System Pobierania Opłat za Przejazdy ZTM

[px33]

Wtedy przeniesienie "czarnej skrzynki" nie zadziała (-:

Przeniesienie "czarnej skrzynki" zadziała zawsze. Kupujesz nieaktywowany bilet, robisz zrzut, aktywujesz, po miesiącu wgrywasz stary zrzut, aktywujesz...

[matemaciek]

OK, nie zadziała na skalę masową - póki jest to kwestia domorosłego "hakiera" który znajdzie kilka puzzli w Internecie, połączy w całość skala i tak będzie dużo mniejsza niż w sytuacji gdy wystarczy pójść do pasera, zapłacić pół ceny, wyjść z biletem, zapomnieć.

[MisiekK]

Jeśli nowy sposób kodowania to bilet kartonikowy na standardzie jednorazowego, to te też są fałszowane. Sam kiedyś kupiłem takowy w kiosku, nie dał się skasować i potem miałem miłą rozmowę na Zakroczymskiej.

[MichalJ]

Ale to znaczy, że był sfałszowany nieudolnie - tylko wygląd, nie funkcja.

[MisiekK]

Ale to znaczy, że był sfałszowany nieudolnie - tylko wygląd, nie funkcja.

Raczej seria była już wykryta i zablokowana, a sprzedawca tego nie wiedział.

[px33]

niż w sytuacji gdy wystarczy pójść do pasera, zapłacić pół ceny, wyjść z biletem, zapomnieć

Jeśli paserzy to pracownicy firm, które mają (i muszą mieć) "wgląd" w system (ZTM, Mennica, ASEC, Macrosystem), a podobno tak właśnie jest, to żadne zabezpieczenia (chyba że baza i regularne sprawdzanie) nic nie dadzą.

[rexec]

niż w sytuacji gdy wystarczy pójść do pasera, zapłacić pół ceny, wyjść z biletem, zapomnieć

Jeśli paserzy to pracownicy firm, które mają (i muszą mieć) "wgląd" w system (ZTM, Mennica, ASEC, Macrosystem), a podobno tak właśnie jest, to żadne zabezpieczenia (chyba że baza i regularne sprawdzanie) nic nie dadzą.

To nie są pracownicy tych firm. ZTM nikomu nie udostępnił kluczy (nawet własnym pracownikom, stosując trójpodział każdego klucza). Klucze zostały wyciągnięte jedną z dwóch znanych metod (przypuszczalnie tą drugą, bo pierwsza jest znana od 5 lat, ale drożej kosztuje i większej wiedzy wymaga). ZTM sam nie zrobi systemu, bo nie jest firmą informatyczną. Zawsze i wszędzie systemy wdrażają softwarehousy. BTW, systemu WKM nie wdrażała żadna z wymienionych firm, tylko Ascom-Monetel - obecnie ACS, w Polsce reprezentowany przez Syntax. Zamawiający (np. ZTM) powinien jedynie wyspecyfikować żądany poziom zabezpieczeń. Ale 12 lat temu nikt jeszcze nie wiedział, że Philips (obecnie NXP) dał d... i za kilka lat wszystkim wdrażającym Mifare Classic, odbije się to mocną czkawką. Nikt nie daje 10+ letniej gwarancji na systemy informatyczne, więc ZTM miał nie lada problem, z którego i tak nieźle wybrnął (nie zdecydował się kupić tysięcy nowych kasowników od ACS, tylko wymógł na nich odpowiednią zmianę mapy karty). Nowa mapa karty (ku mojemu zaskoczeniu) jest naprawdę skuteczna. Zwolennikom teorii wieczystego klonowania zalecam dokładną (ze zrozumieniem i wyobraźnią) lekturę dokumentacji Mifare Classic (w szczególności w odniesieniu do operacji na blokach VALUE oraz zezwoleń na dokonywanie tych operacji). Żal mi obecnego ZTM-u, bo zbiera cięgi za poprzedników, choć naprawdę sporo robi, zeby ich błędy naprawić.
Dla jasności: nie jestem pracownikiem ZTM, ani żadnej z ww. firm

[ Dodano: Czw 30 Maj, 2013 01:36 ]

niż w sytuacji gdy wystarczy pójść do pasera, zapłacić pół ceny, wyjść z biletem, zapomnieć

Jeśli paserzy to pracownicy firm, które mają (i muszą mieć) "wgląd" w system (ZTM, Mennica, ASEC, Macrosystem), a podobno tak właśnie jest, to żadne zabezpieczenia (chyba że baza i regularne sprawdzanie) nic nie dadzą.

To nie są pracownicy tych firm. ZTM nikomu nie udostępnił kluczy (nawet własnym pracownikom, stosując trójpodział każdego klucza). Klucze zostały wyciągnięte jedną z dwóch znanych metod (przypuszczalnie tą drugą, bo pierwsza jest znana od 5 lat, ale drożej kosztuje i większej wiedzy wymaga). ZTM sam nie zrobi systemu, bo nie jest firmą informatyczną. Zawsze i wszędzie systemy wdrażają softwarehousy. BTW, systemu WKM nie wdrażała żadna z wymienionych firm, tylko Ascom-Monetel - obecnie ACS, w Polsce reprezentowany przez Syntax. Zamawiający (np. ZTM) powinien jedynie wyspecyfikować żądany poziom zabezpieczeń. Ale 12 lat temu nikt jeszcze nie wiedział, że Philips (obecnie NXP) dał d... i za kilka lat wszystkim wdrażającym Mifare Classic, odbije się to mocną czkawką. Nikt nie daje 10+ letniej gwarancji na systemy informatyczne, więc ZTM miał nie lada problem, z którego i tak nieźle wybrnął (nie zdecydował się kupić tysięcy nowych kasowników od ACS, tylko wymógł na nich odpowiednią zmianę mapy karty). Nowa mapa karty (ku mojemu zaskoczeniu) jest naprawdę skuteczna. Zwolennikom teorii wieczystego klonowania zalecam dokładną (ze zrozumieniem i wyobraźnią) lekturę dokumentacji Mifare Classic (w szczególności w odniesieniu do operacji na blokach VALUE oraz zezwoleń na dokonywanie tych operacji). Żal mi obecnego ZTM-u, bo zbiera cięgi za poprzedników, choć naprawdę sporo robi, zeby ich błędy naprawić.
Dla jasności: nie jestem pracownikiem ZTM, ani żadnej z ww. firm

[Paweł D.]

Niedawno jechałem metrem i słyszałem rozmowę dwóch mężczyzn o biletach. A dokładnie to jeden narzekał, że już nie może naładować "lewej" karty bo coś się pozmieniało - podejrzewam, że chodziło o te kartonikowe "na okaziciela". A owe "lewe" kontrakty załatwiał mu pracownik ZTM - padła nawet nazwa konkretnego działu. Oczywiście rozmowa ta, to żaden dowód w sprawie, ale...

[px33]

ZTM nikomu nie udostępnił kluczy

To jakim cudem działają kasowniki Macrosystemu czy wszystkie sieci sprzedaży biletów? Nawet jeśli nie dostali "czystych" kluczy tylko moduły SAM (co w przypadku starych kart byłoby niegospodarnością), to na pewno dostali dodatkowe moduły do testów wewnętrznych, które pracownicy mogą wykorzystywać do ładowania lewych kart.

Nowa mapa karty (ku mojemu zaskoczeniu) jest naprawdę skuteczna

Nowa czyli która i kiedy ją wprowadzono?

dał d... i za kilka lat wszystkim wdrażającym Mifare Classic, odbije się to mocną czkawką.

Nie wszystkim. Wystarczy samemu szyfrować dane na karcie, dodać szyfrowaną sumę kontrolną zależną od numeru karty i ewentualnie ustawiać klucze zależne od numeru karty i nagle magicznie system nie tyle staje się całkiem bezpieczny, co jego łamanie nieopłacalne.

[person]

padła nawet nazwa konkretnego działu.

Och, uwielbiam podsłuchiwać takie rozmowy. Podasz tę nazwę?

[asq]

Zamawiający (np. ZTM) powinien jedynie wyspecyfikować żądany poziom zabezpieczeń. Ale 12 lat temu nikt jeszcze nie wiedział, że Philips (obecnie NXP) dał d... i za kilka lat wszystkim wdrażającym Mifare Classic, odbije się to mocną czkawką. Nikt nie daje 10+ letniej gwarancji na systemy informatyczne

o audytach oczywiście nie słyszeli

Nowa mapa karty (ku mojemu zaskoczeniu) jest naprawdę skuteczna.

Zwolennikom teorii wieczystego klonowania zalecam dokładną (ze zrozumieniem i wyobraźnią) lekturę dokumentacji Mifare Classic (w szczególności w odniesieniu do operacji na blokach VALUE oraz zezwoleń na dokonywanie tych operacji).

tak to jest jak ktoś czyta specyfikację, bez zrozumienia zasady działania systemu

[Paweł D.]

padła nawet nazwa konkretnego działu.

Och, uwielbiam podsłuchiwać takie rozmowy. Podasz tę nazwę?

Oczywiście, że nie podam (przynajmniej publicznie). Wiarygodność tej rozmowy mogła być i zerowa i 100%. A z drugiej strony, to w spiskową teorię o osobach jeżdżących po mieście i w rozmowach oczerniających ZTM też jakoś nie wierzę. A na snujących fantasmagorie mkm-ów raczej nie wyglądali.

[MichalJ]

Jak działa "podłączenie karty płatniczej" do konta w mPay? Bo do tej pory zasilałem konto przelewem, to tyle wiem. A z 'podłączonej karty' to nadal się zasila portmonetkę (jak?) czy bezpośrednio bilety kupuje?

[matemaciek]

Coś drgnęło: http://www.ztm.waw.pl/zamowieniapublicz ... &l=1&i=352

ZAPROJEKTOWANIE I WDROŻENIE NOWEGO SYSTEMU POBIERANIA OPŁAT ZA PRZEJAZDY
Data ogłoszenia: 19.06.2013
Termin składania ofert/wniosków: 26.06.2013 godzina: 11:00
Tryb zamówienia: Dialog techniczny

[Wolfchen]

Jak działa "podłączenie karty płatniczej" do konta w mPay?

ZTCP, to bezpośrednio z karty Ci ciągnie kasę.