14 мая 2012 в 15:45

Читаем паспортные данные студентов, школьников и пенсионеров у них из кармана из песочницы



Спасибо правительству Москвы и лично товарищу Гаеву

Введение


Как известно, всем студентам, пенсионерам и школьникам в Москве оформляется социальная карта москвича (СКМ), которая одновременно служит банковской карточкой и проездным на всевозможных видах транспорта.

Технически, карта представляет из себя RFID-карту Mifare Classic одной из двух модификаций, 1K или 4K.
Карта Mifare Classic поделена на секторы (16 и 40 соответственно), доступ к каждому из которых предоставляется по ключу (6 байт). Карта Mifare Classic реализует проприетарное шифрование и ограничивает доступ к секторам самостоятельно.

В СКМ сектора поделены между различными организациями.
Некоторые сектора (13-14) являются открытыми, доступ к ним осуществляется по определённому в описании карточек стандартному ключу A0...A5.

По мнению разработчиков системы, знать этот стандартный ключ может только «организация, зарегистрированная ГУП МСР как акцептант социальной карты», что, мягко говоря, не соответствует действительности.

Впрочем, ничего серьёзного открытые сектора карты не содержат: на них записано только ФИО держателя карты, пол и дата рождения и номер социальной карты, естественно не имеющий ничего общего с номером банковской составляющей карты.

Остальные сектора карты, например содержащие проездные на транспорте, являются закрытыми и получить доступ к ним можно лишь зная соответствующие ключи.

Ключи


Начиная с 2008 года, когда был восстановлен проприетарный алгоритм шифрования, получить доступ к данным на карте можно и без ключей. Известно как минимум три типа атаки на ключи:
  • с перехватом информации, передающейся по эфиру между картой и считывателем, «знающим» ключи
  • с использованием уязвимости программного ГСЧ и алгоритма шифрования, используя только карту
  • ускоренная модификация предыдущего метода, использующая только карту и знание ключа к хотя бы одному сектору


Т.к. в СКМ есть открытые секторы, то самым простым является использование третьей атаки.

Восстановление ключей


Атака этого типа осуществляется, например, утилитой MFOC. Для проведения атаки понадобится считыватель, поддерживаемый libnfc, например SCM SCL3711 . Более доступны в России считыватели ACR122T или ACR122U на том же чипе.

Восстановление ключей ко всем закрытым секторам занимает около 5 минут. Результатом работы будет полный дамп памяти карточки, содержащий в том числе ключи ко всем секторам. С помощью этого дампа можно затем свободно читать и записывать дампы

Смотрим внутрь


Внутри ничего интересного. Из всех закрытых секторов информация содержится только в секторах метро, электричек и автобусов. Просматривать эту информацию можно, а вот изменять, а тем более копировать на другие карты нельзя в соответствии со ст. 327 УК РФ.

Самое интересное



Оказалось, что начиная с недавнего времени, вероятно с прошлого года, СКМ основаны на Mifare Classic 4K, а не на 1K, как это было раньше. Восстановив ключи к такой карточке и посмотрев содержимое новых закрытых секторов (17-40), в 17 секторе можно наткнуться на следующее:


Здесь
  • XX, YY, ZZ — фамилия, имя и отчество в CP-1251
  • BB — дата рождения в формате YYYYMMDD, записанный цифрами в hex, т.е. 2012-05-13 будет кодироваться как 0x20 0x12 0x05 0x13
  • NN — номер социальной карточки, формат тот же.
  • EE — дата окончания (месяц, две цифры года), RR — регион выдачи (0177).
  • ?? — неизвестно, 0x21 (тип документа?)
  • PP — номер и серия паспорта, ASCII
  • СС — код подразделения, цифры в hex
  • DD — дата выдачи, YYYYMMDD, цифры в hex
  • далее — кем выдан, CP1251 большими буквами, оставлено в дампе
  • байт в конце — 0x8C — неизвестно.


В дампе личные данные замазаны.

Т.е. в этом недокументированном секторе записаны полные паспортные данные человека! Следует отметить, что эта информация появилась на СКМ после 2008 года, т.е. когда шифрование Mifare Classic уже было скомпроментировано, а на одноразовых билетиках метро и в электричках уже применялись стойкие методы шифрования.

Чем это опасно?


Восстановить ключи к СКМ может каждый желающий, имеющий $30 на покупку считывателя. Напомню, эти ключи одинаковые для всех социальных карт. Зная эти ключи, злоумышленник может считать данные с СКМ, лежащей в вашем кармане с расстояния до нескольких метров, используя внешнюю антенну. Полученные паспортные данные можно было бы использовать далее в преступных целях, если бы не ФЗ-152.

Как дальше жить?


Предотвратить это можно двумя способами. Во-первых, можно, восстановив ключи, перезаписать этот сектор, заполнив его мусором или паспортными данными соседа.

Во-вторых, можно воспользоваться старым, проверенным способом: обернуть карту фольгой и доставать при необходимости. Можно заодно обернуться фольгой самому.
+324
27727
386

Комментарии (203)

0
arseny_sokolnikov, #
И каковы возможные последствия такой уязвимости?
+41
azproduction, #
ФИО, возраст и паспортные данные — это хорошее подспорье для социальной инженерии
+113
egobrain, #
Ага! Теперь цыганки смогут более точно предсказывать ваше будущее =))
0
Zegaldis, #
А ведь шанс появления таких цыганок ненулевой :)…
хотя нет… это не у цыганок будет, а у некой принимающей страждущих в индивидуальном порядке Великой Тибетской Магини Василисы…
–2
BannedMi, #
Такие данные продаются россыпью на форумах по 5$ за дюжину. Зачем кому либо охотиться за ними, таким извращённым способом ради СИ?
+63
Rome, #
Включайте фантазию, а то без нее вот такие вопросы будете задавать. Допустим, ну улице вы видите красивую девушку, считываете ее данные, узнаете ее фамилию, через смартфон заходите в одноклассники, узнаете, кто у нее в друзьях. Подбегаете к девушке:" Здравствуйте Лена, вы меня не помните? Я учился на два класса старше вас. Не помните? Ну вот ваша подруга Аня Березовская, наверное меня точно помнит".

Хьюман файрвол пробит. Доверие получено.
–15
GreatKoshak, #
А без этого никак получить доверие нельзя, да?
Вашей фобии я могу ещё рассказать про поиск по фотографии в тех же одноклассниках.
+7
Rome, #
Да, я знаю про поиск по фотографии. У меня есть такая прога, сам написал. Тут все умные :) Отвечаю на ваш вопрос, да можно получить доверие обычным способом, это более долгий путь и есть шанс, что она вам откажет. Ну это нормальная ситуация. Но если вы преследуете какую-то краткосрочную цель, и вам нужен 90% способ, при котором она не откажет вам, то это самый простой вариант.

Моя фобия основывается на моем опыте. Со мной такую штуку уже проделывали. Подбегал некий знакомый, который учился на класс младше и далее начинал по ушам ездить. Единственное, что у него не прокатило, что у меня охрененная память на лица. Так ему и сказал, он сдулся, вся его легенда полетела к чертям.
–3
GreatKoshak, #
Ну тут уже проблема не технологий, а тех, кто доверяет сомнительным людям, которые якобы учились в вашей школе на несколько лет младше. Вот вы не купились на такой развод. Я бы тоже не купился, ибо не особо доверяю людям, которых попросту не знаю.
+4
Rome, #
А технологию вообще не причем. То что бомба ядерная, технологии не виноваты. :) Мошенники обладают уникальным талантом импровизировать на ходу. Почитайте книгу Кевин Митник «Искусство обмана». Написана на основе реального опыта.
0
GreatKoshak, #
Хорошо, обязательно прочитаю)
А про ядерную бомбу… изначально-то для мирных целей хотели использовать ядерную энергию. Благими намерениями построена дорога в ад. Но это уже офтопик ;)
0
Rome, #
Кстати, после прочтения книжки, я пользуюсь его способами, когда мне нужно что-то очень быстро получить и у меня нет желания висеть пол часа на линии с оператором.
НЛО прилетело и опубликовало эту надпись здесь
+1
AYrm, #
Проблема в том, что личность в перестает быть сомнительной.
+13
Weageoo, #
Пикап для IT-ишников. Только у нас.
НЛО прилетело и опубликовало эту надпись здесь
0
GreatKoshak, #
Да простой перебор. Особенно, если учесть, что существуют сервисы, предоставляющие API для определения примерного возраста по фотографии. Пол мы знаем (ну я надеюсь, что верно его определили). Да и город в принципе тоже. Вот вам круг лиц, которых рассматриваем.
0
FFF, #
Смотрите в сторону face.com, там интересный API
НЛО прилетело и опубликовало эту надпись здесь
0
brammator, #
посмотрите на пикасу и её автоматическое распознавание лиц при загрузке.
НЛО прилетело и опубликовало эту надпись здесь
+4
nsiss, #
обладатели социальных карточек в основном дети школьного возраста-дальше объяснять угрозу?!
+6
Ganesh, #
Как вариант, чтобы выкладывать их россыпью на форумах по 5$ за дюжину.
+16
evgeny_boger, #
такие же как от ношения ксерокопии своего паспорта на груди. Ничего смертельного нет, но неприятности создать может на пустом месте. Есть некие подозрения, что такое поведение создателей СКМ, как минимум не соответствует духу упомянутого закона о персональных данных.
0
GreatKoshak, #
Никогда не понимал людей, которые так боятся показать свой паспорт. Что я в нём такого должен увидеть? Как вас зовут? Вашу дату и место рождения? Или ваш пол? Не переоценивайте свою анонимность. Тем, кому это не надо даже смотреть не станут, а тем, кому надо, и без вашей помощи всё что надо узнают.
0
Rome, #
Один мой старый друг в прямом и переносном значении, ругается на то, что у него в интернете везде просят пароль к любому сайту, и вопросы такие задает: «Ну что мне скрывать?». А когда его комп заражается трояном, он задает другой вопрос: «Да кому я нужен? Что им от меня надо?».
–1
GreatKoshak, #
Скорей всего ничего и не надо. Сомневаюсь, что его намеренно заразили.
+3
Rome, #
эээ :) эээ :) Я просто привел пример схожий с вашим, когда человек не понимает, как его могут обмануть, в силу своего возраста, он не понимает современные технологии, не понимает, зачем нужен логин и так далее. Остальное — оффтопик и формальности.
+13
braindamagedman, #
Пример: паспортные данные + подсмотренный номер карты Сбера — знание всей необходимой информации для операций с картой по телефону. По умолчанию кодовое слово — полная дата рождения, о чем в отделении при выдаче карты даже не всегда предупреждают (а кого предупреждают — не все меняют).
Никогда не стоит недооценивать злоумышленников. А по поводу «кому надо, и без вашей помощи всё что надо узнают» — думаете, что для этого существуют суперхитрые методики? Да все делается в 90% случаев так же просто — там подсмотрели, тут подслушали. Это дешево, быстро и эффективно, если не приняты соответствующие меры.
Заматывать паспорт в фольгу, конечно, не стоит, но лишний раз лучше не светить.
–6
DarthRamone, #
>о чем в отделении при выдаче карты даже не всегда предупреждают
Что за бред простите. Без «кодового слова» даже сим-карты сейчас в центрах ОпСоСов не делают, а вы про карты, да ещё и в сбербанке.
+3
mrHankey, #
В втб24 по телефону, если забыл кодовое слово, просто уточняют паспортные данные.
+1
GreatKoshak, #
Ну и придурки, что я могу сказать? Это же всё равно, что открыть ячейку первому встречному или выдать кредит по телефону.
0
cujo, #
Кстати, не всегда. Столкнулся буквально пару дней назад, забыл кодовое слово и все. Оператор говорит, мол, без кодового слова, даже по пасп. данным не имею права, идите в отделение банка. Пришлось идти.
+2
grossws, #
Вы плохо представляете раз..раздобайство российских банков.
0
GreatKoshak, #
Ну блин, номер карточки-то я вас не прошу на грудь вешать. А банки, которые выдают кредит по ксерокопии паспорта, как ниже в комментариях писали, пусть сами разбираются со своим дибилизмом. У меня в профилях социальных сетей 100% верная информация. Сделать по ней поддельную ксерокопию не проблема.

Я не защищаю эти карточки, которые отдают информацию без ведома вашего. Но они не выдают ничего такого криминального. И суперхитрых методик тоже нет. Но узнать информацию о вас информацию я смогу и без вашего паспорта.
+3
brammator, #
На одном Известном Несуществующем Сайте буквально на днях было: мошенник, воспользовавшись сканом паспорта и реквизитами вебмани-аккаунта, «назанимал в долг» от имени пострадавшего.
Особенно показателен факт, што злоумышленник даже легенду не придумывал: занимал на лечение тяжело больного родственника — как и потерпевший, который в пылу цейтнота выложил свои реквизиты и скан.
Так што не надо про «кому надо тот найдёт» — облегчать задачу злоумышленникам не стОит.

Кстати, имея скан паспорта, можно получить много мелких кредитов. Это случается сплошь и рядом.
0
Zelgadis, #
Получить все данные паспорта, изготовить качественный дубликат, продать. Вон, в америке тоже есть универсальный идентификатор SSN, если его знать можно столько дел натворить.
+30
EGlaz, #
«Можно заодно обернуться фольгой самому.» :) и не забудьте завернуть фольгой собственно паспорт! :)))
+3
AlexanderG, #
И продавать комплекты фольгированных шапочек: «Для Вас, Ваших домашних животных и Вашего паспорта!»
0
EugeneGorbunoff, #
Кстати, такие же проблемы есть и в Голландии, например.
Там люди тоже прячут свои карточки в фольгу.
+3
Vagineer, #
Не фольгой, а новомодными обоями, блокирующими беспроводные сигналы!
+8
russum, #
[paranoya]Заказал экранированный бумажник для карточки.[/paranoya]
+53
bliznezz, #
Астрологи объявили неделю паранойи.
Производство клеток фарадея удваивается в DYI.
+7
raver, #
0
rroyter, #
См. ниже. Некоторые карточки поставляются с экранирующим конвертиком. :)
+52
f0b0s, #
А классно, дополнить такой считыватель блутус модулем, сделать простой клиент на телефон. А дальше фантазия разыгрывается: подходишь к девушке «хочешь я угадаю как тебя зовут?»… =)))
+21
EGlaz, #
Супер тема! Надо патентовать!!! :)
+1
evgeny_boger, #
фио и дату рождения (ну и пол) можно было так с 2002 года узнавать
+56
EGlaz, #
Пол — это особенно важно!
+15
evgeny_boger, #
кстати пол там кодируется прибавлением +20 к месяцу рождения
+6
mktums, #
Забавно, а на карточке медстраховки пол кодируется прибавлением +50 к дню рождения…
+2
philpirj, #
Так скоро они дойдут и до умножения!
+4
brammator, #
артефакт «каска призывника» +30 к защите, +18 к дню рождения
+60
Sterhel, #
А она такая:

— А я с бабушкиным проездным.
+11
EGlaz, #
Сплошь и рядом!
+10
Lsh, #
Агафья Сидоровна, вы так прекрасно выглядите, больше 25 не дать.
+3
Colobock, #
Меня всегда интересовал аспект безопасности беспроводных карт, однозначно идентифицирующих владельца.
Помимо несанкционированного доступа злоумышленников, есть еще вопрос считывания карт в местах, не предусмотренных стандартным кейсом использования карты, например, спецслужбами или правоохранительными органами. Организовать сбор статистической информации становится все проще…
+2
fidan, #
Можно заодно обернуться фольгой самому

Пожалуй так и сделаю!
А если серьезно, то с нашим правительством в вопросах личной безопасности нужно надеяться только на себя! Особенно когда речь идет о «высоких технологиях».
+14
Infthi, #
я правильно подозреваю, что фамилий длиннее 40 символов не существует?
+78
Selmaril, #
Защитите приватность своих детей, используйте для имени ребенка не менее 45 символов, из них не менее 1-ой заглавной, 1-ой строчной, 3-х цифр и 2-ух спецсимволов.
+7
Mithgol, #
[Her daughter is named Help I`m trapped in a driver`s license factory.]
–24
AHTOLLlKA, #
с картинкой к успеху шли?))
не фартануло? :DD
+9
Bashuk, #
Уоу-уоу, ковбои, не так быстро. Кто-нибудь может мне культурно объяснить, за что минусуют картинку?
–6
Tomasina, #
Думаю, за то, что комиксы на хабре в последнее время стали дурным тоном.
+17
ssneg, #
За то что она тут в каждом втором топике на эту тему, плюс конкретно тут она не совсем в тему :)
0
B_Sadovskiy, #
Надо отказываться от внутренних паспортов. При современном развитии техники идентификацию можно делать по ДНК.
+14
incogn1too, #
Вы наверное слишком много смотрели Гаттаку.
0
B_Sadovskiy, #
Ну там немного о другом.
+1
incogn1too, #
Просто там очень быстро и красиво идентифицировали по ДНК.
+1
bondbig, #
Красиво? Каждое утро протыкать палец, приходя на работу?
+1
Mithgol, #
«Гаттаку» не смотрел, но подозреваю, что в реальности на месте таких пальцев к концу первого же года работы вспухло бы язвенное гноилище.
+2
cyberbobs, #
Бедные диабетики, ежедневно использующие карманные глюкометры…
+7
RReverser, #
Их глюкометрами ежедневно не пользуется еще сотня-другая людей.
0
timurminulin, #
Да, такое местечко будет покруче средневекового «целебного» целования креста
0
Zegaldis, #
Нет, таки еще гуще — так туберкулёз передается, а через уколы (через кровь) и сифилис и СПИД…
+2
DIHALT, #
Там же нанотехнологии которые убивают все бацилы. Что все вечно натягивают наш нынешний несовершенный мир на фантастику.
0
brammator, #
смотрите внимательнее — там чуть ли не одноразовые пробойники подставлялись.
0
incogn1too, #
Думаю в реальной жизни это гораздо более больное мероприятие.
0
Rome, #
В фильме не только палец протыкали. Главный герой еще подсыпал чужие волосы на свою клавиатуру. Так что палец был сделан для зрительного эффекта, в реальности можно волосы сдавать.
+1
bondbig, #
ага, еще и ссал чужой мочой и все остальные прелести. Суть недоумения была в слове «красиво».
0
wearymax, #
Каждый день прокалывать большой палец у турникета — это удобно и красиво? :)
0
unconnected, #
Там был эпизод, где плюнуть просили. Но главгерой сказал «кровь берите, у меня слюна не очень чистая» :)
–1
Rive, #
Чего только не сделаешь во славу Нургла.
0
Impuls, #
Читал что в iPhone собираются встроить RFID сканер. Так что еще чуть-чуть и ничего не надо будет докупать. Правда я не уверен что это именно тот RFID. Если кто-нибудь в курсе: разъясните пожалуйста.
0
andrewsch, #
Телефонные RFID сканеры требуют приблизить телефон практически вплотную к карточке, и секунду-другую подержать. И еще отключаются (на Самсунге, к примеру) если экран телефона выключен (типа защиты от самопроизвольного срабатывания).

так что ими не очень удобно данные воровать :-)
+1
Impuls, #
В переполненном автобусе должно прокатить)
+1
ivlis, #
На андроиде давно уже есть. Естественно, телефон должен иметь чип.

play.google.com/store/apps/details?id=net.cornplay.moscowsubwayticket
+8
Deeman, #
Вы, наверное, имеете в виду NFC. Да, кроме будущего айфона, наличие NFC в котором ещё под сомнением, уже есть Samsung Galaxy Nexus, Sony Xperia S, HTC One X (и некоторые другие устройства) с NFC-чипом PN65 компании NXP Semiconductors (дочка Philips). К слову, она же разработала сами стандарты Mifare 1K, 4K и Ultralight (стандартные проездные в московском метро).

PN65 состоит из двух частей: PN544 и модуль SmartMX. Дело в том, что для эмулирования карт и шифрования нужно иметь отдельный модуль, которым может являться сим-карта или этот самый чип SmartMX. К примеру, в Nokia N9 стоит PN544, который может практически всё с отдельным модулем, но его отсутствие в этом телефоне превращает NFC в безделушку. Телефоны, которые я перечислил выше, обладают полной поддержкой технологии (и электронных платежей тоже).

О возможностях мобильного NFC неплохо написали на 3DNews:
www.3dnews.ru/workshop/627178

Программу для считывания карт для Андроид написали в самой NXP и её можно скачать совершенно бесплатно.
play.google.com/store/apps/details?id=com.nxp.taginfolite
0
dmitriid, #
Осталось только найти, к чему этот NFC прикладывать ;)
+2
xtavras, #
В Берлине уже можно оплачивать на некоторых заправках и в кафешках.
0
ktototam, #
+1
phasma, #
appworld.blackberry.com/webstore/content/66266/?lang=en

версия для BB. Работает на 9900
+1
stalker_by, #
Все Google Nexus`ы читают RFID, последние Samsung`и и т.д.

В общем все печально, и кому-то за такие проделки нужно дать п..., ну вы поняли. Т.к. есть куча контор которые позволят вам через интернет открыть кредитный счет и платить с него, достаточно ввести валидные паспортные данные и пройти верификацию. Теперь хакерам не нужно покупать «дропов», они сотнями катаются в метро…
+3
ascending, #
Купить базу паспортных данных существенно проще, чем прислонять сканеры к чужим карманам в метро
0
stalker_by, #
Безусловно, но тут выше гарантия того что эти данные не продали кому-то еще.
0
lolhunter, #
Бьет на пару метров с антенной. Нетбук 2 аккумулятора в кейсе + антенна и по кольцу пару дней.
0
tnt23, #
Это из практического опыта или, так сказать, потеоретизировать вышли? «N» в аббревиатуре NFC немножечко означает «Near», расстояния порядка десятка сантиметров в идеальных условиях. Чтобы читать с метра, антенна должна быть совершенно недетская.
0
ilyaplot, #
Имея эти данные, не определишь личность человека за короткое время. Посмотрите про мошенников на discovery. Они такое вытворяют, зная немного данных о человеке…
+1
Mr_Floppy, #
Бредовее передачи не видел — так изгаляться, выискивать немалые средства на подготовку — чтобы получить $20, да еще и подставив себя, засветив лицо или еще хуже — вступая в знакомство (типа как с продажей XBOX'ов серия была).
+5
raver, #
0
Demir0, #
там же и ролик с тем как люди ходят по улиуам и поражают проницательностью прохожих)
+4
Ex3NDR, #
Ну и нафига туда воткнули CP-1251?? Почему не юникод??
+7
semmaxim, #
Наверно потому что это однобайтовая кодировка русских букв? Странно было бы, если в российском паспорте имя/фамилия/отчество писались не русскими буквами. Тут уж либо KOI-8R, либо CP-1251, либо какая-нить жуткая экзотика.
+4
fanex, #
А смысл? Экономить байтики? Нерусские буквы, а именно латиница, отлично живут и в 1251.
Неплохой задел на проблемы с кодировкой в дальнейшем.
+4
st0ne_c0ld, #
ну положим байтики там тоже надо экономить.
Да и официальный язык у нас пока один. И видимо лица имеющие эти карточки — граждане РФ. Что как бы намекает…
–4
fanex, #
4096 — вполне солидный задел на хранение инфы. Удвоение байтов происходит исключительно в кириллических символах, которых в карте все же не так много. Итого: объема вполне достаточно, но для чего-то вводится ANSI-кодировка, от которых отказываются в операционных системах, вебе и базах данных. Подкладывают на будущее небольшую такую бомбочку. Устраивают трудности, с которыми придется бороться в дальнейшем.
+4
evgeny_boger, #
4096 — это вся карточка. На личные данные там выделено только два сектора по 3*16 байт. Упомянутый недокументированный сектор с паспортными данными большой — он имеет 15*16 байт в размере. Не так уж и много. Строковые данные на карточках исключительно кириллические, т.е. удвоение будет происходить везде, если делать, как вы предлагаете.
+1
edogs, #
отказываются в операционных системах, вебе и базах данных
Отказываются только там, где
а) Может понадобится мультиязычность
б) Объем данных и скорость не критичны
Здесь все же объем критичен, а мультиязычность понадобится не может в принципе.

Вообще у идеи «утф везде» есть логичное продолжение — отказаться от int, float и прочих дурацких форматов. Даешь текстовое представление и в утф что бы непременно. А то ведь есть еще римские цифры, а в будущем возможно придумают новый способ записи цифр — нужна универсальность!
–1
bubuq, #
А как же овер 170 языков российской федерации с письменностью на основе кириллицы, знаки которых в ср1251 никак не входят? Даже если не брать карельскй.
+2
Mr_Floppy, #
А в паспорте у них что нарисовано?
+1
nile1, #
В национальных республиках, кстати, в паспортах имеются вкладыши на соответствующем языке, и символы там не всегда из кириллицы русского языка (как минимум, есть всякие дополнительные засечки к буквам). К счастью, это пока только вкладыш, и государственный язык у нас по-прежнему один :)
0
Zegaldis, #
С интересом бы посмотрел такой вкладыш на каком-нибудь нанайско-якутском языке :)
+3
Arrest, #
Не поверите, именно для экономии байтиков. Это тут у вас их миллиарды готовых к использованию, а там их всего 4096, да и к тому же, судя по тексту, планируют их частично раздать разным организациям.
0
shoorick, #
Латинские буквы и в ASCII неплохо живут.
НЛО прилетело и опубликовало эту надпись здесь
+1
brammator, #
не. а также линия.
+3
JaLoveAst1k, #
Дык экономия же, товарищ!
+4
edogs, #
Ну и нафига туда воткнули CP-1251?? Почему не юникод??
Инструменты, в т.ч. кодировки, надо использовать тогда, когда нужно, а не просто лепить всюду «модное и современное» иногда прибавляя «на всякий случай, мало ли что, вдруг нас захватит германия и китай». Учитывая ЦА карточек — utf-8 — избыточен, следовательно не нужен.
–2
iwuvjhdva, #
«На всякий случай, мало ли что, вдруг нас захватит германия и китай» случается почти всегда, а уж с карточками варианты вполне можно представить.

И да — все, что не Юникод — зло.
+9
Entropius, #
0x21 — код документа, удостоверяющего личность (паспорт гражданина)
0
dkuzevanov, #
0х10 — заграничный паспорт
0х03 — свидетельство о рождении
0х14 — временное удостоверение личности
+1
Int_13h, #
Мужики интересуются, будут ли выдавать СКНМ?
+2
beardog, #
Статья из серии «хакер в столовой». Прежде чем обвинять человека, привели бы хоть пару вариантов других технических решений
+1
xiWera, #
Тоже вспомнилось :)
+9
evgeny_boger, #
здравый смысл как бы подсказывает:
  • Не записывать на карту паспортные данные без надобности
  • Если паспортные данные записываются, то это должно быть документировано. Сейчас это никак не отражено в документах
  • Нельзя не полагаться на алгоритмы шифрования и защиты, принцип работы которых вам неизвестен
  • Если уж в 2002 году по какой-то причине разработчики понадеялись на Mifare, то в 2008 г. после сообщений о реверс-инжиниринге алгоритмов (об этом кажется даже в спид-инфо писали), или в 2009г. после практического взлома карточек надо было начать срочно менять систему хотя бы для вновь выдаваемых карт
  • Самое простое и проверенное решение — шифровать всё асимметрично, например по ГОСТу
  • Закрытые ключи лучше регулярно менять (ну раз в неделю например), старые не хранить. Позволит в случае компроментирования какого-нибудь закрытого ключа менять не все карточки, а малую часть.
  • Информация должна быть подписана, лучше вместе с железным номером карточки (уже тоже обходится, но всё же)
  • Персональная информация вообще не должна удалённо читаться никак! Надо делать как на загранпаспортах: для чтения данных надо знать фамилию держателя или что-то написанное на карточке физически
+1
cyberbobs, #
Для прохождения BAC (Basic Authentication Control) и чтения основных сведений с загранпаспорта нужно знать номер паспорта, дату рождения владельца и дату истечения срока действия паспорта (то есть, только цифры). Но пройдя такую аутентификацию можно прочитать только те же данные, которые и так есть на странице — ФИО, фотография и т.д.
0
evgeny_boger, #
Не совсем, некоторые страны добавляют ещё данные. Отпечатки пальцев, например, или публичный ключ личной ЭЦП.
+1
cyberbobs, #
Доступ к биометрическим данным (отпечатки пальцев, 3D-фотография лица, изображение радужки глаза) осуществляется через EAC, прохождение которого — не такая уж и тривиальная задача. Хотя сводится, собственно говоря, к тому же использованию закрытого ключа и аутентификации подписанного считывателем запроса на считывателе. В качестве криптографического алгоритма по ИКАО — некая вариация на тему triple DES.

Безусловно, некоторые страны могут на эти требования и забить. Но таковы требования стандарта на эти самые загранпаспорта. При этом в ряде стран считывание биометрических данных выполняется с использованием национальных криптографических алгоритмов.
0
kuchumovn, #
Можно заодно обернуться фольгой самому.
0
GetWindowsDirectory, #
получается, имея СКМ + reader + writer + несколько Mifare Classic (20$ за 10 штук) можно творить чудеса.
0
evgeny_boger, #
какие чудеса?
+1
cyberstyle, #
например разные)
0
evgeny_boger, #
Вы говорите загадками.
НЛО прилетело и опубликовало эту надпись здесь
+1
evgeny_boger, #
в СКМ везде принято записывать десятичные цифры шестнадцатеричными цифрами. Я когда это полтора года назад первый раз увидел, был очень удивлён.
НЛО прилетело и опубликовало эту надпись здесь
+1
Halt, #
Двоично-десятичная нотация.
НЛО прилетело и опубликовало эту надпись здесь
0
VolCh, #
Как же, дампы в хексе читать без заморочек :)
НЛО прилетело и опубликовало эту надпись здесь
+11
grossws, #
В узких кругах известно как BCD.
0
achekalin, #
Спасибо за последний абзац!

Картой именно такой не пользуюсь, но (куда нам без паранойи?!) порой так и хочется использовать последнюю рекомендацию этого абзаца :)

Отличная статья!
+3
Mithgol, #
Лицам с серьёзной паранойей (скажем менее медицинским языком — с обострённою подозрительностию) лучше вовсе не жить в столице, ибо она — цель №1 ракетно-термоядерного удара, что крайне небезопасно.
+2
achekalin, #
… конечно же, обернувшись фольгой :)
0
DaleMartinWatson, #
>Можно заодно обернуться фольгой самому.
Срочно затариваемся шапочками!
0
shapa, #
«можно, восстановив ключи, перезаписать этот сектор, заполнив его мусором или паспортными данными соседа. » -> «а вот изменять, а тем более копировать на другие карты нельзя в соответствии со ст. 327 УК РФ.» :)

все же надо аккуратнее с советами на публичном ресурсе. вон, нынче власти заявляют что твиттер и фейсбук виноваты в народных волнениях.

Вообще, интересно (не разбирался с конкретными RFID) — перезапись возможна удаленно? Или только считывание?
То что есть RFID чипы которые удаленно можно переписывать — это факт, даже импланты уже разработаны.

Если возможна — то для «шалунишек» открывается широкий спектр веселых возможностей — проехаться в метро, проапдейтив куче народа ФИО / данные на «абурахманов ибн хотабычей» — это еще самый безобидный вариант.
0
evgeny_boger, #
Да, возможно, если вы знаете ключи.
0
shapa, #
Ну, тогда ждем script kiddies — явно будет весело.

0
evgeny_boger, #
Ст. 327 УК РФ про подделку документов, например проездных. Странный недокументированный сектор с персональными данными, казалось бы, документом не является.
+2
shapa, #
При этом содержит персональные данные…

Вообще, тут чрезвычайно интересны комментарии юристов.

В США / UK за такие проделки «Гаева и К» порвали бы на тряпки, причем пачка юристов захотела бы заниматься (засветиться).
0
shapa, #
Вообще, это в принципе шикарная идея для стартапов — особенно всяких супер-сторов (моллы и прочее).

Идет человек мимо магазина, а ему робот (как в фильмах) — «здравствуйте, Василий Петрович! А у вас день рождения через месяц? А мы вам скидочку — вам же принарядиться надо…
Вы 3 недели назад носки покупали в другом магазине нашей сети — наверное поменять пора?
Кстати, у наших соседей еще и водка вкусная продается, вам бутылка (при покупке десяти) — в подарок!»

Технически — совершенно реально :)
+6
unconnected, #
Рестораторы какие-то сделали. Выдавали бонусную карту с рфидом, человек проходит через дверь, а ему на встречу метрдотель выскакивает с воплем «Е… ть мой лысый череп! Кто к нам пришел! Семем Семеныч дорогой, вам как в прошлый раз вип-кабинет с гимназистками или вы сегодня жену выгуливаете?»
+3
shapa, #
Тут скорее идея в том что это может быть глобальная система, которая еще и собирает информацию о том кто-где-что покупал, какие вкусы и предпочтения, и тд ;))

Фактически, становятся возможными вот такие анекдоты :)

«Письмо от компании, работающей с дисконтными картами.

Дорогой мистер Джонс,
Мы заметили, что Вы давно не покупали никаких презервативов в SpiffyMart.
(Последний раз это было 8 недель назад).
К тому же прекратили покупать предметы женской гигиены, но стали больше
покупать замороженной пиццы и обедов быстрого приготовления.
Из этого ясно, что миссис Сандерс покинула Вас.
(Может, это и к лучшему — она ведь покупала такие дешевые шампуни, которые
явно не добавляли ей привлекательности).
База данных почтового отделения подтверждает, что она сменила свой адрес.
Примите наши соболезнования. Мы полагаем, что горяченькое порно-видео
поможет Вам пережить этот стресс.
Если Вы чувствуете себя одиноким — просмотрите наш каталог.
Купите кассеты не откладывая и мы добавим 1 кассету бесплатно!
Искренне Ваш,
Менеджер по сбыту.
P.S. Помните ту блондинку, которую Вы угощали в прошлую субботу двойным
мартини в баре O`Dougles? Забудьте о ней! Она уже много месяцев чем-то
инфицирована и является постоянным клиентом аптеки Acme Pharmacy.
(Ее домашний компьютер в одной сети с нашим). И неизвестно, что можно от нее
подцепить. А наши видеокассеты совершенно безопасны.»
+1
dezconnect, #
Вот читаю такое и становится страшно =)
0
EGlaz, #
Собсна давно уже к этому всё и идёт. «Естественное» развитие рекламных технологий в информационную эпоху.
+1
FlexFerrum, #
По прочтению почему-то вспомнился «Младший Брат» Кори Доктороу. Там в деталях расписано, как ммм… продвинутая молодёжь направо и налево пользовалась описанной здесь технологией.
–2
Mithgol, #
Во-во. А меж тем, когда я советовал на Хабрахабре прочитать эту книгу, то мою блогозапись заминусовали — она не вышла на главную страницу и осталась непрочтённою широким кругом читателей Хабрахабра. А меж тем эта книга становится всё актуальнее. Вчерашняя штатовская хай-тек-драма — это реальность сегодняшней России; я читал, помнится, что это и Брюс Стерлинг некогда заметил.
0
FlexFerrum, #
Ну, я бы не стал настолько драматизировать. :)
0
brammator, #
ещё на книжную полку в тему будет habrahabr.ru/post/15363/
0
FlexFerrum, #
Ну тогда уж и Ночь RFID'ов туда же.
+17
bromium, #
О, моя тема!

Давно хотел написать на Хабр, как просто читаются ключи на карте, но думал, не принесу ли я больше вреда, чем пользы. Автор вот не побоялся. (Почему вред: то, что безопасность в СКМ нулевая, те, кто в теме, знают давно. Ламеры получат простой способ взламывать данные, в конце концов поставщик системы запросит из бюджета огромные средства на доработку безопасности, которые будут освоены. Дополнительные затарты лягут на плечи пользователей — скажем, пассажиров метро. Может, я сгущаю краски, а может… и нет).

Из-за чего все это и как это возможно: немецкие студенты давно взломали Mifare Classic. Используемый там алгоритм Crypto-1 — проприетарный, выяснилось, что генерируемые случайные числа — вовсе не случайные, и получая ответы в ридер от карты, можно подобрать ключи.

Причем, даже если все сектора закрыты (т. е. не используются стандартные, т. н. «транспортные ключи»), все равно вскрыть ключи можно.

Подробнее читайте в статье "THE DARK SIDE OF SECURITY BY OBSCURITY".

Что касается СКМ (социальной карты москвича), то информация о том, как что кодируется и что куда записывается, определена в Постановлении Правительства Москвы от 6 августа 2002 г. N 602-ПП «О внедрении социальной карты для жителей города Москвы».

Не знаю, навскидку не нашел, но я в офиуиальных документах, других постановлениях, находил, как кодируется (в каких секторах, какой длины поле) фамилия имя держателя (вот, кое что нашел).

О том, как от всего этого защищаться: естественно, должен был позаботиться разработчик. Во-первых, можно было сделать систему распределенных ключей — у каждой карты должен быть свой уникальный ключ доступа к сектору, который высчитывается устройством считывания (ридером) по специальному алгоритму, например, на основе уникального номера чипа карты.

В этом случае просто так «сниффернуть» информацию с карты в толпе не получится (ключи-то других карт не известны).

Плюс аппаратный невосстанавливаемый счетчик можно поставить, прописав необходимые access conditions.

И, наконец, кто же данные в открытом виде хранит, нужно их тоже шифровать, подписывать ключом. Т..е даже прочтение битового набора ничего бы не дало.

Кстати, именно по такому принципу, насколько мне известно, построена система в Екатеринбурге.

В крайнем случае, эмитенту СКМ надо было перейти на карты, скажем Mifare Plus — пусть даже если бы они работали в режиме эмуляции Mifare Classic, но баг с псевдорандомными числами там закрыт, хотя бы. Правда, никто не знает, сколько времени осталось, прежде чем и его (Mifare Plus) вскроют…
+1
evgeny_boger, #
Ну о том, что СКМ — это Mifare Classic было написано в упомянутом постановлении и в печатной статье уважаемого товарища dark-simpson в Хакере несколько лет назад. Так что тайных знаний нет.

Спасибо за ссылку на документ с форматом открытых секторов — я когда-то давно на него натыкался в интернете, но сейчас не нашёл. Рекомендуется почитать там, как кодируется пол и век рождения — очень смешно.

Что касается доработки безопасности — в метро же давным давно есть одноразовые билетики, на которых безопасность вполне приличная. Хотя средства запросить это не помешает, это да.
+1
bromium, #
> Так что тайных знаний нет.
я что, утверждал обратное?

> Рекомендуется почитать там, как кодируется пол и век рождения — очень смешно
Действительно, забавно, хотя этому есть вполне логичные объяснения (ну, хотя бы, сравнительно логичные )) )

> Что касается доработки безопасности — в метро же давным давно есть одноразовые билетики, на которых безопасность вполне приличная

Не путайте Ultralight и Mifare Standard (Classic). В ультралайте вообще нет ключей, данные в открытом виде. Безопасность построена на том, что там есть т. н. OTP биты памяти («прожигаются» 1 раз — и потом переписать из нельзя). Но их количество ограничено. Я уже приводил на хабре, приведу еще раз ссылку на это видео («Ездим на метро, не теряя поездок»):

www.youtube.com/watch?v=E55Z7gj7GwU

Так что насчет вполне приличной безопасности Вы немного погорячились. Действительно, раньше (лет 5 назад), данные на ультралайтах вообще никак не шифровались. Потом, из-за большого количества фрода, «додумались», наконец, шифровать. Я даже знаю фирму, которая реализовывала им алгоритм шифрования (там «гостовское»).
0
evgeny_boger, #
Да-да-да, я это всё знаю конечно же. Я как раз и писал, что метро смогло в UL сделать свою криптографически стойкую подпись, которая предотвращает копирование.
+1
lopatoid, #
О, мое видео на хабре )
0
spiritedflow, #
> и лично товарищу Гаеву

Пошел посмотреть, что за тип. Бывший начальник Московского метрополитена. И что, серьёзно, он виноват? Тогда уж чего сразу не Путин?

Люди в его кресле вообще не шарят во всём этом. И не должны. Они задают туманные направления вроде «нужно уменьшить расходы по XYZ, выполняйте», а все варианты решения и технические детали уже на исполнителях. На них же исследование рисков и соблюдение законов В конце проекта Гаеву кладут на стол описание, что будет сделано и необходимые средства, а он ставит подпись.

Виноват в этом тот, кто замолчал или проигнорировал или не до конца исследовал риск связанный со взломом. И скорее всего этот человек или внизу пирамиды или посередине. Схалтурил или захотел выслужиться успешным проектом.

А учитывая что паспортные данные были добавлены после, на лицо типичный пример, когда разработанная отвёртка используется для сверления дыр. Один отдёл разработал карточки и в доке написал «для важной информации не использовать! Защита гавно!», а другой отдел проигнорировал инструкцию и добавил туда паспортные данные. Всем пофиг. А Гаев, возможно, вообще не в курсе.
+6
grossws, #
Особенно он не в курсе, что поставками этих самых карточек (как минимум ultralite), занимается его сын.
0
spiritedflow, #
Где причина, а где следствие? Сын занимался поставками таких карточек, а отец решил их использовать, или отец решил их использовать и тогда сын внезапно занялся поставками? Я бы поставил на второй вариант :)
+5
evgeny_boger, #
А ещё отец внезапно стал использовать высокотехнологичные карточки Mifare UL (которые поставляет его сын) для одноразовых билетиков на одну поездку. При себестоимости в 7р.
+3
grossws, #
Сын занимался карточками в рамках дочки ситроникса. После чего заключен контракт на поставку карточек московскому метрополитену.
+2
spiritedflow, #
Это же меняет дело! Теперь очевидна и мотивация и выгода семье от использования и продвижения именно этой технологии. Вы меня убедили. Спасибо :)
+2
evgeny_boger, #
Гаев — генеральный конструктор этой системы. Зачем — очень большой вопрос. В упомянутом в посте постановлении, лично за ним закреплено много полномочий, так что это не почётное звание. У меня складывается впечатление, что СКМ проектировали люди, которые вообще не утруждали себя разбираться в вопросе, уж столько там идиотизма.
+2
spiritedflow, #
Мыши прибежали к сове генеральному конструктору:
— Генеральный конструктор, как сделать так чтобы нас не обижали?
— Станьте ёжиками, они колючие, их не трогают
Обрадовались мыши, но потом загрустили:
— А как нам стать ёжиками?
— Отстаньте со своей ерундой, я стратегией занимаюсь.

Люди его положения в детали не вникают, они работают с агрегированной информацией и задают общие направления: «Плохое шифрование? Не слышал. Вот контакт специалиста, который этим занимается.»

Я допускаю ситуацию, в которой вся команда была в меру ответственна и буквально вопила о возможном риске, предупреждение было написан красным по белому на титульном листе проекта, а Гаев просто проигнорировал это… но мой опыт говорит, что схалтурить могли везде.

Вообще чего это я тут адвокатом Дьявола нанялся. Завязываю с этим, спасибо за фидбек.
0
spiritedflow, #
Меня переубедили выше. Точно завязываю :)
+1
bromium, #
> — Отстаньте со своей ерундой, я стратегией занимаюсь.

Извините, вынужден вмешаться. Другая версия этого анекдота, на мой взгляд, «более правильная» и чуть более смешная (хабрасообщество поймет, почему):

«Отстаньте со своей ерундой, я стратег, а не тактик!» )
+11
rroyter, #
Кстати когда мне выдали грин карту нового образца (с RFID меткой), то с ней шел специальный бумажный конвертик в котором советовали хранить карточку. Он реально работает! У меня в бумажнике лежит обычный RFID ключ для входа в офис. Так вот, с тех пор как я стал носить грин карту в конвертике рядом с ключом, ключ стал работать гораздо хуже. Раньше бумажником можно было просто помахать перед дверью, а теперь нужно прижимать причем только одной стороной. Так что не зря они этот конвертик положили.

image
0
Cyborginfo, #
А из чего конверт-то? Явно не бумажный, раз блокирует радиоволны.
+4
rroyter, #
На ощупь бумажный. Скорее всего в бумагу вплетены металлические волокна образующие клетку Фарадея.
+1
Cyborginfo, #
Спасибо. Что-то такое я и предполагал.
0
EGlaz, #
OFF: Гринкарту в лотерее выиграли?
0
sanchower, #
есть другие способы ее получить?
0
Zelgadis, #
Да
+4
rroyter, #
Играл в эту лотерею лет 6, пока не забодался и не женился на гражданке. Самый быстрый и надежный способ при условии что женишься по любви. :-)
0
Zegaldis, #
Потом сильно инспектора проверяли? Или всё цивилизовано?
+1
rroyter, #
Конкретно инспекторов не было. При интервью нас раздельно спрашивали про первую встречу и про совместное проживание. После этого поставили печать и помахали ручкой. Сказали приходить через 2 года получать перманентную карту (они сначала дают временную на 2 года).
0
Darbin, #
В 99% случаях никто никуда ходить и проверять не будет (если конечно не вызвать сильное подозрение). Если грамотно подготовить все документы, то даже могут вас не разделить для вопросов.
0
Darbin, #
Из плюсов грин карты по браку — получение гражданства через 3 года вместо 5.
Из минусов, то что нужно через два года опять собирать документы, платить сборы, сдавать отпечатки пальцев и получать новую грин карту.
+1
sanchower, #
так вот как она выглядит :)
+2
opposite, #
Не знаю как в столице, но у нас в городе просто процветает бизнес продажи «анонимных» симкарт, которые регистрируют на разными способами полученные паспортные данные, а потом ничего не подозревающие люди получают письма с просьбой оплатить чужой долг.
Ну а в некоторых местах по ксерокопиям паспортов выдают кредиты, одна особо умная работница детского сада, если не ошибаюсь, таким образом несколько миллионов получила
0
BupycNet, #
Я на конференции у стенда Алло Инкогнито брал анонимую симку, точно не на кого не зарегистрирована.
0
Zegaldis, #
Так анонимные симки в РФ это законно или нет?
0
ipswitch, #
Не законно. Но есть срок, в течение которого надо предоставить паспортные данные оператору. Скажем, купили симку в супермаркете, если не зарегистрировать у оператора — блокируют через 14 дней
+5
Novikov, #
> Полученные паспортные данные можно было бы использовать далее в преступных целях, если бы не ФЗ-152

Ага, а другие законы не дают воровать и убивать.
+1
student_ivan, #
Интересно почему 13 это 0х13 а не 0xD
+4
VolCh, #
Двоично-десятичный код, сам использовал для вывода на сегментные индикаторы, схемотехника проще. Да и дампы в хексе читать проще.
+1
bubuq, #
Для компенсации стращания друг друга разнообразными статьями УК РФ, следует упомянуть также ст. 137 УК РФ (злоупотребления и незаконные действия с информационными данными о частной жизни), каковая, буде речь шла о какой-нибудь другой стране, была бы немедленно применена к эмитентам этих карт, то есть правительству г.Москвы, без вашего ведома записывающие на плохо защищённый носитель сведения о вашей частной жизни.
+2
getElementById, #
Тоже мне открытия! Я давно хожу в фольге и этих проблем не испытываю
image
Да, на автобусах и метро не езжу.
0
ktotamcamoetakoe, #
Я буду носить свой паспорт в свинцовой оболочке =)
0
Zegaldis, #
Ну, RFID паспорта нам пока еще долго не грозят, имхо :)
0
Raegdan, #
Ну, не знаю как нам, но в Южной Корее вроде уже начали апробацию…
0
evgeny_boger, #
В российских загранпаспортах давно стоит RFID чип.
0
Zegaldis, #
Уже интересно :) — по вышеописанным методам его прочитать еще никто не пробовал?
0
bromium, #
Не получится, там другой чип стоит — он хорошо защищен. Случаев взлома, насколько знаю, пока не было.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.