-
81. Data: 2020-09-10 10:41:01
Temat: Re: wroclawskie biletomaty
Od: "J.F." <j...@p...onet.pl>
Użytkownik "Robert Tomasik" napisał w wiadomości grup
dyskusyjnych:5f59446e$0$17341$6...@n...neostrad
a.pl...
W dniu 09.09.2020 o 14:10, J.F. pisze:
>>>>> Ciekawe, jaki procent przychodów przeróżnych MPK zjadają systemy
>>>>> poboru opłat.
>>>> To może być tajne, ale wiadomo, że miast dopłacają np. grubo
>>>> powyżej
>>>> połowy ogólnych kosztów. Z drugiej strony, kiedyś "chwalili się",
>>>> że
>>>> zyski z pojedynczych biletów z trudem przekraczają zero.
>>> Na szybkiego mam taki pomysł, by każdy pasażer miał identyfikator,
>>> a
>>> dofinansowanie zależało od ilości zarejestrowanych wejść. Wówczas
>>> przedsiębiorcy będzie zależało na ilości "zadowolonych" klientów.
>>> I może
>>> jeszcze jakaś funkcja uzależniająca wysokość dotacji od ilości w
>>> ogóle
>>> jeżdżących oraz ilości wejść do pojazdu.
>> Ale ktoremu przedsiebiorcy ?
>Ja bym płacił temu, co to jego kasownik :-) Piętrzysz problemy :-)
Bo z tekstu wynika, jakbys chcial uzaleznic doplate dla przewoznika, a
nie dla kasownika :-)
J.
-
82. Data: 2020-09-10 12:14:28
Temat: Re: wroclawskie biletomaty
Od: Robert Tomasik <r...@g...pl>
W dniu 10.09.2020 o 10:41, J.F. pisze:
>>>> Na szybkiego mam taki pomysł, by każdy pasażer miał identyfikator, a
>>>> dofinansowanie zależało od ilości zarejestrowanych wejść. Wówczas
>>>> przedsiębiorcy będzie zależało na ilości "zadowolonych" klientów. I
>>>> może
>>>> jeszcze jakaś funkcja uzależniająca wysokość dotacji od ilości w ogóle
>>>> jeżdżących oraz ilości wejść do pojazdu.
>>> Ale ktoremu przedsiebiorcy ?
>> Ja bym płacił temu, co to jego kasownik :-) Piętrzysz problemy :-)
> Bo z tekstu wynika, jakbys chcial uzaleznic doplate dla przewoznika, a
> nie dla kasownika :-)
Bo tak bym chciał to zrobić. Chodzi o to, by zainteresować przewoźnika
organizacją przewozów dla ludzi, a nie dla much.
--
Robert Tomasik
-
83. Data: 2020-09-12 00:24:17
Temat: Re: wroclawskie biletomaty
Od: Grzexs <g...@w...pl>
>> Gdy jest już mniej niż 6 przystanków do końca linii, to od razu ściąga
>> niższą opłatę. Wtedy to nie wiem, jak przesiadki wyglądają.
>
> A jak ktoś wsiada 1 przystanek przed końcem linii i planuje posiedzieć
> chwilę na końcowym i jechać dalej.
> Koniec linii nie musi być pętlą że tramwaj/autobus wraca tą samą trasą.
> Od dziecka mieszkałem wewnątrz pętli tramwajowej wzdłuż której (tej
> pętli) było chyba 7 przystanków zanim tory się z powrotem spotykały.
> Jeden z tych przystanków był 'końcowy'.
Coś jak 14 i 24 we Wrocławiu (dawniej 13 i 20)? W Białej Podlaskiej
takich cudów nie ma.
--
Grzexs
-
84. Data: 2020-09-12 15:14:16
Temat: Re: wroclawskie biletomaty
Od: Dawid Rutkowski <d...@w...pl>
W dniu środa, 2 września 2020 00:41:28 UTC+2 użytkownik Krzysztof Halasa napisał:
> Dawid Rutkowski writes:
>
> > Od odczytaniu numeru do sklonowania karty (a o klonowaniu mówimy, bo
> > chodzi o sposób oszukania białej listy w urządzeniu kontrolerskim)
> > długa droga.
>
> Sklonowanie MIFARE classic 4k jest proste.
> Tyle że trzeba ją gdzieś "nagrać". Nie można nagrać na taką zwykłą, bo
> block #0 jest R/O.
>
[cut]
>
> Zwykłą, oryginalną kartę MIFARE? Przecież te bilety miały być już dawno
> podpisane - oczywiście wraz z numerem karty. Tego nie da się tak prosto
> zrobić, trzeba wtedy sklonować całą kartę wraz z ID.
No to się w końcu zdecyduj, czy jest to proste, czy jednak nie tak proste.
A kart podpisane musiały być od samego początku - tylko tu też pojawił się numer w
postaci wyjątku w regulaminie dla "zapominalskich" - czyli jak nie miałeś biletu, to
brałeś mandat, potem pożyczałeś od kogoś kartę, ścierałeś/zmywałeś jego nazwisko,
wpisywałeś swoje, jechałeś do punktu ZTM, pokazywałeś kartę i wstawiałeś kit o
"zapomnieniu" - i zamiast kilku stówek płaciłeś tylko 6,40zł "opłaty manipulacyjnej'.
Najpierw próbowali to rozwiązać w ten sposób, że ten pasek, na którym się
podpisywało, pokrywali taką zmywalną warstwą z logo ZTM - ale widać to nie pomogło i
wprowadzili karty z nadrukowanym zdjęciem i imieniem i nazwiskiem - a przede
wszystkim zaczęli zapisywać w centralnej bazie, do kogo (PESEL) karta z danym numerem
należy.
> > Póki co można sobie naładować warszawską kartę lewym biletem mając
> > telefon z NFC i piracką apkę (piratom trzeba zapłacić oczywiście).
> > Ale na to sposobem może być biała lista w urządzeniu kontrolerskim - i
> > wygląda na to, że nie jest to "łatwe" do obejścia.
>
> Biała lista czego? Nie widzę przydatności żadnej białej ani innej listy.
Echh, od początku.
Problem: złamano szyfrowanie kart mifare i każdy może sobie teraz zapisać na takiej
karcie "bilet".
Rezultat: podczas "klasycznej" kontroli - czyli kanar przykłada do karty swoje
urządzenie, które sprawdza, czy bilet jest ważny (tu też jest ciekawostka, z mojej
historii można wnioskować, że choć na karcie zapisany jest "typ biletu", to niewiele
on znaczy - bo nie jest zapisana data początku ważności, a koniec wylicza się z
początku ważności + typu, tylko zapisany jest po prostu koniec ważności, a typ ma
znaczenie tylko przy cenie nowego biletu w momencie przedłużania - a historia jest
taka, że zapisał mi się na karcie bilet ważny do 2031 roku - szkoda, że już jej nie
mam :( ) nie ma możliwości wykrycia oszustw.
Pomysł: nie sprawdzać tego, co jest zapisane na karcie, bo może to być fałszywka,
tylko każde urządzenie kontrolerskie ma zapisaną "białą listę" kart, dla których
kupiono ważne bilety. Jest to możliwe, bo od samego początku do centralnej bazy szły
informacje o sprzedanych biletach - inaczej skąd ZTM miałby wiedzieć, ile kasy chcieć
od kioskarzy? Jak sprzedawali papierowe bilety, to można było to rozliczać - a jak
inaczej rozliczać zapisy na kartach (swoją drogą na początku miesięczne też były na
kartonikach, bo było mało punktów sprzedaży z zapisem na karcie - wymagana była
bowiem łączność netowa - dopiero po upowszechnieniu się GPRS pojawiło się zapisywanie
biletów na kartach np. w kioskach).
Powstaje oczywiście problem update'u - ale obecnie to żaden problem, można przez
GPRS. Plus jeszcze sytuacja, że ktoś sobie właśnie kupił/naładował kartę - w takiej
sytuacji można albo sprawdzić w bazie przez GPRS albo przyjąć, że jak jest pierwszy
dzień ważności, to przyjmujemy, że karta jest OK.
Można jeszcze pomyśleć o sprawdzaniu w drugą stronę - czyli urządzenie kontrolerskie
zapisuje, jakie karty danego dnia sprawdziło, i jak ten log wyśle do centrali (nie
musi to być codziennie, więc niekoniecznie GPRS, można to robić np. przy ładowaniu
albo po prostu co parę dni) to można wykryć, które sprawdzone karty miały lewe bilety
- i wysłać do takiego delikwenta (bo wiadomo, czyja to karta) policję.
No i są jeszcze "stacjonarne" urządzenie kontrolerskie, czyli bramki w metrze - ale
je można po pierwsze ominąć, np. przeskakując lub wjeżdżając windą na peron, a po
drugie wymagałyby wymiany komputerów.
Nie wiem, po co ktoś to w ogóle wymyślił, skoro i tak można omijać, a tylko powoduje
zatory i problemy - w Atenach jest po prostu wyrysowana linia, przy której stoją
kasowniki. A w metrze w DC i tak kanary jeżdżą i sprawdzają, bo przecież można bramki
omijać...
Na koniec ciekawy przykład z linii tramwajowej w Istambule - tam w ogóle nie ma
biletów papierowych czy kart, ale każdy przystanek jest ogrodzony, a wejście jest
przez bramki (takie same kołowrotki jak w metrze w DC), do których wrzuca się żetony
kupione w automacie. Żeby nie było gapowiczów, na każdym przystanku przy bramkach
jest budka, w której siedzi gościu i pilnuje. Ciekawe, czy więcej potrzeba takich
gości pilnujących czy kanarów jeżdżących (ale w Turcji dużo ludzi i mnóstwo młodych,
przynajmniej mają robotę).
Za to w Moskwie takie kołowrotki (turnikiety) są zamontowane w drzwiach tramwajów -
wysokopodłogowych, na schodach...
No ale takie cudo możliwe są w miastach, gdzie jeździ się metrem - a transport
naziemny okupują emeryci.
-
85. Data: 2020-09-12 15:17:32
Temat: Re: wroclawskie biletomaty
Od: Dawid Rutkowski <d...@w...pl>
W dniu czwartek, 10 września 2020 10:22:37 UTC+2 użytkownik Piotr Gałka napisał:
> W dniu 2020-09-09 o 20:48, Grzexs pisze:
> >
> > Gdy jest już mniej niż 6 przystanków do końca linii, to od razu ściąga
> > niższą opłatę. Wtedy to nie wiem, jak przesiadki wyglądają.
>
> A jak ktoś wsiada 1 przystanek przed końcem linii i planuje posiedzieć
> chwilę na końcowym i jechać dalej.
> Koniec linii nie musi być pętlą że tramwaj/autobus wraca tą samą trasą.
> Od dziecka mieszkałem wewnątrz pętli tramwajowej wzdłuż której (tej
> pętli) było chyba 7 przystanków zanim tory się z powrotem spotykały.
> Jeden z tych przystanków był 'końcowy'.
W Nowym Porcie czy przy Brzeźnie?
Dalej jest tam "koniec trasy" (Brzeźno-Plaża już jest "normalną" pętlą z dwutorową
linią. dopiero dalej jest jednotorowa)?
A na tym "końcowym" to tramwaj w ogóle stawał na dłużej?
W DC jest jedna taka pętle, wokół kwartału kamienic na Stalowej/Czynszowej.
Ale jest na tyle mała, że spokojnie można iść na przystanek we właściwym kierunku, bo
na "końcowym" jest jak na "normalnej" pętli, tramwaj trochę stoi i motorowy ma
odpoczynek.
-
86. Data: 2020-09-13 18:39:54
Temat: Re: wroclawskie biletomaty
Od: Krzysztof Halasa <k...@p...waw.pl>
Dawid Rutkowski <d...@w...pl> writes:
> No to się w końcu zdecyduj, czy jest to proste, czy jednak nie tak
> proste.
Przecież napisałem co jest proste, a co nie. Można w prosty sposób
podpisać np. bilet miesięczny na karcie, i nie da się tego w prosty
sposób (kopiując na inną "zwykłą" kartę) obejść. Aczkolwiek w ogóle da
się to obejść (dla mnie w prosty, choć może nieco pracochłonny sposób).
> A kart podpisane musiały być od samego początku - tylko tu też pojawił
> się numer w postaci wyjątku w regulaminie dla "zapominalskich" - czyli
> jak nie miałeś biletu, to brałeś mandat, potem pożyczałeś od kogoś
> kartę, ścierałeś/zmywałeś jego nazwisko, wpisywałeś swoje, jechałeś do
itd. Tyle że są różne rodzaje podpisów. Myślałem, że z kontekstu wynika
co mam na myśli, ale widocznie było to niejasne. Ty piszesz
o podpisywaniu fizycznej karty imieniem i nazwiskiem. Ja pisałem
o cyfrowym podpisie treści umieszczonych na karcie (w tym jej ID).
Te podpisy służą innym celom - podpis "fizyczny" (zdjęcie itp) ma
sprawić, że karty może używać tylko jej "prawowity" posiadacz, natomiast
podpis cyfrowy powinien uniemożliwić przenoszenie biletów (i po prostu
tworzenie ich) na kartach, do których nie zostały one wydane.
> Problem: złamano szyfrowanie kart mifare i każdy może sobie teraz
> zapisać na takiej karcie "bilet".
Ano. Przy czym wiadomo było, że to da się zrobić. Tyle że nie wymagało
to metod, jakich mogło wymagać (np. rozpuszczania w kwasie itd). No
i chyba klucze okazały się stałe, niezależne od karty.
> Rezultat: podczas "klasycznej" kontroli - czyli kanar przykłada do
> karty swoje urządzenie, które sprawdza, czy bilet jest ważny (tu też
> jest ciekawostka, z mojej historii można wnioskować, że choć na karcie
> zapisany jest "typ biletu", to niewiele on znaczy - bo nie jest
> zapisana data początku ważności, a koniec wylicza się z początku
> ważności + typu, tylko zapisany jest po prostu koniec ważności, a typ
> ma znaczenie tylko przy cenie nowego biletu w momencie przedłużania -
> a historia jest taka, że zapisał mi się na karcie bilet ważny do 2031
> roku - szkoda, że już jej nie mam :( ) nie ma możliwości wykrycia
> oszustw.
Ależ oczywiście, że są takie możliwości. Nie da się wykryć "całkowitych
klonów" tym sposobem, ale da się wykryć wszelkie trywialne ataki.
Tylko ktoś, to to wszystko projektuje, musi mieć jakieś pojęcie o tym,
co zamierza zrobić.
> Pomysł: nie sprawdzać tego, co jest zapisane na karcie, bo może to być
> fałszywka, tylko każde urządzenie kontrolerskie ma zapisaną "białą
> listę" kart, dla których kupiono ważne bilety. Jest to możliwe, bo od
> samego początku do centralnej bazy szły informacje o sprzedanych
> biletach - inaczej skąd ZTM miałby wiedzieć, ile kasy chcieć od
> kioskarzy?
Nikt w to chyba nie wątpi. Tyle że to wymaga niestety praktycznie
stałego połączenia z siecią, a dodatkowo zapewne spowolniłoby całą
operację. Ergo - bez sensu.
> Powstaje oczywiście problem update'u - ale obecnie to żaden problem,
> można przez GPRS. Plus jeszcze sytuacja, że ktoś sobie właśnie
> kupił/naładował kartę - w takiej sytuacji można albo sprawdzić w bazie
> przez GPRS albo przyjąć, że jak jest pierwszy dzień ważności, to
> przyjmujemy, że karta jest OK.
I wtedy wszystkie "podrobione" karty będą miały zawsze pierwszy dzień
ważności biletu.
Niestety w bezpieczeństwie jest tak, że trzeba przewidywać przynajmniej
kilka kroków drugiej strony. Trochę jak w szachach. W każdym razie
doraźne, bezmyślne działania zwykle zdają się psu na budę.
> Można jeszcze pomyśleć o sprawdzaniu w drugą stronę - czyli urządzenie
> kontrolerskie zapisuje, jakie karty danego dnia sprawdziło, i jak ten
> log wyśle do centrali (nie musi to być codziennie, więc niekoniecznie
> GPRS, można to robić np. przy ładowaniu albo po prostu co parę dni) to
> można wykryć, które sprawdzone karty miały lewe bilety - i wysłać do
> takiego delikwenta (bo wiadomo, czyja to karta) policję.
Nie wiadomo czyja to karta i kto się nią (lub jej klonem) posługiwał.
Jedyne co można w ten sposób osiągnąć to jeszcze większy upadek
autorytetu policji. A, właściwie to to jest już chyba niemożliwe.
> A w metrze w DC i tak kanary
> jeżdżą i sprawdzają, bo przecież można bramki omijać...
IIRC to i w metrze w Atenach i w innych miastach jeżdżą. Mimo że
w niektórych omijanie bramek może być trudne i raczej bolesne.
Aczkolwiek sama argumentacja jest przypuszczalnie prawidłowa, tylko
argument o Atenach (itd.) nijak niepotrzebny.
--
Krzysztof Hałasa
-
87. Data: 2020-09-13 21:08:01
Temat: Re: wroclawskie biletomaty
Od: cef <c...@i...pl>
W dniu 2020-09-06 o 07:56, cef pisze:
> W dniu 2020-09-03 o 10:47, J.F. pisze:
>
>>> No to dzisiaj jechałem znowu i karta przeszła,
>>> więc na razie nie zablokowali.
>>> Ale od piątku 28.08 do dziś żadnych obciążeń z Mennicy nie
>>> było - ani w aplikacji nie widziałem ale sprawdziłem też wyciąg
>>> czy nie przyszły jakoś cichaczem.
>>> Czy ktoś jeżdżący częściej komunikacją we Wrocławiu
>>> mógłby napisać ile czasu u nich trwa zanim obciążają kartę?
>>
>> Ja jezdze rzadko, ale czasem to trwa krotko - place, i apka na
>> telefonie niedlugo potem melduje, ze obciazenie przyszlo.
>> A czasem jak widac dlugo ...
>
> Dziś rano blokada przyszła, wisi teraz jako oczekująca,
> tylko data transakcji też dzisiejsza - zobaczymy co się
> ustali jak obciążą.
No i tydzień blokada wisiała, a dziś znikła, ale nie ma obciążenia.
Chociaż warto poczekać do poniedziałku, bo może wtedy się zaktualizuje
historia.
Chyba będę musiał się znowu przejechać MPK,
żeby sprawdzić czy ta karta trafiła na listę nieobsługiwanych
i zostanie odrzucona przy najbliższej okazji.
Jeśli tak się stanie, to w zasadzie ja jestem do przodu,
bo przejechałem się za darmo, ale jeśli okaże się, że
moja karta została dodana do zbioru "tych klientów nie obsługujemy"
to gdzie powinienem zareklamować ten fakt?
W banku, że mam dupiaty produkt
czy w MPK, że płatności obsługuje jakaś badziewniana
firma co potrafi zidentyfikować pasażera, ale nie może go obciążyć za bilet?
Kto tu winien? Tzn winien, że nie udało się obciążyć karty.
-
88. Data: 2020-09-14 07:36:29
Temat: Re: wroclawskie biletomaty
Od: cef <c...@i...pl>
W dniu 2020-09-13 o 21:08, cef pisze:
> Jeśli tak się stanie, to w zasadzie ja jestem do przodu,
> bo przejechałem się za darmo, ale jeśli okaże się, że
> moja karta została dodana do zbioru "tych klientów nie obsługujemy"
> to gdzie powinienem zareklamować ten fakt?
> W banku, że mam dupiaty produkt
> czy w MPK, że płatności obsługuje jakaś badziewniana
> firma co potrafi zidentyfikować pasażera, ale nie może go obciążyć za
> bilet?
> Kto tu winien? Tzn winien, że nie udało się obciążyć karty.
Na razie bank twierdzi, ze Mennica ma 30 dni na obciążenie,
a blokada może wisieć tylko 7 dni, więc po tygodniu znika co wcale nie
znaczy, ze
sprzedawca nie może obciążyć bez blokady.
Niby drobiazg, a taki porypany sposób rozliczania.
-
89. Data: 2020-09-14 08:28:50
Temat: Re: wroclawskie biletomaty
Od: Pete <n...@n...com>
Hello, cef.
On 14.09.2020 07:36 you wrote:
> W dniu 2020-09-13 o 21:08, cef pisze:
>> Jeśli tak się stanie, to w zasadzie ja jestem do przodu, bo
>> przejechałem się za darmo, ale jeśli okaże się, że moja karta
>> została dodana do zbioru "tych klientów nie obsługujemy" to gdzie
>> powinienem zareklamować ten fakt? W banku, że mam dupiaty produkt
>> czy w MPK, że płatności obsługuje jakaś badziewniana firma co
>> potrafi zidentyfikować pasażera, ale nie może go obciążyć za
>> bilet? Kto tu winien? Tzn winien, że nie udało się obciążyć karty.
> Na razie bank twierdzi, ze Mennica ma 30 dni na obciążenie, a
> blokada może wisieć tylko 7 dni, więc po tygodniu znika co wcale nie
> znaczy, ze sprzedawca nie może obciążyć bez blokady. Niby drobiazg,
> a taki porypany sposób rozliczania.
Ale to nie jest specyfika tylko mennicy. Tak to działa po prostu.
--
Pete
-
90. Data: 2020-09-14 08:40:16
Temat: Re: wroclawskie biletomaty
Od: cef <c...@i...pl>
W dniu 2020-09-14 o 08:28, Pete pisze:
> Hello, cef.
> On 14.09.2020 07:36 you wrote:
>
> > W dniu 2020-09-13 o 21:08, cef pisze:
> >> Jeśli tak się stanie, to w zasadzie ja jestem do przodu, bo
> >> przejechałem się za darmo, ale jeśli okaże się, że moja karta
> >> została dodana do zbioru "tych klientów nie obsługujemy" to gdzie
> >> powinienem zareklamować ten fakt? W banku, że mam dupiaty produkt
> >> czy w MPK, że płatności obsługuje jakaś badziewniana firma co
> >> potrafi zidentyfikować pasażera, ale nie może go obciążyć za
> >> bilet? Kto tu winien? Tzn winien, że nie udało się obciążyć karty.
> > Na razie bank twierdzi, ze Mennica ma 30 dni na obciążenie, a
> > blokada może wisieć tylko 7 dni, więc po tygodniu znika co wcale nie
> > znaczy, ze sprzedawca nie może obciążyć bez blokady. Niby drobiazg,
> > a taki porypany sposób rozliczania.
>
> Ale to nie jest specyfika tylko mennicy. Tak to działa po prostu.
Sam sposób nie jest mi obcy, tylko
dziwi mnie, że tak długo to przetwarzają.
Rzadko jeżdżę MPK, ale w czasie tych kilku przejazdów
faktycznie nieznaczny procent pasażerów kupował
kartą (większość jeździ na jakichś okresowych),
więc też nie jest to jakiś gigantyczny obrót, którego
spływ jest opóźniony o 2-3 tygodnie.