» »

exploit v knjižnici

exploit v knjižnici

Phantomeye ::

Pojma nimam, kam drugam naj vtaknem tole temo...

V naši knjižnici imamo sistem avtomatskega izposojanja, kjer uporabnik skenira kartico in si samostojno izposodi knjige. Super zadeva, moram priznat.
Problem je naslednji. Včeraj sem se igral s kartico in prišel do ugotovitve, kako lahko ta sistem exploitaš v smislu, da neki random osebi ukradeš identiteto in si sposodiš knjigo (oz. brez olepšav - kratkomalo ukradeš) v njenem imenu.

Postopka tu zaradi varnostnih razlogov ne mislim razlagat (itak je stvar precej enostavna, tako da bo marsikomu takoj jasno), lahko pa povem, da sem testiral tezo in ugotovil, da stvar deluje (ne, nisem sunil knjige :D)

Vprašanje, ki se mi trenutno mota po glavi je. Ali naj kontaktiram nekoga, ki ima to zadevo čez in ga opozorim ali naj bom raje tiho, ker kot vsi vemo, ima večina takšnih dejanj kontraproduktivne posledice. "Stikal si po našem sistemu, zato te bomo tožili."

So?

mtosev ::

Pusti pri miru. Ni to tvoj problem
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 3600mhz G.skill, CM H500M
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro
moj oče darko 1960-2016, moj labradorec max 2002-2013

Packač ::

Na izkaznici tako ali tako nimaš slika kot npr. pri osebnem dokumentu, tako da na isti način lahko prelisičiš knjižnjičarja.

carota ::

Lahko pa odgovornega obvestiš anonimno, če hočeš imeti mirno vest.

Phantomeye ::

Packač je izjavil:

Na izkaznici tako ali tako nimaš slika kot npr. pri osebnem dokumentu, tako da na isti način lahko prelisičiš knjižnjičarja.


Ne govorim o tem, da ti kolega posodi kartico oz. jo nekomu ukradeš, pa greš v knjižnico. To še moja mati počne, lol.
Tu je govora, da to lahko storiš brez komunikacije z osebo, ki je nikoli nisi videl ali slišal.


@carota

Dober predlog v bistvu.

poweroff ::

Če je to ODKLJ, ne bo anonimno pomagalo nič - zadevo bodo pometli pod preprogo. Treba jih je obvestiti, jim dati nek razumen rok, da odpravijo, nato pa full disclosure.

Sistema sicer ne poznam, a naj ugibam... gre za broken avtentikacijo? Avtomatu se predstaviš z izkaznico in sicer tako, da mu daš za odčitat črtno kodo? Sistem te s tem "prepozna" in te seveda ne vpraša za geslo?

Torej v tem primeru enostavno ugotoviš v katerem barcode sistemu je naprintana črtna koda na kartici in si potem doma zgeneriraš svojo barkodo...

Imam prav ali sistem povsem drugače deluje?
sudo poweroff

Pyr0Beast ::

Tak sistem je v večih knjižnicah.

V kolikor dalj časa nisi uporabljal zadeve moraš iti na 'šalter' zadevo identificirati.

Nisem pa predhodno razmišljal da bi se dalo shekati zadevo preko poljubno zgenerirane barkode.

Me zanima kaj bi ratalo če bi jo podal kot 0000000 ali kakšno podobno cifro. :)

Zadnje 4 cifre na kartici so tiste ki se večinoma spreminjajo in so si tudi zaporedne.
Some nanoparticles are more equal than others

Good work: Any notion of sanity and critical thought is off-topic in this place

Phantomeye ::

Pyr0Beast je izjavil:

Tak sistem je v večih knjižnicah.

V kolikor dalj časa nisi uporabljal zadeve moraš iti na 'šalter' zadevo identificirati.

Nisem pa predhodno razmišljal da bi se dalo shekati zadevo preko poljubno zgenerirane barkode.

Me zanima kaj bi ratalo če bi jo podal kot 0000000 ali kakšno podobno cifro. :)

Zadnje 4 cifre na kartici so tiste ki se večinoma spreminjajo in so si tudi zaporedne.


Načeloma sistem ni slab, dokler obstajajo neki mehanizmi preverjanja (v ne-avtomatiziranih knjižnicah so to knjižničarji). Drugače pa ja. Za osnovo vzamem svojo člansko številko in preprosto povečujem zadnjih nekaj številk. Ena številka bo gotovo veljavna (kar je pa popolnoma dovolj za dosego cilja.)

technolog ::

Ja, in če jih boš šel obvestit, kaj misliš? Misliš, da bodo šli vsakomur dajat geslo, ali celo umaknili vse avtomate, za katere so zagonili tisoče evrov?

Na take stvari bi mogli mislit prej.

PaX_MaN ::

Misliš, da bodo šli vsakomur dajat geslo, ali celo umaknili vse avtomate, za katere so zagonili tisoče evrov?

Čist odvisno. CTK je imel (ima?) avtomate, ki so imeli možnost nastavljanja preverjanja PINa(stran 66 oz. 10):
Članske izkaznice imajo lahko identifikacijski sistem s črtno kodo ali z
magnetnim zapisom. Pri članski izkaznici s črtno kodo poteka postopek
izposoje tako, da člansko izkaznico s črtno kodo na zgornji strani položimo na
označeno mesto na sredini police knjigomata (pod rdečo lasersko črto čitalca
črtne kode). Ko je sistem identificiral uporabnika, se njegovo ime in osnovni
podatki o stanju izposoje (število izposojenih enot gradiva, število izposojenih
enot s pretečenim rokom izposoje, zadržanih enot gradiva ter znesek zamudnin
in izposojnin) zapišejo na zaslonu. Če uporabnik želi nadaljevati, pritisne na
tipko z zvezdico. Nato položi preko izkaznice na polico enoto gradiva, ki si jo
želi izposoditi. Postopek ponavlja z drugimi enotami, ki si jih želi izposoditi.
Ko si uporabnik izposodi vse enote gradiva, odstrani člansko izkaznico in
počaka na listek - potrdilo o opravljeni storitvi. Knjigomat ima vgrajene nekatere
varovalne mehanizme. Tako ne dovoli izposoje, če se položi na izposojevalno
polico več enot gradiva hkrati ali če gre za gradivo, ki je rezervirano ali gradivo,
ki ga ni dovoljeno izposojati. Sistem fotocelic tudi ne dovoli menjave gradiva
med postopkom izposoje. Pri članski izkaznici z magnetnim zapisom je
postopek analogen, le da je kartica v reži za branje magnetnega zapisa. Sistem
je možno nastaviti na izposojo z vtipkavanjem osebne identifikacijske številke
(PIN - personal identification number) ali brez tega.


a so se odločili za vmesno pot(stran 66 oz. 12):
Sami so presojali o potrebnosti dodatne zaščite z osebno identifikacijsko številko (PIN-om). Ker si dandanašnji človek ne more več zapomniti vseh mogočih PIN-ov in gesel (za bankomat, za mobilni telefon itd.), so iskali alternativne različice varovanja in se zavestno odločili za nekoliko slabši varovalni sistem, vgrajen v črtno kodo.

Phantomeye ::

Če so že uvedli sistem na RFID tehnologijo pri knjigah, bi bilo smotrno taisto tehnologijo implementirati v kartice.

Moje mnenje je, da se bo največja težava pojavila, ko bo nekdo ta sistem zlorabil. Žrtev zlorabe bo gotovo glavni krivec. Zakaj? Lažje je obtožiti zlorabljeno osebo, da je izgubila kartica oz. da ji jo je nekdo vzel in zlorabil, kot pa priznati, da je bila žrtev kraje identitete zaradi varnostne pomankjivosti (glede na to, da je na članu knjižnice, da poskrbi za varnost svoje kartice).

Zgodovina sprememb…

PaX_MaN ::

Če so že uvedli sistem na RFID tehnologijo pri knjigah, bi bilo smotrno taisto tehnologijo implementirati v kartice.

Če bi vedeli o kateri knjižnici govorimo, pa kakšen je zares ta sistem identifikacije katerega ranljivost naj bi odkril, pa kakšne avtomate imajo...
Tko si pa pol kurca uporabnega povedal.

Phantomeye ::

PaX_MaN je izjavil:

Če so že uvedli sistem na RFID tehnologijo pri knjigah, bi bilo smotrno taisto tehnologijo implementirati v kartice.

Če bi vedeli o kateri knjižnici govorimo, pa kakšen je zares ta sistem identifikacije katerega ranljivost naj bi odkril, pa kakšne avtomate imajo...
Tko si pa pol kurca uporabnega povedal.


Se opravičujem, ampak sem mislil, da je to že razjasnjeno. Ja, uporabnik se identificira s črtno kodo (knjige se pa identificira z RFID)
Knjigomati so Trion RFID ( )

Zgodovina sprememb…

techfreak :) ::

Phantomeye je izjavil:

Če so že uvedli sistem na RFID tehnologijo pri knjigah, bi bilo smotrno taisto tehnologijo implementirati v kartice.

Pri knjigah verjetno uporabljajo enostavne RFID tage, ki omogocajo samo branje IDja taga. Avtentikacija uporabnikov z RFID je veliko bolj zahtevnejsa in tudi drazja.

technolog ::

Še vseeno bolje kot črtna koda.

techfreak :) ::

Lahko pa bi namestili se tipkovnico in zahtevali geslo, ki ga uporabljajo za dostop do COBISSa.

Phantomeye ::

techfreak :) je izjavil:

Lahko pa bi namestili se tipkovnico in zahtevali geslo, ki ga uporabljajo za dostop do COBISSa.


Tukaj so problem različne demografske skupine, ki uporabljajo knjižnico.

Pa postavi tipkovnico pred eno staro mamo, ki ji je že knjigomat višek tehnologije.

PaX_MaN ::

Pri knjigah verjetno uporabljajo enostavne RFID tage, ki omogocajo samo branje IDja taga. Avtentikacija uporabnikov z RFID je veliko bolj zahtevnejsa in tudi drazja.

Res je. Po uri guglanja sem našel naslednje:
- v testne namene so že 2008 uvedli dva Bibliothecina samopostrežna avtomata (glede na izgled verjetno model Venus) , ki sta, zares, uporabnike preverjala le po črtni kodi:
Izkazalo se je, da ima čitalec črtnih kod, ki prebere uporabniško izkaznico, zaradi kovinske podloge, na katero naj bi stranka položila izkaznico, velike težave pri branju črtne kode, saj očitno kovinska podloga odbija žarke in moti prepoznavo kode.
Sistem je postavil Betax.
- Potem pa so konec 2009 bila razpisana razpisa"za dobavo in montažo ter vzpostavitev sistema za vračilo, transport in sortiranje knjižničnega gradiva na osnovi radio-frekvenčne identifikacije (RFID sistem) za novo Osrednjo knjižnico Kranj" (razpisna dokumentacija prvič, dokumentacija drugič) - ali je samo eden(ne da se mi špeha brat)?. V obeh je med zahtevami za RFID sistem dodano:
 Potrjeno!

Potrjeno!


(Pritimač je to to kar je OP povedal, ja. Aja, zakaj sem tako nešportno reagiral? Tista črtna koda, bi kaj lahko bila za okras (številka kartice or sth), v resnici bi se pa logiral z RFID. )
- za zgornji prvi razpis so zavrnili vse ponudbe, pri drugem so IMO naredili enako, saj so letos marca zopet razpisali enak ... razpis (razpisna dokumentacija), ki pa z razliko od prvih dveh nima določila, da mora avtomat brati tudi črtno kodo in ki je, izgleda, oddan.
Mejčkeno me moti tole, v zadnjem razpisu, da ni treba črtne kode več hendlat. Zelenka, komer je bil oddan razpis, je ekskluzivni zastopnik tvrdke 3M. Seveda je prvo, kar pade na misel, "friziranje razpisa za točno določenega ponudnika"...>:D
A se mi zdi, da je bolj verjetna razlaga, da bodo pač končno prenehal uporabljat zastarelo tehnologijo.

techfreak :) ::

Phantomeye je izjavil:

techfreak :) je izjavil:

Lahko pa bi namestili se tipkovnico in zahtevali geslo, ki ga uporabljajo za dostop do COBISSa.


Tukaj so problem različne demografske skupine, ki uporabljajo knjižnico.

Pa postavi tipkovnico pred eno staro mamo, ki ji je že knjigomat višek tehnologije.

Kaj je pa alternativa brez zapravljanja denarja? Skeniranje osebne izkaznice in OCR EMŠOja?

Phantomeye ::

PaX_MaN je izjavil:

Pri knjigah verjetno uporabljajo enostavne RFID tage, ki omogocajo samo branje IDja taga. Avtentikacija uporabnikov z RFID je veliko bolj zahtevnejsa in tudi drazja.

Res je. Po uri guglanja sem našel naslednje:
- v testne namene so že 2008 uvedli dva Bibliothecina samopostrežna avtomata (glede na izgled verjetno model Venus) , ki sta, zares, uporabnike preverjala le po črtni kodi:
Izkazalo se je, da ima čitalec črtnih kod, ki prebere uporabniško izkaznico, zaradi kovinske podloge, na katero naj bi stranka položila izkaznico, velike težave pri branju črtne kode, saj očitno kovinska podloga odbija žarke in moti prepoznavo kode.
Sistem je postavil Betax.
- Potem pa so konec 2009 bila razpisana razpisa"za dobavo in montažo ter vzpostavitev sistema za vračilo, transport in sortiranje knjižničnega gradiva na osnovi radio-frekvenčne identifikacije (RFID sistem) za novo Osrednjo knjižnico Kranj" (razpisna dokumentacija prvič, dokumentacija drugič) - ali je samo eden(ne da se mi špeha brat)?. V obeh je med zahtevami za RFID sistem dodano:
 Potrjeno!

Potrjeno!


(Pritimač je to to kar je OP povedal, ja. Aja, zakaj sem tako nešportno reagiral? Tista črtna koda, bi kaj lahko bila za okras (številka kartice or sth), v resnici bi se pa logiral z RFID. )
- za zgornji prvi razpis so zavrnili vse ponudbe, pri drugem so IMO naredili enako, saj so letos marca zopet razpisali enak ... razpis (razpisna dokumentacija), ki pa z razliko od prvih dveh nima določila, da mora avtomat brati tudi črtno kodo in ki je, izgleda, oddan.
Mejčkeno me moti tole, v zadnjem razpisu, da ni treba črtne kode več hendlat. Zelenka, komer je bil oddan razpis, je ekskluzivni zastopnik tvrdke 3M. Seveda je prvo, kar pade na misel, "friziranje razpisa za točno določenega ponudnika"...>:D
A se mi zdi, da je bolj verjetna razlaga, da bodo pač končno prenehal uporabljat zastarelo tehnologijo.


poglej zasebno sporočilo!

technolog ::

Kaj sploh komplicirajo s temi knjigomati. Zdajšni sistem je bil čisto ok.
Investicija se jim ne bo povrnila še N let.

poweroff ::

A RFID se pa ne da shekati? Dajte no bit malo resni... Je pa res, da je načeloma "malce" boljša zaščita, ker imaš v tem primeru dva tokena, ki se morata ujemati.
sudo poweroff

PaX_MaN ::

A RFID se pa ne da shekati? Dajte no bit malo resni...

Res je, tista polička od avtomata je ravno dost velika za kej namestit pod njo.:D

Zgodovina sprememb…

  • spremenilo: PaX_MaN ()

techfreak :) ::

Če je vsaj približno varno narejeno ti samo poslušanje prenosa ne bo kaj veliko koristilo.

Phantomeye ::

Za identifikacijo člana je RFID je boljša rešitev, žal enako ne velja za knjige. Pa ne zaradi RFID-a, ampak zaradi njegove implementacije. Gre za enostavno odlepljive RFID nalepke na platnicah. Magneti pa niso več v uporabi.

Razen, če sem kaj zgrešil?

poweroff ::

techfreak... tlele imam en lušten filmček, ki prikazuje kako se da s pomočjo kriptoanalize shekat RFID. Rabiš poseben čitalec (za 100 EUR ga izdeluje Harald Welte; tipa sicer poznam iz GSM hacking projekta) ter software.
sudo poweroff

techfreak :) ::

Phantomeye je izjavil:

Za identifikacijo člana je RFID je boljša rešitev, žal enako ne velja za knjige. Pa ne zaradi RFID-a, ampak zaradi njegove implementacije. Gre za enostavno odlepljive RFID nalepke na platnicah. Magneti pa niso več v uporabi.

Razen, če sem kaj zgrešil?

Vendar se navaden RFID tag zelo lahko klonira.

poweroff je izjavil:

techfreak... tlele imam en lušten filmček, ki prikazuje kako se da s pomočjo kriptoanalize shekat RFID. Rabiš poseben čitalec (za 100 EUR ga izdeluje Harald Welte; tipa sicer poznam iz GSM hacking projekta) ter software.

Link?

technolog ::

Pozabljate, da se gre tukaj na zaupanje. Exploiti so obstajali, obstajajo in bodo obstajali.

poweroff ::

Mifare RFID hack:

Za nakup čitalca pa ne vem točno, to sem se enkrat z Weltejem menil...
sudo poweroff

techfreak :) ::

Vendar je to 3 leta star video, od takrat so že izboljšali algoritme in imamo malo bolj varne produkte.

poweroff ::

Aja? :))
sudo poweroff

PaX_MaN ::

Urbana je menda Mifare DESFire EV1.
Nisi ravno ti enkrat pravil, da se boš poglobil v njeno (ne)varnost?

poweroff ::

Ja, samo žal me totalno baše čas.
sudo poweroff

PaX_MaN ::

Verjamem; objavljanje na S-T je zares težko intelektualno delo.

poweroff ::

http://matej.owca.info/predavanja/ - tule je par zadev, s katerimi sem se ukvarjal, zadnje leto precej intenzivno z hekanjem VoIP telefonije, o čemer bo predavanje na Infoseku novembra. Glede na to, da se s tem ukvarjam v prostem času in z lastnimi finančnimi sredstvi, verjetno razumeš, da si pač prioritete postavljam po svoje.
sudo poweroff

PaX_MaN ::

Glede na to, da se s tem ukvarjam v prostem času in z lastnimi finančnimi sredstvi, verjetno razumeš, da si pač prioritete postavljam po svoje.

Razumem. Malo sem te le hotel podrezat, ker si enako pravil pred slabimi dvemi leti in sem vsled tistegale smeška na "imamo malo bolj varne produkte", mislil, da si jo že morda vzel pod lupo ter prišel do ... zanimivih odkritij.

Zgodovina sprememb…

  • spremenilo: PaX_MaN ()

poweroff ::

No, v bistvu se je z Urbano malce pozabaval kolega, ampak ker je zadeva še on-hold, ne bom razpredal dalje.
sudo poweroff


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Urbana (strani: 1 2 3 4 5 6 )

Oddelek: Loža
29146789 (16190) #000000
»

Gneča pri blagajni (strani: 1 2 3 )

Oddelek: Loža
11117923 (13421) GregiB
»

Črtne kode beremo že 35 let

Oddelek: Novice / Znanost in tehnologija
306283 (5127) opeter
»

Resničnost 123.

Oddelek: Novice / --Nerazporejeno--
72711 (2282) minmax

Več podobnih tem