System Pobierania Opłat za Przejazdy ZTM

Moderator: JacekM

px33
Posty: 1582
Rejestracja: 07 lut 2011, 17:43

Post autor: px33 » 08 maja 2013, 7:40

matemaciek pisze:Wtedy przeniesienie "czarnej skrzynki" nie zadziała (-:
Przeniesienie "czarnej skrzynki" zadziała zawsze. Kupujesz nieaktywowany bilet, robisz zrzut, aktywujesz, po miesiącu wgrywasz stary zrzut, aktywujesz...

matemaciek
Posty: 71
Rejestracja: 19 lip 2007, 12:35
Lokalizacja: Bialystok / Warszawa
Kontakt:

Post autor: matemaciek » 08 maja 2013, 7:46

OK, nie zadziała na skalę masową - póki jest to kwestia domorosłego "hakiera" który znajdzie kilka puzzli w Internecie, połączy w całość skala i tak będzie dużo mniejsza niż w sytuacji gdy wystarczy pójść do pasera, zapłacić pół ceny, wyjść z biletem, zapomnieć.
Error 404: signature not found.

Awatar użytkownika
MisiekK
Posty: 7650
Rejestracja: 15 gru 2005, 18:17
Lokalizacja: Nowe Dwory Tarchomińskie

Post autor: MisiekK » 08 maja 2013, 13:37

Jeśli nowy sposób kodowania to bilet kartonikowy na standardzie jednorazowego, to te też są fałszowane. Sam kiedyś kupiłem takowy w kiosku, nie dał się skasować i potem miałem miłą rozmowę na Zakroczymskiej.
Jožin z bažin kouše, saje, rdousí.... -
"Dopóki nie skorzystałem z Internetu, nie wiedziałem, że na świecie jest tylu idiotów" - Stanisław Lem
Powyższy post jest tylko i wyłącznie moim prywatnym zdaniem z którym inni dyskutanci nie muszą się zgadzać.

MichalJ
Posty: 15236
Rejestracja: 12 kwie 2010, 19:33

Post autor: MichalJ » 08 maja 2013, 13:39

Ale to znaczy, że był sfałszowany nieudolnie - tylko wygląd, nie funkcja.

Awatar użytkownika
MisiekK
Posty: 7650
Rejestracja: 15 gru 2005, 18:17
Lokalizacja: Nowe Dwory Tarchomińskie

Post autor: MisiekK » 08 maja 2013, 13:53

MichalJ pisze:Ale to znaczy, że był sfałszowany nieudolnie - tylko wygląd, nie funkcja.
Raczej seria była już wykryta i zablokowana, a sprzedawca tego nie wiedział.
Jožin z bažin kouše, saje, rdousí.... -
"Dopóki nie skorzystałem z Internetu, nie wiedziałem, że na świecie jest tylu idiotów" - Stanisław Lem
Powyższy post jest tylko i wyłącznie moim prywatnym zdaniem z którym inni dyskutanci nie muszą się zgadzać.

px33
Posty: 1582
Rejestracja: 07 lut 2011, 17:43

Post autor: px33 » 08 maja 2013, 15:48

matemaciek pisze:niż w sytuacji gdy wystarczy pójść do pasera, zapłacić pół ceny, wyjść z biletem, zapomnieć
Jeśli paserzy to pracownicy firm, które mają (i muszą mieć) "wgląd" w system (ZTM, Mennica, ASEC, Macrosystem), a podobno tak właśnie jest, to żadne zabezpieczenia (chyba że baza i regularne sprawdzanie) nic nie dadzą.

rexec
Posty: 4
Rejestracja: 04 maja 2013, 0:16

Post autor: rexec » 30 maja 2013, 1:34

px33 pisze:
matemaciek pisze:niż w sytuacji gdy wystarczy pójść do pasera, zapłacić pół ceny, wyjść z biletem, zapomnieć
Jeśli paserzy to pracownicy firm, które mają (i muszą mieć) "wgląd" w system (ZTM, Mennica, ASEC, Macrosystem), a podobno tak właśnie jest, to żadne zabezpieczenia (chyba że baza i regularne sprawdzanie) nic nie dadzą.
To nie są pracownicy tych firm. ZTM nikomu nie udostępnił kluczy (nawet własnym pracownikom, stosując trójpodział każdego klucza). Klucze zostały wyciągnięte jedną z dwóch znanych metod (przypuszczalnie tą drugą, bo pierwsza jest znana od 5 lat, ale drożej kosztuje i większej wiedzy wymaga). ZTM sam nie zrobi systemu, bo nie jest firmą informatyczną. Zawsze i wszędzie systemy wdrażają softwarehousy. BTW, systemu WKM nie wdrażała żadna z wymienionych firm, tylko Ascom-Monetel - obecnie ACS, w Polsce reprezentowany przez Syntax. Zamawiający (np. ZTM) powinien jedynie wyspecyfikować żądany poziom zabezpieczeń. Ale 12 lat temu nikt jeszcze nie wiedział, że Philips (obecnie NXP) dał d... i za kilka lat wszystkim wdrażającym Mifare Classic, odbije się to mocną czkawką. Nikt nie daje 10+ letniej gwarancji na systemy informatyczne, więc ZTM miał nie lada problem, z którego i tak nieźle wybrnął (nie zdecydował się kupić tysięcy nowych kasowników od ACS, tylko wymógł na nich odpowiednią zmianę mapy karty). Nowa mapa karty (ku mojemu zaskoczeniu) jest naprawdę skuteczna. Zwolennikom teorii wieczystego klonowania zalecam dokładną (ze zrozumieniem i wyobraźnią) lekturę dokumentacji Mifare Classic (w szczególności w odniesieniu do operacji na blokach VALUE oraz zezwoleń na dokonywanie tych operacji). Żal mi obecnego ZTM-u, bo zbiera cięgi za poprzedników, choć naprawdę sporo robi, zeby ich błędy naprawić.
Dla jasności: nie jestem pracownikiem ZTM, ani żadnej z ww. firm ;)

[ Dodano: Czw 30 Maj, 2013 01:36 ]
px33 pisze:
matemaciek pisze:niż w sytuacji gdy wystarczy pójść do pasera, zapłacić pół ceny, wyjść z biletem, zapomnieć
Jeśli paserzy to pracownicy firm, które mają (i muszą mieć) "wgląd" w system (ZTM, Mennica, ASEC, Macrosystem), a podobno tak właśnie jest, to żadne zabezpieczenia (chyba że baza i regularne sprawdzanie) nic nie dadzą.
To nie są pracownicy tych firm. ZTM nikomu nie udostępnił kluczy (nawet własnym pracownikom, stosując trójpodział każdego klucza). Klucze zostały wyciągnięte jedną z dwóch znanych metod (przypuszczalnie tą drugą, bo pierwsza jest znana od 5 lat, ale drożej kosztuje i większej wiedzy wymaga). ZTM sam nie zrobi systemu, bo nie jest firmą informatyczną. Zawsze i wszędzie systemy wdrażają softwarehousy. BTW, systemu WKM nie wdrażała żadna z wymienionych firm, tylko Ascom-Monetel - obecnie ACS, w Polsce reprezentowany przez Syntax. Zamawiający (np. ZTM) powinien jedynie wyspecyfikować żądany poziom zabezpieczeń. Ale 12 lat temu nikt jeszcze nie wiedział, że Philips (obecnie NXP) dał d... i za kilka lat wszystkim wdrażającym Mifare Classic, odbije się to mocną czkawką. Nikt nie daje 10+ letniej gwarancji na systemy informatyczne, więc ZTM miał nie lada problem, z którego i tak nieźle wybrnął (nie zdecydował się kupić tysięcy nowych kasowników od ACS, tylko wymógł na nich odpowiednią zmianę mapy karty). Nowa mapa karty (ku mojemu zaskoczeniu) jest naprawdę skuteczna. Zwolennikom teorii wieczystego klonowania zalecam dokładną (ze zrozumieniem i wyobraźnią) lekturę dokumentacji Mifare Classic (w szczególności w odniesieniu do operacji na blokach VALUE oraz zezwoleń na dokonywanie tych operacji). Żal mi obecnego ZTM-u, bo zbiera cięgi za poprzedników, choć naprawdę sporo robi, zeby ich błędy naprawić.
Dla jasności: nie jestem pracownikiem ZTM, ani żadnej z ww. firm ;)

Paweł D.
Posty: 5246
Rejestracja: 21 sie 2006, 23:50
Lokalizacja: Warszawa

Post autor: Paweł D. » 30 maja 2013, 11:17

Niedawno jechałem metrem i słyszałem rozmowę dwóch mężczyzn o biletach. A dokładnie to jeden narzekał, że już nie może naładować "lewej" karty bo coś się pozmieniało - podejrzewam, że chodziło o te kartonikowe "na okaziciela". A owe "lewe" kontrakty załatwiał mu pracownik ZTM - padła nawet nazwa konkretnego działu. Oczywiście rozmowa ta, to żaden dowód w sprawie, ale...

px33
Posty: 1582
Rejestracja: 07 lut 2011, 17:43

Post autor: px33 » 30 maja 2013, 14:29

rexec pisze:ZTM nikomu nie udostępnił kluczy
To jakim cudem działają kasowniki Macrosystemu czy wszystkie sieci sprzedaży biletów? Nawet jeśli nie dostali "czystych" kluczy tylko moduły SAM (co w przypadku starych kart byłoby niegospodarnością), to na pewno dostali dodatkowe moduły do testów wewnętrznych, które pracownicy mogą wykorzystywać do ładowania lewych kart.
rexec pisze:Nowa mapa karty (ku mojemu zaskoczeniu) jest naprawdę skuteczna
Nowa czyli która i kiedy ją wprowadzono?
rexec pisze:dał d... i za kilka lat wszystkim wdrażającym Mifare Classic, odbije się to mocną czkawką.
Nie wszystkim. Wystarczy samemu szyfrować dane na karcie, dodać szyfrowaną sumę kontrolną zależną od numeru karty i ewentualnie ustawiać klucze zależne od numeru karty i nagle magicznie system nie tyle staje się całkiem bezpieczny, co jego łamanie nieopłacalne.

Awatar użytkownika
person
(geograf)
Posty: 8267
Rejestracja: 15 gru 2005, 2:45
Lokalizacja: z szafy

Post autor: person » 30 maja 2013, 15:33

Paweł D. pisze: padła nawet nazwa konkretnego działu.
Och, uwielbiam podsłuchiwać takie rozmowy. Podasz tę nazwę?

asq
Posty: 202
Rejestracja: 14 lis 2011, 0:16

Post autor: asq » 30 maja 2013, 17:15

rexec pisze:Zamawiający (np. ZTM) powinien jedynie wyspecyfikować żądany poziom zabezpieczeń. Ale 12 lat temu nikt jeszcze nie wiedział, że Philips (obecnie NXP) dał d... i za kilka lat wszystkim wdrażającym Mifare Classic, odbije się to mocną czkawką. Nikt nie daje 10+ letniej gwarancji na systemy informatyczne
o audytach oczywiście nie słyszeli ](*,)
rexec pisze:Nowa mapa karty (ku mojemu zaskoczeniu) jest naprawdę skuteczna.
Obrazek
rexec pisze:Zwolennikom teorii wieczystego klonowania zalecam dokładną (ze zrozumieniem i wyobraźnią) lekturę dokumentacji Mifare Classic (w szczególności w odniesieniu do operacji na blokach VALUE oraz zezwoleń na dokonywanie tych operacji).
tak to jest jak ktoś czyta specyfikację, bez zrozumienia zasady działania systemu ](*,)

Paweł D.
Posty: 5246
Rejestracja: 21 sie 2006, 23:50
Lokalizacja: Warszawa

Post autor: Paweł D. » 30 maja 2013, 17:32

person pisze:
Paweł D. pisze: padła nawet nazwa konkretnego działu.
Och, uwielbiam podsłuchiwać takie rozmowy. Podasz tę nazwę?
Oczywiście, że nie podam (przynajmniej publicznie). Wiarygodność tej rozmowy mogła być i zerowa i 100%. A z drugiej strony, to w spiskową teorię o osobach jeżdżących po mieście i w rozmowach oczerniających ZTM też jakoś nie wierzę. A na snujących fantasmagorie mkm-ów raczej nie wyglądali.

MichalJ
Posty: 15236
Rejestracja: 12 kwie 2010, 19:33

Post autor: MichalJ » 04 cze 2013, 12:50

Jak działa "podłączenie karty płatniczej" do konta w mPay? Bo do tej pory zasilałem konto przelewem, to tyle wiem. A z 'podłączonej karty' to nadal się zasila portmonetkę (jak?) czy bezpośrednio bilety kupuje?

matemaciek
Posty: 71
Rejestracja: 19 lip 2007, 12:35
Lokalizacja: Bialystok / Warszawa
Kontakt:

Post autor: matemaciek » 19 cze 2013, 12:38

Coś drgnęło: http://www.ztm.waw.pl/zamowieniapublicz ... &l=1&i=352
ZAPROJEKTOWANIE I WDROŻENIE NOWEGO SYSTEMU POBIERANIA OPŁAT ZA PRZEJAZDY
Data ogłoszenia: 19.06.2013
Termin składania ofert/wniosków: 26.06.2013 godzina: 11:00
Tryb zamówienia: Dialog techniczny
Error 404: signature not found.

Awatar użytkownika
Wolfchen
(Busmann)
Posty: 14778
Rejestracja: 16 kwie 2006, 9:21
Lokalizacja: Warszawa

Post autor: Wolfchen » 19 cze 2013, 14:17

MichalJ pisze:Jak działa "podłączenie karty płatniczej" do konta w mPay?
ZTCP, to bezpośrednio z karty Ci ciągnie kasę.
S3 | S4 | R8 | R90 | RE8 | RE90 || 10 | 11 || 105 | 136 | 167 | 178 | 184 | 186 | 255 | 414 | 523 | N43

Zablokowany