» »

Urbana

Urbana

««
«
1 / 6
»»

sword ::

Danes sem se odločil naredit novo mesečno za prihodnje leto, da se izognem septembrskim gnečam v lpp poslovalnicah. No, nekak nisem bil na tekočem, seveda sem slišal o testnem obdobju in drugih zadevah, nisem pa vedel, da je zadeva tako blizu uporabi.

Tko mam zdej v rokah relativno lušno terminsko kartico Urbana ... spredaj in zadaj je obris Centra Ljubljane, zadaj pa se nahaja še nekaj podatkov. Edina vidna identifikacija na kartici je ime in priimek, poleg tega ima kartica tudi črtno kodo.

Zadnje čase vedno več berem o raznih zlorabah, ki jih omogoča tehnologija RFID. Ta kartica naj bi bila "brezkontaktna pametna kartica". Predvidevam, da Urbana uporablja podobno, če ne prav RFID, tehnologijo. Obstajata dve vrsti Urbane - vrednostna in terminska. "Vrednostna kartica je brez imena in priimka, je prenosna in jo bo lahko vsakdo uporabljal za plačevanje vseh storitev, ki bodo vključene v enotno mestno kartico Urbana." Terminska kartica nadomešča sedanjo mesečno.

Googlanje in brskanje po straneh Urbane ni obrodilo sledov ... kdo je proizvajalec teh kartic? Kakšno tehnologijo uporablja? Kateri podatki so shranjeni na kartici (ob naročilu sem predložil osebno - glede na vpisovanje podatkov, mislim, da je bil uporabljen EMŠO, gotovo pa tudi ime in priimek; naslov?)? Kakšna je varnost, ki jo zagotavlja taka kartica - pred branjem teh podatkov oz. njihovim prirejanjem (in posledičnimi zlorabami)?

Zgornja vprašanja veljajo bolj za terminsko kartico, pri zlorabah (prirejanje stanja denarja) pa tudi za vrednostno.

In pa nepovezano s kartico, bolj s celotnim sistemom. Kateri podatki se pri uporabi terminske kartice, na primer za avtobus, shranijo? Predvidevam, da nekaj gotovo se, če ne drugega za generalno statistiko uporabe posameznih linij, vstopnih mestih ... se hranijo tudi podatki povezani s posameznim uporabnikom?

Nisem preveč paranoičen, bi me pa vseeno zanimalo, kaj dejansko zadeva je.

ABX ::

Vse kartice se da ponaredit, VSE.

Za varno uporabo kartic velja vedno in isto pravilo. Uporabljaj čim manj, nikoli naj ne gre stran od oči in konec meseca preveri transakcije na Internetu.

P.S: Najbolj varna zadeva je pre-paid kartica na katero nakažeš denar preko interne transakcije in ne podpira minus limita.
Vaša inštalacija je uspešno spodletela!

Zgodovina sprememb…

  • spremenilo: ABX ()

sword ::

Niti nisem spraševal o generalni uporabi takih kartic, ampak specifično o tej kartici.

Urber ::

sword
Se strinjam s tabo. V bistvu ti lahko podjetje sledi na vsakem tvojem koraku oz. prestopu. Prav tako je rfid lahko zlorabiti. Menim, da bi LPP moral poučiti oz. uporabnike seznaniti z vrsto vgrajenega in možnimi nevarnostmi oz. pustiti alternativne vrste plačevanja in ne tako kot sedaj, ko si postavljen pred dejstvo. V bistvu gre za poseg v zasebnost.

ABX ::

V bistvu gre za poseg v zasebnost.


Na kakšen način?
Vaša inštalacija je uspešno spodletela!

Urber ::

Na način, da lahko spremljajo tvoje gibanje v mestnem prometu, ne nudijo pa ti alternativbnega plačevanja in te v to v bistvu prisilijo.
Mogoče pretiravam ampak problem sodobnih družb bo po moje postal prav to, da boš prisiljen za vse uporabniške zadeve se odreči določeni meri svoje zasebnosti.

ABX ::

Se ne spoznam na zadevo tako da se umikam iz debate.
Vaša inštalacija je uspešno spodletela!

Zgodovina sprememb…

  • spremenilo: ABX ()

sword ::

No, za terminske kartice to res velja. Ne drži pa, da ne obstaja alternativa - vrednostna kartica ni vezana na uporabnika - lahko jo kupi kdorkoli, brez da bi posredoval kakšne podatke, in jo da komurkoli, torej je v osnovi "anonimna".

O nadzoru podjetja (LPP) nad uporabnikom je težko govoriti na pamet ... kolikor pa vem, pa taka tehnologija to definitvno omogoča in, če LPP ni ravno nek zagovornik zasebnosti posameznika, te možnosti izkorišča. Naslednje vprašanje je seveda, kdo vse ima do teh podatkov dostop. In pa primer ekstremen primer - bo identifikacija s kartico na avtobusu veljala za določitev pozicije posameznika - npr. v primeru ropa, 2 ulici stran ropar uporabi to kartico, da pobegne z avtobusom (seveda je pri trenutni obliki in načinu preverjanja nemogoče trditi, da gre dejansko za to osebo - kot IP pri downloadanju - lahko pa je nek indikator).

Kar me pa tudi zanima, je to, v kolikšni meri lahko nekdo drug bere podatke s kartice in jih spreminja. Razni RFID readerji (če se spomnite novice z DEFCON-a izpred tedna ali dveh, ko so z poceni pripravo prebrali kartice FBI agentov ...), priprave, s katerimi lahko prepišeš obstoječe zadeve (so bile uporabljene npr. na RFIDjih potnih listov) itd.

Urber ::

No, za terminske kartice to res velja. Ne drži pa, da ne obstaja alternativa - vrednostna kartica ni vezana na uporabnika - lahko jo kupi kdorkoli, brez da bi posredoval kakšne podatke, in jo da komurkoli, torej je v osnovi "anonimna".

Res je vendar mora zato plačati višjo ceno (seštevek) še posebno če se zelo veliko vozi. No ne gre za denar ampak bolj za princip. To se čedalje bolj dogaja na vseh področjih našega življenja.

techfreak :) ::

Zelo verjetno je brez kodiranja (plain text).

Kaj se pa shranjuje je pa odvisno ... lahko je samo unique ID, lahko pa imajo vse podatke o tebi na kartici.

Edit: glede na to, da ni nič napisano javno, bi predvideval da je plain text z vsemi podatki.

Zgodovina sprememb…

NorK ::

Saj verjetno lahko sami ugotovimo kakšni podatki so na kartici.

ABX ::

Saj verjetno lahko sami ugotovimo kakšni podatki so na kartici.


Itak, rabiš samo en primeren čitalec.
Vaša inštalacija je uspešno spodletela!

Adrijan0 ::

Zdi se mi da bo 1 kartica zadostovala za pol LJ. :D

ABX ::

Zdi se mi da bo 1 kartica zadostovala za pol LJ. :D


Janez Novak? :)
Vaša inštalacija je uspešno spodletela!

sword ::

Za igranje z njo tudi ni predraga ... 2€, sam sem jo dobil še zastonj (mislim da do 25. avgusta).

Bi deloval standardni RFID čitalec?

techfreak :) ::

Za igranje z njo tudi ni predraga ... 2€, sam sem jo dobil še zastonj (mislim da do 25. avgusta).

Bi deloval standardni RFID čitalec?

Odvisno je tudi od frekvence na kateri deluje RFID čip ...

hunter01 ::

No da ne bo smo ugibanja nekega, bom napisal par dejstev :)

Urbana je kartica tipa MIFARE DESFire in se je ne da enostavno prebrati z navadnim čitalcem, treba je ugotovit geslo. (sem probal tudi in ne gre :) )
iz Wikipedije:

MIFARE DESFire

The MIFARE DESFire is another NXP microprocessor platform, based on a similar core as MIFARE ProX/SmartMX, with more hardware and software security features than the standard MIFARE Classic chips. It is sold already programmed with a general purpose software (the DESFire operating system) that offers a simple directory structure with files, similar to what is typically found on smart cards. DESFire cards are sold on four variants. One with Triple-DES only and 4Kbyte of storage and three with AES having storage capacity of 2, 4 and 8 KB (see DESFire EV1). The AES variants also have additional security features, i.e. CMAC. It is using a standards compliant (ISO/IEC 14443-4) protocol.[9] The card is based on a 8051 processor with 3DES and AES crypto accelerator, making really fast transactions possible.

The maximal read/write distance between card and reader is 10 cm (4 inches), but actual distance depends on the field power generated by the reader and its antenna size.


Glede podatkov.
Vsaka kartica ima unique ID in bi bilo načeloma dovolj samo prebrati id kartice (16 mestna HEX številka) in potem na podlagi online sistema vse skupaj iz baze podatkov vlečt ven, vendar običajno ni tako in se podatki vpišujejo na kartico, tako da jih je načeloma možno spremenit, pod pogojem da so "ljudsko" vpisani na kartico. Lahko te kljub razbiti zaščiti čaka en kup čudnih neberljivih podatkov in moraš potem še ugotovit kaj kateri podatek pomeni :)

Adrijan0 ::

Zakaj bi se moral zanimati kaj podatki pomenijo. Važno je da ti narediš identično kopijo kartice.

Gandalfar ::

Ker so tam? :)

Zgodovina sprememb…

hunter01 ::

Kaj pa če s kakim algoritmom podatke povežejo z ID-jem kartice? Tega pa malo težje spremeniš na drugi kartici, oz. sploh ne vem če je možno.

poweroff ::

Mifare... ime zveni nekako znano. :D

Ko bom kaj pri denarju (in predvsem pri času :|), si planiram kupiti en RFID čitalec. Potem se bom pa lotil tegale, pa tudi potnih listov.
sudo poweroff

hunter01 ::

Mifare... ime zveni nekako znano. :D

Ko bom kaj pri denarju (in predvsem pri času :|), si planiram kupiti en RFID čitalec. Potem se bom pa lotil tegale, pa tudi potnih listov.


Ko boš pri denarju (in predvsem pri času :|), pred nakupom preveri o dokumentaciji čitalca, ker pri nekaterih ne dobiš ničesar, pa tudi supporta ni običajno.

jkreuztzfeld ::

Glede na nekaj zgornjih brc v temo, menim da je tale komentar potreben.

Pametne kartice (vključujoč brezkontaktne) imajo v svojem drobu med drugim tudi nekaj spomina in mikroprocesor. Slednje jim omogoča šifriranje podatkov. Ob pravilni implementaciji je zato zelo težko priti do ključa, ki bi omogočal dešifriranje podatkov.
Opcije so:
- analiza signala
- fizično razstavljanje in analiza čipa
- pridobitev ključa s katerim čitalec dešifrira podatke

Prva možnost je ob uporabi tehnologij za preprečevanje analize signala precej trhla. Druga in tretja možnost... good luck.

poweroff ::

Vprašanje je pa - kakšna je cena kartic. Več zaščite - višja cena.
sudo poweroff

Adrijan0 ::

Bomo vidli v prihodnje kakšno zaščito te kartice imajo.

Pyr0Beast ::

Kjer je volja, je pot ... erf, backdoor :D
Some nanoparticles are more equal than others

Good work: Any notion of sanity and critical thought is off-topic in this place

Zgodovina sprememb…

techfreak :) ::

Glede na nekaj zgornjih brc v temo, menim da je tale komentar potreben.

Pametne kartice (vključujoč brezkontaktne) imajo v svojem drobu med drugim tudi nekaj spomina in mikroprocesor. Slednje jim omogoča šifriranje podatkov. Ob pravilni implementaciji je zato zelo težko priti do ključa, ki bi omogočal dešifriranje podatkov.
Opcije so:
- analiza signala
- fizično razstavljanje in analiza čipa
- pridobitev ključa s katerim čitalec dešifrira podatke

Prva možnost je ob uporabi tehnologij za preprečevanje analize signala precej trhla. Druga in tretja možnost... good luck.

In zakaj imajo potem kreditne kartice v ZDA podatke v plain textu?

Adrijan0 ::

Meni se zdi da neke uber zaščite ne bo. Saj bomo vidli v naslednjih mesecih, ko nas bo več v lj (šola ipd).

Karen ::

Mogoče bi pa na Ultri povedali kako je z varnostjo "tvojih podatkov". Pokičeš, omeniš da si novinar, pa da te zanima kako je z zbiranjem in hrambo podatkov na tvoji Urbani:D

BlueRunner ::

To je bolj vprašanje za LPP, kot pa za dobavitelja.

@nny ::

No, jaz sem imela kot testna uporabnica dve reklamaciji (enkrat Urbanomat ni naložil denarja in enkrat na busu).
Vsakič so iz sistema natančno ugotovili: kaj, kje, kdo (imam terminsko kartico), za koliko denarja je šlo, kateri bus, katera postaja. Vse.
Veliki brat nas resnično gleda.

techfreak :) ::

To je boljše. To pomeni, da so sistemi povezani in, da bo manj primerov kakšnih težav kot jih imajo v San Francisco.

poweroff ::

Ni nujno, da so stalno povezani.
sudo poweroff

techfreak :) ::

In kako bo potem sistem ugotovil, če sploh imaš možnost Monete ter kako ti bo zaračunal?

jkreuztzfeld ::


In zakaj imajo potem kreditne kartice v ZDA podatke v plain textu?


Ne vem. Kako je pa v Evropi? Napisal sem zgolj kaj pametne kartice omogočajo.
Si bom dovolil ugibat odgovor na tvoje vprašanje. Plačilne kartice:
a)so izjemno prenosljiva in pri vsakem zakotnem trgovcu uporabna zadeva - najbrž bi šifriranje malce zapletlo zadevo
b)pri fizičnem nakupu ali uporabi na bankomatu se vedno uporablja še en faktor avtentikacije - PIN

jkreuztzfeld ::

Če se vrnemo malce k temi.
Po krajši telovadbi z guglom in telefonom...
Prijazna gospa na LPPju pove, da:
- celoten sistem za LPP upravlja podjetje Margento (verjetno Margento Storitve d.o.o. op.p.)
- ob nakupu terminske kartice, vam da LPP menda v podpis tudi izjavo o uporabi vaših osebnih podatkov
- na LPPju imajo naslednje podatke o imetniku kartice: povezavo med osebo in kartico, stanje dobroimetja, datum (in lokacijo? - pozabil op.p.)zadnje polnitve
- na LPPju nimajo podatkov o lokaciji in času uporabe kartice
- v primeru, da želi LPP od upravljalca pridobiti dodatne podatke, naj bi o tem obvestil tudi lastnika kartice

Toliko zaenkrat...

Zgodovina sprememb…

mojsterleo ::

- celoten sistem za LPP upravlja podjetje Margento (verjetno Margento Storitve d.o.o. op.p.)
cudno da ne veste, da je sistem vzpostavila golobiceva ultra, saj je bilo o razpisu za kartico veliko zolca crnega prelitega. celo na samih avtomatih je narisan znak narobe obrnjene osmice ter pripis ultra. margento je verjetno samo firma, ki s tem upravlja or something.

drugace pa kartico uporabljam ze kar nekaj mesecev, in se mi ne zdi prevec posrecena rec, saj npr. avtomati radi crkavajo, domet da zazna kartico je zelo slab, na busu rabi ene 3 sekunde, da dojame kartico (super ko bo guzva!), edino kul je, da je zeton sedaj na 90 minut, kar pomeni da lahko pridem v center mesta (knjiznica) in nazaj za 80 centov, ter da sedaj ni vec slik na karti, tako da lahko kr vsi isto kartico uporabljamo doma.

PaX_MaN ::

In kako bo potem sistem ugotovil, če sploh imaš možnost Monete ter kako ti bo zaračunal?

Povezal se bo na uporabnikovo zahtevo?

techfreak :) ::

Potem se lahko poveže tudi za to, da pove kdo je uporabil kartico za plačilo ...

janezek000 ::

celo na samih avtomatih je narisan znak narobe obrnjene osmice ter pripis ultra

Na avtobuso na zelenih zadevah nisem opazil znaka od ultre. Samo napis Margento in Urbana. Kje si ti videl tisto osmico? Možno, da sem jo spregledal.
npr. avtomati radi crkavajo

Kolikor je meni znano je trenutno še vedno testno obdobje... boljše da zdaj ko se testira kot kasneje. Šofer te pa tako ali tako spusti skozi, če pokažeš kartico, kadar terminal ne dela... Če zadeva ne dela tolk boljše, kolega zraven vzet pa rečt šoferju "Ups, nimam denarja, sma hotla s kartico plačat" pa prideš zastonj skozi :D
domet da zazna kartico je zelo slab, na busu rabi ene 3 sekunde, da dojame kartico (super ko bo guzva!)

Ne vem na katerih busih ti to hodiš. Meni jo zazna skozi denarnico brez problema. Do sedaj ni nikoli trajalo več kot sekundo.

poweroff ::

sudo poweroff

Adrijan0 ::

:D Če kdo zna, bi blo fajn da naredi več komadou.

Pyr0Beast ::

BusJacking ? :D
Some nanoparticles are more equal than others

Good work: Any notion of sanity and critical thought is off-topic in this place

poweroff ::

Ja, škoda, da se ne da preko tega krmiliti busa?
sudo poweroff

techfreak :) ::

Zna kdo lotat?

http://www.openpcd.org/about.0.html

http://www.openpcd.org/openpicc.0.html

http://openmrtd.org/

:D

Kakšna je razlika med temi in komercialno available modelih?

poweroff ::

Price, freedom.
sudo poweroff

Pyr0Beast ::

:D
Some nanoparticles are more equal than others

Good work: Any notion of sanity and critical thought is off-topic in this place

techfreak :) ::

Za 125Khz tage imam reader ... ampak tisto je za tage kot so recimo obeski za ključe itd. Škoda, ko še česa takšnega ne morem prebrati.

Bi se pa lotil kakšnega takega readerja ... ampak nisem jaz najbolj za SMD komponente.

Adrijan0 ::

DejanL15, tisto je tudi za kartice. Pač imaš več različnih frekvenc, tako kartic kot ostalih obeskov ipd. A ni nekdo nekaj omenil o neki mifare zadevi v zvezi z urbano. Mislim da bi urbana morala bit na tej frekvenci. DejanL15, če imaš možnost dobiti urbano, jo poskusi prečitat, da bomo vedeli vsaj kaka frekvenca je.

hunter01 ::

Ker je kartica MIFARE DESFire deluje na frekvenci 13,56 MHz
««
«
1 / 6
»»


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Urbana prispela tudi na iOS (strani: 1 2 3 )

Oddelek: Novice / Apple iPhone/iPad/iPod
10115210 (1634) Gregor P

Odvzem šolske urbane (strani: 1 2 )

Oddelek: Na cesti
5710002 (7410) solatko
»

lpp redarji, kontrola urbanih? (strani: 1 2 )

Oddelek: Loža
9320796 (15819) Šimpanz
»

Uporabna vrednost urbane (strani: 1 2 3 4 5 )

Oddelek: Loža
24349420 (46267) Ziga Dolhar

Več podobnih tem