KTU studentas "nulaužė" e.bilietą

http://www.15min.lt/naujiena/aktualu/nusikaltimaiirnelaimes/kaune-ikliuvo-gudragalvis-studentas-sau-ir-dviem-merginoms-suklastojes-elektroniniu-viesojo-transporto-bilietu-duomenis-59-429576?cf=df

Na, mldc, bet vėlgi - valdžia nuteisė :D

O ką daryt, kai mokais nėr ką veikt, tai prisimąstai :)

Et rimtai kabina, reiks pirkt pradėt..

Domėjausi šituo reikalu, kaip saugiai viskas padaryta ir panašiai.

Jei Vilniaus Kaune kortelės padarytos taip pat kaip ir Klaipėdos, tai problema gan aiški - vienkartinių bilietukų informacija yra saugoma kortelėje, o ne kaip mėnesinių bilietų - sistemoje. Aišku, logika tame, kad pasipildžius vienkartinį bilietą, norisi iš karto jį ir naudoti, o ne laukti, kol nauja informacija bus įkrauta į autobuso kompiuterius.

O kaip žinom, jei yra galimybė kažkaip perskaityti tuos duomenis, yra galimybė papildyti juos spaudos taške, tai ir namuose turint reikiamą įrangą tai bus įmanoma padaryti.

P.S. Pats, aišku, tokių dalykų nedariau!

Domėjausi šituo reikalu, kaip saugiai viskas padaryta ir panašiai.

Jei Vilniaus Kaune kortelės padarytos taip pat kaip ir Klaipėdos, tai problema gan aiški - vienkartinių bilietukų informacija yra saugoma kortelėje, o ne kaip mėnesinių bilietų - sistemoje. Aišku, logika tame, kad pasipildžius vienkartinį bilietą, norisi iš karto jį ir naudoti, o ne laukti, kol nauja informacija bus įkrauta į autobuso kompiuterius.

O kaip žinom, jei yra galimybė kažkaip perskaityti tuos duomenis, yra galimybė papildyti juos spaudos taške, tai ir namuose turint reikiamą įrangą tai bus įmanoma padaryti.

 

P.S. Pats, aišku, tokių dalykų nedariau!

Įdomu, o kodėl be ryšio, negali papildyt bilieto?

Reikia stot į KTU, jei tokius specus išugdo :)

P.S. Pats, aišku, tokių dalykų nedariau!

Aišku aišku :D

Man daugiau įdomu, kaip jį sugavo? Kažkur log'ose pamatė kortelę su 900LT ar kaip?

Reikia stot į KTU, jei tokius specus išugdo :)

Tai taip, labai gera reklama KTU :D

Aišku aišku :D

 

Man daugiau įdomu, kaip jį sugavo? Kažkur log'ose pamatė kortelę su 900LT ar kaip?

Serveryje balansas turi vistiek sutapti su kortelėje esančiu, kitaip kai iš skaitytuvo nuskaito duomenis dienos pabaigoje tranzakcijos iškart matosi kaip nevalidžios. Nesu tikras ar tos kortelės turi vardus ir pavardes bet pagal kortelės ID tikrai neturėtų būti sunku atsekti kiek kartų ir kur jos buvo panaudotos, o kontrolierių skaitytuvai turbūt turi būdą sugauti blacklistintas korteles.

ir aišku naujienų portaluose komentarai eilinį kart graudūs. Kiekvienam straipsnį, kai pagauna kokį skiddą (nu straipsniuose rašo hakerį), komentaruose visi rašo koks jis gabus, koks jis protingas, ir kaip jį reikia įdarbint į visas geriausias saugumo ir IT vietas valstybėj... :D :D :D Pastoviai prajuokina tokie graudūs žmonės. Šitas dar bent pats kažką sugalvot turėjo - bet ir tai pusdurnis, kad tokiom sumom pildė. O va straipsniai kur nulaužia ką nors be VPN ir pagauna, ten tai tikrai graudu.. Komentaruose visi galvja kad jis manually nulaužė, ir tikrai nenaudojo nei havij nei sqli nei acunetixo kokio.. o jaučiu net nežino tas skiddas kad įmanoma be tokių programų laužt :D

ir aišku naujienų portaluose komentarai eilinį kart graudūs. Kiekvienam straipsnį, kai pagauna kokį skiddą (nu straipsniuose rašo hakerį), komentaruose visi rašo koks jis gabus, koks jis protingas, ir kaip jį reikia įdarbint į visas geriausias saugumo ir IT vietas valstybėj... :D :D :D Pastoviai prajuokina tokie graudūs žmonės. Šitas dar bent pats kažką sugalvot turėjo - bet ir tai pusdurnis, kad tokiom sumom pildė. O va straipsniai kur nulaužia ką nors be VPN ir pagauna, ten tai tikrai graudu.. Komentaruose visi galvja kad jis manually nulaužė, ir tikrai nenaudojo nei havij nei sqli nei acunetixo kokio.. o jaučiu net nežino tas skiddas kad įmanoma be tokių programų laužt :D

Taigi netik sau pildė, bet ir mergytėm dovanos gal buvo - kortelė su nemažu balansu :lol:

Taigi netik sau pildė, bet ir mergytėm dovanos gal buvo - kortelė su nemažu balansu :lol:

Pasikeitė laikai, anksčiau mob papildymai, dabar jau nuolatiniai bilietai katitėm eina.. :D

Jeigu čia taip paprasta padaryt viską, pats laikas terminuotų bilietų klonavimus daryt :D Man tai nebeaktualu, bet paėmęs tą kortelę tikrai pagalvodavau, kad negi ten toj magnetinėj nesąmonėj gali kažkas bilietus laikyt ir mąsčiau, kad nebus taip lievai padaryta :) Kurgi ne..

Jeigu čia taip paprasta padaryt viską, pats laikas terminuotų bilietų klonavimus daryt :D Man tai nebeaktualu, bet paėmęs tą kortelę tikrai pagalvodavau, kad negi ten toj magnetinėj nesąmonėj gali kažkas bilietus laikyt ir mąsčiau, kad nebus taip lievai padaryta :) Kurgi ne..

Tai aišku, ten gi akmens amžiaus banalumo sistema, bapkes prasuko tik ir nesutvarkė normaliai.

Geras. :D Negi rimtai kurejai nepagalvojo, kad atsiras protingesniu uz juos? :D

Tikriausiai Europiniai pinigai? :huh:

Nes tik tokie projekčiukai prasukami su pigiausiu variantu ir didžiausiu atkatu :)

O kaip kitaip, gi ir tas pats Vilnius su europiniais pinigais, tik turėjo greitai suktis, nes kai pastatė tuos terminalus ir nenaudojo, turėjo ateit iš EU susigražinimas paramos, todėl pajungti suskubo :D

Serveryje balansas turi vistiek sutapti su kortelėje esančiu, kitaip kai iš skaitytuvo nuskaito duomenis dienos pabaigoje tranzakcijos iškart matosi kaip nevalidžios. Nesu tikras ar tos kortelės turi vardus ir pavardes bet pagal kortelės ID tikrai neturėtų būti sunku atsekti kiek kartų ir kur jos buvo panaudotos, o kontrolierių skaitytuvai turbūt turi būdą sugauti blacklistintas korteles.

Jeigu jungiasi prie servo, kam tada saugoti kortelėje duomenys?

Jeigu jungiasi prie servo, kam tada saugoti kortelėje duomenys?

Jei būtų ryšio sutrikimas spėju, tada po kiek laiko arba sekantį sykį sinchronizuotųsi, bet čia tik spėju :)

Bent jau Klaipėdoje, mano žiniomis, prie serverio niekas nesijungia, kai pridedamas bilietas prie skaitytuvo.

Informacija yra atnaujinama (tiek įrašoma į skaitytuvus, tiek perkeliama statistika iš skaitytuvų į serverius) dienos pradžioje ar maršruto pradžioje (ar bet kada), kai prijungiamas įrenginys prie tinklo ar kas nors panašaus.

Todėl yra esmė turėti bilietukus pačioje kortelėje - kad juos būtų galima iš karto naudoti. Visai kitas reikalas yra su mėnesiniais bilietais - jie pradeda galioti ne iš karto, o dažniausiai kitą darbo dieną (nes tik tada yra atnaujinama skaitytuvų informacija).

Per godumą ir įkliuvo. Būtų pasipildęs žmoniškai 50lt suma, tai niekas nepastebėtų.

Tai čia kaip suprantu užtektų nusipirkti paprastą skaitytuvą/rašytuvą, Nusiskaityti duomenis iš kortelės, tada pasikeisti kode skaičiukus ir atgal į kortelę įrašyti? ar kažkaip kitaip viskas vyksta? :unsure:

Tai čia kaip suprantu užtektų nusipirkti paprastą skaitytuvą/rašytuvą, Nusiskaityti duomenis iš kortelės, tada pasikeisti kode skaičiukus ir atgal į kortelę įrašyti? ar kažkaip kitaip viskas vyksta? :unsure:

Tokių įrenginių nėra pirkti tikrai rinkoje :D tiesiog jis viska pats pasigamino, susiprogramavo, iššifravo duomenis ir tiek

Tokių įrenginių nėra pirkti tikrai rinkoje :D tiesiog jis viska pats pasigamino, susiprogramavo, iššifravo duomenis ir tiek

Tai tokio neužtektų? :rolleyes: http://www.ebay.com/itm/RFID-13-56Mhz-Mifare-ISO14443A-reader-writer-USB-SDK-5-Free-S50-cards-/111364016589?pt=LH_DefaultDomain_0&hash=item19edd009cd

Tai tokio neužtektų? :rolleyes: http://www.ebay.com/itm/RFID-13-56Mhz-Mifare-ISO14443A-reader-writer-USB-SDK-5-Free-S50-cards-/111364016589?pt=LH_DefaultDomain_0&hash=item19edd009cd

Tikriausiai užtektų. Reikia gilintis.

Tai tokio neužtektų? :rolleyes: http://www.ebay.com/itm/RFID-13-56Mhz-Mifare-ISO14443A-reader-writer-USB-SDK-5-Free-S50-cards-/111364016589?pt=LH_DefaultDomain_0&hash=item19edd009cd

Na jeigu kortelė tikrai neapsaugota nuo kitų skaitytuvų tai tada duomenys pavyktų nuskaityti būten su šiuo, bet kas iš to jei duomenys bus tikrai užšifruoti. O šio tipo kortelėse iš ebay, duomenys neapsaugoti visiškai