Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Хакерам, крэкерам, кардерам адресуется (относительно карточек с магнитной полосой). 21.05.03 10:42 Число просмотров: 8453
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
|
Часто встречаются постинги относительно "взлома" системы оплаты услуг, в которых используются карточки с магнитной полосой (Метро, кредитные карты Виза и др.) и карточки с чипом, так называемые "смарт карты" (например таксофонные карточки).
В различных разделах форума (hacking, phreaking и даже в crypto) пользователи форума спрашивают о том, как можно "взломать" такие системы.
Прежде всего, давайте под словом "взломать" понимать ситуацию, когда владелец карточки сможет пользоваться большими услугами, нежели лимитировано карточкой (больше поездок в метро, звонков по таксофону и др.).
Как работают эти системы, я точно не знаю, да и нигде я этого не встречал. Ни одной публикации разработчиков таких систем не видел.
Изложу на примере метрополитенных карт, как это МОЖЕТ быть.
На карточках записано какое-то огромное, не повторяющееся с другими карточками, число. Эти числа сгенерены случайным образом, т. е. они не порядковые. Турникетные считыватели соединены с одним компьютером в пределах одной станции метро. Компьютеры станций метро соединены с главным компьютером оптоволоконным кабелем. (Благо для метрополитена это не проблема). Коды свежеотпечатанных в типографии карточек заносятся в центральный компьютер в базу данных. При продаже в базе делается отметка, о вводе в эксплуатацию карточки. После считывания карточки турникетом отыскивается код в базе, проверяется регистрированность (факт продажи) карточки, срок действия, количество оставшихся поездок или время после последнего прохода +15 минут для карточек с безлимитным количеством поездок и др. информация. Если все благополучно - уменьшается счетчик поездок на 1 или запоминается время прохода для карточек с безлимитным количеством поездок и загорается зеленый свет. Иначе - проход запрещен. Карточки с истекшим сроком или исчерпанным количеством поездок могут через какое-то время быть удалены из базы. База распределенная - в компьютере каждой станции храниться вся база. База реплицируется - каждая транзакция в базе станции передается главному компьютеру, каждая транзакция главного компьютера передается каждому компьютеру на всех станциях. При временном обрыве связи с главным компьютером транзакции ставятся в очередь. При 5 - 10 минутном отказе (человек купил карточку, прошел, проехал одну остановку, вышел и снова пытается зайти) ничего страшного не произойдет, времени его переезда к другой станции вполне достаточно для передачи информации об его карточки во все компьютеры станций. Объем базы - 10 миллионов карточек * 100 байт запись = 1 гигабайт. Даже, если 100 миллионов карточек * 500 байт запись = 50 гигабайт - не велик объем для современного компьютера. Объем передаваемой информации - 1 человек проходит за одну секунду (очень быстро) * 100 турникетов на станции (очень много) * 500 байт = 50 килобайт в секунду со станции. Реально 20 турникетов * 250 байт = 5 килобайт в секунду - пиковая нагрузка в час пик. Для центрального компьютера умножим на количество станций - получим около половины мегабайта в секунду. Современная оптика, даже не гигабитная, а 100 мегабитная обеспечивает десяток мегабайт в секунду.
Взломать такую систему, манипулируя с карточками НЕВОЗМОЖНО!
Даже, если мы сделаем магнитный дубликат - прошли по оригиналу (2 поездки) - списалась одна, прошил по дубликату - еще одна, опять по оригиналу - не пускает, хотя по нему один раз проходили.
Сделать карточку "чужую" - угадать код, который в базе, карточка продана, но не исчерпаны поездки - тяжело при 64битном и более коде, вероятность попадания составит менее 1 миллиардной.
Все это можно отнести и смарт картам, билетам со штрих кодом на электричку.
Если система не такова, например, на карточке прописано количество поездок и при проходе записывается новое значение - сделать дубликат - дело техники, а если как описано выше - то никак.
И вопросы – “как сгенерить пин код для карты оплаты сотового телефона или интернет провайдера” даже задавать не имеет смысла!
|
|
|
подробно о проекте
Анализ криптографических сетевых...
Хакерам, крэкерам, кардерам адресуется (относитель... - DPP