli biletów. Do tego na
>karcie jest foto (kiedyś nie było i były fraudy) - i często kanar
>każe pokazać (powinien sprawdzić zawsze).
Bo u nas bilety okresowe sa imienne i bezimienne. Te drugie drozsze.
A ze sa kodowane na karcie miejskiej, to i wypada sprawdzac imiennosc
..
>Więc telefon odpada, "karta" zrobiona z SMD również.
W dobie naklejek i telefonow wystarczy, ze to smd jakos zamaskujesz.
Np wsadzisz w obudowe przypominajaca smartfona, albo w pluszowego
misia :-)
>Bo to nie Lizbona, gdzie żyją spokojni ludzie (a przede wszystkim
>jeżdżą metrem, gdzie i tak trzeba przyłożyć, żeby otworzyć bramkę -
>choć w Atenach jest metro bez tych kretyńskich bramek - jedyny
>sensowny efekt ich zastosowania to eliminacja z metra grubasów,
>zajmujących dwa siedzenia ;) - tzn. głównie babcie i dziadki - i
>zgodzili się przykładać miesięczne przy każdym wejściu do pojazdu. W
>DC też mieli taki plan, ale podniósł się taki zgiełk, że
>zrezygnowali.
>Hehe, a w Gdańsku (będąc na wakacjach wyrobiłem też gdańską kartę)
>nawet nie ma w pojazdach kasowników czytających karty kiejskie ;>
>Więc lewa karta ma mieć nie tylko numer sklonowany, ale też musi
>wyglądać jak prawdziwa.
Karta miejska, bo platnicza to niekoniecznie ..
J.
-
37. Data: 2020-09-02 00:41:25
Temat: Re: wroclawskie biletomaty
Od: Krzysztof Halasa <k...@p...waw.pl>
Dawid Rutkowski <d...@w...pl> writes:
> Od odczytaniu numeru do sklonowania karty (a o klonowaniu mówimy, bo
> chodzi o sposób oszukania białej listy w urządzeniu kontrolerskim)
> długa droga.
Sklonowanie MIFARE classic 4k jest proste.
Tyle że trzeba ją gdzieś "nagrać". Nie można nagrać na taką zwykłą, bo
block #0 jest R/O.
> Poza tym z moich zabaw wynikło, że nie ma (albo wtedy nie znalazłem)
> apki czytającej mifare - wykrywały zbliżenie, ale pisały, że mifare
> classic nie czytają (a czytały karty płatnicze i paszport - fajne to,
> nawet zdjęcie można odczytać i wyświetlić na ekranie, zabezpieczone są
> tylko odciski palców).
MIFARE to jest 14443-3, ale nie -4. Scalaki 14443-A ale nie MIFARE
teoretycznie nie potrafią robić CRYPTO1. Można jednak nauczyć je robić
to programowo, można użyć libnfc z programowym CRYPTO1 albo napisać
samemu - to są proste rzeczy, od kiedy protokół jest znany.
> Jednak zdziwi - bo chodzi o sytuację kontroli biletów. Do tego na
> karcie jest foto (kiedyś nie było i były fraudy) - i często kanar każe
> pokazać (powinien sprawdzić zawsze). Więc telefon odpada, "karta"
> zrobiona z SMD również.
To ostatnie - wątpię. Dlaczego miałaby odpadać? No chyba że ze względu
na grubość - ale to by mnie raczej zdziwiło. Ponadto przypuszczalnie
można zrobić (prawie) tak samo cienką, trzeba poszukać elementów
w cienkich obudowach. Np. HVQFN32 - grubość 1 mm. Scalaka trzeba
zamontować w "dziurze", razem z zewnętrzną warstwa wyjdzie ile - 1,1 mm?
Jeśli to dla kogoś wciąż zbyt grubo, to pewnie można trochę zeszlifować
od góry (raczej szlifierką stołową).
Albo może jakiś mniej specjalizowany scalak, wiadomo że są
mikrokontrolery w "odpowiednich" obudowach o grubości np. 0,55 mm.
Trzeba dodać więcej prostych elementów, ale to też nie jest nic
specjalnie trudnego. Pewnie da się zmieścić w standardowej grubości.
Kwestia fotografii na karcie to chyba nie jest obecnie problem?
> Więc lewa karta ma mieć nie tylko numer sklonowany, ale też musi
> wyglądać jak prawdziwa.
Może wyglądać. BTW jest chyba wielu różnych "dostawców" takich kart -
zdaje się, że jakieś banki je wydają (razem z kartą płatniczą), są karty
dla dzieci, może jeszcze coś? Obawiam się, że łatwiej zmienić system
i zadbać o to, by np. zdjęcie było na karcie zapisane elektronicznie,
niż sprawdzać cechy fizyczne karty.
Oczywiście można także nic nie robić, bo koszty mogą być (znacznie?)
wyższe niż obecne straty.
> Póki co można sobie naładować warszawską kartę lewym biletem mając
> telefon z NFC i piracką apkę (piratom trzeba zapłacić oczywiście).
> Ale na to sposobem może być biała lista w urządzeniu kontrolerskim - i
> wygląda na to, że nie jest to "łatwe" do obejścia.
Biała lista czego? Nie widzę przydatności żadnej białej ani innej listy.
Zwykłą, oryginalną kartę MIFARE? Przecież te bilety miały być już dawno
podpisane - oczywiście wraz z numerem karty. Tego nie da się tak prosto
zrobić, trzeba wtedy sklonować całą kartę wraz z ID.
Aplikacji do grzebania w takich kartach jest chyba sporo, także
np. dla komputerów z libnfc (typowe czytniki USB), albo dla układów
tylko-MIFARE (i tylko active/initiator).
--
Krzysztof Hałasa
-
38. Data: 2020-09-02 11:11:22
Temat: Re: wroclawskie biletomaty
Od: Piotr Gałka <p...@c...pl>
W dniu 2020-08-31 o 15:36, Dawid Rutkowski pisze:
> Poza tym z moich zabaw wynikło, że nie ma (albo wtedy nie znalazłem) apki
czytającej mifare - wykrywały zbliżenie, ale pisały, że mifare classic nie czytają
Classic złamana ładnych parę lat temu, ale być może jakby apka z tego
korzystała to ktoś by się narażał na jakieś konsekwencje - więc nie czyta.
> (a czytały karty płatnicze i paszport - fajne to, nawet zdjęcie można odczytać i
wyświetlić na ekranie, zabezpieczone są tylko odciski palców).
To co jest jawnie zapisane to chyba nikt nie może mieć podstaw do
zakazywania czytania.
>> Nie widzę żadnego problemu, aby były też programowalne breloki mifare
>> (dopóki chodzi tylko o numer karty).
>
> Ja też nie widzę teoretycznego.
> Pytam o praktykę, czyli co można kupić od ręki od chińczyka.
Wydaje mi się, że kilka lat temu ktoś na grupie dawał linka do ofert
chińczyka (czytnik/programator + 10 czy 20 czystych kart) zarówno dla
Unique jak i Mifare (sam numer karty).
P.G.
-
39. Data: 2020-09-02 19:30:02
Temat: Re: wroclawskie biletomaty
Od: cef <c...@i...pl>
W dniu 2020-08-31 o 04:35, J.F. pisze:
> Dnia Fri, 28 Aug 2020 20:56:35 +0200, cef napisał(a):
>> W dniu 2020-08-28 o 13:21, J.F. pisze:
> [...]
>> Akurat tak się składa, że dziś musiałem korzystać z komunikacji
>> i kupowałem bilet w dwóch kolejnych tramwajach.
>> Płaciłem kredytówką millennium w odstępach 15min -
>> i przeszły obie płatności - apka nie widziała żadnego śladu,
>> więc pewnie poszło offline. Do tej chwili ani w aplikacji ani w systemie
>> w banku nie ma żadnego śladu, ani blokady.
>
> To teraz bys musial sprawdzic kolejny raz.
>
> 15 minut ... moze za malo czasu na "zablokowanie"
No to dzisiaj jechałem znowu i karta przeszła,
więc na razie nie zablokowali.
Ale od piątku 28.08 do dziś żadnych obciążeń z Mennicy nie
było - ani w aplikacji nie widziałem ale sprawdziłem też wyciąg
czy nie przyszły jakoś cichaczem.
Czy ktoś jeżdżący częściej komunikacją we Wrocławiu
mógłby napisać ile czasu u nich trwa zanim
obciążają kartę?
-
40. Data: 2020-09-03 10:47:23
Temat: Re: wroclawskie biletomaty
Od: "J.F." <j...@p...onet.pl>
Użytkownik "cef" napisał w wiadomości grup
dyskusyjnych:5f4fd69a$0$17362$6...@n...neostrad
a.pl...
W dniu 2020-08-31 o 04:35, J.F. pisze:
> [...]
>>> Akurat tak się składa, że dziś musiałem korzystać z komunikacji
>>> i kupowałem bilet w dwóch kolejnych tramwajach.
>>> Płaciłem kredytówką millennium w odstępach 15min -
>>> i przeszły obie płatności - apka nie widziała żadnego śladu,
>>> więc pewnie poszło offline. Do tej chwili ani w aplikacji ani w
>>> systemie
>>> w banku nie ma żadnego śladu, ani blokady.
>
>> To teraz bys musial sprawdzic kolejny raz.
>> 15 minut ... moze za malo czasu na "zablokowanie"
>No to dzisiaj jechałem znowu i karta przeszła,
>więc na razie nie zablokowali.
>Ale od piątku 28.08 do dziś żadnych obciążeń z Mennicy nie
>było - ani w aplikacji nie widziałem ale sprawdziłem też wyciąg
>czy nie przyszły jakoś cichaczem.
>Czy ktoś jeżdżący częściej komunikacją we Wrocławiu
>mógłby napisać ile czasu u nich trwa zanim obciążają kartę?
Ja jezdze rzadko, ale czasem to trwa krotko - place, i apka na
telefonie niedlugo potem melduje, ze obciazenie przyszlo.
A czasem jak widac dlugo ...
J.