бесконтактные карты

Анатолий

Ничего они не скажут, так как не читают, скорее всего, наш форум.

Юстас · Сообщение **Юстас** » 31 окт 2007, 12:21

Читают,читают и даже признаются о том, что они разработчики и поставщики системы.

Анатолий

Ну-с, разработчики и поставщики системы, ждём-с объяснений!

aIIex · Сообщение **aIIex** » 31 окт 2007, 17:22

Осталось только вычислить чиновника, который хранит "на груди" эти ключики...

1) ключики через ноутбуки не грузятся
2) когда грузятся - то они шифруются
3) в открытом виде ни по каким каналам связи не проходят
4) а когда проходят - то это настолько редкое событие, что новый год, и тот - чаще бывает
5) чиновник несет уголовную ответственнось за подобные действия - можете себе представить (теоретически) - во сколько вам это мероприятие обойдется (вилла на канарах чиновнику - раз, счет в швейцарском банке -два

)... дешевле купить проездной.
5) ваша карточка, пополненная неофициально - попадет в стоплист (как именно - тут уже подробно писалось).

aIIex · Сообщение **aIIex** » 31 окт 2007, 17:34

Тыканье ноутом в каждый терминал, подключённый в единую сеть - анахронизм и признак недальновидного проектирования системы

анахронизм... конечно... а куда деваться - если бывают такие ситуации - когда каналы связи временно не работают из-за ремонтных работ - или произошел сбой оборудования, в результате которого достучаться до устройства по другому нельзя... разные бывают ситуации

aIIex · Сообщение **aIIex** » 31 окт 2007, 17:47

DFAW писал(а):Sinoptik - нет невзламываемых защит, есть защиты которые обеспечивают достаточно высокую стоимость взлома. Это аксиома

вот именно!

если говорить об организационных методах (получение ключей от пресловутого чиновника) - то эта высокая стоимость - не соизмерима со стоимостью проездного.
возможно, она соизмерима с прибылью, которую вы получите от теневого массового пополнения карточек всем желающим, но:
1) карточки будут сразу ставиться в стоплист
2) это уже совсем другая статья (формирование ОПГ)

мало не покажется.

aIIex - зря ёрничаешь, сломать можно, вопрос в том что цена такого взлома намного выше той цены при которой это имело бы смысл.
Отследить протокол обмена и прикидываться другой карточкой - вообще не вопрос.

если говорить об аппаратно-программных методах взлома - то чего бы и не поерничать.

отследить трафик между карточкой и считывателем, действительно - не вопрос... но что толку - если он закрыт ключами, которые динамически меняются (это не ключи доступа к информации БК имеются ввиду... эти тоже закрываются динамическими ключами)... до протокола вы не докопаетесь по этой причине (трафик - бессмысленная последовательность кодов, кажды раз - разная)... вернее, теоретически, может и докопаетесь (никто из специалистов не отрицает такую гипотетическую возможность), но практически, за всю историю существования карточек этого стандарта ни один факт взлома подобным способом зафиксирован не был.

sashman · Сообщение **sashman** » 31 окт 2007, 20:26

Новые прошивки тоже удалённо заливаются?

Практическую криптостойкость стандарта MIFARE на данном этапе развития вычислительных средств никто не оспаривает.
Кстати, если не секрет, огласите тип применяемых карточек и можно ли писать на неиспользуемые метрополитеном секторы?

Дёдя · Сообщение **Дёдя** » 01 ноя 2007, 00:34

можно ли писать на неиспользуемые метрополитеном секторы?

Когда запускали систему - говорили что можно будет

sashman · Сообщение **sashman** » 01 ноя 2007, 10:19

Оффтопик: т.е. если фирма использует SSH или VPN как часть бизнес-процесса (или, что еще хуже, настраивает такие сервисы другим), то она уже является предметом внимания СБУ?

Юстас · Сообщение **Юстас** » 01 ноя 2007, 10:26

Уважаемый sashman, формально ДА, т.к. есть перечень лицензируемых видов деятельности (он распрастраняется и на криптографию), там все подробно расписано.Но лучше не пользоваться чужим опытом, особенно при пересечении интересов с СБУ, а внимательно изучить все законы и положения, дабы избежать ситуации: "а он сказал, а мы поверили..."

sashman · Сообщение **sashman** » 01 ноя 2007, 13:20

Спасибо за разумный подход. У нас этим юр.отдел занимается.

А по поводу типа и записываемости карточек данных нету?

Юстас · Сообщение **Юстас** » 01 ноя 2007, 16:14

Есть кое-что. А что конкретно интересует?

sashman · Сообщение **sashman** » 01 ноя 2007, 16:32

1. Part number или хотя бы общее семейство применяемых карточек.
2. Можно ли писать на не используемые метрополитеном секторы картчочки?

aIIex · Сообщение **aIIex** » 01 ноя 2007, 17:10

Новые прошивки тоже удалённо заливаются?

да..
если вы намекаете на возможность перехвата прошивок, то: 1) в открытом виде по каналам связи они не передаются 2) перехват прошивок ничего не даст - так как ключи они не содержат

Кстати, если не секрет, огласите тип применяемых карточек и можно ли писать на неиспользуемые метрополитеном секторы?

уже не секрет - т.к. в форуме уже писали - Mifare Classic.
писать можно - но тому, кто получит от метрополитена ключи неиспользуемых секторов.

Юстас · Сообщение **Юстас** » 01 ноя 2007, 17:27

1.Держателем всей информации о карточках является NXP ( http://www.nxp.com/#/homepage/cb=[type=product,path=/53420/53422/41863] ). Если ссылка не работает, на сайте легко найти нужную информацию.
2. Теоретически можно, но "свободные сектора", по идее, принадлежат метрополитену, с ним надо вопрос решать..