Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.

Tehnologija BusPlus kartica

[es] :: Security :: Tehnologija BusPlus kartica

Strane: < .. 1 2 3 4 5 6 7 ... Dalje > >>

[ Pregleda: 72261 | Odgovora: 145 ] > FB > Twit

Postavi temu Odgovori

Autor

Pretraga teme: Traži
Markiranje Štampanje RSS

boki
Boris Prpic
CTO
CodeZen, Cityexpert
Beograd

SuperModerator
Član broj: 2681
Poruke: 2442
95.180.36.*

Jabber: boki@elitesecurity.org
ICQ: 195245022
Sajt: www.goglasi.com


+34 Profil

icon Re: Tehnologija BusPlus kartica03.02.2012. u 18:24 - pre 147 meseci
Ne deluje kao skup sport.

Al ne znam kako po rfid standardu se salju sifre ?
Jel postoji mogucnost da se snifanjem dodje do sifre ?
 
Odgovor na temu

Paxy
Bojović Petar
Računarski fakultet - Asistent -
Administrator mreže
Rusanj, Beograd

Član broj: 7003
Poruke: 355
95.180.98.*

Sajt: a.paxy.in.rs


+8 Profil

icon Re: Tehnologija BusPlus kartica03.02.2012. u 18:33 - pre 147 meseci
Pa vidi specifikaciju Mifare + kartica:
http://mifare.net/products/mifare-smartcard-ic-s/mifare-plus/

Prema ovome, ako se AES koristi za autentifikaciju, a postoji dinamicka promena kljuceva, recimo svaki da ili mesec, sanse za bilo kakvo petljanje je minimalna.
Mada ako se radi o dinamickoj promeni kljuceva, sistem mora ostati kompatabilan i sa starijim kljucevima jer ce biti putnika koji duze vreme nece koristiti svoju karticu, pa kad rese mora da mogu da validiraju.

AES bi se u toj situaciji razbijao jedino na taj nacin sto bi se snifovanjem hvatala komunikacija pa nekim brute force algoritmom trazio kljuc, sto je ako se koristi promena kljuca nemoguce razbiti.
Fight with the best, fall like a rest.
 
Odgovor na temu

boki
Boris Prpic
CTO
CodeZen, Cityexpert
Beograd

SuperModerator
Član broj: 2681
Poruke: 2442
95.180.36.*

Jabber: boki@elitesecurity.org
ICQ: 195245022
Sajt: www.goglasi.com


+34 Profil

icon Re: Tehnologija BusPlus kartica03.02.2012. u 18:42 - pre 147 meseci
Citac menja kljuc jel ?

Ono sto mene zanima jeste kako je transport kljuca zasticen. Da li je snifferom moguce uhvatiti kljuc ?

ili mislis da citac enkriptuje pa enkriptovano salje na karticu ?
 
Odgovor na temu

Paxy
Bojović Petar
Računarski fakultet - Asistent -
Administrator mreže
Rusanj, Beograd

Član broj: 7003
Poruke: 355
95.180.98.*

Sajt: a.paxy.in.rs


+8 Profil

icon Re: Tehnologija BusPlus kartica03.02.2012. u 19:09 - pre 147 meseci
Sve je jos uvek na nivou pretpostavke, ali kako vidim za Mifare + kartica moze da koristi AES enkripciju i dinamicku promenu kljuca.
Da bi se koristila AES enkripcija i kartica i uredjaj moraju imati taj AES kljuc.

U medjuvremenu pokusao sam da pristupim memoriji kartice.
Zasticeni deo memorije ne moze da se procita bez autentifikacije. Pokusao sam samo sa dve genericke sifre i to nije proslo, al mi kartica i dalje radi.

Mozda se ne koristi AES, vec CRIPTO1 algoritam.


[Ovu poruku je menjao Paxy dana 03.02.2012. u 21:21 GMT+1]
Fight with the best, fall like a rest.
 
Odgovor na temu

cHeMiR
Beograd

Član broj: 147203
Poruke: 55



+13 Profil

icon Re: Tehnologija BusPlus kartica03.02.2012. u 21:33 - pre 147 meseci
@Paxy
Da li je taj jammer ometao ono sto ispise na kojoj se trenutno stanici nalazi bus, to valjda radi preko gps-a?
 
Odgovor na temu

Paxy
Bojović Petar
Računarski fakultet - Asistent -
Administrator mreže
Rusanj, Beograd

Član broj: 7003
Poruke: 355
95.180.98.*

Sajt: a.paxy.in.rs


+8 Profil

icon Re: Tehnologija BusPlus kartica03.02.2012. u 21:40 - pre 147 meseci
Nije ometao ni to. Verovatno zato sto su instalirane kvalitetnije antene negde na spoljasnosti busa.
Fight with the best, fall like a rest.
 
Odgovor na temu

Chipatama

Član broj: 154875
Poruke: 8
*.ptt.rs.



+4 Profil

icon Re: Tehnologija BusPlus kartica03.02.2012. u 21:54 - pre 147 meseci
Izvinite sto sam offtopic , jel zna neko jel moguce preko Rfid citaca kartica napucati kredit na studentskim karticama za menzu :D da jedemo kao ljudi ?:D
 
Odgovor na temu

KrkaCiC

Član broj: 71173
Poruke: 2184
*.exe-net.net.



+784 Profil

icon Re: Tehnologija BusPlus kartica03.02.2012. u 23:52 - pre 147 meseci
OFF Mislim da se kartice za menzu koriste samo kao ID,a podaci o obrocima stoje na serveru (moja pretpostavka). U svakom slucaju i da nije tako,tj da se broj obroka nalazi na kartici,i da uspes da "napumpas" karticu,na prvom popisu ce provaliti da je bilo neplacenih obroka i ostajes bez kartice,a mozda i jos necega
 
Odgovor na temu

Aleksandar Đokić

Član broj: 13478
Poruke: 4793
*.dynamic.isp.telekom.rs.



+638 Profil

icon Re: Tehnologija BusPlus kartica04.02.2012. u 03:21 - pre 147 meseci
Citat:
To moze da znaci da BusPlus kartica ipak nije obicna RFID kartica jer ima vreme inicijalizacije smart card cipa.


moguce da se radi o uspostavljanju enkriptovanog kanala (sesije), pa je potrebno vreme "pregovaranja"

Citat:
AES bi se u toj situaciji razbijao jedino na taj nacin sto bi se snifovanjem hvatala komunikacija pa nekim brute force algoritmom trazio kljuc, sto je ako se koristi promena kljuca nemoguce razbiti.


najmanji aes kljuc je 128bita, bruteforce 16 bajta...lol :)

Citat:
Jel postoji mogucnost da se snifanjem dodje do sifre ?


ne, takve stvari koriste uglavnom enkriptovane sesije gde se pri uspostavljanju sesije salje samo javni kljuc, dok privatni deo ostaje na kartici i uredjajima (RSA)

Citat:
Mozda se ne koristi AES, vec CRIPTO1 algoritam.


ne verujem, ti procesori (obicno Infineon SLE66/78/88) imaju aes/3des/rsa hw podrsku
 
Odgovor na temu

boki
Boris Prpic
CTO
CodeZen, Cityexpert
Beograd

SuperModerator
Član broj: 2681
Poruke: 2442
95.180.36.*

Jabber: boki@elitesecurity.org
ICQ: 195245022
Sajt: www.goglasi.com


+34 Profil

icon Re: Tehnologija BusPlus kartica04.02.2012. u 03:52 - pre 147 meseci
RSA?
Kako i zasto?

Ako sve kartice imaju isti priv key onda nema poente koristiti to a ne AES.
Ako imaju razlicite priv key onda znaci da autobus mora da zna javne kljuceve svih kartica.
 
Odgovor na temu

Aleksandar Đokić

Član broj: 13478
Poruke: 4793
*.dynamic.isp.telekom.rs.



+638 Profil

icon Re: Tehnologija BusPlus kartica04.02.2012. u 04:20 - pre 147 meseci
u pravi si, mada se kod RSA privatni i javni kljuc dobijaju iz velikih prostih brojeva, sto daje ogromnu fleksibilnost,

moguce je i da id i jos neki podaci sluze kao "seed" generisanju kljuca
 
Odgovor na temu

Paxy
Bojović Petar
Računarski fakultet - Asistent -
Administrator mreže
Rusanj, Beograd

Član broj: 7003
Poruke: 355
95.180.98.*

Sajt: a.paxy.in.rs


+8 Profil

icon Re: Tehnologija BusPlus kartica04.02.2012. u 08:24 - pre 147 meseci
Ne verujem da se uopste koriste PKI kartice jer je cena kartica znatno visa.
A mogle bi da se koriste PKI kartice jer osim kljuceva na kartici se nalazi i sertifikat koji cuva javni kljuc, svako moze da prevuce sertifikat i da ima javni kljuc.

Kako BusPlus koriste kartice po ISO14443 standardu, a MIFARE kartice su najcesce kartice po ovom standardu, slobodno mozemo da predpostavimo da su ovo neke od MIFARE kartica.
Najveca zastita kod MIFARE kartica koju sam ja nasao je zastita kriptografskom sesijom AES kljucem gde i kartica i udredjaj ima fiksni kljuc.

Ako predpostavimo da se ne vrsi menjanje kljuca, sto je realnije zbog kartica koje se duze vreme ne koriste a ostaju validne i kad pocnu ponovo da se koriste, distribuirani AES brute force moze da nadje sifru za par meseci.

No mozda ne treba pretpostaviti ni da koriste ove "jake" cipove. Postoji i papirno izdanje kartica koje je takodje kompatabilno sa sistemom. Ono verovatno nema nista vise od memoirjskog cipa sa eventualnom minimalnom zastitom. (cim kosta 80 din, naspram plastike koja kosta 250).
Fight with the best, fall like a rest.
 
Odgovor na temu

Aleksandar Đokić

Član broj: 13478
Poruke: 4793
*.dynamic.isp.telekom.rs.



+638 Profil

icon Re: Tehnologija BusPlus kartica04.02.2012. u 09:59 - pre 147 meseci
sle78cl (Dual-Interface/ Contactless), kosta oko 15 centi, blok dijagram:



Prikačeni fajlovi
 
Odgovor na temu

Paxy
Bojović Petar
Računarski fakultet - Asistent -
Administrator mreže
Rusanj, Beograd

Član broj: 7003
Poruke: 355
95.180.98.*

Sajt: a.paxy.in.rs


+8 Profil

icon Re: Tehnologija BusPlus kartica04.02.2012. u 10:06 - pre 147 meseci
BusPlus kartice nisu dual-interface.
Znacilo bi ako bismo dosli do podatka koje su tacno kartice koriscene, kao i neke specifikacije arhitekture.
Ja sam poredio prodajne cene, ne nabavne.
Fight with the best, fall like a rest.
 
Odgovor na temu

Aleksandar Đokić

Član broj: 13478
Poruke: 4793
*.dynamic.isp.telekom.rs.



+638 Profil

icon Re: Tehnologija BusPlus kartica04.02.2012. u 10:06 - pre 147 meseci
Citat:
AES kljucem gde i kartica i udredjaj ima fiksni kljuc.


mislis sve kartice imaju isti kljuc?

ili se kljuc salje?

Citat:
distribuirani AES brute force moze da nadje sifru za par meseci.


sumnjam, bila bi ti potrebna armija racunara
 
Odgovor na temu

timmy
Jovan Timotijevic

Član broj: 37087
Poruke: 634

Sajt: www.e-tim.net


+89 Profil

icon Re: Tehnologija BusPlus kartica04.02.2012. u 10:44 - pre 147 meseci
Da li je busplus kartice moguce klonirati? Da li bi to onda znacilo da je moguc scenario zloupotrebe - laptop i long distance reader/writer u rancu na ledjima, setnja kroz bus i eto gomila kartica spremnih za snimanje... ili su u BUS-evima postavljeni neki jammeri tako da rade samo kontaktni citaci?

Pozdrav
 
Odgovor na temu

mozdasamjaamozdainisam

Član broj: 274672
Poruke: 341
*.upc-i.chello.nl.



+191 Profil

icon Re: Tehnologija BusPlus kartica04.02.2012. u 11:24 - pre 147 meseci
Smart kartice uopste nisu moja materija, tako da sve sto sam napisao je na osnovu onoga sto sam procitao / video u Holandiji.

Evo ga jedan dokument, koji detaljnije opisuju nacin na koju su u Holandiji, Nemackoj i Engleskoj krakovali sistem zastite.
Vrlo je verovatno da se u osnovi i BusPlus sistem zasniva na istim principima, sa verovatno nekim izmenjenim detaljima.

http://www.sos.cs.ru.nl/applications/rfid/2008-esorics.pdf

Takodje, na ovoj stranici se nalazi i program koji je ovde u Holandiji cirkulisao i koji u kombinaciji sa RFID readerom (od par evra) je bio u stanju da izmeni i / ili klonira kartice.
Ime / izgled programa + YouTube snimak kako to rade, ima ovde:

http://www.bright.nl/uitlegparty-hack-je-ov-chipkaart

Jos jednom, sistem koji je u Holandiji i Engleskoj postavljen je busan ko sir. Vremenom (sada je vec tri godine u upotrebi u Holandiji) su ga sve bolje i bolje zasticivali, ali ni hackeri nisu sedeli skrstenih ruku ;-)
 
Odgovor na temu

Paxy
Bojović Petar
Računarski fakultet - Asistent -
Administrator mreže
Rusanj, Beograd

Član broj: 7003
Poruke: 355
95.180.98.*

Sajt: a.paxy.in.rs


+8 Profil

icon Re: Tehnologija BusPlus kartica04.02.2012. u 11:28 - pre 147 meseci
Vec duze vreme RFID sistemi ne koriste samo memorijski TAG koji se moze lako citati i klonirati.
Preslo se na RFID smart kartice koje imaju cip sa nekom od zatitnih funkcionalnosti.
RFID koristi inukovanu struju za svoje napajanje. To znaci da ne moze komunicirati na vece daljine usled slabljenja signala sa daljinom.
Posti par projekata na interntu gde su korsitili super jake antene i uspevali da iscitaju RFID i sa metar rastojanja, ali to je bila veoma skupa oprema sa antenom oko 1m duzine.
Kako, verovatno, osim citanja treba obaviti i odredjenu komunkaciju, tipa autentifikaciju, to zahteva komplikovaniji proces time i jaci signal, manja rastojanja.

Validatori u busevima nisu kontaktni citaci, vec RFID citaci malih snaga, pa ih me jomet nekoliko milimetra.

Fight with the best, fall like a rest.
 
Odgovor na temu

EArthquake

Član broj: 20684
Poruke: 884
*.dynamic.sbb.rs.



+67 Profil

icon Re: Tehnologija BusPlus kartica04.02.2012. u 11:30 - pre 147 meseci
najjace mi je sto se ljudi nenormalno busaju sto ih pomocu ovih kartica prati veliki brat , a zadnjih deset godina niko ni u WC ne ide bez mobilnog telefona...

inace, cela ova diskusija me podseca na vreme kad su se pojavile halo kartice

cela poenta svih smart i RFID kartica jeste da budu cost effective, da ti se jednostavno ne isplati da ih napadas

pretpostavimo da mozes da kloniras karticu , treba ti relativno jeftina oprema , sto nije neki problem , ali opet kosta
ok, imas opermu , prodjes kroz bus i pokupis 20 kartica i imas sve podatke koji su ti potrebni da je kloniras
a onda , trebaju ti blanko kartice na koje bi naprzio klonirane podatke , nije ih nemoguce nabaviti i nisu previse skupe , ali opet kostaju
i sad ulozio si neke , ne velike, pare , imas 20 kartica sa N kredita na svakoj , i sta ces s njima? da se vozis za dzabe?
ako sve ovo umes da izvedes i imas nacina da platis sve potrebno , sumnjam da su ti besplatne voznje preko potrebne
onda znaci da bi da ih prodajes ili nesto slicno, tu vec nastaje problem, jer ce brzo neko da te navata , a to je lose za biznis
tako da ispadne skuplja dara nego maslo

druga pretpostavka: mozes da dopunis karticu, sta mislite , koliko je tesko prepoznati da nesto nije u redu s karticom ?
pa ljudi , bar data mining u svrhe nalazenja anomalija danas nije nikakav problem i radi se svuda

poenta, ne isplati se

s druge strane, zanimljivo je saznati kako sistem zaista funkcionise i tu inicijativu podrzavam
ali pazite, nisam siguran koliko je ometanje RFa u bilo kom opsegu legalno...
 
Odgovor na temu

Aleksandar Đokić

Član broj: 13478
Poruke: 4793
*.dynamic.isp.telekom.rs.



+638 Profil

icon Re: Tehnologija BusPlus kartica04.02.2012. u 11:44 - pre 147 meseci
evo nekoga ko zna o cemu govori...

ja se ne interesujem u cilju besplatne voznje, vec me cisto interesuje, na kraju krajeva i ne zivim u beogradu
 
Odgovor na temu

[es] :: Security :: Tehnologija BusPlus kartica

Strane: < .. 1 2 3 4 5 6 7 ... Dalje > >>

[ Pregleda: 72261 | Odgovora: 145 ] > FB > Twit

Postavi temu Odgovori

Navigacija
Lista poslednjih: 16, 32, 64, 128 poruka.