koluna 0 Жалоба Опубликовано 9 января, 2019 Всем привет!Столкнулись с проблемой, просим помочь разобраться.Есть сеть (электронное оборудование и несколько тысяч карт).Кто-то или взломал карту (Classic 1K) или воспользовался некоторыми недокументированными возможностями именно китайских карт.Что-то вроде доступа к картам с измененными ключами с помощью ключей по умолчанию... Такое правда возможно?Цель - защитится от этого, т. е., заблокировать карту полностью. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Prohor 49 Жалоба Опубликовано 9 января, 2019 Китайские карты можно прочитать и скопировать почти все. Есть алгоритм MFOC есть MFCUK а есть MFKS. MFCUK ломает опорный сектор в почти любом китайском мифаере, а потом его спокойно доламывает алгоритм MFOC. Если китайские ваши карты, это карты Zero - то их в принципе невозможно защитить от считывания дампа, и там никаких алгоритмов взлома вовсе даже не надо. Есть упёртые китайские карты, которые не ломаются этим способом потому что MFCUK их не берёт. Тогда надо брать спецридер и читать их через MFKS. Есть такие карты китайские которые защищены и от этого. Но от снифа не защищено ничто! Так что имеючи SMKey и вашу карту записанную, человек который очень хочет сделать дубликат - всё равно его сделает! Но можете купить карты ОТР на этом сайте. Записать на них всё что нужно, а остальные сектора закрыть рандомными криптоключами. Ни один алгоритм оффлайнового взлома не сработает тогда. Но опять же снифингом тот кто захочет взломать вашу систему - тот её взломает. Аппараты для этого легальны и есть в свободной продаже. 1 Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
stt2007 0 Жалоба Опубликовано 10 января, 2019 Китайские карты можно прочитать и скопировать почти все. Есть алгоритм MFOC есть MFCUK а есть MFKS. MFCUK ломает опорный сектор в почти любом китайском мифаере, а потом его спокойно доламывает алгоритм MFOC. Если китайские ваши карты, это карты Zero - то их в принципе невозможно защитить от считывания дампа, и там никаких алгоритмов взлома вовсе даже не надо. Есть упёртые китайские карты, которые не ломаются этим способом потому что MFCUK их не берёт. Тогда надо брать спецридер и читать их через MFKS. Есть такие карты китайские которые защищены и от этого. Но от снифа не защищено ничто! Так что имеючи SMKey и вашу карту записанную, человек который очень хочет сделать дубликат - всё равно его сделает! Но можете купить карты ОТР на этом сайте. Записать на них всё что нужно, а остальные сектора закрыть рандомными криптоключами. Ни один алгоритм оффлайнового взлома не сработает тогда. Но опять же снифингом тот кто захочет взломать вашу систему - тот её взломает. Аппараты для этого легальны и есть в свободной продаже. А если доступа к считывателю нет , то процесс будет очень увлекательным но возможным, хоть ОТР с рандомными криптоключами Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
koluna 0 Жалоба Опубликовано 10 января, 2019 Спасибо большое за помощь :) На данный момент меня интересуют именно "недокументированные возможности" китайских карт. Т. к., вродебы, проблемы именно с ними...Если их нет и единственный способ получить доступ к данным карты - взлом Crypto1, то это уже другой вопрос. Наверное, нужно дополнительное шифрование данных на картах...Сниффинг не рассматриваем впринципе... Что можете сказать об этом?В отличие от NXP, в китайских CL1K нашлось аж 16 команд авторизации.Впрочем, команд на самом деле 2, как и в картах NXP: PICC_AUTHENT1A = 0x60 или PICC_AUTHENT1B = 0x61, а остальные команды получились в результате неполной дешифрации, т.к. биты b3…b1 игнорируются. Т.е. команда PICC_AUTHENT1A будет выполняться при подаче чётных кодов (0x60, 0x62, 0x64, …, 0x6E), а команда PICC_AUTHENT1B выполнится при подаче нечётных кодов (0x61, 0x63, 0x65, …, 0x6F). Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
koluna 0 Жалоба Опубликовано 10 января, 2019 Если китайские ваши карты, это карты Zero - то их в принципе невозможно защитить от считывания дампа, и там никаких алгоритмов взлома вовсе даже не надо. Как узнать, они или не они? Но можете купить карты ОТР на этом сайте. Записать на них всё что нужно, а остальные сектора закрыть рандомными криптоключами. Ни один алгоритм оффлайнового взлома не сработает тогда.Можно, пожалуйста, поподробнее? Почему такие карты трудно взломать? Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
apple 6 Жалоба Опубликовано 10 января, 2019 все это можно скопировать . скопировать нельзя клиент серверные транспондеры архитектура которых стоит атомно . как в метро например . Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
petr5555 269 Жалоба Опубликовано 10 января, 2019 Всем привет!Столкнулись с проблемой, просим помочь разобраться.Есть сеть (электронное оборудование и несколько тысяч карт).Кто-то или взломал карту (Classic 1K) или воспользовался некоторыми недокументированными возможностями именно китайских карт.Что-то вроде доступа к картам с измененными ключами с помощью ключей по умолчанию... Такое правда возможно?Цель - защитится от этого, т. е., заблокировать карту полностью. Вы не с тем сражаетесь !!!Вам нужно не думать как закрыть карту, а о том как сделать так, чтобы копии не могли работать.А это можно сделать чисто программными методами.Например, выбрать блок карты и писать туда при каждом проходе новый код......... Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
koluna 0 Жалоба Опубликовано 11 января, 2019 Вот, кстати, скриншот экрана с программой, с которой они получили доступ к данным...https://dropmefiles.com/eZMriУ них самодельное устройство на какой-то неспециализированной плате и ридере для Ардуино с Али. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
koluna 0 Жалоба Опубликовано 11 января, 2019 Вам нужно не думать как закрыть карту, а о том как сделать так, чтобы копии не могли работать.А это можно сделать чисто программными методами.Например, выбрать блок карты и писать туда при каждом проходе новый код......... Согласен с Вами, но пока не понял, как предложенный метод работает... Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
petr5555 269 Жалоба Опубликовано 11 января, 2019 Согласен с Вами, но пока не понял, как предложенный метод работает... Да очень просто.При каждом проходе считывается код из блока и сравнивается с кодом в системе.Если всё совпадает, то человек проходит и в его карту и в систему пишется уже другой код.Если с карты сделана копия, то она либо вообще не сработает, если человек с исходной картой уже прошёл, либосработает, но тогда исходная карта уже не будет работать.То есть выходим или на человека с клоном, или на того, кто дал скопировать свою карту.А дальше уже ...................... Ну это, так сказать, один из многих вариантов................ Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Secter 70 Жалоба Опубликовано 11 января, 2019 Да очень просто. Ага, просто... Не парь людям = мозг ... На "лету" в карты никто не пишет, нужОн = моторизованный диспенсер ... http://www.диспенсер-карт.рф/ Знаешь скока они стОят ?! 1 Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
apple 6 Жалоба Опубликовано 11 января, 2019 плюс учтите что уникальные решения которые не копируются за них дерут реальное бабло . мы как то использовали такое решение но потом компания за новые карты и ПО стала реально драть бабло . попав пару раз на 3 млн руб .отказались и теперь все как раньше все копируют карты .потому как административно это решить дешевле. чем становитьсязаложником неясной фирмы .плюс ПО было немного криволапым .как водится у наших фирм. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
petr5555 269 Жалоба Опубликовано 12 января, 2019 плюс учтите что уникальные решения которые не копируются за них дерут реальное бабло . мы как то использовалитакое решение но потом компания за новые карты и ПО стала реально драть бабло . попав пару раз на 3 млн руб .отказались и теперь все как раньше все копируют карты .потому как административно это решить дешевле. чем становитьсязаложником неясной фирмы .плюс ПО было немного криволапым .как водится у наших фирм. Извините, но это уже чисто ваши недоработки !!!Надо было как следует составлять ТЗ и договор................. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Secter 70 Жалоба Опубликовано 12 января, 2019 Надо было как следует составлять ТЗ и договор................. Ну и сколько-лично-ты написал = ТЗ, составил = договоров ?! Петя, тут-те-не-казюсЪ , тут люди счёту ГРОШика = обучены ... 1 Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
koluna 0 Жалоба Опубликовано 14 января, 2019 Добавлю по описаню системы. На сегодняшний момент - десятки ридеров и сотни карт. Система оффлайновая. Т. е., ридеры не общаются между собой, нет централизованного сервера.Вот и не понимаю пока как защитить карты именно от копирования (допустим, уже все сектора будут закрыты новыми ключами, данные будут зашифрованы). Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
koluna 0 Жалоба Опубликовано 14 января, 2019 Мы можем пренебречь защитой от копирования, если это не реализуемо для оффлайновой системы?Если на карте все зашифровано и, предположить, что это не расшифровать (по причине сложности и неясной экономической целесообразности), то как впринципе карту можно скопировать?1. Украсть.2. Уговорить владельца отдать по-хорошему.3. Считать ридером-сниффером, находясь рядом некоторое время. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
igor-r 1 Жалоба Опубликовано 14 января, 2019 Ещё можно карту "сломать" проксмарком, darkside атакой.Если её (карту) иметь на руках!т.е. карту надо:1. Украсть.2. Уговорить владельца отдать по-хорошему. Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Secter 70 Жалоба Опубликовано 14 января, 2019 ... то как в-принципе карту можно скопировать? Ещё-адын, народный = АКЫН ... Ну если китайцы лепят ЧИПы ( а нафик использовать дорогой-оригинал ?) ,то-что-им мешает понаделать "бэк-дооров" ?! С чем боретесь ? С собственной = жабой ?! Помню-парковку в Домодедово ... Карты (не копируемые), бабло = офигенное ...токма ТАКСИсты, не пальцем деланы ...первый заезжал-и-стоял ...сутками ...куяк = клиент...он набирал номер диспетчера, та гнала следующее такси на ВЪЕЗД...по его карте первый лишенец и выезжал...БЕСПЛАТНО, а второй стоял по карте с мульённым кредитом ... Ну и как = победили ? Прально = билет + видеофиксация номера рыдвана ... 1 Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
igor-r 1 Жалоба Опубликовано 14 января, 2019 ... то как в-принципе карту можно скопировать? Ещё-адын, народный = АКЫН ... Ну если китайцы лепят ЧИПы ( а нафик использовать дорогой-оригинал ?) ,то-что-им мешает понаделать "бэк-дооров" ?! С чем боретесь ? С собственной = жабой ?! Помню-парковку в Домодедово ... Карты (не копируемые), бабло = офигенное ...токма ТАКСИсты, не пальцем деланы ...первый заезжал-и-стоял ...сутками ...куяк = клиент...он набирал номер диспетчера, та гнала следующее такси на ВЪЕЗД...по его карте первый лишенец и выезжал...БЕСПЛАТНО, а второй стоял по карте с мульённым кредитом ... Ну и как = победили ? Прально = билет + видеофиксация номера рыдвана ... Вот именно так у нас в Кольцово (на парковке аэропорта) победили халявщиков!Ну и как = победили ? Прально = билет + видеофиксация номера рыдвана ...плюс - выезд через 2 шлагбаума последовательно, пока один не закроется, второй не откроется! Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
koluna 0 Жалоба Опубликовано 14 января, 2019 Ну если китайцы лепят ЧИПы ( а нафик использовать дорогой-оригинал ?) ,то-что-им мешает понаделать "бэк-дооров" ?! Ну вот про бэкдоры я вначале и спрашивал... и про то, как с ними бороться... С чем боретесь ? С собственной = жабой ?! Да как бы клиенты сами хотят дешевых карт... от дорогих их морщит... Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
igor-r 1 Жалоба Опубликовано 14 января, 2019 С бэкдорами можно бороться только использованием оригинальных чипов, но при этом не забывать что есть сниффинг! Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
petr5555 269 Жалоба Опубликовано 15 января, 2019 Короче говоря, если хотите сделать защищённую систему, то не берите Mifare Classic !!! Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
igor-r 1 Жалоба Опубликовано 15 января, 2019 Короче говоря, если хотите сделать защищённую систему, то не берите Mifare Classic !!! Абсолютно верно! Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
Secter 70 Жалоба Опубликовано 15 января, 2019 Абсолютно верно! Ещё = АКЫН ... Ну-вот-у мня есть изделие. А-у-вас = есть возможность копировать 1990 в любом формате ... И чо ? Я сиих-палок-чиста-НЕРЖ сбарыжил вна-статую-вна-РОДИНЕ-героя ... Хрен-мня-обЪедешь вна кривом Пете ... Как защитить копеечный ДАЛОС от КОПИрайтос ?! 1 Цитата Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
